(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-02-20
(45)【発行日】2024-02-29
(54)【発明の名称】情報セキュリティ早期警報装置及び方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20240221BHJP
【FI】
G06F21/55 320
(21)【出願番号】P 2022186335
(22)【出願日】2022-11-22
【審査請求日】2022-11-22
(32)【優先日】2022-10-18
(33)【優先権主張国・地域又は機関】TW
(73)【特許権者】
【識別番号】502003596
【氏名又は名称】財団法人 資訊工業策進会
【氏名又は名称原語表記】INSTITUTE FOR INFORMATION INDUSTRY
【住所又は居所原語表記】11F, NO.106, SEC.2, HEPING E. RD., TAIPEI, TAIWAN,
(74)【代理人】
【識別番号】110002527
【氏名又は名称】弁理士法人北斗特許事務所
(72)【発明者】
【氏名】童 裕淇
(72)【発明者】
【氏名】陳 秉君
【審査官】青木 重徳
(56)【参考文献】
【文献】米国特許出願公開第2020/0304524(US,A1)
【文献】米国特許出願公開第2019/0156028(US,A1)
【文献】中国特許出願公開第110830450(CN,A)
【文献】中国特許出願公開第113225339(CN,A)
【文献】澤本 敏郎 ほか,オープンソースソフトウェアを活用して構築した5Gコアネットワークのセキュリティ評価,コンピュータセキュリティシンポジウム 2022論文集 [online] ,日本,情報処理学会,2022年10月17日,pp. 769-776
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
JSTPlus/JMEDPlus/JST7580(JDreamIII)
(57)【特許請求の範囲】
【請求項1】
第1データフローをミラー方法で取得するデータ取得回路と、
悪意のある特性データベース及び複数の命令を記憶するためのメモリと、
前記データ取得回路及び前記メモリに接続され、仮想ユーザ装置、仮想基地局及び仮想コアネットワークを実行させるためのプロセッサと、
を含み、
前記プロセッサは、
前記悪意のある特性データベースに基づいて前記第1データフローを検出し、前記第1データフローが悪意のあるトラフィックでない場合に、前記第1データフローに対して異常検出を行う工程と、
前記第1データフローが異常であると検出した場合に、前記第1データフローを前記仮想基地局から前記仮想コアネットワークにアナログ送信し、前記仮想コアネットワークが前記第1データフローを受信した後に前記仮想ユーザ装置と前記仮想コアネットワークとの間に接続を確立できるか否かを判定する工程と、
前記仮想ユーザ装置と前記仮想コアネットワークとの間に接続を確立できる場合に、前記第1データフローを用いて前記異常検出の設定を更新する工程と、
前記仮想ユーザ装置と前記仮想コアネットワークとの間に接続を確立できない場合に、前記仮想コアネットワークにより生成された複数の検出ログから、前記第1データフローにおける第1エラーパケットには第1悪意のあるプロシージャコードがあることを示すエラーログを選択する工程と、
前記第1悪意のあるプロシージャコード及び前記第1データフローを用いて前記悪意のある特性データベースを更新する工程と、を実行するために前記複数の命令にアクセスする、
情報セキュリティ早期警報装置。
【請求項2】
前記プロセッサは更に、
正常なトラフィックホワイトリストを前記第1データフローと比較して、前記第1データフローが異常であるか否かを判定する工程と、
前記第1データフローと前記正常なトラフィックホワイトリストの比較が一致しない場合に、前記第1データフローが異常であると判定する工程と、
前記仮想ユーザ装置と前記仮想コアネットワークとの間に接続を確立できる場合に、前記第1データフローを用いて前記正常なトラフィックホワイトリストを更新する工程と、を実行する、
請求項1に記載の情報セキュリティ早期警報装置。
【請求項3】
前記プロセッサは更に、
前記第1悪意のあるプロシージャコードに対応するプロシージャコード関連テーブル、及び前記第1悪意のあるプロシージャコードに基づいて第2悪意のあるプロシージャコードを生成する工程と、
第2エラーパケットを生成するために、前記第1エラーパケット内の前記第1悪意のあるプロシージャコードの代わりに前記第2悪意のあるプロシージャコードを用いる工程と、
第2データフローを生成するために、前記第1データフローにおける前記第1エラーパケットの代わりに前記第2エラーパケットを用いる工程と、
前記第2データフローを前記仮想基地局から前記仮想コアネットワークにアナログ送信し、前記仮想コアネットワークが前記第2データフローを受信した後に前記仮想ユーザ装置と前記仮想コアネットワークとの間に接続を確立できるか否かを検出する工程と、
前記仮想ユーザ装置と前記仮想コアネットワークとの間に接続を確立できない場合に、前記第2悪意のあるプロシージャコード及び前記第2データフローを用いて前記悪意のある特性データベースを更新する工程と、
前記仮想ユーザ装置と前記仮想コアネットワークとの間に接続を確立できる場合に、前記第2データフローを用いて前記異常検出の設定を更新する工程と、を実行する、
請求項1に記載の情報セキュリティ早期警報装置。
【請求項4】
前記プロシージャコード関連テーブルには前記第1悪意のあるプロシージャコードと複数の候補プロシージャコードとの間の複数の関連性数値が含まれ、
前記プロセッサは更に、
前記複数の候補プロシージャコードから最も高い関連性数値を有する候補プロシージャコードを選択し、前記最も高い関連性数値を有する候補プロシージャコードを前記第2悪意のあるプロシージャコードとする工程、を実行する、
請求項3に記載の情報セキュリティ早期警報装置。
【請求項5】
前記プロセッサは更に、
前記第1悪意のあるプロシージャコードに対応する情報要素ルールテーブルに基づいて前記第1エラーパケット内の複数の情報要素が異常であるか否かを検出する工程と、
前記第1エラーパケット内の前記複数の情報要素のうちの少なくとも1つが異常であると検出した場合に、前記第1悪意のあるプロシージャコード、前記複数の情報要素のうちの前記少なくとも1つ、及び前記第1データフローを用いて前記悪意のある特性データベースを更新する工程と、を実行する、
請求項1に記載の情報セキュリティ早期警報装置。
【請求項6】
第1データフローをミラー方法で取得する工程と、
悪意のある特性データに基づいて前記第1データフローを検出し、前記第1データフローが悪意のあるトラフィックでない場合に、前記第1データフローに対して異常検出を行う工程と、
前記第1データフローが異常であると検出した場合に、前記第1データフローを仮想基地局から仮想コアネットワークにアナログ送信し、前記仮想コアネットワークが前記第1データフローを受信した後に仮想ユーザ装置と前記仮想コアネットワークとの間に接続を確立できるか否かを検出する工程と、
前記仮想ユーザ装置と前記仮想コアネットワークとの間に接続を確立できる場合に、前記第1データフローを用いて前記異常検出の設定を更新する工程と、
前記仮想ユーザ装置と前記仮想コアネットワークとの間に接続を確立できない場合に、前記仮想コアネットワークにより生成された複数の検出ログから、前記第1データフローにおける第1エラーパケットには第1悪意のあるプロシージャコードがあることを示すエラーログを選択する工程と、
前記第1悪意のあるプロシージャコード及び前記第1データフローを用いて前記悪意のある特性データベースを更新する工程と、を含む、
情報セキュリティ早期警報方法。
【請求項7】
正常なトラフィックホワイトリストを前記第1データフローと比較して、前記第1データフローが異常であるか否かを判定する工程と、
前記第1データフローと前記正常なトラフィックホワイトリストの比較が一致しない場合に、前記第1データフローが異常であると判定する工程と、
前記仮想ユーザ装置と前記仮想コアネットワークとの間に接続を確立できる場合に、前記第1データフローを用いて前記正常なトラフィックホワイトリストを更新する工程と、を更に含む、
請求項6に記載の情報セキュリティ早期警報方法。
【請求項8】
前記第1悪意のあるプロシージャコードに対応するプロシージャコード関連テーブル、及び前記第1悪意のあるプロシージャコードに基づいて第2悪意のあるプロシージャコードを生成する工程と、
第2エラーパケットを生成するために、前記第1エラーパケット内の前記第1悪意のあるプロシージャコードの代わりに前記第2悪意のあるプロシージャコードを用いる工程と、
第2データフローを生成するために、前記第1データフローにおける前記第1エラーパケットの代わりに前記第2エラーパケットを用いる工程と、
前記第2データフローを前記仮想基地局から前記仮想コアネットワークにアナログ送信し、前記仮想コアネットワークが前記第2データフローを受信した後に前記仮想ユーザ装置と前記仮想コアネットワークとの間に接続を確立できるか否かを検出する工程と、
前記仮想ユーザ装置と前記仮想コアネットワークとの間に接続を確立できない場合に、前記第2悪意のあるプロシージャコード及び前記第2データフローを用いて前記悪意のある特性データベースを更新する工程と、
前記仮想ユーザ装置と前記仮想コアネットワークとの間に接続を確立できる場合に、前記第2データフローを用いて前記異常検出の設定を更新する工程と、を更に含む、
請求項7に記載の情報セキュリティ早期警報方法。
【請求項9】
前記プロシージャコード関連テーブルには前記第1悪意のあるプロシージャコードと複数の候補プロシージャコードとの間の複数の関連性数値が含まれ、
前記プロシージャコード関連テーブル及び前記第1悪意のあるプロシージャコードに基づいて前記第2悪意のあるプロシージャコードを生成する工程は、
前記複数の候補プロシージャコードから最も高い関連性数値を有する候補プロシージャコードを選択し、前記最も高い関連性数値を有する候補プロシージャコードを前記第2悪意のあるプロシージャコードとする工程を含む、
請求項8に記載の情報セキュリティ早期警報方法。
【請求項10】
前記第1悪意のあるプロシージャコードに対応する情報要素ルールテーブルに基づいて前記第1エラーパケット内の複数の情報要素が異常であるか否かを検出する工程と、
前記第1エラーパケット内の前記複数の情報要素のうちの少なくとも1つが異常であると検出した場合に、前記第1悪意のあるプロシージャコード、前記複数の情報要素のうちの前記少なくとも1つ、及び前記第1データフローを用いて前記悪意のある特性データベースを更新する工程と、を更に含む、
請求項6に記載の情報セキュリティ早期警報方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は通信技術に関し、特に情報セキュリティ早期警報装置及び方法に関する。
【背景技術】
【0002】
第5世代スタンドアローン(5th generation standalone、5G SAと略称)アーキテクチャでは、第5世代基地局のソフトウェア化の傾向により、現在、外部からの攻撃に加え、アクセス・モビリティ管理機能(access and mobility management function、AMFと略称)と次世代ノードB(next generation node B、gNBと略称)との間でも攻撃を受ける可能性がある。オープンなオリジナルコードを基にして開発された基地局コンポーネントは、第5世代コアネットワーク(5th generation core network、5GCと略称)を攻撃するための攻撃スプリングボードとして侵入される(特にN2インターフェースを経由する)可能性もある。
【発明の概要】
【0003】
本開示は、第1データフローをミラー方法で取得するデータ取得回路と、悪意のある特性データベース及び複数の命令を記憶するためのメモリと、データ取得回路及びメモリに接続され、仮想ユーザ装置、仮想基地局及び仮想コアネットワークを実行させるためのプロセッサと、を含み、前記プロセッサは、悪意のある特性データベースに基づいて第1データフローを検出し、第1データフローが悪意のあるトラフィックでない場合に、第1データフローに対して異常検出を行う工程と、第1データフローが異常であると検出した場合に、第1データフローを仮想基地局から仮想コアネットワークにアナログ送信し、仮想コアネットワークが第1データフローを受信した後に仮想ユーザ装置と仮想コアネットワークとの間に接続を確立できるか否かを判定する工程と、仮想ユーザ装置と仮想コアネットワークとの間に接続を確立できる場合に、第1データフローを用いて異常検出の設定を更新する工程と、仮想ユーザ装置と仮想コアネットワークとの間に接続を確立できない場合に、仮想コアネットワークにより生成された複数の検出ログから、第1データフローにおける第1エラーパケットには第1悪意のあるプロシージャコードがあることを示すエラーログを選択する工程と、第1悪意のあるプロシージャコード及び第1データフローを用いて悪意のある特性データベースを更新する工程と、を実行するために複数の命令にアクセスする情報セキュリティ早期警報装置を提供する。
【0004】
本開示は、第1データフローをミラー方法で取得する工程と、悪意のある特性データベースに基づいて第1データフローを検出し、第1データフローが悪意のあるトラフィックでない場合に、第1データフローに対して異常検出を行う工程と、第1データフローが異常であると検出した場合に、第1データフローを仮想基地局から仮想コアネットワークにアナログ送信し、仮想コアネットワークが第1データフローを受信した後に仮想ユーザ装置と仮想コアネットワークとの間に接続を確立できるか否かを検出する工程と、仮想ユーザ装置と仮想コアネットワークとの間に接続を確立できる場合に、第1データフローを用いて異常検出の設定を更新する工程と、仮想ユーザ装置と仮想コアネットワークとの間に接続を確立できない場合に、仮想コアネットワークにより生成された複数の検出ログから、第1データフローにおける第1エラーパケットには第1悪意のあるプロシージャコードがあることを示すエラーログを選択する工程と、第1悪意のあるプロシージャコード及び第1データフローを用いて悪意のある特性データベースを更新する工程と、を含む情報セキュリティ早期警報方法を提供する。
【図面の簡単な説明】
【0005】
【
図1】本開示の情報セキュリティ早期警報装置の模式図である。
【
図2】本開示のいくつかの実施例による情報セキュリティ早期警報方法を実行する模式図である。
【
図3】本開示のいくつかの実施例による
図2の一工程の詳しい工程のフローチャートである。
【
図4】本開示のいくつかの実施例によるアナログ伝送の模式図である。
【
図5】本開示のいくつかの実施例による接続確立の模式図である。
【
図6】本開示のいくつかの実施例による検出ログの模式図である。
【
図7】本開示のいくつかの実施例による
図2に更に含まれる工程のフローチャートである。
【
図8】本開示のいくつかの実施例による
図2に更に含まれる工程のフローチャートである。
【発明を実施するための形態】
【0006】
現在の第5世代モバイルネットワーク(5th generation mobile networks、5Gと略称)技術では、無線アクセスネットワーク(radio access network、RANと略称)と第5世代コアネットワーク(5th generation core network、5GCと略称)との間のN2インターフェースは、悪意のある攻撃に対する完全な警告や防御がないため、ネットワークセキュリティに大きな脆弱性をもたらすことが多い。また、無線アクセスネットワークはソフトウェア化されており、且つソフトウェア化されたところ、より多くの脆弱性をもたらす可能性があるため(従来技術における基地局はいずれも統一されたハードウェア仕様を採用し、脆弱性が発生しにくい)、ネットワーク攻撃者はN2インターフェースを経由して第5世代コアネットワークを攻撃しやすくなる。これに鑑みて、本開示は、N2インターフェースを経由したデータフロー(data flow)を動的に分析する情報セキュリティ早期警報装置を提出し、このような動的分析は、仮想マシンの動的シミュレーションを利用して悪意のある特性データベース及び正常なトラフィックホワイトリストを更に更新する。これにより、悪意のある攻撃警告の精度を大幅に向上させる。
【0007】
本開示の情報セキュリティ早期警報装置100の模式図である
図1を参照する。
図1に示すように、現代の第5世代モバイルネットワークアーキテクチャでは、ユーザ装置UEは、無線アクセスネットワークRANに接続され、無線アクセスネットワークRANは、第5世代コアネットワーク5GCに接続され、無線アクセスネットワークRANにおける次世代ノードB(next generation node B、gNBと略称)(図示せず)と、第5世代コアネットワーク5GCにおけるアクセス・モビリティ管理機能(access and mobility management function, AMF)(図示せず)との間にN2インターフェース(N2 interface)N2Iが存在する。本開示の情報セキュリティ早期警報装置100はN2インターフェースN2Iからデータフローを取得する。
【0008】
本実施例において、情報セキュリティ早期警報装置100は、データ取得回路110、メモリ120及びプロセッサ130を含む。プロセッサ130は、データ取得回路110及びメモリ120に接続される。
【0009】
いくつかの実施例において、データ取得回路110は、N2インターフェースN2Iからデータフローを取得するための伝送回路によって実現されてもよい。いくつかの実施例において、メモリ120は、メモリユニット、フラッシュメモリ、読み出し専用メモリ、ハードディスク又は任意の同等の記憶コンポーネントによって実現されてもよい。いくつかの実施例において、プロセッサ130は、プロセッサユニット、中央処理ユニット又は計算ユニットによって実現されてもよい。
【0010】
データ取得回路110は、データフローをミラー(mirror)方法で取得する(以下、取得されたデータフローを第1データフローと呼ぶ)。いくつかの実施例において、データ取得回路110は、N2インターフェースN2IからNetFlow形式の第1データフローをミラー方法で取得してもよい。言い換えれば、データ取得回路110は、N2インターフェースN2I上で伝送されているデータフローをコピーして取得することができる。
【0011】
メモリ120は、悪意のある特性(malicious feature)データベースBD及び複数の命令を記憶する。いくつかの実施例において、複数の命令は、ファームウェア又はソフトウェアによって実現される命令であってもよい。いくつかの実施例において、悪意のある特性データベースBDには、複数の悪意のある特性が記憶されてもよく、悪意のある特性は、悪意のある攻撃のデータフローに関連する特性を示す。いくつかの実施例において、悪意のある特性は、悪意のあるプロシージャコード(procedure code)シーケンス、悪意のある情報要素(information element)又は上記両方の組み合わせを含んでもよい。
【0012】
例示的には、悪意のあるプロシージャコードシーケンスは、順番に並んだ複数のプロシージャコードを含んでもよく、このように順番に並んだこれらのプロシージャコードは、第5世代コアネットワーク5GCをダウンさせることができる。悪意のある情報要素は、データフローのパケット内の悪意のあるフィールド(例えば、次世代アプリケーションプロトコル(next generation application protocol、NGAPと略称)で定義されたパケットフィールド以外の余分なフィールド、又は次世代アプリケーションプロトコルによる定義の下で欠落したフィールド)、又は特定のフィールド内の悪意のある数値(例えば、特定のフィールド内の数値は、次世代アプリケーションプロトコルで定義された特定のフィールドの数値と一致しない)であり、悪意のあるフィールド又は特定のフィールド内の悪意のある数値は、第5世代コアネットワーク5GCをダウンさせることもある。
【0013】
いくつかの実施例において、メモリ120は更に、正常なトラフィックホワイトリスト(whitelisting)WDを記憶してもよく、正常なトラフィックホワイトリストWDは、複数の正常なトラフィック特性を含んでもよい。いくつかの実施例において、正常なトラフィック特性は、正常なプロシージャコードシーケンス、正常な情報要素又は上記両方の組み合わせを含んでもよい。
【0014】
例示的には、正常なプロシージャコードシーケンスは、順番に並んだ複数のプロシージャコードを含んでもよく、このように順番に並んだこれらのプロシージャコードは、第5世代コアネットワーク5GCのダウンを引き起こさない。正常な情報要素は、データフローのパケット内の正常なフィールド(例えば、次世代アプリケーションプロトコルによって定義されたパケットフィールド)、及びフィールド内の正常な数値(例えば、次世代アプリケーションプロトコルによって定義されたフィールドに一致する数値)であり、正常なフィールド及び正常な数値は、第5世代コアネットワーク5GCのダウンを引き起こさない。
【0015】
いくつかの実施例において、プロセッサ130は、対応するソフトウェア又はファームウェア命令プロシージャに基づいて機械学習(machine learning)モデルを実行してもよく、機械学習モデルは、悪意のある特性データベースBDを用いて訓練して、データフローが悪意のあるトラフィックであるか否かを判定してもよい。また、プロセッサ130は、対応するソフトウェア又はファームウェア命令プロシージャに基づいて他の機械学習モデルを実行してもよく、他の機械学習モデルは、正常なトラフィックホワイトリストWDを用いて訓練して、データフローが異常であるか否かを判定してもよい。
【0016】
なお、上記のこれらのデータベースの更新は、後続の段落で詳しく説明する。
【0017】
プロセッサ130は、対応するソフトウェア又はファームウェア命令プロシージャに基づいて仮想ユーザ装置VUE、仮想基地局VgNB及び仮想コアネットワークV5GCを実行し、上記複数の命令にアクセスする。いくつかの実施例において、プロセッサ130は、仮想マシン(virtual machine)を用いて仮想ユーザ装置VUE、仮想基地局VgNB及び仮想コアネットワークV5GCを実行してもよい。いくつかの実施例において、仮想ユーザ装置VUE及び仮想基地局VgNBは、1つの仮想マシンによって実行されてもよく、且つ仮想コアネットワークV5GCは、他の仮想マシンによって実行されてもよい(仮想コアネットワークV5GCは、より複雑な機能及び演算能力を有するからである)。
【0018】
いくつかの実施例において、プロセッサ130は、メモリ120に予め記憶された仮想マシン仕様及び映像ファイルの関連情報に基づいて仮想マシンを生成及び実行してもよく、仮想マシンは、対応する仮想オペレーティングシステム及び仮想アプリケーションプロシージャを仮想ハードウェア又はソフトウェアによって実行してもよい。
【0019】
いくつかの実施例において、仮想ユーザ装置VUEは、仮想化された上記ユーザ装置UEであってもよく、且つユーザ装置UEと同じ機能及び演算能力を有する。いくつかの実施例において、仮想基地局VgNBは、仮想化された上記無線アクセスネットワークRANにおける次世代ノードBであってもよく、且つ次世代ノードBと同じ機能及び演算能力を有する。いくつかの実施例において、仮想コアネットワークV5GCは、仮想化された上記第5世代コアネットワーク5GCにおけるアクセス・モビリティ管理機能であってもよく、且つアクセス・モビリティ管理機能と同じ機能及び演算能力を有する。
【0020】
なお、上記仮想ユーザ装置VUE、仮想基地局VgNB及び仮想コアネットワークV5GCの動作は、後続の段落で詳しく説明する。
【0021】
本開示のいくつかの実施例による情報セキュリティ早期警報方法を実行する模式図である
図2を併せて参照する。
図2に示す実施例の方法は、
図1における情報セキュリティ早期警報装置100に適用でき、情報セキュリティ早期警報装置100における各コンポーネントとともに説明するが、これに限定されない。
図2に示すように、情報セキュリティ早期警報方法は、工程S210~S260を含む。
【0022】
まず、工程S210において、データ取得回路110は、第1データフローをミラー方法で取得する。次に、静的分析段階(即ち工程S220~S230)に進む。いくつかの実施例において、データ取得回路110は、N2インターフェースN2Iにおいて伝送される第1データフローを取得してもよい。
【0023】
工程S220において、プロセッサ130は、悪意のある特性データベースBDに基づいて第1データフローを検出する(即ち、第1悪意のある検出)。第1データフローが悪意のあるトラフィックでない場合に、工程S230に進む。逆に、悪意のある警告メッセージを生成し、悪意のある警告メッセージを第5世代プライベートネットワーク安全監視プラットフォームOAMに伝送する。
【0024】
いくつかの実施例において、悪意のある警告メッセージは、現在、N2インターフェースN2I上で既に悪意のある攻撃が発生したことを示してもよい。いくつかの実施例において、第5世代プライベートネットワーク安全監視プラットフォーム(Operation Administration and Maintenance;OAM)は、ネットワークを管理するためのネットワーク管理ホスト又はネットワーク管理サーバによって実現されてもよい。
【0025】
工程S230において、プロセッサ130は、第1データフローに対して異常検出を行う。以下、異常検出を更に説明する。
【0026】
本開示のいくつかの実施例による
図2の工程S230の詳しい工程のフローチャートである
図3を併せて参照する。
図3に示すように、工程S230は工程S231~S232Bを含む。
【0027】
工程S231において、プロセッサ130は、正常なトラフィックホワイトリストWDを第1データフローと比較する。第1データフローと正常なトラフィックホワイトリストの比較が一致しない場合に、工程S232Aに進む。逆に、工程S232Bに進む。工程S232Aにおいて、プロセッサ130は、第1データフローが異常であると判定する。工程S232Bにおいて、プロセッサ130は、第1データフローが正常であると判定する。
【0028】
図2に示すように、プロセッサ130は、第1データフローが異常であると判定する場合に、動的分析段階(即ち、工程S240~S250B)に進む。プロセッサ130は、第1データフローが正常であると判定する場合に、プロセッサ130は、第1データフローが正常なトラフィックであると判定する。
【0029】
工程S240において、プロセッサ130は、第1データフローを仮想基地局VgNBから仮想コアネットワークV5GCにアナログ送信し(即ち、仮想マシンシミュレーション)、仮想コアネットワークV5GCが第1データフローを受信した後に仮想ユーザ装置VUEと仮想コアネットワークV5GCとの間に接続を確立できるか否かを判定する(即ち、第2悪意のある検出)。仮想ユーザ装置VUEと仮想コアネットワークV5GCとの間に接続を確立できない(即ち、悪意のあると判定する)場合に、工程S250Aに進み、更に悪意のある警告メッセージを生成して、悪意のある警告メッセージを第5世代プライベートネットワーク安全監視プラットフォームOAMに伝送する。逆に(即ち、悪意のないと判定する)、プロセッサ130は、第1データフローが正常なトラフィックであると判定し、工程S250Bに進む。
【0030】
以下、アナログ伝送及び接続の確立について更に説明する。
【0031】
本開示のいくつかの実施例によるアナログ伝送の模式図である
図4を併せて参照する。
図4に示すように、プロセッサ130は、仮想マシンVM1~VM2を実行させる。仮想マシンVM1は、仮想ユーザ装置VUE及び仮想基地局VgNBをシミュレートするために用いられる。仮想マシンVM2は、仮想コアネットワークV5GCをシミュレートするために用いられる。プロセッサ130によって、仮想基地局VgNB、仮想ユーザ装置VUE及び仮想コアネットワークV5GCの間に仮想接続が確立され、プロセッサ130は、仮想ユーザ装置VUEと仮想コアネットワークV5GCとの間に仮想N2インターフェースVN2Iをシミュレートし、且つ仮想N2インターフェースVN2Iは、次世代アプリケーションプロトコルNGAPをサポートする。
【0032】
第5世代コアネットワーク5GCに対する攻撃の多くは、無線アクセスネットワークRANからのものであるため、プロセッサ130は、トラフィックとして判定された第1データフローAF(即ち、異常トラフィック)を仮想基地局VgNBに導入して仮想コアネットワークV5GCに伝送する。
【0033】
本開示のいくつかの実施例による接続確立の模式図である
図5を併せて参照する。
図5に示すように、プロセッサ130は、異常であると判定された第1データフローAFを仮想基地局VgNBに導入して仮想コアネットワークV5GCに伝送した後に、プロセッサ130は、仮想コアネットワークV5GCが第1データフローAFを受信した後に仮想ユーザ装置VUEと仮想コアネットワークV5GCとの間に接続を確立できるか否かを判定する(即ち、接続テスト)。
【0034】
例示的には、プロセッサ130は、仮想ユーザ装置VUEが仮想基地局VgNBを経由して接続要求(connection request)を仮想コアネットワークV5GCに伝送することをシミュレートすることができ、仮想ユーザ装置VUEが接続応答(connection response)を受信したか否かを検出する。接続応答を受信した場合に、プロセッサ130は、仮想ユーザ装置VUEと仮想コアネットワークV5GCとの間に接続を確立できると判定する。
【0035】
図2に示すように、工程S250Aにおいて、プロセッサ130は、仮想コアネットワークV5GCにより生成された複数の検出ログ(logs)からエラーログ(即ち、悪意のある特性分析)を選択し、エラーログは、第1データフローにおける第1エラーパケットには第1悪意のあるプロシージャコードがあることを示す。
【0036】
いくつかの実施例において、仮想ユーザ装置VUEと仮想コアネットワークV5GCとの間に接続を確立できない場合に、仮想コアネットワークV5GCは、仮想基地局VgNBによりアップロードされた第1データフローを検出して複数の検出ログを生成してもよく、各検出ログは、第1データフローにおける各パケットに対応する。
【0037】
いくつかの実施例において、仮想基地局VgNBは、検出ログが第1データフローにおけるパケットのプロシージャコードにエラーがあるのを示していると検出した場合に、仮想基地局VgNBは、この検出ログをエラーログとし、パケット及びプロシージャコードをそれぞれ第1エラーパケット及び第1悪意のあるプロシージャコードとし、このエラーパケットを取得してもよい。
【0038】
例示的には、仮想基地局VgNBは、仮想コアネットワークV5GCと特定のプロシージャ(例えば、仮想ユーザ装置VUEによる仮想コアネットワークV5GCへの接続要求)を行う必要がある場合に、仮想基地局VgNBは、特定のプロシージャに対応するデータフローを伝送し、データフローにおける複数のパケットのプロシージャコードは、特定の数値及び順序を有する。仮想コアネットワークV5GCは、特定のプロシージャに基づいて複数のパケットのプロシージャコードの数値及び順序を識別することができる。仮想コアネットワークV5GCは、あるパケットのプロシージャコードの数値又は順序のエラーを検出した場合に、エラーログを生成することができ、エラーログは、データフローにおけるエラーパケットが悪意のあるプロシージャコードを有することを示す。
【0039】
以下、エラーログを実例によって説明する。
【0040】
本開示のいくつかの実施例による検出ログLOGSの模式図である
図6を併せて参照する。
図6に示すように、仮想基地局VgNBは、仮想コアネットワークV5GCと特定のプロシージャを行う必要がある場合に、特定のプロシージャに対応するデータフローを伝送し、仮想コアネットワークV5GCは、データフローに基づいて監視情報を生成する。仮想コアネットワークV5GCは、データフローに基づいて現在行われている特定のプロシージャを検出し、特定のプロシージャに基づいてデータフローにおける複数のパケットのプロシージャコードが持つべき数値及び順序を識別し、更にこれに基づいて監視情報を生成する。
【0041】
監視情報には、複数の検出結果を示す検出情報INFOと、特定のプロシージャコード情報(例えば、「HandleNasNonDelivery)を示す検出ログLOGSとが含まれる。プロセッサ130は、検出情報INFOから異常情報AB_INFO(「ERROR」又は「WARNING」を示す情報)を取得し、検出ログLOGSから異常情報AB_INFOに対応するエラーログAB_LOGを取得することができる。エラーログAB_LOGは、エラープロシージャコード情報「HandleNasNonDelivery」を示し、エラープロシージャコード情報「HandleNasNonDelivery」は、プロシージャコードを示し、このプロシージャコードは、35(次世代アプリケーションプロトコルによってプロシージャコード情報がどのプロシージャコードに対応するかを定義する)である。これにより、プロセッサ130は、検出ログLOGSからエラーログAB_LOGを選択する。また、プロセッサ130は、第1データフローからこのプロシージャコードを有するパケットを選択して、このパケットにエラーが発生していることを把握することもできる。
【0042】
図2に示すように、工程S250Bにおいて、プロセッサ130は、第1データフローを用いて異常検出の設定を更新する。いくつかの実施例において、プロセッサ130は、第1データフローを用いて正常なトラフィックホワイトリストWDを更新してもよい。いくつかの実施例において、プロセッサ130は、第1データフローに対応する正常なプロシージャコードシーケンスを用いて正常なトラフィックホワイトリストWDを更新してもよい。
【0043】
例示的には、第1データフローは、第1データフローにおける3つのパケットのプロシージャコードにより生成され得る1つの正常なプロシージャコードシーケンスを有し、この正常なプロシージャコードシーケンスは1->6->7である。言い換えれば、3つのパケットのプロシージャコードは、順に1、6及び7である場合に、第5世代コアネットワーク5GCのダウンを引き起こさない。したがって、この正常なプロシージャコードシーケンスを正常なトラフィックホワイトリストWD(即ち、正常なトラフィックホワイトリストWDを更新する)に記憶することができる。
【0044】
なお、本開示は、このように正常なトラフィックホワイトリストWDをリアルタイムで動的に更新するため、データフローが異常であると誤って報告される可能性を大幅に低減させる。
【0045】
工程S260において、プロセッサ130は、第1悪意のあるプロシージャコード及び第1データフローを用いて悪意のある特性データベースBDを更新する。
【0046】
いくつかの実施例において、プロセッサ130は、第1データフローにおける複数のパケットのプロシージャコードにより第1悪意のあるプロシージャコードシーケンスを生成し、第1悪意のあるプロシージャコードシーケンス及び第1悪意のあるプロシージャコードを含む悪意のある特性を生成し、更に悪意のある特性を悪意のある特性データベースBDに記憶してもよい。例示的には、下記表1は悪意のある特性である。
【0047】
【0048】
表1から分かるように、上記悪意のある特性の悪意のある特性番号はAであり、悪意のあるプロシージャコードシーケンスは、順に15、6及び7であり、悪意のあるプロシージャコードは15であり、及びこのような悪意のある特性は、第5世代コアネットワーク5GCのダウン(即ち、エラー)を引き起こす。言い換えれば、このような悪意のある特性は、3つのパケットのプロシージャコードが順に15、6及び7である場合に、第5世代コアネットワーク5GCのダウンを引き起こし、且つ主にプロシージャコード15により引き起こされることを示す。
【0049】
本開示は、第5世代コアネットワーク5GCのダウンを引き起こす悪意のある特性を用いて悪意のある特性データベースBDを更新することができることに加えて、更に悪意のある特性を拡張することができる。以下、悪意のある特性の拡張を更に説明する。
【0050】
本開示のいくつかの実施例による
図2に更に含まれる工程S250’のフローチャートである
図7を併せて参照する。
図7に示すように、工程S250’は、工程S251’~S255B’を含む。
【0051】
工程S250Bを実行する場合に、工程S251’に進むことができる。工程S251’において、プロセッサ130は、プロシージャコード関連テーブル(procedure relational table)及び第1悪意のあるプロシージャコードに基づいて第2悪意のあるプロシージャコードを生成し、プロシージャコード関連テーブルは、第1悪意のあるプロシージャコードに対応する。いくつかの実施例において、プロシージャコード関連テーブルは、第1悪意のあるプロシージャコードと複数の候補プロシージャコードとの間の複数の関連性数値(プロシージャコードがどのプロシージャコードに最も関連するかを次世代アプリケーションプロトコルによって定義する)を含む。いくつかの実施例において、プロセッサ130は、複数の候補プロシージャコードから最も高い関連性数値を有する候補プロシージャコードを選択し、最も高い関連性数値を有する候補プロシージャコードを第2悪意のあるプロシージャコードとする。
【0052】
例示的には、下記表2はプロシージャコード関連テーブルである。
【0053】
【0054】
表2から分かるように、これは、プロシージャコード情報「DownLinkNASTransport」のプロシージャコード関連テーブルである。プロシージャコード関連テーブルは、プロシージャコード情報「DownLinkNASTransport」と最も関連するのがプロシージャコード情報「DownLinkNAS Configuration Transport」及びプロシージャコード情報「DownLinkNAS Status Transport」(即ち、最も高い関連性数値3を有する)であることを示す。したがって、プロシージャコード6又は7を第2悪意のあるプロシージャコードとすることができる。
【0055】
工程S252’において、プロセッサ130は、第2エラーパケットを生成するために、第1エラーパケット内の第1悪意のあるプロシージャコードの代わりに第2悪意のあるプロシージャコードを用いる。言い換えれば、プロセッサ130は、元の第1悪意のあるプロシージャコードの代わりに、第2悪意のあるプロシージャコードを第1エラーパケット内のプロシージャコードとし、更に第2エラーパケットを生成する。
【0056】
工程S253’において、プロセッサ130は、第2データフローを生成するために、第1データフローにおける第1エラーパケットの代わりに第2エラーパケットを用いる。言い換えれば、プロセッサ130は、第1データフローにおける第1エラーパケットを第2エラーパケットによって取って代わることである。
【0057】
例示的には、表1を参照し、仮に第1悪意のあるプロシージャコードシーケンスは15->6->7、第1悪意のあるプロシージャコードは15であり、そして第1悪意のあるプロシージャコード15と最も関連するのはプロシージャコード16であると、プロセッサ130は、プロシージャコード16を第2悪意のあるプロシージャコードとし、第1悪意のあるプロシージャコードに対応する第1エラーパケットのプロシージャコードを16に修正して第2エラーパケットを生成することができる。これにより、プロセッサ130は、第2データフローを生成するために、第1データフローにおける第1エラーパケットの代わりに第2エラーパケットを用いることができる。この場合、プロセッサ130は、第2データフローにより第2悪意のあるプロシージャコードシーケンスを生成することができ、第2データフローの第2悪意のあるプロシージャコードシーケンスは16->6->7である。
【0058】
工程S254’において、プロセッサ130は、第2データフローを仮想基地局VgNBから仮想コアネットワークV5GCにアナログ送信し、仮想コアネットワークV5GCが第2データフローを受信した後に仮想ユーザ装置VUEと仮想コアネットワークV5GCとの間に接続を確立できるか否かを検出する。仮想ユーザ装置VUEと仮想コアネットワークV5GCとの間に接続を確立できる(即ち、悪意のないと判定する)場合に、工程S255A’に進む。逆に(即ち、悪意のあると判定する)、工程S255B’に進む。
【0059】
なお、第2データフローに対するアナログ接続方法は上記第1データフローに対するアナログ接続方法と同じであるため、ここでは詳細な説明を省略する。
【0060】
なお、工程S255A’において、プロセッサ130は、第2データフローを用いて異常検出の設定を更新する。工程S255B’において、プロセッサ130は、第2悪意のあるプロシージャコード及び第2データフローを用いて悪意のある特性データベースBD(即ち、未知の攻撃が追加される特性)を更新する。その後、本開示の情報セキュリティ早期警報方法を終了する。なお、ここで異常検出の設定を更新する方法及び悪意のある特性データベースBDを更新する方法は、それぞれ上記工程S250B及び工程S260と同じであるため、ここでは詳細な説明を省略する。
【0061】
本開示では、悪意のある特性を拡張できることに加えて、更に悪意のある特性に悪意のある情報要素(information element)を拡張することができる。以下、悪意のある特性の拡張を更に説明する。
【0062】
本開示のいくつかの実施例による
図2に更に含まれる工程S250”のフローチャートである
図8を併せて参照する。
図8に示すように、工程S250”は工程S251”~S252”を含む。
【0063】
工程S250Bを実行する場合に、工程S251”に進んでもよい。工程S251”において、プロセッサ130は、情報要素ルールテーブル(information elements table)に基づいて第1エラーパケット内の複数の情報要素が異常であるか否かを検出し、情報要素ルールテーブルは、第1悪意のあるプロシージャコードに対応する。第1エラーパケット内の複数の情報要素のうちの少なくとも1つが異常であると検出した場合に、工程S252”に進む。逆に、本開示の情報セキュリティ早期警報方法を終了する。
【0064】
いくつかの実施例において、情報要素ルールテーブルは、第1悪意のあるプロシージャコードに対応するパケットに含まれる複数の必要なフィールド、及び各必要なフィールドに対応する数値の範囲(いずれも次世代アプリケーションプロトコルによって定義される)を示す。言い換えれば、プロシージャコードごとに異なる情報要素ルールテーブルがある。
【0065】
いくつかの実施例において、プロセッサ130は、第1エラーパケットの複数のフィールドを上記複数の必要なフィールドと比較して、第1エラーパケットに余分なフィールド又は欠落したフィールドが存在するか否かを判定し、第1エラーパケットの複数のフィールドと複数の対応する数値範囲とを比較して、第1エラーパケットにフィールド異常値が存在するか否かを判定する。続いて、プロセッサ130は、余分なフィールド又は欠落したフィールドを悪意のあるフィールドとし、フィールド異常値を悪意のある数値としてもよい。
【0066】
工程S252”において、プロセッサ130は、第1悪意のあるプロシージャコード、複数の情報要素のうちの少なくとも1つ、及び第1データフローを用いて悪意のある特性データベースBDを更新する。
【0067】
いくつかの実施例において、プロセッサ130は、第1データフローのプロシージャコードに基づいて第1悪意のあるプロシージャコードシーケンスを生成し、複数の情報要素のうちの少なくとも1つにより悪意のあるフィールド又は悪意のある数値を生成してもよい。続いて、プロセッサ130は、悪意のある特性を生成してもよく、悪意のある特性は、第1悪意のあるプロシージャコード、第1悪意のあるプロシージャコードシーケンス、及び悪意のあるフィールド/悪意のある数値を含む。これにより、プロセッサ130は、この悪意のある特性を用いて悪意のある特性データベースBDを更新してもよい。
【0068】
以上のように、本開示の情報セキュリティ早期警報装置及び方法は、5G環境をシミュレートする方法を利用して、N2インターフェースのデータフローが5Gコアネットワークのダウンを引き起こすか否かを動的に判定し、判定結果に基づいて悪意のある特性データベース及び正常なトラフィックホワイトリストを更新する。これにより、悪意のあるトラフィック及びトラフィックの異常の判定精度を大幅に向上させることができる。また、本開示の情報セキュリティ早期警報装置及び方法は、更にプロシージャコード関連テーブル及び情報要素ルールテーブルを利用して、悪意のある特性を更に拡張して、悪意のある特性データベースを更新する。このようにして、将来起こりうる未知の攻撃を回避するために、未知の攻撃の特性を得ることができる。
【0069】
本発明は、実施例で上記のように開示されたが、それらの実施例は本発明を限定するものではなく、当業者は、本発明の精神及び範囲を逸脱することなく、様々な変更及び修正を行うことができ、したがって本発明の保護範囲は、後付の特許請求の範囲によって定義されるものに準ずるものとする。
【符号の説明】
【0070】
UE ユーザ装置
RAN 無線アクセスネットワーク
N2I N2インターフェース
5GC 第5世代コアネットワーク
100 情報セキュリティ早期警報装置
110 データ取得回路
120 メモリ
130 プロセッサ
BD 悪意のある特性データベース
WD 正常なトラフィックホワイトリスト
VUE 仮想ユーザ装置
VgNB 仮想基地局
V5GC 仮想コアネットワーク
OAM 第5世代プライベートネットワーク安全監視プラットフォーム
S210~S260、S231~S232B、S250’、S251’~S255B’、S250”、S251”~S252” 工程
AF 第1データフロー
VM1、VM2 仮想マシン
VN2I 仮想N2インターフェース
NGAP 次世代アプリケーションプロトコル
INFO 検出情報
AB_INFO 異常情報
AB_LOG エラーログ
LOGS 検出ログ
【要約】 (修正有)
【課題】複数の命令にアクセスする情報セキュリティ早期警報装置及び方法を提供する。
【解決手段】情報セキュリティ早期警報装置100は、プロセッサ及び悪意のある特性データベースを備える。プロセッサは、仮想ユーザ装置、仮想基地局及び仮想コアネットワークを実行させ、第1データフローが悪意のあるトラフィックでなく、且つ異常であると検出した場合、第1データフローを仮想基地局から仮想コアネットワークにアナログ送信し、仮想ユーザ装置と仮想コアネットワークとの間に接続を確立できるか否かを判定し、接続を確立できる場合、第1データフローを用いて異常検出の設定を更新する。接続を確立できない場合、仮想コアネットワークにより生成された複数の検出ログから第1悪意のあるプロシージャコードを含むエラーログを選択し、第1悪意のあるプロシージャコード及び第1データフローを用いて悪意のある特性データベースを更新する。
【選択図】
図1