JP7468658B2 - セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム - Google Patents
セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム Download PDFInfo
- Publication number
- JP7468658B2 JP7468658B2 JP2022534503A JP2022534503A JP7468658B2 JP 7468658 B2 JP7468658 B2 JP 7468658B2 JP 2022534503 A JP2022534503 A JP 2022534503A JP 2022534503 A JP2022534503 A JP 2022534503A JP 7468658 B2 JP7468658 B2 JP 7468658B2
- Authority
- JP
- Japan
- Prior art keywords
- verification
- security setting
- security
- network
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
前記ネットワークにおけるトラフィックデータから得られた特徴量からなる検証シナリオと、セキュリティ設定パラメータとに基づいて、機械学習を用いた事前検証シミュレーションを行うことにより、当該セキュリティ設定パラメータが前記装置に対して設定可能であるか否かを判断する事前検証部と、
前記事前検証の結果を出力する検証結果出力部と、を備え、
前記セキュリティ設定パラメータは、前記ネットワーク上のDDoS攻撃を検知するためのしきい値であり、
前記事前検証部は、前記しきい値によりDDoS攻撃を見逃していないかどうか、前記しきい値により正常通信をDDoS攻撃であると誤検知していないかどうか、又は、前記しきい値によりサービスのSLAを満たしているかどうか、に基づいて前記判断を行う
セキュリティ設定支援装置が提供される。
図1に、本実施の形態におけるセキュリティ設定支援装置100の構成例を示す。図1には、セキュリティ設定支援装置100がセキュリティ設定の対象とする装置やサービスの例として、インフラシステム10のAPL11、セキュリティ装置20、ネットワーク装置30、クラウドシステム40のセキュリティサービス50等が示されている。なお、図1に示す、セキュリティ設定支援装置100がセキュリティ設定の対象とし得る装置及びサービスの配置は一例であり、これに限られるわけではない。また、図1において、クラウドシステムで提供される機能を「サービス」と称しているが、クラウドシステムで提供される機能についても「装置」と称してもよい。
まず、検証シナリオについて説明する。検証シナリオは、あるサービスにおける正常時あるいはDDoS攻撃時のトラフィックデータ(例えば、クライアントとインフラシステムの間にあるサービス経路上のネットワーク装置で観測されたトラフィックデータ)から変換された数値パラメータであり、トラフィックの特徴を示す特徴量である。
サービス情報に関して、アプリケーションサービスの種類(HTTP、映像配信、VPN等)毎に、そのサービスを提供するインフラシステムの識別情報、及び当該サービスのSLA(Service Level Agreement)がセキュリティ設定支援装置100に入力され、入力された情報はサービス情報DB132に格納される。SLAの項目としては、例えば、図3に示したように、遅延時間、サービス稼働率、帯域保証等がある。
セキュリティ設定情報として、各装置・サービスから、DDoS攻撃検知のためのしきい値を設定可能か否かを示す情報(available,unavailable)が取得され、図4に示すように、装置設定情報DB135に格納される。図4の例において、例えばDevice_Aに関しては、通信量についてのしきい値は設定可能であるが、セッション数とHTTP接続時間についてのしきい値は設定不可であることを示す。図4に示すセキュリティ設定情報は、設定制御部112によりしきい値を各装置・サービスに設定する際に使用される。例えば、ある装置について、availableである項目(例:通信量)のしきい値を設定し、unavailableである項目(例:セッション数)のしきい値を設定しない。
図6は、セキュリティ設定支援装置100によるセキュリティ設定の事前検証に関わる動作例を説明するためのフローチャートである。図6のフローチャートの手順に沿って、セキュリティ設定支援装置100の動作例を説明する。
S101において、事前検証部116は、サービス情報DB132からアプリケーションサービスのサービス情報を読み込み、検証シナリオDB134から検証シナリオを読み込む。また、事前検証の対象となるセキュリティ設定パラメータ(具体的にはしきい値)を入力する。当該セキュリティ設定パラメータは、例えば、オペレータにより、検証結果通知部115のGUIを用いてセキュリティ設定支援装置100に入力される。
S102において、事前検証部116は、複数の検証シナリオのうちの1つの検証シナリオを取得する。
図6のS107において、検証結果通知部115は、オペレータに対して事前検証結果を通知する。
本実施の形態におけるセキュリティ設定支援装置100は、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。なお、この「コンピュータ」は、物理マシンであってもよいし、クラウド上の仮想マシンであってもよい。仮想マシンを使用する場合、ここで説明する「ハードウェア」は仮想的なハードウェアである。
本実施の形態に係る技術により、複数装置・セキュリティサービスにおけるDDoS検知に関するしきい値を事前検証後に設定することで、ステージングを短縮してもマルチベクトル型DDoS攻撃を高精度に検知可能となる。これにより、DDoS検知のしきい値が正しく設定されないことによる誤検知・見逃しが発生することを防止できる。
本明細書には、少なくとも下記の各項に記載したセキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラムが記載されている。
(第1項)
ネットワーク上の装置に対するセキュリティ設定を支援するセキュリティ設定支援装置であって、
前記ネットワークにおけるトラフィックデータから得られた特徴量からなる検証シナリオと、セキュリティ設定パラメータとに基づいて、当該セキュリティ設定パラメータが前記装置に対して設定可能であるか否かを判断する事前検証を行う事前検証部と、
前記事前検証の結果を出力する検証結果出力部と
を備えるセキュリティ設定支援装置。
(第2項)
前記事前検証部により設定可能であると判断されたセキュリティ設定パラメータを前記装置に設定する設定制御部
を更に備える第1項に記載のセキュリティ設定支援装置。
(第3項)
前記事前検証部は、教師ありの機械学習により学習された学習済みのモデルを用いて、事前検証シミュレーションを行うことにより、前記判断を行う
第1項又は第2項に記載のセキュリティ設定支援装置。
(第4項)
前記事前検証部は、前記セキュリティ設定パラメータが前記装置に対して設定可能ではないと判断した場合に、前記セキュリティ設定パラメータを変更し、変更後のセキュリティ設定パラメータを用いて、前記判断を再度実行する
第1項ないし第3項のうちいずれか1項に記載のセキュリティ設定支援装置。
(第5項)
前記セキュリティ設定パラメータは、前記ネットワーク上のDDoS攻撃を検知するためのしきい値である
第1項ないし第4項のうちいずれか1項に記載のセキュリティ設定支援装置。
(第6項)
前記事前検証部は、前記しきい値によりDDoS攻撃を見逃していないかどうか、前記しきい値により正常通信をDDoS攻撃であると誤検知していないかどうか、又は、前記しきい値によりサービスのSLAを満たしているかどうか、に基づいて前記判断を行う
第5項に記載のセキュリティ設定支援装置。
(第7項)
ネットワーク上の装置に対するセキュリティ設定を支援するセキュリティ設定支援装置が実行するセキュリティ設定支援方法であって、
前記ネットワークにおけるトラフィックデータから得られた特徴量からなる検証シナリオと、セキュリティ設定パラメータとに基づいて、当該セキュリティ設定パラメータが前記装置に対して設定可能であるか否かを判断する事前検証を行う事前検証ステップと、
前記事前検証の結果を出力する検証結果出力ステップと
を備えるセキュリティ設定支援方法。
(第8項)
コンピュータを、第1項ないし第6項のうちいずれか1項に記載のセキュリティ設定支援装置における各部として機能させるためのプログラム。
11 APL
20 セキュリティ装置
30 ネットワーク装置
40 クラウドシステム
50 セキュリティサービス
60 クライアント
100 セキュリティ設定支援装置
110 通信部
120 処理部
130 記録部
111 設定収集部
112 設定制御部
113 経路算出部
114 設定装置選定部
115 検証結果通知部
116 事前検証部
131 ネットワークトポロジ構成DB
132 サービス情報DB
133 装置設定情報DB
134 検証シナリオDB
135 検証結果格納DB
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
Claims (6)
- ネットワーク上の装置に対するセキュリティ設定を支援するセキュリティ設定支援装置であって、
前記ネットワークにおけるトラフィックデータから得られた特徴量からなる検証シナリオと、セキュリティ設定パラメータとに基づいて、機械学習を用いた事前検証シミュレーションを行うことにより、当該セキュリティ設定パラメータが前記装置に対して設定可能であるか否かを判断する事前検証部と、
前記事前検証の結果を出力する検証結果出力部と、を備え、
前記セキュリティ設定パラメータは、前記ネットワーク上のDDoS攻撃を検知するためのしきい値であり、
前記事前検証部は、前記しきい値によりDDoS攻撃を見逃していないかどうか、前記しきい値により正常通信をDDoS攻撃であると誤検知していないかどうか、又は、前記しきい値によりサービスのSLAを満たしているかどうか、に基づいて前記判断を行う
セキュリティ設定支援装置。 - 前記事前検証部により設定可能であると判断されたセキュリティ設定パラメータを前記装置に設定する設定制御部
を更に備える請求項1に記載のセキュリティ設定支援装置。 - 前記事前検証部は、教師ありの機械学習により学習された学習済みのモデルを用いて、事前検証シミュレーションを行うことにより、前記判断を行う
請求項1又は2に記載のセキュリティ設定支援装置。 - 前記事前検証部は、前記セキュリティ設定パラメータが前記装置に対して設定可能ではないと判断した場合に、前記セキュリティ設定パラメータを変更し、変更後のセキュリティ設定パラメータを用いて、前記判断を再度実行する
請求項1ないし3のうちいずれか1項に記載のセキュリティ設定支援装置。 - ネットワーク上の装置に対するセキュリティ設定を支援するセキュリティ設定支援装置が実行するセキュリティ設定支援方法であって、
前記ネットワークにおけるトラフィックデータから得られた特徴量からなる検証シナリオと、セキュリティ設定パラメータとに基づいて、機械学習を用いた事前検証シミュレーションを行うことにより、当該セキュリティ設定パラメータが前記装置に対して設定可能であるか否かを判断する事前検証ステップと、
前記事前検証の結果を出力する検証結果出力ステップと、を備え、
前記セキュリティ設定パラメータは、前記ネットワーク上のDDoS攻撃を検知するためのしきい値であり、
前記事前検証ステップにおいて、前記しきい値によりDDoS攻撃を見逃していないかどうか、前記しきい値により正常通信をDDoS攻撃であると誤検知していないかどうか、又は、前記しきい値によりサービスのSLAを満たしているかどうか、に基づいて前記判断を行う
セキュリティ設定支援方法。 - コンピュータを、請求項1ないし4のうちいずれか1項に記載のセキュリティ設定支援装置における各部として機能させるためのプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/026434 WO2022009274A1 (ja) | 2020-07-06 | 2020-07-06 | セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2022009274A1 JPWO2022009274A1 (ja) | 2022-01-13 |
| JP7468658B2 true JP7468658B2 (ja) | 2024-04-16 |
Family
ID=79553077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022534503A Active JP7468658B2 (ja) | 2020-07-06 | 2020-07-06 | セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230269274A1 (ja) |
| JP (1) | JP7468658B2 (ja) |
| WO (1) | WO2022009274A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12273380B2 (en) * | 2021-12-14 | 2025-04-08 | Mellanox Technologies, Ltd. | AI-supported network telemetry using data processing unit |
| JP7523484B2 (ja) * | 2022-03-11 | 2024-07-26 | 株式会社ケイティーエス | ネットワーク管理装置 |
| US12192243B2 (en) * | 2022-11-18 | 2025-01-07 | Kyndryl, Inc. | Security policy selection based on calculated uncertainty and predicted resource consumption |
| CN120321006A (zh) * | 2025-04-24 | 2025-07-15 | 杭州微联科技有限公司 | 一种多层验证式网络信息安全管控方法 |
| CN121310141B (zh) * | 2025-12-10 | 2026-03-24 | 岭博科技(北京)有限公司 | 一种微信小程序认证的临时放行方法、系统、介质及产品 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101771584A (zh) | 2009-12-31 | 2010-07-07 | 华中科技大学 | 一种网络流量异常检测方法 |
| JP2018160172A (ja) | 2017-03-23 | 2018-10-11 | 日本電気株式会社 | マルウェア判定方法、マルウェア判定装置及びマルウェア判定プログラム |
| JP2019213029A (ja) | 2018-06-04 | 2019-12-12 | 日本電信電話株式会社 | 感染拡大攻撃検知システム及び方法、並びに、プログラム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2666645C1 (ru) * | 2017-08-10 | 2018-09-11 | Акционерное общество "Лаборатория Касперского" | Система и способ обеспечения безопасного изменения конфигурации систем |
| US11539741B2 (en) * | 2019-09-05 | 2022-12-27 | Bank Of America Corporation | Systems and methods for preventing, through machine learning and access filtering, distributed denial of service (“DDoS”) attacks originating from IoT devices |
-
2020
- 2020-07-06 WO PCT/JP2020/026434 patent/WO2022009274A1/ja not_active Ceased
- 2020-07-06 US US18/014,353 patent/US20230269274A1/en active Pending
- 2020-07-06 JP JP2022534503A patent/JP7468658B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101771584A (zh) | 2009-12-31 | 2010-07-07 | 华中科技大学 | 一种网络流量异常检测方法 |
| JP2018160172A (ja) | 2017-03-23 | 2018-10-11 | 日本電気株式会社 | マルウェア判定方法、マルウェア判定装置及びマルウェア判定プログラム |
| JP2019213029A (ja) | 2018-06-04 | 2019-12-12 | 日本電信電話株式会社 | 感染拡大攻撃検知システム及び方法、並びに、プログラム |
Non-Patent Citations (1)
| Title |
|---|
| 吉田 寛, 他,通信トラヒック分布の教師なし学習による異常トラヒック判定手法について,電子情報通信学会技術研究報告,日本,電子情報通信学会,2011年03月03日,Vol. 110, No. 466,pp. 121-126 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2022009274A1 (ja) | 2022-01-13 |
| WO2022009274A1 (ja) | 2022-01-13 |
| US20230269274A1 (en) | 2023-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7468658B2 (ja) | セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム | |
| US11201882B2 (en) | Detection of malicious network activity | |
| Boite et al. | Statesec: Stateful monitoring for DDoS protection in software defined networks | |
| Mousavi et al. | Early detection of DDoS attacks against software defined network controllers | |
| CN109962891B (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
| US11005887B2 (en) | Honeynet method, system and computer program for mitigating link flooding attacks of software defined network | |
| JP6190518B2 (ja) | 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム | |
| Carvalho et al. | Entropy-based DoS attack identification in SDN | |
| CN109413071B (zh) | 一种异常流量检测方法及装置 | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| JP2015076863A (ja) | ログ分析装置、方法およびプログラム | |
| CN118075190B (zh) | 面向实时边缘计算的路由控制系统 | |
| EP2770688A1 (en) | Method and apparatus for assessing the efficiency of rules of filtering devices protecting a network | |
| CN104954376A (zh) | 一种自适应防攻击方法及装置 | |
| CN117155629A (zh) | 一种基于人工智能的电力信息系统网络主动防御方法及系统 | |
| CN112437037A (zh) | 基于sketch的DDoS洪泛攻击检测方法及装置 | |
| Pasias et al. | Enabling cyber-attack mitigation techniques in a software defined network | |
| CN114244576A (zh) | 一种云环境下的流量防护方法及装置 | |
| JP6233414B2 (ja) | 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム | |
| CN115499236B (zh) | 一种访问请求处理方法、装置、介质及计算设备 | |
| JP4852124B2 (ja) | 異常データ検出装置、異常データ検出方法及び異常データ検出プログラム | |
| CN113454956B (zh) | 通信终端装置、通信控制方法以及介质 | |
| Czubak et al. | Algorithmic complexity vulnerability analysis of a stateful firewall | |
| KR101564518B1 (ko) | 네트워크 트래픽 탐지를 위한 규칙 자동 생성 방법 및 장치 | |
| US11095651B2 (en) | Communication apparatus and non-transitory computer readable storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221213 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231205 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240205 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240305 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240318 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7468658 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |