JP7198617B2 - security system - Google Patents
security system Download PDFInfo
- Publication number
- JP7198617B2 JP7198617B2 JP2018177069A JP2018177069A JP7198617B2 JP 7198617 B2 JP7198617 B2 JP 7198617B2 JP 2018177069 A JP2018177069 A JP 2018177069A JP 2018177069 A JP2018177069 A JP 2018177069A JP 7198617 B2 JP7198617 B2 JP 7198617B2
- Authority
- JP
- Japan
- Prior art keywords
- computer
- infected
- network
- communication
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、サイバー攻撃から情報システムを保護する技術に関する。 The present invention relates to technology for protecting information systems from cyberattacks.
情報システムに対するサイバー攻撃は多様化しており、単一の仕組みのみによって情報システムをサイバー攻撃から保護することは次第に困難になってきている。そこで近年においては、サイバー攻撃が情報システムに対して到達する前に攻撃を排除する入口保護対策と、仮にコンピュータがサイバー攻撃を受けてしまったとしてもその影響をできる限り抑制する出口保護対策との両面において、保護を図る場合がある。このように多段的な保護を図ることにより、サイバー攻撃に対する耐性を向上させることが期待される。 Cyber-attacks on information systems are diversifying, and it is becoming increasingly difficult to protect information systems from cyber-attacks with only a single mechanism. Therefore, in recent years, there has been a need for entrance protection measures that eliminate cyberattacks before they reach information systems, and exit protection measures that minimize the impact of cyberattacks on computers even if they do occur. Protection may be sought on both sides. It is expected that resistance to cyber-attacks will be improved by implementing multi-stage protection in this way.
下記特許文献1は、検疫ネットワークを構成する手法について記載している。検疫ネットワークは、内部ネットワークから隔離された個別ネットワーク上に検査対象コンピュータを接続して適当な手法により検査し、検査をパスした場合のみそのコンピュータを内部ネットワークへ接続することを許可しようとするものである。同文献においては、ARP応答によって検疫ネットワークを実現するとしている(要約参照)。 Patent Literature 1 listed below describes a technique for constructing a quarantine network. Quarantine network is intended to connect the computer to be inspected to a separate network isolated from the internal network, inspect it by an appropriate method, and allow the computer to be connected to the internal network only if it passes the inspection. be. In the same document, it is said that a quarantine network is realized by ARP responses (see abstract).
上記特許文献1のような従来の検疫ネットワークは、コンピュータウイルスなどの不正データが内部ネットワークへ侵入する前にこれを検出することが意図されている。すなわちこのような検疫ネットワークは、入口保護システムの1種として構成されているのが通常である。他方で出口保護システムにおいては、サイバー攻撃の影響を受けたコンピュータを検出した後、そのコンピュータから内部ネットワークに対する影響をどのように排除するのかについては、必ずしも堅牢な対策が取られているとは言い難い状況にある。 A conventional quarantine network, such as that of Patent Document 1, is intended to detect unauthorized data such as computer viruses before they enter the internal network. That is, such a quarantine network is usually configured as one type of entrance protection system. On the other hand, in the exit protection system, after detecting a computer that has been affected by a cyberattack, it cannot be said that robust measures are taken to eliminate the impact on the internal network from that computer. I am in a difficult situation.
本発明は、上記のような課題に鑑みてなされたものであり、内部ネットワークの入口部分において不正データの侵入を防止するとともに、不正データに感染した感染コンピュータを隔離することにより、コンピュータシステムのセキュリティを向上することを目的とする。 SUMMARY OF THE INVENTION The present invention has been devised in view of the above-described problems, and is intended to improve the security of a computer system by preventing unauthorized data from entering an internal network and by isolating infected computers infected with unauthorized data. The purpose is to improve
本発明に係るセキュリティシステムは、コンピュータネットワークの前段において不正データの侵入を防止する入口保護システムと、感染コンピュータによる不正動作を抑制する出口保護システムとを備え、前記出口保護システムはさらに、前記感染コンピュータを前記コンピュータネットワークから隔離する排除システムを備える。 A security system according to the present invention comprises an entrance protection system that prevents unauthorized data from entering a computer network, and an exit protection system that inhibits unauthorized operations by an infected computer. from the computer network.
本発明に係るセキュリティシステムによれば、コンピュータネットワークの入口と出口の双方において多段的に不正データを排除することにより、コンピュータネットワークのセキュリティを向上させることができる。 According to the security system of the present invention, the security of a computer network can be improved by eliminating unauthorized data in multiple stages both at the entrance and exit of the computer network.
<実施の形態1>
図1は、本発明の実施形態1に係るセキュリティシステム10のネットワーク構成図である。セキュリティシステム10は、物理サーバ400が属するコンピュータネットワークをサイバー攻撃から保護するシステムである。セキュリティシステム10は、入口保護システム200と出口保護システム100を備える。
<Embodiment 1>
FIG. 1 is a network configuration diagram of a
セキュリティシステム10が配置されているコンピュータネットワーク環境は、大別して外部ネットワークと内部ネットワークに分けられる。外部ネットワークは、外部ルータ310よりもインターネット500側のネットワークである。入口保護システム200は、外部ルータ310と内部ルータ320との間に配置されている。内部ネットワークは内部ルータ320から見てインターネット500とは反対側のゾーンである。
The computer network environment in which the
外部ルータ310は、インターネット500に対して送信するパケットの通信経路を制御する中継装置である。内部ルータ320は、内部ネットワーク内におけるパケットの通信経路を制御するとともに、内部ネットワークと外部ネットワークとの間の通信を中継する中継装置である。
The
各ネットワークに属するコンピュータは、ネットワークスイッチを介して接続されるのが一般的である。図1においては内部ネットワークに属するコンピュータを集約するネットワークスイッチ330を例示した。ネットワークスイッチ330は、LAN(Local Area Network)ケーブルポートを複数備える。内部ネットワークに属するコンピュータは、LANケーブルをネットワークスイッチ330が備えるポートに接続することにより、他のコンピュータと接続される。
Computers belonging to each network are generally connected via a network switch. FIG. 1 illustrates a
<実施の形態1:入口保護システム>
入口保護システム200は、外部ネットワークから到達する不正データが内部ネットワークに対して侵入する前にこれを排除するためのシステムである。入口保護システム200は、ファイアウォール(FW)210、侵入防止システム(IPS)220、サンドボックス230、Webアプリケーションファイアウォール(WAF)240を備える。
<Embodiment 1: Entrance protection system>
The
FW210は、特定のTCPポートを用いる通信のみを通過させる。IP(Internet Protocol)ネットワークにおける通信プロトコルはそれぞれ特定のTCPポート番号が割り当てられているので、特定のTCPポートのみ通過させることにより、不正な通信をある程度排除することができる。外部ネットワークから内部ネットワークへ向かうパケットを通過させるときと、内部ネットワークから外部ネットワークへ向かうパケットを通過させるときそれぞれにおいて、異なるルールを適用することもできる。例えば外部ネットワークからはHTTPプロトコルによる通信のみを許可し、内部ネットワークからはその他プロトコルによる通信も許可する、などの通信制御も可能である。 The FW 210 only passes communications using a specific TCP port. Since a specific TCP port number is assigned to each communication protocol in an IP (Internet Protocol) network, unauthorized communication can be eliminated to some extent by allowing only specific TCP ports to pass. Different rules can be applied when passing packets from the external network to the internal network and when passing packets from the internal network to the external network. For example, it is possible to control communication by permitting only HTTP protocol communication from the external network and permitting communication by other protocols from the internal network.
IPS220は、特定の通信パターンをあらかじめ不正通信パターンとして保持しておき、その不正通信パターンに合致する通信を遮断する。したがってIPS220は、外部ネットワークと内部ネットワークとの間の通信経路上に配置されている。IPS220が検出する不正通信パターンの例としては、SYNフラッド攻撃やワームによる特定の通信パターンなどが挙げられる。その他、クロスサイトJAVA(登録商標)スクリプトを送り付けてきたような場合も不正通信パターンとみなすことができる。 The IPS 220 holds a specific communication pattern in advance as an unauthorized communication pattern, and blocks communication that matches the unauthorized communication pattern. Therefore, IPS 220 is arranged on the communication path between the external network and the internal network. Examples of unauthorized communication patterns detected by the IPS 220 include SYN flood attacks and specific communication patterns caused by worms. In addition, sending a cross-site JAVA (registered trademark) script can also be regarded as an unauthorized communication pattern.
サンドボックス230は、不正データである可能性があるデータを動作させてその挙動を監視し、不正データであることが確認できればこれを排除するシステムである。例えば電子メールの添付ファイルやFTP(File Transfer Protocol)によって送信されてくるファイルなどが監視対象となる。監視対象は必ずしも実行形式のファイルに限らず、リンクライブラリなどのように他の実行形式ファイルと連動して動作するデータも監視してもよい。サンドボックス230は不正データを自由に動作させる必要があるので、内部ネットワークから隔離されたセグメントに配置されている。
The
WAF240は、Webアプリケーション上の特定の動作パターンをあらかじめ不正パターンとして保持しておき、その不正パターンに合致するWebアプリケーション上の動作を遮断する。例えばWebアプリケーション上でパスワード入力フォームが提供されている場合、パスワード総当たり攻撃を検知してこれを遮断することができる。SQLインジェクション攻撃などもWAF240によって遮断することができる。 The WAF 240 stores specific behavior patterns on the web application as fraudulent patterns in advance, and blocks behaviors on the web application that match the fraudulent patterns. For example, when a password entry form is provided on a web application, a password brute force attack can be detected and blocked. SQL injection attacks and the like can also be blocked by the WAF 240 .
<実施の形態1:出口保護システム>
出口保護システム100は、内部ネットワークにおいて不正データに感染した感染コンピュータによる不正挙動の影響を抑制するためのシステムである。出口保護システム100は、排除システム110と後述するエンドポイントセキュリティシステム120を備える。
<Embodiment 1: Exit protection system>
The
排除システム110は、不正データに感染した感染コンピュータが内部ネットワーク内に存在することを認識すると、その感染コンピュータと内部ネットワークとの間の通信経路を遮断することにより、その感染コンピュータを内部ネットワークから隔離する。具体的には、以下のような手法のいずれかを単独で用いることもできるし、これら2以上を組み合わせて用いることもできる。
When the
(通信経路を遮断する手法その1:経路制御)
コンピュータ間で通信を確立する際には、通信経路が存在する必要がある。通信経路はそのコンピュータが属するルータによって制御されている。図1の内部ネットワークにおいては内部ルータ320がその役割を有する。具体的には、内部ルータ320は内部ネットワークにおけるコンピュータ間の通信経路を定義する通信経路データを保持しており、各コンピュータは他コンピュータと通信する際にまず内部ルータ320へアクセスする。内部ルータ320は、通信経路データにしたがって通信を中継する。感染コンピュータを内部ネットワークから隔離するためには、感染コンピュータが他のコンピュータと通信するための通信経路を内部ルータ320が保持していなければよい。そこで排除システム110は、感染コンピュータが存在することを認識すると、その感染コンピュータを送信元とする通信経路が存在しないように、内部ルータ320が保持する通信経路データを書き換える。具体的には、ルーティングテーブルの該当部分を静的に上書する。これにより、感染コンピュータを内部ネットワークから論理的に排除することができる。
(Method 1 for blocking the communication route: route control)
When establishing communication between computers, a communication path must exist. The communication path is controlled by the router to which the computer belongs. The
(通信経路を遮断する手法その2:スイッチ制御)
内部ネットワーク内のコンピュータはネットワークスイッチ330を介して接続されているので、ネットワークスイッチ330を介して感染コンピュータを隔離することができる。具体的には、排除システム110は感染コンピュータが接続されているLANケーブルポートを無効化することにより、感染コンピュータを内部ネットワークから物理的に隔離することができる。その他、LANケーブルポート間の内部接続を変更することにより、感染コンピュータが接続されているポートとその他コンピュータが接続されているポートとの間の通信を遮断してもよい。さらには、ネットワークスイッチ330に接続されているコンピュータ間のネットワーク構成をネットワークスイッチ330内部でソフトウェアによって定義している場合、ソフトウェア上の設定を変更することにより、感染コンピュータを他のコンピュータから隔離したネットワークセグメントに配置してもよい。排除システム110は、以上いずれかの手法により、感染コンピュータを論理的に隔離することができる。
(Method 2 for blocking the communication path: switch control)
Since the computers in the internal network are connected through
(通信経路を遮断する手法その3:ARPテーブル(1))
IPネットワークにおいて送信元コンピュータが送信先コンピュータに対してパケットを送信する際には、両コンピュータのIPアドレスとMAC(Media Access Control)アドレスの対応関係をあらかじめ把握しておく必要がある。ARP(Address Resolution Protocol)は、この対応関係を取得するために各コンピュータがそれぞれ用いるプロトコルである。各コンピュータはこの対応関係をARPテーブルとして保持する。送信先コンピュータのMACアドレスが分からない場合、送信元コンピュータはこれを回答するように要求するARPリクエストをブロードキャストする。排除システム110は、IPネットワークにおける以上の仕組みを利用して、以下の手法により感染コンピュータを隔離する。
(Method 3 for blocking the communication path: ARP table (1))
When a source computer transmits a packet to a destination computer on an IP network, it is necessary to know in advance the correspondence between the IP addresses and MAC (Media Access Control) addresses of both computers. ARP (Address Resolution Protocol) is a protocol used by each computer to obtain this correspondence. Each computer holds this correspondence as an ARP table. If the destination computer's MAC address is not known, the source computer broadcasts an ARP request asking it to reply. The
(通信経路を遮断する手法その3:ARPテーブル(2))
排除システム110は、感染コンピュータからARPリクエストを受け取ったとき、感染コンピュータが保持するARPテーブル上で感染コンピュータと内部ネットワーク内の他コンピュータとの間の通信が確立できなくなるようなARP応答を返信することにより、感染コンピュータを内部ネットワークから論理的に隔離する。例えば送信先コンピュータのIPアドレスとMACアドレスとの間の対応関係を偽るARP応答を返信することが考えられる。これにより、感染コンピュータが他コンピュータへアクセスしようとしても、他コンピュータの正しいMACアドレスが得られないので、アクセス不可となる。さらには、他コンピュータが感染コンピュータへアクセスしないように、他コンピュータにおけるARPテーブルを書き換えるARP応答を発信してもよい。具体的には、他コンピュータ上において感染コンピュータのIPアドレスとMACアドレスとの間の対応関係を偽るARP応答を発信すればよい。これらはいずれも、内部ネットワークに属する各コンピュータのARPテーブルを偽るARP応答を発信することにより、感染コンピュータを内部ネットワークから論理的に隔離するものである。ARPテーブルは有効期限があるのが一般的であるので、排除システム110はその有効期限が切れたことを契機として、各コンピュータのARPテーブルを書き換えることができる。以上の他、特許文献1が記載している手法を適宜用いることができる。
(Method 3 for blocking the communication path: ARP table (2))
When receiving an ARP request from an infected computer, the
図2は、物理サーバ400の構成例である。物理サーバ400は、CPU(Central Processing Unit)410を備える。エンドポイントセキュリティシステム120は物理サーバ400上に実装されている。エンドポイントセキュリティシステム120は、物理サーバ400上に存在する不正データを検出し、可能な限りこれを物理サーバ400上から除去することを試みる。
FIG. 2 is a configuration example of the
エンドポイントセキュリティシステム120は、例えばCPU410が実行する保護プログラムとして構成することができる。保護プログラムは、例えば既知の不正データの動作パターンなどをあらかじめ保持しておき、物理サーバ400上でこれと合致する動作を検出することにより、不正データを検出する。あるいは、不正挙動を累積的に学習することにより自ら不正データの動作パターンを学習するような保護プログラムを用いることもできる。学習する対象としては、(a)不正データ自身または不正データが使用するデータのバイナリ配置パターン、(b)不正データが使用するTCPポート、(c)不正データが使用するライブラリのファイルパス、などが考えられる。
エンドポイントセキュリティシステム120は、物理サーバ400上で不正データを検出すると、その旨を記録したログを出力する。排除システム110は、このログをエンドポイントセキュリティシステム120から取得してその内容を確認することにより、物理サーバ400が不正データに感染したことを認識する。これに代えて、エンドポイントセキュリティシステム120と排除システム110との間で、不正データを検出した旨を即座に通知してもよい。
When the
不正データの1類型として、コマンド&コントロール型のマルウェアが挙げられる。このタイプの不正データは、感染コンピュータを支配下におき、遠隔コンピュータから感染コンピュータに対してコマンドを送信して所望の不正動作をさせるものである。コマンドを送信する遠隔コンピュータを、コマンド&コントロールサーバと呼ぶ。排除システム110は、感染コンピュータがこのタイプの不正データに感染したことを認識した場合は、感染コンピュータを内部ネットワークから隔離することに代えてまたはこれに加えて、感染コンピュータとコマンド&コントロールサーバとの間の通信を遮断してもよい。遮断するための具体的手段は上記手法その1~その3と同様である。
One type of malicious data is command-and-control malware. This type of rogue data takes control of an infected computer and sends commands from a remote computer to the infected computer to perform desired rogue actions. A remote computer that sends commands is called a command and control server. If the
図3は、物理サーバ400の別構成例である。物理サーバ400は、ハイパーバイザ420の配下に仮想サーバ(Virtual Machine:VM)を配置した構成を備える場合がある。仮想サーバ環境においても、ファイアウォールを配置する場合がある。図3においては、VM421とVM422との間の通信を特定のTCPポートに限定するため、仮想FW423を同じハイパーバイザ420の配下に配置した例を示した。
FIG. 3 is another configuration example of the
仮想FW423は、VM421とVM422との間の通信を記録するログを出力する。仮想FW423は、通信の正常度や異常度を表すフラグをこのログに出力することもできる。例えば禁止しているTCPポートを用いようと試みる通信が過度に多い場合、その程度に応じた警告レベルをログに記録することができる。排除システム110は、仮想FW423が出力するログを取得してその内容を確認することにより、仮想サーバが不正データに感染したことを認識することができる。これに代えて、警告レベルが閾値を超えた仮想サーバのアドレス等を仮想FW423から排除システム110に対して即座に通知してもよい。
The
不正データに感染した仮想サーバ(図3においてはVM421または422)を排除システム110が内部ネットワークから隔離するための具体的手段は上記手法その1~その3と同様である。仮想サーバも内部ネットワークに属するコンピュータとして振る舞うことに変わりはないからである。
The specific means by which the
図3においては、仮想FW423が異常な通信を検出することにより、不正データに感染した仮想サーバを認識することを説明したが、図2と同様のエンドポイントセキュリティシステム120を仮想サーバ上に構成することにより、不正データに感染した仮想サーバを認識してもよい。
In FIG. 3, it was explained that the
<実施の形態1:まとめ>
本実施形態1に係るセキュリティシステム10は、入口保護システム200と出口保護システム100を備え、出口保護システム100はさらに、感染コンピュータを内部ネットワークから隔離する排除システム110を備える。これにより、内部ネットワークをサイバー攻撃から多段的に保護するとともに、感染コンピュータから内部ネットワークに対して与える影響を抑制することができる。したがって、内部ネットワークのサイバーセキュリティを向上させることができる。
<Embodiment 1: Summary>
The
本実施形態1に係るセキュリティシステム10は、感染コンピュータと内部ネットワークとの間の通信経路を遮断することにより、感染コンピュータを内部ネットワークから隔離する。具体的には、排除システム110は(a)内部ルータ320上のルーティングテーブルを書き換えて感染コンピュータと内部ネットワークとの間の通信経路を遮断する、(b)ネットワークスイッチ330のポート間の接続関係を変更することにより感染コンピュータと内部ネットワークとの間の通信経路を遮断する、(c)内部ネットワークに属するコンピュータのARPテーブルを偽装する、などの手法を用いることができる。これにより排除システム110は、感染コンピュータを内部ネットワークから確実に隔離することができる。
The
本実施形態1に係るセキュリティシステム10は、感染コンピュータがコマンド&コントロール型の不正データに感染した場合、感染コンピュータとコマンド&コントロールサーバとの間の通信を遮断することもできる。これにより、内部ネットワークに対する影響のみならず、感染コンピュータを起点とするコマンド&コントロール型の様々なサイバー攻撃を包括的に遮断することができる。例えば感染コンピュータがボットネットワークの構成要素として振る舞うことを防止できる。したがって、内部ネットワークに対する影響に留まらず、周辺ネットワークに対する影響をも抑制することができる。
The
本実施形態1に係るセキュリティシステム10は、エンドポイントセキュリティシステム120と排除システム110との間で、感染コンピュータを特定するデータをやり取りする。これにより、従来は個別に動作するに留まっていたエンドポイントセキュリティシステム120と排除システム110が相互連携して、セキュリティを相乗的に高めることができる。本実施形態1はこの点において、単に各システムを個別に利用するのみならず、これらの相乗効果を発揮させる具体的手法を提供する、本実施形態1固有の技術的着想に基づくものであるといえる。
The
本実施形態1に係るセキュリティシステム10は、仮想FW423と排除システム110との間で、感染コンピュータを特定するデータをやり取りする。これにより、仮想サーバが不正データに感染した場合であっても、その仮想サーバを内部ネットワークから隔離することができる。仮想FW423と排除システム110は従来個別に動作するに留まっていたが、本実施形態1によればこれらが相互連携することにより、仮想サーバ環境においてもセキュリティを相乗的に高めることができる。本実施形態1はこの点においても固有の技術的着想に基づくものであるといえる。
The
<実施の形態2>
図4は、本発明の実施形態2に係るセキュリティシステム10における物理サーバ400の構成例である。仮想サーバが有するIPアドレスは、ハイパーバイザ420が提供する仮想ネットワーク内部におけるプライベートIPアドレスである場合もある。この場合は例えばハイパーバイザ420が提供するNAT(Network Address Translation)421によってIPアドレスがプライベートアドレスから内部ネットワーク上のアドレスへ変換され、これにより各仮想サーバは他コンピュータと通信することができる。
<Embodiment 2>
FIG. 4 is a configuration example of a
図4のようなアドレス構成においては、排除システム110が仮想サーバを内部ネットワークから排除しようとしたとき、不都合が生じる場合がある。排除システムが感染コンピュータのIPアドレスを指定して内部ネットワークから隔離しようとしたとき、感染コンピュータのプライベートIPアドレスを排除システム110が知る手段が存在していないからである。具体的には、不正データに感染した仮想サーバのARPテーブルを書き換えようとしたとき、その仮想サーバのプライベートIPアドレスを指定する手段が存在しないことになる。
In the address configuration as shown in FIG. 4, inconvenience may occur when the
そこで本実施形態2において、排除システム110は、不正データに感染した仮想サーバを隔離するように、ハイパーバイザ420に対して依頼する。ハイパーバイザ420はその依頼を受けて、その仮想サーバをNAT421の配下にある仮想ネットワークから隔離する。隔離する具体的な手法としては、実施形態1で説明した手法その1~その3と同様のものを仮想ネットワークにおいて実施すればよい。例えば仮想ネットワークにおいても仮想ルータや仮想ネットワークスイッチが構成されている場合は、これらに対して手法その1~その2に対応する手順を実施すればよい。あるいは手法その3と同様に、仮想サーバが有するARPテーブルを書き換えるARP応答を仮想ネットワーク内において配信してもよい。
Therefore, in the second embodiment, the
図5は、本実施形態2に係るセキュリティシステム10における物理サーバ400の別構成例である。図4で説明した手法は、仮想サーバのIPアドレス体系が排除システム110のIPアドレス体系とは切り離されていることに起因して必要になる。これに代えて図5においては、ハイパーバイザ420の配下の仮想サーバとして、排除システム110のスレーブとして動作する仮想排除システム111を構成している。仮想排除システム111は、仮想サーバ上に排除システム110と同様のシステムを構築したものである。
FIG. 5 is another configuration example of the
排除システム110は、不正データに感染した仮想サーバを隔離するように、仮想排除システム111に対して依頼する。仮想排除システム111は、不正データに感染した仮想サーバと同じ仮想ネットワークに属するので、その仮想サーバを排除するために特別な工夫は必要ない。
The
本実施形態2において、不正データに感染した仮想サーバを排除システム110が認識する際には、例えば仮想ネットワーク上における仮想サーバのプライベートIPアドレスを記述したログを排除システム110が取得すればよい。排除システム110は、そのプライベートIPアドレスを直接指定する手段を有していないが、これに代えてそのプライベートIPアドレスを有する仮想サーバを仮想ネットワークから隔離するように、ハイパーバイザ420または仮想排除システム111に対して依頼すればよい。
In the second embodiment, when the
<実施の形態2:まとめ>
本実施形態2に係るセキュリティシステム10は、仮想サーバが不正データに感染した場合であっても、排除システム110と仮想ネットワークが相互に連携することによりその仮想サーバを仮想ネットワークから隔離することができる。これにより、仮想ネットワーク内において不正データの影響が拡散することを防止できる。また物理サーバ400全体を隔離する必要はないので、隔離にともなうシステム機能低下を最小限に留めることができる。
<Embodiment 2: Summary>
Even if a virtual server is infected with unauthorized data, the
<本発明の変形例について>
本発明は、前述した実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
<Regarding Modifications of the Present Invention>
The present invention is not limited to the embodiments described above, and includes various modifications. For example, the above-described embodiments have been described in detail in order to explain the present invention in an easy-to-understand manner, and are not necessarily limited to those having all the configurations described. Also, part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. Moreover, it is possible to add, delete, or replace part of the configuration of each embodiment with another configuration.
以上の実施形態において、FW210、IPS220、サンドボックス230、WAF240は、それぞれ別のサーバコンピュータ上に実装することもできるし、これらのうち2以上を同一のサーバコンピュータ上に実装することもできる。排除システム110も同様にサーバコンピュータ上に実装することができる。
In the above embodiment, the
上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード等の記録媒体に置くことができる。また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。 Some or all of the above configurations, functions, processing units, processing means, etc. may be realized by hardware, for example, by designing integrated circuits. Moreover, each of the above configurations, functions, etc. may be realized by software by a processor interpreting and executing a program for realizing each function. Information such as programs, tables, and files that implement each function can be stored in recording devices such as memories, hard disks, SSDs (Solid State Drives), or recording media such as IC cards and SD cards. Further, the control lines and information lines indicate those considered necessary for explanation, and not all control lines and information lines are necessarily indicated on the product. In practice, it may be considered that almost all configurations are interconnected.
10:セキュリティシステム
100:出口保護システム
110:排除システム
120:エンドポイントセキュリティシステム
200:入口保護システム
210:FW
220:IPS
230:サンドボックス
240:WAF
310:外部ルータ
320:内部ルータ
330:ネットワークスイッチ
400:物理サーバ
420:ハイパーバイザ
423:仮想FW
10: Security System 100: Exit Protection System 110: Exclusion System 120: Endpoint Security System 200: Entrance Protection System 210: FW
220: IPS
230: Sandbox 240: WAF
310: External router 320: Internal router 330: Network switch 400: Physical server 420: Hypervisor 423: Virtual FW
Claims (9)
前記内部コンピュータネットワークと外部ネットワークとの間に配置され、前記外部ネットワークから前記内部コンピュータネットワークに対して侵入しようとする攻撃をブロックする入口保護システム、
前記内部コンピュータネットワークに接続されたコンピュータが不正データに感染したときそのコンピュータによる不正動作を抑制する出口保護システム、
を備え、
前記入口保護システムは、
特定のTCPポートを用いる通信および、外部ネットワークから内部ネットワークへの通信の場合はHTTPプロトコルによる通信のみを通過させるファイアウォールシステム、
特定の通信パターンをあらかじめ不正通信パターンとして保持しておき、その不正通信パターンに合致する通信を検知した場合、遮断する侵入防止システム、
前記外部ネットワークから送信されてきたデータを前記内部コンピュータネットワークから隔離されたサンドボックスコンピュータ上で動作させてその挙動を監視することにより、前記データが不正データであるか否かを判定し、不正データと判定した場合に排除するサンドボックスシステム、
Webアプリケーション上の特定の動作パターンをあらかじめ不正パターンとして保持しておき、その不正パターンに合致するWebアプリケーション上の動作を遮断するWebアプリケーションファイアーウォールシステム、
を備え、
前記出口保護システムはさらに、前記情報システムが接続されている内部コンピュータネットワークから前記不正データに感染した感染コンピュータを隔離する不正コンピュータ排除システムを備え、
前記出口保護システムは、前記内部コンピュータネットワークに属する仮想コンピュータ間における特定のTCPポートを用いる通信を遮断する仮想ファイアウォールシステムを備え、
前記仮想ファイアウォールシステムは、通信を許可していないTCPポートを用いる通信を検出すると、その旨の通知またはログを出力し、
前記不正コンピュータ排除システムは、前記仮想ファイアウォールシステムが出力した前記通知または前記ログに基づき、通信を許可していないTCPポートを用いる仮想コンピュータを感染コンピュータであると特定するとともに、特定した前記感染コンピュータを隔離する
ことを特徴とするセキュリティシステム。 A security system that protects an information system connected to an internal computer network from cyber attacks against said information system,
an entrance protection system that is placed between the internal computer network and an external network and blocks attacks from the external network to the internal computer network;
an exit protection system that suppresses unauthorized operations by computers connected to the internal computer network when infected with unauthorized data;
with
The entrance protection system comprises:
A firewall system that allows only communication using a specific TCP port and communication using the HTTP protocol in the case of communication from an external network to an internal network,
An intrusion prevention system that stores specific communication patterns in advance as fraudulent communication patterns and blocks communications that match the fraudulent communication patterns.
By operating the data transmitted from the external network on a sandbox computer isolated from the internal computer network and monitoring its behavior, it is determined whether or not the data is fraudulent data. A sandbox system that eliminates if it is determined that
A web application firewall system that stores specific operation patterns on web applications as fraud patterns in advance and blocks operations on web applications that match the fraud patterns;
with
The exit protection system further comprises a rogue computer exclusion system for isolating infected computers infected with the rogue data from an internal computer network to which the information system is connected ,
The egress protection system comprises a virtual firewall system that blocks communication using a specific TCP port between virtual computers belonging to the internal computer network;
When the virtual firewall system detects communication using a TCP port for which communication is not permitted, it outputs a notification or log to that effect,
The unauthorized computer exclusion system identifies a virtual computer using a TCP port for which communication is not permitted as an infected computer based on the notification or the log output by the virtual firewall system, and identifies the identified infected computer. isolate
A security system characterized by:
ことを特徴とする請求項1記載のセキュリティシステム。 2. The security system according to claim 1, wherein said unauthorized computer exclusion system isolates said infected computer from said internal computer network by blocking a communication path between said infected computer and said internal computer network. .
前記不正コンピュータ排除システムは、前記内部コンピュータネットワークに属する各コンピュータと前記感染コンピュータとの間の通信経路が存在しなくなるように前記通信経路データを書き換えることにより、前記感染コンピュータと前記内部コンピュータネットワークとの間の通信経路を遮断する
ことを特徴とする請求項2記載のセキュリティシステム。 The internal computer network comprises a router that manages communication path data defining communication paths between each computer belonging to the internal computer network and the infected computer,
The unauthorized computer exclusion system rewrites the communication path data so that the communication path between each computer belonging to the internal computer network and the infected computer does not exist, thereby rewriting the infected computer and the internal computer network. 3. The security system according to claim 2, which cuts off a communication path between.
前記ネットワークスイッチは、コンピュータと接続する通信ポートを複数備えるとともに、各前記通信ポート間の接続を内部的に変更することができるように構成されており、 前記不正コンピュータ排除システムは、前記感染コンピュータから前記内部コンピュータネットワークに属する各コンピュータに対する通信を中継しないように各前記通信ポート間の接続を変更することにより、前記感染コンピュータと前記内部コンピュータネットワークとの間の通信経路を遮断する
ことを特徴とする請求項2記載のセキュリティシステム。 the internal computer network comprises a network switch that relays communication between each computer belonging to the internal computer network and the infected computer;
The network switch has a plurality of communication ports that connect to computers, and is configured to be able to internally change the connection between each of the communication ports, A communication route between the infected computer and the internal computer network is cut off by changing connections between the communication ports so as not to relay communications to computers belonging to the internal computer network. 3. A security system according to claim 2.
前記不正コンピュータ排除システムは、前記感染コンピュータから送信された前記アドレス解決パケットを検出すると、前記内部コンピュータネットワークに属するコンピュータの前記対応関係を偽る回答を、前記感染コンピュータからの前記アドレス解決パケットに対して返信することにより、前記感染コンピュータと前記内部コンピュータネットワークとの間の通信経路を遮断する
ことを特徴とする請求項2記載のセキュリティシステム。 The unauthorized computer exclusion system monitors an address resolution packet requesting a response of correspondence between IP addresses and MAC addresses of computers belonging to the internal computer network;
When the unauthorized computer exclusion system detects the address resolution packet transmitted from the infected computer, the unauthorized computer exclusion system sends a reply that falsifies the correspondence relationship of the computers belonging to the internal computer network to the address resolution packet from the infected computer. 3. The security system according to claim 2, wherein replying cuts off a communication path between the infected computer and the internal computer network.
ことを特徴とする請求項1記載のセキュリティシステム。 The unauthorized computer exclusion system is characterized by blocking and suppressing unauthorized operations by the infected computer by detecting communication between the infected computer and a command and control server that transmits commands to the infected computer. 2. The security system of claim 1, wherein:
前記不正コンピュータ排除システムは、前記保護プログラムとの間で前記不正データを検出した結果を互いにやり取りすることにより、前記感染コンピュータが前記不正データに感染したことを特定するとともに、前記不正データを排除する
ことを特徴とする請求項1記載のセキュリティシステム。 the exit protection system detects the unauthorized data infected by the infected computer by executing a protection program for detecting the unauthorized data;
The unauthorized computer exclusion system specifies that the infected computer is infected with the unauthorized data and eliminates the unauthorized data by exchanging the detection result of the unauthorized data with the protection program. The security system according to claim 1, characterized in that:
ことを特徴とする請求項5記載のセキュリティシステム。 When the infected computer is configured as the virtual computer and is assigned an IP address on a hypervisor that hosts the virtual computer, the unauthorized computer exclusion system, via the hypervisor, 6. The security system according to claim 5, wherein a reply falsifying a correspondence relationship is returned to said address resolution packet.
前記保護プログラムは、不正プログラムの動作パターンを学習するとともに、学習した前記不正プログラムの動作パターンと前記不正データの動作パターンとをマッチングすることにより、前記不正データを検出する
ことを特徴とする請求項1記載のセキュリティシステム。 The infected computer protects itself from the unauthorized data by detecting the unauthorized data and executing a protection program that removes the detected unauthorized data from the infected computer,
The protection program detects the malicious data by learning an operational pattern of the malicious program and matching the learned operational pattern of the malicious program with the operational pattern of the malicious data. 1. The security system according to claim 1.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018177069A JP7198617B2 (en) | 2018-09-21 | 2018-09-21 | security system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018177069A JP7198617B2 (en) | 2018-09-21 | 2018-09-21 | security system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020047175A JP2020047175A (en) | 2020-03-26 |
JP7198617B2 true JP7198617B2 (en) | 2023-01-04 |
Family
ID=69899822
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018177069A Active JP7198617B2 (en) | 2018-09-21 | 2018-09-21 | security system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7198617B2 (en) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006100996A (en) | 2004-09-28 | 2006-04-13 | Toshiba Corp | Network integrated supervisory apparatus, network integrated supervisory method, and network integrated supervisory system |
JP2007266931A (en) | 2006-03-28 | 2007-10-11 | Matsushita Electric Works Ltd | Communication interruption apparatus, and communication interruption program |
JP2014126963A (en) | 2012-12-26 | 2014-07-07 | Nec Corp | Communication control system, communication control method and communication control program |
JP2015511047A (en) | 2012-03-19 | 2015-04-13 | クアルコム,インコーポレイテッド | Computing device that detects malware |
US20170054685A1 (en) | 2015-08-18 | 2017-02-23 | Konstantin Malkov | Agentless Security of Virtual Machines Using a Network Interface Controller |
JP2017117354A (en) | 2015-12-25 | 2017-06-29 | 株式会社日立ソリューションズ | Information leakage prevention system and method |
JP2017228153A (en) | 2016-06-23 | 2017-12-28 | 富士通株式会社 | Attack content analysis program, attack content analysis method and attack content analysis device |
JP2018121218A (en) | 2017-01-25 | 2018-08-02 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Attack detection system, attack detection method and attack detection program |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4321375B2 (en) * | 2004-06-18 | 2009-08-26 | 沖電気工業株式会社 | Access control system, access control method, and access control program |
-
2018
- 2018-09-21 JP JP2018177069A patent/JP7198617B2/en active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006100996A (en) | 2004-09-28 | 2006-04-13 | Toshiba Corp | Network integrated supervisory apparatus, network integrated supervisory method, and network integrated supervisory system |
JP2007266931A (en) | 2006-03-28 | 2007-10-11 | Matsushita Electric Works Ltd | Communication interruption apparatus, and communication interruption program |
JP2015511047A (en) | 2012-03-19 | 2015-04-13 | クアルコム,インコーポレイテッド | Computing device that detects malware |
JP2014126963A (en) | 2012-12-26 | 2014-07-07 | Nec Corp | Communication control system, communication control method and communication control program |
US20170054685A1 (en) | 2015-08-18 | 2017-02-23 | Konstantin Malkov | Agentless Security of Virtual Machines Using a Network Interface Controller |
JP2017117354A (en) | 2015-12-25 | 2017-06-29 | 株式会社日立ソリューションズ | Information leakage prevention system and method |
JP2017228153A (en) | 2016-06-23 | 2017-12-28 | 富士通株式会社 | Attack content analysis program, attack content analysis method and attack content analysis device |
JP2018121218A (en) | 2017-01-25 | 2018-08-02 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Attack detection system, attack detection method and attack detection program |
Also Published As
Publication number | Publication date |
---|---|
JP2020047175A (en) | 2020-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10230761B1 (en) | Method and system for detecting network compromise | |
US9992225B2 (en) | System and a method for identifying malware network activity using a decoy environment | |
JP6083009B1 (en) | SDN controller | |
KR100663546B1 (en) | A malignant bot confrontation method and its system | |
AU2003222180B2 (en) | System and method for detecting an infective element in a network environment | |
EP1895738B1 (en) | Intelligent network interface controller | |
US11303673B1 (en) | System and method for preventing lateral propagation of ransomware using a security appliance that functions as a DHCP relay on a shared network | |
US10440055B2 (en) | Apparatus and method for implementing network deception | |
US20100071065A1 (en) | Infiltration of malware communications | |
JP6256773B2 (en) | Security system | |
JP2006243878A (en) | Unauthorized access detection system | |
US10924510B2 (en) | Method and system for a distributed early attack warning platform (DEAWP) | |
JP2008054204A (en) | Connection device, terminal device, and data confirmation program | |
CN109861961B (en) | Network defense device and network defense system | |
EP1754348B1 (en) | Using address ranges to detect malicious activity | |
JP2019213182A (en) | Network protection device and network protection system | |
JP7198617B2 (en) | security system | |
Yuhong et al. | Industrial Internet security protection based on an industrial firewall | |
US11159533B2 (en) | Relay apparatus | |
KR20150110065A (en) | Method and System for Detecting Malware by Monitoring Executable File | |
JP2008011008A (en) | Unauthorized access prevention system | |
US20170346844A1 (en) | Mitigating Multiple Advanced Evasion Technique Attacks | |
Williamson | Resilient infrastructure for network security | |
KR20070073293A (en) | Appratus for operating of flexible security policy in intrusion prevention system for supporting multi-port and method thereof | |
Bartman et al. | An introduction to applying network intrusion detection for industrial control systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210910 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220428 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220510 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220705 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220913 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221027 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221206 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221219 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7198617 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |