Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7468658B2 - セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム - Google Patents
[go: Go Back, main page]

JP7468658B2 - セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム - Google Patents

セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム Download PDF

Info

Publication number
JP7468658B2
JP7468658B2 JP2022534503A JP2022534503A JP7468658B2 JP 7468658 B2 JP7468658 B2 JP 7468658B2 JP 2022534503 A JP2022534503 A JP 2022534503A JP 2022534503 A JP2022534503 A JP 2022534503A JP 7468658 B2 JP7468658 B2 JP 7468658B2
Authority
JP
Japan
Prior art keywords
verification
security setting
security
network
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022534503A
Other languages
English (en)
Other versions
JPWO2022009274A1 (ja
Inventor
雄太 風戸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2022009274A1 publication Critical patent/JPWO2022009274A1/ja
Application granted granted Critical
Publication of JP7468658B2 publication Critical patent/JP7468658B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークセキュリティの分野においてセキュリティ設定支援を行うための技術に関連するものである。
ネットワークサービスやアプリケーションサービスの提供を妨害するDDoS攻撃(Distributed Denial of Service attack)の高度化が進んでいる。近年では、DDoS攻撃の中でも、マルチベクトル型DDoS攻撃が主流である。
マルチベクトル型DDoS攻撃とは、インフラストラクチャレイヤ攻撃(OSIモデルにおけるレイヤ3及びレイヤ4)とアプリケーションレイヤ攻撃(レイヤ6及びレイヤ7)に属する攻撃手法を、複数種組み合わせたDDoS攻撃である。
マルチベクトル型DDoS攻撃からサービスの提供を防衛するためには、オンプレミス型の装置、クラウド型の装置、及びセキュリティサービス等を複数利用してDDoS攻撃を検知して、それに対処する必要がある。例えば、転送機能を有するネットワーク装置、WAF(Web Application Firewall)やIPS(Intrusion Prevention System)等のセキュリティ装置、クラウド型のDDoS緩和サービス等を利用することが考えられる。
また、複数の装置及びセキュリティサービスを利用する場合、ネットワークの構成、新規アプリケーションサービスの提供要件及びSLAに合わせて、各装置・セキュリティサービスの導入毎にセキュリティ設定を行う必要がある。特に、クラウドネイティブなNW(ネットワーク)においては、NW構成やNW環境が柔軟に変更されるため、その都度、セキュリティ設定の見直し及びチューニングが必要である。
DDoS攻撃の検知及び対処に関する従来技術として、セキュリティ装置等にしきい値を設定する方法がある(非特許文献1、非特許文献2)。この方法では、例えば、セキュリティ装置等が監視する通信量、セッション数、リソース量等の数値が、設定したしきい値を超えた場合に、該当する通信をDDoS攻撃と判断し、遮断や緩和等の対処を実行する。
また、非特許文献3には、トラフィックをルータやスイッチ等のネットワーク装置でサンプリング収集した後、NetFlow等のフロートラフィック形式で転送し、フロートラフィックに含まれる統計情報を基にしきい値でDDoS攻撃を検知する方法が開示されている。本方式を利用することでネットワーク事業者が有するネットワーク装置を用いたDDoS攻撃の検知も可能となる。
セキュリティ装置の導入時、新規アプリケーションサービス導入時、ネットワークの構成変更時等において、シグネチャ(パターンマッチングによる攻撃検知方法)やしきい値の設定によってサービスに関連する正常通信の誤検知や攻撃通信の見逃しが発生してないかを、セキュリティ運用の中で一定期間検証することが一般的であり、この検証期間をステージングという。
このようなステージングを実施することにより、DDoS攻撃のしきい値を適切な値に設定することによる検知精度の向上、及び、設定ミスや不要なシグネチャを発見することが可能になるというメリットがある。
一方、ステージングによりブロッキング設定からアラート設定に変更するため、セキュリティレベルが低下したり、ステージングの運用における設定確認やチューニング分析に関するオペレーションコストが発生するというデメリットがある。
このようなステージングを短縮する方法として、シグネチャの試験的な適用により予め検証を行う方法が提案されている(非特許文献4)。
Cisco SCE8000 10GBE ソフトウェアコンフィギュレーションガイド: DDoS 攻撃の識別と防御、https://www.cisco.com/c/ja_jp/td/docs/secg/servcntrl/servcntrloperatingsystems/cg/002/sce8000swcg/ddos.html Arbor Networks APS、https://www.nissho-ele.co.jp/product/arbor/arbor_aps.html 水口孝則他,"トラフィック解析システムSAMURAIとサービス展開"、NTT技術ジャーナル2008.7.、http://www.ntt.co.jp/journal/0807/files/jn200807016.pdf F5製品&サービス総合カタログ、https://www.ntt-at.co.jp/product/big-ip/docs/F5Service_Family_Catalog.pdf
上述したように、マルチベクトル型DDoS攻撃を検知する場合には、複数種類の攻撃を精度高く検知するために、オンプレミス型の装置、クラウド型の装置、及びセキュリティサービス(例:DDoS緩和サービス)を利用することが有効である。
新規アプリケーションサービス導入時において、DDoS検知可能であり、かつ提供するアプリケーションサービス毎の提供形態、SLA(Service Level Agreement)に合うように、各装置・セキュリティサービスのしきい値をチューニングする必要がある。
しかし、しきい値をネットワーク全体で正しく設定することは容易なことではない。しきい値がネットワーク全体で正しく設定されない場合、マルチベクトル型DDoS攻撃の見逃し、正常通信の誤検知、SLAを満たさない、等の事象が発生する可能性がある。
また、従来技術では、複数の装置・セキュリティサービスにおいて個別にしきい値を設定するためには、ステージングを実施する必要があり、前述したように、セキュリティレベルが低下し、オペレーションコストが増加する。
本発明は、上記の点に鑑みてなされたものであって、セキュリティレベルの低下及びオペレーションコストの増加を抑えながら、ネットワーク上の装置に対してセキュリティ設定を正しく行うことを可能とする技術を提供することを目的とする。
開示の技術によれば、ネットワーク上の装置に対するセキュリティ設定を支援するセキュリティ設定支援装置であって、
前記ネットワークにおけるトラフィックデータから得られた特徴量からなる検証シナリオと、セキュリティ設定パラメータとに基づいて、機械学習を用いた事前検証シミュレーションを行うことにより、当該セキュリティ設定パラメータが前記装置に対して設定可能であるか否かを判断する事前検証部と、
前記事前検証の結果を出力する検証結果出力部と、を備え、
前記セキュリティ設定パラメータは、前記ネットワーク上のDDoS攻撃を検知するためのしきい値であり、
前記事前検証部は、前記しきい値によりDDoS攻撃を見逃していないかどうか、前記しきい値により正常通信をDDoS攻撃であると誤検知していないかどうか、又は、前記しきい値によりサービスのSLAを満たしているかどうか、に基づいて前記判断を行う
セキュリティ設定支援装置が提供される。

開示の技術によれば、セキュリティレベルの低下及びオペレーションコストの増加を抑えながら、ネットワーク上の装置に対してセキュリティ設定を正しく行うことを可能とする技術が提供される。
本発明の実施の形態におけるシステム構成図である。 ネットワークトポロジ構成DBの構造例を示す図である。 サービス情報DBの構造例を示す図である。 装置設定情報DBの構造例を示す図である。 検証結果格納DBの構造例を示す図である。 セキュリティ設定支援装置の動作を説明するためのフローチャートである。 DDoS検知用のしきい値がDDoS攻撃を見逃していないかどうか、という評価を行う例を示す図である。 DDoS検知用しきい値が正常通信をDDoS攻撃であると誤検知していないかどうか、という評価を行う例を示す図である。 装置のハードウェア構成例を示す図である。
以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
本実施の形態では、ネットワークシステムの複数装置を対象として、マルチベクトル型DDoS攻撃を検知するためのしきい値設定を支援する技術を想定している。ただし、本実施の形態に係る技術は、マルチベクトル型DDoS攻撃以外のDDoS攻撃、及び、DDoS攻撃以外の攻撃にも適用可能である。
また、本実施の形態では、事前検証の対象とするセキュリティ設定パラメータとして、DDoS攻撃検知用のしきい値を用いているが、本実施の形態に係る技術は、しきい値以外のセキュリティ設定パラメータに対して適用することも可能である。
本実施の形態では、セキュリティ設定支援装置が、アプリケーションサービス及びDDoS攻撃に関連するトラフィックデータを数値パラメータの特徴量に変換し、機械学習による事前検証シミュレーションによって、セキュリティ設定パラメータの予測値を算出、予測値に基づくセキュリティ設定を事前検証して評価を行って、セキュリティ設定支援を行う。以下、セキュリティ設定支援装置の構成と動作を詳細に説明する。
(装置構成例)
図1に、本実施の形態におけるセキュリティ設定支援装置100の構成例を示す。図1には、セキュリティ設定支援装置100がセキュリティ設定の対象とする装置やサービスの例として、インフラシステム10のAPL11、セキュリティ装置20、ネットワーク装置30、クラウドシステム40のセキュリティサービス50等が示されている。なお、図1に示す、セキュリティ設定支援装置100がセキュリティ設定の対象とし得る装置及びサービスの配置は一例であり、これに限られるわけではない。また、図1において、クラウドシステムで提供される機能を「サービス」と称しているが、クラウドシステムで提供される機能についても「装置」と称してもよい。
図1に示すように、セキュリティ設定支援装置100は、通信部110、処理部120、記録部130を有する。
通信部110は、設定収集部111、及び設定制御部112を有する。処理部120は、経路算出部113、設定装置選定部114、検証結果通知部115、及び事前検証部116を有する。設定制御部112等の設定制御を行う機能部については、セキュリティ設定支援装置100の外部に備えられていてもよい。
記録部130は、ネットワークトポロジ構成DB(データベース)131、サービス情報DB132、装置設定情報DB133、検証シナリオDB134、及び検証結果格納DB135を有する。各部の機能は下記のとおりである。
設定収集部111は、ネットワークシステムの装置及びサービスからセキュリティ設定に関する情報を収集する。収集の対象とする装置は、例えば、ネットワーク装置、セキュリティ装置、アプリケーションサーバ、インフラシステム(Kubernetes、OpenStack等)等である。収集の対象とするデータは、例えば、コンフィグ情報、SNMPデータ、フロートラフィックデータ(NetFlow、sFlow等)等である。
経路算出部113は、ネットワークトポロジ構成DB131の情報を基にユーザクライアントからアプリケーションサービス(インフラシステム等)までのネットワーク経路情報を算出する。
設定装置選定部114は、経路算出部113で算出したネットワーク経路情報を基に、セキュリティ設定の対象となる装置を抽出する。
事前検証部116は、検証シナリオ、セキュリティ設定パラメータ、サービス情報等に基づいて、しきい値の事前検証シミュレーションを実行する。
検証結果通知部115は、事前検証結果をオペレータに通知する。検証結果通知部115は、GUIをオペレータの端末に表示し、オペレータが検証結果の確認及びセキュリティ設定の指示決定を選択可能としている。なお、検証結果通知部115を検証結果出力部と称してもよい。
設定制御部112は、設定対象となる各装置にセキュリティ設定を実行する。設定制御先は各装置であるが、転送装置のようなフロートラフィック出力がメインである装置の場合は、フロートラフィック分析装置に対して、しきい値の設定を実行する。このフロートラフィック分析装置は、例えば非特許文献3に開示されているSAMURAIのような装置でもよい。
次に、記録部130における各DBについて説明する。
ネットワークトポロジ構成DB151は、ネットワークシステム内の装置間接続等の構成情報を格納する。図2に、ネットワークトポロジ構成DB151の構造例を示す。サービス情報DB132は、アプリケーションサービスの提供形態やSLAに関する情報を格納する。図3に、サービス情報DB132の構造例を示す。
装置設定情報DB135は、対象装置から収集したセキュリティ設定情報を格納する。図4に、装置設定情報DB135の構造例を示す。検証シナリオDB134は、トラフィックデータを数値特徴量に変換した検証シナリオ(正常サービス、DDoS攻撃)を格納する。検証結果格納DB135は、事前検証部116におけるシミュレーション検証結果を格納する。検証結果格納DB135の構造例を図5に示す。以下、DBに格納される主な情報について説明する。
<検証シナリオについて>
まず、検証シナリオについて説明する。検証シナリオは、あるサービスにおける正常時あるいはDDoS攻撃時のトラフィックデータ(例えば、クライアントとインフラシステムの間にあるサービス経路上のネットワーク装置で観測されたトラフィックデータ)から変換された数値パラメータであり、トラフィックの特徴を示す特徴量である。
当該特徴量は、例えば、通信量、コネクション数、サーバリソース量等である。当該特徴量は、通信量、コネクション数、サーバリソース量等の時系列の変化を示す特徴量であってもよい。「通信量、コネクション数、サーバリソース量等」とは、通信量のみ、コネクション数のみ、又は、サーバリソース量のみであってもよいし、通信量、コネクション数、サーバリソース量のうちにいずれか2つの組み合わせであってもよいし、通信量、コネクション数、サーバリソース量の全部であってもよい。
検証シナリオとして、例えば、サービス毎に、正常時とDDoS攻撃時の数値パラメータを用意しておく。該当の数値パラメータにより、該当するサービスのトラフィックパターンが表現される。
検証シナリオに利用するトラフィックパターンの例として、HTTPアプリケーションに対するトラフィックパターン、映像配信アプリケーションに対するトラフィックパターン、ネットワーク帯域占有型DDoS攻撃トラフィックパターン、アプリケーションレイヤDDoS攻撃トラフィックパターン等がある。検証シナリオは予め作成しておき、検証シナリオDB134に格納しておく。セキュリティ設定の事前検証実行時に、検証シナリオDB134から検証シナリオが読み出されて使用される。
<サービス情報について>
サービス情報に関して、アプリケーションサービスの種類(HTTP、映像配信、VPN等)毎に、そのサービスを提供するインフラシステムの識別情報、及び当該サービスのSLA(Service Level Agreement)がセキュリティ設定支援装置100に入力され、入力された情報はサービス情報DB132に格納される。SLAの項目としては、例えば、図3に示したように、遅延時間、サービス稼働率、帯域保証等がある。
<セキュリティ設定情報について>
セキュリティ設定情報として、各装置・サービスから、DDoS攻撃検知のためのしきい値を設定可能か否かを示す情報(available,unavailable)が取得され、図4に示すように、装置設定情報DB135に格納される。図4の例において、例えばDevice_Aに関しては、通信量についてのしきい値は設定可能であるが、セッション数とHTTP接続時間についてのしきい値は設定不可であることを示す。図4に示すセキュリティ設定情報は、設定制御部112によりしきい値を各装置・サービスに設定する際に使用される。例えば、ある装置について、availableである項目(例:通信量)のしきい値を設定し、unavailableである項目(例:セッション数)のしきい値を設定しない。
(セキュリティ設定支援装置100の動作例)
図6は、セキュリティ設定支援装置100によるセキュリティ設定の事前検証に関わる動作例を説明するためのフローチャートである。図6のフローチャートの手順に沿って、セキュリティ設定支援装置100の動作例を説明する。
<S101>
S101において、事前検証部116は、サービス情報DB132からアプリケーションサービスのサービス情報を読み込み、検証シナリオDB134から検証シナリオを読み込む。また、事前検証の対象となるセキュリティ設定パラメータ(具体的にはしきい値)を入力する。当該セキュリティ設定パラメータは、例えば、オペレータにより、検証結果通知部115のGUIを用いてセキュリティ設定支援装置100に入力される。
例えば、アプリケーションサービスとして、HTTPサービスを対象とする場合、事前検証部116は、サービス情報DB132から、HTTPサービスについてのSLAを読み込む。
また、検証シナリオについて、上記の例と同様に、HTTPサービスを対象とする場合、正常時のHTTPアプリケーションのトラフィックパターンに対応する検証シナリオ、DDoS攻撃時のトラフィックパターンに対応する検証シナリオを読み込む。DDoS攻撃時のトラフィックパターンに対応する検証シナリオについては、当該サービス(HTTPサービス)に対するDDoS攻撃の種類に応じて複数の検証シナリオが読み込まれ得る。
また、HTTPサービスに対する事前検証を行う場合において、事前検証部116には、HTTPサービスに対するDDoS攻撃検知のためのしきい値がセキュリティ設定パラメータとして入力される。例えば、通信量=100Mbps、セッション数=10000、HTTP接続時間=600sといった値を、事前検証シミュレーションのためのセキュリティ設定パラメータとして入力する。
<S102~S106>
S102において、事前検証部116は、複数の検証シナリオのうちの1つの検証シナリオを取得する。
S103において、事前検証部116は、事前検証シミュレーションにおいて使用するセキュリティ設定パラメータを調整する。ただし、事前検証シミュレーション実行前は、入力したセキュリティ設定パラメータを使用する。
S104において、事前検証部116は、サービス情報、セキュリティ設定パラメータ、及び検証シナリオを用いて事前検証シミュレーションを実行する。
本実施の形態では、機械学習による事前検証シミュレーションを行っている。機械学習の手法は特定の手法に限定されないが、市中一般に利用されている教師あり機械学習の手法を利用することができる。
一例として、ニューラルネットワークにより構成されたモデルを用いて事前検証シミュレーションを行うことができる。
上記モデルを用いる場合、例えば、教師あり学習によりモデルを学習しておき、学習済みのモデル(具体的には、学習済みの重みパラメータ等)を事前検証部116に格納しておく。事前検証部116は、当該モデルに、セキュリティ設定パラメータ、及び検証シナリオ等を入力し、モデルからの出力により当該セキュリティ設定パラメータの設定可否を判断する。
学習においては、例えば、上記のモデルに、学習データを入力し、モデルからの出力(例:設定可又は設定不可)を正解と比較し、出力が正確に近くなるようにモデルのパラメータを調整する処理を、多数の学習データについて行う。
学習データに関して、例えば、ある検証シナリオ(DDoS攻撃時のトラヒックパターンを示す特徴量Aとする)に対し、あるセキュリティ設定パラメータ(DDoS攻撃検知のためのしきい値Bとする)では、設定不可(例:DDoS攻撃検知ができない)ことが正解としてわかっている場合、「特徴量A、しきい値B、設定不可」が学習データとなる。
この場合、「特徴量A、しきい値B」がモデルに入力され、モデルからの出力が正解「設定不可」と比較され、パラメータ調整が行われる。このような処理が、予め用意された多数の学習データを用いてなされる。
モデルの学習の処理は、セキュリティ設定支援装置100が実行してもよいし、セキュリティ設定支援装置100の外部のコンピュータが実行してもよい。
また、学習データの正解は、上記のように設定可否を表す情報であってもよいし、推奨セキュリティ設定パラメータ(推奨しきい値)であってもよい。学習データの正解として、推奨セキュリティ設定パラメータ(推奨しきい値)を有する学習データを用いて学習されたモデルを用いる場合、事前検証結果として、設定可であれば、推奨セキュリティ設定パラメータ(推奨しきい値)が出力される。
S105において、事前検証部116は、事前検証シミュレーションの結果が設定可能であるか否かを確認し、設定可能でなければ、S103でセキュリティ設定パラメータを調整(例えば、しきい値を上げる、又は、しきい値を下げる)して、調整後のセキュリティ設定パラメータを用いて、事前検証シミュレーションを再度実行し(S104)し、結果の確認を行う(S105)。この処理は、シミュレーション結果が「設定可能」になるまで繰り返され、設定可能になったらS106に進む。なお、予め決められた回数を繰り返したら、「設定不可」であっても、S106に進むこととしてもよい。対象とする全検証シナリオに対して、S102~S105の処理が実行される(S106)。
事前検証シミュレーションによる評価の具体例を図7、図8を参照して説明する。
図7は、DDoS検知用のしきい値がDDoS攻撃を見逃していないかどうか、という評価を行う例を示している。
図7(a)は、ある検証シナリオ(=DDoS攻撃のトラフィックパターンを示す特徴量)について、あるしきい値により事前検証シミュレーションを行った結果、DDoS攻撃が見逃されること(つまり、設定不可であること)を示している。この場合、図7(b)に示すように、事前検証部116は、しきい値を下げて、再度事前検証シミュレーションを実行する。
図8は、DDoS検知用しきい値が正常通信をDDoS攻撃であると誤検知していないかどうか、という評価を行う例を示している。
図8(a)は、ある検証シナリオ(=正常通信のトラフィックパターンを示す特徴量)について、あるしきい値により事前検証を行った結果、正常通信をDDoS攻撃であると誤検知していること(つまり、設定不可であること)を示している。この場合、図8(b)に示すように、事前検証部116は、しきい値を上げて、再度事前検証シミュレーションを実行する。
また、事前検証シミュレーションによる評価として、セキュリティ設定がアプリケーションサービスのSLAを満たしているかどうかの評価を行うこともできる。例えば、SLAとしては、遅延時間、サービス稼働率、帯域保障等がある。例えば、DDoS攻撃検知のために、あるしきい値を設定して事前検証シミュレーションを行った結果、そのしきい値を用いた場合には、遅延時間がSLAを超えてしまう場合(つまり、設定不可の場合)、しきい値を変更する調整が行われる。
上記のような評価は、様々なしきい値、想定される様々な検証シナリオ、及び、正解(例:DDoS攻撃検知/見逃し、正常通信誤検知あり/誤検知なし、SLSを満たす/満たさない)からなる多数の学習データにより学習されたモデルを用いることで実現可能である。
<S107~S109>
図6のS107において、検証結果通知部115は、オペレータに対して事前検証結果を通知する。
例えば、HTTPサービスについて事前検証を行った場合に、「設定可」であるとの事前検証結果が得られた場合に、検証結果通知部115は、HTTPサービスについて事前検証は「設定可」であることを示す情報をオペレータに通知する。また、例えば、HTTPサービスについて事前検証を行った場合に、「設定不可」であるとの事前検証結果が得られた場合に、検証結果通知部115は、HTTPサービスについて事前検証は「設定不可」であることを示す情報をオペレータに通知する。
オペレータは、例えば、「設定可」であるとの通知を受けた場合に、セキュリティ設定支援装置100に対して設定指示を行う(S108のYes)。この場合、S109において、設定制御部112が、設定対象の装置とサービスに対し、事前検証で設定可となったセキュリティ設定パラメータ(しきい値)を設定する。
例えば、事前検証の結果、セキュリティ設定パラメータ(具体的には、DDoS攻撃検知のためのしきい値)として、通信量=100Mbps、セッション数=10000、HTTP接続時間=6000sが、事前検証シミュレーションで「設定可」になったとする。
また、経路算出部113は、サービス情報DB132から取得した設定対象のインフラIDと、ネットワークトポロジ構成DB131の情報とに基づいて、対象サービスについての経路上に存在する設定対象の装置及びサービスを選定し、選定結果を設定制御部112に渡す。また、設定対象の装置及びサービスについてのセキュリティ設定情報を装置設定情報DB135から取得する。
仮に、設定対象の装置がネットワーク装置Aであるとして、そのセキュリティ設定情報が、通信量=available、セッション数=unavailable、HTTP接続時間=unavailableであるとすると、設定制御部112は、ネットワーク装置Aに対して、通信量=100Mbpsを、セキュリティ設定パラメータとして設定する。
(ハードウェア構成例)
本実施の形態におけるセキュリティ設定支援装置100は、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。なお、この「コンピュータ」は、物理マシンであってもよいし、クラウド上の仮想マシンであってもよい。仮想マシンを使用する場合、ここで説明する「ハードウェア」は仮想的なハードウェアである。
上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。
図9は、上記コンピュータのハードウェア構成例を示す図である。図9のコンピュータは、それぞれバスBSで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、入力装置1007、出力装置1008等を有する。
当該コンピュータでの処理を実現するプログラムは、例えば、CD-ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って、セキュリティ設定支援装置100に係る機能を実現する。インタフェース装置1005は、ネットワークに接続するためのインタフェースとして用いられる。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置1008は演算結果を出力する。
(実施の形態の効果等)
本実施の形態に係る技術により、複数装置・セキュリティサービスにおけるDDoS検知に関するしきい値を事前検証後に設定することで、ステージングを短縮してもマルチベクトル型DDoS攻撃を高精度に検知可能となる。これにより、DDoS検知のしきい値が正しく設定されないことによる誤検知・見逃しが発生することを防止できる。
また、本実施の形態に係る技術により、事前検証による効率的なセキュリティ設定が可能であり、新規サービス導入時やNW構成変更時毎において、ステージング期間短縮によるセキュリティレベルの継続的担保及びオぺレーションコスト削減が可能となる。これにより、ステージング実施によるセキュリティレベル低下、及びオペレーションコスト増加を抑制できる。
すなわち、本実施の形態に係る技術では、検証環境における実装置、実サービスを用いた検証ではなく、実環境から得られたトラフィックパターン等を数値特徴量データに変換した後、機械学習手法を用いたシミュレーションでセキュリティ設定を評価することとしているので、オペレーションコスト、検証コストを削減できる。
(実施の形態のまとめ)
本明細書には、少なくとも下記の各項に記載したセキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラムが記載されている。
(第1項)
ネットワーク上の装置に対するセキュリティ設定を支援するセキュリティ設定支援装置であって、
前記ネットワークにおけるトラフィックデータから得られた特徴量からなる検証シナリオと、セキュリティ設定パラメータとに基づいて、当該セキュリティ設定パラメータが前記装置に対して設定可能であるか否かを判断する事前検証を行う事前検証部と、
前記事前検証の結果を出力する検証結果出力部と
を備えるセキュリティ設定支援装置。
(第2項)
前記事前検証部により設定可能であると判断されたセキュリティ設定パラメータを前記装置に設定する設定制御部
を更に備える第1項に記載のセキュリティ設定支援装置。
(第3項)
前記事前検証部は、教師ありの機械学習により学習された学習済みのモデルを用いて、事前検証シミュレーションを行うことにより、前記判断を行う
第1項又は第2項に記載のセキュリティ設定支援装置。
(第4項)
前記事前検証部は、前記セキュリティ設定パラメータが前記装置に対して設定可能ではないと判断した場合に、前記セキュリティ設定パラメータを変更し、変更後のセキュリティ設定パラメータを用いて、前記判断を再度実行する
第1項ないし第3項のうちいずれか1項に記載のセキュリティ設定支援装置。
(第5項)
前記セキュリティ設定パラメータは、前記ネットワーク上のDDoS攻撃を検知するためのしきい値である
第1項ないし第4項のうちいずれか1項に記載のセキュリティ設定支援装置。
(第6項)
前記事前検証部は、前記しきい値によりDDoS攻撃を見逃していないかどうか、前記しきい値により正常通信をDDoS攻撃であると誤検知していないかどうか、又は、前記しきい値によりサービスのSLAを満たしているかどうか、に基づいて前記判断を行う
第5項に記載のセキュリティ設定支援装置。
(第7項)
ネットワーク上の装置に対するセキュリティ設定を支援するセキュリティ設定支援装置が実行するセキュリティ設定支援方法であって、
前記ネットワークにおけるトラフィックデータから得られた特徴量からなる検証シナリオと、セキュリティ設定パラメータとに基づいて、当該セキュリティ設定パラメータが前記装置に対して設定可能であるか否かを判断する事前検証を行う事前検証ステップと、
前記事前検証の結果を出力する検証結果出力ステップと
を備えるセキュリティ設定支援方法。
(第8項)
コンピュータを、第1項ないし第6項のうちいずれか1項に記載のセキュリティ設定支援装置における各部として機能させるためのプログラム。
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
10 インフラシステム
11 APL
20 セキュリティ装置
30 ネットワーク装置
40 クラウドシステム
50 セキュリティサービス
60 クライアント
100 セキュリティ設定支援装置
110 通信部
120 処理部
130 記録部
111 設定収集部
112 設定制御部
113 経路算出部
114 設定装置選定部
115 検証結果通知部
116 事前検証部
131 ネットワークトポロジ構成DB
132 サービス情報DB
133 装置設定情報DB
134 検証シナリオDB
135 検証結果格納DB
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置

Claims (6)

  1. ネットワーク上の装置に対するセキュリティ設定を支援するセキュリティ設定支援装置であって、
    前記ネットワークにおけるトラフィックデータから得られた特徴量からなる検証シナリオと、セキュリティ設定パラメータとに基づいて、機械学習を用いた事前検証シミュレーションを行うことにより、当該セキュリティ設定パラメータが前記装置に対して設定可能であるか否かを判断する事前検証部と、
    前記事前検証の結果を出力する検証結果出力部と、を備え、
    前記セキュリティ設定パラメータは、前記ネットワーク上のDDoS攻撃を検知するためのしきい値であり、
    前記事前検証部は、前記しきい値によりDDoS攻撃を見逃していないかどうか、前記しきい値により正常通信をDDoS攻撃であると誤検知していないかどうか、又は、前記しきい値によりサービスのSLAを満たしているかどうか、に基づいて前記判断を行う
    セキュリティ設定支援装置。
  2. 前記事前検証部により設定可能であると判断されたセキュリティ設定パラメータを前記装置に設定する設定制御部
    を更に備える請求項1に記載のセキュリティ設定支援装置。
  3. 前記事前検証部は、教師ありの機械学習により学習された学習済みのモデルを用いて、事前検証シミュレーションを行うことにより、前記判断を行う
    請求項1又は2に記載のセキュリティ設定支援装置。
  4. 前記事前検証部は、前記セキュリティ設定パラメータが前記装置に対して設定可能ではないと判断した場合に、前記セキュリティ設定パラメータを変更し、変更後のセキュリティ設定パラメータを用いて、前記判断を再度実行する
    請求項1ないし3のうちいずれか1項に記載のセキュリティ設定支援装置。
  5. ネットワーク上の装置に対するセキュリティ設定を支援するセキュリティ設定支援装置が実行するセキュリティ設定支援方法であって、
    前記ネットワークにおけるトラフィックデータから得られた特徴量からなる検証シナリオと、セキュリティ設定パラメータとに基づいて、機械学習を用いた事前検証シミュレーションを行うことにより、当該セキュリティ設定パラメータが前記装置に対して設定可能であるか否かを判断する事前検証ステップと、
    前記事前検証の結果を出力する検証結果出力ステップと、を備え、
    前記セキュリティ設定パラメータは、前記ネットワーク上のDDoS攻撃を検知するためのしきい値であり、
    前記事前検証ステップにおいて、前記しきい値によりDDoS攻撃を見逃していないかどうか、前記しきい値により正常通信をDDoS攻撃であると誤検知していないかどうか、又は、前記しきい値によりサービスのSLAを満たしているかどうか、に基づいて前記判断を行う
    セキュリティ設定支援方法。
  6. コンピュータを、請求項1ないしのうちいずれか1項に記載のセキュリティ設定支援装置における各部として機能させるためのプログラム。
JP2022534503A 2020-07-06 2020-07-06 セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム Active JP7468658B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/026434 WO2022009274A1 (ja) 2020-07-06 2020-07-06 セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2022009274A1 JPWO2022009274A1 (ja) 2022-01-13
JP7468658B2 true JP7468658B2 (ja) 2024-04-16

Family

ID=79553077

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022534503A Active JP7468658B2 (ja) 2020-07-06 2020-07-06 セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム

Country Status (3)

Country Link
US (1) US20230269274A1 (ja)
JP (1) JP7468658B2 (ja)
WO (1) WO2022009274A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12273380B2 (en) * 2021-12-14 2025-04-08 Mellanox Technologies, Ltd. AI-supported network telemetry using data processing unit
JP7523484B2 (ja) * 2022-03-11 2024-07-26 株式会社ケイティーエス ネットワーク管理装置
US12192243B2 (en) * 2022-11-18 2025-01-07 Kyndryl, Inc. Security policy selection based on calculated uncertainty and predicted resource consumption
CN120321006A (zh) * 2025-04-24 2025-07-15 杭州微联科技有限公司 一种多层验证式网络信息安全管控方法
CN121310141B (zh) * 2025-12-10 2026-03-24 岭博科技(北京)有限公司 一种微信小程序认证的临时放行方法、系统、介质及产品

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101771584A (zh) 2009-12-31 2010-07-07 华中科技大学 一种网络流量异常检测方法
JP2018160172A (ja) 2017-03-23 2018-10-11 日本電気株式会社 マルウェア判定方法、マルウェア判定装置及びマルウェア判定プログラム
JP2019213029A (ja) 2018-06-04 2019-12-12 日本電信電話株式会社 感染拡大攻撃検知システム及び方法、並びに、プログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2666645C1 (ru) * 2017-08-10 2018-09-11 Акционерное общество "Лаборатория Касперского" Система и способ обеспечения безопасного изменения конфигурации систем
US11539741B2 (en) * 2019-09-05 2022-12-27 Bank Of America Corporation Systems and methods for preventing, through machine learning and access filtering, distributed denial of service (“DDoS”) attacks originating from IoT devices

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101771584A (zh) 2009-12-31 2010-07-07 华中科技大学 一种网络流量异常检测方法
JP2018160172A (ja) 2017-03-23 2018-10-11 日本電気株式会社 マルウェア判定方法、マルウェア判定装置及びマルウェア判定プログラム
JP2019213029A (ja) 2018-06-04 2019-12-12 日本電信電話株式会社 感染拡大攻撃検知システム及び方法、並びに、プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
吉田 寛, 他,通信トラヒック分布の教師なし学習による異常トラヒック判定手法について,電子情報通信学会技術研究報告,日本,電子情報通信学会,2011年03月03日,Vol. 110, No. 466,pp. 121-126

Also Published As

Publication number Publication date
JPWO2022009274A1 (ja) 2022-01-13
WO2022009274A1 (ja) 2022-01-13
US20230269274A1 (en) 2023-08-24

Similar Documents

Publication Publication Date Title
JP7468658B2 (ja) セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム
US11201882B2 (en) Detection of malicious network activity
Boite et al. Statesec: Stateful monitoring for DDoS protection in software defined networks
Mousavi et al. Early detection of DDoS attacks against software defined network controllers
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
US11005887B2 (en) Honeynet method, system and computer program for mitigating link flooding attacks of software defined network
JP6190518B2 (ja) 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム
Carvalho et al. Entropy-based DoS attack identification in SDN
CN109413071B (zh) 一种异常流量检测方法及装置
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
JP2015076863A (ja) ログ分析装置、方法およびプログラム
CN118075190B (zh) 面向实时边缘计算的路由控制系统
EP2770688A1 (en) Method and apparatus for assessing the efficiency of rules of filtering devices protecting a network
CN104954376A (zh) 一种自适应防攻击方法及装置
CN117155629A (zh) 一种基于人工智能的电力信息系统网络主动防御方法及系统
CN112437037A (zh) 基于sketch的DDoS洪泛攻击检测方法及装置
Pasias et al. Enabling cyber-attack mitigation techniques in a software defined network
CN114244576A (zh) 一种云环境下的流量防护方法及装置
JP6233414B2 (ja) 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム
CN115499236B (zh) 一种访问请求处理方法、装置、介质及计算设备
JP4852124B2 (ja) 異常データ検出装置、異常データ検出方法及び異常データ検出プログラム
CN113454956B (zh) 通信终端装置、通信控制方法以及介质
Czubak et al. Algorithmic complexity vulnerability analysis of a stateful firewall
KR101564518B1 (ko) 네트워크 트래픽 탐지를 위한 규칙 자동 생성 방법 및 장치
US11095651B2 (en) Communication apparatus and non-transitory computer readable storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240305

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240318

R150 Certificate of patent or registration of utility model

Ref document number: 7468658

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350