JP2016111664A - Computer packaging system, and secure path selection method utilizing network evaluation - Google Patents
Computer packaging system, and secure path selection method utilizing network evaluation Download PDFInfo
- Publication number
- JP2016111664A JP2016111664A JP2015039820A JP2015039820A JP2016111664A JP 2016111664 A JP2016111664 A JP 2016111664A JP 2015039820 A JP2015039820 A JP 2015039820A JP 2015039820 A JP2015039820 A JP 2015039820A JP 2016111664 A JP2016111664 A JP 2016111664A
- Authority
- JP
- Japan
- Prior art keywords
- node
- nodes
- path
- security
- rating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000011156 evaluation Methods 0.000 title claims description 20
- 238000010187 selection method Methods 0.000 title description 2
- 238000004806 packaging method and process Methods 0.000 title 1
- 230000005540 biological transmission Effects 0.000 claims abstract description 32
- 238000004891 communication Methods 0.000 claims abstract description 27
- 238000001514 detection method Methods 0.000 claims description 21
- 238000004364 calculation method Methods 0.000 claims description 13
- 238000000034 method Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 6
- 230000002155 anti-virotic effect Effects 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 5
- 230000002411 adverse Effects 0.000 abstract description 4
- 230000002159 abnormal effect Effects 0.000 abstract 1
- 230000010354 integration Effects 0.000 abstract 1
- 230000014509 gene expression Effects 0.000 description 5
- 230000005484 gravity Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
本開示は、ネットワークセキュリティの分野に関するものである。 The present disclosure relates to the field of network security.
最新のネットワーク技術の登場により、情報セキュリティは通信ネットワークの安全性確保にとって生命線ともいうべき重大な役割を担うようになっている。通信ネットワークにおいては、信頼性とセキュリティは大変重要な要素となっている。悪影響をもたらす可能性をもった脆弱性を認識し、予防、検知するシステムやセキュリティ対策が必要となっている。ネットワークの信頼性や安全を確保するために脆弱性をテストする技法は複数存在する。脆弱性のテストは、ネットワークパスに普通に存在する脆弱性や攻撃に対抗するものである。現在、ネットワーク自体やネットワークパスのセキュリティ上の弱点を検査する、いくつかの脆弱性スキャンソフトウエアやセキュリティ製品が市販されている。しかし、これらのソフトウエアやセキュリティ製品が提供する、検出された脆弱性の修正や解決方法は限定的なものでしかない。 With the advent of the latest network technology, information security has become a vital role for ensuring the safety of communication networks. In communication networks, reliability and security are very important factors. There is a need for systems and security measures that recognize, prevent and detect vulnerabilities that have the potential to adversely affect them. There are several techniques for testing vulnerabilities to ensure network reliability and security. Vulnerability testing counters vulnerabilities and attacks that normally exist in network paths. Currently, several vulnerability scanning software and security products are in the market for examining security weaknesses in the network itself and the network path. However, these software and security products provide only limited fixes and solutions for detected vulnerabilities.
現在の状況では、データは至る所に存在し、通信ネットワーク上で正しいデータを正しいタイミングで正しい場所で取得すること自体が困難な課題となっている。そして、脆弱性を防護することのできるネットワークのモデルが要求されている。このようなネットワークモデルでは、ネットワークの一部が侵入者による悪影響を受けている時、あるいは、脆弱性によって悪影響が及ぼされている時であっても、ネットワークの一体性、セキュリティおよび処理能力が維持される。強固なアルゴリズムやプロトコルにより大部分のデータが暗号化されている場合であっても、ネットワークパスを通ってユーザが受信したデータが破壊され、中断され、分裂したものでないことを保証することはできない。 In the current situation, data exists everywhere, and obtaining correct data at the right place at the right time on the communication network is a difficult task. And there is a demand for a network model that can protect against vulnerabilities. These network models maintain network integrity, security, and processing power even when parts of the network are adversely affected by intruders or when they are adversely affected by vulnerabilities. Is done. Even if a large amount of data is encrypted by a strong algorithm or protocol, it cannot be guaranteed that the data received by the user through the network path will be corrupted, interrupted and not split .
例えば、金融機関や銀行などでは、大量の支払いや各種の取引が機関と顧客の間で行われている。このような取引や金融データの通信は、スケーラブルなセキュリティとプライバシー保護機構を必要とする。金融データに十分強固に暗号化されたデータが含まれていたとしても、スヌーピングやハイジャックなどに対する脆弱性をもったネットワークパスでは、データが取引の受益者に到達できないことも起こりうる。 For example, in financial institutions and banks, a large amount of payments and various transactions are performed between institutions and customers. Such transactions and financial data communications require scalable security and privacy protection mechanisms. Even if financial data contains sufficiently strong encrypted data, it may happen that data cannot reach the beneficiary of the transaction on a network path that is vulnerable to snooping or hijacking.
よって、このような欠点を排除するために、通信を防護し、脆弱性を持ちセキュリティ違反の恐れのあるノードをバイパスして通信を行う、インテリジェントな、信頼のおけるネットワーク通信を提供するシステムが要求される。 Therefore, in order to eliminate such drawbacks, there is a need for a system that provides intelligent and reliable network communication that protects communication and bypasses nodes that are vulnerable and may violate security. Is done.
本開示の一つの課題は、ネットワークノードやネットワークパスの脆弱性を防護するネットワークを提供することである。 One problem of the present disclosure is to provide a network that protects against vulnerabilities in network nodes and network paths.
本開示のもう一つの課題は、通信チャンネルにおけるデータの保護を行うことである。 Another problem of the present disclosure is to protect data in a communication channel.
本開示のさらなる課題は、通信ネットワークの一体性、信頼性、機密性、セキュリティおよび処理能力を維持することである。 A further challenge of the present disclosure is to maintain the integrity, reliability, confidentiality, security and processing power of the communication network.
本開示のさらなる課題は、通信の統計に沿って動的に進化することでネットワークの能力を高めることである。 A further challenge of the present disclosure is to increase network capabilities by dynamically evolving along with communication statistics.
本開示のもう一つの課題は、専用VPN(仮想プライベートネットワーク)の運用コストを低減することである。 Another problem of the present disclosure is to reduce the operating cost of a dedicated VPN (virtual private network).
本開示のもう一つの課題は、効果的なメッセージ一斉配信システムを提供することである。 Another problem of the present disclosure is to provide an effective message broadcast system.
本発明の他の課題や利点は、添付されている図表とともに以下の説明により明確にされるが、これらの図表や説明は本発明の範囲を限定するものではない。 Other problems and advantages of the present invention will be clarified by the following description together with the attached charts, but these charts and explanations do not limit the scope of the present invention.
まず、本開示で使用する用語の定義を行う。 First, terms used in this disclosure are defined.
本開示で使用する「信頼性の値」という用語は、通信ネットワーク上のネットワークノードについてその確実性と信頼性の度合いを示す数値をいう。 The term “reliability value” used in the present disclosure refers to a numerical value indicating the degree of certainty and reliability of a network node on a communication network.
本開示で使用する「送信元ノード」という用語は、ネットワーク上のノードであって、データが送信される(データを送信する)ノードをいう。 The term “source node” used in the present disclosure refers to a node on a network to which data is transmitted (transmits data).
本開示で使用する「宛先ノード」という用語は、ネットワーク上のノードであって、データが受信される(データを受信する)ノードをいう。 As used in this disclosure, the term “destination node” refers to a node on the network that receives data (receives data).
本開示で使用する「性能指標格付け」という表現は、あるノードについて、通信経路で発揮されるノードの能力を示す値をいう。 The expression “performance index rating” used in the present disclosure refers to a value indicating the ability of a node to be exerted on a communication path with respect to a certain node.
本開示で使用する「セキュリティ指標格付け」という表現は、あるノードについて、安全な送信のために必要となったセキュリティ対策の基準と状態を示す値を言う。この値は、ノードが第三者の攻撃を受けやすいかどうかやその脆弱性、ないしはノードのセキュリティを容易に突破できるかどうかを示すものでもある。 The expression “security index rating” used in the present disclosure refers to a value indicating the standard and status of security measures required for secure transmission for a certain node. This value also indicates whether the node is susceptible to third-party attacks, its vulnerability, or whether it can easily break through the security of the node.
本開示で使用する「信用指標格付け」という表現は、あるノードについて、その実行ライフタイム全体を通じての性能を示す値である。この値は、当該ノードが隣接ノードに対して、通信に関してどれほど協力的で有用であったかを示すものでもある。 The expression “credit index rating” used in the present disclosure is a value indicating the performance of a certain node throughout its execution lifetime. This value also indicates how cooperative and useful the node is for communication with neighboring nodes.
本開示で使用する「近傍ノード指標格付け」という表現は、あるノードについて、近傍(密に隣接した)ノードに反映される信頼性を示す値をいう。この値は、直近の隣接ノードとの適合や相性の割合を示すものでもある。 The expression “neighboring node index rating” used in the present disclosure refers to a value indicating the reliability reflected on neighboring (closely adjacent) nodes for a certain node. This value also indicates the ratio of compatibility and compatibility with the nearest adjacent node.
以上の定義は、当該技術分野で使用されている定義に合わせて用いる。 The above definitions are used in accordance with definitions used in the technical field.
本開示では、ネットワーク評価を利用してセキュアパス(セキュアな経路)の選択を行うコンピュータ実装システムおよびその手法が提供される。 The present disclosure provides a computer-implemented system and method for selecting a secure path (secure route) using network evaluation.
標準として、本開示によれば、複数のノードを持つ通信ネットワーク上の一つのノードから他のノードへのデータ送信のためのセキュアパスを選択するシステムの詳細が提供される。システムには前記各ノードの信頼性の値を計算して、可能なすべてのパスのリスクの確率を計算し、セキュアパスを選択するように設定されたサーバが含まれる。 As a standard, according to the present disclosure, details of a system for selecting a secure path for data transmission from one node to another node on a communication network having a plurality of nodes are provided. The system includes a server configured to calculate the reliability value of each node, calculate the probability of all possible path risks, and select a secure path.
ネットワークの各ノードの信頼性の値は、「性能指標格付け」、「セキュリティ指標格付け」、「信用指標格付け」及び「近傍ノード指標格付け」の特性に基づいて算出される。 The reliability value of each node in the network is calculated based on the characteristics of “performance index rating”, “security index rating”, “credit index rating”, and “neighboring node index rating”.
信頼性の値は、以下の特性(構成要素)に基づいて算出される。ネットワークに存在するノードには、性能指標特性を評価するように設定された評価ユニット、評価された性能指標特性とセキュリティ指標特性の平均を計算するように設定された平均値計算ユニット、及び、性能指標格付けとセキュリティ指標格付けを付与してこれをサーバに送信するように設定された付与ユニット、が含まれる。 The reliability value is calculated based on the following characteristics (components). For nodes present in the network, an evaluation unit set to evaluate performance index characteristics, an average value calculation unit set to calculate the average of the evaluated performance index characteristics and security index characteristics, and performance A grant unit configured to assign an index rating and a security index rating and send it to the server is included.
添付の図表に示された実施形態を参照しながら、ネットワーク評価を利用したセキュアパスの選択方法とそのコンピュータ実装システムを説明する。実施形態は、本開示の範囲や領域を限定するものではない。この説明は単に本開示の例および好ましい実施形態や奨励される応用に関するものである。 A secure path selection method using network evaluation and its computer-implemented system will be described with reference to the embodiments shown in the attached chart. The embodiments do not limit the scope or region of the present disclosure. This description merely relates to examples of the present disclosure and preferred embodiments and encouraged applications.
本開示のシステムとその多くの機能や利点の詳細を、実施形態を参照にて以下に説明するが、実施形態は本開示を限定するものではない。既知のパラメータや処理技術の説明は、実施形態の説明を不必要に複雑にし、不明瞭にすることのないように省略する。ここで示す例は、単に、実施形態を実施する際の理解を容易にし、当該技術の専門の者が本開示を実施することを可能とするためのものである。よって、これらの例は、実施形態の範囲を限定するためのものではない。 Details of the system of the present disclosure and its many features and advantages are described below with reference to embodiments, which do not limit the present disclosure. Descriptions of known parameters and processing techniques are omitted so as not to obscure the description of the embodiments unnecessarily. The examples shown here are merely to facilitate understanding when implementing the embodiments and to enable one skilled in the art to implement the present disclosure. Thus, these examples are not intended to limit the scope of the embodiments.
図1は、複数のノード(112A, 112B...112N, 114A, 114B...114N, 192A, 192B...192Nなど)を持つ通信ネットワーク110上の一つのノードから他のノードへのデータ送信のためのセキュアパスを選択するシステム100を示している。このシステム100は、評価ユニット(112A1, 112B1...112N1, 114A1, 114B1...114N1, 192A1, 192B1...192N1)、平均値計算ユニット(112A2, 112B2...112N2, 114A2, 114B2...114N2, 192A2, 192B2...192N2)及び付与ユニット(112A3, 112B3...112N3, 114A3, 114B3...114N3, 192A3, 192B3...192N3)、並びにサーバ120を含んでいる。これらの評価ユニット、平均値計算ユニット及び付与ユニット、並びにサーバ120は、各ノードにある第1のレポジトリ(112RA, 112RB...112RN, 114RA, 114RB...114RN, 192RA, 192RB...192RNなど)により設定される。ある実施形態によれば複数のノードはバス、スター、リング、ツリー、メッシュ、ハイブリッドなど、どのような形状のネットワークであってもよい。
FIG. 1 shows data from one node to another node on a
評価ユニット(112A1, 112B1...112N1, 114A1, 114B1...114N1, 192A1, 192B1...192N1)は、ノードについての性能指標特性およびセキュリティ指標特性の評価を行う。性能指標は、その特性として、伝送遅延レート、トランザクション成功対失敗比、応答時間、帯域幅とその時間に応じた調整を有している。セキュリティ指標は、その特性として、ファイアウォール設定とファイアウォールのセキュリティステータス、ウイルス対策プログラムとプログラムのステータス、ノードにおいて開放されているポートに接続されているメディアのステータスを有している。また評価ユニット(112A1, 112B1...112N1, 114A1, 114B1...114N1, 192A1, 192B1...192N1)は、各性能指標特性とセキュリティ指標特性の数値の評価を行う。 The evaluation unit (112A1, 112B1 ... 112N1, 114A1, 114B1 ... 114N1, 192A1, 192B1 ... 192N1) evaluates performance index characteristics and security index characteristics for the nodes. The performance index has, as its characteristics, a transmission delay rate, a transaction success to failure ratio, a response time, a bandwidth, and an adjustment according to the time. The security indicator has, as its characteristics, a firewall setting and a security status of the firewall, an anti-virus program and a program status, and a status of a medium connected to a port opened in the node. The evaluation units (112A1, 112B1 ... 112N1, 114A1, 114B1 ... 114N1, 192A1, 192B1 ... 192N1) evaluate the numerical values of each performance index characteristic and security index characteristic.
平均値計算ユニット(112A2, 112B2...112N2, 114A2, 114B2...114N2, 192A2, 192B2...192N2)は、対応するノードについて評価された性能指標特性とセキュリティ指標特性の平均値を算定する。 The average value calculation unit (112A2, 112B2 ... 112N2, 114A2, 114B2 ... 114N2, 192A2, 192B2 ... 192N2) calculates the average value of the performance index characteristic and security index characteristic evaluated for the corresponding node To do.
付与ユニット(112A3, 112B3...112N3, 114A3, 114B3...114N3, 192A3, 192B3...192N3)は、対応するノードについての性能指標格付けとセキュリティ指標格付けの付与を、算定された性能指標特性とセキュリティ指標特性の平均値に基づいて行い、付与された性能指標格付けとセキュリティ指標格付けをサーバ120に送信する。
The granting unit (112A3, 112B3 ... 112N3, 114A3, 114B3 ... 114N3, 192A3, 192B3 ... 192N3) gives the performance index rating and security index rating assignment for the corresponding node, the calculated performance index Based on the average value of the characteristic and the security index characteristic, the assigned performance index rating and security index rating are transmitted to the
サーバ120は、第1のプロセッサ20、入力モジュール10、第2のレポジトリ32、第2のプロセッサ34、受信モジュール36、アクティブノード検知モジュール40、パス検知モジュール50、履歴データコレクタ55、信頼指数モジュール60、第3のプロセッサ65、リスク検知モジュール70、第4のプロセッサ75、比較器80、第5のプロセッサ85、及び、リソース検知モジュール90を含んでいる。
The
入力モジュール10は、ユーザ(ネットワークに存在するいずれかのノードであってもよい)よりリスク確率閾値を取得し、ユーザのセキュリティニーズを算定する。ユーザにとってデータの高度なセキュリティが必要であれば、リスク確率閾値に高い値を設定する。
The
典型的な実施形態によれば、リスク確率閾値に基づいてデータの分類を行うことができる。表1は、最大5つまでのリスク確率閾値と該当する各種データの分類(極秘、機密など)を示したものである。
このようにして、この実施形態によれば、極秘情報の共有を行う通信に2つのノードが関与する場合は、データはリスク確率閾値の値が4.5以下のパスを通ることはできない。 Thus, according to this embodiment, when two nodes are involved in communication for sharing confidential information, data cannot pass through a path having a risk probability threshold value of 4.5 or less.
ある他の実施形態によれば、リスク確率閾値により、ノードの信頼性の値が閾値より大きなノードのみが通過できるようにデータの分類を行っている。 According to a certain other embodiment, the data is classified by the risk probability threshold value so that only the node whose reliability value of the node is larger than the threshold value can pass.
さらに他の実施形態によれば、ユーザがとても高いリスク確率の閾値を選択した場合は、ネットワークは論理上仮想プライベートネットワーク(VPN)のように動作する。 According to yet another embodiment, if the user selects a very high risk probability threshold, the network behaves logically like a virtual private network (VPN).
履歴データコレクタ55は、送信元ノードから宛先ノードまでデータが転送される各ノードごとに、各トランザクションの後に履歴データを取得するように設定されている。この履歴データには性能履歴、平均性能指数、攻撃履歴、トランザクション損失/失敗履歴が含まれる。
The
第2のレポジトリ32は、前記の各ノードについての性能履歴、平均性能指数、攻撃履歴、トランザクション損失/失敗履歴および近傍ノード評価を保存するように設定されている。近傍ノード評価は、近傍ノードがトランザクションの相手となるノードから得たサービスの経緯に基づいたものである。
The
履歴データコレクタ55は、データが送信される前記のノードが送信を行う毎に第2のレポジトリを更新する。
The
第2のプロセッサ34は、信用指標格付けおよび近傍ノード指標格付けを計算して信頼指数モジュール60に送信するために第2のレポジトリに保存されているデータを処理するように設定されている。
The
受信モジュール36は前記の各ノードに対する性能指標格付けとセキュリティ指標格付けを受信するように設定されている。前記の各ノードに存在する付与ユニットは、性能指標格付けとセキュリティ指標格付けを各ノードに付与する。
The receiving
アクティブノード検知モジュール40は、ネットワーク110上の複数のノードの中に存在するアクティブノードを検知するように設定されている。ネットワークには多数のノードが存在し、その中のいくつかは非アクティブである(データを送信または受信する位置に置かれていない)。そのため、データの伝送を行うことのできる、アクティブなノードを検知する必要がある。
The active
パス検知モジュール50は、アクティブノードによって構成される、送信元ノードから宛先ノードまでの間にあるすべての可能なパスを検知するように設定されている。ネットワーク上に存在するすべてのノードは、送信元ノードおよび宛先ノードとなることができる。
The
信頼指数モジュール60は、特定のパスに存在する各アクティブノードの信頼性の値を計算するように設定されている。信頼指数モジュールは、性能指標格付け、セキュリティ指標格付け、信用指標格付け、近傍ノード指標格付けに基づいて、ノードの信頼性の値を計算する。
The
第3のプロセッサ65は、特定のノードの性能指標格付けとセキュリティ指標格付けを受信モジュール36から受け取り、また、信用指標格付けと近傍ノード指標格付けを第2のプロセッサ34より受け取り、現在の信頼性の値を計算するように設定されている。
The
リスク検知モジュール70は、パスに存在するノードの信頼性の値の平均に基づき、パス検知モジュール50が検知した各パスのリスク確率を算定するように設定されている。リスク検知モジュール70は、現在の信頼性の値を信頼指数モジュール60から受け取り、加えて検知されたパスからなる集合をパス検知モジュール50から受け取るための第4のプロセッサ75を含んでいる。検知された各パスのリスク確率は、パスを形成しているすべてのノードの信頼性の値の平均を計算して求める。
The
図3は、可能なパスのリスク確率を算定する典型的な実施形態を図示したものである。 FIG. 3 illustrates an exemplary embodiment for calculating the risk probability of a possible path.
ノードAは送信元ノードであり、これよりデータが宛先ノードであるノードBに送信される。ノードAからノードBにデータの伝送を行うには、以下の可能なパスが存在する。
・A→C→F→B
・A→C→E→B
・A→D→G→B
Node A is a transmission source node, from which data is transmitted to node B, which is a destination node. In order to transmit data from node A to node B, the following possible paths exist.
・ A → C → F → B
・ A → C → E → B
・ A → D → G → B
伝送に関与するノードの信頼性の値は、上記の手順により計算されている。各ノードの信頼性の値は、以下の通りである。
C=4.2
D=4.7
E=3.5
F=4.3
G=4.2
The reliability value of the node involved in the transmission is calculated by the above procedure. The reliability value of each node is as follows.
C = 4.2
D = 4.7
E = 3.5
F = 4.3
G = 4.2
今度は、可能なパスのリスク確率を、可能なすべてのパスについて計算する。計算は、伝送に関与する中間のノードの信頼性の値を加算して行う。
・A→C→F→B=4.2+4.3=(8.5/10)・100=85%
⇒セキュア、リスク確率=15%
・A→C→E→B=4.2+3.5=(7.7/10)・100=77%
⇒セキュア、リスク確率=23%
・A→D→G→B=4.7+4.2=(8.9/10)・100=89%
⇒セキュア、リスク確率=11%
This time, the risk probability of possible paths is calculated for all possible paths. The calculation is performed by adding the reliability values of intermediate nodes involved in transmission.
・ A → C → F → B = 4.2 + 4.3 = (8.5 / 10) ・ 100 = 85%
⇒ Secure, risk probability = 15%
・ A → C → E → B = 4.2 + 3.5 = (7.7 / 10) ・ 100 = 77%
⇒ Secure, risk probability = 23%
A → D → G → B = 4.7 + 4.2 = (8.9 / 10) 100 = 89%
⇒ Secure, risk probability = 11%
比較器80は、リスク確率閾値とパス検知モジュール50により検知された各パスのリスク確率を比較し、リスク確率がリスク確率閾値より低いパスを識別する。比較器80は、第5のプロセッサ85を有しており、この第5のプロセッサ85は、リスク確率閾値を入力モジュール10より受け取り、また各パスのリスク確率をリスク検知モジュール70を通じて受け取る。第5のプロセッサ85は、リスク確率の値がリスク確率閾値より低いパスを識別する。
The
リソース検知モジュール90は、識別されたパスがデータの転送のために必要とするリソースを検知するように設定されている。リソース検知モジュール90は、比較器と協働し、リスク確率がリスク確率閾値より低いパスの識別を行い、識別されたパスが要求するリソースを検知し、必要なリソースが最小となるパスが識別される。典型的な実施形態で、送信元ノードから宛先ノードの間に3つのパスA、B、Cが存在する場合について説明する。リソース検知モジュール90は、各パスについて、データが宛先ノードに到達するまでに経由しなければならないノードの数、データ伝送の所要時間などの必要なリソースを検知する。
The
図2Aと図2Bは、フローチャート200により、本開示に沿って、複数のノードをもつ通信ネットワークにおける一つのノードから他のノードへのデータ転送におけるセキュアパスの選択に必要な段階を図示したものである。 FIGS. 2A and 2B illustrate steps required for secure path selection in data transfer from one node to another node in a communication network having multiple nodes, in accordance with the present disclosure, according to flowchart 200. FIG. is there.
段階202では、性能指標特性とセキュリティ指標特性が評価される。性能指標は、その特性として、伝送遅延レート、トランザクション成功対失敗比、応答時間、帯域幅とその時間に応じた調整を含んでいる。セキュリティ指標は、その特性として、ファイアウォール設定とファイアウォールのセキュリティステータス、インストールされているウイルス対策プログラムとプログラムのステータス、ノードにおいて開放されているポートに接続されているメディアのステータス、関連する入力デバイスとそのスコープを含んでいる。
In
段階204では、性能指標特性とセキュリティ指標特性の平均値が算定される。
In
段階206では、計算された平均値を基にして性能指標格付けとセキュリティ指標格付けがノードに付与される。
In
表2は、性能指標格付けが段階202、204、206に沿って算定された、ある典型的な実施形態を示すものである。ある実施形態によれば、表2に示された最高値は手動で設定され、または自動的に生成することができる。
上記の表2では、ノードの伝送遅延レートが最高5のうちの4、成功対失敗比が最高100のうちの85、応答時間が最高5のうちの4、帯域幅とその時間に応じた調整が最高5のうち4.5である。各特性の割合を計算し、それに基づいて以下のように平均を計算する。
{(80+85+80+90)/400}・100=83.75%
さらに、以下のように全体の性能指標格付けが計算される。
5*83.75%=4.18
In Table 2 above, the node's transmission delay rate is 4 out of 5 maximum, the success to failure ratio is 85 out of 100, the response time is 4 out of 5 and the bandwidth and time are adjusted accordingly Is 4.5 out of 5. The ratio of each characteristic is calculated, and the average is calculated as follows based on the ratio.
{(80 + 85 + 80 + 90) / 400} .100 = 83.75%
In addition, the overall performance index rating is calculated as follows:
5 * 83.75% = 4.18
上の計算では、5は性能指標格付けの最高値である。この最高値はユーザによって設定することも、自動的に生成することもできる。 In the above calculation, 5 is the highest performance index rating. This maximum value can be set by the user or automatically generated.
表3は、段階202、204、206に沿ってセキュリティ指標格付けが計算された、ある典型的な実施形態を示したものである。ある実施形態によれば、表3に示された最高値は手動で設定され、または自動的に生成することができる。
上記の表3では、ファイアウォール設定とファイアウォールのセキュリティステータスが最高5のうちの4、インストールされているウイルス対策プログラムとプログラムのステータスが最高100のうちの85、ノードにおいて開放されているポートに接続されているメディアのステータスが最高5のうちの4、関連する入力デバイスとそのスコープが最高5のうちの4.5である。各特性の割合を計算し、それに基づいて以下のように平均を計算する。
{(80+85+80+90)/400}・100=83.75%
さらに、以下のように全体の性能指標格付けが計算される。
5*83.75%=4.18
In Table 3 above, the firewall settings and firewall security statuses are 4 out of 5 maximum, the installed anti-virus programs and program statuses are 85 out of 100 maximum, and are connected to open ports on the node. The media status is 4 out of 5, the associated input device and its scope is 4.5 out of 5. The ratio of each characteristic is calculated, and the average is calculated as follows based on the ratio.
{(80 + 85 + 80 + 90) / 400} .100 = 83.75%
In addition, the overall performance index rating is calculated as follows:
5 * 83.75% = 4.18
上の計算では、5はセキュリティ指標格付けの最高値である。この最高値はユーザによって設定することも、自動的に生成することもできる。 In the above calculation, 5 is the highest security index rating. This maximum value can be set by the user or automatically generated.
段階208では、リスク確率閾値がユーザにより取得される。リスク確率閾値はユーザが希望するデータ伝送セキュリティのニーズや水準を設定することを容易にする。ある実施形態によれば、ユーザは1から5の範囲にある数値を指定して希望するセキュリティの水準を設定する。ある他の実施形態によれば、リスク確率閾値により、ユーザはデータ伝送を希望するパスを決定する(高度なセキュアパスか中程度なセキュアパス)。一方で、高度なセキュアパスでは、各ノードが最高のセキュアパスを選択して伝送を行うため、混雑が予想される。
In
段階210では、前記の各ノードについての性能履歴、平均性能指数、攻撃履歴(攻撃の種類と被害の水準、侵入の有無)、トランザクション損失/失敗履歴および近傍ノード評価が第2のレポジトリに保存される(図を参照)。履歴データコレクタ(図1に示す)は、性能履歴、平均性能指数、攻撃履歴、トランザクション損失/失敗履歴をトランザクションが行われる毎に収集し、トランザクションに関与した各ノードについての第2のレポジトリを更新する。近傍ノード評価は、トランザクションに関与するノードの近傍にあるノードに関する評価値であって、相互に動作する上での経緯に基づいて求められる。
In
段階212では、信用指標格付けと近傍ノード指標格付けが計算される。信用指標格付けは、第2のプロセッサ(図1に示す)において計算される。ノードに攻撃の履歴がある場合、信用指標格付けは低く算出される。この値の計算は、ある特定のノードの近傍ノードの格付けにも基づいたものである。当該ノードが隣接ノードに対して、通信に関してどれほど協力的で有用であったかに左右される。しかし、同時に、ノードには、時間の経過とともに継続的に良好な性能とセキュリティの格付けが得られれば、信頼性を回復するチャンスが与えられる。
In
近傍ノードは、特定のノードとの伝送を行う上で、その経緯に基づいて伝送相手の格付けを行うことが出来る。この近傍ノードによる格付けの際、ネットワーク効率を格付けで参照する特性のうちの一つとすることができる。近傍ノードが行う格付けは、特定のノードのネットワーク上の信頼性を求めるためにも役立つ。この値は、直近に隣接する近傍ノードとの互換性(割合)を示すものでもある。典型的な実施形態によれば、特定のシステム設定を施したネットワークノードは高性能な通信を行うことが可能であるが、直近の通信ノードがこれに必要な同等の通信帯域幅に対応していないことがある。あるノードが1GBPSの速度で通信でき、しかし直近のノードが100MBPSのみ対応している場合を考える。 Neighboring nodes can perform transmission with a specific node, and can rank a transmission partner based on the background. In the rating by the neighboring nodes, the network efficiency can be one of the characteristics referred to by the rating. The rating performed by neighboring nodes is also useful for determining the reliability of a particular node on the network. This value also indicates compatibility (ratio) with the nearest neighbor node. According to a typical embodiment, a network node with a specific system setting can perform high-performance communication, but the nearest communication node supports the equivalent communication bandwidth required for this. There may not be. Consider a case where a node can communicate at a rate of 1 GBPS, but the nearest node supports only 100 MBPS.
ノードからみた近傍ノードの格付けは多対一の関係(格付け)であり、また、インバウンドトラフィックや容易で、効率よいデータ伝送のため、接続に最も適したノードを示すものでもある。故障や違反が起こった時に、影響を受けているノードを代替するための最も安全なノードを決定するためにも役立つものである。 The rating of neighboring nodes from the viewpoint of the node is a many-to-one relationship (rating), and also indicates the most suitable node for connection for inbound traffic and easy and efficient data transmission. It also helps to determine the safest node to replace the affected node when a failure or violation occurs.
他の実施形態によれば、近傍ノード指標格付けは段階212に沿って算定される。ある実施形態によれば、格付けの最高値はユーザにより手動で設定された値とするか、または自動的に生成することができる。
According to other embodiments, the neighborhood node index rating is calculated along
ノードのネットワーク効率は、以下のように計算する。
ネットワーク効率={(受信パケット−破損パケット)/送られたパケットの総数}×(合計所要時間/標準到達時間)×100
The network efficiency of the node is calculated as follows:
Network efficiency = {(received packet−damaged packet) / total number of transmitted packets} × (total time required / standard arrival time) × 100
ある典型的な実施形態で、ノードBがノードAを介してデータを伝送する際、ノードAのネットワーク効率を計算する。ここで、送られたパケットの総数が40、受信されたパケット(宛先ホストにおいて)が38、合計所要時間が4ms、破損パケットが2、標準到達時間が5secの場合を考える。この場合、ネットワーク効率は、以下のように計算される。
ネットワーク効率={(38−2)/40}×(4/5)×100=80
そしてノードBはノードAに5*80%=4の格付けを与える(標準格付けを5としている)。
In an exemplary embodiment, when node B transmits data via node A, it calculates the network efficiency of node A. Consider the case where the total number of packets sent is 40, the number of received packets (at the destination host) is 38, the total required time is 4 ms, the number of corrupted packets is 2, and the standard arrival time is 5 seconds. In this case, the network efficiency is calculated as follows.
Network efficiency = {(38-2) / 40} × (4/5) × 100 = 80
Node B gives a rating of 5 * 80% = 4 to Node A (standard rating is 5).
ノードBがノードAに送信を行う各トランザクション毎に、ノードAに与えられる上記の評価は、ノードAがノードBに提供したサービスの経緯に基づいて常時変化する。ノードAがすべてのパケットを損失、破損なく、ハイジャックを受けすに送受信するなどして優良なサービスを行えば、近傍ノードから与えられる格付けは上昇を続ける。そうでなければ、格付けは、低下し、または維持される。 For each transaction that node B transmits to node A, the above evaluation given to node A always changes based on the service provided by node A to node B. If node A performs a good service by sending and receiving all packets without loss or corruption and receiving hijacking, the rating given by neighboring nodes will continue to rise. Otherwise, the rating is reduced or maintained.
同様にして、ノードDとノードCもノードAの格付けを行う。
・ノードB→ノードA=格付け4
・ノードC→ノードA=格付け3.5
・ノードD→ノードA=格付け4
・ノードAの近傍ノードによる格付けの平均(4+3.5+4)/3=3.83
Similarly, node D and node C also rank node A.
・ Node B → Node A = Rating 4
Node C → Node A = Rating 3.5
Node D → Node A = Rating 4
Average of ratings by neighboring nodes of node A (4 + 3.5 + 4) /3=3.83
同様にして、ノードAも、送信中に相手となっている近傍ノードを評価する。この近傍ノードによる双方向格付けシステムは送信に適したノードを決定するために役立つ。 Similarly, node A also evaluates neighboring nodes that are counterparts during transmission. This neighborhood rating system with neighboring nodes helps to determine suitable nodes for transmission.
段階214では、各ノードにある付与モジュールから性能指標格付けとセキュリティ指標格付けを取得する。
In
段階216では、ネットワーク上のアクティブノードが検知される。ネットワークには多数のノードが存在し、その中のいくつかは非アクティブである(データを送信または受信する位置に置かれていない)。そのため、データを伝送する前にネットワーク上に存在するアクティブなノードを検知する必要がある。
In
段階218では、送信元ノードと宛先ノードの間にあるすべての可能なパスが検知される。ネットワーク上に存在するすべてのノードは送信元ノードおよび宛先ノードとなることができる。
In
段階220では、パスにあるノードの信頼性の値が算定される。最初に、性能指標格付けの平均値、セキュリティ指標格付け、信用指標格付け、近傍ノード指標格付けが算定され、これらに基づいてノードの信頼性の値が付与される。
In
表4は、段階220に沿って平均値が計算され、信頼性の値が付与される典型的な実施形態を示す。ある実施形態によれば、表4に示されている比重はユーザのセキュリティのニーズに基づいて設定することができる。ここで、ユーザは比重を手動で設定することができ、また自動的に生成することもできる。
今度は、平均値、及び、この平均値に基づいて信頼性の値が計算される。ある実施形態によれば、ノードの信頼性の最高値は手動で設定され、または自動的に生成することができる。
平均値={(12.54+12.54+4.00+11.49)/(3×5+3×5+1×5+3×5)}×100=(40.57/50)×100=81.14
信頼性の値=ノードの信頼性の最高値×平均値=5×81.14=4.057
This time, the average value and the reliability value are calculated based on the average value. According to certain embodiments, the highest value of node reliability may be set manually or generated automatically.
Average value = {(12.54 + 12.54 + 4.00 + 11.49) / (3 × 5 + 3 × 5 + 1 × 5 + 3 × 5)} × 100 = (40.57 / 50) × 100 = 81.14
Reliability value = highest value of node reliability × average value = 5 × 81.14 = 4.057
段階222では、パスに存在するアクティブノードの信頼性の値の平均に基づいて決定されたパスのリスク確率が算定される。
In
図3は、選択された可能なパスのリスク確率を算定する典型的な実施形態を図示したものである。 FIG. 3 illustrates an exemplary embodiment for calculating the risk probability of a selected possible path.
ノードAは送信元ノードであり、これよりデータが宛先ノードであるノードBに送信される。ノードAからノードBにデータ伝送を行うには、以下の可能なパスが存在する。
・A→C→F→B
・A→C→E→B
・A→D→G→B
Node A is a transmission source node, from which data is transmitted to node B, which is a destination node. There are the following possible paths for data transmission from node A to node B:
・ A → C → F → B
・ A → C → E → B
・ A → D → G → B
伝送に関与するノードの信頼性の値は、上記の手順により計算されている。ノードの信頼性の値は、以下の通りである。
C=4.2
D=4.7
E=3.5
F=4.3
G=4.2
The reliability value of the node involved in the transmission is calculated by the above procedure. The node reliability values are as follows.
C = 4.2
D = 4.7
E = 3.5
F = 4.3
G = 4.2
今度は、可能なパスのリスク確率を計算する。計算は、伝送に関与する中間のノードの信頼性の値を加算して行う。
・A→C→F→B=4.2+4.3=(8.5/10)・100=85%
⇒セキュア、リスク確率=15%
・A→C→E→B=4.2+3.5=(7.7/10)・100=77%
⇒セキュア、リスク確率=23%
・A→D→G→B=4.7+4.2=(8.9/10)・100=89%
⇒セキュア、リスク確率=11%
Now calculate the risk probability of a possible path. The calculation is performed by adding the reliability values of intermediate nodes involved in transmission.
・ A → C → F → B = 4.2 + 4.3 = (8.5 / 10) ・ 100 = 85%
⇒ Secure, risk probability = 15%
・ A → C → E → B = 4.2 + 3.5 = (7.7 / 10) ・ 100 = 77%
⇒ Secure, risk probability = 23%
A → D → G → B = 4.7 + 4.2 = (8.9 / 10) 100 = 89%
⇒ Secure, risk probability = 11%
段階224では、各パスのリスク確率をリスク確率閾値と比較し、ユーザのニーズや要望に十分なセキュアパスすべてを検知する。まず、リスク確率閾値は入力モジュール10(図1に示す)より取得され、前記の検知された各パスの現在のリスク確率がリスク検知モジュール80より取得される(図1に示す)。そして、リスク確率閾値より低いパスが検知される。
In
段階226では、ユーザのニーズに十分なセキュリティを持つパスが要求するリソースを算定している。段階224では、ユーザの要望する水準よりリスク確率の低いパスが複数存在することが検知されることがある。この段階は、最低のリソースを要求する、データ転送が可能な最善のパスを選択することに役立つ。
In
<技術的進歩性>
本開示が提供するシステムにおける技術進歩性には以下の実現が含まれる。
・ネットワークノードの脆弱性を防護するシステム。本開示の他の課題は、通信チャンネルにおけるデータの保護を行うことである。
・通信ネットワークの一体性、信頼性、機密性、セキュリティおよび処理能力を維持するシステム。
・通信の統計に沿って動的に進化し、ネットワークの能力を高めるシステム。
・専用VPN(仮想プライベートネットワーク)の運用コストを低減することのできるシステム。
・第三者のネットワークを使用していても、同一のプロトコルで高い価値を持つ金融データを取り扱うことのできる論理的VPNを提供するシステム。
・効果的なメッセージ一斉配信システムを提供するシステム。
<Technological inventive step>
The technical inventive step in the system provided by the present disclosure includes the following realizations.
A system that protects against network node vulnerabilities. Another problem of the present disclosure is to protect data in a communication channel.
A system that maintains the integrity, reliability, confidentiality, security, and processing power of a communications network.
A system that dynamically evolves according to communication statistics and enhances network capabilities.
-A system that can reduce the operating cost of a dedicated VPN (virtual private network).
A system that provides a logical VPN that can handle high-value financial data with the same protocol even when using a third-party network.
-A system that provides an effective message delivery system.
発明の実施形態についての説明は実施形態の一般的な性質をすべて表現しており、現行の知識をもとに、簡単にその変更や適用を行い、基本的概念から出発することなく、即にその広い応用ができるように示されたものであり、従って、これらの変更も本発明の本体に含まれる。本開示の特許請求範囲およびそれと等価の請求はこれらの変更をも網羅し、本発明の範囲と本体に含めることを目的としている。本開示が用いる用語や表現は説明を目的とし、限定を目的としたものではない。さらに、実施形態は、好ましい物を取り上げてはいるが、技能ある者は、それら実施形態に変更を加えて、実施形態の意図と適用範囲を継承しつつその応用ができることを認識できるであろう。 The description of the embodiment of the invention expresses all the general properties of the embodiment, and based on the current knowledge, it can be easily changed and applied, and immediately without starting from the basic concept. These are shown for their wide application, and therefore these modifications are also included in the main body of the present invention. The claims of this disclosure and equivalent claims also cover these modifications and are intended to be included within the scope and body of the present invention. The terms and expressions used in this disclosure are for purposes of explanation and are not intended to be limiting. Further, although the embodiments have taken up the preferred ones, a skilled person will recognize that the embodiments can be modified and applied while inheriting the intent and scope of the embodiments. .
ある典型的な実施例で、ノードBがノードAを介してデータを伝送する際、ノードAのネットワーク効率を計算する。ここで、送られたパケットの総数が40、受信されたパケット(宛先ホストにおいて)が38、合計所要時間が4ms、破損パケットが2、標準到達時間が5secの場合を考える。この場合、ネットワーク効率は、以下のように計算される。
ネットワーク効率={(38−2)/40}×(4/5)×100=72
そしてノードBはノードAに5*72%=3.6の格付けを与える(標準格付けを5としている)。
In an exemplary embodiment, when node B transmits data via node A, it calculates the network efficiency of node A. Consider the case where the total number of packets sent is 40, the number of received packets (at the destination host) is 38, the total required time is 4 ms, the number of corrupted packets is 2, and the standard arrival time is 5 seconds. In this case, the network efficiency is calculated as follows.
Network efficiency = {(38-2) / 40} × (4/5) × 100 = 72
Node B gives node A a rating of 5 * 72% = 3.6 (standard rating is 5).
同様にして、ノードDとノードCもノードAの格付けを行う。
・ノードB→ノードA=格付け3.6
・ノードC→ノードA=格付け3.5
・ノードD→ノードA=格付け4
・ノードAの近傍ノードによる格付けの平均(3.6+3.5+4)/3=3.70
Similarly, node D and node C also rank node A.
Node B → Node A = Rating 3.6
Node C → Node A = Rating 3.5
Node D → Node A = Rating 4
Average rating by neighboring nodes of node A ( 3.6 + 3.5 + 4) /3=3.70
表4は、段階220に沿って平均値が計算され、信頼性の値が付与される典型的な実施例を示す。ある実施例によれば、表4に示されている比重はユーザのセキュリティのニーズに基づいて設定することができる。ここで、ユーザは比重を手動で設定することができ、また自動的に生成することもできる。
今度は、平均値、及び、この平均値に基づいて信頼性の値が計算される。ある実施例によれば、ノードの信頼性の最高値は手動で設定され、または自動的に生成することができる。
平均値={(12.54+12.54+4.00+11.10)/(3×5+3×5+1×5+3×5)}×100=(40.18/50)×100=80.36
信頼性の値=ノードの信頼性の最高値×平均値=5×80.36=4.018
This time, the average value and the reliability value are calculated based on the average value. According to certain embodiments, the maximum value of node reliability may be set manually or generated automatically.
Average value = {(12.54 + 12.54 + 4.00 + 11.10 ) / (3 × 5 + 3 × 5 + 1 × 5 + 3 × 5)} × 100 = ( 40.18 / 50) × 100 = 80.36
Reliability value = maximum value of node reliability × average value = 5 × 80.36 = 4.018
Claims (7)
評価ユニットと、平均値計算ユニットと、付与ユニットと、前記複数のノードの各ノードにありこれら3つのユニットの設定を行う第1のレポジトリとを有していること;
前記評価ユニットは、ノードに設置され、該ノードの性能指標特性とセキュリティ指標特性を評価すること;
前記平均値計算ユニットは、前記ノードに設置され、前記評価ユニットにより評価された性能指標特性とセキュリティ指標特性を受け取ってそれらの平均値を算定すること;
前記付与ユニットは、前記ノードの性能指標特性とセキュリティ指標特性の平均値を受け取り、前記ノードに性能指標格付けとセキュリティ指標格付けを付与するように設定されていること;
サーバと、前記各ノードと通信するために前記サーバに接続された第1のプロセッサとを有していること;
前記第1のプロセッサは、前記各ノードの前記評価ユニットと前記平均値計算ユニットと前記付与ユニットに動作信号を送ることによりこれら3つのユニットの動作を制御して、前記各ノードに性能指標格付けとセキュリティ指標格付けを提供するとともに、当該格付けを前記サーバに伝送すること;
前記サーバは、前記複数のノードのうちの2つのノードの間で行われるデータ伝送におけるユーザから見たセキュリティのニーズを算定するために、ユーザからのリスク確率閾値を取得する入力モジュールを有していること;
前記サーバは、前記各ノードについての性能履歴、平均性能指数、攻撃履歴、トランザクション損失/失敗履歴および近傍ノード評価を動的に保存するための第2のレポジトリを有していること;
前記サーバは、前記第2のレポジトリに保存された情報を処理することにより、前記各ノードについての現在の信用指標格付けと近傍ノード指標格付けを計算する第2のプロセッサを有していること;
前記サーバは、前記各ノードから性能指標格付けとセキュリティ指標格付けを取得する受信モジュールを有していること;
前記サーバは、前記複数のノードの中に存在するアクティブノードを検知するように設定されたアクティブノード検知モジュールを有していること;
前記サーバは、前記アクティブノード検知モジュールが検知したアクティブノードの間に存在するパスを検知するパス検知モジュールを有していること;
前記サーバは、前記受信モジュールから特定のノードの性能指標格付けとセキュリティ指標格付けを受け取り、且つ、前記第2のプロセッサから信用指標格付けと近傍ノード指標格付けを受け取り、前記通信ネットワークに存在する各アクティブノードの現在の信頼性の値を計算するように設定された第3のプロセッサを持つ信頼指数モジュールを有していること;
前記サーバは、前記各アクティブノードの現在の信頼性の値と現在のアクティブノード間に検知されたパスの集合を受け取り、この集合にあるパス毎に、該パスを構成するアクティブノードの信頼性の値の平均を求めて、パスのリスク確率を計算するように設定された第4のプロセッサを持つリスク検知モジュールを有していること;
前記サーバは、前記入力モジュールから前記リスク確率閾値を取得するとともに、検知された前記各パスの現在のリスク確率を取得して、前記パスの集合からリスク確率が前記リスク確率閾値より低いものを検知するように適合された第5のプロセッサを持つ比較器を有していること;及び
前記サーバは、前記比較器と協働して、リソースの要求が最小となるパスを決定するために、前記第5のプロセッサにより検知されたパスを経由するデータ伝送で必要となるリソースを算定するリソース検知モジュールを有していること;
を特徴とするコンピュータ実装システム。 A computer-implemented system for selecting a secure path for data transmission from one node to another node on a communication network having a plurality of nodes, comprising:
An evaluation unit, an average value calculation unit, a grant unit, and a first repository that is set in each of the plurality of nodes and sets these three units;
The evaluation unit is installed in a node and evaluates performance index characteristics and security index characteristics of the node;
The average value calculation unit is installed in the node, receives performance index characteristics and security index characteristics evaluated by the evaluation unit, and calculates an average value thereof;
The assigning unit is configured to receive an average value of the performance index characteristic and the security index characteristic of the node, and to assign a performance index rating and a security index rating to the node;
Having a server and a first processor connected to the server for communicating with each of the nodes;
The first processor controls the operation of these three units by sending operation signals to the evaluation unit, the average value calculation unit, and the grant unit of each node, and each node has a performance index rating. Providing a security index rating and transmitting the rating to the server;
The server has an input module for obtaining a risk probability threshold from a user in order to calculate a security need seen from the user in data transmission performed between two nodes of the plurality of nodes. Being;
The server has a second repository for dynamically storing performance history, average figure of merit, attack history, transaction loss / failure history and neighborhood node ratings for each node;
The server has a second processor that computes a current credit index rating and a neighbor node index rating for each of the nodes by processing information stored in the second repository;
The server has a receiving module for obtaining a performance index rating and a security index rating from each of the nodes;
The server has an active node detection module configured to detect active nodes present in the plurality of nodes;
The server has a path detection module for detecting a path existing between active nodes detected by the active node detection module;
The server receives a performance index rating and a security index rating of a specific node from the receiving module, and receives a credit index rating and a neighbor node index rating from the second processor, and each active node present in the communication network Having a confidence index module with a third processor configured to calculate a current confidence value of;
The server receives a current reliability value of each active node and a set of paths detected between the current active nodes, and for each path in the set, the reliability of the active nodes constituting the path is received. Having a risk detection module with a fourth processor configured to average the values and calculate the risk probability of the path;
The server obtains the risk probability threshold from the input module, obtains the current risk probability of each detected path, and detects a risk probability lower than the risk probability threshold from the set of paths. Having a comparator with a fifth processor adapted to: and, in cooperation with the comparator, the server to determine the path with the least resource requirement Having a resource detection module for calculating a resource required for data transmission via the path detected by the fifth processor;
A computer-implemented system characterized by
前記性能指標特性は、伝送遅延レート、トランザクション成功対失敗比、応答時間、帯域幅とその時間に応じた調整を含んでいるコンピュータ実装システム。 The computer-implemented system of claim 1,
The computer-implemented system, wherein the performance index characteristic includes transmission delay rate, transaction success to failure ratio, response time, bandwidth and adjustment according to the time.
前記セキュリティ指標特性は、ファイアウォール設定とファイアウォールのセキュリティステータス、インストールされているウイルス対策プログラムとプログラムのステータス、ノードにおいて開放されているポートに接続されているメディアのステータス、関連する入力デバイスとそのスコープを含んでいるコンピュータ実装システム。 The computer-implemented system of claim 1,
The security indicator characteristics include firewall settings and firewall security status, installed antivirus programs and program status, status of media connected to open ports on the node, associated input devices and their scope. Including computer-implemented system.
データが転送されるノード毎に各トランザクションの後に履歴データを取得してこれを前記第2のレポジトリに送信するように設定されている履歴データコレクタをさらに有し、
前記履歴データは、性能履歴、平均性能指数、攻撃履歴、トランザクション損失/失敗履歴を含んでいるコンピュータ実装システム。 The computer-implemented system of claim 1,
Further comprising a history data collector configured to obtain history data after each transaction and send it to the second repository for each node to which data is transferred;
The computer-implemented system, wherein the historical data includes a performance history, an average figure of merit, an attack history, and a transaction loss / failure history.
性能指標特性とセキュリティ指標特性の評価を行うこと;
評価された性能指標特性とセキュリティ指標特性の平均値を算定すること;
性能指標格付けとセキュリティ指標格付けを付与すること;
ネットワークによるデータ伝送におけるセキュリティ要求を設定するリスク確率閾値をユーザデータとして取得すること;
前記複数のノードの各ノードについての性能履歴、平均性能指数、攻撃履歴、トランザクション損失/失敗履歴および近傍ノード評価を動的に保存すること;
性能履歴、平均性能指数、攻撃履歴、トランザクション損失/失敗履歴および近傍ノード評価を処理し、前記各ノードの現在の信用指標格付けと近傍ノード指標格付けを計算すること;
性能指標格付けとセキュリティ指標格付けを取得すること;
前記複数のノードの中に存在するアクティブノードを検知すること;
ネットワークに存在する前記アクティブノードの間にあるパスを検知すること;
性能指標格付けとセキュリティ指標格付けを取得すること、及び、前記各アクティブノードの現在の信頼性の値を計算することによって、信頼性の値を計算すること;
前記各アクティブノードと検知されたパスの集合の現在の信頼性の値を取得すること、及び、パスを構成する前記ノードの信頼性の値の平均値を計算することによって、検知されたパスのリスク確率を計算すること;
検知されたパスのリスク確率閾値と現在のリスク確率を取得すること、及び、リスク確率閾値より低いリスク確率をもつパスを識別することによって、リスク確率の比較を行うこと;及び
前記パスを経由するデータ伝送のために必要なリソースの検知を行うとともに、リソース使用の要求が最低であるパスの識別を行うこと
を特徴とするセキュアパスの選択方法。 A method of selecting a secure path by a computer-implemented system configured to enable data transmission between nodes in a network composed of a plurality of nodes,
Evaluate performance index characteristics and security index characteristics;
Calculating the average value of the evaluated performance index characteristics and security index characteristics;
Assign performance index ratings and security index ratings;
Obtaining as a user data a risk probability threshold that sets security requirements in network data transmission;
Dynamically storing performance history, average performance index, attack history, transaction loss / failure history and neighborhood node evaluation for each node of the plurality of nodes;
Processing the performance history, average performance index, attack history, transaction loss / failure history and neighborhood node evaluation to calculate the current credit indicator rating and neighborhood node indicator rating of each node;
Obtaining performance index ratings and security index ratings;
Detecting an active node present in the plurality of nodes;
Detecting a path between the active nodes present in the network;
Calculating a reliability value by obtaining a performance index rating and a security index rating and calculating a current reliability value for each active node;
Obtaining a current reliability value of each active node and a set of detected paths, and calculating an average value of the reliability values of the nodes constituting the path. Calculating the risk probability;
Performing a risk probability comparison by obtaining a risk probability threshold of the detected path and a current risk probability, and identifying a path having a risk probability lower than the risk probability threshold; and via the path A method for selecting a secure path, characterized by detecting a resource necessary for data transmission and identifying a path having the lowest resource use request.
前記性能指標特性は、伝送遅延レート、トランザクション成功対失敗比、応答時間、帯域幅とその時間に応じた調整を含んでいるセキュアパスの選択方法。 The method of selecting a secure path according to claim 5,
The method of selecting a secure path, wherein the performance index characteristic includes a transmission delay rate, a transaction success to failure ratio, a response time, a bandwidth, and an adjustment according to the time.
前記セキュリティ指標特性は、ファイアウォール設定とファイアウォールのセキュリティステータス、インストールされているウイルス対策プログラムとプログラムのステータス、ノードにおいて開放されているポートに接続されているメディアのステータス、関連する入力デバイスとそのスコープを含んでいるセキュアパスの選択方法。 The method of selecting a secure path according to claim 5,
The security indicator characteristics include firewall settings and firewall security status, installed antivirus programs and program status, status of media connected to open ports on the node, associated input devices and their scope. How to select the included secure path.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN3837/MUM/2014 | 2014-12-01 | ||
IN3837MU2014 | 2014-12-01 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016111664A true JP2016111664A (en) | 2016-06-20 |
JP6495050B2 JP6495050B2 (en) | 2019-04-03 |
Family
ID=56087557
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015039820A Active JP6495050B2 (en) | 2014-12-01 | 2015-03-02 | Computer-implemented system and secure path selection method using network evaluation |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP6495050B2 (en) |
CN (1) | CN105991617B (en) |
CA (1) | CA2887428C (en) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102259732B1 (en) * | 2019-11-28 | 2021-06-02 | 광주과학기술원 | A honeypot deployment method on a network |
DE102020210193B3 (en) | 2020-08-12 | 2021-10-14 | Robert Bosch Gesellschaft mit beschränkter Haftung | Method and system for securing data communication within a network |
CN114943389B (en) * | 2022-07-21 | 2022-11-15 | 中国兵器科学研究院 | Delivery path optimization method and device based on brittleness theory and storage medium |
CN115842681B (en) * | 2023-02-03 | 2023-05-19 | 国网数字科技控股有限公司 | Risk assessment method and related device for public and private interactive power service system |
CN116797267B (en) * | 2023-08-23 | 2023-11-24 | 深空间发展投资控股(湖北)有限公司 | Distributed market data acquisition management system for equity investment |
CN116976759B (en) * | 2023-09-25 | 2023-12-08 | 深圳点筹农业供应链有限公司 | Agricultural data transaction security assessment method based on Internet of things |
CN117473533B (en) * | 2023-11-10 | 2024-05-28 | 上海创芯致锐互联网络有限公司 | Reaction data transmission management system in magnetron sputtering cooling cavity |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005159424A (en) * | 2003-11-20 | 2005-06-16 | Nippon Telegr & Teleph Corp <Ntt> | Communication system |
JP2005210727A (en) * | 2004-01-22 | 2005-08-04 | Lucent Technol Inc | Network architecture which absorbs denial-of-service attack and related method |
JP2009071436A (en) * | 2007-09-11 | 2009-04-02 | Toshiba Corp | Communication path selecting method, and information processing device for relaying |
US20130107768A1 (en) * | 2011-10-27 | 2013-05-02 | Fujitsu Limited | Communication network system, node apparatus, and route selection method for communication network system |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102005023879B3 (en) * | 2005-05-24 | 2006-12-28 | Siemens Ag | Method for evaluating an object in a communication network |
CN101110762A (en) * | 2007-08-22 | 2008-01-23 | 华中科技大学 | Ad hoc network security path method |
CN101404572A (en) * | 2008-11-14 | 2009-04-08 | 西安交通大学 | Network node total trust degree estimation method based on feedback trust aggregation |
CN102158864B (en) * | 2011-04-15 | 2013-07-24 | 北京航空航天大学 | Mobile AD Hoc network self-adapting secure routing method based on reliability |
CN103179001B (en) * | 2013-04-17 | 2015-09-30 | 重庆邮电大学 | A kind of reliability of electric force communication network appraisal procedure based on operating path information |
-
2015
- 2015-03-02 JP JP2015039820A patent/JP6495050B2/en active Active
- 2015-03-04 CN CN201510096474.5A patent/CN105991617B/en active Active
- 2015-04-07 CA CA2887428A patent/CA2887428C/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005159424A (en) * | 2003-11-20 | 2005-06-16 | Nippon Telegr & Teleph Corp <Ntt> | Communication system |
JP2005210727A (en) * | 2004-01-22 | 2005-08-04 | Lucent Technol Inc | Network architecture which absorbs denial-of-service attack and related method |
JP2009071436A (en) * | 2007-09-11 | 2009-04-02 | Toshiba Corp | Communication path selecting method, and information processing device for relaying |
US20130107768A1 (en) * | 2011-10-27 | 2013-05-02 | Fujitsu Limited | Communication network system, node apparatus, and route selection method for communication network system |
Also Published As
Publication number | Publication date |
---|---|
CA2887428C (en) | 2022-07-19 |
CN105991617B (en) | 2020-04-24 |
JP6495050B2 (en) | 2019-04-03 |
CA2887428A1 (en) | 2016-06-01 |
CN105991617A (en) | 2016-10-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6495050B2 (en) | Computer-implemented system and secure path selection method using network evaluation | |
US10187422B2 (en) | Mitigation of computer network attacks | |
ES2841323T3 (en) | A data-driven, intent-based network strategy that uses a lightweight distributed SDN controller to deliver intelligent consumer experiences | |
AU2015255980B2 (en) | System and methods for reducing impact of malicious activity on operations of a wide area network | |
US10708146B2 (en) | Data driven intent based networking approach using a light weight distributed SDN controller for delivering intelligent consumer experience | |
EP2266268B1 (en) | Prioritizing network traffic | |
US9143516B1 (en) | Protecting a network site during adverse network conditions | |
US10819562B2 (en) | Cloud services management systems utilizing in-band communication conveying situational awareness | |
EP3399723B1 (en) | Performing upper layer inspection of a flow based on a sampling rate | |
JP6599819B2 (en) | Packet relay device | |
Ramprasath et al. | Secure access of resources in software‐defined networks using dynamic access control list | |
WO2013185483A1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
WO2016201996A1 (en) | Method of adaptively blocking network attack and device utilizing same | |
CA2983429C (en) | Network security analysis for smart appliances | |
CN112583850A (en) | Network attack protection method, device and system | |
JP2023508302A (en) | Network security protection method and protection device | |
CN117376032A (en) | Security service scheduling method and system, electronic equipment and storage medium | |
JP2008219149A (en) | Traffic control system and traffic control method | |
WO2020157561A1 (en) | Port scan detection | |
US20120110665A1 (en) | Intrusion Detection Within a Distributed Processing System | |
US10616094B2 (en) | Redirecting flow control packets | |
US20100166011A1 (en) | Method, apparatus and system for realizing dynamic correlation of control plane traffic rate | |
KR101351607B1 (en) | Methdo and apparatus for controlling packet transmission between server and a plurality of hosts, the server, and method for receiving packet from the apparatus | |
KR20210066432A (en) | Method for detecting and mitigating interest flooding attack through collaboration between edge routers in Named Data Networking(NDN) | |
Zunnurhain et al. | FAPA: flooding attack protection architecture in a cloud system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180227 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190110 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190306 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6495050 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |