JP3948668B2 - セキュリティ自動設定装置、セキュリティ自動設定方法および記録媒体 - Google Patents
セキュリティ自動設定装置、セキュリティ自動設定方法および記録媒体 Download PDFInfo
- Publication number
- JP3948668B2 JP3948668B2 JP2003066045A JP2003066045A JP3948668B2 JP 3948668 B2 JP3948668 B2 JP 3948668B2 JP 2003066045 A JP2003066045 A JP 2003066045A JP 2003066045 A JP2003066045 A JP 2003066045A JP 3948668 B2 JP3948668 B2 JP 3948668B2
- Authority
- JP
- Japan
- Prior art keywords
- intrusion detection
- detection program
- signature
- setting
- setting value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【発明の属する技術分野】
本発明は、ネットワークセキュリティ、侵入検知、Firewall、コンピュータ通信、インターネット技術に関する技術分野に属する。
【0002】
【従来の技術】
複数のセキュリティ機能を有する従来のネットワーク機器では、セキュリティ機能毎に、パケット通過判定基準を設け、ネットワークの管理者が、パケット通過判定基準を設定する。
【0003】
たとえば、Firewallと、侵入検知プログラム(IDS)とが、ネットワーク機器に実装されている場合、ネットワークの管理者は、Firewallと侵入検知プログラムとを、ネットワークの環境に合わせて設定する(たとえば、特許文献1)。
【0004】
なお、「Firewall」は、組織内のコンピュータネットワークへ、外部から侵入されることを防止するシステムである。また、「侵入検知プログラム」は、通信回線を監視し、ネットワークへの侵入を検知し、ネットワークへの侵入があったことを管理者に通報するシステムである。
【0005】
したがって、ネットワークで展開されているサービスの変更があれば上記サービスに変更がある度に、設定を個々に変更する必要がある。なお、上記「サービス」は、WebサービスやFTP(File Transfer Protocol)サービスであり、上記「サービスの変更」は、サービス自体の開始や停止である。
【0006】
【特許文献1】
特開2001−313640号公報
【0007】
【発明が解決しようとする課題】
従来のネットワーク機器において、ネットワークの管理者は、Firewallと侵入検知プログラムとを、それぞれ、ネットワークの環境に合わせて設定しなければならず、ネットワークで展開されているサービスに変更があれば、サービスに変更がある度に、上記Firewallと上記侵入検知プログラムとを、個々に、設定し直す必要がある。
【0008】
つまり、Firewallと侵入検知プログラムとをネットワークの管理者が設定することが、セキュリティ全体として不可欠なものである。Firewallと侵入検知プログラム以外に、暗号化処理やネットワーク監視モニタリング等、セキュリティに関連する機能が存在する場合、ネットワーク管理者は、それらネットワークセキュリティ機能の全てについて設定しなければ、ネットワーク機器を運用することができない。
【0009】
また、Firewallにおけるパケット通過判定基準の設定と、侵入検知プログラムのパケット監視中にマッチングすべき不正パターンの項目の設定との間における整合性が、上記従来例では取れていないことが多い。
【0010】
なお、「パケット」は、コンピュータ通信において、送信先のアドレス等の制御情報が付加されているデータの小さなまとまりである。上記「マッチング」は、通過するパケットの文字列と、不正なパターンとを照合する動作であり、上記「不正パターンの項目」は、シグネチャファイルに書かれた不正とみなす文字列の種類である。
【0011】
すなわち、上記のように、整合性が取れていない場合とは、たとえば、Firewallで閉じているポートであるにもかかわらず、侵入検知プログラムが閉じられたポートを監視しようとしている場合である。たとえば、Firewallにおいて閉じられているポート番号が文字列内に含まれているパケットが流れてきても、それはFirewallにおいて破棄される。したがって、上記のように整合性が取れていないと、侵入検知プログラムでは監視する必要がないのに、無駄に監視することになる。
【0012】
したがって、上記従来例では、ネットワーク管理者が設定したセキュリティ機能の抜け目を狙って、外部から行われる不正な攻撃や侵入を許す機会が多いという問題がある。
【0013】
上記「抜け目」は、Firewallにおいて閉じていないポートであり、しかも、侵入検知プログラムでも開放したままのポート(監視していないポート)である。もし、所定のポートが空いていると、開放ポートを探すポートスキャンが、外部から実行された後に、上記所定のポートが開放ポート用の攻撃を受ける可能性がある。
【0014】
本発明は、Firewall等、パケットの通過を監視するセキュリティ機能を、2つ以上有するゲートウェイ、ルータ等、ネットワーク機器において、ネットワーク管理者の作業負荷を軽減することができ、また、セキュリティ機能の抜け目を防止することができるセキュリティ自動設定装置、セキュリティ自動設定方法および記録媒体を提供することを目的とする。
【0015】
【課題を解決するための手段】
本発明は、侵入検知プログラムが所定機能を有し、Firewallが上記所定機能を設定する場合には、上記侵入検知プログラムが上記所定機能を設定し、一方、侵入検知プログラムが所定機能を有しないか、または、Firewallが上記所定機能を設定しない場合には、上記侵入検知プログラムが上記所定機能を設定しない制御手段と、上記侵入検知プログラムにおける現在の設定状態と、上記Firewallに設定されている設定状態との差を検出する差検出手段と、上記差検出手段が検出した設定状態の差に応じて、上記侵入検知プログラムの設定を変更させる設定変更手段とを有することを特徴とするセキュリティ自動設定装置である。
【0016】
【発明の実施の形態および実施例】
図1は、本発明の一実施例であるセキュリティ自動設定装置10と、Firewall20と、侵入検知プログラム30とを示すブロック図である。
【0017】
セキュリティ自動設定装置10は、設定変更制御部11と、中央処理装置12と、データベース13と、シグネチャ制御部14と、データ更新制御部15とを有する。
【0018】
設定変更制御部11は、firewall20におけるパケット通過規則設定部21を参照し、セキュリティ自動設定装置10が使用する設定値を抽出する。
【0019】
また、設定変更制御部11は、Firewall20において変更されたパケット通過規則設定値に対応するポートの開閉状態を、検出し、整理する。
【0020】
上記「整理」は、たとえばFirewall20と侵入検知プログラム30とにおいて、重複した設定を一本化し、流れてくるパケットに同じフィルタリングをしないようにする動作である。具体的には、Firewall20において、たとえばHTTPパケットが流れる80番ポートを閉じている場合、侵入検知プログラム30では、80番ポートを閉じているので流れる筈がないHTTPパケットを監視する場合が、上記重複の例である。この場合、侵入検知プログラム30において、HTTPパケットを監視する設定を実行すると、その分だけリソースが無駄に必要になり、リソースの無駄を省くためには、重複した設定を避け、整理する必要がある。
【0021】
中央処理部12は、設定変更制御部11が抽出し、整理した(重複した設定を1本化し)セキュリティ設定(設定値)に基づいて、侵入検知プログラム30に設定すべきポートやプロトコルを決定する。また、中央処理部12内に存在しているシグネチャファイルの更新と、中央処理部12の出力時に整理されたセキュリティ設定とに基づいて、データベース13に格納されているシグネチャファイルを参照し、必要なシグネチャファイルの一覧を、一緒に出力する。
【0022】
図11は、シグネチャファイル一覧の例を示す図である。
【0023】
上記シグネチャファイル一覧は、データベースに格納されているリストであり、侵入検知プログラム30に応じてその形態は様々である。たとえば、フリーソフトとして有名な侵入検知プログラム「Snort」(http://www.snort.org/)におけるシグネチャファイルの一覧は、「http://www.snort.org/cgi-bin/done.cgi」に記載されている。このシグネチャファイルの一覧を、データベースへ更新する。シグネチャファイル一覧をデータベースへ登録する場合、番号と、自動設定システム認識用のID番号と、シグネチャ名とを登録する。
【0024】
データベース13は、侵入検知プログラム30で使用する不正侵入の規則を示す値であるシグネチャを格納し、この格納されているシグネチャとポートとの関係を示すサポート規則一覧を格納しているデータベースである。
【0025】
上記「不正侵入の規則」は、一般的に言うパッキング・クラッキングの手口であり、Web等、様々なサービスを行っているサーバに、大量の「無意味なパケット」を投げつけ、サーバの処理に負荷をかける手口であり、サーバをダウンさせる等の俗に言う「攻撃」である。上記「無意味なパケット」は、パケットの中身が、たとえば全て「XXX」であるようなパケットである。
【0026】
上記「シグネチャ」は、攻撃パターンを記述した(文書)ファイルである。上記「攻撃」は、ある程度、攻撃パターンを持ち、この攻撃パターンと同じ攻撃パターンを持つパケットが流れてきたときに、そのパケットが攻撃であるとみなし、管理者に警告し、そのパケット自体を破棄する等の処理を行う。
【0027】
「サポート規則一覧」は、上記実施例では、図7に示すマッピングテーブルAにおける「侵入検知プログラム30でのサポート」であり、図6の表の中段の「侵入検知プログラム30でのサポート」である。シグネチャは、所定の攻撃パターンが記述されているファイルであるので、データベース13にファイルが格納されている。
【0028】
データベース13は、シグネチャファイルを格納し、このシグネチャファイルは、侵入検知プログラム30で使用する監視すべきターゲット(監視対象)と、キャラクタマッチング等に使用する不正パケットパターン(無意味なパケット)とを有する。なお、上記「キャラクタマッチング」は、文字列を照合する動作である。
【0029】
上記「シグネチャファイル」は、随時更新され、データベース13には、最新情報が全て反映されていると仮定して以降の説明を行う。
【0030】
シグネチャ制御部14は、中央処理部12が得た侵入検知プログラム30のシグネチャを格納するシグネチャデータベース31に登録するシグネチャファイルをダウンロードし、データ更新制御部15へ転送する。
【0031】
つまり、シグネチャ制御部14は、侵入検知プログラム30の設定値を更新すべきシグネチャを、上記データベースから取得し、この取得したシグネチャと、上記中央処理部が出力した侵入検知プログラム30の設定変更点とを出力する制御部である。
【0032】
上記「侵入検知プログラム30の設定値」は、侵入検知プログラム30が監視するパケットの種類を示す値であり、図7の式(1)に記載されている「侵入検知プログラム30の設定」である。「侵入検知プログラム30に更新すべきシグネチャ」は、図8に示す「設定変更点γ」であり、以前から設定されているパケットの種類の他に必要なシグネチャ(ファイル)である。侵入検知プログラム30のシグネチャは、平成15年3月現在で、1500種類、存在している。たとえば、この自動設定以前に500種類の攻撃パターンを監視していたとすると、残りの200種類が、この自動設定の処理で「必要である」になったとした場合、上記200種類のシグネチャが、「侵入検知プログラム30に更新すべきシグネチャ」である。
【0033】
データ更新制御部15は、侵入検知プログラム30内のセキュリティ設定の更新された値と、更新したセキュリティ設定で必要なシグネチャファイルとを、シグネチャデータベース31に登録する。
【0034】
上記「更新したセキュリティ設定で必要なシグネチャファイル」は、図8に示すマッピングテーブルBにおける「設定変更点γ」の欄に、「変」と記載されているシグネチャファイルである。
【0035】
つまり、データ更新制御部15は、侵入検知プログラム30内に存在するシグネチャを格納しているシグネチャデータベースと、シグネチャの使用有無を示す設定値との接続路を確保し、シグネチャ制御部14が出力したシグネチャと、侵入検知プログラム30とを用い、侵入検知プログラム30のデータを更新する制御部である。
【0036】
上記「シグネチャの使用有無を示す設定値」は、図7の式(1)に記載されている「侵入検知プログラム30の設定」である。また、上記接続路は、中央処理装置12の侵入検知プログラム30内シグネチャデータベースとの接続路であり、中央処理装置12内に「シグネチャの使用有無を示す設定値」が設けられている。
【0037】
侵入検知プログラム30のデータを更新する場合、シグネチャのファイルが格納されているデータベースのファイルを上書き保存する。保存するシグネチャファイルは、上記「シグネチャ制御部14が出力したシグネチャ」である。
【0038】
Firewall20は、パケット通過規則設定部21を有する。
【0039】
パケット通過規則設定部21は、Firewall20等のネットワークを監視し、予め設定されているパケット通過規則に応じて、パケットを転送する装置内部に設けられ、パケット通過規則を設定するものである。
【0040】
たとえば、WebアクセスとFTP(File Transfer Protocol)転送とを行う場合は、HTTP(Hyper Text Transfer Protocol)等のプロトコルに使用する80番ポートや、FTP等のプロトコルに使用する21番ポートを開放し、その他の使用していないポートを閉じること等を示す設定値を、パケット通過規則設定部21が格納している。
【0041】
侵入検知プログラム30は、シグネチャデータベース31を有する。
【0042】
つまり、設定変更制御部11は、侵入検知プログラムが所定機能を有し、Firewallが上記所定機能を設定する場合には、上記侵入検知プログラムが上記所定機能を設定し、一方、侵入検知プログラムが所定機能を有しないか、または、Firewallが上記所定機能を設定しない場合には、上記侵入検知プログラムが上記所定機能を設定しない制御手段の例である。
【0043】
また、中央処理部12とシグネチャ制御部14とは、上記侵入検知プログラムにおける現在の設定状態と、上記Firewallに設定されている設定状態との差を検出する差検出手段の例である。
【0044】
さらに、データ更新制御部15は、上記差検出手段が検出した設定状態の差に応じて、上記侵入検知プログラムの設定を変更させる設定変更手段の例である。
【0045】
図2は、セキュリティ自動設定装置10の全体の機能構成を示すブロック図である。
【0046】
セキュリティ自動設定装置10は、2つ以上のネットワークセキュリティ機能との間で、通信可能なインタフェースを持つ。
【0047】
ところで、従来例では、2つ以上のセキュリティ機能が存在する場合、2つ以上のセキュリティ機能のそれぞれを、個々に設定する必要があるが、通信する予定のポートをサポートする設定が存在しているか否かを、1000以上存在している設定対象の中から見つけ出し、ネットワーク管理者が設定する必要があるので、非常に労力を要する。
【0048】
そこで、上記実施例では、たとえば、Firewall20のパケット通過規則設定部21におけるパケット通過規則を参照する。そして、Firewall20は、監視対象外のネットワークに対して開いているポートやネットワーク機器が通信すると想定されるパケット以外のパケットであって、指定したポートを通過するパケットを監視し、一方、不正な通信を止めることができる侵入検知プログラム30は、Firewall20によるパケット通過判定では処理しきれないパケットを監視させる設定や、偽装等を施すことによって、Firewall20のパケット通過判定を逃れた不正なパケットの監視をさせる設定を、自動的に反映し、通信パケットを、重複せずに全て監視する。
【0049】
これによって、従来、通信する予定のポートをサポートする設定が存在しているか否かを多数の設定対象の中から見つけ出し、設定するという煩雑な手間が不要になり、ネットワークセキュリティ管理の知識がなくても、より強固なセキュリティ設定が可能であり、通過するパケットについて、重複した設定による2重の監視をする必要がないので、ネットワーク帯域の低下を防ぐことができる。
【0050】
次に、上記実施例の動作について説明する。
【0051】
以下の説明では、Firewall20と、侵入検知プログラム(IDS)30との2つの機能が、ルータ内部に存在しているとして説明する。
【0052】
まず、Firewall20のパケット通過規則設定を、管理者が事前に行う。これは、従来から存在しているFirewall20を想定しているので、この設定方法は、Firewall20の方法に従う。
【0053】
Firewall20のパケット通過規則設定が既に終了している場合、設定変更制御部11は、Firewall20に存在しているパケット通過規則設定が行われているファイル等を参照する。
【0054】
設定変更制御部11は、Firewall20側における設定に変更がないことを、定期的に確認する必要があり、更新の有無を、たとえば毎時参照する。設定変更制御部11が、Firewall20側における設定の変更有無を調べ、設定を更新したことを検出すると、設定変更制御部11は、Firewall20に格納されているパケット通過規則設定内容をダウンロードする。
【0055】
図3は、上記実施例において、Firewall20に格納されているパケット通過規則設定(セキュリティ設定ファイルα)の例を示す図である。
【0056】
図3において、「○」は、ポートが開いていることを示し、ポートが開いている状態では、パケットが通過することができ、また、「×」は、ポートが閉じていることを示し、ポートが閉じている状態では、パケットが通過することができない。
【0057】
ここで、図3に示すFirewall20に格納されているパケット通過設定内容を示すファイルを、セキュリティ設定ファイルαとする。
【0058】
セキュリティ設定ファイルαの作成が完了すると、設定変更制御部11が、セキュリティ設定ファイルαを、中央処理部12へ転送する。
【0059】
次に、上記実施例において、設定変更制御部11が実行する動作について説明する。
【0060】
図4は、上記実施例において、設定変更制御部11が実行する動作を示すフローチャートである。
【0061】
まず、侵入検知プログラム30(IDS)の設定状態を取得する(S1)。そして、Firewall20の設定状態を取得し(S2)、侵入検知プログラム30の設定とFirewall20の設定とが一致していれば(S3)、設定を変更する必要がないので、設定変更制御部11が休止状態になる(S4)。
【0062】
侵入検知プログラム30の設定とFirewall20の設定とが、互いに相違していれば(S3)、侵入検知プログラム30を更新する必要があるので、Firewall20に格納されているパケット通過規則設定を参照し(S5)、セキュリティ設定ファイル(図3に示すセキュリティ設定ファイルα)を生成し(S6)、この生成されたセキュリティ設定ファイルαを、中央処理部12へ転送する(S7)。
【0063】
次に、上記実施例において、中央処理部12が実行する動作を説明する。
【0064】
図5は、上記実施例において、中央処理部12が実行する動作を示すフローチャートである。
【0065】
まず、設定変更制御部11がFirewall20の設定状態を取得し(S11)、データベース13から全てのシグネチャを取得し(S12)、Firewall20の設定状態を、図6に示すように、マッピングする(S13)。
【0066】
図6は、マッピングテーブルA(二次元マトリックス)に、図3に示すデータと、データベース13からのサポートデータとを入力し、侵入検知プログラム30の設定を出力として得る図である。
【0067】
なお、図6に記載されている「TCP」は、Transmission Control Protocolであり、インターネットで利用される標準プロトコルであり、OSI参照モデルのトランスポート層にあたり、ネットワーク層のIPと、セッション層以上のプロトコル(HTTP、FTP、SMTP、POP等)の橋渡しをするプロトコルである。インターネットでは、トランスポート層のプロトコルとして、UDPも使われている。
【0068】
図6に記載されている「UDP」は、User Datagram Protocolであり、インターネットで利用される標準プロトコルであり、OSI参照モデルのトランスポート層にあたり、ネットワーク層のIPと、セッション層以上のプロトコル(RealAudio等)の橋渡しをするプロトコルである。インターネットでは、トランスポート層のプロトコルとして、TCPも使われている。
【0069】
なお、UDPは、転送速度は速いが信頼性が低く、TCPは、信頼性は高いが転送速度が遅いという特徴がある。
【0070】
図6において、「Firewall20の設定状態」における「○」は、設定されていることを示し、「×」は、設定されていないことを示す。また、「侵入検知プログラム30でのサポート」における「○」は、サポートがあることを示し、「×」は、サポートされていないことを示す。さらに、「侵入検知プログラム30の設定」における「○」は、設定されることを示し、「×」は、設定されないことを示す。
【0071】
そして、侵入検知プログラム30に設定すべき項目である設定項目を決定する(S14)。そして、シグネチャ制御部14へ、上記決定された設定項目を通知する(S15)。
【0072】
なお、上記「項目」は、攻撃の種類が書かれているシグネチャであり、「ポート」は、そのシグネチャ内に記載されているポート番号である。「設定」をしなければならないポート番号が、シグネチャの中に記載されていれば、そのシグネチャを使用しなければならない。この使用しなければならないシグネチャのことを、ここでは、「項目」という。
【0073】
つまり、設定変更制御部11から転送されたセキュリティ設定ファイルαを、図6に示すマッピングテーブルAに反映させる。すなわち、設定変更制御部11から転送されたセキュリティ設定ファイルαの内容を、図6に示すマッピングテーブルAにおける「Firewall20の設定状態」の欄に、移す。
【0074】
図7は、上記実施例における中央処理部12の動作説明図であり、マッピングテーブルAの作成方法の詳細を示す図である。
【0075】
図7に示す例は、マッピングテーブルAの詳細として、排他処理によって、マッピングテーブルAを作成する例を示す図である。
【0076】
つまり、TCPのポート番号「1」について考えると、図6に示すマッピングテーブルAにおいて、侵入検知プログラム30でサポートしていないポートについて、Firewall20で設定しているので、そのポートについて、侵入検知プログラム30では設定しない。すなわち、図6に示すマッピングテーブルAにおいて、「○」を「1」とし、「×」を「0」とすると、TCPのポート番号「1」では、1∧0=0であり、侵入検知プログラム30では設定しない。
【0077】
また、TCPのポート番号「9」ついて考えると、図6に示すマッピングテーブルAにおいて、侵入検知プログラム30でサポートしているポートについて、Firewall20で設定しているので、そのポートについて、侵入検知プログラム30では設定する。すなわち、図6に示すマッピングテーブルAにおいて、「○」を「1」とし、「×」を「0」とすると、TCPのポート番号「1」では、1∧1=1であり、侵入検知プログラム30で設定する。
【0078】
図8は、上記実施例におけるマッピングテーブルBを示す図である。
【0079】
マッピングテーブルB(二次元マトリックス)は図8に示す侵入検知プログラム30の設定と、データ更新制御部15から得た侵入検知プログラム30における現在の設定データとを入力し、設定変更点を得るテーブルである。
【0080】
なお、データ更新制御部15は、侵入検知プログラム30から「現在の設定データ」を取得し、この取得した現在の設定データを転送する形で受け取ることができる。
【0081】
中央処理部12は、データベース13から得た侵入検知プログラム30のサポート状況を、マッピングテーブルAに反映させる。つまり、図7に示す方法(たとえば排他処理)によって、侵入検知プログラム30に必要な設定β(図8に示す)を出力する。
【0082】
図7に示す式(1)において、Firewall20の設定状態と、侵入検知プログラム30のサポート有無とが、ともに「○」であれば、侵入検知プログラム30の設定を「○」にする。すなわち、Firewall20の設定状態と、侵入検知プログラム30のサポート有無とを、and条件にした。and条件を示すために、記号「∧」を使用している。
【0083】
中央処理部12は、図8に示すように、侵入検知プログラム30に必要な設定βを、マッピングテーブルBに反映させる。
【0084】
また、侵入検知プログラム30における修正個所数を少なくするために、現在の侵入検知プログラム30の設定状態を、マッピングテーブルBに反映させる。つまり、「現在の設定データ」を、マッピングテーブルBに挿入する。
【0085】
その後、たとえば、図8に示す排他処理によって、設定変更点γと、現在の侵入検知プログラム30の設定状態とを出力する。
【0086】
図9は、中央処理部12の動作を示すフローチャートであり、マッピングテーブルBの詳細動作として、排他処理の動作を示すフローチャートである。
【0087】
つまり、図9は、マッピングテーブルBの詳細として、排他処理の例を示す図である。
【0088】
つまり、図8、図9において、差分だけを設定し直す。図8において、「○→×」は、開いているポートを閉じることを意味し、つまり、そのポートにおいて、パケットを通過させないように設定を変更することを示す。また、「×→○」は、パケットを通過させるように設定を変更することを示す。
【0089】
図9に示す例は、次に示す基準で判断したものである。
【0090】
下記「A」は、図8に示す「侵入検知プログラム30における現在の状態」であり、下記「B」は、図8に示す「侵入検知プログラム30において設定しようとする内容」であるとした場合、次のようにする。
A=○でありB=○であれば、「現在の設定を変更しない」つまり、未変更。
A=○でありB=×であれば、「現在の設定を×に変更する」。
A=×でありB=○であれば、「現在の設定を○に変更する」。
A=×でありB=×であれば、「現在の設定を変更しない」つまり、未変更。
【0091】
TCPのポート番号8のポートの場合、○→×であるので、現在の設定を×に変更し、また、UDPのポート番号7のポートの場合、×→○であるので、現在の設定を○に変更する。
【0092】
シグネチャ制御部14は、中央処理部12が最終的に出力する設定変更点γと、侵入検知プログラム30における現在の設定状態とを取得し、侵入検知プログラム30に転送すべきシグネチャファイルを、データベース13からダウンロードし、このダウンロードしたシグネチャファイルと、設定変更点γとを、データ更新制御部15に転送する。
【0093】
次に、上記実施例におけるシグネチャ制御部14の動作について説明する。
【0094】
図10は、上記実施例におけるシグネチャ制御部14の動作を示すフローチャートである。
【0095】
中央処理部12から、項目決定通知を取得する(S21)。なお、上記「項目決定通知」は、侵入検知プログラム30に設定するシグネチャが決定したことを、中央処理部12からシグネチャ制御部14に知らせる通知信号であり、どのシグネチャを設定することになったのかを示す設定項目(シグネチャファイル一覧におけるID)も含まれている。
【0096】
そして、中央処理部12内のデータベース13と接続し(S22)、データベース13から、シグネチャファイルを取得し(S23)、侵入検知プログラム30内のシグネチャデータベース31と接続し(S24)、シグネチャファイルを更新する(S25)。
【0097】
データ更新制御部15は、侵入検知プログラム30内に、シグネチャファイルが存在していることを確認し、現在動作しているシグネチャ(現在の設定データ)を、一覧データとして、中央処理部12と、シグネチャ制御部14とに転送し、また、シグネチャ制御部14から転送されたシグネチャファイルと設定変更点γとを、侵入検知プログラム30に反映させる。
【0098】
以上の一連の動作によって、Firewall20の設定で開放されているポートを、侵入検知プログラム30が監視するための設定が、必要最小限のシグネチャ数で実現することができる。
【0099】
なお、上記「必要最小限のシグネチャ数」は、Firewall20の設定情況によるが、Firewall20におけるポートの殆どが閉じていれば、数十個程度になり、多数のポートを開放していれば、それだけ侵入検知プログラム30で監視する対象は、増えるので、全てのシグネチャを使用することも考えられる。
【0100】
上記実施例によれば、Firewall20等のセキュリティ設定を、同一装置内で動作するその他のネットワークセキュリティ機能に反映させることができ、また、管理者の労力を費やすことなく運用することができる。このために、セキュリティの穴(抜け目)となる部分が少なく、人的要因からの更新の安全性を確保することができる。
【0101】
また、上記実施例によれば、セキュリティ機能を自動的に設定することができるので、ネットワークセキュリティ管理について知識がない人が利用するネットワークにおいても、利用することができ、セキュリティ設定を数多く設定する環境においても利用可能である。
【0102】
なお、上記実施例をプログラムの発明として把握することができる。つまり、上記実施例は、Firewallにおけるパケット通過規則の設定値であるパケット通過規則設定値が変更されると、上記変更されたパケット通過規則設定値を取得し、上記変更されたパケット通過規則設定値に対応するポートの開閉状態を検出し、整理し、この検出されたポートの開閉状態を、Firewallのポート開閉情報として出力する設定変更制御手順と、侵入検知プログラムで使用する不正侵入の規則を示す値であるシグネチャを格納し、この格納されているシグネチャとポートとの関係を示すサポート規則一覧を、データベースに格納する格納手順と、上記データベースに格納されている上記サポート規則一覧を参照し、Firewallのポート開閉情報と、上記データベースを参照した侵入検知プログラムでサポートされているサポート規則一覧との照合結果に応じて、侵入検知プログラムの設定値を決定し、この決定された侵入検知プログラムの設定値と、現在の侵入検知プログラムの設定値との照合結果に応じて、侵入検知プログラムにおいて設定を変更すべき点である設定値変更点を中央処理部が決定し、出力する設定値変更点決定手順と、上記侵入検知プログラムの設定値を更新すべきシグネチャを、上記データベースから取得し、この取得したシグネチャと、上記中央処理部が出力した侵入検知プログラムの設定変更点とを出力するシグネチャ制御手順と、上記侵入検知プログラム内に存在するシグネチャを格納しているシグネチャデータベースと、シグネチャの使用有無を示す設定値との接続路を確保し、上記シグネチャ制御部が出力したシグネチャと、侵入検知プログラムとを用い、上記侵入検知プログラムのデータを更新するデータ更新制御手順とをコンピュータに実行させるプログラムの例である。
【0103】
この場合、上記中央処理部は、対応するポート番号と、ポート開閉の有無と、侵入検知プログラムによるサポートの有無とに応じて、排他的に処理する。
【0104】
また、上記実施例は、侵入検知プログラムが所定機能を有し、Firewallが上記所定機能を設定する場合には、設定変更制御部が、上記侵入検知プログラムに上記所定機能を設定し、一方、侵入検知プログラムが所定機能を有しないか、または、Firewallが上記所定機能を設定しない場合には、上記設定変更制御部が、上記侵入検知プログラムに上記所定機能を設定しない制御手順と、上記侵入検知プログラムにおける現在の設定状態と、上記Firewallに設定されている設定状態との差を、中央処理装置が、検出する差検出手順と、上記差検出手順で検出された設定状態の差に応じて、データ更新制御部が、上記侵入検知プログラムの設定を変更させる設定変更手順とをコンピュータに実行させるプログラムの例である。
【0105】
さらに、上記プログラムを、CD、DVD、FD、HD、半導体メモリ等の記録媒体に記録するようにしてもよい。
【0106】
【発明の効果】
本発明によれば、複数のネットワークセキュリティ機能におけるセキュリティ設定を、1つに絞ることができ、つまり、重複設定を1本化することができ、作業効率が向上するという効果を奏し、しかも、人的寄与率が高いために発生していたセキュリティの穴を、未然に防止することができるという効果を奏する。
【図面の簡単な説明】
【図1】本発明の一実施例であるセキュリティ自動設定装置10と、Firewall20と、侵入検知プログラム30とを示すブロック図である。
【図2】セキュリティ自動設定装置10の全体の機能構成を示すブロック図である。
【図3】上記実施例において、Firewall20に格納されているパケット通過規則設定(セキュリティ設定ファイルα)の例を示す図である。
【図4】上記実施例において、設定変更制御部11が実行する動作を示すフローチャートである。
【図5】上記実施例において、中央処理部12が実行する動作を示すフローチャートである。
【図6】マッピングテーブルA(二次元マトリックス)に、図3に示すデータと、データベース13からのサポートデータとを入力し、侵入検知プログラム30の設定を出力として得る図である。
【図7】上記実施例における中央処理部12の動作説明図であり、マッピングテーブルAの作成方法の詳細を示す図である。
【図8】上記実施例におけるマッピングテーブルBを示す図である。
【図9】中央処理部12の動作を示すフローチャートであり、マッピングテーブルBの詳細動作として、排他処理の動作を示すフローチャートである。
【図10】上記実施例におけるシグネチャ制御部14の動作のフローチャートである。
【図11】シグネチャファイルの一覧の例を示す図である。
【符号の説明】
10…セキュリティ自動設定装置、
11…設定変更制御部、
12…中央処理部、
13…データベース、
14…シグネチャ制御部、
15…データ更新制御部、
20…Firewall、
21…パケット通過規則設定部、
30…侵入検知システム、
31…シグネチャデータベース。
Claims (6)
- Firewallにおけるパケット通過規則の設定値であるパケット通過規則設定値が変更されると、上記変更されたパケット通過規則設定値を取得し、上記変更されたパケット通過規則設定値に対応するポートの開閉状態を検出し、整理し、この検出されたポートの開閉状態を、Firewallのポート開閉情報として出力する設定変更制御部と;
侵入検知プログラムで使用する不正侵入の規則を示す値であるシグネチャ を格納し、この格納されているシグネチャとポートとの関係を示すサポート規則一覧を格納しているデータベースと;
上記データベースに格納されている上記サポート規則一覧を参照し、Firewallのポート開閉情報と、上記データベースを参照した侵入検知プログラムでサポートされているサポート規則一覧との照合結果に応じて、侵入検知プログラムの設定値を決定し、この決定された侵入検知プログラムの設定値と、現在の侵入検知プログラムの設定値との照合結果に応じて、侵入検知プログラムにおいて設定を変更すべき点である設定値変更点を決定し、出力する中央処理部と;
上記侵入検知プログラムの設定値を更新すべきシグネチャを、上記データベースから取得し、この取得したシグネチャと、上記中央処理部が出力した侵入検知プログラムの設定変更点とを出力するシグネチャ制御部と;
上記侵入検知プログラム内に存在するシグネチャを格納しているシグネチャデータベースと、シグネチャの使用有無を示す設定値との接続路を確保し、上記シグネチャ制御部が出力したシグネチャと、侵入検知プログラムとを用い、上記侵入検知プログラムのデータを更新するデータ更新制御部と;
を有することを特徴とするセキュリティ自動設定装置。 - 請求項1において、
上記中央処理部は、対応するポート番号と、ポート開閉の有無と、侵入検知プログラムによるサポートの有無とに応じて、排他的に処理することを特徴とするセキュリティ自動設定装置。 - Firewallにおけるパケット通過規則の設定値であるパケット通過規則設定値が変更されると、上記変更されたパケット通過規則設定値を取得し、上記変更されたパケット通過規則設定値に対応するポートの開閉状態を検出し、整理し、この検出されたポートの開閉状態を、Firewallのポート開閉情報として出力する設定変更制御段階と;
侵入検知プログラムで使用する不正侵入の規則を示す値であるシグネチャ を格納し、この格納されているシグネチャとポートとの関係を示すサポート規則一覧を、データベースに格納する格納段階と、
上記データベースに格納されている上記サポート規則一覧を参照し、Firewallのポート開閉情報と、上記データベースを参照した侵入検知プログラムでサポートされているサポート規則一覧との照合結果に応じて、侵入検知プログラムの設定値を決定し、この決定された侵入検知プログラムの設定値と、現在の侵入検知プログラムの設定値との照合結果に応じて、侵入検知プログラムにおいて設定を変更すべき点である設定値変更点を中央処理部が決定し、出力する設定値変更点決定段階と;
上記侵入検知プログラムの設定値を更新すべきシグネチャを、上記データベースから取得し、この取得したシグネチャと、上記中央処理部が出力した侵入検知プログラムの設定変更点とを出力するシグネチャ制御段階と;
上記侵入検知プログラム内に存在するシグネチャを格納しているシグネチャデータベースと、シグネチャの使用有無を示す設定値との接続路を確保し、上記シグネチャ制御部が出力したシグネチャと、侵入検知プログラムとを用い、上記侵入検知プログラムのデータを更新するデータ更新制御段階と;
を有することを特徴とするセキュリティ自動設定方法。 - 請求項3において、
上記中央処理部は、対応するポート番号と、ポート開閉の有無と、侵入検知プログラムによるサポートの有無とに応じて、排他的に処理することを特徴とするセキュリティ自動設定方法。 - Firewallにおけるパケット通過規則の設定値であるパケット通過規則設定値が変更されると、上記変更されたパケット通過規則設定値を取得し、上記変更されたパケット通過規則設定値に対応するポートの開閉状態を検出し、整理し、この検出されたポートの開閉状態を、Firewallのポート開閉情報として出力する設定変更制御手順と;
侵入検知プログラムで使用する不正侵入の規則を示す値であるシグネチャ を格納し、この格納されているシグネチャとポートとの関係を示すサポート規則一覧を、データベースに格納する格納手順と、
上記データベースに格納されている上記サポート規則一覧を参照し、Firewallのポート開閉情報と、上記データベースを参照した侵入検知プログラムでサポートされているサポート規則一覧との照合結果に応じて、侵入検知プログラムの設定値を決定し、この決定された侵入検知プログラムの設定値と、現在の侵入検知プログラムの設定値との照合結果に応じて、侵入検知プログラムにおいて設定を変更すべき点である設定値変更点を中央処理部が決定し、出力する設定値変更点決定手順と;
上記侵入検知プログラムの設定値を更新すべきシグネチャを、上記データベースから取得し、この取得したシグネチャと、上記中央処理部が出力した侵入検知プログラムの設定変更点とを出力するシグネチャ制御手順と;
上記侵入検知プログラム内に存在するシグネチャを格納しているシグネチャデータベースと、シグネチャの使用有無を示す設定値との接続路を確保し、上記シグネチャ制御部が出力したシグネチャと、侵入検知プログラムとを用い、上記侵入検知プログラムのデータを更新するデータ更新制御手順と;
をコンピュータに実行させるプログラムを記録したコンピュータ読取可能な記録媒体。 - 請求項5において、
上記中央処理部は、対応するポート番号と、ポート開閉の有無と、侵入検知プログラムによるサポートの有無とに応じて、排他的に処理することを特徴とするプログラムを記録したコンピュータ読取可能な記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003066045A JP3948668B2 (ja) | 2003-03-12 | 2003-03-12 | セキュリティ自動設定装置、セキュリティ自動設定方法および記録媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003066045A JP3948668B2 (ja) | 2003-03-12 | 2003-03-12 | セキュリティ自動設定装置、セキュリティ自動設定方法および記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004274654A JP2004274654A (ja) | 2004-09-30 |
JP3948668B2 true JP3948668B2 (ja) | 2007-07-25 |
Family
ID=33126865
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003066045A Expired - Fee Related JP3948668B2 (ja) | 2003-03-12 | 2003-03-12 | セキュリティ自動設定装置、セキュリティ自動設定方法および記録媒体 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3948668B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8955092B2 (en) * | 2012-11-27 | 2015-02-10 | Symantec Corporation | Systems and methods for eliminating redundant security analyses on network data packets |
-
2003
- 2003-03-12 JP JP2003066045A patent/JP3948668B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2004274654A (ja) | 2004-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9001661B2 (en) | Packet classification in a network security device | |
US8959197B2 (en) | Intelligent integrated network security device for high-availability applications | |
US11831609B2 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
US7444679B2 (en) | Network, method and computer readable medium for distributing security updates to select nodes on a network | |
US7409714B2 (en) | Virtual intrusion detection system and method of using same | |
US7197762B2 (en) | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits | |
US7379426B2 (en) | Routing loop detection program and routing loop detection method | |
US7646728B2 (en) | Network monitoring and intellectual property protection device, system and method | |
US20190312893A1 (en) | Associating a user identifier detected from web traffic with a client address | |
EP3821580B1 (en) | Methods and systems for efficient network protection | |
JP2011087302A (ja) | Bgp経路監視装置、bgp経路監視方法、およびプログラム | |
EP3826263B1 (en) | Method for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
JP2001034553A (ja) | ネットワークアクセス制御方法及びその装置 | |
US20210051180A1 (en) | Methods, systems, and devices related to managing in-home network security using artificial intelligence service to select among a plurality of security functions for processing | |
JP3948668B2 (ja) | セキュリティ自動設定装置、セキュリティ自動設定方法および記録媒体 | |
US20190278580A1 (en) | Distribution of a software upgrade via a network | |
JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム | |
Sari | Countering the IoT-powered volumetric cyberattacks with next-generation cyber-firewall: Seddulbahir | |
JP4526566B2 (ja) | ネットワーク装置、データ中継方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050117 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061208 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070123 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070413 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070413 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100427 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110427 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120427 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |