JP6364255B2 - Communication control device, attack defense system, attack defense method, and program - Google Patents
Communication control device, attack defense system, attack defense method, and program Download PDFInfo
- Publication number
- JP6364255B2 JP6364255B2 JP2014124516A JP2014124516A JP6364255B2 JP 6364255 B2 JP6364255 B2 JP 6364255B2 JP 2014124516 A JP2014124516 A JP 2014124516A JP 2014124516 A JP2014124516 A JP 2014124516A JP 6364255 B2 JP6364255 B2 JP 6364255B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- packet
- monitored
- network
- communication control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラムに関する。 The present invention relates to a communication control device, an attack defense system, an attack defense method, and a program.
近年、ネットワーク中を流れるパケットを監視し、不正な侵入などのネットワーク上の攻撃を検知する技術としてIDS(Intrusion Detection System:侵入検知システム)及びIPS(Intrusion Prevention System:侵入防御システム)などの攻撃防御システムが知られている(例えば、特許文献1参照)。IDS及びIPSは、ネットワークへの配置方法によりプロミスキャスモードとインラインモードに分かれる。プロミスキャスモードは、スイッチ等のミラーポートに接続されるのに対し、インラインモードは、ネットワーク上に配置される。 In recent years, IDS (Intrusion Detection System) and IPS (Intrusion Prevention System) attack protection are technologies that monitor packets flowing through the network and detect attacks on the network such as unauthorized intrusions. A system is known (see, for example, Patent Document 1). IDS and IPS are classified into a promiscuous mode and an inline mode depending on the arrangement method on the network. The promiscuous mode is connected to a mirror port such as a switch, while the inline mode is arranged on the network.
上述したIDSは、主にプロミスキャスモードで配置されるため、トラフィックの増加やフォールス・ポジティブによるネットワーク障害のリスクを回避することができるが、攻撃パケットを遮断することはできない。ここで、フォールス・ポジティブとは、正当な通信を不正な通信として検知することである。一方、IPSは、主にインラインモードで配置されるため、攻撃パケットを遮断することはできるが、大量のトラフィックを処理できずにボトルネックとなる可能性がある。すなわち、IPSは、トラフィックの増加やフォールス・ポジティブによりネットワーク障害のリスクが増加する場合がある。
このため、大量のトラフィックを処理しつつ、攻撃に対して防御処理を行うことができる技術が望まれる。
Since the IDS described above is mainly arranged in the promiscuous mode, it is possible to avoid the risk of network failure due to an increase in traffic and false positives, but it is not possible to block attack packets. Here, false positive is detecting legitimate communication as illegal communication. On the other hand, since the IPS is mainly arranged in the inline mode, it can block attack packets, but may not be able to process a large amount of traffic and may become a bottleneck. In other words, IPS may increase the risk of network failure due to increased traffic or false positives.
For this reason, a technique capable of performing defense processing against an attack while processing a large amount of traffic is desired.
本発明は、このような状況に鑑みてなされたもので、その目的は、トラフィックを適切に処理しつつ、攻撃に対して防御処理を行うことができる通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラムを提供することにある。 The present invention has been made in view of such a situation, and an object of the present invention is to provide a communication control device, an attack defense system, and an attack defense method capable of performing a defense process against an attack while appropriately processing traffic. And providing a program.
上記問題を解決するために、本発明の一態様は、監視対象のネットワークを流れるパケットを、スイッチ装置を介してプロミスキャスモードで監視し、監視した当該パケットに基づいて、前記監視対象のネットワークにおける攻撃を検知するセキュリティ機器が検知した当該攻撃を示す攻撃検知情報を取得する攻撃検知取得部と、前記攻撃検知取得部が取得した攻撃検知情報に基づいて、前記スイッチ装置に、前記監視対象のネットワークを流れるパケットを制限させる制御を行うパケット制御部とを備え、前記パケット制御部は、前記攻撃検知情報が、SQLインジェクションを前記セキュリティ機器により検知したことを示す情報である場合に、攻撃元の機器から送信された前記SQLインジェクションを含むパケットのインジェクション部分を安全な内容に置換して前記監視対象の機器に転送させる制御を、前記スイッチ装置に対して行うことを特徴とする通信制御装置である。
また、本発明の一態様は、上記の通信制御装置において、前記監視対象のネットワークを流れるパケットのうち、監視対象であるパケットを前記セキュリティ機器に監視させるとともに、前記監視対象であるパケットの宛先を示す監視対象の機器を、所定の期間ごとに変更させる対象変更部を備え、前記対象変更部は、送信元に重み付けを行い、前記監視対象のネットワークを流れるパケットのうち、当該重み付けに基づいて危険と判定される前記送信元からのパケットを重点的に、前記セキュリティ機器に監視させることを特徴とする。
また、本発明の一態様は、上記の通信制御装置において、前記監視対象のネットワークを流れるパケットのうち、監視対象であるパケットを前記セキュリティ機器に監視させるとともに、前記監視対象であるパケットの宛先を示す監視対象の機器を、所定の期間ごとに変更させる対象変更部を備え、前記対象変更部は、送信元に重み付けを行い、前記監視対象のネットワークを流れるパケットのうち、当該重み付けに基づいて攻撃の兆候があると判定される前記送信元からのパケットを重点的に、前記セキュリティ機器に監視させることを特徴とする。
また、本発明の一態様は、上記の通信制御装置において、前記監視対象のネットワークを流れるパケットのうち、監視対象であるパケットを前記セキュリティ機器に監視させるとともに、前記監視対象であるパケットの宛先を示す監視対象の機器を、所定の期間ごとに変更させる対象変更部を備え、前記対象変更部は、前記監視対象の機器に対する通信量により重み付けを行い、前記監視対象のネットワークを流れるパケットのうち、当該重み付けに基づいて前記通信量が多い前記監視対象の機器に宛てたパケットを重点的に、前記セキュリティ機器に監視させることを特徴とする。
また、本発明の一態様は、上記の通信制御装置において、前記監視対象のネットワークを流れるパケットのうち、監視対象であるパケットを前記セキュリティ機器に監視させるとともに、前記監視対象であるパケットの宛先を示す監視対象の機器を、所定の期間ごとに変更させる対象変更部を備え、前記対象変更部は、攻撃パケットの内容に応じて重み付けを行い、当該重み付けが重い攻撃パケットの兆候があった場合に、当該重み付けが重い攻撃パケットの内容に対して重点的に、前記セキュリティ機器に監視させることを特徴とする。
In order to solve the above-described problem, according to one aspect of the present invention, a packet flowing in a monitoring target network is monitored in a promiscuous mode via a switch device, and the monitoring target network is configured based on the monitored packet. Based on the attack detection information acquired by the attack detection acquisition unit acquired by the attack detection acquisition unit that acquires the attack detection information indicating the attack detected by the security device that detects the attack, the switch target network A packet control unit that performs control to limit the packets flowing through the packet, and the packet control unit is configured to detect an attack source device when the attack detection information is information indicating that an SQL injection is detected by the security device. Injection of a packet including the SQL injection transmitted from The control by replacing the partial secure content is transferred to the monitored device, a communication control apparatus and performing to the switching device.
In addition, according to one aspect of the present invention, in the communication control device, the security device may be configured to monitor a packet that is a monitoring target among packets flowing through the monitoring target network, and a destination of the packet that is the monitoring target may be A target change unit that changes the monitored device to be shown at predetermined intervals, and the target change unit weights the transmission source, and among the packets flowing through the monitored network, the risk is changed based on the weight. It is characterized in that the security device is focused on the packets from the transmission source determined to be.
In addition, according to one aspect of the present invention, in the communication control device, the security device may be configured to monitor a packet that is a monitoring target among packets flowing through the monitoring target network, and a destination of the packet that is the monitoring target may be A target changing unit that changes the device to be monitored shown every predetermined period, the target changing unit weights a transmission source, and attacks based on the weight among packets flowing through the network to be monitored It is characterized in that the security device is focused on monitoring packets from the transmission source that are determined to have a sign.
In addition, according to one aspect of the present invention, in the communication control device, the security device may be configured to monitor a packet that is a monitoring target among packets flowing through the monitoring target network, and a destination of the packet that is the monitoring target may be Comprising a target changing unit that changes the monitored device to be shown every predetermined period, the target changing unit performs weighting according to a communication amount with respect to the monitored device, and among packets flowing through the monitored network, Based on the weighting, the security device is focused on packets addressed to the device to be monitored with a large amount of communication.
In addition, according to one aspect of the present invention, in the communication control device, the security device may be configured to monitor a packet that is a monitoring target among packets flowing through the monitoring target network, and a destination of the packet that is the monitoring target may be A target changing unit that changes the device to be monitored to be changed every predetermined period, and the target changing unit performs weighting according to the contents of the attack packet, and there is an indication of an attack packet having a heavy weight The security device is focused on the content of the attack packet having a heavy weight.
また、本発明の一態様は、上記の通信制御装置において、前記パケット制御部は、前記攻撃検知情報が、前記監視対象のネットワークに接続された監視対象の機器に対する攻撃を前記セキュリティ機器により検知したことを示す情報である場合に、前記スイッチ装置に、攻撃元の機器から送信されたパケットを破棄させる制御を行うことを特徴とする。 Further, according to one aspect of the present invention, in the communication control device, the packet control unit detects, by the security device, the attack detection information detects an attack on a monitored device connected to the monitored network. If the information indicates that the packet is transmitted from the attack source device, the switch device is controlled to discard the packet.
また、本発明の一態様は、上記の通信制御装置において、前記パケット制御部は、前記攻撃検知情報が、前記監視対象のネットワークに接続された監視対象の機器に対する攻撃を前記セキュリティ機器により検知したことを示す情報である場合に、前記スイッチ装置に、前記監視対象の機器との通信を遮断させることにより、前記監視対象の機器を隔離させるとともに、前記監視対象の機器に宛てたパケットを、前記監視対象の機器の身代わりとなる囮の機器に宛てたパケットに変更して転送させる制御を行うことを特徴とする。 Further, according to one aspect of the present invention, in the communication control device, the packet control unit detects, by the security device, the attack detection information detects an attack on a monitored device connected to the monitored network. In the case of the information indicating that, the switch device is isolated from the monitoring target device by blocking communication with the monitoring target device, the packet addressed to the monitoring target device, It is characterized in that control is performed to change and forward the packet addressed to a device that is a substitute for the device to be monitored.
また、本発明の一態様は、上記の通信制御装置において、前記パケット制御部は、前記攻撃検知情報が、前記監視対象のネットワークを流れるパケットの通信量が、所定の閾値以上であることを示す情報である場合に、前記スイッチ装置に、前記所定の閾値を超えた分のパケットを破棄させる制御を行うことを特徴とする。 Further, according to one aspect of the present invention, in the communication control device, the packet control unit indicates that the attack detection information indicates that a traffic amount of a packet flowing through the monitored network is equal to or greater than a predetermined threshold. In the case of information, control is performed to cause the switch device to discard packets that exceed the predetermined threshold.
また、本発明の一態様は、上記の通信制御装置において、前記監視対象のネットワークを流れるパケットのうち、監視対象であるパケットをセキュリティ機器に監視させるとともに、前記監視対象であるパケットの宛先を示す監視対象の機器を、所定の期間ごとに変更させる対象変更部を備えることを特徴する。 Further, according to one aspect of the present invention, in the communication control device described above, a security device is monitored among packets flowing through the monitoring target network, and a destination of the monitoring target packet is indicated. The apparatus includes a target changing unit that changes a device to be monitored every predetermined period.
また、本発明の一態様は、監視対象のネットワークを流れるパケットを制御するスイッチ装置と、前記監視対象のネットワークを流れるパケットを、前記スイッチ装置を介してプロミスキャスモードで監視し、監視した当該パケットに基づいて、前記監視対象のネットワークにおける攻撃を検知するセキュリティ機器と、通信制御装置とを備え、前記通信制御装置は、前記セキュリティ機器が検知した当該攻撃を示す攻撃検知情報を取得する攻撃検知取得部と、前記攻撃検知取得部が取得した攻撃検知情報に基づいて、前記スイッチ装置に、前記監視対象のネットワークを流れるパケットを制限させる制御を行うパケット制御部とを備え、前記パケット制御部は、前記攻撃検知情報が、SQLインジェクションを前記セキュリティ機器により検知したことを示す情報である場合に、攻撃元の機器から送信された前記SQLインジェクションを含むパケットのインジェクション部分を安全な内容に置換して前記監視対象の機器に転送させる制御を、前記スイッチ装置に対して行うことを特徴とする攻撃防御システムである。 According to another aspect of the present invention, a switching device that controls a packet that flows through a monitoring target network and a packet that flows through the monitoring target network are monitored in a promiscuous mode via the switching device. Based on the security device for detecting an attack in the monitored network, and a communication control device, the communication control device acquires attack detection information indicating the attack detected by the security device And a packet control unit that controls the switch device to limit packets flowing through the monitored network based on the attack detection information acquired by the attack detection acquisition unit, and the packet control unit includes: The attack detection information indicates that SQL injection is performed by the security device. The switch device for controlling to replace the injection part of the packet including the SQL injection transmitted from the attack source device with a safe content and to transfer the information to the monitoring target device when the information indicates that the information is known It is the attack defense system characterized by performing with respect to .
また、本発明の一態様は、監視対象のネットワークを流れるパケットを制御するスイッチ装置を備える攻撃防御システムの攻撃防御方法であって、セキュリティ機器が、前記監視対象のネットワークを流れるパケットを、前記スイッチ装置を介してプロミスキャスモードで監視し、監視した当該パケットに基づいて、前記監視対象のネットワークにおける攻撃を検知する攻撃検知ステップと、通信制御装置が、前記セキュリティ機器が検知した当該攻撃を示す攻撃検知情報を取得する攻撃検知取得ステップと、通信制御装置が、前記攻撃検知取得ステップにて取得した攻撃検知情報に基づいて、前記スイッチ装置に、前記監視対象のネットワークを流れるパケットを制限させる制御を行うパケット制御ステップとを含み、前記パケット制御ステップにおいて、通信制御装置が、前記攻撃検知情報が、SQLインジェクションを前記セキュリティ機器により検知したことを示す情報である場合に、攻撃元の機器から送信された前記SQLインジェクションを含むパケットのインジェクション部分を安全な内容に置換して前記監視対象の機器に転送させる制御を、前記スイッチ装置に対して行うことを特徴とする攻撃防御方法である。 Another embodiment of the present invention is an attack defense method for an attack defense system including a switch device that controls a packet flowing in a monitored network, wherein a security device transmits a packet flowing in the monitored network to the switch An attack detection step for monitoring an attack in the promiscuous mode via the device, and detecting an attack in the monitored network based on the monitored packet; and an attack indicating the attack detected by the security device by the communication control device An attack detection acquisition step for acquiring detection information, and a control that causes the communication control device to restrict packets that flow through the monitored network based on the attack detection information acquired in the attack detection acquisition step. only contains a packet control step of performing, the packet control scan In this case, the communication control apparatus, when the attack detection information is information indicating that the SQL injection is detected by the security device, the injection portion of the packet including the SQL injection transmitted from the attack source device The attack prevention method is characterized in that the switch device is controlled to replace the information with safe contents and transfer the information to the monitored device .
また、本発明の一態様は、コンピュータに、監視対象のネットワークを流れるパケットを、スイッチ装置を介してプロミスキャスモードで監視し、監視した当該パケットに基づいて、前記監視対象のネットワークにおける攻撃を検知するセキュリティ機器が検知した当該攻撃を示す攻撃検知情報を取得する攻撃検知取得ステップと、前記攻撃検知取得ステップにて取得した攻撃検知情報に基づいて、前記スイッチ装置に、前記監視対象のネットワークを流れるパケットを制限させる制御を行うパケット制御ステップとを実行させ、前記パケット制御ステップにおいて、前記攻撃検知情報が、SQLインジェクションを前記セキュリティ機器により検知したことを示す情報である場合に、攻撃元の機器から送信された前記SQLインジェクションを含むパケットのインジェクション部分を安全な内容に置換して前記監視対象の機器に転送させる制御を、前記スイッチ装置に対して行う処理を実行させるためのプログラムである。 Further, according to one embodiment of the present invention, a packet that flows through a monitoring target network is monitored by a computer in a promiscuous mode via a switch device, and an attack in the monitoring target network is detected based on the monitored packet. An attack detection acquisition step for acquiring attack detection information indicating the attack detected by the security device that performs detection, and an attack detection information acquired in the attack detection acquisition step, the switch device flows through the monitored network. A packet control step for performing control to limit the packet, and in the packet control step, when the attack detection information is information indicating that the security injection is detected by the security device, from the attack source device The SQL injection sent A control for transferring the injection portion of the packet is replaced with the secure content on the monitored devices, including a program for executing the processing to be performed on the switching device.
本発明によれば、トラフィックを適切に処理しつつ、攻撃に対して防御処理を行うことができる。 According to the present invention, it is possible to perform defense processing against an attack while appropriately processing traffic.
以下、本発明の一実施形態による攻撃防御システム及び通信制御装置について図面を参照して説明する。
[第1の実施形態]
図1は、第1の実施形態による攻撃防御システム1の一例を示すブロック図である。
この図に示すように、攻撃防御システム1は、SDN(Software Defined Networking)スイッチ30と、SDNコントローラ装置40と、IDS(Intrusion Detection System:侵入検知システム)50と、通信制御装置100とを備えている。攻撃防御システム1は、攻撃側コンピュータ装置10と監視対象コンピュータ装置20との間の監視対象のネットワークNW1を監視し、攻撃側コンピュータ装置10から監視対象コンピュータ装置20へのネットワークNW1上での攻撃を防御するシステムである。
Hereinafter, an attack defense system and a communication control device according to an embodiment of the present invention will be described with reference to the drawings.
[First Embodiment]
FIG. 1 is a block diagram illustrating an example of an
As shown in FIG. 1, the
攻撃側コンピュータ装置10は、監視対象のネットワークNW1を介して、監視対象コンピュータ装置20に攻撃し、不正に情報を取得しようとするコンピュータ装置である。なお、監視対象のネットワークNW1は、攻撃防御システム1が攻撃側コンピュータ装置10からの攻撃を監視する対象となるネットワークである。
The
監視対象コンピュータ装置20は、監視対象のネットワークNW1に接続されているコンピュータ装置であって、攻撃側コンピュータ装置10からのネットワークにおける攻撃を監視する対象であるコンピュータ装置である。ここでは、1台の監視対象コンピュータ装置20を図示して説明するが、監視対象のネットワークNW1には複数台の監視対象コンピュータ装置20が接続されていてもよく、通信制御装置100は、複数台の監視対象コンピュータ装置20を監視対象としてもよい。また、1台の攻撃側コンピュータ装置10を図示して説明するが、監視対象のネットワークNW1には複数台の攻撃側コンピュータ装置10が接続されていてもよい。
The monitoring
SDNスイッチ(スイッチ装置の一例)30は、例えば、オープンフロースイッチなどであり、攻撃側コンピュータ装置10と監視対象コンピュータ装置20との間の監視対象のネットワークNW1上に接続される。SDNスイッチ30は、後述するSDNコントローラ装置40によって設定された設定情報に基づいて、パケットの通過を制御可能なスイッチである。SDNスイッチ30は、例えば、監視対象のネットワークNW1における攻撃が検出されていない通常時に、監視対象のネットワークNW1を流れるパケットを、監視のためにIDS50に転送する。なお、本実施形態では、SDNスイッチ30は、通常時に、監視対象のネットワークNW1を流れる全てのパケットをIDS50に転送するものとする。
The SDN switch (an example of a switch device) 30 is, for example, an open flow switch or the like, and is connected on the monitoring target network NW1 between the
また、SDNスイッチ30は、例えば、監視対象のネットワークNW1における攻撃が検出された場合に、SDNコントローラ装置40によって監視対象のネットワークNW1を流れるパケットを制限させる設定がされる。これにより、SDNスイッチ30は、監視対象のネットワークNW1を流れるパケットを制限することにより、攻撃側コンピュータ装置10からの攻撃に対する防御を行う。なお、SDNスイッチ30による監視対象のネットワークNW1を流れるパケットを制限させる制御の詳細については後述する。
In addition, the
SDNコントローラ装置40は、例えば、オープンフローコントローラであり、SDNスイッチ30に設定情報を設定する処理を実行する。本実施形態では、SDNコントローラ装置40は、通信制御装置100からの指示(指令)に基づいて、SDNスイッチ30を制御する設定情報をSDNスイッチ30に設定する。
SDNコントローラ装置40は、スイッチ設定処理部41を備えている。スイッチ設定処理部41は、通信制御装置100からの指示(指令)に基づいてSDNスイッチ30を制御する設定情報を生成し、生成した設定情報をSDNスイッチ30に送信する。
The
The
IDS50(セキュリティ機器の一例)は、監視対象のネットワークNW1を流れるパケットを、SDNスイッチ30を介してプロミスキャスモードで監視する。IDS50は、監視した当該パケットに基づいて、監視対象のネットワークNW1における攻撃(例えば、攻撃側コンピュータ装置10から監視対象コンピュータ装置20への攻撃)を検知する。
また、IDS50は、攻撃検知部51と、記憶部60とを備えている。
The IDS 50 (an example of a security device) monitors a packet flowing through the monitoring target network NW1 in the promiscuous mode via the
The
記憶部60は、IDS50が利用する各種情報を記憶する。記憶部60は、例えば、攻撃側コンピュータ装置10からの攻撃を検知するための情報、及びSDNスイッチ30から転送されてきた監視対象のパケットなどを記憶する。また、記憶部60は、攻撃判定情報記憶部61を備えている。
攻撃判定情報記憶部61は、攻撃側コンピュータ装置10からの攻撃を検知するための情報を記憶する。攻撃判定情報記憶部61は、例えば、攻撃を検知するためのルール情報、攻撃パケットを検知するためにパターン情報などを記憶している。具体的に、攻撃判定情報記憶部61は、攻撃側コンピュータ装置10が予め判明している場合には、攻撃側コンピュータ装置10のIPアドレスをパターン情報として記憶してもよいし、SQL(エスキューエル)インジェクションなどのパケットを検知するパターン情報を記憶してもよい。また、攻撃判定情報記憶部61は、統計的手法に基づいて攻撃を検知するためのルール情報を記憶してもよい。
The
The attack determination
攻撃検知部51は、SDNスイッチ30から転送されてきた監視対象のパケットを取得し、取得した当該パケットと、攻撃判定情報記憶部61が記憶する攻撃を検知するための情報とに基づいて、攻撃側コンピュータ装置10からの攻撃を検知する。攻撃検知部51は、攻撃側コンピュータ装置10からの攻撃を検知した場合に、検知した攻撃を示す攻撃検知情報として、検知アラートを通信制御装置100に送信する。なお、検知アラートには、検知した攻撃の種類を示す情報(例えば、DoS(Denial of Service)攻撃、SQLインジェクションなど)、攻撃側コンピュータ装置10を識別する情報(例えば、IPアドレス)が含まれる。なお、検知アラートには、攻撃を検知したパケットである攻撃パケットを丸ごと含むログ情報が付加されていてもよい。
The
通信制御装置100は、IDS50から送信された検知アラートを取得し、取得した検知アラートに基づいて、IDS50が検出した攻撃に対する防御方法を決定する。通信制御装置100は、決定した防御方法に対応するネットワークの設定変更を依頼する設定変更依頼をSDNコントローラ装置40に送信する。
また、通信制御装置100は、攻撃検知取得部101と、パケット制御部102とを備えている。
The
In addition, the
攻撃検知取得部101は、IDS50が検知した当該攻撃を示す攻撃検知情報である検知アラートを取得する。すなわち、攻撃検知取得部101は、IDS50が攻撃を検知した場合に送信する検知アラートを取得する。
The attack
パケット制御部102は、攻撃検知取得部101が取得した検知アラートに基づいて、SDNスイッチ30に、監視対象のネットワークNW1を流れるパケットを制限させる制御を行う。すなわち、パケット制御部102は、取得した検知アラートに含まれる攻撃の種類を示す情報に基づいて攻撃に対する防御方法を決定し、決定した防御方法に対応するネットワークの設定変更を依頼する設定変更依頼を生成する。そして、パケット制御部102は、生成した設定変更依頼を、SDNコントローラ装置40に対して送信する。なお、SDNコントローラ装置40は、この設定変更依頼に応じて、設定変更依頼に対応する設定情報をSDNスイッチ30に設定することで、監視対象のネットワークNW1を流れるパケットを制限する。
Based on the detection alert acquired by the attack
パケット制御部102は、例えば、検知アラートが、監視対象のネットワークNW1に接続された監視対象の機器である監視対象コンピュータ装置20に対する攻撃をIDS50により検知したことを示す情報である場合に、SDNスイッチ30に、攻撃側コンピュータ装置10から送信されたパケット(不正パケット又は攻撃パケット)を破棄させる制御を行う。すなわち、パケット制御部102は、不正パケットによる攻撃を検知した場合に、攻撃側コンピュータ装置10から送信されたパケットを破棄させる設定を、SDNコントローラ装置40を介してSDNスイッチ30に対して実行する。ここでの不正パケットは、不正な通信による攻撃パケットのことである。なお、この場合、パケット制御部102は、監視対象のネットワークNW1を流れるパケットのうち、攻撃側コンピュータ装置10からの攻撃パケット以外のパケット(攻撃側コンピュータ装置10以外の他の機器から送信された正常パケット)を通過させる設定を、SDNコントローラ装置40を介して、SDNスイッチ30に行う。
For example, when the detection alert is information indicating that an attack on the monitoring
また、パケット制御部102は、例えば、検知アラートが、監視対象のネットワークNW1を流れるパケットの通信量が、所定の閾値以上であることを示す情報である場合に、SDNスイッチ30に、所定の閾値を超えた分のパケットを破棄させる制御を行う。すなわち、監視対象のネットワークNW1上のトラフィック(通信量)を増大させることによって監視対象コンピュータ装置20を攻撃するDoS攻撃を検知した場合に、パケット制御部102は、SDNスイッチ30を通過するパケットの通信量を低減させる設定を、SDNコントローラ装置40を介して、SDNスイッチ30に行う。
また、パケット制御部102は、例えば、検知アラートが、SQLインジェクションをIDS50により検知したことを示す情報である場合に、SDNスイッチ30に、インジェクション部分を安全な内容(ダミーデータ)に置換して監視対象コンピュータ装置20に転送させる制御を行う。
Further, for example, when the detection alert is information indicating that the communication amount of the packet flowing through the network NW1 to be monitored is equal to or greater than a predetermined threshold, the
For example, when the detection alert is information indicating that the SQL injection is detected by the
このように、パケット制御部102は、IDS50から取得した検知アラートに対する防御方法を決定し、決定した防御方法に対応する監視対象のネットワークNW1の設定変更依頼をSDNコントローラ装置40に送信する。
In this way, the
次に、本実施形態による攻撃防御システム1の動作について、図面を参照して説明する。
図2は、本実施形態による攻撃防御システム1の動作の一例を示す図である。
図2において、まず、SDNスイッチ30は、監視対象のネットワークNW1のパケットをIDS50に転送する(ステップS101)。ここで、SDNスイッチ30は、監視対象のネットワークNW1を流れるパケットを、自装置を通過させるとともに、IDS50に対して転送する。
Next, the operation of the
FIG. 2 is a diagram illustrating an example of the operation of the
In FIG. 2, first, the
次に、IDS50は、監視対象のネットワークNW1のパケットを監視する(ステップS102)。すなわち、IDS50は、SDNスイッチ30から転送された監視対象のネットワークNW1を流れるパケットを取得し、攻撃の兆候がないか監視する。IDS50は、監視した当該パケットと、攻撃判定情報記憶部61が記憶する情報とに基づいて、監視対象のネットワークNW1における攻撃(例えば、攻撃側コンピュータ装置10から監視対象コンピュータ装置20への攻撃)を検知する。
なお、ステップS101及びステップS102の処理が、攻撃防御システム1における通常時の処理に対応し、通常時は、ステップS101及びステップS102の処理が、攻撃が検知されるまで繰り返される。
Next, the
Note that the processing in step S101 and step S102 corresponds to the normal processing in the
IDS50は、監視対象のネットワークNW1における攻撃を検知した場合に、検知した当該攻撃の種類を特定する(ステップS103)。
次に、IDS50は、検知アラートを生成し(ステップS104)、生成した検知アラートを通信制御装置100に送信する(ステップS105)。なお、検知アラートには、例えば、検知した攻撃の種類、攻撃パケットの内容等のログ情報などが含まれている。
When the
Next, IDS50 produces | generates a detection alert (step S104), and transmits the produced | generated detection alert to the communication control apparatus 100 (step S105). The detection alert includes, for example, log information such as the type of detected attack and the content of the attack packet.
通信制御装置100は、検知アラートに対する対応方法を決定する(ステップS106)。すなわち、通信制御装置100は、IDS50が送信した検知アラートを受信し、受信した検知アラートに含まれる情報に基づいて、攻撃に対する防御方法(対応方法)を決定する。
なお、ステップS103からステップS106までの処理が、攻撃防御システム1における攻撃検知時(不正通信検知時)の処理に対応する。
The
Note that the processing from step S103 to step S106 corresponds to processing when an attack is detected in the attack defense system 1 (when illegal communication is detected).
次に、通信制御装置100は、監視対象のネットワークNW1の設定変更依頼をSDNコントローラ装置40に送信する(ステップS107)。すなわち、通信制御装置100は、決定した防御方法(対応方法)に対応した監視対象のネットワークNW1の設定変更を依頼する設定変更依頼をSDNコントローラ装置40に送信する。
Next, the
次に、SDNコントローラ装置40は、SDNスイッチ30の設定を変更する(ステップS108)。すなわち、SDNコントローラ装置40は、通信制御装置100から受信した設定変更依頼に対応したSDNスイッチ30の設定情報を生成し、生成した設定情報をSDNスイッチ30に送信する。
これにより、SDNスイッチ30が、監視対象のネットワークNW1を流れるパケットを制限して、IDS50が検知した攻撃に対する防御を行う。
なお、ステップS107及びステップS108の処理が、攻撃防御システム1における防御動作の処理に対応する。
Next, the
As a result, the
Note that the processing of step S107 and step S108 corresponds to the processing of the defense operation in the
次に、図3〜図6を参照して、通信制御装置100の動作、及び防御動作の詳細について説明する。
図3は、本実施形態による通信制御装置100の動作の一例を示すフローチャートである。
この図において、通信制御装置100は、まず、検知アラートがあるか否かを判定する(ステップS201)。すなわち、通信制御装置100の攻撃検知取得部101は、IDS50が検知アラートを送信したか否かを判定する。攻撃検知取得部101は、IDS50が検知アラートを送信した場合(ステップS201:YES)に、処理をステップS202に進め、攻撃検知取得部101は、検知アラートを取得する。また、攻撃検知取得部101は、IDS50が検知アラートを送信していない場合(ステップS201:NO)に、処理をステップS201に戻す。
Next, with reference to FIGS. 3-6, the operation | movement of the
FIG. 3 is a flowchart showing an example of the operation of the
In this figure, the
次に、通信制御装置100のパケット制御部102は、取得した検知アラートに基づいて、処理を分岐する(ステップS203)。
パケット制御部102は、例えば、検知アラートが、DOS攻撃やSQLインジェクションを示す情報でない、その他の不正パケットによる攻撃を示す情報である場合に、攻撃者からの攻撃パケットを遮断させる指示を送信する(ステップS204)。すなわち、パケット制御部102は、SDNスイッチ30に攻撃側コンピュータ装置10からの攻撃パケットを破棄させて、当該攻撃パケットを遮断させる設定変更依頼を、SDNコントローラ装置40に対して送信する。パケット制御部102は、例えば、検知アラートに含まれる攻撃側コンピュータ装置10を識別する識別情報であるIPアドレスを送信元とするパケットを破棄する設定情報に変更する設定変更依頼を、SDNコントローラ装置40に対して送信する。この設定変更依頼に応じて、SDNコントローラ装置40は、SDNスイッチ30の設定情報を変更する。すなわち、SDNコントローラ装置40は、当該設定変更依頼に対応する設定情報をSDNスイッチ30に設定する。ステップS204の処理の後に、パケット制御部102は、処理をステップS201に戻す。
Next, the
For example, when the detection alert is not information indicating a DOS attack or SQL injection but information indicating an attack by other illegal packets, the
また、パケット制御部102は、例えば、検知アラートが、単位時間当たりの通信量が所定の閾値以上となるDOS攻撃を示す情報である場合に、単位時間当たりの通信量が所定の閾値を超えた分のパケットを破棄させる指示を送信する(ステップS205)。すなわち、パケット制御部102は、所定の閾値を超えた分のパケットを破棄させる設定変更依頼を、SDNコントローラ装置40に対して送信する。この設定変更依頼に応じて、SDNコントローラ装置40は、SDNスイッチ30の設定情報を変更する。ステップS205の処理の後に、パケット制御部102は、処理をステップS201に戻す。
Further, the
また、パケット制御部102は、例えば、検知アラートが、SQLインジェクションによる攻撃を示す情報である場合に、ダミーデータに置換して転送させる指示を送信する(ステップS206)。すなわち、パケット制御部102は、SQLインジェクションのパケットのインジェクション部分を安全なデータ(ダミーデータ)に置換して転送させる設定変更依頼を、SDNコントローラ装置40に対して送信する。この設定変更依頼に応じて、SDNコントローラ装置40は、SDNスイッチ30の設定情報を変更する。ステップS206の処理の後に、パケット制御部102は、処理をステップS201に戻す。
Further, for example, when the detection alert is information indicating an attack by SQL injection, the
次に、図4を参照して、上述したステップS204における防御処理について説明する。
図4は、本実施形態による攻撃防御システム1の防御動作の一例を示す第1の図である。
この図に示す例では、IDS50が、上述したその他の不正パケットによる攻撃を検知した場合における、攻撃防御システム1の防御動作の一例を示している。この場合、通信制御装置100は、攻撃側コンピュータ装置10から送信されたパケット(攻撃パケット)を破棄させる設定を、SDNコントローラ装置40を介してSDNスイッチ30に対して実行する。その結果、図4に示すように、攻撃側コンピュータ装置10が送信した攻撃パケットP1は、SDNスイッチ30によって破棄され、監視対象コンピュータ装置20に到達しない。すなわち、攻撃側コンピュータ装置10から監視対象コンピュータ装置20への攻撃が防御される。
Next, the defense process in step S204 described above will be described with reference to FIG.
FIG. 4 is a first diagram illustrating an example of the defense operation of the
In the example shown in this figure, an example of the defense operation of the
一方、SDNスイッチ30は、監視対象のネットワークNW1を流れるパケットのうち、攻撃側コンピュータ装置10以外の他の機器が送信したパケット(正常パケットP2)を通過させる。すなわち、図4に示すように、攻撃側コンピュータ装置10以外の他の機器が送信した正常パケットP2は、SDNスイッチ30を介して監視対象コンピュータ装置20に転送され、正常に処理される。
On the other hand, the
次に、図5を参照して、上述したステップS205における防御処理について説明する。
図5は、本実施形態による攻撃防御システム1の防御動作の一例を示す第2の図である。
この図に示す例では、IDS50が、上述したDoS攻撃を検知した場合における、攻撃防御システム1の防御動作の一例を示している。この場合、通信制御装置100は、監視対象のネットワークNW1を流れるパケット(攻撃パケットP3)のうち、単位時間当たりの通信量が所定の閾値を超えた分のパケットを破棄させる設定を、SDNコントローラ装置40を介してSDNスイッチ30に対して実行する。
Next, the defense process in step S205 described above will be described with reference to FIG.
FIG. 5 is a second diagram illustrating an example of the defense operation of the
In the example shown in this figure, an example of the defense operation of the
その結果、図5に示すように、攻撃側コンピュータ装置10が送信したDoS攻撃による攻撃パケットP3は、所定の閾値を超えた分がSDNスイッチ30によって破棄され、監視対象コンピュータ装置20に到達しない。監視対象コンピュータ装置20には、所定の閾値分のパケットP4が到達する。すなわち、攻撃側コンピュータ装置10からのDoS攻撃が防御される。
なお、所定の閾値には、例えば、監視対象コンピュータ装置20に対する単位時間当たりの通信量の上限値を設定する。
As a result, as shown in FIG. 5, the attack packet P3 due to the DoS attack transmitted by the attacking
For example, an upper limit value of the communication amount per unit time for the monitoring
次に、図6を参照して、上述したステップS206における防御処理について説明する。
図6は、本実施形態による攻撃防御システム1の防御動作の一例を示す第3の図である。
この図に示す例では、IDS50が、上述したSQLインジェクションによる攻撃を検知した場合における、攻撃防御システム1の防御動作の一例を示している。この場合、通信制御装置100は、SQLインジェクションを含む攻撃パケットP5のインジェクション部分を安全な内容(ダミーデータ)に置換して監視対象コンピュータ装置20に転送させる設定を、SDNコントローラ装置40を介してSDNスイッチ30に対して実行する。
Next, the defense process in step S206 described above will be described with reference to FIG.
FIG. 6 is a third diagram illustrating an example of the defense operation of the
In the example shown in this figure, an example of the defense operation of the
その結果、図6に示すように、SDNスイッチ30は、攻撃側コンピュータ装置10が送信した攻撃パケットP5を、安全な内容(ダミーデータ)に置換されたダミーデータパケットP6として、監視対象コンピュータ装置20に送信する。すなわち、攻撃側コンピュータ装置10からのSQLインジェクションによる攻撃が無効化される。
As a result, as shown in FIG. 6, the
以上説明したように、本実施形態による通信制御装置100は、攻撃検知取得部101と、パケット制御部102とを備えている。攻撃検知取得部101は、IDS50(セキュリティ機器の一例)が検知した攻撃を示す検知アラート(攻撃検知情報)を取得する。なお、IDS50は、監視対象のネットワークNW1を流れるパケットを、SDNスイッチ30(スイッチ装置の一例)を介してプロミスキャスモードで監視し、監視した当該パケットに基づいて、監視対象のネットワークNW1における攻撃を検知する。そして、パケット制御部102は、攻撃検知取得部101が取得した検知アラートに基づいて、SDNスイッチ30に、監視対象のネットワークNW1を流れるパケットを制限させる制御を行う。
これにより、本実施形態による通信制御装置100は、SDNスイッチ30を介してプロミスキャスモードで監視するので、トラフィックの増加を低減することができる。また、本実施形態による通信制御装置100は、SDNスイッチ30によって、監視対象のネットワークNW1を流れるパケットを制限させるので、例えば、攻撃パケットを遮断することができる。また、IDS50が、監視対象のネットワークNW1を流れるパケットを、SDNスイッチ30を介してプロミスキャスモードで監視するので、本実施形態による通信制御装置100は、パケットの監視によるレイテンシー(パケットの遅延)を抑制することができる。よって、本実施形態による通信制御装置100は、トラフィックを適切に処理しつつ、攻撃に対して防御処理を行うことができる。
As described above, the
Thereby, since the
また、本実施形態では、パケット制御部102は、検知アラートが、監視対象のネットワークNW1に接続された監視対象の機器(例えば、監視対象コンピュータ装置20)に対する攻撃をIDS50により検知したことを示す情報である場合に、SDNスイッチ30に、攻撃元の機器(例えば、攻撃側コンピュータ装置10)から送信されたパケットを破棄させる制御を行う。すなわち、パケット制御部102は、IDS50が監視対象の機器に対する攻撃を検知した場合に、攻撃元の機器から少なくとも監視対象の機器に宛てたパケットをSDNスイッチ30に破棄させる制御を行う。
これにより、本実施形態による通信制御装置100は、攻撃パケットが監視対象の機器(例えば、監視対象コンピュータ装置20)に到達する可能性を低減する防御処理を行うことができる。
In this embodiment, the
Thereby, the
また、本実施形態では、パケット制御部102は、検知アラートが、監視対象のネットワークNW1を流れるパケットの通信量が、所定の閾値以上であることを示す情報である場合に、SDNスイッチ30に、所定の閾値を超えた分のパケットを破棄させる制御を行う。
これにより、本実施形態による通信制御装置100は、例えば、DoS攻撃を受けた場合であっても、トラフィックを適切に処理しつつ、防御処理を行うことができる。
In the present embodiment, the
Thereby, the
また、本実施形態では、パケット制御部102は、検知アラートが、SQLインジェクションをIDS50により検知したことを示す情報である場合に、SDNスイッチ30に、インジェクション部分を安全な内容(ダミーデータ)に置換して監視対象の機器(例えば、監視対象コンピュータ装置20)に転送させる制御を行う。
これにより、本実施形態による通信制御装置100は、監視対象の機器がSQLインジェクションによる攻撃を受けた場合であっても、トラフィックを適切に処理しつつ、QLインジェクションによる攻撃を無効化する防御処理を行うことができる。
In this embodiment, the
As a result, the
また、本実施形態による攻撃防御システム1は、SDNスイッチ30と、IDS50と、通信制御装置100とを備えている。そして、通信制御装置100は、IDS50が検知した当該攻撃を示す検知アラートを取得する攻撃検知取得部101と、攻撃検知取得部101が取得した検知アラートに基づいて、SDNスイッチ30に、監視対象のネットワークNW1を流れるパケットを制限させる制御を行うパケット制御部102とを備えている。
これにより、本実施形態による攻撃防御システム1は、通信制御装置100と同様に、トラフィックを適切に処理しつつ、攻撃に対して防御処理を行うことができる。
The
Thereby, the
また、本実施形態による攻撃防御方法は、監視対象のネットワークNW1を流れるパケットを制御するSDNスイッチ30を備える攻撃防御システム1の攻撃防御方法であって、攻撃検知ステップと、攻撃検知取得ステップと、パケット制御ステップとを含んでいる。攻撃検知ステップにおいて、IDS50が、監視対象のネットワークを流れるパケットを、SDNスイッチ30を介してプロミスキャスモードで監視し、監視した当該パケットに基づいて、監視対象のネットワークにおける攻撃を検知する。攻撃検知取得ステップにおいて、通信制御装置100が、IDS50が検知した当該攻撃を示す検知アラートを取得する。そして、パケット制御ステップにおいて、通信制御装置100が、攻撃検知取得ステップにて取得した検知アラートに基づいて、SDNスイッチ30に、監視対象のネットワークを流れるパケットを制限させる制御を行う。
これにより、本実施形態による攻撃防御方法は、通信制御装置100と同様に、トラフィックを適切に処理しつつ、攻撃に対して防御処理を行うことができる。
Moreover, the attack defense method according to the present embodiment is an attack defense method of the
Thereby, the attack defense method by this embodiment can perform a defense process with respect to an attack, processing traffic appropriately like the
[第2の実施形態]
次に、第2の実施形態による攻撃防御システム1及び通信制御装置100について図面を参照して説明する。
第1の実施形態では、IDS50がその他の不正パケットによる攻撃を検知した場合に、攻撃側コンピュータ装置10から送信されたパケットを破棄して遮断する例を説明したが、本実施形態では、監視対象コンピュータ装置20を隔離して、ハニーポット70(図8参照)と通信させる。ここで、ハニーポット70とは、監視対象コンピュータ装置20の身代わりになる囮の機器である。
なお、本実施形態における攻撃防御システム1及び通信制御装置100の構成は、ハニーポット70を利用することを除いて、図1に示す第1の実施形態と同様であるので、ここではその説明を省略する。
[Second Embodiment]
Next, an
In the first embodiment, an example in which the packet transmitted from the attacking
Note that the configurations of the
本実施形態におけるパケット制御部102は、例えば、検知アラートが、監視対象のネットワークNW1に接続された監視対象コンピュータ装置20に対して、その他の不正パケットによる攻撃をIDS50により検知したことを示す情報である場合に、SDNスイッチ30に、監視対象コンピュータ装置20との通信を遮断させる制御を行う。すなわち、パケット制御部102は、SDNコントローラ装置40を介してSDNスイッチ30に、監視対象コンピュータ装置20を隔離させる。そして、パケット制御部102は、監視対象コンピュータ装置20に宛てたパケットを、ハニーポット70に宛てたパケットに変更して転送させる制御を行う。すなわち、パケット制御部102は、例えば、SDNコントローラ装置40を介してSDNスイッチ30に、監視対象コンピュータ装置20に宛てたパケットを、ハニーポット70に宛てたパケットに変更して転送させる。
The
図7は、本実施形態による通信制御装置100の動作の一例を示すフローチャートである。
この図において、通信制御装置100は、まず、検知アラートがあるか否かを判定する(ステップS301)。なお、この図において、ステップS301からステップS303までの処理は、図3に示すステップS201からステップS203までの処理と同様であるので、その説明を省略する。
FIG. 7 is a flowchart showing an example of the operation of the
In this figure, the
パケット制御部102は、例えば、検知アラートが、DOS攻撃やSQLインジェクションを示す情報でない、その他の不正パケットによる攻撃を示す情報である場合に、攻撃者からの攻撃パケットをハニーポット70に転送させる指示を送信する(ステップS304)。すなわち、パケット制御部102は、SDNスイッチ30に監視対象コンピュータ装置20を隔離させた上で、攻撃側コンピュータ装置10からの攻撃パケットをハニーポット70に転送させる設定変更依頼を、SDNコントローラ装置40に対して送信する。パケット制御部102は、例えば、検知アラートに含まれる攻撃側コンピュータ装置10を識別する識別情報であるIPアドレスを送信元とするパケットを破棄する設定情報に変更する設定変更依頼を、SDNコントローラ装置40に対して送信する。この設定変更依頼に応じて、SDNコントローラ装置40は、SDNスイッチ30の設定情報を変更する。すなわち、SDNコントローラ装置40は、当該設定変更依頼に対応する設定情報をSDNスイッチ30に設定する。ステップS304の処理の後に、パケット制御部102は、処理をステップS301に戻す。
For example, when the detection alert is not information indicating a DOS attack or SQL injection but information indicating an attack by other illegal packets, the
また、ステップS305及びステップS306の処理は、図3に示すステップS205及びステップS206の処理と同様であるので、ここではその説明を省略する。 Further, the processing in step S305 and step S306 is the same as the processing in step S205 and step S206 shown in FIG.
次に、図8を参照して、上述したステップS304における防御処理について説明する。
図8は、本実施形態による攻撃防御システム1の防御動作の一例を示す図である。
この図に示す例では、IDS50が、上述したその他の不正パケットによる攻撃を検知した場合における、本実施形態における攻撃防御システム1の防御動作の一例を示している。この場合、通信制御装置100は、監視対象コンピュータ装置20を監視対象のネットワークNW1から切り離して隔離させる設定と、攻撃側コンピュータ装置10から送信されたパケット(攻撃パケット)をハニーポット70に転送させる設定を、SDNコントローラ装置40を介してSDNスイッチ30に対して実行する。また、通信制御装置100は、ハニーポット70から攻撃側コンピュータ装置10に宛てたパケットを、監視対象コンピュータ装置20から送信したパケットとして攻撃側コンピュータ装置10に転送させる設定を、SDNコントローラ装置40を介してSDNスイッチ30に対して実行する。
Next, the defense process in step S304 described above will be described with reference to FIG.
FIG. 8 is a diagram illustrating an example of the defense operation of the
In the example shown in this figure, an example of the defense operation of the
その結果、図8に示すように、攻撃側コンピュータ装置10が送信した攻撃パケットP7は、SDNスイッチ30によってハニーポット70に宛てた攻撃パケットP8として転送され、監視対象コンピュータ装置20に到達しない。また、ハニーポット70が攻撃側コンピュータ装置10に向けて送信した返信パケットP9は、SDNスイッチ30によって監視対象コンピュータ装置20から攻撃側コンピュータ装置10に宛てた返信パケットP10として転送され、攻撃側コンピュータ装置10に到達する。
この場合、攻撃防御システム1は、攻撃側コンピュータ装置10から監視対象コンピュータ装置20への攻撃が防御されるだけでなく、攻撃側コンピュータ装置10からの攻撃に関する情報を収集することができる。
As a result, as shown in FIG. 8, the attack packet P7 transmitted by the attacking
In this case, the
以上説明したように、本実施形態では、パケット制御部102は、検知アラートが、監視対象のネットワークNW1に接続された監視対象コンピュータ装置20に対する攻撃をIDS50により検知したことを示す情報である場合に、SDNスイッチ30に、監視対象コンピュータ装置20との通信を遮断させる制御を行う。そして、パケット制御部102は、監視対象コンピュータ装置20に宛てたパケットを、監視対象コンピュータ装置20の身代わりとなる囮の機器であるハニーポット70に宛てたパケットに変更して転送させる制御を行う。すなわち、パケット制御部102は、例えば、SDNコントローラ装置40を介してSDNスイッチ30に、監視対象コンピュータ装置20に宛てたパケットを、ハニーポット70に宛てたパケットに変更して転送させる。
As described above, in the present embodiment, the
これにより、本実施形態による通信制御装置100及び攻撃防御システム1は、監視対象コンピュータ装置20との通信を遮断させて、監視対象コンピュータ装置20を隔離するので、監視対象コンピュータ装置20から監視対象のネットワークNW1に攻撃の被害が拡大することを防ぐことができる。すなわち、本実施形態による通信制御装置100及び攻撃防御システム1は、例えば、監視対象コンピュータ装置20が踏み台にされて他の機器を攻撃したり、不正なプログラムを監視対象コンピュータ装置20から拡散したりすることを防ぐことができる。また、本実施形態による通信制御装置100及び攻撃防御システム1は、ハニーポット70により、攻撃側コンピュータ装置10からの攻撃に関する情報を収集することができる。
Accordingly, the
[第3の実施形態]
次に、第3の実施形態による攻撃防御システム1a及び通信制御装置100aについて図面を参照して説明する。
上述した第1及び第2の実施形態では、IDS50が監視対象のネットワークNW1を流れる全部のパケットを監視する場合について説明したが、本実施形態では、IDS50が監視対象のネットワークNW1を流れるパケットのうちの一部を監視する場合について説明する。すなわち、本実施形態では、通信制御装置100aは、IDS50が監視する監視対象コンピュータ装置20を所定の期間ごとに(定期的に)、変更する場合について説明する。
[Third Embodiment]
Next, an attack defense system 1a and a
In the first and second embodiments described above, a case has been described in which the
図9は、本実施形態による攻撃防御システム1aの一例を示すブロック図である。
この図に示すように、攻撃防御システム1aは、SDNスイッチ30と、SDNコントローラ装置40と、IDS50と、通信制御装置100aとを備えている。また、通信制御装置100aは、攻撃検知取得部101と、パケット制御部102と、監視対象変更部103とを備えている。
なお、この図において、図1に示す構成と同一の構成については同一の符号を付し、その説明を省略する。
また、図9に示す例では、監視対象のネットワークNW1には、監視対象コンピュータ装置20−1〜20−Nが接続されている。ここで、監視対象コンピュータ装置20−1〜20−Nは、監視対象のネットワークNW1に接続されている任意の監視対象コンピュータ装置を示す場合、又は特に区別しない場合には、監視対象コンピュータ装置20として説明する。
FIG. 9 is a block diagram showing an example of the attack defense system 1a according to the present embodiment.
As shown in this figure, the attack defense system 1a includes an
In this figure, the same components as those shown in FIG. 1 are denoted by the same reference numerals, and the description thereof is omitted.
In the example shown in FIG. 9, monitoring target computer apparatuses 20-1 to 20-N are connected to the monitoring target network NW1. Here, the monitoring target computer devices 20-1 to 20 -N indicate arbitrary monitoring target computer devices connected to the monitoring
本実施形態では、通信制御装置100aが、監視対象変更部103を備えている点が、上述した第1の実施形態と異なる。
監視対象変更部103(対象変更部の一例)は、監視対象のネットワークNW1を流れるパケットのうち、監視対象であるパケットをIDS50に監視させるとともに、監視対象であるパケットの宛先を示す監視対象コンピュータ装置20を、所定の期間ごとに変更させる。監視対象変更部103は、SDNスイッチ30からIDS50に、例えば、監視対象コンピュータ装置20−1から監視対象コンピュータ装置20−Nの順に、監視対象であるパケットを変更して転送するように、SDNコントローラ装置40を介してSDNスイッチ30に設定させる。具体的に、監視対象変更部103は、監視対象コンピュータ装置20−1の宛先のパケットから監視対象コンピュータ装置20−Nの宛先のパケットを所定の期間ごとに変更して、SDNスイッチ30からIDS50に転送するように、SDNコントローラ装置40を介してSDNスイッチ30に設定させる。
This embodiment is different from the first embodiment described above in that the
The monitoring target changing unit 103 (an example of the target changing unit) causes the
図10は、本実施形態による通信制御装置100aの動作の一例を示すフローチャートである。
この図において、通信制御装置100aは、まず、監視対象コンピュータ装置20を設定する(ステップS401)。通信制御装置100aの監視対象変更部103は、監視対象のネットワークNW1を流れるパケットのうち、例えば、監視対象コンピュータ装置20−1に宛てたパケットをIDS50に転送するように、SDNコントローラ装置40を介してSDNスイッチ30に設定させる。これにより、監視対象コンピュータ装置20−1に宛てたパケットが、SDNスイッチ30によってIDS50に転送され、DS50が、監視対象コンピュータ装置20−1に宛てたパケットを監視する。
FIG. 10 is a flowchart illustrating an example of the operation of the
In this figure, the
次に、監視対象変更部103は、所定の期間経過したか否かを判定する(ステップS402)。監視対象変更部103は、監視対象コンピュータ装置20を設定(又は変更)してから所定の期間経過した場合(ステップS402:YES)に、処理をステップS403に進める。監視対象変更部103は、監視対象コンピュータ装置20を設定(又は変更)してから所定の期間経過していない場合(ステップS402:NO)に、処理をステップS404に進める。
Next, the monitoring
ステップS403において、監視対象変更部103は、監視対象コンピュータ装置20を変更する。すなわち、監視対象変更部103は、次の監視対象コンピュータ装置20(例えば、監視対象コンピュータ装置20−2など)に宛てたパケットをIDS50に転送するように、SDNコントローラ装置40を介してSDNスイッチ30に設定させる。ステップS403の処理の後、監視対象変更部103は、処理をステップS402に戻す。
In step S403, the monitoring
また、ステップS404からステップS409の処理は、上述した図3に示すステップS201からステップS206の処理と同様であるので、ここでは説明を省略する。なお、ステップS404において、攻撃検知取得部101は、IDS50が検知アラートを送信していない場合(ステップS404:NO)に、処理をステップS402に戻す。
Also, the processing from step S404 to step S409 is the same as the processing from step S201 to step S206 shown in FIG. In step S404, the attack
以上説明したように、本実施形態による通信制御装置100aは、監視対象変更部103を備えている。監視対象変更部103は、監視対象のネットワークNW1を流れるパケットのうち、監視対象であるパケットをIDS50に監視させるとともに、監視対象であるパケットの宛先を示す監視対象の機器(例えば、監視対象コンピュータ装置20)を、所定の期間ごとに変更させる。
これにより、IDS50が監視するパケット量を低減することができるので、本実施形態による通信制御装置100a及び攻撃防御システム1aは、IDS50の処理量を低減することができる。よって、本実施形態による通信制御装置100a及び攻撃防御システム1aは、トラフィックをさらに適切に処理しつつ、攻撃に対して防御処理を行うことができる。
As described above, the
Thereby, since the amount of packets monitored by the
なお、本発明は、上記の各実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で変更可能である。
例えば、上記の各実施形態において、攻撃防御システム1(1a)は、通信制御装置100(100a)を独立した装置として備える一例を説明したが、これに限定されるものではない。例えば、図11に示す第1の変形例のように、SDNコントローラ装置40aが通信制御装置100(100a)を備えるように構成してもよいし、図12に示す第1の変形例のように、IDS50aが通信制御装置100(100a)を備えるように構成してもよい。
The present invention is not limited to the above embodiments, and can be modified without departing from the spirit of the present invention.
For example, in each of the above-described embodiments, the attack defense system 1 (1a) has been described as an example including the communication control device 100 (100a) as an independent device, but is not limited thereto. For example, the
図11は、第1の変形例の攻撃防御システム1bを示すブロック図である。この図において、攻撃防御システム1bは、SDNスイッチ30と、SDNコントローラ装置40aと、IDS50とを備えている。また、SDNコントローラ装置40aは、スイッチ設定処理部41と、通信制御装置100(100a)とを備えている。このような図11に示す攻撃防御システム1bにおいても、第1及び第2の実施形態と同様の効果を奏する。
また、図12は、第2の変形例の攻撃防御システム1cを示すブロック図である。この図において、攻撃防御システム1cは、SDNスイッチ30と、SDNコントローラ装置40と、IDS50aとを備えている。また、IDS50aは、攻撃検知部51と、記憶部60と、通信制御装置100(100a)とを備えている。このような図12に示す攻撃防御システム1cにおいても、第1及び第2の実施形態と同様の効果を奏する。
FIG. 11 is a block diagram showing an
FIG. 12 is a block diagram showing an
また、上記の各実施形態において、SDNスイッチ30が、SDNコントローラ装置40を備える構成としてもよい。
また、上記の各実施形態において、セキュリティ機器の一例として、IDS50を備える場合について説明したが、これに限定されるものではなく、IDS50の代わりに、例えば、IPS、ファイヤーウォール(Firewall)、WAF(Web Application Firewall)などのセキュリティ機器に適用してもよい。
また、監視対象のネットワークNW1は、物理ネットワークに限定されるものではなく、仮想ネットワークにおいて適用してもよい。
In each of the above embodiments, the
In each of the above embodiments, the case where the
Further, the monitoring target network NW1 is not limited to a physical network, and may be applied to a virtual network.
また、上記の各実施形態において、各実施形態を単独で実施する場合について説明したが、各実施形態を組み合わせて実施する構成としてもよい。また、第1の実施形態と第2の実施形態を組み合わせる場合に、IDS50が検知した攻撃の危険度に応じて、第1の実施形態と、第2の実施形態とを切り替えて実施する構成としてもよい。
また、上記の各実施形態において、DoS攻撃に対する防御処理と、SQLインジェクションによる攻撃に対する防御処理と、その他の不正パケットによる攻撃に対する防御処理とを組み合わせて実施する例を説明したが、それぞれの防御処理を単独で実施する構成としてもよい。この場合、その他の不正パケットによる攻撃は、IDS50が検知した全ての攻撃に対して同様の防御処理を実施する構成としてもよい。すなわち、例えば、通信制御装置100は、DoS攻撃、及びSQLインジェクションによる攻撃を含めた全ての攻撃に対して攻撃パケットを遮断させるようにしてもよい。また、例えば、通信制御装置100は、DoS攻撃、及びSQLインジェクションによる攻撃を含めた全ての攻撃に対して攻撃パケットをハニーポット70に転送させるようにしてもよい。
Further, in each of the above-described embodiments, the case where each embodiment is implemented alone has been described. However, a configuration in which the embodiments are implemented in combination may be employed. Moreover, when combining 1st Embodiment and 2nd Embodiment, according to the risk of the attack which IDS50 detected, as 1st Embodiment and the structure which switches and implements 2nd Embodiment Also good.
Further, in each of the above embodiments, an example has been described in which a defense process against a DoS attack, a defense process against an attack by SQL injection, and a defense process against an attack by other illegal packets are implemented in combination. It is good also as a structure which implements independently. In this case, the attack by other illegal packets may be configured such that the same defense process is performed for all attacks detected by the
また、通信制御装置100(100a)は、DOS攻撃を検出した場合に、単位時間当たりの通信量が所定の閾値を超えた分のパケットを破棄させる例を説明したが、例えば、全パケットを破棄させるようにしてもよい。
また、通信制御装置100(100a)は、SQLインジェクションによる攻撃を検出した場合に、ダミーデータに置き換える例を説明したが、例えば、全パケットを破棄させるようにしてもよい。
Moreover, although the communication control apparatus 100 (100a) demonstrated the example which discards the packet for which the communication amount per unit time exceeded the predetermined threshold when a DOS attack was detected, for example, discards all packets. You may make it make it.
Moreover, although the communication control apparatus 100 (100a) demonstrated the example replaced with dummy data when the attack by SQL injection was detected, you may make it discard all the packets, for example.
また、上記の第2の実施形態において、攻撃を検知した場合に、通信制御装置100が、監視対象コンピュータ装置20を隔離させるとともに、監視対象コンピュータ装置20に宛てたパケットを、ハニーポット70に宛てたパケットに変更して転送させる例を説明したが、これに限定されるものではない。例えば、通信制御装置100は、監視対象コンピュータ装置20を隔離させる防御処理と、ハニーポット70に宛てたパケットに変更して転送させる防御処理とのいずれか一方を行うようにしてもよい。
In the second embodiment, when an attack is detected, the
また、上記の第3の実施形態において、監視対象のネットワークNW1を流れるパケットの一部のパケットをIDS50aが監視する例を説明したが、これに限定されるものではない。通信制御装置100aは、さらに、送信元IPアドレスによる重み付けをして危険と判定されるIPアドレスからのパケットを重点的に監視させるようにしてもよいし、攻撃の兆候があった送信元からのパケットを重点的に監視させるようにしてもよい。また、通信制御装置100aは、通信量による重み付けをして、通信量の多い監視対象コンピュータ装置20に宛てたパケットを重点的に監視させるようにしてもよい。また、通信制御装置100aは、攻撃パケットの内容に応じて重み付けをして、重み付けの重い攻撃パケットの兆候があった場合に、重み付けの重い攻撃パケットの内容に対して重点的に監視させるようにしてもよい。
In the third embodiment, the example in which the
なお、上述した攻撃防御システム1(1a、1b、1c)が備える各構成は、内部に、コンピュータシステムを有している。そして、上述した攻撃防御システム1(1a、1b、1c)が備える各構成の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより上述した攻撃防御システム1(1a、1b、1c)が備える各構成における処理を行ってもよい。ここで、「記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行する」とは、コンピュータシステムにプログラムをインストールすることを含む。ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
また、「コンピュータシステム」は、インターネットやWAN、LAN、専用回線等の通信回線を含むネットワークを介して接続された複数のコンピュータ装置を含んでもよい。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。このように、プログラムを記憶した記録媒体は、CD−ROM等の非一過性の記録媒体であってもよい。
In addition, each structure with which the attack defense system 1 (1a, 1b, 1c) mentioned above has a computer system inside. And the program for implement | achieving the function of each structure with which the above-mentioned attack defense system 1 (1a, 1b, 1c) is equipped is recorded on a computer-readable recording medium, The computer program is recorded on this recording medium. The above-described attack defense system 1 (1a, 1b, 1c) may perform processing in each configuration by being read and executed. Here, “loading and executing a program recorded on a recording medium into a computer system” includes installing the program in the computer system. The “computer system” here includes an OS and hardware such as peripheral devices.
Further, the “computer system” may include a plurality of computer devices connected via a network including a communication line such as the Internet, WAN, LAN, and dedicated line. The “computer-readable recording medium” refers to a storage device such as a flexible medium, a magneto-optical disk, a portable medium such as a ROM and a CD-ROM, and a hard disk incorporated in a computer system. As described above, the recording medium storing the program may be a non-transitory recording medium such as a CD-ROM.
また、記録媒体には、当該プログラムを配信するために配信サーバからアクセス可能な内部又は外部に設けられた記録媒体も含まれる。なお、プログラムを複数に分割し、それぞれ異なるタイミングでダウンロードした後に攻撃防御システム1(1a、1b、1c)が備える各構成で合体される構成や、分割されたプログラムのそれぞれを配信する配信サーバが異なっていてもよい。さらに「コンピュータ読み取り可能な記録媒体」とは、ネットワークを介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。また、上記プログラムは、上述した機能の一部を実現するためのものであってもよい。さらに、上述した機能をコンピュータシステムに既に記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 The recording medium also includes a recording medium provided inside or outside that is accessible from the distribution server in order to distribute the program. In addition, a distribution server that distributes each of the divided programs and a configuration that is combined with each configuration provided in the attack defense system 1 (1a, 1b, 1c) after the program is divided into a plurality of times and downloaded at different timings. May be different. Furthermore, a “computer-readable recording medium” holds a program for a certain period of time, such as a volatile memory (RAM) inside a computer system that becomes a server or client when the program is transmitted via a network. Including things. The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.
また、上述した機能の一部又は全部を、LSI(Large Scale Integration)等の集積回路として実現してもよい。上述した各機能は個別にプロセッサ化してもよいし、一部、又は全部を集積してプロセッサ化してもよい。また、集積回路化の手法はLSIに限らず専用回路、又は汎用プロセッサで実現してもよい。また、半導体技術の進歩によりLSIに代替する集積回路化の技術が出現した場合、当該技術による集積回路を用いてもよい。 Moreover, you may implement | achieve part or all of the function mentioned above as integrated circuits, such as LSI (Large Scale Integration). Each function described above may be individually made into a processor, or a part or all of them may be integrated into a processor. Further, the method of circuit integration is not limited to LSI, and may be realized by a dedicated circuit or a general-purpose processor. In addition, when an integrated circuit technology that replaces LSI appears due to the advancement of semiconductor technology, an integrated circuit based on the technology may be used.
1、1a、1b、1c 攻撃防御システム
10 攻撃側コンピュータ装置
20、20−1、20−N 監視対象コンピュータ装置
30 SDNスイッチ
40、40a SDNコントローラ装置
41 スイッチ設定処理部
50、50a IDS
51 攻撃検知部
60 記憶部
61 攻撃判定情報記憶部
70 ハニーポット
100、100a、 通信制御装置
101 攻撃検知取得部
102 パケット制御部
103 監視対象変更部
1, 1a, 1b, 1c
DESCRIPTION OF
Claims (8)
前記攻撃検知取得部が取得した攻撃検知情報に基づいて、前記スイッチ装置に、前記監視対象のネットワークを流れるパケットを制限させる制御を行うパケット制御部と
を備え、
前記パケット制御部は、前記攻撃検知情報が、SQLインジェクションを前記セキュリティ機器により検知したことを示す情報である場合に、攻撃元の機器から送信された前記SQLインジェクションを含むパケットのインジェクション部分を安全な内容に置換して前記監視対象の機器に転送させる制御を、前記スイッチ装置に対して行う
ことを特徴とする通信制御装置。 Attack detection indicating an attack detected by a security device that detects a packet flowing in the monitored network in promiscuous mode via the switch device and detects an attack in the monitored network based on the monitored packet An attack detection acquisition unit that acquires information;
A packet control unit that controls the switch device to limit packets flowing through the monitored network based on the attack detection information acquired by the attack detection acquisition unit ;
When the attack detection information is information indicating that SQL injection has been detected by the security device, the packet control unit secures an injection part of a packet including the SQL injection transmitted from the attack source device. Control the switch device to replace the content and transfer it to the monitored device
A communication control device comprising a call.
を備え、 With
前記対象変更部は、送信元に重み付けを行い、前記監視対象のネットワークを流れるパケットのうち、当該重み付けに基づいて危険と判定される前記送信元からのパケットを重点的に、前記セキュリティ機器に監視させる The target changing unit weights a transmission source, and monitors packets from the transmission source that are determined to be dangerous based on the weighting among packets flowing through the monitoring target network by the security device. Make
ことを特徴とする請求項1に記載の通信制御装置。 The communication control apparatus according to claim 1.
を備え、 With
前記対象変更部は、送信元に重み付けを行い、前記監視対象のネットワークを流れるパケットのうち、当該重み付けに基づいて攻撃の兆候があると判定される前記送信元からのパケットを重点的に、前記セキュリティ機器に監視させる The target changing unit weights a transmission source, and among packets flowing through the monitoring target network, focuses on a packet from the transmission source that is determined to have an indication of an attack based on the weighting, Let security devices monitor
ことを特徴とする請求項1に記載の通信制御装置。 The communication control apparatus according to claim 1.
を備え、 With
前記対象変更部は、前記監視対象の機器に対する通信量により重み付けを行い、前記監視対象のネットワークを流れるパケットのうち、当該重み付けに基づいて前記通信量が多い前記監視対象の機器に宛てたパケットを重点的に、前記セキュリティ機器に監視させる The target changing unit performs weighting according to a communication amount with respect to the monitoring target device, and out of packets flowing through the monitoring target network, packets addressed to the monitoring target device having a large communication amount based on the weighting. Focus on the security device
ことを特徴とする請求項1に記載の通信制御装置。 The communication control apparatus according to claim 1.
を備え、 With
前記対象変更部は、攻撃パケットの内容に応じて重み付けを行い、当該重み付けが重い攻撃パケットの兆候があった場合に、当該重み付けが重い攻撃パケットの内容に対して重点的に、前記セキュリティ機器に監視させる The target changing unit performs weighting according to the content of the attack packet, and when there is an indication of an attack packet with a heavy weight, the target changing unit focuses on the content of the attack packet with a heavy weight to the security device. Monitor
ことを特徴とする請求項1に記載の通信制御装置。 The communication control apparatus according to claim 1.
前記監視対象のネットワークを流れるパケットを、前記スイッチ装置を介してプロミスキャスモードで監視し、監視した当該パケットに基づいて、前記監視対象のネットワークにおける攻撃を検知するセキュリティ機器と、
通信制御装置と
を備え、
前記通信制御装置は、
前記セキュリティ機器が検知した当該攻撃を示す攻撃検知情報を取得する攻撃検知取得部と、
前記攻撃検知取得部が取得した攻撃検知情報に基づいて、前記スイッチ装置に、前記監視対象のネットワークを流れるパケットを制限させる制御を行うパケット制御部と
を備え、
前記パケット制御部は、前記攻撃検知情報が、SQLインジェクションを前記セキュリティ機器により検知したことを示す情報である場合に、攻撃元の機器から送信された前記SQLインジェクションを含むパケットのインジェクション部分を安全な内容に置換して前記監視対象の機器に転送させる制御を、前記スイッチ装置に対して行う
ことを特徴とする攻撃防御システム。 A switching device that controls packets flowing through the monitored network;
A packet that flows through the monitored network in a promiscuous mode via the switch device, and based on the monitored packet, a security device that detects an attack in the monitored network;
A communication control device,
The communication control device includes:
An attack detection acquisition unit for acquiring attack detection information indicating the attack detected by the security device;
A packet control unit that controls the switch device to limit packets flowing through the monitored network based on the attack detection information acquired by the attack detection acquisition unit ;
When the attack detection information is information indicating that SQL injection has been detected by the security device, the packet control unit secures an injection part of a packet including the SQL injection transmitted from the attack source device. Control the switch device to replace the content and transfer it to the monitored device
Attack defense system, wherein a call.
セキュリティ機器が、前記監視対象のネットワークを流れるパケットを、前記スイッチ装置を介してプロミスキャスモードで監視し、監視した当該パケットに基づいて、前記監視対象のネットワークにおける攻撃を検知する攻撃検知ステップと、
通信制御装置が、前記セキュリティ機器が検知した当該攻撃を示す攻撃検知情報を取得する攻撃検知取得ステップと、
通信制御装置が、前記攻撃検知取得ステップにて取得した攻撃検知情報に基づいて、前記スイッチ装置に、前記監視対象のネットワークを流れるパケットを制限させる制御を行うパケット制御ステップと
を含み、
前記パケット制御ステップにおいて、通信制御装置が、前記攻撃検知情報が、SQLインジェクションを前記セキュリティ機器により検知したことを示す情報である場合に、攻撃元の機器から送信された前記SQLインジェクションを含むパケットのインジェクション部分を安全な内容に置換して前記監視対象の機器に転送させる制御を、前記スイッチ装置に対して行う
ことを特徴とする攻撃防御方法。 An attack defense method for an attack defense system comprising a switch device that controls packets flowing through a monitored network,
An attack detection step in which a security device monitors a packet flowing through the monitored network in a promiscuous mode via the switch device, and detects an attack in the monitored network based on the monitored packet;
An attack detection acquisition step in which the communication control apparatus acquires attack detection information indicating the attack detected by the security device;
Communication control device, based on the acquired attack detection information at the attack detection acquiring step, to the switch device, viewed contains a packet control step of performing control to limit the packet flow through a network of the monitoring target,
In the packet control step, when the attack detection information is information indicating that SQL injection is detected by the security device, the communication control device transmits a packet including the SQL injection transmitted from the attack source device. Control the switch device to replace the injection part with safe content and transfer it to the monitored device
Attack defense wherein a call.
監視対象のネットワークを流れるパケットを、スイッチ装置を介してプロミスキャスモードで監視し、監視した当該パケットに基づいて、前記監視対象のネットワークの攻撃を検知するセキュリティ機器が検知した当該攻撃を示す攻撃検知情報を取得する攻撃検知取得ステップと、
前記攻撃検知取得ステップにて取得した攻撃検知情報に基づいて、前記スイッチ装置に、前記監視対象のネットワークを流れるパケットを制限させる制御を行うパケット制御ステップと
を実行させ、
前記パケット制御ステップにおいて、前記攻撃検知情報が、SQLインジェクションを前記セキュリティ機器により検知したことを示す情報である場合に、攻撃元の機器から送信された前記SQLインジェクションを含むパケットのインジェクション部分を安全な内容に置換して前記監視対象の機器に転送させる制御を、前記スイッチ装置に対して行う処理を実行させるためのプログラム。 On the computer,
Attack detection indicating an attack detected by a security device that detects a packet flowing through the monitored network in promiscuous mode via the switch device and detects an attack on the monitored network based on the monitored packet An attack detection acquisition step for acquiring information;
Based on the attack detection information acquired in the attack detection acquisition step, causing the switch device to execute a packet control step for performing control to limit packets flowing through the monitored network , and
In the packet control step, when the attack detection information is information indicating that an SQL injection is detected by the security device, the injection portion of the packet including the SQL injection transmitted from the attack source device is safely A program for executing processing for the switch device to perform control to replace the content and transfer it to the monitored device .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014124516A JP6364255B2 (en) | 2014-06-17 | 2014-06-17 | Communication control device, attack defense system, attack defense method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014124516A JP6364255B2 (en) | 2014-06-17 | 2014-06-17 | Communication control device, attack defense system, attack defense method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016005138A JP2016005138A (en) | 2016-01-12 |
| JP6364255B2 true JP6364255B2 (en) | 2018-07-25 |
Family
ID=55224127
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014124516A Active JP6364255B2 (en) | 2014-06-17 | 2014-06-17 | Communication control device, attack defense system, attack defense method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6364255B2 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10911466B2 (en) | 2017-11-30 | 2021-02-02 | Panasonic Intellectual Property Corporation Of America | Network protection device and network protection system |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6616733B2 (en) * | 2016-05-10 | 2019-12-04 | エイチ・シー・ネットワークス株式会社 | Network system and server device |
| EP3286900B1 (en) | 2016-06-22 | 2019-03-27 | Huawei Technologies Co., Ltd. | System and method for detecting and preventing network intrusion of malicious data flows |
| JP6636474B2 (en) * | 2017-03-16 | 2020-01-29 | 日本電信電話株式会社 | Response instruction device, response instruction method, response instruction program |
| RU2649290C1 (en) * | 2017-04-28 | 2018-03-30 | Акционерное общество "Лаборатория Касперского" | SYSTEM AND METHOD OF TRAFFIC FILTRATION AT DDoS-ATTACK DETECTION |
| WO2018229931A1 (en) * | 2017-06-15 | 2018-12-20 | 三菱電機株式会社 | Gateway device and network system |
| CN107277073A (en) * | 2017-08-16 | 2017-10-20 | 北京新网数码信息技术有限公司 | A kind of method for monitoring network and device |
| JP7107153B2 (en) * | 2018-10-17 | 2022-07-27 | 富士通株式会社 | MALWARE INSPECTION SUPPORT PROGRAM, MALWARE INSPECTION SUPPORT METHOD, AND COMMUNICATION DEVICE |
| JP2020072427A (en) * | 2018-11-01 | 2020-05-07 | 日本電気株式会社 | Controller, control method, system and program, capable of preventing infection of threat to network |
| JP6801046B2 (en) * | 2019-05-28 | 2020-12-16 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | Systems and methods to detect and prevent network intrusions of malicious data flows |
| CN110474888A (en) * | 2019-07-26 | 2019-11-19 | 广东睿江云计算股份有限公司 | A kind of free-standing sql injection defence analysis alarm method and its system based on php |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003186702A (en) * | 2001-12-18 | 2003-07-04 | Tsubasa System Co Ltd | Terminal operation monitoring system and terminal operation monitoring method |
| US20150124595A1 (en) * | 2012-05-01 | 2015-05-07 | Nec Corporation | Communication system, access control apparatus, switch, network control method, and program |
-
2014
- 2014-06-17 JP JP2014124516A patent/JP6364255B2/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10911466B2 (en) | 2017-11-30 | 2021-02-02 | Panasonic Intellectual Property Corporation Of America | Network protection device and network protection system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016005138A (en) | 2016-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6364255B2 (en) | Communication control device, attack defense system, attack defense method, and program | |
| EP3178216B1 (en) | Data center architecture that supports attack detection and mitigation | |
| US9781157B1 (en) | Mitigating denial of service attacks | |
| US8089871B2 (en) | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network | |
| CN108353068B (en) | SDN controller assisted intrusion prevention system | |
| US11005814B2 (en) | Network security | |
| JP2005252808A (en) | Unauthorized access preventing method, device, system and program | |
| KR20120060655A (en) | Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof | |
| JP6256773B2 (en) | Security system | |
| JP2016163180A (en) | Communication system, communication method, and program | |
| Sun et al. | CyberMoat: Camouflaging critical server infrastructures with large scale decoy farms | |
| KR20140044970A (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
| JP6348655B2 (en) | Security countermeasure invalidation prevention device, security countermeasure invalidation prevention method, and security countermeasure invalidation prevention program | |
| JP2007259223A (en) | Defense system and method against illegal access on network, and program therefor | |
| Juba et al. | Dynamic isolation of network devices using OpenFlow for keeping LAN secure from intra-LAN attack | |
| KR20170109949A (en) | Method and apparatus for enhancing network security in dynamic network environment | |
| KR101065800B1 (en) | Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof | |
| JP2008178100A (en) | Method for protecting computer network against packet flood | |
| JP6310822B2 (en) | Virtual machine resource management system, method and program | |
| KR101230919B1 (en) | Distributed denial of service attack auto protection system and method | |
| US20170142132A1 (en) | Monitoring Network Traffic | |
| WO2017135246A1 (en) | Control device, mitigation system, control method, and computer program | |
| Jhi et al. | PWC: A proactive worm containment solution for enterprise networks | |
| KR101358794B1 (en) | Distributed denial of service attack protection system and method | |
| KR101236129B1 (en) | Apparatus for control abnormal traffic and method for the same |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170217 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171221 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180130 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180308 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180605 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180702 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6364255 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |