JP2019135807A - 制御システム、制御判断装置及び制御方法 - Google Patents
制御システム、制御判断装置及び制御方法 Download PDFInfo
- Publication number
- JP2019135807A JP2019135807A JP2018018152A JP2018018152A JP2019135807A JP 2019135807 A JP2019135807 A JP 2019135807A JP 2018018152 A JP2018018152 A JP 2018018152A JP 2018018152 A JP2018018152 A JP 2018018152A JP 2019135807 A JP2019135807 A JP 2019135807A
- Authority
- JP
- Japan
- Prior art keywords
- control
- network
- server attack
- security system
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
まず、図1を用いて、第1の実施形態に係る制御システムの構成について説明する。図1は、第1の実施形態に係る制御システムの構成例を示す図である。図1に示すように、制御システム1は、集中制御装置11、ネットワーク1Naに備えられたセキュリティシステム1Sa、ネットワーク1Nbに備えられたセキュリティシステム1Sb及びネットワーク1Ncに備えられたセキュリティシステム1Scを有する。例えば、ネットワーク1Na、ネットワーク1Nb及びネットワーク1Ncは、それぞれ異なるネットワーク事業者が管理するネットワークである。
図4及び5を用いて、本実施形態の制御システム1の全体の処理の流れを説明する。図4及び5は、第1の実施形態に係る制御システムの処理の流れを示すシーケンス図である。
まず、図4を用いて、ネットワーク1Naにおいて発生したサーバ攻撃の分析を行う場合の例を説明する。図4に示すように、検知装置13aは、ネットワーク1Naにおいて発生したサーバ攻撃を検知すると、検知情報を制御判断装置12aに通知する(ステップS101)。そして、制御判断装置12aは、検知情報を基に、サーバ攻撃がネットワーク1Naで分析可能なものであるか否かを判定する(ステップS102)。
次に、図5を用いて、ネットワーク1Naにおいて発生したサーバ攻撃からの防御を行う場合の例を説明する。図5に示すように、サーバ攻撃の分析が終わった後、制御判断装置12aは、分析結果を基に、サーバ攻撃がネットワーク1Naで防御可能なものであるか否かを判定する(ステップS121)。
図6に示すように、制御判断装置12aは、サーバ攻撃の検知情報を受信する(ステップS1101)。次に、制御判断装置12aは、検知情報を基に、サーバ攻撃がネットワーク1Naで分析可能なものであるか否かを判定する(ステップS1102)。
図8に示すように、制御判断装置12aは、サーバ攻撃の分析結果を受信する(ステップS1301)。次に、制御判断装置12aは、分析結果を基に、サーバ攻撃がネットワーク1Naで防御可能なものであるか否かを判定する(ステップS1302)。
対処装置14は、ネットワーク1Nで発生したサーバ攻撃への対処、又は、複数のネットワーク1Nのうちの他のネットワーク1Nに備えられたセキュリティシステム1Sから依頼されたサーバ攻撃への対処を行う。判定部1231は、ネットワーク1Nで発生した第1のサーバ攻撃への対処装置14による対処が可能であるか否かを判定する。依頼部1233は、判定部1231によって、第1のサーバ攻撃への対処装置14による対処が可能でないと判定された場合、第1のサーバ攻撃の対処が可能な他のセキュリティシステム1Sに対し第1のサーバ攻撃の対処を依頼する。
第2の実施形態について説明する。第1の実施形態では、集中制御装置11が各セキュリティシステムの代理としてサーバ攻撃への対処の依頼処理を行う。これに対し、第2の実施形態では、各セキュリティシステムが直接サーバ攻撃への対処の依頼処理を行う。
まず、図10を用いて、第2の実施形態に係る制御システムの構成について説明する。図10は、第2の実施形態に係る制御システムの構成例を示す図である。図10に示すように、制御システム2は、情報管理装置21、ネットワーク2Naに備えられたセキュリティシステム2Sa、ネットワーク2Nbに備えられたセキュリティシステム2Sb及びネットワーク2Ncに備えられたセキュリティシステム2Scを有する。
図13及び14を用いて、本実施形態の制御システム2の全体の処理の流れを説明する。図13及び14は、第2の実施形態に係る制御システムの処理の流れを示すシーケンス図である。
まず、図13を用いて、ネットワーク2Naにおいて発生したサーバ攻撃の分析を行う場合の例を説明する。図13に示すように、検知装置23aは、ネットワーク2Naにおいて発生したサーバ攻撃を検知すると、検知情報を制御判断装置22aに通知する(ステップS201)。そして、制御判断装置22aは、検知情報を基に、サーバ攻撃がネットワーク2Naで分析可能なものであるか否かを判定する(ステップS202)。
次に、図14を用いて、ネットワーク2Naにおいて発生したサーバ攻撃からの防御を行う場合の例を説明する。図14に示すように、制御判断装置22aは、分析結果を基に、サーバ攻撃がネットワーク2Naで防御可能なものであるか否かを判定する(ステップS221)。
図15に示すように、制御判断装置22aは、サーバ攻撃の検知情報を受信する(ステップS2101)。次に、制御判断装置22aは、検知情報を基に、サーバ攻撃がネットワーク2Naで分析可能なものであるか否かを判定する(ステップS2102)。
図17に示すように、制御判断装置22aは、サーバ攻撃の分析結果を受信する(ステップS2301)。次に、制御判断装置22aは、分析結果を基に、サーバ攻撃がネットワーク2Naで防御可能なものであるか否かを判定する(ステップS2302)。
情報管理装置21の記憶部212は、複数のネットワーク1Nのそれぞれに備えられた制御判断装置12ごとの、サーバ攻撃に対して実施可能な対処方法を記憶する。依頼部1233は、記憶部212を参照し、第1のサーバ攻撃の対処が可能な他のセキュリティシステム1Sを特定し、特定したセキュリティシステム1Sに対し第1のサーバ攻撃の対処を依頼する。これにより、処理の負荷が1つの制御装置に集中することを防止することができる。
第3の実施形態について説明する。第1の実施形態及び第2の実施形態では、集中制御装置11又は情報管理装置21が、各セキュリティシステムで実施可能なサーバ攻撃への対処方法を記憶する。これに対し、第3の実施形態では、各セキュリティシステムが、他のセキュリティシステムのものも含めて、実施可能なサーバ攻撃への対処方法を記憶する。
まず、図19を用いて、第3の実施形態に係る制御システムの構成について説明する。図19は、第3の実施形態に係る制御システムの構成例を示す図である。図19に示すように、制御システム3は、ネットワーク3Naに備えられたセキュリティシステム3Sa、ネットワーク3Nbに備えられたセキュリティシステム3Sb及びネットワーク3Ncに備えられたセキュリティシステム3Scを有する。
図21及び22を用いて、本実施形態の制御システム3の全体の処理の流れを説明する。図21及び22は、第3の実施形態に係る制御システムの処理の流れを示すシーケンス図である。
まず、図21を用いて、ネットワーク3Naにおいて発生したサーバ攻撃の分析を行う場合の例を説明する。図21に示すように、検知装置33aは、ネットワーク3Naにおいて発生したサーバ攻撃を検知すると、検知情報を制御判断装置32aに通知する(ステップS301)。そして、制御判断装置32aは、検知情報を基に、サーバ攻撃がネットワーク3Naで分析可能なものであるか否かを判定する(ステップS302)。
次に、図22を用いて、ネットワーク3Naにおいて発生したサーバ攻撃の防御を行う場合の例を説明する。図22に示すように、制御判断装置32aは、分析結果を基に、サーバ攻撃がネットワーク3Naで防御可能なものであるか否かを判定する(ステップS321)。
図23に示すように、制御判断装置32aは、サーバ攻撃の検知情報を受信する(ステップS3101)。次に、制御判断装置32aは、検知情報を基に、サーバ攻撃がネットワーク3Naで分析可能なものであるか否かを判定する(ステップS3102)。
図24に示すように、制御判断装置32aは、サーバ攻撃の分析結果を受信する(ステップS3201)。次に、制御判断装置32aは、分析結果を基に、サーバ攻撃がネットワーク3Naで防御可能なものであるか否かを判定する(ステップS3202)。
制御判断装置32の記憶部322は、複数のネットワーク1Nのそれぞれに備えられた制御判断装置32ごとの、サーバ攻撃に対して実施可能な対処方法を記憶し。依頼部3234は、記憶部322を参照し、第1のサーバ攻撃の対処が可能な他のセキュリティシステム3Sを特定し、特定したセキュリティシステム3Sに対し第1のサーバ攻撃の対処を依頼することを特徴とする請求項1に記載の制御システム1。これにより、各セキュリティシステムは、外部の装置を参照することなく、サーバ攻撃の対処の依頼を行うことができる。
一実施形態として、制御システム1から3の各装置は、パッケージソフトウェアやオンラインソフトウェアとして上記の通信制御を実行する制御プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の制御プログラムを情報処理装置に実行させることにより、ゲートウェイ装置等の各通信機器が含まれる。
11 集中制御装置
12、22、32 制御判断装置
13、23、33 検知装置
14、24、34 対処装置
1N、2N、3N ネットワーク
1S、2S、3S セキュリティシステム
21 情報管理装置
111、121、211、221、321 通信部
112、122、212、222、322 記憶部
113、123、213、223、323 制御部
1121、2121、3221 対処メニューDB
1122、2222、3222 ASDB
1131、2233、3232 経路確認部
1132、1231、2231、3231 判定部
1133、1232、2234、3233 リソース確認部
1134 代理依頼部
1221、2221 自網対処メニューDB
1233、2235、3234 依頼部
2131 提供部
2232 情報取得部
Claims (6)
- 複数のネットワークを有する制御システムであって、
前記複数のネットワークのうちの第1のネットワークに備えられた第1のセキュリティシステムは、
前記第1のネットワークで発生したサーバ攻撃への対処、又は、前記複数のネットワークのうちの他のネットワークに備えられたセキュリティシステムから依頼されたサーバ攻撃への対処を行う対処部と、
前記第1のネットワークで発生した第1のサーバ攻撃への前記対処部による対処が可能であるか否かを判定する判定部と、
前記判定部によって、前記第1のサーバ攻撃への前記対処部による対処が可能でないと判定された場合、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムに対し前記第1のサーバ攻撃への対処を依頼する依頼部と、
を有することを特徴とする制御システム。 - 前記制御システムは、集中制御装置をさらに有し、
前記集中制御装置は、
前記複数のネットワークのそれぞれに備えられた制御判断装置ごとの、サーバ攻撃に対して実施可能な対処方法を記憶する記憶部と、
前記依頼部による依頼を受け付け、記憶部を参照し、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムを特定し、特定したセキュリティシステムに対し前記第1のサーバ攻撃への対処を依頼する代理依頼部と、
を有することを特徴とする請求項1に記載の制御システム。 - 前記制御システムは、情報管理装置をさらに有し、
前記情報管理装置は、
前記複数のネットワークのそれぞれに備えられた制御判断装置ごとの、サーバ攻撃に対して実施可能な対処方法を記憶する記憶部を有し、
前記依頼部は、前記記憶部を参照し、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムを特定し、特定したセキュリティシステムに対し前記第1のサーバ攻撃への対処を依頼することを特徴とする請求項1に記載の制御システム。 - 前記第1のセキュリティシステムは、
前記複数のネットワークのそれぞれに備えられた制御判断装置ごとの、サーバ攻撃に対して実施可能な対処方法を記憶する記憶部をさらに有し、
前記依頼部は、前記記憶部を参照し、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムを特定し、特定したセキュリティシステムに対し前記第1のサーバ攻撃への対処を依頼することを特徴とする請求項1に記載の制御システム。 - 複数のネットワークを有する制御システムに含まれる第1のネットワークに備えられた制御判断装置であって、
前記第1のネットワークで発生したサーバ攻撃への対処、又は、前記複数のネットワークのうちの他のネットワークに備えられた制御判断装置から依頼されたサーバ攻撃への対処を行う対処部と、
前記第1のネットワークで発生した第1のサーバ攻撃への前記対処部による対処が可能であるか否かを判定する判定部と、
前記判定部によって、前記第1のサーバ攻撃への前記対処部による対処が可能でないと判定された場合、前記複数のネットワークのそれぞれに備えられた制御判断装置ごとの、サーバ攻撃に対して実施可能な対処方法を記憶する記憶部を参照し、前記第1のサーバ攻撃への対処が可能な他の制御判断装置を特定し、特定した制御判断装置に対し前記第1のサーバ攻撃への対処を依頼する依頼部と、
を有することを特徴とする制御判断装置。 - 複数のネットワークを有する制御システムで実行される制御方法であって、
前記複数のネットワークのうちの第1のネットワークに備えられた第1のセキュリティシステムであって、前記第1のネットワークで発生したサーバ攻撃への対処、又は、前記複数のネットワークのうちの他のネットワークに備えられたセキュリティシステムから依頼されたサーバ攻撃への対処を行う対処部を有する第1のセキュリティシステムが、前記第1のセキュリティシステムが、前記第1のネットワークで発生した第1のサーバ攻撃への前記対処部による対処が可能であるか否かを判定する判定工程と、
前記第1のセキュリティシステムが、前記判定工程によって、前記第1のサーバ攻撃への前記対処部による対処が可能でないと判定された場合、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムに対し前記第1のサーバ攻撃への対処を依頼する依頼工程と、
を含んだことを特徴とする制御方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018018152A JP6943196B2 (ja) | 2018-02-05 | 2018-02-05 | 制御システム及び制御方法 |
US16/965,091 US11570206B2 (en) | 2018-02-05 | 2019-02-04 | Control system, control determination device, and control method |
PCT/JP2019/003925 WO2019151523A1 (ja) | 2018-02-05 | 2019-02-04 | 制御システム、制御判断装置及び制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018018152A JP6943196B2 (ja) | 2018-02-05 | 2018-02-05 | 制御システム及び制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019135807A true JP2019135807A (ja) | 2019-08-15 |
JP6943196B2 JP6943196B2 (ja) | 2021-09-29 |
Family
ID=67478285
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018018152A Active JP6943196B2 (ja) | 2018-02-05 | 2018-02-05 | 制御システム及び制御方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11570206B2 (ja) |
JP (1) | JP6943196B2 (ja) |
WO (1) | WO2019151523A1 (ja) |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8230505B1 (en) * | 2006-08-11 | 2012-07-24 | Avaya Inc. | Method for cooperative intrusion prevention through collaborative inference |
WO2008147577A2 (en) * | 2007-01-22 | 2008-12-04 | Spyrus, Inc. | Portable data encryption device with configurable security functionality and method for file encryption |
KR101747079B1 (ko) * | 2011-02-17 | 2017-06-14 | 세이블 네트웍스 인코포레이티드 | 하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템 |
US8949459B1 (en) * | 2011-10-06 | 2015-02-03 | Amazon Technologies, Inc. | Methods and apparatus for distributed backbone internet DDOS mitigation via transit providers |
US9055006B2 (en) * | 2012-06-11 | 2015-06-09 | Radware, Ltd. | Techniques for traffic diversion in software defined networks for mitigating denial of service attacks |
JP6421088B2 (ja) * | 2015-07-23 | 2018-11-07 | 日本電信電話株式会社 | 負荷分散装置、負荷分散システム、負荷分散方法及びプログラム |
PL3574412T3 (pl) * | 2017-01-27 | 2023-09-11 | Level 3 Communications, Llc | System i sposób oczyszczania dns w sieci telekomunikacyjnej w celu łagodzenia ataków |
-
2018
- 2018-02-05 JP JP2018018152A patent/JP6943196B2/ja active Active
-
2019
- 2019-02-04 US US16/965,091 patent/US11570206B2/en active Active
- 2019-02-04 WO PCT/JP2019/003925 patent/WO2019151523A1/ja active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2019151523A1 (ja) | 2019-08-08 |
US11570206B2 (en) | 2023-01-31 |
JP6943196B2 (ja) | 2021-09-29 |
US20210029160A1 (en) | 2021-01-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220303216A1 (en) | Application Programing Interface (API) Gateway Cluster Control Method and API Gateway Cluster | |
US10212191B2 (en) | Automated generation of access control rules for use in a distributed network management system that uses a label-based policy model | |
US8745188B2 (en) | System and method for managing changes in a network datacenter | |
US11196839B1 (en) | System and method for classifying API requests in API processing systems using a tree configuration | |
US10924355B2 (en) | Handling changes in a distributed network management system that uses a logical multi-dimensional label-based policy model | |
US9843485B2 (en) | Monitoring dynamic networks | |
JP5463268B2 (ja) | アンチウイルス保護システム及び方法 | |
CN101976209B (zh) | 相冲突的应用程序的适应性配置 | |
US9141364B2 (en) | Caching and analyzing images for faster and simpler cloud application deployment | |
US11334686B2 (en) | Comprehensive system wide cross-reference mechanism using runtime data collection | |
US20190108048A1 (en) | Self-adaptive building container images | |
US10521246B1 (en) | Application programming interface endpoint analysis and modification | |
KR20100027104A (ko) | 방화벽을 구축하는 방법, 시스템 및 컴퓨터 프로그램 | |
EP3238378B1 (fr) | Système de génération d'une fonction réseau virtualisée | |
KR20150132800A (ko) | 단말장치, 클라우드 장치, 단말장치의 구동방법, 클라우드 서비스 제공 방법 및 컴퓨터 판독가능 기록매체 | |
KR101916676B1 (ko) | 사이버 위협 인텔리전스 데이터를 수집하는 방법 및 그 시스템 | |
CN104008331A (zh) | 一种恶意网站的访问方法、装置和系统 | |
WO2019151523A1 (ja) | 制御システム、制御判断装置及び制御方法 | |
JP2022552368A (ja) | システム・セキュリティを維持すること | |
US20170034258A1 (en) | Methods for centralized management api service across disparate storage platforms and devices thereof | |
US10115057B2 (en) | Estimating analytic execution times | |
JP5665984B2 (ja) | クライアント装置、ウェブデータの権限管理方法をコンピュータで行わせるための記録媒体、及び権限管理情報提供装置とその方法 | |
KR20230062166A (ko) | 방화벽 정책 최적화 방법 및 그 장치 | |
KR20220036987A (ko) | 비디오 코딩을 위한 영역 적응형 루프 필터 | |
KR102533724B1 (ko) | 인터넷 웹주소의 목록화를 통한 웹사이트 접속의 차단과 허용을 관리하는 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191219 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210224 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210409 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210810 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210823 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6943196 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |