JP4509904B2 - ネットワークセキュリティ装置 - Google Patents

ネットワークセキュリティ装置 Download PDF

Info

Publication number
JP4509904B2
JP4509904B2 JP2005283238A JP2005283238A JP4509904B2 JP 4509904 B2 JP4509904 B2 JP 4509904B2 JP 2005283238 A JP2005283238 A JP 2005283238A JP 2005283238 A JP2005283238 A JP 2005283238A JP 4509904 B2 JP4509904 B2 JP 4509904B2
Authority
JP
Japan
Prior art keywords
communication information
packet
network security
information
learning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005283238A
Other languages
English (en)
Other versions
JP2007096735A (ja
Inventor
直聡 渡辺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2005283238A priority Critical patent/JP4509904B2/ja
Priority to US11/341,312 priority patent/US8544063B2/en
Publication of JP2007096735A publication Critical patent/JP2007096735A/ja
Application granted granted Critical
Publication of JP4509904B2 publication Critical patent/JP4509904B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、ネットワークセキュリティ技術に関し、特に、統計的な手法を用いてネットワークへの不正侵入の検知や防御等を実現する技術に適用して有効な技術に関する。
情報ネットワークを基盤とする情報化社会の進展に伴い、ネットワークセキュリティの確保は、情報漏洩防止、サービスの中断回避のため、ますます重要になっている。ネットワークセキュリティにおける脅威の内容の複雑化が進み、既知の悪意手順と照合し検出するパターンマッチ/シグネチャ分析手法とともに、長時間の通信情報の統計的な傾向を押えた上で、通常と異なる事象を検出するアノマリ(anomaly)分析手法を併せ用いることが一般的になりつつある(たとえば特許文献1)。
アノマリ分析手法は、その性質上、適用箇所における通信情報の流れ、傾向を長時間に渡って学習する必要がある。このため、本分析手法をサポートしたネットワークセキュリティ装置をユーザが導入しても、直ぐには、サービス/運用を開始はできず、導入設置してから1〜2週間の傾向学習期間を必要とする。
また、運用開始後も、ネットワークセキュリティ技術の進展により、新たなアノマリ分析項目が追加される場合もある。この場合、サービス継続中の学習が必要となるが、追加の分析項目に関しては、その分析項目の観点からの学習期間がやはり必要となる。そして、この学習期間内は、ネットワークセキュリティ装置が折角、存在するにも関わらず、ネットワークセキュリティが脅威にさらされている状況となる。
近年のように、ネットワークへの脅威の内容(すなわち悪意手法)が高度化し、かつ変化の速さが増すなかで、ネットワークセキュリティを堅牢にするためには、学習期間の短縮は、重要な技術的課題である。
この学習期間の短縮を実現する方法としては、リプレイモードを持ったパケットキャプチャ装置の利用が考えられる。
パケットキャプチャ装置は、ネットワークの特定箇所を流れるパケットを全て捕捉して記録し、ネットワークにおけるセキュリティ問題の発生時における証拠保全や、セキュリティ問題の解明を支援するための装置である。また、セキュリティ問題の解明のため、さらには、解明結果を、その後のネットワークの脅威の検出に活かすため、記録情報から、通信状況、パケット流やセッションを再現するリプレイモードをサポートしているパケットキャプチャ装置もある。
リプレイ結果をトラヒックとして、IDS(Intrusion Detection System:侵入監視システム)等のセキュリティ装置に入力し、学習させることも行われる。このように、パケットキャプチャ装置の利用は有用であり、当該装置の蓄積情報を用いて、ネットワークセキュリティ装置のエミュレーション環境、あるいは、導入予定のセキュリティ装置よりも高い性能の同じシリーズの製品装置で学習させた結果を導入予定のセキュリティ装置に移植することで、学習期間の短縮が図れる可能性がある。
しかしながら、多くの場合、パケットキャプチャ装置のリプレイ機能を利用した学習処理の実行環境は、ネットワークセキュリティ装置の開発/サポート元にあり、導入顧客のサイトに設置されていたパケットキャプチャ装置の情報を外部に持ち出すことになる。この結果、導入顧客側のセキュリティリスクが高まるため、上述のようなパケットキャプチャ装置の情報を利用した学習期間の短縮対策が敬遠されることが懸念される。すなわち、パケットキャプチャデータには、玉石混交、重要性の異なる、ありとあらゆるデータが含まれており、重要度によるデータの分別は実際上困難であり、重要でないデータのみの持ち出しを許可する等のセキュリティリスク対策は採りえないからである。
また、パケットキャプチャ装置に格納されたデータは、そもそも、過去の通信データであり、最新の通信状況を必ずしも反映していない。できるだけ最新の通信情報に基づいて、学習期間の短縮をはかることが望ましい。さらに、ネットワークセキュリティ装置の導入にあわせ、適用セキュリティポリシを変更する場合、過去の異なるセキュリティポリシの下で収集されたキャプチャデータは、そのままでは、学習のために十分な情報にならない可能性がある。
上述のように、アノマリ分析適用のため、ユーザがネットワークセキュリティ装置を導入し設置してから、所定の傾向学習期間が必要である。ユーザがパケットキャプチャ装置などで蓄積した学習素材となるデータを既に保持していた場合、学習期間の短縮が可能となる。すなわち、ネットワークセキュリティ装置の開発/サポート元に過去の蓄積情報を持ち出せば、ネットワークセキュリティ装置のエミュレーション環境、あるいは、導入予定装置よりも高い性能の同一シリーズ製品で学習させた結果を導入装置に移植することで、学習期間の短縮が可能となる。
しかし、情報保全に万全を期した持ち出しや情報管理などの運用は、ユーザ、ならびに、サポート側の双方にとって大きな負担であり、運用手順や手間の削減が課題となる。
なお、上述の特許文献1は、ネットワーク上を流れるトラヒックデータからの学習を想定しており、過去に蓄積されたトラヒックデータの利用については言及がない。
また、他の特許文献2では、主系および従系からなる冗長構成の防御対象にパケットを振り分けるパケット転送装置において、アノマリ型判定を行い、攻撃可能性を有するパケットは、従系に転送することで、侵入の致命的な被害から防御対象を保護しようとする技術が開示されている。しかし、アノマリ型判定における学習時間の短縮等の技術的課題は認識されていない。
さらに、他の特許文献3では、ネットワークの異常を判定する統計的な手法として、パケットをk個の分類毎に正規化し、パケット数を要素としたk次元ベクトルを用いて異常判定を実現する技術が開示されている。しかし、同様に、アノマリ型判定における学習時間の短縮等の技術的課題は認識されていない。
特開2004−312083号公報 特開2004−229091号公報 特開2004−312064号公報
本発明の目的は、ユーザが保持する過去の通信情報をセキュリティリスクに曝すことなく、当該通信情報を利用して学習期間の短縮を実現することが可能なアノマリ型のネットワークセキュリティ技術を提供することにある。
本発明の他の目的は、特別なハードウェアやソフトウェア等を別途必要とすることなく、ユーザが保持する過去の通信情報を利用して学習期間の短縮を実現することが可能なアノマリ型のネットワークセキュリティ技術を提供することにある。
本発明の他の目的は、学習型のネットワークセキュリティ装置において、特別なハードウェアやソフトウェア等を別途必要とすることなく、導入からセキュリティサービスの運用開始までの所要期間を大幅に短縮することにある。
本発明の第1の観点は、ネットワークを流れる通信情報を監視し、前記ネットワークへの不正侵入の検知および/または防御を行うネットワークセキュリティ装置であって、
統計的な手法を用いて、判定基準情報に基づき前記通信情報の異常の有無を判断する異常判定手段と、
前記通信情報から前記判定基準情報を生成する学習手段と、
現在の前記ネットワークから第1通信情報を取り込む第1ポートと、
通信情報蓄積装置に蓄積された過去の第2通信情報を取り込む第2ポートと、
前記第1および第2ポートの各々から取り込まれた前記第1および第2通信情報を前記異常判定手段および前記学習手段に振り分ける通信情報分配手段と、
を含み、
前記学習手段は、前記第1通信情報および/または前記第2通信情報を学習して前記判定基準情報を生成するネットワークセキュリティ装置を提供する。
本発明の第2の観点は、ネットワークを流れる通信情報を監視し、前記ネットワークへの不正侵入を検知し防御するネットワークセキュリティ装置の制御方法であって、
過去に前記ネットワークに流れた第2通信情報を蓄積する第1工程と、
現在の前記ネットワークに流れる第1通信情報と、前記第2通信情報とを並行して前記ネットワークセキュリティ装置に入力する第2工程と、
統計的な手法を用いて前記第1通信情報の異常の有無を判断する異常判定に用いられる判定基準情報を、前記第1および/または第2通信情報から学習する第3工程と、
を含むネットワークセキュリティ装置の制御方法を提供する。
本発明の第3の観点は、監視対象のネットワークに接続され、現在の前記ネットワークを流れる第1通信情報を取り込む第1ポートと、通信情報蓄積装置に蓄積された過去の前記ネットワークの第2通信情報を取り込む第2ポートと、統計的な手法を用いて前記通信情報の異常の有無を判断する異常判定に用いられる判定基準情報を、前記第1および/または第2通信情報から学習する学習手段とを具備したネットワークセキュリティ装置と、
前記ネットワークセキュリティ装置と前記通信情報蓄積装置との間に介在し、前記通信情報蓄積装置から前記ネットワークセキュリティ装置への前記第2通信情報の入力速度を制御する入力速度制御装置と、
を含むネットワークセキュリティシステムを提供する。
上記した本発明によれば、ネットワークセキュリティ装置に学習ポート(第2ポート)を持たせ、通常のサービスを提供する第1ポートによりリアルタイムで送受している第1通信情報(カレント情報)とともに、学習ポート経由でログサーバ/パケットキャプチャ装置等の通信情報蓄積装置から過去の第2通信情報を取り込んで学習する機能を設けることで、異常判定手段におけるアノマリ判定等に用いられる判定基準情報の構築のための学習時間を短縮し、かつ、最新の第1通信情報の学習結果も判定基準情報に反映させることができる。
顧客サイトに設置されるネットワークセキュリティ装置自体に備わっている学習機能を利用して、同じく顧客サイトに存在するログサーバ/パケットキャプチャ装置等の通信情報蓄積装置から過去の第2通信情報を取り込んで学習するので、学習時間を短縮するための特別なハードウェアやソフトウェアを必要としない。しかも、顧客サイトの通信情報蓄積装置から過去の第2通信情報を外部に持ち出す必要もない。
学習ポートは、通常サービス用ポート(WAN/LANポート)と同様に個別に物理的に設けてもよいし、ネットワークセキュリティ装置のマネジメント用ポートに、VLAN(Virtual LAN)等の技術を用いて論理的に多重してもよい。これにより、学習ポートを特別に設ける必要や、サービスポートを潰して学習ポートに割り当てる必要がなくなり、ネットワークセキュリティ装置におけるポート数が削減できる。換言すれば、ポート数が少ないネットワークセキュリティ装置でも、学習ポートを利用した学習期間の短縮を実現することが可能になる。
ログサーバ/パケットキャプチャ装置等の通信情報蓄積装置は、ネットワークセキュリティ装置の導入/設置位置とは異なる位置にあるのが普通なので、その場合、ネットワークセキュリティ装置を流れる通信情報を抽出する。
ここで、異常判定手段におけるアノマリ分析の変数を、時間を意識するものとしないものに分類し、時間を意識し、かつ、学習ポートから取り込んだ情報は、後述する過去の通信情報の再生レートにあわせる処理を行った上で、カレント通信情報の変数情報と合流させる。
すなわち、アノマリ判定等における分析変数は、大きく、時間を意識しない項目(時間性独立項目)と、時間に依存する項目(時間依存項目)に分けられる。
時間を意識しない項目(時間性独立項目)とは、特定フィールドの取り得る値の確率、各種状態遷移の確率、また、セッション当たりのパケットサイズ分布やデータ量等、時間経過を含まない統計的な相関分析を行う項目である。この場合は、パケット/セッションのサンプル数を増やしたい場合には、過去の通信情報もカレント通信情報と同等に、単純に多重した扱いができる。
時間に依存する項目(時間依存項目)とは、単位時間当たりのパケット数、セッション数等や、各種頻度(宛先/送信元毎アクセス頻度、サービス毎利用頻度、利用時間帯、アクセス頻度過多過少)等、時間の意識が必要な項目や、時系列的な分析が必要な時間相関関係の項目である。過去の通信情報は、採取時刻が現在時刻でなく、再生速度がリアルタイムの処理速度とは異なるので、まず、現実時刻を基に取り扱うカレント情報との分離が必要である。
この時間依存項目については、学習手段内の統計解析部に対して、過去時刻情報の入力や、リアルタイム処理速度への変換を行った上で渡す必要がある。
ネットワークセキュリティ装置が上記のように時間を意識した項目を処理できるようにするため、ログサーバ/パケットキャプチャ装置等の通信情報蓄積装置の側では、蓄積している過去の第2通信情報に関する時刻情報および再生レート(現実の時間の進みに対する過去の第2通信情報の処理での時間の進み比)を当該ネットワークセキュリティ装置に通知する機能を備える。
また、ネットワークセキュリティ装置は、カレントの第1通信情報の処理負荷に応じ、過去の第2通信情報の処理に割り当るリソースを変更し、変更内容を、ログサーバ/パケットキャプチャ装置に通知する機能を有する。一方、ログサーバ/パケットキャプチャ装置は、その通知を受けて、過去の第2通信情報の再生レートを変更する機能を有する。
このように、カレントの第1通信情報の少ないときに、過去の第2通信情報の学習にリソースを割り当てる制御を行うことで、通常のサービスに影響を与えることなく、過去の第2通信情報の学習による学習時間の短縮を実現できる。
ネットワークセキュリティ装置の導入にあわせて、セキュリティポリシの変更を行う場合、変更後のフィルタリングルールを学習ポートに適用することにより、過去の第2通信情報に対して最新セキュリティポリシを適用してから取り込む。これにより、過去の第2通信情報による学習によって、現在のセキュリティポリシにて処理されるカレントの第1通信情報に有効なアノマリ判定が可能な判定基準情報を構築することができる。
本発明によれば、ユーザが保持する過去の通信情報をセキュリティリスクに曝すことなく、当該通信情報を利用して学習期間の短縮を実現することが可能となる。
また、特別なハードウェアやソフトウェア等を別途必要とすることなく、ユーザが保持する過去の通信情報を利用して学習期間の短縮を実現することが可能となる。
また、学習型のネットワークセキュリティ装置において、特別なハードウェアやソフトウェア等を別途必要とすることなく、導入からセキュリティサービスの運用開始までの所要期間を大幅に短縮することが可能となる。
以下、図面を参照しながら、本発明の実施の形態について詳細に説明する。
図1は、本発明の一実施の形態であるネットワークセキュリティシステムの構成の一例を示す概念図である。
本実施の形態のネットワークセキュリティシステム10は、ルータ11、LAN(Local Area Network)12、マネジメント機構13、スイッチ14、情報処理装置15、およびネットワークセキュリティ装置1000、パケット蓄積装置2000を含んでいる。
ルータ11は、LAN12を広域通信網(WAN:Wide Area Network)等の外部ネットワーク16に接続する経路制御装置である。LAN12には、スイッチ14を介して複数の情報処理装置15が接続されている。
本実施の形態の場合、情報処理装置15(スイッチ14)とLAN12との接続境界には、後述のネットワークセキュリティ装置1000が介設されている。ネットワークセキュリティ装置1000は、LAN12や外部ネットワーク16から到来し、ネットワークサービスポートPSに入出力される現行パケットP1を監視し、当該現行パケットP1が不正なパケットか否かを判別して、情報処理装置15に対する不正アクセスを検出し、遮断する。
本実施の形態の場合、後述のように、ネットワークセキュリティ装置1000は、稼働状態で入出力される現行パケットP1を学習して統計的な手法により不正なアクセスを検出するアノマリ型の不正検出と、パターンマッチングによるシグネチャ型の不正検出の両方の機能を備えている。
LAN12には、ルータ11に接続されたパケット蓄積装置2000が設けられており、外部ネットワーク16から到来する全ての現行パケットP1がパケット蓄積装置2000に捕捉されて蓄積される。
パケット蓄積装置2000に蓄積された現行パケットP1は、将来、必要に応じて、蓄積パケットP2として外部に出力される。
後述のように、本実施の形態のネットワークセキュリティ装置1000は、現在のLAN12を流れる現行パケットP1が入出力されるネットワークサービスポートPSの他に、学習ポートPLが設けられている。
この学習ポートPLには、パケット蓄積装置2000が接続されており、パケット蓄積装置2000が過去に捕捉して蓄積している蓄積パケットP2が必要に応じて入力される。
すなわち、本実施の形態の場合、ネットワークセキュリティ装置1000を、LAN12に新規に導入した場合や、ネットワークセキュリティ装置1000におけるセキュリティポリシ等の動作仕様に変更があった場合、ネットワークセキュリティ装置1000は、LAN12を流れる現行パケットP1を用いた学習と並行して、学習ポートPLを介してパケット蓄積装置2000から入力される過去の蓄積パケットP2を用いた学習を行うことが可能なっている。
マネジメント機構13は、LAN12に設置されたネットワークセキュリティ装置1000およびパケット蓄積装置2000の管理を行う。
図2は、本実施の形態のネットワークセキュリティ装置1000の構成の一例を示すブロック図である。
本実施の形態のネットワークセキュリティ装置1000は、ネットワークインタフェース1001、パケット解析部1002、シグネチャ型侵入検出部1003、変数抽出部1004、変数加工部1005、統計加工テーブル1006、配信多重部1007、統計解析部1008、統計解析テーブル1009、アノマリ判定部1010、アノマリ評価テーブル1011、送信ネットワークインタフェース1012、統計解析部1013、統計解析テーブル1014、学習部1015および学習データテーブル1016を含んでいる。
ネットワークインタフェース1001および送信ネットワークインタフェース1012は、ネットワークサービスポートPSを介して、現在のLAN12を流れている現行パケットP1の入出力を行う。
本実施の形態の場合、このネットワークサービスポートPSの他に学習ポートPLが設けられている。この学習ポートPLは、ネットワークインタフェース1101に収容され、パケット蓄積装置2000からの蓄積パケットP2の取り込みを行う。
パケット解析部1002、シグネチャ型侵入検出部1003、変数抽出部1004は、現行パケットP1および蓄積パケットP2に共通に用いられる。
また、この学習ポートPLから入力される蓄積パケットP2を、現行パケットP1と並行処理するために、上述の、変数加工部1005、統計解析部1008、アノマリ判定部1010に対応した、変数加工部1105、統計解析部1108、アノマリ判定部1110を備えている。
学習処理を実行する統計解析部1013、統計解析テーブル1014、学習部1015、および学習データテーブル1016は、現行パケットP1および蓄積パケットP2に共通に用いられる。
パケット解析部1002は、現行パケットP1、蓄積パケットP2の認識のパケットとしての認識、パケットからの必要な情報の抽出、セッションの組み立て、上位プロトコルデータの認識、等の処理を行う。
シグネチャ型侵入検出部1003は、FW(ファイアウォール)およびシグネチャ型IDS(Intrusion Detection System)で構成されている。そして、通過しようとするパケットの特定の情報と、登録済みの不正アクセスパターン情報との一致/不一致にて、侵入の有無を判定する。
変数抽出部1004は、現行パケットP1、蓄積パケットP2からの、後述のアノマリ判定部1010、アノマリ判定部1110でのアノマリ判定に必要な変数の抽出を行う。
変数加工部1005(変数加工部1105)は、現行パケットP1(蓄積パケットP2)に関する前段の変数抽出部1004からの情報をもとに、頻度/単位時間当たりのフィールド値出現数/パケット受信数/セッション起動数/セッション状態発生数、さらに、それらの変化率などの変数を求める処理を行う。このため、変数加工部1005(変数加工部1105)は、計時機能としてタイマ1005a(タイマ1105a)を備えている。
配信多重部1007は、分岐部1007a、分岐部1007b、多重化部1007cを備えている。
分岐部1007aは、前段の変数加工部1005から渡される現行パケットP1の変数を識別し、既知の評価指標パラメータ(評価指標値/閾値Va)に基づいてアノマリ判定を行うルート(統計解析部1008→アノマリ判定部1010→送信ネットワークインタフェース1012)と、学習処理によって評価指標パラメータの値を求めるルート(統計解析部1013→学習部1015)に変数を振り分ける処理、あるいは当該変数をコピーして同じものを各ルートに配る処理を行う。
分岐部1007bは、前段の変数加工部1105から渡される蓄積パケットP2の変数を識別し、既知の評価指標パラメータ(評価指標値/閾値Va)に基づいてアノマリ判定を行うルート(統計解析部1108→アノマリ判定部1110)と、学習処理によって評価指標パラメータの値を求めるルート(統計解析部1013→学習部1015)に変数を振り分ける処理、あるいは、当該変数をコピーして同じものを各ルートに配る処理を行う。
多重化部1007cは、変数加工部1005から到来する現行パケットP1の変数と、変数加工部1105から到来する蓄積パケットP2の変数を多重化して、学習処理によって評価指標パラメータの値を求めるルート(統計解析部1013→学習部1015)に供給する処理を行う。
この多重化部1007cでは、現行パケットP1および蓄積パケットP2の時間独立性項目の変数に関しては、単純な合流を行う。また、多重化部1007cでは、現行パケットP1および蓄積パケットP2の時間依存性項目の変数に関しては、前段の変数抽出部1004および変数加工部1005、変数加工部1105と共同して、時間情報(時刻、再生レート)抽出と、当該抽出情報に基づく時刻情報の入力、リアルタイム処理速度への変換処理を行う。
この多重化部1007cの学習ルートにおける役割を、図3および図4を参照してより詳細に説明する。
本実施の形態では、アノマリ分析の項目を、分析する相関関係で分類/識別する。このため、多重化部1007cは、本分類に基づき、カレント情報(現行パケットP1)と過去情報(蓄積パケットP2)との合流/結合方法を切り替える機能を持つ。
分析相関関係の項目は、大きく、時間を意識しない項目(時間性独立項目)と、時間に依存する項目(時間依存項目)に分けられる。
時間を意識しない項目(時間性独立項目)としては、特定フィールドの取り得る値の確率、各種状態遷移の確率、また、セッション当たりのパケットサイズ分布やデータ量等、時間経過を含まない統計的な相関分析を行う項目がある。この時間性独立項目の処理では、パケット/セッションのサンプル数を増やしたい場合、過去情報もカレント情報と同等に、単純に多重した取り扱いができる。
このため、図3に例示されるように、多重化部1007cには、時間性独立項目の単純な多重化を行うためにトラヒックデータ多重部1007c−1が設けられている。
一方、時間に依存する項目(時間依存項目)としては、単位時間当たりのパケット数、セッション数等や、各種頻度(宛先/送信元毎アクセス頻度、サービス毎利用頻度、利用時間帯、アクセス頻度過多過少)等、時間の意識が必要な項目や、時系列的な分析が必要な時間相関関係の項目がある。蓄積パケットP2等の過去情報は、採取時刻が現在時刻でなく、再生速度がリアルタイムの現行パケットP1の処理速度とは異なるので、まず、現実時刻を基に取り扱うカレント情報(現行パケットP1)との分離が必要である。
このため、図3に例示されるように、多重化部1007cにおいて、蓄積パケットP2の処理を行う経路には、統計解析部1013に対して、過去時刻情報(過去時刻/曜日)の入力や、トラヒックデータをリアルタイム処理速度への変換を行った上で渡す処理を行うために、時間情報抽出分離部1007c−2が設けられている。
この図3の例では、統計解析部1013の内部では、現行パケットP1に由来する時間依存項目と、蓄積パケットP2に由来する時間依存項目は等価に取り扱われる。
一方、リアルタイム取得情報(現行パケットP1)を過去情報(蓄積パケットP2)よりも重要度の高い情報として取り込むポリシを適用する場合における配信多重部1007の作用を図4に例示する。
この場合、統計解析部1013では、ネットワークセキュリティ装置1000内の規格化されたパラメータ値算出まで処理した上で、この現行パケットP1および蓄積パケットP2の各々に由来する2種の時間依存項目の情報を重み付けして多重する。このため、統計解析部1013には、現行パケットP1および蓄積パケットP2の各々に由来する2種の時間依存項目の情報を重み付けして多重する動作を行う現在系−過去系情報多重化部1013aが設けられている。
そして、現在系−過去系情報多重化部1013aでは、時間情報抽出分離部1007c−2から渡された蓄積パケットP2の時間情報(過去時刻/曜日)に基づいて、現行パケットP1に由来する現在系の時間依存項目と、蓄積パケットP2に由来する過去系の時間依存項目とを、たとえば重み付け畳み込み等の方法で多重化する。
統計解析部1008(統計解析部1108)は、現行パケットP1(蓄積パケットP2)に関する、後段のアノマリ判定部1010(アノマリ判定部1110)で必要な指標の統計的な解析を行う。
統計解析テーブル1009(統計解析テーブル1014)は、統計解析部1008(統計解析部1013)における統計処理に際して、複数の変数の各々に関する平均値、分散、アノマリ評価関数値域等の統計値が記録されるテーブルである。
同様に、学習ルートの統計解析部1013は、後段の学習部1015で必要な指標の統計的な解析を行う。
アノマリ判定部1010は、統計解析部1008で算出された現行パケットP1に関する値が正常か異常かを、アノマリ評価テーブル1011に保持した評価指標値/閾値Vaで判定する。
アノマリ判定部1110は、統計解析部1108で算出された蓄積パケットP2に関する値が正常か異常かを、アノマリ評価テーブル1011に保持した評価指標値/閾値Vaで判定する。
学習部1015は、統計解析部1013から得られた統計解析データを用いて、回帰分析等の手法を用い、アノマリ方式でパケットが正常か異常かを判定するための評価指標値/閾値Vaを求め、学習データテーブル1016に格納する。
この学習データテーブル1016に学習結果として記録された評価指標値/閾値Vaは、随時、アノマリ評価テーブル1011の評価指標値/閾値Vaに反映され、アノマリ判定部1010による現行パケットP1の監視に用いられる。
図5は、本実施の形態のパケット蓄積装置2000の構成の一例を示すブロック図である。パケット蓄積装置2000は、ネットワークインタフェース2002、保存加工部2001、パケットデータ蓄積部2003、再生部2202、受信ネットワークインタフェース2100、パケット解析部2101、および送信ネットワークインタフェース2200を含んでいる。
そして、LAN12等のネットワークの特定箇所(この場合、図1の右境界のルータ11)でスヌープ/ミラーされた現行パケットP1等の通信データを、ネットワークインタフェース2002を経由して捕捉し、保存加工部2001でタイムスタンプの付加や圧縮等の処理を行った後、所定の記憶媒体からなるパケットデータ蓄積部2003へ書き込み、蓄積する。
また、外部から到来する制御パケットを、受信ネットワークインタフェース2100を介して受信し、パケット解析部2101で解析する。そして、再生指示の場合には、既定の再生速度での再生を再生部2202に指示し、再生された蓄積パケットP2は、送信ネットワークインタフェース2200を経由してネットワークセキュリティ装置1000の学習ポートPLに送出される。
以下、本実施の形態のネットワークセキュリティ装置1000の作用の一例について説明する。
まず、現行パケットP1を処理する場合の動作の概要を示す。
不正侵入監視、防御を実施するポートであるネットワークサービスポートPSに到来する現行パケットP1を、ネットワークインタフェース1001を介して受信する。
受信した現行パケットP1を、パケット解析部1002にて、パケットとして認識し、必要な情報を抽出し、セッションの組み立て、更に上位プロトコルデータの認識を行う。
この上位プロトコルデータ等のパケット情報をもとに、シグネチャ型侵入検出部1003にて、パケットのフィルタリング、セッションの遮断を行う。
このシグネチャ型侵入検出部1003を通過したパケットについて、アノマリ判定に必要な変数の抽出を、変数抽出部1004において行う。ここでの変数は、上述のパケット解析部1002で抽出する情報と重複し、各レイヤ/プロトコルデータにおける各種フィールドの値/文字列や、パケット受信、セッション起動確立イベント発生/状態などである。
続く変数加工部1005では、変数抽出部1004からの情報をもとに、頻度/単位時間当たりのフィールド値出現数/パケット受信数/セッション起動数/セッション状態発生数や、さらに、それらの変化率などの変数を求め、前段の変数抽出部1004から受信した変数とともに、配信多重部1007へ渡す。変数加工部1005に接続される統計加工テーブル1006は、上述の変化率を求めるためのカウンタ類を保持する。
配信多重部1007は、既知の評価指標パラメータに基づいてアノマリ判定を行うルート(統計解析部1008→アノマリ判定部1010→送信ネットワークインタフェース1012)と、学習し、評価指標パラメータの値を求めるルート(統計解析部1013→学習部1015)に変数を渡す。
この配信多重部1007において、各ルートで必要な変数を識別し、変数情報を各ルートに振り分け、あるいは、変数情報をコピーして同じものを各ルートに配る。
[アノマリ判定を行うルートでの処理]
統計解析部1008は、後段のアノマリ判定部1010で必要な指標の統計的な解析を行う。配信多重部1007から受信した個々の変数のみならず、複数の変数の相関性を計算する。
アノマリ判定部1010は、統計解析部1008で算出された値が正常か異常かをアノマリ評価テーブル1011に保持した評価指標値/閾値Vaで判定する。このアノマリ判定の結果が正常ならば、受信パケットを送信ネットワークインタフェース1012へ送信する。異常と判定された場合は、該パケットを廃棄し、かつ、該パケットに属するセッションの遮断を行うために、該セッションの情報を不正アクセスパターン情報Vsとしてシグネチャ型侵入検出部1003にフィードバックして登録する。
[学習を行うルートでの処理]
統計解析部1013は、統計解析部1008と同様に後段の学習部1015で必要な指標の統計的な解析を行う。
学習部1015では、統計解析のデータを用いて、回帰分析等の手法を用い、正常異常判定する評価指標値/閾値Vaを求め、学習データテーブル1016に格納する。
[学習ポートPLから入力される蓄積パケットP2の処理]
パケット蓄積装置2000に接続される学習ポートPLを収容するネットワークインタフェース1101から入力される蓄積パケットP2の処理は以下のように行われる。
なお、学習ポートPLを収容するネットワークインタフェース1101は、学習ポートPLのために専用に設ける構成としてもよいが、複数インタフェースをサポートする装置の場合は、ネットワークサービスポートPS用の空いているインタフェースの一つを用いる構成としてもよい。
学習ポートPLで受信した蓄積パケットP2に対し、ネットワークサービスポートPSの受信パケットと同様に、パケット解析部1002でのパケット解析、シグネチャ型侵入検出部1003でのFW/シグネチャ型IDSによる侵入チェック処理、を適用した後、変数抽出部1004で変数を抽出し、配信多重部1007で現行パケットP1の変数と多重化して、統計解析部1013および学習部1015のルートに入力することで学習を行う。
また、ネットワークサービスポートPSの現行パケットP1の処理ルートと並行して、統計解析部1108およびアノマリ判定部1110においてアノマリ判定を実行し、判定結果に基づく不正アクセスパターン情報Vsのフィードバックにより、蓄積パケットP2に関するパケット/セッション遮断をシグネチャ型侵入検出部1003で行わせる。学習用に入力される蓄積パケットP2に対して、現行パケットP1と同様のFW/シグネチャ型IDSをシグネチャ型侵入検出部1003において適用することで、セキュリティポリシの変更に対応した学習を行うことが可能となる。
本実施の形態の場合、蓄積パケットP2に入力による学習に際しては、予めパケット蓄積装置2000の再生レートを決めておく場合を想定し、頻度/変化率など時間の経過を意識した処理が必要な変数を、変数加工部1105にて識別し、既定の再生レートにあわせて、変数加工部1105のタイマ1105aのクロックを変更することで、所用の統計変数が求められるようにする。
上述のネットワークセキュリティ装置1000の動作を、図6のフローチャートに示す。
すなわち、ネットワークサービスポートPS(学習ポートPL)より現行パケットP1(蓄積パケットP2)を受信すると(ステップS1000)、パケット解析部1002にて当該パケットを解析し(ステップS1001)、シグネチャ型侵入検出部1003で、侵入検出を行い(ステップS1004)、変数抽出部1004で変数抽出を行い(ステップS1005)、さらに、変数加工部1005(変数加工部1105)において変数の種別に応じた変数加工を行う(ステップS1006)。
そして、統計解析部1008(統計解析部1108)でアノマリ判定用の統計解析を実行し(ステップS1009)、アノマリ判定部1010(アノマリ評価テーブル1011)でアノマリ判定を行う(ステップS1010)。
そして、アノマリ判定の結果が異常か否かを判別し(ステップS1011)、異常と判定された場合には、シグネチャ型侵入検出部1003へ、不正アクセスパターン情報Vsを送信するとともに、当該パケットの廃棄を指示し(ステップS1012)、現行パケットP1(蓄積パケットP2)を廃棄する(ステップS1013)。
ステップS1011で、正常と判定された場合には、さらに、当該パケットが現行パケットP1か学習用に学習ポートPLから入力された蓄積パケットP2かを判別し(ステップS1014)、蓄積パケットP2であると判定された場合には、当該蓄積パケットP2を廃棄する(ステップS1013)。
ステップS1014で、現行パケットP1であると判定された場合には、送信ネットワークインタフェース1012を経由して、当該現行パケットP1を送出する(ステップS1015)。
上述のステップS1009〜ステップS1015の処理と並行して、統計解析部1013、学習部1015のルートでは、現行パケットP1、蓄積パケットP2の情報の学習用の統計解析(ステップS1016)、および学習(ステップS1017)を実行し、学習済みの情報は廃棄する(ステップS1018)。
このように、現行パケットP1とともに、学習ポートPLを経由してパケット蓄積装置2000から過去の蓄積パケットP2の情報を入力して学習することで、学習時間を短縮し、かつ、LAN12や外部ネットワーク16における現行パケットP1の最新の傾向も踏まえたセキュリティサービスを実現することができる。
すなわち、現行パケットP1や蓄積パケットP2の解析および学習と、学習結果の装置パラメータへの反映まで含めて、ネットワークセキュリティ装置1000がそれ自身で備えている機能を利用できる。この結果、別途、追加の解析や、学習結果をネットワークセキュリティ装置1000に実装するためのソフトウェア/ツールが不要となり、低コストにて、ネットワークセキュリティ装置1000の導入、運営管理を実現することができる。
すなわち、ネットワークセキュリティ装置1000の制御性は、依然として、ベンダ依存の部分が大きい。従来は、ログサーバ/パケットキャプチャ装置の記録情報を、ベンダの開発サイトに持ち込んで再生、解析し、さらに、専用のソフトウェア、あるいは、エキスパートシステムを用いて、導入予定のネットワークセキュリティ装置1000に応じた制御パラメータに変換したり、対応付けを行わせる必要があった。
ネットワークの解析までは、汎用製品で対応できるが、個々のネットワークセキュリティ装置1000の仕様に応じた部分は、ベンダ依存部分で、提供されるとしても、まだまだ、ベンダからの個別提供となり、別途、購入品となる場合が多いことが予想される。
これに対して、本実施の形態の場合には、ネットワークセキュリティシステム10に導入されたネットワークセキュリティ装置1000が備えた解析機能や学習機能等を、そのまま当該ネットワークセキュリティシステム10内に存在するパケット蓄積装置2000から入力される蓄積パケットP2に適用することが可能であるため、余分なソフトウェアやツールは全く不要であり、さらに、パケット蓄積装置2000に蓄積された貴重なデータを外部に持ち出す必要もない。
すなわち、学習型のネットワークセキュリティ装置1000において、特別なハードウェアやソフトウェア等を別途必要とすることなく、ネットワークセキュリティシステム10への導入からセキュリティサービスの運用開始までの所要期間を大幅に短縮することが可能となる。
次に、本実施の形態の変形例について説明する。以下に説明する変形例では、パケット蓄積装置2000Aにおける蓄積パケットP2の再生レートを、ネットワークセキュリティ装置1000Aから制御する場合について説明する。
すなわち、ネットワークセキュリティ装置1000Aにおいて、現行パケットP1および学習ポートPLから入力される蓄積パケットP2の統計解析/アノマリ判定/学習の処理負荷を計測し、処理負荷に応じてパケット蓄積装置2000Aにおける蓄積パケットP2の再生レートを制御する。
図7は、この変形例におけるネットワークセキュリティ装置1000Aの構成例を示すブロック図である。
再生情報抽出部1112、性能管理部1113、および送信ネットワークインタフェース1102が設けられているところが、上述の図2の場合異なっており、他は同じである。
送信ネットワークインタフェース1102は、ネットワークインタフェース1101とともに学習ポートPLを共用している。図7では、説明の便宜上、パケット蓄積装置2000Aが二重に図示されているが、実際は一つである。
性能管理部1113は、ネットワークセキュリティ装置1000Aにおける現行パケットP1、蓄積パケットP2の統計解析/アノマリ判定/学習の処理負荷を計測し、再生レート指示情報1113aを含む制御パケットP4を送信ネットワークインタフェース1102(学習ポートPL)を介してパケット蓄積装置2000Aに出力する。
処理負荷が大きい場合には、再生レート指示情報1113aは、再生停止または、低い再生レートをパケット蓄積装置2000Aに指示して、現行パケットP1の処理性能を向上させる。
逆に、処理負荷が小さい場合には、高い再生レートをパケット蓄積装置2000Aに指示し、ネットワークセキュリティ装置1000Aのリソースを蓄積パケットP2の学習に有効に活用する。
パケット蓄積装置2000Aから入力される蓄積パケットP2の再生レートが変化すると、変化する再生レートに合わせて変数加工部1105における上述のタイマ1105aにおける計時速度を調整する必要がある。
このため、再生情報抽出部1112は、蓄積パケットP2に混在してパケット蓄積装置2000Aから到来する再生レート予告パケットP3を検出し、この再生レート予告パケットP3に設定されている再生レート情報1112aを読み出して、変数加工部1105のタイマ1105aのクロック(計時速度)を調整する動作を行う。
図8は、本変形例におけるパケット蓄積装置2000Aの構成例を示すブロック図である。
再生指示情報抽出部2102および再生情報挿入部2201が追加されている点が、上述の図5の場合と異なっている。
すなわち、再生指示情報抽出部2102は、ネットワークセキュリティ装置1000Aの性能管理部1113から到来する上述の制御パケットP4に含まれる再生レート指示情報1113aに応じて、再生部2202における蓄積パケットP2の再生レートを調整する。さらに、当該調整開始に先立って、調整後の再生レートの情報を、再生レート予告パケットP3に乗せて、蓄積パケットP2に混在させてネットワークセキュリティ装置1000Aに入力することで再生レートの変化を予告する。
これにより、ネットワークセキュリティ装置1000Aの性能管理部1113からの指示でパケット蓄積装置2000Aが蓄積パケットP2の再生レートを変化させても、再生情報抽出部1112は、再生レート予告パケットP3の検出によって事前に再生レートの変化を予知して、再生レート予告パケットP3に設定されている再生レート情報1112aを変数加工部1105に入力することで、変数加工部1105のタイマ1105aの動作を変化した蓄積パケットP2の再生レートに同期させることができる。
図9は、ネットワークセキュリティ装置1000Aにおける性能管理部1113の動作を示すフローチャートである。
図示しないタイマ等により、性能監視トリガが発生すると(ステップS1101)、ネットワークセキュリティ装置1000Aにおける現行パケットP1、蓄積パケットP2の処理負荷を計測し(ステップS1102)、計測された負荷に基づいてパケット蓄積装置2000Aにおける蓄積パケットP2の再生レートを算出し(ステップS1103)、この算出結果を、再生レート指示情報1113aとして制御パケットP4に乗せて、学習ポートPLを経由してパケット蓄積装置2000Aに通知する(ステップS1104)。
図10は、この通知を受けた本変形例のパケット蓄積装置2000Aにおける再生レートの変更処理の一例を示すフローチャートである。
ネットワークセキュリティ装置1000Aからパケットを受信すると(ステップS2001)、パケット解析部2101において当該パケットを解析し(ステップS2002)、制御パケットP4か否かを判別し(ステップS2003)、制御パケットP4の場合には、再生レート指示情報1113aを抽出する(ステップS2004)。
そして、再生レート指示情報1113aの内容から再生レートの変更の要否を判別し(ステップS2005)、変更要の場合には、まず、再生情報挿入部2201において、再生レート予告パケットP3を生成して、再生レートの変更をネットワークセキュリティ装置1000Aに通知した後(ステップS2006)、再生部2202に対して、指示された再生レートに変更するように指令する(ステップS2007)。
図11は、本変形例のネットワークセキュリティ装置1000Aの全体の作用の一例を示すフローチャートである。
ステップS1002、ステップS1003、およびステップS1007、ステップS1008が追加されている点が、上述の図6と異なり、他は同様である。
すなわち、ネットワークセキュリティ装置1000Aは、再生情報抽出部1112で再生レート予告パケットP3を識別して抽出し(ステップS1002,ステップS1003)、新再生レートに移行することを認識し、新再生レートにあわせて、再生レート情報1112aを変数加工部1105に入力することで、変数加工部1105の持つタイマ1105aのクロックを変更する(ステップS1007,ステップS1008)。
このように、本変形例の場合には、ネットワークセキュリティ装置1000Aにおける処理負荷の変動に応じて、たとえば、現行パケットP1の情報処理の負荷が小さいときに、蓄積パケットP2を利用した学習に処理能力を振り向けることが可能となり、より学習速度の向上が期待できる。換言すれば、情報処理装置としてのネットワークセキュリティ装置1000Aの可用性が向上する。
ネットワーク利用率を平均的に見れば、業務時間であっても50%には満たず、夜中や朝方は、せいぜい10%である。たとえば、パケットキャプチャ装置のあるベンダは、土曜日、日曜日については、ネットワーク利用率が5%であることを前提に、パケットキャプチャ用ディスク装置の容量を決めている。
通常の学習型のネットワークセキュリティ装置をLAN12に設置しても、処理負荷は、大体、ネットワーク利用率に比例し、処理リソースの大部分は遊んでいる。
この点に着目すると、本変形例の場合には、ネットワークセキュリティ装置1000Aの空きリソースを、パケット蓄積装置2000Aから入力される蓄積パケットP2の学習に当てることで、学習効率を上げ、学習時間をさらに短縮することが可能になる。
上述の変形例の説明では、外部からの再生レートの変更指示を認識する再生指示情報抽出部2102、再生情報挿入部2201、等の機構を備えた図8のパケット蓄積装置2000Aを用いる場合を例示したが、一般のパケット蓄積装置2000Bをそのまま用いる例を以下の図12に例示する。
この場合、図12に例示されるような再生入力変換装置3000を、既存のパケット蓄積装置2000Bとネットワークセキュリティ装置1000Aとの間に介在させることで、一般のパケット蓄積装置2000Bに対しても、蓄積パケットP2の再生処理における再生レートを外部から制御することを可能にする。
すなわち、再生入力変換装置3000は、ネットワークインタフェース3100、パケット解析部3101、再生指示情報抽出部3102、ネットワークインタフェース3200、再生情報挿入部3201、再生部3202、ネットワークインタフェース3300、キュー3301、ネットワークインタフェース3400、バックプレッシャ起動部3401、を含んでいる。
ネットワークインタフェース3100およびネットワークインタフェース3200は、ネットワークセキュリティ装置1000Aの学習ポートPLに接続される。
ネットワークインタフェース3300およびネットワークインタフェース3400は、パケット蓄積装置2000Bにイーサネット(登録商標)等の接続インタフェースで接続される。
パケット蓄積装置2000Bからネットワークインタフェース3300を介して読み出された蓄積パケットP2は、一旦、キュー3301に保持される。
キュー3301に保持された蓄積パケットP2は、先入れ/先出し方式で、逐次、再生部3202に読み出され、当該再生部3202で蓄積パケットP2に所定の再生処理を施した後、ネットワークインタフェース3200から、ネットワークセキュリティ装置1000Aの学習ポートPLに入力される。
キュー3301は、蓄積パケットP2が満杯になると、バックプレッシャ起動信号3301aにて、バックプレッシャ起動部3401を起動し、これを受けたバックプレッシャ起動部3401は、ネットワークインタフェース3400を介して、パケット蓄積装置2000Bに対して、バックプレッシャ信号3401aを送出し、パケット蓄積装置2000Bからキュー3301への蓄積パケットP2の送出を抑制する。
このバックプレッシャ起動部3401から出力されるバックプレッシャ信号3401aは、イーサネット(登録商標)の規格上で標準にサポートされている機能を用いる。このため、パケット蓄積装置2000Bの側に、蓄積パケットP2の送出速度を制御するための特別な機構は不要である。
従って、キュー3301から再生部3202へ蓄積パケットP2の読み出し速度に応じて、パケット蓄積装置2000Bからキュー3301への蓄積パケットP2の読み出し速度も自動的に制御されることになる。
ネットワークセキュリティ装置1000Aから到来するパケットは、パケット解析部3101にて解析され、再生レートを制御するための制御パケットP4である場合には、当該制御パケットP4は、再生指示情報抽出部3102に渡される。
再生指示情報抽出部3102は、制御パケットP4に設定されている再生レート指示情報1113aに基づいて、再生部3202に対して、蓄積パケットP2の再生レートを指示するとともに、この指示に先立って、再生情報挿入部3201に対して、蓄積パケットP2の再生レートの変化をネットワークセキュリティ装置1000Aに予告するための再生レート予告パケットP3の送信を指示する。
この図12のように構成されるネットワークセキュリティシステムによれば、既存のパケット蓄積装置2000Bになんら改造を加えることなく、そのまま、再生入力変換装置3000を介してネットワークセキュリティ装置1000Aに接続するだけで、ネットワークセキュリティ装置1000Aにおける学習ポートPLへの蓄積パケットP2の入力速度(再生レート)を制御できる。
すなわち、既存のパケット蓄積装置2000Bをそのまま利用することで、低コストにて、新規に導入されたネットワークセキュリティ装置1000Aの学習期間の短縮や、可用性の向上を実現することができる。
なお、本発明は、上述の実施の形態に例示した構成に限らず、その趣旨を逸脱しない範囲で種々変更可能であることは言うまでもない。
(付記1)
ネットワークを流れる通信情報を監視し、前記ネットワークへの不正侵入の検知および/または防御を行うネットワークセキュリティ装置であって、
統計的な手法を用いて、判定基準情報に基づき前記通信情報の異常の有無を判断する異常判定手段と、
前記通信情報から前記判定基準情報を生成する学習手段と、
現在の前記ネットワークから第1通信情報を取り込む第1ポートと、
通信情報蓄積装置に蓄積された過去の第2通信情報を取り込む第2ポートと、
前記第1および第2ポートの各々から取り込まれた前記第1および第2通信情報を前記異常判定手段および前記学習手段に振り分ける通信情報分配手段と、
を含み、
前記学習手段は、前記第1通信情報および/または前記第2通信情報を学習して前記判定基準情報を生成することを特徴とするネットワークセキュリティ装置。
(付記2)
付記1記載のネットワークセキュリティ装置において、
前記ネットワークセキュリティ装置の処理負荷の大小に応じて、前記第2ポートを介した前記通信情報蓄積装置からの前記第2通信情報の入力の有無および/または前記通信情報蓄積装置における前記第2通信情報の再生レートを制御する性能管理手段をさらに含むことを特徴とするネットワークセキュリティ装置。
(付記3)
付記1記載のネットワークセキュリティ装置において、
前記通信情報分配手段は、前記第1および第2通信情報を、時間独立性項目と時間依存性項目に分類し、前記第1および第2通信情報に含まれる前記時間独立性項目については単純に多重化し、前記第2通信情報の前記時間依存性項目については、前記第2通信情報の採取時の時間情報に基づいて、前記第1通信情報の前記時間依存性項目の処理速度に整合させることを特徴とするネットワークセキュリティ装置。
(付記4)
付記1記載のネットワークセキュリティ装置において、
前記第2ポートを介して前記通信情報蓄積装置から到来する前記第2通信情報に混在し、前記通信情報蓄積装置における当該第2通信情報の再生レートを示す情報を含む第3通信情報を認識する認識手段をさらに含むことを特徴とするネットワークセキュリティ装置。
(付記5)
付記1記載のネットワークセキュリティ装置において、
前記第2ポートは、当該ネットワークセキュリティ装置を外部から管理するための装置管理ポートと論理的に多重化されていることを特徴とするネットワークセキュリティ装置。
(付記6)
付記1記載のネットワークセキュリティ装置において、
前記通信情報蓄積装置と前記ネットワークセキュリティ装置との間に介在し、前記ネットワークセキュリティ装置から指示された再生レートにて前記第2通信情報を前記第2ポートに入力するとともに、前記通信情報蓄積装置における前記第2通信情報の前記再生レートを示す第3通信情報を前記第2通信情報に混在させる再生レート変換手段をさらに含むことを特徴とするネットワークセキュリティ装置。
(付記7)
付記1記載のネットワークセキュリティ装置において、
さらに、前記通信情報分配手段の前段に設けられ、前記第2通信情報に対して、前記第1通信情報と同じセキュリティポリシに基づく選別処理を実行する通信情報選別手段を含むことを特徴とするネットワークセキュリティ装置。
(付記8)
ネットワークを流れる通信情報を監視し、前記ネットワークへの不正侵入を検知し防御するネットワークセキュリティ装置の制御方法であって、
過去に前記ネットワークに流れた第2通信情報を蓄積する第1工程と、
現在の前記ネットワークに流れる第1通信情報と、前記第2通信情報とを並行して前記ネットワークセキュリティ装置に入力する第2工程と、
統計的な手法を用いて前記第1通信情報の異常の有無を判断する異常判定に用いられる判定基準情報を、前記第1および/または第2通信情報から学習する第3工程と、
を含むことを特徴とするネットワークセキュリティ装置の制御方法。
(付記9)
付記8記載のネットワークセキュリティ装置の制御方法において、
前記第2工程では、前記第2通信情報に対して、前記第1通信情報と同じセキュリティポリシに基づく選別処理を実行することを特徴とするネットワークセキュリティ装置の制御方法。
(付記10)
付記9記載のネットワークセキュリティ装置の制御方法において、
前記第3工程では、前記第1および第2通信情報を、時間独立性項目と時間依存性項目に分類し、前記第1および第2通信情報に含まれる前記時間独立性項目については単純に多重化し、前記第2通信情報の前記時間依存性項目については、前記第2通信情報の採取時の時間情報に基づいて、前記第1通信情報の前記時間依存性項目の処理速度に整合させることを特徴とするネットワークセキュリティ装置の制御方法。
(付記11)
監視対象のネットワークに接続され、現在の前記ネットワークを流れる第1通信情報を取り込む第1ポートと、通信情報蓄積装置に蓄積された過去の前記ネットワークの第2通信情報を取り込む第2ポートと、統計的な手法を用いて前記通信情報の異常の有無を判断する異常判定に用いられる判定基準情報を、前記第1および/または第2通信情報から学習する学習手段とを具備したネットワークセキュリティ装置と、
前記ネットワークセキュリティ装置と前記通信情報蓄積装置との間に介在し、前記通信情報蓄積装置から前記ネットワークセキュリティ装置への前記第2通信情報の再生レートを制御する再生レート制御装置と、
を含むことを特徴とするネットワークセキュリティシステム。
本発明の一実施の形態であるネットワークセキュリティシステムの構成の一例を示す概念図である。 本発明の一実施の形態であるネットワークセキュリティ装置の構成の一例を示すブロック図である。 本発明の一実施の形態であるネットワークセキュリティ装置の学習機能の作用の一例を示す概念図である。 本発明の一実施の形態であるネットワークセキュリティ装置の学習機能の作用の変形例を示す概念図である。 本発明の一実施の形態であるパケット蓄積装置の構成の一例を示すブロック図である。 本発明の一実施の形態であるネットワークセキュリティ装置の作用の一例を示すフローチャートである。 本発明の一実施の形態であるネットワークセキュリティ装置の変形例を示すブロック図である。 本発明の一実施の形態であるパケット蓄積装置の変形例を示すブロック図である。 本発明の一実施の形態であるネットワークセキュリティ装置の変形例の作用を示すフローチャートである。 本発明の一実施の形態であるパケット蓄積装置の変形例の作用を示すフローチャートである。 本発明の一実施の形態であるネットワークセキュリティ装置の変形例の作用を示すフローチャートである。 本発明の一実施の形態である再生入力変換装置の構成の一例を示すブロック図である。
符号の説明
10 ネットワークセキュリティシステム
11 ルータ
12 LAN
13 マネジメント機構
14 スイッチ
15 情報処理装置
16 外部ネットワーク
1000 ネットワークセキュリティ装置
1000A ネットワークセキュリティ装置
1001 ネットワークインタフェース
1002 パケット解析部
1003 シグネチャ型侵入検出部
1004 変数抽出部
1005 変数加工部
1005a タイマ
1006 統計加工テーブル
1007 配信多重部
1007a 分岐部
1007b 分岐部
1007c 多重化部
1007c−1 トラヒックデータ多重部
1007c−2 時間情報抽出分離部
1008 統計解析部
1009 統計解析テーブル
1010 アノマリ判定部(異常判定手段)
1011 アノマリ評価テーブル
1012 送信ネットワークインタフェース
1013 統計解析部
1014 統計解析テーブル
1015 学習部(学習手段)
1016 学習データテーブル
1101 ネットワークインタフェース
1102 送信ネットワークインタフェース
1105 変数加工部
1105a タイマ
1108 統計解析部
1110 アノマリ判定部
1112 再生情報抽出部(認識手段)
1112a 再生レート情報
1113 性能管理部(性能管理手段)
1113a 再生レート指示情報
2000 パケット蓄積装置
2000A パケット蓄積装置
2000B パケット蓄積装置
2001 保存加工部
2002 ネットワークインタフェース
2003 パケットデータ蓄積部
2100 受信ネットワークインタフェース
2101 パケット解析部
2102 再生指示情報抽出部
2200 送信ネットワークインタフェース
2201 再生情報挿入部
2202 再生部
3000 再生入力変換装置(再生レート変換手段)
3100 ネットワークインタフェース
3101 パケット解析部
3102 再生指示情報抽出部
3200 ネットワークインタフェース
3201 再生情報挿入部
3202 再生部
3300 ネットワークインタフェース
3301 キュー
3301a バックプレッシャ起動信号
3400 ネットワークインタフェース
3401 バックプレッシャ起動部
3401a バックプレッシャ信号
P1 現行パケット(第1通信情報)
P2 蓄積パケット(第2通信情報)
P3 再生レート予告パケット(第3通信情報)
P4 制御パケット
PL 学習ポート(第2ポート)
PS ネットワークサービスポート(第1ポート)
Va 評価指標値/閾値(判定基準情報)
Vs 不正アクセスパターン情報

Claims (6)

  1. ネットワークを流れる通信情報を監視し、前記ネットワークへの不正侵入の検知および/または防御を行うネットワークセキュリティ装置であって
    記ネットワークを現在流れている第1通信情報を取り込む第1ポートと、
    通信情報蓄積装置に蓄積された過去の第2通信情報を取り込む第2ポートと
    統計的な手法を用いて、判定基準情報に基づき前記第1および第2通信情報の異常の有無を判定する異常判定手段と、
    前記第1および第2通信情報から前記異常判定手段の判定で用いられる変数と同じ種類の変数を学習することにより前記判定基準情報を生成し、更新する学習手段と、
    前記第2ポートを介した前記通信情報蓄積装置からの前記第2通信情報の入力の有無および/または前記通信情報蓄積装置における前記第2通信情報の再生レートを制御する性能管理手段
    を備えることを特徴とするネットワークセキュリティ装置。
  2. 請求項1記載のネットワークセキュリティ装置において、
    前記異常判定手段により異常と判断された通信情報を特定する不正アクセスパターン情報が通知されると、前記第1および第2通信情報から前記不正アクセスパターン情報が検出された情報を遮断する侵入検出手段をさらに備え、
    前記学習手段は、前記侵入検出手段で遮断されていない情報から前記異常判定手段の判定で用いられる変数と同じ種類の変数を学習することにより前記判定基準情報を生成する
    ことを特徴とするネットワークセキュリティ装置。
  3. 請求項1もしくは2に記載のネットワークセキュリティ装置において、
    前記第1および第2ポートの各々から取り込まれた前記第1および第2通信情報を前記異常判定手段および前記学習手段に供給する通信情報分配手段をさらに含み、
    前記通信情報分配手段は、前記第1および第2通信情報を、時間独立性項目と時間依存性項目に分類し、前記第1および第2通信情報に含まれる前記時間独立性項目については単純に多重化し、前記第2通信情報の前記時間依存性項目については、前記第2通信情報の採取時の時間情報に基づいて、前記第1通信情報の前記時間依存性項目の処理速度に整合させることを特徴とするネットワークセキュリティ装置。
  4. 請求項1もしくは2に記載のネットワークセキュリティ装置において、
    前記第2ポートを介して前記通信情報蓄積装置から到来する前記第2通信情報に混在し、前記通信情報蓄積装置における当該第2通信情報の再生レートを示す情報を含む第3通信情報を認識する認識手段をさらに含むことを特徴とするネットワークセキュリティ装置。
  5. 請求項1もしくは2に記載のネットワークセキュリティ装置において、
    前記第2ポートは、当該ネットワークセキュリティ装置を外部から管理するための装置管理ポートと論理的に多重化されていることを特徴とするネットワークセキュリティ装置。
  6. 請求項1もしくは2に記載のネットワークセキュリティ装置において、
    前記通信情報蓄積装置と前記ネットワークセキュリティ装置との間に介在し、前記ネットワークセキュリティ装置から指示された再生レートにて前記第2通信情報を前記第2ポートに入力するとともに、前記通信情報蓄積装置における前記第2通信情報の前記再生レートを示す第3通信情報を前記第2通信情報に混在させる再生レート変換手段をさらに含むことを特徴とするネットワークセキュリティ装置。
JP2005283238A 2005-09-29 2005-09-29 ネットワークセキュリティ装置 Expired - Fee Related JP4509904B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005283238A JP4509904B2 (ja) 2005-09-29 2005-09-29 ネットワークセキュリティ装置
US11/341,312 US8544063B2 (en) 2005-09-29 2006-01-27 Network security apparatus, network security control method and network security system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005283238A JP4509904B2 (ja) 2005-09-29 2005-09-29 ネットワークセキュリティ装置

Publications (2)

Publication Number Publication Date
JP2007096735A JP2007096735A (ja) 2007-04-12
JP4509904B2 true JP4509904B2 (ja) 2010-07-21

Family

ID=37895755

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005283238A Expired - Fee Related JP4509904B2 (ja) 2005-09-29 2005-09-29 ネットワークセキュリティ装置

Country Status (2)

Country Link
US (1) US8544063B2 (ja)
JP (1) JP4509904B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014524169A (ja) * 2011-06-27 2014-09-18 マカフィー, インコーポレイテッド プロトコルフィンガープリント取得および評価相関のためのシステムおよび方法
US9516062B2 (en) 2012-04-10 2016-12-06 Mcafee, Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment
US9661017B2 (en) 2011-03-21 2017-05-23 Mcafee, Inc. System and method for malware and network reputation correlation

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7623857B1 (en) * 2005-10-21 2009-11-24 At&T Intellectual Property I, L.P. Intelligent pico-cell for transport of wireless device communications over wireline networks
US8561189B2 (en) * 2006-06-23 2013-10-15 Battelle Memorial Institute Method and apparatus for distributed intrusion protection system for ultra high bandwidth networks
US8326296B1 (en) 2006-07-12 2012-12-04 At&T Intellectual Property I, L.P. Pico-cell extension for cellular network
GB2443005A (en) * 2006-07-19 2008-04-23 Chronicle Solutions Analysing network traffic by decoding a wide variety of protocols (or object types) of each packet
US20080083029A1 (en) * 2006-09-29 2008-04-03 Alcatel Intelligence Network Anomaly Detection Using A Type II Fuzzy Neural Network
EP1986391A1 (en) * 2007-04-23 2008-10-29 Mitsubishi Electric Corporation Detecting anomalies in signalling flows
FR2917556A1 (fr) * 2007-06-15 2008-12-19 France Telecom Detection d'anomalie dans le trafic d'entites de service a travers un reseau de paquets
US7941382B2 (en) * 2007-10-12 2011-05-10 Microsoft Corporation Method of classifying and active learning that ranks entries based on multiple scores, presents entries to human analysts, and detects and/or prevents malicious behavior
US8626223B2 (en) * 2008-05-07 2014-01-07 At&T Mobility Ii Llc Femto cell signaling gating
US8126496B2 (en) * 2008-05-07 2012-02-28 At&T Mobility Ii Llc Signaling-triggered power adjustment in a femto cell
US8719420B2 (en) 2008-05-13 2014-05-06 At&T Mobility Ii Llc Administration of access lists for femtocell service
US8179847B2 (en) 2008-05-13 2012-05-15 At&T Mobility Ii Llc Interactive white list prompting to share content and services associated with a femtocell
US8743776B2 (en) 2008-06-12 2014-06-03 At&T Mobility Ii Llc Point of sales and customer support for femtocell service and equipment
EP2299650A1 (de) * 2009-09-21 2011-03-23 Siemens Aktiengesellschaft Verfahren zur Anomalie-Erkennung in einem Kontrollnetzwerk
US8510801B2 (en) 2009-10-15 2013-08-13 At&T Intellectual Property I, L.P. Management of access to service in an access point
US8805839B2 (en) 2010-04-07 2014-08-12 Microsoft Corporation Analysis of computer network activity by successively removing accepted types of access events
JP5739182B2 (ja) 2011-02-04 2015-06-24 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 制御システム、方法およびプログラム
JP5731223B2 (ja) 2011-02-14 2015-06-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体
JP5689333B2 (ja) 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
US8738906B1 (en) * 2011-11-30 2014-05-27 Juniper Networks, Inc. Traffic classification and control on a network node
CN103581120B (zh) * 2012-07-24 2018-04-20 阿里巴巴集团控股有限公司 一种识别用户风险的方法和装置
US9516049B2 (en) 2013-11-13 2016-12-06 ProtectWise, Inc. Packet capture and network traffic replay
US9654445B2 (en) 2013-11-13 2017-05-16 ProtectWise, Inc. Network traffic filtering and routing for threat analysis
US10735453B2 (en) 2013-11-13 2020-08-04 Verizon Patent And Licensing Inc. Network traffic filtering and routing for threat analysis
US10320813B1 (en) 2015-04-30 2019-06-11 Amazon Technologies, Inc. Threat detection and mitigation in a virtualized computing environment
JP6650343B2 (ja) * 2016-05-16 2020-02-19 株式会社日立製作所 不正通信検知システム及び不正通信検知方法
US10963562B2 (en) 2016-06-16 2021-03-30 Nippon Telegraph And Telephone Corporation Malicious event detection device, malicious event detection method, and malicious event detection program
US10311230B2 (en) * 2016-12-24 2019-06-04 Cisco Technology, Inc. Anomaly detection in distributed ledger systems
JP6683655B2 (ja) * 2017-06-27 2020-04-22 日本電信電話株式会社 検知装置および検知方法
US9967272B1 (en) * 2017-12-05 2018-05-08 Redberry Systems, Inc. Real-time regular expression search engine
JP7033467B2 (ja) * 2018-03-01 2022-03-10 株式会社日立製作所 不正通信検知装置および不正通信検知プログラム
JP7109391B2 (ja) 2019-02-26 2022-07-29 株式会社日立製作所 不正通信検知装置および不正通信検知プログラム
CN114930326A (zh) 2020-01-23 2022-08-19 三菱电机株式会社 模型生成装置、模型生成方法和模型生成程序
WO2022259317A1 (ja) * 2021-06-07 2022-12-15 日本電信電話株式会社 検出装置、検出方法及び検出プログラム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004312083A (ja) * 2003-04-02 2004-11-04 Kddi Corp 学習データ作成装置、侵入検知システムおよびプログラム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US6243756B1 (en) * 1997-06-23 2001-06-05 Compaq Computer Corporation Network device with unified management
US7486782B1 (en) * 1997-09-17 2009-02-03 Roos Charles E Multifunction data port providing an interface between a digital network and electronics in residential or commercial structures
US7788718B1 (en) * 2002-06-13 2010-08-31 Mcafee, Inc. Method and apparatus for detecting a distributed denial of service attack
US7461404B2 (en) * 2002-11-04 2008-12-02 Mazu Networks, Inc. Detection of unauthorized access in a network
US7363656B2 (en) * 2002-11-04 2008-04-22 Mazu Networks, Inc. Event detection/anomaly correlation heuristics
JP3715628B2 (ja) 2003-01-24 2005-11-09 株式会社東芝 パケット転送システム、パケット転送装置、プログラム及びパケット転送方法
JP2004312064A (ja) 2003-02-21 2004-11-04 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
US7418490B1 (en) * 2003-12-29 2008-08-26 Sun Microsystems, Inc. System using multiple sets of device management policies for managing network devices connected on different network interfaces
JP4327698B2 (ja) * 2004-10-19 2009-09-09 富士通株式会社 ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
US20080098476A1 (en) * 2005-04-04 2008-04-24 Bae Systems Information And Electronic Systems Integration Inc. Method and Apparatus for Defending Against Zero-Day Worm-Based Attacks
US20100031093A1 (en) * 2008-01-29 2010-02-04 Inventec Corporation Internal tracing method for network attack detection

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004312083A (ja) * 2003-04-02 2004-11-04 Kddi Corp 学習データ作成装置、侵入検知システムおよびプログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9661017B2 (en) 2011-03-21 2017-05-23 Mcafee, Inc. System and method for malware and network reputation correlation
JP2014524169A (ja) * 2011-06-27 2014-09-18 マカフィー, インコーポレイテッド プロトコルフィンガープリント取得および評価相関のためのシステムおよび方法
US9516062B2 (en) 2012-04-10 2016-12-06 Mcafee, Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment

Also Published As

Publication number Publication date
JP2007096735A (ja) 2007-04-12
US20070074272A1 (en) 2007-03-29
US8544063B2 (en) 2013-09-24

Similar Documents

Publication Publication Date Title
JP4509904B2 (ja) ネットワークセキュリティ装置
CN101465770B (zh) 入侵检测系统部署方法
KR102050188B1 (ko) 마이크로서비스 시스템 및 방법
EP1980054B1 (en) Method and apparatus for monitoring malicious traffic in communication networks
Spyridopoulos et al. Incident analysis & digital forensics in SCADA and industrial control systems
US9047269B2 (en) Modeling interactions with a computer system
JP5960978B2 (ja) 通信ネットワーク内のメッセージのレイテンシを制御することによって重要システム内のサイバー攻撃を軽減するための知的なシステムおよび方法
CN103067192A (zh) 一种网络流量的分析系统及方法
EP3258661A1 (en) Detection of abnormal configuration changes
US11425006B2 (en) Systems, methods and computer program products for scalable, low-latency processing of streaming data
JP2022515994A (ja) ネットワーククラウド内で動作するエンティティの活動のオーケストレーション
CN103269343A (zh) 业务数据安全管控平台
CN102624721B (zh) 一种特征码验证平台装置及特征码验证方法
JP2006050442A (ja) トラヒック監視方法及びシステム
JP2013196555A (ja) ネットワークシステムに適用される通信機器及び通信機器の通信障害検知装置並びにその通信障害検知方法
CA3181309A1 (en) A network monitoring device, and applications thereof
KR101771658B1 (ko) 인터넷 광고 차단 장치 및 방법
CN113259377B (zh) 一种互联网安全监控系统、方法及集成一体机
CN110324354B (zh) 一种网络追踪长链条攻击的方法、装置和系统
CN110572353A (zh) 云计算网络安全服务
KR100597196B1 (ko) 인트라넷 보안관리시스템 및 보안관리방법
CN116089965B (zh) 一种基于sod风险模型的信息安全应急管理系统及方法
EP3474489B1 (en) A method and a system to enable a (re-)configuration of a telecommunications network
WO2020195230A1 (ja) 分析システム、方法およびプログラム
KR100633224B1 (ko) 종합망관리시스템에서의 장애상관관계를 이용한 트래픽제어 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080324

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100105

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100326

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100427

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100428

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130514

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4509904

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130514

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees