特開2019-165493(P2019-165493A)IP Force 特許公報掲載プロジェクト 2015.5.11 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ ホアウェイ・テクノロジーズ・カンパニー・リミテッドの特許一覧
特開2019-165493悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法
<>
  • 特開2019165493-悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 図000003
  • 特開2019165493-悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 図000004
  • 特開2019165493-悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 図000005
  • 特開2019165493-悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 図000006
  • 特開2019165493-悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 図000007
  • 特開2019165493-悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 図000008
  • 特開2019165493-悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 図000009
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2019-165493(P2019-165493A)
(43)【公開日】2019年9月26日
(54)【発明の名称】悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法
(51)【国際特許分類】
   H04L 12/66 20060101AFI20190830BHJP
   H04L 12/717 20130101ALI20190830BHJP
【FI】
   H04L12/66 B
   H04L12/717
【審査請求】有
【請求項の数】15
【出願形態】OL
【外国語出願】
【全頁数】34
(21)【出願番号】特願2019-99324(P2019-99324)
(22)【出願日】2019年5月28日
(62)【分割の表示】特願2017-523948(P2017-523948)の分割
【原出願日】2016年6月22日
(71)【出願人】
【識別番号】504161984
【氏名又は名称】ホアウェイ・テクノロジーズ・カンパニー・リミテッド
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100140534
【弁理士】
【氏名又は名称】木内 敬二
(72)【発明者】
【氏名】シャチャー・スナピリ
(72)【発明者】
【氏名】エシェド・ガル−オア
(72)【発明者】
【氏名】エラン・ガンペル
(72)【発明者】
【氏名】アヤル・バロン
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030HB13
5K030HD03
5K030KA05
5K030KA07
5K030LB07
5K030LD20
5K030MB09
(57)【要約】      (修正有)
【課題】SDN(Software Defined Network)において悪意があるデータフローの侵入を検知および防止するシステムを提供する。
【解決手段】システム100は、データフロー103のフローステートを記憶し、システムにわたってフローステートを共有および更新するように構成された少なくとも1つのデータストレージまたはメモリ101と、データフローのフローステート及び/又はデータフローと所定のパターンとの比較に基づいて、受信したデータフローをブロック、転送、または複製するように構成された少なくとも1つの共有ステート転送要素(FE102)と、複製されたデータフロー105を受信し、データフローが、悪意があるかそれとも許可されているかを分類するように構成された少なくとも1つの検査要素(IE104)とを備えている。IEは、分類結果に応じてデータフローのフローステートを変化させる。
【選択図】図1
【特許請求の範囲】
【請求項1】
データフローのフローステートを記憶し、システムにわたって前記フローステートを共有および更新するように構成される少なくとも1つのデータストレージまたはメモリ(101)と、
前記データフローのフローステート、および/または前記データフローと所定のパターンとの比較に基づいて、受信されたデータフロー(103)をブロック、転送、または複製するように構成される少なくとも1つの共有ステート転送要素FE(102)と、
複製されたデータフロー(105)を受信し、前記データフローが、悪意があるかそれとも許可されているかを分類するように構成される少なくとも1つの検査要素IE(104)と
を備える、SDN(Software Defined Network)において悪意があるデータフローの侵入を検知および防止するシステム(100)であって、
前記IE(104)は、分類結果に応じて前記データフローの前記フローステートを変化させるように構成される、システム(100)。
【請求項2】
前記FE(102)は、
前記データフローのフローステートが「許可」である場合、および/または前記データフローが所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフロー(103)のパケットを転送し、
前記データフローのフローステートが「ブロック」である場合、および/または前記データフローが所定の悪意があるトラフィックのパターンと一致する場合には、受信されたデータフロー(103)のパケットをブロックし、
前記データフローのフローステートが「疑わしい」である場合、および/または前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフロー(103)のパケットを複製するように構成される、請求項1に記載のシステム(100)。
【請求項3】
前記FE(102)は、
受信されたデータフロー(103)が、前記少なくとも1つのデータストレージまたはメモリ(101)に記憶されたフローステートをすでに有しているかどうかを判定し、
前記受信されたデータフローが、記憶されたフローステートを有している場合には、前記データフローの前記フローステート、または
前記受信されたデータフロー(103)が、記憶されたフローステートを有していない場合には、前記データフローと前記所定のパターンとの比較
に基づいて、前記データフローをブロック、転送、または複製するように構成される、請求項1または2に記載のシステム(100)。
【請求項4】
前記FE(102)は、前記IE(104)が前記データフローのフローステートを「ブロック」に設定または更新した場合には、データフローのパケットを即座にブロックするように構成される、
請求項1または2に記載のシステム(100)。
【請求項5】
前記FE(102)は、前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、データフローのフローステートを「疑わしい」に設定または更新するように構成され、前記データフローを、分類のために前記IE(104)へ複製するように構成される、
請求項1から4のいずれか一項に記載のシステム(100)。
【請求項6】
前記FE(102)は、任意の受信されたデータフロー(103)のフローステートを「疑わしい」に変化させるように構成される、
請求項1から5のいずれか一項に記載のシステム(100)。
【請求項7】
前記FE(102)は、
前記IE(104)による前記分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットの転送を引き延ばし、
次いで、前記分類結果に応じて、前記パケットをブロックまたは普通に転送する
ように構成される、請求項5または6に記載のシステム(100)。
【請求項8】
前記FE(102)は、
前記IE(104)による前記分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットを前記IE(104)へ複製および普通に転送し、
次いで、前記分類結果に応じて、前記パケットをブロックまたは普通に転送し続ける
ように構成される、請求項5または6に記載のシステム(100)。
【請求項9】
前記FE(102)は、前記分類結果にかかわらず、所定の期間、データフローのステートを「疑わしい」のままにするように構成される、
請求項1から8のいずれか一項に記載のシステム(100)。
【請求項10】
前記IE(104)は、複製されたデータフローのフローステートを「終了」に変化させるように構成され、
前記FE(102)は、前記IE(104)が前記フローステートを「終了」に変化させた場合、前記IE(104)へ前記データフローを複製することを停止するように構成される、
請求項1から9のいずれか一項に記載のシステム(100)。
【請求項11】
前記FE(102)は、許可として先に分類されてしまっているデータフローのパケットについては、前記IE(104)をバイパスするように構成される、
請求項1から10のいずれか一項に記載のシステム(100)。
【請求項12】
前記少なくとも1つのデータストレージまたはメモリ(101)は、データフローのメタデータを記憶し、前記システム(100)にわたって前記メタデータを共有および更新するように構成され、
前記FE(102)は、前記データフローのフローステートおよびメタデータに基づいて、受信されたデータフロー(103)をブロック、転送、または複製するように構成される、
請求項1から11のいずれか一項に記載のシステム(100)。
【請求項13】
前記FE(102)は、SDNコントローラへ接続され、
前記SDNコントローラは、前記FE(102)に前記所定のパターンを提供するように構成される、
請求項1から12のいずれか一項に記載のシステム(100)。
【請求項14】
データフローのフローステートを記憶し(601)、SDN(Software Defined Network)にわたって前記フローステートを共有および更新するステップと、
前記データフローのフローステート、および/または前記データフローと所定のパターンとの比較に基づいて、受信されたデータフローをブロック、転送、または複製する(602)ステップと、
複製されたデータフローが、悪意があるかそれとも許可されているかを分類する(603)ステップと、
分類結果に応じて前記データフローのフローステートを変化させる(604)ステップと
を含む、前記SDNにおいて悪意があるデータフローの侵入を検知および防止する方法(600)。
【請求項15】
演算装置上で実行された場合に、請求項14に係る、SDN(Software Defined Network)において悪意があるデータフローのネットワーク侵入を検知および防止する方法(600)を実施するコンピュータプログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークの、詳細には複数のSDN(Software Defined Network)の保護された領域または保護されたサービスへの、悪意があるデータフローの侵入を検知および防止するシステムおよび方法に関する。
【背景技術】
【0002】
組織セキュリティの主な構成要素の1つは、侵入検知システム(IDS)および侵入防止システム(IPS)である。これら2つのシステムには多くの共通点があり、例えば、両方共が、プライベートネットワーク(保護された領域)を攻撃する悪気のある試みを検知するため、および「Low&Slow」なAPT(Advanced Persistent Threats)を検知するためのパターンを使用している。図7にみられるように、通常、IDSは回線外に配置され、複製されたデータストリームに作用する。IDSは、すべてのパケットを解析し、次いで、いわゆる「エキスパートシステム」(例えば、SIEM(Security Information and Event Management))へ報告し、これにより積極的対策を適切に始動させることができる。IPSは、ファイアウォールのように配置することができ、典型的にはネットワークのデータパスへ直接作用する。IPSはパケットを解析し、フローを分類し、それらをブロックまたは許可する。IPSは、IDSのように配置することもでき、複製されたデータパスを引き込むことができ、次いで、「悪意がある」として分類されたフローをブロックするために、ファイアウォールとの連携を利用することができる。
【0003】
通常、IPSは、IPSが分析しなければならないデータ量に対処するため、「Fast Path」メカニズム(通常、ハードウェアベースの転送要素により実施される)を付加しており、IPSは、すでに分類(「許可」または「ブロック」のいずれかとして)されたフローを「Fast Path」メカニズムに任せることができる。「Fast Path」が使用されているか否かにかかわらず、IPSが回線上に配置されている場合、IPSは、組織ネットワークに単一障害点(SPOF)を作り出し、例えば、IPSが誤動作しているときにサービス継続性を保証するために、高価な高可用性ソリューションの実装を必要とする。単一のIPSデバイスの処理能力は限られているため、IPSがデータ通信量に圧倒された場合にはfail−open(すなわち、すべてを許可する)するように、通常は構成されている。ただし、IPSを回線外に配置することによって、複製されたネットワークトラフィックを処理(典型的なIDSと同様に)すること、および「実行する」ネットワーク要素(例えばファイアウォール)に対する緊密な連携という代償を払って、回線上のIPSのこれらの問題のいくつかを緩和し、その結果、メインのデータパスへの悪意がある攻撃をブロックすることができる。また、回線外のIPSは、ネットワーク攻撃に対してはるかにゆっくりと反応する。
【0004】
要約すれば、一方では回線外のIDSおよびIPSにはいくつかの制限がある。検知時間および応答時間が遅い。また、システムは、ノイズが多くなる傾向があり、すなわちセキュリティの専門家が検討する必要のある大量のデータを生成する。システムは、一般にかなり多くのリソースをつぎ込んだものとなる。最終的には、積極的な保護を提供するためにカスタム的な連携が必要である。
【0005】
もう一方で、回線内のIPSには、回線内のIPS独自の制限がある。先ず第1に、規模の変更が非常に困難である。また、回線内のIPSは分類されたトラフィックの「Fast Path」を処理するための専用のハードウェアを必要とする。上述のように、高価な高可用性モデルを必要とするSPOFを表している。さらには、回線内のIPSの限られた処理能力は、上述の、トラフィックの急増における「fail open」(すなわち、すべてを許可する)につながる。最終的には、典型的に使用されるIPSのサイロ型データモデルは、他のIT資産との情報共有を制限し、結果としてAPTを検出する能力を妨げる。
【発明の概要】
【0006】
上記の問題および欠点に鑑みて、本発明は、従来のIDSおよびIPSを改善することを目的としている。セキュリティの観点から、本発明の目的は、悪意があるトラフィックをネットワーク全体にわたって即座にブロックすることができるシステムおよび方法を提供することである。さらには、より良好なAPT検出および緩和能力が達成されるべきである。本発明は、ネットワークからSPOFを取り除くことも目的としている。効率の観点から、悪意があるトラフィックを検出、検査、およびブロックする能力を損なうことなく、データパスから侵入検知を取り除いたシステムおよび方法を提供することが本発明の目的である。一般的目的は、例えば、疑わしいトラフィックを監視することのみによって、侵入検知および侵入防止の負荷を軽減することである。また、ベンダーを超えた連携が必要とされるべきではなく、全体のコストが削減されるべきである。
【課題を解決するための手段】
【0007】
上述の本発明の目的は、添付の独立請求項で提供されるソリューションによって達成されている。本発明の有益な実施態様は、従属請求項でさらに定義されている。
【0008】
本発明の第1の態様は、データフローのフローステートを記憶し、システムにわたってフローステートを共有および更新するように構成される少なくとも1つのデータストレージまたはメモリと、データフローのフローステート、および/またはデータフローと所定のパターンとの比較に基づいて、受信されたデータフローをブロック、転送、または複製するように構成される少なくとも1つの共有ステート転送要素(FE)と、複製されたデータフローを受信し、データフローが、悪意があるかそれとも許可されているかを分類するように構成される少なくとも1つの検査要素(IE)とを備え、IEは、分類結果に応じてデータフローのフローステートを変化させるように構成される、SDNにおいて悪意があるデータフローの侵入を検知および防止するシステムを提供している。
【0009】
第1の態様に係る本発明は、データフローのフローステート、および好ましくは付加的なメタデータをシステムにわたって、すなわち詳細には、個々のFE、IE、および場合によってはサービスアプリケーションの間で共有するためのメカニズムを実施している。その結果、システムは、疑わしいかまたは検知された脅威に対して即座に、すなわち少なくとも従来のシステムよりもはるかに速く、反応することができる。例えば、少なくとも1つのFEは、FEが、疑わしいデータフローを悪意があると分類し、疑わしいデータフローのフローステートをそれに応じて更新した場合には、疑わしいデータフローを即座にブロックすることができる。フローステートの共有は、分散接続追跡(DCT)を介して都合よく実施することができ、分散接続追跡(DCT)は、特定のSDNの、システムにわたっての、ネットワークステートおよびフローステートのような情報の共有の実施である。
【0010】
少なくとも1つのIEへ疑わしいデータフローの複製のみを送信することによって、悪意があるトラフィックを検知、検査およびブロックする能力を損なうことなく、侵入検知が正規のパスから取り除かれる。IEへ疑わしいデータフローを送信することのみによって、およびFEにおいて所定のパターンおよび共有されたフローステートをさらに使用することによって、侵入検知および侵入防止の負荷が大幅に軽減される。
【0011】
第1の態様に係るシステムの第1の実装の形態では、FEは、データフローのフローステートが「許可」である場合、および/またはデータフローが所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを転送し、データフローのフローステートが「ブロック」である場合、および/またはデータフローが所定の悪意があるトラフィックのパターンと一致する場合には、受信されたデータフローのパケットをブロックし、データフローのフローステートが「疑わしい」である場合、および/またはデータフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを複製するように構成されている。
【0012】
それに応じて、少なくとも1つのFEは、一方では共有されたフローステートに基づいて、そしてもう一方では所定のパターンに基づいて、データフローを処理することができる。それに応じて、システムの全体効率が高められ、それと同時にIEの負荷が軽減される。システムは、フローステートのいかなる変化または更新にも素早く反応することができる。さらに、システムは、十分に拡張性がある。
【0013】
第1の態様それ自体に係るか、または第1の態様の第1の実装の形態に係るシステムの第2の実装の形態では、FEは、受信されたデータフローが、少なくとも1つのデータストレージまたはメモリに記憶されたフローステートをすでに有しているかどうかを判定し、受信されたデータフローが、記憶されたフローステートを有している場合にはデータフローのフローステート、または受信されたデータフローが、記憶されたフローステートを有していない場合にはデータフローと所定のパターンとの比較に基づいて、データフローをブロック、転送、または複製するように構成されている。
【0014】
このように、共有されたフローステートが存在する場合には、所定のパターンとの比較を省略することができ、その結果として、トラフィックの処理がより素早くなる。また、この場合、IEへの負荷は発生しない。
【0015】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第3の実装の形態では、FEは、IEが前記データフローのフローステートを「ブロック」に設定または更新した場合には、データフローのパケットを即座にブロックするように構成されている。
【0016】
この結果として、システムは、脅威を検知するために非常に素早くかつ効率よく反応することができ、システムが存在するネットワークの安全性を高める。
【0017】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第4の実装の形態では、FEは、データフローが、所定の疑わしいトラフィックのパターンと一致した場合には、データフローのフローステートを「疑わしい」に設定または更新するように構成され、かつ前記データフローを、分類のためにIEへ複製するように構成されている。
【0018】
それに応じて、疑わしいデータフローだけが分類のためにIEへ送信される。結果として、侵入検知および侵入防止の負荷が大幅に軽減される。
【0019】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第5の実装の形態では、FEは、受信された任意のデータフローのフローステートを「疑わしい」に変化させるように構成されている。
【0020】
それに応じて、データフローを再検査することができる。このことにより、自身の攻撃ベクトルをランダム化する特定のAPTの克服を改善している。
【0021】
第1の態様の第4または第5の実装の形態に係るシステムの第6の実装の形態では、FEは、IEによる分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットの転送を引き延ばし、次いで、分類の結果に応じて、パケットをブロックするかまたは普通に転送するように構成されている。
【0022】
この選択肢は、ネットワークの保護された領域またはサービスの安全性を高める。
【0023】
第1の態様の第4または第5の実装の形態に係るシステムの第7の実装の形態では、FEは、IEに対して複製を行い、かつ、IEによる分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットを普通に送信し、次いで、分類の結果に応じて、パケットをブロックするかまたは普通に転送を継続するように構成されている。
【0024】
この選択肢は、すなわち中断することなくトラフィックのフローを維持することによってトラフィックの効率を高める。
【0025】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第8の実装の形態では、FEは、分類の結果にかかわらず、所定の期間、データフローのフローステートを「疑わしい」のままにするように構成されている。
【0026】
このことによって、IEは、「low&slow」攻撃を特に検知することができ、すなわちAPTに対するするシステムの安全性を高める。
【0027】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第9の実装の形態では、IEは、複製されたデータフローのフローステートを「終了」に変化させるように構成され、かつ、FEは、IEがスローステートを「終了」に変化させた場合、前記データフローをIEへ複製することを停止するように構成されている。
【0028】
この結果として、疑わしいデータフローの複製を即座に停止することができ、これによって不必要なリソースの消費を回避する。
【0029】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第10の実装の形態では、FEは、許可として先に分類されてしまっているデータフローのパケットについてはIEをバイパスするように構成されている。
【0030】
これに応じて、侵入検知および侵入防止の負荷を大幅に軽減することができる。
【0031】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第11の実装の形態では、少なくとも1つのデータストレージまたはメモリは、データフローのメタデータを記憶し、システムにわたってメタデータを共有および更新するように構成され、FEは、データフローのフローステートおよびメタデータに基づいて、受信されたデータフローをブロック、転送、または複製するように構成されている。
【0032】
付加的なメタデータが共有される場合、システムにおける侵入検知および侵入防止は、さらにいっそう正確にかつ効率よくなる。
【0033】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第12の実装の形態では、FEは、SDNコントローラへ接続されており、SDNコントローラは、FEに所定のパターンを供給するように構成されている。
【0034】
この実装の形態によって、少なくとも1つのFEの容易かつ柔軟な構成が可能になっている。この結果として、システムはカスタマイズすることができ、また十分な拡張性もある。
【0035】
本発明の第2の態様は、データフローのフローステートを記憶し、SDN(Software Defined Network)にわたってフローステートを共有および更新するステップと、データフローのフローステート、および/またはデータフローと所定のパターンとの比較に基づいて、受信されたデータフローをブロック、転送、または複製するステップと、複製されたデータフローが、悪意があるかそれとも許可されているかを分類するステップと、分類結果に応じてデータフローのフローステートを変化させるステップとを含む、SDNにおいて悪意があるデータフローの侵入を検知および防止する方法を提供している。
【0036】
第2の態様に係る方法の第1の実装の形態では、FEは、データフローのフローステートが「許可」である場合、および/またはデータフローが所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを転送し、データフローのフローステートが「ブロック」である場合、および/またはデータフローが所定の悪意があるトラフィックのパターンと一致する場合には、受信されたデータフローのパケットをブロックし、データフローのフローステートが「疑わしい」である場合、および/またはデータフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを複製するように構成されている。
【0037】
第2の態様それ自体に係るか、または第2の態様の第1の実装の形態に係る方法の第2の実装の形態では、FEは、受信されたデータフローが、少なくとも1つのデータストレージまたはメモリに記憶されたフローステートをすでに有しているかどうかを判定し、受信されたデータフローが、記憶されたフローステートを有している場合にはデータフローのフローステート、または受信されたデータフローが、記憶されたフローステートを有していない場合にはデータフローと所定のパターンとの比較に基づいて、データフローをブロック、転送、または複製するように構成されている。
【0038】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第3の実装の形態では、FEは、IEが前記データフローのフローステートを「ブロック」に設定または更新した場合には、データフローのパケットを即座にブロックするように構成されている。
【0039】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第4の実装の形態では、FEは、データフローが、所定の疑わしいトラフィックのパターンと一致した場合には、データフローのフローステートを「疑わしい」に設定または更新するように構成され、かつ前記データフローを、分類のためにIEへ複製するように構成されている。
【0040】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第5の実装の形態では、FEは、受信された任意のデータフローのフローステートを「疑わしい」に変化させるように構成されている。
【0041】
第2の態様の第4または第5の実装の形態に係る方法の第6の実装の形態では、FEは、IEによる分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットの転送を引き延ばし、次いで、分類の結果に応じて、パケットをブロックするかまたは普通に転送するように構成されている。
【0042】
第2の態様の第4または第5の実装の形態に係る方法の第7の実装の形態では、FEは、IEに対して複製を行い、かつ、IEによる分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットを普通に送信し、次いで、分類の結果に応じて、パケットをブロックするかまたは普通に転送を継続するように構成されている。
【0043】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第8の実装の形態では、FEは、分類の結果にかかわらず、所定の期間、データフローのフローステートを「疑わしい」のままにするように構成されている。
【0044】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第9の実装の形態では、IEは、複製されたデータフローのフローステートを「終了」に変化させるように構成され、かつ、FEは、IEがスローステートを「終了」に変化させた場合、前記データフローをIEへ複製することを停止するように構成されている。
【0045】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第10の実装の形態では、FEは、許可として先に分類されてしまっているデータフローのパケットについてはIEをバイパスするように構成されている。
【0046】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第11の実装の形態では、少なくとも1つのデータストレージまたはメモリは、データフローのメタデータを記憶し、システムにわたってメタデータを共有および更新するように構成され、FEは、データフローのフローステートおよびメタデータに基づいて、受信されたデータフローをブロック、転送、または複製するように構成されている。
【0047】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第12の実装の形態では、FEは、SDNコントローラへ接続されており、SDNコントローラは、FEに所定のパターンを供給するように構成されている。
【0048】
第2の態様それ自体の方法およびその実装の形態は、第1の態様それ自体のシステムおよびその実装の形態と同じ優位性をそれぞれ達成している。
【0049】
本発明の第3の態様は、演算装置上で実行された場合に、第2の態様それ自体に係るか、または第2の態様のいずれかの実装の形態に係る、SDN(Software Defined Network)において悪意があるデータフローのネットワーク侵入を検知および防止する方法を実施するコンピュータプログラム製品を提供している。
【0050】
第3の態様のコンピュータプログラム製品を用いて、第2の態様の方法およびその実装の形態のすべての優位性が達成される。
【0051】
本願に記載しているすべてのデバイス、要素、ユニットおよび手段は、ソフトウェアもしくはハードウェア要素またはそのいかなる種類の組合せでも実施することができる可能性があることに留意しなければならない。本願に記載しているさまざまなエンティティによって実行されるすべてのステップ、およびさまざまなエンティティによって実行されると記載している機能は、それぞれのエンティティがそれぞれのステップおよび機能を実行するのに適応しているかまたは実行するように構成されていることを意味するものとする。次の具体的な実施形態の記載において、恒久的なエンティティによって全体に形成されるべき特定の機能またはステップが、その特定のステップまたは機能を実行するそのエンティティの特定の詳細な要素の記載に反映されていない場合でも、当業者には、これらの方法および機能は、それぞれのソフトウェアもしくはハードウェア要素、またはそのいかなる種類の組合せでも実施することができることは明らかなはずである。
【0052】
上記の本発明の態様および実装の形態を、次の具体的な実施形態の説明で、添付図面と関連付けて説明する。
【図面の簡単な説明】
【0053】
図1】本発明の一実施形態に係るシステムを示している。
図2】本発明の一実施形態に係るシステムを示している。
図3】本発明の一実施形態に係るシステムの構成要素を示している。
図4】本発明の一実施形態に係るシステムを示している。
図5】本発明の一実施形態に係るシステムを示している。
図6】本発明の一実施形態に係る方法を示している。
図7】技術水準に係るIPS/IDSシステムを示している。
【発明を実施するための形態】
【0054】
図1は、本発明の一実施形態に係るシステム100を示している。システム100は、SDNにおいて悪意があるデータフローの侵入を検知および防止することができる。詳細には、システム100は、悪意があるデータフローの、ネットワークの保護された領域およびサービスへの侵入を防止することができる。
【0055】
システム100は、データフローのフローステートを記憶し、システム100にわたってフローステートを共有および更新するために、少なくとも1つのデータストレージまたはメモリ101を含んでいる。データストレージまたはメモリ101は、好ましくは、高速で低レイテンシの分散メモリ(分散メモリデータベースまたは類似の技術など)であり、システム100にわたってフローステートを共有するために、好ましくはシステムのエンティティによって、その分散メモリへフローステートが書き込まれ得、その分散メモリからフローステートを読み出すことができる。それに応じて、共有されたフローステートは、システム100にわたって提供され、システム100に対して脅威への素早い反応時間を可能にしている。好ましくは、データストレージまたはメモリ101は、データフローのメタデータを記憶し、フローステートと同じ方法で、システム100にわたってメタデータを共有および更新するようにも構成される。
【0056】
システム100は、データフローのフローステートに基づいて、および/または前記テータフローと所定のパターンとの比較に基づいて、受信されたデータフロー103をブロック、転送、または複製するように構成された、少なくとも1つの共有ステートのFE102をさらに有している。好ましくは、所定のパターンは、FE102に、またはデータストレージまたはメモリ101にも記憶され得る。好ましくは、FE102は、SDNコントローラへ接続することができ、SDNコントローラは、FE102に所定のデータを提供することができる。
【0057】
FE102は、受信されたデータフロー103のフローステートを、データストレージまたはメモリ101から得ることができる。例えば、FE102は、対応するフローステートについてデータストレージまたはメモリ101へ問い合わせを行うことができる。ただし、好ましくは、データストレージまたはメモリ101は、データのフローの最新のフローステートをすべてのFE102へ積極的に配布する。少なくとも1つのFE102は、システム100にわたって追加のメタデータも共有されている場合には、データフローのフローステートおよびかかるメタデータに基づいて、受信されたデータフロー103をブロック、転送、または複製するように特に構成され得る。
【0058】
システム100は、少なくとも1つのFE102から、複製されたデータフロー105を受信し、データフローが悪意があるかそれとも許可されているかを分類するように構成された、少なくとも1つのIE104をさらに含んでいる。また、IE104は、分類結果に応じてデータフローのフローステートを変化させるように構成されている。つまり、IE104は、分類されたデータフローのフローステートを更新するために、データストレージまたはメモリ101へアクセスすることができる。次いで、更新されたフローステートは、最新のフローステートが少なくとも1つのFE102のそれぞれで利用可能であることを確実にするために、システム100にわたって共有することができる。この結果として、システム100は、検知された脅威に即座に反応することができる。
【0059】
図2は、本発明に係る一実施形態を示しており、図1に表されている実施形態に基づいている。図1のように、システム100は、少なくとも1つのFE102、少なくとも1つのデータストレージまたはメモリ101、および少なくとも1つのIE104を含んでいる。ここで、FE102は、例えば、コアルータである。また、図2は、2つのネットワーク端点、つまりクライアント201、およびネットワークの保護されたサービス202(または保護された領域)を示している。
【0060】
図2の表に示されるように、ネットワーク端点201は、ネットワークのデータフローを生成および/または受信し得、生成および/または受信されたデータフローを、正規のデータパス上でデータフロー103として少なくとも1つのFE102へ転送し得る。それに応じて、少なくとも1つのFE102が、クライアント201から、保護されたサービス202へのデータパス上に、備えられている。図2に示すように、FEには、「共有ステート転送要素」の機能を実装し得、すなわちFEは、データフローを転送することができ、データフローのフローステートを他のネットワーク要素および/またはサービスアプリケーションと共有することができる。少なくとも1つのIE104には、「共有ステートサービスアプリケーション」および「ステート共有」の機能を実装し得、すなわちネットワークステートおよびフローステートを他のネットワーク要素およびサービスアプリケーションと共有するサービスアプリケーションとして機能することができる。少なくとも1つのデータストレージまたはメモリ101も、「ステート共有」機能を実装し得、すなわちネットワークステートおよびフローステートを他のネットワーク要素およびサービスアプリケーションと共有することができる。
【0061】
図2では、ネットワークパケットがクライアント201(例えばゲートウェイルータ、ファイアウォールなど)に到着した場合、これらのネットワークパケットは、データフロー103として少なくとも1つのFE102へ転送され得る。データフロー103のネットワークパケットは、次のグループの1つと関連付けることができる。「新規のかつ許可された」、すなわち到着しているネットワークパケットは、所定の許可されたトラフィックのパターンと一致する、新規のデータフロー103の最初のパケットである。「新規のかつ悪意がある」、すなわち到着しているネットワークパケットは、所定のブロックされたトラフィックのパターンと一致する、新規のデータフロー103の最初のパケットである。「新規のかつ疑わしい」、すなわち到着しているネットワークパケットは、所定のパターンと一致しないか、または所定の疑わしいトラフィックのパターンと一致する、新規のデータフロー103の最初のパケットである。「中間のかつ疑わしい」、すなわち到着しているネットワークパケットは、疑わしいデータフロー103の先に進んだパケットである。「中間のかつ許可された」、すなわち到着しているネットワークパケットは、許可されたデータフロー103の先に進んだパケットである。「中間のかつ悪意がある」、すなわち到着しているネットワークパケットは、悪意があるデータフロー103の先に進んだパケットである。少なくとも1つのFE102は、例えばデータフロー103と所定のパターンとの比較によって、到着しているネットワークパケットがどのグループに属するかを判定することができる。
【0062】
ただし、FE102は、少なくとも1つのデータストレージまたはメモリ101から、またはIE104から直接にも、「ステート共有」の機能を介して、データフローの共有されたフローステートを提供されもする。つまり、FE102は、共有されたフローステートに基づいて、到着しているネットワークパケットの種類を判定することもできる。好ましくは、FE102は、受信されたデータフロー103が、少なくとも1つのデータストレージまたはメモリ101に記憶されたフローステートをすでに有しているかどうかを判定し、受信されたデータフローが、記憶されたフローステートを有している場合には、データフローのフローステートだけに基づいてデータフローをブロック、転送、または複製するように構成される。別の方法として、FE102は、好ましくは、受信されたデータフロー103が、記憶されたフローステートを有していない場合には、データフローと所定のパターンとの比較のみに基づいてデータフロー103をブロック、転送、または複製するように構成される。
【0063】
好ましくは、FE102は、データフローの、共有されたフローステートが「許可」である場合および/またはデータフローが、所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフロー103のネットワークパケットを(保護されたサービス202へ)転送するように構成される。別の方法として、FE102は、データフローの、共有されたフローステートが「ブロック」である場合、および/またはデータフローが所定の悪意があるトラフィックのパターンと一致する場合には、データフローのパケットをブロックするように構成される。別の方法として、FE102は、データフローのフローステートが「疑わしい」である場合、および/またはデータフローが所定の疑わしいトラフィックのパターンと一致するかもしくは所定のパターンと一致しない場合には、(IE104に対して)データフローのパケットを複製するように構成される。それに応じて、FE102は、疑わしいデータフローのパケットをIE104へ誘導し、許可されたデータフロー103に属するパケットについてはIE104をバイパスするようにし、悪意があるデータフロー103のパケットを完全にブロックするように構成される。その結果、IE104の負荷を最小限に抑えることができる。
【0064】
疑わしいデータフロー103の複製されたパケットだけが、さらなる検査のためにIE104へ転送される。詳細には、疑わしいトラフィックの検査は、「共有ステートサービスアプリケーション」の機能を実装する少なくとも1つのIE104によって行われ得る。IE104は、少なくとも1つのデータストレージまたはメモリ101の中のデータフローのフローステートを変化させる(例えば「許可」から「ブロック」へ)ためにDCTメカニズムをさらに使用し得る。次いで、変化させられたフローステートが共有される。次いで、データフローのパケットの処理は、データストレージまたはメモリ101の中のデータフローのフローステートの変更(例えば「ブロック」へ)に反応するように構成されたFE102によって実行される。
【0065】
図3は、DCTメカニズムを使用する一実施形態のための可能な構成要素を示している。FE102は、第1のネットワークノード(ノードA)に含まれ得る。ノードAは、受信されたデータフローに属する少なくとも1つのネットワークパケットについて接続追跡を実行するように構成された接続追跡モジュール302を備えたカーネル301も含み得る。少なくとも1つのデータストレージおよびメモリ101も、ノードAに備えられ得、少なくとも1つの接続追跡モジュール302によって得られた接続追跡データを記憶するように構成され得る。詳細には、フローステートは、接続追跡データの一部であり得る。好ましくは、メタデータも接続追跡データに含まれ得る。記憶された接続追跡データは、システム100にわたって共有される。IE104の「共有ステートサービスアプリケーション」の機能は、別のネットワークノード(ノードB)に含まれ得る。IE104は、疑わしいデータフローの分類の結果に基づいて、データストレージまたはメモリ101に記憶された接続追跡データ、詳細にはフローステートを更新するように構成されている。特許出願PCT/EP2015/070160およびPCT/EP2015/079117は、DCTメカニズムに関してさらなる詳細を提供している。詳細には、DCTは、PCT/EP2015/070160で説明されており、FE102とIE104との間でフローステートおよびメタデータを共有するために、ここで使用することができる。また、「DCTを使用する共通アプリケーションレイヤ」が、PCT/EP2015/079117で説明されており、IE104への疑わしいパケットフローの誘導を実施するためにここで使用することができる。
【0066】
図4は、先の図1および図2の実施形態に基づき、またDCTの実装にも適した、本発明の一実施形態を示している。到着しているネットワークパケットのデータフロー103(1)は、上記のように新規および中間のパケットを含み得る。少なくとも1つのFE102(2)は、共有されたフローステートおよび/または所定のパターンに基づいて、データフローをブロック、許可(保護された領域202へ普通に転送する)、または許可およびIE104へ向けて複製する。一致し(3)、結果としてブロックされるデータフローは、FE102によって破棄される。一致し、結果として許可されるデータフローは、保護された領域202またはサービスへ普通に転送される(4)。疑わしいデータフローは、結果として、分類のためにIE104に向けて複製される(5)。この場合、FE102は、IE104による分類が完了するまで、疑わしいデータフローのパケットの転送を引き延ばすように構成され得る。別の方法として、FE102は、IE104による分類が完了するまで、保護された領域2β03へ疑わしいデータフローのパケットを普通に転送するように構成され得る。
【0067】
IE104は、さらなる分類のために、複製されたデータフロー105を受信する(6)。IE104は、データフローが悪意があるか否かを決定した時点で、データストレージおよび/またはメモリ101の中のデータフローのフローステートを、詳細にはDCTメカニズム(PCT/EP2015/070160およびPCT/EP2015/079117によって実装されるように。図3も参照のこと)を使用することによって更新する。さらに、好ましくは、IE104は、データフローの複製動作を解除する。つまり、好ましくは、IE104は、複製されたデータフロー105のフローステートを「終了」へ変更させるように構成され、次いで、好ましくは、FE102は、前記データフローをIE104へ複製することを停止するように構成される。
【0068】
データフローのフローステートが変更された時点で、少なくとも1つのFE102がそれに応じて更新され、「ブロック」に設定されたデータフローについては、ブロックが実施される。好ましくは、FE102は、IE104が前記データフローのフローステートを「ブロック」に設定または更新した場合には、データフローのパケットを即座に(すなわち、データフローの次のデータパケットからすでに始めている)ブロックするように構成される。
【0069】
図5は、図1および図2の実施形態に基づく本発明の一実施形態を示しており、いくつかの重要な点を示している。図1および図2のように、システム100は、少なくとも1つのFE102、少なくとも1つのデータストレージまたはメモリ101、および少なくとも1つのIE104を含んでいる。図2のように、システム100は、クライアント201および保護されたサービス202または領域を含み得る。
【0070】
保護されたサービス202へ向けた、クライアント201からのトラフィック(すなわちデータフロー)が、FE102へ到着する。FE102は、図5の表の中で「F1」という名前を付けられ、例えばデータストレージまたはメモリ101(例えば、DCTによって実装される)内でフローステータス「新規」を有する、新規のデータフローを生成し得る。IE104は、データフロー「F1」が悪意があることを積極的に疑い得、「複製」動作を伴って、データストレージまたはメモリ101の中の「F1」のステータスを「疑わしい」に更新することができる。それに応じて、FE102は、データフロー「F1」について、データストレージまたはメモリ101を経由してフローステータス「疑わしい」で更新され、その結果、少なくとも1つのIE104へ向けて送信される「F1R」という名前を付けられた複製されたデータフロー、すなわちクライアント201と保護されたサービス202との間のパケットフローの複製を再生するために、複製動作を実行する。その一方で、少なくとも1つのFE102は、保護されたサービス202へ向けてデータフロー「F1」を普通に転送し続け得る。
【0071】
IE104は、複製されたデータフロー105を受信し、例えば、数パケット後にデータフローを分類することができる。次いで、IE104は、データストレージまたはメモリ101の中の「F1」のフローステートを、例えば、動作「ブロック」を伴う「悪意がある」に更新する。次いで、IE104は、データストレージまたはメモリ101の中の「F1R」のフローステートを「終了」に更新することもでき、これによって複製を停止させる。それに応じて、FE102は、データフロー「F1」について、データストレージまたはメモリ101を経由してフローステート「ブロック」で更新され、そのデータフロー「F1」を即座にブロックし、データフロー「F1R」についてはフローステート「解除」へ更新され、このデータフローの複製を即座に停止する。
【0072】
図5に記載のシナリオでは、悪意があるデータフローは、そのように分類されるとすぐに、組織、すなわち保護されたサービス202へ入ることをブロックされる。データフローの分類は、ネットワークデータパスに追加の要素を一切配置することなく、「ぎりぎり間に合う」ように、また「まさに必要な時間」で実行される。
【0073】
例えばDCTメカニズムを介して共有される、その共有されるフローステートのステート特性に起因して、IE104によってフローステートが更新される瞬間、例えばあるデータフローがブロックされる必要がある瞬間に、ブロックが、システム100のすべてのFE102によって、すなわちシステム100が存在するネットワークにわたって(スイッチ、ルータ、ロードバランサなど)即座に実施される。IE104は、保護された領域202へのクリティカルデータパスの外側に位置するため、処理が簡素化されており、可用性が高く、容易に拡張可能である。
【0074】
図1から図5における上述の実施形態は、追加の機能と共に提供することができる。例えば、許可されたデータフローおよびブロックされたデータフローの処理は、すでに分類されたデータフローについてはIE104をバイパスすることによって最適化することができる。詳細には、FE102は、許可として先に分類されてしまっているデータフローのパケットについて、IE104をバイパスするように構成し得る。
【0075】
また、FE102は、SDNコントローラへ接続することができ、SDNコントローラは、「許可」、「ブロック」および「複製」動作を実施するために、ネットワークデータフローと一致すべき所定のパターンとしてOpenFlowのルール(またはOpFlex、またはそのようなもの)を実装するために使用され得る。つまり、SDNコントローラは、FE102に所定のパターンを提供するように構成されている。
【0076】
FE102は、疑わしいトラフィックのデータフローをIE104に向けて誘導し、データフローの分類が行われ、次いで、データフローがブロックされるか、またはIE104をバイパスしてその宛先へ直接誘導されるときまで、一時的にデータフローを回線内に置くようにも構成され得る。別の方法として、トラフィックの分類が行われ、次いで、ネットワークパケットフローがブロックされるかまたは許可されたままになり、IE104へ向けた複製が解除されるまで、トラフィックがその宛先へ普通に転送もされながら、FE102は、疑わしいデータフローの複製を開始し、その複製をIE104へ向けて誘導し得る。つまり、FE102は、IE104による分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットの転送を引き延ばすか、または所定の疑わしいトラフィックのパターンと一致するデータフローのパケットをIE104へ複製し、かつ普通に転送するように構成される。
【0077】
APTであると疑われるデータフローは、長期間それを「疑わしい」のままにし、IE104が「low&slow」攻撃を検知できるようにすることによって処理することができる。このために、FE102は、分類結果にかかわらず、所定の期間データフローのフローステートを「疑わしい」のままにするように構成され得る。
【0078】
許可されたデータフローを、例えば再検査のために、および自身の攻撃ベクトルをランダム化する何らかのAPTを克服するために、「疑わしい」のフローステートにランダムに(または定期的に)入れ込むことも可能である。このために、少なくとも1つのFE102は、任意の受信されたデータフローのフローステートを「疑わしい」に変化させるように構成され得る。
【0079】
図6は、本発明の一実施形態に係る方法600を示している。方法600は、SDNにおいて悪意があるデータフローの侵入を検知および防止するために実行することができる。第1のステップ601では、データフローのフローステートが記憶され、SDNにわたって共有および更新される。第2のステップ602では、受信されたデータフローが、データフローのフローステート、および/またはデータフローと所定のパターンとの比較に基づいて、ブロック、転送、または複製される。次いで、第3のステップ603では、複製されたデータフローが、悪意があるかそれとも許可されているか分類される。最後に、第4のステップ604では、データフローのフローステートが、分類結果に応じて変化させられる。方法600は、もちろん、上のシステム100の機能の記載に従って追加のおよび詳細な方法ステップを付けて拡張することができる。
【0080】
要約すると、本発明の実施形態によれば、IPSは、悪意があるトラフィックを検知、検査およびブロックするIPSの能力を損なうことなくデータパスから取り除かれる。また、IPSは、SPOFとしてネットワークから取り除かれ、IPSへの負荷は、妥当な疑わしいデータフローだけを含むように軽減され、一方、すでに分類されたデータフローはすべて、一切IPSへ転送されない。悪意があるデータフローのブロックは、システムにわたって、したがってシステムが存在するネットワークにわたって、瞬時に行われる。また、IPSのブロックおよびデータフローの複製メカニズムを実装するためにベンダーを超えた連携を必要としない。
【0081】
本発明は、例および実施態様としてさまざまな実施形態と共に記載されている。ただし、他の変形例が、図面、本開示および独立請求項の検討に基づいて、当業者によって、そして請求項に記載の発明を実施することによって、理解され達成されることができる。請求項において、および記載において、「含む、備える」という語は、他の要素またはステップを除外せず、不定冠詞「a」または「an」は複数性を除外しない。単一の要素または他のユニットが、請求項に列挙されるいくつかのエンティティまたはアイテムの機能を果たし得る。特定の手段が、相互に異なる従属請求項に列挙されているという単なる事実は、これらの手段の組合せが有利な実施態様に使用されることができないということを示さない。
【符号の説明】
【0082】
100 システム
101 データストレージまたはメモリ
102 FE
103 データフロー
104 IE
105 複製されたデータフロー
201 クライアント
202 保護されたサービス
301 カーネル
302 接続追跡モジュール
600 方法
601 第1のステップ
602 第2のステップ
603 第3のステップ
604 第4のステップ
図1
図2
図3
図4
図5
図6
図7
【手続補正書】
【提出日】2019年5月29日
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
データフローのフローステートを記憶し、システムにわたって前記フローステートを共有および更新するように構成される少なくとも1つのデータストレージまたはメモリと
前記データフローのフローステート、および/または前記データフローと所定のパターンとの比較に基づいて、受信されたデータフローをブロック、転送、または複製するように構成される少なくとも1つの共有ステート転送要素FEと
複製されたデータフローを受信し、前記データフローが、悪意があるかそれとも許可されているかを分類するように構成される少なくとも1つの検査要素IEと
を備える、SDN(Software Defined Network)において悪意があるデータフローの侵入を検知および防止するシステムであって、
前記IEは、分類結果に応じて前記データフローの前記フローステートを変化させるように構成される、システム。
【請求項2】
前記FEは
前記データフローのフローステートが「許可」である場合、および/または前記データフローが所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを転送し、
前記データフローのフローステートが「ブロック」である場合、および/または前記データフローが所定の悪意があるトラフィックのパターンと一致する場合には、受信されたデータフローのパケットをブロックし、
前記データフローのフローステートが「疑わしい」である場合、および/または前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを複製するように構成される、請求項1に記載のシステム。
【請求項3】
前記FEは
受信されたデータフローが、前記少なくとも1つのデータストレージまたはメモリに記憶されたフローステートをすでに有しているかどうかを判定し、
前記受信されたデータフローが、記憶されたフローステートを有している場合には、前記データフローの前記フローステート、または
前記受信されたデータフローが、記憶されたフローステートを有していない場合には、前記データフローと前記所定のパターンとの比較
に基づいて、前記データフローをブロック、転送、または複製するように構成される、請求項1に記載のシステム。
【請求項4】
前記FEは、前記IEが前記データフローのフローステートを「ブロック」に設定または更新した場合には、データフローのパケットを即座にブロックするように構成される、
請求項1に記載のシステム。
【請求項5】
前記FEは、前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、データフローのフローステートを「疑わしい」に設定または更新するように構成され、前記データフローを、分類のために前記IEへ複製するように構成される、
請求項1に記載のシステム。
【請求項6】
前記FEは、任意の受信されたデータフローのフローステートを「疑わしい」に変化させるように構成される、
請求項1に記載のシステム。
【請求項7】
前記FEは
前記IEによる前記分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットの転送を引き延ばし、
次いで、前記分類結果に応じて、前記パケットをブロックまたは普通に転送する
ように構成される、請求項5に記載のシステム。
【請求項8】
前記FEは
前記IEによる前記分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットを前記IEへ複製および普通に転送し、
次いで、前記分類結果に応じて、前記パケットをブロックまたは普通に転送し続ける
ように構成される、請求項5に記載のシステム。
【請求項9】
前記FEは、前記分類結果にかかわらず、所定の期間、データフローのステートを「疑わしい」のままにするように構成される、
請求項1に記載のシステム。
【請求項10】
前記IEは、複製されたデータフローのフローステートを「終了」に変化させるように構成され、
前記FEは、前記IEが前記フローステートを「終了」に変化させた場合、前記IEへ前記データフローを複製することを停止するように構成される、
請求項1に記載のシステム。
【請求項11】
前記FEは、許可として先に分類されてしまっているデータフローのパケットについては、前記IEをバイパスするように構成される、
請求項1に記載のシステム。
【請求項12】
前記少なくとも1つのデータストレージまたはメモリは、データフローのメタデータを記憶し、前記システムにわたって前記メタデータを共有および更新するように構成され、
前記FEは、前記データフローのフローステートおよびメタデータに基づいて、受信されたデータフローをブロック、転送、または複製するように構成される、
請求項1に記載のシステム。
【請求項13】
前記FEは、SDNコントローラへ接続され、
前記SDNコントローラは、前記FEに前記所定のパターンを提供するように構成される、
請求項1に記載のシステム。
【請求項14】
データフローのフローステートを記憶し、SDN(Software Defined Network)にわたって前記フローステートを共有および更新するステップと、
前記データフローのフローステート、および/または前記データフローと所定のパターンとの比較に基づいて、受信されたデータフローをブロック、転送、または複製するステップと、
複製されたデータフローが、悪意があるかそれとも許可されているかを分類するステップと、
分類結果に応じて前記データフローのフローステートを変化させるステップと
を含む、前記SDNにおいて悪意があるデータフローの侵入を検知および防止する方法。
【請求項15】
演算装置上で実行された場合に、請求項14に係る、SDN(Software Defined Network)において悪意があるデータフローのネットワーク侵入を検知および防止する方法を実施するコンピュータプログラム製品。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本願は、2016年6月22日に出願された国際出願第PCT/EP2016/064422号の続きであり、その全体が参照により本明細書に組み込まれる。
本開示は、ネットワークの、詳細には複数のSDN(Software Defined Network)の保護された領域または保護されたサービスへの、悪意があるデータフローの侵入を検知および防止するシステムおよび方法に関する。
【背景技術】
【0002】
組織セキュリティの主な構成要素の1つは、侵入検知システム(IDS)および侵入防止システム(IPS)である。これら2つのシステムには多くの共通点があり、例えば、両方共が、プライベートネットワーク(保護された領域)を攻撃する悪気のある試みを検知するため、および「Low&Slow」なAPT(Advanced Persistent Threats)を検知するためのパターンを使用している。図7にみられるように、通常、IDSは回線外に配置され、複製されたデータストリームに作用する。IDSは、すべてのパケットを解析し、次いで、いわゆる「エキスパートシステム」(例えば、SIEM(Security Information and Event Management))へ報告し、これにより積極的対策を適切に始動させることができる。IPSは、ファイアウォールのように配置することができ、典型的にはネットワークのデータパスへ直接作用する。IPSはパケットを解析し、フローを分類し、それらをブロックまたは許可する。IPSは、IDSのように配置することもでき、複製されたデータパスを引き込むことができ、次いで、「悪意がある」として分類されたフローをブロックするために、ファイアウォールとの連携を利用することができる。
【0003】
通常、IPSは、IPSが分析しなければならないデータ量に対処するため、「Fast Path」メカニズム(通常、ハードウェアベースの転送要素により実施される)を付加しており、IPSは、すでに分類(「許可」または「ブロック」のいずれかとして)されたフローを「Fast Path」メカニズムに任せることができる。「Fast Path」が使用されているか否かにかかわらず、IPSが回線上に配置されている場合、IPSは、組織ネットワークに単一障害点(SPOF)を作り出し、例えば、IPSが誤動作しているときにサービス継続性を保証するために、高価な高可用性ソリューションの実装を必要とする。単一のIPSデバイスの処理能力は限られているため、IPSがデータ通信量に圧倒された場合にはfail−open(すなわち、すべてを許可する)するように、通常は構成されている。ただし、IPSを回線外に配置することによって、複製されたネットワークトラフィックを処理(典型的なIDSと同様に)すること、および「実行する」ネットワーク要素(例えばファイアウォール)に対する緊密な連携という代償を払って、回線上のIPSのこれらの問題のいくつかを緩和し、その結果、メインのデータパスへの悪意がある攻撃をブロックすることができる。また、回線外のIPSは、ネットワーク攻撃に対してはるかにゆっくりと反応する。
【0004】
要約すれば、一方では回線外のIDSおよびIPSにはいくつかの制限がある。検知時間および応答時間が遅い。また、システムは、ノイズが多くなる傾向があり、すなわちセキュリティの専門家が検討する必要のある大量のデータを生成する。システムは、一般にかなり多くのリソースをつぎ込んだものとなる。最終的には、積極的な保護を提供するためにカスタム的な連携が必要である。
【0005】
もう一方で、回線内のIPSには、回線内のIPS独自の制限がある。先ず第1に、規模の変更が非常に困難である。また、回線内のIPSは分類されたトラフィックの「Fast Path」を処理するための専用のハードウェアを必要とする。上述のように、高価な高可用性モデルを必要とするSPOFを表している。さらには、回線内のIPSの限られた処理能力は、上述の、トラフィックの急増における「fail open」(すなわち、すべてを許可する)につながる。最終的には、典型的に使用されるIPSのサイロ型データモデルは、他のIT資産との情報共有を制限し、結果としてAPTを検出する能力を妨げる。
【発明の概要】
【0006】
上記の問題および欠点に鑑みて、本開示は、従来のIDSおよびIPSを改善することを目的としている。セキュリティの観点から、本開示の目的は、悪意があるトラフィックをネットワーク全体にわたって即座にブロックすることができるシステムおよび方法を提供することである。さらには、より良好なAPT検出および緩和能力が達成されるべきである。本開示は、ネットワークからSPOFを取り除くことも目的としている。効率の観点から、悪意があるトラフィックを検出、検査、およびブロックする能力を損なうことなく、データパスから侵入検知を取り除いたシステムおよび方法を提供することが本開示の目的である。一般的目的は、例えば、疑わしいトラフィックを監視することのみによって、侵入検知および侵入防止の負荷を軽減することである。また、ベンダーを超えた連携が必要とされるべきではなく、全体のコストが削減されるべきである。
【課題を解決するための手段】
【0007】
上述の本開示の目的は、添付の独立請求項で提供されるソリューションによって達成されている。本開示の有益な実施態様は、従属請求項でさらに定義されている。
【0008】
本開示の第1の態様は、データフローのフローステートを記憶し、システムにわたってフローステートを共有および更新するように構成される少なくとも1つのデータストレージまたはメモリと、データフローのフローステート、および/またはデータフローと所定のパターンとの比較に基づいて、受信されたデータフローをブロック、転送、または複製するように構成される少なくとも1つの共有ステート転送要素(FE)と、複製されたデータフローを受信し、データフローが、悪意があるかそれとも許可されているかを分類するように構成される少なくとも1つの検査要素(IE)とを備え、IEは、分類結果に応じてデータフローのフローステートを変化させるように構成される、SDNにおいて悪意があるデータフローの侵入を検知および防止するシステムを提供している。
【0009】
第1の態様に係る本開示は、データフローのフローステート、および好ましくは付加的なメタデータをシステムにわたって、すなわち詳細には、個々のFE、IE、および場合によってはサービスアプリケーションの間で共有するためのメカニズムを実施している。その結果、システムは、疑わしいかまたは検知された脅威に対して即座に、すなわち少なくとも従来のシステムよりもはるかに速く、反応することができる。例えば、少なくとも1つのFEは、FEが、疑わしいデータフローを悪意があると分類し、疑わしいデータフローのフローステートをそれに応じて更新した場合には、疑わしいデータフローを即座にブロックすることができる。フローステートの共有は、分散接続追跡(DCT)を介して都合よく実施することができ、分散接続追跡(DCT)は、特定のSDNの、システムにわたっての、ネットワークステートおよびフローステートのような情報の共有の実施である。
【0010】
少なくとも1つのIEへ疑わしいデータフローの複製のみを送信することによって、悪意があるトラフィックを検知、検査およびブロックする能力を損なうことなく、侵入検知が正規のパスから取り除かれる。IEへ疑わしいデータフローを送信することのみによって、およびFEにおいて所定のパターンおよび共有されたフローステートをさらに使用することによって、侵入検知および侵入防止の負荷が大幅に軽減される。
【0011】
第1の態様に係るシステムの第1の実装の形態では、FEは、データフローのフローステートが「許可」である場合、および/またはデータフローが所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを転送し、データフローのフローステートが「ブロック」である場合、および/またはデータフローが所定の悪意があるトラフィックのパターンと一致する場合には、受信されたデータフローのパケットをブロックし、データフローのフローステートが「疑わしい」である場合、および/またはデータフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを複製するように構成されている。
【0012】
それに応じて、少なくとも1つのFEは、一方では共有されたフローステートに基づいて、そしてもう一方では所定のパターンに基づいて、データフローを処理することができる。それに応じて、システムの全体効率が高められ、それと同時にIEの負荷が軽減される。システムは、フローステートのいかなる変化または更新にも素早く反応することができる。さらに、システムは、十分に拡張性がある。
【0013】
第1の態様それ自体に係るか、または第1の態様の第1の実装の形態に係るシステムの第2の実装の形態では、FEは、受信されたデータフローが、少なくとも1つのデータストレージまたはメモリに記憶されたフローステートをすでに有しているかどうかを判定し、受信されたデータフローが、記憶されたフローステートを有している場合にはデータフローのフローステート、または受信されたデータフローが、記憶されたフローステートを有していない場合にはデータフローと所定のパターンとの比較に基づいて、データフローをブロック、転送、または複製するように構成されている。
【0014】
このように、共有されたフローステートが存在する場合には、所定のパターンとの比較を省略することができ、その結果として、トラフィックの処理がより素早くなる。また、この場合、IEへの負荷は発生しない。
【0015】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第3の実装の形態では、FEは、IEが前記データフローのフローステートを「ブロック」に設定または更新した場合には、データフローのパケットを即座にブロックするように構成されている。
【0016】
この結果として、システムは、脅威を検知するために非常に素早くかつ効率よく反応することができ、システムが存在するネットワークの安全性を高める。
【0017】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第4の実装の形態では、FEは、データフローが、所定の疑わしいトラフィックのパターンと一致した場合には、データフローのフローステートを「疑わしい」に設定または更新するように構成され、かつ前記データフローを、分類のためにIEへ複製するように構成されている。
【0018】
それに応じて、疑わしいデータフローだけが分類のためにIEへ送信される。結果として、侵入検知および侵入防止の負荷が大幅に軽減される。
【0019】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第5の実装の形態では、FEは、受信された任意のデータフローのフローステートを「疑わしい」に変化させるように構成されている。
【0020】
それに応じて、データフローを再検査することができる。このことにより、自身の攻撃ベクトルをランダム化する特定のAPTの克服を改善している。
【0021】
第1の態様の第4または第5の実装の形態に係るシステムの第6の実装の形態では、FEは、IEによる分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットの転送を引き延ばし、次いで、分類の結果に応じて、パケットをブロックするかまたは普通に転送するように構成されている。
【0022】
この選択肢は、ネットワークの保護された領域またはサービスの安全性を高める。
【0023】
第1の態様の第4または第5の実装の形態に係るシステムの第7の実装の形態では、FEは、IEに対して複製を行い、かつ、IEによる分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットを普通に送信し、次いで、分類の結果に応じて、パケットをブロックするかまたは普通に転送を継続するように構成されている。
【0024】
この選択肢は、すなわち中断することなくトラフィックのフローを維持することによってトラフィックの効率を高める。
【0025】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第8の実装の形態では、FEは、分類の結果にかかわらず、所定の期間、データフローのフローステートを「疑わしい」のままにするように構成されている。
【0026】
このことによって、IEは、「low&slow」攻撃を特に検知することができ、すなわちAPTに対するするシステムの安全性を高める。
【0027】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第9の実装の形態では、IEは、複製されたデータフローのフローステートを「終了」に変化させるように構成され、かつ、FEは、IEがスローステートを「終了」に変化させた場合、前記データフローをIEへ複製することを停止するように構成されている。
【0028】
この結果として、疑わしいデータフローの複製を即座に停止することができ、これによって不必要なリソースの消費を回避する。
【0029】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第10の実装の形態では、FEは、許可として先に分類されてしまっているデータフローのパケットについてはIEをバイパスするように構成されている。
【0030】
これに応じて、侵入検知および侵入防止の負荷を大幅に軽減することができる。
【0031】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第11の実装の形態では、少なくとも1つのデータストレージまたはメモリは、データフローのメタデータを記憶し、システムにわたってメタデータを共有および更新するように構成され、FEは、データフローのフローステートおよびメタデータに基づいて、受信されたデータフローをブロック、転送、または複製するように構成されている。
【0032】
付加的なメタデータが共有される場合、システムにおける侵入検知および侵入防止は、さらにいっそう正確にかつ効率よくなる。
【0033】
第1の態様それ自体に係るか、または第1の態様の先のいずれかの実装の形態に係るシステムの第12の実装の形態では、FEは、SDNコントローラへ接続されており、SDNコントローラは、FEに所定のパターンを供給するように構成されている。
【0034】
この実装の形態によって、少なくとも1つのFEの容易かつ柔軟な構成が可能になっている。この結果として、システムはカスタマイズすることができ、また十分な拡張性もある。
【0035】
本開示の第2の態様は、データフローのフローステートを記憶し、SDN(Software Defined Network)にわたってフローステートを共有および更新するステップと、データフローのフローステート、および/またはデータフローと所定のパターンとの比較に基づいて、受信されたデータフローをブロック、転送、または複製するステップと、複製されたデータフローが、悪意があるかそれとも許可されているかを分類するステップと、分類結果に応じてデータフローのフローステートを変化させるステップとを含む、SDNにおいて悪意があるデータフローの侵入を検知および防止する方法を提供している。
【0036】
第2の態様に係る方法の第1の実装の形態では、FEは、データフローのフローステートが「許可」である場合、および/またはデータフローが所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを転送し、データフローのフローステートが「ブロック」である場合、および/またはデータフローが所定の悪意があるトラフィックのパターンと一致する場合には、受信されたデータフローのパケットをブロックし、データフローのフローステートが「疑わしい」である場合、および/またはデータフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを複製するように構成されている。
【0037】
第2の態様それ自体に係るか、または第2の態様の第1の実装の形態に係る方法の第2の実装の形態では、FEは、受信されたデータフローが、少なくとも1つのデータストレージまたはメモリに記憶されたフローステートをすでに有しているかどうかを判定し、受信されたデータフローが、記憶されたフローステートを有している場合にはデータフローのフローステート、または受信されたデータフローが、記憶されたフローステートを有していない場合にはデータフローと所定のパターンとの比較に基づいて、データフローをブロック、転送、または複製するように構成されている。
【0038】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第3の実装の形態では、FEは、IEが前記データフローのフローステートを「ブロック」に設定または更新した場合には、データフローのパケットを即座にブロックするように構成されている。
【0039】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第4の実装の形態では、FEは、データフローが、所定の疑わしいトラフィックのパターンと一致した場合には、データフローのフローステートを「疑わしい」に設定または更新するように構成され、かつ前記データフローを、分類のためにIEへ複製するように構成されている。
【0040】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第5の実装の形態では、FEは、受信された任意のデータフローのフローステートを「疑わしい」に変化させるように構成されている。
【0041】
第2の態様の第4または第5の実装の形態に係る方法の第6の実装の形態では、FEは、IEによる分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットの転送を引き延ばし、次いで、分類の結果に応じて、パケットをブロックするかまたは普通に転送するように構成されている。
【0042】
第2の態様の第4または第5の実装の形態に係る方法の第7の実装の形態では、FEは、IEに対して複製を行い、かつ、IEによる分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットを普通に送信し、次いで、分類の結果に応じて、パケットをブロックするかまたは普通に転送を継続するように構成されている。
【0043】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第8の実装の形態では、FEは、分類の結果にかかわらず、所定の期間、データフローのフローステートを「疑わしい」のままにするように構成されている。
【0044】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第9の実装の形態では、IEは、複製されたデータフローのフローステートを「終了」に変化させるように構成され、かつ、FEは、IEがスローステートを「終了」に変化させた場合、前記データフローをIEへ複製することを停止するように構成されている。
【0045】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第10の実装の形態では、FEは、許可として先に分類されてしまっているデータフローのパケットについてはIEをバイパスするように構成されている。
【0046】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第11の実装の形態では、少なくとも1つのデータストレージまたはメモリは、データフローのメタデータを記憶し、システムにわたってメタデータを共有および更新するように構成され、FEは、データフローのフローステートおよびメタデータに基づいて、受信されたデータフローをブロック、転送、または複製するように構成されている。
【0047】
第2の態様それ自体に係るか、または第2の態様の先のいずれかの実装の形態に係る方法の第12の実装の形態では、FEは、SDNコントローラへ接続されており、SDNコントローラは、FEに所定のパターンを供給するように構成されている。
【0048】
第2の態様それ自体の方法およびその実装の形態は、第1の態様それ自体のシステムおよびその実装の形態と同じ優位性をそれぞれ達成している。
【0049】
本開示の第3の態様は、演算装置上で実行された場合に、第2の態様それ自体に係るか、または第2の態様のいずれかの実装の形態に係る、SDN(Software Defined Network)において悪意があるデータフローのネットワーク侵入を検知および防止する方法を実施するコンピュータプログラム製品を提供している。
【0050】
第3の態様のコンピュータプログラム製品を用いて、第2の態様の方法およびその実装の形態のすべての優位性が達成される。
【0051】
本願に記載しているすべてのデバイス、要素、ユニットおよび手段は、ソフトウェアもしくはハードウェア要素またはそのいかなる種類の組合せでも実施することができる可能性があることに留意しなければならない。本願に記載しているさまざまなエンティティによって実行されるすべてのステップ、およびさまざまなエンティティによって実行されると記載している機能は、それぞれのエンティティがそれぞれのステップおよび機能を実行するのに適応しているかまたは実行するように構成されていることを意味するものとする。次の具体的な実施形態の記載において、恒久的なエンティティによって全体に形成されるべき特定の機能またはステップが、その特定のステップまたは機能を実行するそのエンティティの特定の詳細な要素の記載に反映されていない場合でも、当業者には、これらの方法および機能は、それぞれのソフトウェアもしくはハードウェア要素、またはそのいかなる種類の組合せでも実施することができることは明らかなはずである。
【0052】
上記の本開示の態様および実装の形態を、次の具体的な実施形態の説明で、添付図面と関連付けて説明する。
【図面の簡単な説明】
【0053】
図1本開示の一実施形態に係るシステムを示している。
図2本開示の一実施形態に係るシステムを示している。
図3本開示の一実施形態に係るシステムの構成要素を示している。
図4本開示の一実施形態に係るシステムを示している。
図5本開示の一実施形態に係るシステムを示している。
図6本開示の一実施形態に係る方法を示している。
図7】技術水準に係るIPS/IDSシステムを示している。
【発明を実施するための形態】
【0054】
図1は、本開示の一実施形態に係るシステム100を示している。システム100は、SDNにおいて悪意があるデータフローの侵入を検知および防止することができる。詳細には、システム100は、悪意があるデータフローの、ネットワークの保護された領域およびサービスへの侵入を防止することができる。
【0055】
システム100は、データフローのフローステートを記憶し、システム100にわたってフローステートを共有および更新するために、少なくとも1つのデータストレージまたはメモリ101を含んでいる。データストレージまたはメモリ101は、好ましくは、高速で低レイテンシの分散メモリ(分散メモリデータベースまたは類似の技術など)であり、システム100にわたってフローステートを共有するために、好ましくはシステムのエンティティによって、その分散メモリへフローステートが書き込まれ得、その分散メモリからフローステートを読み出すことができる。それに応じて、共有されたフローステートは、システム100にわたって提供され、システム100に対して脅威への素早い反応時間を可能にしている。好ましくは、データストレージまたはメモリ101は、データフローのメタデータを記憶し、フローステートと同じ方法で、システム100にわたってメタデータを共有および更新するようにも構成される。
【0056】
システム100は、データフローのフローステートに基づいて、および/または前記テータフローと所定のパターンとの比較に基づいて、受信されたデータフロー103をブロック、転送、または複製するように構成された、少なくとも1つの共有ステートのFE102をさらに有している。好ましくは、所定のパターンは、FE102に、またはデータストレージまたはメモリ101にも記憶され得る。好ましくは、FE102は、SDNコントローラへ接続することができ、SDNコントローラは、FE102に所定のデータを提供することができる。
【0057】
FE102は、受信されたデータフロー103のフローステートを、データストレージまたはメモリ101から得ることができる。例えば、FE102は、対応するフローステートについてデータストレージまたはメモリ101へ問い合わせを行うことができる。ただし、好ましくは、データストレージまたはメモリ101は、データのフローの最新のフローステートをすべてのFE102へ積極的に配布する。少なくとも1つのFE102は、システム100にわたって追加のメタデータも共有されている場合には、データフローのフローステートおよびかかるメタデータに基づいて、受信されたデータフロー103をブロック、転送、または複製するように特に構成され得る。
【0058】
システム100は、少なくとも1つのFE102から、複製されたデータフロー105を受信し、データフローが悪意があるかそれとも許可されているかを分類するように構成された、少なくとも1つのIE104をさらに含んでいる。また、IE104は、分類結果に応じてデータフローのフローステートを変化させるように構成されている。つまり、IE104は、分類されたデータフローのフローステートを更新するために、データストレージまたはメモリ101へアクセスすることができる。次いで、更新されたフローステートは、最新のフローステートが少なくとも1つのFE102のそれぞれで利用可能であることを確実にするために、システム100にわたって共有することができる。この結果として、システム100は、検知された脅威に即座に反応することができる。
【0059】
図2は、本開示に係る一実施形態を示しており、図1に表されている実施形態に基づいている。図1のように、システム100は、少なくとも1つのFE102、少なくとも1つのデータストレージまたはメモリ101、および少なくとも1つのIE104を含んでいる。ここで、FE102は、例えば、コアルータである。また、図2は、2つのネットワーク端点、つまりクライアント201、およびネットワークの保護されたサービス202(または保護された領域)を示している。
【0060】
図2の表に示されるように、ネットワーク端点201は、ネットワークのデータフローを生成および/または受信し得、生成および/または受信されたデータフローを、正規のデータパス上でデータフロー103として少なくとも1つのFE102へ転送し得る。それに応じて、少なくとも1つのFE102が、クライアント201から、保護されたサービス202へのデータパス上に、備えられている。図2に示すように、FEには、「共有ステート転送要素」の機能を実装し得、すなわちFEは、データフローを転送することができ、データフローのフローステートを他のネットワーク要素および/またはサービスアプリケーションと共有することができる。少なくとも1つのIE104には、「共有ステートサービスアプリケーション」および「ステート共有」の機能を実装し得、すなわちネットワークステートおよびフローステートを他のネットワーク要素およびサービスアプリケーションと共有するサービスアプリケーションとして機能することができる。少なくとも1つのデータストレージまたはメモリ101も、「ステート共有」機能を実装し得、すなわちネットワークステートおよびフローステートを他のネットワーク要素およびサービスアプリケーションと共有することができる。
【0061】
図2では、ネットワークパケットがクライアント201(例えばゲートウェイルータ、ファイアウォールなど)に到着した場合、これらのネットワークパケットは、データフロー103として少なくとも1つのFE102へ転送され得る。データフロー103のネットワークパケットは、次のグループの1つと関連付けることができる。「新規のかつ許可された」、すなわち到着しているネットワークパケットは、所定の許可されたトラフィックのパターンと一致する、新規のデータフロー103の最初のパケットである。「新規のかつ悪意がある」、すなわち到着しているネットワークパケットは、所定のブロックされたトラフィックのパターンと一致する、新規のデータフロー103の最初のパケットである。「新規のかつ疑わしい」、すなわち到着しているネットワークパケットは、所定のパターンと一致しないか、または所定の疑わしいトラフィックのパターンと一致する、新規のデータフロー103の最初のパケットである。「中間のかつ疑わしい」、すなわち到着しているネットワークパケットは、疑わしいデータフロー103の先に進んだパケットである。「中間のかつ許可された」、すなわち到着しているネットワークパケットは、許可されたデータフロー103の先に進んだパケットである。「中間のかつ悪意がある」、すなわち到着しているネットワークパケットは、悪意があるデータフロー103の先に進んだパケットである。少なくとも1つのFE102は、例えばデータフロー103と所定のパターンとの比較によって、到着しているネットワークパケットがどのグループに属するかを判定することができる。
【0062】
ただし、FE102は、少なくとも1つのデータストレージまたはメモリ101から、またはIE104から直接にも、「ステート共有」の機能を介して、データフローの共有されたフローステートを提供されもする。つまり、FE102は、共有されたフローステートに基づいて、到着しているネットワークパケットの種類を判定することもできる。好ましくは、FE102は、受信されたデータフロー103が、少なくとも1つのデータストレージまたはメモリ101に記憶されたフローステートをすでに有しているかどうかを判定し、受信されたデータフローが、記憶されたフローステートを有している場合には、データフローのフローステートだけに基づいてデータフローをブロック、転送、または複製するように構成される。別の方法として、FE102は、好ましくは、受信されたデータフロー103が、記憶されたフローステートを有していない場合には、データフローと所定のパターンとの比較のみに基づいてデータフロー103をブロック、転送、または複製するように構成される。
【0063】
好ましくは、FE102は、データフローの、共有されたフローステートが「許可」である場合および/またはデータフローが、所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフロー103のネットワークパケットを(保護されたサービス202へ)転送するように構成される。別の方法として、FE102は、データフローの、共有されたフローステートが「ブロック」である場合、および/またはデータフローが所定の悪意があるトラフィックのパターンと一致する場合には、データフローのパケットをブロックするように構成される。別の方法として、FE102は、データフローのフローステートが「疑わしい」である場合、および/またはデータフローが所定の疑わしいトラフィックのパターンと一致するかもしくは所定のパターンと一致しない場合には、(IE104に対して)データフローのパケットを複製するように構成される。それに応じて、FE102は、疑わしいデータフローのパケットをIE104へ誘導し、許可されたデータフロー103に属するパケットについてはIE104をバイパスするようにし、悪意があるデータフロー103のパケットを完全にブロックするように構成される。その結果、IE104の負荷を最小限に抑えることができる。
【0064】
疑わしいデータフロー103の複製されたパケットだけが、さらなる検査のためにIE104へ転送される。詳細には、疑わしいトラフィックの検査は、「共有ステートサービスアプリケーション」の機能を実装する少なくとも1つのIE104によって行われ得る。IE104は、少なくとも1つのデータストレージまたはメモリ101の中のデータフローのフローステートを変化させる(例えば「許可」から「ブロック」へ)ためにDCTメカニズムをさらに使用し得る。次いで、変化させられたフローステートが共有される。次いで、データフローのパケットの処理は、データストレージまたはメモリ101の中のデータフローのフローステートの変更(例えば「ブロック」へ)に反応するように構成されたFE102によって実行される。
【0065】
図3は、DCTメカニズムを使用する一実施形態のための可能な構成要素を示している。FE102は、第1のネットワークノード(ノードA)に含まれ得る。ノードAは、受信されたデータフローに属する少なくとも1つのネットワークパケットについて接続追跡を実行するように構成された接続追跡モジュール302を備えたカーネル301も含み得る。少なくとも1つのデータストレージおよびメモリ101も、ノードAに備えられ得、少なくとも1つの接続追跡モジュール302によって得られた接続追跡データを記憶するように構成され得る。詳細には、フローステートは、接続追跡データの一部であり得る。好ましくは、メタデータも接続追跡データに含まれ得る。記憶された接続追跡データは、システム100にわたって共有される。IE104の「共有ステートサービスアプリケーション」の機能は、別のネットワークノード(ノードB)に含まれ得る。IE104は、疑わしいデータフローの分類の結果に基づいて、データストレージまたはメモリ101に記憶された接続追跡データ、詳細にはフローステートを更新するように構成されている。特許出願PCT/EP2015/070160およびPCT/EP2015/079117は、DCTメカニズムに関してさらなる詳細を提供している。詳細には、DCTは、PCT/EP2015/070160で説明されており、FE102とIE104との間でフローステートおよびメタデータを共有するために、ここで使用することができる。また、「DCTを使用する共通アプリケーションレイヤ」が、PCT/EP2015/079117で説明されており、IE104への疑わしいパケットフローの誘導を実施するためにここで使用することができる。
【0066】
図4は、先の図1および図2の実施形態に基づき、またDCTの実装にも適した、本開示の一実施形態を示している。到着しているネットワークパケットのデータフロー103(1)は、上記のように新規および中間のパケットを含み得る。少なくとも1つのFE102(2)は、共有されたフローステートおよび/または所定のパターンに基づいて、データフローをブロック、許可(保護された領域202へ普通に転送する)、または許可およびIE104へ向けて複製する。一致し(3)、結果としてブロックされるデータフローは、FE102によって破棄される。一致し、結果として許可されるデータフローは、保護された領域202またはサービスへ普通に転送される(4)。疑わしいデータフローは、結果として、分類のためにIE104に向けて複製される(5)。この場合、FE102は、IE104による分類が完了するまで、疑わしいデータフローのパケットの転送を引き延ばすように構成され得る。別の方法として、FE102は、IE104による分類が完了するまで、保護された領域2β03へ疑わしいデータフローのパケットを普通に転送するように構成され得る。
【0067】
IE104は、さらなる分類のために、複製されたデータフロー105を受信する(6)。IE104は、データフローが悪意があるか否かを決定した時点で、データストレージおよび/またはメモリ101の中のデータフローのフローステートを、詳細にはDCTメカニズム(PCT/EP2015/070160およびPCT/EP2015/079117によって実装されるように。図3も参照のこと)を使用することによって更新する。さらに、好ましくは、IE104は、データフローの複製動作を解除する。つまり、好ましくは、IE104は、複製されたデータフロー105のフローステートを「終了」へ変更させるように構成され、次いで、好ましくは、FE102は、前記データフローをIE104へ複製することを停止するように構成される。
【0068】
データフローのフローステートが変更された時点で、少なくとも1つのFE102がそれに応じて更新され、「ブロック」に設定されたデータフローについては、ブロックが実施される。好ましくは、FE102は、IE104が前記データフローのフローステートを「ブロック」に設定または更新した場合には、データフローのパケットを即座に(すなわち、データフローの次のデータパケットからすでに始めている)ブロックするように構成される。
【0069】
図5は、図1および図2の実施形態に基づく本開示の一実施形態を示しており、いくつかの重要な点を示している。図1および図2のように、システム100は、少なくとも1つのFE102、少なくとも1つのデータストレージまたはメモリ101、および少なくとも1つのIE104を含んでいる。図2のように、システム100は、クライアント201および保護されたサービス202または領域を含み得る。
【0070】
保護されたサービス202へ向けた、クライアント201からのトラフィック(すなわちデータフロー)が、FE102へ到着する。FE102は、図5の表の中で「F1」という名前を付けられ、例えばデータストレージまたはメモリ101(例えば、DCTによって実装される)内でフローステータス「新規」を有する、新規のデータフローを生成し得る。IE104は、データフロー「F1」が悪意があることを積極的に疑い得、「複製」動作を伴って、データストレージまたはメモリ101の中の「F1」のステータスを「疑わしい」に更新することができる。それに応じて、FE102は、データフロー「F1」について、データストレージまたはメモリ101を経由してフローステータス「疑わしい」で更新され、その結果、少なくとも1つのIE104へ向けて送信される「F1R」という名前を付けられた複製されたデータフロー、すなわちクライアント201と保護されたサービス202との間のパケットフローの複製を再生するために、複製動作を実行する。その一方で、少なくとも1つのFE102は、保護されたサービス202へ向けてデータフロー「F1」を普通に転送し続け得る。
【0071】
IE104は、複製されたデータフロー105を受信し、例えば、数パケット後にデータフローを分類することができる。次いで、IE104は、データストレージまたはメモリ101の中の「F1」のフローステートを、例えば、動作「ブロック」を伴う「悪意がある」に更新する。次いで、IE104は、データストレージまたはメモリ101の中の「F1R」のフローステートを「終了」に更新することもでき、これによって複製を停止させる。それに応じて、FE102は、データフロー「F1」について、データストレージまたはメモリ101を経由してフローステート「ブロック」で更新され、そのデータフロー「F1」を即座にブロックし、データフロー「F1R」についてはフローステート「解除」へ更新され、このデータフローの複製を即座に停止する。
【0072】
図5に記載のシナリオでは、悪意があるデータフローは、そのように分類されるとすぐに、組織、すなわち保護されたサービス202へ入ることをブロックされる。データフローの分類は、ネットワークデータパスに追加の要素を一切配置することなく、「ぎりぎり間に合う」ように、また「まさに必要な時間」で実行される。
【0073】
例えばDCTメカニズムを介して共有される、その共有されるフローステートのステート特性に起因して、IE104によってフローステートが更新される瞬間、例えばあるデータフローがブロックされる必要がある瞬間に、ブロックが、システム100のすべてのFE102によって、すなわちシステム100が存在するネットワークにわたって(スイッチ、ルータ、ロードバランサなど)即座に実施される。IE104は、保護された領域202へのクリティカルデータパスの外側に位置するため、処理が簡素化されており、可用性が高く、容易に拡張可能である。
【0074】
図1から図5における上述の実施形態は、追加の機能と共に提供することができる。例えば、許可されたデータフローおよびブロックされたデータフローの処理は、すでに分類されたデータフローについてはIE104をバイパスすることによって最適化することができる。詳細には、FE102は、許可として先に分類されてしまっているデータフローのパケットについて、IE104をバイパスするように構成し得る。
【0075】
また、FE102は、SDNコントローラへ接続することができ、SDNコントローラは、「許可」、「ブロック」および「複製」動作を実施するために、ネットワークデータフローと一致すべき所定のパターンとしてOpenFlowのルール(またはOpFlex、またはそのようなもの)を実装するために使用され得る。つまり、SDNコントローラは、FE102に所定のパターンを提供するように構成されている。
【0076】
FE102は、疑わしいトラフィックのデータフローをIE104に向けて誘導し、データフローの分類が行われ、次いで、データフローがブロックされるか、またはIE104をバイパスしてその宛先へ直接誘導されるときまで、一時的にデータフローを回線内に置くようにも構成され得る。別の方法として、トラフィックの分類が行われ、次いで、ネットワークパケットフローがブロックされるかまたは許可されたままになり、IE104へ向けた複製が解除されるまで、トラフィックがその宛先へ普通に転送もされながら、FE102は、疑わしいデータフローの複製を開始し、その複製をIE104へ向けて誘導し得る。つまり、FE102は、IE104による分類が完了するまで、所定の疑わしいトラフィックのパターンと一致するデータフローのパケットの転送を引き延ばすか、または所定の疑わしいトラフィックのパターンと一致するデータフローのパケットをIE104へ複製し、かつ普通に転送するように構成される。
【0077】
APTであると疑われるデータフローは、長期間それを「疑わしい」のままにし、IE104が「low&slow」攻撃を検知できるようにすることによって処理することができる。このために、FE102は、分類結果にかかわらず、所定の期間データフローのフローステートを「疑わしい」のままにするように構成され得る。
【0078】
許可されたデータフローを、例えば再検査のために、および自身の攻撃ベクトルをランダム化する何らかのAPTを克服するために、「疑わしい」のフローステートにランダムに(または定期的に)入れ込むことも可能である。このために、少なくとも1つのFE102は、任意の受信されたデータフローのフローステートを「疑わしい」に変化させるように構成され得る。
【0079】
図6は、本開示の一実施形態に係る方法600を示している。方法600は、SDNにおいて悪意があるデータフローの侵入を検知および防止するために実行することができる。第1のステップ601では、データフローのフローステートが記憶され、SDNにわたって共有および更新される。第2のステップ602では、受信されたデータフローが、データフローのフローステート、および/またはデータフローと所定のパターンとの比較に基づいて、ブロック、転送、または複製される。次いで、第3のステップ603では、複製されたデータフローが、悪意があるかそれとも許可されているか分類される。最後に、第4のステップ604では、データフローのフローステートが、分類結果に応じて変化させられる。方法600は、もちろん、上のシステム100の機能の記載に従って追加のおよび詳細な方法ステップを付けて拡張することができる。
【0080】
要約すると、本開示の実施形態によれば、IPSは、悪意があるトラフィックを検知、検査およびブロックするIPSの能力を損なうことなくデータパスから取り除かれる。また、IPSは、SPOFとしてネットワークから取り除かれ、IPSへの負荷は、妥当な疑わしいデータフローだけを含むように軽減され、一方、すでに分類されたデータフローはすべて、一切IPSへ転送されない。悪意があるデータフローのブロックは、システムにわたって、したがってシステムが存在するネットワークにわたって、瞬時に行われる。また、IPSのブロックおよびデータフローの複製メカニズムを実装するためにベンダーを超えた連携を必要としない。
【0081】
本開示は、例および実施態様としてさまざまな実施形態と共に記載されている。ただし、他の変形例が、図面、本開示および独立請求項の検討に基づいて、当業者によって、そして請求項に記載の実形態によって、理解され達成されることができる。請求項において、および記載において、「含む、備える」という語は、他の要素またはステップを除外せず、不定冠詞「a」または「an」は複数性を除外しない。単一の要素または他のユニットが、請求項に列挙されるいくつかのエンティティまたはアイテムの機能を果たし得る。特定の手段が、相互に異なる従属請求項に列挙されているという単なる事実は、これらの手段の組合せが有利な実施態様に使用されることができないということを示さない。
【符号の説明】
【0082】
100 システム
101 データストレージまたはメモリ
102 FE
103 データフロー
104 IE
105 複製されたデータフロー
201 クライアント
202 保護されたサービス
301 カーネル
302 接続追跡モジュール
600 方法
601 第1のステップ
602 第2のステップ
603 第3のステップ
604 第4のステップ
【外国語明細書】
2019165493000001.pdf