JP6801046B2 - 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 - Google Patents
悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 Download PDFInfo
- Publication number
- JP6801046B2 JP6801046B2 JP2019099324A JP2019099324A JP6801046B2 JP 6801046 B2 JP6801046 B2 JP 6801046B2 JP 2019099324 A JP2019099324 A JP 2019099324A JP 2019099324 A JP2019099324 A JP 2019099324A JP 6801046 B2 JP6801046 B2 JP 6801046B2
- Authority
- JP
- Japan
- Prior art keywords
- data flow
- flow
- state
- data
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 28
- 230000015654 memory Effects 0.000 claims description 37
- 238000013500 data storage Methods 0.000 claims description 33
- 230000008859 change Effects 0.000 claims description 11
- 230000000903 blocking effect Effects 0.000 claims description 9
- 230000003362 replicative effect Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 6
- 230000002265 prevention Effects 0.000 description 6
- 230000010076 replication Effects 0.000 description 6
- 238000007689 inspection Methods 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000035484 reaction time Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
関連出願の相互参照
本願は、2016年6月22日に出願された国際出願第PCT/EP2016/064422号の続きであり、その全体が参照により本明細書に組み込まれる。
本開示は、ネットワークの、詳細には複数のSDN(Software Defined Network)の保護された領域または保護されたサービスへの、悪意があるデータフローの侵入を検知および防止するシステムおよび方法に関する。
本願は、2016年6月22日に出願された国際出願第PCT/EP2016/064422号の続きであり、その全体が参照により本明細書に組み込まれる。
本開示は、ネットワークの、詳細には複数のSDN(Software Defined Network)の保護された領域または保護されたサービスへの、悪意があるデータフローの侵入を検知および防止するシステムおよび方法に関する。
組織セキュリティの主な構成要素の1つは、侵入検知システム(IDS)および侵入防止システム(IPS)である。これら2つのシステムには多くの共通点があり、例えば、両方共が、プライベートネットワーク(保護された領域)を攻撃する悪気のある試みを検知するため、および「Low&Slow」なAPT(Advanced Persistent Threats)を検知するためのパターンを使用している。図7にみられるように、通常、IDSは回線外に配置され、複製されたデータストリームに作用する。IDSは、すべてのパケットを解析し、次いで、いわゆる「エキスパートシステム」(例えば、SIEM(Security Information and Event Management))へ報告し、これにより積極的対策を適切に始動させることができる。IPSは、ファイアウォールのように配置することができ、典型的にはネットワークのデータパスへ直接作用する。IPSはパケットを解析し、フローを分類し、それらをブロックまたは許可する。IPSは、IDSのように配置することもでき、複製されたデータパスを引き込むことができ、次いで、「悪意がある」として分類されたフローをブロックするために、ファイアウォールとの連携を利用することができる。
通常、IPSは、IPSが分析しなければならないデータ量に対処するため、「Fast Path」メカニズム(通常、ハードウェアベースの転送要素により実施される)を付加しており、IPSは、すでに分類(「許可」または「ブロック」のいずれかとして)されたフローを「Fast Path」メカニズムに任せることができる。「Fast Path」が使用されているか否かにかかわらず、IPSが回線上に配置されている場合、IPSは、組織ネットワークに単一障害点(SPOF)を作り出し、例えば、IPSが誤動作しているときにサービス継続性を保証するために、高価な高可用性ソリューションの実装を必要とする。単一のIPSデバイスの処理能力は限られているため、IPSがデータ通信量に圧倒された場合にはfail−open(すなわち、すべてを許可する)するように、通常は構成されている。ただし、IPSを回線外に配置することによって、複製されたネットワークトラフィックを処理(典型的なIDSと同様に)すること、および「実行する」ネットワーク要素(例えばファイアウォール)に対する緊密な連携という代償を払って、回線上のIPSのこれらの問題のいくつかを緩和し、その結果、メインのデータパスへの悪意がある攻撃をブロックすることができる。また、回線外のIPSは、ネットワーク攻撃に対してはるかにゆっくりと反応する。
要約すれば、一方では回線外のIDSおよびIPSにはいくつかの制限がある。検知時間および応答時間が遅い。また、システムは、ノイズが多くなる傾向があり、すなわちセキュリティの専門家が検討する必要のある大量のデータを生成する。システムは、一般にかなり多くのリソースをつぎ込んだものとなる。最終的には、積極的な保護を提供するためにカスタム的な連携が必要である。
もう一方で、回線内のIPSには、回線内のIPS独自の制限がある。先ず第1に、規模の変更が非常に困難である。また、回線内のIPSは分類されたトラフィックの「Fast Path」を処理するための専用のハードウェアを必要とする。上述のように、高価な高可用性モデルを必要とするSPOFを表している。さらには、回線内のIPSの限られた処理能力は、上述の、トラフィックの急増における「fail open」(すなわち、すべてを許可する)につながる。最終的には、典型的に使用されるIPSのサイロ型データモデルは、他のIT資産との情報共有を制限し、結果としてAPTを検出する能力を妨げる。
上記の問題および欠点に鑑みて、本開示は、従来のIDSおよびIPSを改善することを目的としている。セキュリティの観点から、本開示の目的は、悪意があるトラフィックをネットワーク全体にわたって即座にブロックすることができるシステムおよび方法を提供することである。さらには、より良好なAPT検出および緩和能力が達成されるべきである。本開示は、ネットワークからSPOFを取り除くことも目的としている。効率の観点から、悪意があるトラフィックを検出、検査、およびブロックする能力を損なうことなく、データパスから侵入検知を取り除いたシステムおよび方法を提供することが本開示の目的である。一般的目的は、例えば、疑わしいトラフィックを監視することのみによって、侵入検知および侵入防止の負荷を軽減することである。また、ベンダーを超えた連携が必要とされるべきではなく、全体のコストが削減されるべきである。
上述の本開示の目的は、添付の独立請求項で提供されるソリューションによって達成されている。本開示の有益な実施態様は、従属請求項でさらに定義されている。
本開示の第1の態様は、データフローのフローステートを記憶し、システムにわたってフローステートを共有および更新するように構成される少なくとも1つのデータストレージまたはメモリと、データフローのフローステート、および/またはデータフローと所定のパターンとの比較に基づいて、受信されたデータフローをブロック、転送、または複製するように構成される少なくとも1つの共有ステート転送要素(FE)と、複製されたデータフローを受信し、データフローが、悪意があるかそれとも許可されているかを分類するように構成される少なくとも1つの検査要素(IE)とを備え、IEは、分類結果に応じてデータフローのフローステートを変化させるように構成される、SDNにおいて悪意があるデータフローの侵入を検知および防止するシステムを提供している。
第1の態様に係る本開示は、データフローのフローステート、および好ましくは付加的なメタデータをシステムにわたって、すなわち詳細には、個々のFE、IE、および場合によってはサービスアプリケーションの間で共有するためのメカニズムを実施している。その結果、システムは、疑わしいかまたは検知された脅威に対して即座に、すなわち少なくとも従来のシステムよりもはるかに速く、反応することができる。例えば、少なくとも1つのFEは、FEが、疑わしいデータフローを悪意があると分類し、疑わしいデータフローのフローステートをそれに応じて更新した場合には、疑わしいデータフローを即座にブロックすることができる。フローステートの共有は、分散接続追跡(DCT)を介して都合よく実施することができ、分散接続追跡(DCT)は、特定のSDNの、システムにわたっての、ネットワークステートおよびフローステートのような情報の共有の実施である。
少なくとも1つのIEへ疑わしいデータフローの複製のみを送信することによって、悪意があるトラフィックを検知、検査およびブロックする能力を損なうことなく、侵入検知が正規のパスから取り除かれる。IEへ疑わしいデータフローを送信することのみによって、およびFEにおいて所定のパターンおよび共有されたフローステートをさらに使用することによって、侵入検知および侵入防止の負荷が大幅に軽減される。
第1の態様に係るシステムの第1の実装の形態では、FEは、データフローのフローステートが「許可」である場合、および/またはデータフローが所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを転送し、データフローのフローステートが「ブロック」である場合、および/またはデータフローが所定の悪意があるトラフィックのパターンと一致する場合には、受信されたデータフローのパケットをブロックし、データフローのフローステートが「疑わしい」である場合、および/またはデータフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを複製するように構成されている。
それに応じて、少なくとも1つのFEは、一方では共有されたフローステートに基づいて、そしてもう一方では所定のパターンに基づいて、データフローを処理することができる。それに応じて、システムの全体効率が高められ、それと同時にIEの負荷が軽減される。システムは、フローステートのいかなる変化または更新にも素早く反応することができる。さらに、システムは、十分に拡張性がある。
第1の態様それ自体に係るか、または第1の態様の第1の実装の形態に係るシステムの第2の実装の形態では、FEは、受信されたデータフローが、少なくとも1つのデータストレージまたはメモリに記憶されたフローステートをすでに有しているかどうかを判定し、受信されたデータフローが、記憶されたフローステートを有している場合にはデータフローのフローステート、または受信されたデータフローが、記憶されたフローステートを有していない場合にはデータフローと所定のパターンとの比較に基づいて、データフローをブロック、転送、または複製するように構成されている。
このように、共有されたフローステートが存在する場合には、所定のパターンとの比較を省略することができ、その結果として、トラフィックの処理がより素早くなる。また、この場合、IEへの負荷は発生しない。
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第3の実装の形態では、FEは、IEが前記データフローのフローステートを「ブロック」に設定または更新した場合には、データフローのパケットを即座にブロックするように構成されている。
この結果として、システムは、脅威を検知するために非常に素早くかつ効率よく反応することができ、システムが存在するネットワークの安全性を高める。
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第4の実装の形態では、FEは、データフローが、所定の疑わしいトラフィックのパターンと一致した場合には、データフローのフローステートを「疑わしい」に設定または更新するように構成され、かつ前記データフローを、分類のためにIEへ複製するように構成されている。
それに応じて、疑わしいデータフローだけが分類のためにIEへ送信される。結果として、侵入検知および侵入防止の負荷が大幅に軽減される。
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第5の実装の形態では、FEは、受信された任意のデータフローのフローステートを「疑わしい」に変化させるように構成されている。
それに応じて、データフローを再検査することができる。このことにより、自身の攻撃ベクトルをランダム化する特定のAPTの克服を改善している。
第1の態様の第4または第5の実装の形態に係るシステムの第6の実装の形態では、FEは、IEによる分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットの転送を引き延ばし、次いで、分類の結果に応じて、パケットをブロックするかまたは普通に転送するように構成されている。
この選択肢は、ネットワークの保護された領域またはサービスの安全性を高める。
第1の態様の第4または第5の実装の形態に係るシステムの第7の実装の形態では、FEは、IEに対して複製を行い、かつ、IEによる分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットを普通に送信し、次いで、分類の結果に応じて、パケットをブロックするかまたは普通に転送を継続するように構成されている。
この選択肢は、すなわち中断することなくトラフィックのフローを維持することによってトラフィックの効率を高める。
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第8の実装の形態では、FEは、分類の結果にかかわらず、所定の期間、データフローのフローステートを「疑わしい」のままにするように構成されている。
このことによって、IEは、「low&slow」攻撃を特に検知することができ、すなわちAPTに対するするシステムの安全性を高める。
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第9の実装の形態では、IEは、複製されたデータフローのフローステートを「終了」に変化させるように構成され、かつ、FEは、IEがスローステートを「終了」に変化させた場合、前記データフローをIEへ複製することを停止するように構成されている。
この結果として、疑わしいデータフローの複製を即座に停止することができ、これによって不必要なリソースの消費を回避する。
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第10の実装の形態では、FEは、許可として先に分類されてしまっているデータフローのパケットについてはIEをバイパスするように構成されている。
これに応じて、侵入検知および侵入防止の負荷を大幅に軽減することができる。
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第11の実装の形態では、少なくとも1つのデータストレージまたはメモリは、データフローのメタデータを記憶し、システムにわたってメタデータを共有および更新するように構成され、FEは、データフローのフローステートおよびメタデータに基づいて、受信されたデータフローをブロック、転送、または複製するように構成されている。
付加的なメタデータが共有される場合、システムにおける侵入検知および侵入防止は、さらにいっそう正確にかつ効率よくなる。
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第12の実装の形態では、FEは、SDNコントローラへ接続されており、SDNコントローラは、FEに所定のパターンを供給するように構成されている。
この実装の形態によって、少なくとも1つのFEの容易かつ柔軟な構成が可能になっている。この結果として、システムはカスタマイズすることができ、また十分な拡張性もある。
本開示の第2の態様は、データフローのフローステートを記憶し、SDN(Software Defined Network)にわたってフローステートを共有および更新するステップと、データフローのフローステート、および/またはデータフローと所定のパターンとの比較に基づいて、受信されたデータフローをブロック、転送、または複製するステップと、複製されたデータフローが、悪意があるかそれとも許可されているかを分類するステップと、分類結果に応じてデータフローのフローステートを変化させるステップとを含む、SDNにおいて悪意があるデータフローの侵入を検知および防止する方法を提供している。
第2の態様に係る方法の第1の実装の形態では、FEは、データフローのフローステートが「許可」である場合、および/またはデータフローが所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを転送し、データフローのフローステートが「ブロック」である場合、および/またはデータフローが所定の悪意があるトラフィックのパターンと一致する場合には、受信されたデータフローのパケットをブロックし、データフローのフローステートが「疑わしい」である場合、および/またはデータフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを複製するように構成されている。
第2の態様それ自体に係るか、または第2の態様の第1の実装の形態に係る方法の第2の実装の形態では、FEは、受信されたデータフローが、少なくとも1つのデータストレージまたはメモリに記憶されたフローステートをすでに有しているかどうかを判定し、受信されたデータフローが、記憶されたフローステートを有している場合にはデータフローのフローステート、または受信されたデータフローが、記憶されたフローステートを有していない場合にはデータフローと所定のパターンとの比較に基づいて、データフローをブロック、転送、または複製するように構成されている。
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第3の実装の形態では、FEは、IEが前記データフローのフローステートを「ブロック」に設定または更新した場合には、データフローのパケットを即座にブロックするように構成されている。
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第4の実装の形態では、FEは、データフローが、所定の疑わしいトラフィックのパターンと一致した場合には、データフローのフローステートを「疑わしい」に設定または更新するように構成され、かつ前記データフローを、分類のためにIEへ複製するように構成されている。
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第5の実装の形態では、FEは、受信された任意のデータフローのフローステートを「疑わしい」に変化させるように構成されている。
第2の態様の第4または第5の実装の形態に係る方法の第6の実装の形態では、FEは、IEによる分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットの転送を引き延ばし、次いで、分類の結果に応じて、パケットをブロックするかまたは普通に転送するように構成されている。
第2の態様の第4または第5の実装の形態に係る方法の第7の実装の形態では、FEは、IEに対して複製を行い、かつ、IEによる分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットを普通に送信し、次いで、分類の結果に応じて、パケットをブロックするかまたは普通に転送を継続するように構成されている。
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第8の実装の形態では、FEは、分類の結果にかかわらず、所定の期間、データフローのフローステートを「疑わしい」のままにするように構成されている。
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第9の実装の形態では、IEは、複製されたデータフローのフローステートを「終了」に変化させるように構成され、かつ、FEは、IEがスローステートを「終了」に変化させた場合、前記データフローをIEへ複製することを停止するように構成されている。
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第10の実装の形態では、FEは、許可として先に分類されてしまっているデータフローのパケットについてはIEをバイパスするように構成されている。
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第11の実装の形態では、少なくとも1つのデータストレージまたはメモリは、データフローのメタデータを記憶し、システムにわたってメタデータを共有および更新するように構成され、FEは、データフローのフローステートおよびメタデータに基づいて、受信されたデータフローをブロック、転送、または複製するように構成されている。
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第12の実装の形態では、FEは、SDNコントローラへ接続されており、SDNコントローラは、FEに所定のパターンを供給するように構成されている。
第2の態様それ自体の方法およびその実装の形態は、第1の態様それ自体のシステムおよびその実装の形態と同じ優位性をそれぞれ達成している。
本開示の第3の態様は、演算装置上で実行された場合に、第2の態様それ自体に係るか、または第2の態様のいずれかの実装の形態に係る、SDN(Software Defined Network)において悪意があるデータフローのネットワーク侵入を検知および防止する方法を実施するコンピュータプログラム製品を提供している。
第3の態様のコンピュータプログラム製品を用いて、第2の態様の方法およびその実装の形態のすべての優位性が達成される。
本願に記載しているすべてのデバイス、要素、ユニットおよび手段は、ソフトウェアもしくはハードウェア要素またはそのいかなる種類の組合せでも実施することができる可能性があることに留意しなければならない。本願に記載しているさまざまなエンティティによって実行されるすべてのステップ、およびさまざまなエンティティによって実行されると記載している機能は、それぞれのエンティティがそれぞれのステップおよび機能を実行するのに適応しているかまたは実行するように構成されていることを意味するものとする。次の具体的な実施形態の記載において、恒久的なエンティティによって全体に形成されるべき特定の機能またはステップが、その特定のステップまたは機能を実行するそのエンティティの特定の詳細な要素の記載に反映されていない場合でも、当業者には、これらの方法および機能は、それぞれのソフトウェアもしくはハードウェア要素、またはそのいかなる種類の組合せでも実施することができることは明らかなはずである。
上記の本開示の態様および実装の形態を、次の具体的な実施形態の説明で、添付図面と関連付けて説明する。
図1は、本開示の一実施形態に係るシステム100を示している。システム100は、SDNにおいて悪意があるデータフローの侵入を検知および防止することができる。詳細には、システム100は、悪意があるデータフローの、ネットワークの保護された領域およびサービスへの侵入を防止することができる。
システム100は、データフローのフローステートを記憶し、システム100にわたってフローステートを共有および更新するために、少なくとも1つのデータストレージまたはメモリ101を含んでいる。データストレージまたはメモリ101は、好ましくは、高速で低レイテンシの分散メモリ(分散メモリデータベースまたは類似の技術など)であり、システム100にわたってフローステートを共有するために、好ましくはシステムのエンティティによって、その分散メモリへフローステートが書き込まれ得、その分散メモリからフローステートを読み出すことができる。それに応じて、共有されたフローステートは、システム100にわたって提供され、システム100に対して脅威への素早い反応時間を可能にしている。好ましくは、データストレージまたはメモリ101は、データフローのメタデータを記憶し、フローステートと同じ方法で、システム100にわたってメタデータを共有および更新するようにも構成される。
システム100は、データフローのフローステートに基づいて、および/または前記テータフローと所定のパターンとの比較に基づいて、受信されたデータフロー103をブロック、転送、または複製するように構成された、少なくとも1つの共有ステートのFE102をさらに有している。好ましくは、所定のパターンは、FE102に、またはデータストレージまたはメモリ101にも記憶され得る。好ましくは、FE102は、SDNコントローラへ接続することができ、SDNコントローラは、FE102に所定のデータを提供することができる。
FE102は、受信されたデータフロー103のフローステートを、データストレージまたはメモリ101から得ることができる。例えば、FE102は、対応するフローステートについてデータストレージまたはメモリ101へ問い合わせを行うことができる。ただし、好ましくは、データストレージまたはメモリ101は、データのフローの最新のフローステートをすべてのFE102へ積極的に配布する。少なくとも1つのFE102は、システム100にわたって追加のメタデータも共有されている場合には、データフローのフローステートおよびかかるメタデータに基づいて、受信されたデータフロー103をブロック、転送、または複製するように特に構成され得る。
システム100は、少なくとも1つのFE102から、複製されたデータフロー105を受信し、データフローが悪意があるかそれとも許可されているかを分類するように構成された、少なくとも1つのIE104をさらに含んでいる。また、IE104は、分類結果に応じてデータフローのフローステートを変化させるように構成されている。つまり、IE104は、分類されたデータフローのフローステートを更新するために、データストレージまたはメモリ101へアクセスすることができる。次いで、更新されたフローステートは、最新のフローステートが少なくとも1つのFE102のそれぞれで利用可能であることを確実にするために、システム100にわたって共有することができる。この結果として、システム100は、検知された脅威に即座に反応することができる。
図2は、本開示に係る一実施形態を示しており、図1に表されている実施形態に基づいている。図1のように、システム100は、少なくとも1つのFE102、少なくとも1つのデータストレージまたはメモリ101、および少なくとも1つのIE104を含んでいる。ここで、FE102は、例えば、コアルータである。また、図2は、2つのネットワーク端点、つまりクライアント201、およびネットワークの保護されたサービス202(または保護された領域)を示している。
図2の表に示されるように、ネットワーク端点201は、ネットワークのデータフローを生成および/または受信し得、生成および/または受信されたデータフローを、正規のデータパス上でデータフロー103として少なくとも1つのFE102へ転送し得る。それに応じて、少なくとも1つのFE102が、クライアント201から、保護されたサービス202へのデータパス上に、備えられている。図2に示すように、FEには、「共有ステート転送要素」の機能を実装し得、すなわちFEは、データフローを転送することができ、データフローのフローステートを他のネットワーク要素および/またはサービスアプリケーションと共有することができる。少なくとも1つのIE104には、「共有ステートサービスアプリケーション」および「ステート共有」の機能を実装し得、すなわちネットワークステートおよびフローステートを他のネットワーク要素およびサービスアプリケーションと共有するサービスアプリケーションとして機能することができる。少なくとも1つのデータストレージまたはメモリ101も、「ステート共有」機能を実装し得、すなわちネットワークステートおよびフローステートを他のネットワーク要素およびサービスアプリケーションと共有することができる。
図2では、ネットワークパケットがクライアント201(例えばゲートウェイルータ、ファイアウォールなど)に到着した場合、これらのネットワークパケットは、データフロー103として少なくとも1つのFE102へ転送され得る。データフロー103のネットワークパケットは、次のグループの1つと関連付けることができる。「新規のかつ許可された」、すなわち到着しているネットワークパケットは、所定の許可されたトラフィックのパターンと一致する、新規のデータフロー103の最初のパケットである。「新規のかつ悪意がある」、すなわち到着しているネットワークパケットは、所定のブロックされたトラフィックのパターンと一致する、新規のデータフロー103の最初のパケットである。「新規のかつ疑わしい」、すなわち到着しているネットワークパケットは、所定のパターンと一致しないか、または所定の疑わしいトラフィックのパターンと一致する、新規のデータフロー103の最初のパケットである。「中間のかつ疑わしい」、すなわち到着しているネットワークパケットは、疑わしいデータフロー103の先に進んだパケットである。「中間のかつ許可された」、すなわち到着しているネットワークパケットは、許可されたデータフロー103の先に進んだパケットである。「中間のかつ悪意がある」、すなわち到着しているネットワークパケットは、悪意があるデータフロー103の先に進んだパケットである。少なくとも1つのFE102は、例えばデータフロー103と所定のパターンとの比較によって、到着しているネットワークパケットがどのグループに属するかを判定することができる。
ただし、FE102は、少なくとも1つのデータストレージまたはメモリ101から、またはIE104から直接にも、「ステート共有」の機能を介して、データフローの共有されたフローステートを提供されもする。つまり、FE102は、共有されたフローステートに基づいて、到着しているネットワークパケットの種類を判定することもできる。好ましくは、FE102は、受信されたデータフロー103が、少なくとも1つのデータストレージまたはメモリ101に記憶されたフローステートをすでに有しているかどうかを判定し、受信されたデータフローが、記憶されたフローステートを有している場合には、データフローのフローステートだけに基づいてデータフローをブロック、転送、または複製するように構成される。別の方法として、FE102は、好ましくは、受信されたデータフロー103が、記憶されたフローステートを有していない場合には、データフローと所定のパターンとの比較のみに基づいてデータフロー103をブロック、転送、または複製するように構成される。
好ましくは、FE102は、データフローの、共有されたフローステートが「許可」である場合および/またはデータフローが、所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフロー103のネットワークパケットを(保護されたサービス202へ)転送するように構成される。別の方法として、FE102は、データフローの、共有されたフローステートが「ブロック」である場合、および/またはデータフローが所定の悪意があるトラフィックのパターンと一致する場合には、データフローのパケットをブロックするように構成される。別の方法として、FE102は、データフローのフローステートが「疑わしい」である場合、および/またはデータフローが所定の疑わしいトラフィックのパターンと一致するかもしくは所定のパターンと一致しない場合には、(IE104に対して)データフローのパケットを複製するように構成される。それに応じて、FE102は、疑わしいデータフローのパケットをIE104へ誘導し、許可されたデータフロー103に属するパケットについてはIE104をバイパスするようにし、悪意があるデータフロー103のパケットを完全にブロックするように構成される。その結果、IE104の負荷を最小限に抑えることができる。
疑わしいデータフロー103の複製されたパケットだけが、さらなる検査のためにIE104へ転送される。詳細には、疑わしいトラフィックの検査は、「共有ステートサービスアプリケーション」の機能を実装する少なくとも1つのIE104によって行われ得る。IE104は、少なくとも1つのデータストレージまたはメモリ101の中のデータフローのフローステートを変化させる(例えば「許可」から「ブロック」へ)ためにDCTメカニズムをさらに使用し得る。次いで、変化させられたフローステートが共有される。次いで、データフローのパケットの処理は、データストレージまたはメモリ101の中のデータフローのフローステートの変更(例えば「ブロック」へ)に反応するように構成されたFE102によって実行される。
図3は、DCTメカニズムを使用する一実施形態のための可能な構成要素を示している。FE102は、第1のネットワークノード(ノードA)に含まれ得る。ノードAは、受信されたデータフローに属する少なくとも1つのネットワークパケットについて接続追跡を実行するように構成された接続追跡モジュール302を備えたカーネル301も含み得る。少なくとも1つのデータストレージおよびメモリ101も、ノードAに備えられ得、少なくとも1つの接続追跡モジュール302によって得られた接続追跡データを記憶するように構成され得る。詳細には、フローステートは、接続追跡データの一部であり得る。好ましくは、メタデータも接続追跡データに含まれ得る。記憶された接続追跡データは、システム100にわたって共有される。IE104の「共有ステートサービスアプリケーション」の機能は、別のネットワークノード(ノードB)に含まれ得る。IE104は、疑わしいデータフローの分類の結果に基づいて、データストレージまたはメモリ101に記憶された接続追跡データ、詳細にはフローステートを更新するように構成されている。特許出願PCT/EP2015/070160およびPCT/EP2015/079117は、DCTメカニズムに関してさらなる詳細を提供している。詳細には、DCTは、PCT/EP2015/070160で説明されており、FE102とIE104との間でフローステートおよびメタデータを共有するために、ここで使用することができる。また、「DCTを使用する共通アプリケーションレイヤ」が、PCT/EP2015/079117で説明されており、IE104への疑わしいパケットフローの誘導を実施するためにここで使用することができる。
図4は、先の図1および図2の実施形態に基づき、またDCTの実装にも適した、本開示の一実施形態を示している。到着しているネットワークパケットのデータフロー103(1)は、上記のように新規および中間のパケットを含み得る。少なくとも1つのFE102(2)は、共有されたフローステートおよび/または所定のパターンに基づいて、データフローをブロック、許可(保護された領域202へ普通に転送する)、または許可およびIE104へ向けて複製する。一致し(3)、結果としてブロックされるデータフローは、FE102によって破棄される。一致し、結果として許可されるデータフローは、保護された領域202またはサービスへ普通に転送される(4)。疑わしいデータフローは、結果として、分類のためにIE104に向けて複製される(5)。この場合、FE102は、IE104による分類が完了するまで、疑わしいデータフローのパケットの転送を引き延ばすように構成され得る。別の方法として、FE102は、IE104による分類が完了するまで、保護された領域2β03へ疑わしいデータフローのパケットを普通に転送するように構成され得る。
IE104は、さらなる分類のために、複製されたデータフロー105を受信する(6)。IE104は、データフローが悪意があるか否かを決定した時点で、データストレージおよび/またはメモリ101の中のデータフローのフローステートを、詳細にはDCTメカニズム(PCT/EP2015/070160およびPCT/EP2015/079117によって実装されるように。図3も参照のこと)を使用することによって更新する。さらに、好ましくは、IE104は、データフローの複製動作を解除する。つまり、好ましくは、IE104は、複製されたデータフロー105のフローステートを「終了」へ変更させるように構成され、次いで、好ましくは、FE102は、前記データフローをIE104へ複製することを停止するように構成される。
データフローのフローステートが変更された時点で、少なくとも1つのFE102がそれに応じて更新され、「ブロック」に設定されたデータフローについては、ブロックが実施される。好ましくは、FE102は、IE104が前記データフローのフローステートを「ブロック」に設定または更新した場合には、データフローのパケットを即座に(すなわち、データフローの次のデータパケットからすでに始めている)ブロックするように構成される。
図5は、図1および図2の実施形態に基づく本開示の一実施形態を示しており、いくつかの重要な点を示している。図1および図2のように、システム100は、少なくとも1つのFE102、少なくとも1つのデータストレージまたはメモリ101、および少なくとも1つのIE104を含んでいる。図2のように、システム100は、クライアント201および保護されたサービス202または領域を含み得る。
保護されたサービス202へ向けた、クライアント201からのトラフィック(すなわちデータフロー)が、FE102へ到着する。FE102は、図5の表の中で「F1」という名前を付けられ、例えばデータストレージまたはメモリ101(例えば、DCTによって実装される)内でフローステータス「新規」を有する、新規のデータフローを生成し得る。IE104は、データフロー「F1」が悪意があることを積極的に疑い得、「複製」動作を伴って、データストレージまたはメモリ101の中の「F1」のステータスを「疑わしい」に更新することができる。それに応じて、FE102は、データフロー「F1」について、データストレージまたはメモリ101を経由してフローステータス「疑わしい」で更新され、その結果、少なくとも1つのIE104へ向けて送信される「F1R」という名前を付けられた複製されたデータフロー、すなわちクライアント201と保護されたサービス202との間のパケットフローの複製を再生するために、複製動作を実行する。その一方で、少なくとも1つのFE102は、保護されたサービス202へ向けてデータフロー「F1」を普通に転送し続け得る。
IE104は、複製されたデータフロー105を受信し、例えば、数パケット後にデータフローを分類することができる。次いで、IE104は、データストレージまたはメモリ101の中の「F1」のフローステートを、例えば、動作「ブロック」を伴う「悪意がある」に更新する。次いで、IE104は、データストレージまたはメモリ101の中の「F1R」のフローステートを「終了」に更新することもでき、これによって複製を停止させる。それに応じて、FE102は、データフロー「F1」について、データストレージまたはメモリ101を経由してフローステート「ブロック」で更新され、そのデータフロー「F1」を即座にブロックし、データフロー「F1R」についてはフローステート「解除」へ更新され、このデータフローの複製を即座に停止する。
図5に記載のシナリオでは、悪意があるデータフローは、そのように分類されるとすぐに、組織、すなわち保護されたサービス202へ入ることをブロックされる。データフローの分類は、ネットワークデータパスに追加の要素を一切配置することなく、「ぎりぎり間に合う」ように、また「まさに必要な時間」で実行される。
例えばDCTメカニズムを介して共有される、その共有されるフローステートのステート特性に起因して、IE104によってフローステートが更新される瞬間、例えばあるデータフローがブロックされる必要がある瞬間に、ブロックが、システム100のすべてのFE102によって、すなわちシステム100が存在するネットワークにわたって(スイッチ、ルータ、ロードバランサなど)即座に実施される。IE104は、保護された領域202へのクリティカルデータパスの外側に位置するため、処理が簡素化されており、可用性が高く、容易に拡張可能である。
図1から図5における上述の実施形態は、追加の機能と共に提供することができる。例えば、許可されたデータフローおよびブロックされたデータフローの処理は、すでに分類されたデータフローについてはIE104をバイパスすることによって最適化することができる。詳細には、FE102は、許可として先に分類されてしまっているデータフローのパケットについて、IE104をバイパスするように構成し得る。
また、FE102は、SDNコントローラへ接続することができ、SDNコントローラは、「許可」、「ブロック」および「複製」動作を実施するために、ネットワークデータフローと一致すべき所定のパターンとしてOpenFlowのルール(またはOpFlex、またはそのようなもの)を実装するために使用され得る。つまり、SDNコントローラは、FE102に所定のパターンを提供するように構成されている。
FE102は、疑わしいトラフィックのデータフローをIE104に向けて誘導し、データフローの分類が行われ、次いで、データフローがブロックされるか、またはIE104をバイパスしてその宛先へ直接誘導されるときまで、一時的にデータフローを回線内に置くようにも構成され得る。別の方法として、トラフィックの分類が行われ、次いで、ネットワークパケットフローがブロックされるかまたは許可されたままになり、IE104へ向けた複製が解除されるまで、トラフィックがその宛先へ普通に転送もされながら、FE102は、疑わしいデータフローの複製を開始し、その複製をIE104へ向けて誘導し得る。つまり、FE102は、IE104による分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットの転送を引き延ばすか、または所定の疑わしいトラフィックのパターンと一致するデータフローのパケットをIE104へ複製し、かつ普通に転送するように構成される。
APTであると疑われるデータフローは、長期間それを「疑わしい」のままにし、IE104が「low&slow」攻撃を検知できるようにすることによって処理することができる。このために、FE102は、分類結果にかかわらず、所定の期間データフローのフローステートを「疑わしい」のままにするように構成され得る。
許可されたデータフローを、例えば再検査のために、および自身の攻撃ベクトルをランダム化する何らかのAPTを克服するために、「疑わしい」のフローステートにランダムに(または定期的に)入れ込むことも可能である。このために、少なくとも1つのFE102は、任意の受信されたデータフローのフローステートを「疑わしい」に変化させるように構成され得る。
図6は、本開示の一実施形態に係る方法600を示している。方法600は、SDNにおいて悪意があるデータフローの侵入を検知および防止するために実行することができる。第1のステップ601では、データフローのフローステートが記憶され、SDNにわたって共有および更新される。第2のステップ602では、受信されたデータフローが、データフローのフローステート、および/またはデータフローと所定のパターンとの比較に基づいて、ブロック、転送、または複製される。次いで、第3のステップ603では、複製されたデータフローが、悪意があるかそれとも許可されているか分類される。最後に、第4のステップ604では、データフローのフローステートが、分類結果に応じて変化させられる。方法600は、もちろん、上のシステム100の機能の記載に従って追加のおよび詳細な方法ステップを付けて拡張することができる。
要約すると、本開示の実施形態によれば、IPSは、悪意があるトラフィックを検知、検査およびブロックするIPSの能力を損なうことなくデータパスから取り除かれる。また、IPSは、SPOFとしてネットワークから取り除かれ、IPSへの負荷は、妥当な疑わしいデータフローだけを含むように軽減され、一方、すでに分類されたデータフローはすべて、一切IPSへ転送されない。悪意があるデータフローのブロックは、システムにわたって、したがってシステムが存在するネットワークにわたって、瞬時に行われる。また、IPSのブロックおよびデータフローの複製メカニズムを実装するためにベンダーを超えた連携を必要としない。
本開示は、例および実施態様としてさまざまな実施形態と共に記載されている。ただし、他の変形例が、図面、本開示および独立請求項の検討に基づいて、当業者によって、そして請求項に記載の実施形態によって、理解され達成されることができる。請求項において、および記載において、「含む、備える」という語は、他の要素またはステップを除外せず、不定冠詞「a」または「an」は複数性を除外しない。単一の要素または他のユニットが、請求項に列挙されるいくつかのエンティティまたはアイテムの機能を果たし得る。特定の手段が、相互に異なる従属請求項に列挙されているという単なる事実は、これらの手段の組合せが有利な実施態様に使用されることができないということを示さない。
100 システム
101 データストレージまたはメモリ
102 FE
103 データフロー
104 IE
105 複製されたデータフロー
201 クライアント
202 保護されたサービス
301 カーネル
302 接続追跡モジュール
600 方法
601 第1のステップ
602 第2のステップ
603 第3のステップ
604 第4のステップ
101 データストレージまたはメモリ
102 FE
103 データフロー
104 IE
105 複製されたデータフロー
201 クライアント
202 保護されたサービス
301 カーネル
302 接続追跡モジュール
600 方法
601 第1のステップ
602 第2のステップ
603 第3のステップ
604 第4のステップ
Claims (15)
- データフローのフローステートを記憶し、システムにわたって前記フローステートを共有および更新するように構成される少なくとも1つのデータストレージまたはメモリと、
前記データフローのフローステート、および/または前記データフローと所定のパターンとの比較に基づいて、受信されたデータフローをブロック、転送、または複製するように構成される少なくとも1つの共有ステート転送要素FEと、
複製されたデータフローを受信し、前記データフローが、悪意があるかそれとも許可されているかを分類するように構成される少なくとも1つの検査要素IEと
を備える、SDN(Software Defined Network)において悪意があるデータフローの侵入を検知および防止するシステムであって、
前記IEは、分類結果に応じて前記データフローの前記フローステートを変化させるように構成され、
前記FEは、
前記データフローのフローステートが「疑わしい」である場合、および/または前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを前記IEに対して複製および転送し、前記IEによる分類が完了するまで、保護された領域へ前記データフローを転送するように構成される、システム。 - 前記FEは、
前記データフローのフローステートが「許可」である場合、および/または前記データフローが所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを転送し、
前記データフローのフローステートが「ブロック」である場合、および/または前記データフローが所定の悪意があるトラフィックのパターンと一致する場合には、受信されたデータフローのパケットをブロックし、
前記データフローのフローステートが「疑わしい」である場合、および/または前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを複製するように構成される、請求項1に記載のシステム。 - 前記FEは、
受信されたデータフローが、前記少なくとも1つのデータストレージまたはメモリに記憶されたフローステートをすでに有しているかどうかを判定し、
前記受信されたデータフローが、記憶されたフローステートを有している場合には、前記データフローの前記フローステート、または
前記受信されたデータフローが、記憶されたフローステートを有していない場合には、前記データフローと前記所定のパターンとの比較
に基づいて、前記データフローをブロック、転送、または複製するように構成される、請求項1に記載のシステム。 - 前記FEは、前記IEが前記データフローのフローステートを「ブロック」に設定または更新した場合には、データフローのパケットを即座にブロックするように構成される、
請求項1に記載のシステム。 - 前記FEは、前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、データフローのフローステートを「疑わしい」に設定または更新するように構成され、前記データフローを、分類のために前記IEへ複製するように構成される、
請求項1に記載のシステム。 - 前記FEは、任意の受信されたデータフローのフローステートを「疑わしい」に変化させるように構成される、
請求項1に記載のシステム。 - 前記FEは、
前記IEによる前記分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットの転送を引き延ばし、
次いで、前記分類結果に応じて、前記パケットをブロックまたは普通に転送する
ように構成される、請求項5に記載のシステム。 - 前記FEは、
前記IEによる前記分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットを前記IEへ複製および普通に転送し、
次いで、前記分類結果に応じて、前記パケットをブロックまたは普通に転送し続ける
ように構成される、請求項5に記載のシステム。 - 前記FEは、前記分類結果にかかわらず、所定の期間、データフローのステートを「疑わしい」のままにするように構成される、
請求項1に記載のシステム。 - 前記IEは、複製されたデータフローのフローステートを「終了」に変化させるように構成され、
前記FEは、前記IEが前記フローステートを「終了」に変化させた場合、前記IEへ前記データフローを複製することを停止するように構成される、
請求項1に記載のシステム。 - 前記FEは、許可として先に分類されてしまっているデータフローのパケットについては、前記IEをバイパスするように構成される、
請求項1に記載のシステム。 - 前記少なくとも1つのデータストレージまたはメモリは、データフローのメタデータを記憶し、前記システムにわたって前記メタデータを共有および更新するように構成され、
前記FEは、前記データフローのフローステートおよびメタデータに基づいて、受信されたデータフローをブロック、転送、または複製するように構成される、
請求項1に記載のシステム。 - 前記FEは、SDNコントローラへ接続され、
前記SDNコントローラは、前記FEに前記所定のパターンを提供するように構成される、
請求項1に記載のシステム。 - データフローのフローステートを記憶し、SDN(Software Defined Network)にわたって前記フローステートを共有および更新するステップと、
前記データフローのフローステート、および/または前記データフローと所定のパターンとの比較に基づいて、受信されたデータフローをブロック、転送、または複製するステップと、
複製されたデータフローが、悪意があるかそれとも許可されているかを分類するステップと、
分類結果に応じて前記データフローのフローステートを変化させるステップと
を含み、
前記データフローのフローステートが「疑わしい」である場合、および/または前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを検査要素IEに対して複製および転送するステップと、
前記IEによる分類が完了するまで、保護された領域へ前記データフローを転送するステップと
をさらに含む、前記SDNにおいて悪意があるデータフローの侵入を検知および防止する方法。 - 演算装置上で実行された場合に、請求項14に係る、SDN(Software Defined Network)において悪意があるデータフローのネットワーク侵入を検知および防止する方法を実施するコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019099324A JP6801046B2 (ja) | 2019-05-28 | 2019-05-28 | 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019099324A JP6801046B2 (ja) | 2019-05-28 | 2019-05-28 | 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017523948A Division JP6762298B2 (ja) | 2016-06-22 | 2016-06-22 | 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019165493A JP2019165493A (ja) | 2019-09-26 |
| JP6801046B2 true JP6801046B2 (ja) | 2020-12-16 |
Family
ID=68064444
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019099324A Active JP6801046B2 (ja) | 2019-05-28 | 2019-05-28 | 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6801046B2 (ja) |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| JP2006279930A (ja) * | 2005-03-01 | 2006-10-12 | Nec Corp | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 |
| US7757283B2 (en) * | 2005-07-08 | 2010-07-13 | Alcatel Lucent | System and method for detecting abnormal traffic based on early notification |
| WO2013150925A1 (ja) * | 2012-04-03 | 2013-10-10 | 日本電気株式会社 | ネットワークシステム、コントローラ、及びパケット認証方法 |
| US9705918B2 (en) * | 2012-05-22 | 2017-07-11 | Sri International | Security mediation for dynamically programmable network |
| US9571523B2 (en) * | 2012-05-22 | 2017-02-14 | Sri International | Security actuator for a dynamically programmable computer network |
| JP5882961B2 (ja) * | 2013-09-03 | 2016-03-09 | ビッグローブ株式会社 | コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム |
| JP6104149B2 (ja) * | 2013-12-24 | 2017-03-29 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
| JP6364255B2 (ja) * | 2014-06-17 | 2018-07-25 | 株式会社エヌ・ティ・ティ・データ | 通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラム |
| WO2015192319A1 (zh) * | 2014-06-17 | 2015-12-23 | 华为技术有限公司 | 软件定义网络中识别攻击流的方法、装置以及设备 |
| CN106464659A (zh) * | 2014-06-30 | 2017-02-22 | 上海贝尔股份有限公司 | 软件定义网络中的安全 |
-
2019
- 2019-05-28 JP JP2019099324A patent/JP6801046B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019165493A (ja) | 2019-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6762298B2 (ja) | 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 | |
| Wang et al. | Intrusion prevention system design | |
| US8959197B2 (en) | Intelligent integrated network security device for high-availability applications | |
| US8595817B2 (en) | Dynamic authenticated perimeter defense | |
| US6775657B1 (en) | Multilayered intrusion detection system and method | |
| US7539857B2 (en) | Cooperative processing and escalation in a multi-node application-layer security system and method | |
| JP5816374B2 (ja) | ファイアウォールクラスターにおけるアプリケーション状態共有 | |
| US20140153435A1 (en) | Tiered deep packet inspection in network devices | |
| Atighetchi et al. | Adaptive cyberdefense for survival and intrusion tolerance | |
| Khan et al. | FML: A novel forensics management layer for software defined networks | |
| US20230362131A1 (en) | Systems and methods for monitoring and securing networks using a shared buffer | |
| JP2002124996A (ja) | 高速パケット取得エンジン・セキュリティ | |
| JP6801046B2 (ja) | 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 | |
| CN116633694B (zh) | 一种基于多模异构组件的web防御方法与系统 | |
| US10296744B1 (en) | Escalated inspection of traffic via SDN | |
| CN112445956A (zh) | 合法拦截流量以基于流量关联的应用标识符或(url)进行分析 | |
| US7657937B1 (en) | Method for customizing processing and response for intrusion prevention | |
| KR20190134287A (ko) | 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법 | |
| KR20050098603A (ko) | 액티브 라우터를 이용한 분산서비스거부공격을 방어하는방법 | |
| Khan et al. | Comparative study of intrusion detection system and its recovery mechanism | |
| Taibah et al. | Dynamic response in distributed firewall systems | |
| Nam et al. | A cost-optimized detection system location scheme for DDoS attack | |
| ARGYROUDIS et al. | Distributed Intrusion Detection using Mobile Agents | |
| Shijie et al. | CI 2 D&R: Cost-based Intelligent Intrusion Detection and Response System | |
| Jayasingh et al. | DISTRIBUTED AGENTS FRAMEWORK FOR NETWORK SECURITY–A CASE STUDY OF AN ATTACK |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190529 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190529 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200515 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200608 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200904 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201026 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201125 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6801046 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |