JP7167439B2 - 情報処理装置、脆弱性検知方法およびプログラム - Google Patents

情報処理装置、脆弱性検知方法およびプログラム Download PDF

Info

Publication number
JP7167439B2
JP7167439B2 JP2017253562A JP2017253562A JP7167439B2 JP 7167439 B2 JP7167439 B2 JP 7167439B2 JP 2017253562 A JP2017253562 A JP 2017253562A JP 2017253562 A JP2017253562 A JP 2017253562A JP 7167439 B2 JP7167439 B2 JP 7167439B2
Authority
JP
Japan
Prior art keywords
vulnerability
packet
pattern
log
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017253562A
Other languages
English (en)
Other versions
JP2019121017A (ja
Inventor
暁 伊戸川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2017253562A priority Critical patent/JP7167439B2/ja
Publication of JP2019121017A publication Critical patent/JP2019121017A/ja
Application granted granted Critical
Publication of JP7167439B2 publication Critical patent/JP7167439B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本開示は、情報処理装置、脆弱性検知方法、および、情報処理装置を実現するためのプログラムに関する。
従来、ネットワーク機器に対してスキャンを行って脆弱性を検出する技術が知られている。また、特許第4995170号公報(特許文献1)は、コンピュータシステムで実行されるプロセスの内部のモジュール毎に、当該モジュールにより発生した各種情報を収集し、収集された各種情報に基づいて、不正な攻撃や侵入を示す挙動をモジュール毎に監視する情報処理装置を開示する。この情報処理装置は、不正な攻撃や侵入を示す挙動を特定する挙動情報を記憶するルールDBを有し、収集された各種情報が、ルールDBに記憶される挙動情報と一致する場合に、不正な攻撃や侵入が発生したと検知する。
しかしながら、従来技術では、機器に対してスキャンなど能動的な処理を行わなければならず、充分なものではなかった。特許文献1の従来技術では、監視対象の情報処理装置に、モジュール毎に発生するAPI呼び出しやシステムコールなどの各種情報を収集する監視プログラムを挿入する必要があった。
本開示は、上記点に鑑みてなされたものであり、対象の機器に対する負荷を軽減しながら、機器が有する一定の脆弱性を検出可能とし、ネットワークの安全性を維持するコストを低減することができる、情報処理装置を提供することを目的とする。
本開示によれば、上記課題を解決するために、下記特徴を有する、ネットワークに接続される情報処理装置を提供する。本情報処理装置は、脆弱性を有する所定単位の通信データの特徴を記述する脆弱性パターンを記憶する記憶手段と、ネットワークから所定単位の通信データを取得する取得手段と、取得した所定単位の通信データの内容と、記憶された脆弱性パターンとを照合し、通信データの脆弱性を評価する評価手段と、脆弱性の評価結果に基づいて、少なくとも発信元の情報を記録する記録手段とを含む。
上記構成により、対象の機器に対する負荷を軽減しながら、機器が有する一定の脆弱性を検出可能とし、ネットワークの安全性を維持するコストを低減することができる。
本実施形態によるパケット監視装置が設置されるネットワーク環境を示す図。 本実施形態によるパケット監視装置として用いられる、コンピュータのハードウェア構成図。 本実施形態によるパケット監視装置において、パケット監視に基づき脆弱性検知を行うための機能ブロック図。 SSL(Secure Socket Layer)/TLS(Transport Layer Security)ハンドシェイクプロトコルにおいてセッションを確立するためのフローを説明する図。 本実施形態におけるパケット監視装置において参照される、脆弱性パターンデータベースのデータ構造を示す図。 本実施形態におけるパケット監視装置において記録される、脆弱性ログのデータ構造を示す図。 本実施形態におけるパケット監視装置が実行する、パケット監視に基づく脆弱性検知処理を示すフローチャート。 本実施形態におけるパケット監視装置により提供されるログ閲覧機能を説明する図。 本実施形態におけるパケット監視装置により提供されるログメール報告機能を説明する図。 本実施形態におけるパケット監視装置が実行する、ログメール報告処理を示すフローチャート。 他の実施形態によるネットワーク機器において、パケット監視に基づく脆弱性検知によりパケットフィルタリングを行うための機能ブロック図。 本実施形態におけるネットワーク機器が実行する、脆弱性検知により禁止アドレスおよびポートを記録する処理を示すフローチャート。 本実施形態におけるネットワーク機器により提供される禁止アドレスおよびポート管理機能を説明する図。
以下、本実施形態をもって説明するが、実施形態は、後述する実施形態に限定されるものではない。
本実施形態による情報処理装置および脆弱性検知方法は、ネットワークから所定単位の通信データを取得し、取得した所定単位の通信データの内容と、事前に記憶された脆弱性を記述する脆弱性パターンとを照合し、脆弱性を評価する構成を備える。
以下、図1~図10を参照しながら、本実施形態によるパケット監視に基づく脆弱性検知機能を備えるパケット監視装置について、詳細を説明する。
以下、まず、図1を参照しながら、本実施形態によるパケット監視に基づく脆弱性検知機能を備える、パケット監視装置が設置されたネットワーク環境について説明する。
図1は、本実施形態によるパケット監視装置が設置されるネットワーク環境を示す。図1に示すネットワーク環境100には、複合機150、ネットワークプロジェクタ152、インタラクティブホワイトボード154、サーバコンピュータ156およびタブレットコンピュータ158などの複数の機器が配置されている。これらの機器150~158は、ネットワーク102を介して、TCP(Transmission Control Protocol)/IP(Internet Protocol)プロトコルに基づくパケット通信により、相互に通信を行っている。上記ネットワーク102は、特に限定されるものではないが、1000Base-TXのイーサネット(登録商標)やIEEE802.11などの規格の有線または無線のローカル・エリア・ネットワークを含むことができる。なお、図1では、タブレットコンピュータ158が、アクセスポイント104を経由して、無線通信によりネットワーク102に接続されていることが描かれている。
本実施形態においては、ネットワーク環境100には、さらに、パケット監視装置110が設置されている。パケット監視装置110は、ネットワーク102に接続されており、ネットワーク102を流れる各種パケットを傍受し、傍受したパケットの内容に基づいて、セキュリティ上の脆弱性の検知を試みる。上述した、複合機150、ネットワークプロジェクタ152、インタラクティブホワイトボード154、サーバコンピュータ156およびタブレットコンピュータ158などの機器は、本実施形態において、パケット監視装置110が監視する対象となるパケットの発信元(ソース)または送信先(デスティネーション)となり得る。これらの機器150~158が、ネットワーク102上のルータなどを介して、インターネットに接続されている場合もある。これらの機器150~158と、インターネットとの間のパケットも、本実施形態における監視の対象となり得る。パケット監視装置110は、本実施形態における情報処理装置を構成する。
続いて、図2を参照しながら、本実施形態によるパケット監視に基づく脆弱性検知機能を備える、パケット監視装置110のハードウェア構成について説明する。図2は、本実施形態によるパケット監視装置110として用いられ得るコンピュータのハードウェア構成を示す。コンピュータ10は、典型的には、パーソナルコンピュータ、サーバコンピュータなどのコンピュータ装置として構成され得る。
図2に示すコンピュータ10は、シングルコアまたはマルチコアのCPU(Central Processing Unit)12と、RAM(Random Access Memory)14と、ROM(Read Only Memory)16と、HDD(Hard Disk Drive)18と、ドライブ装置24と、ネットワークインタフェース26とを含み構成されている。また、コンピュータ10は、必要に応じて、入力装置20と、表示装置22とを含むことができる。
CPU12は、コンピュータ10内部の処理などの全体制御を行う。RAM14は、CPU12の作業領域を提供する。ROM16は、BIOS(Basic Input / Output System)などの制御プログラムを記憶する。HDD18は、コンピュータ10を制御するためのOS(Operating System)、後述する機能部を実現するためのプログラムや各種システム情報や各種設定情報を格納する。ドライブ装置24には、記録媒体30が着脱可能に挿入され、ドライブ装置24は、挿入された記録媒体30に対する読み書きを行う。
入力装置20は、マウス、キーボード、タッチスクリーンパネルなどの入力装置である。表示装置22は、液晶ディスプレイ装置、有機EL(Electroluminescence)ディスプレイなどの表示装置である。入力装置20および表示装置22は、操作者からの各種指示の入力を受け付けるためのユーザ・インタフェースを提供することができる。ネットワークインタフェース26は、NIC(Network Interface Card)など、コンピュータ10をネットワーク102に接続させるためのインタフェース機器である。
本実施形態によるコンピュータ10は、ROM16やHDD18からプログラムを読み出し、RAM14が提供する作業空間に展開することにより、CPU12の制御の下、パケット監視装置110として後述する各部の機能および各処理を実現する。
なお、上述した説明では、パケット監視装置110は、コンピュータ装置として実装されるものとして説明したが、パケット監視装置110の実装形態は、これに限定されるものではない。パケット監視装置110は、パケット監視機能を併せ持つ複合機、プリンタファクシミリ、スキャナなどの画像処理装置として実装されてもよいし、パケット監視機能を有するハブ、スイッチ、ルータなどのネットワーク機器として実装されてもよい。これらの場合は、パケット監視装置110は、その装置の用途に応じた適切なハードウェアを備えることができる。
以下、図3を参照しながら、本実施形態によるパケット監視装置110において、パケット監視に基づき脆弱性を検知する機能について、より詳細に説明する。図3は、本実施形態によるパケット監視装置110において、パケット監視に基づき脆弱性検知を行うために備えられる機能ブロックを示す。
図3に示すように、パケット監視装置110は、パケット取得部112、脆弱性解析部114、脆弱性パターンデータベース116、脆弱性ログ格納部118および出力部120を含み構成される。
パケット取得部112は、ネットワーク102から所定単位の通信データを取得するよう構成される。ここで、所定単位の通信データとは、ネットワークの各種レイヤにおけるフレームやパケットなどと呼ばれるデータ単位をいい、プロトコルに応じた単位となる。例えば、MAC(Media Access Control)フレーム、IP(Internet Protocol)パケット、TCP(Transmission Control Protocol)セグメント、SSLパケットなどが取得される。上位レイヤの単位のデータは、1または複数の下位のレイヤの単位のデータから構成され得る。例えば、SSLパケットは、1または複数のTCPセグメントから構成される。以下、これらの所定単位のデータを総称して、単に「パケット」と参照する。パケットの取得は、所謂、パケットキャプチャやネットワーク・アナライザと呼ばれる技術を利用して行うことができる。パケット取得部112は、本実施形態における取得手段を構成する。
なお、典型的には、パケット監視装置110のNICなどのネットワークインタフェース26は、プロミスキャスモードで動作し、自身宛以外のパケットも取り込んで処理を行うよう構成することができる。また、パケット監視装置110は、例えば、リピータハブ、特定の1または複数のポートで送受信するパケットを指定のポートにコピーするミラーポート付きLANスイッチまたはネットワークタップなどを介して、ネットワーク102と接続されており、ネットワーク102を流れるパケットを傍受可能に構成されている。あるいは、パケット監視装置110が、ハブやスイッチなどのネットワーク機器として実装される場合は、ハブやスイッチとしての処理に加えて、そのような自身が受信するすべてのパケットを取り込んで解析処理を行うよう構成することができる。
脆弱性解析部114は、取得したパケットの内容と、記憶された脆弱性パターンとを照合し、パケットの脆弱性を評価し、脆弱性の評価結果に基づいて、発信元の情報を含めた脆弱性ログを記録するよう構成されている。脆弱性解析部114は、本実施形態における評価手段および記録手段を構成する。
脆弱性パターンデータベース116は、それぞれ、脆弱性を有するパケットの特徴を記述した1または複数の脆弱性パターンを記憶するよう構成されている。脆弱性パターンについては後述する。脆弱性パターンデータベース116は、本実施形態における記憶手段を構成する。
脆弱性ログ格納部118は、脆弱性解析部114から、発信元の情報を含む脆弱性ログを受け取り、受け取った脆弱性ログを格納するよう構成されている。本実施形態においては、発信元の情報は、脆弱性の内容の情報とともに、ログとして記録される。記録される発信元の情報は、発信元アドレスおよび発信元ポート番号の一方または両方を含むことができる。脆弱性の内容としては、特に限定されるものではないが、検出時刻や脆弱性の名称を含むことができ、さらに、送信先の情報(送信先アドレスおよび送信先ポート番号など)が含まれてもよい。
出力部120は、記録した発信元の情報を出力するよう構成されている。好ましい実施形態においては、出力部120は、外部要求に応答して、記録された複数のログの内容を提供することができる。
出力の形態としては、パケット監視装置110が表示装置22を備える場合に、パケット監視装置110の操作者による表示装置22上でログ閲覧画面を閲覧するための操作など外部要求に応答して、表示装置22に対しログ閲覧画面を表示させる態様がある。
また、出力の形態としては、ネットワーク102を介して接続されるリモート端末からの外部要求に応答して、リモート端末に対しログ閲覧画面を記述する画面データを送信する態様とすることもできる。特定の実施形態では、出力部120は、Webユーザ・インタフェースを提供し、外部要求は、例えばログ閲覧画面の取得を要求するHTTPメッセージとしてリモート端末から発行され、画面データは、例えばHTTPレスポンスとしてリモート端末に応答される。
さらに、出力の形態としては、パケット監視装置110がメール送信機能を備える場合に、事前定義されたタイミングで、前回の時点から現時点までに記録された複数のログの内容を、所定の宛先にメール送信する態様とすることもできる。
出力部120は、本実施形態における出力手段を構成する。なお、出力の形態については、より詳細に後述する。
以下、図4~図6を参照しながら、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)パケットを一例として、本実施形態による、パケット監視に基づく脆弱性の検知の仕方について説明する。
図4は、SSL/TLSハンドシェイクプロトコルにおいてセッションを確立するためのフローを示す。なお、図4には、ハンドシェイクプロトコルのフローに加えて、ハンドシェイクプロトコルでクライアントとサーバ間で交換されるパケットの一例として、ClientHelloメッセージ200の内容が併せて示されている。
図4に示すように、SSL/TLSハンドシェイクにおいては、ClientHello、ServerCertificate、ServerKeyExchange、CertificateRequest、ServerHello、ClientCertificate、ClientKeyExchange、CertificateVerify、ChangeCipherSpec、Finishedなどの各種メッセージが、クライアント-サーバ間で交換される。これらのメッセージの交換を経て、セッションが確立される。
図4に例示されるClientHelloメッセージ200は、クライアントバージョン200a、クライアントに一意の乱数200b、セッション再開の場合のセッションID200c、暗号スイート一覧200dおよび圧縮方法一覧200eなどが含まれ得る。図4に示す例では、暗号スイート一覧200dに複数の暗号スイートがリストアップされている。同様に、ServerHelloメッセージには、プロトコルバージョン、サーバに一意の乱数、セッションID、使用する暗号スイート、使用する圧縮方法などが含まれ得る。なお、他のメッセージの詳細については、ここではこれ以上立ち入らない。
図5は、本実施形態におけるパケット監視装置110において脆弱性解析部114により参照される、脆弱性パターンデータベース210のデータ構造を示す。図4に示すClientHelloメッセージ200においては、暗号スイート一覧200dの中に、セキュリティ上脆弱性があるスイートが列挙されている可能性がある。また、図4に示すClientHelloメッセージ200やServerHelloメッセージにおいては、セキュリティ上脆弱性があるバージョンが使用されている可能性がある。図5は、このようなメッセージに含まれ得る、脆弱性の特徴を記述する脆弱性パターンを示している。
図5に示す脆弱性パターンデータベース210は、例示として、SSL/TLSに関連したパケットに関する脆弱性の特徴を記述した複数の脆弱性パターンを含む。脆弱性パターンデータベース210のデータ構造としては、脆弱性パターンを識別する識別子を保持するIDフィールド210aと、脆弱性の名称を保持する脆弱性名称フィールド210bと、判断対象のパケットの種別の指定を保持するパケット種別フィールド210cと、種別指定されたパケットにおける注目箇所の指定を保持する注目箇所フィールド210dと、注目箇所に対するパターンにマッチした文字列を表すパターン表現フィールド210eとを含む。パターン表現フィールド210eに保持されるパターン表現は、例えば、正規表現などを用いることができる。
なお、脆弱性は、公開された脆弱性対策データベースなどの情報から知ることができ、一部の脆弱性に関して、図5に示す例のような形式でパケットから脆弱性を判別する脆弱性パターンを用意することができる。例えば、ハンドシェークのパケットに、「RC4」を含む暗号スイートがあると、脆弱性になるおそれがある。
図6は、本実施形態におけるパケット監視装置110において、脆弱性ログ格納部118に記録される脆弱性ログ220のデータ構造を示す。図6に示すように、脆弱性ログ220は、脆弱性が検出された時刻を保持する検出時刻フィールド220aと、検出された脆弱性の名称を保持する脆弱性名称フィールド220bと、発信元の情報の1つであるIPアドレスを保持する発信元IPアドレスフィールド220cと、同じく発信元の情報の1つであるポート番号を保持する発信元ポート番号フィールド220dとを含み構成される。図6に示すように、パケットについて脆弱性有りと評価される毎に、脆弱性ログ格納部118には、発信元の情報および脆弱性の内容の情報を含む脆弱性ログが記録されて行く。
以下、図7を参照しながら、本実施形態におけるパケット監視に基づいて、通信データにかかる脆弱性を検出する脆弱性検知処理の流れを説明する。図7は、本実施形態におけるパケット監視装置が実行するパケット監視に基づく脆弱性検知処理を示すフローチャートである。なお、図7に示す処理は、図2に示したCPU12などのプロセッサにより実行される。
図7に示す処理は、例えば、パケット毎に、ステップS100から開始され得る。ステップS101では、プロセッサは、ネットワーク102を介して、パケットを取得する。ステップS102では、プロセッサは、取得したパケットが、SSL(TLS)接続に関するパケットであるか否かに応じて制御を分岐させる。
ステップS102でSSL(TLS)接続に関するパケットではないと判定された場合(NO)は、プロセッサは、ステップS109へ分岐させて、当該パケットに対する処理を終了する。この場合、当該パケットについて脆弱性がないものとして判定される。なお、説明する実施形態では、説明の便宜上、SSL(TLS)接続に関するパケットである場合に、さらに脆弱性の評価を進めるものとし、それ以外のパケットについては不問としている。しかしながら、SSL(TLS)接続に関するパケット以外であっても、パケットの内容から脆弱性を検出可能な場合に、適切な脆弱性パターンを用意し、そのパケットについて、さらなる脆弱性の評価を行うように構成してもよいことは言うまでもない。
一方、ステップS102で、SSL(TLS)接続に関するパケットであると判定された場合(YES)は、プロセッサは、ステップS103へ処理を分岐させる。ステップS103では、プロセッサは、それぞれ脆弱性を有するパケットの特徴を記述する1または複数の脆弱性パターンを読み出し、ステップS104に処理を進める。ステップS103では、典型的には、1または複数の脆弱性パターンが、HDD18などからRAM14などの作業空間上に読み込まれる。なお、読み込まれた脆弱性パターンが作業空間上で維持され、以降読み込む必要がない場合は、ステップS103は省略され得る。
ステップS104~ステップS108のループでは、各脆弱性パターンについて、取得したパケットの内容との照合が行われる。
ステップS105およびステップS106では、プロセッサは、取得したパケットの内容と、読み出した脆弱性パターンとを照合を行い、当該パケットの脆弱性を評価する。
より具体的には、ステップS105では、プロセッサは、当該パケットの種別が、現在対象としている脆弱性パターンで指定された種別に一致するか否かを判定する。ステップS105で、種別が一致しないと判定された場合(NO)は、プロセッサは、直接ステップS108へ処理を進めて、必要に応じて次の脆弱性パターンの処理へ進める。一方、ステップS105で、種別が一致すると判定された場合(YES)は、プロセッサは、ステップS106へ処理を進める。
ステップS106では、プロセッサは、さらに、当該パケットの注目箇所が、現在対象としている脆弱性パターンで指定されたパターン表現にマッチするか否かを判定する。ステップS106で、パターン表現にマッチしないと判定された場合(NO)は、プロセッサは、直接ステップS108へ処理を進め、必要に応じて次の脆弱性パターンの処理を行う。一方、ステップS106で、パターン表現にマッチすると判定された場合(YES)は、プロセッサは、ステップS107へ処理を進める。
ステップS102で、SSL接続に関すると判定され、かつ、ステップS105で種別が一致すると判定され、かつ、ステップS106で、パターン表現にマッチすると判定された場合は、当該パケットが、現在処理対象としている脆弱性パターンに該当する脆弱性を有するという評価結果となる。この評価結果に基づいて、ステップS107では、プロセッサは、検出時刻、脆弱性ID、発信元IPアドレス、発信元ポート番号を含む脆弱性ログのレコードを脆弱性ログ格納部118に記録し、ステップS108へ処理を進め、必要に応じて次の脆弱性パターンの処理へ進める。
当該パケットが、1つの脆弱性パターンにマッチした場合、あるいは、当該パケットが、いずれの脆弱性パターンにもマッチしなかった場合は、ステップS104~ステップS108のループを抜けて、ステップS109へ処理が進められる。ステップS109では、プロセッサは、当該パケットに対する処理を終了する。
なお、1つの脆弱性パターンにマッチした段階で、ステップS104~ステップS108のループを抜けてもよい。あるいは、すべての脆弱性パターンとの照合を終えた後にループのループを抜けるよう構成してもよい。その場合に、ステップS107で、マッチする複数の脆弱性ログのレコードを記録することもできる。いずれの脆弱性パターンにもマッチしなかった場合は、当該パケットについて脆弱性がないものとして評価されたことになる。少なくとも1つの脆弱性パターンにマッチした場合は、当該パケットについて脆弱性が検知されたものとして評価されたことになる。
図7に示す処理により、脆弱性ログのレコードが記録された後、適宜、外部要求あるいは内部イベントに応答して、記録した発信元の情報を含む脆弱性ログの内容を適宜出力することができるようになる。
図8および図9は、本実施形態におけるパケット監視装置110により提供される、ログ提供機能を説明する図である。
図8は、本実施形態におけるパケット監視装置110により提供される、ログ閲覧機能を説明する図である。ここで、ログ閲覧機能とは、操作者による指示に応答して、所定の表示装置上にログ閲覧画面を表示させる機能をいう。
図8(A)は、ログ閲覧で用いる内部的なデータベース・クエリ230を一例として示す。図8(B)は、ログ閲覧機能により提供されるログ閲覧画面240を一例として示す。脆弱性ログがリレーショナル・データベースとして記録されている場合、図8(A)に示すようなSQLクエリでデータベース照会することにより、所定期間内のログを取得することができる。そして、取得された照会結果に基づいて、図8(B)に示すような、ログを一覧表示するログ閲覧画面240が表示される。
図8(B)に示すログ閲覧画面240は、表示するログの期間を示す期間表示242と、ログ一覧表244とを含む。ログ一覧表244は、図6に示した脆弱性ログの内容に対応して、脆弱性が検出された時刻を表示する検出時刻カラム244aと、検出された脆弱性の名称を表示する脆弱性名称カラム244bと、発信元の情報の1つであるIPアドレスを表示する発信元IPアドレスカラム244cと、同じく発信元の情報の1つであるポート番号を保持する発信元ポート番号カラム244dとを含み構成される。図8(B)に示すように、ログ閲覧画面240では、それぞれ発信元の情報に加えて脆弱性の内容の情報を含む1以上のログが表示される。
なお、図8に示すログ閲覧画面240は、操作者による当該パケット監視装置110が備える入力装置20に対する操作に応答して、当該パケット監視装置110が備える表示装置22上に表示することができる。あるいは、当該パケット監視装置110にネットワーク102を介してリモート接続されるリモート端末からの(リモート端末上での操作者の操作に応答した)要求に応答して、当該リモート端末の表示装置上に表示することができる。
図9は、本実施形態におけるパケット監視装置110により提供される、ログメール報告機能を説明する図である。ここで、ログメール報告機能とは、管理者等により事前に設定されたタイミングが到来したことに応答して、同様に事前に設定された所定の宛先へ、検出された脆弱性ログを報告する電子メールを送信する機能をいう。
図9(A)は、ログメール報告機能で用いる、内部的な通知条件250のデータ構造を示す。図9(B)は、ログメール報告機能で用いる、内部的なデータベース・クエリ260を一例として示す。図9(C)は、ログメール報告機能により所定の宛先に送信されるログ報告メールを一例として示す。
なお、ログメール報告に際しては、予め管理者により、事前に、図9(A)に示すような宛先メールアドレスおよび通知スケジュールが定義されているものとする。図9(A)に示す通知条件250は、報告メールを通知する宛先を保持する宛先メールアドレスフィールド250aと、報告メールの通知のタイミングを規定する情報を保持する通知スケジュールフィールド250bと、前回の通知時刻を保持する前回通知日時フィールド250cとを含む。通知スケジュールフィールド250bに規定するタイミングが到来すると、メール通知処理が呼び出される。当該メール通知処理では、脆弱性ログがリレーショナル・データベースとして記録されている場合、図9(B)に示すようなSQLクエリにより、前回メール通知を行ってから今回の通知時刻までのログが取得される。そして、図9(C)に示すような、ログ一覧表を含むログ報告メール270が、宛先メールアドレスフィールド250aで示される宛先メールアドレスに宛てて、メールサーバを介してメール送信される。
図9(C)に示すログ報告メール270は、宛先メールアドレスフィールド250aに指定された宛先272、件名274、ログの期間を示す期間表示276、および、ログ一覧表278を含む。ログ一覧表278の内容は、図8(B)に示すものと同じである。
以下、図10を参照しながら、記録した発信元の情報を出力する処理の流れについて、ログメール報告処理を一例として説明する。図10は、本実施形態におけるパケット監視装置110が実行する、ログメール報告処理を示すフローチャートである。なお、図10に示す処理は、図2に示したCPU12などのプロセッサにより実行される。
図10に示す処理は、例えば定期的にあるいは不定期に、ステップS200から開始される。ステップS201~ステップS208のループでは、事前登録された宛先毎にS202~ステップS206で示す処理が行われる。ステップS202では、プロセッサは、現在対象としている宛先のレコードに記述された通知スケジュールフィールド250bに規定されるタイミングが到来したか否かを判定する。ステップS202で、タイミングが到来していないと判定された場合(NO)は、ステップS208へ処理が進められ、必要に応じて、次の宛先の処理へ進められる。
一方、ステップS202で、タイミングが到来したと判定された場合(YES)は、ステップS203へ処理が進められる。ステップS203では、プロセッサは、現在処理している宛先のレコードの前回の通知時刻を前回通知日時フィールド250cから読み出す。ステップS204では、プロセッサは、例えばシステムが保持する現在時刻を今回通知時刻として取得する。ステップS205では、プロセッサは、取得した前回通知時刻および今回通知時刻に基づくクエリをデータベースに照会し、照会結果を取得する。ステップS206では、プロセッサは、照会結果に基づいて、ログ報告メールを作成し、ネットワークインタフェース26により、作成したログ報告メールを、メールサーバを介して送信する。ステップS207では、プロセッサは、今回通知時刻を次に使用する前回通知時刻として、前回通知日時フィールド250cを更新し、ステップS208へ処理を進めて、必要に応じて、次の宛先の処理へと進める。
すべての宛先について処理が完了すると、ステップS201~ステップS208のループを抜けて、ステップS209へと処理が進められ、ステップS209で、プロセッサは、本処理を終了する。以降、適切な間隔をあけて、図10に示す処理が繰り返し実行される。
以上説明した実施形態によれば、特定の脆弱性の種類について、特定のプロトコルを使用しているなど、パケットの内容から脆弱性の有無を評価し、脆弱性を検知することができる。パケットの内容から形式的に判断できる脆弱性について、低コストでネットワークの安全性を保つことを可能とする。パケット監視装置110は、ネットワーク102からパケットを取得しているだけなので、監視対象の機器に対して余分な負荷をかけない。また、脆弱性テストを機器に対して行うための作業の手間などを省くことができる。
上述した実施形態では、パケット監視装置110は、脆弱性を有するパケットを検知した場合、脆弱性ログとして記録するものであった。しかしながら、脆弱性を検知した場合の対応は、他の仕方も想定される。他の実施形態では、脆弱性を有するパケットを検知した場合に、より積極的な処理を実行することもできる。以下、図11~図13を参照しながら、他の実施形態による、上述した脆弱性検知に基づきパケットフィルタリングする機能を有するネットワーク機器について説明する。
図11は、他の実施形態によるネットワーク機器310において、パケット監視に基づく脆弱性検知によりパケットフィルタリングを行うための機能ブロックを示す。なお、ネットワーク機器310が設置されるネットワーク環境については、図1を参照して説明したものと同様とすることができ、ハードウェア構成も、ネットワーク機器310の目的や用途に応じて適切な構成を採用すればよい。図10に示すように、ネットワーク機器310は、その機能ブロックとして、パケット取得部312、脆弱性解析部314、脆弱性パターンデータベース316、禁止アドレス・ポートリスト格納部318、出力部320およびパケットフィルタ部330を含み構成される。
パケット取得部312は、ネットワーク102からパケットを取得するよう構成される。パケット取得部312は、本実施形態における取得手段を構成する。なお、説明する実施形態では、ネットワーク機器310は、ハブやスイッチなどとして構成されており、自身のポートで送受信されるすべてのパケットを取り込んで解析処理を行うよう構成される。パケット取得部312は、図3を参照して説明した実施形態のパケット取得部112と同様の機能を有する。
脆弱性解析部314は、取得したパケットの内容と、記憶された脆弱性パターンとを照合し、脆弱性の評価結果に基づいて、脆弱性を有するパケットの発信元の情報を禁止アドレス・ポートリスト格納部318に記録するよう構成されている。脆弱性解析部314は、本実施形態における評価手段および記録手段を構成する。脆弱性解析部314は、発信元の情報を禁止アドレス・ポートリスト格納部318に記録する他は、図3を参照して説明した実施形態の脆弱性解析部114と同様の機能を有する。
脆弱性パターンデータベース316は、1または複数の脆弱性パターンを記憶するよう構成されている。脆弱性パターンデータベース316は、本実施形態における記憶手段を構成する。脆弱性パターンデータベース316は、図3を参照して説明した実施形態の脆弱性パターンデータベース116と同様のものである。
禁止アドレス・ポートリスト格納部318は、脆弱性解析部314から、発信元の情報を受け取り、受け取った発信元の情報を格納するよう構成されている。本実施形態においては、発信元の情報は、通信を禁止するアドレス情報として記録される。記録される発信元の情報は、発信元アドレスおよび発信元ポート番号の一方または両方を含むことができる。
出力部320は、禁止アドレス・ポートリスト格納部318の禁止アドレス・ポートリストに記録された発信元の情報を出力するよう構成されている。好ましい実施形態においては、出力部320は、外部要求に応答して、記録された通信を禁止するアドレス情報含むレコードの内容を編集可能に提供することができる。出力の形態としては、ネットワーク102を介して接続されるリモート端末からのコマンドやHTTPメッセージなどの外部要求に応答して、リモート端末に対しリスト一覧やリスト一覧を編集可能に表示する画面データを送信する態様とすることもできる。他の出力の形態としては、ネットワーク機器310が表示装置22を備える場合に、この表示装置22上でリストを表示するための操作など外部要求に応答して、表示装置22に対しリストの一覧を表示させる態様もある。出力部320は、本実施形態における出力手段を構成する。
パケットフィルタ部330は、ネットワークを流れるパケットを受信し、禁止アドレス・ポートリスト格納部318の禁止アドレス・ポートリストを参照して、フィルタリングを行う。より具体的には、パケットフィルタ部330は、通信を禁止するアドレス情報が発信元または送信先として含まれる場合には、パケットを破棄するよう構成されている。パケットフィルタ部330は、パケットに通信を禁止するアドレス情報が含まれない場合は、パケットを通過させる。例えば、一のポートで受信したパケットを、他のポートから出力するよう構成することができる。パケットフィルタ部330は、本実施形態における破棄手段を構成する。
以下、図12を参照しながら、他の実施形態における脆弱性検知により禁止アドレス・ポートを記録する処理の流れを説明する。図12は、他の実施形態におけるネットワーク機器310が実行する、脆弱性検知により禁止アドレス・ポートを記録する処理を示すフローチャートである。なお、図12に示す処理は、CPUなどのプロセッサにより実行される。
図12に示す処理は、例えば、パケット毎に、ステップS300から開始される。ステップS301では、プロセッサは、ネットワーク102を介して、パケットを取得する。ステップS302では、プロセッサは、取得したパケットが、SSL(TLS)接続に関するパケットであるか否かに応じて制御を分岐させる。
ステップS302でSSL(TLS)接続に関するパケットではないと判定された場合(NO)は、プロセッサは、ステップS309へ分岐させて、当該パケットに対する処理を終了する。一方、ステップS302で、SSL(TLS)接続に関するパケットであると判定された場合(YES)は、プロセッサは、ステップS303へ処理を分岐させる。ステップS303では、プロセッサは、必要に応じて、それぞれ脆弱性を有するパケットの特徴を記述する1または複数の脆弱性パターンを読み出す。
ステップS304~ステップS308のループでは、各脆弱性パターンについて、取得したパケットの内容との照合が行われる。ステップS305では、プロセッサは、当該パケットの種別が、現在対象としている脆弱性パターンで指定された種別に一致するか否かを判定する。ステップS305で、種別が一致しないと判定された場合(NO)は、プロセッサは、直接ステップS308へ処理を進めて、必要に応じて次の脆弱性パターンの処理へ進める。一方、ステップS305で、種別が一致すると判定された場合(YES)は、プロセッサは、ステップS306へ処理を進める。
ステップS306では、プロセッサは、さらに、当該パケットの注目箇所が、現在対象としている脆弱性パターンで指定されたパターン表現にマッチするか否かを判定する。ステップS306で、パターン表現にマッチしないと判定された場合(NO)は、プロセッサは、直接ステップS308へ処理を進め、必要に応じて次の脆弱性パターンの処理へ進める。一方、ステップS306で、パターン表現にマッチすると判定された場合(YES)は、プロセッサは、ステップS307へ処理を進める。
ステップS307では、プロセッサは、発信元IPアドレスおよび発信元ポート番号を禁止アドレス・ポートリスト格納部318に記録し、ステップS308へ処理を進め、必要に応じて次の脆弱性パターンの処理へ進める。
当該パケットが、1つの脆弱性パターンにマッチした場合、あるいは、当該パケットが、いずれの脆弱性パターンにもマッチしなかった場合は、ステップS304~ステップS308のループを抜けて、ステップS109へ処理が進められる。この場合、ステップS309で、プロセッサは、当該パケットに対する処理を終了する。
図12に示す処理により、リストに発信元IPアドレスおよびポート番号が記録された後、受信したパケットの発信元または送信先のIPアドレスおよびポート番号が禁止されたものと一致する場合に、当該パケットが破棄されるようになる。
なお、ここでは、一度の脆弱性の発見でそのパケットの発信元の情報が禁止リストに記録されるものとして説明した。しかしながら、他の実施形態では、脆弱性を発見した回数を計数し、複数回にわたる評価結果に基づいて、所定回数以上あるいは所定頻度以上で脆弱性が発見された場合に禁止リストに記録するよう構成することもできる。その場合、別途発信元IPアドレスおよび発信元ポート番号の組ごとにカウンタを用意し、ステップS307で、カウンタ値をインクリメントし、カウンタ値が閾値以上であると判定した場合に、発信元IPアドレスおよび発信元ポート番号を禁止アドレス・ポートリスト格納部318に記録するよう構成すればよい。
図13は、本実施形態におけるネットワーク機器により提供される、禁止アドレス/ポート管理機能を説明する図である。図13(A)は、本実施形態におけるネットワーク機器310において、禁止アドレス・ポートリスト格納部318に記録される禁止リスト400のデータ構造を示す。図13(A)に示すように、禁止リスト400は、発信元の情報の1つであるIPアドレスを保持する発信元IPアドレスフィールド400aと、同じく発信元の情報の1つであるポート番号を保持する発信元ポート番号フィールド400bとを含み構成される。図13(A)に示すように、脆弱性有りとパケットが評価されると、禁止アドレス・ポートリスト格納部318には、発信元の情報が記録されて行く。
図13(B)は、禁止リスト管理機能により提供される、禁止リスト管理画面410を一例として示す。図13(B)に示す禁止リスト管理画面410は、禁止されるアドレス情報のレコード一覧表412を含む。禁止アドレス情報レコード一覧表412は、図13(A)に示した脆弱性ログの内容に対応して、発信元の情報の1つであるIPアドレスを表示する発信元IPアドレスフィールド412aと、同じく発信元の情報の1つであるポート番号を保持する発信元ポート番号フィールド412bと、編集ボタン412cと、削除ボタン412dとを含み構成される。
編集ボタン412cが押下されると、対応する発信元IPアドレスフィールド412aおよび発信元ポート番号フィールド412bの内容を編集することができる。削除ボタン412dが押下されると、対応するレコードが削除される。なお、図13(B)に示す禁止リスト管理画面410は、ネットワーク機器310にネットワーク102を介してリモート接続されるリモート端末からの要求に応答して、リモート端末の表示装置上に表示されてもよい。あるいは、当該ネットワーク機器310の操作者による入力装置20に対する操作に応答して、ネットワーク機器310が備える表示装置22上に表示されてもよい。
他の実施形態によれば、特定の脆弱性の種類について、特定のプロトコルを使用しているなど、パケットの内容から形式的に脆弱性の有無を評価し、脆弱性を検知した発信元に関連するパケットをフィルタリングすることができる。パケットの内容から形式的に判断できる脆弱性について、低コストでネットワークの安全性を保つことが可能となる。ネットワーク機器310は、ネットワーク102からパケットを取得しているだけなので、監視対象の機器に対して余分な負荷をかけない。
以上説明したように、上述までの実施形態によれば、対象の機器に対する負荷を軽減しながら、機器が有する一定の脆弱性を検出可能とし、ネットワークの安全性を維持するコストを低減することが可能な情報処理装置、脆弱性検知方法、および、情報処理装置を実現するためのプログラムを提供することができる。なお、情報処理装置は、パケット監視機能を有するコンピュータ装置、パケット監視機能を併せ持つ複合機、プリンタ、ファクシミリ、スキャナなどの画像処理装置、または、パケット監視機能を有するハブ、スイッチ、ルータなどのネットワーク機器として構成することができる。
なお、上記機能部は、アセンブラ、C、C++、C#、Java(登録商標)などのレガシープログラミング言語やオブジェクト指向プログラミング言語などで記述されたコンピュータ実行可能なプログラムにより実現でき、ROM、EEPROM、EPROM、フラッシュメモリ、フレキシブルディスク、CD-ROM、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、ブルーレイディスク、SDカード、MOなど装置可読な記録媒体に格納して、あるいは電気通信回線を通じて頒布することができる。
これまで本発明の実施形態について説明してきたが、本発明の実施形態は上述した実施形態に限定されるものではなく、他の実施形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
100…ネットワーク環境、102…ネットワーク、104…アクセスポイント、110…パケット監視装置、112,312…パケット取得部、114,314…脆弱性解析部、116,316…脆弱性パターンデータベース、118…脆弱性ログ格納部、120,320…出力部、150~158…機器、200…ClientHelloメッセージ、210…脆弱性パターンデータベース、220…脆弱性ログ、230…データベース・クエリ、240…ログ閲覧画面、242,276…期間表示、244,278…ログ一覧表、250…通知条件、270…ログ報告メール、310…ネットワーク機器、318…禁止アドレス/ポートリスト格納部、330…パケットフィルタ部、400…禁止リスト、410…禁止リスト管理画面、412…禁止アドレスレコード一覧表
特許第4995170号公報

Claims (8)

  1. ネットワークに接続される情報処理装置であって、
    脆弱性を有する所定単位の通信データの特徴を記述した脆弱性パターンであって、脆弱性の名称と、判断対象のパケットの種別の指定と、前記種別の指定がされたパケットにおける注目箇所の指定と、前記注目箇所に対するパターンにマッチする文字列を表すパターン表現とを含む前記脆弱性パターンを記憶する記憶手段と、
    前記ネットワークから所定単位の通信データであるパケットを取得する取得手段と、
    前記取得手段で取得したパケットの種別が、前記脆弱性パターンに含まれるパケットの種別の指定と一致するか、および、前記取得手段で取得したパケットにおける前記脆弱性パターンで指定された注目箇所が、前記脆弱性パターンで指定されたパターン表現にマッチするか、を判断し、種別が一致すると判定され、かつ、パターン表現にマッチすると判定した場合は、前記取得手段で取得したパケットが、前記脆弱性パターンに該当する脆弱性を有すると評価する評価手段と、
    前記評価手段で脆弱性を有すると評価されたパケットに関するログであって、前記脆弱性の名称を少なくとも含む脆弱性の内容の情報と、該パケットの発信元の情報とを少なくとも含む前記ログを脆弱性ログ格納部に記録する記録手段と、
    前記脆弱性ログ格納部に記録された前記ログのログ閲覧画面を記述する画面データであって、前記脆弱性の内容の情報と前記発信元の情報とを少なくとも含む前記画面データを、前記ネットワークを介して接続された端末からの外部要求に応答して該端末に送信する出力手段と
    を含む、情報処理装置。
  2. 前記脆弱性パターンは、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)に関連したパケットに関する脆弱性の特徴を記述するものである、請求項1に記載の情報処理装置。
  3. 前記発信元の情報は、発信元アドレスおよび発信元ポート番号の一方または両方を含む、請求項1または2に記載の情報処理装置。
  4. 前記ログは、脆弱性が検出された検出時刻をさらに含み、前記画面データは、前記検出時刻を含む、請求項1~3のいずれか1項に記載の情報処理装置。
  5. 前記出力手段は、前記外部要求に検出時刻の範囲の指定が含まれている場合、前記ログのうち、該検出時刻の範囲に含まれる検出時刻のログを含めた前記画面データを前記端末に送信する、請求項4に記載の情報処理装置。
  6. 前記脆弱性パターンは、複数記録されており、前記評価手段は、前記取得手段で取得したパケットについて、複数の脆弱性パターンに対してそれぞれ評価する、請求項1~5のいずれか1項に記載の情報処理装置。
  7. 通信データにかかる脆弱性を検出する脆弱性検知方法であって、
    コンピュータが、脆弱性を有する所定単位の通信データの特徴を記述した脆弱性パターンであって、脆弱性の名称と、判断対象のパケットの種別の指定と、前記種別の指定がされたパケットにおける注目箇所の指定と、前記注目箇所に対するパターンにマッチする文字列を表すパターン表現とを含む前記脆弱性パターンを読み出すステップと、
    コンピュータが、ネットワークを介して所定単位の通信データであるパケットを取得するステップと、
    コンピュータが、前記取得するステップで取得したパケットの種別が、前記脆弱性パターンに含まれるパケットの種別の指定と一致するか、および、前記取得するステップで取得したパケットにおける前記脆弱性パターンで指定された注目箇所が、前記脆弱性パターンで指定されたパターン表現にマッチするか、を判断し、種別が一致すると判定され、かつ、パターン表現にマッチすると判定した場合は、前記取得するステップで取得したパケットが、前記脆弱性パターンに該当する脆弱性を有すると評価するステップと、
    コンピュータが、前記評価するステップで脆弱性を有すると評価されたパケットに関するログであって、前記脆弱性の名称を少なくとも含む脆弱性の内容の情報と、該パケットの発信元の情報とを少なくとも含む前記ログを脆弱性ログ格納部に記録するステップと、
    前記脆弱性ログ格納部に記録された前記ログのログ閲覧画面を記述する画面データであって、前記脆弱性の内容の情報と前記発信元の情報とを少なくとも含む前記画面データを、前記ネットワークを介して接続された端末からの外部要求に応答して該端末に送信するステップと
    を含む、脆弱性検知方法。
  8. ネットワークに接続される情報処理装置を実現するためのプログラムであって、前記プログラムは、コンピュータを、
    脆弱性を有する所定単位の通信データの特徴を記述した脆弱性パターンあって、脆弱性の名称と、判断対象のパケットの種別の指定と、前記種別の指定がされたパケットにおける注目箇所の指定と、前記注目箇所に対するパターンにマッチする文字列を表すパターン表現とを含む前記脆弱性パターンを記憶する記憶手段、
    前記ネットワークから所定単位の通信データであるパケットを取得する取得手段、
    前記取得手段で取得したパケットの種別が、前記脆弱性パターンに含まれるパケットの種別の指定と一致するか、および、前記取得手段で取得したパケットにおける前記脆弱性パターンで指定された注目箇所が、前記脆弱性パターンで指定されたパターン表現にマッチするか、を判断し、種別が一致すると判定され、かつ、パターン表現にマッチすると判定した場合は、前記取得手段で取得したパケットが、前記脆弱性パターンに該当する脆弱性を有すると評価する評価手段、
    前記評価手段で脆弱性を有すると評価されたパケットに関するログであって、前記脆弱性の名称を少なくとも含む脆弱性の内容の情報と、該パケットの発信元の情報とを少なくとも含む前記ログを脆弱性ログ格納部に記録する記録手段、および、
    前記脆弱性ログ格納部に記録された前記ログのログ閲覧画面を記述する画面データであって、前記脆弱性の内容の情報と前記発信元の情報とを少なくとも含む前記画面データを、前記ネットワークを介して接続された端末からの外部要求に応答して該端末に送信する出力手段
    として機能させるためのプログラム。
JP2017253562A 2017-12-28 2017-12-28 情報処理装置、脆弱性検知方法およびプログラム Active JP7167439B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017253562A JP7167439B2 (ja) 2017-12-28 2017-12-28 情報処理装置、脆弱性検知方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017253562A JP7167439B2 (ja) 2017-12-28 2017-12-28 情報処理装置、脆弱性検知方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2019121017A JP2019121017A (ja) 2019-07-22
JP7167439B2 true JP7167439B2 (ja) 2022-11-09

Family

ID=67307839

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017253562A Active JP7167439B2 (ja) 2017-12-28 2017-12-28 情報処理装置、脆弱性検知方法およびプログラム

Country Status (1)

Country Link
JP (1) JP7167439B2 (ja)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004272671A (ja) 2003-03-10 2004-09-30 Seiko Epson Corp ログ送信装置、その方法及びそのプログラム
JP2004533676A (ja) 2001-03-16 2004-11-04 カバド インコーポレイテッド アプリケーション・レイヤ・セキュリティ方法及びシステム
JP2004312083A (ja) 2003-04-02 2004-11-04 Kddi Corp 学習データ作成装置、侵入検知システムおよびプログラム
JP2005045649A (ja) 2003-07-24 2005-02-17 Toshiba Corp 攻撃パケット検出装置及び方法
JP2005196675A (ja) 2004-01-09 2005-07-21 Kddi Corp ログ分析装置、ログ分析方法およびログ分析プログラム
JP2006238039A (ja) 2005-02-24 2006-09-07 Fujitsu I-Network Systems Ltd パケット処理装置
JP2007129481A (ja) 2005-11-02 2007-05-24 Nippon Telegr & Teleph Corp <Ntt> パケットフィルタリング装置およびパケットフィルタリングプログラム
JP2007251866A (ja) 2006-03-20 2007-09-27 Kyocera Mita Corp 電子機器装置
JP2009119849A (ja) 2007-10-23 2009-06-04 Ricoh Co Ltd 情報処理装置、情報処理方法及びプログラム
JP2009232110A (ja) 2008-03-21 2009-10-08 Fujitsu Ltd 通信監視装置、通信監視プログラム、および通信監視方法
WO2013035181A1 (ja) 2011-09-08 2013-03-14 株式会社日立製作所 脆弱性対策装置、および脆弱性対策方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004533676A (ja) 2001-03-16 2004-11-04 カバド インコーポレイテッド アプリケーション・レイヤ・セキュリティ方法及びシステム
JP2004272671A (ja) 2003-03-10 2004-09-30 Seiko Epson Corp ログ送信装置、その方法及びそのプログラム
JP2004312083A (ja) 2003-04-02 2004-11-04 Kddi Corp 学習データ作成装置、侵入検知システムおよびプログラム
JP2005045649A (ja) 2003-07-24 2005-02-17 Toshiba Corp 攻撃パケット検出装置及び方法
JP2005196675A (ja) 2004-01-09 2005-07-21 Kddi Corp ログ分析装置、ログ分析方法およびログ分析プログラム
JP2006238039A (ja) 2005-02-24 2006-09-07 Fujitsu I-Network Systems Ltd パケット処理装置
JP2007129481A (ja) 2005-11-02 2007-05-24 Nippon Telegr & Teleph Corp <Ntt> パケットフィルタリング装置およびパケットフィルタリングプログラム
JP2007251866A (ja) 2006-03-20 2007-09-27 Kyocera Mita Corp 電子機器装置
JP2009119849A (ja) 2007-10-23 2009-06-04 Ricoh Co Ltd 情報処理装置、情報処理方法及びプログラム
JP2009232110A (ja) 2008-03-21 2009-10-08 Fujitsu Ltd 通信監視装置、通信監視プログラム、および通信監視方法
WO2013035181A1 (ja) 2011-09-08 2013-03-14 株式会社日立製作所 脆弱性対策装置、および脆弱性対策方法

Also Published As

Publication number Publication date
JP2019121017A (ja) 2019-07-22

Similar Documents

Publication Publication Date Title
JP6526895B2 (ja) 電子メッセージベースのセキュリティ脅威の自動軽減
US10482242B2 (en) System and method for performing event inquiries in a network
US7877804B2 (en) Comprehensive security structure platform for network managers
JP6246943B2 (ja) ネットワークフォレンジクスのための記憶媒体、装置及び方法
CN113612784B (zh) 使用蜜罐的动态服务处理
JP2020521383A (ja) 相関関係駆動型脅威の評価と修復
US7752668B2 (en) Network virus activity detecting system, method, and program, and storage medium storing said program
JP4827972B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
JP2009516266A (ja) ネットワーク発見情報を用いた侵入イベント相関方法およびシステム
US11683343B2 (en) Distributed network and security operations platform
JP6977507B2 (ja) 制御装置および制御システム
JP7006178B2 (ja) セキュリティ監視装置
CN106789486A (zh) 共享接入的检测方法及装置
JP7167439B2 (ja) 情報処理装置、脆弱性検知方法およびプログラム
JP2006229700A (ja) ネットワーク間経路情報の監視代行サービスシステムとその方法、および装置、ならびにそのプログラム
JP2006295232A (ja) セキュリティ監視装置、セキュリティ監視方法、及びプログラム
Sharma Honeypots in Network Security
US20110258311A1 (en) Monitoring apparatus, monitoring method and computer readable medium for monitoring
FR3061579A1 (fr) Systeme de securisation d&#39;un reseau informatique local
JP6227853B2 (ja) 機密管理装置、機密管理方法、及びプログラム
JP2017103642A (ja) 検討装置及び検討方法
JP4526566B2 (ja) ネットワーク装置、データ中継方法およびプログラム
Ranđelović et al. A test of IDS application open source and commercial source
JP6114204B2 (ja) 通信システム、フィルタリング装置、フィルタリング方法およびプログラム
JP2012048350A (ja) 監視システム、制御方法及び制御プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200916

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210706

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210903

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220301

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220927

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221010

R151 Written notification of patent or utility model registration

Ref document number: 7167439

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151