IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 株式会社 パイオリンク

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社 パイオリンクの特許一覧

特許7634758アクセススイッチを利用してネットワークに対するサイバー脅威を検出する方法およびこれを利用したネットワークコントローラ
<>
  • 特許-アクセススイッチを利用してネットワークに対するサイバー脅威を検出する方法およびこれを利用したネットワークコントローラ 図1
  • 特許-アクセススイッチを利用してネットワークに対するサイバー脅威を検出する方法およびこれを利用したネットワークコントローラ 図2
  • 特許-アクセススイッチを利用してネットワークに対するサイバー脅威を検出する方法およびこれを利用したネットワークコントローラ 図3
  • 特許-アクセススイッチを利用してネットワークに対するサイバー脅威を検出する方法およびこれを利用したネットワークコントローラ 図4
  • 特許-アクセススイッチを利用してネットワークに対するサイバー脅威を検出する方法およびこれを利用したネットワークコントローラ 図5
  • 特許-アクセススイッチを利用してネットワークに対するサイバー脅威を検出する方法およびこれを利用したネットワークコントローラ 図6
  • 特許-アクセススイッチを利用してネットワークに対するサイバー脅威を検出する方法およびこれを利用したネットワークコントローラ 図7
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2025-02-13
(45)【発行日】2025-02-21
(54)【発明の名称】アクセススイッチを利用してネットワークに対するサイバー脅威を検出する方法およびこれを利用したネットワークコントローラ
(51)【国際特許分類】
   G06F 21/55 20130101AFI20250214BHJP
   G06F 21/56 20130101ALI20250214BHJP
【FI】
G06F21/55 320
G06F21/56
【請求項の数】 20
(21)【出願番号】P 2024137054
(22)【出願日】2024-08-16
【審査請求日】2024-08-16
(31)【優先権主張番号】10-2024-0089264
(32)【優先日】2024-07-05
(33)【優先権主張国・地域又は機関】KR
【早期審査対象出願】
(73)【特許権者】
【識別番号】520221730
【氏名又は名称】株式会社 パイオリンク
(74)【代理人】
【識別番号】110001519
【氏名又は名称】弁理士法人太陽国際特許事務所
(72)【発明者】
【氏名】崔 峻寧
(72)【発明者】
【氏名】金 ▲きょう▼範
(72)【発明者】
【氏名】朴 在營
(72)【発明者】
【氏名】申 鉉▲しゅん▼
(72)【発明者】
【氏名】張 棟皓
(72)【発明者】
【氏名】李 京憲
【審査官】上島 拓也
(56)【参考文献】
【文献】特開2009-110270(JP,A)
【文献】特開2014-063349(JP,A)
【文献】特開2019-213029(JP,A)
【文献】米国特許第07325185(US,B1)
【文献】特開2016-052044(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
G06F 21/56
(57)【特許請求の範囲】
【請求項1】
アクセススイッチを利用してネットワークに対するサイバー脅威を検出する方法において、
(a)ネットワークコントローラが、ネットワーク内でホストが互いに通信できるようにするアクセススイッチのスイッチングポートに接続された第1アクティブホストないし第nアクティブホスト(前記nは1以上の整数である)に対する少なくとも一つの第1タイプのサイバー脅威イベントないし少なくとも一つの第kタイプのサイバー脅威イベント(前記kは1以上の整数である)を、前記アクセススイッチのうち少なくとも一部を通じて検出するステップと、
(b)前記ネットワークコントローラが、予め設定された時間サイズを有し時間の経過に伴って移動するダイナミックタイムウィンドウを利用して、前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントの中で、少なくとも一つの特定の時刻において特定のダイナミックタイムウィンドウ内に位置する、前記第1アクティブホストないし前記第nアクティブホストのそれぞれに対する少なくとも一つの特定のタイプのサイバー脅威イベントを参照して、前記第1アクティブホストないし前記第nアクティブホストのそれぞれに対する第1サイバー脅威度スコアないし第nサイバー脅威度スコアを生成し、前記第1サイバー脅威度スコアないし前記第nサイバー脅威度スコアのそれぞれを利用して前記第1アクティブホストないし前記第nアクティブホストに対するサイバー脅威を検出するステップと、
を含み、
前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントは、前記第1アクティブホストないし前記第nアクティブホストのそれぞれがマルウェアに感染した状態を検出したマルウェア感染イベント、前記第1アクティブホストないし前記第nアクティブホストのそれぞれがC&C(Command & Control)サーバとの接続を行う状態を検出したC&Cサーバ接続イベント、前記第1アクティブホストないし前記第nアクティブホストのそれぞれが少なくとも一つの他のアクティブホストまたは前記ネットワーク上に生成された少なくとも一つの仮想ホストをスキャンする状態を検出したネットワークスキャニングイベント、前記第1アクティブホストないし前記第nアクティブホストのそれぞれが前記少なくとも一つの他のアクティブホストまたは前記少なくとも一つの仮想ホストにマルウェアの感染を試みる状態を検出したマルウェアスプレッディングイベント、および前記第1アクティブホストないし前記第nアクティブホストのそれぞれが少なくとも一つの他のアクティブホストをサイバー攻撃する状態を検出したサイバー攻撃イベントのうち少なくとも一部を含方法。
【請求項2】
アクセススイッチを利用してネットワークに対するサイバー脅威を検出する方法において、
(a)ネットワークコントローラが、ネットワーク内でホストが互いに通信できるようにするアクセススイッチのスイッチングポートに接続された第1アクティブホストないし第nアクティブホスト(前記nは1以上の整数である)に対する少なくとも一つの第1タイプのサイバー脅威イベントないし少なくとも一つの第kタイプのサイバー脅威イベント(前記kは1以上の整数である)を、前記アクセススイッチのうち少なくとも一部を通じて検出するステップと、
(b)前記ネットワークコントローラが、予め設定された時間サイズを有し時間の経過に伴って移動するダイナミックタイムウィンドウを利用して、前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントの中で、少なくとも一つの特定の時刻において特定のダイナミックタイムウィンドウ内に位置する、前記第1アクティブホストないし前記第nアクティブホストのそれぞれに対する少なくとも一つの特定のタイプのサイバー脅威イベントを参照して、前記第1アクティブホストないし前記第nアクティブホストのそれぞれに対する第1サイバー脅威度スコアないし第nサイバー脅威度スコアを生成し、前記第1サイバー脅威度スコアないし前記第nサイバー脅威度スコアのそれぞれを利用して前記第1アクティブホストないし前記第nアクティブホストに対するサイバー脅威を検出するステップと、
を含み、
前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントは、前記第1アクティブホストないし前記第nアクティブホストのうち少なくとも一つが前記ネットワーク上に生成された少なくとも一つの仮想ホストをスキャンする状態を検出したネットワークスキャニングイベント、および前記第1アクティブホストないし前記第nアクティブホストのうち少なくとも一つが前記少なくとも一つの仮想ホストにマルウェアの感染を試みる状態を検出したマルウェアスプレッディングイベントのうち少なくとも一部を含む、方法。
【請求項3】
前記(a)ステップの前に、
(a01)前記ネットワークコントローラが、前記ネットワークの全ホストアドレスの中で、前記第1アクティブホストないし前記第nアクティブホストによって使用されていない未使用のホストアドレスを利用して、少なくとも一つの第1仮想ホストIP(Internet Protocol)アドレスないし少なくとも一つの第m仮想ホストIPアドレス(前記mは1以上の整数である)を生成し、前記第1仮想ホストIPアドレスに対
応する少なくとも一つの第1仮想ホストMACアドレスないし前記第m仮想ホストIPアドレスに対応する少なくとも一つの第m仮想ホストMACアドレスを生成するステップと、
(a02)前記ネットワークコントローラが、前記第1仮想ホストIPアドレスおよび前記第1仮想ホストMACアドレスないし前記第m仮想ホストIPアドレスおよび前記第m仮想ホストMACアドレスのそれぞれを第1アクセススイッチないし第mアクセススイッチのそれぞれに伝送して、前記第1アクセススイッチないし前記第mアクセススイッチのそれぞれをもって、前記第1アクセススイッチの内部に設定された第1セキュリティエンジンないし前記第mアクセススイッチの内部に設定された第mセキュリティエンジンのそれぞれに、前記第1仮想ホストIPアドレスおよび前記第1仮想ホストMACアドレスを参照した少なくとも一つの第1仮想ホストないし前記第m仮想ホストIPアドレスおよび前記第m仮想ホストMACアドレスを参照した少なくとも一つの第m仮想ホストを生成するようにするステップと、
をさらに含む、請求項に記載の方法。
【請求項4】
前記(b)ステップにおいて、
前記ネットワークコントローラは、(i)前記第1アクセススイッチの前記第1セキュリティエンジンないし前記第mアクセススイッチの前記第mセキュリティエンジンのうち少なくとも一つをもって、前記第1仮想ホストIPアドレスないし前記第m仮想ホストIPアドレスのうち少なくとも一つを利用して前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つをスキャンした後、前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つにマルウェア感染を試みるためのデータパケットを伝送する特定のアクティブホストを前記ネットワークから遮断するようにするプロセス、および(ii)前記第1仮想ホストIPアドレスないし前記第m仮想ホストIPアドレスのうち少なくとも一つを利用して前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つをスキャンする前記ネットワークスキャニングイベントが検出された後、前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つにマルウェア感染を試みるためのデータパケットを伝送する前記マルウェアスプレッディングイベントが検出された特定のアクティブホストを前記ネットワークから遮断するプロセスのうち少なくとも一つを実行する、請求項に記載の方法。
【請求項5】
前記ネットワークコントローラは、すでに確認されたマルウェアに対する動作パターンを格納したマルウェアデータベースから前記確認されたマルウェアの動作パターンを含むマルウェアプロファイルを生成し、前記確認されたマルウェアに対するマルウェアプロファイルを前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれに伝送して、前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれをもって、前記確認されたマルウェアに対するマルウェアプロファイルを登録するようにし、
前記(b)ステップにおいて、
前記ネットワークコントローラは、前記データパケットを受信した特定の仮想ホストに対応する特定のセキュリティエンジンをもって、前記データパケットのデータコードを分析して前記データコードの動作パターンを分析した分析動作パターンを確認し、(i)前記分析動作パターンが予め登録されたマルウェアプロファイルのそれぞれに対応する登録動作パターンのうち特定の登録動作パターンと一致すると、前記データコードが前記特定の登録動作パターンに対応する特定のマルウェアであると判断し、前記第1アクセススイッチないし前記第mアクセススイッチのうち少なくとも一つを通じて前記特定のアクティブホストを前記ネットワークから遮断するようにし、(ii)前記分析動作パターンが前記登録動作パターンのそれぞれと一致しないと、前記データコードが未確認のマルウェアであると判断し、(ii-1)前記第1アクセススイッチないし前記第mアクセススイッチのうち少なくとも一つを通じて前記特定のアクティブホストを前記ネットワークから遮
断した後、前記ネットワークコントローラにアラームを送信するようにするプロセス、および(ii-2)前記特定のアクティブホストを前記ネットワークから遮断していない状態で前記ネットワークコントローラに前記アラームを送信するようにして、前記ネットワークコントローラが前記ネットワークからの前記特定のアクティブホストを遮断するか否かを決定するように支援するプロセスのうちいずれか一つのプロセスを実行するようにする、請求項に記載の方法。
【請求項6】
(c)前記ネットワークコントローラが、前記特定のセキュリティエンジンから前記未確認のマルウェアに対応するホストスキャンパケットと前記データパケットとが受信されると、前記未確認のマルウェアを分析した結果を参照して前記マルウェアデータベースをアップデートし、前記未確認のマルウェアに対する動作パターンを含む前記未確認のマルウェアに対する未確認のマルウェアプロファイルを生成し、前記未確認のマルウェアプロファイルを前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれに伝送して、前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれをもって、前記予め登録されたマルウェアプロファイルをアップデートするようにするステップ
をさらに含む、請求項に記載の方法。
【請求項7】
(d)前記特定のセキュリティエンジンから前記特定のマルウェアに対応するホストスキャンパケットと前記データパケットと、または、前記未確認のマルウェアに対応するホストスキャンパケットと前記データパケットとが受信されると、前記ネットワークコントローラは、前記データパケットおよび前記ホストスキャンパケットを、前記特定のマルウェアに対応する前記データパケットおよび前記ホストスキャンパケットと、前記未確認のマルウェアに対応する前記ホストスキャンパケットおよび前記データパケットとのうちいずれか一つに区分して、後続の分析を行うためのバックデータ用のデータとして格納し管理するステップ
をさらに含む、請求項に記載の方法。
【請求項8】
前記(a01)ステップにおいて、
前記ネットワークコントローラは、前記ネットワーク上で生成しようとする仮想ホストの数をp(前記pは前記m以上の整数である)個とする場合、前記全ホストアドレスを第1グループないし第pグループにグルーピングし、前記第1グループにおける一つの未使用のホストアドレスを参照した第1可用仮想ホストIPアドレスないし前記第pグループにおける一つの未使用のホストアドレスを参照した第p可用仮想ホストIPアドレスを生成し、前記第1可用仮想ホストIPアドレスないし前記第p可用仮想ホストIPアドレスをm個にグルーピングして、前記第1仮想ホストIPアドレスないし前記第m仮想ホストIPアドレスを生成する、請求項に記載の方法。
【請求項9】
前記(b)ステップにおいて、
前記ネットワークコントローラは、前記ダイナミックタイムウィンドウの前記予め設定された時間サイズをsとする場合、現在時刻tにおいて、前記第1アクティブホストないし前記第nアクティブホストのそれぞれで、第(t-s)時刻から第t時刻までの間に発
生した前記少なくとも一つの特定のタイプのサイバー脅威イベントに対応する少なくとも一つの特定の基準スコアを合算して、前記第1サイバー脅威度スコアないし前記第nサイバー脅威度スコアのそれぞれを生成するが、前記第1タイプのサイバー脅威イベントに対応する第1基準スコアないし前記第kタイプのサイバー脅威イベントに対応する第k基準スコアのそれぞれには第1重みないし第k重みを設定する、請求項1又は請求項2に記載の方法。
【請求項10】
(e)前記ネットワークコントローラが、前記第1アクティブホストないし前記第nアクティブホストのうち少なくとも一つである特定のアクティブホストに対するサイバー脅
威度状態要求情報が取得されると、前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントの中で、前記特定のアクティブホストで検出された少なくとも一つの特定のタイプのサイバー脅威イベントのそれぞれを時間軸上に表示し、前記少なくとも一つの特定のタイプのサイバー脅威イベントのそれぞれが検出された検出時刻のそれぞれにおいて、前記ダイナミックタイムウィンドウ内に位置する前記少なくとも一つの特定のタイプのサイバー脅威イベントを参照して、それぞれの特定のサイバー脅威度スコアを生成して表示するステップ
をさらに含む、請求項1又は請求項2に記載の方法。
【請求項11】
アクセススイッチを利用してネットワークに対するサイバー脅威を検出するネットワークコントローラにおいて、
アクセススイッチを利用してネットワークに対するサイバー脅威を検出するためのインストラクションが格納されたメモリと、
前記インストラクションに従い、前記アクセススイッチを利用して前記ネットワークに対する前記サイバー脅威を検出するための動作を実行するプロセッサと、
を含み、
前記プロセッサは、(I)前記ネットワーク内でホストが互いに通信できるようにするアクセススイッチのスイッチングポートに接続された第1アクティブホストないし第nアクティブホスト(前記nは1以上の整数である)に対する少なくとも一つの第1タイプのサイバー脅威イベントないし少なくとも一つの第kタイプのサイバー脅威イベント(前記kは1以上の整数である)を、前記アクセススイッチのうち少なくとも一部を通じて検出するプロセス、および(II)予め設定された時間サイズを有し時間の経過に伴って移動するダイナミックタイムウィンドウを利用して、前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントの中で、少なくとも一つの特定の時刻において特定のダイナミックタイムウィンドウ内に位置する、前記第1アクティブホストないし前記第nアクティブホストのそれぞれに対する少なくとも一つの特定のタイプのサイバー脅威イベントを参照して、前記第1アクティブホストないし前記第nアクティブホストのそれぞれに対する第1サイバー脅威度スコアないし第nサイバー脅威度スコアを生成し、前記第1サイバー脅威度スコアないし前記第nサイバー脅威度スコアのそれぞれを利用して前記第1アクティブホストないし前記第nアクティブホストに対するサイバー脅威を検出するプロセスを実行し、
前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントは、前記第1アクティブホストないし前記第nアクティブホストのそれぞれがマルウェアに感染した状態を検出したマルウェア感染イベント、前記第1アクティブホストないし前記第nアクティブホストのそれぞれがC&C(Command & Control)サーバとの接続を行う状態を検出したC&Cサーバ接続イベント、前記第1アクティブホストないし前記第nアクティブホストのそれぞれが少なくとも一つの他のアクティブホストまたは前記ネットワーク上に生成された少なくとも一つの仮想ホストをスキャンする状態を検出したネットワークスキャニングイベント、前記第1アクティブホストないし前記第nアクティブホストのそれぞれが前記少なくとも一つの他のアクティブホストまたは前記少なくとも一つの仮想ホストにマルウェアの感染を試みる状態を検出したマルウェアスプレッディングイベント、および前記第1アクティブホストないし前記第nアクティブホストのそれぞれが少なくとも一つの他のアクティブホストをサイバー攻撃する状態を検出したサイバー攻撃イベントのうち少なくとも一部を含む、ネットワークコントローラ。
【請求項12】
アクセススイッチを利用してネットワークに対するサイバー脅威を検出するネットワークコントローラにおいて、
アクセススイッチを利用してネットワークに対するサイバー脅威を検出するためのインストラクションが格納されたメモリと、
前記インストラクションに従い、前記アクセススイッチを利用して前記ネットワークに対する前記サイバー脅威を検出するための動作を実行するプロセッサと、
を含み、
前記プロセッサは、(I)前記ネットワーク内でホストが互いに通信できるようにするアクセススイッチのスイッチングポートに接続された第1アクティブホストないし第nアクティブホスト(前記nは1以上の整数である)に対する少なくとも一つの第1タイプのサイバー脅威イベントないし少なくとも一つの第kタイプのサイバー脅威イベント(前記kは1以上の整数である)を、前記アクセススイッチのうち少なくとも一部を通じて検出するプロセス、および(II)予め設定された時間サイズを有し時間の経過に伴って移動するダイナミックタイムウィンドウを利用して、前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントの中で、少なくとも一つの特定の時刻において特定のダイナミックタイムウィンドウ内に位置する、前記第1アクティブホストないし前記第nアクティブホストのそれぞれに対する少なくとも一つの特定のタイプのサイバー脅威イベントを参照して、前記第1アクティブホストないし前記第nアクティブホストのそれぞれに対する第1サイバー脅威度スコアないし第nサイバー脅威度スコアを生成し、前記第1サイバー脅威度スコアないし前記第nサイバー脅威度スコアのそれぞれを利用して前記第1アクティブホストないし前記第nアクティブホストに対するサイバー脅威を検出するプロセスを実行し、
前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントは、前記第1アクティブホストないし前記第nアクティブホストのうち少なくとも一つが前記ネットワーク上に生成された少なくとも一つの仮想ホストをスキャンする状態を検出
したネットワークスキャニングイベント、および前記第1アクティブホストないし前記第nアクティブホストのうち少なくとも一つが前記少なくとも一つの仮想ホストにマルウェアの感染を試みる状態を検出したマルウェアスプレッディングイベントのうち少なくとも一部を含む、ネットワークコントローラ。
【請求項13】
前記プロセッサは、
前記(I)プロセスの前に、(I01)前記ネットワークの全ホストアドレスの中で、前記第1アクティブホストないし前記第nアクティブホストによって使用されていない未使用のホストアドレスを利用して、少なくとも一つの第1仮想ホストIP(Internet Protocol)アドレスないし少なくとも一つの第m仮想ホストIPアドレス(前記mは1以上の整数である)を生成し、前記第1仮想ホストIPアドレスに対応する少なくとも一つの第1仮想ホストMACアドレスないし前記第m仮想ホストIPアドレスに対応する少なくとも一つの第m仮想ホストMACアドレスを生成するプロセス、および(I02)前記第1仮想ホストIPアドレスおよび前記第1仮想ホストMACアドレスないし前記第m仮想ホストIPアドレスおよび前記第m仮想ホストMACアドレスのそれぞれを第1アクセススイッチないし第mアクセススイッチのそれぞれに伝送して、前記第1アクセススイッチないし前記第mアクセススイッチのそれぞれをもって、前記第1アクセススイッチの内部に設定された第1セキュリティエンジンないし前記第mアクセススイッチの内部に設定された第mセキュリティエンジンのそれぞれに、前記第1仮想ホストIPアドレスおよび前記第1仮想ホストMACアドレスを参照した少なくとも一つの第1仮想ホストないし前記第m仮想ホストIPアドレスおよび前記第m仮想ホストMACアドレスを参照した少なくとも一つの第m仮想ホストを生成するようにするプロセスをさらに実行する、請求項12に記載のネットワークコントローラ。
【請求項14】
前記プロセッサは、
前記(II)プロセスにおいて、(i)前記第1アクセススイッチの前記第1セキュリティエンジンないし前記第mアクセススイッチの前記第mセキュリティエンジンのうち少なくとも一つをもって、前記第1仮想ホストIPアドレスないし前記第m仮想ホストIPアドレスのうち少なくとも一つを利用して前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つをスキャンした後、前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つにマルウェア感染を試みるためのデータパケットを伝送する特定のアクティブホストを前記ネットワークから遮断するようにするプロセス、および(ii)前記第1仮想ホストIPアドレスないし前記第m仮想ホストIPアドレスのうち少なくとも一つを利用して前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つをスキャンする前記ネットワークスキャニングイベントが検出された後、前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つにマルウェア感染を試みるためのデータパケットを伝送する前記マルウェアスプレッディングイベントが検出された特定のアクティブホストを前記ネットワークから遮断するプロセスのうち少なくとも一つを実行する、請求項13に記載のネットワークコントローラ。
【請求項15】
前記プロセッサは、すでに確認されたマルウェアに対する動作パターンを格納したマルウェアデータベースから前記確認されたマルウェアの動作パターンを含むマルウェアプロファイルを生成し、前記確認されたマルウェアに対するマルウェアプロファイルを前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれに伝送して、前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれをもって、前記確認されたマルウェアに対するマルウェアプロファイルを登録するようにし、
前記プロセッサは、前記(II)プロセスにおいて、前記データパケットを受信した特定の仮想ホストに対応する特定のセキュリティエンジンをもって、前記データパケットのデータコードを分析して前記データコードの動作パターンを分析した分析動作パターンを確認し、(i)前記分析動作パターンが予め登録されたマルウェアプロファイルのそれぞ
れに対応する登録動作パターンのうち特定の登録動作パターンと一致すると、前記データコードが前記特定の登録動作パターンに対応する特定のマルウェアであると判断し、前記第1アクセススイッチないし前記第mアクセススイッチのうち少なくとも一つを通じて前記特定のアクティブホストを前記ネットワークから遮断するようにし、(ii)前記分析動作パターンが前記登録動作パターンのそれぞれと一致しないと、前記データコードが未確認のマルウェアであると判断し、(ii-1)前記第1アクセススイッチないし前記第mアクセススイッチのうち少なくとも一つを通じて前記特定のアクティブホストを前記ネットワークから遮断した後、前記ネットワークコントローラにアラームを送信するようにするプロセス、および(ii-2)前記特定のアクティブホストを前記ネットワークから遮断していない状態で前記ネットワークコントローラに前記アラームを送信するようにして、前記ネットワークコントローラが前記ネットワークからの前記特定のアクティブホストを遮断するか否かを決定するように支援するプロセスのうちいずれか一つのプロセスを実行するようにする、請求項14に記載のネットワークコントローラ。
【請求項16】
前記プロセッサは、
(III)前記特定のセキュリティエンジンから前記未確認のマルウェアに対応するホストスキャンパケットと前記データパケットとが受信されると、前記未確認のマルウェアを分析した結果を参照して前記マルウェアデータベースをアップデートし、前記未確認のマルウェアに対する動作パターンを含む前記未確認のマルウェアに対する未確認のマルウェアプロファイルを生成し、前記未確認のマルウェアプロファイルを前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれに伝送して、前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれをもって、前記予め登録されたマルウェアプロファイルをアップデートするようにするプロセスをさらに実行する、請求項15に記載のネットワークコントローラ。
【請求項17】
前記プロセッサは、
(IV)前記特定のセキュリティエンジンから前記特定のマルウェアに対応するホストスキャンパケットと前記データパケットと、または、前記未確認のマルウェアに対応するホストスキャンパケットと前記データパケットとが受信されると、前記ネットワークコントローラは、前記データパケットおよび前記ホストスキャンパケットを、前記特定のマルウェアに対応する前記データパケットおよび前記ホストスキャンパケットと、前記未確認のマルウェアに対応する前記ホストスキャンパケットおよび前記データパケットとのうちいずれか一つに区分して、後続の分析を行うためのバックデータ用のデータとして格納し管理するプロセスをさらに実行する、請求項15に記載のネットワークコントローラ。
【請求項18】
前記プロセッサは、
前記(I01)プロセスにおいて、前記ネットワーク上で生成しようとする仮想ホストの数をp(前記pは前記m以上の整数である)個とする場合、前記全ホストアドレスを第1グループないし第pグループにグルーピングし、前記第1グループにおける一つの未使用のホストアドレスを参照した第1可用仮想ホストIPアドレスないし前記第pグループにおける一つの未使用のホストアドレスを参照した第p可用仮想ホストIPアドレスを生成し、前記第1可用仮想ホストIPアドレスないし前記第p可用仮想ホストIPアドレスをm個にグルーピングして、前記第1仮想ホストIPアドレスないし前記第m仮想ホストIPアドレスを生成する、請求項13に記載のネットワークコントローラ。
【請求項19】
前記プロセッサは、
前記(II)プロセスにおいて、前記ダイナミックタイムウィンドウの前記予め設定された時間サイズをsとする場合、現在時刻tにおいて、前記第1アクティブホストないし前記第nアクティブホストのそれぞれで、第(t-s)時刻から第t時刻までの間に発生した前記少なくとも一つの特定のタイプのサイバー脅威イベントに対応する少なくとも一
つの特定の基準スコアを合算して、前記第1サイバー脅威度スコアないし前記第nサイバー脅威度スコアのそれぞれを生成するが、前記第1タイプのサイバー脅威イベントに対応する第1基準スコアないし前記第kタイプのサイバー脅威イベントに対応する第k基準スコアのそれぞれには第1重みないし第k重みを設定する、請求項11又は請求項12に記載のネットワークコントローラ。
【請求項20】
前記プロセッサは、(V)前記第1アクティブホストないし前記第nアクティブホストのうち少なくとも一つである特定のアクティブホストに対するサイバー脅威度状態要求情報が取得されると、前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントの中で、前記特定のアクティブホストで検出された少なくとも一つの特定のタイプのサイバー脅威イベントのそれぞれを時間軸上に表示し、前記少なくとも一つの特定のタイプのサイバー脅威イベントのそれぞれが検出された検出時刻のそれぞれにおいて、前記ダイナミックタイムウィンドウ内に位置する前記少なくとも一つの特定のタイプのサイバー脅威イベントを参照して、それぞれの特定のサイバー脅威度スコアを生成して表示するプロセスをさらに実行する、請求項11又は請求項12に記載のネットワークコントローラ。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークに対するサイバー脅威を検出する方法に関し、より詳細には、ネットワークのホストが接続されるアクセススイッチを利用して、ネットワーク上のホストによるサイバー脅威を検出する方法に関する。
【背景技術】
【0002】
サイバー脅威とは、特定の個人や組織が他の個人や組織の情報システムのセキュリティを侵害しようとする悪意的かつ意図的な試みであり、攻撃者は通常、被害者のネットワークを中断させて何らかの利益を得ようとするものである。
【0003】
このようなサイバー脅威には、マルウェア、フィッシング、中間者(MitM)攻撃、DoS(Denial of Service)攻撃、ゼロデイエクスプロイトなど様々な方法が挙げられる。
【0004】
このようなサイバー脅威を防ぐために、ネットワークベースのセキュリティ装置であるファイアウォール、IPS、UTM、ウェブファイアウォールは、外部網と内部網とを分離して、外部網から内部網へ流入するトラフィックや内部網から外部へ流出するトラフィックを分析し保護する役割を果たして、ネットワーク全体を保護する。
【0005】
一方、内部ネットワークのホストがウイルスなどに感染し、ネットワーク基幹装置の性能低下および障害を引き起こす有害なトラフィックを遮断してネットワーク通信の信頼性を確保し、他のホストへの二次感染拡大を防止するための内部ネットワークのセキュリティのために、内部ネットワークで発生するトラフィックを分析して、有害なトラフィックまたはサイバー脅威と判断されると、スイッチ段でトラフィックを遮断するセキュリティスイッチへの関心が高まっている。
【0006】
このようなセキュリティスイッチにおいてサイバー脅威を判断する形態は、一つのホストが多数のホストを検索する行為を検出するか、または、多数のホストが一つのホストに大量のトラフィックを伝送する形態を検出するのが一般的である。
【0007】
しかし、様々な機器および運用環境が複雑に絡み合ったネットワーク環境において、このようなセキュリティスイッチを適用するには明確な限界がある。
【0008】
また、このようなセキュリティスイッチを利用したサイバー脅威への対応は、実際に脅威として検出された状況に対して正検出を区別しなければならず、様々な サイバー攻撃の形態の変化に対応できないという限界がある。
【0009】
それに加えて、低いCPU性能およびメモリ不足により、ネットワークで発生するすべてのトラフィックを監視するには限界がある。
【0010】
したがって、本出願人は、低いCPU性能およびメモリ不足を克服し、ネットワークで発生する多様な形態の脅威行為を検出して未検出および誤検出の確率を低減し、正検出率を向上させるための方法を提案しようとする。
【発明の概要】
【発明が解決しようとする課題】
【0011】
本発明は、上述した従来技術の問題点をすべて解決することをその目的とする。
【0012】
また、本発明は、ネットワークのホストが接続されるアクセススイッチを利用して、ネットワーク上のホストによるサイバー脅威を検出できるようにすることを他の目的とする。
【0013】
また、本発明は、アクセススイッチの低いCPU性能およびメモリ不足を克服し、ネットワークで発生する多様な形態の脅威行為を検出して未検出および誤検出の確率を低減し、正検出率を向上できるようにすることをさらに他の目的とする。
【0014】
また、本発明は、アクセススイッチを通じて検出されたサイバー脅威イベントを利用したホストに対するサイバー脅威度をモニタリングして、ネットワークのサイバー脅威に即座に対応できるようにすることをさらに他の目的とする。
【0015】
また、本発明は、アクセススイッチに生成された仮想ホストにサイバー脅威を与えるようにして、サイバー脅威を与えるホストをネットワークから遮断できるようにすることをさらに他の目的とする。
【0016】
また、本発明は、アクセススイッチを利用してホストのサイバー脅威を検出して、サイバー攻撃の形態の変化に効率的に対応できるようにすることをさらに他の目的とする。
【課題を解決するための手段】
【0017】
前記のような本発明の目的を達成するための、本発明の体表的な特徴は以下の通りである。
【0018】
本発明の一実施例によると、アクセススイッチを利用してネットワークに対するサイバー脅威を検出する方法において、(a)ネットワークコントローラが、ネットワーク内でホストが互いに通信できるようにするアクセススイッチのスイッチングポートに接続された第1アクティブホストないし第nアクティブホスト(前記nは1以上の整数である)に対する少なくとも一つの第1タイプのサイバー脅威イベントないし少なくとも一つの第kタイプのサイバー脅威イベント(前記kは1以上の整数である)を、前記アクセススイッチのうち少なくとも一部を通じて検出するステップ;および(b)前記ネットワークコントローラが、予め設定された時間サイズを有し時間の経過に伴って移動するダイナミックタイムウィンドウを利用して、前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントの中で、少なくとも一つの特定の時刻において特定のダイナミックタイムウィンドウ内に位置する、前記第1アクティブホストないし前記第nアクティブホストのそれぞれに対する少なくとも一つの特定のタイプのサイバー脅威イベントを参照して、前記第1アクティブホストないし前記第nアクティブホストのそれぞれに対する第1サイバー脅威度スコアないし第nサイバー脅威度スコアを生成し、前記第1サイバー脅威度スコアないし前記第nサイバー脅威度スコアのそれぞれを利用して前記第1アクティブホストないし前記第nアクティブホストに対するサイバー脅威を検出するステップ;を含む方法が提供される。
【0019】
一例において、前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントは、前記第1アクティブホストないし前記第nアクティブホストのそれぞれがマルウェアに感染した状態を検出したマルウェア感染イベント、前記第1アクティブホストないし前記第nアクティブホストのそれぞれがC&C(Command & Control)サーバとの接続を行う状態を検出したC&Cサーバ接続イベント、前記第1アクティブホストないし前記第nアクティブホストのそれぞれが少なくとも一つの他のアクティブホストまたは前記ネットワーク上に生成された少なくとも一つの仮想ホストをスキャンする状態を検出したネットワークスキャニングイベント、前記第1アクティブホストないし前記第nアクティブホストのそれぞれが前記少なくとも一つの他のアクティブホストまたは前記少なくとも一つの仮想ホストにマルウェアの感染を試みる状態を検出したマルウェアスプレッディングイベント、および前記第1アクティブホストないし前記第nアクティブホストのそれぞれが少なくとも一つの他のアクティブホストをサイバー攻撃する状態を検出したサイバー攻撃イベントのうち少なくとも一部を含む。
【0020】
一例において、前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントは、前記第1アクティブホストないし前記第nアクティブホストのうち少なくとも一つが前記ネットワーク上に生成された少なくとも一つの仮想ホストをスキャンする状態を検出したネットワークスキャニングイベント、および前記第1アクティブホストないし前記第nアクティブホストのうち少なくとも一つが前記少なくとも一つの仮想ホストにマルウェアの感染を試みる状態を検出したマルウェアスプレッディングイベントのうち少なくとも一部を含む。
【0021】
一例において、前記(a)ステップの前に、(a01)前記ネットワークコントローラが、前記ネットワークの全ホストアドレスの中で、前記第1アクティブホストないし前記第nアクティブホストによって使用されていない未使用のホストアドレスを利用して、少なくとも一つの第1仮想ホストIP(Internet Protocol)アドレスないし少なくとも一つの第m仮想ホストIPアドレス(前記mは1以上の整数である)を生成し、前記第1仮想ホストIPアドレスに対応する少なくとも一つの第1仮想ホストMACアドレスないし前記第m仮想ホストIPアドレスに対応する少なくとも一つの第m仮想ホストMACアドレスを生成するステップ;および(a02)前記ネットワークコントローラが、前記第1仮想ホストIPアドレスおよび前記第1仮想ホストMACアドレスないし前記第m仮想ホストIPアドレスおよび前記第m仮想ホストMACアドレスのそれぞれを第1アクセススイッチないし第mアクセススイッチのそれぞれに伝送して、前記第1アクセススイッチないし前記第mアクセススイッチのそれぞれをもって、前記第1アクセススイッチの内部に設定された第1セキュリティエンジンないし前記第mアクセススイッチの内部に設定された第mセキュリティエンジンのそれぞれに、前記第1仮想ホストIPアドレスおよび前記第1仮想ホストMACアドレスを参照した少なくとも一つの第1仮想ホストないし前記第m仮想ホストIPアドレスおよび前記第m仮想ホストMACアドレスを参照した少なくとも一つの第m仮想ホストを生成するようにするステップ;をさらに含む。
【0022】
一例において、前記(b)ステップにおいて、前記ネットワークコントローラは、(i)前記第1アクセススイッチの前記第1セキュリティエンジンないし前記第mアクセススイッチの前記第mセキュリティエンジンのうち少なくとも一つをもって、前記第1仮想ホストIPアドレスないし前記第m仮想ホストIPアドレスのうち少なくとも一つを利用して前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つをスキャンした後、前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つにマルウェア感染を試みるためのデータパケットを伝送する特定のアクティブホストを前記ネットワークから遮断するようにするプロセス、および(ii)前記第1仮想ホストIPアドレスないし前記第m仮想ホストIPアドレスのうち少なくとも一つを利用して前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つをスキャンする前記ネットワークスキャニングイベントが検出された後、前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つにマルウェア感染を試みるためのデータパケットを伝送する前記マルウェアスプレッディングイベントが検出された特定のアクティブホストを前記ネットワークから遮断するプロセスのうち少なくとも一つを実行することができる。
【0023】
一例において、前記ネットワークコントローラは、すでに確認されたマルウェアに対する動作パターンを格納したマルウェアデータベースから前記確認されたマルウェアの動作パターンを含むマルウェアプロファイルを生成し、前記確認されたマルウェアに対するマルウェアプロファイルを前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれに伝送して、前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれをもって、前記確認されたマルウェアに対するマルウェアプロファイルを登録するようにし、前記(b)ステップにおいて、前記ネットワークコントローラは、前記データパケットを受信した特定の仮想ホストに対応する特定のセキュリティエンジンをもって、前記データパケットのデータコードを分析して前記データコードの動作パターンを分析した分析動作パターンを確認し、(i)前記分析動作パターンが予め登録されたマルウェアプロファイルのそれぞれに対応する登録動作パターンのうち特定の登録動作パターンと一致すると、前記データコードが前記特定の登録動作パターンに対応する特定のマルウェアであると判断し、前記第1アクセススイッチないし前記第mアクセススイッチのうち少なくとも一つを通じて前記特定のアクティブホストを前記ネットワークから遮断するようにし、(ii)前記分析動作パターンが前記登録動作パターンのそれぞれと一致しないと、前記データコードが未確認のマルウェアであると判断し、(ii-1)前記第1アクセススイッチないし前記第mアクセススイッチのうち少なくとも一つを通じて前記特定のアクティブホストを前記ネットワークから遮断した後、前記ネットワークコントローラにアラームを送信するようにするプロセス、および(ii-2)前記特定のアクティブホストを前記ネットワークから遮断していない状態で前記ネットワークコントローラに前記アラームを送信するようにして、前記ネットワークコントローラが前記ネットワークからの前記特定のアクティブホストを遮断するか否かを決定するように支援するプロセスのうちいずれか一つのプロセスを実行するようにすることができる。
【0024】
一例において、(c)前記ネットワークコントローラが、前記特定のセキュリティエンジンから前記未確認のマルウェアに対応するホストスキャンパケットと前記データパケットとが受信されると、前記未確認のマルウェアを分析した結果を参照して前記マルウェアデータベースをアップデートし、前記未確認のマルウェアに対する動作パターンを含む前記未確認のマルウェアに対する未確認のマルウェアプロファイルを生成し、前記未確認のマルウェアプロファイルを前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれに伝送して、前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれをもって、前記予め登録されたマルウェアプロファイルをアップデートするようにするステップ;をさらに含む。
【0025】
一例において、(d)前記特定のセキュリティエンジンから前記特定のマルウェアに対応するホストスキャンパケットと前記データパケットと、または、前記未確認のマルウェアに対応するホストスキャンパケットと前記データパケットとが受信されると、前記ネットワークコントローラは、前記データパケットおよび前記ホストスキャンパケットを、前記特定のマルウェアに対応する前記データパケットおよび前記ホストスキャンパケットと、前記未確認のマルウェアに対応する前記ホストスキャンパケットおよび前記データパケットとのうちいずれか一つに区分して、後続の分析を行うためのバックデータ用のデータとして格納し管理するステップ;をさらに含む。
【0026】
一例において、前記(a01)ステップにおいて、前記ネットワークコントローラは、前記ネットワーク上で生成しようとする仮想ホストの数をp(前記pは前記m以上の整数である)個とする場合、前記全ホストアドレスを第1グループないし第pグループにグルーピングし、前記第1グループにおける一つの未使用のホストアドレスを参照した第1可用仮想ホストIPアドレスないし前記第pグループにおける一つの未使用のホストアドレスを参照した第p可用仮想ホストIPアドレスを生成し、前記第1可用仮想ホストIPアドレスないし前記第p可用仮想ホストIPアドレスをm個にグルーピングして、前記第1仮想ホストIPアドレスないし前記第m仮想ホストIPアドレスを生成することができる。
【0027】
一例において、前記(b)ステップにおいて、前記ネットワークコントローラは、前記ダイナミックタイムウィンドウの前記予め設定された時間サイズをsとする場合、現在時刻tにおいて、前記第1アクティブホストないし前記第nアクティブホストのそれぞれで、第(t-s)時刻から第t時刻までの間に発生した前記少なくとも一つの特定のタイプのサイバー脅威イベントに対応する少なくとも一つの特定の基準スコアを合算して、前記第1サイバー脅威度スコアないし前記第nサイバー脅威度スコアのそれぞれを生成するが、前記第1タイプのサイバー脅威イベントに対応する第1基準スコアないし前記第kタイプのサイバー脅威イベントに対応する第k基準スコアのそれぞれには第1重みないし第k重みを設定することができる。
【0028】
一例において、(e)前記ネットワークコントローラが、前記第1アクティブホストないし前記第nアクティブホストのうち少なくとも一つである特定のアクティブホストに対するサイバー脅威度状態要求情報が取得されると、前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントの中で、前記特定のアクティブホストで検出された少なくとも一つの特定のタイプのサイバー脅威イベントのそれぞれを時間軸上に表示し、前記少なくとも一つの特定のタイプのサイバー脅威イベントのそれぞれが検出された検出時刻のそれぞれにおいて、前記ダイナミックタイムウィンドウ内に位置する前記少なくとも一つの特定のタイプのサイバー脅威イベントを参照して、それぞれの特定のサイバー脅威度スコアを生成して表示するステップ;をさらに含む。
【0029】
また、本発明の他の実施例によると、アクセススイッチを利用してネットワークに対するサイバー脅威を検出するネットワークコントローラにおいて、アクセススイッチを利用してネットワークに対するサイバー脅威を検出するためのインストラクションが格納されたメモリ;および前記インストラクションに従い、前記アクセススイッチを利用して前記ネットワークに対する前記サイバー脅威を検出するための動作を実行するプロセッサ;を含み、前記プロセッサは、(I)前記ネットワーク内でホストが互いに通信できるようにするアクセススイッチのスイッチングポートに接続された第1アクティブホストないし第nアクティブホスト(前記nは1以上の整数である)に対する少なくとも一つの第1タイプのサイバー脅威イベントないし少なくとも一つの第kタイプのサイバー脅威イベント(前記kは1以上の整数である)を、前記アクセススイッチのうち少なくとも一部を通じて検出するプロセス、および(II)予め設定された時間サイズを有し時間の経過に伴って移動するダイナミックタイムウィンドウを利用して、前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントの中で、少なくとも一つの特定の時刻において特定のダイナミックタイムウィンドウ内に位置する、前記第1アクティブホストないし前記第nアクティブホストのそれぞれに対する少なくとも一つの特定のタイプのサイバー脅威イベントを参照して、前記第1アクティブホストないし前記第nアクティブホストのそれぞれに対する第1サイバー脅威度スコアないし第nサイバー脅威度スコアを生成し、前記第1サイバー脅威度スコアないし前記第nサイバー脅威度スコアのそれぞれを利用して前記第1アクティブホストないし前記第nアクティブホストに対するサイバー脅威を検出するプロセスを実行するネットワークコントローラが提供される。
【0030】
一例において、前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントは、前記第1アクティブホストないし前記第nアクティブホストのそれぞれがマルウェアに感染した状態を検出したマルウェア感染イベント、前記第1アクティブホストないし前記第nアクティブホストのそれぞれがC&C(Command & Control)サーバとの接続を行う状態を検出したC&Cサーバ接続イベント、前記第1アクティブホストないし前記第nアクティブホストのそれぞれが少なくとも一つの他のアクティブホストまたは前記ネットワーク上に生成された少なくとも一つの仮想ホストをスキャンする状態を検出したネットワークスキャニングイベント、前記第1アクティブホストないし前記第nアクティブホストのそれぞれが前記少なくとも一つの他のアクティブホストまたは前記少なくとも一つの仮想ホストにマルウェアの感染を試みる状態を検出したマルウェアスプレッディングイベント、および前記第1アクティブホストないし前記第nアクティブホストのそれぞれが少なくとも一つの他のアクティブホストをサイバー攻撃する状態を検出したサイバー攻撃イベントのうち少なくとも一部を含む。
【0031】
一例において、前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントは、前記第1アクティブホストないし前記第nアクティブホストのうち少なくとも一つが前記ネットワーク上に生成された少なくとも一つの仮想ホストをスキャンする状態を検出したネットワークスキャニングイベント、および前記第1アクティブホストないし前記第nアクティブホストのうち少なくとも一つが前記少なくとも一つの仮想ホストにマルウェアの感染を試みる状態を検出したマルウェアスプレッディングイベントのうち少なくとも一部を含む。
【0032】
一例において、前記プロセッサは、前記(I)プロセスの前に、(I01)前記ネットワークの全ホストアドレスの中で、前記第1アクティブホストないし前記第nアクティブホストによって使用されていない未使用のホストアドレスを利用して、少なくとも一つの第1仮想ホストIP(Internet Protocol)アドレスないし少なくとも一つの第m仮想ホストIPアドレス(前記mは1以上の整数である)を生成し、前記第1仮想ホストIPアドレスに対応する少なくとも一つの第1仮想ホストMACアドレスないし前記第m仮想ホストIPアドレスに対応する少なくとも一つの第m仮想ホストMACアドレスを生成するプロセス、および(I02)前記第1仮想ホストIPアドレスおよび前記第1仮想ホストMACアドレスないし前記第m仮想ホストIPアドレスおよび前記第m仮想ホストMACアドレスのそれぞれを第1アクセススイッチないし第mアクセススイッチのそれぞれに伝送して、前記第1アクセススイッチないし前記第mアクセススイッチのそれぞれをもって、前記第1アクセススイッチの内部に設定された第1セキュリティエンジンないし前記第mアクセススイッチの内部に設定された第mセキュリティエンジンのそれぞれに、前記第1仮想ホストIPアドレスおよび前記第1仮想ホストMACアドレスを参照した少なくとも一つの第1仮想ホストないし前記第m仮想ホストIPアドレスおよび前記第m仮想ホストMACアドレスを参照した少なくとも一つの第m仮想ホストを生成するようにするプロセスをさらに実行することができる。
【0033】
一例において、前記プロセッサは、前記(II)プロセスにおいて、(i)前記第1アクセススイッチの前記第1セキュリティエンジンないし前記第mアクセススイッチの前記第mセキュリティエンジンのうち少なくとも一つをもって、前記第1仮想ホストIPアドレスないし前記第m仮想ホストIPアドレスのうち少なくとも一つを利用して前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つをスキャンした後、前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つにマルウェア感染を試みるためのデータパケットを伝送する特定のアクティブホストを前記ネットワークから遮断するようにするプロセス、および(ii)前記第1仮想ホストIPアドレスないし前記第m仮想ホストIPアドレスのうち少なくとも一つを利用して前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つをスキャンする前記ネットワークスキャニングイベントが検出された後、前記第1仮想ホストないし前記第m仮想ホストのうち少なくとも一つにマルウェア感染を試みるためのデータパケットを伝送する前記マルウェアスプレッディングイベントが検出された特定のアクティブホストを前記ネットワークから遮断するプロセスのうち少なくとも一つを実行することができる。
【0034】
一例において、前記プロセッサは、すでに確認されたマルウェアに対する動作パターンを格納したマルウェアデータベースから前記確認されたマルウェアの動作パターンを含むマルウェアプロファイルを生成し、前記確認されたマルウェアに対するマルウェアプロファイルを前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれに伝送して、前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれをもって、前記確認されたマルウェアに対するマルウェアプロファイルを登録するようにし、前記プロセッサは、前記(II)プロセスにおいて、前記データパケットを受信した特定の仮想ホストに対応する特定のセキュリティエンジンをもって、前記データパケットのデータコードを分析して前記データコードの動作パターンを分析した分析動作パターンを確認し、(i)前記分析動作パターンが予め登録されたマルウェアプロファイルのそれぞれに対応する登録動作パターンのうち特定の登録動作パターンと一致すると、前記データコードが前記特定の登録動作パターンに対応する特定のマルウェアであると判断し、前記第1アクセススイッチないし前記第mアクセススイッチのうち少なくとも一つを通じて前記特定のアクティブホストを前記ネットワークから遮断するようにし、(ii)前記分析動作パターンが前記登録動作パターンのそれぞれと一致しないと、前記データコードが未確認のマルウェアであると判断し、(ii-1)前記第1アクセススイッチないし前記第mアクセススイッチのうち少なくとも一つを通じて前記特定のアクティブホストを前記ネットワークから遮断した後、前記ネットワークコントローラにアラームを送信するようにするプロセス、および(ii-2)前記特定のアクティブホストを前記ネットワークから遮断していない状態で前記ネットワークコントローラに前記アラームを送信するようにして、前記ネットワークコントローラが前記ネットワークからの前記特定のアクティブホストを遮断するか否かを決定するように支援するプロセスのうちいずれか一つのプロセスを実行するようにすることができる。
【0035】
一例において、前記プロセッサは、(III)前記特定のセキュリティエンジンから前記未確認のマルウェアに対応するホストスキャンパケットと前記データパケットとが受信されると、前記未確認のマルウェアを分析した結果を参照して前記マルウェアデータベースをアップデートし、前記未確認のマルウェアに対する動作パターンを含む前記未確認のマルウェアに対する未確認のマルウェアプロファイルを生成し、前記未確認のマルウェアプロファイルを前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれに伝送して、前記第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれをもって、前記予め登録されたマルウェアプロファイルをアップデートするようにするプロセスをさらに実行することができる。
【0036】
一例において、前記プロセッサは、(IV)前記特定のセキュリティエンジンから前記特定のマルウェアに対応するホストスキャンパケットと前記データパケットと、または、前記未確認のマルウェアに対応するホストスキャンパケットと前記データパケットとが受信されると、前記ネットワークコントローラは、前記データパケットおよび前記ホストスキャンパケットを、前記特定のマルウェアに対応する前記データパケットおよび前記ホストスキャンパケットと、前記未確認のマルウェアに対応する前記ホストスキャンパケットおよび前記データパケットとのうちいずれか一つに区分して、後続の分析を行うためのバックデータ用のデータとして格納し管理するプロセスをさらに実行することができる。
【0037】
一例において、前記プロセッサは、前記(I01)プロセスにおいて、前記ネットワーク上で生成しようとする仮想ホストの数をp(前記pは前記m以上の整数である)個とする場合、前記全ホストアドレスを第1グループないし第pグループにグルーピングし、前記第1グループにおける一つの未使用のホストアドレスを参照した第1可用仮想ホストIPアドレスないし前記第pグループにおける一つの未使用のホストアドレスを参照した第p可用仮想ホストIPアドレスを生成し、前記第1可用仮想ホストIPアドレスないし前記第p可用仮想ホストIPアドレスをm個にグルーピングして、前記第1仮想ホストIPアドレスないし前記第m仮想ホストIPアドレスを生成することができる。
【0038】
一例において、前記プロセッサは、前記(II)プロセスにおいて、前記ダイナミックタイムウィンドウの前記予め設定された時間サイズをsとする場合、現在時刻tにおいて、前記第1アクティブホストないし前記第nアクティブホストのそれぞれで、第(t-s)時刻から第t時刻までの間に発生した前記少なくとも一つの特定のタイプのサイバー脅威イベントに対応する少なくとも一つの特定の基準スコアを合算して、前記第1サイバー脅威度スコアないし前記第nサイバー脅威度スコアのそれぞれを生成するが、前記第1タイプのサイバー脅威イベントに対応する第1基準スコアないし前記第kタイプのサイバー脅威イベントに対応する第k基準スコアのそれぞれには第1重みないし第k重みを設定することができる。
【0039】
一例において、前記プロセッサは、(V)前記第1アクティブホストないし前記第nアクティブホストのうち少なくとも一つである特定のアクティブホストに対するサイバー脅威度状態要求情報が取得されると、前記第1タイプのサイバー脅威イベントないし前記第kタイプのサイバー脅威イベントの中で、前記特定のアクティブホストで検出された少なくとも一つの特定のタイプのサイバー脅威イベントのそれぞれを時間軸上に表示し、前記少なくとも一つの特定のタイプのサイバー脅威イベントのそれぞれが検出された検出時刻のそれぞれにおいて、前記ダイナミックタイムウィンドウ内に位置する前記少なくとも一つの特定のタイプのサイバー脅威イベントを参照して、それぞれの特定のサイバー脅威度スコアを生成して表示するプロセスをさらに実行することができる。
【0040】
この他にも、本発明の方法を行うためのコンピュータープログラムを記録するためのコンピューターの読み取り可能な記録媒体がさらに提供される。
【発明の効果】
【0041】
本発明によれば、ネットワークのホストが接続されるアクセススイッチを利用して、ネットワーク上のホストによるサイバー脅威を検出できるようになる。
【0042】
また、本発明によれば、アクセススイッチの低いCPU性能およびメモリ不足を克服し、ネットワークで発生する多様な形態の脅威行為を検出して未検出および誤検出の確率を低減し、正検出率を向上できるようになる。
【0043】
また、本発明によれば、アクセススイッチを通じて検出されたサイバー脅威イベントを利用したホストに対するサイバー脅威度をモニタリングして、ネットワークのサイバー脅威に即座に対応できるようになる。
【0044】
また、本発明によれば、アクセススイッチに生成された仮想ホストにサイバー脅威を与えるようにして、サイバー脅威を与えるホストをネットワークから遮断できるようになる。
【0045】
また、本発明によれば、アクセススイッチを利用してホストのサイバー脅威を検出して、サイバー攻撃の形態の変化に効率的に対応できるようになる。
【図面の簡単な説明】
【0046】
本発明の実施例の説明に用いるために添付された以下の図面は、本発明の実施例の一部に過ぎず、本発明の属する技術分野における通常の知識を有する者(以下、「通常の技術者」)にとっては発明的な作業を行わなくても、これらの図面に基づいて他の図面を得ることができる。
【0047】
図1】本発明の一実施例によるアクセススイッチを利用してネットワークに対するサイバー脅威を検出するサイバー脅威検出システムを概略的に示した図である。
図2】本発明の一実施例によるアクセススイッチを利用してネットワークに対するサイバー脅威を検出するネットワークコントローラを概略的に示した図である。
図3】本発明の一実施例によりアクティブホストで発生する様々なタイプのサイバー脅威イベントを検出するアクセススイッチの構成状態を概略的に示した図である。
図4】本発明の一実施例により仮想ホストを利用してネットワークに対するサイバー脅威を検出する過程を概略的に示した図である。
図5】本発明の一実施例によりアクセススイッチにマルウェアプロファイルをアップデートする状態を概略的に示した図である。
図6】本発明の一実施例によりアクセススイッチを利用してネットワークに対するサイバー脅威を検出する状態を概略的に示した図である。
図7】本発明の一実施例によりアクセススイッチを利用して特定のアクセスホストに対してサイバー脅威を検出した状態を概略的に示した図である。
【発明を実施するための形態】
【0048】
後述の本発明に関する詳細な説明は、本発明が実施され得る特定の実施例を例示として示す添付の図面を参照する。これらの実施例は、通常の技術者が本発明を実施できるように十分詳細に説明される。本発明の様々な実施例は互いに異なるが、相互に排他的である必要はないことが理解されるべきである。例えば、本明細書に記載されている特定の形状、構造および特性は、本発明の精神および範囲を逸脱することなく、一実施例から他の実施例に変更されて実現することができる。また、それぞれの実施例内の個別の構成要素の位置または配置は、本発明の精神および範囲を逸脱することなく変更され得ることが理解されるべきである。したがって、後述の詳細な説明は、限定的な意味としてとらえるべきものではなく、本発明の範囲は、特許請求の範囲の請求項が請求する範囲およびそれと均等なすべての範囲を包括するものとして理解されるべきである。図面において、類似の参照符号は、様々な側面にわたって同一または類似の構成要素を示す。
【0049】
以下では、本発明の属する技術分野における通常の知識を有する者が本発明を容易に実施できるようにするために、本発明の複数の望ましい実施例について添付の図面を参照して詳細に説明する。
【0050】
図1は、本発明の一実施例によるアクセススイッチを利用してネットワークに対するサイバー脅威を検出するサイバー脅威検出システムを概略的に示した図であり、サイバー脅威検出システム1000は、ネットワークコントローラ100と少なくとも一つのアクセススイッチ200_1ないし200_mとを含むことができる。
【0051】
まず、ネットワークコントローラ100は、ネットワーク管理のためのネットワークセキュリティを設定し、アクセススイッチ200_1ないし200_mを利用してネットワークに対するサイバー脅威を検出するものであり、アクセススイッチ200_1ないし200_mを通じてアクセススイッチ200_1ないし200_mのスイッチングポートに接続されたアクティブホストAH_*_*に対する様々なタイプのサイバー脅威イベントを検出し、ダイナミックタイムウィンドウを利用してアクティブホストAH_*_*に対するサイバー脅威度スコアを生成して、アクティブホストAH_*_*に対するサイバー脅威を検出することができる。
【0052】
このとき、図2を参照すると、ネットワークコントローラ100は、アクセススイッチを利用してネットワークに対するサイバー脅威を検出するためのインストラクションが格納されたメモリ110と、メモリに格納されたインストラクションに従いアクセススイッチを利用してネットワークに対するサイバー脅威を検出するための動作を実行するプロセッサ120を含むことができる。
【0053】
具体的には、ネットワークコントローラ100は、典型的にコンピューティング装置(例えば、コンピュータプロセッサ、メモリ、ストレージ、入力装置および出力装置、その他の従来のコンピューティング装置の構成要素を含むことができる装置;ルータ、スイッチなどのような電子通信装置;ネットワークアタッチトストレージ(NAS)およびストレージエリアネットワーク(SAN)のような電子情報ストレージシステム)と、コンピュータソフトウェア(すなわち、コンピューティング装置をもって、特定の方式で機能するようにするインストラクション)との組み合わせを利用して所望のシステム性能を達成してもよいが、これに限定されるものではない。
【0054】
また、ネットワークコントローラ100のプロセッサ120は、MPU(Micro Processing Unit)またはCPU(Central Processing Unit)、キャッシュメモリ(Cache Memory)、データバス(Data Bus)などのハードウェア構成を含むことができる。また、ネットワークコントローラ100は、オペレーティングシステム、特定の目的を実行するアプリケーションのソフトウェア構成をさらに含むこともできる。
【0055】
しかし、ネットワークコントローラ100が、本発明を実施するためのミディアム、プロセッサおよびメモリが統合された形態であるintegratedプロセッサを含む場合を排除するものではない。
【0056】
一方、ネットワークコントローラ100のプロセッサ120は、メモリ110に格納されたインストラクションに従い、ネットワーク内でホストが互いに通信できるようにするアクセススイッチ200_1ないし200_mのスイッチングポートに接続された少なくとも一つのホストである第1アクティブホストないし第nアクティブホストAH_*_*に対する少なくとも一つの第1タイプのサイバー脅威イベントないし少なくとも一つの第kタイプのサイバー脅威イベントをアクセススイッチ200_1ないし200_mのうち少なくとも一部を通じて検出するプロセスを実行することができる。そして、ネットワークコントローラ100のプロセッサ120は、メモリ110に格納されたインストラクションに従い、予め設定された時間サイズを有し時間の経過に伴って移動するダイナミックタイムウィンドウを利用して、第1タイプのサイバー脅威イベントないし第kタイプのサイバー脅威イベントの中で、少なくとも1つの特定の時刻において特定のダイナミックタイムウィンドウ内に位置する、第1アクティブホストないし第nアクティブホストAH_*_*のそれぞれに対する少なくとも一つの特定のタイプのサイバー脅威イベントを参照して、第1アクティブホストないし第nアクティブホストAH_*_*のそれぞれに対する第1サイバー脅威度スコアないし第nサイバー脅威度スコアを生成し、第1サイバー脅威度スコアないし第nサイバー脅威度スコアのそれぞれを利用して、第1アクティブホストないし第nアクティブホストAH_*_*に対するサイバー脅威を検出するプロセスを実行することができる。
【0057】
次に、図1を再度参照すると、第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのそれぞれは、ネットワーク内でアクティブホストおよび仮想ホストが互いに通信できるようにするものであり、第1アクティブホストないし第nアクティブホストAH_*_*で発生する様々なタイプのサイバー脅威イベントを検出するためのインストラクションが格納されたメモリと、メモリに格納されたインストラクションに従い第1アクティブホストないし第nアクティブホストAH_*_*で発生する様々なタイプのサイバー脅威イベントを検出するための動作を実行するプロセッサを含むことができる。
【0058】
具体的には、第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのそれぞれは、典型的にコンピューティング装置(例えば、コンピュータプロセッサ、メモリ、ストレージ、入力装置および出力装置、その他の従来のコンピューティング装置の構成要素を含むことができる装置;ルータ、スイッチなどのような電子通信装置;ネットワークアタッチトストレージ(NAS)およびストレージエリアネットワーク(SAN)のような電子情報ストレージシステム)と、コンピュータソフトウェア(すなわち、コンピューティング装置をもって、特定の方式で機能するようにするインストラクション)との組み合わせを利用して所望のシステム性能を達成してもよいが、これに限定されるものではない。
【0059】
また、第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのそれぞれのプロセッサは、MPU(Micro Processing Unit)またはCPU(Central Processing Unit)、キャッシュメモリ(Cache Memory)、データバス(Data Bus)などのハードウェア構成を含むことができる。また、第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのそれぞれは、オペレーティングシステム、特定の目的を実行するアプリケーションのソフトウェア構成をさらに含むこともできる。
【0060】
しかし、第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのそれぞれが、本発明を実施するためのミディアム、プロセッサおよびメモリが統合された形態であるintegratedプロセッサを含む場合を排除するものではない。
【0061】
それに加えて、第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのそれぞれは、L2スイッチ機能を実行する物理的なモジュールだけでなく、OVS(Open vSwitch)などのようなクラウド環境でL2スイッチ機能を実行する仮想スイッチなどのような論理的なモジュールでも構成することができる。
【0062】
図3を参照して、本発明の一実施例によるアクセススイッチの構成状態を説明すると、以下のとおりである。
【0063】
本発明の一実施例によるアクセススイッチ200は、スイッチハードウェア210、通信パケット処理モジュール220、ネットワークスタック230、およびセキュリティエンジン240を含むことができる。
【0064】
具体的には、スイッチハードウェア210は、ネットワークを介して受信される通信パケットを宛先ホストにフォワーディングするためのスイッチング動作を実行するものであり、仮想ホストを宛先とする通信パケットをフォワーディングするための仮想ホストMACスイッチが登録されてもよい。
【0065】
そして、通信パケット処理モジュール220は、ネットワークを介して受信される通信パケットを分析して宛先ホストを決定し、決定された宛先ホストを参照して、スイッチハードウェア210を介して通信パケットが宛先ホストにフォワーディングされるようにするものであり、アクティブホストから伝送された通信パケットを分析して、様々なタイプのサイバー脅威イベントを検出することができる。また、仮想ホストに対する通信パケットである場合、通信パケット処理モジュール220は、通信パケットをセキュリティエンジン240に伝送し、ブロードキャストのための通信パケットである場合、通信パケット処理モジュール220は、ネットワークスタック230を介して通信パケットを他のアクティブホストにブロードキャストするプロセス、および通信パケットを複製してセキュリティエンジン240に伝送するプロセスを実行することができる。それに加えて、通信パケット処理モジュール220は、仮想ホスト、すなわち、セキュリティエンジン240で生成された通信パケットをスイッチハードウェア210を介して宛先ホストにフォワーディングすることができる。
【0066】
また、ネットワークスタック230は、他のアクセススイッチに接続されたホストを宛先とする通信パケットを、スイッチハードウェア210を介して他のアクセススイッチにフォワーディングすることができる。
【0067】
一方、セキュリティエンジン240は、少なくとも一つの仮想ホストVHが生成された状態で、仮想ホストに伝送されたホストスキャンパケットを分析して、予め設定されたホストスキャン方式の中で、ホストスキャンパケットに利用された特定のホストスキャン方式を確認して応答パケットを生成して伝送し、応答パケットに対応して仮想ホストにデータパケットが伝送されると、データパケットがマルウェアであると判断して、アクセススイッチのうち少なくとも一つを通じてネットワークから仮想ホストにデータパケットを伝送した特定のアクティブホストを遮断するようにすることができる。
【0068】
また、上記では、アクセススイッチ200が物理的なモジュールで構成されているものを例示として説明したが、本発明はこれに限定されず、アクセススイッチ200は、OVSのような仮想スイッチを通じてL2スイッチ機能を実行する論理的なモジュールで構成することもできる。
このように構成された本発明の一実施例によるサイバー脅威検出システムを通じて、アクセススイッチを利用してネットワークに対するサイバー脅威を検出する方法を、図1および図3を参照して説明すると、以下のとおりである。
【0069】
ネットワークコントローラ100は、ネットワーク内でホストが互いに通信できるようにする第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのスイッチングポートに接続された第1アクティブホストないし第nアクティブホストAH_*_*に対する少なくとも一つの第1タイプのサイバー脅威イベントないし少なくとも一つの第kタイプのサイバー脅威イベントを第1アクセススイッチ200_1ないし第mアクセススイッチ200_mを通じて検出することができる。
【0070】
このとき、第1タイプのサイバー脅威イベントないし第kタイプのサイバー脅威イベントは、第1アクティブホストないし第nアクティブホストAH_*_*のそれぞれがマルウェアに感染した状態を検出したマルウェア感染イベント、第1アクティブホストないし第nアクティブホストAH_*_*のそれぞれがC&C(Command & Control)サーバとの接続を行う状態を検出したC&Cサーバ接続イベント、第1アクティブホストないし第nアクティブホストAH_*_*のそれぞれが少なくとも一つの他のアクティブホストまたはネットワーク上に生成された少なくとも一つの仮想ホストVH_*_*をスキャンする状態を検出したネットワークスキャニングイベント、第1アクティブホストないし第nアクティブホストAH_*_*のそれぞれが少なくとも一つの他のアクティブホストまたは少なくとも一つの仮想ホストVH_*_*にマルウェアの感染を試みる状態を検出したマルウェアスプレッディングイベント、および第1アクティブホストないし第nアクティブホストAH_*_*のそれぞれが少なくとも一つの他のアクティブホストをサイバー攻撃する状態を検出したサイバー攻撃イベントのうち少なくとも一部を含むことができる。
【0071】
まず、ネットワークコントローラ100が第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのうちいずれか一つであるアクセススイッチ200を通じて第1タイプのサイバー脅威イベントないし第kタイプのサイバー脅威イベントのうちいずれか一つであるマルウェア感染イベントを検出する過程を説明すると、以下のとおりである。
【0072】
ネットワーク上の第1アクティブホストないし第nアクティブホストAH_*_*のうちいずれか一つである特定のアクティブホストは、未承認のUSB(Universal Serial Bus)デバイスの使用、マルウェアに感染したサイトへの接続、誤ったソフトウェアのダウンロード、マルウェアが含まれた電子メールの開封などのようなユーザの不注意によりマルウェアに感染することがあり、特定のアクティブホストで運用されるアンチウイルスソリューションにより特定のアクティブホストを感染させたマルウェアは検出および遮断され得る。そして、特定のアクティブホストのアンチウイルスソリューションは、特定のアクティブMACアドレスを含むマルウェア感染イベントをアクセススイッチ200を通じてネットワークコントローラ100に伝送することができる。
【0073】
すると、ネットワークコントローラ100は、マルウェア感染イベントに含まれた特定のアクティブホストMACアドレスを通じて特定のアクティブホストがマルウェアに感染したことを検出することができ、それに応じて、ネットワークコントローラ100は、第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのうち少なくとも一つをもって、特定のアクティブホストMACアドレスに対応する特定のアクティブホストをネットワークから遮断するようにすることができる。
【0074】
次に、ネットワークコントローラ100が第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのうちいずれか一つであるアクセススイッチ200を通じて、第1タイプのサイバー脅威イベントないし第kタイプのサイバー脅威イベントのうちいずれか一つであるC&Cサーバ接続イベントを検出する過程を説明すると、以下のとおりである。
【0075】
ネットワーク上の第1アクティブホストないし第nアクティブホストAH_*_*のうち、マルウェアに感染した特定のアクティブホストは、他のアクティブホストを感染させ、特定のターゲットを攻撃するために、外部のC&Cサーバに接続されて運用され得る。
【0076】
したがって、アクセススイッチ200は、サンプリングフロー機能を通じて第1アクティブホストないし第nアクティブホストAH_*_*から伝送される通信パケットをサンプリングし、サンプリングされた通信パケットの宛先IPアドレスを確認し、宛先IPアドレスが外部IPアドレスである場合、サンプリングされた通信パケットを伝送した特定のアクティブホストに対応する特定のアクティブホストMACアドレスとサンプリングされた通信パケットの外部IPアドレスとを含むC&Cサーバ接続イベント情報をネットワークコントローラ100に伝送することができる。
【0077】
すると、ネットワークコントローラ100は、C&Cサーバ接続イベントに含まれた外部IPアドレスがCTI(Cyber Threat Intelligence)データベースに登録された脅威サイトIPアドレスのうち少なくとも一つにマッチングするか否かを確認することができる。
【0078】
そして、ネットワークコントローラ100は、C&Cサーバ接続イベントに含まれた外部IPアドレスがCTIデータベースに登録された脅威サイトIPアドレスのうち少なくとも一つにマッチングすると、第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのうち少なくとも一つをもって、C&Cサーバ接続イベントに含まれた特定のアクティブホストMACアドレスに対応する特定のアクティブホストをネットワークから遮断するようにすることができる。
【0079】
このとき、ネットワークコントローラ100は、C&Cサーバ接続イベントを上記で説明したマルウェア感染イベントと連動して、サイバー脅威検出における未検出および誤検出を最小化し、正検出率を高めることができる。一例として、特定のアクティブホストで運用されるアンチウイルスソリューションが、特定のアクティブホストにインストールされた異常なソフトウェアがマルウェアであるか否かを正確に検出できていない状態で、マルウェア感染イベントが検出された後、予め設定された時間内にC&Cサーバ接続イベントが検出されると、特定のアクティブホストにインストールされた異常なソフトウェアがマルウェアであるか否かを正検出できるようになる。
【0080】
次に、ネットワークコントローラ100が、第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのうちいずれか一つであるアクセススイッチ200を通じて、第1タイプのサイバー脅威イベントないし第kタイプのサイバー脅威イベントのうちいずれか一つであるネットワークスキャニングイベントまたはサイバー攻撃イベントを検出する過程を説明すると、以下のとおりである。
【0081】
ネットワーク上の第1アクティブホストないし第nアクティブホストAH_*_*のうち、マルウェアに感染した特定のアクティブホストは、ネットワーク内でマルウェアの拡散のために他のアクティブホストをスキャンするか、または、マルウェアに感染した多数のアクティブホストが特定のターゲット、一例として、特定のサーバを攻撃することができる。
【0082】
したがって、アクセススイッチ200は、第1アクティブホストないし第nアクティブホストAH_*_*の間で伝送される通信パケットをモニタリングし、アクティブホスト間の通信形態が予め設定された時間内に何回発生したかを確認し、確認された発生回数が予め設定された閾値以上である場合、ネットワークスキャニングイベントまたはサイバー攻撃イベントが発生したことを検出し、当該アクティブホストをネットワークから遮断することができる。一例として、特定のアクティブホストが他のアクティブホストをスキャンする通信パケットが予め設定された時間内に閾値以上の回数で発生するネットワークスキャニングイベント、または特定のアクティブホストが特定のターゲットに送信する通信パケットが予め設定された時間内に閾値以上の回数で発生するか、あるいは多数のアクティブホストが特定のターゲットに送信する通信パケットが予め設定された時間内に閾値以上の回数で発生するサイバー攻撃イベントを検出することができる。
【0083】
このとき、アクセススイッチ200は、CPUおよびメモリの限界により、長時間、アクティブホスト間の通信流れをモニタリングすることができない。したがって、アクセススイッチ200は、検出されたネットワークスキャニングイベントまたはサイバー攻撃イベントの情報をネットワークコントローラ100に伝送することができ、ネットワークコントローラ100は、アクセススイッチ200から受信されたネットワークスキャニングイベントまたはサイバー攻撃イベントを長時間モニタリングして、サイバー脅威に対する正検出率を向上させることができる。
【0084】
次に、ネットワークコントローラ100が第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのうちいずれか一つであるアクセススイッチ200を通じて、第1タイプのサイバー脅威イベントないし第kタイプのサイバー脅威イベントのうちいずれか一つであるマルウェアスプレッディングイベントを検出する過程を説明すると、以下のとおりである。このとき、マルウェアスプレッディングイベントは、アクセススイッチに生成された仮想ホストを利用して検出される。
【0085】
ネットワークに設置された第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのそれぞれは、ネットワークに接続されたアクティブホストのARP(Address Resolution Protocol)通信をモニタリングして、ネットワークに接続されたアクティブホストAH_*_*のIPアドレスとMACアドレスとを収集した後、ネットワークコントローラ100に伝送することができる。
【0086】
すると、ネットワークコントローラ100は、ネットワークに接続されたアクティブホストAH_*_*のIPアドレスとMACアドレスとを参照して、リアルタイムでアクティブホスト管理を行う。
【0087】
そして、ネットワークコントローラ100は、第1アクセススイッチ200_1ないし第mアクセススイッチ200_mから取得されたアクティブホストリストを参照して使用していないIPアドレスを確認し、使用していないIPアドレスを利用して仮想ホストVH_*_*を生成することができる。
【0088】
つまり、ネットワークコントローラ100は、ネットワークの全ホストアドレスの中で、アクティブホストAH_*_*によって使用されていない未使用のホストアドレスを利用して、少なくとも一つの第1仮想ホストIPアドレスないし少なくとも一つの第m仮想ホストIPアドレスを生成し、第1仮想ホストIPアドレスに対応する少なくとも一つの第1仮想ホストMACアドレスないし第m仮想ホストIPアドレスに対応する少なくとも一つの第m仮想ホストMACアドレスを生成する。そして、ネットワークコントローラ100は、第1仮想ホストIPアドレスおよび第1仮想ホストMACアドレスないし第m仮想ホストIPアドレスおよび第m仮想ホストMACアドレスのそれぞれを、第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのそれぞれに伝送することができる。すると、第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのそれぞれは、第1アクセススイッチの内部に設定された第1セキュリティエンジンないし第mアクセススイッチの内部に設定された第mセキュリティエンジンのそれぞれに、第1仮想ホストIPアドレスおよび第1仮想ホストMACアドレスを参照した少なくとも一つの第1仮想ホストVH_1_*ないし第m仮想ホストIPアドレスおよび第m仮想ホストMACアドレスを参照した少なくとも一つの第m仮想ホストVH_m_*を生成することができる。このとき、第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのそれぞれは、それぞれのスイッチハードウェアに、第1仮想ホストVH_1_*ないし第m仮想ホストVH_n_*のそれぞれに対応する第1仮想ホストMACスイッチないし第m仮想ホストMACスイッチを登録して、第1仮想ホストVH_1_*ないし第m仮想ホストVH_m_*のそれぞれを宛先とする通信パケットが第1セキュリティエンジンないし第mセキュリティエンジンのそれぞれに伝送されるようにすることができる。
【0089】
一例として、ネットワークコントローラ100は、ネットワーク上で生成しようとする少なくとも一つの仮想ホストの数をp個とする場合、全ホストアドレスを第1グループないし第pグループにグルーピングし、第1グループにおける一つの未使用のホストアドレスを参照した第1可用仮想ホストIPアドレスないし第pグループにおける一つの未使用のホストアドレスを参照した第p可用仮想ホストIPアドレスを生成し、第1可用仮想ホストIPアドレスないし第p可用仮想ホストIPアドレスをm個にグルーピングして、第1仮想ホストIPアドレスないし第m仮想ホストIPアドレスを生成することができる。
【0090】
例示として、192.168.0.255のクラスCを使用するネットワークに2つのアクセススイッチがあり、ネットワーク上に5つの仮想ホストを生成することを例として挙げると、ホストアドレスは最後のオクテットの0から255までであり、このうち「0」に対応するIPアドレスである192.168.0.0はネットワークアドレスとして使用され、「255」に対応するIPアドレス192.168.0.255はネットワーク内のすべてのホストにメッセージをブロードキャストするために使用されることから、最初のIPアドレスおよび最後のIPアドレスは個別ホストに割り当てることができない。したがって、実際に個別ホストに割り当て可能なIPアドレスは、192.168.0.1から192.168.0.254までのIPアドレスであるため、これらを5つのグループである「192.168.0.1ないし192.168.0.50」の第1グループ、「192.168.0.51ないし192.168.0.100」の第2グループ、「192.168.0.101ないし192.168.0.150」の第3グループ、「192.168.0.151ないし192.168.0.200」の第4グループ、および「192.168.0.201ないし192.168.0.254」の第5グループにグルーピングした後、第1グループ、第2グループ、第3グループ、第4グループ、および第5グループのそれぞれで使用していない各一つのIPアドレスを、第1可用仮想ホストIPアドレスないし第5可用仮想ホストIPアドレスとして生成することができる。そして、第1可用仮想ホストIPアドレスないし第5可用仮想ホストIPアドレスの中で3つの可用仮想ホストIPアドレスを利用して、1番目のアクセススイッチに3つの仮想ホストを生成することができ、残り2つの可用仮想ホストIPアドレスを利用して、2番目のアクセススイッチに2つの仮想ホストを生成することができる。
【0091】
他の例として、ネットワークコントローラ100は、未使用のホストアドレスを第1グループないし第mグループにグルーピングし、第1グループの未使用のホストアドレスを参照した少なくとも一つの第1仮想ホストIPアドレスないし第mグループの未使用のホストアドレスを参照した少なくとも一つの第m仮想ホストIPアドレスを生成することができる。このとき、ネットワークコントローラ100は、仮想ホストIPアドレスが全ホストアドレスで均一に分布するようにするために、アクティブホストAH_*_*が使用しているIPアドレスを一部変更することもできる。また、ネットワークコントローラ100は、仮想ホストIPアドレスが全ホストアドレスで均一に分布するようにするが、前半部のホストアドレス、中半部のホストアドレス、および後半部のホストアドレスのうちいずれか一部のホストアドレスにさらに集中的に分布するようにすることもできる。これにより、一般的なサイバー脅威が、ホストアドレスが低いアドレスから順に高いアドレスのホストに行われたり、ホストアドレスが高いアドレスから順に低いアドレスのホストに行われたり、あるいは特定の位置のアドレスから順に低いアドレスのホストに行われたり、順に高いアドレスのホストに行われたりする状況で、迅速にサイバー脅威を検出して、ネットワークをサイバー脅威から安定的に維持できるようにすることができる。
【0092】
さらに他の例として、ネットワークコントローラ100は、全ホストアドレスを第1グループないし第mグループにグルーピングし、第1グループの全ホストアドレスの中の未使用のホストアドレスを参照した少なくとも一つの第1仮想ホストIPアドレスないし第mグループの全ホストアドレスの中の未使用のホストアドレスを参照した少なくとも一つの第m仮想ホストIPアドレスを生成することができる。このとき、ネットワークコントローラ100は、仮想ホストIPアドレスが全ホストアドレスで均一に分布するようにするために、アクティブホストAH_*_*が使用しているIPアドレスを一部変更することもできる。また、ネットワークコントローラ100は、仮想ホストIPアドレスが全ホストアドレスで均一に分布するようにするが、前半部のホストアドレス、中半部のホストアドレス、および後半部のホストアドレスのうちいずれか一部のホストアドレスにさらに集中的に分布するようにすることもできる。これにより、一般的なサイバー脅威が、ホストアドレスが低いアドレスから順に高いアドレスのホストに行われたり、ホストアドレスが高いアドレスから順に低いアドレスのホストに行われたり、あるいは特定の位置のアドレスから順に低いアドレスのホストに行われたり、順に高いアドレスのホストに行われたりする状況で、迅速にサイバー脅威を検出して、ネットワークをサイバー脅威から安定的に維持できるようにすることができる。
【0093】
参考までに、図1では、第1アクセススイッチ200_1には、192.168.0.10のIPアドレスを有する第1_1アクティブホストAH_1_1と、192.168.0.11のIPアドレスを有する第1_2アクティブホストAH_1_2とが接続され、192.168.0.2の仮想ホストIPアドレスを有する第1_1仮想ホストVH_1_1が生成され、第2アクセススイッチ200_2には、192.168.0.21のIPアドレスを有する第2_1アクティブホストAH_2_1と、192.168.0.22のIPアドレスを有する第2_2アクティブホストAH_2_2とが接続され、192.168.0.50の仮想ホストIPアドレスを有する第2_1仮想ホストVH_2_1と、192.168.0.100の仮想ホストIPアドレスを有する第2_2仮想ホストVH_2_2とが生成され、第mアクセススイッチ200_mには、192.168.0.32のIPアドレスを有する第m_1アクティブホストAH_m_1が接続され、192.168.0.200の仮想ホストIPアドレスを有する第m_1仮想ホストVH_m_1が生成された状態を例示として示している。
【0094】
上記のような方法により、ネットワークのアクセススイッチ200_1ないし200_mに仮想ホストVH_*_*が生成された状態で、アクセススイッチ200_1ないし200_mが仮想ホストを利用してマルウェアスプレッディングイベントを検出する過程を、図1および図3に加え、図4をさらに参照して説明すると、以下のとおりである。参考までに、図4におけるマルウェアスプレッディングを通じてサイバー脅威を与える特定のアクティブホストは、図1における第1_1アクティブホストAH_1_1と想定し、図4における特定のアクセススイッチ200は、図1における第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのうちいずれか一つであり、一つの仮想ホストVHが生成されたことを想定したものである。
【0095】
マルウェアに感染した特定のアクティブホストAH_1_1は、ネットワークに接続された他のホストを感染させるために、ネットワークに接続されたホストを探索するためのホストスキャンパケットを第1アクセススイッチ200_1を通じてネットワークのアクティブホストおよび仮想ホストに伝送(S100)することができる。
【0096】
すると、特定のアクティブホストAH_1_1から伝送されたホストスキャンパケットは、ネットワークに設置された第1アクセススイッチ200_1ないし第mアクセススイッチ200_mのうちいずれか一つである特定のアクセススイッチ200で受信することができ、ホストスキャンパケットを受信した特定のアクセススイッチ200は、ホストスキャンパケットの宛先IPアドレスが予め設定された少なくとも一つの仮想ホストIPアドレスに対応するか否かを確認することができる。
【0097】
そして、ホストスキャンパケットの宛先IPアドレスが特定の仮想ホストIPアドレスに対応するか否かを確認した結果、ホストスキャンパケットの宛先IPアドレスが特定の仮想ホストIPアドレスに対応することが確認されると、特定のアクセススイッチ200は、特定の仮想ホストIPアドレスにマッチングした特定の仮想ホストMACアドレスを参照して、ホストスキャンパケットを特定の仮想ホストVHに伝送することができる。また、特定のアクセススイッチ200は、ホストスキャンパケットによるネットワークスキャニングイベントを検出した結果をネットワークコントローラ100に伝送することもできる。
【0098】
このとき、ホストスキャンパケットの宛先IPアドレスは、特定のホストをスキャンするための特定のIPアドレスであってもよく、ネットワークの全ホストをスキャンするためのブロードキャストIPアドレスであってもよい。
【0099】
したがって、特定のアクセススイッチ200は、特定のアクティブホストAH_1_1から受信されたホストスキャンパケットの宛先IPアドレスを確認した結果、ホストスキャンパケットの宛先IPアドレスが特定の仮想ホストIPアドレスである場合には、ホストスキャンパケットを特定の仮想ホストVHに伝送することができる。
【0100】
これとは異なり、特定のアクセススイッチ200は、特定のアクティブホストAH_1_1から受信されたホストスキャンパケットの宛先IPアドレスを確認した結果、ホストスキャンパケットの宛先IPアドレスがブロードキャストIPアドレスである場合には、ネットワークスタックを介してホストスキャンパケットをネットワーク上のアクティブホストにブロードキャストするプロセス、およびホストスキャンパケットを複製して特定の仮想ホストVHに伝送するプロセスを実行することができる。
【0101】
上記のような動作により、ホストスキャンパケットが特定の仮想ホストVHに伝送されると、すなわち、特定のアクセススイッチ200がホストスキャンパケットを特定の仮想ホストVHが生成されたセキュリティエンジンに伝送すると、セキュリティエンジンは、ホストスキャンパケットに利用された特定のホストスキャン方式に対応し特定の仮想ホストMACアドレスを含む応答パケットを生成することができる。
【0102】
このとき、セキュリティエンジンには、ホストスキャンパケットの特定のホストスキャン方式を確認するための予め設定されたホストスキャン方式が格納されていることがあり、予め設定されたホストスキャン方式は、ICMP(Internet Control Message Protocol)スキャン、TCP(Transmission Control Protocol)スキャンなどの一般的なネットワークで使用されるスキャン方式、SMB(Server Message Block)スキャン、NetBIOSスキャン、NBNS(NetBIOS Name Service)スキャンなどのように確認されたマルウェアで使用されるスキャン方式、およびARPスキャンなどのように一般的なネットワークだけでなく、確認されたマルウェアで使用されるすべてのスキャン方式を含むことができる。
【0103】
そして、特定のアクセススイッチ200は、セキュリティエンジンで生成された応答パケットを特定のアクティブホストAH_1_1に伝送(S200)することができる。つまり、特定のアクセススイッチ200は、特定のアクティブホストAH_1_1によって実行された特定の仮想ホストVHスキャンに対応し、仮想ホスト応答を実行して特定のアクティブホストAH_1_1をもって、特定の仮想ホストVHが感染可能なホストであると認識できるようにすることができる。
【0104】
その後、応答パケットを受信した特定のアクティブホストAH_1_1は、仮想ホストVHが感染可能なホストであると判断し、仮想ホストVHを感染させるためのマルウェアを含み、特定の仮想ホストIPアドレスを宛先IPアドレスとし、特定の仮想ホストMACアドレスを宛先MACアドレスとするデータパケットを生成した後、特定のアクセススイッチ200に伝送(S300)することができる(ここで、特定のアクセススイッチ200に直接伝送する場合であってもよく、他のアクセススイッチを通じて特定のアクセススイッチ200に伝送する場合であってもよい)。つまり、特定のアクティブホストAH_1_1がデータパケットを生成した後、特定のアクセススイッチ200に伝送するという概念は、仮想ホストVHを感染させるための試みとして理解され得る。
【0105】
すると、特定のアクセススイッチ200は、特定のアクティブホストAH_1_1から伝送された宛先IPアドレスおよび宛先MACアドレスが特定の仮想ホストIPアドレスおよび特定の仮想ホストMACアドレスであるデータパケットを特定の仮想ホストVHに伝送することができる。
【0106】
そして、データパケットが仮想ホストVHに伝送されると、すなわち、特定のアクセススイッチ200がデータパケットを特定の仮想ホストVHが生成されたセキュリティエンジンに伝送すると、セキュリティエンジンは、データパケットがマルウェアであると判断して、ネットワークに設置されたアクセススイッチ200_1ないし200_mのうち少なくとも一つを通じてネットワークから特定のアクティブホストAH_1_1を遮断するようにすることができる。つまり、特定のアクセススイッチ200は、特定の仮想ホストに感染を試みる特定のアクティブホストAH_1_1を遮断して、ネットワークをサイバー脅威から保護できるようになる。これは、実際に運用されているアクティブホストではなく仮想ホストをスキャンしアクセスしようとする試みは、正常な動作ではないという点に基づいたものであり、アクセススイッチ段に生成した仮想ホストを感染可能なホストとして認識するようにした後、仮想ホストにサイバー脅威を試みる特定のアクティブホストをネットワークから遮断することにより、他のアクティブホストへのサイバー脅威を試みる前に、効果的にサイバー脅威を遮断できるようになる。また、特定のアクセススイッチ200は、仮想ホストVHにマルウェアスプレッディングをした特定のアクティブホストAH_1_1に対応する特定のアクティブホストMACアドレスを含むマルウェアスプレッディングイベントの情報をネットワークコントローラ100に伝送することができる。
【0107】
一方、特定のアクセススイッチ200のセキュリティエンジンは、データパケットのデータコードを分析してデータコードの動作パターンを分析した分析動作パターンを確認することができる。
【0108】
そして、特定のアクセススイッチ200のセキュリティエンジンは、データパケットに対する分析動作パターンが予め登録されたマルウェアプロファイルのそれぞれに対応する登録動作パターンのうち特定の登録動作パターンと一致すると、データコードが特定の登録動作パターンに対応する特定のマルウェアであると判断し、アクセススイッチ200_1ないし200_mのうち少なくとも一つを通じて特定のアクティブホストAH_1_1をネットワークから遮断するようにすることができる。
【0109】
これとは異なり、分析動作パターンが登録動作パターンのそれぞれと一致しないと、特定のアクセススイッチ200のセキュリティエンジンは、データコードが未確認のマルウェアであると判断し、アクセススイッチ200_1ないし200_mのうち少なくとも一つを通じて特定のアクティブホストAH_1_1をネットワークから遮断した後、ネットワークを管理するネットワークコントローラ100にアラームを送信するか、または、特定のアクティブホストAH_1_1をネットワークから遮断していない状態でネットワークコントローラ100にアラームを送信して、ネットワークコントローラ100がネットワークからの特定のアクティブホストAH_1_1を遮断するか否かを決定するようにすることができる。
【0110】
このとき、ネットワークコントローラ100は、すでに確認されたマルウェアに対する動作パターンをマルウェアデータベースに格納した状態で、マルウェアデータベースから確認されたマルウェアの動作パターンを含むマルウェアプロファイルを生成し、確認されたマルウェアに対するマルウェアプロファイルを第1アクセススイッチ200_1の第1セキュリティエンジンないし第mアクセススイッチ200_mの第mセキュリティエンジンのそれぞれに伝送して、第1セキュリティエンジンないし前記第mセキュリティエンジンのそれぞれをもって、確認されたマルウェアに対するマルウェアプロファイルを登録するようにすることができる。
【0111】
一例として、マルウェアデータベースは以下の表1のように示すことができ、マルウェアデータベースは、確認されたマルウェアに対するホストスキャン方式、プロトコルおよびアプローチ方式などの動作パターンに関する情報を格納することができる。しかし、本発明はこれに限定されず、マルウェアの動作パターンを確認するための様々な情報を含むこともできる。
【0112】
【表1】
【0113】
また、特定のアクセススイッチ200のセキュリティエンジンは、未確認のマルウェアに対応するホストスキャンパケットとデータパケットとをネットワークコントローラ100に伝送することができる。
【0114】
すると、ネットワークコントローラ100は、以下の表2のように、マルウェアデータベースに未確認のマルウェアに関する情報を追加することができる。
【0115】
【表2】
【0116】
そして、ネットワークコントローラ100は、未確認のマルウェアの動作パターンを分析し、未確認のマルウェアを分析した結果を参照してマルウェアデータベースをアップデートすることができる。
【0117】
その後、図5に示すように、ネットワークコントローラ100は、マルウェアデータベースにアップデートされた未確認のマルウェアに対する動作パターンを含む未確認のマルウェアに対する未確認のマルウェアプロファイルを生成し、未確認のマルウェアに対するマルウェアプロファイルを、第1アクセススイッチ200_1の第1セキュリティエンジンないし第mアクセススイッチ200_mの第mセキュリティエンジンのそれぞれに伝送して、第1セキュリティエンジンないし第mセキュリティエンジンのそれぞれをもって、予め登録されたマルウェアプロファイルをアップデートするようにすることができる。
【0118】
また、特定のアクセススイッチ200のセキュリティエンジンは、特定のマルウェアに対応するホストスキャンパケットとデータパケットと、または、未確認のマルウェアに対応するホストスキャンパケットとデータパケットとをネットワークコントローラ100に伝送することができる。
【0119】
すると、ネットワークコントローラ100は、データパケットおよびホストスキャンパケットを、特定のマルウェアに対応するデータパケットおよびホストスキャンパケットと、未確認のマルウェアに対応するホストスキャンパケットおよびデータパケットとのうちいずれか一つに区分して、後続の分析を行うためのバックデータ用のデータとして格納し管理することができる。
【0120】
上記のような方法により、アクセススイッチ200_1ないし200_mを通じて第1アクティブホストないし第nアクティブホストAH_*_*に対する少なくとも一つの第1タイプのサイバー脅威イベントないし少なくとも一つの第kタイプのサイバー脅威イベントが検出されると、ネットワークコントローラ100は、予め設定された時間サイズを有し時間の経過に伴って移動するダイナミックタイムウィンドウを利用して、第1タイプのサイバー脅威イベントないし第kタイプのサイバー脅威イベントの中で、少なくとも一つの特定の時刻において特定のダイナミックタイムウィンドウ内に位置する、第1アクティブホストないし第nアクティブホストAH_*_*のそれぞれに対する少なくとも1つの特定のタイプのサイバー脅威イベントを参照して、第1アクティブホストないし第nアクティブホストAH_*_*のそれぞれに対する第1サイバー脅威度スコアないし第nサイバー脅威度スコアを生成し、第1サイバー脅威度スコアないし第nサイバー脅威度スコアのそれぞれを利用して、第1アクティブホストないし第nアクティブホストAH_*_*に対するサイバー脅威を検出することができる。
【0121】
このとき、ネットワークコントローラ100は、ダイナミックタイムウィンドウの予め設定された時間サイズをsとする場合、現在時刻tにおいて、第1アクティブホストないし第nアクティブホストAH_*_*のそれぞれで、第(t-s)時刻から第t時刻までの間に発生した少なくとも一つの特定のタイプのサイバー脅威イベントに対応する少なくとも一つの特定の基準スコアを合算して、第1サイバー脅威度スコアないし第nサイバー脅威度スコアのそれぞれを生成するが、第1タイプのサイバー脅威イベントに対応する第1基準スコアないし第kタイプのサイバー脅威イベントに対応する第k基準スコアのそれぞれには第1重みないし第k重みを設定することができる。また、ダイナミックタイムウィンドウを利用したサイバー脅威度スコアを演算する時刻は、現在時刻または現在時点で最も直近にサイバー脅威イベントが検出された時刻であってもよい。それに加えて、ダイナミックタイムウィンドウの予め設定された時間サイズsは、0より大きい整数であってもよく、時間とともに、または直近に検出されたサイバー脅威イベントの回数/頻度/重要度に応じて可変であってもよい。
【0122】
一例として、図6を参照すると、第1タイプのサイバー脅威イベントないし第kタイプのサイバー脅威イベントのそれぞれに対して、第1基準スコアないし第k基準スコアのそれぞれを設定することができる。また、第1基準スコアないし第k基準スコアのそれぞれには、第1重みないし第k重みのそれぞれを設定することもできる。ここで、第1重みないし第k重みは異なる値であってもよいが、これに限定されるものではない。参考までに、図6においては、第1タイプのサイバー脅威イベントには「10」の第1基準スコアが設定され、第2タイプのサイバー脅威イベントには「5」の第2基準スコアが設定され、第3タイプのサイバー脅威イベントには「5」の第3基準スコアが設定され、第kタイプのサイバー脅威イベントには「5」の第k基準スコアが設定された状態を例示として示している。
【0123】
そして、ネットワークコントローラ100は、特定の時刻において、ダイナミックタイムウィンドウ内に位置するそれぞれのアクティブホストに対するサイバー脅威イベントおよびサイバー脅威イベントのタイプを確認した後、それぞれのタイプによるそれぞれの基準スコアを合算して、アクティブホストのそれぞれに対するサイバー脅威度スコアを演算することができる。このとき、ネットワークコントローラ100は、サイバー脅威イベントのそれぞれのタイプに重みを与えて、アクティブホストのそれぞれに対するサイバー脅威度スコアを演算することもできる。参考までに、図6においては、「192.160.201.100」のIPアドレスを有するアクティブホストでは、第1タイプのサイバー脅威イベントおよび第2タイプのサイバー脅威イベントが特定の時刻におけるダイナミックタイムウィンドウ内で検出され、「192.168.201.101」のIPアドレスを有するアクティブホストでは、第3タイプのサイバー脅威イベントが特定の時刻におけるダイナミックタイムウィンドウ内で検出され、「192.168.201.102」のIPアドレスを有するアクティブホストでは、第kタイプのサイバー脅威イベントが特定の時刻におけるダイナミックタイムウィンドウ内で検出され、「192.168.201.103」のIPアドレスを有するアクティブホストでは、第3タイプのサイバー脅威イベントが特定の時刻におけるダイナミックタイムウィンドウ内で検出され、「192.168.201.104」のIPアドレスを有するアクティブホストでは、第2タイプのサイバー脅威イベントおよび第3タイプのサイバー脅威イベントが特定の時刻におけるダイナミックタイムウィンドウ内で検出され、「192.168.201.105」のIPアドレスを有するアクティブホストでは、第3タイプのサイバー脅威イベントおよび第kタイプのサイバー脅威イベントが特定の時刻におけるダイナミックタイムウィンドウ内で検出された状態を示している。
【0124】
これにより、ネットワークコントローラ100は、ネットワーク内のすべてのアクティブホストに対するサイバー脅威度スコアを参照して、個々のサイバー脅威イベントで発生され得る未検出および誤検出を最小化することができる。また、ネットワークコントローラ100は、アクティブホストに対するサイバー脅威度スコアが予め設定された閾値以上であるか否かを確認し、サイバー脅威度スコアが予め設定された閾値以上になる当該アクティブホストをネットワークから遮断して、ネットワークをサイバー脅威から安全に保護できるようにすることができる。
【0125】
それに加えて、ネットワークコントローラ100は、アクティブホストに対するサイバー脅威度スコアの変化量を確認して、サイバー脅威度スコアが急激に上昇する場合、当該アクティブホストをネットワークから遮断することもできる。
【0126】
また、ネットワークコントローラ100は、特定のアクティブホストに対するサイバー脅威度状態要求情報が取得されると、第1タイプのサイバー脅威イベントないし第kタイプのサイバー脅威イベントの中で、特定のアクティブホストで検出された検出サイバー脅威イベントのそれぞれを時間軸上に表示し、検出サイバー脅威イベントのそれぞれが検出された検出時刻のそれぞれに対応するそれぞれのダイナミックタイムウィンドウ内に位置する少なくとも一つの特定のタイプのサイバー脅威イベントを参照して、それぞれの特定のサイバー脅威度スコアを生成して表示することができる。
【0127】
一例として、図7を参照すると、特定のアクティブホストにおいて時間順に、t1時刻において第1タイプのサイバー脅威イベントが検出され、t2時刻において第2タイプのサイバー脅威イベントが検出され、t3時刻において第4タイプのサイバー脅威イベントが検出され、t4時刻において第3タイプのサイバー脅威イベントが検出され、t5時刻において第4タイプのサイバー脅威イベントが検出され、t6時刻において第1タイプのサイバー脅威イベントが検出され、t7時刻において第5タイプのサイバー脅威イベントが検出されたと想定する場合、ネットワークコントローラ100は、t1時刻におけるダイナミックタイムウィンドウw1には第1タイプのサイバー脅威イベントのみが位置するため、第1タイプのサイバー脅威イベントに対応する第1基準スコアである「10」を特定のアクティブホストのt1時刻におけるサイバー脅威度スコアとして出力することができる。そして、ネットワークコントローラ100は、t2時刻におけるダイナミックタイムウィンドウw2には、第1タイプのサイバー脅威イベントと第2タイプのサイバー脅威イベントとが位置するので、第1サイバー脅威イベントに対応する第1基準スコアである「10」と第2サイバー脅威イベントに対応する第2基準スコアである「5」とを合算した「15」を特定のアクティブホストのt2時刻におけるサイバー脅威度スコアとして出力することができる。また、ネットワークコントローラ100は、t3時刻におけるダイナミックタイムウィンドウw3には、第1タイプのサイバー脅威イベント、第2タイプのサイバー脅威イベント、および第4タイプのサイバー脅威イベントが位置するので、第1タイプのサイバー脅威イベントに対応する第1基準値である「10」、第2タイプのサイバー脅威イベントに対応する第2基準値である「5」、および第4タイプのサイバー脅威イベントに対応する第4基準値である「10」を合算した「25」を特定のアクティブホストのt3時刻におけるサイバー脅威度スコアとして出力することができる。同一の方法により、ネットワークコントローラ100は、特定のアクティブホストのt4時刻、t5時刻、t6時刻、およびt7時刻におけるサイバー脅威度スコアを出力することができる。このとき、ネットワークコントローラ100は、それぞれの時刻におけるダイナミックタイムウィンドウの時間サイズを互いに異なるように設定することもできる。すなわち、サイバー脅威イベントの検出頻度が高い場合には時間サイズを小さくし、サイバー脅威イベントの検出頻度が低い場合には時間サイズを大きくして、変形されたサイバー脅威をより正確に検出できるようにすることができる。
【0128】
以上、説明された本発明による実施例は、様々なコンピュータの構成要素を通じて実行することができるプログラム命令の形態で実現され、コンピュータ読み取り可能な記録媒体に記録することができる。前記コンピュータ読み取り可能な記録媒体は、プログラム命令、データファイル、データ構造などを単独または組み合わせて含むことができる。前記コンピュータ読み取り可能な記録媒体に記録されるプログラム命令は、本発明のために特別に設計され構成されたものであってもよく、コンピュータソフトウェア分野における当業者にとって公知で使用可能なものであってもよい。コンピュータ読み取り可能な記録媒体の例には、ハードディスク、フロッピー(登録商標)ディスク、および磁気テープのような磁気媒体、CD-ROM、DVDのような光記録媒体、フロプティカルディスク(floptical disk)のような光磁気媒体(magneto-optical media)、およびROM、RAM、フラッシュメモリなどのようなプログラム命令を格納して実行するように特別に構成されたハードウェア装置が含まれる。プログラム命令の例には、コンパイラによって作成されるような機械語コードだけでなく、インタプリタなどを用いてコンピュータによって実行され得る高級言語コードも含まれる。前記ハードウェア装置は、本発明による処理を行うために、一つ以上のソフトウェアモジュールとして動作するように構成することができ、その逆も同様である。
【0129】
以上、本発明が具体的な構成要素などのような特定事項と、限定された実施例および図面とによって説明されたが、これは本発明のより全体的な理解を助けるために提供されたものに過ぎず、本発明が前記実施例に限定されるものではなく、本発明の属する技術分野における通常の知識を有する者であれば、このような記載から様々な修正および変形を図ることができる。
【0130】
したがって、本発明の思想は、前記説明された実施例に限って定められてはならず、後述の特許請求の範囲だけでなく、この特許請求の範囲と均等に、または等価に変形されたすべてのものは、本発明の思想の範囲に属するものとする。
【符号の説明】
【0131】
1000 サイバー脅威検出システム
100 ネットワークコントローラ
110 メモリ
120 プロセッサ
200_1ないし200_n アクセススイッチ
AH_*_* アクティブホスト
VH_*_* 仮想ホスト
【要約】      (修正有)
【課題】ネットワークのホストが接続されるアクセススイッチを利用して、ネットワーク上のホストによるサイバー脅威を検出する方法を提供する。
【解決手段】サイバー脅威検出システム1000において、ネットワークコントローラ100は、ネットワーク内で互いに通信可能とするアクセススイッチ200_1~200_mのスイッチングポートに接続されたアクティブホストアクティブホストAH_1_1~AH_m_1に対するサイバー脅威イベントを検出し、予め設定された時間サイズを有し、時間経過に伴って移動するダイナミックタイムウィンドウを利用して、特定の時刻における特定のダイナミックタイムウィンドウ内に位置する各アクティブホストに対する特定のタイプのサイバー脅威イベントを参照し、各アクティブホストの各サイバー脅威度スコアを生成し、生成したサイバー脅威度スコアを利用して各アクティブホストに対するサイバー脅威を検出する。
【選択図】図1
図1
図2
図3
図4
図5
図6
図7
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.