JP6280236B2 - 最適化装置、最適化方法および最適化プログラム - Google Patents

最適化装置、最適化方法および最適化プログラム Download PDF

Info

Publication number
JP6280236B2
JP6280236B2 JP2016559011A JP2016559011A JP6280236B2 JP 6280236 B2 JP6280236 B2 JP 6280236B2 JP 2016559011 A JP2016559011 A JP 2016559011A JP 2016559011 A JP2016559011 A JP 2016559011A JP 6280236 B2 JP6280236 B2 JP 6280236B2
Authority
JP
Japan
Prior art keywords
information
attack
countermeasure
cyber attack
point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016559011A
Other languages
English (en)
Other versions
JPWO2016076207A1 (ja
Inventor
博 胡
博 胡
寿春 岸
寿春 岸
秀雄 北爪
秀雄 北爪
高明 小山
高明 小山
永渕 幸雄
幸雄 永渕
泰大 寺本
泰大 寺本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2016076207A1 publication Critical patent/JPWO2016076207A1/ja
Application granted granted Critical
Publication of JP6280236B2 publication Critical patent/JP6280236B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Technology Law (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、最適化装置、最適化方法および最適化プログラムに関する。
従来、サイバー攻撃を防御するために、ファイアウォールやWAF(Web Application Firewall)などの機器を静的に設置し、そのポイントにおいて事前に設定したブラックリストやシグネチャなどのルールに基づいて対処することが行われていた。
ここで、図12の例を用いて、従来の対処ポイントを決定する処理について説明する。図12の例では、攻撃者は、外部NW(NetWork)40A、DC(Data Center)NW40B、仮想FW(FireWall)40C、仮想NW40D、仮想LB(Load Balancer)40E、仮想NW40F、仮想WAF40Gを経由して、Web Server40Hを攻撃しているものとする。なお、DCNW40Bは、仮想FW40Cだけでなく、仮想NW40Iおよび仮想NW40Jにも接続されている。
図12に例示するように、例えば、攻撃に対処するために事前に定められた個別ルールとして、複数のルール1〜3が定められている。そして、サイバー攻撃があった場合には、攻撃者、被害者、攻撃種別、有効な対処機能等に関する情報(図12では、サイバー攻撃情報と記載)にマッチするルール3を特定する。そして、ルール3に対応する対処ポイントとして対処ポイント3を選択し、該対処ポイントの対処機能を実行することを決定する。
また、サイバー攻撃に対する対処ポイントを決定して防御する技術として、攻撃トラフィックをトレースすることにより攻撃者に近いファイアウォールを探索して上流で攻撃を防御する技術が知られている。例えば、DoS(Denial of Service)攻撃等発生時の一次対処として検出場所で専用FWを用いて攻撃をブロックし、二次対処としてトラフィックをトレースすることにより、攻撃者に近い専用FWを探索し、トラフィックの上流で攻撃者に近い対処ポイントにて攻撃をブロックする技術が知られている(例えば、非特許文献1参照)。
なお、サイバー攻撃に対する防御方法として、機器の中のセキュリティポリシを動的に変更し、Bayesian spam filtersやレンジに対する動的なアクセス制御を行うことで、サイバー攻撃を防御する技術が知られている(例えば、非特許文献2参照)。
Eric Y. Chen, "AEGIS: An Active-Network-Powered Defense Mechanism against DDoS Attacks", IWAN '01 Proceedings of the IFIP-TC6 Third International Working Conference on Active Networks, P.1-15 W. Keith Edwards, Erika Shehan Poole, Jennifer Stoll, "Security Automation Considered Harmful?", NSPW '07 Proceedings of the 2007 Workshop on New Security Paradigms, P.33-42
しかしながら、上記の従来技術では、ネットワーク上の機器の負荷状態やネットワーク構成の動的な変更に対応できず、最適な対処ポイントにおいて最適な対処機能を用いてサイバー攻撃を適切に防御できない場合があるという課題があった。
例えば、サイバー攻撃が多数発生し、セキュリティ対処が特定の対処ポイントに集中した場合に、対象機器のCPU(Central Processing Unit)やメモリなどのリソースが枯渇し、対処機能が動作せず、サイバー攻撃を適切に防御できない場合がある。
また、例えば、仮想ファイアウォールなどの仮想機器の動的追加等によりネットワーク構成が動的に変更された場合に、新たな対処ポイントの増加を考慮していないため、新たなネットワーク構成上で最適な対処ポイントに変更することができない場合がある。
なお、上記した攻撃者に近いファイアウォールを探索して上流で攻撃を防御する技術では、攻撃者のIPアドレスをトレースして、より攻撃者に近い対処ポイントを選択できるが、専用装置のみを対象とするため、仮想ファイアウォールやIPSなどの異なる種類のセキュリティ機器からなるネットワーク構成に対して最適な対処ポイントを動的に選択できない。また、上記した動的なアクセス制御を行うことでサイバー攻撃を防御する技術も同様に、複数のセキュリティ機器から最適な対処ポイントを動的に選択できない。
上述した課題を解決し、目的を達成するために、本発明の最適化装置は、サイバー攻撃に関する情報であるサイバー攻撃情報と、該サイバー攻撃を受けた機器を含むシステム全体に関する情報であるシステム情報とを収集する収集部と、前記収集部によって収集されたサイバー攻撃情報およびシステム情報に基づき、前記サイバー攻撃の攻撃経路を特定し、該攻撃経路上にある機器であって、前記サイバー攻撃に対して有効な対処機能を有する機器を対処ポイントの候補として抽出する抽出部と、前記抽出部によって抽出された対処ポイントの候補のなかから、設定された最適化ロジックを用いて、対処ポイントを選択する選択部とを備えることを特徴とする。
また、本発明の最適化方法は、最適化装置で実行される最適化方法であって、サイバー攻撃に関する情報であるサイバー攻撃情報と、該サイバー攻撃を受けた機器を含むシステム全体に関する情報であるシステム情報とを収集する収集工程と、前記収集工程によって収集されたサイバー攻撃情報およびシステム情報に基づき、前記サイバー攻撃の攻撃経路を特定し、該攻撃経路上にある機器であって、前記サイバー攻撃に対して有効な対処機能を有する機器を対処ポイントの候補として抽出する抽出工程と、前記抽出工程によって抽出された対処ポイントの候補のなかから、設定された最適化ロジックを用いて、対処ポイントを選択する選択工程とを含んだことを特徴とする。
また、本発明の最適化プログラムは、サイバー攻撃に関する情報であるサイバー攻撃情報と、該サイバー攻撃を受けた機器を含むシステム全体に関する情報であるシステム情報とを収集する収集ステップと、前記収集ステップによって収集されたサイバー攻撃情報およびシステム情報に基づき、前記サイバー攻撃の攻撃経路を特定し、該攻撃経路上にある機器であって、前記サイバー攻撃に対して有効な対処機能を有する機器を対処ポイントの候補として抽出する抽出ステップと、前記抽出ステップによって抽出された対処ポイントの候補のなかから、設定された最適化ロジックを用いて、対処ポイントを選択する選択ステップとをコンピュータに実行させることを特徴とする。
本発明によれば、ネットワーク上の機器の負荷状態やネットワーク構成の動的な変更に対応して、最適な対処ポイントにおいて最適な対処機能を用いてサイバー攻撃を適切に防御することができるという効果を奏する。
図1は、第一の実施の形態に係る最適化装置を含むシステムの構成を示す図である。 図2は、第一の実施の形態に係る最適化装置の構成を示すブロック図である。 図3は、サイバー攻撃情報記憶部に記憶されるテーブルの一例を示す図である。 図4は、システム情報記憶部に記憶されるテーブルの一例を示す図である。 図5は、サイバー攻撃の攻撃経路を特定する処理を説明する図である。 図6は、対処ポイントの候補を抽出する処理を説明する図である。 図7は、対処ポイントの候補のなかから最適化ロジックを用いて対処ポイントを選択する処理を説明する図である。 図8は、対処ポイントでの対処機能を実行させるために必要なパラメータを取得する処理を説明する図である。 図9は、最適化装置が最適な対処ポイントを決定する処理の流れを説明する図である。 図10は、第一の実施の形態に係る最適化装置における対処ポイント最適化処理の流れを示すフローチャートである。 図11は、最適化プログラムを実行するコンピュータを示す図である。 図12は、従来の対処ポイントを決定する処理の流れの一例を説明する図である。
以下に、本願に係る最適化装置、最適化方法および最適化プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本願に係る最適化装置、最適化方法および最適化プログラムが限定されるものではない。
[第一の実施の形態]
以下の実施の形態では、第一の実施の形態に係るシステムの構成、最適化装置の構成および最適化装置の処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
[システムの構成]
図1は、第一の実施形態に係る最適化装置を含むシステムの構成を示す図である。図1に示すシステムは、最適化装置10と、セキュリティ分析システム20と、対処機能制御装置30と、サイバー攻撃の攻撃経路上にある機器やNW(外部NW40A、DCNW40B、仮想FW40C、仮想NW40D、仮想LB40E、仮想NW40Fおよび仮想WAF40G)と、攻撃被害を受けているWeb Server40Hとを有する。
また、図1の例では、攻撃者は、外部NW40A、DCNW40B、仮想FW40C、仮想NW40D、仮想LB40E、仮想NW40F、仮想WAF40Gを順に経由して、Web Server40Hを攻撃しているものとする。なお、DCNW40Bは、仮想FW40Cだけでなく、仮想NW40Iおよび仮想NW40Jにも接続されている。
最適化装置10は、攻撃者、攻撃種別、対処機能などのサイバー攻撃情報とネットワーク構成情報やリソース利用状況情報等のシステム情報を収集して、最適化ロジックを用いて、最適な対処ポイントと対処機能を動的に選択する。
具体的には、最適化装置10は、セキュリティ分析システム20から、サイバー攻撃に関する情報であるサイバー攻撃情報と、該サイバー攻撃を受けた機器を含むシステム全体に関する情報であるシステム情報とを収集する。ここで、サイバー攻撃情報およびシステム情報をセキュリティ分析システム20から収集する契機については、最適化装置10がセキュリティ分析システム20へポーリングしてもよいし、セキュリティ分析システム20が最適化装置10に対してプッシュで入力してもよい。なお、サイバー攻撃情報とシステム情報については、セキュリティ分析システム20から収集せずに、人間(セキュリティオペレータ)の判断結果をサイバー攻撃情報およびシステム情報としてユーザインターフェース経由で手動的に入力してもよい。
続いて、最適化装置10は、収集されたサイバー攻撃情報およびシステム情報に基づき、サイバー攻撃の攻撃経路を特定し、該攻撃経路上にある機器であって、サイバー攻撃に対して有効な対処機能を有する機器を対処ポイントの候補として抽出する。そして、最適化装置10は、抽出した対処ポイントの候補のなかから、設定された最適化ロジックを用いて、対処ポイントを選択する。その後、最適化装置10は、選択した対処ポイントと有効な対処機能を対処機能制御装置30に出力し、対処機能制御装置30に対処機能を実行させる。
セキュリティ分析システム20は、SIEM(Security Information and Event Management)分析などのセキュリティ分析を行うシステムである。例えば、セキュリティ分析システム20では、サイバー攻撃があった場合に、該サイバー攻撃についてのサイバー攻撃情報として、サイバー攻撃の種別、攻撃者の識別子となるIPアドレス、被害者の識別子となるIPアドレス、有効な対処機能の情報を管理する。また、セキュリティ分析システム20では、システム情報として、サービス毎の利用経路とセキュリティ対処ポイントを表せるネットワーク構成情報、ネットワーク上の対処ポイント毎の対処機能情報、対処ポイントのリソース利用状況情報を管理する。ここでの管理されるシステム情報とは、最新のシステム情報であり、システム構成等の変更があった場合には、随時更新されるものである。
対処機能制御装置30は、最適化装置10から対処機能を実行させる対処ポイントの通知を受け付け、該対処ポイントとなる機器に対処機能の実行を指示することで、対処機能の実行を制御する。図1の例では、仮想FW40C、仮想NW40Dおよび仮想NW40Iに対処機能の実行を指示している。なお、対処機能の実行制御については、対処機能制御装置30を設けずに、最適化装置10が対処ポイントとなる機器に対処機能の実行を直接指示するようにしてもよい。
[最適化装置10の構成]
次に、図2を用いて、図1に示した最適化装置10の構成を説明する。図2は、第一の実施の形態に係る最適化装置10の構成を示すブロック図である。図2に示すように、この最適化装置10は、通信処理部11、制御部12、記憶部13を有する。以下にこれらの各部の処理を説明する。
通信処理部11は、セキュリティ分析システム20や対処機能制御装置30との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部11は、セキュリティ分析システム20からサイバー攻撃情報およびシステム情報を受信する。また、例えば、通信処理部11は、サイバー攻撃に対する対処ポイントや対処機能を示す情報等を対処機能制御装置30に送信する。
記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納するが、特に本発明に密接に関連するものとしては、サイバー攻撃情報記憶部13aおよびシステム情報記憶部13bを有する。例えば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
サイバー攻撃情報記憶部13aは、サイバー攻撃に関する情報であるサイバー攻撃情報を記憶する。例えば、サイバー攻撃情報記憶部13aは、図3に示すように、サイバー攻撃情報として、サイバー攻撃の種別を示す「攻撃の種別」と、攻撃者の端末の識別子となる「攻撃者IPアドレス」と、被害者の端末の識別子となる「被害者IPアドレス」と、サイバー攻撃に対する有効な対処機能を示す「有効な対処機能」とを対応付けて記憶する。
図3の例を挙げて具体的に説明すると、サイバー攻撃情報記憶部13aは、攻撃の種別「DoS」と、攻撃者IPアドレス「A.A.A.A」と、被害者IPアドレス「B.B.B.B」と、有効な対処機能「Layer4遮断」とを対応付けて記憶する。
システム情報記憶部13bは、サイバー攻撃を受けた機器を含むシステム全体に関する情報であるシステム情報を記憶する。具体的には、システム情報記憶部13bは、サービス毎の利用経路と対処ポイントとを表せるネットワーク構成情報と、対処ポイントごとに、対処ポイントが有する対処機能を示す対処機能情報と、対処ポイントのリソース利用状況を示すリソース利用状況情報とを記憶する。
ここで、システム情報記憶部13bは、ネットワーク構成情報の具体的な例として、例えば、「Internet->GW->FW->{VM1(Web),VM2(Web)}->VM3(DB)」を記憶するとともに、「GW」および「FW」が対処ポイントであることを記憶する。また、この例では、保護対象であるVM1およびVM2がweb層で動作する仮想マシンであり、VM3がDB(Data Base)層で動作する仮想マシンであることを示している。
また、システム情報記憶部13bは、例えば、図4に示すように、システム情報として、対処ポイントごとに、攻撃経路上にある対処ポイントの機器を示す「対処ポイント」と、対処ポイントが有する対処機能を示す「対処機能」と、対処ポイントのリソース利用状況を示す「リソース利用状況情報」とを対応付けて記憶する。
図4の例を挙げて具体的に説明すると、システム情報記憶部13bは、対処ポイント「FW」と、対処機能「Layer4遮断」と、リソース利用状況情報「CPU使用率:10%」とを対応付けて記憶する。これは、対処ポイントである機器「FW」が対処機能として「Layer4遮断」を有し、リソースの利用状況としてCPUの使用率が「10%」であることを意味している。なお、図4の例では、対処ポイントであるFWについての情報のみを示しているが、実際には、システム情報記憶部13bは、その他の対処ポイントである機器についての同様のシステム情報を記憶している。また、上記した各種データは、あくまで一例であり、任意に変更することができる。例えば、リソース利用状況情報は、CPU使用率ではなく、メモリ使用率であってもよい。
制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、収集部12a、抽出部12b、選択部12c、取得部12dおよび出力部12eを有する。
収集部12aは、サイバー攻撃に関する情報であるサイバー攻撃情報と、該サイバー攻撃を受けた機器を含むシステム全体に関する情報であるシステム情報とを収集する。そして、収集部12aは、収集したサイバー攻撃情報をサイバー攻撃情報記憶部13aに格納し、システム情報をシステム情報記憶部13bに格納する。ここで、収集部12aは、システム上でサイバー攻撃が検知されるたびにサイバー攻撃情報およびシステム情報を収集してもよいし、所定の間隔で定期的にサイバー攻撃情報およびシステム情報を収集してもよい。また、システム情報については、システム構成等に変更があった場合にのみ、収集するようにしてもよい。
例えば、収集部12aは、サイバー攻撃情報として、サイバー攻撃の種別を示す「攻撃の種別」と、攻撃者の端末の識別子となる「攻撃者IPアドレス」と、被害者の端末の識別子となる「被害者IPアドレス」と、サイバー攻撃に対する有効な対処機能を示す「有効な対処機能」とをセキュリティ分析システム20から収集する。また、例えば、収集部12aは、システム情報として、サービス毎の利用経路とセキュリティ対処ポイントを表せる「ネットワーク構成情報」、ネットワーク上の対処ポイント毎の「対処機能情報」、対処ポイントの「リソース利用状況情報」をセキュリティ分析システム20から収集する。
抽出部12bは、収集部12aによって収集されたサイバー攻撃情報およびシステム情報に基づき、サイバー攻撃の攻撃経路を特定し、該攻撃経路上にある機器であって、サイバー攻撃に対して有効な対処機能を有する機器を対処ポイントの候補として抽出する。
例えば、抽出部12bは、収集部12aによって収集された攻撃者IPアドレス、被害者IPアドレス及び攻撃の種別をネットワーク構成情報へ対応付け、サイバー攻撃の攻撃経路を特定し、該攻撃経路上の対処ポイントを抽出し、該対処ポイント毎の対処機能情報と該サイバー攻撃に有効な対処機能を照合し、該サイバー攻撃に有効な対処機能を有する機器を対処ポイントの候補として抽出する。
ここで、攻撃経路の特定処理として、例えば、抽出部12bは、収集部12aで収集されたサービス毎の利用経路とセキュリティ対処ポイントとを表せるネットワーク構成情報に基づいて、収集された攻撃者IPアドレスと被害者IPアドレスを探索し、攻撃者の端末から被害者の端末までの経路を攻撃経路として特定した上で、攻撃者の端末から被害者の端末までの攻撃経路が通過する対処ポイントである通信機器やセキュリティ機器を対処ポイントとして抽出する。
ここで、図5の例を用いて、サイバー攻撃の攻撃経路を特定する処理を説明する。例えば、抽出部12bは、サイバー攻撃情報(攻撃者IPアドレス、被害者IPアドレス、攻撃の種別)をネットワーク構成情報となるグラフ情報へマッピングし、攻撃経路を分析し、攻撃経路上の対処ポイントを抽出する。
つまり、図5の例では、「インターネット41->ゲートウェイ42->サブネット43->ルータ(仮想ファイアウォール)44->サブネット45->VM(WAF)46->VM(Web)47->VM(DB)48」というサービス利用経路を表すグラフ情報が用いられている。これに対して、収集された攻撃者IPアドレス「A.A.A.A」と被害者IPアドレス「10.1.0.40」のノードを探索し、サービス利用経路に従ってグラフ上で攻撃者ノードから被害者ノードまで辿り着く経路「インターネット41->ゲートウェイ42->サブネット43->ルータ(仮想ファイアウォール)44->サブネット45->VM(WAF)46->VM(Web)47」を特定する。
そして、抽出部12bは、図5の例では、攻撃経路が通過する対処ポイントとして「サブネット43」、「ルータ(仮想ファイアウォール)44」、「サブネット45」、「VM(WAF)46」を抽出する。なお、図5の例では、インターネット41やゲートウェイ42は、対処ポイントではないものとする。
その後、抽出部12bは、抽出した対処ポイントに対して、収集されたネットワーク上の対処ポイント毎の対処機能と、サイバー攻撃に対して要求される有効な対処機能の情報とを比較し、今回のサイバー攻撃に有効な対処機能を持つ対処ポイントを、対処ポイントの候補として特定する。
ここで、図6の例を用いて、対処ポイントの候補を抽出する処理を説明する。図6は、対処ポイントの候補を抽出する処理を説明する図である。図6の例では、サイバー攻撃情報に対して有効な対処機能が「レイヤ4(L4)遮断」であるものとする。そして、図6に例示するように、システム情報記憶部13bに記憶された対処ポイント毎の対処機能を参照することで、対処ポイントのサブネット43がL4遮断とポート遮断の対処機能を持ち、ルータ(仮想ファイアウォール)44がL4遮断とL7遮断の対処機能を持ち、サブネット45がL4遮断とポート遮断の対処機能を持ち、VM(WAF)46がL4遮断とL7遮断と追加認証の対処機能を持っていることが把握できる。
抽出部12bは、サイバー攻撃情報記憶部13aに記憶されたサイバー攻撃に対する有効な対処機能と、システム情報記憶部13bに記憶された各対処ポイントが持つ対処機能とを比較することで、対処ポイント「サブネット43」、「ルータ(仮想ファイアウォール)44」、「サブネット45」および「VM(WAF)46」すべてがL4遮断の対処機能を持つことが判別され、「サブネット43」、「ルータ(仮想ファイアウォール)44」、「サブネット45」および「VM(WAF)46」の全てが対処ポイントの候補として抽出される。
選択部12cは、抽出部12bによって抽出された対処ポイントの候補のなかから、設定された最適化ロジックを用いて、対処ポイントを選択する。具体的には、選択部12cは、サイバー攻撃の起点である攻撃者の端末に最寄りの対処ポイントを選定する最適化ロジック、または、最もリソース使用率が低い対処ポイントを選定する最適化ロジックを用いて、対処ポイントを選択する。なお、かかる最適化ロジックについて、使用する最適化ロジックを事前に設定してもよいし、攻撃の種別等に応じて、動的に使用する最適化ロジックを選択して設定するようにしてもよい。
つまり、最適化ロジックとして、対処ポイント毎のリソースの使用率を判断し、リソースの観点で最も空きリソースが多い対処ポイントを選ぶことができ、また、対処ポイント毎の場所を判断し、最も攻撃者に近い対処ポイントを選ぶこともできる。なお、二つの最適化ロジックのうち、いずれのロジックを用いるかは選択することができる。また、攻撃の種別に応じて、自動的に最適化ロジックを選択するようにしてもよいし、攻撃者との距離およびリソース使用率の両方を総合的に判断して、対処ポイントを選択するようにしてもよい。
例えば、選択部12cは、抽出部12bによって抽出された対処ポイントの候補に対して、サイバー攻撃の起点である攻撃者の端末に最寄りの対処ポイントを選定する最適化ロジックを用いて、攻撃経路を参照し、対処ポイント候補毎に攻撃者の端末とのネットワーク上の距離を分析し、対処ポイントの候補のなかで最も距離が短い対処ポイントを選択する。
ここで、図7の例を用いて、対処ポイントの候補のなかから最適化ロジックを用いて対処ポイントを選択する処理を説明する。図7は、対処ポイントの候補のなかから最適化ロジックを用いて対処ポイントを選択する処理を説明する図である。図7に示すように、選択部12cでは、サイバー攻撃の起点である攻撃者の端末に最寄りの対処ポイントを選定する最適化ロジックを用いて、攻撃経路を参照し、「サブネット43」、「ルータ(仮想ファイアウォール)44」、「サブネット45」および「VM(WAF)46」の四つそれぞれの攻撃者の端末とのネットワーク上の距離を分析し、対処ポイント候補のなかから最も攻撃者との距離が短い「サブネット43」を選択する。なお、サブネット43でL4遮断等の対処機能を実行する場合には、実際にはサブネット43に含まれる仮想スイッチ等が実行することとなる。
また、例えば、選択部12cは、抽出部12bによって抽出された対処ポイントの候補に対して、最もリソース使用率が低い対処ポイントを選定する最適化ロジックを用いて、対処ポイント候補毎のリソース利用状況情報を参照し、対処ポイントの候補のなかで最もリソース使用率が低い対処ポイントを選択する。
取得部12dは、選択部12cによって選択された対処ポイントが対処機能を実行するために必要なパラメータを取得する。出力部12eは、選択部12cによって選択された対処ポイントおよび有効な対処機能を示す情報とともに、取得部12dによって取得されたパラメータを外部の対処機能制御装置30に出力する。
ここで、図8の例を用いて、対処ポイントでの対処機能を実行させるために必要なパラメータを取得する処理を説明する。図8は、対処ポイントでの対処機能を実行させるために必要なパラメータを取得する処理を説明する図である。例えば、NAT(Network Address Translation)などを理由として、検出された被害者のIPアドレスと対処ポイントで制御するための被害者のIPアドレスが異なる場合もある。図8の例では、検出された被害者のIPアドレスが「10.1.0.40」となり、対処ポイントでの制御用パラメータとなるIPアドレスが「B.B.B.B」となる。このIPアドレスの違いに対して、対処ポイント毎に、保護対象となるVMのID(例えば、図8の例ではVM47のVM名「VM2」など)を統一な検索キーとする。そして、VM47に対して各対処ポイントが制御を行う場合のIPアドレスをそれぞれ保持させる。
図8の例を用いて説明すると、例えば、取得部12dは、サブネット43が対処ポイントとして選択された場合には、サブネット43でのVM47のIPアドレス「B.B.B.B」を取得する。そして、出力部12eは、サブネット43の仮想スイッチ等がL4遮断を実行できるように、必要なパラメータとして、VM47のIPアドレス「B.B.B.B」を対処機能制御装置30に出力する。
次に、図9を用いて、最適化装置10が最適な対処ポイントを決定する処理の流れを説明する。図9は、最適化装置が最適な対処ポイントを決定する処理の流れを説明する図である。図9に示すように、最適化装置10は、サイバー攻撃情報とシステム情報で攻撃経路上の対処ポイントを抽出する(図9の(1)参照)。図9の例では、仮想FW40C、仮想NW40D、仮想NW40F、仮想WAF40Gが対処ポイントとして抽出されたものとする。
続いて、最適化装置10は、抽出した対処ポイントのなかから有効な対処機能を有する対処ポイントの候補を絞り込む(図9の(2)参照)。図9の例では、対処ポイントである仮想FW40C、仮想NW40D、仮想NW40Fおよび仮想WAF40Gすべてが有効な対処機能「L4遮断」を有していることから、仮想FW40C、仮想NW40D、仮想NW40Fおよび仮想WAF40Gすべてが対処ポイントの候補となる。
そして、最適化装置10は、最適化ロジックにより対処ポイントの候補から最適解を選定する(図9の(3)参照)。例えば、図9に例示するように、最適化装置10が、サイバー攻撃の起点である攻撃者の端末に最寄りの対処ポイントを選定する最適化ロジックを用いて、仮想FW40Cを攻撃者に最寄な対処ポイントに選定し、仮想FW40CでL4遮断を実行できるようにする。
このように、最適化装置10では、攻撃者、攻撃種別、対処機能などのサイバー攻撃情報とネットワーク構成情報やリソース利用状況情報等のシステム情報とを収集して、最適化ロジックを用いて、最適な対処ポイントと対処機能を動的に特定することで、最も攻撃者に近いポイントや、ネットワークやノードの負荷が低いポイントなど、最適なポイントにおいて最適な対処機能を用いてサイバー攻撃を防御できるという効果を奏する。
つまり、最適化装置10は、例えば、サイバー攻撃毎に最新のトポロジ情報を分析し、発生攻撃に有効な対処機能を有する対処ポイントの候補を抽出して、多様な最適化観点で対処候補から最適解を決定し、適切かつ効率的なセキュリティ対処を実現することが可能である。
[最適化装置の処理の一例]
次に、図10を用いて、最適化装置10の処理について説明する。図10は、第一の実施の形態に係る最適化装置における対処ポイント最適化処理の流れを示すフローチャートである。
図10に示すように、最適化装置10の収集部12aは、例えば、システム上でサイバー攻撃があった場合に、サイバー攻撃情報とシステム情報をセキュリティ分析システム20から収集する(ステップS101)。そして、最適化装置10の抽出部12bは、サイバー攻撃情報(攻撃者IPアドレス、被害者IPアドレス、攻撃の種別)をシステム情報へマッピングし、攻撃経路を分析し、攻撃経路上の対処ポイントを抽出する(ステップS102)。
続いて、最適化装置10の抽出部12bは、対処ポイント毎に、実行可能な対処機能と要求された有効な対処機能を照合し、対処ポイントの候補を抽出する(ステップS103)。そして、最適化装置10の選択部12cは、最適化ロジックにより、最適な対処ポイントと対処機能を選択する(ステップS104)。例えば、選択部12cは、サイバー攻撃の起点である攻撃者の端末に最寄りの対処ポイントを選定する最適化ロジック、または、最もリソース使用率が低い対処ポイントを選定する最適化ロジックを用いて、対処ポイントを選択する。
その後、最適化装置10の出力部12eは、最適な対処ポイントと対処機能を外部の対処機能制御装置30へ出力する(ステップS105)。例えば、出力部12eは、選択部12cによって選択された対処ポイントおよび有効な対処機能を示す情報とともに、取得部12dによって取得されたパラメータを外部に出力する。
[第一の実施形態の効果]
このように、第一の実施の形態に係るシステムの最適化装置10は、サイバー攻撃に関する情報であるサイバー攻撃情報と、該サイバー攻撃を受けた機器を含むシステム全体に関する情報であるシステム情報とを収集する。そして、最適化装置10は、収集されたサイバー攻撃情報およびシステム情報に基づき、サイバー攻撃の攻撃経路を特定し、該攻撃経路上にある機器であって、サイバー攻撃に対して有効な対処機能を有する機器を対処ポイントの候補として抽出する。続いて、最適化装置10は、抽出された対処ポイントの候補のなかから、設定された最適化ロジックを用いて、対処ポイントを選択する。これにより、ネットワーク上の機器の負荷状態やネットワーク構成の動的な変更に対応して、最適な対処ポイントにおいて最適な対処機能を用いてサイバー攻撃を適切に防御することができる。
つまり、最適化装置10では、攻撃者、攻撃種別、対処機能などのサイバー攻撃情報とネットワーク構成情報やリソース利用状況情報等のシステム情報とを収集して、最適化ロジックを用いて、最適な対処ポイントと対処機能を動的に特定することで、最も攻撃者に近いポイントや、ネットワークやノードの負荷が低いポイントなど、最適なポイントにおいて最適な対処機能を用いてサイバー攻撃を防御できるという効果を奏する。例えば、最適化装置10は、サイバー攻撃毎に最新のトポロジ情報を分析し、発生攻撃に有効な対処機能を有する対処ポイントの候補を抽出して、多様な最適化観点で対処候補から最適解を決定し、適切かつ効率的なセキュリティ対処を実現することが可能である。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。例えば、収集部12aと抽出部12bとを統合してもよい。
また、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
また、上記実施形態に係る最適化装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、最適化装置10と同様の機能を実現する最適化プログラムを実行するコンピュータの一例を説明する。
図11は、最適化プログラムを実行するコンピュータを示す図である。図11に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図11に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1090やメモリ1010に記憶される。
また、最適化プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明した最適化装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。
また、最適化プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、最適化プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、最適化プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 最適化装置
11 通信処理部
12 制御部
12a 収集部
12b 抽出部
12c 選択部
12d 取得部
12e 出力部
13 記憶部
13a サイバー攻撃情報記憶部
13b システム情報記憶部
20 セキュリティ分析システム
30 対処機能制御装置

Claims (9)

  1. サイバー攻撃に関する情報であるサイバー攻撃情報として、前記サイバー攻撃の種別を示す攻撃種別情報と、攻撃者の端末を識別する攻撃者識別子と、被害者の端末を識別する被害者識別子と、前記サイバー攻撃に対する有効な対処機能を示す対処機能情報とを収集し、該サイバー攻撃を受けた機器を含むシステム全体に関する情報であるシステム情報として、サービス毎の利用経路と対処ポイントの候補となり得る機器とを表せるネットワーク構成情報と、前記対処ポイントの候補ごとの対処機能の情報と、前記対処ポイントの候補のリソース利用状況を示すリソース利用状況情報とを収集する収集部と、
    前記収集部によって収集されたサイバー攻撃情報およびシステム情報に基づき、前記サイバー攻撃の攻撃経路を特定し、該攻撃経路上にある機器であって、前記サイバー攻撃に対して有効な対処機能を有する機器を対処ポイントの候補として抽出する抽出部と、
    前記抽出部によって抽出された対処ポイントの候補のなかから、設定された最適化ロジックを用いて、対処ポイントを選択する選択部と
    を備えることを特徴とする最適化装置。
  2. 前記抽出部は、前記収集部によって収集された攻撃者識別子、被害者識別子及び攻撃種別情報を前記ネットワーク構成情報へ対応付け、前記サイバー攻撃の攻撃経路を特定し、該攻撃経路上の対処ポイントの候補を抽出し、該対処ポイントの候補毎の対処機能情報と該サイバー攻撃に有効な対処機能を照合し、該サイバー攻撃に有効な対処機能を有する機器を対処ポイントの候補として抽出することを特徴とする請求項に記載の最適化装置。
  3. 前記選択部は、前記抽出部によって抽出された対処ポイントの候補に対して、前記サイバー攻撃の起点である攻撃者の端末に最寄りの対処ポイントを選定する最適化ロジックを用いて、前記攻撃経路を参照し、前記対処ポイントの候補毎に攻撃者の端末とのネットワーク上の距離を分析し、前記対処ポイントの候補のなかで最も距離が短い対処ポイントを選択することを特徴とする請求項1または2に記載の最適化装置。
  4. サイバー攻撃に関する情報であるサイバー攻撃情報と、該サイバー攻撃を受けた機器を含むシステム全体に関する情報であるシステム情報とを収集する収集部と、
    前記収集部によって収集されたサイバー攻撃情報およびシステム情報に基づき、前記サイバー攻撃の攻撃経路を特定し、該攻撃経路上にある機器であって、前記サイバー攻撃に対して有効な対処機能を有する機器を対処ポイントの候補として抽出する抽出部と、
    前記抽出部によって抽出された対処ポイントの候補に対して、最もリソース使用率が低い対処ポイントを選定する最適化ロジックを用いて、前記対処ポイントの候補毎のリソース利用状況を示すリソース利用状況情報を参照し、前記対処ポイントの候補のなかで最もリソース使用率が低い対処ポイントを選択する選択部と
    を備えることを特徴とする最適化装置。
  5. 前記選択部によって選択された対処ポイントが対処機能を実行するために必要なパラメータを取得する取得部と、
    前記選択部によって選択された対処ポイントおよび前記有効な対処機能を示す情報とともに、前記取得部によって取得されたパラメータを外部に出力する出力部と
    をさらに備えることを特徴とする請求項1〜のいずれか一つに記載の最適化装置。
  6. 最適化装置で実行される最適化方法であって、
    サイバー攻撃に関する情報であるサイバー攻撃情報として、前記サイバー攻撃の種別を示す攻撃種別情報と、攻撃者の端末を識別する攻撃者識別子と、被害者の端末を識別する被害者識別子と、前記サイバー攻撃に対する有効な対処機能を示す対処機能情報とを収集し、該サイバー攻撃を受けた機器を含むシステム全体に関する情報であるシステム情報として、サービス毎の利用経路と対処ポイントの候補となり得る機器とを表せるネットワーク構成情報と、前記対処ポイントの候補ごとの対処機能の情報と、前記対処ポイントの候補のリソース利用状況を示すリソース利用状況情報とを収集する収集工程と、
    前記収集工程によって収集されたサイバー攻撃情報およびシステム情報に基づき、前記サイバー攻撃の攻撃経路を特定し、該攻撃経路上にある機器であって、前記サイバー攻撃に対して有効な対処機能を有する機器を対処ポイントの候補として抽出する抽出工程と、
    前記抽出工程によって抽出された対処ポイントの候補のなかから、設定された最適化ロジックを用いて、対処ポイントを選択する選択工程と
    を含んだことを特徴とする最適化方法。
  7. 最適化装置で実行される最適化方法であって、
    サイバー攻撃に関する情報であるサイバー攻撃情報と、該サイバー攻撃を受けた機器を含むシステム全体に関する情報であるシステム情報とを収集する収集工程と、
    前記収集工程によって収集されたサイバー攻撃情報およびシステム情報に基づき、前記サイバー攻撃の攻撃経路を特定し、該攻撃経路上にある機器であって、前記サイバー攻撃に対して有効な対処機能を有する機器を対処ポイントの候補として抽出する抽出工程と、
    前記抽出工程によって抽出された対処ポイントの候補に対して、最もリソース使用率が低い対処ポイントを選定する最適化ロジックを用いて、前記対処ポイントの候補毎のリソース利用状況を示すリソース利用状況情報を参照し、前記対処ポイントの候補のなかで最もリソース使用率が低い対処ポイントを選択する選択工程と
    を含んだことを特徴とする最適化方法。
  8. サイバー攻撃に関する情報であるサイバー攻撃情報として、前記サイバー攻撃の種別を示す攻撃種別情報と、攻撃者の端末を識別する攻撃者識別子と、被害者の端末を識別する被害者識別子と、前記サイバー攻撃に対する有効な対処機能を示す対処機能情報とを収集し、該サイバー攻撃を受けた機器を含むシステム全体に関する情報であるシステム情報として、サービス毎の利用経路と対処ポイントの候補となり得る機器とを表せるネットワーク構成情報と、前記対処ポイントの候補ごとの対処機能の情報と、前記対処ポイントの候補のリソース利用状況を示すリソース利用状況情報とを収集する収集ステップと、
    前記収集ステップによって収集されたサイバー攻撃情報およびシステム情報に基づき、前記サイバー攻撃の攻撃経路を特定し、該攻撃経路上にある機器であって、前記サイバー攻撃に対して有効な対処機能を有する機器を対処ポイントの候補として抽出する抽出ステップと、
    前記抽出ステップによって抽出された対処ポイントの候補のなかから、設定された最適化ロジックを用いて、対処ポイントを選択する選択ステップと
    をコンピュータに実行させるための最適化プログラム。
  9. サイバー攻撃に関する情報であるサイバー攻撃情報と、該サイバー攻撃を受けた機器を含むシステム全体に関する情報であるシステム情報とを収集する収集ステップと、
    前記収集ステップによって収集されたサイバー攻撃情報およびシステム情報に基づき、前記サイバー攻撃の攻撃経路を特定し、該攻撃経路上にある機器であって、前記サイバー攻撃に対して有効な対処機能を有する機器を対処ポイントの候補として抽出する抽出ステップと、
    前記抽出ステップによって抽出された対処ポイントの候補に対して、最もリソース使用率が低い対処ポイントを選定する最適化ロジックを用いて、前記対処ポイントの候補毎のリソース利用状況を示すリソース利用状況情報を参照し、前記対処ポイントの候補のなかで最もリソース使用率が低い対処ポイントを選択する選択ステップと
    をコンピュータに実行させるための最適化プログラム。
JP2016559011A 2014-11-10 2015-11-05 最適化装置、最適化方法および最適化プログラム Active JP6280236B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014228053 2014-11-10
JP2014228053 2014-11-10
PCT/JP2015/081233 WO2016076207A1 (ja) 2014-11-10 2015-11-05 最適化装置、最適化方法および最適化プログラム

Publications (2)

Publication Number Publication Date
JPWO2016076207A1 JPWO2016076207A1 (ja) 2017-04-27
JP6280236B2 true JP6280236B2 (ja) 2018-02-14

Family

ID=55954296

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016559011A Active JP6280236B2 (ja) 2014-11-10 2015-11-05 最適化装置、最適化方法および最適化プログラム

Country Status (5)

Country Link
US (1) US10616270B2 (ja)
EP (1) EP3203378B1 (ja)
JP (1) JP6280236B2 (ja)
CN (1) CN107077433B (ja)
WO (1) WO2016076207A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018133753A (ja) * 2017-02-16 2018-08-23 日本電信電話株式会社 対処制御システム及び対処制御方法
JP6649296B2 (ja) * 2017-02-20 2020-02-19 日本電信電話株式会社 セキュリティ対処案設計装置及びセキュリティ対処案設計方法
JP6831763B2 (ja) * 2017-09-08 2021-02-17 株式会社日立製作所 インシデント分析装置およびその分析方法
JP6928265B2 (ja) * 2018-04-04 2021-09-01 日本電信電話株式会社 情報処理装置及び情報処理方法
JP7073976B2 (ja) 2018-08-07 2022-05-24 日本電信電話株式会社 管理装置および管理方法
WO2020136837A1 (ja) * 2018-12-27 2020-07-02 三菱電機株式会社 アタックツリー生成装置、アタックツリー生成方法およびアタックツリー生成プログラム
JP7164016B2 (ja) * 2019-03-28 2022-11-01 日本電気株式会社 分析システム、方法およびプログラム
WO2023223515A1 (ja) * 2022-05-19 2023-11-23 日本電信電話株式会社 攻撃経路推定システム、攻撃経路推定装置、攻撃経路推定方法及びプログラム
CN117217848B (zh) * 2023-11-08 2024-01-26 深圳海辰储能科技有限公司 一种储能交易方法、装置和存储介质

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2001266174A1 (en) 2000-06-30 2002-01-14 British Telecommunications Public Limited Company Packet data communications
US20020032793A1 (en) 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic
US7065789B1 (en) * 2001-05-22 2006-06-20 Computer Associates Think, Inc. System and method for increasing heuristics suspicion levels in analyzed computer code
JP4052983B2 (ja) 2002-06-28 2008-02-27 沖電気工業株式会社 警戒システム及び広域ネットワーク防護システム
US7278019B2 (en) * 2002-11-04 2007-10-02 Hewlett-Packard Development Company, L.P. Method of hindering the propagation of a computer virus
JP4520703B2 (ja) 2003-03-31 2010-08-11 富士通株式会社 不正アクセス対処システム、及び不正アクセス対処処理プログラム
JP2006050442A (ja) * 2004-08-06 2006-02-16 Nippon Telegr & Teleph Corp <Ntt> トラヒック監視方法及びシステム
US9398037B1 (en) * 2004-09-27 2016-07-19 Radix Holdings, Llc Detecting and processing suspicious network communications
JP2006350561A (ja) 2005-06-14 2006-12-28 Matsushita Electric Ind Co Ltd 攻撃検出装置
JP4747733B2 (ja) * 2005-08-22 2011-08-17 ブラザー工業株式会社 ノード装置、共用情報更新処理プログラム、共用情報更新方法、及び情報共有システム
US7836502B1 (en) * 2007-07-03 2010-11-16 Trend Micro Inc. Scheduled gateway scanning arrangement and methods thereof
JP5673259B2 (ja) * 2011-03-17 2015-02-18 富士通株式会社 ファイアウォール装置,処理方法及びファイアウォールシステム
US8782793B2 (en) * 2012-05-22 2014-07-15 Kaspersky Lab Zao System and method for detection and treatment of malware on data storage devices
US9143519B2 (en) * 2013-03-15 2015-09-22 Mcafee, Inc. Remote malware remediation
US10025905B2 (en) * 2013-09-03 2018-07-17 Qualcomm Incorporated Communication device resource allocation based on medical data criticality and resource status
US9332029B1 (en) * 2014-12-24 2016-05-03 AO Kaspersky Lab System and method for malware detection in a distributed network of computer nodes

Also Published As

Publication number Publication date
WO2016076207A1 (ja) 2016-05-19
CN107077433B (zh) 2020-03-03
EP3203378A1 (en) 2017-08-09
US20170339183A1 (en) 2017-11-23
EP3203378B1 (en) 2019-07-17
US10616270B2 (en) 2020-04-07
EP3203378A4 (en) 2018-05-16
JPWO2016076207A1 (ja) 2017-04-27
CN107077433A (zh) 2017-08-18

Similar Documents

Publication Publication Date Title
JP6280236B2 (ja) 最適化装置、最適化方法および最適化プログラム
CN109922021B (zh) 安全防护系统以及安全防护方法
Shameli-Sendi et al. Efficient provisioning of security service function chaining using network security defense patterns
EP3275151B1 (en) Collecting domain name system traffic
CN108353068B (zh) Sdn控制器辅助的入侵防御系统
Xu et al. An SDNFV-based DDoS defense technology for smart cities
KR102585874B1 (ko) Sdn네트워크에서 라우팅 제어 장치 및 방법
JP2016046736A (ja) サービスチェイニングシステム、サービスチェイニングフォワーダ装置、及びサービスチェイニング方法
JP6181881B2 (ja) 制御装置、制御システム、制御方法、および、制御プログラム
RU2598337C2 (ru) Система и способ выбора средств перехвата данных, передаваемых по сети
Rao et al. SEDoS-7: a proactive mitigation approach against EDoS attacks in cloud computing
CN107566298B (zh) 一种生成表项的方法和设备
JP5986340B2 (ja) Url選定方法、url選定システム、url選定装置及びurl選定プログラム
JP6538618B2 (ja) 管理装置及び管理方法
Borisenko et al. DDoS attacks detection in cloud computing using data mining techniques
JP6407092B2 (ja) 負荷分散装置、負荷分散方法及びプログラム
JP6272258B2 (ja) 最適化装置、最適化方法および最適化プログラム
JP6310822B2 (ja) 仮想マシンのリソース管理システム、方法及びプログラム
US20170223060A1 (en) Security control
JP6649296B2 (ja) セキュリティ対処案設計装置及びセキュリティ対処案設計方法
Shahzad et al. AutoDrop: automatic DDoS detection and its mitigation with combination of Openflow and Sflow
CN110012033B (zh) 一种数据传输方法、系统及相关组件
JP6476853B2 (ja) ネットワーク監視システム及び方法
JP2018148270A (ja) 分類装置、分類方法および分類プログラム
VishnuPriya Reinforcement learning-based DoS mitigation in software defined networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170905

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171106

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180116

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180118

R150 Certificate of patent or registration of utility model

Ref document number: 6280236

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150