JP6495050B2 - コンピュータ実装システム、及び、ネットワーク評価を利用したセキュアパスの選択方法 - Google Patents

コンピュータ実装システム、及び、ネットワーク評価を利用したセキュアパスの選択方法 Download PDF

Info

Publication number
JP6495050B2
JP6495050B2 JP2015039820A JP2015039820A JP6495050B2 JP 6495050 B2 JP6495050 B2 JP 6495050B2 JP 2015039820 A JP2015039820 A JP 2015039820A JP 2015039820 A JP2015039820 A JP 2015039820A JP 6495050 B2 JP6495050 B2 JP 6495050B2
Authority
JP
Japan
Prior art keywords
node
path
nodes
security
rating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015039820A
Other languages
English (en)
Other versions
JP2016111664A (ja
Inventor
ダス シャタドゥル
ダス シャタドゥル
ヴィジャヤランガン ナタラジャン
ヴィジャヤランガン ナタラジャン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tata Consultancy Services Ltd
Original Assignee
Tata Consultancy Services Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tata Consultancy Services Ltd filed Critical Tata Consultancy Services Ltd
Publication of JP2016111664A publication Critical patent/JP2016111664A/ja
Application granted granted Critical
Publication of JP6495050B2 publication Critical patent/JP6495050B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本開示は、ネットワークセキュリティの分野に関するものである。
最新のネットワーク技術の登場により、情報セキュリティは通信ネットワークの安全性確保にとって生命線ともいうべき重大な役割を担うようになっている。通信ネットワークにおいては、信頼性とセキュリティは大変重要な要素となっている。悪影響をもたらす可能性をもった脆弱性を認識し、予防、検知するシステムやセキュリティ対策が必要となっている。ネットワークの信頼性や安全を確保するために脆弱性をテストする技法は複数存在する。脆弱性のテストは、ネットワークパスに普通に存在する脆弱性や攻撃に対抗するものである。現在、ネットワーク自体やネットワークパスのセキュリティ上の弱点を検査する、いくつかの脆弱性スキャンソフトウエアやセキュリティ製品が市販されている。しかし、これらのソフトウエアやセキュリティ製品が提供する、検出された脆弱性の修正や解決方法は限定的なものでしかない。
現在の状況では、データは至る所に存在し、通信ネットワーク上で正しいデータを正しいタイミングで正しい場所で取得すること自体が困難な課題となっている。そして、脆弱性を防護することのできるネットワークのモデルが要求されている。このようなネットワークモデルでは、ネットワークの一部が侵入者による悪影響を受けている時、あるいは、脆弱性によって悪影響が及ぼされている時であっても、ネットワークの一体性、セキュリティおよび処理能力が維持される。強固なアルゴリズムやプロトコルにより大部分のデータが暗号化されている場合であっても、ネットワークパスを通ってユーザが受信したデータが破壊され、中断され、分裂したものでないことを保証することはできない。
例えば、金融機関や銀行などでは、大量の支払いや各種の取引が機関と顧客の間で行われている。このような取引や金融データの通信は、スケーラブルなセキュリティとプライバシー保護機構を必要とする。金融データに十分強固に暗号化されたデータが含まれていたとしても、スヌーピングやハイジャックなどに対する脆弱性をもったネットワークパスでは、データが取引の受益者に到達できないことも起こりうる。
よって、このような欠点を排除するために、通信を防護し、脆弱性を持ちセキュリティ違反の恐れのあるノードをバイパスして通信を行う、インテリジェントな、信頼のおけるネットワーク通信を提供するシステムが要求される。
本開示の一つの課題は、ネットワークノードやネットワークパスの脆弱性を防護するネットワークを提供することである。
本開示のもう一つの課題は、通信チャンネルにおけるデータの保護を行うことである。
本開示のさらなる課題は、通信ネットワークの一体性、信頼性、機密性、セキュリティおよび処理能力を維持することである。
本開示のさらなる課題は、通信の統計に沿って動的に進化することでネットワークの能力を高めることである。
本開示のもう一つの課題は、専用VPN(仮想プライベートネットワーク)の運用コストを低減することである。
本開示のもう一つの課題は、効果的なメッセージ一斉配信システムを提供することである。
本発明の他の課題や利点は、添付されている図表とともに以下の説明により明確にされるが、これらの図表や説明は本発明の範囲を限定するものではない。
まず、本開示で使用する用語の定義を行う。
本開示で使用する「信頼性の値」という用語は、通信ネットワーク上のネットワークノードについてその確実性と信頼性の度合いを示す数値をいう。
本開示で使用する「送信元ノード」という用語は、ネットワーク上のノードであって、データが送信される(データを送信する)ノードをいう。
本開示で使用する「宛先ノード」という用語は、ネットワーク上のノードであって、データが受信される(データを受信する)ノードをいう。
本開示で使用する「性能指標格付け」という表現は、あるノードについて、通信経路で発揮されるノードの能力を示す値をいう。
本開示で使用する「セキュリティ指標格付け」という表現は、あるノードについて、安全な送信のために必要となったセキュリティ対策の基準と状態を示す値を言う。この値は、ノードが第三者の攻撃を受けやすいかどうかやその脆弱性、ないしはノードのセキュリティを容易に突破できるかどうかを示すものでもある。
本開示で使用する「信用指標格付け」という表現は、あるノードについて、その実行ライフタイム全体を通じての性能を示す値である。この値は、当該ノードが隣接ノードに対して、通信に関してどれほど協力的で有用であったかを示すものでもある。
本開示で使用する「近傍ノード指標格付け」という表現は、あるノードについて、近傍(密に隣接した)ノードに反映される信頼性を示す値をいう。この値は、直近の隣接ノードとの適合や相性の割合を示すものでもある。
以上の定義は、当該技術分野で使用されている定義に合わせて用いる。
本開示では、ネットワーク評価を利用してセキュアパス(セキュアな経路)の選択を行うコンピュータ実装システムおよびその手法が提供される。
標準として、本開示によれば、複数のノードを持つ通信ネットワーク上の一つのノードから他のノードへのデータ送信のためのセキュアパスを選択するシステムの詳細が提供される。システムには前記各ノードの信頼性の値を計算して、可能なすべてのパスのリスクの確率を計算し、セキュアパスを選択するように設定されたサーバが含まれる。
ネットワークの各ノードの信頼性の値は、「性能指標格付け」、「セキュリティ指標格付け」、「信用指標格付け」及び「近傍ノード指標格付け」の特性に基づいて算出される。
信頼性の値は、以下の特性(構成要素)に基づいて算出される。ネットワークに存在するノードには、性能指標特性を評価するように設定された評価ユニット、評価された性能指標特性とセキュリティ指標特性の平均を計算するように設定された平均値計算ユニット、及び、性能指標格付けとセキュリティ指標格付けを付与してこれをサーバに送信するように設定された付与ユニット、が含まれる。
本開示に沿って信頼性の値を用いてセキュアパスの選択を行うための手法を実現するコンピュータ実装システムの概略図である。 本開示に沿ってセキュアパスの選択を行う際の段階を示した第1のフローチャートである。 本開示に沿ってセキュアパスの選択を行う際の段階を示した第2のフローチャートである。 選択された各パスのリスク確率計算を説明するための典型的な実施形態を示したものである。
添付の図表に示された実施形態を参照しながら、ネットワーク評価を利用したセキュアパスの選択方法とそのコンピュータ実装システムを説明する。実施形態は、本開示の範囲や領域を限定するものではない。この説明は単に本開示の例および好ましい実施形態や奨励される応用に関するものである。
本開示のシステムとその多くの機能や利点の詳細を、実施形態を参照にて以下に説明するが、実施形態は本開示を限定するものではない。既知のパラメータや処理技術の説明は、実施形態の説明を不必要に複雑にし、不明瞭にすることのないように省略する。ここで示す例は、単に、実施形態を実施する際の理解を容易にし、当該技術の専門の者が本開示を実施することを可能とするためのものである。よって、これらの例は、実施形態の範囲を限定するためのものではない。
図1は、複数のノード(112A, 112B...112N, 114A, 114B...114N, 192A, 192B...192Nなど)を持つ通信ネットワーク110上の一つのノードから他のノードへのデータ送信のためのセキュアパスを選択するシステム100を示している。このシステム100は、評価ユニット(112A1, 112B1...112N1, 114A1, 114B1...114N1, 192A1, 192B1...192N1)、平均値計算ユニット(112A2, 112B2...112N2, 114A2, 114B2...114N2, 192A2, 192B2...192N2)及び付与ユニット(112A3, 112B3...112N3, 114A3, 114B3...114N3, 192A3, 192B3...192N3)、並びにサーバ120を含んでいる。これらの評価ユニット、平均値計算ユニット及び付与ユニット、並びにサーバ120は、各ノードにある第1のレポジトリ(112RA, 112RB...112RN, 114RA, 114RB...114RN, 192RA, 192RB...192RNなど)により設定される。ある実施形態によれば複数のノードはバス、スター、リング、ツリー、メッシュ、ハイブリッドなど、どのような形状のネットワークであってもよい。
評価ユニット(112A1, 112B1...112N1, 114A1, 114B1...114N1, 192A1, 192B1...192N1)は、ノードについての性能指標特性およびセキュリティ指標特性の評価を行う。性能指標は、その特性として、伝送遅延レート、トランザクション成功対失敗比、応答時間、帯域幅とその時間に応じた調整を有している。セキュリティ指標は、その特性として、ファイアウォール設定とファイアウォールのセキュリティステータス、ウイルス対策プログラムとプログラムのステータス、ノードにおいて開放されているポートに接続されているメディアのステータスを有している。また評価ユニット(112A1, 112B1...112N1, 114A1, 114B1...114N1, 192A1, 192B1...192N1)は、各性能指標特性とセキュリティ指標特性の数値の評価を行う。
平均値計算ユニット(112A2, 112B2...112N2, 114A2, 114B2...114N2, 192A2, 192B2...192N2)は、対応するノードについて評価された性能指標特性とセキュリティ指標特性の平均値を算定する。
付与ユニット(112A3, 112B3...112N3, 114A3, 114B3...114N3, 192A3, 192B3...192N3)は、対応するノードについての性能指標格付けとセキュリティ指標格付けの付与を、算定された性能指標特性とセキュリティ指標特性の平均値に基づいて行い、付与された性能指標格付けとセキュリティ指標格付けをサーバ120に送信する。
サーバ120は、第1のプロセッサ20、入力モジュール10、第2のレポジトリ32、第2のプロセッサ34、受信モジュール36、アクティブノード検知モジュール40、パス検知モジュール50、履歴データコレクタ55、信頼指数モジュール60、第3のプロセッサ65、リスク検知モジュール70、第4のプロセッサ75、比較器80、第5のプロセッサ85、及び、リソース検知モジュール90を含んでいる。
入力モジュール10は、ユーザ(ネットワークに存在するいずれかのノードであってもよい)よりリスク確率閾値を取得し、ユーザのセキュリティニーズを算定する。ユーザにとってデータの高度なセキュリティが必要であれば、リスク確率閾値に高い値を設定する。
典型的な実施形態によれば、リスク確率閾値に基づいてデータの分類を行うことができる。表1は、最大5つまでのリスク確率閾値と該当する各種データの分類(極秘、機密など)を示したものである。
Figure 0006495050
このようにして、この実施形態によれば、極秘情報の共有を行う通信に2つのノードが関与する場合は、データはリスク確率閾値の値が4.5以下のパスを通ることはできない。
ある他の実施形態によれば、リスク確率閾値により、ノードの信頼性の値が閾値より大きなノードのみが通過できるようにデータの分類を行っている。
さらに他の実施形態によれば、ユーザがとても高いリスク確率の閾値を選択した場合は、ネットワークは論理上仮想プライベートネットワーク(VPN)のように動作する。
履歴データコレクタ55は、送信元ノードから宛先ノードまでデータが転送される各ノードごとに、各トランザクションの後に履歴データを取得するように設定されている。この履歴データには性能履歴、平均性能指数、攻撃履歴、トランザクション損失/失敗履歴が含まれる。
第2のレポジトリ32は、前記の各ノードについての性能履歴、平均性能指数、攻撃履歴、トランザクション損失/失敗履歴および近傍ノード評価を保存するように設定されている。近傍ノード評価は、近傍ノードがトランザクションの相手となるノードから得たサービスの経緯に基づいたものである。
履歴データコレクタ55は、データが送信される前記のノードが送信を行う毎に第2のレポジトリを更新する。
第2のプロセッサ34は、信用指標格付けおよび近傍ノード指標格付けを計算して信頼指数モジュール60に送信するために第2のレポジトリに保存されているデータを処理するように設定されている。
受信モジュール36は前記の各ノードに対する性能指標格付けとセキュリティ指標格付けを受信するように設定されている。前記の各ノードに存在する付与ユニットは、性能指標格付けとセキュリティ指標格付けを各ノードに付与する。
アクティブノード検知モジュール40は、ネットワーク110上の複数のノードの中に存在するアクティブノードを検知するように設定されている。ネットワークには多数のノードが存在し、その中のいくつかは非アクティブである(データを送信または受信する位置に置かれていない)。そのため、データの伝送を行うことのできる、アクティブなノードを検知する必要がある。
パス検知モジュール50は、アクティブノードによって構成される、送信元ノードから宛先ノードまでの間にあるすべての可能なパスを検知するように設定されている。ネットワーク上に存在するすべてのノードは、送信元ノードおよび宛先ノードとなることができる。
信頼指数モジュール60は、特定のパスに存在する各アクティブノードの信頼性の値を計算するように設定されている。信頼指数モジュールは、性能指標格付け、セキュリティ指標格付け、信用指標格付け、近傍ノード指標格付けに基づいて、ノードの信頼性の値を計算する。
第3のプロセッサ65は、特定のノードの性能指標格付けとセキュリティ指標格付けを受信モジュール36から受け取り、また、信用指標格付けと近傍ノード指標格付けを第2のプロセッサ34より受け取り、現在の信頼性の値を計算するように設定されている。
リスク検知モジュール70は、パスに存在するノードの信頼性の値の平均に基づき、パス検知モジュール50が検知した各パスのリスク確率を算定するように設定されている。リスク検知モジュール70は、現在の信頼性の値を信頼指数モジュール60から受け取り、加えて検知されたパスからなる集合をパス検知モジュール50から受け取るための第4のプロセッサ75を含んでいる。検知された各パスのリスク確率は、パスを形成しているすべてのノードの信頼性の値の平均を計算して求める。
図3は、可能なパスのリスク確率を算定する典型的な実施形態を図示したものである。
ノードAは送信元ノードであり、これよりデータが宛先ノードであるノードBに送信される。ノードAからノードBにデータの伝送を行うには、以下の可能なパスが存在する。
・A→C→F→B
・A→C→E→B
・A→D→G→B
伝送に関与するノードの信頼性の値は、上記の手順により計算されている。各ノードの信頼性の値は、以下の通りである。
C=4.2
D=4.7
E=3.5
F=4.3
G=4.2
今度は、可能なパスのリスク確率を、可能なすべてのパスについて計算する。計算は、伝送に関与する中間のノードの信頼性の値を加算して行う。
・A→C→F→B=4.2+4.3=(8.5/10)・100=85%
⇒セキュア、リスク確率=15%
・A→C→E→B=4.2+3.5=(7.7/10)・100=77%
⇒セキュア、リスク確率=23%
・A→D→G→B=4.7+4.2=(8.9/10)・100=89%
⇒セキュア、リスク確率=11%
比較器80は、リスク確率閾値とパス検知モジュール50により検知された各パスのリスク確率を比較し、リスク確率がリスク確率閾値より低いパスを識別する。比較器80は、第5のプロセッサ85を有しており、この第5のプロセッサ85は、リスク確率閾値を入力モジュール10より受け取り、また各パスのリスク確率をリスク検知モジュール70を通じて受け取る。第5のプロセッサ85は、リスク確率の値がリスク確率閾値より低いパスを識別する。
リソース検知モジュール90は、識別されたパスがデータの転送のために必要とするリソースを検知するように設定されている。リソース検知モジュール90は、比較器と協働し、リスク確率がリスク確率閾値より低いパスの識別を行い、識別されたパスが要求するリソースを検知し、必要なリソースが最小となるパスが識別される。典型的な実施形態で、送信元ノードから宛先ノードの間に3つのパスA、B、Cが存在する場合について説明する。リソース検知モジュール90は、各パスについて、データが宛先ノードに到達するまでに経由しなければならないノードの数、データ伝送の所要時間などの必要なリソースを検知する。
図2Aと図2Bは、フローチャート200により、本開示に沿って、複数のノードをもつ通信ネットワークにおける一つのノードから他のノードへのデータ転送におけるセキュアパスの選択に必要な段階を図示したものである。
段階202では、性能指標特性とセキュリティ指標特性が評価される。性能指標は、その特性として、伝送遅延レート、トランザクション成功対失敗比、応答時間、帯域幅とその時間に応じた調整を含んでいる。セキュリティ指標は、その特性として、ファイアウォール設定とファイアウォールのセキュリティステータス、インストールされているウイルス対策プログラムとプログラムのステータス、ノードにおいて開放されているポートに接続されているメディアのステータス、関連する入力デバイスとそのスコープを含んでいる。
段階204では、性能指標特性とセキュリティ指標特性の平均値が算定される。
段階206では、計算された平均値を基にして性能指標格付けとセキュリティ指標格付けがノードに付与される。
表2は、性能指標格付けが段階202、204、206に沿って算定された、ある典型的な実施形態を示すものである。ある実施形態によれば、表2に示された最高値は手動で設定され、または自動的に生成することができる。
Figure 0006495050
上記の表2では、ノードの伝送遅延レートが最高5のうちの4、成功対失敗比が最高100のうちの85、応答時間が最高5のうちの4、帯域幅とその時間に応じた調整が最高5のうち4.5である。各特性の割合を計算し、それに基づいて以下のように平均を計算する。
{(80+85+80+90)/400}・100=83.75%
さらに、以下のように全体の性能指標格付けが計算される。
5*83.75%=4.18
上の計算では、5は性能指標格付けの最高値である。この最高値はユーザによって設定することも、自動的に生成することもできる。
表3は、段階202、204、206に沿ってセキュリティ指標格付けが計算された、ある典型的な実施形態を示したものである。ある実施形態によれば、表3に示された最高値は手動で設定され、または自動的に生成することができる。
Figure 0006495050
上記の表3では、ファイアウォール設定とファイアウォールのセキュリティステータスが最高5のうちの4、インストールされているウイルス対策プログラムとプログラムのステータスが最高100のうちの85、ノードにおいて開放されているポートに接続されているメディアのステータスが最高5のうちの4、関連する入力デバイスとそのスコープが最高5のうちの4.5である。各特性の割合を計算し、それに基づいて以下のように平均を計算する。
{(80+85+80+90)/400}・100=83.75%
さらに、以下のように全体の性能指標格付けが計算される。
5*83.75%=4.18
上の計算では、5はセキュリティ指標格付けの最高値である。この最高値はユーザによって設定することも、自動的に生成することもできる。
段階208では、リスク確率閾値がユーザにより取得される。リスク確率閾値はユーザが希望するデータ伝送セキュリティのニーズや水準を設定することを容易にする。ある実施形態によれば、ユーザは1から5の範囲にある数値を指定して希望するセキュリティの水準を設定する。ある他の実施形態によれば、リスク確率閾値により、ユーザはデータ伝送を希望するパスを決定する(高度なセキュアパスか中程度なセキュアパス)。一方で、高度なセキュアパスでは、各ノードが最高のセキュアパスを選択して伝送を行うため、混雑が予想される。
段階210では、前記の各ノードについての性能履歴、平均性能指数、攻撃履歴(攻撃の種類と被害の水準、侵入の有無)、トランザクション損失/失敗履歴および近傍ノード評価が第2のレポジトリに保存される(図を参照)。履歴データコレクタ(図1に示す)は、性能履歴、平均性能指数、攻撃履歴、トランザクション損失/失敗履歴をトランザクションが行われる毎に収集し、トランザクションに関与した各ノードについての第2のレポジトリを更新する。近傍ノード評価は、トランザクションに関与するノードの近傍にあるノードに関する評価値であって、相互に動作する上での経緯に基づいて求められる。
段階212では、信用指標格付けと近傍ノード指標格付けが計算される。信用指標格付けは、第2のプロセッサ(図1に示す)において計算される。ノードに攻撃の履歴がある場合、信用指標格付けは低く算出される。この値の計算は、ある特定のノードの近傍ノードの格付けにも基づいたものである。当該ノードが隣接ノードに対して、通信に関してどれほど協力的で有用であったかに左右される。しかし、同時に、ノードには、時間の経過とともに継続的に良好な性能とセキュリティの格付けが得られれば、信頼性を回復するチャンスが与えられる。
近傍ノードは、特定のノードとの伝送を行う上で、その経緯に基づいて伝送相手の格付けを行うことが出来る。この近傍ノードによる格付けの際、ネットワーク効率を格付けで参照する特性のうちの一つとすることができる。近傍ノードが行う格付けは、特定のノードのネットワーク上の信頼性を求めるためにも役立つ。この値は、直近に隣接する近傍ノードとの互換性(割合)を示すものでもある。典型的な実施形態によれば、特定のシステム設定を施したネットワークノードは高性能な通信を行うことが可能であるが、直近の通信ノードがこれに必要な同等の通信帯域幅に対応していないことがある。あるノードが1GBPSの速度で通信でき、しかし直近のノードが100MBPSのみ対応している場合を考える。
ノードからみた近傍ノードの格付けは多対一の関係(格付け)であり、また、インバウンドトラフィックや容易で、効率よいデータ伝送のため、接続に最も適したノードを示すものでもある。故障や違反が起こった時に、影響を受けているノードを代替するための最も安全なノードを決定するためにも役立つものである。
他の実施形態によれば、近傍ノード指標格付けは段階212に沿って算定される。ある実施形態によれば、格付けの最高値はユーザにより手動で設定された値とするか、または自動的に生成することができる。
ノードのネットワーク効率は、以下のように計算する。
ネットワーク効率={(受信パケット−破損パケット)/送られたパケットの総数}×(合計所要時間/標準到達時間)×100
ある典型的な実施例で、ノードBがノードAを介してデータを伝送する際、ノードAのネットワーク効率を計算する。ここで、送られたパケットの総数が40、受信されたパケット(宛先ホストにおいて)が38、合計所要時間が4ms、破損パケットが2、標準到達時間が5secの場合を考える。この場合、ネットワーク効率は、以下のように計算される。
ネットワーク効率={(38−2)/40}×(4/5)×100=72
そしてノードBはノードAに5*72%3.6の格付けを与える(標準格付けを5としている)。
ノードBがノードAに送信を行う各トランザクション毎に、ノードAに与えられる上記の評価は、ノードAがノードBに提供したサービスの経緯に基づいて常時変化する。ノードAがすべてのパケットを損失、破損なく、ハイジャックを受けすに送受信するなどして優良なサービスを行えば、近傍ノードから与えられる格付けは上昇を続ける。そうでなければ、格付けは、低下し、または維持される。
同様にして、ノードDとノードCもノードAの格付けを行う。
・ノードB→ノードA=格付け3.6
・ノードC→ノードA=格付け3.5
・ノードD→ノードA=格付け4
・ノードAの近傍ノードによる格付けの平均(3.6+3.5+4)/3=3.70
同様にして、ノードAも、送信中に相手となっている近傍ノードを評価する。この近傍ノードによる双方向格付けシステムは送信に適したノードを決定するために役立つ。
段階214では、各ノードにある付与モジュールから性能指標格付けとセキュリティ指標格付けを取得する。
段階216では、ネットワーク上のアクティブノードが検知される。ネットワークには多数のノードが存在し、その中のいくつかは非アクティブである(データを送信または受信する位置に置かれていない)。そのため、データを伝送する前にネットワーク上に存在するアクティブなノードを検知する必要がある。
段階218では、送信元ノードと宛先ノードの間にあるすべての可能なパスが検知される。ネットワーク上に存在するすべてのノードは送信元ノードおよび宛先ノードとなることができる。
段階220では、パスにあるノードの信頼性の値が算定される。最初に、性能指標格付けの平均値、セキュリティ指標格付け、信用指標格付け、近傍ノード指標格付けが算定され、これらに基づいてノードの信頼性の値が付与される。
表4は、段階220に沿って平均値が計算され、信頼性の値が付与される典型的な実施例を示す。ある実施例によれば、表4に示されている比重はユーザのセキュリティのニーズに基づいて設定することができる。ここで、ユーザは比重を手動で設定することができ、また自動的に生成することもできる。
Figure 0006495050
今度は、平均値、及び、この平均値に基づいて信頼性の値が計算される。ある実施例によれば、ノードの信頼性の最高値は手動で設定され、または自動的に生成することができる。
平均値={(12.54+12.54+4.00+11.10)/(3×5+3×5+1×5+3×5)}×100=(40.18/50)×100=80.36
信頼性の値=ノードの信頼性の最高値×平均値=5×80.364.018
段階222では、パスに存在するアクティブノードの信頼性の値の平均に基づいて決定されたパスのリスク確率が算定される。
図3は、選択された可能なパスのリスク確率を算定する典型的な実施形態を図示したものである。
ノードAは送信元ノードであり、これよりデータが宛先ノードであるノードBに送信される。ノードAからノードBにデータ伝送を行うには、以下の可能なパスが存在する。
・A→C→F→B
・A→C→E→B
・A→D→G→B
伝送に関与するノードの信頼性の値は、上記の手順により計算されている。ノードの信頼性の値は、以下の通りである。
C=4.2
D=4.7
E=3.5
F=4.3
G=4.2
今度は、可能なパスのリスク確率を計算する。計算は、伝送に関与する中間のノードの信頼性の値を加算して行う。
・A→C→F→B=4.2+4.3=(8.5/10)・100=85%
⇒セキュア、リスク確率=15%
・A→C→E→B=4.2+3.5=(7.7/10)・100=77%
⇒セキュア、リスク確率=23%
・A→D→G→B=4.7+4.2=(8.9/10)・100=89%
⇒セキュア、リスク確率=11%
段階224では、各パスのリスク確率をリスク確率閾値と比較し、ユーザのニーズや要望に十分なセキュアパスすべてを検知する。まず、リスク確率閾値は入力モジュール10(図1に示す)より取得され、前記の検知された各パスの現在のリスク確率がリスク検知モジュール80より取得される(図1に示す)。そして、リスク確率閾値より低いパスが検知される。
段階226では、ユーザのニーズに十分なセキュリティを持つパスが要求するリソースを算定している。段階224では、ユーザの要望する水準よりリスク確率の低いパスが複数存在することが検知されることがある。この段階は、最低のリソースを要求する、データ転送が可能な最善のパスを選択することに役立つ。
<技術的進歩性>
本開示が提供するシステムにおける技術進歩性には以下の実現が含まれる。
・ネットワークノードの脆弱性を防護するシステム。本開示の他の課題は、通信チャンネルにおけるデータの保護を行うことである。
・通信ネットワークの一体性、信頼性、機密性、セキュリティおよび処理能力を維持するシステム。
・通信の統計に沿って動的に進化し、ネットワークの能力を高めるシステム。
・専用VPN(仮想プライベートネットワーク)の運用コストを低減することのできるシステム。
・第三者のネットワークを使用していても、同一のプロトコルで高い価値を持つ金融データを取り扱うことのできる論理的VPNを提供するシステム。
・効果的なメッセージ一斉配信システムを提供するシステム。
発明の実施形態についての説明は実施形態の一般的な性質をすべて表現しており、現行の知識をもとに、簡単にその変更や適用を行い、基本的概念から出発することなく、即にその広い応用ができるように示されたものであり、従って、これらの変更も本発明の本体に含まれる。本開示の特許請求範囲およびそれと等価の請求はこれらの変更をも網羅し、本発明の範囲と本体に含めることを目的としている。本開示が用いる用語や表現は説明を目的とし、限定を目的としたものではない。さらに、実施形態は、好ましい物を取り上げてはいるが、技能ある者は、それら実施形態に変更を加えて、実施形態の意図と適用範囲を継承しつつその応用ができることを認識できるであろう。

Claims (7)

  1. 複数のノードを持つ通信ネットワーク上の1つのノードから他のノードへのデータ送信のためのセキュアパスを選択するコンピュータ実装システムであって、
    評価ユニットと、平均値計算ユニットと、付与ユニットと、前記複数のノードの各ノードにありこれら3つのユニットの設定を行う第1のレポジトリとを有していること;
    前記評価ユニットは、ノードに設置され、該ノードの性能指標特性とセキュリティ指標特性を評価すること;
    前記平均値計算ユニットは、前記ノードに設置され、前記評価ユニットにより評価された性能指標特性とセキュリティ指標特性を受け取ってそれらの平均値を算定すること;
    前記付与ユニットは、前記ノードの性能指標特性とセキュリティ指標特性の平均値を受け取り、前記ノードに性能指標格付けとセキュリティ指標格付けを付与するように設定されていること;
    サーバと、前記各ノードと通信するために前記サーバに接続された第1のプロセッサとを有していること;
    前記第1のプロセッサは、前記各ノードの前記評価ユニットと前記平均値計算ユニットと前記付与ユニットに動作信号を送ることによりこれら3つのユニットの動作を制御して、前記各ノードに性能指標格付けとセキュリティ指標格付けを提供するとともに、当該格付けを前記サーバに伝送すること;
    前記サーバは、前記複数のノードのうちの2つのノードの間で行われるデータ伝送におけるユーザから見たセキュリティのニーズを算定するために、ユーザからのリスク確率閾値を取得する入力モジュールを有していること;
    前記サーバは、前記各ノードについての性能履歴、平均性能指数、攻撃履歴、トランザクション損失/失敗履歴および近傍ノード評価を動的に保存するための第2のレポジトリを有していること;
    前記サーバは、前記第2のレポジトリに保存された情報を処理することにより、前記各ノードについての現在の信用指標格付けと近傍ノード指標格付けを計算する第2のプロセッサを有していること;
    前記サーバは、前記各ノードから性能指標格付けとセキュリティ指標格付けを取得する受信モジュールを有していること;
    前記サーバは、前記複数のノードの中に存在するアクティブノードを検知するように設定されたアクティブノード検知モジュールを有していること;
    前記サーバは、前記アクティブノード検知モジュールが検知したアクティブノードの間に存在するパスを検知するパス検知モジュールを有していること;
    前記サーバは、前記受信モジュールから特定のノードの性能指標格付けとセキュリティ指標格付けを受け取り、且つ、前記第2のプロセッサから信用指標格付けと近傍ノード指標格付けを受け取り、前記通信ネットワークに存在する各アクティブノードの現在の信頼性の値を計算するように設定された第3のプロセッサを持つ信頼指数モジュールを有していること;
    前記サーバは、前記各アクティブノードの現在の信頼性の値と現在のアクティブノード間に検知されたパスの集合を受け取り、この集合にあるパス毎に、該パスを構成するアクティブノードの信頼性の値の平均を求めて、パスのリスク確率を計算するように設定された第4のプロセッサを持つリスク検知モジュールを有していること;
    前記サーバは、前記入力モジュールから前記リスク確率閾値を取得するとともに、検知された前記各パスの現在のリスク確率を取得して、前記パスの集合からリスク確率が前記リスク確率閾値より低いものを検知するように適合された第5のプロセッサを持つ比較器を有していること;及び
    前記サーバは、前記比較器と協働して、リソースの要求が最小となるパスを決定するために、前記第5のプロセッサにより検知されたパスを経由するデータ伝送で必要となるリソースを算定するリソース検知モジュールを有していること;
    を特徴とするコンピュータ実装システム。
  2. 請求項1記載のコンピュータ実装システムにおいて、
    前記性能指標特性は、伝送遅延レート、トランザクション成功対失敗比、応答時間、帯域幅とその時間に応じた調整を含んでいるコンピュータ実装システム。
  3. 請求項1記載のコンピュータ実装システムにおいて、
    前記セキュリティ指標特性は、ファイアウォール設定とファイアウォールのセキュリティステータス、インストールされているウイルス対策プログラムとプログラムのステータス、ノードにおいて開放されているポートに接続されているメディアのステータス、関連する入力デバイスとそのスコープを含んでいるコンピュータ実装システム。
  4. 請求項1記載のコンピュータ実装システムにおいて、
    データが転送されるノード毎に各トランザクションの後に履歴データを取得してこれを前記第2のレポジトリに送信するように設定されている履歴データコレクタをさらに有し、
    前記履歴データは、性能履歴、平均性能指数、攻撃履歴、トランザクション損失/失敗履歴を含んでいるコンピュータ実装システム。
  5. 複数のノードにより構成されるネットワークにおいてノード間のデータ伝送を可能とするように設定されたコンピュータ実装システムによるセキュアパスの選択方法であって、
    性能指標特性とセキュリティ指標特性の評価を行うこと;
    評価された性能指標特性とセキュリティ指標特性の平均値を算定すること;
    性能指標格付けとセキュリティ指標格付けを付与すること;
    ネットワークによるデータ伝送におけるセキュリティ要求を設定するリスク確率閾値をユーザデータとして取得すること;
    前記複数のノードの各ノードについての性能履歴、平均性能指数、攻撃履歴、トランザクション損失/失敗履歴および近傍ノード評価を動的に保存すること;
    性能履歴、平均性能指数、攻撃履歴、トランザクション損失/失敗履歴および近傍ノード評価を処理し、前記各ノードの現在の信用指標格付けと近傍ノード指標格付けを計算すること;
    性能指標格付けとセキュリティ指標格付けを取得すること;
    前記複数のノードの中に存在するアクティブノードを検知すること;
    ネットワークに存在する前記アクティブノードの間にあるパスを検知すること;
    性能指標格付けとセキュリティ指標格付けを取得すること、及び、前記各アクティブノードの現在の信頼性の値を計算することによって、信頼性の値を計算すること;
    前記各アクティブノードと検知されたパスの集合の現在の信頼性の値を取得すること、及び、パスを構成する前記ノードの信頼性の値の平均値を計算することによって、検知されたパスのリスク確率を計算すること;
    検知されたパスのリスク確率閾値と現在のリスク確率を取得すること、及び、リスク確率閾値より低いリスク確率をもつパスを識別することによって、リスク確率の比較を行うこと;及び
    前記パスを経由するデータ伝送のために必要なリソースの検知を行うとともに、リソース使用の要求が最低であるパスの識別を行うこと
    を特徴とするセキュアパスの選択方法。
  6. 請求項5記載のセキュアパスの選択方法において、
    前記性能指標特性は、伝送遅延レート、トランザクション成功対失敗比、応答時間、帯域幅とその時間に応じた調整を含んでいるセキュアパスの選択方法。
  7. 請求項5記載のセキュアパスの選択方法において、
    前記セキュリティ指標特性は、ファイアウォール設定とファイアウォールのセキュリティステータス、インストールされているウイルス対策プログラムとプログラムのステータス、ノードにおいて開放されているポートに接続されているメディアのステータス、関連する入力デバイスとそのスコープを含んでいるセキュアパスの選択方法。
JP2015039820A 2014-12-01 2015-03-02 コンピュータ実装システム、及び、ネットワーク評価を利用したセキュアパスの選択方法 Active JP6495050B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
IN3837/MUM/2014 2014-12-01
IN3837MU2014 2014-12-01

Publications (2)

Publication Number Publication Date
JP2016111664A JP2016111664A (ja) 2016-06-20
JP6495050B2 true JP6495050B2 (ja) 2019-04-03

Family

ID=56087557

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015039820A Active JP6495050B2 (ja) 2014-12-01 2015-03-02 コンピュータ実装システム、及び、ネットワーク評価を利用したセキュアパスの選択方法

Country Status (3)

Country Link
JP (1) JP6495050B2 (ja)
CN (1) CN105991617B (ja)
CA (1) CA2887428C (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102259732B1 (ko) * 2019-11-28 2021-06-02 광주과학기술원 네트워크 상의 허니팟 노드 배치방법

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020210193B3 (de) 2020-08-12 2021-10-14 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und System zum Absichern einer Datenkommunikation innerhalb eines Netzwerks
CN114943389B (zh) * 2022-07-21 2022-11-15 中国兵器科学研究院 一种基于脆性理论的投送路径优选方法、设备及存储介质
CN115842681B (zh) * 2023-02-03 2023-05-19 国网数字科技控股有限公司 一种公专互动电力业务系统的风险评估方法及相关装置
CN116797267B (zh) * 2023-08-23 2023-11-24 深空间发展投资控股(湖北)有限公司 用于股权投资的分布式市场数据采集管理系统
CN116976759B (zh) * 2023-09-25 2023-12-08 深圳点筹农业供应链有限公司 基于物联网的农业数据交易安全评估方法
CN117473533B (zh) * 2023-11-10 2024-05-28 上海创芯致锐互联网络有限公司 一种磁控溅射冷却腔内反应数据传输管理系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4185852B2 (ja) * 2003-11-20 2008-11-26 日本電信電話株式会社 通信システム
US7991852B2 (en) * 2004-01-22 2011-08-02 Alcatel-Lucent Usa Inc. Network architecture and related methods for surviving denial of service attacks
DE102005023879B3 (de) * 2005-05-24 2006-12-28 Siemens Ag Verfahren zur Bewertung eines Objekts in einem Kommunikationsnetzwerk
CN101110762A (zh) * 2007-08-22 2008-01-23 华中科技大学 一种Ad hoc网络安全路由方法
JP2009071436A (ja) * 2007-09-11 2009-04-02 Toshiba Corp 通信経路選択方法及び中継用情報処理機器
CN101404572A (zh) * 2008-11-14 2009-04-08 西安交通大学 一种基于反馈信任聚合的网络节点总体信任度评估方法
CN102158864B (zh) * 2011-04-15 2013-07-24 北京航空航天大学 一种基于可靠性的移动Ad Hoc网络自适应安全路由方法
JP2013093781A (ja) * 2011-10-27 2013-05-16 Fujitsu Ltd 通信ネットワークシステム、ノード装置、及び通信ネットワークシステムにおける経路選択方法
CN103179001B (zh) * 2013-04-17 2015-09-30 重庆邮电大学 一种基于工作路径信息的电力通信网可靠性评估方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102259732B1 (ko) * 2019-11-28 2021-06-02 광주과학기술원 네트워크 상의 허니팟 노드 배치방법

Also Published As

Publication number Publication date
JP2016111664A (ja) 2016-06-20
CA2887428C (en) 2022-07-19
CN105991617B (zh) 2020-04-24
CA2887428A1 (en) 2016-06-01
CN105991617A (zh) 2016-10-05

Similar Documents

Publication Publication Date Title
JP6495050B2 (ja) コンピュータ実装システム、及び、ネットワーク評価を利用したセキュアパスの選択方法
US10630645B1 (en) Private network request forwarding
US10187422B2 (en) Mitigation of computer network attacks
ES2841323T3 (es) Una estrategia de red basada en intención impulsada por datos que utiliza un controlador SDN distribuido ligero para brindar experiencias inteligentes al consumidor
AU2015255980B2 (en) System and methods for reducing impact of malicious activity on operations of a wide area network
US10708146B2 (en) Data driven intent based networking approach using a light weight distributed SDN controller for delivering intelligent consumer experience
US20150350240A1 (en) Application and network abuse detection with adaptive mitigation utilizing multi-modal intelligence data
US10819562B2 (en) Cloud services management systems utilizing in-band communication conveying situational awareness
JP6599819B2 (ja) パケット中継装置
WO2013185483A1 (zh) 签名规则的处理方法、服务器及入侵防御系统
WO2016201996A1 (zh) 一种自适应防攻击方法及装置
CA2983429C (en) Network security analysis for smart appliances
WO2021098425A1 (zh) 配置业务的服务质量策略方法、装置和计算设备
CN112583850A (zh) 网络攻击防护方法、装置及系统
JP2008219149A (ja) トラヒック制御システムおよびトラヒック制御方法
WO2020157561A1 (en) Port scan detection
US20120110665A1 (en) Intrusion Detection Within a Distributed Processing System
US10616094B2 (en) Redirecting flow control packets
US20100166011A1 (en) Method, apparatus and system for realizing dynamic correlation of control plane traffic rate
KR101351607B1 (ko) 복수의 호스트와 서버간의 패킷의 전송을 제어하는 방법 및 부하 분산 장치, 그리고 부하 분산 장치로부터 패킷을 수신하는 방법 및 서버
US20090100487A1 (en) Mitigating subscriber side attacks in a cable network
KR20210066432A (ko) 이름 데이터 네트워킹(ndn) 에서 인터레스트 플러딩 공격, 검출 방법 및 방어 방법
WO2023273843A1 (zh) 安全防御方法、装置、设备及存储介质
KR20230062861A (ko) 이종 기밀 컴퓨팅 클러스터들의 신뢰 자세들의 확인

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180227

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190306

R150 Certificate of patent or registration of utility model

Ref document number: 6495050

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250