JP6106861B1 - Network security device, security system, network security method, and program - Google Patents

Network security device, security system, network security method, and program Download PDF

Info

Publication number
JP6106861B1
JP6106861B1 JP2015252245A JP2015252245A JP6106861B1 JP 6106861 B1 JP6106861 B1 JP 6106861B1 JP 2015252245 A JP2015252245 A JP 2015252245A JP 2015252245 A JP2015252245 A JP 2015252245A JP 6106861 B1 JP6106861 B1 JP 6106861B1
Authority
JP
Japan
Prior art keywords
definition information
information database
definition
processing unit
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015252245A
Other languages
Japanese (ja)
Other versions
JP2017117224A (en
Inventor
田中 直行
直行 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PFU Ltd
Original Assignee
PFU Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PFU Ltd filed Critical PFU Ltd
Priority to JP2015252245A priority Critical patent/JP6106861B1/en
Application granted granted Critical
Publication of JP6106861B1 publication Critical patent/JP6106861B1/en
Publication of JP2017117224A publication Critical patent/JP2017117224A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】 通信性能に配慮しながら、ネットワーク通信を監視するセキュリティシステムを提供する。【解決手段】 検知装置は、マルウェアの侵入を検知した場合に、検知されたマルウェアに関連する脅威情報をネットワークセキュリティ装置に送信し、ネットワークセキュリティ装置は、検知装置から送信された脅威情報を受信する受信処理部と、受信処理部により受信された脅威情報に基づいて、定義情報を自動作成する作成処理部と、定義情報を登録時に関連付けて格納する定義情報データベースと、定義情報データベースに、作成処理部により作成された定義情報を追加登録する定義登録部と、定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、定義情報データベースに格納されている登録時に基づいて、定義情報データベースから、定義情報を削除する削除部とを有する。【選択図】図1PROBLEM TO BE SOLVED: To provide a security system for monitoring network communication while considering communication performance. When detecting a malware intrusion, a detection device transmits threat information related to the detected malware to a network security device, and the network security device receives the threat information transmitted from the detection device. Creation processing in a reception processing unit, a creation processing unit that automatically creates definition information based on threat information received by the reception processing unit, a definition information database that stores definition information in association with registration, and a definition information database A definition registration unit that additionally registers definition information created by the management unit, a monitoring unit that monitors network communication using definition information stored in the definition information database, and a registration time stored in the definition information database. And a deletion unit that deletes the definition information from the definition information database. [Selection] Figure 1

Description

本発明は、ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラムに関する。   The present invention relates to a network security device, a security system, a network security method, and a program.

例えば、特許文献1には、ネットワークを介して複数の防御手段と複数の検知手段に接続された管理手段に、いずれかの検知手段で検知された不正アクセスの情報を受信し、その情報に基づいて、当該不正アクセスに対する対策を実施すべき防御手段と、各防御手段に対する防御対策の内容を決定し、各防御手段に対して前記決定した防御対策を実施すべき旨の指示を行う処理を実行させる不正アクセス防止プログラムが開示されている。   For example, in Patent Document 1, information on unauthorized access detected by any of the detection means is received by a management means connected to a plurality of defense means and a plurality of detection means via a network, and based on the information. The process of determining the defense measures to be taken against the unauthorized access and the contents of the defense measures for each defense measure and instructing each defense measure to implement the determined defense measures is executed. An unauthorized access prevention program is disclosed.

また、特許文献2には、ポリシ保持部13に保持されたポリシに従って外部からのアクセスを制限するファイアウォール装置10と、DMZセグメント18に置かれ不正アクセスを検出してログをポリシ管理装置30に通報する侵入検知装置20と、内部セグメント19に置かれログを自形式のログに変換するログ形式変換部31と、変換したログに基づいて不正アクセスを禁止するポリシを作成するポリシ作成部33と、作成したポリシをファイアウォール装置10形式のポリシに変換してファイアウォール装置10に送ってポリシ保持部13に適用するポリシ形式変換部34を有するポリシ管理装置30を有する不正アクセス防御システムが開示されている。   Patent Document 2 also discloses a firewall device 10 that restricts external access according to a policy held in the policy holding unit 13 and a DMZ segment 18 that detects unauthorized access and reports a log to the policy management device 30. An intrusion detection device 20, a log format conversion unit 31 that is placed in the internal segment 19 and converts the log into its own format log, a policy creation unit 33 that creates a policy that prohibits unauthorized access based on the converted log, An unauthorized access protection system having a policy management device 30 having a policy format conversion unit 34 that converts a created policy into a policy in the firewall device 10 format, sends the policy to the firewall device 10 and applies it to the policy holding unit 13 is disclosed.

特開2003−288282JP 2003-288282 A 特開2005−071218JP2005-071218

通信性能に配慮しながら、ネットワーク通信を監視するセキュリティシステムを提供することを目的とする。   An object of the present invention is to provide a security system that monitors network communication while considering communication performance.

本発明に係るネットワークセキュリティ装置は、サイバー攻撃を検出するための定義情報を登録時に関連付けて格納する定義情報データベースと、前記定義情報データベースに定義情報を登録する定義登録部と、前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除部とを有する。   The network security device according to the present invention includes a definition information database for storing definition information for detecting a cyber attack in association with a registration, a definition registration unit for registering definition information in the definition information database, and a definition information database. A monitoring unit that monitors network communication using the stored definition information, and a deletion unit that deletes definition information from the definition information database based on the registration time stored in the definition information database.

好適には、前記削除部は、いずれかの定義情報に対応する通信が前記監視部により検知されたタイミングと、前記定義情報データベースに登録されている登録時とに基づいて、前記定義情報データベースに登録されている定義情報を削除する。   Preferably, the deletion unit stores the definition information in the definition information database based on the timing at which communication corresponding to any definition information is detected by the monitoring unit and the registration time registered in the definition information database. Delete registered definition information.

好適には、前記削除部は、前記定義情報データベースに登録されている定義情報の件数が既定数に達した場合に、定義情報に対応する通信が前記監視部により検知されたタイミングと、前記定義情報データベースに登録されている登録時とに基づいて、前記定義情報データベースに登録されている定義情報を削除する。   Preferably, the deletion unit, when the number of definition information registered in the definition information database reaches a predetermined number, timing when communication corresponding to the definition information is detected by the monitoring unit, and the definition The definition information registered in the definition information database is deleted based on the registration time registered in the information database.

好適には、前記削除部は、前記定義情報データベースに登録されている定義情報のうち、前記監視部により最後に検知されたタイミング、又は、登録時から既定期間経過した定義情報を有効期限切れと判定して削除する。   Preferably, the deletion unit determines that the definition information registered in the definition information database is the expiration date of the definition information last detected by the monitoring unit, or the definition information that has passed a predetermined period from the time of registration. And delete it.

好適には、外部から、サイバー攻撃を示唆する脅威情報を受信する受信処理部と、前記受信処理部により受信された脅威情報に基づいて、定義情報を作成する作成処理部とをさらに有し、前記定義登録部は、前記作成処理部により作成された定義情報を前記定義情報データベースに追加登録する。   Preferably, it further includes a reception processing unit that receives threat information suggesting a cyber attack from the outside, and a creation processing unit that creates definition information based on the threat information received by the reception processing unit, The definition registration unit additionally registers definition information created by the creation processing unit in the definition information database.

好適には、前記作成処理部は、受信した脅威情報に基づいて、一部がワイルドカード文字で置換されたHTTPパスを前記定義情報として作成する。   Preferably, the creation processing unit creates, as the definition information, an HTTP path partially substituted with a wild card character based on the received threat information.

好適には、前記作成処理部は、受信した一つの脅威情報について、中継サーバが異なる複数の定義情報を作成する。   Preferably, the creation processing unit creates a plurality of definition information with different relay servers for the received threat information.

好適には、ユーザの指示に応じて、前記定義情報データベースに登録可能な定義情報の上限数を設定する上限設定部をさらに有し、前記削除部は、前記定義情報データベースに登録される定義情報が、前記上限設定部により設定された上限数以下となるように、登録されている定義情報を削除する。   Preferably, an upper limit setting unit that sets an upper limit number of definition information that can be registered in the definition information database in accordance with a user instruction, and the deletion unit includes definition information that is registered in the definition information database. However, the registered definition information is deleted so that the number is less than or equal to the upper limit number set by the upper limit setting unit.

本発明に係るセキュリティシステムは、マルウェアの侵入を検知する検知装置と、ネットワークセキュリティ装置とを含むセキュリティシステムであって、前記検知装置は、マルウェアの侵入を検知した場合に、検知されたマルウェアに関連する脅威情報を前記ネットワークセキュリティ装置に送信し、前記ネットワークセキュリティ装置は、前記検知装置から送信された脅威情報を受信する受信処理部と、前記受信処理部により受信された脅威情報に基づいて、定義情報を作成する作成処理部と、定義情報を登録時に関連付けて格納する定義情報データベースと、前記定義情報データベースに、前記作成処理部により作成された定義情報を追加登録する定義登録部と、前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除部とを有する。   The security system according to the present invention is a security system including a detection device for detecting an intrusion of malware and a network security device, and the detection device is related to the detected malware when an intrusion of malware is detected. Threat information to be transmitted to the network security device, the network security device receiving a threat information transmitted from the detection device, and a definition based on the threat information received by the reception processing unit A creation processing unit for creating information; a definition information database for storing definition information in association with registration; a definition registration unit for additionally registering definition information created by the creation processing unit in the definition information database; and the definition Using the definition information stored in the information database, A monitoring unit for monitoring the over click communication, based on the time of registration, which is stored in the definition information database, from the definition information database, and a deletion unit for deleting the definition information.

本発明に係るネットワークセキュリティ方法は、定義情報データベースに、サイバー攻撃を検出するための定義情報を登録時に関連付けて登録する定義登録ステップと、前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視ステップと、前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除ステップとを有する。   The network security method according to the present invention uses a definition registration step for registering definition information for detecting a cyber attack in association with a definition information database at the time of registration, and definition information stored in the definition information database, A monitoring step of monitoring network communication; and a deletion step of deleting definition information from the definition information database based on the registration time stored in the definition information database.

本発明に係るプログラムは、定義情報データベースに、サイバー攻撃を検出するための定義情報を登録時に関連付けて登録する定義登録ステップと、前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視ステップと、前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除ステップとをコンピュータに実行させる。   The program according to the present invention uses a definition registration step for registering definition information for detecting a cyber attack in association with a definition information database at the time of registration, and the definition information stored in the definition information database. And a deletion step of deleting the definition information from the definition information database based on the registration time stored in the definition information database.

通信性能に配慮しながら、ネットワーク通信を監視するセキュリティシステムを提供できる。   It is possible to provide a security system that monitors network communication while considering communication performance.

情報処理システム1のハードウェア構成を例示する図である。2 is a diagram illustrating a hardware configuration of the information processing system 1. FIG. ネットワークセキュリティ装置4のハードウェア構成を例示する図である。2 is a diagram illustrating a hardware configuration of a network security device 4. FIG. ネットワークセキュリティ装置4の機能構成を例示する図である。2 is a diagram illustrating a functional configuration of a network security device 4. FIG. 検知装置3から通知される脅威情報を例示する図である。It is a figure which illustrates the threat information notified from the detection apparatus. (A)は、攻撃防御ポリシDB600に登録される攻撃防御ポリシを例示し、(B)は、攻撃防御ルールDB610に登録される攻撃防御ルールを例示する図である。(A) illustrates an attack defense policy registered in the attack defense policy DB 600, and (B) illustrates an attack defense rule registered in the attack defense rule DB 610. (A)は、検知装置3から通知される脅威情報に含まれるHTTP情報を例示し、(B)は、この脅威情報に基づいて作成されるフィルター条件を例示する図である。(A) illustrates HTTP information included in the threat information notified from the detection device 3, and (B) illustrates a filter condition created based on the threat information. (A)は、クエリデータが含まれた脅威情報のHTTPパスを例示し、(B)は、クエリデータがワイルドカード文字に置換されたフィルター条件を例示する図である。(A) illustrates an HTTP path of threat information including query data, and (B) illustrates a filter condition in which the query data is replaced with a wildcard character. 最大検知間隔と有効期間との関係を説明する図である。It is a figure explaining the relationship between the maximum detection interval and an effective period. 攻撃防御ルール作成処理(S10)のフローチャートである。It is a flowchart of attack defense rule creation processing (S10). アクセス制御処理(S20)のフローチャートである。It is a flowchart of an access control process (S20). 検知イベント処理(S30)のフローチャートである。It is a flowchart of a detection event process (S30). 有効期限検査処理(S40)のフローチャートである。It is a flowchart of an expiration date inspection process (S40).

以下、本発明の実施形態を、図面を参照して説明する。
図1は、情報処理システム1のハードウェア構成を例示する図である。
図1に例示するように、情報処理システム1は、検知装置3と、ネットワークセキュリティ装置4とを含む。情報処理システム1は、本発明に係るセキュリティシステムの一例である。
ネットワークセキュリティ装置4により保護される内部ネットワークには、コンピュータ端末8が接続されている。
検知装置3は、内部ネットワークにおける通信を監視して、内部ネットワークに侵入したマルウェアを検知し、検知されたマルウェアに関する脅威情報をネットワークセキュリティ装置4に通知する。ここで、脅威情報とは、サイバー攻撃を示唆する情報であり、例えば、マルウェアにより引き起こされる不正動作に関連する情報である。
本例の検知装置3は、内部ネットワークのネットワークスイッチ7のミラーポート又はネットワークタップに接続されており、内部ネットワーク内のネットワークトラフィックを検査する。 Embodiments of the present invention will be described below with reference to the drawings.
FIG. 1 is a diagram illustrating a hardware configuration of the information processing system 1.
As illustrated in FIG. 1, the information processing system 1 includes a detection device 3 and a network security device 4. The information processing system 1 is an example of a security system according to the present invention.
A computer terminal 8 is connected to the internal network protected by the network security device 4.
The detection device 3 monitors communication in the internal network, detects malware that has entered the internal network, and notifies the network security device 4 of threat information regarding the detected malware. Here, the threat information is information suggesting a cyber attack, for example, information related to an illegal operation caused by malware.
The detection device 3 of this example is connected to a mirror port or a network tap of the network switch 7 of the internal network, and inspects network traffic in the internal network.

ネットワークセキュリティ装置4は、セキュリティ機能を有するコンピュータである。例えば、ネットワークセキュリティ装置4は、ファイアウォール装置、IPS装置(Intrusion Prevention System)装置、Webコンテンツフィルタリング装置、又は、複数の異なるセキュリティ機能を一つのハードウェアに統合したUTMアプライアンスである。本例のネットワークセキュリティ装置4は、内部ネットワークと外部ネットワークとの間に接続され、C&Cサーバ9へのバックドア通信を遮断する。C&Cサーバ9とは、マルウェアに感染しボットと化したコンピュータ群(ボットネット)に指令を送り、制御の中心となるサーバである。   The network security device 4 is a computer having a security function. For example, the network security device 4 is a firewall device, an IPS device (Intrusion Prevention System) device, a Web content filtering device, or a UTM appliance that integrates a plurality of different security functions into one piece of hardware. The network security device 4 of this example is connected between the internal network and the external network, and blocks backdoor communication to the C & C server 9. The C & C server 9 is a server that sends a command to a computer group (botnet) infected with malware and turned into a bot, and is the center of control.

本例では、内部ネットワークに接続されたコンピュータ端末8Aがマルウェアに感染して、ボットとなっている。検知装置3は、内部ネットワークのネットワークトラフィックを監視して、コンピュータ端末8Aに感染したマルウェアを検知すると、その脅威情報をネットワークセキュリティ装置4に通知する。ネットワークセキュリティ装置4は、検知装置3から通知された脅威情報に基づいて、攻撃防御ルールを自動で作成し、追加登録し、登録されている攻撃防御ルールに従って、通信の遮断等を行う。このように、検知装置3とネットワークセキュリティ装置4が連携して、ボット化したコンピュータ端末8AからC&Cサーバ9へのバックドア通信を遮断する。   In this example, the computer terminal 8A connected to the internal network is infected with malware and becomes a bot. When the detection device 3 monitors the network traffic of the internal network and detects malware that has infected the computer terminal 8A, the detection device 3 notifies the network security device 4 of the threat information. The network security device 4 automatically creates an attack defense rule based on the threat information notified from the detection device 3 and additionally registers it, and blocks communication according to the registered attack defense rule. In this way, the detection device 3 and the network security device 4 cooperate to block backdoor communication from the botted computer terminal 8A to the C & C server 9.

図2は、ネットワークセキュリティ装置4のハードウェア構成を例示する図である。
図2に例示するように、ネットワークセキュリティ装置4は、CPU400、メモリ402、HDD404、及び、ネットワークインタフェース406(ネットワークIF406)を有し、これらの構成はバス412を介して互いに接続している。
CPU400は、例えば、中央演算装置である。
メモリ402は、例えば、揮発性メモリであり、主記憶装置として機能する。
HDD404は、例えば、ハードディスクドライブ装置であり、不揮発性の記録装置としてコンピュータプログラムやその他のデータファイルを格納する。
ネットワークIF406は、有線又は無線で通信するためのインタフェースであり、インターネットを介した携帯端末3との通信を実現する。 FIG. 2 is a diagram illustrating a hardware configuration of the network security device 4.
As illustrated in FIG. 2, the network security device 4 includes a CPU 400, a memory 402, an HDD 404, and a network interface 406 (network IF 406), which are connected to each other via a bus 412.
The CPU 400 is, for example, a central processing unit.
The memory 402 is a volatile memory, for example, and functions as a main storage device.
The HDD 404 is, for example, a hard disk drive device, and stores a computer program and other data files as a nonvolatile recording device.
The network IF 406 is an interface for performing wired or wireless communication, and realizes communication with the mobile terminal 3 via the Internet.

図3は、ネットワークセキュリティ装置4の機能構成を例示する図である。
図3に例示するように、本例のネットワークセキュリティ装置4には、セキュリティプログラム5がインストールされると共に、攻撃防御ポリシデータベース600(攻撃防御ポリシDB600)及び攻撃防御ルールデータベース610(攻撃防御ルールDB610)が構成される。なお、攻撃防御ルールDB610は、本発明に係る定義情報データベースの一例である。
セキュリティプログラム5は、受信処理部500、ルール作成処理部510、アクセス制御部520、検知イベント処理部530、有効期限検査処理部540、上限設定部550、及び期限延長部560を有する。
なお、セキュリティプログラム5の一部又は全部は、ASICなどのハードウェアにより実現されてもよい。 FIG. 3 is a diagram illustrating a functional configuration of the network security device 4.
As illustrated in FIG. 3, a security program 5 is installed in the network security device 4 of this example, and an attack defense policy database 600 (attack defense policy DB 600) and an attack defense rule database 610 (attack defense rule DB 610). Is configured. The attack defense rule DB 610 is an example of a definition information database according to the present invention.
The security program 5 includes a reception processing unit 500, a rule creation processing unit 510, an access control unit 520, a detection event processing unit 530, an expiration date inspection processing unit 540, an upper limit setting unit 550, and an expiration date extension unit 560.
Part or all of the security program 5 may be realized by hardware such as ASIC.

セキュリティプログラム5において、受信処理部500は、外部から、サイバー攻撃を示唆する脅威情報を受信する。本例の受信処理部500は、検知装置3から、検知されたマルウェアに関連する脅威情報を受信する。さらに、本例の受信処理部500は、受信した脅威情報と、攻撃防御ポリシDB600に登録されている攻撃防御ポリシのフィルター条件とを比較して、攻撃防御方法を指示する情報をルール作成処理部510に通知する。   In the security program 5, the reception processing unit 500 receives threat information suggesting a cyber attack from the outside. The reception processing unit 500 of this example receives threat information related to the detected malware from the detection device 3. Furthermore, the reception processing unit 500 of this example compares the received threat information with the filter conditions of the attack defense policy registered in the attack defense policy DB 600, and provides information indicating the attack defense method as a rule creation processing unit. 510 is notified.

ルール作成処理部510は、受信処理部500により受信された脅威情報に基づいて、攻撃防御ルールを作成し、作成された攻撃防御ルールを攻撃防御ルールDB610に追加登録する。ルール作成処理部510は、本発明に係る作成処理部及び定義登録部の一例である。攻撃防御ルールには、サイバー攻撃を検出するための定義情報(後述するフィルター条件)と、この定義情報に合致する通信が検知された場合の対応方法(後述する動作モード及び監視レベル)とが含まれている。   The rule creation processing unit 510 creates an attack defense rule based on the threat information received by the reception processing unit 500, and additionally registers the created attack defense rule in the attack defense rule DB 610. The rule creation processing unit 510 is an example of a creation processing unit and a definition registration unit according to the present invention. The attack defense rule includes definition information (filter conditions described later) for detecting a cyber attack and a response method (operation mode and monitoring level described later) when communication matching the definition information is detected. It is.

ルール作成処理部510は、受信した脅威情報に基づいて、一部がワイルドカード文字で置換されたHTTPパスをフィルター条件として作成する。本例のルール作成処理部510は、受信した脅威情報に含まれるHTTPパスのうち、クエリデータの部分をワイルドカード文字に置換して、フィルター条件とする。
また、ルール作成処理部510は、受信した一つの脅威情報について、中継サーバが異なる複数の攻撃防御ルールを作成する。本例のルール作成処理部510は、受信した一つの脅威情報に含まれるHTTP情報について、プロキシ接続用のフィルター条件と、Webサーバ接続用のフィルター条件とを作成する。
なお、ルール作成処理部510は、同じフィルター条件で攻撃防御ルールが攻撃防御ルールDB610に登録されている場合には、新たな攻撃防御ルールを登録しない。例えば、クエリデータの部分をワイルドカード文字で単純化した結果、同じフィルター条件となる場合もあるが、このような重複登録を防止する。 Based on the received threat information, the rule creation processing unit 510 creates an HTTP path partially substituted with a wildcard character as a filter condition. In this example, the rule creation processing unit 510 replaces the query data portion of the HTTP path included in the received threat information with a wildcard character, and uses it as a filter condition.
Further, the rule creation processing unit 510 creates a plurality of attack defense rules with different relay servers for the received threat information. The rule creation processing unit 510 of this example creates a filter condition for proxy connection and a filter condition for Web server connection for HTTP information included in one received threat information.
Note that the rule creation processing unit 510 does not register a new attack defense rule when an attack defense rule is registered in the attack defense rule DB 610 under the same filter condition. For example, the same filter condition may be obtained as a result of simplifying the query data portion with a wildcard character, but such duplicate registration is prevented.

アクセス制御部520は、攻撃防御ルールDB610に格納されているフィルター条件(定義情報)を用いて、ネットワーク通信を監視する。アクセス制御部520は、本発明に係る監視部の一例である。より具体的には、アクセス制御部520は、攻撃防御ルールDB610に格納されている攻撃防御ルールのフィルター条件を用いて、ネットワーク通信を監視し、フィルター条件に合致する通信が検知された場合に、この攻撃防御ルールに従った対応(通信の遮断、ログの記録)をとる。   The access control unit 520 monitors network communication using filter conditions (definition information) stored in the attack defense rule DB 610. The access control unit 520 is an example of a monitoring unit according to the present invention. More specifically, the access control unit 520 monitors network communication using the filter condition of the attack defense rule stored in the attack defense rule DB 610, and when communication matching the filter condition is detected, Take action (blocking communication, recording logs) according to this attack defense rule.

検知イベント処理部530は、アクセス制御部520により検知された検知履歴を攻撃防御ルールDB610に登録する。本例の検知イベント処理部530は、アクセス制御部520によりフィルター条件に合致すると判定された通信の検知回数及び検知日時を攻撃防御ルールDB610内で更新する。   The detection event processing unit 530 registers the detection history detected by the access control unit 520 in the attack defense rule DB 610. The detection event processing unit 530 of this example updates the number of times of detection of communication and the detection date and time determined by the access control unit 520 to match the filter condition in the attack defense rule DB 610.

有効期限検査処理部540は、いずれかのフィルター条件(定義情報)に対応する通信がアクセス制御部520により検知されたタイミングと、攻撃防御ルールDB610に登録されている攻撃防御ルールの登録時とに基づいて、攻撃防御ルールDB610に登録されている攻撃防御ルールを削除する。有効期限検査処理部540は、本発明に係る削除部の一例である。より具体的には、有効期限検査処理部540は、攻撃防御ルールDB610に登録されている攻撃防御ルールのうち、アクセス制御部520により最後に検知されたタイミング、又は、攻撃防御ルールDB610に登録された登録時から既定期間経過した攻撃防御ルールを有効期限切れと判定して削除する。   The expiration date inspection processing unit 540 detects when communication corresponding to one of the filter conditions (definition information) is detected by the access control unit 520 and when the attack defense rule registered in the attack defense rule DB 610 is registered. Based on this, the attack defense rule registered in the attack defense rule DB 610 is deleted. The expiration date inspection processing unit 540 is an example of a deletion unit according to the present invention. More specifically, the expiration date inspection processing unit 540 is registered in the attack defense rule DB 610 at the timing last detected by the access control unit 520 among the attack defense rules registered in the attack defense rule DB 610. The attack defense rules that have passed a predetermined period from the time of registration are determined to have expired and are deleted.

また、有効期限検査処理部540は、攻撃防御ルールDB610に登録されている攻撃防御ルールの件数が上限数に達した場合に、アクセス制御部520により検知されたタイミングと、攻撃防御ルールDB610に登録されている登録時とに基づいて、最終の検知タイミング又は登録時が古いものから順に、攻撃防御ルールを削除し、攻撃防御ルールの登録数を上限数以下にする。   The expiration date inspection processing unit 540 registers the timing detected by the access control unit 520 and the attack defense rule DB 610 when the number of attack defense rules registered in the attack defense rule DB 610 reaches the upper limit number. Based on the registered time, the attack defense rules are deleted in order from the last detection timing or the oldest registration time, and the number of attack defense rules registered is set to the upper limit number or less.

上限設定部550は、ユーザの指示に応じて、攻撃防御ルールDB610に登録可能な攻撃防御ルールの上限数を設定する。例えば、上限設定部550は、ユーザが入力したトランザクション性能に応じて、攻撃防御ルールDB610に登録可能な攻撃防御ルールの上限数を設定する。攻撃防御ルールの上限数が小さく設定された場合、検査するフィルター条件が少なくなるため、通信性能の劣化が抑制される。仮に、削除した攻撃防御ルールに対応するC&Cサーバへの通信が行われたとしても、検知装置3で検知され、新たに攻撃防御ルールとして登録されるため、以降の通信は遮断されうる。   The upper limit setting unit 550 sets the upper limit number of attack defense rules that can be registered in the attack defense rule DB 610 in accordance with a user instruction. For example, the upper limit setting unit 550 sets the upper limit number of attack defense rules that can be registered in the attack defense rule DB 610 according to the transaction performance input by the user. When the upper limit number of attack defense rules is set to a small value, filter conditions to be checked are reduced, so that deterioration in communication performance is suppressed. Even if communication to the C & C server corresponding to the deleted attack defense rule is performed, since it is detected by the detection device 3 and newly registered as an attack defense rule, subsequent communication can be blocked.

期限延長部560は、図8を参照して後述するように、感染端末毎の検知履歴(検知装置3による検知の履歴)に基づいて、感染端末毎の最大検知間隔を算出し、算出された最大検知間隔に基づいて、攻撃防御ルールに設定された有効期間(有効日数)を延長する。本例の期限延長部560は、算出された最大検知間隔が、攻撃防御ルールに設定された有効期間よりも大きい場合に、この最大検知間隔を有効期間とする。   As will be described later with reference to FIG. 8, the term extension unit 560 calculates the maximum detection interval for each infected terminal based on the detection history for each infected terminal (the detection history by the detection device 3). Based on the maximum detection interval, the effective period (effective days) set in the attack defense rule is extended. The time limit extension unit 560 of this example sets the maximum detection interval as the effective period when the calculated maximum detection interval is larger than the effective period set in the attack defense rule.

図4は、検知装置3から通知される脅威情報を例示する図である。
図4に例示するように、本例では、脅威情報として、脅威の種類を示す脅威タイプ、マルウェアの名称であるマルウェア名、脅威のレベル、脅威情報の詳細情報を表示するURLである脅威情報URL、マルウェアに感染したコンピュータ端末に関する情報(IPアドレス、検知された通信時のポート番号、MACアドレス)、C&Cサーバ9に関する情報(接続先のIPアドレス、接続先のポート番号、HTTP情報)、マルウェアの配布元(ダウンロードしたマルウェアのmd5sum、及び、HTTP情報)、及び、感染端末の接続先情報(接続先のIPアドレス、接続先のポート番号)が通知される。
脅威タイプには、例えば、「C&Cサーバへの接続」、「マルウェアの検知」、「過去に検知していないWebブラウザ又はアプリケーションの脆弱性を利用した攻撃」、及び「既知の脅威」などの脅威の種類が含まれる。
マルウェア名は、一般化されたマルウェア名が通知されるが、マルウェア名が未登録である場合には、脅威タイプ毎に固定の名前が通知される。
脅威のレベルには、例えば、「Minor」、「Major」、「Critical」のように、順に脅威レベルが高くなる3段階が設定されており、これらのいずれかが通知される。
C&Cサーバ9に関する情報は、プロキシである場合がある。また、C&Cサーバ9のHTTP情報には、例えば、HTTP通信のURLとHTTPヘッダが含まれる。
マルウェアの配布元のHTTP情報には、例えば、配布サーバへのHTTP通信のURLとHTTPヘッダが含まれる。
感染端末の接続先情報は、プロキシである場合がある。 FIG. 4 is a diagram illustrating threat information notified from the detection device 3.
As illustrated in FIG. 4, in this example, as threat information, a threat type indicating the type of threat, a malware name that is the name of the malware, a threat level, and a threat information URL that is a URL that displays detailed information on the threat information. , Information on computer terminals infected with malware (IP address, port number at detected communication, MAC address), information on C & C server 9 (IP address of connection destination, port number of connection destination, HTTP information), malware information The distribution source (md5sum of downloaded malware and HTTP information) and the connection destination information (connection destination IP address, connection destination port number) of the infected terminal are notified.
Threat types include, for example, threats such as “connection to C & C server”, “malware detection”, “attack using vulnerabilities in web browsers or applications that have not been detected in the past”, and “known threats”. The types of are included.
The malware name is notified of the generalized malware name, but when the malware name is not registered, a fixed name is notified for each threat type.
As the threat level, for example, three levels such as “Minor”, “Major”, and “Critical” are set in order of increasing threat level, and one of these is notified.
Information about the C & C server 9 may be a proxy. Also, the HTTP information of the C & C server 9 includes, for example, an HTTP communication URL and an HTTP header.
The HTTP information of the malware distribution source includes, for example, an HTTP communication URL to the distribution server and an HTTP header.
The connection destination information of the infected terminal may be a proxy.

図5(A)は、攻撃防御ポリシDB600に登録される攻撃防御ポリシを例示し、図5(B)は、攻撃防御ルールDB610に登録される攻撃防御ルールを例示する図である。
攻撃防御ポリシDB600には、ユーザが設定した攻撃防御ポリシが登録される。攻撃防御ポリシDB600に登録される攻撃防御ポリシには、攻撃防御ポリシの優先順序を示す「識別番号」と、「脅威情報のフィルター条件」と、対応方法を指定する「動作モード」と、攻撃防御ルールの有効期間を示す「有効日数」とが含まれる。「脅威情報のフィルター条件」には、脅威情報の脅威タイプと、マルウェア名とが含まれる。マルウェア名は、一部をワイルドカード文字で、又は、正規表現で設定される。
「動作モード」には、「防御」、「検知」又は「無視」が設定される。「防御」が設定された場合、検知された脅威情報について、通信を遮断する攻撃防御ルールが作成される。「検知」が設定された場合、検知された脅威情報について、通信を検知する攻撃防御ルールが作成される。「無視」が設定された場合、攻撃防御ルールが生成されない。
「有効日数」は、例えば、感染端末のクリーンインストールに要する作業日数と、他端末への感染が無いことを監視する期間とを合算して設定される。
受信処理部500は、検知装置3から脅威情報を受信すると、受信した脅威情報と、攻撃防御ポリシDB600に登録されている攻撃防御ポリシのフィルター条件とを比較して、フィルター条件に合致する攻撃防御ポリシに含まれる動作モード及び有効日数を、脅威情報と共にルール作成部510に通知する。 FIG. 5A illustrates an attack defense policy registered in the attack defense policy DB 600, and FIG. 5B illustrates an attack defense rule registered in the attack defense rule DB 610.
In the attack defense policy DB 600, an attack defense policy set by the user is registered. The attack defense policy registered in the attack defense policy DB 600 includes an “identification number” indicating the priority order of the attack defense policy, a “threat information filter condition”, an “operation mode” designating a response method, and an attack defense policy. “Valid days” indicating the validity period of the rule is included. The “threat information filter condition” includes the threat type of the threat information and the malware name. A part of the malware name is set with a wild card character or a regular expression.
In the “operation mode”, “defense”, “detection”, or “ignore” is set. When “defense” is set, an attack defense rule for blocking communication is created for the detected threat information. When “detection” is set, an attack defense rule for detecting communication is created for the detected threat information. When "Ignore" is set, attack defense rules are not generated.
“Effective days” is set, for example, by adding together the number of work days required for clean installation of an infected terminal and a period for monitoring that there is no infection of other terminals.
When receiving the threat information from the detection device 3, the reception processing unit 500 compares the received threat information with the filter condition of the attack defense policy registered in the attack defense policy DB 600, and the attack protection that matches the filter condition. The rule creation unit 510 is notified of the operation mode and effective days included in the policy together with the threat information.

ルール作成処理部510は、受信処理部500から、動作モード及び有効日数が脅威情報と共に通知されると、これらの情報に従って、図5(B)に例示する攻撃防御ルールを作成し、作成された攻撃防御ルールを攻撃防御ルールDB610に追加登録する。
攻撃防御ルールDB610に登録される攻撃防御ルールには、攻撃防御ルールを一意に識別するための「識別番号」と、C&Cサーバ又はマルウェア配布サーバを特定するための「フィルター条件」と、対処方法を指定する「動作モード」と、監視の内容を指定する「監査レベル」と、「C&CサーバのURL」と、脅威情報の詳細情報を表示する「脅威情報のURL」と、攻撃防御ルールの有効期間を示す「有効日数」と、攻撃防御ルールの有効期限を示す「有効期限日」と、攻撃防御ルールの登録時を示す「作成日時」と、攻撃防御ルールの「更新日時」と、フィルター条件に合致した通信の検知回数を示す「検知回数」と、フィルター条件に合致した通信を最後に検知した日時を示す「最終検知日時」と、感染端末毎の検知間隔を記録する「端末毎の検知履歴」とが含まれる。
「識別番号」は、例えば、ルール作成処理部510により付与されるシリアル番号である。
「フィルター条件」は、脅威情報に基づいてルール作成処理部510により作成される定義情報であり、ワイルドカード文字によりクエリ部分が単純化され、かつ、プロキシ接続用及びWebサーバ接続用に重複して作成されたものである。
「動作モード」及び「監査レベル」は、攻撃防御ポリシに従って定義される対応方法である。
「C&CサーバのURL」は、フィルター条件をURL形式に変換した文字列である。
「有効日数」は、攻撃防御ポリシの「有効日数」に従って設定された攻撃防御ルールの有効期間、又は、期限延長部560により延長された有効期間である。
「有効期限日」は、攻撃防御ルールの登録時(「作成日時」)又は「最終検知日時」のより遅い方に、「有効日数」を加算したものである。
「検知回数」及び「最終検知日時」は、検知イベント処理部530により更新される値である。「端末毎の検知履歴」は、期限延長部560により更新される値である。 When the operation mode and the effective number of days are notified together with the threat information from the reception processing unit 500, the rule creation processing unit 510 creates and creates an attack defense rule illustrated in FIG. The attack defense rule is additionally registered in the attack defense rule DB 610.
The attack defense rule registered in the attack defense rule DB 610 includes an “identification number” for uniquely identifying the attack defense rule, a “filter condition” for specifying the C & C server or the malware distribution server, and a coping method. “Operation mode” to be designated, “Audit level” to designate the contents of monitoring, “URL of C & C server”, “URL of threat information” displaying detailed information of threat information, and validity period of the attack defense rule Filter date, the “expiration date” indicating the expiration date of the attack defense rule, the “creation date” indicating the time of registration of the attack defense rule, the “update date” of the attack defense rule, and the filter condition Records the "detection count" that indicates the number of detections of matching communication, the "last detection date" that indicates the date and time when communication that matched the filter conditions was last detected, and the detection interval for each infected terminal That it is included and the "sense the history of each terminal."
The “identification number” is a serial number given by the rule creation processing unit 510, for example.
“Filter condition” is definition information created by the rule creation processing unit 510 based on threat information, the query part is simplified by wildcard characters, and duplicated for proxy connection and web server connection. It has been created.
The “operation mode” and “audit level” are response methods defined according to the attack defense policy.
“URL of C & C server” is a character string obtained by converting the filter condition into the URL format.
“Effective days” is an effective period of the attack defense rule set according to the “effective days” of the attack defense policy, or an effective period extended by the time limit extension unit 560.
The “expiration date” is obtained by adding “valid days” to the later of the attack defense rule registration (“creation date”) or the “last detection date”.
“Detection count” and “last detection date” are values updated by the detection event processing unit 530. The “detection history for each terminal” is a value updated by the time limit extension unit 560.

図6(A)は、検知装置3から通知される脅威情報に含まれるHTTP情報を例示し、図6(B)は、この脅威情報に基づいて作成されるフィルター条件を例示する図である。
ルール作成処理部510は、図6(A)に例示する脅威情報のHTTP情報に基づいて、図6(B)に例示する攻撃防御ルールのフィルター条件を作成する。すなわち、脅威情報のHTTP情報には、C&Cサーバ9又はマルウェア配布サーバが含まれているが、図6(A)に例示するように、プロキシがある場合と無い場合とで異なるため、攻撃防御ルールのフィルター条件は、図6(B)に例示するように、Webサーバ接続用のフィルター条件と、プロキシ接続用のフィルター条件との論理和(OR)となる。
なお、Webサーバ接続用のフィルター条件は、HTTPパスとHOSTヘッダの論理積(AND)とし、プロキシ接続用のフィルター条件は、HTTPパスをプロキシ形式にする。 FIG. 6A illustrates HTTP information included in the threat information notified from the detection device 3, and FIG. 6B illustrates a filter condition created based on the threat information.
The rule creation processing unit 510 creates a filter condition for the attack defense rule illustrated in FIG. 6B based on the HTTP information of the threat information illustrated in FIG. That is, the HTTP information of the threat information includes the C & C server 9 or the malware distribution server. However, as exemplified in FIG. 6A, the attack defense rule is different depending on whether or not there is a proxy. As illustrated in FIG. 6B, the filter condition is a logical sum (OR) of the filter condition for Web server connection and the filter condition for proxy connection.
The Web server connection filter condition is the logical product (AND) of the HTTP path and the HOST header, and the proxy connection filter condition is that the HTTP path is in proxy format.

図7(A)は、クエリデータが含まれた脅威情報のHTTPパスを例示し、図7(B)は、クエリデータがワイルドカード文字に置換されたフィルター条件を例示する図である。
ルール作成処理部510は、図7(A)に例示するように、脅威情報のHTTPパスにクエリデータが含まれている場合に、図7(B)に例示するように、クエリデータの部分をワイルドカード文字に置換してフィルター条件とする。ここで、ワイルドカード文字とは、任意の文字列を示す文字であり、本例では「*」である。
これにより、C&Cサーバへの通信において、端末によってクエリデータが異なる場合もあるが、ワイルドカード文字による単純化によって、フィルター条件の一致確率が高くなる。 FIG. 7A illustrates an HTTP path of threat information including query data, and FIG. 7B illustrates a filter condition in which query data is replaced with a wildcard character.
As illustrated in FIG. 7A, the rule creation processing unit 510, when the query data is included in the HTTP path of the threat information, as illustrated in FIG. Replace with a wildcard character as a filter condition. Here, the wild card character is a character indicating an arbitrary character string, and is “*” in this example.
Thereby, in the communication to the C & C server, the query data may be different depending on the terminal, but the simplification by the wild card character increases the probability of matching the filter condition.

図8は、最大検知間隔と有効期間との関係を説明する図である。
図8に例示するように、有効期限検査処理部540は、各攻撃防御ルールについて、最終検知日(「検知(6)」の日)に、攻撃防御ルールの「有効日数」を加算して、有効期限日を設定し、有効期限日が到来した攻撃防御ルールを無効化する。
一方で、期限延長部560は、感染端末毎の検知間隔(最初に検知された時から最後に検知された時までの間隔)を算出し、算出された感染端末毎の検知間隔のうち、最大の検知間隔(最大検知間隔)が有効日数よりも大きい場合に、有効日数を最大検知間隔に更新して、有効期限日を延長する。最大検知間隔は、攻撃者の初期侵入から再侵入の期間とみなすことができ、最大検知間隔より有効日数が短い場合、マルウェアが未対処の可能性があると判断し、期限延長部560が有効期限日を延長する。
なお、マルウェアが長期潜伏型で、攻撃防御ルールが無効化された後に活動を再開した場合、検知装置3が再度これを検知してネットワークセキュリティ装置4に通知し、ネットワークセキュリティ装置4では、再度、このマルウェアに対応する攻撃防御ルールが登録される。 FIG. 8 is a diagram for explaining the relationship between the maximum detection interval and the effective period.
As illustrated in FIG. 8, the expiration date inspection processing unit 540 adds, for each attack defense rule, the “valid days” of the attack defense rule to the last detection date (the date of “detection (6)”), Set an expiration date, and invalidate the attack defense rule that has reached the expiration date.
On the other hand, the time limit extension unit 560 calculates a detection interval for each infected terminal (interval from when it was first detected to when it was last detected), and among the calculated detection intervals for each infected terminal, When the detection interval (maximum detection interval) is greater than the effective number of days, the effective number of days is updated to the maximum detection interval and the expiration date is extended. The maximum detection interval can be regarded as the period from the initial intrusion of the attacker to the re-intrusion. If the effective number of days is shorter than the maximum detection interval, it is determined that the malware may not be handled, and the time limit extension unit 560 is effective. Extend the due date.
In addition, when the malware is a long-term latent type and the activity is resumed after the attack defense rule is invalidated, the detection device 3 detects this again and notifies the network security device 4. An attack defense rule corresponding to this malware is registered.

図9は、攻撃防御ルール作成処理(S10)のフローチャートである。
図9に示すように、ステップ100(S100)において、ネットワークセキュリティ装置4の受信処理部500は、検知装置3から接続要求があるまで待機し(S100:No)、接続要求があるとS102の処理に移行する。検知装置3は、HTTPSでネットワークセキュリティ装置4に接続し、脅威情報を送信する。 FIG. 9 is a flowchart of the attack defense rule creation process (S10).
As shown in FIG. 9, in step 100 (S100), the reception processing unit 500 of the network security device 4 stands by until a connection request is received from the detection device 3 (S100: No). Migrate to The detection device 3 connects to the network security device 4 by HTTPS and transmits threat information.

ステップ102(S102)において、受信処理部500は、Web−APIを介して、検知装置3から脅威情報を受信する。脅威情報は、例えば、XMLフォーマットである。
ステップ104(S104)において、受信処理部500は、受信した脅威情報のXMLを解析し、脅威タイプ、マルウェア名、及びHTTP情報を抽出する。 In step 102 (S102), the reception processing unit 500 receives threat information from the detection device 3 via the Web-API. The threat information is, for example, in XML format.
In step 104 (S104), the reception processing unit 500 analyzes the XML of the received threat information, and extracts the threat type, malware name, and HTTP information.

ステップ106(S106)において、受信処理部500は、抽出された脅威タイプ、マルウェア名、及びHTTP情報と、攻撃防御ポリシのフィルター条件とを比較する。
ステップ108(S108)において、受信処理部500は、脅威情報から抽出された脅威タイプ、マルウェア名、及びHTTP情報が、攻撃防御ポリシのフィルター条件と一致しない場合には、S106に戻って、次の攻撃防御ポリシのフィルター条件との比較処理に移り、全ての攻撃防御ポリシのフィルター条件と一致しなかった場合に、脅威情報を破棄して、S100の処理に戻る。
受信処理部500は、脅威情報から抽出された脅威タイプ、マルウェア名、及びHTTP情報が、いずれかの攻撃防御ポリシのフィルター条件と一致した場合には、S110の処理に移行する。
なお、攻撃防御ポリシの「動作モード」が「無視」である場合も、受信処理部500は、脅威情報を破棄して、S100の処理に戻る。 In step 106 (S106), the reception processing unit 500 compares the extracted threat type, malware name, and HTTP information with the filter condition of the attack defense policy.
In step 108 (S108), if the threat type, malware name, and HTTP information extracted from the threat information do not match the filter conditions of the attack defense policy, the reception processing unit 500 returns to S106 and proceeds to the next step. The process proceeds to a comparison process with the filter conditions of the attack defense policy, and when it does not match all the filter conditions of the attack defense policy, the threat information is discarded and the process returns to S100.
If the threat type, malware name, and HTTP information extracted from the threat information match the filter conditions of any of the attack defense policies, the reception processing unit 500 proceeds to S110.
Even when the “operation mode” of the attack defense policy is “ignore”, the reception processing unit 500 discards the threat information and returns to the process of S100.

ステップ110(S110)において、ルール作成処理部510は、受信処理部500により受信された脅威情報と、これに合致した攻撃防御ポリシとに基づいて、攻撃防御ルールを作成する。作成される攻撃防御ルールには、HTTPパスの一部がワイルドカード文字で単純化されたプロキシ接続用のフィルター条件及びWebサーバ接続用のフィルター条件が含まれる。
ステップ112(S112)において、ルール作成処理部510は、作成された攻撃防御ルールが、攻撃防御ルールDB610に既に登録されていないか確認する。
ステップ114(S114)において、ルール作成処理部510は、作成された攻撃防御ルールが、攻撃防御ルールDB610に既に登録されている場合、攻撃防御ルールを追加登録せず、S100の処理に戻り、作成された攻撃防御ルールが、攻撃防御ルールDB610に既に登録されていない場合、S116の処理に移行する。 In step 110 (S110), the rule creation processing unit 510 creates an attack defense rule based on the threat information received by the reception processing unit 500 and the attack defense policy that matches the threat information. The created attack defense rule includes a filter condition for proxy connection and a filter condition for web server connection in which a part of the HTTP path is simplified by a wild card character.
In step 112 (S112), the rule creation processing unit 510 checks whether the created attack defense rule has already been registered in the attack defense rule DB 610.
In step 114 (S114), when the created attack defense rule is already registered in the attack defense rule DB 610, the rule creation processing unit 510 returns to the process of S100 without registering the additional attack defense rule. If the attack defense rule that has been registered is not already registered in the attack defense rule DB 610, the process proceeds to S116.

ステップ116(S116)において、有効期限検査処理部540は、攻撃防御ルールDB610に登録されている攻撃防御ルールの件数が、設定された上限数に達しているか否かをチェックする。
ステップ118(S118)において、有効期限検査処理部540は、登録されている攻撃防御ルールの件数が上限数に達している場合に、S120の処理に移行し、攻撃防御ルールの登録件数が上限値に達していない場合に、S122の処理に移行する。
ステップ120(S120)において、有効期限検査処理部540は、アクセス制御部520により検知されたタイミングと、攻撃防御ルールDB610に登録されている登録時とに基づいて、最終の検知タイミング(検知タイミングが無い場合は、登録時)が古いものから順に、攻撃防御ルールを削除し、攻撃防御ルールの登録数を上限数以下にする。 In step 116 (S116), the expiration date inspection processing unit 540 checks whether or not the number of attack defense rules registered in the attack defense rule DB 610 has reached the set upper limit number.
In step 118 (S118), when the number of registered attack defense rules has reached the upper limit number, the expiration date inspection processing unit 540 proceeds to the process of S120, and the registered number of attack defense rules is the upper limit value. If not, the process proceeds to S122.
In step 120 (S120), the expiration date inspection processing unit 540 determines the final detection timing (detection timing is based on the timing detected by the access control unit 520 and the registration time registered in the attack defense rule DB 610. If there is not, the attack defense rules are deleted in order from the oldest (when registering), and the number of registered attack defense rules is set to the upper limit or less.

ステップ122(S122)において、ルール作成処理部510は、攻撃防御ルールの識別番号を採番する。
ステップ124(S124)において、ルール作成処理部510は、作成した攻撃防御ルールの「有効日数」に、攻撃防御ポリシの「有効日数」を設定する。
ステップ126(S126)において、ルール作成処理部510は、作成した攻撃防御ルールを、「作成日時」に関連付けて攻撃防御ルールDB610に追加登録する。 In step 122 (S122), the rule creation processing unit 510 assigns an identification number of the attack defense rule.
In step 124 (S124), the rule creation processing unit 510 sets “valid days” of the attack defense policy to “valid days” of the created attack defense rules.
In step 126 (S126), the rule creation processing unit 510 additionally registers the created attack defense rule in the attack defense rule DB 610 in association with the “creation date”.

ステップ128(S128)において、ルール作成処理部510は、追加登録された攻撃防御ルールの識別番号及びフィルター条件をアクセス制御部520に配信する。
アクセス制御部520は、配信されたフィルター条件を用いて、アクセス制御処理(S20)を行う。 In step 128 (S128), the rule creation processing unit 510 delivers the additionally registered attack defense rule identification number and filter condition to the access control unit 520.
The access control unit 520 performs an access control process (S20) using the distributed filter condition.

図10は、アクセス制御処理(S20)のフローチャートである。なお、本フローチャートの処理は、ネットワークセキュリティ装置4がパケットを受信したときに通信制御ドライバから呼び出されて開始される。
図10に示すように、ステップ200(S200)において、アクセス制御部520は、通信が、内部ネットワークから外部ネットワークへの通信であるか否かを判定する。本例では、内部ネットワークから外部ネットワークへの通信のみを検査対象とする。
ステップ202(S202)において、アクセス制御部520は、通信が、内部ネットワークから外部ネットワークへの通信である場合に、S204の処理に移行し、通信が、内部ネットワークから外部ネットワークへの通信でない場合に、S224の処理に移行する。 FIG. 10 is a flowchart of the access control process (S20). Note that the processing of this flowchart is started by being called from the communication control driver when the network security device 4 receives a packet.
As shown in FIG. 10, in step 200 (S200), the access control unit 520 determines whether or not the communication is communication from the internal network to the external network. In this example, only communication from the internal network to the external network is the inspection target.
In step 202 (S202), the access control unit 520 proceeds to the process of S204 when the communication is communication from the internal network to the external network, and when the communication is not communication from the internal network to the external network. , The process proceeds to S224.

ステップ204(S204)において、アクセス制御部520は、通信が、攻撃防御ルールDB610に登録されている攻撃防御ルールのフィルター条件に合致するか否かを検査する。
ステップ206(S206)において、アクセス制御部520は、通信が、攻撃防御ルールのフィルター条件に合致する場合、S210の処理に移行し、通信が、攻撃防御ルールのフィルター条件に合致しない場合、S208の処理に移行する。
ステップ208(S208)において、アクセス制御部520は、次の攻撃防御ルールのフィルター条件を読み出し、S204の処理に戻る。 In step 204 (S204), the access control unit 520 checks whether or not the communication matches the filter condition of the attack defense rule registered in the attack defense rule DB 610.
In step 206 (S206), if the communication matches the filter condition of the attack defense rule, the access control unit 520 proceeds to the process of S210. If the communication does not match the filter condition of the attack protection rule, the access control unit 520 Transition to processing.
In step 208 (S208), the access control unit 520 reads the filter condition of the next attack defense rule, and returns to the process of S204.

ステップ210(S210)において、アクセス制御部520は、合致したフィルター条件の攻撃防御ルールの識別番号、検知数及び検知日時を検知イベント処理部530に通知する。
検知イベント処理部530は、攻撃防御ルールDB610にアクセスして、通知された識別番号に関連付けられた「検知回数」に、通知された「検知数」を加算し、通知された「検知日時」で「最終検知日時」を更新する。 In step 210 (S210), the access control unit 520 notifies the detection event processing unit 530 of the identification number, the number of detections, and the detection date and time of the attack defense rule having the matched filter condition.
The detection event processing unit 530 accesses the attack defense rule DB 610, adds the notified “number of detections” to the “detection number” associated with the notified identification number, and uses the notified “detection date and time”. Update “Last detection date”.

ステップ212(S212)において、アクセス制御部520は、合致したフィルター条件に対応する動作モードに従って、対応を決定する。
ステップ214(S214)において、アクセス制御部520は、動作モードが「防御」である場合に、S216の処理に移行して遮断を行い、動作モードが「検知」である場合に、S222の処理に移行して検知のみを行う。 In step 212 (S212), the access control unit 520 determines the correspondence according to the operation mode corresponding to the matched filter condition.
In step 214 (S214), when the operation mode is “defense”, the access control unit 520 shifts to the process of S216 and performs blocking, and when the operation mode is “detection”, the access control unit 520 performs the process of S222. Move to detect only.

ステップ216(S216)において、アクセス制御部520は、通信の送信元及び通信先にリセットパケットを送信して、TCPコネクションを切断する。
ステップ218(S218)において、アクセス制御部520は、遮断したことを示すログを出力する。
ステップ220(S220)において、アクセス制御部520は、通信制御ドライバに対してパケット処理済みを通知して、処理を終了する。 In step 216 (S216), the access control unit 520 transmits a reset packet to the communication transmission source and communication destination to disconnect the TCP connection.
In step 218 (S218), the access control unit 520 outputs a log indicating that the access has been blocked.
In step 220 (S220), the access control unit 520 notifies the communication control driver that the packet processing has been completed, and ends the processing.

ステップ222(S222)において、アクセス制御部520は、検知したことを示すログを出力する。
ステップ224(S224)において、アクセス制御部520は、通信パケットを次の処理制御に渡すよう通信制御ドライバに依頼して、通信を継続させる。 In step 222 (S222), the access control unit 520 outputs a log indicating that it has been detected.
In step 224 (S224), the access control unit 520 requests the communication control driver to pass the communication packet to the next processing control, and continues communication.

図11は、検知イベント処理(S30)のフローチャートである。
図11に示すように、ステップ300(S300)において、検知イベント処理部530は、アクセス制御部520に対して、検知イベントの送信を要求する。
ステップ302(S302)において、アクセス制御部520は、検知イベントの送信が要求されるまで要求待ちをしている。
ステップ304(S304)において、アクセス制御部520は、検知イベントの送信要求が無い場合(S304:No)、S302の処理に戻って要求待ちを続け、要求があると(S304:Yes)、S306の処理に進む。
ステップ306(S306)において、アクセス制御部520は、検知イベントキューから検知イベント(ログ)を読み出し、検知イベント処理部540に送信する。 FIG. 11 is a flowchart of the detection event process (S30).
As illustrated in FIG. 11, in step 300 (S300), the detection event processing unit 530 requests the access control unit 520 to transmit a detection event.
In step 302 (S302), the access control unit 520 waits for a request until transmission of a detection event is requested.
In step 304 (S304), if there is no detection event transmission request (S304: No), the access control unit 520 returns to the processing of S302 and waits for the request. If there is a request (S304: Yes), the access control unit 520 Proceed to processing.
In step 306 (S306), the access control unit 520 reads a detection event (log) from the detection event queue and transmits it to the detection event processing unit 540.

ステップ308(S308)において、検知イベント処理部530は、検知イベントの送信要求を行った後、検知イベントの受信待ちをしている。
ステップ310(S310)において、検知イベント処理部530は、アクセス制御部520から検知イベントの受信を開始すると、受信待ち状態が解除され、検知イベントを受信する。 In step 308 (S308), the detection event processing unit 530 waits to receive a detection event after making a detection event transmission request.
In step 310 (S310), when the detection event processing unit 530 starts receiving the detection event from the access control unit 520, the reception waiting state is canceled and the detection event is received.

ステップ312(S312)において、検知イベント処理部530は、受信した検知イベント情報に基づいて、各攻撃防御ルールに関連付けられた検知回数及び最終検知日を更新する。
ステップ314(S314)において、検知イベント処理部530は、最終検知日の更新に応じて、更新された最終検知日に「有効日数」を加算して、有効期限日を更新する。 In step 312 (S312), the detection event processing unit 530 updates the number of detections and the last detection date associated with each attack defense rule based on the received detection event information.
In step 314 (S314), the detection event processing unit 530 updates the expiration date by adding “valid days” to the updated last detection date according to the update of the last detection date.

図12は、有効期限検査処理(S40)のフローチャートである。
図12に示すように、ステップ400(S400)において、有効期限検査処理部540は、攻撃防御ルールDB610に登録されている攻撃防御ルールを、有効期限日の早い順にソートする。
ステップ402(S402)において、有効期限検査処理部540は、攻撃防御ルールDB610に攻撃防御ルールが1つも登録されていない場合(S402:No)、S404の処理に移行し、攻撃防御ルールDB610に攻撃防御ルールが1つ以上登録されている場合(S402:Yes)、S406の処理に移行する。
ステップ404(S404)において、有効期限検査処理部540は、10分間待機した後、S400の処理に戻る。 FIG. 12 is a flowchart of the expiration date inspection process (S40).
As shown in FIG. 12, in step 400 (S400), the expiration date inspection processing unit 540 sorts the attack defense rules registered in the attack defense rule DB 610 in order from the earliest expiration date.
In step 402 (S402), if no attack defense rule is registered in the attack defense rule DB 610 (S402: No), the expiration date inspection processing unit 540 proceeds to the process of S404 and attacks the attack defense rule DB 610. When one or more defense rules are registered (S402: Yes), the process proceeds to S406.
In step 404 (S404), the expiration date inspection processing unit 540 waits for 10 minutes, and then returns to the process of S400.

ステップ406(S406)において、有効期限検査処理部540は、現在時刻を取得する。
ステップ408(S408)において、有効期限検査処理部540は、攻撃防御ルールの有効期限日と、現在時刻とを比較し、有効期限日が現在時刻よりも過去である場合に、攻撃防御ルールが有効期限切れであると判断する。
ステップ410(S410)において、有効期限検査処理部540は、登録されている全ての攻撃防御ルールについて有効期限日のチェックを終了していた場合に、S404の処理に移行し、これ以外の場合に、S412の処理に移行する。
ステップ412(S412)において、有効期限検査処理部540は、攻撃防御ルールが有効期限切れであると判断した場合に、S414の処理に移行し、攻撃防御ルールも有効期限切れではないと判断した場合に、S404の処理に移行する。 In step 406 (S406), the expiration date inspection processing unit 540 acquires the current time.
In step 408 (S408), the expiration date inspection processing unit 540 compares the expiration date of the attack defense rule with the current time, and if the expiration date is earlier than the current time, the attack protection rule is valid. Judge that it has expired.
In step 410 (S410), the expiration date inspection processing unit 540 proceeds to the processing of S404 when the expiration date check has been completed for all the registered attack defense rules, and otherwise , The process proceeds to S412.
In step 412 (S412), if the expiration date inspection processing unit 540 determines that the attack defense rule has expired, the process proceeds to S414, and if it is determined that the attack defense rule has not expired, The process proceeds to S404.

ステップ414(S414)において、有効期限検査処理部540は、有効期限切れである攻撃防御ルールを期限延長部560に通知する。
期限延長部560は、有効期限切れの攻撃防御ルールについて、感染端末毎の検知間隔を算出し、最大検知間隔を求める。
ステップ416(S416)において、期限延長部560は、求められた最大検知間隔と、有効日数とを比較する。
ステップ418(S418)において、期限延長部560は、最大検知間隔が有効日数よりも大きい場合に、S420の処理に移行し、最大検知間隔が有効日数以下である場合、S424の処理に移行する。 In step 414 (S414), the expiration date inspection processing unit 540 notifies the expiration date extension unit 560 of the attack defense rule that has expired.
The term extension unit 560 calculates the detection interval for each infected terminal for the attack defense rule that has expired, and obtains the maximum detection interval.
In step 416 (S416), the time limit extension unit 560 compares the determined maximum detection interval with the number of effective days.
In step 418 (S418), the time limit extension unit 560 proceeds to the process of S420 when the maximum detection interval is larger than the valid days, and proceeds to the process of S424 when the maximum detection interval is equal to or less than the valid days.

ステップ420(S420)において、期限延長部560は、この攻撃防御ルールの「有効日数」を最大検知間隔で更新する。
ステップ422(S422)において、期限延長部560は、更新された「有効日数」(すなわち、最大検知間隔)に基づいて、攻撃防御ルールの「有効期限日」を更新する。 In step 420 (S420), the term extension unit 560 updates the “valid days” of this attack defense rule at the maximum detection interval.
In step 422 (S422), the time limit extension unit 560 updates the “expiration date” of the attack defense rule based on the updated “valid days” (that is, the maximum detection interval).

ステップ424(S424)において、有効期限検査処理部540は、この攻撃防御ルール(すなわち、有効期限切れの攻撃防御ルール)を無効化し、攻撃防御ルールDB610から削除する。
ステップ426(S426)において、有効期限検査処理部540は、攻撃防御ルールDB610に登録されている次の攻撃防御ルールを読み出し、S408に戻って、読み出された攻撃防御ルールについて、有効期限を検査する。 In step 424 (S424), the expiration date inspection processing unit 540 invalidates this attack defense rule (that is, the attack defense rule expired) and deletes it from the attack defense rule DB 610.
In step 426 (S426), the expiration date inspection processing unit 540 reads the next attack defense rule registered in the attack defense rule DB 610, returns to S408, and inspects the expiration date for the read attack defense rule To do.

以上説明したように、本実施形態の情報処理システム1によれば、通信性能に配慮しつつ、検知装置3から通知された脅威情報と導入時に設定した攻撃防御ポリシに基づいてマルウェアの対処方法を自動で決定し、脅威情報で通知されたC&Cサーバ9及びマルウェア配布サーバへの通信を自動で遮断することで、脅威情報を解析するセキュリティエンジニアが常駐しない組織においても初動対応が確実に実施できるため、標的型サイバー攻撃からの被害を未然に防ぐことができる。
より具体的には、C&Cサーバ9及びマルウェア配布サーバへの通信の最終検知日時と攻撃防御ルールの有効日数から対策済みマルウェアの攻撃防御ルールを自動で判別し、対策完了の攻撃防御ルールを削除することで、マルウェアの感染時の初動対応からマルウェアの対策後のフィルター条件の削除までを完全に自動化することで標的型サイバー攻撃対応のネットワーク管理者の負担を軽減する効果がある。 As described above, according to the information processing system 1 of the present embodiment, a malware countermeasure method based on the threat information notified from the detection device 3 and the attack defense policy set at the time of introduction, while considering communication performance. By automatically blocking communication to the C & C server 9 and the malware distribution server that are automatically determined and notified by threat information, the initial response can be reliably implemented even in organizations that do not have security engineers who analyze threat information. , Can prevent damage from targeted cyber attacks.
More specifically, the attack defense rule of the malware that has been taken countermeasures is automatically determined from the last detection date and time of communication to the C & C server 9 and the malware distribution server and the effective number of days of the attack defense rule, and the attack defense rule for which the countermeasure has been completed is deleted. By fully automating the initial response at the time of malware infection to the removal of filter conditions after malware countermeasures, it has the effect of reducing the burden on the network administrator for targeted cyber attacks.

1…情報処理システム
3…検知装置
4…ネットワークセキュリティ装置
5…セキュリティプログラム
500…受信処理部
510…ルール作成処理部
520…アクセス制御部
530…検知イベント処理部
540…有効期限検査処理部
550…上限設定部
560…期限延長部
600…攻撃防御ポリシデータベース
610…攻撃防御ルールデータベース DESCRIPTION OF SYMBOLS 1 ... Information processing system 3 ... Detection apparatus 4 ... Network security apparatus 5 ... Security program 500 ... Reception process part 510 ... Rule creation process part 520 ... Access control part 530 ... Detection event process part 540 ... Expiration date inspection process part 550 ... Upper limit Setting unit 560 ... Time limit extension unit 600 ... Attack defense policy database 610 ... Attack defense rule database

Claims (11)

マルウェアに感染した感染端末のネットワーク通信を検出するための定義情報を登録時に関連付けて格納する定義情報データベースと、
マルウェアの侵入が検知された場合に、検知されたマルウェアに関連する脅威情報に基づいて、前記定義情報データベースに定義情報を登録する定義登録部と、
前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、
前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除部と
を有するネットワークセキュリティ装置。 A definition information database for storing definition information for detecting network communication of infected terminals infected with malware at the time of registration;
A definition registration unit that registers definition information in the definition information database based on threat information related to detected malware when a malware intrusion is detected ;
A monitoring unit that monitors network communication using definition information stored in the definition information database;
A network security device, comprising: a deletion unit that deletes definition information from the definition information database based on a registration time stored in the definition information database. 前記削除部は、いずれかの定義情報に対応する通信が前記監視部により検知されたタイミングと、前記定義情報データベースに登録されている登録時とに基づいて、前記定義情報データベースに登録されている定義情報を削除する
請求項1に記載のネットワークセキュリティ装置。 The deletion unit is registered in the definition information database based on the timing at which communication corresponding to any definition information is detected by the monitoring unit and the registration time registered in the definition information database. The network security device according to claim 1, wherein the definition information is deleted. 前記削除部は、前記定義情報データベースに登録されている定義情報の件数が既定数に達した場合に、定義情報に対応する通信が前記監視部により検知されたタイミングと、前記定義情報データベースに登録されている登録時とに基づいて、前記定義情報データベースに登録されている定義情報を削除する
請求項1に記載のネットワークセキュリティ装置。 The deletion unit registers in the definition information database when the monitoring unit detects communication corresponding to the definition information when the number of definition information registered in the definition information database reaches a predetermined number. The network security device according to claim 1, wherein the definition information registered in the definition information database is deleted based on the registered time. 前記削除部は、前記定義情報データベースに登録されている定義情報のうち、前記監視部により最後に検知されたタイミング、又は、登録時から既定期間経過した定義情報を有効期限切れと判定して削除する
請求項2に記載のネットワークセキュリティ装置。 The deletion unit deletes the definition information registered in the definition information database at a timing last detected by the monitoring unit or definition information that has passed a predetermined period from the time of registration as expired. The network security device according to claim 2. 外部から、サイバー攻撃を示唆する脅威情報を受信する受信処理部と、
前記受信処理部により受信された脅威情報に基づいて、定義情報を作成する作成処理部と
をさらに有し、
前記定義登録部は、前記作成処理部により作成された定義情報を前記定義情報データベースに追加登録する
請求項1に記載のネットワークセキュリティ装置。 A reception processing unit that receives threat information indicating a cyber attack from the outside;
A creation processing unit that creates definition information based on the threat information received by the reception processing unit;
The network security device according to claim 1, wherein the definition registration unit additionally registers the definition information created by the creation processing unit in the definition information database. 前記作成処理部は、受信した脅威情報に基づいて、一部がワイルドカード文字で置換されたHTTPパスを前記定義情報として作成する
請求項5に記載のネットワークセキュリティ装置。 The network security device according to claim 5, wherein the creation processing unit creates, as the definition information, an HTTP path that is partially replaced with a wildcard character based on the received threat information. 前記作成処理部は、受信した一つの脅威情報について、中継サーバが異なる複数の定義情報を作成する
請求項5に記載のネットワークセキュリティ装置。 The network security device according to claim 5, wherein the creation processing unit creates a plurality of definition information with different relay servers for one received threat information. ユーザの指示に応じて、前記定義情報データベースに登録可能な定義情報の上限数を設定する上限設定部
をさらに有し、
前記削除部は、前記定義情報データベースに登録される定義情報が、前記上限設定部により設定された上限数以下となるように、登録されている定義情報を削除する
請求項3に記載のネットワークセキュリティ装置。 An upper limit setting unit that sets an upper limit number of definition information that can be registered in the definition information database in accordance with a user instruction;
The network security according to claim 3, wherein the deletion unit deletes the registered definition information so that the definition information registered in the definition information database is equal to or less than the upper limit number set by the upper limit setting unit. apparatus. マルウェアの侵入を検知する検知装置と、ネットワークセキュリティ装置とを含むセキュリティシステムであって、
前記検知装置は、マルウェアの侵入を検知した場合に、検知されたマルウェアに関連する脅威情報を前記ネットワークセキュリティ装置に送信し、
前記ネットワークセキュリティ装置は、
前記検知装置から送信された脅威情報を受信する受信処理部と、
マルウェアの侵入が検知された場合に、前記受信処理部により受信された脅威情報に基づいて、マルウェアに感染した感染端末のネットワーク通信を検出するための定義情報を作成する作成処理部と、
前記定義情報を登録時に関連付けて格納する定義情報データベースと、
前記定義情報データベースに、前記作成処理部により作成された定義情報を追加登録する定義登録部と、
前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、
前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除部と
を有する
セキュリティシステム。 A security system including a detection device for detecting intrusion of malware and a network security device,
When the detection device detects intrusion of malware, the detection device transmits threat information related to the detected malware to the network security device,
The network security device includes:
A reception processing unit that receives threat information transmitted from the detection device;
A creation processing unit for creating definition information for detecting network communication of an infected terminal infected with malware based on the threat information received by the reception processing unit when intrusion of malware is detected ;
A definition information database which stores in association with the time of registering the definition information,
A definition registration unit for additionally registering the definition information created by the creation processing unit in the definition information database;
A monitoring unit that monitors network communication using definition information stored in the definition information database;
A security system comprising: a deletion unit that deletes definition information from the definition information database based on a registration time stored in the definition information database. マルウェアの侵入が検知された場合に、検知されたマルウェアに関連する脅威情報に基づいて、マルウェアに感染した感染端末のネットワーク通信を検出するための定義情報を作成する作成ステップと、
定義情報データベースに、作成された定義情報を登録時に関連付けて登録する定義登録ステップと、
前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視ステップと、
前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除ステップと
を有するネットワークセキュリティ方法。 A creation step for creating definition information for detecting network communication of an infected terminal infected with malware based on threat information related to the detected malware when a malware intrusion is detected;
A definition registration step for registering the created definition information in association with the definition information database at the time of registration;
A monitoring step of monitoring network communication using definition information stored in the definition information database;
A network security method comprising: a deletion step of deleting definition information from the definition information database based on a registration time stored in the definition information database. マルウェアの侵入が検知された場合に、検知されたマルウェアに関連する脅威情報に基づいて、マルウェアに感染した感染端末のネットワーク通信を検出するための定義情報を作成する作成ステップと、
定義情報データベースに、作成された定義情報を登録時に関連付けて登録する定義登録ステップと、
前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視ステップと、
前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除ステップと
をコンピュータに実行させるプログラム。 A creation step for creating definition information for detecting network communication of an infected terminal infected with malware based on threat information related to the detected malware when a malware intrusion is detected;
A definition registration step for registering the created definition information in association with the definition information database at the time of registration;
A monitoring step of monitoring network communication using definition information stored in the definition information database;
A program for causing a computer to execute a deletion step of deleting definition information from the definition information database based on the registration time stored in the definition information database.
JP2015252245A 2015-12-24 2015-12-24 Network security device, security system, network security method, and program Active JP6106861B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015252245A JP6106861B1 (en) 2015-12-24 2015-12-24 Network security device, security system, network security method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015252245A JP6106861B1 (en) 2015-12-24 2015-12-24 Network security device, security system, network security method, and program

Publications (2)

Publication Number Publication Date
JP6106861B1 true JP6106861B1 (en) 2017-04-05
JP2017117224A JP2017117224A (en) 2017-06-29

Family

ID=58666330

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015252245A Active JP6106861B1 (en) 2015-12-24 2015-12-24 Network security device, security system, network security method, and program

Country Status (1)

Country Link
JP (1) JP6106861B1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6740191B2 (en) * 2017-08-04 2020-08-12 日本電信電話株式会社 Attack response system and attack response method
JP6988506B2 (en) * 2018-01-22 2022-01-05 富士通株式会社 Security devices, security programs and security methods
JP7067796B2 (en) * 2019-09-03 2022-05-16 Necプラットフォームズ株式会社 Packet transfer device, packet transfer method, and packet transfer program
US20230006969A1 (en) * 2019-12-18 2023-01-05 Nec Corporation Management apparatus, management method, and program

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3947138B2 (en) * 2003-07-18 2007-07-18 日本電信電話株式会社 DDoS protection method and router device with DDoS protection function
JP2009188556A (en) * 2008-02-04 2009-08-20 Duaxes Corp Router device
JP2011138229A (en) * 2009-12-25 2011-07-14 Canon It Solutions Inc Apparatus and method for processing information, and computer program

Also Published As

Publication number Publication date
JP2017117224A (en) 2017-06-29

Similar Documents

Publication Publication Date Title
US11032297B2 (en) DGA behavior detection
EP3588898B1 (en) Defense against apt attack
US10237283B2 (en) Malware domain detection using passive DNS
US11831609B2 (en) Network security system with enhanced traffic analysis based on feedback loop
US10015193B2 (en) Methods and devices for identifying the presence of malware in a network
US8763071B2 (en) Systems and methods for mobile application security classification and enforcement
EP3264720B1 (en) Using dns communications to filter domain names
EP1682990B1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
JP6408395B2 (en) Blacklist management method
JP2019021294A (en) SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS
WO2010091186A2 (en) Method and system for providing remote protection of web servers
JP6106861B1 (en) Network security device, security system, network security method, and program
KR101951730B1 (en) Total security system in advanced persistent threat
US8839406B2 (en) Method and apparatus for controlling blocking of service attack by using access control list
US20230119649A1 (en) Intrusion detection and prevention system rule automation and optimization
JP2017204721A (en) Security system
KR101072981B1 (en) Protection system against DDoS
JP6943313B2 (en) Log analysis system, analysis equipment, method, and analysis program
JP2022541250A (en) Inline malware detection
JP2005175714A (en) Evaluation device, method, and system for maliciousness of access in network
KR102267101B1 (en) Security control system for responding overseas cyber threat and method thereof
CN113037841B (en) Protection method for providing distributed denial of attack
US20230362176A1 (en) System and method for locating dga compromised ip addresses
JP2004229091A (en) System, device, program, and method for packet transfer
JP2016170651A (en) Unauthorized access detection method, device and program

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161230

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170203

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170207

R150 Certificate of patent or registration of utility model

Ref document number: 6106861

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150