JP2013525927A5 - - Google Patents
Download PDFInfo
- Publication number
- JP2013525927A5 JP2013525927A5 JP2013508510A JP2013508510A JP2013525927A5 JP 2013525927 A5 JP2013525927 A5 JP 2013525927A5 JP 2013508510 A JP2013508510 A JP 2013508510A JP 2013508510 A JP2013508510 A JP 2013508510A JP 2013525927 A5 JP2013525927 A5 JP 2013525927A5
- Authority
- JP
- Japan
- Prior art keywords
- attack
- impact
- information system
- policy
- security policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000001225 therapeutic Effects 0.000 description 37
- 230000004044 response Effects 0.000 description 31
- 230000004913 activation Effects 0.000 description 26
- 230000000875 corresponding Effects 0.000 description 8
- 238000001514 detection method Methods 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 6
- 230000003213 activating Effects 0.000 description 5
- 230000001186 cumulative Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 201000009910 diseases by infectious agent Diseases 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking Effects 0.000 description 1
- 230000002596 correlated Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing Effects 0.000 description 1
- 230000000977 initiatory Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000000607 poisoning Effects 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000004043 responsiveness Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 230000001960 triggered Effects 0.000 description 1
Description
本発明は、情報システム保護の分野に関し、より正確には、情報システムが受けた、または受けている攻撃に応じたセキュリティポリシーの管理に関する。
情報システムのインフラストラクチャは、侵入、データ窃盗、ウイルスもしくはワームなどの悪意のあるイベントにつながる有害な攻撃から保護される必要がある。
大型の情報システムインフラストラクチャを有する既存の攻撃検出システムによって生成されるアラートの潜在的な数により、事業者が、攻撃のリスクをリアルタイムで評価し、その攻撃に応答して適用されるべき適切な応答を決定することが不可能になる。このため、形式的に定義された運用上のセキュリティポリシーの自動的な展開が、遠隔通信インフラストラクチャおよび情報インフラストラクチャの保護において考慮され始めている。
図1は、従来技術のそのような自動的保護の例である。
第1のステップ101は、基本的なアラートの生成(102)につながる、監視される情報システムに向けての攻撃の検出に対応する。次に、アラート相互関係が処理されて(103)、適切なセキュリティ規則をアクティブ化する(106)ようにポリシーインスタンス化エンジンに送信される(105)互いに関係するアラートが定義される(104)。これらの規則は、構成スクリプトを生成する(108)ポリシー決定ポイントに送信され(107)、次に、この構成スクリプトがポリシー執行ポイントを構成するのに使用される(109)。これらのポリシー執行ポイント(109)は、情報システム1内に配置され、さらに検出された攻撃に応答してセキュリティ規則を適用する。
自動ポリシーアクティブ化のそのような構成は、欠点を抱えている。実際、そのような構成は、互いに関係するアラートのみに基づいており、互いに関係するアラートの数は、数千のセキュリティポリシーアクティブ化につながる非常に大きい数(大型のシステムでは1日のうちに数千まで)に達する可能性がある。さらに、それらのセキュリティポリシーの非アクティブ化が、従来技術の構成において考慮に入れられておらず、したがって、セキュリティポリシーは、情報システム1のユーザに及ぼす影響が攻撃の影響より悪い場合でさえ、アクティブ化されたままであり得る。
したがって、本発明の1つの目的は、従来技術の前述した欠点を克服し、さらにアクティブ化決定に影響を与える複数のパラメータを考慮すること、および必要な場合に、セキュリティポリシーの不アクティブ化を可能にする方法を定義することによって、必要な場合に限ってセキュリティポリシーアクティブ化を動的にトリガすることを可能にする方法を提供することである。
このことは、攻撃に応じて、情報システムインフラストラクチャのセキュリティポリシーを適合させるための方法によって達せられ、この方法は:
− 潜在的な攻撃、およびそれらの攻撃に関連するリスクをデータリポジトリの中に格納するステップと;
− データリポジトリの中の潜在的な攻撃に応答して治療的なセキュリティポリシーを格納するステップと;
− 情報システムのデータストリームを表す、入ってくるコンテンツを監視するステップと;
− 情報システムにおいて少なくとも1つの攻撃を検出するステップと;
− 検出された少なくとも1つの攻撃の成功確率パラメータ、およびその攻撃に関連するコスト影響パラメータを評価するステップと;
− 検出された少なくとも1つの攻撃に応答して、少なくとも1つの治療的なセキュリティポリシーのアクティブ化影響パラメータ、およびその治療的なセキュリティポリシーに関連するコスト影響パラメータを評価するステップと;
− 検出された少なくとも1つの攻撃の成功確率パラメータ、少なくとも1つの治療的なセキュリティポリシーのアクティブ化影響パラメータ、および検出された少なくとも1つの攻撃と少なくとも1つの治療的なセキュリティポリシーの両方のコスト影響パラメータに応じて、治療的なセキュリティポリシーのアクティブ化または非アクティブ化を決定するステップとを備える。
− 潜在的な攻撃、およびそれらの攻撃に関連するリスクをデータリポジトリの中に格納するステップと;
− データリポジトリの中の潜在的な攻撃に応答して治療的なセキュリティポリシーを格納するステップと;
− 情報システムのデータストリームを表す、入ってくるコンテンツを監視するステップと;
− 情報システムにおいて少なくとも1つの攻撃を検出するステップと;
− 検出された少なくとも1つの攻撃の成功確率パラメータ、およびその攻撃に関連するコスト影響パラメータを評価するステップと;
− 検出された少なくとも1つの攻撃に応答して、少なくとも1つの治療的なセキュリティポリシーのアクティブ化影響パラメータ、およびその治療的なセキュリティポリシーに関連するコスト影響パラメータを評価するステップと;
− 検出された少なくとも1つの攻撃の成功確率パラメータ、少なくとも1つの治療的なセキュリティポリシーのアクティブ化影響パラメータ、および検出された少なくとも1つの攻撃と少なくとも1つの治療的なセキュリティポリシーの両方のコスト影響パラメータに応じて、治療的なセキュリティポリシーのアクティブ化または非アクティブ化を決定するステップとを備える。
本発明の別の態様によれば、潜在的な攻撃、およびそれらの攻撃に関連するリスクをデータリポジトリの中に格納するステップは:
− 情報システムトポロジおよび攻撃検出シグネチャを定義するステップと;
− 潜在的な攻撃目的を識別する情報システムのリスク分析を定義するステップと;
− それらの識別された攻撃目的を実現するように攻撃モデルを規定するステップと;
− それらの攻撃モデルをデータリポジトリの中に格納するステップとを備える。
− 情報システムトポロジおよび攻撃検出シグネチャを定義するステップと;
− 潜在的な攻撃目的を識別する情報システムのリスク分析を定義するステップと;
− それらの識別された攻撃目的を実現するように攻撃モデルを規定するステップと;
− それらの攻撃モデルをデータリポジトリの中に格納するステップとを備える。
本発明のさらなる態様によれば、データリポジトリの中の潜在的な攻撃に応答して治療的なセキュリティポリシーを格納するステップは:
− 少なくとも1つの攻撃コンテキストを規定するステップと;
− 規定された少なくとも1つの攻撃コンテキストに対応する治療的なセキュリティポリシーを規定するステップと;
− それらの治療的なセキュリティポリシーをデータリポジトリの中に格納するステップとを備える。
− 少なくとも1つの攻撃コンテキストを規定するステップと;
− 規定された少なくとも1つの攻撃コンテキストに対応する治療的なセキュリティポリシーを規定するステップと;
− それらの治療的なセキュリティポリシーをデータリポジトリの中に格納するステップとを備える。
本発明のさらなる態様によれば、検出された少なくとも1つの攻撃の成功確率パラメータ、およびその攻撃に関連するコスト影響パラメータを評価するステップは:
− 格納された攻撃モデル、および検出された少なくとも1つの攻撃に基づいて攻撃戦略グラフを生成するステップと;
− 攻撃がその攻撃の目的を実現する確率を評価するステップと;
− システムセキュリティレベルおよびシステムQoS(サービス品質)レベルでその攻撃目的の影響を評価するステップと;
− 攻撃目的の関連するコスト影響パラメータを評価するステップとを備える。
− 格納された攻撃モデル、および検出された少なくとも1つの攻撃に基づいて攻撃戦略グラフを生成するステップと;
− 攻撃がその攻撃の目的を実現する確率を評価するステップと;
− システムセキュリティレベルおよびシステムQoS(サービス品質)レベルでその攻撃目的の影響を評価するステップと;
− 攻撃目的の関連するコスト影響パラメータを評価するステップとを備える。
本発明の別の態様によれば、検出された少なくとも1つの攻撃に応答して、少なくとも1つの治療的なセキュリティポリシーのアクティブ化影響パラメータ、およびその治療的なセキュリティポリシーに関連するコスト影響パラメータを評価するステップは、格納された治療的なセキュリティポリシー、および監視される情報システムの状態に基づく。
本発明のさらなる態様によれば、検出された少なくとも1つの攻撃の成功確率パラメータ、少なくとも1つの治療的なセキュリティポリシーのアクティブ化影響パラメータ、および検出された少なくとも1つの攻撃と少なくとも1つの治療的なセキュリティポリシーの両方のコスト影響パラメータに応じて、治療的なセキュリティポリシーのアクティブ化または非アクティブ化を決定するステップは、監視されるシステムの状態の進展に基づいて、動的に適用される。
本発明のさらなる態様によれば、コスト影響パラメータは:
− QoS(サービス品質)影響と、
− セキュリティレベル低下影響とを備える。
− QoS(サービス品質)影響と、
− セキュリティレベル低下影響とを備える。
また、本発明は:
− 潜在的な攻撃、およびそれらの攻撃に関連するリスクを格納するため;
− 潜在的な攻撃に応答して治療的なセキュリティポリシーを格納するための
少なくとも1つのデータリポジトリと、
− 情報システムのデータストリームを表す、入ってくるコンテンツを監視するため;
− 情報システムにおいて少なくとも1つの攻撃を検出するため;
− 検出された少なくとも1つの攻撃の成功確率パラメータ、およびその攻撃に関連するコスト影響パラメータを評価するため;
− 検出された少なくとも1つの攻撃に応答して、少なくとも1つの治療的なセキュリティポリシーの少なくとも1つのアクティブ化影響パラメータ、およびその治療的なセキュリティポリシーに関連するコスト影響パラメータを評価するため;
− 検出された少なくとも1つの攻撃の成功確率パラメータ、少なくとも1つの治療的なセキュリティポリシーのアクティブ化影響パラメータ、および少なくとも1つの攻撃と少なくとも1つの治療的なポリシーの両方のコスト影響パラメータに応じて、治療的なセキュリティポリシーのアクティブ化を決定するため;
− 少なくとも1つの治療的なセキュリティポリシーをアクティブ化するための
処理手段とを備える監視−保護機器にも関する。
− 潜在的な攻撃、およびそれらの攻撃に関連するリスクを格納するため;
− 潜在的な攻撃に応答して治療的なセキュリティポリシーを格納するための
少なくとも1つのデータリポジトリと、
− 情報システムのデータストリームを表す、入ってくるコンテンツを監視するため;
− 情報システムにおいて少なくとも1つの攻撃を検出するため;
− 検出された少なくとも1つの攻撃の成功確率パラメータ、およびその攻撃に関連するコスト影響パラメータを評価するため;
− 検出された少なくとも1つの攻撃に応答して、少なくとも1つの治療的なセキュリティポリシーの少なくとも1つのアクティブ化影響パラメータ、およびその治療的なセキュリティポリシーに関連するコスト影響パラメータを評価するため;
− 検出された少なくとも1つの攻撃の成功確率パラメータ、少なくとも1つの治療的なセキュリティポリシーのアクティブ化影響パラメータ、および少なくとも1つの攻撃と少なくとも1つの治療的なポリシーの両方のコスト影響パラメータに応じて、治療的なセキュリティポリシーのアクティブ化を決定するため;
− 少なくとも1つの治療的なセキュリティポリシーをアクティブ化するための
処理手段とを備える監視−保護機器にも関する。
また、本発明は:
− 潜在的な攻撃、およびそれらの攻撃に関連するリスクを格納するため;
− 潜在的な攻撃に応答して治療的なセキュリティポリシーを格納するための
少なくとも1つのデータリポジトリと、
− 情報システムのデータストリームを表す、入ってくるコンテンツを監視するため;
− 情報システムにおいて少なくとも1つの攻撃を検出するため;
− 検出された少なくとも1つの攻撃の成功確率パラメータ、およびその攻撃に関連するコスト影響パラメータを評価するため;
− 検出された少なくとも1つの攻撃に応答して、少なくとも1つの治療的なセキュリティポリシーの少なくとも1つのアクティブ化影響パラメータ、およびその治療的なセキュリティポリシーに関連するコスト影響パラメータを評価するため;
− 検出された少なくとも1つの攻撃の成功確率パラメータ、少なくとも1つの治療的なセキュリティポリシーのアクティブ化影響パラメータ、および少なくとも1つの攻撃と少なくとも1つの治療的なポリシーの両方のコスト影響パラメータに応じて、治療的なセキュリティポリシーの非アクティブ化を決定するため;
− 少なくとも1つの治療的なセキュリティポリシーを非アクティブ化するための
処理手段とを備える監視−保護機器にも関する。
− 潜在的な攻撃、およびそれらの攻撃に関連するリスクを格納するため;
− 潜在的な攻撃に応答して治療的なセキュリティポリシーを格納するための
少なくとも1つのデータリポジトリと、
− 情報システムのデータストリームを表す、入ってくるコンテンツを監視するため;
− 情報システムにおいて少なくとも1つの攻撃を検出するため;
− 検出された少なくとも1つの攻撃の成功確率パラメータ、およびその攻撃に関連するコスト影響パラメータを評価するため;
− 検出された少なくとも1つの攻撃に応答して、少なくとも1つの治療的なセキュリティポリシーの少なくとも1つのアクティブ化影響パラメータ、およびその治療的なセキュリティポリシーに関連するコスト影響パラメータを評価するため;
− 検出された少なくとも1つの攻撃の成功確率パラメータ、少なくとも1つの治療的なセキュリティポリシーのアクティブ化影響パラメータ、および少なくとも1つの攻撃と少なくとも1つの治療的なポリシーの両方のコスト影響パラメータに応じて、治療的なセキュリティポリシーの非アクティブ化を決定するため;
− 少なくとも1つの治療的なセキュリティポリシーを非アクティブ化するための
処理手段とを備える監視−保護機器にも関する。
本明細書で使用される「攻撃」とは、システムの通常の許可された用法に違反する、または、例えば、ネットワークをスキャンすること、パスワードをクラックすること、悪意のある電子メール(スパムとも呼ばれる)を送信すること、不正な形式のIP(インターネットプロトコル)パケットを送信することなどの、システムの脆弱性を意図的に、または偶然に利用する、システムにおけるイベントを指す。
さらに、情報システムに関して攻撃という表現は、情報システムの外部または内部から開始されて(通常、攻撃者マシンから)、その情報システムに、前記システムにおける機能障害をもたらすために向けられる攻撃を指す。
本明細書で使用される「SIP」という用語は、セッションインターネットプロトコルの頭字語である。
本明細書で使用される「IP」という用語は、インターネットプロトコルの頭字語である。
本明細書で使用される「QoS」という用語は、サービス品質の頭字語である。
本発明の実施形態は、情報システムのユーザに対する攻撃の影響、特にコストを最小限に抑えるために、アクティブ化/非アクティブ化決定に攻撃の影響だけでなく、攻撃がその攻撃の目的を実現する成功の尤度、およびセキュリティポリシーの影響が考慮に入れられる、悪意のある攻撃から情報システムを保護するためにセキュリティポリシーのアクティブ化および非アクティブ化を行うための方法に関する。
図2は、情報システム1の保護を適合させるための方法の全体的なステップを表す。
ステップ110は、潜在的な攻撃、およびそれらの攻撃に関連するリスクを規定すること、およびデータリポジトリの中に格納することに関する。この第1のステップは、取られうる攻撃の戦略および目的を定義する攻撃モデルをもたらすことを可能にする。
ステップ111は、前のステップで定義された可能な攻撃に応答して適用すべき予見されるセキュリティポリシーを規定すること、およびデータリポジトリの中に格納することに関する。
ステップ112は、データストリームに対応する情報システム1の入ってくるコンテンツを監視すること、および攻撃検出に関する。
ステップ113は、検出された攻撃の成功確率、およびこれらの攻撃に関連するコスト影響を評価することに関する。そのような評価は、ステップ110で格納された攻撃モデル、およびステップ112で検出された攻撃に基づいて実現される。
ステップ114は、検出された攻撃に応答して治療的なセキュリティポリシーをアクティブ化することの影響、およびこのアクティブ化に関連するコスト影響を評価することに関する。そのような評価は、ステップ111で格納されたセキュリティポリシー、および監視される情報システム1の状態に基づいて実現される。
ステップ115は、ステップ113および114で実現される評価に応じて治療的なセキュリティポリシーをアクティブ化する、または非アクティブ化する決定に関する。そのような決定は、情報システム1に対する攻撃と治療的なセキュリティポリシーの両方の累積的な影響を比較することに対応する。
次に、ステップ115で決定されたアクティブ化または非アクティブ化が、ステップ116で適用される。
さらに、ステップ110および111は、オフラインで実現され得る予備的なステップである一方で、ステップ112、113、114、115、116は、情報システムのいずれの変更も、セキュリティポリシーのアクティブ化または非アクティブ化を決定するのにリアルタイムで考慮に入れられるようにオンラインで実現される動的なステップであることに留意されたい。
したがって、本発明は、攻撃結果と、セキュリティポリシーのアクティブ化の結果の両方の評価のお陰で、治療的なセキュリティポリシーをアクティブ化する価値があるかどうかを判定することを可能にし、さらにこのポリシーがアクティブ化される場合、情報システムの進展、およびその情報システムに対するこのポリシーの影響に応じて、このポリシーをアクティブ化されたままにする価値があるかどうかを判定することを可能にする。
前述したとおり、攻撃は、システムにおいて生じるイベントである。実際には、攻撃は、VoIP(ボイスオーバーインターネットプロトコル)システムをハッキングすることを狙いとする攻撃グラフの例が示される図3で説明される攻撃の目的につながる様々なレベル(またはステップ)を備える。
第1のレベル201は、被害者マシンに向けて電子メール(悪意のある電子メールまたはスパム)を送信することに対応する。次に、下の(または次の)複数のレベルが、目的を実現する様々なステップ(213、214、215、および216)を表す。第2のレベル202は、被害者マシンにおけるリモートシェルの取得(ユーザが悪意のあるリンク、または電子メールの添付ファイルを開くことに対応する)に関する。第3のレベル203は、リモートシェルを使用する人間の活動をシミュレートすることができる、悪意のあるソフトウェアボットのインストールであるボット(ロボット)感染に対応する。ボットは、攻撃者からの実行すべき将来の命令を待つ可能性がある。図3に表されるとおり、いくつかのリモートシェル、および対応するいくつかのボット感染が、情報システムにおいて並行に発展する可能性がある。
次のレベル204は、SIP(セッション開始プロトコル)プロトコルを使用しているマシン(コンピュータ全般)またはサーバを発見するようにシステム(またはネットワーク)をスキャンすることであるSIP発見の発見に対応する。そのような攻撃がボットにより行われ得る。
このステップから、攻撃は、攻撃の目的に応じて異なる2つの方法を使用することが可能である。
第1の方法は、前のレベル(204)で発見されたSIPエンティティにインストールされたソフトウェア(オペレーティングシステム、ソフトフォン、サーバなど)のタイプおよびバージョンを識別することから成るSIPフィンガプリンティングに関するステップ205につながる。このレベルは、ボットによって実行されることも可能である。
ステップ205から、攻撃はこの場合も、異なる2つの方法を有することが可能である。すなわち、1つは、SPIT(スパムオーバーIP)213の目的につながるとともに、VoIPシステムのユーザを特定するスキャンであり、さらにボットによって実行され得るアクティブなユーザの発見と、SPIT(スパムオーバーIP)を実行する被害者ユーザに対する(ボットによる)呼出しに関する直接呼出し209という2つのレベルを備える。
レベル205からの他方の可能性は、潜在的な被害者マシン207のMAC(媒体アクセス制御)アドレスの発見(ボットによって実行され得る)である。
その後、次のステップ208は、2名の被害者ユーザの間のトラフィック(例えば、確立された呼)が1つのボットを経由することを強制するARP(アドレス解決プロトコル)ポイゾニングである。その後、攻撃者は、両方の被害者ユーザの間のすべてのトラフィックにアクセスを有することが可能である。このことは、両方のユーザの間で伝送されるオーディオパケットをスニフィングするオーディオをスニフィングするステップ211、または確立された呼を改変するために両方のユーザ間の伝送にオーディオパケットを注入するオーディオを注入するステップ212につながる。それぞれの対応する目的は、会話盗聴214および会話注入(conversation injection)215である。
レベル204から、第2の攻撃ソリューションは、ボットが、VoIPシステムのメインサーバを溢れさせて、目的216であるDoS(サービス拒否)を生じさせるサーバフラッド攻撃210にある。
目的に攻撃が近いほど、目的を実現する確率が高いことに留意されたい。このため、スパム(レベル201)が検出された際、攻撃が目的(213、214、215、または216)のうちの1つを実現する確率がまだ低いので、一般に、セキュリティポリシーをアクティブ化する価値はない一方で、例えば、サーバが溢れさせられた場合(レベル210)、目的216を実現する確率は、非常に高い。
図3で提示されるグラフは、データリポジトリの中に格納された攻撃モデルに基づいて自動的に実現され、さらに前述したとおり、攻撃の影響、および攻撃がその攻撃の目的を実現する確率を評価する際に使用される。
本発明の様々なステップをよりよく理解するために、次に、本発明の可能な実施形態の詳細な構成が、図2に提示される編成のより詳細な提示に関する図4に基づいて説明される。
ステップ120は、情報システムトポロジ、および攻撃検出シグネチャもしくはIDS(侵入検出シグネチャ)をデータリポジトリの中に格納することに対応する。ステップ121は、潜在的な攻撃目的122を識別するように専門家によって行われる、監視されるシステムに関するリスク分析である。これらの攻撃目的、およびシステムトポロジ(ステップ120で格納された)に基づいて、攻撃モデルが規定される(専門家によって)(123)とともに、攻撃コンテキストが規定される(126)。次に、図4に提示されるような攻撃モデルがセットアップされ(124)、基本的なモデルとしてデータリポジトリの中に格納される(125)。
他方、攻撃コンテキストの規定(126)は、応答コンテキストを規定すること(127)を可能にする。識別された各攻撃コンテキストに関して、関連付けられたセキュリティ規則を有する適切な応答コンテキストが規定される。それらのセキュリティ規則および攻撃コンテキストは、セキュリティポリシーとしてデータリポジトリの中に格納される(128)。それらのセキュリティポリシーは、例えば、ファイアウォールアクティブ化、認証要求アクティブ化、もしくはユーザアカウントブロッキング、または情報システムを治癒させること、もしくは攻撃の影響を小さくすることを可能にする任意のアクションに関する。
格納された攻撃モデル、および各攻撃に応答して適用すべきセキュリティポリシーに基づいて、本発明の自動的で動的な部分が実施され得る。
情報システム1が、攻撃を検出することができ、さらにアラートを生成すること、および送信することができる任意のタイプのセンサに対応するIDS(侵入検出システム)101によって監視される。これらのセンサは、特定の電子デバイス(マイクロコントローラ、ASIC(特定用途向け集積回路)など)から成ることが可能であり、またはIT(情報技術)環境において、コンピュータ、サーバ、もしくはルータによって実行されるソフトウェアに過ぎないことも可能である。
次に、IDSによって送信されたアラートが、オンライン相互関係エンジン131において集約され(129)、オンライン相互関係エンジン131は、これらの集約されたアラート、およびデータリポジトリの中に格納された攻撃モデルを使用して、図3に提示されるような攻撃グラフを生成する。生成されたグラフは、一方で、攻撃がその攻撃の目的を実現する確率を評価する(132)ために使用され、他方で、攻撃の影響を評価する(133)ために使用される。
目的を実現する確率の算出は、攻撃が目的を実現する成功の尤度に対応する。このため、攻撃の実現可能な各目的(攻撃グラフにおいて事前定義された)の成功の尤度レベルが計算される。このレベルは、攻撃が、その攻撃の目的に対してどれだけ近いかを示す。
攻撃影響評価は、情報システム1のセキュリティおよびQoS(サービス品質)に対する攻撃の影響を算出することに対応する。このことは、機密性パラメータ、完全性パラメータ、および利用可能性パラメータ、ならびに情報システム1を使用することに影響を与える任意のパラメータに対する影響を収集する。また、そのような評価は、情報システム1の状態にも基づく。
次に、両方の評価の結果が、PIE(ポリシーインスタンス化エンジン)134に送信されて、PIE134において、攻撃の累積的な影響が決定される。
加えて、攻撃の影響の評価と同様に、攻撃に応答して使用され得る治療的なセキュリティポリシーの影響の評価(136)が、格納されたセキュリティポリシーに基づいて行われる。この場合も、情報システムのセキュリティとQoSの両方に対する影響、ならびにそのシステムの状態が、評価の際に考慮に入れられる。評価の結果は、やはりPIE134に送信され、PIE134において、治療的なセキュリティポリシーの累積的な影響が決定される。
ポリシーインスタンス化エンジン134が、一方で、攻撃影響に対応する評価を受信し、他方で、治療的なセキュリティポリシー影響の評価を受信し、これらの評価が、それぞれ、攻撃ハンドラモジュール135および応答ハンドラモジュール137によって処理される。各タイプの影響に関して、少なくとも1つのメトリックが定義され、さらに、一般的な事例において、影響(セキュリティ、QoSなどに対する)の様々な態様に対応する複数のメトリックが定義され、これらすべての影響寄与の評価された値が加算される(実際上、これらの値を経時的に積分することによって)。
攻撃ハンドラモジュールおよび応答ハンドラモジュールによって計算された両方の累積的な影響、ならびに攻撃がその攻撃の目的を実現する確率(成功の尤度とも呼ばれる)、および監視される情報システム1の状態に基づいて、PIE134が、治療的なセキュリティポリシーがアクティブ化されなければならないかどうか、または非アクティブ化されなければならないかどうかを判定する。
様々なアクティブ化/非アクティブ化規則が使用されることが可能であり、例えば、或るセキュリティポリシーが、成功の尤度が或る所与のしきい値に達した場合に、または攻撃影響が或る所定のしきい値に達した場合に、アクティブ化されることが可能である。このことは、両方(攻撃影響と成功の尤度が所与のしきい値に達した場合のアクティブ化)の組合せであることも可能である。
一般に、応答ポリシーは、以下の場合、すなわち、
− 検出された脅威が、セキュリティポリシーおよび運用上のポリシーに違反した場合、
− 脅威の成功の尤度(攻撃の進行、監視されるシステムの状態を考慮して動的に計算される)が或る所定のしきい値を超えた場合、および
− 脅威の影響が、或る所定のしきい値を超え、さらに関連する応答ポリシーのコストより大きい場合
にアクティブ化されなければならない。
− 検出された脅威が、セキュリティポリシーおよび運用上のポリシーに違反した場合、
− 脅威の成功の尤度(攻撃の進行、監視されるシステムの状態を考慮して動的に計算される)が或る所定のしきい値を超えた場合、および
− 脅威の影響が、或る所定のしきい値を超え、さらに関連する応答ポリシーのコストより大きい場合
にアクティブ化されなければならない。
同様に、成功の尤度が或る所与のしきい値を下回った場合、もしくは応答影響が或る所定のしきい値を超えた場合、またはこの両方の組合せの場合、アクティブ化されたセキュリティポリシーは、非アクティブ化されなければならない。そのような事例は、応答ポリシーの影響が、最初の攻撃との関係で、利点よりも多くの欠点を誘発した場合、または攻撃に関連するリスクが片付けられた、もしくは根絶された場合に生じる可能性がある。
次に、セキュリティポリシーをアクティブ化する、または非アクティブ化する命令またはコマンドが、PDP(応答ポリシー展開ポイント)107(ポリシー決定ポイントとも呼ばれる)に送信され、応答ポリシーの各セキュリティ規則が、情報システム1内に配置され、セキュリティポリシーを実施する(ファイアウォールアクティブ化もしくはファイアウォール構成、侵入防止システムアクティブ化、アカウント許可もしくはアクセス変更など)のに使用されるPEP(ポリシー執行ポイント)109を構成するスクリプトに変換される。
オンラインステップ(オンライン相互関係エンジン131、攻撃目的確率評価132、攻撃影響評価、攻撃応答評価136、ポリシーインスタンス化エンジン134、ポリシー展開ポイント、およびポリシー執行ポイントを備える)は、コンピュータまたはサーバによって実行されるプログラムまたはソフトウェアによって実現され得る。これらのオンラインステップは、データリポジトリ(攻撃モデルデータリポジトリ125および応答ポリシーデータリポジトリ128)の格納された要素を使用して、検出された攻撃、および監視される情報システム1の状態に応じて、応答セキュリティポリシーのアクティブ化/非アクティブ化の必要性を動的に判定する。
このように、本発明は、攻撃の影響、ならびに攻撃に応答して適用すべきセキュリティポリシーの影響の動的な評価をもたらすことを可能にし、したがって、セキュリティポリシーの使用の最適化された効率をもたらす。さらに、セキュリティポリシーを非アクティブ化することに関する条件を特定するという考え方が、情報システム保護の反応性を向上させること、および情報システムの不必要な劣化した使用を回避することを可能にする。実際、セキュリティポリシーは、通常、攻撃の効果を制限するが、その情報システムの容量も低減し、さらに情報システムのユーザを邪魔し、影響を及ぼして、情報システムを使用する企業に関する生産性の損失またはQoS(サービス品質)の低減につながる可能性がある劣化したモードに対応する。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP10290250.9A EP2385676B1 (en) | 2010-05-07 | 2010-05-07 | Method for adapting security policies of an information system infrastructure |
EP10290250.9 | 2010-05-07 | ||
PCT/EP2011/057252 WO2011138417A1 (en) | 2010-05-07 | 2011-05-05 | Method for adapting security policies of an information system infrastructure |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2013525927A JP2013525927A (ja) | 2013-06-20 |
JP2013525927A5 true JP2013525927A5 (ja) | 2014-07-17 |
JP5745619B2 JP5745619B2 (ja) | 2015-07-08 |
Family
ID=42830020
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013508510A Expired - Fee Related JP5745619B2 (ja) | 2010-05-07 | 2011-05-05 | 情報システムインフラストラクチャのセキュリティポリシーを適合させるための方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8973092B2 (ja) |
EP (1) | EP2385676B1 (ja) |
JP (1) | JP5745619B2 (ja) |
KR (1) | KR101404352B1 (ja) |
CN (1) | CN102934122B (ja) |
WO (1) | WO2011138417A1 (ja) |
Families Citing this family (48)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014514831A (ja) | 2011-04-01 | 2014-06-19 | インターデイジタル パテント ホールディングス インコーポレイテッド | ネットワークへの接続性を制御する方法および装置 |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US10389760B2 (en) | 2013-08-19 | 2019-08-20 | Trend Micro Incorporated | Adaptive network security policies |
JP6380537B2 (ja) * | 2014-08-22 | 2018-08-29 | 日本電気株式会社 | 分析装置、分析方法及びコンピュータ読み取り可能な記録媒体 |
US9871822B2 (en) | 2014-11-28 | 2018-01-16 | International Business Machines Corporation | Deployment using a context-based cloud security assurance system |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US9762616B2 (en) | 2015-08-08 | 2017-09-12 | International Business Machines Corporation | Application-based security rights in cloud environments |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
JP6407184B2 (ja) * | 2016-03-15 | 2018-10-17 | 三菱電機株式会社 | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム |
US10764321B2 (en) * | 2016-03-24 | 2020-09-01 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd | Identifying and remediating at-risk resources in a computing environment |
US10402570B2 (en) | 2017-03-08 | 2019-09-03 | Wipro Limited | Method and device for software risk management within information technology (IT) infrastructure |
US11194915B2 (en) * | 2017-04-14 | 2021-12-07 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for testing insider threat detection systems |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
WO2019186719A1 (ja) | 2018-03-27 | 2019-10-03 | 日本電気株式会社 | セキュリティ評価システム、セキュリティ評価方法及びプログラム |
US11063967B2 (en) * | 2018-07-03 | 2021-07-13 | The Boeing Company | Network threat indicator extraction and response |
US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
US11283825B2 (en) | 2018-12-03 | 2022-03-22 | Accenture Global Solutions Limited | Leveraging attack graphs of agile security platform |
US11159555B2 (en) | 2018-12-03 | 2021-10-26 | Accenture Global Solutions Limited | Generating attack graphs in agile security platforms |
US11277432B2 (en) | 2018-12-03 | 2022-03-15 | Accenture Global Solutions Limited | Generating attack graphs in agile security platforms |
US11184385B2 (en) | 2018-12-03 | 2021-11-23 | Accenture Global Solutions Limited | Generating attack graphs in agile security platforms |
US11281806B2 (en) | 2018-12-03 | 2022-03-22 | Accenture Global Solutions Limited | Generating attack graphs in agile security platforms |
EP3764263A1 (en) * | 2019-07-12 | 2021-01-13 | Accenture Global Solutions Limited | Evaluating efficacy of security controls in enterprise networks using graph values |
US11258825B1 (en) * | 2019-07-18 | 2022-02-22 | Trend Micro Incorporated | Computer network monitoring with event prediction |
CN110602135B (zh) * | 2019-09-25 | 2022-04-29 | 北京金山安全软件有限公司 | 网络攻击处理方法、装置以及电子设备 |
CN110909362B (zh) * | 2019-11-12 | 2022-04-29 | 中国科学院微电子研究所 | ***检测方法、装置、电子设备及存储介质 |
EP3872665A1 (en) | 2020-02-28 | 2021-09-01 | Accenture Global Solutions Limited | Cyber digital twin simulator for security controls requirements |
US11876824B2 (en) | 2020-06-25 | 2024-01-16 | Accenture Global Solutions Limited | Extracting process aware analytical attack graphs through logical network analysis |
US11411976B2 (en) | 2020-07-09 | 2022-08-09 | Accenture Global Solutions Limited | Resource-efficient generation of analytical attack graphs |
US11483213B2 (en) | 2020-07-09 | 2022-10-25 | Accenture Global Solutions Limited | Enterprise process discovery through network traffic patterns |
US20220103597A1 (en) * | 2020-09-29 | 2022-03-31 | Cisco Technology, Inc. | Dynamic optimization of client application access via a secure access service edge (sase) network optimization controller (noc) |
US11831675B2 (en) | 2020-10-26 | 2023-11-28 | Accenture Global Solutions Limited | Process risk calculation based on hardness of attack paths |
US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
US11973790B2 (en) | 2020-11-10 | 2024-04-30 | Accenture Global Solutions Limited | Cyber digital twin simulator for automotive security assessment based on attack graphs |
US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
US11880250B2 (en) | 2021-07-21 | 2024-01-23 | Accenture Global Solutions Limited | Optimizing energy consumption of production lines using intelligent digital twins |
US11895150B2 (en) | 2021-07-28 | 2024-02-06 | Accenture Global Solutions Limited | Discovering cyber-attack process model based on analytical attack graphs |
CN113987477A (zh) * | 2021-10-26 | 2022-01-28 | 北京京航计算通讯研究所 | 一种分布式ai***的防投毒方法和*** |
CN114389897B (zh) * | 2022-03-18 | 2022-06-10 | 苏州市卫生计生统计信息中心 | It基础设施安全策略集中管控优化方法 |
CN114710331A (zh) * | 2022-03-23 | 2022-07-05 | 新华三信息安全技术有限公司 | 一种安全防御的方法和网络安全设备 |
CN116389075B (zh) * | 2023-03-08 | 2023-10-20 | 安芯网盾(北京)科技有限公司 | 一种主机攻击行为动态拦截方法及装置 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3952648B2 (ja) * | 1999-11-25 | 2007-08-01 | 株式会社日立製作所 | 安全対策方針作成装置 |
US7162741B2 (en) * | 2001-07-30 | 2007-01-09 | The Trustees Of Columbia University In The City Of New York | System and methods for intrusion detection with dynamic window sizes |
US7818797B1 (en) * | 2001-10-11 | 2010-10-19 | The Trustees Of Columbia University In The City Of New York | Methods for cost-sensitive modeling for intrusion detection and response |
EP1535422A4 (en) * | 2002-08-09 | 2007-04-11 | Bae Systems Advanced Informati | CONTROL SYSTEMS AND A PARTIALLY OBSERVABLE MARKOVER DECISION MAKING PROCESS USE |
US7039950B2 (en) * | 2003-04-21 | 2006-05-02 | Ipolicy Networks, Inc. | System and method for network quality of service protection on security breach detection |
JP2005071218A (ja) * | 2003-08-27 | 2005-03-17 | Nec Fielding Ltd | 不正アクセス防御システム、ポリシ管理装置、不正アクセス防御方法、及びプログラム |
US20070028291A1 (en) * | 2005-07-29 | 2007-02-01 | Bit 9, Inc. | Parametric content control in a network security system |
WO2007027131A2 (en) * | 2005-09-02 | 2007-03-08 | Teliasonera Ab | Method for dependence based risk evaluation in computer systems |
US8438643B2 (en) * | 2005-09-22 | 2013-05-07 | Alcatel Lucent | Information system service-level security risk analysis |
JP5020776B2 (ja) * | 2007-10-29 | 2012-09-05 | 株式会社エヌ・ティ・ティ・データ | 情報セキュリティ対策決定支援装置及び方法ならびにコンピュータプログラム |
JP5145907B2 (ja) * | 2007-12-04 | 2013-02-20 | 日本電気株式会社 | セキュリティ運用管理システム、方法、及び、プログラム |
EP2256661A4 (en) * | 2008-03-25 | 2012-08-15 | Panasonic Corp | ELECTRONIC TERMINAL, CONTROL METHOD, COMPUTER PROGRAM, AND INTEGRATED CIRCUIT |
US7899849B2 (en) * | 2008-05-28 | 2011-03-01 | Zscaler, Inc. | Distributed security provisioning |
-
2010
- 2010-05-07 EP EP10290250.9A patent/EP2385676B1/en active Active
-
2011
- 2011-05-05 WO PCT/EP2011/057252 patent/WO2011138417A1/en active Application Filing
- 2011-05-05 JP JP2013508510A patent/JP5745619B2/ja not_active Expired - Fee Related
- 2011-05-05 KR KR1020127029143A patent/KR101404352B1/ko active IP Right Grant
- 2011-05-05 CN CN201180022919.5A patent/CN102934122B/zh active Active
- 2011-05-05 US US13/695,822 patent/US8973092B2/en active Active
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5745619B2 (ja) | 情報システムインフラストラクチャのセキュリティポリシーを適合させるための方法 | |
JP2013525927A5 (ja) | ||
US10097578B2 (en) | Anti-cyber hacking defense system | |
US8881259B2 (en) | Network security system with customizable rule-based analytics engine for identifying application layer violations | |
US7039950B2 (en) | System and method for network quality of service protection on security breach detection | |
US20090254970A1 (en) | Multi-tier security event correlation and mitigation | |
US11005865B2 (en) | Distributed denial-of-service attack detection and mitigation based on autonomous system number | |
US20190230116A1 (en) | Distributed denial-of-service attack mitigation with reduced latency | |
US20100251370A1 (en) | Network intrusion detection system | |
JP7499262B2 (ja) | セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体 | |
US10911473B2 (en) | Distributed denial-of-service attack detection and mitigation based on autonomous system number | |
US9253153B2 (en) | Anti-cyber hacking defense system | |
Rajkumar | A survey on latest DoS attacks: classification and defense mechanisms | |
KR101042291B1 (ko) | 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 | |
Lindemann | Towards abuse detection and prevention in IaaS cloud computing | |
Bavani et al. | Statistical approach based detection of distributed denial of service attack in a software defined network | |
Alosaimi et al. | Simulation-based study of distributed denial of service attacks prevention in the cloud | |
Singh | Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis | |
Subbulakshmi et al. | A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms | |
Jain et al. | Mitigation of denial of service (DoS) attack | |
Kanoun et al. | Intelligent response system to mitigate the success likelihood of ongoing attacks | |
Alosaimi et al. | Simulation-Based Study of Distributed Denial of Service Attacks Counteract in the Cloud Services | |
KR20110010050A (ko) | 플로우별 동적인 접근제어 시스템 및 방법 | |
Ladigatti et al. | Mitigation of DDoS Attacks in SDN using Access Control List, Entropy and Puzzle-based Mechanisms | |
Gabillon et al. | A formal framework to specify and deploy reaction policies |