特許7167240コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-10-28
(45)【発行日】2022-11-08
(54)【発明の名称】コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム
(51)【国際特許分類】
G06F 21/55 20130101AFI20221031BHJP
【FI】
G06F21/55
【請求項の数】
11
【外国語出願】
(21)【出願番号】P 2021075748
(22)【出願日】2021-04-28
(62)【分割の表示】P 2018539363の分割
【原出願日】2017-02-14
(65)【公開番号】P2021114332
(43)【公開日】2021-08-05
【審査請求日】2021-04-28
(31)【優先権主張番号】1603118.9
(32)【優先日】2016-02-23
(33)【優先権主張国・地域又は機関】GB
(73)【特許権者】
【識別番号】318001991
【氏名又は名称】エヌチェーン ホールディングス リミテッド
【氏名又は名称原語表記】NCHAIN HOLDINGS LIMITED
【住所又は居所原語表記】Fitzgerald House, 44 Church Street, St. John’s, Antigua and Barbuda (AG)
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100091214
【弁理士】
【氏名又は名称】大貫 進介
(72)【発明者】
【氏名】ライト,クレイグ スティーヴン
【審査官】平井 誠
(56)【参考文献】
【文献】国際公開第2015/141640(WO,A1)
【文献】特開2007-079815(JP,A)
【文献】米国特許出願公開第2006/0161982(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
侵入検出プロテクションシステム(IDPS)を提供する方法であって、前記方法は、データマネージャにより管理される中央化されたデータベースを提供するステップを含み、
前記データマネージャは、前記中央化されたデータベースを、
前記IDPSのユーザから受信したネットワークトラフィックデータを受信し、処理し及びログし、複数のユーザのトラフィックデータをソースとする単一のデータリソースを形成するため、前記ネットワークトラフィックデータにより前記中央化されたデータベースを更新し、
特定の攻撃者に適するハニーポットコンフィギュレーションの形式でプロテクションパラメータを決定し、
ユーザに前記中央化されたデータベース上の情報を共有するためのアクセスを提供して、前記ユーザが攻撃者を識別し及び適切なプロテクションパラメータを実装できるようにする、
ことにより管理する、方法。
【請求項2】
前記データマネージャが、認証されたユーザからリクエストを受信するステップと、前記認証されたユーザからの前記リクエストが、トラフィックプロファイルデータに関連するかどうか、又は前記リクエストの目的が処理及びログのためにトラフィックデータを提供することであるかどうかを決定するステップと、
を更に含む請求項1に記載の方法。
【請求項3】
前記データマネージャにおいて、未処理トラフィックデータを受信するステップであって、前記未処理トラフィックデータは、未処理形式でログされる、ステップ、を更に含む請求項1又は2に記載の方法。
【請求項4】
トラフィックが通常ユーザトラフィック又は攻撃者トラフィックに関連するとして分類するために、前記未処理トラフィックデータを処理するステップ、を更に含む請求項3に記載の方法。
【請求項5】
前記データベースと通信し、入力されたリクエストが正当なユーザ又は攻撃者から生じているかを決定するよう構成されるシステムプロテクションシステム(SPS)、を更に含む請求項1~4のいずれかに記載の方法。
【請求項6】
前記リクエストが攻撃者からであると決定され、バーチャルなハニーポット及び/又はハニーネットと、改良された又は偽のデータベースである偽データベースと、を生成するステップと、前記ハニーポット及び/又は前記ハニーネットと前記偽データベースに前記リクエストのソースを誘導するステップと、
を含む請求項5に記載の方法。
【請求項7】
前記偽データベースは、センシティブなデータではない及び/又はランダム化されたデータであるデータを含む、請求項6に記載の方法。
【請求項8】
前記ハニーポットを生成する及び/又は構成するために使用されるパラメータは、前記データベースから受信した攻撃者情報に基づき、前記SPSによりローカルに決定される、請求項6又は7に記載の方法。
【請求項9】
複数のユーザが前記データマネージャとネットワークを介して通信する、請求項1~8のいずれかに記載の方法。
【請求項10】
前記データマネージャは、単一のコンピューティング装置、又は分散型コンピューティング、グリッドコンピューティング若しくはクラウドコンピューティングを可能にする複数のコンピューティング装置若しくはプロセッサを含むコンピューティングネットワークである、請求項1~9のいずれかに記載の方法。
【請求項11】
前記データベースは、通信リンクを介して前記データマネージャに接続される、又は前記データマネージャの一部である、請求項1~10のいずれかに記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、コンピュータネットワークセキュリティ、侵入検出及び侵入プロテクションに関する。本発明は、コンピュータベースデバイス又はシステムの未認証のアクセス又は誤用の監視、検出、応答及び/又は防止に利用するのに特に適している。本発明の実施例は、攻撃者のプロファイリング及び/又はコンピュータベースデコイ(ハニーポット/ハニーネット)の利用に関するものであってもよい。
【背景技術】
【0002】
侵入検出システム(IDS)は、攻撃者についてネットワークアクティビティを監視するのに利用される。レポートが生成され、アラートが特定のネットワークの所有者又は管理者に通知される。例えば、ファイアウォールを利用してトラフィックをブロックすることによって、攻撃に応答する侵入検出システムは、侵入防止システム(IPS)又は侵入検出防止システム(IDPS)として参照されうる。いくつかの実現形態では、攻撃者のトラフィックは1つ以上のハニーポットによって検出及び/又はルーティングされる。
【0003】
ハニーポットは、ネットワーク上のより脆弱なプロダクションマシーンから攻撃者をそらすため攻撃者を引き付けるネットワークデコイである。ハニーポットは、未割り当てのアドレスを用いてネットワーク内にしばしば配置され、攻撃者を引き付けるためのサービス及び/又はデータを提供する。ハニーポットはプロダクション価値を有さず、典型的には、未割り当てのアドレスに配置されるため、ハニーポットに接触しようとする全ての試みは疑わしい。これは、ハニーポットが攻撃を特定するのに利用可能であることを意味し、従って、ハニーポットはまた、攻撃者がハニーポットを利用している間、攻撃者の行動及び攻撃者の身元に関する情報の収集を可能にする。さらに、攻撃者は、ネットワークにおけるターゲットがハニーポットである可能性を評価するため、行動(提供されるサービスなど)を観察することによってハニーポットを回避しようとする。
【0004】
物理的なハニーポットは、自らのIPアドレスを備えた実際のマシーンであり、従って、実現するのが高価である。他方、バーチャルなハニーポットは、より少ない物理的なマシーンしか必要とせず、従って、コストを減少させる。オペレーティングシステム及びハニーポットによって提供されるサービスは、ネットワーク上のアクティビティ及び当該時点で特定のハニーポットの意図された目的に従って構成される。ハニーポットを構成することは、困難、複雑且つ時間を要するため、動的なバーチャルなハニーポットは、コンフィギュレーション処理を自動化するのに利用される。動的なハニーポットは、ネットワークを発見し(例えば、フィンガープリンティングによって)、何れのハニーポットコンフィギュレーションを利用するか決定し、ハニーポットを作成及び構成することが可能である。
【0005】
複数のハニーポットが、“ハニーネット”、すなわち、意図的な脆弱性によりセットアップされたデコイネットワークを形成するのに組み合わせ可能である。個々のハニーポットと同様に、ハニーネットは、所有者/管理者が攻撃者のアクティビティを観察及び解析し、収集した情報を利用してシステムのセキュリティ機構を強化することを可能にする。
【0006】
技術分野に一般に関連する背景文献は、WO2012/011070 A1, US2015/0229656 A1, US8661102, US20060242701, US2007271614, US2007192863, US2011214182, US2013152199, US2015106889, US2016080414, US2016065614, US2006212942, JP2005004617, US20040128543及びUS2010269175に見つけることができる。
【0007】
本明細書に含まれた文献、処理、物質、デバイス、物などの何れかの議論は、これらの題材の何れか又は全てが先行技術の基礎の一部を構成するか、あるいは、本出願の各請求項の優先日前にそれが存在したとき、本開示に関連する分野における共通の一般的知識であったという自認としてとられるべきでない。
【発明の概要】
【0008】
全ての新たな攻撃者又は修正された攻撃者の行動があると、IDPSは、攻撃者の行動を監視し、攻撃者に関するログされたデータを更新し、またレスポンス戦略を更新する。例えば、特定の攻撃者のプロファイルが、当該攻撃者に対してバーチャルなハニーポットが作成させてもよい。当該処理が新たな各攻撃者に対して繰り返され、攻撃者の行動又はプロファイルのある側面が変わった場合、繰り返されてもよい。これは、複雑で時間のかかる処理である。検出された攻撃者に応答し、レスポンスを更新する簡単化された処理を有することが効果的である。当該処理を簡単化することによって、セキュリティ手段が、より迅速により効率的なやり方で配置可能である。さらに、侵入検出システムに関して改良されたデータの通信及び転送が必要とされる。そのような改良は、攻撃者を検出、防止及び応答するようにより良く備えられたより効果的なプロテクションシステムをもたらす。
【0009】
本発明の各種態様及び実施例は、そのような改良されたセキュリティ手段を提供し、コンピュータベースデバイ及びネットワークと、そこに格納されているデータとに対するエンハンスされたプロテクションをもたらす。本発明は、リアクティブでプリエンプティブなセキュリティシステムを提供しうる。システムは、選択理論に基づくものであってもよい。それは、計算デバイス、ネットワーク及びそれらの関連するデータのプロテクションのため構成されてもよい。
【0010】
本発明によると、コンピュータにより実現される方法であって、
ネットワークトラフィックデータを受信、処理及びログするステップと、
ネットワークトラフィックデータから攻撃者プロファイルを決定するステップと、
攻撃者プロファイルに基づきハニーポット又はハニーネットコンフィギュレーションを決定するステップと、
ユーザから有効な情報リクエストを受信すると、決定された攻撃者プロファイル及びコンフィギュレーションをユーザに提供するステップと、
を有する方法が提供されてもよい。
ネットワークトラフィックデータを受信、処理及びログするステップと、
ネットワークトラフィックデータから攻撃者プロファイルを決定するステップと、
攻撃者プロファイルに基づきハニーポット又はハニーネットコンフィギュレーションを決定するステップと、
ユーザから有効な情報リクエストを受信すると、決定された攻撃者プロファイル及びコンフィギュレーションをユーザに提供するステップと、
を有する方法が提供されてもよい。
【0011】
ネットワークトラフィックデータは、複数のユーザから受信されてもよく、複数のユーザは、当該(要求元)ユーザを含んでもよい。
【0012】
ネットワークにおけるハニーポットの処理を改良するため、好ましくは、ハニーポットが攻撃者によって容易に特定されないような方法で、ハニーポットは攻撃者を引き付けるよう構成可能である場合、それは効果的であろう。これを実行する1つの方法は、攻撃者に関する更新された情報に従ってハニーポットを再構成することである。例えば、動的なハニーポットは、攻撃者が当該ハニーポットによって以前に提供されていないサービスをリクエストするログされた攻撃者の行動に基づき追加的なサービスを提供するよう自動的に更新されてもよい。
【0013】
当該方法は、コンピュータベースリソースを利用して、ネットワークトラフィックデータ、攻撃者プロファイル、前記ハニーポット又はハニーネットコンフィギュレーション、及び/又はユーザに関連するデータを格納するステップを有してもよい。
【0014】
ネットワークトラフィックは、決定されたコンフィギュレーションに従って、あるいは利用して生成されたハニーポット又はハニーネットに誘導されてもよい。複数のユーザは、有効な、認証された又は正当なユーザとして示されるユーザを含んでもよい。複数のユーザの一部又は全ては、本発明によるシステムに登録されるか、あるいは、認証されたとして示されてもよい。認証されたユーザのリストが、格納又は維持されてもよい。認証されたユーザは、ネットワークトラフィックに関連するデータを共有及び/又は貢献することに同意した協力する参加者であってもよい。
【0015】
当該方法は、ユーザからリクエストを受信するステップと、リクエストが認証されたユーザ、攻撃者又は未認証のパーティからであるか判断するステップとを有してもよい。
【0016】
当該方法は、複数のユーザのユーザの1人以上のプロファイルを決定するステップを有してもよい。
【0017】
本発明はまた、上記の何れかの方法を実現するよう構成されるコンピュータにより実現される(セキュリティ)システムであって、システムの複数のユーザによって提供されるネットワークトラフィックデータを格納するよう構成されるコンピュータベースストレージリソースと、リクエストに応答して1人以上の正当なユーザにハニーポット又はハニーネットコンフィギュレーションを提供するよう構成されるソフトウェアコンポーネントとを有し、コンフィギュレーションは、ネットワークトラフィックデータに基づき又は利用して導出された攻撃者プロファイルに基づく。
【0018】
ストレージリソースは更に、複数のユーザの1人以上に関連するプロファイル、1人以上の攻撃者又は攻撃者のグループ若しくはタイプに関連するプロファイル、及び/又はハニーポット/ハニーネットコンフィギュレーションパラメータを格納するよう構成されてもよい。
【0019】
本発明の各種態様は、侵入検出プロテクションシステム(IDPS)(及び対応する方法)を提供してもよい。当該方法は、データベース(又はレポジトリ)を提供するステップを有してもよい。データベースは、“通常”ユーザ、すなわち、正当及び/又は登録されたユーザのためのプロファイルを格納してもよい。これは、正当なユーザに利用されるか、あるいは利益のあるトラフィックに関連するリファレンスデータを提供してもよい。データベースは、既知の攻撃者又は攻撃なのグループに関連するデータ(プロファイル)を格納してもよい。それは、攻撃者の分類データ、コードシグネチャなどを格納してもよい。それは、例えば、ハニーポット/ネットコンフィギュレーションパラメータなどの攻撃防止データを格納してもよい。
【0020】
データベースは、データマネージャによって管理されうる。複数のユーザが、例えば、ネットワークを介しデータマネージャと通信してもよい。中央化されたデータベースは、攻撃者シグネチャ及び/又はプロファイルなどの情報をユーザ又はユーザらのシステムに提供してもよい。これは、提供された攻撃者プロファイル又はシグネチャとネットワーク上のトラフィックとをユーザがマッチングすることを可能にしうる。互いの有益な情報によって共有レポジトリを実現することは、参加者が現在の攻撃者を特定及び応答するだけでなく、他の参加者によって収集されたデータに基づき潜在的な攻撃者に対して自らを効果的に守ることを可能にする。1つ以上の実施例では、参加ユーザは、レポジトリに登録又は加入してもよい。
【0021】
データマネージャは、単一の計算デバイスであってもよいし、あるいは、分散計算、グリッド計算又はクラウド計算を可能にするための複数の計算デバイス又はプロセッサを含む計算ネットワークであってもよい。データベースは、通信リンクを介しデータマネージャに接続されてもよい。あるいは、データベースは、データ処理時間を低減するためのデータマネージャの一部であってもよい。他の実施例では、データベースは、通信ネットワークを介しデータマネージャに接続されてもよい。通信ネットワークは、ワイドエリアネットワーク(WAN)などの何れかの形態の既知のネットワークであってもよい。データベースは、データベース上で実行されるデータベース管理システム(DBMS)に従って動作してもよい。それは、異なるDBMSに基づき動作する複数のサブデータベースを含んでもよい。
【0022】
データマネージャは、いくつかのサービスを提供することによってデータベースを管理してもよい。これらは、
IDPSのユーザから受信したネットワークトラフィックデータを受信、処理及びログし、複数のユーザのトラフィックデータをソースとする単一のデータリソースを形成するため、ネットワークトラフィックデータによって中央化されたデータベースを更新するステップ、
例えば、特定の攻撃者に適したハニーポットコンフィギュレーションの形式によってプロテクションパラメータを決定するステップ、及び/又は
中央化されたデータベース上の共有情報へのアクセスをユーザに提供するステップ、
ユーザが攻撃者を特定し、適切なプロテクションパラメータを実現することを可能にするステップを含んでもよい。
IDPSのユーザから受信したネットワークトラフィックデータを受信、処理及びログし、複数のユーザのトラフィックデータをソースとする単一のデータリソースを形成するため、ネットワークトラフィックデータによって中央化されたデータベースを更新するステップ、
例えば、特定の攻撃者に適したハニーポットコンフィギュレーションの形式によってプロテクションパラメータを決定するステップ、及び/又は
中央化されたデータベース上の共有情報へのアクセスをユーザに提供するステップ、
ユーザが攻撃者を特定し、適切なプロテクションパラメータを実現することを可能にするステップを含んでもよい。
【0023】
データマネージャは、認証されたユーザからのリクエストがトラフィックプロファイルデータに対するリクエストに関連するか、あるいは、リクエストの目的が処理及びログのためにトラフィックデータを提供することであるかを判断してもよい。
【0024】
未処理のトラフィックデータが、データマネージャによって受信されてもよい。この未処理のデータは、そのまま未処理形式でログされてもよい。さらに又はあるいは、それはまた、トラフィックを通常ユーザトラフィック又は攻撃者トラフィックに関連するとして分類するため処理されてもよい。これは、例えば、シグネチャベース又はアノマリベース検出、ステートフル検出及びアプリケーションレベル検出などを含む何れか既知の検出方法及びツールの利用を伴うものであってもよい。
【0025】
本発明は、データベースと通信しうるシステムプロテクションシステム(SPS)を有してもよい。これは、データベースとの直接的な通信であってもよいし、あるいは、データマネージャを介してもよい。本発明は、入力されたリクエストが正当な参加者(ユーザ)又は悪意のある/未認証の第三者(攻撃者)から発信されているか判断するよう構成されてもよい。本発明はまた、リクエストに対するレスポンスを決定するよう構成されてもよい。リクエストが攻撃者からであると判断された場合、本発明は、バーチャルなハニーポット及び/又はハニーネット(すなわち、デコイ)及びデータベースを生成してもよい。データベースは、改良された、又は偽のデータベースであってもよい。それは、商業的又は機密性の高いセンシティブでないデータを含んでもよい。それはランダム化されたデータであってもよい。本発明は、ハニーポット及び偽のデータベースにリクエストのソースを誘導するよう構成されてもよい。
【0026】
複数の攻撃者が特定された場合、複数のハニーポット及び各自のデータベースが生成されてもよい。ハニーポットを作成及び/又は構成するのに利用されるパラメータは、データベースから受信した攻撃者情報に基づきSPSによってローカルに決定されてもよい。あるいは又は加えて、ハニーポットパラメータがデータベースから取得されてもよい。他の攻撃者プロファイルデータがまた、データベースから取得されてもよい。
【0027】
上述した何れかの特徴はまた、後述される実施例に適用可能であってもよい。
【0028】
さらに又はあるいは、本発明は、コンピュータにより実現される方法であって、
攻撃者プロファイル情報を受信するステップ、
ネットワークアドレスへのトラフィックを監視するステップ、
監視されたトラフィックを攻撃者プロファイル情報と比較するステップ、
監視されたトラフィックが攻撃者に関連すると判断すると、コンピュータデコイのコンフィギュレーション情報を抽出するステップ、及び/又は、
抽出されたコンフィギュレーションに基づきコンピュータデコイを設定するステップを有する方法を提供してもよい。
攻撃者プロファイル情報を受信するステップ、
ネットワークアドレスへのトラフィックを監視するステップ、
監視されたトラフィックを攻撃者プロファイル情報と比較するステップ、
監視されたトラフィックが攻撃者に関連すると判断すると、コンピュータデコイのコンフィギュレーション情報を抽出するステップ、及び/又は、
抽出されたコンフィギュレーションに基づきコンピュータデコイを設定するステップを有する方法を提供してもよい。
【0029】
攻撃者プロファイル情報は、コンフィギュレーション情報を含んでもよい。コンピュータデコイを設定するステップは、コンピュータデコイを作成し、及び/又はコンピュータデコイを再設定することを含んでもよい。デコイは、ハニーポット又はハニーネットとして参照されうる。
【0030】
さらに又はあるいは、コンピュータにより実現される方法であって、
ネットワークトラフィックデータを受信、処理及びログするステップ、及び/又は
処理されたネットワークトラフィックデータに基づき、ネットワークトラフィックが攻撃者から発信されたと判断し、分類を決定し、分類に基づきデコイコンフィギュレーションを決定するステップ、
有効なユーザからのリクエストを受信すると、決定されたリスク分類及びデコイコンフィギュレーションをユーザに提供するステップ、
を有する方法を提供してもよい。当該リクエストは情報リクエストであってもよい。
ネットワークトラフィックデータを受信、処理及びログするステップ、及び/又は
処理されたネットワークトラフィックデータに基づき、ネットワークトラフィックが攻撃者から発信されたと判断し、分類を決定し、分類に基づきデコイコンフィギュレーションを決定するステップ、
有効なユーザからのリクエストを受信すると、決定されたリスク分類及びデコイコンフィギュレーションをユーザに提供するステップ、
を有する方法を提供してもよい。当該リクエストは情報リクエストであってもよい。
【0031】
分類の決定は、例えば、マルチレイヤパーセプトロン(MLP)などの教師有り学習パターン認識を利用してもよい。当該分類は、攻撃者分類、コンピュータシステム/ネットワークリスク分類又はトラフィック分類であってもよい。
【0032】
当該分類は、攻撃者の精巧化に関連するリスク又は重大性の分類であってもよい。例えば、特定の行動は相対的に小さな脅威であるとみなされる攻撃者に関連付けされる一方、より精巧な行動は潜在的により危険であるとみなされる攻撃者に関連付けされてもよい。
【0033】
攻撃者分類の決定は、例えば、攻撃者によって何れのサービスがリクエストされたかに閾値が基づく場合、攻撃者の行動に関連する閾値に応じて生成されたトラフィックのタイプ又は攻撃者のタイプを分類することを含んでもよい。
【0034】
さらに又はあるいは、特定の計算システム又はローカルネットワークのリスク特性が、ネットワークトラフィックから決定されてもよく、攻撃のリスクがネットワークトラフィック特性に関するシステム/ネットワークコンフィギュレーションに与えられる。分類は、ニューラルネットワーク、パーセプトロン、又はランダムフォレストアルゴリズムなどを利用したツリー学習法などの学習法によって未処理のトラフィックデータを処理することによって実行されてもよいし、あるいは、ルールベースであってもよい。例えば、パーセプトロンベースのニューラルネットワーク(例えば、マルチレイヤパーセプトロンMLP)に基づく教師有り学習パターン認識を利用するとき、各入力に対して1つのニューロンを有する入力レイヤが、IPオプション、マルウェア及びバッファオーバフロー状態について、選択された攻撃などをマッピングするのに利用されてもよい。パーセプトロンのシステムは、入力の組み合わせを表し、各ニューロンが予想される以降のデータ、以前のデータ及び外部のシステムデータと結合される現在データに基づきレスポンスを計算する隠れニューロンレイヤを用いて処理されてもよい。このレベルで処理されるデータは、出力レイヤに提供されてもよい。ニューラルネットワークの結果は、リスクファンクションなどとして出力を提供してもよい。パーセプトロンは、本発明について選択されたリスクファクタをモデル化し、経時的に訓練及び更新されたベースリスクを計算するのに利用されてもよい。
【0035】
本発明の一態様又は実施例に関して上述された何れかの特徴はまた、上述された他の何れかの態様又は実施例に関して適用可能であって、関連していてもよい。
【0036】
本明細書を通じて、“有する”という単語又はその変形は、他の何れかの要素、整数若しくはステップ又は要素、整数若しくはステップのグループを排除することなく、説明された要素、整数若しくはステップ又は要素、整数若しくはステップのグループの包含を意味すると解釈される。
【図面の簡単な説明】
【0037】
本開示の実施例が、添付した図面を参照して具体例によってここで説明される。
【図1】侵入検出防止システム(IDPS)の実施例の概略表現である。
【図2】トラフィックデータ管理のための一例となるコンピュータシステムを示す。
【図3】IDPSの実現形態の実施例の概略表現である。
【図4】IDPSを提供する方法の実施例を説明するフロー図である。
【図5】侵入検出防止システムを利用する方法の実施例を説明するフロー図である。 図面において、同様の参照番号は同様のパーツを示す。
【発明を実施するための形態】
【0038】
コンピュータシステム又はネットワークが攻撃されるとき、典型的な応答は、ファイアウォールを用いて攻撃をブロックすることであり、いくつかの具体例では、攻撃者をハニーポットに接続することである。これらの攻撃の詳細は他のパーティと共有されず、実行される全ての攻撃は独立して処理される。他のグループと情報は共有されず、この共有の欠如は、攻撃者が脆弱なターゲットを検出するため、複数のネットワークにわたって同一の攻撃戦略を実現することを簡単且つ経済的なものにする。
【0039】
従って、コンピュータベースデバイス及びネットワークと、そこに格納されるデータのためのエンハンスされたプロテクションを提供する改良されたセキュリティ手段が必要とされる。
【0040】
図1は、データマネージャ104によって管理される中央化されたデータベース102を提供することによって、この欠点に対処する侵入検出防止システム(IDPS)100を示す。複数のユーザ106,108,110が、例えば、ネットワーク112を介しデータマネージャ104と通信する。中央化されたデータベース102は、攻撃者のプロファイルと自らのネットワーク上のトラフィックとをマッチングさせることが可能なユーザ106,108,110の個別のシステムに攻撃者のシグネチャなどの情報を提供する。相互に有用な情報を備えた共有されたデータベースを実現することは、加入ユーザ106,108,110が現在の攻撃者を特定及び応答するだけでなく、他のユーザによって収集されたデータに基づき潜在的な攻撃者に対して自らを効果的に守ることを可能にする。
【0041】
データマネージャ104は、単一の計算デバイスであってもよいし、あるいは、分散計算、グリッド計算又はクラウド計算を可能に得する複数の計算デバイス又はプロセッサを含む計算ネットワークであってもよい。
【0042】
データベース102は、図1において、通信リンクを介しデータマネージャ104に接続されるとして示される。しかしながら、データベース102は、データ処理時間を減少させるためのデータマネージャ104の一部であってもよい。他の例では、データベース102は、本開示の範囲から逸脱することなく、通信ネットワーク112を介しデータマネージャ104に接続されてもよい。
【0043】
中央化されたデータベース102は、データベース102上で実行されるデータベースマネージメントシステム(DBMS)に従って動作する。DBMSは、Microsoft SQL, Oracle, Sybase, IBM DB2, MySQL又はOrient DBを含んでもよい。中央化されたデータベース102は、異なるDBMSに基づき動作する複数のサブデータベースを含んでもよい。
【0044】
通信ネットワーク112は、典型的には、ワイドエリアネットワーク(WAN)であり、ワイヤラインネットワーク、セルラ通信ネットワーク、ワイヤレスローカルエリアネットワーク(WLAN)、光通信ネットワークなどの何れか適したタイプのネットワークを利用して実現されてもよい。通信ネットワーク112は、例えば、インターネットなど、適したネットワークの組み合わせであってもよい。通信ネットワーク112はまた、具体的にはIDPS100のために構築されるプライベート通信ネットワークとすることが可能である。
【0045】
図2は、本開示によるデータ管理のための一例となるコンピュータシステム120を示す。コンピュータシステム120は、上述したデータマネージャ104の一例となる構成を表す。
【0046】
コンピュータシステム120は、ストレージデバイス126、メモリデバイス124、通信インタフェース128及びプロセッサ122を含む。コンピュータ120は更に、ストレージデバイス126、メモリデバイス124、通信インタフェース128及びプロセッサ122を接続するバス130を含む。
【0047】
ストレージデバイス126は、複数のユーザから受信した通常のユーザ及び攻撃者のトラフィックデータを含むトラフィックデータを格納するよう構成される。ストレージデバイス126はコンピュータシステム120の一部として示されるが、ストレージデバイス126は、例えば、図1に示される中央化されたデータベース102など、コンピュータシステム120に接続される別のエンティティであってもよい。
【0048】
メモリデバイス124は、図4及び5を参照して説明されるように、データマネージャ102の処理に関連する命令を格納するよう構成される。これらの命令は、プロセッサ122によって実行されると、IDPSを動作及び利用するこれらの方法をプロセッサ122に実行させるコンピュータソフトウェアプログラムに含まれるマシーン可読命令として実現される。
【0049】
通信インタフェース128は、コンピュータシステム120と通信ネットワーク110との間のリンクを介し、通信ネットワーク、特に、図1に示されるような通信ネットワーク102に接続するよう構成される。
【0050】
プロセッサ122は、メモリデバイス124、ストレージデバイス126及び通信インタフェース128に接続される。プロセッサ122は、IDPSの動作及び利用においてメモリデバイス124から命令を取得するよう構成される。
【0051】
図2に示される具体例では、ストレージデバイス126、メモリデバイス124及びプロセッサ122は、例えば、Windows Server, Mac OS X Server, Linux(登録商標), Unix, Windows及びMac OSなどのシステムを実行するコンピュータに従って動作するよう構成される。
【0052】
プロセッサ122は、汎用の中央処理ユニット(CPU)であってもよく、メモリデバイス124に格納される命令は、HyperText Markup Language (HTML), HTML5, JavaScript(登録商標)及びJQueryのプログラミング言語の1つ以上によって規定される。命令はまた、JAVA(登録商標), Python及びPHPのプログラミング言語の1つ以上によって規定されてもよい。命令はまた、Objective-C, C++, C及びSwiftのプログラミング言語の1つ以上によって規定されてもよい。
【0053】
図3は、図1を参照して上述されたようなIDPSサービスを利用するコンピュータネットワーク200の一例を示す。言例では、ネットワーク202から受信したユーザリクエストは、リアルサーバ206がプロダクションデータベース208へのアクセスを提供するコンピュータネットワーク200にサーバプロテクションシステム(SPS)204を介しわたされる。もちろん、異なるタイプのサービスを提供する多数の異なるタイプのネットワークが、IDPSとの通信においてSPSを利用可能である。
【0054】
SPS204は、図2を参照して上述された一例となるコンピュータシステム120などのコンピュータシステム上で実現されてもよい。メモリデバイス124は、そのときSPS204の処理に関連する命令を格納するよう構成される。これらの命令は、プロセッサ122によって実行されるとき、後述されるSPS204をプロセッサ122に実現させるコンピュータソフトウェアプログラムに含まれるマシーン可読命令として実現される。
【0055】
SPS204は、中央化されたデータベース102からの情報へのアクセスを有する。図3に示されるように、中央化されたデータベース102は、上述されたようにユーザ210のコミュニティからのデータを利用して更新される。データベース102からのトラフィックパターンデータは、受信したユーザリクエストが通常のユーザからか、あるいは、攻撃者からか判断するためにSPS204によって利用される。ユーザリクエストが攻撃者からのものである場合、SPS204は、バーチャルなハニーポット212及び変換されたデータベース214を生成し、攻撃者を当該ハニーポット212及び実際のものであるように見える偽のデータベース214に誘導する。
【0056】
複数の攻撃者が特定された場合、複数のハニーポット216,218及び各自の変換されたデータベース220,222が生成されてもよい。ハニーポットを作成及び/又は構成するのに利用されるパラメータは、データベース102から受信される攻撃者情報に基づき、SPSによってローカルに決定されてもよい。あるいは又はさらに、ハニーポットパラメータは、他の攻撃者プロファイルデータと一緒にデータベース102から取得されてもよい。
【0057】
SPS204は、図3に示される具体例に示されるように、必要に応じて情報を抽出するため、データベース102と直接通信してもよい。図5に示される例(何れかにおいてより詳細に説明される)では、データベース102とSPS204との間の通信はデータマネージャ104を介したものであり、データマネージャ104は、情報がSPS204に提供されるコンテンツ及びフォーマットを管理する。SPS204に提供されるサービスを管理する1つの方法は、加入ユーザ(SPS所有者)が関連付けされる加入サービスプロファイルに従う。
【0058】
図4は、図1に示されるようなIDPSを提供する方法300の一例を説明するフロー図である。ステップ302において、データマネージャ104は、例えば、接続がなされたとき、特定及び認証される加入SPSなどの認証されたユーザから接続リクエストを受信する。
【0059】
データマネージャ104は、
(1)IDPSのユーザから受信したネットワークトラフィックデータを受信、処理及びログし、複数のユーザのトラフィックデータをソースとする単一のデータリソースを形成するため、ネットワークトラフィックデータによって中央化されたデータベースを更新すること、
(2)例えば、特定の攻撃者に適したハニーポットコンフィギュレーションの形式によるプロテクションパラメータを決定すること、
(3)中央化されたデータベース102上の共有された情報へのアクセスをユーザに提供し、ユーザが攻撃者を特定し、更に適切なプロテクションパラメータを実現することを可能にすること、
を含む多数のサービスを提供することによって中央化されたデータベース102を管理する。
(1)IDPSのユーザから受信したネットワークトラフィックデータを受信、処理及びログし、複数のユーザのトラフィックデータをソースとする単一のデータリソースを形成するため、ネットワークトラフィックデータによって中央化されたデータベースを更新すること、
(2)例えば、特定の攻撃者に適したハニーポットコンフィギュレーションの形式によるプロテクションパラメータを決定すること、
(3)中央化されたデータベース102上の共有された情報へのアクセスをユーザに提供し、ユーザが攻撃者を特定し、更に適切なプロテクションパラメータを実現することを可能にすること、
を含む多数のサービスを提供することによって中央化されたデータベース102を管理する。
【0060】
ステップ304において、データマネージャ104は、認証されたユーザからの接続リクエストがトラフィックプロファイルデータに対するリクエストに関連するか306、あるいは、トラフィックデータが処理及びログのために提供されているか308を判断する。
【0061】
ステップ310において、未処理のトラフィックデータ312がデータマネージャ104によって受信される。この未処理のデータは、そのままログされてもよいが、当該データはまたいくつかの事を決定するため処理される。
【0062】
第1に、通常ユーザトラフィック又は攻撃者トラフィックに関連するとしてトラフィックを分類するため、データが解析される。侵入検出システムは、シグネチャベース若しくはアノマリベース検出、ステートフル検出及びアプリケーションレベル検出を含む何れかの数の検出方法及びツールに依拠してもよい。アノマリベース検出は、例えば、ネットワークトラフィックボリューム、パケットカウント、IPフラグメント、IPID、IPオプション、IPヘッダ情報などに関連するなど、ローカルネットワーク環境を記述するのに選択される閾値に依拠してもよい。例えば、攻撃者トラフィックの典型的なインジケータは、トラフィックが未使用又は制限されているIPアドレスに向かうか、あるいは、ターゲットネットワークによって制限されるか、あるいは提供されないサービスがリクエストされているかである。ソースが攻撃者からのものであるか判断するためトラフィックデータから抽出される他の情報は、IPアドレスブラックリストから知られているIPアドレス、攻撃者に関連するコードシグネチャ及びネットワークスキャン動作の1つ以上を含んでもよい。
【0063】
トラフィックが攻撃者に関連すると判断された場合、いくつかの実現形態では、攻撃者のタイプ又は分類を確認するためにデータを更に解析することが可能であってもよい。当該分類は、攻撃者の精巧化に関連するリスク又は厳格さの分類であってもよい。例えば、特定の行動は低減された脅威の攻撃者に関連するものであってもよい一方(例えば、所有者に知られている脆弱性が攻撃者によって利用されていない場合のスクリプトキディ(script kiddie)など)、より精巧な行動はより危険な攻撃者と関連付けされてもよい(例えば、コードシグネチャなどの隠れインジケータを見破る熟練したハッカなど)。
【0064】
攻撃者分類の決定は、例えば、何れのサービスが攻撃者によってリクエストされているかに閾値が基づいている場合など、攻撃者の行動に関連する閾値に依存して生成されるトラフィックのタイプ又は攻撃者のタイプを分類することを含んでもよい。
【0065】
さらに又はあるいは、特定の計算システム又はローカルネットワークのリスク特性はネットワークトラフィック、すなわち、ネットワークトラフィック特性の観点においてシステム/ネットワークコンフィギュレーションに与えられる攻撃のリスク、から決定されてもよい。
【0066】
分類はルールベースであってもよいし、あるいは、例えば、ランダムフォレストアルゴリズムを利用して、ツリー学習法、パーセプトロン又はニューラルネットワークなどの学習法によって未処理のトラフィックデータを処理することによって実行されてもよい。例えば、パーセプトロンベースのニューラルネットワーク(例えば、マルチレイヤパーセプトロンMLP)に基づく教師有り学習パターン認識を利用するとき、各入力に対して1つのニューロンを有する入力レイヤが、IPオプション、マルウェア及びバッファオーバフロー条件に対して、選択された攻撃などをマッピングするのに利用される。パーセプトロンのシステムは、各ニューロンが入力の組み合わせを表し、予想される以降のデータ、以前のデータ及び外部システムデータと結合した現在データに基づきレスポンスを計算する隠れニューロンレイヤを用いて処理される。このレベルにおいて処理されるデータは出力レイヤに提供される。ニューラルネットワークの結果は、例えば、リスクファンクションとして出力を供給する。パーセプトロンは、本システムにおける計算の主力であり、システムについて選択されたリスクファクタをモデル化し、経時的に訓練及び更新されるベースリスクを計算するのに利用可能である。
【0067】
システムの処理又はユーザのアクションを監視するとき、それ以上又は以下ではアラート、アラーム及び例外が報告されない閾値が特徴的に規定される。このアクティビティの範囲は、ベースライン又はルーチンアクティビティとしてみなされる。このようにして、既存及び既知の変数に基づきデータを計算するだけでなく、外部ソース及びトレンドを用いて自動的に更新するリスクファンクションが作成可能である。本例では、外部ソースは、外部のトレンド及び相関ポイントを提供するユーザ210のコミュニティから収集されるデータを表す。
【0068】
第2に、ステップ310において、トラフィックデータのソースを決定するのに加えて(通常データvs攻撃者データ)、データマネージャ104はまた、例えば、攻撃者の行動の既知の特徴に基づきルックアップテーブルを利用するなど、適切なレスポンスを決定する。いくつかの実現形態では、レスポンスは、ハニーポットの作成及び/又はコンフィギュレーションを含み、これにより、攻撃者トラフィックはリダイレクト可能であり、この結果、プロダクションネットワークを保護し、更に特定の攻撃者に関する更なる情報を抽出するための機会を提供する。ステップ314において、ハニーポットコンフィギュレーションパラメータは、攻撃者プロファイルと一緒にデータベース316に格納される。
【0069】
通常ユーザからのプロファイルがまた格納され、真のユーザのリファレンストラフィックデータを提供する。
【0070】
認証されたユーザからの接続リクエストがトラフィックプロファイルデータ306に対するリクエストに関連する場合、ステップ318において、プロファイルデータはデータベース316から抽出され、プロファイルパッケージ320が認証されたユーザに提供される。
【0071】
プロファイルパッケージ320のコンテンツは、データマネージャ104によって管理されるように、認証されたユーザの情報の権利又は要件に依存する。プロファイルパッケージは、データベース316上のトラフィックデータの包括的な編集であってもよく、この場合、データベース上の全ての情報に対する直接的なアクセスがユーザに提供されてもよい。あるいは、プロファイルパッケージは、特定のユーザの関連性又は要件に応じてトラフィックデータの一部のみを含んでもよい。例えば、一実現形態では、データリクエストは、特定の攻撃者のプロファイル(例えば、発信元のIPアドレスに基づく)及び当該攻撃者に関連する情報に対するものであってもよい。そのようなリクエストに対して、プロファイルパッケージ320は、攻撃者の身元に関連する情報(例えば、攻撃者の行動ファイル、攻撃者の分類、コードシグネチャなど)を含み、また、攻撃防止情報(例えば、ハニーポットコンフィギュレーションパラメータ)を含む。
【0072】
認証されたユーザに提供されるデータはまた、例えば、異なるフォーマット(例えば、特定の攻撃者のプロファイル又は攻撃者のプロファイルのグループ)による通常ユーザのプロファイル又は攻撃者のプロファイルなど、データベースから利用可能な他の情報を含んでもよい。
【0073】
図5は、IDPS100を実現する一例となる方法400のフロー図を示す。局所的には、SPS204は、ユーザシステム(例えば、図1に示されるようなユーザ106,108,110)とIDPS100のデータマネージャ104との間のインタフェースをとる。ステップ402において、SPS204は、トラフィックを監視し、ステップ404において、IDPSから受信されたデータ320に基づきトラフィックのソース(通常ユーザvs攻撃者)を決定する。受信したIDPSデータは、図4を参照して上述されたような1つ以上のプロファイルパッケージであり、これにより、ステップ406において、攻撃者が特定された場合、ステップ408において、プロテクションレスポンスがプロファイルパッケージにおける情報に基づき実現される。当該情報は、例えば、IDPSによって提供されるハニーポットコンフィギュレーションパラメータなどを含む。ハニーポットが作成、設定及び/又は再設定されると、ステップ410において、攻撃者のトラフィックがハニーポットに送信される。
【0074】
ステップ412において、攻撃者の行動を記述するトラフィックデータが、未処理のトラフィックデータ312をIDPSに提供することによってログされる。同様に、トラフィックのソースが(攻撃者でなく)通常ユーザであると判断された場合、ステップ414において、この通常トラフィックデータがログされる。ステップ416において、通常トラフィックがリアルサーバ(例えば、図3におけるリアルサーバ206)に転送される。
【0075】
共有トラフィックデータの中心のリソースを提供することは、攻撃者(すなわち、それら自らのネットワークトラフィック)に関する単一の情報ソースに依拠するスタンドアローンシステムと比較したとき、攻撃者に対するコンピュータシステムのレスポンス時間及び効率性を向上させる。
【0076】
多数の変形及び/又は修正が、本開示の広範な一般的範囲から逸脱することなく上述した実施例に対して行われうることが、当業者によって理解されるであろう。従って、本実施例は、全ての点において限定的でなく例示的であるとみなされるべきである。
【符号の説明】
【0077】
102 中央化されたデータベース
104 データマネージャ
106、108、110 ユーザ
112 ネットワーク
104 データマネージャ
106、108、110 ユーザ
112 ネットワーク
【図1】
【図2】
【図3】
【図4】
【図5】