JP6645998B2 - Response instruction device, response instruction method, response instruction program - Google Patents
Response instruction device, response instruction method, response instruction program Download PDFInfo
- Publication number
- JP6645998B2 JP6645998B2 JP2017051832A JP2017051832A JP6645998B2 JP 6645998 B2 JP6645998 B2 JP 6645998B2 JP 2017051832 A JP2017051832 A JP 2017051832A JP 2017051832 A JP2017051832 A JP 2017051832A JP 6645998 B2 JP6645998 B2 JP 6645998B2
- Authority
- JP
- Japan
- Prior art keywords
- mobile device
- information
- unit
- handling
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、ネットワーク内での脅威の広がりを防止するための対処指示装置、対処指示方法、対処指示プログラムに関する。 The present invention relates to a response instruction device, a response instruction method, and a response instruction program for preventing a threat from spreading in a network.
従来技術として、特許文献1に示された技術が知られている。特許文献1の技術は、ネットワークを接続するルータ装置等に備えたフィルタ部にて攻撃IPパケットを拒否する場合に、ルータ等内部の帯域資源、及びアクセス網の帯域資源の消費を防ぐことが可能なDDoS防御方法及びルータ装置を提供することを目的にしている。そして、検出手段が攻撃IPパケットを検出し、フィルタ情報生成手段がフィルタ情報を生成し、分配手段または折り返し分配手段がフィルタ情報を全フィルタに対して通知し、全てのフィルタ部が攻撃IPパケットを一時的に遮断するようにしている。 As a conventional technique, a technique disclosed in Patent Literature 1 is known. The technique of Patent Literature 1 can prevent consumption of bandwidth resources inside a router or the like and bandwidth resources of an access network when an attacking IP packet is rejected by a filter unit provided in a router device or the like connecting a network. It is an object of the present invention to provide a simple DDoS protection method and a router device. Then, the detecting means detects the attacking IP packet, the filter information generating means generates the filter information, the distribution means or the return distribution means notifies the filter information to all the filters, and all the filter units detect the attacking IP packet. We are trying to shut it off temporarily.
しかしながら、従来技術は、攻撃を検知した際に、検知したトラヒックを順番に攻撃IPパケットの遮断に必要な手順を実施(以下、「対処」という)する方式である。この場合、攻撃の状態によっては、対処が攻撃の増加に追いつかなくなることがあるという課題がある。また、ネットワークの接続構成が動的に変化することを前提としていない。したがって、V2V(Vehicle-to-Vehicle:車車間通信)のような装置が移動する場合には適切に対応できない。 However, the prior art is a method in which, when an attack is detected, the detected traffic is sequentially subjected to a procedure necessary for blocking the attacking IP packet (hereinafter, referred to as "handling"). In this case, depending on the state of the attack, there is a problem that the response may not be able to keep up with the increase of the attack. Further, it is not assumed that the network connection configuration changes dynamically. Therefore, when an apparatus such as V2V (Vehicle-to-Vehicle: vehicle-to-vehicle communication) moves, it cannot cope appropriately.
そこで、本発明は、ネットワークの接続構成が動的に変化する場合にも攻撃に対して先回りした対処を可能にすることを目的とする。 Therefore, an object of the present invention is to enable a proactive response to an attack even when a network connection configuration dynamically changes.
本発明では、パケットの送信元と送信先が移動可能な移動装置である。また、本発明の対処指示装置は、ネットワークのパケットを監視し、送信元と送信先を特定してセキュリティに対する脅威の程度を示す脅威レベルを出力する分析部を1つ以上備えたセキュリティエンジンと、ネットワークの制御を行うネットワーク制御装置と、移動装置の位置情報を提供する移動装置位置情報提供装置と接続される。本発明の対処指示装置は、脅威情報記録部、対処情報記録部、移動装置探索部、感染判断部、対処判断部、近接クラスタ化部、移動装置推定部、拡大近接クラスタ化部、対処送信部を備える。脅威情報記録部は、分析部からの出力にしたがって、脅威レベル、送信元、送信先、時刻を特定する情報である脅威情報を記録する。対処情報記録部は、対処方法を特定する情報である対処情報を複数記録する。移動装置探索部は、移動装置位置情報提供装置から提供される移動装置の位置情報を用いて、脅威情報の時刻から脅威情報で特定される送信元の移動装置をネットワークから切り離す対処情報を送信するまでの間に、脅威情報で特定される送信元の移動装置に所定範囲以内に近づいた移動装置を特定する。感染判断部は、移動装置探索部が特定した移動装置ごとに、感染した可能性を判定する。対処判断部は、感染判断部の判定に基づいて、対処情報を選択する。近接クラスタ化部は、対処判断部が選択した対処情報が特定する対処方法に必要な場合に、脅威情報で特定される送信元の移動装置と移動装置探索部が特定した移動装置を近接グループとする。移動装置推定部は、対処判断部が選択した対処情報が特定する対処方法に必要な場合に、移動装置位置情報提供装置から提供される移動装置の位置情報を用いて、近接グループに属する移動装置のいずれかに、所定時間以内に前記所定範囲以内に近づくと予測される移動装置を特定する。拡大近接クラスタ化部は、移動装置推定部が特定した移動装置と近接グループに属する移動装置とを拡大近接グループとする。対処送信部は、対処判断部が選択した対処情報をネットワーク制御装置に送信する。なお、対処判断部は、感染した可能性がある移動装置が多いほど、近接グループを対象とした対処情報または拡大近接グループを対象とした対処情報を選択する。 According to the present invention, a mobile device is capable of moving a source and a destination of a packet. Further, the handling instruction device of the present invention monitors a network packet, specifies a source and a destination, and outputs one or more analysis units that output a threat level indicating a degree of security threat, and a security engine including one or more analysis units. A network control device for controlling the network and a mobile device location information providing device for providing location information of the mobile device are connected. The coping instruction device of the present invention includes a threat information recording unit, a coping information recording unit, a mobile device searching unit, an infection determining unit, a coping determining unit, a proximity clustering unit, a mobile device estimating unit, an enlarged proximity clustering unit, a coping transmission unit. Is provided. The threat information recording unit records threat information that is information for specifying a threat level, a transmission source, a transmission destination, and a time according to an output from the analysis unit. The handling information recording unit records a plurality of pieces of handling information that is information for specifying a handling method. The mobile device searching unit transmits, using the position information of the mobile device provided from the mobile device position information providing device, countermeasure information for disconnecting the transmission source mobile device identified by the threat information from the network from the time of the threat information. During this period, the mobile device that has approached the source mobile device specified by the threat information within a predetermined range is specified. The infection determination unit determines the possibility of infection for each mobile device identified by the mobile device search unit. The handling determining unit selects handling information based on the determination by the infection determining unit. The proximity clustering unit associates the mobile device identified by the threat information and the mobile device identified by the mobile device searching unit with a proximity group, if necessary for a response method identified by the response information selected by the response determination unit. I do. The mobile device estimating unit uses the position information of the mobile device provided from the mobile device position information providing device, when necessary for the coping method specified by the coping information selected by the coping determination unit, and uses the mobile device belonging to the proximity group. The mobile device that is predicted to approach the predetermined range within the predetermined time is specified. The extended proximity clustering unit sets the mobile device identified by the mobile device estimation unit and the mobile devices belonging to the proximity group as an extended proximity group. The response transmission unit transmits the response information selected by the response determination unit to the network control device. The handling determining unit selects the handling information for the proximity group or the handling information for the extended proximity group as the number of mobile devices that may have been infected increases.
本発明の対処指示装置によれば、移動装置単体への対処では対処が攻撃の増加に追いつかなくなる場合でも、過去に接近した移動装置のグループである近接グループと、これから接近する移動装置も含めたグループである拡大近接グループを作り、対処を実行する。したがって、ネットワークの接続構成が動的に変化する場合でも、攻撃に対して先回りした対処ができる。 According to the coping instruction device of the present invention, even when coping with the mobile device alone cannot cope with the increase in the attacks, the coping instruction device includes the proximity group which is a group of the mobile devices approached in the past and the mobile device approaching in the future. Create an extended proximity group, which is a group, and take action. Therefore, even when the network connection configuration changes dynamically, it is possible to take proactive measures against attacks.
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。 Hereinafter, embodiments of the present invention will be described in detail. Note that components having the same functions are given the same reference numerals, and redundant description is omitted.
以下の説明では、KとMは2以上の整数、kとk1とk2は1以上K以下の整数、mとm1とm2は1以上M以下の整数、Nは1以上の整数、nは1以上N以下の整数とする。図1にネットワークの構成例を示す。ネットワーク装置930−1,…,Kはネットワーク950を介して接続されている。ネットワーク装置930−kとしては、例えば、基地局、無線ルータ、ゲートウェイなどがあるが、ネットワークの状態を監視し、制御できる装置であれば、これらに限定する必要はない。移動装置920−1,…,Mは、位置に応じて、いずれかのネットワーク装置930−kに接続される。移動装置920−mとしては、通信機能を備えた車両、携帯端末などである。図1の例では、ある時点において、移動装置920−1はネットワーク装置930−2に接続され、移動装置920−2,920−3はネットワーク装置930−k1に接続され、移動装置920−Mはネットワーク装置930−k2に接続された状態であることを示している。
In the following description, K and M are integers of 2 or more, k, k1 and k2 are integers of 1 or more and K or less, m, m1 and m2 are integers of 1 or more and M or less, N is an integer of 1 or more, and n is 1 It is an integer not less than N and not more than N. FIG. 1 shows a configuration example of a network. , K are connected via a
移動装置920−2がウィルスに感染し、他の装置に対して攻撃を始めた場合、従来技術では、ネットワーク装置930−k1の内部に設置されたセキュリティエンジンまたはネットワーク装置930−k1に接続されたセキュリティエンジンで脅威を検出し、移動装置920−2をネットワーク950から切り離す(通信できない状態にする)などの対処を行う。しかし、脅威の広がりが非常に速い場合には、脅威を検出した後に切り離すだけでは脅威の広がり(感染の広がり)を止めることができない。 When the mobile device 920-2 is infected with a virus and starts attacking other devices, in the related art, the mobile device 920-2 is connected to the security engine installed inside the network device 930-k1 or the network device 930-k1. The security engine detects a threat, and takes measures such as disconnecting the mobile device 920-2 from the network 950 (making the mobile device 920-2 incapable of communication). However, if the spread of the threat is very fast, it is not possible to stop the spread of the threat (spread of infection) simply by detecting the threat and then separating it.
本発明では、まだ脅威の対象となっていない移動装置に対してもネットワーク950から切り離すなどの対処を行う。そのときに、移動装置920−1,…,M同士の近接性(過去または将来に所定範囲以内に近づくか)を考慮したクラスタ化(グループの作成)を行い、脅威に対する対処を行う対象を特定する。
In the present invention, measures such as disconnecting from the
図2に本発明の対処指示装置を含む構成例を、図3に処理フローの例を、図4に移動装置が車両に搭載されている場合の車両の動きのイメージを示す。ネットワーク装置930−k内にはスイッチ931が備えられ、ミラーリングパケットがセキュリティエンジン200に入力される。セキュリティエンジン200は、すべてのネットワーク装置930−1,…,Mに対して1つ存在してもよいし、ネットワーク装置930−kごとに存在してもよいし、何個かのネットワーク装置930−m1,…,m2ごとに存在してもよい。セキュリティエンジン200には、分析部210−1,…,Nが備えられている。分析部210−nは、ネットワーク950のパケットを監視し、脅威を分析するための分析アルゴリズムにしたがって機能し、送信元と送信先を特定してセキュリティに対する脅威の程度を示す脅威レベルを出力し(S210)、脅威レベル、送信元、送信先、時刻を特定する情報である脅威情報を対処指示装置100に送信する(S220)。分析アルゴリズムには、いくつかの種類があり、攻撃の種類によって適した分析アルゴリズムが存在するので、N個の分析部210−1,…,Nを備えればよい。
2 shows an example of a configuration including the coping instruction device of the present invention, FIG. 3 shows an example of a processing flow, and FIG. 4 shows an image of the movement of the vehicle when the moving device is mounted on the vehicle. A switch 931 is provided in the network device 930-k, and a mirroring packet is input to the
本発明では、上述のとおり、パケットの送信元と送信先が移動可能な移動装置920−1,…,Mである。対処指示装置100は、セキュリティエンジン200と、ネットワーク950の制御を行うネットワーク制御装置300と、移動装置920−1,…,Mの位置情報を提供する移動装置位置情報提供装置400と接続される。ネットワーク制御装置300は、ネットワーク装置930−1,…,Kなどに接続され、脅威に対する対処として、移動装置920−mをネットワーク950から切り離したり、IPアドレスを変更したりする。
In the present invention, as described above, the mobile devices 920-1,. The
対処指示装置100は、脅威情報記録部191、対処情報記録部193、移動装置探索部130、感染判断部150、対処判断部110、近接クラスタ化部160、移動装置推定部140、拡大近接クラスタ化部170、対処送信部120を備える。脅威情報記録部191は、分析部210−1,…,Nからの出力にしたがって、脅威レベル、送信元、送信先、時刻を特定する情報である脅威情報を記録する。また、脅威がなくなった場合には脅威情報を削除するなどの脅威情報の更新を行う(S191)。
The
対処情報記録部193は、対処方法を特定する情報である対処情報を複数記録する。対処方法としては、例えば、対象となる移動装置の範囲を定めて、移動装置920−mをネットワーク950から切り離す方法、IPアドレスを変更する方法などがある。ただし、これらに限定する必要はない。
The handling
移動装置探索部130は、脅威情報記録部191に脅威情報が存在する場合、移動装置位置情報提供装置400から提供される移動装置920−1,…,Mの位置情報を用いて、脅威情報ごとに、その脅威情報に示されている時刻からその脅威情報で特定される送信元の移動装置920−m1をネットワークから切り離す対処情報を送信するまでの間に、脅威情報で特定される送信元の移動装置920−m1に所定範囲以内に近づいた移動装置920−m2を特定する(S130,S410)。「所定範囲」とは攻撃を受けやすいほど近い範囲を意味しており、例えば、同じネットワーク装置930−kに接続される範囲を所定範囲としてもよいし、直線距離で何m以内を所定範囲としてもよい。所定範囲の定め方によって、移動装置位置情報提供装置400が提供する位置情報も異なる。例えば、同じ基地局に接続されたことを所定範囲とする場合には、位置情報として、いつどの基地局と接続されていたかが位置情報である。また、直線距離で所定範囲を定めるのであれば、緯度、経度などを位置情報にすればよい。
When threat information is present in the threat
感染判断部150は、移動装置探索部130が特定した移動装置920−m2ごとに、感染した可能性を判定する(S150)。つまり、脅威情報で特定される送信元の移動装置920−m1の所定範囲以内に近づいた移動装置920−m2ごとに、感染した可能性を判定する。例えば、移動装置920−m1を送信元とする脅威情報の脅威レベルと、その脅威情報で特定される送信先から、移動装置920−m2が感染した可能性を判定すればよい。また、移動装置920−m1を送信元とする脅威情報よりも遅い時刻の、移動装置920−m2を送信元とする脅威情報が見つかった場合には、感染した可能性があると判断してもよい。
The
対処判断部110は、感染判断部の判定に基づいて、対処情報を選択する(S110)。選択する対処情報は1つ以上でもよい。なお、対処判断部110は、感染した可能性がある移動装置が多いほど、後述する近接グループを対象とした対処情報または拡大近接グループを対象とした対処情報を選択する。脅威情報の脅威レベルが低い場合など、感染する可能性が低いときには、対処判断部110は、脅威情報で特定される送信元の移動装置920−m1に対してだけネットワークから切り離すなどの対処を行えばよい。一方、感染した可能性がある移動装置が多い場合は、先回りした対処が必要になる。後述する「近接グループ」は脅威の送信元である移動装置920−m1と、移動装置920−m1に過去から現在までに所定範囲以内に接近した移動装置920−m2のグループである。「拡大近接グループ」は近接グループに、将来、近接グループの移動装置920−m1,m2に接近すると予測される移動装置920−mも加えたグループである。例えば、現在から移動装置をネットワークから切り離す対処情報をネットワーク装置930−1,…,Kに送信するまでの間に近接グループの移動装置920−m1,m2に接近すると予測される移動装置920−mも含めた拡大近接グループを作成し、その拡大近接グループの移動装置をネットワークから切り離す対処情報を送信すればよい。このように対処することで、ネットワークの接続構成が動的に変化する場合にも攻撃に対して先回りした対処が可能となる。ここまでの先回りが必要ない場合には、近接グループの移動装置920−m1,m2をネットワークから切り離す対処情報を送り、拡大近接グループの他の移動装置920−mには、近接グループに属する移動装置920−m1,m2を特定する情報をブラックリストとして送信してもよい。
The
近接クラスタ化部160は、対処判断部110が選択した対処情報が特定する対処方法に必要な場合に、脅威情報で特定される送信元の移動装置920−m1と移動装置探索部130が特定した移動装置920−m2を近接グループとする(S160)。
The
移動装置推定部140は、対処判断部110が選択した対処情報が特定する対処方法に必要な場合に、移動装置位置情報提供装置400から提供される移動装置920−1,…,Mの位置情報を用いて、近接グループに属する移動装置920−m1,m2のいずれかに、所定時間以内に所定範囲以内に近づくと予測される移動装置を特定する(S140,S420)。拡大近接クラスタ化部170は、移動装置推定部が特定した移動装置と近接グループに属する移動装置とを拡大近接グループとする(S170)。「所定時間」とは、例えば、現在から移動装置をネットワークから切り離す対処情報をネットワーク装置930−1,…,Kに送信するまでの間の平均値または最大値のように決めればよい。「所定範囲」は、移動装置探索部130の説明と同じである。この予測では、移動装置920−m1,m2の速度を考慮する必要がある。速度は、過去の位置と現在の位置の違いから求めてもよいし、移動装置位置情報提供装置400から速度情報も受け取ってもよい。
The mobile
図4の移動装置920−1を脅威の送信元とし、移動装置920−2を移動装置920−1に所定範囲以内に近づいた移動装置とする。この場合、移動装置920−1,2が近接グループに属す。移動装置920−1の速度と移動装置920−4の速度から、移動装置920−1をネットワークから切り離す前に移動装置920−4が所定範囲以内に近づくときは、移動装置920−4は拡大近接グループに属すことになる。また、移動装置920−2の速度と移動装置920−5の速度から、移動装置920−2をネットワークから切り離す前に移動装置920−5が所定範囲以内に近づくときは、移動装置920−5も拡大近接グループに属すことになる。なお、図4の点線で示された範囲610,620,630,640は、移動装置が同一の基地局に接続されるときを所定範囲以内とする場合の所定範囲の例を示している。 The mobile device 920-1 in FIG. 4 is a threat source, and the mobile device 920-2 is a mobile device approaching the mobile device 920-1 within a predetermined range. In this case, the mobile devices 920-1 and 920-2 belong to the proximity group. Based on the speed of the mobile device 920-1 and the speed of the mobile device 920-4, when the mobile device 920-4 approaches within a predetermined range before disconnecting the mobile device 920-1 from the network, the mobile device 920-4 is in the enlarged proximity. Belong to a group. Also, based on the speed of the mobile device 920-2 and the speed of the mobile device 920-5, when the mobile device 920-5 approaches within a predetermined range before disconnecting the mobile device 920-2 from the network, the mobile device 920-5 is also used. They will belong to the extended proximity group. Note that ranges 610, 620, 630, and 640 indicated by dotted lines in FIG. 4 show examples of the predetermined range when the mobile device is connected to the same base station within a predetermined range.
対処送信部120は、対処判断部110が選択した対処情報をネットワーク制御装置300−1,…,Kに送信する(S120)。ネットワーク制御装置300は、ネットワーク装置930−1,…,Kに接続されている。ネットワーク制御装置300は、1つ以上の対処情報を受け取る。複数の対処情報を受け取ったときは、ネットワーク制御装置300が、ネットワーク装置930−kごとに、いずれかの対処情報を選択し(S310)、選択した対処情報にしたがってネットワークの制御を行う(S320)。配置場所や機能などから、ネットワーク装置930−kごとに実行可能な対処方法が異なると考えられる。そこで、例えば、ネットワーク制御装置300は、複数の対処情報の中から、対処情報を送るネットワーク装置930−kが実行可能な対処情報を選択すればよい。このようにすれば、対処指示装置100は、ネットワーク装置930−kごとの配置場所や機能を考慮することなく、対処情報を選択できる。
The
対処指示装置100、セキュリティエンジン200、ネットワーク制御装置300、移動装置位置情報提供装置400は、ステップS210〜S320までの処理を繰り返す。
The coping
対処指示装置100によれば、移動装置920−m1単体への対処では対処が攻撃の増加に追いつかなる場合でも、過去に接近した移動装置のグループである近接グループと、これから接近する移動装置も含めたグループである拡大近接グループを作り、対処を実行する。したがって、ネットワークの接続構成が動的に変化する場合でも、攻撃に対して先回りした対処ができる。
According to the coping
[プログラム、記録媒体]
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
[Program, recording medium]
The various processes described above may be executed not only in chronological order as described, but also in parallel or individually according to the processing capability of the device that executes the process or as necessary. In addition, it goes without saying that changes can be made as appropriate without departing from the spirit of the present invention.
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。 When the above-described configuration is implemented by a computer, the processing contents of the functions that each device should have are described by a program. By executing this program on a computer, the above-described processing functions are realized on the computer.
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。 A program describing this processing content can be recorded on a computer-readable recording medium. The computer-readable recording medium may be any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, a semiconductor memory, and the like.
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。 The distribution of the program is performed by, for example, selling, transferring, lending, or the like, a portable recording medium such as a DVD or a CD-ROM on which the program is recorded. Further, the program may be stored in a storage device of a server computer, and the program may be distributed by transferring the program from the server computer to another computer via a network.
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。 A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. Then, when executing the processing, the computer reads the program stored in its own recording medium and executes the processing according to the read program. As another execution form of the program, the computer may directly read the program from the portable recording medium and execute processing according to the program, and further, the program may be transferred from the server computer to the computer. Each time, the processing according to the received program may be sequentially executed. A configuration in which the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes a processing function only by executing an instruction and acquiring a result without transferring a program from the server computer to the computer. It may be. It should be noted that the program in the present embodiment includes information used for processing by the computer and which is similar to the program (data that is not a direct command to the computer but has characteristics that define the processing of the computer).
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。 In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of the processing may be realized by hardware.
100 対処指示装置 110 対処判断部
120 対処送信部 130 移動装置探索部
140 移動装置推定部 150 感染判断部
160 近接クラスタ化部 170 拡大近接クラスタ化部
191 脅威情報記録部 193 対処情報記録部
200 セキュリティエンジン 210 分析部
300 ネットワーク制御装置 400 移動装置位置情報提供装置
920 移動装置 930 ネットワーク装置
931 スイッチ 950 ネットワーク
REFERENCE SIGNS
Claims (7)
前記パケットの送信元と送信先が移動可能な移動装置であり、
前記分析部からの出力にしたがって、脅威レベル、送信元、送信先、時刻を特定する情報である脅威情報を記録する脅威情報記録部と、
対処方法を特定する情報である対処情報を複数記録する対処情報記録部と、
前記移動装置位置情報提供装置から提供される移動装置の位置情報を用いて、脅威情報の時刻から前記脅威情報で特定される送信元の移動装置を前記ネットワークから切り離す対処情報を送信するまでの間に、前記脅威情報で特定される送信元の移動装置に所定範囲以内に近づいた移動装置を特定する移動装置探索部と、
前記移動装置探索部が特定した移動装置ごとに、感染した可能性を判定する感染判断部と、
前記感染判断部の判定に基づいて、対処情報を選択する対処判断部と、
前記対処判断部が選択した対処情報が特定する対処方法に必要な場合に、前記脅威情報で特定される送信元の移動装置と前記移動装置探索部が特定した移動装置を近接グループとする近接クラスタ化部と、
前記対処判断部が選択した対処情報が特定する対処方法に必要な場合に、前記移動装置位置情報提供装置から提供される移動装置の位置情報を用いて、前記近接グループに属する移動装置のいずれかに、所定時間以内に前記所定範囲以内に近づくと予測される移動装置を特定する移動装置推定部と、
前記移動装置推定部が特定した移動装置と前記近接グループに属する移動装置とを拡大近接グループとする拡大近接クラスタ化部と、
前記対処判断部が選択した前記対処情報を前記ネットワーク制御装置に送信する対処送信部と
を備え、
前記対処判断部は、前記感染判断部が判定した感染した可能性がある移動装置が多いほど、前記近接グループを対象とした対処情報または前記拡大近接グループを対象とした対処情報を選択する
対処指示装置。 A security engine including one or more analyzers that monitor network packets, specify a source and a destination, and output a threat level indicating the degree of security threat, and a network control device that controls the network. A coping instruction device connected to a mobile device position information providing device that provides position information of the mobile device,
A mobile device in which a source and a destination of the packet are movable,
According to an output from the analysis unit, a threat information recording unit that records threat information that is information specifying a threat level, a transmission source, a transmission destination, and time;
A response information recording unit that records a plurality of response information that is information for identifying a response method;
Using the position information of the mobile device provided from the mobile device position information providing device, from the time of the threat information to transmitting the coping information for disconnecting the source mobile device specified by the threat information from the network. A mobile device search unit that specifies a mobile device that has approached within a predetermined range to the source mobile device specified by the threat information,
For each mobile device identified by the mobile device search unit, an infection determination unit that determines the possibility of infection,
A response determining unit that selects response information based on the determination of the infection determining unit;
When a response method specified by the response information selected by the response determining unit is necessary, a proximity cluster that sets the source mobile device identified by the threat information and the mobile device identified by the mobile device search unit as a proximity group And
When the handling information selected by the handling determining unit is necessary for the handling method specified, any one of the mobile devices belonging to the proximity group is used by using the location information of the mobile device provided from the mobile device location information providing device. A mobile device estimating unit that specifies a mobile device that is predicted to approach the predetermined range within a predetermined time,
An extended proximity clustering unit that sets the mobile device identified by the mobile device estimation unit and the mobile devices belonging to the proximity group to an extended proximity group;
A response transmission unit that transmits the response information selected by the response determination unit to the network control device,
The handling determining unit selects handling information targeting the proximity group or handling information targeting the expanded proximity group as the number of mobile devices that may have been infected determined by the infection determining unit increases. apparatus.
前記対処判断部は、前記対処情報を1つ以上選択し、
前記対処送信部は、1つ以上の前記対処情報を前記ネットワーク制御装置に送信する
ことを特徴とする対処指示装置。 The handling instruction device according to claim 1, wherein
The handling determination unit selects one or more pieces of the handling information,
The response instruction unit, wherein the response transmission unit transmits one or more response information to the network control device.
前記対処情報記録部が記録する対処情報の中には、前記近接グループに属する移動装置を特定する情報をブラックリストとして、前記移動装置推定部が特定した移動装置に対して送信する対処情報が含まれている
ことを特徴とする対処指示装置。 The handling instruction device according to claim 1 or 2,
The handling information recorded by the handling information recording unit includes handling information transmitted to the mobile device identified by the mobile device estimating unit as a blacklist of information identifying mobile devices belonging to the proximity group. A coping instruction device, characterized in that it is used.
前記パケットの送信元と送信先が移動可能な移動装置であり、
対処指示装置は、脅威情報記録部、対処情報記録部、移動装置探索部、感染判断部、対処判断部、近接クラスタ化部、移動装置推定部、拡大近接クラスタ化部、対処送信部を備え、
前記脅威情報記録部が、前記分析部からの出力にしたがって、脅威レベル、送信元、送信先、時刻を特定する情報である脅威情報を記録し、
前記対処情報記録部が、対処方法を特定する情報である対処情報を複数記録し、
前記移動装置探索部が、前記移動装置位置情報提供装置から提供される移動装置の位置情報を用いて、脅威情報の時刻から前記脅威情報で特定される送信元の移動装置を前記ネットワークから切り離す対処情報を送信するまでの間に、前記脅威情報で特定される送信元の移動装置に所定範囲以内に近づいた移動装置を特定する移動装置探索ステップと、
前記感染判断部が、前記移動装置探索部が特定した移動装置ごとに、感染した可能性を判定する感染判断ステップと、
前記対処判断部が、前記感染判断ステップの判定に基づいて、対処情報を選択する対処判断ステップと、
前記近接クラスタ化部が、前記対処判断ステップが選択した対処情報が特定する対処方法に必要な場合に、前記脅威情報で特定される送信元の移動装置と前記移動装置探索ステップが特定した移動装置を近接グループとする近接クラスタ化ステップと、
前記移動装置推定部が、前記対処判断ステップが選択した対処情報が特定する対処方法に必要な場合に、前記移動装置位置情報提供装置から提供される移動装置の位置情報を用いて、前記近接グループに属する移動装置のいずれかに、所定時間以内に前記所定範囲以内に近づくと予測される移動装置を特定する移動装置推定ステップと、
前記拡大近接クラスタ化部が、前記移動装置推定ステップが特定した移動装置と前記近接グループに属する移動装置とを拡大近接グループとする拡大近接クラスタ化ステップと、
前記対処送信部が、前記対処判断ステップが選択した前記対処情報を前記ネットワーク制御装置に送信する対処送信ステップと
を実行し、
前記対処判断ステップは、前記感染判断ステップで判定した感染した可能性がある移動装置が多いほど、前記近接グループを対象とした対処情報または前記拡大近接グループを対象とした対処情報を選択する
対処指示方法。 A security engine including one or more analyzers that monitor network packets, specify a source and a destination, and output a threat level indicating the degree of security threat, and a network control device that controls the network. A coping instruction method using a coping instruction device connected to a mobile device position information providing device that provides position information of the mobile device,
A mobile device in which a source and a destination of the packet are movable,
The response instruction device includes a threat information recording unit, a response information recording unit, a mobile device search unit, an infection determination unit, a response determination unit, a proximity clustering unit, a mobile device estimation unit, an enlarged proximity clustering unit, and a response transmission unit.
The threat information recording unit, according to the output from the analysis unit, a threat level, a transmission source, a transmission destination, to record the threat information that is information specifying the time,
The handling information recording unit records a plurality of pieces of handling information that is information for identifying a handling method,
The mobile device searching unit uses the mobile device location information provided by the mobile device location information providing device to disconnect the source mobile device identified by the threat information from the network from the time of the threat information. Until transmitting information, a mobile device searching step of specifying a mobile device that has approached within a predetermined range to the source mobile device specified by the threat information,
An infection determining step in which the infection determining unit determines, for each mobile device identified by the mobile device searching unit, a possibility of infection;
A response determining step of selecting response information based on the determination of the infection determining step,
When the proximity clustering unit requires a coping method specified by the coping information selected by the coping determination step, the source mobile device specified by the threat information and the mobile device specified by the mobile device searching step A proximity clustering step in which
The mobile device estimating unit uses the location information of the mobile device provided from the mobile device location information providing device when the coping method specified by the coping information selected by the coping determination step is necessary. A mobile device estimation step of identifying a mobile device that is predicted to approach within the predetermined range within a predetermined time,
An extended proximity clustering step, wherein the extended proximity clustering unit sets the mobile device identified by the mobile device estimation step and mobile devices belonging to the proximity group as an extended proximity group;
A response transmission step of transmitting the response information selected by the response determination step to the network control device.
The handling determining step selects handling information targeting the proximity group or handling information targeting the expanded proximity group as the number of mobile devices that may have been infected determined in the infection determining step increases. Method.
前記対処判断ステップは、前記対処情報を1つ以上選択し、
前記対処送信ステップは、1つ以上の前記対処情報を前記ネットワーク制御装置に送信する
ことを特徴とする対処指示方法。 The coping instruction method according to claim 4, wherein
The handling determining step selects one or more pieces of the handling information,
The handling instruction method, wherein the handling sending step sends one or more pieces of the handling information to the network control device.
前記対処情報記録部が記録する対処情報の中には、前記近接グループに属する移動装置を特定する情報をブラックリストとして、前記移動装置推定ステップが特定した移動装置に対して送信する対処情報が含まれている
ことを特徴とする対処指示方法。 The coping instruction method according to claim 4 or 5, wherein
The handling information recorded by the handling information recording unit includes handling information to be transmitted to the mobile device identified by the mobile device estimation step as a blacklist of information identifying mobile devices belonging to the proximity group. A coping instruction method characterized in that it is performed.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017051832A JP6645998B2 (en) | 2017-03-16 | 2017-03-16 | Response instruction device, response instruction method, response instruction program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017051832A JP6645998B2 (en) | 2017-03-16 | 2017-03-16 | Response instruction device, response instruction method, response instruction program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018157344A JP2018157344A (en) | 2018-10-04 |
| JP6645998B2 true JP6645998B2 (en) | 2020-02-14 |
Family
ID=63716796
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017051832A Active JP6645998B2 (en) | 2017-03-16 | 2017-03-16 | Response instruction device, response instruction method, response instruction program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6645998B2 (en) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4668596B2 (en) * | 2004-12-02 | 2011-04-13 | 株式会社エヌ・ティ・ティ・ドコモ | Communication terminal, server device and monitoring system |
| WO2008067335A2 (en) * | 2006-11-27 | 2008-06-05 | Smobile Systems, Inc. | Wireless intrusion prevention system and method |
| JP5011234B2 (en) * | 2008-08-25 | 2012-08-29 | 株式会社日立情報システムズ | Attack node group determination device and method, information processing device, attack countermeasure method, and program |
| JP2016122273A (en) * | 2014-12-24 | 2016-07-07 | 富士通株式会社 | Alert emission method, program and system |
-
2017
- 2017-03-16 JP JP2017051832A patent/JP6645998B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018157344A (en) | 2018-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11509534B2 (en) | Collection of error packet information for network policy enforcement | |
| US10135633B2 (en) | Network security analysis for smart appliances | |
| US9503463B2 (en) | Detection of threats to networks, based on geographic location | |
| EP2533492B1 (en) | A node device and method to prevent overflow of pending interest table in name based network system | |
| CN114145004B (en) | System and method for using DNS messages to selectively collect computer forensic data | |
| US10135785B2 (en) | Network security system to intercept inline domain name system requests | |
| US11711395B2 (en) | User-determined network traffic filtering | |
| CN110365674B (en) | Method, server and system for predicting network attack surface | |
| KR101980901B1 (en) | SYSTEM AND METHOD FOR DDoS DETECTION BASED ON SVM-SOM COMBINATION | |
| JP2009110270A (en) | Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method | |
| US11870792B2 (en) | Abnormal traffic analysis apparatus, abnormal traffic analysis method, and abnormal traffic analysis program | |
| CN114465823A (en) | Industrial Internet terminal encrypted flow data security detection method, device and equipment | |
| Joëlle et al. | Strategies for detecting and mitigating DDoS attacks in SDN: A survey | |
| US10686838B2 (en) | IPS switch system and processing method | |
| CN115834091A (en) | Network flow control method and related system | |
| Rai et al. | A survey on detection and mitigation of interest flooding attack in named data networking | |
| JP6645998B2 (en) | Response instruction device, response instruction method, response instruction program | |
| CN109691158A (en) | Mobile flow Redirectional system | |
| Shah et al. | Survey of techniques used for tolerance of flooding attacks in DTN | |
| KR20180080450A (en) | Apparatus for malware detection based on cloud and method using the same | |
| JP6636474B2 (en) | Response instruction device, response instruction method, response instruction program | |
| Remya Krishnan et al. | A Dynamic Threshold-Based Technique for Cooperative Blackhole Attack Detection in VANET | |
| EP3484122A1 (en) | Malicious relay and jump-system detection using behavioral indicators of actors | |
| Koh et al. | Localizing wireless jamming attacks with minimal network resources | |
| RU2776349C1 (en) | Systems and methods for using dns messages for selective collection of computer forensic data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190219 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191225 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200107 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200109 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6645998 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |