JP6460112B2 - セキュリティシステム、セキュリティ方法およびプログラム - Google Patents

セキュリティシステム、セキュリティ方法およびプログラム Download PDF

Info

Publication number
JP6460112B2
JP6460112B2 JP2016544908A JP2016544908A JP6460112B2 JP 6460112 B2 JP6460112 B2 JP 6460112B2 JP 2016544908 A JP2016544908 A JP 2016544908A JP 2016544908 A JP2016544908 A JP 2016544908A JP 6460112 B2 JP6460112 B2 JP 6460112B2
Authority
JP
Japan
Prior art keywords
simulated
layer
simulation
response
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016544908A
Other languages
English (en)
Other versions
JPWO2016031103A1 (ja
Inventor
角丸 貴洋
貴洋 角丸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2016031103A1 publication Critical patent/JPWO2016031103A1/ja
Application granted granted Critical
Publication of JP6460112B2 publication Critical patent/JP6460112B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、ネットワークのセキュリティシステム、セキュリティ方法、及びコンピュータ可読媒体に関する。
特許文献1には、悪意があると推定できる場合に疑似的なホスト装置を生成する通信監視システムが開示されている。特許文献1の通信監視システムは、悪意がある攻撃者からの攻撃については、あたかも攻撃が成功しているかのように疑似的な応答を生成している。
また、特許文献2には、ネットワーク経由でアクセス可能な機器におとりを生成する不正侵入検知装置が開示されている。特許文献2の不正侵入検知装置は、おとりへのアクセス制御の事象のパターンと、挙動パターンデータベースに格納された挙動パターンとの一致度に基づいて、攻撃者の侵入を検知している。具体的には、攻撃者が組織内部ネットワーク内を探索する挙動を検出することによって、標的型攻撃が発生していることを検知している。
特開2013−9185号公報 国際公開第2014/103115号
特許文献1では、予め悪意があることを推定しなければならない。したがって、新たに開発された攻撃については、悪意があることを推定することができない場合がある。また、特許文献2では、挙動パターンデータベースに格納された挙動パターンと一致しない場合は、攻撃者の侵入を検知できない。したがって、新たに開発された攻撃の挙動パターンについては、攻撃者の侵入を検知することができない場合がある。
ネットワークを通じた不正侵入を防ぐことは困難であり、システムにマルウェアが感染しないようにするためには、セキュリティが高コストになってしまう。例えば、外部からの不正侵入(攻撃)を検知する毎に、削除又は防御することを繰り返していると、防御コストが高くなってしまう。
特に、サイバー空間における攻防では、攻撃者は、どこからでも攻撃が可能であるが、防御者はどこからくる攻撃に対しても防御しないといけない。また、攻撃者の失敗は許容されるが、防御者の失敗は許容されず、防御者は全ての攻撃を確実に防御しないといけない。攻撃者は、わずかなコストで防御ネットワークを洞察することができるが、防御者は、ネットワークセキュリティに構築と維持の膨大な費用がかかってしまう。さらに、攻撃者は、サイバー空間の技術的、組織的な革新の恩恵を受けやすいが、防御者は革新による脅威を受けやすい。
上記のように、サイバーセキュリティの性質上、攻撃者が防御者に対して優位性を持っている。したがって、ネットワークセキュリティを向上するためには、攻撃コストを増加させることで、防御側のコスト優位性を高くすることが重要である。すなわち、攻撃者により多くの攻撃コストをかけさせた上で、被害を最小限に抑える縦深防御を実現することができれば、セキュリティを向上することができる。
例えば、システムがマルウェアに感染することを前提とした上で、攻撃による影響を最小限にすることが重要となる。ネットワーク上の知的財産などの重要データの流出は被害が大きい。そのため、不正侵入による重要データの流出を防ぐことが重要となる。
本発明は、セキュリティの高いセキュリティシステム、セキュリティ方法、及びプログラムを提供することを目的とする。
本願発明の一態様にかかるセキュリティシステムは、ネットワークシステムへの不正侵入を防御するセキュリティシステムであって、不正侵入を試みる侵入装置からのパケットを受信するパケット受信部と、複数の仮想的な模擬装置の固有情報を格納する固有情報蓄積部と、前記固有情報に基づいて前記模擬装置を起動させるか否かを管理する起動管理部と、前記パケットに含まれる要求に基づいて、前記起動管理部が起動させた複数の前記模擬装置が応答するか否かを判定する模擬装置管理部と、前記模擬装置管理部において応答すると判定された前記模擬装置毎に、前記模擬装置への前記要求に応じて模擬応答を生成する模擬応答生成部と、前記模擬応答を前記侵入装置に送信する模擬応答送信部と、を備えたものである。
本願発明の一態様にかかるセキュリティシステムは、ネットワークシステムへの不正侵入を防御するセキュリティ方法であって、不正侵入を試みる侵入装置からのパケットを受信するステップと、予め格納された複数の仮想的な模擬装置の固有情報を参照して、前記模擬装置を起動させるか否かを管理するステップと、前記パケットに含まれる要求に基づいて、起動させた複数の前記模擬装置が応答するか否かを判定するステップと、応答すると判定された模擬装置毎に、前記要求に応じた模擬応答を生成するステップと、前記模擬応答を前記侵入装置に送信するステップと、を備えたものである。
本願発明の一態様にかかるプログラムは、ネットワークシステムへの不正侵入を防御するセキュリティ方法をコンピュータに実行させるためのプログラムであって、前記セキュリティ方法が、不正侵入を試みる侵入装置からのパケットを受信するステップと、予め格納された複数の仮想的な模擬装置の固有情報を参照して、前記模擬装置を起動させるか否かを管理するステップと、前記パケットに含まれる要求に基づいて、起動させた複数の前記模擬装置が応答するか否かを判定するステップと、応答すると判定された模擬装置毎に、前記模擬装置への前記要求に応じて模擬応答を生成するステップと、前記模擬応答を前記侵入装置に送信するステップと、を備えるものである。
本発明によれば、セキュリティの高いセキュリティシステム、セキュリティ方法、及びプログラムを提供することができる。
セキュリティシステムの全体構成を示す図である。 実施の形態1にかかるセキュリティ装置の構成を示すブロック図である。 通信プロトコルの階層を示す図である。 探索要求に応じて作成された模擬応答に含まれる模擬ホストの固有情報を示す図である。 実施の形態2にかかるセキュリティ装置の構成を示すブロック図である。 実施の形態3にかかるセキュリティシステムの構成を示すブロック図である。
添付の図面を参照して本発明の実施形態を説明する。以下に説明する実施形態は本発明の実施例であり、本発明は、以下の実施形態に制限されるものではない。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。
実施の形態1.
本実施の形態にかかるセキュリティシステム、及びセキュリティ方法は縦深防御に基づいて、セキュリティを向上するものである。例えば、サイバーキルチェーンには、諜報、侵攻、潜伏、橋頭堡確保、索敵、浸透、占領、収奪、撤収等の攻撃ステップがある。本実施の形態では、セキュリティシステムが各攻撃ステップで、種々の欺瞞を仕掛けている。例えば、仮想的な通信装置群(模擬的欺瞞)を生成して、索敵ステップや浸透ステップにおいて、あいまいな情報、偽の情報、又は不明瞭な情報を攻撃者に与えている。悪意のある攻撃者の行動を邪魔又は誘導することができ、目的の達成にかかる攻撃コストを増加させることができる。すなわち、攻撃者が重要なデータに到達するまでの攻撃コストが増加することが可能になる。知的財産などの重要なデータが外部に流出するのを防止することが可能になる。
上記の考え方に基づく、セキュリティシステム100について説明する。図1は、本実施の形態に係るセキュリティシステム100の全体構成を示す図である。セキュリティシステム100は、セキュリティ装置101と、実ネットワークシステム120と、模擬ネットワークシステム110とを備えている。セキュリティ装置101と、実ネットワークシステム120と、模擬ネットワークシステム110とは、ネットワーク200を介して互いに接続されている。さらに、攻撃者として感染装置300がネットワーク200に接続されている。
実ネットワークシステム120は、複数の実ホスト121、122等を備えている。実ホスト121、122は、実際に存在する通信装置(ホスト装置、コンピュータ、又は通信端末)であり、LAN(Local Area Network)、WAN(Wide Area Network)、インターネットなどのネットワークを介して接続されている。なお、図1では2つの実ホスト121、122が示されているが、実ホスト121、122の数は特に限定されるものではない。
実ホスト121、122には、例えば、コンピュータ名(もしくはNetBIOS名)、IPアドレス、MACアドレス、ドメイン名、グループ名、ネットワーク管理名等のネットワーク管理情報が設定されている。実ホスト121,122には、Windows(登録商標)やLinux(登録商標)などのOS(Operating System)が搭載されている。
セキュリティ装置101は、模擬ネットワークシステム110を生成する。模擬ネットワークシステム110は、複数の模擬ホスト111〜114によって構成されている。模擬ホスト111〜114は、仮想的な通信装置(仮想ホスト装置)、すなわち、実在しない通信装置である。セキュリティ装置101は、バーチャルハニーポットと同様に、模擬ホスト111〜114を生成する。セキュリティ装置101は、様々な欺瞞を仕掛け、実際に存在していない模擬ホスト111〜114を実在するかのように見せかける。
なお、セキュリティ装置101は、実際に存在する実ホストにより構成することができる。例えば、セキュリティ装置101にインストールされたネットワークセキュリティプログラムによって、セキュリティ装置101は、本実施形態にかかるセキュリティ方法を実行する。また、セキュリティ装置101は、専用のコンピュータであってもよく、実ネットワークシステム120に実ホストとして含まれるコンピュータを用いてもよい。また、セキュリティ装置101は、物理的に単一な装置に限られるものではなく、複数の装置によって構成されていてもよい。
セキュリティ装置101が模擬ホスト111〜114を欺瞞として生成することで、感染装置300が重要なデータを窃取するまでの攻撃コストを増加させる。セキュリティ装置101は、模擬ホスト111,112を仮想的に生成しているため、模擬ホストの数を低コストで増やすことができる。多数の模擬ホスト111、112を生成することで、より攻撃者を欺きやすくなる。なお、セキュリティ装置101が生成する模擬ホスト111〜114の数は、特に限定されるものではない。セキュリティ装置101がより多くの模擬を生成することで、より攻撃コストを増加させることができる。
本実施形態にかかるセキュリティシステム100は、感染装置300からの不正侵入を防御する。例えば、感染装置300がマルウェアに感染した通信装置(ホスト)である。感染装置300は外部からのリモートコントロールによって、実ネットワークシステム120への不正侵入を試みる。例えば、感染装置300は、実ネットワークシステム120に含まれる実ホスト121、122等から重要なデータを窃取しようとする。なお、実ネットワークシステム120に不正侵入を試みる侵入装置は、マルウェアに感染した感染装置300に限らず、インターネットなどの外部ネットワークを介して接続された外部通信装置であってもよい。
セキュリティ装置101、感染装置300、実ネットワークシステム120は、ネットワーク200を介して接続されている。なお、セキュリティ装置101、又は実ホスト121、122がファイアウォールを介して、ネットワーク200と接続されていてもよい。
次に、セキュリティ装置101の構成について、図2を用いて説明する。図2は、セキュリティ装置101の構成を模式的に示すブロック図である。セキュリティ装置101は、パケット受信部11、パケット配送部12、ブロードキャストパケット処理部13、ユニキャストパケット処理部14、探索要求判定部15、模擬ホスト管理部16、固有情報蓄積部17、模擬ホスト起動管理部18、模擬応答生成部19、模擬応答テンプレート蓄積部20、模擬応答送信制御部21、模擬応答送信キュー22、及び模擬応答送信部23を備えている。以下、各部の処理について説明する。
パケット受信部11は、ネットワーク200上に流れるパケットを受信する。パケット受信部11は、パケットの送信先アドレスが所定のアドレスである場合にパケットを受信する。パケット受信部11は、不正侵入を試みる感染装置300からのパケットを受信する。
パケット配送部12は、パケット受信部11が受信した受信パケットの種別を判定する。具体的には、パケット配送部12は、パケットがブロードキャストパケットであるか、又は、ユニキャストパケットであるかを判定する。そして、パケット配送部12は、ブロードキャストパケットをブロードキャストパケット処理部13に配送し、ユニパケットをユニキャストパケット処理部14に配送する。また、パケット配送部12は、固有情報蓄積部17を参照し、送信先アドレスが、模擬ホスト111〜114のアドレスに含まれるかどうかを識別する。
なお、ユニキャストパケットは、単一のアドレスを指定して、1対1のデータ通信を行うためのパケットである。ブロードキャストパケットは、ブロードキャストアドレスを指定して、1対不特定多数のデータ通信を行うためのパケットである。ブロードキャストパケットは、実ホスト121、122、及び模擬ホスト111〜114の全てを対象とするメッセージを含むことになる。例えば、感染装置300は、ブロードキャストパケットを送信して、実ネットワークシステム120内の実ホスト121、122に関する情報を取得しようと試みる。
なお、ブロードバンドキャストパケットは、マルチキャストパケットであってもよい。例えば、マルチキャストパケットを受信した場合は、パケット配送部12がマルチキャストパケットをブロードキャストパケット処理部13に配送してもよい。そして、ブロードキャストパケット処理部13がマルチキャストパケットを処理してもよい。さらには、セキュリティ装置101が、マルチキャストパケット処理部を備えていてもよい。なお、マルチキャストパケットは1対複数のデータ通信を行うためのパケットである。
具体的には、感染装置300は、通信装置(ホスト)の探索やネットワークサービスの探索などの探索メッセージが含まれるブロードキャストパケットをブロードキャスト探索要求として送信する(図1参照)。例えば、この探索要求のメッセージは、NetBIOS Name Service(NBNS)メッセージである。そして、実ホスト121、122又は模擬ホスト111〜114が探索要求に対する応答をユニキャスト探索応答として感染装置300に送信する。探索が終了した後、感染装置300は、特定のホストに対してユニキャストネゴシエーション要求を送信する。例えば、この要求のメッセージは、SMB(Server Message Block)である。模擬ホスト111〜114、又は実ホスト121、122は、ユニキャストネゴシエーション応答を感染装置300に送信する。
より具体的には、先のブロードキャスト探索要求に対する応答に対応して、感染装置300がユニキャストネゴシエーション要求を送信する。図1の例では、1つのユニキャストネゴシエーションしか示されていないが、ホスト分だけ行われる場合もある、図1の構成では、実ホスト121、122、及び模擬ホスト111〜114からの6つのユニキャスト探索応答を感染装置300が受信した場合、6つ全ての要求に対して順番にユニキャストネゴシエーションが実施される。さらに、一つのホストに対しても複数のシーケンスが行われる場合もあり、これがホスト分だけ行われることになる。そして、セッションが確立したら、感染装置300はホスト装置とのファイル共有などを試みる。具体的には、感染装置300は、SMB(Server Message Block)によってファイル共有を試みる。このようにして、感染装置300はデータを窃取しようとする。
図2の説明に戻る。固有情報蓄積部17は、複数の仮想的な模擬ホスト111〜114の固有情報を格納する。固有情報は、模擬すべき模擬ホストに必要な情報であり、模擬ホスト毎に設定されている。例えば、模擬ホスト起動管理部18が固有情報に基づいて模擬ホスト111〜114の起動を管理する。なお、模擬ホスト管理部16は、固有情報に基づいて、模擬ホスト111〜114を管理する。模擬ホスト管理部16と模擬ホスト起動管理部18については後述する。
固有情報には、例えば、コンピュータ名(もしくはNetBIOS名)、IPアドレス、MACアドレス、ドメイン名、OS情報(例えば、OS名、及びOSのバージョン)、グループ名、ネットワーク管理名等が含まれる。もちろん、上記の情報は例示である。従って、固有情報には、上記以外の情報が含まれていてもよく、上記のうちの一部の情報が無くてもよい。固有情報蓄積部17は、例えば、複数の模擬ホスト111〜114の固有情報をテーブルとして格納している。さらに、固有情報蓄積部17は、模擬ホスト111〜114のネットワーク距離を模擬ホスト毎に格納していてもよい。固有情報蓄積部17は、実ホスト121、122のネットワーク管理情報と同等の固有情報を模擬ホスト111〜114の固有情報として格納している。
さらに、固有情報蓄積部17には、実ホスト121、122の有する情報と同一の管理情報を有する模擬ホストを登録してもよい。例えば、模擬ホスト111の固有情報は、例えば実ホスト121のコンピュータ名(もしくはNetBIOS名)、IPアドレス、MACアドレス、OS情報、ドメイン名、グループ名、ネットワーク管理名等と一致させる。こうすることで、実ホスト121の停止中においても実ホスト121が存在するかのように見せることができる。もちろん、固有情報蓄積部17には、実ホスト121、122と全く無関係な模擬ホストを登録してもよい。
ブロードキャストパケット処理部13は、そのままブロードキャストパケットを模擬ホスト管理部16へ渡す。ユニキャストパケット処理部14はユニキャストパケットがTCP(Transmission Control Protocol)パケットかUDP(User Datagram Protocol)パケットかを判別する。TCPパケットの場合、ユニキャストパケット処理部14は3ウェイハンドシェイクを実施し、ペイロードを探索要求判定部15へ渡す。一方、UDPパケットの場合、ユニキャストパケット処理部14は、UDPパケットをそのまま模擬ホスト管理部16へ渡す。
探索要求判定部15は受信パケットに探索要求が含まれているか否かを判定する。例えば、探索要求判定部15は通信装置(ホスト装置)の探索、ネットワークサービスの探索等の探索メッセージであるか、セッションのネゴシエーション等の情報詳細を取得するメッセージかどうかを判定する。探索要求判定部15は、TCPパケットのペイロードに探索に属するメッセージが含まれている否かを判定する。
探索要求判定部15は、探索に属するメッセージが含まれている場合、探索要求があると判定する。そして、探索要求判定部15は、探索に属するメッセージを探索要求として模擬ホスト管理部16に通過させる。このように、探索要求判定部15は、受信パケットに含まれるメッセージが探索系のメッセージ(探索要求)であるか否かを判定する。そして、探索要求判定部15は、探索要求のみを通過させ、探索要求以外の要求については、通過させないようにする。例えば、ファイル共有を要求するメッセージについては、通過させないようにする。探索要求判定部15がこのような判定機能、及びフィルタリング機能を有することで、重要なデータの流出を防ぐことができる。
探索要求判定部15は、例えば、ホワイトリストを用いて、探索要求があるか否かを判定している。すなわち、予めリストに登録されているメッセージのみを探索要求として、模擬ホスト管理部16に通過させる。こうすることで、悪意のある攻撃をフィルタリングすることができ、セキュリティを高くすることができる。
なお、ホワイトリストの設定は、模擬ホストの各種固有情報と組み合わせて設定することができる。これによって、模擬ホスト等毎に通過させるメッセージを変更することで、模擬ホスト毎に成功するシーケンスの到達度が変わる。よって、より欺きやすい欺瞞を仕掛けることができる。
模擬ホスト起動管理部18は、固有情報蓄積部17を参照して、模擬ホストのそれぞれに対して、起動すべきか起動すべきでないかを管理する。すなわち、模擬ホスト起動管理部18は、固有情報に基づいて前記模擬装置を起動させるか否かを管理する。模擬ホスト起動管理部18は、固有情報蓄積部17に含まれる模擬ホスト111〜114のそれぞれを起動させるか、停止させるかを判定する。
例えば、模擬ホスト起動管理部18は、外部からの要求をトリガーとして、模擬ホストの起動を管理する。具体的には、模擬ホスト111のONの要求(起動要求)を受けると、模擬ホスト起動管理部18は、模擬ホスト111を起動させる。模擬ホスト111のOFFの要求(停止要求)を受けると、模擬ホスト起動管理部18は模擬ホスト111の起動を停止する。そして、模擬ホスト起動管理部18は、模擬ホスト管理部16にそれぞれの模擬ホストが起動しているか否かを示す起動情報を出力する。模擬ホスト起動管理部18は、固有情報蓄積部17に含まれている複数の模擬ホストの起動を独立に管理する。模擬ホスト起動管理部18は、起動中の模擬ホストを動的に変化することができる。
模擬ホスト管理部16は、模擬ホスト起動管理部18からの起動情報に基づいて、模擬する模擬ホストを管理する。すなわち、模擬ホスト管理部16が模擬ホストが模擬応答を行うか否かを判定する。例えば、起動中の模擬ホストに対する要求があった場合、模擬ホスト管理部16は、応答を行うと判定する。一方、停止中の模擬ホストについては、模擬応答を行わないと判定する。なお、以下の説明では、模擬ホスト113が起動しており、模擬ホスト112が停止している例について説明する。
さらに、模擬ホスト管理部16は、固有情報蓄積部17を参照し、探索要求に応じた応答を行うかどうかを判定する。例えば、模擬ホスト管理部16が、受信パケットに含まれる送信先アドレスに基づいて、応答を行う模擬ホストを特定する。すなわち、受信パケットに含まれる送信先アドレスと一致するアドレスを有する模擬ホストが応答を行うと、模擬ホスト管理部16が判定する。なお、ブロードキャストパケットを受信した場合、起動中の全ての模擬ホストが応答を行うと模擬ホスト管理部16は判定する。
さらに、模擬ホスト管理部16は、パケットに探索要求が含まれている場合、探索要求の対象となる模擬ホストについては、模擬応答を行うと判定する。パケットの送信先アドレスを参照して、模擬ホストが探索要求の対象か否かを判定する。模擬ホスト管理部16は、送信先アドレスと固有情報との比較結果、及び探索要求判定部15での判定結果に基づいて、模擬ホストが応答を行うか否かを判定している。模擬ホスト管理部16は起動中の模擬ホスト毎に応答の要否を判定する。
模擬ホスト管理部16は、起動中の模擬ホスト113が探索要求を受けた場合に、模擬ホスト113が存在するかのように模擬応答を行わせると判定する。一方、模擬ホスト管理部16は、起動中の模擬ホストではない場合、パケットに探索要求が含まれていない場合、又は探索要求の対象となる模擬ホストではない場合、模擬応答を行わないと判定する。模擬ホスト管理部16は、停止中の模擬ホスト112については、模擬ホスト112が応答するのを停止させる。さらに、起動中の模擬ホストであっても探索要求を受けていない場合は、模擬応答を行わせない。模擬ホスト管理部16は、探索要求の対象となる起動中の模擬ホストの全てに対して、応答が必要であると判定する。
なお、模擬ホスト起動管理部18に対する外部からの要求は、設定ファイル、API(Application Programing Interface)、IF(Interface)などによって実現可能である。設定ファイルは、例えば、予め設定されたスケジュールデータであり、例えば、模擬ホスト毎に起動時間や停止時間が設定されている。セキュリティ装置101が設定ファイルを記憶していてもよい。さらに、実ホストからの要求によって、模擬ホスト起動管理部18が模擬ホストの起動を管理してもよい。
以下に、模擬ホスト起動管理部18による管理の一例について説明する。ここでは、固有情報蓄積部17において、模擬ホスト111には、実ホスト121と同じアドレス等が登録されていると仮定する。例えば、実ホスト121に対応する模擬ホスト111を構築する情報は、模擬ホスト起動管理部18に事前もしくは要求に応じて格納されている。すなわち、実ホスト121の管理情報をコピーした固有情報が模擬ホスト111に設定されている。この場合、実ホスト121がONしているときは、模擬ホスト起動管理部18は模擬ホスト111の起動を停止する。一方、実ホスト121がOFFしている場合、模擬ホスト起動管理部18は模擬ホスト111を起動させる。すなわち、実ホスト121がシャットダウンするタイミングで、模擬ホスト起動管理部18が模擬ホスト111の起動を指示する。一方、実ホスト121が起動するタイミングで、模擬ホスト起動管理部18が模擬ホスト111の停止を指示する。
このように、実ホスト121のON/OFFをトリガーとして、模擬ホスト起動管理部18は、模擬ホスト111を停止/起動する。実ホスト121がネットワーク200から切り離されている状況であっても、ネットワーク200上には模擬ホスト111が存在している。このようにすることで、攻撃者をより欺きやすい欺瞞を仕掛けることができる。感染装置300からはあたかも実ホスト121が存在しているかのように見える。このように、実ホスト121の起動中か否かに応じて、模擬ホスト起動管理部18が、模擬ホスト111の起動を管理してもよい。
模擬応答テンプレート蓄積部20は、探索要求に対応する模擬応答のテンプレートを格納する。例えば、模擬応答テンプレート蓄積部20は、メッセージフォーマットをハードコーディングにて保持する。また、模擬応答テンプレート蓄積部20には、応答文のメッセージフォーマットを格納している。模擬応答テンプレート蓄積部20は、要求毎又はプロトコル毎にテンプレートを格納している。模擬応答テンプレート蓄積部20は、要求されたサービスに対応するメッセージ応答文をテンプレートとして記憶している。模擬応答テンプレート蓄積部20は、複数のテンプレートを格納している。
模擬応答生成部19は模擬ホスト管理部16からの要求に応じて、模擬応答を作成する。模擬ホスト管理部16が応答すると判定した場合に、模擬応答生成部19は、模擬ホストへの要求に応じて模擬応答を生成する。模擬応答の作成にあたって、模擬応答生成部19は、模擬応答テンプレート蓄積部20に蓄積されたテンプレートを参照する。これにより、模擬応答生成部19は、要求に応じて適切な模擬応答メッセージを作成することができる。
また、模擬応答生成部19は、固有情報蓄積部17から応答すべき模擬ホストの固有情報を取得する。そして、模擬応答生成部19は固有情報と応答メッセージフォーマットとを組み合わせて模擬応答メッセージを生成する。すなわち、模擬応答生成部19は、固有情報に含まれるアドレスやOS情報等をメッセージフォーマットに含ませて模擬応答メッセージを生成する。すなわち、模擬応答生成部19は、模擬ホスト111に関する模擬情報を含む模擬応答メッセージを生成する。これにより、より欺きやすい欺瞞を仕掛けることができる。
模擬応答テンプレート蓄積部20は、模擬ホスト111〜114が使用できるサービスに応じたテンプレートを格納している。さらに、模擬ホスト111と模擬ホスト112が同じサービスを使用できる場合、模擬応答生成部19が共通のテンプレートを用いて模擬ホスト111と模擬ホスト112との模擬応答メッセージを作成する。さらに、模擬応答テンプレート蓄積部20は、探索要求判定部15のホワイトリストに含まれる全てのメッセージに対する応答テンプレートを格納している。テンプレートの種類が増えるほど、対応できる要求の種類が増えていく。また、ホワイトリストに設定される内容は、模擬応答テンプレート蓄積部20と一致している必要はなく、独立に設定されていてもよい。例えば、ホワイトリストに設定されているメッセージは、テンプレートの一部分のみを使用できるようなものであってもよい。
模擬応答送信キュー22は、模擬応答生成部19で作成された模擬応答メッセージをキューイングする。模擬応答送信部23は、模擬応答送信キュー22にキューイングされた模擬応答メッセージを模擬応答として感染装置300に送信する。模擬応答送信部23は、感染装置300のアドレスを送信先アドレスとするパケットにより、模擬応答を送信する。
さらに、模擬応答送信キュー22に蓄えられた模擬応答メッセージは、模擬応答送信制御部21の指示により模擬応答送信部23を介してネットワークへ送信される。すなわち、模擬応答送信部23は、模擬応答送信部23における模擬応答の送信タイミングを制御する。模擬応答送信制御部21の指示に応じたタイミングで、模擬応答送信部23がネットワーク200を介して、模擬応答メッセージを感染装置300に送信する。
このように、模擬応答送信制御部21は模擬応答送信キュー22に蓄えられた模擬応答の送信タイミングを制御する。模擬応答送信制御部21は、例えば、キューの順番に模擬応答メッセージを送信するよう制御する。あるいは、模擬応答送信制御部21は、ランダムに模擬応答メッセージを送信するように制御してもよい。さらには、模擬応答送信制御部21は、パターンに従って模擬応答メッセージを送信するようにしてもよい。模擬応答送信制御部21の制御によって、模擬応答の送信順番を入れ替えることができる。模擬応答送信部23は模擬応答送信制御部21の指示に基づいて、模擬応答送信キュー22の模擬応答をネットワーク200に送信する。
例えば、探索要求のブロードキャストメッセージを受信すると、模擬応答生成部19は、起動中の模擬ホスト分の模擬応答メッセージを生成する。そして、固有情報蓄積部17に蓄積された模擬ホストの順番で模擬応答送信キュー22が模擬応答メッセージをキューイングする。例えば、模擬ホスト111、模擬ホスト112、模擬ホスト113、及び模擬ホスト114の順番で、模擬応答送信キュー22が模擬応答メッセージをキューイングする。そして、キューの順番で模擬応答送信部23が模擬応答メッセージを送信する。あるいは、模擬応答送信部23がランダムな順番で模擬応答メッセージを送信するようにしてもよい。さらには、模擬応答送信制御部21に模擬ホスト毎に応答タイミングが設定されている場合は、その応答タイミングにしたがって模擬応答送信部23が模擬応答メッセージを送信するようにしてもよい。また、予め設定されたスケジュールに応じた順番又はタイミングで模擬応答送信部23が模擬応答メッセージを送信してもよい。
模擬応答送信制御部21は、模擬応答送信部23における模擬応答のタイミングを模擬ホスト毎に制御する。なお、応答タイミングは、固有情報蓄積部17に格納されたネットワーク距離に応じて設定されていてもよい。すなわち、ネットワーク距離が遠い模擬ホストについては、模擬応答送信制御部21が応答タイミングを遅くする。また、ネットワーク距離が近い模擬ホストについては、模擬応答送信制御部21が応答タイミングを速くする。模擬応答送信制御部21が固有情報蓄積部17を参照して、ネットワーク距離に応じた遅延時間を設定すればよい。このように、模擬応答送信制御部21が模擬応答メッセージの送信タイミングを制御することで、感染装置300からは模擬ホスト111〜114が実在しているかのように見える。すなわち、攻撃者をより欺きやすい欺瞞を仕掛けることができる。
なお、ネットワーク200の通信プロトコルは、例えば、図3に示すような層構成を有している。通信機能が図3に示すような9つの階層(レイヤー)に分けて定義されている。第1層として物理層、第2層としてデータリンク層、第3層としてネットワーク層、第4層としてトランスポート層、第5層としてセッション層、第6層としてプレゼンテーション層、第7層としてアプリケーション層、第8層としてサービス層、第9層としてオペレーション層とが定義されている。
物理層からアプリケーション層までの7層は、公知のOSI参照モデルとなっている。さらに、アプリケーション層よりも上位に、サービス層、及びオペレーション層が設けられている。サービス層は、アプリケーションによるサービスを想定した層である。オペレーション層はコンピュータ名等の運用において設定された情報を想定した層である。模擬応答生成部19は、実際にアプリケーションソフトを運用した場合に、アプリケーションのサービスに関する情報や、コンピュータのオペレーションに関する情報を含む模擬応答メッセージを作成する。
公知のバーチャルハニーポットでは、第4層のトランスポート層までに対応しているため、トランスポート層よりも上位層では、模擬ホストが存在するように見えなかった。したがって、攻撃者がすぐに模擬ホストが仮想的な装置であることを発見してしまう場合がある。しかしながら、本実施の形態では、トランスポート層よりも上位層である、セッション層、プレゼンテーション層、アプリケーション層、サービス層、及びオペレーション層にも対応した模擬応答メッセージを送信している。すなわち、模擬応答にはセッション層、プレゼンテーション層、アプリケーション層、サービス層、及びオペレーション層の少なくとも1層に関する模擬情報が含まれていればよい。模擬応答生成部19は、ネットワーク層よりも上位層に関する情報を含む模擬応答を生成する。
より具体的には、模擬応答生成部19が、セッション層の情報を含む模擬応答メッセージ、セッション層とプレゼンテーション層の情報を含む模擬応答メッセージ、セッション層とプレゼンテーション層とアプリケーション層の情報を含む模擬応答メッセージ、セッション層とプレゼンテーション層とアプリケーション層とサービス層との情報を含む模擬応答メッセージ、又はセッション層とプレゼンテーション層とアプリケーション層とサービス層とオペレーション層との情報を含む模擬応答メッセージを生成する。
さらに、アプリケーション層、サービス層、及びオペレーション層の1層以上の情報を模擬応答メッセージに含ませるようにすることが好ましい。さらに、アプリケーションのサービスやコンピュータのオペレーションに関する情報を含ませている。このような階層の情報を含めることで、より欺きやすい模擬応答を送信することができる。
こうすることで、模擬ホスト111〜114が実ホスト121、122に見られるような模擬応答が生成されるため、感染装置300を確実に欺くことができる。すなわち、実ホスト121、122を索敵した場合と同等の情報を模擬応答メッセージに含ませることによって、感染装置300から模擬ホストが実ホストのように見える。これにより、攻撃者をより欺きやすい欺瞞を仕掛けることができる。よって、攻撃コストを増加させることができ、セキュリティを向上することができる。
さらに、模擬応答生成部19が全ての層に関する情報を含んだ模擬応答メッセージを生成する。例えば、模擬応答テンプレート蓄積部20に格納されたテンプレートには、全ての層に関する情報が組み込まれている。こうすることで、いずれの階層からでも実ホストが存在するような模擬応答が行われる。よって、より攻撃者を欺きやすい欺瞞を仕掛けることができる。
セキュリティ装置101は、複数の模擬ホストに対するネゴシエーション部分の模擬応答を行う。すると、感染装置300と複数の模擬ホストとのセッションが確立する。したがって、感染装置300からはネットワーク上に多数の模擬ホストが存在するかのように見える。セキュリティ装置101は、ネゴシエーションによってセッションが確立した後の実際の機能(サービス)については、模擬応答を行わない。これにより、ファイル共有などによる重要データの流出を防ぐことができる。よって、セキュリティを向上することができる。
上記のように、本実施の形態にかかるセキュリティシステム100では、固有情報蓄積部17が複数の模擬ホストの固有情報を有している。模擬ホスト起動管理部18が、固有情報に基づいて、複数の模擬ホストの起動を管理している。模擬ホスト管理部16が、パケットに含まれる要求に基づいて、模擬ホスト起動管理部18が起動させた複数の模擬ホストが応答するか否かを判定する。そして、模擬応答生成部19が模擬ホスト毎に模擬応答を生成して、模擬応答送信部23が送信している。こうすることで、模擬ホストを実在するかのように見せることが可能になる。すなわち、感染装置300に対して、複数の模擬ホストを備えた模擬ネットワークシステム110の幻想を見せることができる。
さらに、模擬応答送信制御部21が模擬応答の送信タイミングを制御している。よって、より欺きやすい欺瞞を仕掛けることができる。また、探索要求判定部15が探索要求の場合のみ、要求を通過させ、探索以外の要求(例えば、ファイル共有の要求)についてはフィルタリングしている。これにより、重要データの流出を防ぐことができる。さらに、探索要求判定部15は、通過させる要求を動的に変化させてもよい。すなわち、探索要求判定部15は、通過させるか否かを判定する閾値を動的に変化させるようにしてもよい。
また、セキュリティ装置101は、パケットの送信元の通信装置が悪意のある攻撃者であるか否かに関係なく、複数の模擬ホスト111〜114を生成している。したがって、悪意を攻撃者であるか検知する必要がなくなる。よって、悪意を隠した巧妙な攻撃に対するセキュリティを向上することができる。
また、固有情報蓄積部17に蓄積されている模擬ホストの数を増やすことで、攻撃者を欺きやすくすることができる。さらに、固有情報蓄積部17に蓄積する情報を適切に設定することで、攻撃者を欺きやすくすることができる。例えば、固有情報蓄積部17に蓄積するアドレスとして、IPアドレスを設定しているネットワークに適したアドレスを活用する、もしくはDHCPでネットワークに存在している実際のDHCPサーバから取得してもよい。また、MACアドレスについても、ベンダーコード+数字という構成が用いられている場合、この構成に沿って生成することも可能である。
ドメイン名についても、ドメイン毎に同じ文字列が使用されている場合、実ネットワークシステムで使われている文字列を設定することが好ましい。グループ名についても、実ネットワークシステム120のグループ名と同じ文字列を使用することができる。もしくは、いくつかのグループを構成するようにグループ名を設定することも可能である。OS名とネットワーク管理名に関しては、実在する有限のバリエーションからどれかを選択するようにしてもよい。
図4は、感染装置300が探索要求にて取得した模擬ホストの情報を示す図である。図4に示すように、感染装置300は、SMBプロトコル(findSMB)によって、模擬ホストのIPアドレス、NETBIOS、グループ名、OS,及びOSのバージョンを取得している。図4では、感染装置300の探索要求によって取得された6つの模擬ホストの固有情報が示されている。このように、複数の模擬ホストに関する情報を感染装置300に与えることで、外部侵入者が目的とするデータに到達するまでの攻撃コストを増加させることができる。よって、防御側のコスト優位性を高くすることができ、高いセキュリティを実現することができる。
なお、模擬応答生成部19が模擬応答テンプレート蓄積部20に格納されたテンプレートを参照して、模擬応答メッセージを作成したが、模擬応答メッセージを自動作成するようにしてもよい。例えば、実ホスト121、またセキュリティ装置101が要求されたサービスに対する応答メッセージを作成し、一部の情報を模擬ホストに関する情報に置き換えればよい。
なお、上記の実施の形態において、感染装置300からのアクセスを記録するアクセス記録部が設けられていてもよい。すなわち、受信したパケット、すなわち、受信した要求に関する情報を記録する。そして、セキュリティ装置101は、このアクセス情報を不正侵入の検知、インシデントレスポンス、フォレンジック解析等に活用する。
実施の形態2.
本実施の形態にかかるセキュリティ装置について、図5を用いて説明する。図5は、セキュリティ装置101の構成を示すブロック図である。なお、セキュリティシステム100の全体構成については、実施の形態1と同様であるため説明を省略する。実施の形態2にかかるセキュリティ装置101、実施の形態1の構成に対して、送信元判定部24が追加されて構成を有している。なお、送信元判定部24以外の構成については、実施の形態1で示した構成と同様であるため、説明を省略する。
送信元判定部24は、受信パケットの送信元を判定する。例えば、感染装置300が索敵中に、感染装置300が悪意を持つ攻撃者であることをセキュリティ装置101が検知する。あるいは、他の検知装置(実ホスト)が不正侵入を検知して、検知したことをセキュリティ装置101に通知するようにしてもよい。そして、セキュリティ装置101が悪意を持つ攻撃者であることを検知した場合、送信元判定部24は、感染装置300の送信元アドレスを抽出する。そして、送信元アドレスの情報を模擬ホスト管理部16に送信する。模擬ホスト管理部16は、特定の送信元に対して、模擬ホストの管理を行う。すなわち、模擬ホスト管理部16は、悪意のある送信元のみに対して、模擬応答が行われるよう、模擬ホストを管理する。したがって、感染装置300からのみ模擬ホスト111、112が見えるようになる。換言すると、悪意のない正常な通信装置からは、模擬ホストが見えないようになる。こうすることで、正常な通信装置からの要求に対しては模擬ホストが応答しないことになる。したがって、本実施形態では、正常な通信装置への影響を抑制することが可能になる。
実施の形態3.
本実施の形態にかかるセキュリティシステムについて説明する。セキュリティシステムは、ネットワークシステムへの不正侵入を防御するセキュリティシステムであって、不正侵入を試みる侵入装置からのパケットを受信するパケット受信部51と、複数の仮想的な模擬装置の固有情報を格納する固有情報蓄積部52と、前記固有情報に基づいて前記模擬装置を起動させるか否かを管理する起動管理部53と、前記パケットに含まれる要求に基づいて、前記起動管理部が起動させた複数の前記模擬装置が応答するか否かを判定する模擬装置管理部54と、前記模擬装置管理部において応答すると判定された模擬装置毎に、前記模擬装置への前記要求に応じて模擬応答を生成する模擬応答生成部55と、前記模擬応答を前記侵入装置に送信する模擬応答送信部56と、を備えたものである。
このセキュリティシステム100によれば、悪意のある攻撃者をより欺きやすい欺瞞を仕掛けることができる。よって、攻撃コストを増加させて、高いセキュリティを実現することができる。なお、実施の形態3の構成に実施の形態1、2の構成を適宜組み合わせたり、置き換えたりすることも可能である。
上記の実施の形態にかかるセキュリティ方法における処理のうちの一部又は全部は、コンピュータプログラムによって実行されても良い。上述したプログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2014年8月25日に出願された日本出願特願2014−170368を基礎とする優先権を主張し、その開示の全てをここに取り込む。
100 セキュリティシステム
101 セキュリティ装置
110 模擬ネットワークシステム
111〜114 模擬ホスト
120 実ネットワークシステム
121 実ホスト
11 パケット受信部
12 パケット配送部
13 ブロードキャストパケット処理部
14 ユニキャストパケット処理部
15 探索要求判定部
16 模擬ホスト管理部
17 固有情報蓄積部
18 模擬ホスト起動管理部
19 模擬応答生成部
20 模擬応答テンプレート蓄積部
21 模擬応答送信制御部
22 模擬応答送信キュー
23 模擬応答送信部
24 送信元判定部
200 ネットワーク
300 感染装置

Claims (12)

  1. ネットワークシステムへの不正侵入を防御するセキュリティシステムであって、
    不正侵入を試みる侵入装置からのパケットを受信するパケット受信手段と、
    複数の仮想的な模擬装置の固有情報を格納する固有情報蓄積手段と、
    前記固有情報に基づいて前記模擬装置を起動させるか否かを管理する起動管理手段と、
    前記パケットに含まれる要求に基づいて、前記起動管理手段が起動させた複数の前記模擬装置が応答するか否かを判定する模擬装置管理手段と、
    前記模擬装置管理手段において応答すると判定された模擬装置毎に、前記模擬装置への前記要求に応じて模擬応答を生成する模擬応答生成手段と、
    前記模擬応答を前記侵入装置に送信する模擬応答送信手段と、を備えたセキュリティシステム。
  2. 通信プロトコルには、トランスポート層よりも上位層として、セッション層、プレゼンテーション層、アプリケーション層、サービス層、及びオペレーション層の少なくとも1層が含まれ、
    前記模擬応答には、ネットワーク層よりも上位層に関する情報が含まれている請求項1に記載のセキュリティシステム。
  3. 前記パケットに探索要求が含まれているか否かを判定する探索要求判定手段をさらに備え、
    前記探索要求が含まれている場合に、前記模擬装置管理手段において前記模擬装置が応答すると判定され、
    前記探索要求が含まれていない場合に、前記模擬装置管理手段において前記模擬装置が応答しないと判定される請求項1、又は2に記載のセキュリティシステム。
  4. 前記模擬応答送信手段が前記模擬応答を送信するタイミングを前記模擬装置毎に制御する送信制御手段をさらに備えた請求項1〜3のいずれか1項に記載のセキュリティシステム。
  5. ネットワークシステムへの不正侵入を防御するセキュリティ方法であって、
    不正侵入を試みる侵入装置からのパケットを受信するステップと、
    予め格納された複数の仮想的な模擬装置の固有情報を参照して、前記模擬装置を起動させるか否かを管理するステップと、
    前記パケットに含まれる要求に基づいて、起動させた複数の前記模擬装置が応答するか否かを判定するステップと、
    応答すると判定された模擬装置毎に、前記要求に応じた模擬応答を生成するステップと、
    前記模擬応答を前記侵入装置に送信するステップと、を備えたセキュリティ方法。
  6. 通信プロトコルには、トランスポート層よりも上位層として、セッション層、プレゼンテーション層、アプリケーション層、サービス層、及びオペレーション層の少なくとも1層が含まれ、
    前記模擬応答には、ネットワーク層よりも上位層に関する情報が含まれている請求項5に記載のセキュリティ方法。
  7. 前記パケットに探索要求が含まれているか否かを判定するステップをさらに備え、
    前記探索要求が含まれている場合に、前記模擬装置が応答すると判定し、
    前記探索要求が含まれていない場合に、前記模擬装置が応答しないと判定する請求項5、又は6に記載のセキュリティ方法。
  8. 前記模擬応答を送信するタイミングを前記模擬装置毎に制御するステップをさらに備えた請求項5〜7のいずれか1項に記載のセキュリティ方法。
  9. ネットワークシステムへの不正侵入を防御するセキュリティ方法をコンピュータに実行させるためのログラムであって
    前記セキュリティ方法が、
    不正侵入を試みる侵入装置からのパケットを受信するステップと、
    予め格納された複数の仮想的な模擬装置の固有情報を参照して、前記模擬装置を起動させるか否かを管理するステップと、
    前記パケットに含まれる要求に基づいて、起動させた複数の前記模擬装置が応答するか否かを判定するステップと、
    応答すると判定された模擬装置毎に、前記模擬装置への前記要求に応じて模擬応答を生成するステップと、
    前記模擬応答を前記侵入装置に送信するステップと、を備えるプログラム
  10. 通信プロトコルには、トランスポート層よりも上位層として、セッション層、プレゼンテーション層、アプリケーション層、サービス層、及びオペレーション層の少なくとも1層が含まれ、
    前記模擬応答には、ネットワーク層よりも上位層に関する情報が含まれている請求項9に記載のプログラム
  11. 前記パケットに探索要求が含まれているか否かを判定するステップをさらに備え、
    前記探索要求が含まれている場合に、前記模擬装置が応答すると判定し、
    前記探索要求が含まれていない場合に、前記模擬装置が応答しないと判定する請求項9、又は10に記載のプログラム
  12. 前記模擬応答を送信するタイミングを前記模擬装置毎に制御するステップをさらに備えた請求項9〜11のいずれか1項に記載のプログラム
JP2016544908A 2014-08-25 2015-05-15 セキュリティシステム、セキュリティ方法およびプログラム Active JP6460112B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014170368 2014-08-25
JP2014170368 2014-08-25
PCT/JP2015/002458 WO2016031103A1 (ja) 2014-08-25 2015-05-15 セキュリティシステム、セキュリティ方法、及びコンピュータ可読媒体

Publications (2)

Publication Number Publication Date
JPWO2016031103A1 JPWO2016031103A1 (ja) 2017-06-15
JP6460112B2 true JP6460112B2 (ja) 2019-01-30

Family

ID=55399029

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016544908A Active JP6460112B2 (ja) 2014-08-25 2015-05-15 セキュリティシステム、セキュリティ方法およびプログラム

Country Status (3)

Country Link
US (1) US20170272466A1 (ja)
JP (1) JP6460112B2 (ja)
WO (1) WO2016031103A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7268271B2 (ja) 2016-07-29 2023-05-08 フー チャン、カム Chanフレームワーク、chanコーディング及びchanコード

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10868830B2 (en) 2015-05-27 2020-12-15 Nec Corporation Network security system, method, recording medium and program for preventing unauthorized attack using dummy response
JP6690644B2 (ja) * 2015-05-27 2020-04-28 日本電気株式会社 セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
WO2018079716A1 (ja) * 2016-10-27 2018-05-03 国立大学法人名古屋工業大学 通信装置
EP3577589B1 (en) * 2016-12-08 2024-01-03 Cequence Security, Inc. Prevention of malicious automation attacks on a web service
JP7074187B2 (ja) 2018-05-14 2022-05-24 日本電気株式会社 監視装置、監視方法及びプログラム
CN110896388B (zh) * 2018-09-12 2022-07-05 西门子(中国)有限公司 网络流量分析方法、装置、计算机可读介质
WO2024180938A1 (ja) * 2023-03-02 2024-09-06 株式会社日立ハイテク 情報処理装置、及び不正アクセス検知方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140101724A1 (en) * 2012-10-10 2014-04-10 Galois, Inc. Network attack detection and prevention based on emulation of server response and virtual server cloning
US9495180B2 (en) * 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7268271B2 (ja) 2016-07-29 2023-05-08 フー チャン、カム Chanフレームワーク、chanコーディング及びchanコード

Also Published As

Publication number Publication date
WO2016031103A1 (ja) 2016-03-03
US20170272466A1 (en) 2017-09-21
JPWO2016031103A1 (ja) 2017-06-15

Similar Documents

Publication Publication Date Title
JP6460112B2 (ja) セキュリティシステム、セキュリティ方法およびプログラム
US10091238B2 (en) Deception using distributed threat detection
JP6690644B2 (ja) セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
US10193924B2 (en) Network intrusion diversion using a software defined network
US9398028B1 (en) System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
Zhuang et al. Investigating the application of moving target defenses to network security
JP6693516B2 (ja) セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
KR101369727B1 (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
JP5713445B2 (ja) 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム
US20160205116A1 (en) Method and system for virtual security isolation
TWI506472B (zh) 網路設備及其防止位址解析協定報文攻擊的方法
CN106797378B (zh) 用于控制通信网络的装置和方法
WO2013176711A2 (en) Methods, systems, and media for inhibiting attacks on embedded devices
CN111800401A (zh) 业务报文的防护方法、装置、系统和计算机设备
CN112688900A (zh) 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法
CN112738002A (zh) 一种基于虚实结合的搭建工控蜜网的技术
US9686311B2 (en) Interdicting undesired service
US20170034166A1 (en) Network management apparatus, network management method, and recording medium
EP2815350B1 (en) Methods, systems, and media for inhibiting attacks on embedded devices
US20220103582A1 (en) System and method for cybersecurity
Narwal et al. Game-theory based detection and prevention of DoS attacks on networking node in open stack private cloud
TWI738900B (zh) 網路防護系統、方法、裝置及伺服器
US12063251B1 (en) Methods for improved network security for web applications and devices thereof
KR20170079528A (ko) 공격 탐지 방법 및 장치
Lin et al. A Proposal for a schema for ARP Spoofing Protection

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170213

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181217

R150 Certificate of patent or registration of utility model

Ref document number: 6460112

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150