JP7167240B2 - コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム - Google Patents
コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム Download PDFInfo
- Publication number
- JP7167240B2 JP7167240B2 JP2021075748A JP2021075748A JP7167240B2 JP 7167240 B2 JP7167240 B2 JP 7167240B2 JP 2021075748 A JP2021075748 A JP 2021075748A JP 2021075748 A JP2021075748 A JP 2021075748A JP 7167240 B2 JP7167240 B2 JP 7167240B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- database
- attacker
- traffic
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本開示は、コンピュータネットワークセキュリティ、侵入検出及び侵入プロテクションに関する。本発明は、コンピュータベースデバイス又はシステムの未認証のアクセス又は誤用の監視、検出、応答及び/又は防止に利用するのに特に適している。本発明の実施例は、攻撃者のプロファイリング及び/又はコンピュータベースデコイ(ハニーポット/ハニーネット)の利用に関するものであってもよい。
侵入検出システム(IDS)は、攻撃者についてネットワークアクティビティを監視するのに利用される。レポートが生成され、アラートが特定のネットワークの所有者又は管理者に通知される。例えば、ファイアウォールを利用してトラフィックをブロックすることによって、攻撃に応答する侵入検出システムは、侵入防止システム(IPS)又は侵入検出防止システム(IDPS)として参照されうる。いくつかの実現形態では、攻撃者のトラフィックは1つ以上のハニーポットによって検出及び/又はルーティングされる。
ハニーポットは、ネットワーク上のより脆弱なプロダクションマシーンから攻撃者をそらすため攻撃者を引き付けるネットワークデコイである。ハニーポットは、未割り当てのアドレスを用いてネットワーク内にしばしば配置され、攻撃者を引き付けるためのサービス及び/又はデータを提供する。ハニーポットはプロダクション価値を有さず、典型的には、未割り当てのアドレスに配置されるため、ハニーポットに接触しようとする全ての試みは疑わしい。これは、ハニーポットが攻撃を特定するのに利用可能であることを意味し、従って、ハニーポットはまた、攻撃者がハニーポットを利用している間、攻撃者の行動及び攻撃者の身元に関する情報の収集を可能にする。さらに、攻撃者は、ネットワークにおけるターゲットがハニーポットである可能性を評価するため、行動(提供されるサービスなど)を観察することによってハニーポットを回避しようとする。
物理的なハニーポットは、自らのIPアドレスを備えた実際のマシーンであり、従って、実現するのが高価である。他方、バーチャルなハニーポットは、より少ない物理的なマシーンしか必要とせず、従って、コストを減少させる。オペレーティングシステム及びハニーポットによって提供されるサービスは、ネットワーク上のアクティビティ及び当該時点で特定のハニーポットの意図された目的に従って構成される。ハニーポットを構成することは、困難、複雑且つ時間を要するため、動的なバーチャルなハニーポットは、コンフィギュレーション処理を自動化するのに利用される。動的なハニーポットは、ネットワークを発見し(例えば、フィンガープリンティングによって)、何れのハニーポットコンフィギュレーションを利用するか決定し、ハニーポットを作成及び構成することが可能である。
複数のハニーポットが、“ハニーネット”、すなわち、意図的な脆弱性によりセットアップされたデコイネットワークを形成するのに組み合わせ可能である。個々のハニーポットと同様に、ハニーネットは、所有者/管理者が攻撃者のアクティビティを観察及び解析し、収集した情報を利用してシステムのセキュリティ機構を強化することを可能にする。
技術分野に一般に関連する背景文献は、WO2012/011070 A1, US2015/0229656 A1, US8661102, US20060242701, US2007271614, US2007192863, US2011214182, US2013152199, US2015106889, US2016080414, US2016065614, US2006212942, JP2005004617, US20040128543及びUS2010269175に見つけることができる。
本明細書に含まれた文献、処理、物質、デバイス、物などの何れかの議論は、これらの題材の何れか又は全てが先行技術の基礎の一部を構成するか、あるいは、本出願の各請求項の優先日前にそれが存在したとき、本開示に関連する分野における共通の一般的知識であったという自認としてとられるべきでない。
全ての新たな攻撃者又は修正された攻撃者の行動があると、IDPSは、攻撃者の行動を監視し、攻撃者に関するログされたデータを更新し、またレスポンス戦略を更新する。例えば、特定の攻撃者のプロファイルが、当該攻撃者に対してバーチャルなハニーポットが作成させてもよい。当該処理が新たな各攻撃者に対して繰り返され、攻撃者の行動又はプロファイルのある側面が変わった場合、繰り返されてもよい。これは、複雑で時間のかかる処理である。検出された攻撃者に応答し、レスポンスを更新する簡単化された処理を有することが効果的である。当該処理を簡単化することによって、セキュリティ手段が、より迅速により効率的なやり方で配置可能である。さらに、侵入検出システムに関して改良されたデータの通信及び転送が必要とされる。そのような改良は、攻撃者を検出、防止及び応答するようにより良く備えられたより効果的なプロテクションシステムをもたらす。
本発明の各種態様及び実施例は、そのような改良されたセキュリティ手段を提供し、コンピュータベースデバイ及びネットワークと、そこに格納されているデータとに対するエンハンスされたプロテクションをもたらす。本発明は、リアクティブでプリエンプティブなセキュリティシステムを提供しうる。システムは、選択理論に基づくものであってもよい。それは、計算デバイス、ネットワーク及びそれらの関連するデータのプロテクションのため構成されてもよい。
本発明によると、コンピュータにより実現される方法であって、
ネットワークトラフィックデータを受信、処理及びログするステップと、
ネットワークトラフィックデータから攻撃者プロファイルを決定するステップと、
攻撃者プロファイルに基づきハニーポット又はハニーネットコンフィギュレーションを決定するステップと、
ユーザから有効な情報リクエストを受信すると、決定された攻撃者プロファイル及びコンフィギュレーションをユーザに提供するステップと、
を有する方法が提供されてもよい。
ネットワークトラフィックデータを受信、処理及びログするステップと、
ネットワークトラフィックデータから攻撃者プロファイルを決定するステップと、
攻撃者プロファイルに基づきハニーポット又はハニーネットコンフィギュレーションを決定するステップと、
ユーザから有効な情報リクエストを受信すると、決定された攻撃者プロファイル及びコンフィギュレーションをユーザに提供するステップと、
を有する方法が提供されてもよい。
ネットワークトラフィックデータは、複数のユーザから受信されてもよく、複数のユーザは、当該(要求元)ユーザを含んでもよい。
ネットワークにおけるハニーポットの処理を改良するため、好ましくは、ハニーポットが攻撃者によって容易に特定されないような方法で、ハニーポットは攻撃者を引き付けるよう構成可能である場合、それは効果的であろう。これを実行する1つの方法は、攻撃者に関する更新された情報に従ってハニーポットを再構成することである。例えば、動的なハニーポットは、攻撃者が当該ハニーポットによって以前に提供されていないサービスをリクエストするログされた攻撃者の行動に基づき追加的なサービスを提供するよう自動的に更新されてもよい。
当該方法は、コンピュータベースリソースを利用して、ネットワークトラフィックデータ、攻撃者プロファイル、前記ハニーポット又はハニーネットコンフィギュレーション、及び/又はユーザに関連するデータを格納するステップを有してもよい。
ネットワークトラフィックは、決定されたコンフィギュレーションに従って、あるいは利用して生成されたハニーポット又はハニーネットに誘導されてもよい。複数のユーザは、有効な、認証された又は正当なユーザとして示されるユーザを含んでもよい。複数のユーザの一部又は全ては、本発明によるシステムに登録されるか、あるいは、認証されたとして示されてもよい。認証されたユーザのリストが、格納又は維持されてもよい。認証されたユーザは、ネットワークトラフィックに関連するデータを共有及び/又は貢献することに同意した協力する参加者であってもよい。
当該方法は、ユーザからリクエストを受信するステップと、リクエストが認証されたユーザ、攻撃者又は未認証のパーティからであるか判断するステップとを有してもよい。
当該方法は、複数のユーザのユーザの1人以上のプロファイルを決定するステップを有してもよい。
本発明はまた、上記の何れかの方法を実現するよう構成されるコンピュータにより実現される(セキュリティ)システムであって、システムの複数のユーザによって提供されるネットワークトラフィックデータを格納するよう構成されるコンピュータベースストレージリソースと、リクエストに応答して1人以上の正当なユーザにハニーポット又はハニーネットコンフィギュレーションを提供するよう構成されるソフトウェアコンポーネントとを有し、コンフィギュレーションは、ネットワークトラフィックデータに基づき又は利用して導出された攻撃者プロファイルに基づく。
ストレージリソースは更に、複数のユーザの1人以上に関連するプロファイル、1人以上の攻撃者又は攻撃者のグループ若しくはタイプに関連するプロファイル、及び/又はハニーポット/ハニーネットコンフィギュレーションパラメータを格納するよう構成されてもよい。
本発明の各種態様は、侵入検出プロテクションシステム(IDPS)(及び対応する方法)を提供してもよい。当該方法は、データベース(又はレポジトリ)を提供するステップを有してもよい。データベースは、“通常”ユーザ、すなわち、正当及び/又は登録されたユーザのためのプロファイルを格納してもよい。これは、正当なユーザに利用されるか、あるいは利益のあるトラフィックに関連するリファレンスデータを提供してもよい。データベースは、既知の攻撃者又は攻撃なのグループに関連するデータ(プロファイル)を格納してもよい。それは、攻撃者の分類データ、コードシグネチャなどを格納してもよい。それは、例えば、ハニーポット/ネットコンフィギュレーションパラメータなどの攻撃防止データを格納してもよい。
データベースは、データマネージャによって管理されうる。複数のユーザが、例えば、ネットワークを介しデータマネージャと通信してもよい。中央化されたデータベースは、攻撃者シグネチャ及び/又はプロファイルなどの情報をユーザ又はユーザらのシステムに提供してもよい。これは、提供された攻撃者プロファイル又はシグネチャとネットワーク上のトラフィックとをユーザがマッチングすることを可能にしうる。互いの有益な情報によって共有レポジトリを実現することは、参加者が現在の攻撃者を特定及び応答するだけでなく、他の参加者によって収集されたデータに基づき潜在的な攻撃者に対して自らを効果的に守ることを可能にする。1つ以上の実施例では、参加ユーザは、レポジトリに登録又は加入してもよい。
データマネージャは、単一の計算デバイスであってもよいし、あるいは、分散計算、グリッド計算又はクラウド計算を可能にするための複数の計算デバイス又はプロセッサを含む計算ネットワークであってもよい。データベースは、通信リンクを介しデータマネージャに接続されてもよい。あるいは、データベースは、データ処理時間を低減するためのデータマネージャの一部であってもよい。他の実施例では、データベースは、通信ネットワークを介しデータマネージャに接続されてもよい。通信ネットワークは、ワイドエリアネットワーク(WAN)などの何れかの形態の既知のネットワークであってもよい。データベースは、データベース上で実行されるデータベース管理システム(DBMS)に従って動作してもよい。それは、異なるDBMSに基づき動作する複数のサブデータベースを含んでもよい。
データマネージャは、いくつかのサービスを提供することによってデータベースを管理してもよい。これらは、
IDPSのユーザから受信したネットワークトラフィックデータを受信、処理及びログし、複数のユーザのトラフィックデータをソースとする単一のデータリソースを形成するため、ネットワークトラフィックデータによって中央化されたデータベースを更新するステップ、
例えば、特定の攻撃者に適したハニーポットコンフィギュレーションの形式によってプロテクションパラメータを決定するステップ、及び/又は
中央化されたデータベース上の共有情報へのアクセスをユーザに提供するステップ、
ユーザが攻撃者を特定し、適切なプロテクションパラメータを実現することを可能にするステップを含んでもよい。
IDPSのユーザから受信したネットワークトラフィックデータを受信、処理及びログし、複数のユーザのトラフィックデータをソースとする単一のデータリソースを形成するため、ネットワークトラフィックデータによって中央化されたデータベースを更新するステップ、
例えば、特定の攻撃者に適したハニーポットコンフィギュレーションの形式によってプロテクションパラメータを決定するステップ、及び/又は
中央化されたデータベース上の共有情報へのアクセスをユーザに提供するステップ、
ユーザが攻撃者を特定し、適切なプロテクションパラメータを実現することを可能にするステップを含んでもよい。
データマネージャは、認証されたユーザからのリクエストがトラフィックプロファイルデータに対するリクエストに関連するか、あるいは、リクエストの目的が処理及びログのためにトラフィックデータを提供することであるかを判断してもよい。
未処理のトラフィックデータが、データマネージャによって受信されてもよい。この未処理のデータは、そのまま未処理形式でログされてもよい。さらに又はあるいは、それはまた、トラフィックを通常ユーザトラフィック又は攻撃者トラフィックに関連するとして分類するため処理されてもよい。これは、例えば、シグネチャベース又はアノマリベース検出、ステートフル検出及びアプリケーションレベル検出などを含む何れか既知の検出方法及びツールの利用を伴うものであってもよい。
本発明は、データベースと通信しうるシステムプロテクションシステム(SPS)を有してもよい。これは、データベースとの直接的な通信であってもよいし、あるいは、データマネージャを介してもよい。本発明は、入力されたリクエストが正当な参加者(ユーザ)又は悪意のある/未認証の第三者(攻撃者)から発信されているか判断するよう構成されてもよい。本発明はまた、リクエストに対するレスポンスを決定するよう構成されてもよい。リクエストが攻撃者からであると判断された場合、本発明は、バーチャルなハニーポット及び/又はハニーネット(すなわち、デコイ)及びデータベースを生成してもよい。データベースは、改良された、又は偽のデータベースであってもよい。それは、商業的又は機密性の高いセンシティブでないデータを含んでもよい。それはランダム化されたデータであってもよい。本発明は、ハニーポット及び偽のデータベースにリクエストのソースを誘導するよう構成されてもよい。
複数の攻撃者が特定された場合、複数のハニーポット及び各自のデータベースが生成されてもよい。ハニーポットを作成及び/又は構成するのに利用されるパラメータは、データベースから受信した攻撃者情報に基づきSPSによってローカルに決定されてもよい。あるいは又は加えて、ハニーポットパラメータがデータベースから取得されてもよい。他の攻撃者プロファイルデータがまた、データベースから取得されてもよい。
上述した何れかの特徴はまた、後述される実施例に適用可能であってもよい。
さらに又はあるいは、本発明は、コンピュータにより実現される方法であって、
攻撃者プロファイル情報を受信するステップ、
ネットワークアドレスへのトラフィックを監視するステップ、
監視されたトラフィックを攻撃者プロファイル情報と比較するステップ、
監視されたトラフィックが攻撃者に関連すると判断すると、コンピュータデコイのコンフィギュレーション情報を抽出するステップ、及び/又は、
抽出されたコンフィギュレーションに基づきコンピュータデコイを設定するステップを有する方法を提供してもよい。
攻撃者プロファイル情報を受信するステップ、
ネットワークアドレスへのトラフィックを監視するステップ、
監視されたトラフィックを攻撃者プロファイル情報と比較するステップ、
監視されたトラフィックが攻撃者に関連すると判断すると、コンピュータデコイのコンフィギュレーション情報を抽出するステップ、及び/又は、
抽出されたコンフィギュレーションに基づきコンピュータデコイを設定するステップを有する方法を提供してもよい。
攻撃者プロファイル情報は、コンフィギュレーション情報を含んでもよい。コンピュータデコイを設定するステップは、コンピュータデコイを作成し、及び/又はコンピュータデコイを再設定することを含んでもよい。デコイは、ハニーポット又はハニーネットとして参照されうる。
さらに又はあるいは、コンピュータにより実現される方法であって、
ネットワークトラフィックデータを受信、処理及びログするステップ、及び/又は
処理されたネットワークトラフィックデータに基づき、ネットワークトラフィックが攻撃者から発信されたと判断し、分類を決定し、分類に基づきデコイコンフィギュレーションを決定するステップ、
有効なユーザからのリクエストを受信すると、決定されたリスク分類及びデコイコンフィギュレーションをユーザに提供するステップ、
を有する方法を提供してもよい。当該リクエストは情報リクエストであってもよい。
ネットワークトラフィックデータを受信、処理及びログするステップ、及び/又は
処理されたネットワークトラフィックデータに基づき、ネットワークトラフィックが攻撃者から発信されたと判断し、分類を決定し、分類に基づきデコイコンフィギュレーションを決定するステップ、
有効なユーザからのリクエストを受信すると、決定されたリスク分類及びデコイコンフィギュレーションをユーザに提供するステップ、
を有する方法を提供してもよい。当該リクエストは情報リクエストであってもよい。
分類の決定は、例えば、マルチレイヤパーセプトロン(MLP)などの教師有り学習パターン認識を利用してもよい。当該分類は、攻撃者分類、コンピュータシステム/ネットワークリスク分類又はトラフィック分類であってもよい。
当該分類は、攻撃者の精巧化に関連するリスク又は重大性の分類であってもよい。例えば、特定の行動は相対的に小さな脅威であるとみなされる攻撃者に関連付けされる一方、より精巧な行動は潜在的により危険であるとみなされる攻撃者に関連付けされてもよい。
攻撃者分類の決定は、例えば、攻撃者によって何れのサービスがリクエストされたかに閾値が基づく場合、攻撃者の行動に関連する閾値に応じて生成されたトラフィックのタイプ又は攻撃者のタイプを分類することを含んでもよい。
さらに又はあるいは、特定の計算システム又はローカルネットワークのリスク特性が、ネットワークトラフィックから決定されてもよく、攻撃のリスクがネットワークトラフィック特性に関するシステム/ネットワークコンフィギュレーションに与えられる。分類は、ニューラルネットワーク、パーセプトロン、又はランダムフォレストアルゴリズムなどを利用したツリー学習法などの学習法によって未処理のトラフィックデータを処理することによって実行されてもよいし、あるいは、ルールベースであってもよい。例えば、パーセプトロンベースのニューラルネットワーク(例えば、マルチレイヤパーセプトロンMLP)に基づく教師有り学習パターン認識を利用するとき、各入力に対して1つのニューロンを有する入力レイヤが、IPオプション、マルウェア及びバッファオーバフロー状態について、選択された攻撃などをマッピングするのに利用されてもよい。パーセプトロンのシステムは、入力の組み合わせを表し、各ニューロンが予想される以降のデータ、以前のデータ及び外部のシステムデータと結合される現在データに基づきレスポンスを計算する隠れニューロンレイヤを用いて処理されてもよい。このレベルで処理されるデータは、出力レイヤに提供されてもよい。ニューラルネットワークの結果は、リスクファンクションなどとして出力を提供してもよい。パーセプトロンは、本発明について選択されたリスクファクタをモデル化し、経時的に訓練及び更新されたベースリスクを計算するのに利用されてもよい。
本発明の一態様又は実施例に関して上述された何れかの特徴はまた、上述された他の何れかの態様又は実施例に関して適用可能であって、関連していてもよい。
本明細書を通じて、“有する”という単語又はその変形は、他の何れかの要素、整数若しくはステップ又は要素、整数若しくはステップのグループを排除することなく、説明された要素、整数若しくはステップ又は要素、整数若しくはステップのグループの包含を意味すると解釈される。
本開示の実施例が、添付した図面を参照して具体例によってここで説明される。
侵入検出防止システム(IDPS)の実施例の概略表現である。
トラフィックデータ管理のための一例となるコンピュータシステムを示す。
IDPSの実現形態の実施例の概略表現である。
IDPSを提供する方法の実施例を説明するフロー図である。
侵入検出防止システムを利用する方法の実施例を説明するフロー図である。 図面において、同様の参照番号は同様のパーツを示す。
コンピュータシステム又はネットワークが攻撃されるとき、典型的な応答は、ファイアウォールを用いて攻撃をブロックすることであり、いくつかの具体例では、攻撃者をハニーポットに接続することである。これらの攻撃の詳細は他のパーティと共有されず、実行される全ての攻撃は独立して処理される。他のグループと情報は共有されず、この共有の欠如は、攻撃者が脆弱なターゲットを検出するため、複数のネットワークにわたって同一の攻撃戦略を実現することを簡単且つ経済的なものにする。
従って、コンピュータベースデバイス及びネットワークと、そこに格納されるデータのためのエンハンスされたプロテクションを提供する改良されたセキュリティ手段が必要とされる。
図1は、データマネージャ104によって管理される中央化されたデータベース102を提供することによって、この欠点に対処する侵入検出防止システム(IDPS)100を示す。複数のユーザ106,108,110が、例えば、ネットワーク112を介しデータマネージャ104と通信する。中央化されたデータベース102は、攻撃者のプロファイルと自らのネットワーク上のトラフィックとをマッチングさせることが可能なユーザ106,108,110の個別のシステムに攻撃者のシグネチャなどの情報を提供する。相互に有用な情報を備えた共有されたデータベースを実現することは、加入ユーザ106,108,110が現在の攻撃者を特定及び応答するだけでなく、他のユーザによって収集されたデータに基づき潜在的な攻撃者に対して自らを効果的に守ることを可能にする。
データマネージャ104は、単一の計算デバイスであってもよいし、あるいは、分散計算、グリッド計算又はクラウド計算を可能に得する複数の計算デバイス又はプロセッサを含む計算ネットワークであってもよい。
データベース102は、図1において、通信リンクを介しデータマネージャ104に接続されるとして示される。しかしながら、データベース102は、データ処理時間を減少させるためのデータマネージャ104の一部であってもよい。他の例では、データベース102は、本開示の範囲から逸脱することなく、通信ネットワーク112を介しデータマネージャ104に接続されてもよい。
中央化されたデータベース102は、データベース102上で実行されるデータベースマネージメントシステム(DBMS)に従って動作する。DBMSは、Microsoft SQL, Oracle, Sybase, IBM DB2, MySQL又はOrient DBを含んでもよい。中央化されたデータベース102は、異なるDBMSに基づき動作する複数のサブデータベースを含んでもよい。
通信ネットワーク112は、典型的には、ワイドエリアネットワーク(WAN)であり、ワイヤラインネットワーク、セルラ通信ネットワーク、ワイヤレスローカルエリアネットワーク(WLAN)、光通信ネットワークなどの何れか適したタイプのネットワークを利用して実現されてもよい。通信ネットワーク112は、例えば、インターネットなど、適したネットワークの組み合わせであってもよい。通信ネットワーク112はまた、具体的にはIDPS100のために構築されるプライベート通信ネットワークとすることが可能である。
図2は、本開示によるデータ管理のための一例となるコンピュータシステム120を示す。コンピュータシステム120は、上述したデータマネージャ104の一例となる構成を表す。
コンピュータシステム120は、ストレージデバイス126、メモリデバイス124、通信インタフェース128及びプロセッサ122を含む。コンピュータ120は更に、ストレージデバイス126、メモリデバイス124、通信インタフェース128及びプロセッサ122を接続するバス130を含む。
ストレージデバイス126は、複数のユーザから受信した通常のユーザ及び攻撃者のトラフィックデータを含むトラフィックデータを格納するよう構成される。ストレージデバイス126はコンピュータシステム120の一部として示されるが、ストレージデバイス126は、例えば、図1に示される中央化されたデータベース102など、コンピュータシステム120に接続される別のエンティティであってもよい。
メモリデバイス124は、図4及び5を参照して説明されるように、データマネージャ102の処理に関連する命令を格納するよう構成される。これらの命令は、プロセッサ122によって実行されると、IDPSを動作及び利用するこれらの方法をプロセッサ122に実行させるコンピュータソフトウェアプログラムに含まれるマシーン可読命令として実現される。
通信インタフェース128は、コンピュータシステム120と通信ネットワーク110との間のリンクを介し、通信ネットワーク、特に、図1に示されるような通信ネットワーク102に接続するよう構成される。
プロセッサ122は、メモリデバイス124、ストレージデバイス126及び通信インタフェース128に接続される。プロセッサ122は、IDPSの動作及び利用においてメモリデバイス124から命令を取得するよう構成される。
図2に示される具体例では、ストレージデバイス126、メモリデバイス124及びプロセッサ122は、例えば、Windows Server, Mac OS X Server, Linux(登録商標), Unix, Windows及びMac OSなどのシステムを実行するコンピュータに従って動作するよう構成される。
プロセッサ122は、汎用の中央処理ユニット(CPU)であってもよく、メモリデバイス124に格納される命令は、HyperText Markup Language (HTML), HTML5, JavaScript(登録商標)及びJQueryのプログラミング言語の1つ以上によって規定される。命令はまた、JAVA(登録商標), Python及びPHPのプログラミング言語の1つ以上によって規定されてもよい。命令はまた、Objective-C, C++, C及びSwiftのプログラミング言語の1つ以上によって規定されてもよい。
図3は、図1を参照して上述されたようなIDPSサービスを利用するコンピュータネットワーク200の一例を示す。言例では、ネットワーク202から受信したユーザリクエストは、リアルサーバ206がプロダクションデータベース208へのアクセスを提供するコンピュータネットワーク200にサーバプロテクションシステム(SPS)204を介しわたされる。もちろん、異なるタイプのサービスを提供する多数の異なるタイプのネットワークが、IDPSとの通信においてSPSを利用可能である。
SPS204は、図2を参照して上述された一例となるコンピュータシステム120などのコンピュータシステム上で実現されてもよい。メモリデバイス124は、そのときSPS204の処理に関連する命令を格納するよう構成される。これらの命令は、プロセッサ122によって実行されるとき、後述されるSPS204をプロセッサ122に実現させるコンピュータソフトウェアプログラムに含まれるマシーン可読命令として実現される。
SPS204は、中央化されたデータベース102からの情報へのアクセスを有する。図3に示されるように、中央化されたデータベース102は、上述されたようにユーザ210のコミュニティからのデータを利用して更新される。データベース102からのトラフィックパターンデータは、受信したユーザリクエストが通常のユーザからか、あるいは、攻撃者からか判断するためにSPS204によって利用される。ユーザリクエストが攻撃者からのものである場合、SPS204は、バーチャルなハニーポット212及び変換されたデータベース214を生成し、攻撃者を当該ハニーポット212及び実際のものであるように見える偽のデータベース214に誘導する。
複数の攻撃者が特定された場合、複数のハニーポット216,218及び各自の変換されたデータベース220,222が生成されてもよい。ハニーポットを作成及び/又は構成するのに利用されるパラメータは、データベース102から受信される攻撃者情報に基づき、SPSによってローカルに決定されてもよい。あるいは又はさらに、ハニーポットパラメータは、他の攻撃者プロファイルデータと一緒にデータベース102から取得されてもよい。
SPS204は、図3に示される具体例に示されるように、必要に応じて情報を抽出するため、データベース102と直接通信してもよい。図5に示される例(何れかにおいてより詳細に説明される)では、データベース102とSPS204との間の通信はデータマネージャ104を介したものであり、データマネージャ104は、情報がSPS204に提供されるコンテンツ及びフォーマットを管理する。SPS204に提供されるサービスを管理する1つの方法は、加入ユーザ(SPS所有者)が関連付けされる加入サービスプロファイルに従う。
図4は、図1に示されるようなIDPSを提供する方法300の一例を説明するフロー図である。ステップ302において、データマネージャ104は、例えば、接続がなされたとき、特定及び認証される加入SPSなどの認証されたユーザから接続リクエストを受信する。
データマネージャ104は、
(1)IDPSのユーザから受信したネットワークトラフィックデータを受信、処理及びログし、複数のユーザのトラフィックデータをソースとする単一のデータリソースを形成するため、ネットワークトラフィックデータによって中央化されたデータベースを更新すること、
(2)例えば、特定の攻撃者に適したハニーポットコンフィギュレーションの形式によるプロテクションパラメータを決定すること、
(3)中央化されたデータベース102上の共有された情報へのアクセスをユーザに提供し、ユーザが攻撃者を特定し、更に適切なプロテクションパラメータを実現することを可能にすること、
を含む多数のサービスを提供することによって中央化されたデータベース102を管理する。
(1)IDPSのユーザから受信したネットワークトラフィックデータを受信、処理及びログし、複数のユーザのトラフィックデータをソースとする単一のデータリソースを形成するため、ネットワークトラフィックデータによって中央化されたデータベースを更新すること、
(2)例えば、特定の攻撃者に適したハニーポットコンフィギュレーションの形式によるプロテクションパラメータを決定すること、
(3)中央化されたデータベース102上の共有された情報へのアクセスをユーザに提供し、ユーザが攻撃者を特定し、更に適切なプロテクションパラメータを実現することを可能にすること、
を含む多数のサービスを提供することによって中央化されたデータベース102を管理する。
ステップ304において、データマネージャ104は、認証されたユーザからの接続リクエストがトラフィックプロファイルデータに対するリクエストに関連するか306、あるいは、トラフィックデータが処理及びログのために提供されているか308を判断する。
ステップ310において、未処理のトラフィックデータ312がデータマネージャ104によって受信される。この未処理のデータは、そのままログされてもよいが、当該データはまたいくつかの事を決定するため処理される。
第1に、通常ユーザトラフィック又は攻撃者トラフィックに関連するとしてトラフィックを分類するため、データが解析される。侵入検出システムは、シグネチャベース若しくはアノマリベース検出、ステートフル検出及びアプリケーションレベル検出を含む何れかの数の検出方法及びツールに依拠してもよい。アノマリベース検出は、例えば、ネットワークトラフィックボリューム、パケットカウント、IPフラグメント、IPID、IPオプション、IPヘッダ情報などに関連するなど、ローカルネットワーク環境を記述するのに選択される閾値に依拠してもよい。例えば、攻撃者トラフィックの典型的なインジケータは、トラフィックが未使用又は制限されているIPアドレスに向かうか、あるいは、ターゲットネットワークによって制限されるか、あるいは提供されないサービスがリクエストされているかである。ソースが攻撃者からのものであるか判断するためトラフィックデータから抽出される他の情報は、IPアドレスブラックリストから知られているIPアドレス、攻撃者に関連するコードシグネチャ及びネットワークスキャン動作の1つ以上を含んでもよい。
トラフィックが攻撃者に関連すると判断された場合、いくつかの実現形態では、攻撃者のタイプ又は分類を確認するためにデータを更に解析することが可能であってもよい。当該分類は、攻撃者の精巧化に関連するリスク又は厳格さの分類であってもよい。例えば、特定の行動は低減された脅威の攻撃者に関連するものであってもよい一方(例えば、所有者に知られている脆弱性が攻撃者によって利用されていない場合のスクリプトキディ(script kiddie)など)、より精巧な行動はより危険な攻撃者と関連付けされてもよい(例えば、コードシグネチャなどの隠れインジケータを見破る熟練したハッカなど)。
攻撃者分類の決定は、例えば、何れのサービスが攻撃者によってリクエストされているかに閾値が基づいている場合など、攻撃者の行動に関連する閾値に依存して生成されるトラフィックのタイプ又は攻撃者のタイプを分類することを含んでもよい。
さらに又はあるいは、特定の計算システム又はローカルネットワークのリスク特性はネットワークトラフィック、すなわち、ネットワークトラフィック特性の観点においてシステム/ネットワークコンフィギュレーションに与えられる攻撃のリスク、から決定されてもよい。
分類はルールベースであってもよいし、あるいは、例えば、ランダムフォレストアルゴリズムを利用して、ツリー学習法、パーセプトロン又はニューラルネットワークなどの学習法によって未処理のトラフィックデータを処理することによって実行されてもよい。例えば、パーセプトロンベースのニューラルネットワーク(例えば、マルチレイヤパーセプトロンMLP)に基づく教師有り学習パターン認識を利用するとき、各入力に対して1つのニューロンを有する入力レイヤが、IPオプション、マルウェア及びバッファオーバフロー条件に対して、選択された攻撃などをマッピングするのに利用される。パーセプトロンのシステムは、各ニューロンが入力の組み合わせを表し、予想される以降のデータ、以前のデータ及び外部システムデータと結合した現在データに基づきレスポンスを計算する隠れニューロンレイヤを用いて処理される。このレベルにおいて処理されるデータは出力レイヤに提供される。ニューラルネットワークの結果は、例えば、リスクファンクションとして出力を供給する。パーセプトロンは、本システムにおける計算の主力であり、システムについて選択されたリスクファクタをモデル化し、経時的に訓練及び更新されるベースリスクを計算するのに利用可能である。
システムの処理又はユーザのアクションを監視するとき、それ以上又は以下ではアラート、アラーム及び例外が報告されない閾値が特徴的に規定される。このアクティビティの範囲は、ベースライン又はルーチンアクティビティとしてみなされる。このようにして、既存及び既知の変数に基づきデータを計算するだけでなく、外部ソース及びトレンドを用いて自動的に更新するリスクファンクションが作成可能である。本例では、外部ソースは、外部のトレンド及び相関ポイントを提供するユーザ210のコミュニティから収集されるデータを表す。
第2に、ステップ310において、トラフィックデータのソースを決定するのに加えて(通常データvs攻撃者データ)、データマネージャ104はまた、例えば、攻撃者の行動の既知の特徴に基づきルックアップテーブルを利用するなど、適切なレスポンスを決定する。いくつかの実現形態では、レスポンスは、ハニーポットの作成及び/又はコンフィギュレーションを含み、これにより、攻撃者トラフィックはリダイレクト可能であり、この結果、プロダクションネットワークを保護し、更に特定の攻撃者に関する更なる情報を抽出するための機会を提供する。ステップ314において、ハニーポットコンフィギュレーションパラメータは、攻撃者プロファイルと一緒にデータベース316に格納される。
通常ユーザからのプロファイルがまた格納され、真のユーザのリファレンストラフィックデータを提供する。
認証されたユーザからの接続リクエストがトラフィックプロファイルデータ306に対するリクエストに関連する場合、ステップ318において、プロファイルデータはデータベース316から抽出され、プロファイルパッケージ320が認証されたユーザに提供される。
プロファイルパッケージ320のコンテンツは、データマネージャ104によって管理されるように、認証されたユーザの情報の権利又は要件に依存する。プロファイルパッケージは、データベース316上のトラフィックデータの包括的な編集であってもよく、この場合、データベース上の全ての情報に対する直接的なアクセスがユーザに提供されてもよい。あるいは、プロファイルパッケージは、特定のユーザの関連性又は要件に応じてトラフィックデータの一部のみを含んでもよい。例えば、一実現形態では、データリクエストは、特定の攻撃者のプロファイル(例えば、発信元のIPアドレスに基づく)及び当該攻撃者に関連する情報に対するものであってもよい。そのようなリクエストに対して、プロファイルパッケージ320は、攻撃者の身元に関連する情報(例えば、攻撃者の行動ファイル、攻撃者の分類、コードシグネチャなど)を含み、また、攻撃防止情報(例えば、ハニーポットコンフィギュレーションパラメータ)を含む。
認証されたユーザに提供されるデータはまた、例えば、異なるフォーマット(例えば、特定の攻撃者のプロファイル又は攻撃者のプロファイルのグループ)による通常ユーザのプロファイル又は攻撃者のプロファイルなど、データベースから利用可能な他の情報を含んでもよい。
図5は、IDPS100を実現する一例となる方法400のフロー図を示す。局所的には、SPS204は、ユーザシステム(例えば、図1に示されるようなユーザ106,108,110)とIDPS100のデータマネージャ104との間のインタフェースをとる。ステップ402において、SPS204は、トラフィックを監視し、ステップ404において、IDPSから受信されたデータ320に基づきトラフィックのソース(通常ユーザvs攻撃者)を決定する。受信したIDPSデータは、図4を参照して上述されたような1つ以上のプロファイルパッケージであり、これにより、ステップ406において、攻撃者が特定された場合、ステップ408において、プロテクションレスポンスがプロファイルパッケージにおける情報に基づき実現される。当該情報は、例えば、IDPSによって提供されるハニーポットコンフィギュレーションパラメータなどを含む。ハニーポットが作成、設定及び/又は再設定されると、ステップ410において、攻撃者のトラフィックがハニーポットに送信される。
ステップ412において、攻撃者の行動を記述するトラフィックデータが、未処理のトラフィックデータ312をIDPSに提供することによってログされる。同様に、トラフィックのソースが(攻撃者でなく)通常ユーザであると判断された場合、ステップ414において、この通常トラフィックデータがログされる。ステップ416において、通常トラフィックがリアルサーバ(例えば、図3におけるリアルサーバ206)に転送される。
共有トラフィックデータの中心のリソースを提供することは、攻撃者(すなわち、それら自らのネットワークトラフィック)に関する単一の情報ソースに依拠するスタンドアローンシステムと比較したとき、攻撃者に対するコンピュータシステムのレスポンス時間及び効率性を向上させる。
多数の変形及び/又は修正が、本開示の広範な一般的範囲から逸脱することなく上述した実施例に対して行われうることが、当業者によって理解されるであろう。従って、本実施例は、全ての点において限定的でなく例示的であるとみなされるべきである。
102 中央化されたデータベース
104 データマネージャ
106、108、110 ユーザ
112 ネットワーク
104 データマネージャ
106、108、110 ユーザ
112 ネットワーク
Claims (11)
- 侵入検出プロテクションシステム(IDPS)を提供する方法であって、前記方法は、
データマネージャにより管理される中央化されたデータベースを提供するステップを含み、
前記データマネージャは、前記中央化されたデータベースを、
前記IDPSのユーザから受信したネットワークトラフィックデータを受信し、処理し及びログし、複数のユーザのトラフィックデータをソースとする単一のデータリソースを形成するため、前記ネットワークトラフィックデータにより前記中央化されたデータベースを更新し、
特定の攻撃者に適するハニーポットコンフィギュレーションの形式でプロテクションパラメータを決定し、
ユーザに前記中央化されたデータベース上の情報を共有するためのアクセスを提供して、前記ユーザが攻撃者を識別し及び適切なプロテクションパラメータを実装できるようにする、
ことにより管理する、方法。 - 前記データマネージャが、認証されたユーザからリクエストを受信するステップと、
前記認証されたユーザからの前記リクエストが、トラフィックプロファイルデータに関連するかどうか、又は前記リクエストの目的が処理及びログのためにトラフィックデータを提供することであるかどうかを決定するステップと、
を更に含む請求項1に記載の方法。 - 前記データマネージャにおいて、未処理トラフィックデータを受信するステップであって、前記未処理トラフィックデータは、未処理形式でログされる、ステップ、を更に含む請求項1又は2に記載の方法。
- トラフィックが通常ユーザトラフィック又は攻撃者トラフィックに関連するとして分類するために、前記未処理トラフィックデータを処理するステップ、を更に含む請求項3に記載の方法。
- 前記データベースと通信し、入力されたリクエストが正当なユーザ又は攻撃者から生じているかを決定するよう構成されるシステムプロテクションシステム(SPS)、を更に含む請求項1~4のいずれかに記載の方法。
- 前記リクエストが攻撃者からであると決定され、バーチャルなハニーポット及び/又はハニーネットと、改良された又は偽のデータベースである偽データベースと、を生成するステップと、
前記ハニーポット及び/又は前記ハニーネットと前記偽データベースに前記リクエストのソースを誘導するステップと、
を含む請求項5に記載の方法。 - 前記偽データベースは、センシティブなデータではない及び/又はランダム化されたデータであるデータを含む、請求項6に記載の方法。
- 前記ハニーポットを生成する及び/又は構成するために使用されるパラメータは、前記データベースから受信した攻撃者情報に基づき、前記SPSによりローカルに決定される、請求項6又は7に記載の方法。
- 複数のユーザが前記データマネージャとネットワークを介して通信する、請求項1~8のいずれかに記載の方法。
- 前記データマネージャは、単一のコンピューティング装置、又は分散型コンピューティング、グリッドコンピューティング若しくはクラウドコンピューティングを可能にする複数のコンピューティング装置若しくはプロセッサを含むコンピューティングネットワークである、請求項1~9のいずれかに記載の方法。
- 前記データベースは、通信リンクを介して前記データマネージャに接続される、又は前記データマネージャの一部である、請求項1~10のいずれかに記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GBGB1603118.9A GB201603118D0 (en) | 2016-02-23 | 2016-02-23 | Reactive and pre-emptive security system based on choice theory |
| GB1603118.9 | 2016-02-23 | ||
| JP2018539363A JP6878445B2 (ja) | 2016-02-23 | 2017-02-14 | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018539363A Division JP6878445B2 (ja) | 2016-02-23 | 2017-02-14 | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2021114332A JP2021114332A (ja) | 2021-08-05 |
| JP7167240B2 true JP7167240B2 (ja) | 2022-11-08 |
| JP7167240B6 JP7167240B6 (ja) | 2022-11-28 |
Family
ID=55753050
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018539363A Active JP6878445B2 (ja) | 2016-02-23 | 2017-02-14 | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム |
| JP2021075748A Active JP7167240B6 (ja) | 2016-02-23 | 2021-04-28 | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018539363A Active JP6878445B2 (ja) | 2016-02-23 | 2017-02-14 | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US10735466B2 (ja) |
| EP (3) | EP3420697B1 (ja) |
| JP (2) | JP6878445B2 (ja) |
| KR (1) | KR20180115726A (ja) |
| CN (2) | CN109314698B (ja) |
| GB (2) | GB201603118D0 (ja) |
| WO (1) | WO2017145001A1 (ja) |
| ZA (2) | ZA201805018B (ja) |
Families Citing this family (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10354325B1 (en) | 2013-06-28 | 2019-07-16 | Winklevoss Ip, Llc | Computer-generated graphical user interface |
| US9898782B1 (en) | 2013-06-28 | 2018-02-20 | Winklevoss Ip, Llc | Systems, methods, and program products for operating exchange traded products holding digital math-based assets |
| US10068228B1 (en) | 2013-06-28 | 2018-09-04 | Winklevoss Ip, Llc | Systems and methods for storing digital math-based assets using a secure portal |
| GB201603118D0 (en) | 2016-02-23 | 2016-04-06 | Eitc Holdings Ltd | Reactive and pre-emptive security system based on choice theory |
| WO2017189765A1 (en) | 2016-04-26 | 2017-11-02 | Acalvio Technologies, Inc. | Tunneling for network deceptions |
| US10326796B1 (en) * | 2016-04-26 | 2019-06-18 | Acalvio Technologies, Inc. | Dynamic security mechanisms for mixed networks |
| US10108850B1 (en) * | 2017-04-24 | 2018-10-23 | Intel Corporation | Recognition, reidentification and security enhancements using autonomous machines |
| US10785258B2 (en) | 2017-12-01 | 2020-09-22 | At&T Intellectual Property I, L.P. | Counter intelligence bot |
| CN111183612B (zh) * | 2017-12-27 | 2023-08-29 | 西门子股份公司 | 一种网络流量的发送方法、装置及混合蜜罐系统 |
| US10826939B2 (en) * | 2018-01-19 | 2020-11-03 | Rapid7, Inc. | Blended honeypot |
| US11200569B1 (en) | 2018-02-12 | 2021-12-14 | Winklevoss Ip, Llc | System, method and program product for making payments using fiat-backed digital assets |
| US10540654B1 (en) | 2018-02-12 | 2020-01-21 | Winklevoss Ip, Llc | System, method and program product for generating and utilizing stable value digital assets |
| US10373158B1 (en) | 2018-02-12 | 2019-08-06 | Winklevoss Ip, Llc | System, method and program product for modifying a supply of stable value digital asset tokens |
| US10438290B1 (en) | 2018-03-05 | 2019-10-08 | Winklevoss Ip, Llc | System, method and program product for generating and utilizing stable value digital assets |
| US11308487B1 (en) | 2018-02-12 | 2022-04-19 | Gemini Ip, Llc | System, method and program product for obtaining digital assets |
| US10373129B1 (en) | 2018-03-05 | 2019-08-06 | Winklevoss Ip, Llc | System, method and program product for generating and utilizing stable value digital assets |
| US11909860B1 (en) | 2018-02-12 | 2024-02-20 | Gemini Ip, Llc | Systems, methods, and program products for loaning digital assets and for depositing, holding and/or distributing collateral as a token in the form of digital assets on an underlying blockchain |
| US11475442B1 (en) | 2018-02-12 | 2022-10-18 | Gemini Ip, Llc | System, method and program product for modifying a supply of stable value digital asset tokens |
| US10972472B2 (en) * | 2018-06-01 | 2021-04-06 | Bank Of America Corporation | Alternate user communication routing utilizing a unique user identification |
| US10785214B2 (en) | 2018-06-01 | 2020-09-22 | Bank Of America Corporation | Alternate user communication routing for a one-time credential |
| US10785220B2 (en) | 2018-06-01 | 2020-09-22 | Bank Of America Corporation | Alternate user communication routing |
| US11108823B2 (en) * | 2018-07-31 | 2021-08-31 | International Business Machines Corporation | Resource security system using fake connections |
| US11212312B2 (en) | 2018-08-09 | 2021-12-28 | Microsoft Technology Licensing, Llc | Systems and methods for polluting phishing campaign responses |
| US10601868B2 (en) | 2018-08-09 | 2020-03-24 | Microsoft Technology Licensing, Llc | Enhanced techniques for generating and deploying dynamic false user accounts |
| US11038919B1 (en) * | 2018-09-14 | 2021-06-15 | Rapid7, Inc. | Multiple personality deception systems |
| TWI729320B (zh) * | 2018-11-01 | 2021-06-01 | 財團法人資訊工業策進會 | 可疑封包偵測裝置及其可疑封包偵測方法 |
| US11038920B1 (en) * | 2019-03-28 | 2021-06-15 | Rapid7, Inc. | Behavior management of deception system fleets |
| CN111917691A (zh) * | 2019-05-10 | 2020-11-10 | 张长河 | 一种基于虚假响应的web动态自适应防御系统及防御方法 |
| US11223651B2 (en) * | 2019-07-30 | 2022-01-11 | International Business Machines Corporation | Augmented data collection from suspected attackers of a computer network |
| KR102259732B1 (ko) | 2019-11-28 | 2021-06-02 | 광주과학기술원 | 네트워크 상의 허니팟 노드 배치방법 |
| KR102276753B1 (ko) * | 2019-12-13 | 2021-07-13 | 단국대학교 산학협력단 | 디코이 트랩을 이용한 이동 표적 방어 시스템 및 이를 통한 공격 표면 확장 방법 |
| CN111541670A (zh) * | 2020-04-17 | 2020-08-14 | 广州锦行网络科技有限公司 | 一种新型动态蜜罐系统 |
| US11689568B2 (en) | 2020-05-08 | 2023-06-27 | International Business Machines Corporation | Dynamic maze honeypot response system |
| JP7413924B2 (ja) | 2020-05-25 | 2024-01-16 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
| CN114175575B (zh) * | 2020-07-02 | 2023-04-18 | 华为技术有限公司 | 用于生成、使用和优化蜜罐的设备和方法 |
| US11824894B2 (en) | 2020-11-25 | 2023-11-21 | International Business Machines Corporation | Defense of targeted database attacks through dynamic honeypot database response generation |
| CN114598512B (zh) * | 2022-02-24 | 2024-02-06 | 烽台科技(北京)有限公司 | 一种基于蜜罐的网络安全保障方法、装置及终端设备 |
| KR20230139984A (ko) | 2022-03-29 | 2023-10-06 | 주식회사 아이티스테이션 | 허니팟을 이용한 악성 파일 탐지 방법 및 이를 이용한 시스템 |
| KR102651735B1 (ko) * | 2023-05-26 | 2024-03-28 | 쿤텍 주식회사 | 가상 세션을 이용한 허니팟 시스템 및 허니팟 운영 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060161982A1 (en) | 2005-01-18 | 2006-07-20 | Chari Suresh N | Intrusion detection system |
| JP2007079815A (ja) | 2005-09-13 | 2007-03-29 | Canon Inc | 自己免疫型防御システム |
| WO2015141640A1 (ja) | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0022485D0 (en) * | 2000-09-13 | 2000-11-01 | Apl Financial Services Oversea | Monitoring network activity |
| US20070192863A1 (en) | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
| US20020133603A1 (en) | 2001-03-13 | 2002-09-19 | Fujitsu Limited | Method of and apparatus for filtering access, and computer product |
| US7383577B2 (en) | 2002-05-20 | 2008-06-03 | Airdefense, Inc. | Method and system for encrypted network management and intrusion detection |
| US20050166072A1 (en) * | 2002-12-31 | 2005-07-28 | Converse Vikki K. | Method and system for wireless morphing honeypot |
| US7412723B2 (en) | 2002-12-31 | 2008-08-12 | International Business Machines Corporation | Method and system for morphing honeypot with computer security incident correlation |
| EP1629651A1 (en) | 2003-05-30 | 2006-03-01 | International Business Machines Corporation | Detecting network attacks |
| JP2005004617A (ja) | 2003-06-13 | 2005-01-06 | Mitsubishi Electric Corp | 不正侵入対策処理システム、攻撃分析・応答装置およびネットワーク遮断・模擬装置並びに不正侵入対策処理方法 |
| KR20050082681A (ko) * | 2004-02-20 | 2005-08-24 | 한국과학기술원 | 허니팟 시스템 |
| US7657735B2 (en) | 2004-08-19 | 2010-02-02 | At&T Corp | System and method for monitoring network traffic |
| US8065722B2 (en) | 2005-03-21 | 2011-11-22 | Wisconsin Alumni Research Foundation | Semantically-aware network intrusion signature generator |
| US8171544B2 (en) | 2005-04-20 | 2012-05-01 | Cisco Technology, Inc. | Method and system for preventing, auditing and trending unauthorized traffic in network systems |
| US8015605B2 (en) * | 2005-08-29 | 2011-09-06 | Wisconsin Alumni Research Foundation | Scalable monitor of malicious network traffic |
| US8661102B1 (en) | 2005-11-28 | 2014-02-25 | Mcafee, Inc. | System, method and computer program product for detecting patterns among information from a distributed honey pot system |
| US20140373144A9 (en) * | 2006-05-22 | 2014-12-18 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
| US8429746B2 (en) | 2006-05-22 | 2013-04-23 | Neuraliq, Inc. | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems |
| CN101087196B (zh) * | 2006-12-27 | 2011-01-26 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| US9083556B2 (en) * | 2007-05-31 | 2015-07-14 | Rpx Clearinghouse Llc | System and method for detectng malicious mail from spam zombies |
| US9009829B2 (en) * | 2007-06-12 | 2015-04-14 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for baiting inside attackers |
| US9130986B2 (en) | 2008-03-19 | 2015-09-08 | Websense, Inc. | Method and system for protection against information stealing software |
| US20100071054A1 (en) * | 2008-04-30 | 2010-03-18 | Viasat, Inc. | Network security appliance |
| US8769684B2 (en) | 2008-12-02 | 2014-07-01 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior |
| US8949988B2 (en) | 2010-02-26 | 2015-02-03 | Juniper Networks, Inc. | Methods for proactively securing a web application and apparatuses thereof |
| CN102254111B (zh) * | 2010-05-17 | 2015-09-30 | 北京知道创宇信息技术有限公司 | 恶意网站检测方法及装置 |
| US9270690B2 (en) | 2010-07-21 | 2016-02-23 | Seculert Ltd. | Network protection system and method |
| US9215244B2 (en) * | 2010-11-18 | 2015-12-15 | The Boeing Company | Context aware network security monitoring for threat detection |
| US8682812B1 (en) * | 2010-12-23 | 2014-03-25 | Narus, Inc. | Machine learning based botnet detection using real-time extracted traffic features |
| US8752174B2 (en) * | 2010-12-27 | 2014-06-10 | Avaya Inc. | System and method for VoIP honeypot for converged VoIP services |
| CA2859415C (en) * | 2012-02-21 | 2016-01-12 | Logos Technologies, Llc | System for detecting, analyzing, and controlling infiltration of computer and network systems |
| US9288223B2 (en) | 2013-10-13 | 2016-03-15 | Skycure Ltd | Potential attack detection based on dummy network traffic |
| CN103607399B (zh) * | 2013-11-25 | 2016-07-27 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
| US9621568B2 (en) | 2014-02-11 | 2017-04-11 | Varmour Networks, Inc. | Systems and methods for distributed threat detection in a computer network |
| IL232528A0 (en) | 2014-05-08 | 2014-08-31 | Rami Puzis | Honey trap for social networks |
| US20160197943A1 (en) * | 2014-06-24 | 2016-07-07 | Leviathan, Inc. | System and Method for Profiling System Attacker |
| ES2784203T3 (es) | 2014-07-11 | 2020-09-23 | Deutsche Telekom Ag | Método para detectar un ataque a un entorno de trabajo conectado a una red de comunicación |
| US9942250B2 (en) * | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
| US9992225B2 (en) | 2014-09-12 | 2018-06-05 | Topspin Security Ltd. | System and a method for identifying malware network activity using a decoy environment |
| US20160164886A1 (en) * | 2014-10-17 | 2016-06-09 | Computer Sciences Corporation | Systems and methods for threat analysis of computer data |
| US10205637B2 (en) * | 2015-01-27 | 2019-02-12 | Sri International | Impact analyzer for a computer network |
| US9735958B2 (en) | 2015-05-19 | 2017-08-15 | Coinbase, Inc. | Key ceremony of a security system forming part of a host computer for cryptographic transactions |
| GB201603118D0 (en) | 2016-02-23 | 2016-04-06 | Eitc Holdings Ltd | Reactive and pre-emptive security system based on choice theory |
| US10637864B2 (en) * | 2016-05-05 | 2020-04-28 | Ca, Inc. | Creation of fictitious identities to obfuscate hacking of internal networks |
-
2016
- 2016-02-23 GB GBGB1603118.9A patent/GB201603118D0/en not_active Ceased
-
2017
- 2017-02-14 US US16/079,076 patent/US10735466B2/en active Active
- 2017-02-14 CN CN201780009128.6A patent/CN109314698B/zh active Active
- 2017-02-14 EP EP17707409.3A patent/EP3420697B1/en active Active
- 2017-02-14 EP EP20180073.7A patent/EP3771173B1/en active Active
- 2017-02-14 GB GB1806691.0A patent/GB2561468B/en active Active
- 2017-02-14 CN CN202210137064.0A patent/CN114500080A/zh active Pending
- 2017-02-14 WO PCT/IB2017/050811 patent/WO2017145001A1/en active Application Filing
- 2017-02-14 KR KR1020187026168A patent/KR20180115726A/ko not_active Application Discontinuation
- 2017-02-14 EP EP22195455.5A patent/EP4156605A1/en active Pending
- 2017-02-14 JP JP2018539363A patent/JP6878445B2/ja active Active
-
2018
- 2018-07-25 ZA ZA2018/05018A patent/ZA201805018B/en unknown
-
2020
- 2020-08-03 US US16/983,583 patent/US20200366714A1/en active Pending
-
2021
- 2021-01-15 ZA ZA2021/00289A patent/ZA202100289B/en unknown
- 2021-04-28 JP JP2021075748A patent/JP7167240B6/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060161982A1 (en) | 2005-01-18 | 2006-07-20 | Chari Suresh N | Intrusion detection system |
| JP2007079815A (ja) | 2005-09-13 | 2007-03-29 | Canon Inc | 自己免疫型防御システム |
| WO2015141640A1 (ja) | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200366714A1 (en) | 2020-11-19 |
| GB201603118D0 (en) | 2016-04-06 |
| EP4156605A1 (en) | 2023-03-29 |
| GB201806691D0 (en) | 2018-06-06 |
| US20190058733A1 (en) | 2019-02-21 |
| GB2561468A (en) | 2018-10-17 |
| EP3420697B1 (en) | 2020-10-14 |
| JP2021114332A (ja) | 2021-08-05 |
| EP3420697A1 (en) | 2019-01-02 |
| EP3771173B1 (en) | 2022-10-19 |
| CN109314698B (zh) | 2022-03-08 |
| CN109314698A (zh) | 2019-02-05 |
| ZA201805018B (en) | 2023-09-27 |
| JP6878445B2 (ja) | 2021-05-26 |
| JP7167240B6 (ja) | 2022-11-28 |
| EP3771173A1 (en) | 2021-01-27 |
| GB2561468B (en) | 2021-09-29 |
| ZA202100289B (en) | 2023-09-27 |
| JP2019512761A (ja) | 2019-05-16 |
| US10735466B2 (en) | 2020-08-04 |
| CN114500080A (zh) | 2022-05-13 |
| WO2017145001A1 (en) | 2017-08-31 |
| KR20180115726A (ko) | 2018-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7167240B6 (ja) | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム | |
| US11601400B2 (en) | Aggregating alerts of malicious events for computer security | |
| Modi et al. | A survey of intrusion detection techniques in cloud | |
| Om Kumar et al. | Detecting and confronting flash attacks from IoT botnets | |
| Modi et al. | Integrating signature apriori based network intrusion detection system (NIDS) in cloud computing | |
| CN111193719A (zh) | 一种网络入侵防护系统 | |
| Sandhu et al. | A survey of intrusion detection & prevention techniques | |
| Calderon | The benefits of artificial intelligence in cybersecurity | |
| US20170180402A1 (en) | Detection of Coordinated Cyber-Attacks | |
| Wanda et al. | A survey of intrusion detection system | |
| Achbarou et al. | Securing cloud computing from different attacks using intrusion detection systems | |
| Nathiya et al. | An effective hybrid intrusion detection system for use in security monitoring in the virtual network layer of cloud computing technology | |
| Kurochkin et al. | Using GRU based deep neural network for intrusion detection in software-defined networks | |
| Le et al. | Unsupervised monitoring of network and service behaviour using self organizing maps | |
| Lah et al. | Proposed framework for network lateral movement detection based on user risk scoring in siem | |
| Pawlicki et al. | The survey and meta-analysis of the attacks, transgressions, countermeasures and security aspects common to the Cloud, Edge and IoT | |
| Veena et al. | An intrusion detection system for network security based on an advanced honeypots server | |
| Tayyebi et al. | Cloud security through Intrusion Detection System (IDS): Review of existing solutions | |
| Luo et al. | DDOS Defense Strategy in Software Definition Networks | |
| Sharma et al. | Intrusion detection system using shadow honeypot | |
| Hu et al. | Asset risk scoring in enterprise network with mutually reinforced reputation propagation | |
| Pierrot et al. | Hybrid intrusion detection in information systems | |
| US20230362176A1 (en) | System and method for locating dga compromised ip addresses | |
| Awodele Simon et al. | Intrusion Detection System in Cloud Computing: A | |
| Nathiya et al. | An Effective Hybrid Intrusion Detection System for Use in Security Monitoring in the Virtual Network Layer of Cloud |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210428 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220531 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220819 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220906 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20221005 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221026 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7167240 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |