JP5307238B2 - 通信ネットワークのための侵入防止方法およびシステム - Google Patents
通信ネットワークのための侵入防止方法およびシステム Download PDFInfo
- Publication number
- JP5307238B2 JP5307238B2 JP2011515420A JP2011515420A JP5307238B2 JP 5307238 B2 JP5307238 B2 JP 5307238B2 JP 2011515420 A JP2011515420 A JP 2011515420A JP 2011515420 A JP2011515420 A JP 2011515420A JP 5307238 B2 JP5307238 B2 JP 5307238B2
- Authority
- JP
- Japan
- Prior art keywords
- component
- decision
- network
- action
- network elements
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 title claims abstract description 79
- 238000000034 method Methods 0.000 title claims abstract description 17
- 230000002265 prevention Effects 0.000 title claims description 42
- 230000009471 action Effects 0.000 claims abstract description 58
- 238000012544 monitoring process Methods 0.000 claims abstract description 43
- 208000015181 infectious disease Diseases 0.000 claims abstract description 39
- 238000012545 processing Methods 0.000 claims abstract description 8
- 230000003068 static effect Effects 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 description 15
- 230000007246 mechanism Effects 0.000 description 12
- 238000001514 detection method Methods 0.000 description 6
- 230000000875 corresponding effect Effects 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 2
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000008263 repair mechanism Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Radar Systems Or Details Thereof (AREA)
- Burglar Alarm Systems (AREA)
Description
本発明は、通信システムの分野に関する。詳細には、本発明は、通信ネットワークのための侵入防止方法およびシステムに関する。
知られているように、通信ネットワークは、3つの論理的な主要プレーンを含み、それらはすなわち、ユーザデータを送信するのに適したプレーンであるデータプレーン、制御動作を実行するのに適したプレーンである制御プレーン、および管理動作を実行するのに適したプレーンである管理プレーンである。
通信ネットワークを管理することは、たとえば以下のような、いくつかの動作の実施を提供する:
− ネットワークパフォーマンスを監視すること、
− ネットワーク要素、およびそのリソース(ボード、ポート、相互接続など)を構成すること、
− ネットワークにおいて発生するエラーを管理すること、など。
− ネットワークパフォーマンスを監視すること、
− ネットワーク要素、およびそのリソース(ボード、ポート、相互接続など)を構成すること、
− ネットワークにおいて発生するエラーを管理すること、など。
典型的に、管理動作は、「ネットワーク管理局またはネットワーク管理システム」(または簡潔にNMS)と呼ばれる装置によって実施され、この装置は、管理されることになるネットワークの各ネットワーク要素に接続されている。
詳細には、「エージェント」と呼ばれるソフトウェアプリケーションと情報を交換することが可能な「マネジャ」と呼ばれるソフトウェアプリケーションが、NMSに提供され、そのエージェントは、ネットワーク要素に配置されている。マネジャおよびエージェントは、管理プロトコルを使用することによって、互いに管理情報を交換し、管理プロトコルは、管理プレーンにおいて実行され、通信ネットワークのタイプに依存している。管理プロトコルの例には、SNMP(Simple Network Management Protocol/シンプルネットワーク管理プロトコル)、CMIP(Common Management Information Protocol/共通管理情報プロトコル)、Q3、およびTL1がある。
それらの機能のおかげで、制御プレーンおよび管理プレーンは、特に、いわゆる「ハッカー」による攻撃にさらされる。以下の説明および特許請求の範囲において、用語「攻撃」は、通信ネットワークに不正なソフトウェアを導入する、および/または通信ネットワークを管理し制御する管理および制御ソフトウェアを、不正なやり方で操作する、ハッカーによるいかなる試みをも指す。可能性のある攻撃のタイプは以下である:
− ネットワーク要素の機能不全をもたらすことができる非能率を生成することを実質的に目的とするDOS(サービス妨害)攻撃、
− ネットワーク要素における、いわゆる「バックドア」を開くことを目的とし、それにより不正アクセスを促進するマルウェアの増殖、ならびに
− トロイの木馬、ワーム、キーロガー、およびウィルスの拡散。
− ネットワーク要素の機能不全をもたらすことができる非能率を生成することを実質的に目的とするDOS(サービス妨害)攻撃、
− ネットワーク要素における、いわゆる「バックドア」を開くことを目的とし、それにより不正アクセスを促進するマルウェアの増殖、ならびに
− トロイの木馬、ワーム、キーロガー、およびウィルスの拡散。
一般的に言って、データプレーンは、ネットワーク要素のソフトウェアプリケーションといかなるやり方においても相互作用しないので、それ自体セキュアである。言い換えれば、ユーザデータは、データプレーンにおいて透過的なやり方において運ばれ、すなわち、ネットワーク要素のソフトウェアプリケーションは、ユーザデータを処理しない。
以下の説明および特許請求の範囲において、表現「侵入防止メカニズム−システム−方法」は、通信ネットワークにおいて実装され、攻撃にさらされている1つまたは複数のネットワーク要素を、ネットワークの他のネットワーク要素から切り離すのに適している、メカニズム−システム−方法を指すことになる。攻撃にさらされているネットワーク要素はまた、「感染ネットワーク要素」と呼ばれる。
当技術分野において、たとえば、非対称暗号、一方向性ハッシュ関数などのいくつかの侵入防止メカニズムが知られている。これらの知られている侵入防止メカニズムは、一般的に誰にでも知られる公開符号化/復号化鍵、および秘密にされる秘密符号化/復号化鍵などの、符号化/復号化鍵を一般的に提供する。公開符号化/復号化鍵と秘密符号化/復号化鍵とは、互いに関連している。詳細には、公開符号化鍵によって符号化された情報は、対応する秘密復号化鍵によってのみ復号化されることができ、逆もまた同様に、秘密符号化鍵によって符号化された情報は、対応する公開復号化鍵によってのみ復号化されることができる。
出願人は、通信ネットワークの分野において、ウェブ技術に基づいた管理システムを提供することが望ましいことに注目した。これは、主に、このやり方において動作する管理システムが、有利なことに、Mozilla、Internet Explorerなどの、ウェブをブラウズするための現行のコンピュータプログラム(通常「ウェブブラウザ」と呼ばれる)の、グラフィックインターフェースに類似した管理グラフィックインターフェースの使用を可能にするという事実のためである。
出願人は、管理システムが、このようにNMSによって実行されるブラウザを介して実装されることができ、かつウェブライクな管理グラフィカルインターフェースをサポートすることが可能であり、その中で、管理情報が、ウェブインターフェースに典型的なグラフィックオブジェクト、すなわちウィンドウ、アイコンなどとして、表示されることに注目した。
ウェブ技術に基づいたネットワーク管理システムを使用することは、「オープンソース」ソフトウェアのさらに普及した利用と共に、ネットワーク要素の脆弱性の増大をもたらす。したがって、一方では、ウェブ技術に基づいた管理システムの発展が、通信ネットワークのアクセスしやすさの点で利点をもたらし、他方では、それが不都合なことに、通信ネットワークを、および特に上記で触れた制御プレーンおよび管理プレーンを、「ハッカー」による攻撃に対してより脆弱にする。
出願人は、知られている侵入防止メカニズムが、上記で説明した通信ネットワークの管理システムに適用される場合に、いくつかの欠点を有することに注目した。
第1に、知られている侵入防止メカニズムは、決定的な観点から受動的なメカニズムである。言い換えれば、これらのメカニズムは、異常なトラフィックをネットワーク内で検出し、その異常なトラフィックが、一般的に通信ネットワークが攻撃を受けていることを示し、メカニズムは、視覚の、および/または音響のアラーム信号をオペレータに送信する。次いで、オペレータは、たとえば、異常なトラフィックがそれを介して通行するポートを閉じることにより、感染ネットワーク要素を切り離してトラフィックを停止し、ネットワークを分析して、それにより異常の原因を検出する。したがって、これらのメカニズムは、攻撃の検出時間と、感染ネットワーク要素がオペレータの介入によって切り離される時間との間に、遅延を呈する。その場合、不都合なことに、ダメージが既に著しく広がっているときに、オペレータが介入することがある。
第2に、知られている侵入防止メカニズムは、利用される計算リソースの点で負担になる。
さらに、たとえば、ハッカーが通信ネットワークの管理プレーンに入る場合、彼はネットワーク要素の管理構成を変更することがある。既存の侵入防止メカニズムは、不都合なことに、ネットワーク要素全体を、したがってユーザデータの処理も停止させることによって動作する。
したがって、出願人は、上記で触れた欠点のうちの少なくとも1つを克服することが可能である、通信ネットワークのための侵入防止方法およびシステムを提供するための問題に取り組んだ。
詳細には、出願人は、攻撃の検出時間と、感染ネットワーク要素が他のネットワーク要素から切り離される時間との間に、特に低減された遅延を呈する、通信ネットワークのための侵入防止方法およびシステムを提供するための問題に取り組んだ。
第1の態様によれば、本発明は、複数のネットワーク要素を含む通信ネットワークのための侵入防止方法を提供し、方法は、以下のステップを含む:
a)通信ネットワークと協働する、受動監視コンポーネント、意思決定コンポーネント、および措置実行コンポーネントを提供するステップ、
b)受動監視コンポーネントにおいて、複数のネットワーク要素のうちの少なくとも1つのネットワーク要素に対する攻撃を示す管理情報を検出するステップと、管理情報を処理するステップにより感染データを生成するステップと、感染データを意思決定コンポーネントに送信するステップ、
c)意思決定コンポーネントにおいて、感染データを受信するステップと、攻撃をブロックするために行われるべき措置について決定を下すステップと、決定を措置実行コンポーネントに送信するステップ、ならびに
d)措置実行コンポーネントにおいて、決定に基づいて、少なくとも1つのネットワーク要素に措置を実施するよう指示するステップ。
a)通信ネットワークと協働する、受動監視コンポーネント、意思決定コンポーネント、および措置実行コンポーネントを提供するステップ、
b)受動監視コンポーネントにおいて、複数のネットワーク要素のうちの少なくとも1つのネットワーク要素に対する攻撃を示す管理情報を検出するステップと、管理情報を処理するステップにより感染データを生成するステップと、感染データを意思決定コンポーネントに送信するステップ、
c)意思決定コンポーネントにおいて、感染データを受信するステップと、攻撃をブロックするために行われるべき措置について決定を下すステップと、決定を措置実行コンポーネントに送信するステップ、ならびに
d)措置実行コンポーネントにおいて、決定に基づいて、少なくとも1つのネットワーク要素に措置を実施するよう指示するステップ。
好ましくは、ステップa)が、受動監視コンポーネントを複数のネットワーク要素のそれぞれに提供するステップを含む。
有利には、ステップa)が、意思決定コンポーネントおよび措置実行コンポーネントを複数のネットワークの要素のうちの1つに提供するステップをさらに含む。
代替的には、ステップa)が、意思決定コンポーネントおよび措置実行コンポーネントを複数のネットワーク要素のそれぞれに提供するステップをさらに含む。
代替的には、ステップa)が、意思決定コンポーネントを複数のネットワーク要素のうちの1つに提供するステップと、措置実行コンポーネントを複数のネットワーク要素のうちの別の1つに提供するステップとを含む。
代替的には、ステップa)が、以下のステップのうちの少なくとも1つをさらに含む:
− 意思決定コンポーネントを、複数のネットワーク要素のうちの少なくとも2つに提供するステップ、それにより意思決定クラスタを形成するステップ、および
− 措置実行コンポーネントを、複数のネットワーク要素のうちの少なくとも別の2つに提供するステップ、それにより措置実行クラスタを形成するステップ。
− 意思決定コンポーネントを、複数のネットワーク要素のうちの少なくとも2つに提供するステップ、それにより意思決定クラスタを形成するステップ、および
− 措置実行コンポーネントを、複数のネットワーク要素のうちの少なくとも別の2つに提供するステップ、それにより措置実行クラスタを形成するステップ。
好ましくは、ステップc)が、静的関連テーブルおよび動的関連テーブルのうちの少なくとも1つを使用することによって、決定を下すステップをさらに含み、静的関連テーブルおよび動的関連テーブルのそれぞれが、複数の行を含み、複数の行のそれぞれが、セキュリティ閾値、およびセキュリティ閾値に関連付けられた取りうる措置を含む。
第2の態様によれば、本発明は、複数のネットワーク要素を含む通信ネットワークのための侵入防止システムを提供し、システムは以下を含む:通信ネットワークと協働する、受動監視コンポーネント、意思決定コンポーネント、および措置実行コンポーネント:
− 受動監視コンポーネントが、複数のネットワーク要素のうちの少なくとも1つのネットワーク要素に対する攻撃を示す管理情報を検出し、管理情報を処理してそれにより感染データを生成し、感染データを意思決定コンポーネントに送信するのに適しており、
− 意思決定コンポーネントが、感染データを受信し、攻撃をブロックするために行われるべき措置について決定を下し、決定を措置実行コンポーネントに送信するのに適しており、
− 措置実行コンポーネントが、決定に基づいて、少なくとも1つのネットワーク要素に措置を実施するよう指示するのに適している。
− 受動監視コンポーネントが、複数のネットワーク要素のうちの少なくとも1つのネットワーク要素に対する攻撃を示す管理情報を検出し、管理情報を処理してそれにより感染データを生成し、感染データを意思決定コンポーネントに送信するのに適しており、
− 意思決定コンポーネントが、感染データを受信し、攻撃をブロックするために行われるべき措置について決定を下し、決定を措置実行コンポーネントに送信するのに適しており、
− 措置実行コンポーネントが、決定に基づいて、少なくとも1つのネットワーク要素に措置を実施するよう指示するのに適している。
好ましくは、受動監視コンポーネントが、複数のネットワーク要素のそれぞれに提供される。
有利には、意思決定コンポーネントおよび措置実行コンポーネントが、複数のネットワークの要素のうちの1つに提供される。
代替的には、意思決定コンポーネントおよび措置実行コンポーネントが、複数のネットワーク要素のそれぞれに提供される。
代替的には、意思決定コンポーネントが、複数のネットワーク要素のうちの1つに提供され、措置実行コンポーネントが、複数のネットワーク要素のうちの別の1つに提供される。
代替的には、意思決定コンポーネントが、複数のネットワーク要素のうちの少なくとも2つに提供され、それにより意思決定クラスタを形成し、および/または、措置実行コンポーネントが、複数のネットワーク要素のうちの少なくとも別の2つに提供され、それにより措置実行クラスタを形成する。
好ましくは、システムが、静的関連テーブルおよび動的関連テーブルのうちの少なくとも1つをさらに含み、静的関連テーブルおよび動的関連テーブルのそれぞれが、複数の行を含み、複数の行のそれぞれが、セキュリティ閾値、およびセキュリティ閾値に関連付けられた取りうる措置を含み、意思決定コンポーネントが、静的関連テーブルおよび動的関連テーブルのうちの少なくとも1つを使用することによって、決定を下すのに適している。
本発明は、添付の図面を参照して読まれるべき、限定ではなく例示として与えられる以下の詳細な説明を読むことによって、よりよく理解されるであろう。
図1は、本発明の第1の実施形態による侵入防止システムを備える通信ネットワークCNを概略的に示す。
簡略化のために、通信ネットワークCNは、4つのネットワーク要素、NE1、NE2、NE3’およびNE4のみを含むと仮定する。通信ネットワークCNは、任意の数のネットワーク要素を含むことができるので、明らかにこれは例示にすぎない。各ネットワーク要素、NE1、NE2、NE3’およびNE4は、それぞれのデータトラフィックのための1つまたは複数の入力/出力ポートを含む。簡略化のために、入力/出力ポートは、図1には示されていない。
好ましくは、ネットワーク要素、NE1、NE2、NE3’およびNE4は、同じ計算グリッドGの一部を形成する。知られているように、計算グリッドは、分散アプリケーションの実行を可能にし、すなわちそれは、グリッドを形成するすべてのコンピュータの中で、所与のアプリケーションの実行を共有することを可能にする。言い換えれば、アプリケーションは、グリッドを形成するすべてのコンピュータの中で共有される。好ましくは、グリッドを形成するコンピュータは、「ミドルウェア」と呼ばれるアプリケーションを用いて、ウェブを経由して互いに通信する。例示的な計算グリッドは、ミドルウェアGlobusを使用する、Globus Allianceによって提案されるものである。
この実施形態によれば、通信ネットワークCNのネットワーク要素、NE1、NE2、NE3’およびNE4は、ミドルウェアを用いて、ウェブを経由して互いに接続されている。出願人は、上記で触れたミドルウェアGlobusを使用して、いくつかの実際的なテストを実施した。
好ましくは、通信ネットワークCNは、ブラウジングモジュールBを実行するように構成される管理端末MTにさらに接続され、管理端末MTは、グリッドGのネットワーク要素のいずれか、たとえば、ネットワーク要素NE1に接続されている。ブラウジングモジュールBは、図においては簡略化のために示されていないウェブライクな管理グラフィックインターフェースをサポートすることが可能である。
ウェブライクな管理グラフィックインターフェースは、通信ネットワークCNの管理に関する管理情報、すなわち以下を、ウィンドウおよびアイコンなどのグラフィックオブジェクトとして表示するのに適している:ネットワーク要素、NE1、NE2、NE3’およびNE4のリソース構成パラメータ、ネットワーク要素、NE1、NE2、NE3’およびNE4のリソースパフォーマンスパラメータ、ならびにネットワーク要素、NE1、NE2、NE3’およびNE4によって生成される任意のアラーム。
本発明の実施形態によれば、計算グリッドGは、侵入防止モジュールAIM、および侵入防止監視モジュールAIMMと協働する。
本発明の第1の実施形態によれば、かつ図2を参照すると、侵入防止モジュールAIMは、通信ネットワークCNのうちの1つのネットワーク要素、たとえば、ネットワーク要素NE3’にインストールされている。
好ましくは、侵入防止モジュールAIMは以下を含む:受動監視コンポーネントPMC、通信コンポーネントCC、意思決定コンポーネントDMC、および措置実行コンポーネントAMC。
受動監視コンポーネントPMCは、好ましくは以下に適している:
− ネットワーク要素NE3’のポートを通過する管理情報トラフィックを、継続的なやり方でローカルに監視すること、
− これらの管理情報を処理して、可能性のある感染データを生成すること、および
− 可能性のある感染データを、意思決定コンポーネントDMCに提供すること。
− ネットワーク要素NE3’のポートを通過する管理情報トラフィックを、継続的なやり方でローカルに監視すること、
− これらの管理情報を処理して、可能性のある感染データを生成すること、および
− 可能性のある感染データを、意思決定コンポーネントDMCに提供すること。
意思決定コンポーネントDMCは、好ましくは以下に適している:
− 受動監視コンポーネントPMCから来る、可能性のある感染データを受信する、および、他のネットワーク要素から来る、可能性のある感染データを通信コンポーネントCCを介して受信すること、
− 可能性のある攻撃をブロックするために行われるべき取りうる措置について、好ましくはリアルタイムに、決定を下すこと、ならびに
− そのような決定を、措置実行コンポーネントAMCに送信すること。
− 受動監視コンポーネントPMCから来る、可能性のある感染データを受信する、および、他のネットワーク要素から来る、可能性のある感染データを通信コンポーネントCCを介して受信すること、
− 可能性のある攻撃をブロックするために行われるべき取りうる措置について、好ましくはリアルタイムに、決定を下すこと、ならびに
− そのような決定を、措置実行コンポーネントAMCに送信すること。
措置実行コンポーネントAMCは、意思決定コンポーネントDMCから受信された決定に基づいて、通信ネットワークを防御するための最適なブロッキング措置を作動させるように構成されている。
好ましくは、意思決定コンポーネントDMCは、関連テーブルのペア、すなわち、静的関連テーブルおよび動的関連テーブルに基づいて決定する。
静的関連テーブルは、侵入防止モジュールAIMの構成ステップの間に、オペレータによって編集され、テーブルは一連の行を含み、それぞれの行がセキュリティ閾値を含む。好ましくは、各セキュリティ閾値が、侵入防止モジュールAIMのそれぞれの挙動に関連付けられる。表1は、静的関連テーブルの例を示す。
これに対して、動的関連テーブルは、知られている自動学習技術を使用することにより、それ以前の通信ネットワークCNの挙動に基づいて、動的に編集される。好ましくは、静的関連テーブルおよび動的関連テーブルが1つのテーブルとして実装され、その中で、いくつかの行が静的なやり方で編集され、他の行が動的に編集される。
第1の実施形態によれば、ネットワーク要素、NE1、NE2およびNE4に、それぞれの侵入防止監視モジュールAIMMが提供される。図3は、ネットワーク要素、NE1、NE2およびNE4のうちの1つの構造を詳細に示す。
図3に示されるように、一般的なネットワーク要素NEi(i=1,2,4)の侵入防止監視モジュールAIMMは、カスケード接続されている受動監視コンポーネントPMCと通信コンポーネントCCとを含む。受動監視コンポーネントPMCは、以下に適している:
− ネットワーク要素NEi(i=1,2,4)のポートを流れる管理情報トラフィックを、継続的なやり方でローカルに監視すること、
− これらの管理情報を処理して、可能性のある感染データを生成すること、および
− 可能性のある感染データを、通信コンポーネントCCを用いて、ネットワーク要素NE3’の意思決定コンポーネントDMCに送信すること。
− ネットワーク要素NEi(i=1,2,4)のポートを流れる管理情報トラフィックを、継続的なやり方でローカルに監視すること、
− これらの管理情報を処理して、可能性のある感染データを生成すること、および
− 可能性のある感染データを、通信コンポーネントCCを用いて、ネットワーク要素NE3’の意思決定コンポーネントDMCに送信すること。
通信コンポーネントCCは、したがって、ネットワーク要素NEi(i=1,2,4)を、場合によっては計算グリッドGの他のネットワーク要素を通じて、ネットワーク要素NE3’との通信状態に置くのに適している。
次に、第1の実施形態による侵入防止システムおよびそのコンポーネントの動作が、図1、2、および3を参照して詳細に説明される。
たとえば、ネットワーク要素NE4が、ハッカーによる攻撃、たとえばDOSタイプの攻撃をされると仮定する。このケースでは、感染ネットワーク要素NE4は、たとえば、管理情報を複製し、通信ネットワークCNにおいてそれらをブロードキャストすることによって、ネットワーク要素間のリンクを過負荷状態にするように、通信ネットワークCNの他のネットワーク要素を攻撃する傾向がある。
2つのケースが起こり得る。第1のケースでは、ネットワーク要素NE4は、自身が攻撃されていることを、その受動監視コンポーネントPMCを用いて自律的に検出し、このことを他のネットワーク要素、詳細には、ネットワーク要素NE3’に伝える。第2のケースでは、ネットワーク要素NE4は、感染されていることに気づかない。この後者のケースでは、通信ネットワークCNの他のネットワーク要素が、それらのそれぞれの受動監視コンポーネントPMCを用いてグリッドGで交換される管理情報を監視することによって、ネットワーク要素NE4の感染を検出する。
両方の状況において、ネットワーク要素NE4における管理情報のトラフィックの異常を検出したネットワーク要素の受動監視コンポーネントPMCは、感染データを生成し、ネットワーク要素NE3’の意思決定コンポーネントDMCに感染データを送信する。詳細には、感染が、ネットワーク要素NE3’の受動監視コンポーネントPMCによって検出された場合、その受動監視コンポーネントPMCが、直接感染データを意思決定コンポーネントDMCに送信する。これに対し、感染が、任意の他のネットワーク要素の受動監視コンポーネントPMCによって検出された場合、その受動監視コンポーネントPMCは、その通信コンポーネントCCを介して、感染データを意思決定コンポーネントDMCに送信する。
受信された感染データに基づいて、意思決定コンポーネントDMCは、決定を下す。詳細には、意思決定コンポーネントDMCは、その中に記憶されたセキュリティ閾値を有しており、そのセキュリティ閾値が、上の表1において列挙されたものの中で選択される。好ましくは、セキュリティ閾値は、通信ネットワークを使用する顧客のニーズに基づいて、通信ネットワークCNの管理を担当するオペレータによって設定されることができる。意思決定コンポーネントDMCが、ネットワーク要素NE4の感染を示す感染データを受信するとき、意思決定コンポーネントDMCは、好ましくは、セキュリティ閾値が克服されているかどうかを判定し、肯定においては、以前に記憶された静的関連テーブル内で対応する措置を選択する。
代替的には、意思決定コンポーネントDMCは、新たなセキュリティ閾値、および新たな対応する措置を決定し、動的関連テーブルを更新する。たとえば、意思決定コンポーネントDMCは、管理情報トラフィックがそれを介して流れるネットワーク要素NE4のポートを閉じることを決定し、したがって、措置実行コンポーネントAMCに命令することができる。結果として、措置実行コンポーネントACMは、その通信コンポーネントCCを用いてポートの閉鎖を命令し、それにより、感染ネットワーク要素NE4を、通信ネットワークCNから切り離す。
したがって、有利なことに、上記で説明された侵入防止システムは、決定的な観点から能動的である。これは、有利なことに、ネットワーク要素のうちの1つまたは複数に影響するあらゆる感染の検出時に、実質的にリアルタイムに対処することを可能にし、それにより、通信ネットワークCNへの攻撃により引き起こされたダメージを封じ込める。
したがって、有利なことに、上記で説明された侵入防止システムは、攻撃の検出時間と、感染ネットワーク要素が切り離される時間との間に、特に低減された遅延を呈する。というのは、通信ネットワークCNそれ自体が、オペレータの介入を必要とせずに、自動的に外部からの攻撃に対処するからである。
さらに、上記で説明された侵入防止システムは、通信ネットワークのネットワーク要素において実装される。これは、有利なことに、侵入防止メカニズムの分散化をもたらし、したがって、管理端末MTにおける侵入防止メカニズムの実装に専用の計算リソースの量を低減することを可能にする。
本発明の第2の実施形態によれば、図4に示される各ネットワーク要素、NE1’、NE2’、NE3’およびNE4’に、それぞれの侵入防止モジュールAIMが提供される。詳細には、ネットワーク要素、NE1’、NE2’、NE3’およびNE4’はすべて、図2に示されるネットワーク要素NE3’の構造と類似した構造を有する。
その上、この第2の実施形態によれば、各ネットワーク要素、NE1’、NE2’、NE3’およびNE4’は、可能性のある攻撃を独立して管理することが可能である。言い換えれば、攻撃が企てられた場合に、各ネットワーク要素は以下が可能である:
− 行われるべき措置を独立して、実質的にリアルタイムに決定すること(意思決定コンポーネントDMC)、および
− 決定された措置を講じること(措置実行コンポーネントAMC)。
− 行われるべき措置を独立して、実質的にリアルタイムに決定すること(意思決定コンポーネントDMC)、および
− 決定された措置を講じること(措置実行コンポーネントAMC)。
したがって、有利なことに、ネットワーク要素のうちの1つの侵入防止モジュールAIMが動作を停止した場合に、通信ネットワークCNの他のネットワーク要素が、上記で説明された侵入防止システム(監視、意思決定、措置実行)から提供されるすべての動作を実行するのに適し続ける。
本発明の第3の実施形態によれば、図5から図7に示される意思決定機能および措置実行機能が、通信ネットワークCNのそれぞれのネットワーク要素において、別個に実装される。
たとえば、各ネットワーク要素、NE1、NE4は、図3に示されたものと類似した、それぞれの侵入防止監視モジュールAIMMを含む。
さらに、たとえば、ネットワーク要素NE2”は、受動監視コンポーネントPMC、通信コンポーネントCC、および意思決定コンポーネントDMCを備えるモジュールAIM’を含む。
受動監視コンポーネントPMCは、好ましくは以下に適している:
− ネットワーク要素NE2”のポートを流れる管理情報を、継続的なやり方でローカルに監視すること、
− これらの管理情報を処理し、それにより可能性のある感染データを生成すること、および
− 可能性のある感染データを、意思決定コンポーネントDMCに送信すること。
− ネットワーク要素NE2”のポートを流れる管理情報を、継続的なやり方でローカルに監視すること、
− これらの管理情報を処理し、それにより可能性のある感染データを生成すること、および
− 可能性のある感染データを、意思決定コンポーネントDMCに送信すること。
意思決定コンポーネントDMCは、好ましくは以下に適している:
− 受動監視コンポーネントPMCから来る感染データを受信する、および、他のネットワーク要素から来る感染データを通信コンポーネントCCを用いて受信すること、
− あらゆる攻撃をブロックするために講じられるべき取りうる措置について、好ましくはリアルタイムに決定を下すこと、ならびに
− そのような決定を、通信コンポーネントCCを介して、ネットワーク要素NE3”に送信すること。
− 受動監視コンポーネントPMCから来る感染データを受信する、および、他のネットワーク要素から来る感染データを通信コンポーネントCCを用いて受信すること、
− あらゆる攻撃をブロックするために講じられるべき取りうる措置について、好ましくはリアルタイムに決定を下すこと、ならびに
− そのような決定を、通信コンポーネントCCを介して、ネットワーク要素NE3”に送信すること。
さらに、たとえば、ネットワーク要素NE3”は、受動監視コンポーネントPMC、通信コンポーネントCC、および措置実行コンポーネントAMCを備えるモジュールAIM”を含む。
受動監視コンポーネントPMCは、好ましくは以下に適している:
− ネットワーク要素NE3”のポートを流れる管理情報トラフィックを、継続的なやり方でローカルに監視すること、
− これらの管理情報を処理し、それにより可能性のある感染データを生成すること、および
− 可能性のある感染データを、通信コンポーネントCCを用いて、ネットワーク要素NE2”に送信すること。
− ネットワーク要素NE3”のポートを流れる管理情報トラフィックを、継続的なやり方でローカルに監視すること、
− これらの管理情報を処理し、それにより可能性のある感染データを生成すること、および
− 可能性のある感染データを、通信コンポーネントCCを用いて、ネットワーク要素NE2”に送信すること。
措置実行コンポーネントAMCは、好ましくは以下に適している:
− ネットワーク要素NE2”から決定を受信すること、および
− 対応する指示を、通信コンポーネントCCを介して、他のネットワーク要素に送信すること。
− ネットワーク要素NE2”から決定を受信すること、および
− 対応する指示を、通信コンポーネントCCを介して、他のネットワーク要素に送信すること。
したがって、有利なことに、意思決定機能および措置実行機能は、たとえば以下のようなさまざまな基準に従って、通信ネットワーク内で別個に配置されることができる:通信ネットワークCNのトポロジ、感染ネットワーク要素の位置、など。
本発明の第4の実施形態によれば、意思決定機能は、通信ネットワークCNのネットワーク要素の第1のグループにおいて実装され、以下ではこれを「意思決定クラスタ」と呼ぶ。加えて、または代替として、措置実行機能は、ネットワーク要素の第2のグループにおいて実装され、以下ではこれを「措置実行クラスタ」と呼ぶ。
たとえば、図8に示される実施形態では、意思決定機能は、その構造が、好ましくは図6に示されたものに類似するネットワーク要素NE2”において実装される。その一方で、措置実行機能は、ネットワーク要素、NE3”およびNE4”によって形成される措置実行クラスタACにおいて実装される。ネットワーク要素、NE3”およびNE4”の構造は、好ましくは、図7に示されたものに類似する。最終的に、ネットワーク要素NE1は、監視機能のみを行い、したがって、ネットワーク要素NE1は、好ましくは図3に示されたものに類似した構造を有する。
意思決定クラスタおよび/または措置実行クラスタの構成は、オペレータ、または通信ネットワークCNそれ自体のいずれかによって、たとえば以下の異なる基準に従って決定されることができる:利用可能な計算リソース(ネットワーク要素、NE3”およびNE4”は、最も大きな量の利用可能な計算リソースを有する要素であることがある)、通信ネットワークCNのトポロジ、感染ネットワーク要素と意思決定機能および措置実行機能を実装するネットワーク要素との間のホップ数。
さらに、有利なことに、通信ネットワークCN内で、決定機能および/または措置機能を複製することにより、そのグループに属しているネットワーク要素のうちの1つが故障した場合であっても、そのような機能が実装され続けるのを保証することを有利に可能にする。
上記で説明された侵入防止システムは、制御プレーンおよび管理プレーンへの攻撃に対して、通信ネットワークCNを保護するのに特に適しているが、データプレーンへの攻撃に取り組むのにも、有利に使用されることができる。たとえば、ハッカーが、ネットワーク要素を流れる管理情報にアクセスするだけではなく、ネットワーク要素の構成パラメータに対して不正な値を適用するのにもまた成功した場合、これはデータプレーンにおける感染、すなわち利益になるトラフィックの感染の、可能性のあるリスクを伴う。この状況は、それが通信ネットワーク管理者に対してもたらすことになる経済的なダメージゆえに、回避されるべきである。
この欠点を未然に防ぐために、本発明の侵入防止システムは、好ましくは、利益になるトラフィックの送信を中断することよって、管理プレーンにおいて感染したネットワーク要素が故障をシミュレートすることを提供する。このようにして、通信ネットワークCNの他のネットワーク要素が、感染したネットワーク要素を含まない代替的なパスに沿って利益になるトラフィックのルートを変更する、修復メカニズムを作動させる。
したがって、有利なことに、本発明の第2、第3、および第4の実施形態によればまた、侵入防止システムは、決定的な観点から能動的である。これは、有利なことに、ネットワーク要素のうちの1つまたは複数に対する攻撃の検出時に、実質的にリアルタイムに対処することを可能にし、それにより、感染ネットワーク要素が、「感染」を他のネットワーク要素に送信するのを防ぐ。
したがって、有利なことに、上記で説明された侵入防止システムは、攻撃の検出時間と、感染ネットワーク要素が切り離される時間との間に、特に低減された遅延を呈する。というのは、通信ネットワークCNそれ自体が、オペレータの介入を必要とせずに、自動的に外部からの攻撃に対処するからである。
Claims (4)
- 複数のネットワーク要素(NE1、NE2、NE3’、NE4;NE1’、NE2’、NE3’、NE4’;NE1、NE2”、NE3”、NE4;NE1、NE2”、NE3”、NE4”)を含む通信ネットワーク(CN)のための侵入防止方法であって、以下の、
a)前記通信ネットワーク(CN)と協働する、受動監視コンポーネント(PMC)、意思決定コンポーネント(DMC)、および措置実行コンポーネント(AMC)を提供するステップ、
b)前記受動監視コンポーネント(PMC)において、前記複数のネットワーク要素のうちの少なくとも1つのネットワーク要素(NE4)に対する攻撃を示す管理情報を検出するステップと、前記管理情報を処理するステップにより感染データを生成するステップと、前記感染データを前記意思決定コンポーネント(DMC)に送信するステップ、
c)前記意思決定コンポーネント(DMC)において、前記感染データを受信するステップと、前記攻撃をブロックするために行われるべき措置について決定を下すステップと、前記決定を前記措置実行コンポーネント(AMC)に送信するステップ、ならびに
d)前記措置実行コンポーネント(AMC)において、決定に基づいて、前記少なくとも1つのネットワーク要素(NE4)に前記措置を実施するよう指示するステップ
を含み、
前記ステップa)が、前記受動監視コンポーネント(PMC)を前記複数のネットワーク要素のそれぞれに提供するステップを含み、
前記ステップa)が、以下の、
前記意思決定コンポーネント(DMC)を、前記複数のネットワーク要素のうちの少なくとも2つに提供するステップ、それにより意思決定クラスタを形成するステップ、および
前記措置実行コンポーネント(AMC)を、前記複数のネットワーク要素のうちの少なくとも別の2つ(NE3”、NE4”)に提供するステップ、それにより措置実行クラスタ(AC)を形成するステップ
のうちの少なくとも1つをさらに含むことを特徴とする、方法。 - 前記ステップc)が、静的関連テーブルおよび動的関連テーブルのうちの少なくとも1つを使用することによって、前記決定を下すステップをさらに含み、前記静的関連テーブルおよび前記動的関連テーブルのそれぞれが、複数の行を含み、前記複数の行のそれぞれが、セキュリティ閾値、および前記セキュリティ閾値に関連付けられた取りうる措置を含む、請求項1に記載の方法。
- 複数のネットワーク要素(NE1、NE2、NE3’、NE4;NE1’、NE2’、NE3’、NE4’;NE1、NE2”、NE3”、NE4;NE1、NE2”、NE3”、NE4”)を含む通信ネットワーク(CN)のための侵入防止システムであって、前記通信ネットワーク(CN)と協働する、受動監視コンポーネント(PMC)、意思決定コンポーネント(DMC)、および措置実行コンポーネント(AMC)を含み、
前記受動監視コンポーネント(PMC)が、前記複数のネットワーク要素のうちの少なくとも1つのネットワーク要素(NE4)に対する攻撃を示す管理情報を検出し、前記管理情報を処理してそれにより感染データを生成し、前記感染データを前記意思決定コンポーネント(DMC)に送信するのに適しており、
前記意思決定コンポーネント(DMC)が、前記感染データを受信し、前記攻撃をブロックするために行われるべき措置について決定を下し、前記決定を前記措置実行コンポーネント(AMC)に送信するのに適しており、
前記措置実行コンポーネント(AMC)が、前記決定に基づいて、前記少なくとも1つのネットワーク要素(NE4)に前記措置を実施するよう指示するのに適している、システムにおいて、
前記受動監視コンポーネント(PMC)が、前記複数のネットワーク要素のそれぞれに提供され、
前記意思決定コンポーネント(DMC)が、前記複数のネットワーク要素のうちの少なくとも2つに提供され、それにより意思決定クラスタを形成し、および/または、
前記措置実行コンポーネント(AMC)が、前記複数のネットワーク要素のうちの少なくとも別の2つ(NE3”、NE4”)に提供され、それにより措置実行クラスタ(AC)を形成することを特徴とする、システム。 - 静的関連テーブルおよび動的関連テーブルのうちの少なくとも1つをさらに含み、
前記静的関連テーブルおよび前記動的関連テーブルのそれぞれが、複数の行を含み、
前記複数の行のそれぞれが、セキュリティ閾値、および前記セキュリティ閾値に関連付けられた取りうる措置を含み、
前記意思決定コンポーネント(DMC)が、前記静的関連テーブルおよび前記動的関連テーブルのうちの前記少なくとも1つを使用することによって、前記決定を下すのに適している、
請求項3に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08425464A EP2141884B1 (en) | 2008-07-04 | 2008-07-04 | Anti-intrusion method and system for a communication network |
| EP08425464.8 | 2008-07-04 | ||
| PCT/EP2009/058142 WO2010000712A1 (en) | 2008-07-04 | 2009-06-30 | Anti-instrusion method and system for a communicaiton network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011526751A JP2011526751A (ja) | 2011-10-13 |
| JP5307238B2 true JP5307238B2 (ja) | 2013-10-02 |
Family
ID=40121216
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011515420A Expired - Fee Related JP5307238B2 (ja) | 2008-07-04 | 2009-06-30 | 通信ネットワークのための侵入防止方法およびシステム |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8321369B2 (ja) |
| EP (1) | EP2141884B1 (ja) |
| JP (1) | JP5307238B2 (ja) |
| KR (1) | KR101202212B1 (ja) |
| CN (1) | CN101621427B (ja) |
| AT (1) | ATE495620T1 (ja) |
| DE (1) | DE602008004491D1 (ja) |
| WO (1) | WO2010000712A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8943200B2 (en) * | 2008-08-05 | 2015-01-27 | At&T Intellectual Property I, L.P. | Method and apparatus for reducing unwanted traffic between peer networks |
| WO2011116374A2 (en) * | 2010-03-19 | 2011-09-22 | K2M, Inc. | Spinal fixation apparatus and methods |
| CN102811196B (zh) * | 2011-05-30 | 2016-12-21 | 中兴通讯股份有限公司 | 自动交换光网络中的网络安全保护方法、装置和系统 |
| US8693335B2 (en) * | 2012-03-22 | 2014-04-08 | Avaya Inc. | Method and apparatus for control plane CPU overload protection |
| CN105812166B (zh) * | 2014-12-30 | 2020-06-12 | 中兴通讯股份有限公司 | 连接实现方法及系统、网络服务器和网关网元、管理方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001249866A (ja) * | 2000-03-06 | 2001-09-14 | Fujitsu Ltd | ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード |
| US20020107953A1 (en) * | 2001-01-16 | 2002-08-08 | Mark Ontiveros | Method and device for monitoring data traffic and preventing unauthorized access to a network |
| JP4088082B2 (ja) * | 2002-02-15 | 2008-05-21 | 株式会社東芝 | 未知コンピュータウイルスの感染を防止する装置およびプログラム |
| JP2004030286A (ja) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | 侵入検知システムおよび侵入検知プログラム |
| US7596807B2 (en) | 2003-07-03 | 2009-09-29 | Arbor Networks, Inc. | Method and system for reducing scope of self-propagating attack code in network |
| JP2005117100A (ja) * | 2003-10-02 | 2005-04-28 | Oki Electric Ind Co Ltd | 侵入検知システムおよびトラヒック集約装置 |
| US20050193429A1 (en) | 2004-01-23 | 2005-09-01 | The Barrier Group | Integrated data traffic monitoring system |
| JP2006148778A (ja) * | 2004-11-24 | 2006-06-08 | Nippon Telegr & Teleph Corp <Ntt> | パケット転送制御装置 |
| CN100450012C (zh) * | 2005-07-15 | 2009-01-07 | 复旦大学 | 一种基于移动代理的入侵检测系统和方法 |
| JP4380710B2 (ja) * | 2007-02-26 | 2009-12-09 | 沖電気工業株式会社 | トラフィック異常検出システム、トラフィック情報観測装置、及び、トラフィック情報観測プログラム |
-
2008
- 2008-07-04 DE DE602008004491T patent/DE602008004491D1/de active Active
- 2008-07-04 AT AT08425464T patent/ATE495620T1/de not_active IP Right Cessation
- 2008-07-04 EP EP08425464A patent/EP2141884B1/en not_active Not-in-force
-
2009
- 2009-06-29 US US12/459,247 patent/US8321369B2/en active Active
- 2009-06-30 JP JP2011515420A patent/JP5307238B2/ja not_active Expired - Fee Related
- 2009-06-30 KR KR1020107029497A patent/KR101202212B1/ko not_active IP Right Cessation
- 2009-06-30 WO PCT/EP2009/058142 patent/WO2010000712A1/en active Application Filing
- 2009-07-06 CN CN2009101517156A patent/CN101621427B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| KR101202212B1 (ko) | 2012-11-19 |
| US20100017357A1 (en) | 2010-01-21 |
| KR20110015024A (ko) | 2011-02-14 |
| CN101621427A (zh) | 2010-01-06 |
| US8321369B2 (en) | 2012-11-27 |
| EP2141884A1 (en) | 2010-01-06 |
| JP2011526751A (ja) | 2011-10-13 |
| ATE495620T1 (de) | 2011-01-15 |
| CN101621427B (zh) | 2011-12-28 |
| EP2141884B1 (en) | 2011-01-12 |
| DE602008004491D1 (de) | 2011-02-24 |
| WO2010000712A1 (en) | 2010-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11503043B2 (en) | System and method for providing an in-line and sniffer mode network based identity centric firewall | |
| Janakiraman et al. | Indra: A peer-to-peer approach to network intrusion detection and prevention | |
| JP4373779B2 (ja) | ステイトフル分散型イベント処理及び適応保全 | |
| US11303673B1 (en) | System and method for preventing lateral propagation of ransomware using a security appliance that functions as a DHCP relay on a shared network | |
| US7779119B2 (en) | Event monitoring and management | |
| US11252183B1 (en) | System and method for ransomware lateral movement protection in on-prem and cloud data center environments | |
| US20090271504A1 (en) | Techniques for agent configuration | |
| US9928359B1 (en) | System and methods for providing security to an endpoint device | |
| US20130219500A1 (en) | Network intrusion detection in a network that includes a distributed virtual switch fabric | |
| JP2009514093A (ja) | リスク駆動型のコンプライアンス管理 | |
| EP2837131A1 (en) | System and method for determining and using local reputations of users and hosts to protect information in a network environment | |
| JP5307238B2 (ja) | 通信ネットワークのための侵入防止方法およびシステム | |
| Ujcich et al. | Causal Analysis for {Software-Defined} Networking Attacks | |
| Etxezarreta et al. | Software-Defined Networking approaches for intrusion response in Industrial Control Systems: A survey | |
| Kumar et al. | Protocols, solutions, and testbeds for cyber-attack prevention in industrial SCADA systems | |
| KR101343693B1 (ko) | 네트워크 보안시스템 및 그 처리방법 | |
| Lin et al. | VNGuarder: An Internal Threat Detection Approach for Virtual Network in Cloud Computing Environment | |
| US12074906B1 (en) | System and method for ransomware early detection using a security appliance as default gateway with point-to-point links between endpoints | |
| Kiuchi et al. | Security technologies, usage and guidelines in SCADA system networks | |
| US12058171B1 (en) | System and method to create disposable jump boxes to securely access private applications | |
| Tupakula et al. | Techniques for Securing Control Systems from Attacks | |
| Rehan | Cybersecurity with AWS IoT | |
| JP2024125153A (ja) | 情報処理システム、情報処理方法および情報処理プログラム | |
| Sasikala et al. | Secure Conserve Data Split To Avoid Network Intrusion Detection | |
| CN118764309A (zh) | 企业网络安全监测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120810 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120918 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130528 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130626 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |