JP6577921B2 - Security countermeasure system and security countermeasure method - Google Patents

Security countermeasure system and security countermeasure method Download PDF

Info

Publication number
JP6577921B2
JP6577921B2 JP2016171302A JP2016171302A JP6577921B2 JP 6577921 B2 JP6577921 B2 JP 6577921B2 JP 2016171302 A JP2016171302 A JP 2016171302A JP 2016171302 A JP2016171302 A JP 2016171302A JP 6577921 B2 JP6577921 B2 JP 6577921B2
Authority
JP
Japan
Prior art keywords
packet
security
security countermeasure
countermeasure
analysis result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016171302A
Other languages
Japanese (ja)
Other versions
JP2018037962A (en
Inventor
雄太 風戸
雄太 風戸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016171302A priority Critical patent/JP6577921B2/en
Publication of JP2018037962A publication Critical patent/JP2018037962A/en
Application granted granted Critical
Publication of JP6577921B2 publication Critical patent/JP6577921B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、セキュリティ対処システム及びセキュリティ対処方法に関する。特に、本発明は、ネットワーク内において、アクセス制御装置とパケット分析装置とセキュリティ対処管理装置を使用して、セキュリティ対処設定を自動変更するためのセキュリティ対処システム及びセキュリティ対処方法に関する。   The present invention relates to a security countermeasure system and a security countermeasure method. In particular, the present invention relates to a security countermeasure system and a security countermeasure method for automatically changing a security countermeasure setting using an access control apparatus, a packet analysis apparatus, and a security countermeasure management apparatus in a network.

近年、ネットワーク上におけるサービス妨害型攻撃(DDoS攻撃:Distributed Denial of Service attack)の脅威が増大し、ネットワークやサービスの可用性に大きな被害を与えている。近年のDDoS攻撃は、ボットネットやツール使用によるボリューム型攻撃(数百Gbpsのトラフィック送信)、サーバの特定サービスを標的として処理負荷を高めるアプリケーションレイヤ攻撃、複数の攻撃手法を組み合わせたマルチベクトル型攻撃が主流である。   In recent years, threats of denial-of-service attacks (DDoS attacks) on networks have increased, and have seriously affected the availability of networks and services. Recent DDoS attacks include volume-type attacks using botnets and tools (sending hundreds of Gbps of traffic), application layer attacks that target specific services on servers and increasing the processing load, and multi-vector attacks combining multiple attack methods Is the mainstream.

DDoS攻撃による被害を防ぐためには攻撃パケットを攻撃元に近いネットワークにおいて、遮断やレート制限などのセキュリティ対処することが有効である。有効なセキュリティ対処として、ボリューム型攻撃ではネットワーク上のアクセス制御装置によるパケットフィルタリング(非特許文献1)やレート制御(特許文献1)がある。また、アプリケーションレイヤ攻撃では攻撃対象のホストでのパケット分析装置による検知・対処がある。   In order to prevent damage caused by DDoS attacks, it is effective to take security measures such as blocking or rate limiting the attack packets in the network close to the attack source. Effective security measures include packet filtering (Non-Patent Document 1) and rate control (Patent Document 1) by an access control device on a network in a volume type attack. In addition, application layer attacks include detection and handling by a packet analysis device at the attack target host.

特開2014−236461号公報JP 2014-236461 A

興語一史他,"複数の帯域制御方式を組み合わせたDDoS攻撃抑制方式の検討",IEICE通信ソサイティ, 2016年Koji Koji et al., "Examination of DDoS attack suppression method combining multiple bandwidth control methods", IEICE Communications Society, 2016

図1は、従来のセキュリティ対処方式を示す概略図である。現状、ユーザを収容する大規模ネットワークでのセキュリティ対処はオペレータが攻撃情報をもとに攻撃元に近いネットワーク側及び/又は攻撃先に近いユーザ側で対処ルールを設定している。   FIG. 1 is a schematic diagram showing a conventional security countermeasure. Currently, in a large-scale network that accommodates users, security rules are set by the operator on the network side close to the attack source and / or the user side close to the attack destination based on the attack information.

DDoS攻撃に対する代表的なセキュリティ対処であるパケットフィルタリング、レート制限、及び攻撃対象サーバ前段でのパケット分析対処は以下の手順で実施される。   Packet filtering, rate limiting, and packet analysis countermeasures in the preceding stage of the attack target server, which are typical security countermeasures against DDoS attacks, are implemented in the following procedure.

パケットフィルタリングについては、オペレータが攻撃検知情報からシグネイチャ情報(通信、送信元/送信先IP(Internet Protocol)アドレス、送信元/送信先ポート、プロトコル番号など)をアクセス制御装置に対処ルールとして設定する。アクセス制御装置において、対処ルールとパケットの情報をマッチングし、マッチングした場合、該当パケットを遮断する。   For packet filtering, the operator sets signature information (communication, source / destination IP (Internet Protocol) address, source / destination port, protocol number, etc.) from the attack detection information as a handling rule in the access control device. In the access control device, the countermeasure rule and the packet information are matched, and if a match is found, the corresponding packet is blocked.

レート制限については、アクセス制御装置において、レート制限ルール(パケットレート、接続IPアドレス情報など)を設定する。アクセス制御装置を通過するトラフィックをレート制限ルールと照らし合わせ、レート制限ルールに合致する場合、パケットの通過を制限する。   For rate limiting, the access control device sets rate limiting rules (packet rate, connection IP address information, etc.). The traffic passing through the access control device is compared with the rate limiting rule, and if it matches the rate limiting rule, the packet passing is limited.

攻撃対象サーバ前段でのパケット分析対処については、攻撃対象サーバに到着するパケットをペイロードまで分析し、攻撃を検知した場合、装置自体でセキュリティ対処を実施する。   As for packet analysis countermeasures in the first stage of the attack target server, packets that arrive at the attack target server are analyzed up to the payload, and when an attack is detected, security countermeasures are implemented by the device itself.

このようなセキュリティ対処をキャリアネットワーク、ISP(Internet Service Provider)ネットワークで実施する場合は、大容量スループットの確保が必要であり、またオペレータが設定する対処ルールにおいて、適切でないルール設定を行うと、誤遮断と見逃しが発生すること、オペレータによる運用では誤遮断と見逃しの発見から再ルール設定まで時間が掛かることが課題である。   When implementing such security countermeasures on carrier networks and ISP (Internet Service Provider) networks, it is necessary to secure large-capacity throughput. If the countermeasure rules set by the operator are set inappropriately, errors will occur. The problem is that blockage and oversight occur, and it takes time from the discovery of false blockage and oversight to re-rule setting in the operation by the operator.

なお、パケット分析を用いることで誤遮断や見逃しのパケットを高精度で検知できるが、パケット分析処理に時間が掛かり、この場合には大容量スループットが確保できないことが課題である。   Although packet analysis can be used to detect erroneously blocked or missed packets with high accuracy, packet analysis processing takes time, and in this case, a problem is that large-capacity throughput cannot be secured.

そこで、本発明は、誤遮断や見逃しの可能性があるパケットをパケット分析装置で分析・検知し、アクセス制御装置にフィードバックすることで、セキュリティ対処におけるスループットを確保しつつ、セキュリティ対処性能を向上させることを目的とする。   Therefore, the present invention improves security countermeasure performance while ensuring throughput in security countermeasures by analyzing and detecting packets that may be erroneously blocked or missed by a packet analyzer and feeding back to the access controller. For the purpose.

本発明の一形態に係るセキュリティ対処システムは、
パケットを転送するネットワークタップ装置と、当該ネットワークタップ装置にて転送されるパケットに対してセキュリティ対処ルールを設定するアクセス制御装置とを有するセキュリティ対処システムであって、
前記ネットワークタップ装置から転送されたパケットを受信し、当該パケットに対してセキュリティ対処を実施するべきか否かを分析するパケット分析装置と、
前記パケット分析装置から分析結果を受信し、当該分析結果に基づいてセキュリティ対処ルールを設計し、前記アクセス制御装置に対して当該セキュリティ対処ルールを指示するセキュリティ対処管理装置と、
を有し、
前記パケット分析装置は、
前記ネットワークタップ装置からセキュリティ対処前後のパケットを受信するパケット受信部と、
前記受信したセキュリティ対処前後のパケットを比較し、誤遮断パケットを検知する誤遮断検知部と、
前記検知した誤遮断パケットの分析結果を前記セキュリティ対処管理装置に通知する分析結果通知部と、
を有し、
前記セキュリティ対処管理装置は、
前記パケット分析装置から分析結果を受信する受信部と、
前記分析結果に基づいてセキュリティ対処ルールを設計する対処設計部と、
前記アクセス制御装置に対して前記セキュリティ対処ルールを指示する対処指示部と、
を有することを特徴とする。
また、本発明の一形態に係るセキュリティ対処システムは、
パケットを転送するネットワークタップ装置と、当該ネットワークタップ装置にて転送されるパケットに対してセキュリティ対処を実施するアクセス制御装置とを有するセキュリティ対処システムであって、
前記ネットワークタップ装置から転送されたパケットを受信し、当該パケットに対してセキュリティ対処を実施するべきか否かを分析するパケット分析装置と、
前記パケット分析装置から分析結果を受信し、当該分析結果に基づいてセキュリティ対処ルールを設計し、前記アクセス制御装置に対して当該セキュリティ対処ルールを指示するセキュリティ対処管理装置と、
を有し、
前記パケット分析装置は、
前記ネットワークタップ装置からセキュリティ対処前のパケットを受信するパケット受信部と、
前記受信したパケットから、セキュリティ対処を実施すべきでない正常パケットを検知する攻撃検知部と、
前記検知した正常パケットの分析結果を前記セキュリティ対処管理装置に通知する分析結果通知部と、
を有し、
前記セキュリティ対処管理装置は、
前記パケット分析装置から分析結果を受信する受信部と、
前記分析結果に基づいてセキュリティ対処ルールを設計する対処設計部と、
前記アクセス制御装置に対して前記セキュリティ対処ルールを指示する対処指示部と、
を有することを特徴とする。 A security countermeasure system according to an aspect of the present invention includes:
A security countermeasure system having a network tap device for transferring a packet and an access control device for setting a security countermeasure rule for the packet transferred by the network tap device,
A packet analysis device that receives a packet transferred from the network tap device and analyzes whether or not security countermeasures should be performed on the packet;
A security countermeasure management apparatus that receives an analysis result from the packet analysis apparatus, designs a security countermeasure rule based on the analysis result, and instructs the access control apparatus of the security countermeasure rule;
I have a,
The packet analyzer is
A packet receiver for receiving packets before and after security countermeasures from the network tap device;
Comparing the received packets before and after security countermeasures, and an erroneous blocking detection unit for detecting erroneous blocking packets;
An analysis result notifying unit for notifying the security countermeasure management device of an analysis result of the detected erroneous blocking packet;
Have
The security countermeasure management device includes:
A receiving unit for receiving an analysis result from the packet analysis device;
A countermeasure design unit that designs a security countermeasure rule based on the analysis result;
A handling instruction unit for instructing the security handling rule to the access control device;
It is characterized by having .
In addition, a security countermeasure system according to an aspect of the present invention includes:
A security countermeasure system having a network tap device for transferring packets and an access control device for implementing security countermeasures for packets transferred by the network tap device,
A packet analysis device that receives a packet transferred from the network tap device and analyzes whether or not security countermeasures should be performed on the packet;
A security countermeasure management apparatus that receives an analysis result from the packet analysis apparatus, designs a security countermeasure rule based on the analysis result, and instructs the access control apparatus of the security countermeasure rule;
Have
The packet analyzer is
A packet receiving unit for receiving a packet before security countermeasure from the network tap device;
An attack detection unit that detects a normal packet that should not be subjected to security countermeasures from the received packet;
An analysis result notifying unit for notifying the security countermeasure management device of an analysis result of the detected normal packet;
Have
The security countermeasure management device includes:
A receiving unit for receiving an analysis result from the packet analysis device;
A countermeasure design unit that designs a security countermeasure rule based on the analysis result;
A handling instruction unit for instructing the security handling rule to the access control device;
It is characterized by having.

また、本発明の一形態に係るセキュリティ対処方法は、
パケットを転送するネットワークタップ装置と、当該ネットワークタップ装置にて転送されるパケットに対してセキュリティ対処ルールを設定するアクセス制御装置とを有するセキュリティ対処システムにおけるセキュリティ対処方法であって、
パケット分析装置が、前記ネットワークタップ装置から転送されたパケットを受信し、当該パケットに対してセキュリティ対処を実施するべきか否かを分析するステップと、
セキュリティ対処管理装置が、前記パケット分析装置から分析結果を受信し、当該分析結果に基づいてセキュリティ対処ルールを設計し、前記アクセス制御装置に対して当該セキュリティ対処ルールを指示するステップと、
を有し、
前記分析するステップにおいて、
前記パケット分析装置が、前記ネットワークタップ装置からセキュリティ対処前後のパケットを受信し、
前記パケット分析装置が、前記受信したセキュリティ対処前後のパケットを比較し、誤遮断パケットを検知し、
前記パケット分析装置が、前記検知した誤遮断パケットの分析結果を前記セキュリティ対処管理装置に通知し、
前記指示するステップにおいて、
前記セキュリティ対処管理装置が、前記パケット分析装置から分析結果を受信し、
前記セキュリティ対処管理装置が、前記分析結果に基づいてセキュリティ対処ルールを設計し、
前記セキュリティ対処管理装置が、前記アクセス制御装置に対して前記セキュリティ対処ルールを指示することを特徴とする。
また、本発明の一形態に係るセキュリティ対処方法は、
パケットを転送するネットワークタップ装置と、当該ネットワークタップ装置にて転送されるパケットに対してセキュリティ対処を実施するアクセス制御装置とを有するセキュリティ対処システムにおけるセキュリティ対処方法であって、
パケット分析装置が、前記ネットワークタップ装置から転送されたパケットを受信し、当該パケットに対してセキュリティ対処を実施するべきか否かを分析するステップと、
セキュリティ対処管理装置が、前記パケット分析装置から分析結果を受信し、当該分析結果に基づいてセキュリティ対処ルールを設計し、前記アクセス制御装置に対して当該セキュリティ対処ルールを指示するステップと、
を有し、
前記分析するステップにおいて、
前記パケット分析装置が、前記ネットワークタップ装置からセキュリティ対処前のパケットを受信し、
前記パケット分析装置が、前記受信したパケットから、セキュリティ対処を実施すべきでない正常パケットを検知し、
前記パケット分析装置が、前記検知した正常パケットの分析結果を前記セキュリティ対処管理装置に通知し、
前記指示するステップにおいて、
前記セキュリティ対処管理装置が、前記パケット分析装置から分析結果を受信し、
前記セキュリティ対処管理装置が、前記分析結果に基づいてセキュリティ対処ルールを設計し、
前記セキュリティ対処管理装置が、前記アクセス制御装置に対して前記セキュリティ対処ルールを指示することを特徴とする。

In addition, a security countermeasure method according to one aspect of the present invention includes:
A security countermeasure method in a security countermeasure system having a network tap device for transferring a packet and an access control device for setting a security countermeasure rule for the packet transferred by the network tap device,
A packet analysis device receiving a packet transferred from the network tap device, and analyzing whether the packet should be subjected to security measures;
A security countermeasure management device receiving an analysis result from the packet analyzer, designing a security countermeasure rule based on the analysis result, and instructing the security countermeasure rule to the access control device;
I have a,
In the analyzing step,
The packet analyzer receives packets before and after security measures from the network tap device;
The packet analysis device compares the received packets before and after the security countermeasure, detects a false blocking packet,
The packet analysis device notifies the security countermeasure management device of the analysis result of the detected erroneous blocking packet,
In the instructing step,
The security countermeasure management device receives an analysis result from the packet analysis device;
The security countermeasure management device designs a security countermeasure rule based on the analysis result,
The security countermeasure management device instructs the security rule to the access control device .
In addition, a security countermeasure method according to one aspect of the present invention includes:
A security coping method in a security coping system having a network tap device that transfers a packet and an access control device that performs security coping with the packet transferred by the network tap device,
A packet analysis device receiving a packet transferred from the network tap device, and analyzing whether the packet should be subjected to security measures;
A security countermeasure management device receiving an analysis result from the packet analyzer, designing a security countermeasure rule based on the analysis result, and instructing the security countermeasure rule to the access control device;
Have
In the analyzing step,
The packet analyzer receives a packet before security countermeasure from the network tap device,
The packet analyzer detects a normal packet that should not be subjected to security measures from the received packet,
The packet analysis device notifies the security countermeasure management device of the analysis result of the detected normal packet;
In the instructing step,
The security countermeasure management device receives an analysis result from the packet analysis device;
The security countermeasure management device designs a security countermeasure rule based on the analysis result,
The security countermeasure management device instructs the security rule to the access control device.

本発明によれば、セキュリティ対処におけるスループットを確保しつつ、セキュリティ対処性能を向上させることを目的とする。   According to the present invention, it is an object to improve security countermeasure performance while ensuring throughput in security countermeasures.

従来のセキュリティ対処方式を示す概略図Schematic diagram showing conventional security measures 本発明の実施例に係るセキュリティ対処システムの概略図Schematic diagram of a security countermeasure system according to an embodiment of the present invention 本発明の実施例に係るセキュリティ対処システムにおける処理を示すフローチャートThe flowchart which shows the process in the security countermeasure system which concerns on the Example of this invention. 本発明の実施例に係るセキュリティ対処システムの機能構成図Functional configuration diagram of a security countermeasure system according to an embodiment of the present invention 本発明の実施例1に係るセキュリティ対処システムにおけるシーケンス図FIG. 3 is a sequence diagram of the security countermeasure system according to the first embodiment of the present invention. 本発明の実施例2に係るセキュリティ対処システムにおけるシーケンス図Sequence diagram in the security countermeasure system according to the second embodiment of the present invention. 本発明の実施例3に係るセキュリティ対処システムにおけるシーケンス図Sequence diagram in the security countermeasure system according to Embodiment 3 of the present invention 本発明の実施例に係るアクセス制御装置、パケット分析装置又はセキュリティ対処管理装置のハードウェア構成例を示す図The figure which shows the hardware structural example of the access control apparatus which concerns on the Example of this invention, a packet analysis apparatus, or a security countermeasure management apparatus

以下、図面を参照して本発明の実施例について説明する。   Embodiments of the present invention will be described below with reference to the drawings.

本発明の実施例では、パケットを転送するネットワークタップ装置と、ネットワークタップ装置にて転送されるパケットに対してセキュリティ対処ルールを設定するアクセス制御装置とを有するセキュリティ対処システムにおいて、パケット分析装置及びセキュリティ対処管理装置を用いて、マルチベクトル型DDoS攻撃などに対するセキュリティ対処の向上を図る手法について説明する。   In an embodiment of the present invention, in a security countermeasure system having a network tap device for transferring a packet and an access control device for setting a security countermeasure rule for the packet transferred by the network tap device, the packet analyzer and the security A method for improving security countermeasures against multi-vector DDoS attacks using a countermeasure management apparatus will be described.

図2は、本発明の実施例に係るセキュリティ対処システムの概略図である。セキュリティ対処システムは、キャリアネットワークまたはISP事業者ネットワークのような大規模ネットワークに適用され、DDoS攻撃などに対するセキュリティ対処を実施する。セキュリティ対処システムは、ネットワークタップ装置100と、アクセス制御装置200と、パケット分析装置300と、セキュリティ対処管理装置400とを有する。   FIG. 2 is a schematic diagram of a security countermeasure system according to an embodiment of the present invention. The security countermeasure system is applied to a large-scale network such as a carrier network or an ISP carrier network, and implements a security countermeasure against a DDoS attack. The security countermeasure system includes a network tap device 100, an access control device 200, a packet analysis device 300, and a security countermeasure management device 400.

ネットワークタップ装置100は、各ユーザ端末から受信したパケットを送信先のサーバなどに転送するルータなどの装置である。セキュリティ対処を実施するため、ネットワークタップ装置100は、受信したパケットをコピーして送信する機能を有する。   The network tap device 100 is a device such as a router that transfers a packet received from each user terminal to a destination server. In order to implement security measures, the network tap device 100 has a function of copying and transmitting a received packet.

アクセス制御装置200は、ネットワークタップ装置100にて転送されるパケットに対してセキュリティ対処を実施するファイアウォールなどの装置である。アクセス制御装置200は、オペレータなどにより入力されたセキュリティ対処ルールに基づき、レート制限、遮断などのセキュリティ対処を実施する。   The access control device 200 is a device such as a firewall that performs security countermeasures on packets transferred by the network tap device 100. The access control device 200 performs security countermeasures such as rate limiting and blocking based on the security countermeasure rules input by an operator or the like.

パケット分析装置300は、ネットワークタップ装置100から転送されたパケットを受信し、当該パケットに対してセキュリティ対処を実施するべきか否かを分析する装置である。例えば、パケット分析装置300は、シグネイチャ情報(通信、送信元/送信先IPアドレス、送信元/送信先ポート、プロトコル番号など)及びペイロードを分析して、パケットがセキュリティ対処を実施すべき攻撃パケットであるか否かを分析する。パケット分析装置300は、オフラインでパケットを分析し、その分析結果であるアラート情報をセキュリティ対処管理装置400に通知する。アラート情報には、アクセス制御装置200においてパケットが誤遮断されたことを示す誤遮断検知アラートと、パケットに対してセキュリティ対処を実施すべきであることを示す攻撃検知アラートと、パケットに対してセキュリティ対処を実施すべきでないことを示す正常検知アラートとが含まれる。   The packet analysis device 300 is a device that receives a packet transferred from the network tap device 100 and analyzes whether or not security countermeasures should be performed on the packet. For example, the packet analysis device 300 analyzes signature information (communication, transmission source / destination IP address, transmission source / destination port, protocol number, etc.) and payload, and the packet is an attack packet to be subjected to security countermeasures. Analyze whether there is. The packet analysis device 300 analyzes the packet offline and notifies the security countermeasure management device 400 of the alert information that is the analysis result. The alert information includes a false blocking detection alert indicating that the packet has been erroneously blocked in the access control apparatus 200, an attack detection alert indicating that security countermeasures should be performed on the packet, and a security for the packet. And a normal detection alert indicating that no action should be taken.

セキュリティ対処管理装置400は、セキュリティ対処の設定及び管理を行う装置であり、パケット分析装置300から分析結果を受信し、当該分析結果に基づいてセキュリティ対処ルールを設計し、アクセス制御装置200に対してセキュリティ対処ルールを指示する。また、セキュリティ対処管理装置400は、オペレータなどによりセキュリティ対処ルールが入力された場合、アクセス制御装置200に対して当該入力されたセキュリティ対処ルールを指示する。その結果、アクセス制御装置200でのセキュリティ対処設定が自動で変更される。   The security countermeasure management device 400 is a device for setting and managing security countermeasures. The security countermeasure management device 400 receives an analysis result from the packet analysis device 300, designs a security countermeasure rule based on the analysis result, and controls the access control device 200. Direct security countermeasure rules. Further, when a security countermeasure rule is input by an operator or the like, the security countermeasure management apparatus 400 instructs the input security countermeasure rule to the access control apparatus 200. As a result, the security countermeasure setting in the access control device 200 is automatically changed.

図3は、本発明の実施例に係るセキュリティ対処システムにおける処理を示すフローチャートである。   FIG. 3 is a flowchart showing processing in the security countermeasure system according to the embodiment of the present invention.

まず、攻撃検知情報に対してオペレータがセキュリティ対処ルールを設定する。セキュリティ対処ルールは、シグネイチャ情報(送信元/送信先IPアドレス、送信元/送信先ポート、プロトコル番号など)と、シグネイチャ情報に対するパケットの遮断又はレート制限などのセキュリティ対処情報とを含む。セキュリティ対処ルールは、オペレータがアクセス制御装置200に入力することによって設定されてもよく、オペレータがセキュリティ対処管理装置400に入力してセキュリティ対処管理装置400からアクセス制御装置200に設定されてもよい。以下では、セキュリティ対処管理装置400からアクセス制御装置200に設定される場合について説明する。   First, an operator sets a security countermeasure rule for attack detection information. The security countermeasure rule includes signature information (source / destination IP address, source / destination port, protocol number, etc.) and security countermeasure information such as blocking or rate limiting of the packet with respect to the signature information. The security countermeasure rule may be set when an operator inputs to the access control apparatus 200, or may be set by the operator from the security countermeasure management apparatus 400 to the access control apparatus 200 by inputting to the security countermeasure management apparatus 400. Hereinafter, a case where the security countermeasure management apparatus 400 sets the access control apparatus 200 will be described.

セキュリティ対処管理装置400は、アクセス制御装置200に対してセキュリティ対処ルールを指示する(S101)。   The security countermeasure management apparatus 400 instructs a security countermeasure rule to the access control apparatus 200 (S101).

アクセス制御装置200は、セキュリティ対処管理装置400から指示されたセキュリティ対処ルールを反映する(S103)。   The access control apparatus 200 reflects the security countermeasure rule instructed from the security countermeasure management apparatus 400 (S103).

ネットワークタップ装置100は、パケットを受信する毎に、コピーしたパケットをパケット分析装置300に送信する(S105)。パケット分析装置300による分析のため、ネットワークタップ装置100は、セキュリティ対処前のパケットに加えて、セキュリティ対処後のパケットもパケット分析装置300に送信してもよい。   Every time the network tap device 100 receives a packet, the network tap device 100 transmits the copied packet to the packet analysis device 300 (S105). For the analysis by the packet analysis device 300, the network tap device 100 may transmit the packet after the security countermeasure to the packet analysis device 300 in addition to the packet before the security countermeasure.

パケット分析装置300は、パケットを分析し(S107)、誤遮断又は攻撃を検知する(S109)。誤遮断又は攻撃を検知しない場合(S111:NO)、パケットの分析を続ける。誤遮断又は攻撃を検知した場合(S111:YES)、パケット分析装置300は、セキュリティ対処管理装置400に対してアラート情報を送信する。なお、正常パケットである場合にも、パケット分析装置300は、正常パケットであることを示すアラート情報をセキュリティ対処管理装置400に送信してもよい。   The packet analysis device 300 analyzes the packet (S107) and detects a false block or an attack (S109). If no false block or attack is detected (S111: NO), packet analysis continues. When an erroneous block or attack is detected (S111: YES), the packet analysis device 300 transmits alert information to the security countermeasure management device 400. Even when the packet is a normal packet, the packet analysis device 300 may transmit alert information indicating the normal packet to the security countermeasure management device 400.

セキュリティ対処管理装置400は、アラート情報からセキュリティ対処ルールを設計し(S113)、アクセス制御装置200に対してセキュリティ対処ルールを指示する(S115)。アクセス制御装置200は、セキュリティ対処管理装置400から指示されたセキュリティ対処ルールを反映する(S103)。   The security countermeasure management device 400 designs a security countermeasure rule from the alert information (S113), and instructs the access control device 200 of the security countermeasure rule (S115). The access control apparatus 200 reflects the security countermeasure rule instructed from the security countermeasure management apparatus 400 (S103).

図4は、本発明の実施例に係るセキュリティ対処システムの機能構成図である。   FIG. 4 is a functional configuration diagram of the security countermeasure system according to the embodiment of the present invention.

ネットワークタップ装置100は、パケット転送部101と、転送制御部102とを有する。パケット転送部101は、受信したパケットを送信先に転送すると共に、受信したパケットをコピーしてパケット分析装置300に転送する。転送制御部102は、アクセス制御装置200からの指示に基づき、パケットの転送先を制御する。   The network tap device 100 includes a packet transfer unit 101 and a transfer control unit 102. The packet transfer unit 101 transfers the received packet to the transmission destination, copies the received packet, and transfers it to the packet analysis device 300. The transfer control unit 102 controls a packet transfer destination based on an instruction from the access control apparatus 200.

アクセス制御装置200は、遮断判断部201と、対処ルール管理部202と、対処ルール受信部203と、ログ生成部204と、ログ管理部205とを有する。遮断判断部201は、セキュリティ対処ルールに基づき、レート制限、遮断などのセキュリティ対処を実施する。対処ルール管理部202は、遮断判断部201に対してセキュリティ対処ルールを設定する。対処ルール受信部203は、セキュリティ対処管理装置400からセキュリティ対処ルールを受信する。ログ生成部204は、対処ルール管理部202が設定したセキュリティ対処ルールをログとして生成し、ログ管理部205に格納する。また、遮断判断部201においてレート制限、遮断されたパケットをログ管理部205に格納してもよい。   The access control device 200 includes a blocking determination unit 201, a handling rule management unit 202, a handling rule reception unit 203, a log generation unit 204, and a log management unit 205. The blocking determination unit 201 performs security countermeasures such as rate limiting and blocking based on the security countermeasure rules. The handling rule management unit 202 sets a security handling rule for the blocking determination unit 201. The countermeasure rule receiving unit 203 receives a security countermeasure rule from the security countermeasure management apparatus 400. The log generation unit 204 generates a security countermeasure rule set by the countermeasure rule management unit 202 as a log and stores the log in the log management unit 205. Further, the rate limiting and blocked packets in the blocking determination unit 201 may be stored in the log management unit 205.

パケット分析装置300は、パケット受信部301と、パケット管理部302と、誤遮断検知部303と、攻撃検知部304と、分析結果通知部305とを有する。パケット受信部301は、ネットワークタップ装置100から転送されたパケットを受信し、パケット管理部302に格納する。誤遮断検知部303は、アクセス制御装置200においてパケットが誤遮断されたことを検知する。攻撃検知部304は、アクセス制御装置200においてレート制限、誤遮断すべき攻撃パケットを検知する。なお、誤遮断検知部303及び攻撃検知部304は、パケット管理部302に格納されたパケットをオフラインで分析することができる。分析結果通知部305は、誤遮断検知部303及び攻撃検知部304による分析結果をセキュリティ対処管理装置400に通知する。   The packet analysis device 300 includes a packet reception unit 301, a packet management unit 302, an erroneous blockage detection unit 303, an attack detection unit 304, and an analysis result notification unit 305. The packet receiving unit 301 receives the packet transferred from the network tap device 100 and stores it in the packet management unit 302. The erroneous block detection unit 303 detects that a packet is erroneously blocked in the access control apparatus 200. The attack detection unit 304 detects attack packets that should be rate limited and erroneously blocked in the access control apparatus 200. The false blocking detection unit 303 and the attack detection unit 304 can analyze the packets stored in the packet management unit 302 offline. The analysis result notification unit 305 notifies the security countermeasure management apparatus 400 of the analysis results obtained by the false blocking detection unit 303 and the attack detection unit 304.

セキュリティ対処管理装置400は、対処設定部401と、イベント受信部402と、対処設計部403と、対処管理部404と、対処指示部405とを有する。対処設定部401は、オペレータなどにより入力されたセキュリティ対処ルールを設定する。イベント受信部402は、パケット分析装置300から分析結果を受信する。対処設計部403は、分析結果に基づいてセキュリティ対処ルールを設計する。対処管理部404は、対処設定部401及び対処設計部403において設定されたセキュリティ対処ルールを管理する。対処指示部405は、アクセス制御装置200に対してセキュリティ対処ルールを指示する。   The security countermeasure management apparatus 400 includes a countermeasure setting unit 401, an event reception unit 402, a countermeasure design unit 403, a countermeasure management unit 404, and a countermeasure instruction unit 405. The countermeasure setting unit 401 sets a security countermeasure rule input by an operator or the like. The event receiving unit 402 receives the analysis result from the packet analysis device 300. The countermeasure design unit 403 designs a security countermeasure rule based on the analysis result. The countermeasure management unit 404 manages security countermeasure rules set in the countermeasure setting unit 401 and the countermeasure design unit 403. The handling instruction unit 405 instructs a security handling rule to the access control apparatus 200.

それぞれの機能について以下の実施例1〜実施例3において更に詳細に説明する。   Each function will be described in more detail in Examples 1 to 3 below.

<実施例1>
本発明の実施例1では、パケット分析装置300でアクセス制御装置200において誤遮断したパケットを検知し、セキュリティ対処管理装置400によって自動でアクセス制御装置200のセキュリティ対処内容を変更する手順について説明する。 <Example 1>
In the first embodiment of the present invention, a procedure will be described in which a packet analysis device 300 detects a packet that is erroneously blocked in the access control device 200, and the security countermeasure management device 400 automatically changes the security countermeasure content of the access control device 200.

ネットワークタップ装置100のパケット転送部101は、セキュリティ対処前のパケットをコピーし、パケット分析装置300に送信する(S201)。当該パケットは、アクセス制御装置200の遮断判断部201において、必要に応じてセキュリティ対処が実施される(S203)。アクセス制御装置200の遮断判断部201においてセキュリティ対処が実施された場合、ネットワークタップ装置100のパケット転送部101は、セキュリティ対処後のパケットをコピーし、パケット分析装置300に送信する(S205)。   The packet transfer unit 101 of the network tap device 100 copies the packet before security countermeasure and transmits it to the packet analysis device 300 (S201). The packet is subjected to security countermeasures as necessary in the blocking determination unit 201 of the access control apparatus 200 (S203). When the security countermeasure is implemented in the blocking determination unit 201 of the access control apparatus 200, the packet transfer unit 101 of the network tap apparatus 100 copies the packet after the security countermeasure and transmits it to the packet analysis apparatus 300 (S205).

パケット分析装置300は、パケット受信部301においてネットワークタップ装置100からセキュリティ対処前後のパケットを受信し、パケット管理部302に格納する。その後、パケット分析装置300の誤遮断検知部303は、オフラインでセキュリティ対処前後のパケットを比較し、誤遮断パケットを検知する(S207)。例えば、誤遮断検知部303は、セキュリティ対処前後のパケットのシグネイチャ情報及びペイロードから、セキュリティ対処が実施されるべきでないパケットにセキュリティ対処が行われているかを検知する。誤遮断検知部303において誤遮断パケットが検知された場合、分析結果通知部305は、誤遮断検知アラートをセキュリティ対処管理装置400に通知する(S209)。   In the packet analysis device 300, the packet reception unit 301 receives the packets before and after the security countermeasure from the network tap device 100 and stores them in the packet management unit 302. Thereafter, the erroneous blocking detection unit 303 of the packet analysis device 300 compares the packets before and after the security countermeasure offline to detect the erroneous blocking packet (S207). For example, the erroneous blocking detection unit 303 detects whether security countermeasures are being performed on packets that should not be subjected to security countermeasures, from the signature information and payloads of packets before and after the security countermeasures. When an erroneous blocking packet is detected by the erroneous blocking detection unit 303, the analysis result notification unit 305 notifies the security countermeasure management device 400 of an erroneous blocking detection alert (S209).

セキュリティ対処管理装置400のイベント受信部402が誤遮断検知アラートを受信すると、対処設計部403は、誤遮断検知アラートに基づいてセキュリティ対処ルールを設計し、設計したセキュリティ対処ルールを対処管理部404において管理する(S211)。例えば、対処設計部403は、誤遮断と判断されたパケットに対する遮断又はレート制限を解除するためのセキュリティ対処ルールを設計する。対処指示部405は、アクセス制御装置200に対してセキュリティ対処ルールを指示する(S213)。   When the event reception unit 402 of the security countermeasure management device 400 receives the erroneous blockage detection alert, the countermeasure design unit 403 designs a security countermeasure rule based on the erroneous blockage detection alert, and the designed security countermeasure rule is displayed in the countermeasure management unit 404. Manage (S211). For example, the countermeasure design unit 403 designs a security countermeasure rule for releasing blocking or rate limiting for a packet determined to be erroneously blocked. The handling instruction unit 405 instructs a security handling rule to the access control device 200 (S213).

アクセス制御装置200は、対処ルール受信部203においてセキュリティ対処ルールを受信し、対処ルール管理部202においてセキュリティ対処ルールを設定する(S215)。遮断判断部201は、設定されたセキュリティ対処ルールに基づいてパケットを遮断又はレート制限する(S217)。   In the access control device 200, the countermeasure rule receiving unit 203 receives the security countermeasure rule, and the countermeasure rule managing unit 202 sets the security countermeasure rule (S215). The blocking determination unit 201 blocks or rate-limits the packet based on the set security countermeasure rule (S217).

この手順により、ユーザパケットの誤遮断を減少させることができる。   This procedure can reduce erroneous interception of user packets.

<実施例2>
本発明の実施例2では、パケット分析装置300でアクセス制御装置200において見逃したパケットを検知し、セキュリティ対処管理装置400によって新しいセキュリティ対処ルールをアクセス制御装置200に追加する手順について説明する。 <Example 2>
In the second embodiment of the present invention, a procedure for detecting a packet missed in the access control apparatus 200 by the packet analysis apparatus 300 and adding a new security countermeasure rule to the access control apparatus 200 by the security countermeasure management apparatus 400 will be described.

アクセス制御装置200の遮断判断部201は、ネットワークタップ装置100にて転送されるパケットに対して、必要に応じてセキュリティ対処を実施する(S303)。   The blocking determination unit 201 of the access control device 200 performs security countermeasures on the packets transferred by the network tap device 100 as necessary (S303).

ネットワークタップ装置100のパケット転送部101は、セキュリティ対処後のパケットをコピーし、パケット分析装置300に送信する(S305)。   The packet transfer unit 101 of the network tap device 100 copies the packet after the security countermeasure and transmits it to the packet analysis device 300 (S305).

パケット分析装置300は、パケット受信部301においてネットワークタップ装置100からセキュリティ対処後のパケットを受信し、パケット管理部302に格納する。その後、パケット分析装置300の攻撃検知部304は、オフラインでセキュリティ対処が行われていない攻撃パケットを検知する(S307)。例えば、攻撃検知部304は、DPI(Deep Packet Inspection)などによって攻撃パケットを検知する。攻撃検知部304において攻撃パケットが検知された場合、分析結果通知部305は、攻撃検知アラートをセキュリティ対処管理装置400に通知する(S309)。   In the packet analysis device 300, the packet receiving unit 301 receives the security-treated packet from the network tap device 100 and stores it in the packet management unit 302. Thereafter, the attack detection unit 304 of the packet analysis device 300 detects an attack packet for which security countermeasures are not performed offline (S307). For example, the attack detection unit 304 detects an attack packet by DPI (Deep Packet Inspection) or the like. When an attack packet is detected by the attack detection unit 304, the analysis result notification unit 305 notifies the security countermeasure management apparatus 400 of an attack detection alert (S309).

セキュリティ対処管理装置400のイベント受信部402が攻撃検知アラートを受信すると、対処設計部403は、攻撃検知アラートに基づいてセキュリティ対処ルールを設計し、設計したセキュリティ対処ルールを対処管理部404において管理する(S311)。例えば、対処設計部403は、攻撃パケットに対する遮断又はレート制限を実施するためのセキュリティ対処ルールを設計する。対処指示部405は、アクセス制御装置200に対してセキュリティ対処ルールを指示する(S313)。   When the event reception unit 402 of the security countermeasure management device 400 receives an attack detection alert, the countermeasure design unit 403 designs a security countermeasure rule based on the attack detection alert, and the designed security countermeasure rule is managed by the countermeasure management unit 404. (S311). For example, the countermeasure design unit 403 designs a security countermeasure rule for implementing blocking or rate limiting for attack packets. The handling instruction unit 405 instructs a security handling rule to the access control apparatus 200 (S313).

アクセス制御装置200は、対処ルール受信部203においてセキュリティ対処ルールを受信し、対処ルール管理部202においてセキュリティ対処ルールを設定する(S315)。遮断判断部201は、設定されたセキュリティ対処ルールに基づいて、攻撃パケットを遮断又はレート制限する(S317)。   The access control device 200 receives the security handling rule at the handling rule reception unit 203, and sets the security handling rule at the handling rule management unit 202 (S315). The blocking determination unit 201 blocks or limits the attack packet based on the set security countermeasure rule (S317).

この手順により、攻撃パケットを減少させることができる。   By this procedure, attack packets can be reduced.

<実施例3>
本発明の実施例3では、パケット分析装置300でパケット分析することで正常なパケットを送信するユーザを判別し、正常なユーザを通過できるように、セキュリティ対処管理装置400で新しいセキュリティ対処ルールをアクセス制御装置200に設定する手順について説明する。 <Example 3>
In the third embodiment of the present invention, the security analysis management device 400 accesses a new security countermeasure rule so as to determine a user who transmits a normal packet by performing packet analysis with the packet analysis apparatus 300 and pass the normal user. A procedure for setting the control device 200 will be described.

ネットワークタップ装置100のパケット転送部101は、セキュリティ対処前のパケットをコピーし、パケット分析装置300に送信する(S401)。当該パケットは、アクセス制御装置200の遮断判断部201において、必要に応じてセキュリティ対処が実施される(S403)。   The packet transfer unit 101 of the network tap device 100 copies the packet before security countermeasure and transmits it to the packet analysis device 300 (S401). The packet is subjected to security countermeasures as necessary in the blocking determination unit 201 of the access control apparatus 200 (S403).

パケット分析装置300は、パケット受信部301においてネットワークタップ装置100からセキュリティ対処前のパケットを受信し、パケット管理部302に格納する。その後、パケット分析装置300の攻撃検知部304は、オフラインでセキュリティ対処が実施されるべきでない正常パケットを検知する(S407)。例えば、攻撃検知部304は、DPI(Deep Packet Inspection)などによって正常パケットと攻撃パケットを判別する。攻撃検知部304において正常パケットが検知された場合、分析結果通知部305は、正常検知アラートをセキュリティ対処管理装置400に通知する(S409)。   In the packet analysis device 300, the packet reception unit 301 receives a packet before security countermeasure from the network tap device 100 and stores it in the packet management unit 302. Thereafter, the attack detection unit 304 of the packet analysis device 300 detects a normal packet that should not be subjected to security countermeasures offline (S407). For example, the attack detection unit 304 determines a normal packet and an attack packet by DPI (Deep Packet Inspection) or the like. If the attack detection unit 304 detects a normal packet, the analysis result notification unit 305 notifies the security countermeasure management device 400 of a normal detection alert (S409).

セキュリティ対処管理装置400のイベント受信部402が正常検知アラートを受信すると、対処設計部403は、正常検知アラートに基づいてセキュリティ対処ルールを設計し、設計したセキュリティ対処ルールを対処管理部404において管理する(S411)。例えば、対処設計部403は、正常パケットに対する遮断又はレート制限を実施せずに通過させるためのセキュリティ対処ルールを設計する。対処指示部405は、アクセス制御装置200に対してセキュリティ対処ルールを指示する(S413)。   When the event reception unit 402 of the security countermeasure management device 400 receives a normal detection alert, the countermeasure design unit 403 designs a security countermeasure rule based on the normal detection alert, and the designed security countermeasure rule is managed by the countermeasure management unit 404. (S411). For example, the countermeasure design unit 403 designs a security countermeasure rule for passing a normal packet without blocking or rate limiting. The handling instruction unit 405 instructs a security handling rule to the access control apparatus 200 (S413).

アクセス制御装置200は、対処ルール受信部203においてセキュリティ対処ルールを受信し、対処ルール管理部202においてセキュリティ対処ルールを設定する(S415)。遮断判断部201は、設定されたセキュリティ対処ルールに基づいて、正常パケットを通過させる(S417)。   In the access control device 200, the countermeasure rule receiving unit 203 receives the security countermeasure rule, and the countermeasure rule managing unit 202 sets the security countermeasure rule (S415). The blocking determination unit 201 allows the normal packet to pass based on the set security countermeasure rule (S417).

この手順により、正常パケットを送信するユーザ数を増加させることができる。   By this procedure, the number of users who transmit normal packets can be increased.

<本発明の実施例による効果>
従来技術では、セキュリティ対処ルールの設定ミスにより誤遮断や攻撃パケットの見逃しが発生する。また、誤設定時の対処変更に時間が掛かり、設定変更にもオペレータの介入が必要であった。 <Effects of Examples of the Present Invention>
In the prior art, erroneous blocking or missed attack packets occur due to a mistake in setting security countermeasure rules. In addition, it takes time to change the countermeasure when an error is set, and operator intervention is also required to change the setting.

一方、本発明の実施例によれば、誤遮断や見逃しの可能性があるパケットをパケット分析装置で分析・検知し、アクセス制御装置にフィードバックすることで、従来技術に比べて、既存システムのスループット要件を満たし、かつセキュリティ対処性能を向上させることが可能になる。また、ネットワーク上のパケット分析装置で検知・フィードバックすることで、アクセス制御装置でのセキュリティ対処内容を自動で変更することができる。   On the other hand, according to the embodiment of the present invention, the packet analysis device analyzes and detects a packet that may be missed or missed, and feeds it back to the access control device. It becomes possible to satisfy the requirements and improve the security performance. Further, the security countermeasure contents in the access control apparatus can be automatically changed by detecting and feeding back the packet analysis apparatus on the network.

本発明の実施例に係るシステムは、キャリアネットワークまたはISP事業者ネットワークのような大規模ネットワークに適用可能であり、このような大規模ネットワーク上でアプリケーションレイヤ型攻撃を検知・フィードバックし、アクセス制御装置でのセキュリティ対処が可能である。また、攻撃者が属するネットワーク側でのアプリケーションレイヤ攻撃の検知が可能である。   The system according to the embodiment of the present invention can be applied to a large-scale network such as a carrier network or an ISP carrier network, detects and feeds back an application layer type attack on such a large-scale network, and an access control device Security measures can be taken. It is also possible to detect an application layer attack on the network side to which the attacker belongs.

更に、セキュリティ対処の段階的な設定変更をでき、例えば、セキュリティ対処レベルを徐々に強固にする、特定のユーザを通過する設定に変更するなど柔軟な対処変更を実施できる。   Furthermore, it is possible to change the setting of security countermeasures step by step, and for example, it is possible to implement flexible countermeasure changes such as gradually increasing the security countermeasure level or changing to a setting that passes a specific user.

<ハードウェア構成例>
図8に、本発明の実施例に係るアクセス制御装置200、パケット分析装置300又はセキュリティ対処管理装置400のハードウェア構成例を示す。アクセス制御装置200、パケット分析装置300又はセキュリティ対処管理装置400は、CPU(Central Processing Unit)151等のプロセッサ、RAM(Random Access Memory)やROM(Read Only Memory)等のメモリ装置152、ハードディスク等の記憶装置153等から構成されたコンピュータでもよい。例えば、アクセス制御装置200、パケット分析装置300又はセキュリティ対処管理装置400の機能及び処理は、記憶装置153又はメモリ装置152に格納されているデータやプログラムをCPU151が実行することによって実現される。また、アクセス制御装置200、パケット分析装置300又はセキュリティ対処管理装置400に必要な情報は、入出力インタフェース装置154から入力され、アクセス制御装置200、パケット分析装置300又はセキュリティ対処管理装置400において求められた結果は、入出力インタフェース装置154から出力されてもよい。 <Hardware configuration example>
FIG. 8 illustrates a hardware configuration example of the access control device 200, the packet analysis device 300, or the security countermeasure management device 400 according to the embodiment of the present invention. The access control device 200, the packet analysis device 300, or the security countermeasure management device 400 includes a processor such as a CPU (Central Processing Unit) 151, a memory device 152 such as a RAM (Random Access Memory) and a ROM (Read Only Memory), a hard disk, etc. A computer including the storage device 153 or the like may be used. For example, the functions and processing of the access control device 200, the packet analysis device 300, or the security countermeasure management device 400 are realized by the CPU 151 executing data and programs stored in the storage device 153 or the memory device 152. Information necessary for the access control device 200, the packet analysis device 300, or the security countermeasure management device 400 is input from the input / output interface device 154, and is obtained by the access control device 200, the packet analysis device 300, or the security countermeasure management device 400. The result may be output from the input / output interface device 154.

また、ネットワークタップ装置100はルータなどの通信装置であるが、図8と同様のハードウェアで構成されてもよい。   The network tap device 100 is a communication device such as a router, but may be configured by hardware similar to that shown in FIG.

<補足>
説明の便宜上、本発明の実施例に係るセキュリティ対処システムは機能的なブロック図を用いて説明しているが、本発明の実施例に係るセキュリティ対処システムは、ハードウェア、ソフトウェア又はそれらの組み合わせで実現されてもよい。例えば、本発明の実施例は、コンピュータに対して本発明の実施例に係るセキュリティ対処システムの機能を実現させるプログラム、コンピュータに対して本発明の実施例に係る方法の各手順を実行させるプログラム等により、実現されてもよい。また、各機能部が必要に応じて組み合わせて使用されてもよい。また、本発明の実施例に係る方法は、実施例に示す順序と異なる順序で実施されてもよい。 <Supplement>
For convenience of explanation, the security countermeasure system according to the embodiment of the present invention is described using a functional block diagram. However, the security countermeasure system according to the embodiment of the present invention may be hardware, software, or a combination thereof. It may be realized. For example, an embodiment of the present invention includes a program that causes a computer to implement the functions of the security countermeasure system according to the embodiment of the present invention, a program that causes a computer to execute each procedure of the method according to the embodiment of the present invention, etc. May be realized. In addition, the functional units may be used in combination as necessary. In addition, the method according to the embodiment of the present invention may be performed in an order different from the order shown in the embodiment.

以上、セキュリティ対処におけるスループットを確保しつつ、セキュリティ対処性能を向上させるための手法について説明したが、本発明は、上記の実施例に限定されることなく、特許請求の範囲内において、種々の変更・応用が可能である。   As described above, the method for improving the security countermeasure performance while ensuring the throughput in the security countermeasure has been described. However, the present invention is not limited to the above-described embodiments, and various modifications are within the scope of the claims.・ Applicable.

100 ネットワークタップ装置
101 パケット転送部
102 転送制御部
200 アクセス制御装置
201 遮断判断部
202 対処ルール管理部
203 対処ルール受信部
204 ログ生成部
205 ログ管理部
300 パケット分析装置
301 パケット受信部
302 パケット管理部
303 誤遮断検知部
304 攻撃検知部
305 分析結果通知部
400 セキュリティ対処管理装置
401 対処設定部
402 イベント受信部
403 対処設計部
404 対処管理部
405 対処指示部
151 CPU
152 メモリ装置
153 記憶装置
154 入出力インタフェース装置 DESCRIPTION OF SYMBOLS 100 Network tap apparatus 101 Packet transfer part 102 Transfer control part 200 Access control apparatus 201 Blocking judgment part 202 Dealing rule management part 203 Dealing rule receiving part 204 Log generation part 205 Log management part 300 Packet analysis apparatus 301 Packet receiving part 302 Packet management part 303 False interception detection unit 304 Attack detection unit 305 Analysis result notification unit 400 Security countermeasure management device 401 Countermeasure setting unit 402 Event reception unit 403 Countermeasure design unit 404 Countermeasure management unit 405 Countermeasure instruction unit 151 CPU
152 Memory device 153 Storage device 154 Input / output interface device

Claims (5)

パケットを転送するネットワークタップ装置と、当該ネットワークタップ装置にて転送されるパケットに対してセキュリティ対処を実施するアクセス制御装置とを有するセキュリティ対処システムであって、
前記ネットワークタップ装置から転送されたパケットを受信し、当該パケットに対してセキュリティ対処を実施するべきか否かを分析するパケット分析装置と、
前記パケット分析装置から分析結果を受信し、当該分析結果に基づいてセキュリティ対処ルールを設計し、前記アクセス制御装置に対して当該セキュリティ対処ルールを指示するセキュリティ対処管理装置と、
を有し、
前記パケット分析装置は、
前記ネットワークタップ装置からセキュリティ対処前後のパケットを受信するパケット受信部と、
前記受信したセキュリティ対処前後のパケットを比較し、誤遮断パケットを検知する誤遮断検知部と、
前記検知した誤遮断パケットの分析結果を前記セキュリティ対処管理装置に通知する分析結果通知部と、
を有し、
前記セキュリティ対処管理装置は、
前記パケット分析装置から分析結果を受信する受信部と、
前記分析結果に基づいてセキュリティ対処ルールを設計する対処設計部と、
前記アクセス制御装置に対して前記セキュリティ対処ルールを指示する対処指示部と、
を有する、セキュリティ対処システム。 A security countermeasure system having a network tap device for transferring packets and an access control device for implementing security countermeasures for packets transferred by the network tap device,
A packet analysis device that receives a packet transferred from the network tap device and analyzes whether or not security countermeasures should be performed on the packet;
A security countermeasure management apparatus that receives an analysis result from the packet analysis apparatus, designs a security countermeasure rule based on the analysis result, and instructs the access control apparatus of the security countermeasure rule;
I have a,
The packet analyzer is
A packet receiver for receiving packets before and after security countermeasures from the network tap device;
Comparing the received packets before and after security countermeasures, and an erroneous blocking detection unit for detecting erroneous blocking packets;
An analysis result notifying unit for notifying the security countermeasure management device of an analysis result of the detected erroneous blocking packet;
Have
The security countermeasure management device includes:
A receiving unit for receiving an analysis result from the packet analysis device;
A countermeasure design unit that designs a security countermeasure rule based on the analysis result;
A handling instruction unit for instructing the security handling rule to the access control device;
Having a security handling system. パケットを転送するネットワークタップ装置と、当該ネットワークタップ装置にて転送されるパケットに対してセキュリティ対処を実施するアクセス制御装置とを有するセキュリティ対処システムであって、  A security countermeasure system having a network tap device for transferring packets and an access control device for implementing security countermeasures for packets transferred by the network tap device,
前記ネットワークタップ装置から転送されたパケットを受信し、当該パケットに対してセキュリティ対処を実施するべきか否かを分析するパケット分析装置と、  A packet analysis device that receives a packet transferred from the network tap device and analyzes whether or not security countermeasures should be performed on the packet;
前記パケット分析装置から分析結果を受信し、当該分析結果に基づいてセキュリティ対処ルールを設計し、前記アクセス制御装置に対して当該セキュリティ対処ルールを指示するセキュリティ対処管理装置と、  A security countermeasure management apparatus that receives an analysis result from the packet analysis apparatus, designs a security countermeasure rule based on the analysis result, and instructs the access control apparatus of the security countermeasure rule;
を有し、  Have
前記パケット分析装置は、  The packet analyzer is
前記ネットワークタップ装置からセキュリティ対処前のパケットを受信するパケット受信部と、  A packet receiving unit for receiving a packet before security countermeasure from the network tap device;
前記受信したパケットから、セキュリティ対処を実施すべきでない正常パケットを検知する攻撃検知部と、  An attack detection unit that detects a normal packet that should not be subjected to security countermeasures from the received packet;
前記検知した正常パケットの分析結果を前記セキュリティ対処管理装置に通知する分析結果通知部と、  An analysis result notifying unit for notifying the security countermeasure management device of an analysis result of the detected normal packet;
を有し、  Have
前記セキュリティ対処管理装置は、  The security countermeasure management device includes:
前記パケット分析装置から分析結果を受信する受信部と、  A receiving unit for receiving an analysis result from the packet analysis device;
前記分析結果に基づいてセキュリティ対処ルールを設計する対処設計部と、  A countermeasure design unit that designs a security countermeasure rule based on the analysis result;
前記アクセス制御装置に対して前記セキュリティ対処ルールを指示する対処指示部と、  A handling instruction unit for instructing the security handling rule to the access control device;
を有する、セキュリティ対処システム。  Having a security handling system. 前記セキュリティ対処管理装置は、セキュリティ対処ルールが入力された場合、前記アクセス制御装置に対して当該入力されたセキュリティ対処ルールを指示する、請求項1又は2に記載のセキュリティ対処システム。 The security countermeasure system according to claim 1 or 2 , wherein when a security countermeasure rule is input, the security countermeasure management apparatus instructs the input control countermeasure rule to the access control apparatus. パケットを転送するネットワークタップ装置と、当該ネットワークタップ装置にて転送されるパケットに対してセキュリティ対処を実施するアクセス制御装置とを有するセキュリティ対処システムにおけるセキュリティ対処方法であって、
パケット分析装置が、前記ネットワークタップ装置から転送されたパケットを受信し、当該パケットに対してセキュリティ対処を実施するべきか否かを分析するステップと、
セキュリティ対処管理装置が、前記パケット分析装置から分析結果を受信し、当該分析結果に基づいてセキュリティ対処ルールを設計し、前記アクセス制御装置に対して当該セキュリティ対処ルールを指示するステップと、
を有し、
前記分析するステップにおいて、
前記パケット分析装置が、前記ネットワークタップ装置からセキュリティ対処前後のパケットを受信し、
前記パケット分析装置が、前記受信したセキュリティ対処前後のパケットを比較し、誤遮断パケットを検知し、
前記パケット分析装置が、前記検知した誤遮断パケットの分析結果を前記セキュリティ対処管理装置に通知し、
前記指示するステップにおいて、
前記セキュリティ対処管理装置が、前記パケット分析装置から分析結果を受信し、
前記セキュリティ対処管理装置が、前記分析結果に基づいてセキュリティ対処ルールを設計し、
前記セキュリティ対処管理装置が、前記アクセス制御装置に対して前記セキュリティ対処ルールを指示する、セキュリティ対処方法。 A security coping method in a security coping system having a network tap device that transfers a packet and an access control device that performs security coping with the packet transferred by the network tap device,
A packet analysis device receiving a packet transferred from the network tap device, and analyzing whether the packet should be subjected to security measures;
A security countermeasure management device receiving an analysis result from the packet analyzer, designing a security countermeasure rule based on the analysis result, and instructing the security countermeasure rule to the access control device;
I have a,
In the analyzing step,
The packet analyzer receives packets before and after security measures from the network tap device;
The packet analysis device compares the received packets before and after the security countermeasure, detects a false blocking packet,
The packet analysis device notifies the security countermeasure management device of the analysis result of the detected erroneous blocking packet,
In the instructing step,
The security countermeasure management device receives an analysis result from the packet analysis device;
The security countermeasure management device designs a security countermeasure rule based on the analysis result,
A security countermeasure method in which the security countermeasure management apparatus instructs the security countermeasure rule to the access control apparatus . パケットを転送するネットワークタップ装置と、当該ネットワークタップ装置にて転送されるパケットに対してセキュリティ対処を実施するアクセス制御装置とを有するセキュリティ対処システムにおけるセキュリティ対処方法であって、  A security coping method in a security coping system having a network tap device that transfers a packet and an access control device that performs security coping with the packet transferred by the network tap device,
パケット分析装置が、前記ネットワークタップ装置から転送されたパケットを受信し、当該パケットに対してセキュリティ対処を実施するべきか否かを分析するステップと、  A packet analysis device receiving a packet transferred from the network tap device, and analyzing whether the packet should be subjected to security measures;
セキュリティ対処管理装置が、前記パケット分析装置から分析結果を受信し、当該分析結果に基づいてセキュリティ対処ルールを設計し、前記アクセス制御装置に対して当該セキュリティ対処ルールを指示するステップと、  A security countermeasure management device receiving an analysis result from the packet analyzer, designing a security countermeasure rule based on the analysis result, and instructing the security countermeasure rule to the access control device;
を有し、  Have
前記分析するステップにおいて、  In the analyzing step,
前記パケット分析装置が、前記ネットワークタップ装置からセキュリティ対処前のパケットを受信し、  The packet analyzer receives a packet before security countermeasure from the network tap device,
前記パケット分析装置が、前記受信したパケットから、セキュリティ対処を実施すべきでない正常パケットを検知し、  The packet analyzer detects a normal packet that should not be subjected to security measures from the received packet,
前記パケット分析装置が、前記検知した正常パケットの分析結果を前記セキュリティ対処管理装置に通知し、  The packet analysis device notifies the security countermeasure management device of the analysis result of the detected normal packet;
前記指示するステップにおいて、  In the instructing step,
前記セキュリティ対処管理装置が、前記パケット分析装置から分析結果を受信し、  The security countermeasure management device receives an analysis result from the packet analysis device;
前記セキュリティ対処管理装置が、前記分析結果に基づいてセキュリティ対処ルールを設計し、  The security countermeasure management device designs a security countermeasure rule based on the analysis result,
前記セキュリティ対処管理装置が、前記アクセス制御装置に対して前記セキュリティ対処ルールを指示する、セキュリティ対処方法。  A security countermeasure method in which the security countermeasure management apparatus instructs the security control rule to the access control apparatus.
JP2016171302A 2016-09-01 2016-09-01 Security countermeasure system and security countermeasure method Active JP6577921B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016171302A JP6577921B2 (en) 2016-09-01 2016-09-01 Security countermeasure system and security countermeasure method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016171302A JP6577921B2 (en) 2016-09-01 2016-09-01 Security countermeasure system and security countermeasure method

Publications (2)

Publication Number Publication Date
JP2018037962A JP2018037962A (en) 2018-03-08
JP6577921B2 true JP6577921B2 (en) 2019-09-18

Family

ID=61566074

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016171302A Active JP6577921B2 (en) 2016-09-01 2016-09-01 Security countermeasure system and security countermeasure method

Country Status (1)

Country Link
JP (1) JP6577921B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7014125B2 (en) * 2018-10-12 2022-02-01 日本電信電話株式会社 Detection device, detection method and detection program

Also Published As

Publication number Publication date
JP2018037962A (en) 2018-03-08

Similar Documents

Publication Publication Date Title
RU2668710C1 (en) Computing device and method for detecting malicious domain names in network traffic
US10505953B2 (en) Proactive prediction and mitigation of cyber-threats
EP3127301B1 (en) Using trust profiles for network breach detection
US10033745B2 (en) Method and system for virtual security isolation
US7877795B2 (en) Methods, systems, and computer program products for automatically configuring firewalls
US8869270B2 (en) System and method for implementing content and network security inside a chip
KR101217647B1 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
KR101236822B1 (en) Method for detecting arp spoofing attack by using arp locking function and recordable medium which program for executing method is recorded
JP2019021294A (en) SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS
EP3509001B1 (en) Method and apparatus for detecting zombie feature
WO2016191232A1 (en) Mitigation of computer network attacks
CA2545916A1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
JP7388613B2 (en) Packet processing method and apparatus, device, and computer readable storage medium
WO2006107320A1 (en) Latency free scanning of malware at a network transit point
RU2653241C1 (en) Detecting a threat of a zero day with the use of comparison of a leading application/program with a user agent
KR20130124692A (en) System and method for managing filtering information of attack traffic
US20170063859A1 (en) System and method for network access control
US11863586B1 (en) Inline package name based supply chain attack detection and prevention
JP6592196B2 (en) Malignant event detection apparatus, malignant event detection method, and malignant event detection program
KR101006372B1 (en) System and method for sifting out the malicious traffic
US12061696B2 (en) Sample traffic based self-learning malware detection
JP6577921B2 (en) Security countermeasure system and security countermeasure method
US20180191744A1 (en) System and method to implement cloud-based threat mitigation for identified targets
WO2023141103A1 (en) Deep learning pipeline to detect malicious command and control traffic
KR20130009130A (en) Apparatus and method for dealing with zombie pc and ddos

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180827

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190611

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190724

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190820

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190823

R150 Certificate of patent or registration of utility model

Ref document number: 6577921

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150