JP2017523701A - 通信ネットワークに接続された作業環境への攻撃を検出する方法 - Google Patents

通信ネットワークに接続された作業環境への攻撃を検出する方法 Download PDF

Info

Publication number
JP2017523701A
JP2017523701A JP2017501377A JP2017501377A JP2017523701A JP 2017523701 A JP2017523701 A JP 2017523701A JP 2017501377 A JP2017501377 A JP 2017501377A JP 2017501377 A JP2017501377 A JP 2017501377A JP 2017523701 A JP2017523701 A JP 2017523701A
Authority
JP
Japan
Prior art keywords
network
network traffic
attack
registered
work environment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017501377A
Other languages
English (en)
Other versions
JP6833672B2 (ja
Inventor
オクセ,マルコ
Original Assignee
ドイッチェ テレコム アーゲー
ドイッチェ テレコム アーゲー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ドイッチェ テレコム アーゲー, ドイッチェ テレコム アーゲー filed Critical ドイッチェ テレコム アーゲー
Publication of JP2017523701A publication Critical patent/JP2017523701A/ja
Application granted granted Critical
Publication of JP6833672B2 publication Critical patent/JP6833672B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

発明は、通信ネットワーク(115)に接続された作業環境(101)への攻撃を検出する方法(600)であって、以下の、通信ネットワーク(115)に接続されたネットワークセキュリティ要素(103)によって作業環境(101)を電子的に模擬するステップ(601)、ネットワークセキュリティ要素(103)においてネットワークトラフィック(202)を記録するステップ(602)、記録されたネットワークトラフィック(202)を所定のネットワークトラフィック(204)と比較するステップ(603)、及び記録されたネットワークトラフィック(202)と所定のネットワークトラフィック(204)の間に乖離がある場合に第1の攻撃警告信号(110)をトリガするステップ(604)を備える方法(600)に関する。【選択図】図1

Description

本発明は、通信ネットワークに接続された作業環境への攻撃を検出する方法に関し、作業環境及びこのタイプの攻撃を識別するネットワークセキュリティ要素を備えるネットワークセキュリティシステムに関する。
攻撃者の関心事となるような機密のデータは、職場のコンピュータシステム又は企業の作業環境若しくは職場環境に格納されることが多い。企業のコンピュータネットワークへの有害なプログラムの流入の結果として、又は例えば企業の役員又は公の重要人物といった都合の良い人々の作業環境へのスパイ行為の結果として、多くの場合、企業機密の盗難は認識されないままとなる。この場合、特定の使用に対して個別に作られた自己展開型の有害なプログラムが、そのような攻撃に使用されることがあり、市場で入手可能なウィルス対策製品によっては検出されず、又はそのような製品によっては非常に遅くにしか検出されないことになる。潜在的な危険にある企業内の人々は、もちろんデジタルスパイ攻撃の潜在的な犠牲者であることを自覚し得るが、場所、時刻及び形式のような正確な状況は、通常は把握されない。
したがって、本発明の課題は、コンピュータネットワークにおける、特にコンピュータネットワークの職場コンピュータシステムに対する攻撃を検出することである。
この課題は、独立請求項の構成によって達成される。有利な展開は、従属請求項の主題である。
以降に示す方法及びシステムは、作業環境の保護のために使用され得る。この場合での作業環境は、個々のユーザ又は個々のユーザグループに対して設計されたコンピュータネットワークにおけるコンピュータシステムをいう。例示として、企業の従業員は、彼らの仕事関連の義務を実行するために作業環境を使用し得る。作業環境は、1以上の職場コンピュータ、例えば、PC、ワークステーション、ノートパソコン、PDA及び/又はスマートフォンを備え、これらは通信ネットワークに接続される。通信ネットワークは、例えばイーサネット(登録商標)、USB又はケーブルなどが使用される有線ネットワークであればよい。通信ネットワークは、例えばWLAN、WiFi、Bluetooth(登録商標)、赤外線、又はLTE、UMTS、GSM(登録商標)などのようなモバイル通信標準が使用される無線ネットワークであればよい。
以降に示す方法及びシステムは、ボットネットからの攻撃、特にDDoS攻撃、スパム攻撃、スニッフィング攻撃、フィッシング攻撃、マルウェア拡散、キーロギング、無用なソフトウェアのインストール、アイデンティティ盗難、コンピュータネットワークの操作などから、コンピュータネットワーク、特に、コンピュータネットワークにおける作業環境を保護するのに使用され得る。
以降に示す方法及びシステムは、情報技術(IT)の分野において使用され得る。情報技術は、情報及びデータ処理並びにこの目的に必要なハードウェア及びソフトウェアについての一般用語である。企業の情報技術は、情報を生成、処理及び転送するためのすべての技術的装備を備える。
以降に示す方法及びシステムは、異なるタイプのものとなり得る。記載する個々の要素は、ハードウェア又はソフトウェア構成要素、例えば電子構成要素によって提供されることができ、これらは種々の技術によって生産され、例えば、半導体チップ、ASIC、マイクロプロセッサ、デジタル信号プロセッサ、集積電気回路、電気−光回路及び/又は受動部品を備える。
発明が基づく基本的コンセプトは、ハニーポットコンセプトに応じて攻撃者の標的対象に基づいて、すなわち、攻撃者に対して価値のある特定の作業環境を模擬するネットワークセキュリティ要素に基づいて、潜在的又は切迫した攻撃を検出することである。攻撃者は、この模擬された作業環境へのアクセスを試みるが、これにより、システムは攻撃者によって実行されたその行動を記録することができ、これに基づいて攻撃又は攻撃者の特徴が確立され得る。これらの特徴によって同様の攻撃を検出及び/又は阻止することができる。
第1の態様によると、発明は、通信ネットワークに接続された作業環境への攻撃を検出する方法に関し、その方法は、通信ネットワークに接続されたネットワークセキュリティ要素によって作業環境を電子的に模擬するステップ、ネットワークセキュリティ要素においてネットワークトラフィックを登録するステップ、登録されたネットワークトラフィックを所定のネットワークトラフィックと比較するステップ、及び登録されたネットワークトラフィックと所定のネットワークトラフィックの間に乖離がある場合に第1の攻撃警告信号をトリガするステップを備える。
そのような方法の効果は、ネットワークセキュリティ要素による作業環境の模擬の結果として、攻撃者が彼の攻撃をネットワークセキュリティ要素に向けるようにそそのかされるので現実の作業環境が保護されることである。したがって、ネットワークセキュリティ要素におけるネットワークトラフィックを登録及び解析することができる。所定のネットワークトラフィックとの比較は、攻撃を示す不規則性を識別するための単純な可能性を与える。したがって、そのような方法の効果は、現実の職場環境に対する予防効果であり、職場環境への攻撃を検出してその攻撃に対して警告するときに迅速に対応する能力である。
一実施形態によると、ネットワークトラフィックを登録するステップは、ネットワークセキュリティ要素へのアクセスレートを登録するステップを備え、登録されたネットワークトラフィックを所定のネットワークトラフィックと比較するステップは、登録されたアクセスレートを所定のアクセスレートと比較するステップを備える。
その効果は、例えば、所定のアクセスレートが、作業環境の標準的ユーザの挙動を統計的に解析することによって容易に特定可能となることである。作業環境又はネットワークセキュリティ要素への攻撃があった場合、それによりアクセスレートが急増し、それを容易にかつ高い信頼性で特定することができる。
一実施形態によると、作業環境を電子的に模擬するステップは、作業環境にインストールされたものと同じソフトウェアの少なくとも部分を備える保護されていない作業環境を模擬するステップを備える。
これは、攻撃者がその後ネットワークセキュリティ要素において同じソフトウェアを発見し、これは彼が対象とする職場環境であると信じてしまうという効果を有する。したがって、攻撃者は、これが現実の職場環境であるとの確信の下にネットワークセキュリティ要素を探究する挙動をとることになる。
一実施形態によると、作業環境は保護されており、電子的に模擬するステップは保護されていない作業環境を模擬するステップを含む。
これは、保護されていない作業環境の模擬が、保護されている作業環境から逸れ、攻撃者を引き付けることができるという効果を有する。
一実施形態によると、ネットワーク接続要素は作業環境と通信ネットワークの間に介在し、ネットワーク監視要素はネットワーク接続要素に接続され、上記方法はネットワーク接続要素におけるネットワークトラフィックをネットワーク監視要素に複製するステップをさらに備える。
これは、作業環境に対する全ネットワークトラフィックがネットワーク接続要素を通過し、それが容易に複製され、更なる解析のためにネットワーク監視要素に供給され得るという効果を有する。したがって、作業環境に向けられた攻撃者のすべての挙動をネットワーク監視要素によって登録することができる。
一実施形態によると、上記方法は、ネットワーク監視要素によってネットワーク接続要素においてネットワークトラフィックを登録するステップ、及びネットワーク接続要素において登録されたネットワークトラフィックに異常が識別された場合に第2の攻撃警告信号をトリガするステップを備える。
これは、第2の攻撃警告信号が第1の攻撃警告信号とは独立して生成されるので攻撃がより高い信頼性で検出されるという効果を有する。第1の攻撃警告信号はネットワークセキュリティ要素における職場ベースのネットワークトラフィックと所定のネットワークトラフィック、すなわち基準ネットワークトラフィックとの比較に基づく一方で、第2の攻撃警告信号はネットワーク接続要素のネットワークトラフィック、すなわち上位のネットワークトラフィックにおける異常の識別に基づく。
一実施形態によると、異常の識別は、登録されたネットワークトラフィックにおける異常検索動作の検出に基づく。
これは、異常検索動作の検出は進行中又は切迫した攻撃を高い信頼性で示すという効果を有する。コンピュータネットワークの複数のコンピュータから、例えば、機能しないソフトウェアの更新の際、プロセッサが過負荷となった場合、ソフトウェアの更新が未だ実行されていない場合、パスワードが正しく入力されなかった場合、インターネットへのアクセスが一時的にできなくなった場合、特定のデータへのアクセスができない場合など、多数の警告アラートが連続的に発生する。これらの警告アラートは、動作中により高い頻繁又はより低い頻繁で発生して修復されるためにユーザによる相互作用を必要とするコンピュータネットワークの具体的な異常によってもたらされる。これに対して、異常検索動作は、システムの通常の機能ではない。それらは、重大なものとして評価されてコンピュータの誤使用を示すものである。このようにして検出される異常検索動作に基づいて攻撃を高い信頼性で検出することができる。
一実施形態によると、上記方法は、異常が識別された場合にネットワーク接続要素において登録されたネットワークトラフィックをリアルタイムで記録するステップを備える。
これは、異常は切迫した攻撃を示すという前提で、攻撃者の挙動が直ちに記録及び解析可能となるという効果を有する。セキュリティシステムは、即座に行動をとることができ、応答時間は非常に短い。
一実施形態によると、上記方法は、第1の攻撃警告信号及び第2の攻撃警告信号に基づいて警告アラートを生成するステップを備える。
これは、相互に独立した2つの特定の攻撃警告信号、具体的には第1の攻撃警告信号及び第2の攻撃警告信号に基づく場合に警告アラートの信頼性が特に高くなるという効果を有する。
一実施形態によると、警告アラートの生成は、通信ネットワークの更なる作業環境からの更なる攻撃警告信号にも基づく。
警告アラートの生成が通信ネットワークの更なる作業環境からの更なる攻撃警告信号にも基づく場合、更なる情報が用いられるので、警告アラートの信頼性がより高くなる。
一実施形態によると、上記方法はまた、第1の攻撃警告信号がトリガされる場合にログサーバによってネットワークセキュリティ要素における登録されたネットワークトラフィックのログを取るステップ、及び第2の攻撃警告信号がトリガされる場合にログサーバによってネットワーク接続要素における登録されたネットワークトラフィックのログを取るステップを備える。
これは、2つのネットワーク要素において登録されたネットワークトラフィックのログを取る場合に更なる解析が入手可能となるという効果を有する。それにより、攻撃パターンの解析がより高精度に実行可能となり、将来の攻撃に関して、より信頼性の高い予測が可能となる。
一実施形態によると、上記方法は、ネットワークセキュリティ要素においてログ取りされたネットワークトラフィック及びネットワーク接続要素においてログ取りされたネットワークトラフィックに基づいて攻撃の特徴的特性を検出するステップを備える。
これは、同じ攻撃特徴に基づく更なる攻撃を検出するために、攻撃の特徴的特性を容易にかつ大きな支出なしに用いることができるという効果を有する。
第2の態様によると、発明は、通信ネットワーク115への接続を確立するように設計されたネットワーク接続要素105、及びネットワーク接続要素105に接続されたネットワークセキュリティシステム103を備えたネットワークセキュリティシステムに関し、少なくとも1つの作業環境101を通信ネットワーク115に接続するために少なくとも1つの作業環境101をネットワーク接続要素105に接続することができ、ネットワークセキュリティ要素103は、少なくとも1つの職場環境101の模擬に基づいて少なくとも1つの職場環境101への攻撃を検出するように設計される。
そのようなネットワークセキュリティシステムの効果は、ネットワークセキュリティ要素による職場環境の模擬の結果として、攻撃者はネットワークセキュリティ要素に彼の攻撃を向けるようにそそのかされるので現実の職場環境が保護されることである。したがって、ネットワークセキュリティ要素におけるネットワークトラフィックを登録及び解析することができる。したがって、そのようなネットワークセキュリティシステムの効果は、現実の職場環境に対する予防効果であり、職場環境への攻撃を検出することに関して迅速に対応する能力である。
一実施形態によると、ネットワークセキュリティ要素は、以下の、少なくとも1つの作業環境を電子的に模擬するように設計されたエミュレータ、ネットワークセキュリティ要素においてネットワークトラフィックを登録するように設計された登録部、及び登録されたネットワークトラフィックを所定のネットワークトラフィックと比較し、登録されたネットワークトラフィックと所定のネットワークトラフィックの間に乖離がある場合に第1の攻撃警告信号をトリガするように設計された攻撃警告部を備える。
そのようなネットワークセキュリティシステムの効果は、登録されたネットワークトラフィックと所定のネットワークトラフィックとの比較が、攻撃を示す不規則性を識別するための単純かつ信頼性の高い確率を与えることである。第1の攻撃警告信号は、ユーザが攻撃によって驚かされずに、又は適切な予防的措置をとるのに充分な時間があるように充分に早く攻撃を把握するように、早めにトリガされ得る。
一実施形態によると、ネットワークセキュリティシステムは、ネットワーク接続要素に接続されたネットワーク監視要素を備え、ネットワーク監視要素が、ネットワーク接続要素においてネットワークトラフィックを登録し、ネットワーク接続要素において登録されたネットワークトラフィックに異常が識別された場合に第2の攻撃警告信号をトリガするように設計される。
これは、第2の攻撃警告信号が第1の攻撃警告信号とは独立して生成されるので攻撃がより高い信頼性で検出されるという効果を有する。第1の攻撃警告信号はネットワークセキュリティ要素における職場ベースのネットワークトラフィックと所定のネットワークトラフィック、すなわち基準ネットワークトラフィックとの比較に基づく一方で、第2の攻撃警告信号はネットワーク接続要素のネットワークトラフィック、すなわち上位のネットワークトラフィックにおける異常の識別に基づく。
一実施形態によると、ネットワークセキュリティシステムは、第1の攻撃警告信号及び第2の攻撃警告信号に基づいて警告アラートを生成し、ネットワークセキュリティ要素における登録されたネットワークトラフィックのログを取るとともにネットワーク接続要素における登録されたネットワークトラフィックのログを取り、ログ取りされたネットワークトラフィックに基づいて攻撃の特徴的特性を検出するように設計されたログサーバを備える。
これは、2つのネットワーク要素において登録されたネットワークトラフィックのログを取る場合に更なる解析が入手可能となるという効果を有する。それにより、攻撃パターンの解析がより高精度に行うことができ、将来の攻撃に関して、より信頼性の高い予測を行うことができる。またさらに、同じ攻撃特徴に基づく更なる攻撃を検出するために、攻撃の特徴的特性を、容易にかつ大きな支出なしに用いることができる。
更なる実施形態を、添付図面を参照して説明する。
図1は、一実施形態によるネットワークセキュリティシステム100の概略図である。 図2は、一実施形態によるネットワークセキュリティ要素103の概略図である。 図3は、一実施形態によるネットワーク監視要素107の概略図である。 図4は、一実施形態によるログサーバ109の概略図である。 図5は、一実施形態による、作業環境への攻撃を検出する方法500の概略図である。 図6は、更なる実施形態による、作業環境への攻撃を検出する方法600の概略図である。
以下の詳細な説明では、添付図面に参照がなされ、それは当該説明の一部を形成し、発明が実施され得る具体的な実施形態が例示として示される。本発明の概念から逸脱することなく他の実施形態も使用され得ること及び構造的又は論理的変形がなされ得ることは言うまでもない。したがって、以下の詳細な説明は、限定的な意味で捉えられるべきではない。特に断りがない限り、ここに記載する種々の実施形態の構成が相互に組合せ可能であることも言うまでもない。
態様及び実施形態が図面を参照して記載され、同様の符号は概略として同様の要素に関する。説明を与える目的のため、発明の1以上の態様の完全な理解を与えるために多数の具体的詳細事項を以下の説明で提示する。ただし、1以上の態様又は実施形態がより少ない具体的詳細事項で実施され得ることは当業者には明らかとなる。他の場合では、1以上の態様又は実施形態の説明を促進するために、周知の構造物及び要素を概略的形式で示す。本発明の概念から逸脱することなく、他の実施形態が使用され、構造的又は論理的変形がなされ得ることは言うまでもない。
実施形態の具体的構成又は具体的態様が多数の実施例の1つのみに関して開示されているが、このタイプの構成又はこのタイプの態様は、所与又は具体的なアプリケーションに対して所望及び有利なものとなるように、他の実施例の1以上の他の構成又は態様とさらに組み合わせられてもよい。またさらに、用語「contain」、「have」、「with」又はその活用形が詳細な説明又は特許請求の範囲において使用される限りにおいては、そのような用語は、用語「comprise」と同様の意味において包括的なものとして理解されるべきである。用語「coupled」及び「connected」は、その派生語とともに使用され得る。そのような用語は、2つの要素が、それらが相互に物理的又は電気的に直接接触しているか又は相互に直接接触していないかにかかわらず相互に協働又は相互作用することを特定するために用いられることは言うまでもない。さらに、用語「例として」は、最良又は最適なシナリオを示すことの代わりに単に一例として解釈されるべきである。したがって、以下の説明は、限定的な意味で解釈されるものではない。
図1は、一実施形態によるネットワークセキュリティシステム100の概略図である。
ネットワークセキュリティシステム100は、通信ネットワーク115への接続を確立するのに使用されるネットワーク接続要素105、及びネットワーク接続要素105に接続されたネットワークセキュリティ要素103も備える。少なくとも1つの作業環境101は、少なくとも1つの作業環境101を通信ネットワーク115に接続するために、ネットワーク接続要素105に接続可能であり、又はネットワーク接続要素105に接続され得る。
ネットワーク接続要素105は、作業環境101、ネットワークセキュリティ要素103及びネットワーク監視要素107を通信ネットワーク115に接続することができる。ネットワーク接続要素105は、例えば、スイッチ、ゲートウェイ又はルータであればよく、それは種々のネットワーク要素をスイッチ、ゲートウェイ又はルータに種々のポートを介して接続することができ、これに応じてそのネットワーク要素をルーティングすることができる。ルーティングのタイプは、対応するルータプロトコル若しくはゲートウェイプロトコル又はスイッチ設定を介して構成され得る。
ネットワークセキュリティ要素は、少なくとも1つの職場環境101の模擬に基づいて少なくとも1つの職場環境101への攻撃を検出するのに使用される。この場合、単一の職場環境101、又は多数の異なるそのような職場環境101が関与し得る。
ネットワークセキュリティ要素103は、図2についてより詳細を以下に示すように構成され得る。ネットワークセキュリティ要素103は、エミュレータ201、登録部203及び攻撃警告部205を備え得る。少なくとも1つの作業環境101が、エミュレータ201を用いて電子的に模擬され得る。ネットワークセキュリティ要素103におけるネットワークトラフィック202は、登録部203を用いて登録され得る。登録されたネットワークトラフィック202は、攻撃警告部205を用いて所定のネットワークトラフィック204と比較され、登録されたネットワークトラフィック202と所定のネットワークトラフィック204の間に乖離がある場合に第1の攻撃警告信号110がトリガされ得る。
作業環境101は、個々のユーザ又は個々のユーザグループに対して設計されたコンピュータネットワークにおけるコンピュータシステムであればよい。例として、作業環境は、企業の従業員に対して、その従業員が彼らの仕事関連の義務をその作業環境で実行することができるように割り当てられるものとする。作業環境は、1以上の職場環境コンピュータ、例えば、PC、ワークステーション、ノートパソコン、PDA、スマートフォン又は他のタイプのコンピュータ若しくはプロセッサを備え得る。通信ネットワーク115は、有線ネットワーク、例えば、イーサネット(登録商標)、USB又はケーブルネットワークであればよい。通信ネットワーク115は、無線ネットワーク、例えば、WLAN、WiFi、Bluetooth(登録商標)、赤外線ネットワーク、又はLTE、UMTS、GSM(登録商標)などのようなモバイル通信標準の通信ネットワークであればよい。
ネットワークセキュリティシステム100はまた、ネットワーク監視要素107を備え得る。ネットワーク監視要素107は、図3についてより詳細を以下に示すように構成され得る。ネットワーク監視要素107は、ネットワーク接続要素105においてネットワークトラフィック302を登録し、ネットワーク接続要素105において登録されたネットワークトラフィック302に異常304が識別された場合に第2の攻撃警告信号112をトリガするのに使用され得る。
ネットワークセキュリティシステム100はまたログサーバ109を備え、それは例として図4についてより詳細を以下に示すように構成され得る。ログサーバ109は、第1の攻撃警告信号110及び第2の攻撃警告信号112に基づいて警告アラート114を生成することができる。ログサーバ109は、ネットワークセキュリティ要素103における登録されたネットワークトラフィック202及びネットワーク接続要素105における登録されたネットワークトラフィック302のログを取ることができ、ログ取りされたネットワークトラフィック402に基づく攻撃の特徴的特性404を検出することができる。
ネットワークセキュリティ要素103による職場環境101の模擬の結果として、攻撃者113が彼の攻撃をネットワークセキュリティ要素103に向けるようにそそのかされて、現実の職場環境101が保護されるようにすべきである。ネットワークセキュリティ要素103におけるネットワークトラフィックは、そのネットワークセキュリティ要素によって効率的に登録及び解析され得る。したがって、現実の職場環境101に対する予防効果が得られる。ネットワークセキュリティ要素103は高速なプロセッサで装備され、それによってネットワークセキュリティ要素103が職場環境101への攻撃を非常に速く検出することができる。
攻撃を検出する方法は、この場合には以下のように進む。
1.(内部)攻撃者113が攻撃可能な標的についてネットワーク115を調べる;
2.職場又は作業環境101は保護されている;
3.ネットワークセキュリティ要素103は、保護されていない職場を模擬して攻撃者113の注意を引く;
4a.攻撃者113は、対象となるネットワーク領域、すなわちネットワークセキュリティ要素103において攻撃可能な標的を(3)において見つける;
4b.ネットワーク監視要素107は、リアルタイムでネットワークトラフィックにおける異常検索動作を検出し、これらを一元的に通信する;
4c.ログサーバ109は、異常検索動作に関する入来通信のログを取る;
5a.攻撃者は(3)において侵入の試みを開始し、すなわち、ネットワークセキュリティ要素103に侵入することを試みる;
5b.ネットワークセキュリティ要素103は、侵入の試みを検出し、リアルタイムで攻撃者113の入力を記録し、これらを一元的に通信し;ネットワーク監視要素107は、ネットワークトラフィックにおける攻撃の特性を検出してこれらを一元的に通信し;ログサーバ109は、攻撃の特性に関して入来通信のログを取る;
6.ログサーバ109は、(5b)からの通信、すなわちネットワークセキュリティ要素103及びネットワーク監視要素107からの通信を照合し、警告レポートを生成する;
7.適切な措置を開始するために、セキュリティアナリストが解析装置111において警告レポートを解析する。
図2は、一実施形態によるネットワークセキュリティ要素103の概略図である。
ネットワークセキュリティ要素103は、エミュレータ201、登録部203及び攻撃警告部205を備える。図1において上述した作業環境101は、エミュレータ201を用いて電子的に模擬されることができ、すなわち、エミュレータ201は模擬された作業環境101aを生成又は模擬することができる。エミュレータ201は、例えば、作業環境101にインストールされたものと同じソフトウェアの少なくとも部分をネットワークセキュリティ要素103にインストールすることができる。そして、攻撃者113は、ネットワークセキュリティ要素103上の同じソフトウェアを見つけ、これが彼の対象とする職場環境101であると信じる。したがって、攻撃者に彼の攻撃活動を継続させるために、攻撃者113を欺いてネットワークセキュリティ要素103を現実の作業環境101であると思い込ませ、これにより彼の追跡が継続可能となる。したがって、攻撃者113は、これが現実の職場環境101であるとの確信の下に、ネットワークセキュリティ要素103を探究することに自身の活動を向ける。
ネットワークセキュリティ要素103におけるネットワークトラフィック202は、登録部203を用いて登録され得る。登録されたネットワークトラフィック202は攻撃警告部205を用いて所定のネットワークトラフィック204と比較され、登録されたネットワークトラフィック202と所定のネットワークトラフィック204との間に乖離がある場合に第1の攻撃警告信号110がトリガ可能となる。例として、ネットワークセキュリティ要素103におけるネットワークトラフィック202の登録は、ネットワークセキュリティ要素103へのアクセスレートを登録することによって実施され得る。そのようにして登録されたアクセスレートは、所定のアクセスレートと比較され得る。
所定のアクセスレートは、例えば、作業環境101の標準的ユーザの挙動を統計的に解析することによって容易に特定され得る。作業環境101又はネットワークセキュリティ要素103において攻撃があった場合、それによってアクセスレートが急増するので、これを容易にかつ高い信頼性で特定することができる。
図3は、一実施形態によるネットワーク監視要素107の概略図である。
ネットワーク監視要素107はネットワーク接続要素105に接続され、ネットワーク接続要素105におけるネットワークトラフィック302を登録することができる。作業環境101から及び作業環境101への全ネットワークトラフィックがネットワーク接続要素105を通過し、そこからそれが容易に複製され、更なる解析のためにネットワーク監視要素107に供給され得る。したがって、作業環境101に向けられた攻撃者113のすべての挙動をネットワーク監視要素107によって登録することができる。
ネットワーク接続要素105において登録されたネットワークトラフィック302において異常304が識別された場合、ネットワーク監視要素が第2の攻撃警告信号112をトリガすることができる。したがって、第2の攻撃警告信号112は、第1の攻撃警告信号110とは独立して生成され、これにより攻撃がより高い信頼性で検出され得る。第1の攻撃警告信号110がネットワークセキュリティ要素における職場ベースのネットワークトラフィックと所定のネットワークトラフィック、すなわち基準ネットワークトラフィックとの比較に基づく一方で、第2の攻撃警告信号112はネットワーク接続要素におけるネットワークトラフィック、すなわち上位のネットワークトラフィックにおける異常の識別に基づくことができる。
異常304の識別は、登録されたネットワークトラフィック302における異常検索動作の検出によって実施され得る。異常検索動作の検出は、進行中又は切迫した攻撃を高い信頼性で示すことができる。コンピュータネットワークの複数のコンピュータから、例えば、機能しないソフトウェアの更新の際、プロセッサが過負荷となった場合、ソフトウェアの更新が未だ実行されていない場合、パスワードが正しく入力されなかった場合、インターネットへのアクセスが一時的にできなくなった場合、特定のデータへのアクセスができない場合など、多数の警告アラートが連続的に発生する。これらの警告アラートは、動作中により高い頻繁又はより低い頻繁で発生し、修復されるためにユーザによる相互作用を通常は必要とするコンピュータネットワークの特定の異常によってもたらされる。これに対して、異常検索動作は、システムの通常の機能ではない。それらは、重大なものとして評価されるべきものであり、コンピュータの誤使用を示すものである。このように検出される異常検索動作に基づいて攻撃を高い信頼性で検出することができる。
ネットワーク監視要素107は、登録部、例えばメモリを備えることができ、それによってネットワーク接続要素105におけるネットワークトラフィック302を登録することができる。ネットワーク監視要素107は、例えば相関法を適用することによって、ネットワーク接続要素105において登録されたネットワークトラフィック302における異常304を識別するために、検出部、例えばデータ相関器を備えることができる。ネットワーク監視要素107は警告部を備えることができ、それにより、異常304が識別された場合に攻撃警告信号112を生成することができる。ネットワーク監視要素107は通信インターフェースを備えることができ、それを介して攻撃警告信号112が、ネットワークセキュリティシステム100における更なる構成要素に、例えば図1に示すようにネットワーク接続要素105及び通信ネットワーク115を介してログサーバ109及び/若しくは解析装置111に、又は図1に不図示であるが通信ネットワーク115を迂回する独立したインターフェースを介してログサーバ109及び/若しくは解析装置111に転送され得る。
図4は、一実施形態によるログサーバ109の概略図である。
ログサーバ109は、第1の攻撃警告信号110及び第2の攻撃警告信号112に基づいて警告アラート114を生成することができる。ログサーバ109は、ネットワークセキュリティ要素103における登録されたネットワークトラフィック202及びネットワーク接続要素105における登録されたネットワークトラフィック302のログを、例えばログメモリに取ることができ、ログ取りされたネットワークトラフィック402に基づいて攻撃の特徴的特性404を検出することができる。
2つのネットワーク要素103及び105において登録されたネットワークトラフィック202及び302のログを取ることによって、これが更なる解析のために利用可能となる。したがって、攻撃パターンの解析をより高い精度で実行することができ、将来の攻撃に対してより高い信頼性での予測を行うことができる。容易にかつ大きな支出なしに、同じ攻撃特徴に基づく更なる攻撃を検出するために、ログサーバ109によって検出された攻撃の特徴的特性を用いることができる。
ログサーバ109によって記録されたログ及びログサーバ109によって確立された攻撃の特徴的特性404は、図1に示すように、解析装置111に利用可能となる。
解析装置111は、例えば、SIEM(セキュリティ情報及びイベント管理)システムであればよい。解析装置111は、例として、セキュリティ情報管理(SIM)をセキュリティイベント管理(SEM)と組み合わせることができ、セキュリティアラームのリアルタイム解析を実行することができる。セキュリティ関連データを記録するために、及びコンプライアンス用途のためのレポートを生成するために、解析装置111及び/又はログサーバ109を用いることができる。
図5は、一実施形態による、作業環境への攻撃を検出するための方法500の概略図である。
方法500は、第1の方法ステップ501において、ネットワーク接続要素、例えば図1に関する説明によるネットワーク接続要素105を構成するステップを備えることができる。保護された職場システムはネットワーク接続要素105、例えば図1の記載による職場システム101に接続されることができ、それが攻撃者113の関心の対象となり得る。ネットワーク接続要素105の構成は、すべての「トラフィック」、すなわちネットワークトラフィックが、ネットワーク監視要素、例えば図1の記載によるネットワーク監視要素107が接続されるポートに複製されるようにすることができる。
代替的に、方法500は、構成されたネットワーク接続要素で実行されるようにしてもよい。
方法500は、第2の方法ステップ502において、職場システム、例えばネットワークセキュリティ要素103によって図1に関する説明による作業環境101を模擬するステップを備えることができる。保護されていない職場システムの模擬は、保護された職場システムから逸れ、そして攻撃者の注意を引き付けることが意図されている。
方法500は、第3の方法ステップ503において、例えば図1において詳細に説明したように、ネットワーク監視要素107を用いて、入来及び出力ネットワークトラフィックをチェックするステップを備え得る。ネットワーク監視要素107は、疑わしいパターンについてネットワーク接続要素105への/ネットワーク接続要素105からの入来及び出力ネットワークトラフィックを検査することができる。
ネットワークトラフィックが暗号化されている場合、単に接続からのネットワーク及びログデータが解析に利用可能となる。そして、接続の基礎を形成するキー情報がネットワーク監視要素107に利用可能である場合、送信によって暗号化されたデータアイテムのコンテンツがさらに解析され得る。
方法500は、第4の方法ステップ504において、警告レポートの解析及び作成を含むことができる。ネットワークセキュリティ要素103によって侵入の試みが検出された場合、攻撃者の入力のログが取られ、一元的に登録され得る。ネットワーク監視要素107によって疑わしいパターンが発見された場合、図1及び4に記載するように、アラームが生成されて統合のための中央システム、例えばログサーバ109に転送され得る。
ネットワーク監視要素107での保護されていない職場の模擬と一元的なログ取りとを組み合わせることによって、一元的に事象を因果関係に至らせ、攻撃者に関する結論を引き出すことができるようになる。
他のネットワークエリアからの通信は、同じ構造によって一元的に収集され得る。この形式で取得可能なデータが多いほど、実行された攻撃に関する結論の質は高まり、すなわち、誤った結論が減少し得る。
方法500は、第5の方法ステップ505において、セキュリティアナリストによる適切な措置を開始するステップを備えることができる。セキュリティアナリストは、例えば、eメール、SMS、アプリなどの形態で自動化された態様で警告アラートを取得することができ、それに対する適切な措置を開始することができる。
図6は、更なる実施形態による、通信ネットワーク115に接続された作業環境、例えば図1に示した作業環境101への攻撃を検出する方法600の概略図である。
方法600は、通信ネットワーク115に接続されたネットワークセキュリティ要素、例えば図1に示すようなネットワークセキュリティ要素103によって作業環境101を電子的に模擬するステップ601を備える。方法600は、ネットワークセキュリティ要素103においてネットワークトラフィック202を登録するステップ602を備える。方法600は、登録されたネットワークトラフィック202を所定のネットワークトラフィック204と比較するステップ603を備える。方法600は、例えば図1及び2に関する説明によると、登録されたネットワークトラフィック202と所定のネットワークトラフィック204の間の乖離がある場合に第1の攻撃警告信号110をトリガするステップ604を備える。
ネットワークトラフィックの登録ステップ602は、ネットワークセキュリティ要素103へのアクセスレートを登録するステップを備え得る。登録されたネットワークトラフィック202と所定のネットワークトラフィック204との比較ステップ603は、登録されたアクセスレートを所定のアクセスレートと比較するステップを含み得る。
作業環境101の電子的模擬ステップ601は、作業環境101にインストールされたものと同じソフトウェアの少なくとも部分を備える保護されていない作業環境101aを模擬するステップを備え得る。
ネットワーク接続要素105は、例えば図1の記載による作業環境101と通信ネットワーク115の間に介在していればよく、ネットワーク監視要素107はネットワーク接続要素105に接続され得る。方法600は、ネットワーク接続要素105におけるネットワークトラフィックをネットワーク監視要素107に複製するステップを備え得る。
方法600はまた、ネットワーク監視要素107によってネットワーク接続要素105におけるネットワークトラフィック302を登録するステップ、及びネットワーク接続要素105において登録されたネットワークトラフィック302に、例えば図3に関する説明による、異常304が識別された場合に第2の攻撃警告信号112をトリガするステップを備え得る。異常304の識別は、登録されたネットワークトラフィック302において異常検索動作の検出に基づいていればよい。
方法600はまた、異常304が識別される場合にネットワーク接続要素105において登録されたネットワークトラフィック302をリアルタイムで記録するステップを備え得る。方法600は、例えば図1〜3に関する説明によると、第1の攻撃警告信号110及び第2の攻撃警告信号112に基づいて警告アラート114を生成するステップを備え得る。警告アラート114の生成はまた、通信ネットワーク115の更なる作業環境からの更なる攻撃警告信号に基づいていてもよい。
方法600はまた、例えば図1及び4に関連する説明によると、第1の攻撃警告信号110がトリガされると、ログサーバ109によってネットワークセキュリティ要素103における登録されたネットワークトラフィック202のログを取るステップを備え得る。方法600は、例えば図1及び4に関連する説明によると、第2の攻撃警告信号112がトリガされると、ログサーバ109によってネットワーク接続要素105における登録されたネットワークトラフィック302のログを取るステップを備え得る。方法600はまた、ネットワークセキュリティ要素103におけるログ取りされたネットワークトラフィック202及びネットワーク接続要素105におけるログ取りされたネットワークトラフィック302に基づいて攻撃の特徴的特性404を検出するステップを備え得る。
方法600は、図1に関する説明の最後において説明した方法ステップ1〜7及び図5に示す方法500の一般化を説明するものである。
発明の一態様はまた、デジタルコンピュータの内部メモリに直接読み込まれ得るコンピュータプログラム製品を備え、それにより製品がコンピュータ上で稼働すると図5又は図6に関して説明した方法500及び600が実行され得るソフトウェアコードの部分を備える。コンピュータプログラム製品はコンピュータに適した媒体に記憶され、以下の、通信ネットワークに接続されたネットワークセキュリティ要素によってコンピュータが作業環境を電子的に模擬すること601、ネットワークセキュリティ要素においてネットワークトラフィックを登録すること602、登録されたネットワークトラフィックを所定のネットワークトラフィックと比較すること603、及び登録されたネットワークトラフィックと所定のネットワークトラフィックの間に乖離がある場合に第1の攻撃警告信号をトリガすること604を可能とするコンピュータ可読プログラム手段を備える。コンピュータは、PC、例えば、コンピュータネットワークを構成するPCであればよい。コンピュータは、チップ、ASIC、マイクロプロセッサ又は信号プロセッサであってもよく、コンピュータネットワーク、例えば図1〜4に示すようなコンピュータネットワークに配置され得る。
特に断りがない限り、例としてここに記載する種々の実施形態の構成は相互に組合せ可能であることは言うまでもない。明細書及び図面に示すように、相互に接続されて示された個々の要素は、相互に直接接続されている必要はなく、介在要素が、接続された要素間に設けられ得る。また、発明の実施形態は、個別の回路、部分的に集積された回路若しくは完全に集積された回路又はプログラミング手段において実施され得ることは言うまでもない。用語「例として」は、最良又は最適なシナリオとしてではなく、一例として意図されるにすぎない。具体的な実施形態がここに説明及び記載されたが、多数の変形例及び/又は均等実施例が、本発明の概念から逸脱することなく、図示及び記載した実施形態の代わりに実現され得ることは当業者には明らかである。
100 ネットワークセキュリティシステム
101 作業環境
101a 模擬された作業環境
103 ネットワークセキュリティ要素
105 ネットワーク接続要素
107 ネットワーク監視要素
109 ログサーバ
110 第1の攻撃警告信号
111 解析装置
112 第2の攻撃警告信号
113 攻撃者
114 警告アラート
115 通信ネットワーク
201 エミュレータ
203 登録部
205 攻撃警告部
202 ネットワークセキュリティ要素における登録されたネットワークトラフィック
204 所定のネットワークトラフィック
302 ネットワーク接続要素における登録されたネットワークトラフィック
304 異常
402 ログ取りされたネットワークトラフィック
404 攻撃の特徴的特性
500 作業環境への攻撃を検出する方法
501 第1の方法ステップ:ネットワーク接続要素を構成する
502 第2の方法ステップ:職場システムを模擬する
503 第3の方法ステップ:入来及び出力ネットワークトラフィックを確認する
504 第4の方法ステップ:警告レポートの解析及び作成
505 第5の方法ステップ:セキュリティアナリストによって適切な措置を開始する
600 作業環境への攻撃を検出する方法
601 第1の方法ステップ:作業環境を電子的に模擬する
602 第2の方法ステップ:ネットワークセキュリティ要素においてネットワークトラフィックを登録する
603 第3の方法ステップ:登録されたネットワークトラフィックを所定のネットワークトラフィックと比較する
604 第4の方法ステップ:第1の攻撃警告信号をトリガする

Claims (15)

  1. 通信ネットワーク(115)に接続された作業環境(101)への攻撃を検出する方法(600)であって、
    前記通信ネットワーク(115)に接続されたネットワークセキュリティ要素(103)によって前記作業環境(101)を電子的に模擬するステップ(601)、
    前記ネットワークセキュリティ要素(103)においてネットワークトラフィック(202)を登録するステップ(602)、
    登録された前記ネットワークトラフィック(202)を所定のネットワークトラフィック(204)と比較するステップ(603)、及び
    前記登録されたネットワークトラフィック(202)と前記所定のネットワークトラフィック(204)の間に乖離がある場合に第1の攻撃警告信号(110)をトリガするステップ(604)
    を備える方法(600)。
  2. 前記ネットワークトラフィック(202)を登録するステップ(602)が、前記ネットワークセキュリティ要素(103)へのアクセスレートを登録するステップを備え、
    前記登録されたネットワークトラフィック(202)を前記所定のネットワークトラフィック(204)と比較するステップ(603)が、登録された前記アクセスレートを所定のアクセスレートと比較するステップを備える、請求項1に記載の方法(600)。
  3. 前記作業環境(101)を電子的に模擬するステップ(601)が、前記作業環境(101)にインストールされたものと同じソフトウェアの少なくとも部分を備える保護されていない作業環境(101a)を模擬するステップを備える、請求項1又は請求項2に記載の方法(600)。
  4. ネットワーク接続要素(105)が前記作業環境(101)と前記通信ネットワーク(115)の間に介在し、ネットワーク監視要素(107)が前記ネットワーク接続要素(105)に接続され、
    前記ネットワーク接続要素(105)におけるネットワークトラフィックを前記ネットワーク監視要素(107)に複製するステップをさらに備える、先行する請求項のいずれかに記載の方法(600)。
  5. 前記ネットワーク監視要素(107)によって前記ネットワーク接続要素(105)においてネットワークトラフィック(302)を登録するステップ、及び
    前記ネットワーク接続要素(105)において登録された前記ネットワークトラフィック(302)に異常(304)が識別された場合に第2の攻撃警告信号(112)をトリガするステップ
    をさらに備える請求項4に記載の方法(600)。
  6. 前記異常(304)の前記識別が、前記登録されたネットワークトラフィック(302)における異常検索動作の検出に基づく、請求項5に記載の方法(600)。
  7. 前記異常(304)が識別された場合に前記ネットワーク接続要素(105)において登録されたネットワークトラフィック(302)をリアルタイムで記録するステップを備える請求項5又は請求項6のいずれかに記載の方法(600)。
  8. 前記第1の攻撃警告信号(110)及び前記第2の攻撃警告信号(112)に基づいて警告アラート(114)を生成するステップを備える請求項5から7のいずれかに記載の方法(600)。
  9. 前記警告アラート(114)を生成するステップが、前記通信ネットワーク(115)の更なる作業環境からの更なる攻撃警告信号にも基づく、請求項8に記載の方法(600)。
  10. 前記第1の攻撃警告信号(110)がトリガされる場合に、ログサーバ(109)によって前記ネットワークセキュリティ要素(103)における前記登録されたネットワークトラフィック(202)のログを取るステップ、及び
    前記第2の攻撃警告信号(112)がトリガされる場合に、ログサーバ(109)によって前記ネットワーク接続要素(105)における前記登録されたネットワークトラフィック(302)のログを取るステップ
    をさらに備える請求項8又は請求項9のいずれかに記載の方法(600)。
  11. 前記ネットワークセキュリティ要素(103)においてログ取りされた前記ネットワークトラフィック(202)及び前記ネットワーク接続要素(105)においてログ取りされた前記ネットワークトラフィック(302)に基づいて前記攻撃の特徴的特性(404)を検出するステップを備える請求項10に記載の方法(600)。
  12. ネットワークセキュリティシステム(100)であって、
    通信ネットワーク(115)への接続を確立するように設計されたネットワーク接続要素(105)、及び
    前記ネットワーク接続要素(105)に接続されたネットワークセキュリティシステム(103)
    を備え、
    少なくとも1つの作業環境(101)が、該少なくとも1つの作業環境(101)を前記通信ネットワーク(115)に接続するための前記ネットワーク接続要素(105)に接続されることができ、
    前記ネットワークセキュリティ要素(103)が、前記少なくとも1つの作業環境(101)の模擬に基づいて前記少なくとも1つの作業環境(101)への攻撃を検出するように設計された、ネットワークセキュリティシステム(100)。
  13. 前記ネットワークセキュリティ要素(103)が、以下の、
    前記少なくとも1つの作業環境(101)を電子的に模擬するように設計されたエミュレータ(201)、
    前記ネットワークセキュリティ要素(103)においてネットワークトラフィック(202)を登録するように設計された登録部(203)、及び
    登録された前記ネットワークトラフィック(202)を所定のネットワークトラフィック(204)と比較し、前記登録されたネットワークトラフィック(202)と前記所定のネットワークトラフィック(204)の間に乖離がある場合に第1の攻撃警告信号(110)をトリガするように設計された攻撃警告部(205)
    を備える、請求項12に記載のネットワークセキュリティシステム(100)。
  14. 前記ネットワーク接続要素(105)に接続されたネットワーク監視要素(107)を備え、
    前記ネットワーク監視要素(107)が、前記ネットワーク接続要素(105)においてネットワークトラフィック(302)を登録し、前記ネットワーク接続要素(105)において登録された前記ネットワークトラフィック(302)に異常(304)が識別された場合に第2の攻撃警告信号(112)をトリガするように設計された、請求項13に記載のネットワークセキュリティシステム(100)。
  15. 前記第1の攻撃警告信号(110)及び前記第2の攻撃警告信号(112)に基づいて警告アラート(114)を生成し、前記ネットワークセキュリティ要素(103)における前記登録されたネットワークトラフィック(202)のログを取るとともに前記ネットワーク接続要素(105)における前記登録されたネットワークトラフィック(302)のログを取り、前記ログ取りされたネットワークトラフィック(402)に基づいて前記攻撃の特徴的特性(404)を検出するように設計されたログサーバ(109)を備えた請求項14に記載のネットワークセキュリティシステム(100)。
JP2017501377A 2014-07-11 2015-07-02 通信ネットワークに接続された作業環境への攻撃を検出する方法 Active JP6833672B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP14176736.8A EP2966828B1 (de) 2014-07-11 2014-07-11 Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung
EP14176736.8 2014-07-11
PCT/EP2015/065143 WO2016005273A1 (de) 2014-07-11 2015-07-02 Verfahren zum erkennen eines angriffs auf eine mit einem kommunikationsnetzwerk verbundene arbeitsumgebung

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2019203352A Division JP2020022208A (ja) 2014-07-11 2019-11-08 通信ネットワークに接続された作業環境への攻撃を検出する方法

Publications (2)

Publication Number Publication Date
JP2017523701A true JP2017523701A (ja) 2017-08-17
JP6833672B2 JP6833672B2 (ja) 2021-02-24

Family

ID=51178748

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2017501377A Active JP6833672B2 (ja) 2014-07-11 2015-07-02 通信ネットワークに接続された作業環境への攻撃を検出する方法
JP2019203352A Pending JP2020022208A (ja) 2014-07-11 2019-11-08 通信ネットワークに接続された作業環境への攻撃を検出する方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2019203352A Pending JP2020022208A (ja) 2014-07-11 2019-11-08 通信ネットワークに接続された作業環境への攻撃を検出する方法

Country Status (7)

Country Link
US (1) US10284599B2 (ja)
EP (1) EP2966828B1 (ja)
JP (2) JP6833672B2 (ja)
CN (1) CN106664297B (ja)
CA (1) CA2954464C (ja)
ES (1) ES2784203T3 (ja)
WO (1) WO2016005273A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2784203T3 (es) 2014-07-11 2020-09-23 Deutsche Telekom Ag Método para detectar un ataque a un entorno de trabajo conectado a una red de comunicación
GB201603118D0 (en) 2016-02-23 2016-04-06 Eitc Holdings Ltd Reactive and pre-emptive security system based on choice theory
CN105807631B (zh) * 2016-03-08 2019-02-12 北京工业大学 基于plc仿真的工控入侵检测方法和入侵检测系统
WO2018141432A1 (en) * 2017-01-31 2018-08-09 Telefonaktiebolaget Lm Ericsson (Publ) Method and attack detection function for detection of a distributed attack in a wireless network
US10248577B2 (en) * 2017-04-07 2019-04-02 International Business Machines Corporation Using a characteristic of a process input/output (I/O) activity and data subject to the I/O activity to determine whether the process is a suspicious process
US10445497B2 (en) 2017-05-03 2019-10-15 International Business Machines Corporation Offloading processing of writes to determine malicious data from a first storage system to a second storage system
US10282543B2 (en) 2017-05-03 2019-05-07 International Business Machines Corporation Determining whether to destage write data in cache to storage based on whether the write data has malicious data
FR3087910A1 (fr) * 2018-10-26 2020-05-01 Serenicity Dispositif d’enregistrement d’intrusion informatique
US11277436B1 (en) * 2019-06-24 2022-03-15 Ca, Inc. Identifying and mitigating harm from malicious network connections by a container
CN113794674B (zh) * 2021-03-09 2024-04-09 北京沃东天骏信息技术有限公司 用于检测邮件的方法、装置和系统
CN115065551B (zh) * 2022-07-27 2022-10-28 军事科学院系统工程研究院网络信息研究所 一种伴生式网络构建与共同演化方法
CN115622799B (zh) * 2022-11-29 2023-03-14 南京科讯次元信息科技有限公司 基于网络隔离系统的安全架构系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003264595A (ja) * 2002-03-08 2003-09-19 Mitsubishi Electric Corp パケット中継装置、パケット中継システムおよびオトリ誘導システム
WO2004056063A1 (en) * 2002-12-13 2004-07-01 Cetacea Networks Corporation Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function
JP2008519327A (ja) * 2004-11-02 2008-06-05 シー トー,スーン ネットワーク管理アプライアンス
JP2009296320A (ja) * 2008-06-05 2009-12-17 Nec Corp 監視制御統合装置、伝送装置、監視制御方法およびプログラム
US20120084866A1 (en) * 2007-06-12 2012-04-05 Stolfo Salvatore J Methods, systems, and media for measuring computer security

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1063898C (zh) * 1998-05-13 2001-03-28 广东省邮电科学技术研究院 模拟移动通信网的集中操作维护方法
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
JP2007312414A (ja) * 2002-08-20 2007-11-29 Nec Corp 攻撃検知システムおよび攻撃検知方法
US7353538B2 (en) * 2002-11-08 2008-04-01 Federal Network Systems Llc Server resource management, analysis, and intrusion negation
DE10353281A1 (de) * 2003-11-14 2005-06-16 Bayer Cropscience Ag Wirkstoffkombination mit insektiziden und akariziden Eigenschaften
US8898788B1 (en) * 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US7748040B2 (en) * 2004-07-12 2010-06-29 Architecture Technology Corporation Attack correlation using marked information
US7657735B2 (en) * 2004-08-19 2010-02-02 At&T Corp System and method for monitoring network traffic
JP2008085819A (ja) * 2006-09-28 2008-04-10 Oki Electric Ind Co Ltd ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム
CN100477819C (zh) * 2006-11-21 2009-04-08 杭州诚智天扬科技有限公司 基于智能网信令监控的开机提醒的方法及其系统
US8707431B2 (en) * 2007-04-24 2014-04-22 The Mitre Corporation Insider threat detection
US9009828B1 (en) * 2007-09-28 2015-04-14 Dell SecureWorks, Inc. System and method for identification and blocking of unwanted network traffic
US20100011562A1 (en) * 2008-07-17 2010-01-21 Freudenberg Nonwovens, L.P. Non-woven with selected locations/regions of joined fibers for mechanical attachment
US8444614B2 (en) * 2009-04-10 2013-05-21 Spiracur, Inc. Methods and devices for applying closed incision negative pressure wound therapy
CN101605342B (zh) * 2009-07-01 2012-12-19 中兴通讯股份有限公司 一种ims网络中通信内容的监听方法、系统及装置
US9088602B2 (en) * 2009-08-25 2015-07-21 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement for detecting fraud in telecommunication networks
JP5088403B2 (ja) * 2010-08-02 2012-12-05 横河電機株式会社 不正通信検出システム
KR20120071123A (ko) * 2010-12-22 2012-07-02 한국전자통신연구원 비정상 트래픽 감지 장치 및 방법
US8739281B2 (en) * 2011-12-06 2014-05-27 At&T Intellectual Property I, L.P. Multilayered deception for intrusion detection and prevention
JP5987627B2 (ja) * 2012-10-22 2016-09-07 富士通株式会社 不正アクセス検出方法、ネットワーク監視装置及びプログラム
US20150034137A1 (en) * 2013-08-01 2015-02-05 Pejman Tanaeim Tent with internal lights
US9503467B2 (en) * 2014-05-22 2016-11-22 Accenture Global Services Limited Network anomaly detection
ES2784203T3 (es) 2014-07-11 2020-09-23 Deutsche Telekom Ag Método para detectar un ataque a un entorno de trabajo conectado a una red de comunicación

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003264595A (ja) * 2002-03-08 2003-09-19 Mitsubishi Electric Corp パケット中継装置、パケット中継システムおよびオトリ誘導システム
WO2004056063A1 (en) * 2002-12-13 2004-07-01 Cetacea Networks Corporation Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function
JP2008519327A (ja) * 2004-11-02 2008-06-05 シー トー,スーン ネットワーク管理アプライアンス
US20120084866A1 (en) * 2007-06-12 2012-04-05 Stolfo Salvatore J Methods, systems, and media for measuring computer security
JP2009296320A (ja) * 2008-06-05 2009-12-17 Nec Corp 監視制御統合装置、伝送装置、監視制御方法およびプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
あきみち、ほか, 「マスタリングTCP/IP OPENFLOW編」, vol. 第1版, JPN6018052370, 25 July 2013 (2013-07-25), ISSN: 0004072908 *
長野 邦寿: "「最新ネットワーク製品 ここが導入のポイント」", 日経WINDOWSプロ, vol. 第61号, JPN6018016126, April 2002 (2002-04-01), JP, pages 128 - 131, ISSN: 0003954078 *

Also Published As

Publication number Publication date
WO2016005273A1 (de) 2016-01-14
CA2954464A1 (en) 2016-01-14
CN106664297A (zh) 2017-05-10
EP2966828B1 (de) 2020-01-15
US10284599B2 (en) 2019-05-07
CN106664297B (zh) 2020-03-03
ES2784203T3 (es) 2020-09-23
CA2954464C (en) 2020-08-25
US20170208092A1 (en) 2017-07-20
JP6833672B2 (ja) 2021-02-24
EP2966828A1 (de) 2016-01-13
JP2020022208A (ja) 2020-02-06

Similar Documents

Publication Publication Date Title
JP6833672B2 (ja) 通信ネットワークに接続された作業環境への攻撃を検出する方法
Wang et al. Intrusion prevention system design
Raiyn A survey of cyber attack detection strategies
Othman et al. Survey on intrusion detection system types
Chiba et al. A cooperative and hybrid network intrusion detection framework in cloud computing based on snort and optimized back propagation neural network
Chiba et al. A survey of intrusion detection systems for cloud computing environment
Baykara et al. A survey on potential applications of honeypot technology in intrusion detection systems
Pradhan et al. Intrusion detection system (IDS) and their types
CN107465702B (zh) 基于无线网络入侵的预警方法及装置
Achbarou et al. Securing cloud computing from different attacks using intrusion detection systems
Zouhair et al. A review of intrusion detection systems in cloud computing
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
Caesarano et al. Network forensics for detecting SQL injection attacks using NIST method
Borisaniya et al. Incorporating honeypot for intrusion detection in cloud infrastructure
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
Gayathri Harshitha et al. A novel mechanism for host-based intrusion detection system
Kumar et al. Security patterns for intrusion detection systems
Saini et al. Vulnerability and Attack Detection Techniques: Intrusion Detection System
Goyal et al. Application of Deep Learning in Honeypot Network for Cloud Intrusion Detection
Nallaperumal CyberSecurity Analytics to Combat Cyber Crimes
Derhab et al. Spam Trapping System: Novel security framework to fight against spam botnets
Tsochev et al. Some security model based on multi agent systems
Jamar et al. E-shield: Detection and prevention of website attacks
Suramwar et al. A Survey on different types of Intrusion Detection Systems
Sandhu et al. A study of the novel approaches used in intrusion detection and prevention systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170518

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180508

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180808

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190409

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190709

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20191108

C116 Written invitation by the chief administrative judge to file amendments

Free format text: JAPANESE INTERMEDIATE CODE: C116

Effective date: 20191119

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20191119

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20200908

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20201008

C23 Notice of termination of proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C23

Effective date: 20201210

C03 Trial/appeal decision taken

Free format text: JAPANESE INTERMEDIATE CODE: C03

Effective date: 20210107

C30A Notification sent

Free format text: JAPANESE INTERMEDIATE CODE: C3012

Effective date: 20210107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210203

R150 Certificate of patent or registration of utility model

Ref document number: 6833672

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250