アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム
【課題】ネットワークの利用状況に基づいて、各攻撃に対する安全性と各サービスの可用性とのバランスがとれたアクセス制御ルールを生成する。
【解決手段】サービスの重要度または攻撃の深刻度に応じてアクセス優先度を重みづけるための重み情報と、パケットパラメータの各要素の組み合わせとサービスまたは攻撃とを対応づけた紐付け情報と、アクセスを特定するための各要素の組み合わせに対し、その組み合わせによって特定されるアクセスの優先度を示すマップとを記憶する記憶手段と、現状のマップと、外部ネットワークから観測したパケット系列と、重み情報と、紐付け情報とに基づいて新たなマップを生成するマップ生成手段とを備える。マップ生成手段が、攻撃やサービスの重み情報とパケット量に応じてマップでのアクセス優先度を変化させることによって、アクセス優先度に基づくアクセス拒否の判断を可能にする。
【解決手段】サービスの重要度または攻撃の深刻度に応じてアクセス優先度を重みづけるための重み情報と、パケットパラメータの各要素の組み合わせとサービスまたは攻撃とを対応づけた紐付け情報と、アクセスを特定するための各要素の組み合わせに対し、その組み合わせによって特定されるアクセスの優先度を示すマップとを記憶する記憶手段と、現状のマップと、外部ネットワークから観測したパケット系列と、重み情報と、紐付け情報とに基づいて新たなマップを生成するマップ生成手段とを備える。マップ生成手段が、攻撃やサービスの重み情報とパケット量に応じてマップでのアクセス優先度を変化させることによって、アクセス優先度に基づくアクセス拒否の判断を可能にする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークを介したアクセスの許否を制御するアクセス制御システム、アクセス制御方法、およびアクセス制御プログラムに関し、特に、アクセスの優先度に基づいて当該アクセスの許否を制御するアクセス制御システム、アクセス制御方法、およびアクセス制御プログラムに関する。また、本発明は、アクセス制御に関連するアクセス制御ルール生成装置、ネットワーク監視システム、アクセス制御ルール適正検査システム、方法、およびプログラムに関する。
【背景技術】
【0002】
内部ネットワーク上にサーバを設置して何らかのサービスを提供する場合、ネットワークを介した攻撃からそれらサーバやサービスを防御するために、アクセス可能なパケットを制限するアクセス制御が行われる。
【0003】
一般には、防御したいサーバが設置されるネットワーク(内部ネットワーク)と、サービスの提供先となるクライアントが存在するネットワーク(外部ネットワーク)との境界にファイアウォールを設置し、当該ファイアウォールが、予め定められているパケットパラメータ(アクセス元IPアドレス、アクセス先IPアドレス等)に基づくアクセス制御ルールと、外部ネットワークから到着した各パケットのパラメータ(パケットパラメータ)とを照合して、パケットを通過させるかまたは遮断するかを制御する、アクセス制御手法が用いられている。このようなアクセス制御は、パケットフィルタリングと呼ばれている。
【0004】
しかしながら、このような静的なアクセス制御ルールで定義されるパケットパラメータに基づくアクセス制御手法では、安全性と可用性のバランスを図ることが難しい。その理由は、各パケットのパケットパラメータだけでは、そのパケットが、Ping of DeathやDoSなどの攻撃パケットであるか、通常のWebアクセスのような正常パケットであるかを判別することが難しいためである。つまり、攻撃パケットも正常パケットも同じパケットパラメータを持ちうるため、安全性を保つために一律に遮断すれば可用性が損なわれ、逆に、可用性を保つために一律に許可すれば安全性が損なわれる。
【0005】
そこで、パケットを分析して、その分析結果をアクセス制御ルールに動的にフィードバックする手法が考えられている。例えば、ファイアウォールとIDS(Intrusion Detection System)とを連携させ、IDSによって検知された攻撃パケットを一時的に遮断するようなアクセス制御ルールをファイアウォールに追加させるようなアクセス制御手法が考えられている。
【0006】
他にも、例えば、特許文献1、特許文献2に動的なアクセス制御手法が開示されている。特許文献1には、パケットフィルタリング機能において、パケット系列が頻繁にマッチ(パケット系列の合致)するアクセス制御ルールほど上位に並び替えるアクセス制御手法が記載されている。特許文献2には、従来の傍受型のIDSに代えて、フィルタ型のIDS機能部を備えることで、攻撃となるIPパケットの侵入を検知した場合に、即座にそのパケットを遮断するアクセス制御手法が記載されている。また、特許文献2には、第2の発明として、IDS宛のパケットが一定数を超えた場合に、そのパケットを遮断するようなアクセス制御ルールをファイアウォールに追加させるアクセス制御手法が記載されている。
【0007】
【特許文献1】特開2000−174808号公報
【特許文献2】特開2003−99339号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
前述したように、静的なアクセス制御ルールで定義されるパケットパラメータに基づくアクセス制御手法では、攻撃パケットも正常パケットも同じパケットパラメータを持ちうるため、安全性と可用性とのバランスを図ることが難しい。
【0009】
しかしながら、動的なアクセス制御ルールで定義されるパケットパラメータに基づくアクセス制御手法を適用したとしても、必ずしも安全性と可用性とのバランスが図られているとは言えない。すなわち、パケットの系列を観測して、動的にアクセス制御ルールにフィードバックする従来手法を適用したとしても、重要なサービスの可用性を高め、深刻な攻撃のみ遮断するといった、各攻撃に対する安全性と各サービスの可用性とのバランスという観点でルール内容を最適化することはできない。
【0010】
例えば、特許文献1に記載されている従来手法を適用した場合、より早くマッチ(パケット系列の合致)の有無が判定されることによって、ファイアウォールの処理速度改善に伴うサービス全体の応答速度という可用性が向上されるのであって、遮断するようルールづけられたパケットに対し、そのパケットが該当するサービスの可用性を確保するためにアクセス許否の結果が変化するわけではない。
【0011】
また、例えば、ファイアウォールとIDSとを連携させる従来手法を適用した場合、IDSが検知した攻撃パケットを随時遮断することはできる。しかしながら、遮断するルールが適用されている間は、攻撃パケットと同じパラメータを持つ正常パケットも例外なく遮断されてしまう。たとえポートスキャンなど実害の小さな攻撃であって、その攻撃の対象が重要なサービスを提供していたとしても、そのサービスに用いられるパラメータに対し拒絶ルールが適用されれば、そのサービスは一時的とはいえ停止してしまう。
【0012】
なお、特許文献2に第1の発明として記載されている従来手法は、各攻撃に対する安全性の確保によって各サーバまたは各サービスの可用性を犠牲にすることはないが、逆に、全ての攻撃を検知するためにネットワーク内の全ての可用性を犠牲にしていると言える。たとえ、ファイアウォールが判断した信頼度に応じて検知処理のオン/オフを切り替えるとしても、攻撃パケットか否かを判定するマッチング処理は、大きなタイムロスを生じさせる。
【0013】
また、特許文献2に第2の発明として記載されている従来手法を適用した場合、特定アドレス宛(IDS宛)の攻撃パケットの数量に応じて遮断することができる。しかしながら、所定の数量が検知されれば例外なく遮断するため、他の従来手法と同様、各攻撃に対する安全性と各サービスの可用性とのバランスという観点でルール内容を最適化することはできない。
【0014】
そこで、本発明は、ネットワークの利用状況に基づいて、攻撃に対する安全性を確保できるとともに、サービスの可用性を確保できるアクセス制御ルールを生成することを目的とする。
【0015】
また、本発明は、セキュリティ運用上の課題を解決するために、大規模な内部ネットワークにおいて、任意のサーバまたはサービスに対する利用状況や攻撃発生状況などを、ネットワーク管理者が認識することができる一覧性の高いネットワーク監視手段を提供することを目的とする。
【0016】
また、本発明は、セキュリティ運用上の課題を解決するために、大規模な内部ネットワークと外部ネットワークとの境界に設置されるファイアウォールに適用されるアクセス制御ルールについて、最新の利用状況や攻撃発生状況に整合させるためのメンテナンス作業を支援することができる適正度検査手段を提供することを目的とする。
【課題を解決するための手段】
【0017】
本発明によるアクセス制御システムは、ネットワークを介したアクセスの許否を制御するアクセス制御システムであって、制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段(例えば、マップ生成手段102)を備えたことを特徴とする。
【0018】
また、アクセス制御システムは、マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成するルール生成手段(例えば、ルール生成手段106)と、前記ルール生成手段が生成したアクセス制御ルールに従って、前記所定のアクセスを許可するか否かを判定するアクセス制御手段(例えば、アクセス制御手段111)とを備えていてもよい。
【0019】
また、マップ生成手段は、外部ネットワークから受信したパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻度に基づいて、制御対象となるアクセスを特定するためのパケットパラメータの各要素の組み合わせ毎のアクセス優先度を示すマップ情報に含まれる、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新してもよい。
【0020】
また、アクセス制御システムは、サービスの重要度または攻撃の深刻度に応じてアクセス優先度を重みづけるための重みを示す重み情報を記憶する重み情報記憶手段(例えば、重み情報登録手段103が含む記憶装置)と、サービスまたは攻撃を特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、当該パラメータ条件によって特定されるサービスまたは攻撃とを対応づけた情報である対応情報を記憶する対応情報記憶手段(例えば、紐付け情報登録手段104が含む記憶装置)と、マップ情報を記憶するマップ情報記憶手段(例えば、マップ登録手段105が含む記憶装置)とを備え、マップ情報記憶手段は、マップ情報として、制御対象となるアクセスを特定するためのパラメータ条件と、当該パラメータ条件によって特定されるアクセスのアクセス優先度とを対応づけた情報を記憶し、マップ生成手段は、外部ネットワークから受信したパケットのパケットパラメータと合致するパラメータ条件を、前記マップ情報から検索することによって、前記受信したパケットのパケットパラメータに対応するアクセスの現在のアクセス優先度を抽出するアクセス優先度抽出手段と、前記受信したパケットのパケットパラメータと合致するパラメータ条件を、前記対応除法から検索することによって、前記受信したパケットのパケットパラメータが該当するサービスまたは攻撃に対応する重みを前記重み情報から抽出する重み抽出手段とを含み、前記アクセス優先度抽出手段によって抽出された現在のアクセス優先度に、前記重み抽出手段によって抽出された重みを重みづけることによって、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新してもよい。
【0021】
また、本発明によるアクセス制御ルール生成装置は、ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールを生成するアクセス制御ルール生成装置であって、制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段と、前記マップ情報に含まれる所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とに基づいて、前記所定のアクセスの許否を示すアクセス制御ルールを生成するルール生成手段とを備えたことを特徴とする。
【0022】
また、本発明によるネットワーク監視システムは、ネットワークを介したアクセスを監視するネットワーク監視システムであって、監視対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段と、前記マップ情報で示される所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とを視覚的に表示するマップ情報表示手段とを備えたことを特徴とする。
【0023】
また、マップ生成手段は、外部ネットワークから受信したパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、制御対象となるアクセスを特定するためのパケットパラメータの各要素の組み合わせ毎のアクセス優先度を示すマップ情報に含まれる、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新することによって、前記マップ情報を更新し、マップ情報表示手段は、前記マップ生成手段がマップ情報を更新するたびに、表示内容を更新してもよい。
【0024】
また、本発明によるアクセス制御ルール適正検査システムは、ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールがアクセス制御を行うために適正かどうかを検査するアクセス制御ルール適正検査システムであって、アクセス制御の対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段と、前記マップ情報に含まれる、検査対象のアクセス制御ルールで示されるアクセスのアクセス優先度と、前記検査対象のアクセスルールで示される当該アクセスの許否を示す情報とに基づいて、前記検査対象のアクセス制御ルールがアクセス制御を行うために適正なルールであることの度合いを示す適正度を算出する適正度算出手段とを備えたことを特徴とする。
【0025】
また、本発明によるアクセス制御方法は、ネットワークを介したアクセスの許否を制御するアクセス制御方法であって、制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するステップを含むことを特徴とする。
【0026】
また、アクセス制御方法は、マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成するステップと、前記アクセス制御ルールに従って、前記所定のアクセスを許可するか否かを判定するステップとを含んでいてもよい。
【0027】
また、本発明によるアクセス制御ルール生成方法は、ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールを生成するアクセス制御ルール生成方法であって、制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するステップと、前記マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成するステップとを含むことを特徴とする。
【0028】
また、本発明によるネットワーク監視方法は、ネットワークを介したアクセスを監視するネットワーク監視方法であって、監視対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成ステップと、
前記マップ情報で示される所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とを視覚的に表示するマップ情報表示ステップとを含み、マップ生成ステップで、外部ネットワークから受信したパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、制御対象となるアクセスを特定するためのパケットパラメータの各要素の組み合わせ毎のアクセス優先度を示すマップ情報に含まれる、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新することによって、前記マップ情報を更新し、マップ情報表示表示ステップで、前記マップ情報が更新されるたびに、表示内容を更新することを特徴とする。
【0029】
また、本発明によるアクセス制御ルール適正検査方法は、ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールがアクセス制御を行うために適正かどうかを検査するアクセス制御ルール適正検査方法であって、アクセス制御の対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成ステップと、前記マップ情報に含まれる、検査対象のアクセス制御ルールで示されるアクセスのアクセス優先度と、前記検査対象のアクセスルールで示される当該アクセスの許否を示す情報とに基づいて、前記検査対象のアクセス制御ルールがアクセス制御を行うために適正なルールであることの度合いを示す適正度を算出する適正度算出ステップとを含むことを特徴とする。
【0030】
また、本発明によるアクセス制御プログラムは、ネットワークを介したアクセスの許否を制御するためのアクセス制御プログラムであって、コンピュータに、制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理を実行させることを特徴とする。
【0031】
また、アクセス制御プログラムは、コンピュータに、マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成する処理、および前記アクセス制御ルールに従って、前記所定のアクセスを許可するか否かを判定する処理を実行させてもよい。
【0032】
また、本発明によるアクセス制御ルール生成プログラムは、ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールを生成するためのアクセス制御ルール生成プログラムであって、コンピュータに、制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理、および前記マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成する処理を実行させることを特徴とする。
【0033】
また、本発明によるネットワーク監視プログラムは、ネットワークを介したアクセスを監視するためのネットワーク監視プログラムであって、コンピュータに、監視対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理、および前記マップ情報で示される所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とを視覚的に表示する処理を実行させることを特徴とする。
【0034】
また、本発明によるアクセス制御ルール適正検査プログラムは、ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールがアクセス制御を行うために適正かどうかを検査するためのアクセス制御ルール適正検査プログラムであって、コンピュータに、アクセス制御の対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理、および前記マップ情報に含まれる、検査対象のアクセス制御ルールで示されるアクセスのアクセス優先度と、前記検査対象のアクセスルールで示される当該アクセスの許否を示す情報とに基づいて、前記検査対象のアクセス制御ルールがアクセス制御を行うために適正なルールであることの度合いを示す適正度を算出する処理を実行させることを特徴とする。
【0035】
また、本発明によるデータ構造は、ネットワークを介したアクセスの許否を判定するために用いられるマップ情報のデータ構造であって、アクセス制御の対象となる各アクセスを特定するためのパケットパラメータの要素であるアクセス元IPアドレスを示すデータと、アクセス元ポート番号を示すデータと、アクセス先IPアドレスを示すデータと、アクセス先ポート番号を示すデータと、プロトコルを示すデータのうちのいずれかを含む領域と、前記組み合わされたデータによって特定されるアクセスについて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度データを含む領域とを有することを特徴とする。
【発明の効果】
【0036】
本発明によれば、攻撃の深刻度とサービスの重要度とに基づいて、アクセス優先度を含むマップ情報を生成するので、攻撃への安全性とサービスの可用性とのバランスという観点で、ネットワークの利用状況に応じてどちらをどの程度優先するのかをアクセス優先度に反映させることができる。従って、アクセス優先度に基づいて、攻撃に対する安全性を確保できるとともに、サービスの可用性を確保できるアクセス制御ルールを生成することができる。
【0037】
例えば、攻撃やサービスのパケットの重み情報とパケット量に応じてマップでのアクセス優先度を変化させる。このため、変化するアクセス優先度に基づいて、アクセス許否を判断するだけで、攻撃遮断よりもサービス維持を優先するアクセス制御や、攻撃のためサービスを遮断しても攻撃が改善すれば動的に遮断を解除するアクセス制御を、実現することができる。
【0038】
本発明によれば、アクセス制御ルールで定義されるパケットパラメータの条件に該当する攻撃やサービスの重み情報とパケット量に応じて、マップを変化させ、表示装置に表示する。この場合、ネットワーク上のパケットの利用状況をアクセス優先度として、サービスの利用や攻撃の発生・収束、それらの分布の偏りなどを一覧することができる。
【0039】
本発明によれば、アクセス制御ルールで定義されるパケットパラメータの条件に該当する攻撃やサービスの重み情報とパケット量に応じて、設定済み及び設定前のルールの適正度検査を行う。この場合、ルールの効果の有無や大小を一覧することができ、変更が望ましいルールの発見や、ルールの変更案の作成を支援できる。なぜなら、ネットワーク管理者が作成したアクセス制御ルールと、最新の利用状況や攻撃発生状況との整合性を比較・評価し、ルールの適正度としてネットワーク管理者に示すことができるからである。
【発明を実施するための最良の形態】
【0040】
以下、本実施の形態について図面を参照して説明する。なお、以下に示す各実施の形態において、「アクセス」とは、サーバまたはそのサーバが提供するサービスことに分別されたパケット系列をいう。外部ネットワークから到達するパケット系列は、内部ネットワーク上にあるサーバまたはそのサーバが提供するサービスごとに、いくつかのパケット系列に分別でき、それぞれをサーバまたはサービスへの「アクセス」と定義する。なお、ここで「サービス」とは、ネットワークを介したアクセスによって実行されるサーバからクライアントに対し提供される各種ネットワーク処理(例えば、Web情報の配信処理やメール情報の配信処理)をいう。なお、アクセス制御の分野では、「サービス」は、各種ネットワーク処理の実行に用いられるポートを指す場合もある。
【0041】
「パケットパラメータ」とは、パケットが持つヘッダ情報から得られる要素の総称をいう。例えば、パケットパラメータには、アクセス元アドレス、アクセス元ポート番号、アクセス先アドレス、アクセス先ポート番号、プロトコルなどの要素が含まれる。なお、1つのパケットが持つパケットパラメータは、1つである。
【0042】
「アクセス制御ルール」とは、あるアクセス元からあるアクセス先へのアクセスを認めるか否かを示す情報である。本実施の形態では、パケットパラメータと対応づけてアクセス許否を判断するための条件を示す情報であって、例えば、1つのパケットパラメータと、そのパケットパラメータで示されるアクセスの許否を示すフラグ情報とを含めた情報である。なお、アクセス制御ルールに定義するパケットパラメータには、アクセス元アドレス、アクセス元ポート番号、アクセス先アドレス、アクセス先ポート番号、プロトコルの5要素のうち少なくとも1つが含まれればよく、これら5要素の組み合わせによって何通りものパケットパラメータが定義可能である。なお、アクセス制御ルールには、パケットパラメータと対応づけるだけでなく、パケットを識別可能な情報であればよい。例えば、ユーザIDやフラグ群を含めてもよい。また、パケットを識別可能な情報は、1つのパケットを示す情報だけでなく、複数のパケットを示す情報であっても、特定の範囲のパケットを示す情報であってもよい。以下、アクセス制御ルールを、単に「ルール」と表現する場合がある。
【0043】
なお、1つのパケットパラメータと対応づけられた「アクセス制御ルール」をリスト化したものを「アクセス制御リスト」という。「アクセス制御リスト」とは、1つ以上の「アクセス制御ルール」からなり、ネットワーク全体のアクセス制御ルールを示す情報である。
【0044】
第1実施形態
(節1−1構成)
図1は、本発明の第1実施形態のアクセス制御システムの構成例をブロック図で示している。図1に示すように、アクセス制御システムは、ルール生成装置10と、アクセス制御装置11とを備える。アクセス制御システムは、例えば、コンピュータシステムとして構成できる。また、ルール生成装置10、およびアクセス制御装置11は、それぞれ別個のコンピュータシステムとして構成できる。
【0045】
アクセス制御装置11は、具体的には、ファイアウォール、ルータ、ネットワークスイッチ、ゲートウェイ、VPNサーバ等のネットワーク上を通過するパケットに対するアクセス制御を行う通信制御装置や情報処理装置によって実現される。アクセス制御装置11は、アクセス制御手段111を備える。アクセス制御手段111は、例えば、プログラムに従って動作するCPU、記憶装置およびルール生成装置10との通信インタフェースによって実現される。アクセス制御手段111は、与えられた1つあるいは複数のルール(アクセス制御リスト)に従って、アクセス制御を行う。
【0046】
ルール生成装置10は、具体的には、プログラムに従って動作するワークステーションやパーソナルコンピュータ等の情報処理装置によって実現される。ルール生成装置10は、パケット系列登録手段101と、マップ生成手段102と、重み情報登録手段103と、紐付け情報登録手段104と、マップ登録手段105と、ルール生成手段106と、閾値登録手段107とを備える。
【0047】
ルール生成手段106は、具体的には、プログラムに従って動作する情報処理装置のCPU、記憶装置およびアクセス制御装置11との通信インタフェースによって実現される。マップ生成手段102は、具体的には、プログラムに従って動作するCPU、およびメモリやハードディスク装置等の記憶装置によって実現される。パケット系列登録手段101、重み情報登録手段103、紐付け情報登録手段104、マップ登録手段105及び閾値登録手段107は、具体的には、プログラムに従って動作する情報処理装置のCPU、及びメモリやハードディスク装置等の記憶装置によって実現される。なお、ここに挙げた各手段を実現するためのCPUは、共通のCPUであってもよい。
【0048】
パケット系列登録手段101は、メモリやハードディスク装置等の記憶装置内に、パケット系列を格納する。なお、パケット系列登録手段101が格納するパケット系列は、外部ネットワークから内部ネットワークに到達したパケットのパケットパラメータを系列に沿って順に含めばよい。なお、本実施の形態では、アクセス制御装置11に到達したパケットのパケットパラメータを系列に沿って順に含む。
【0049】
重み情報登録手段103は、記憶装置内に、重み情報を格納する。ここで、重み情報とは、サービスの重要度または外部からの攻撃の深刻度に応じて、各アクセスのアクセス優先度を重みづけるための情報(値)である。なお、アクセス優先度とは、パケットに対してアクセスを優先して許可する度合いを示す情報である。重み情報は、具体的には、サービスや攻撃毎に、そのサービスや攻撃を形成するパケットのアクセス優先度にかかる重み(サービス重要度や攻撃深刻度に応じた重み)を示す情報とを対応づけた情報である。なお、サービス重要度が大きいほど+(プラス)方向に重みづけてアクセス優先度を高くし、攻撃深刻度が大きいほど−(マイナス)方向に重みづけてアクセス優先度を低くする。
【0050】
紐付け情報登録手段104は、記憶装置内に、紐付け情報を格納する。ここで、紐付け情報とは、特定のパケットパラメータや、パケットパラメータの範囲が、どのサービスや攻撃に由来するかを示す情報である。具体的には、パケットパラメータの各要素の組み合わせと、サービスまたは攻撃とを対応づけた情報である。以下、サービスまたは攻撃を特定するために紐付け情報上で定義されたパケットパラメータの各要素の組み合わせで示されるパラメータの条件を、サービス定義または攻撃定義と表現する場合がある。
【0051】
マップ登録手段105は、記憶装置内に、マップを格納する。ここで、マップとは、アクセスマトリクスとも呼ばれる、アクセスを特定するための各要素(例えば、パケットパラメータの各要素)の組み合わせに対し、その組み合わせによって特定されるアクセスの優先度を示す情報である。本実施の形態では、パケットパラメータの5要素の組み合わせによって特定されるアクセス毎の優先度を示す情報である。なお、マップの記憶領域は、パケットパラメータの5要素を組み合わせる場合、5要素のそれぞれを軸とする5次元空間内の5次元領域を表すこととなる。以下、アクセスを特定するためにマップ上で定義されたパケットパラメータの各要素の組み合わせで示されるパラメータの条件を、アクセス定義と表現する場合がある。
【0052】
マップ生成手段102は、現状のマップと、パケット系列と、重み情報と、紐付け情報とに基づいて新たなマップを生成する。また、生成したマップを、マップ登録手段105を介して格納する。
【0053】
閾値登録手段107は、記憶装置内に、アクセスを許可するアクセス優先度の閾値を格納する。
【0054】
ルール生成手段106は、マップ生成手段102によって生成されたマップと閾値とに基づいて新たなルールを生成する。また、生成したルールを、アクセス制御手段111に受け渡す。
【0055】
(節1−2)動作の概要
次に、動作について説明する。まず、アクセス制御システム全体の動作の概要について説明する。図2は、アクセス制御システム全体の動作例をフローチャートで示している。図2に示すように、まず、アクセス制御システムは、ルール生成装置10において、現状のマップとパケット系列と重み情報と紐付け情報とに基づいて、現状のマップを更新して新しいマップを生成する(ステップA1)。ルール生成装置10のマップ生成手段102は、到達したパケット系列のパケットパラメータで特定されるアクセスのアクセス優先度に対し、そのパケット系列で形成されるサービスまたは攻撃の重みを用いて重み付けることによってマップを更新する。
【0056】
次に、アクセス制御システムは、ルール生成装置10において、生成されたマップと、閾値から、現状のルールを更新して新しいルールを生成する(ステップA2)。ルール生成装置10のルール生成手段106は、生成されたマップで示される各アクセスの優先度と閾値とを比較することによって、そのアクセスの許否を判定し、判定結果に応じてルールを更新する。なお、既存のルールの許否を変更するだけでなく、新たなパケットパラメータに対してアクセス許否を示す新たなルールを生成する場合もある。そして、アクセス制御システムは、アクセス制御装置11において、生成されたルールに基づいて、アクセス制御を行う(ステップA3)。アクセス制御装置11のアクセス制御手段111は、ルール生成装置10によって生成されたルールに従って、到達したパケットに対しアクセスの許否を判定することによってアクセス制御を行う。
【0057】
(節1−3)マップ生成方法
次に、上記で説明した各動作について説明する。まず、マップ生成手段102が行うマップ生成処理(ステップA1)について説明する。図3は、マップ生成処理における動作例をフローチャートで示している。図3に示すように、マップ生成手段102は、まず、マップ登録手段105から現状のマップを取得(入力)する(ステップA101)。本実施の形態において、マップには、パケットパラメータの各要素の組み合わせに対し、そのパケットパラメータで示されるアクセスのアクセス優先度が示されている。また、マップ生成手段102は、パケット系列登録手段101からパケット系列を取得(入力)する(ステップA102)。パケット系列には、例えば、アクセス制御装置11に到達した複数のパケットのパケットパラメータが系列に沿って順に含まれている。
【0058】
また、マップ生成手段102は、重み情報登録手段103から重み情報を取得(入力)する(ステップA103)。重み情報には、サービス・攻撃毎の、サービス重要度や攻撃深刻度が含まれている。なお、重み情報は、例えば、侵入検知システム(IDS)のアラート、異常検知(アノマリ検知)システムのアラート、各種ネットワーク機器のQoS設定、トラフィックアナライザの観測結果、サービス稼動率や対障害性の管理システムの設定情報、等の形式で示されていてもよい。
【0059】
また、マップ生成手段102は、紐付け情報登録手段104から紐付け情報を取得(入力)する(ステップA104)。紐付け情報には、特定のパケットパラメータやパケットパラメータの範囲が、どのサービスや攻撃に由来するかが含まれている。
【0060】
次に、マップ生成手段102は、取得したパケット系列からパケットパラメータを1つ抽出する(ステップA105)。なお、ここで抽出するパケットパラメータは、例えば、アクセス制御装置11に到達したパケットのパケットパラメータである。次に、マップ生成手段102は、取得したマップから、抽出したパケットパラメータに対応するアクセス優先度を抽出する(ステップA106)。マップ生成手段102は、例えば、抽出したパケットパラメータと合致するアクセス定義を、マップから検索することによって、抽出したパケットパラメータに対応するアクセス優先度を抽出する。なお、マップに、該当するアクセス定義が含まれていない場合には、予め定めておいたデフォルト値を用いてもよい。
【0061】
次に、マップ生成手段102は、紐付け情報に基づいて、抽出したパケットパラメータが該当するサービスまたは攻撃を抽出し、さらに、重み情報に基づいて、抽出したサービスまたは攻撃の重みを抽出する(ステップA107)。マップ生成手段102は、例えば、抽出したパケットパラメータと合致するサービス定義または攻撃定義を、紐付け情報から検索することによって、抽出したパケットパラメータが該当するサービスまたは攻撃を抽出する。そして、抽出したサービスまたは攻撃の重みを重み情報から読み出すことによって、抽出パケットパラメータに対応する重みを抽出する。これは、アクセス制御装置11に到達した1パケットに対応して、そのパケットで示されるアクセスに応じた重みを取得したことになる。
【0062】
次に、マップ生成手段102は、抽出したパケットパラメータに対応するアクセス優先度(現アクセス優先度)と重みとに基づいて、新たなアクセス優先度を計算する(ステップA108)。新たなアクセス優先度の計算方法には、例えば、以下の計算式(式A108.1、A108.2、A108.3)などを用いるが、これ以外の方法を用いてもよい。
【0063】
(新たなアクセス優先度)=((現アクセス優先度p)+(重みw))÷2
・・・(式A108.1)
【0064】
(新たなアクセス優先度)=((現アクセス優先度p)×(現アクセス優先度pの計算に用いたパケットの総数n)+(重みw))÷(n+1)
・・・(式A108.2)
【0065】
(新たなアクセス優先度)=(現アクセス優先度p)+(重みw)
・・・(式A108.3)
【0066】
マップ生成手段102は、計算した新たなアクセス優先度を、当該パケットパラメータに対応するアクセス優先度の新たな値として、マップを更新し、マップ登録手段105に受け渡す(ステップA109)。
【0067】
マップ生成手段102は、パケット系列登録手段101から取得したパケット系列から、すべてのパケットパラメータの抽出が完了するまで、マップ更新処理を繰り返す(ステップA110,A105)。
【0068】
(マップ生成方法の具体例)
次に、マップ生成手段102の動作の具体例を説明する。まず、マップ生成手段102は、ステップA101〜A104において、現在のマップと、パケット系列と、重み情報と、紐付け情報とを取得(入力)する。ここでは、図4に示すマップmapと、図5に示すパケット系列σと、図6に示す紐付け情報assocと、図7に示す重み情報weightとが得られたものとする。
【0069】
図4は、マップ登録手段105によって格納されるマップのデータ構造の例を示す説明図である。図4に示すように、マップ登録手段105は、例えば、ルールの条件部分として用いるパケットパラメータの各要素と、そのパケットパラメータの各要素の組み合わせによって特定されるアクセスのアクセス優先度とを含む情報をマップとして記憶する。なお、図4では、例えば、(アクセス元IPアドレス,アクセス元ポート番号,アクセス先IPアドレス,アクセス先ポート番号,プロトコル)=(10.20.20.20,59999,10.30.30.30,135,tcp)であるパケットパラメータ(アクセス定義105−2)に対応するアクセス優先度が10であることが示されている。また、例えば、(アクセス元IPアドレス,アクセス元ポート番号,アクセス先IPアドレス,アクセス先ポート番号,プロトコル)=(10.20.20.20,60000,10.30.30.30,80,tcp)であるパケットパラメータ(アクセス定義105−1)に対応するアクセス優先度が20であることが示されている。なお、マップ上で定義されるアクセス定義は、パケットパラメータの1つの要素を特定することによって定義される場合もあるし、パケットパラメータのうちのある要素の範囲を特定することによって定義される場合もある。特定不要な要素については、全範囲が該当する旨を示しておけばよい。
【0070】
また、図5は、パケット系列登録手段101によって格納されるパケット系列のデータ構造の例を示す説明図である。図5に示すように、パケット系列登録手段101は、例えば、アクセス制御装置11に到達したパケットのパケットパラメータを古い順に含む情報をパケット系列として記憶する。なお、図5に示す例では、パケット1,2,・・・,Nの順でアクセス制御装置11に到達した場合に、パケット1のパケットパラメータp1,パケット2のパケットパラメータp2,・・・,パケットNのパケットパラメータpNの順に格納されることがわかる。
【0071】
また、図6は、紐付け情報登録手段104によって格納される紐付け情報のデータ構造の例を示す説明図である。図6に示すように、紐付け情報登録手段104は、例えば、サービスまたは攻撃に該当するアクセスを特定するためのアクセス定義(すなわち、サービス定義または攻撃定義)と、サービスまたは攻撃を識別するための識別子とを含む情報を紐付け情報として記憶する。なお、図6に示すように、アクセス定義は、パケットパラメータの各要素の組み合わせを示すため、例えば、パケットパラメータの各要素の値や、そのリスト、または、条件式として格納される。図6では、例えば、アクセス先ポート番号が135であるパケットパラメータ(攻撃定義104−2)は、識別子rpcで示される攻撃に該当することが示されている。また、例えば、アクセス先IPアドレスが10.40.40.40であり、かつ、アクセス先ポート番号が25であるパケットパラメータ(サービス定義104−1)は、識別子smtp01で示されるサービスに該当することが示されている。
【0072】
また、図7は、重み情報登録手段103によって格納される重み情報のデータ構造の例を示す説明図である。図7に示すように、重み情報登録手段103は、例えば、サービスまたは攻撃を識別するための情報と、そのサービスまたは攻撃の重みとを含む情報を重み情報として記憶する。なお、図7では、例えば、識別子rpcで示される攻撃の重みが−50であることが示されている。なお、重みが−方向であることから、攻撃であることがわかる。また、例えば、識別子httpで示されるサービスの重みが100であり、識別子smtp01で示されるサービスの重みが120であることから、識別子smtp01で示されるサービスの方が識別子httpで示されるサービスよりも重要度が高いことがわかる。
【0073】
マップ生成手段102は、ステップA105において、パケット系列σから最も古いパケットパラメータp1を抽出する。このとき、パケットパラメータp1は、(アクセス元IPアドレス,アクセス元ポート番号,アクセス先IPアドレス,アクセス先ポート番号,プロトコル)=(10.20.20.20,60000,10.30.30.30,80,tcp)であったとする。
【0074】
次に、マップ生成手段102は、ステップA106において、マップmapから、パケットパラメータp1に合致するアクセス定義を検索し、パケットパラメータp1に対応するアクセス優先度を抽出する。ここでは、図4に示すように、アクセス定義105−1と合致するので、対応するアクセス優先度prio=20を抽出する。なお、これは、パケットパラメータp1で示されるアクセスの現在のアクセス優先度(アクセスを優先して許可する度合い)が20であることを示している。
【0075】
また、マップ生成手段102は、ステップA107において、紐付け情報assocから、パケットパラメータp1と合致するサービス定義または攻撃定義を検索し、パケットパラメータp1が該当するサービスまたは攻撃を抽出する。ここでは、図6に示すように、サービス定義104−1(パラメータの条件:アクセス先ポート番号=80)と合致するので、識別子httpで示されるサービスまたは攻撃が該当することがわかる。そして、抽出したサービスまたは攻撃の重みを、重み情報weightを走査して、抽出する。ここでは、図7に示すように、識別子httpに対応する重みw=100を抽出する。なお、本実施の形態において、特に、サービスか攻撃かを区別する必要はないが、重み情報に、サービスの重要度と攻撃の深刻度とを、アクセス優先度に対し同じ尺度の重みとして含める点、および、1つのパケットパラメータが、サービスにも攻撃にも該当するような場合には、サービスの重みよりも発生中の攻撃の重みを優先して抽出する点で注意が必要である。なお、例えば、攻撃用の重み情報とサービス用の重み情報とを別々に保持し、また、識別子によってサービスか攻撃かを区別可能にした上で、抽出した識別子に応じて読み出す重み情報を切り替えてもよい。
【0076】
そして、マップ生成手段102は、ステップA108において、抽出したパケットパラメータp1に対応するアクセス優先度prio=20と、重みw=100とに基づいて、所定の重み付け計算処理を行うことによって、パケットパラメータp1に対応するアクセス優先度を更新して、更新後のアクセス優先度を反映させたマップを生成する。マップ生成手段102は、例えば、(式A108.1)で示した計算式に代入し、(20+100)/2=60を算出し、パケットパラメータp1に対応するアクセス定義(マップmap中のアクセス定義105−1)のアクセス優先度を60に更新する(図8参照)。なお、これは、パケットパラメータp1が到達したことによって、パケットパラメータp1が該当するサービスの重要度に応じた重みが重み付け加算された結果、パケットパラメータp1と合致するアクセス定義で示されるアクセスを優先して許可する度合いが大きくなったことを示している。
【0077】
また、攻撃に該当するパケットパラメータの具体例を説明する。例えば、マップ生成手段102は、次のパケットパラメータとして、ステップA105において、パケットパラメータp2を抽出する。このとき、パケットパラメータp2は、(アクセス元IPアドレス,アクセス元ポート番号,アクセス先IPアドレス,アクセス先ポート番号,プロトコル)=(10.20.20.20,59999,10.30.30.30,135,tcp)であったとする。
【0078】
次に、マップ生成手段102は、パケットパラメータp1と同様に、ステップA107において、パケットパラメータp2に合致するアクセス定義を検索し、パケットパラメータp2に対応するアクセス優先度を抽出する。ここでは、図4に示すように、アクセス定義105−2と合致するので、対応するアクセス優先度prio=10を抽出する。なお、これは、パケットパラメータp2で示されるアクセスの現在のアクセス優先度(アクセスを優先して許可する度合い)が10であることを示している。
【0079】
また、マップ生成手段102は、ステップA107において、紐付け情報assocから、パケットパラメータp2と合致するサービス定義または攻撃定義を検索し、パケットパラメータp2が該当するサービスまたは攻撃を抽出する。ここでは、図6に示すように、攻撃定義104−2(パラメータの条件:アクセス先ポート番号=135)と合致するので、識別子rpcで示されるサービスまたは攻撃が該当することがわかる。そして、抽出したサービスまたは攻撃の重みを、重み情報weightを走査して、抽出する。ここでは、図7に示すように、識別子rpcに対応する重みw=−50を抽出する。
【0080】
そして、マップ生成手段102は、ステップA108において、抽出したパケットパラメータp2に対応するアクセス優先度prio=10と、重みw=−50とに基づいて、所定の重み付け計算処理を行うことによって、パケットパラメータp2に対応するアクセス優先度を更新して、更新後のアクセス優先度を反映させたマップを生成する。マップ生成手段102は、例えば、(式A108.1)で示した計算式に代入し、(10−50)/2=−20を算出し、パケットパラメータp2に対応するアクセス定義(マップmap中のアクセス定義105−2)のアクセス優先度を−20に更新する(図8参照)。なお、これは、パケットパラメータp2が到達したことによって、パケットパラメータp2が該当する攻撃の深刻度に応じた重みが重み付け加算された結果、パケットパラメータp2と合致するアクセス定義で示されるアクセスを優先して許可する度合いが小さくなったことを示している。
【0081】
(節1−4)ルール生成方法
次に、ルール生成手段106が行うルール生成処理(ステップA2)について説明する。図9は、ルール生成処理における動作例をフローチャートで示している。図9に示すように、ルール生成手段106は、まず、マップ登録手段105からマップを取得(入力)する(ステップA201)。また、ルール生成手段106は、閾値登録手段107からアクセスを許可するアクセス優先度の閾値を取得(入力)する(ステップA202)。
【0082】
次に、ルール生成手段106は、マップに含まれるパケットパラメータ(アクセス定義)とアクセス優先度との組み合わせを1つ抽出する(ステップA203)。そして、ルール生成手段106は、抽出したアクセス優先度と取得した閾値とを比較する(ステップA204)。
【0083】
ルール生成手段106は、アクセス優先度が閾値以上であれば、抽出したパケットパラメータに該当するパケットのアクセスを許可するルールを生成する(ステップA205のYes,ステップA206)。
【0084】
また、ルール生成手段106は、アクセス優先度が閾値未満であれば、抽出したパケットパラメータに該当するパケットのアクセスを拒否するルールを生成する(ステップA205のNo,ステップA207)。
【0085】
そして、ルール生成手段106は、生成されたルールを反映させたアクセス制御リストを生成する(ステップA208)。ルール生成手段106は、例えば、ルール生成手段106が有する一時記憶中のアクセス制御リストに追加してアクセス制御リストを更新する。なお、現在のアクセス制御リストに含まれる該当するルールの許否を更新するだけでもよいし、新しいアクセス制御ルールを新規に登録していくことで新たにアクセス制御リストを生成してもよい。また、例えば、拒否するルールのみを集めてアクセス制御リストとしてもよい。
【0086】
ルール生成手段106は、取得したマップから全てのパケットパラメータ(アクセス定義)の抽出が完了するまで、アクセス優先度の判定処理を繰り返し行う(ステップA209,A203)。なお、取得したマップから全てのパケットパラメータ(アクセス定義)の抽出が完了すると、マップ生成手段102は、生成したアクセス制御リストを、アクセス制御手段111に受け渡す(ステップA210)。
【0087】
(ルール生成方法の具体例)
次に、ルール生成手段106の動作の具体例を説明する。まず、ルール生成手段106は、ステップA201,A202において、現在のマップ(マップ生成手段102によって更新されたマップ)と、閾値とを取得する。ここでは、図8に示すマップmapと、閾値τ(本例では0とする)を抽出する。次に、ルール生成手段106は、ステップA203により、マップmapで定義される各アクセス定義を先頭から順に抽出していく。ここでは、k個目のルール生成を行うものとし、k行目にあるアクセス定義として、アクセス定義105−1で示されるパケットパラメータ(10.20.20.20,60000,10.30.30.30,80,tcp)と、対応するアクセス優先度prio=60を抽出したものとする。
【0088】
そして、ステップ生成手段106は、ステップA204,A205において、抽出したアクセス優先度prioと前記τとの大小を比較する。ここでは、アクセス定義105−1に対応するアクセス優先度prio=60,τ=0なので、アクセス優先度が閾値以上であるため、ステップA206に進む。
【0089】
そして、ルール生成手段106は、ステップA206において、抽出したパケットパラメータに該当するパケットのアクセスを許可するルールを生成する。ルール生成手段106は、例えば、アクセス定義105−1で示されるパケットパラメータ(10.20.20.20,60000,10.30.30.30,80,tcp)から、k個目のルールとして、以下のようなルールを生成する。
【0090】
(10.20.20.20:60000,10.30.30.30:80,tcp,permit)
【0091】
ここで、「10.20.20.20:60000」はアクセス元IPアドレスとポート番号との組、「10.30.30.30:80」はアクセス先IPアドレスとポート番号との組、「tcp」はプロトコル、「permit」は許可を示すフラグ情報である。従って、k番目のルールは、アクセス元「10.20.20.20:60000」からアクセス先「10.30.30.30:80」へのtcpによるネットワークアクセスを許可することを示している。
【0092】
そして、ステップ生成手段107は、ステップA208において、k−1個目までのルールを順次記録した一時記憶中のアクセス制御リストの最後尾に、前記k個目のルールを追加する。その後、ステップ生成手段107は、ステップA209において、マップmapにk+1行目があるかどうかをチェックし、あればステップA203に進み、k+1個目以降のルール生成を行う。なければステップA210に進み、前記一時記憶されたk個のルールからなるアクセス制御リストを、アクセス制御手段111に通知(送信)する。
【0093】
なお、仮に、アクセス優先度が閾値未満であれば、ルール生成手段106は、例えば、以下のようなルールを生成する。「deny」は拒否を示すフラグ情報である。
【0094】
(10.20.20.20:60000,10.30.30.30:80,tcp,deny)
【0095】
(節1−5)アクセス制御方法
ステップA3の動作例としては、アクセス制御手段111を備えるネットワーク上を通過するパケットに対するアクセス制御を行うサーバ装置が、ルール生成手段106から取得したアクセス制御リストに基づいて、アクセス制御を行う。当該サーバ装置の例としては、例えば、ファイアウォール、ルータ、ネットワークスイッチ、ゲートウェイ、VPNサーバなどが挙げられる。
【0096】
(節1−6)効果
以上のように、本実施の形態によれば、パケット系列や、重み情報と紐付け情報の変化をマップ(具体的には、アクセス優先度)に反映するので、攻撃に対する安全性とサービスの可用性のどちらを優先するのかを、ネットワークの利用状況(攻撃の発生状況やサービスの利用状況)と、攻撃の深刻度およびサービスの重要度とに基づいて、動的に変化させることができる。すなわち、深刻ではない攻撃の遮断よりも、重要なサービスの維持を優先するルールを生成したり、攻撃によって一旦遮断された後に、攻撃の収束やサービスの開始によって部分的に遮断を解除するなど、攻撃に対する安全性とサービスの可用性とでバランスをとった動的なアクセス制御を実現できる。
【0097】
例えば、図10を参照すると、あるサーバへの全アクセス履歴を示すパケット系列(長さをλで表わす)について、当該サーバへのλ1個目までのパケットが全て正常アクセスであった場合、パケット系列に含まれるパケットのパケットパラメータで示される当該サーバに対するアクセスのアクセス優先度prioは、サービスの重要度に応じた+(プラス)方向の重みによって、単調増加する。これは、当該パケットが該当するサービスの重要度と利用頻度とに応じて、当該パケットのアクセスを許可する度合いを大きくしていくことを意味する。なお、当該サーバが提供するサービスの重要度およびそのサービスに該当するアクセスを特定するためのパケットパラメータについては、例えば、ネットワーク管理者によってサービスを特定するための識別子と対応付けて、予め重み情報と紐付け情報として登録されているものとする。
【0098】
その後、λ1+1個目からλ2個目までのパケットで攻撃が継続的に加えられた場合、パケット系列に含まれるパケットのパケットパラメータで示される当該サーバに対するアクセスのアクセス優先度prioは、攻撃の深刻度に応じた−(マイナス)方向の重みによって、単調減少していく。これは、当該パケットが該当する攻撃の深刻度と発生頻度とに応じて、当該パケットのアクセスを許可する度合いを小さくしていくことを意味する。このように、アクセス優先度が単調減少していく中で、アクセス優先度prioが所定の閾値τ以上である間は、ルール生成手段106は、攻撃に対する安全性よりもサービスの可用性の方を優先させるよう、当該サーバへのアクセスを許可するルールを生成しつづける。結果、当該サーバが提供するサービスが継続され、可用性が維持される。なお、当該サーバに対する攻撃およびその攻撃に該当するアクセスを特定するためのパケットパラメータについては、例えば、進入検知システム(IDS)や、攻撃検知システム(IPS)からアラート情報として通知されることによって、攻撃発生の都度、攻撃を特定するための識別子と対応付けて、重み情報と紐付け情報として登録されるものとする。なお、攻撃検知システムには、例えば、所定の攻撃に対してその深刻度と攻撃を検知するためのパターンとが登録されているものとする。
【0099】
その後、さらに攻撃が継続され、アクセス優先度prioが所定の閾値τを下回った場合には、ルール生成手段106は、サービスの可用性よりも攻撃に対する安全性の方を優先させるよう、当該サーバへのアクセスを遮断するルールを生成する。結果、攻撃が遮断され、当該サーバの安全性が確保される。
【0100】
また、例えば、λ2個目までのパケットで攻撃が止まり、λ2+1個目から正常アクセスがなされるようになると、再びアクセス優先度prioは単調増加する。これは、当該パケットが該当するサービスの重要度と利用頻度とに応じて、当該パケットのアクセスを許可する度合いを大きくしていくことを意味する。このように、アクセス優先度が単調増加していく中で、アクセス優先度prioが所定の閾値τを上回れば、ルール生成手段106は、再度、攻撃に対する安全性よりもサービスの可用性の方を優先させるよう、当該サーバへのアクセスを許可するルールを再び生成する。結果、当該サーバが提供するサービスが自動的に再開される。
【0101】
このようにして、攻撃やサービス毎の重み情報とパケット量に応じてマップでのアクセス優先度を変化させることによって、サービスの可用性と攻撃への安全性のどちらを優先させるかを自動的に調整する動的アクセス制御が実現される。
【0102】
なお、アクセス制御システム全体の構成例として、例えば、図11に示すような、攻撃検知システムやサービス管理システムと連携するように構成されていてもよい。図11は、攻撃検知システムとサービス管理システムと連携したアクセス制御システム全体の構成例を示すブロック図である。図11では、例えば、クライアント装置が設置される外部ネットワークと各種サービスを提供する各種サーバ装置が設置される内部ネットワークとの境界に、アクセス制御リスト(図中ではACLと表記)を保持するアクセス制御装置とマップを保持するルール生成装置とが設置される。なお、ルール生成装置とアクセス制御装置とは、例えばLANネットワークを介して、通信可能に接続されているものとする。また、攻撃に関する重み情報を保持する攻撃検知システムと、サービスに関する重み情報と紐付け情報とを保持するサービス管理システムとが、ルール生成装置と通信可能に接続される。
【0103】
例えば、攻撃検知システムは、外部ネットワークからアクセス制御装置に到達するパケット系列を盗み見て、予め設定されている攻撃パターンと照合することによって、そのパケット系列が攻撃に該当するか否かを判断することによって攻撃を検知する。攻撃が検知された場合には、その攻撃を特定するパケットパラメータと攻撃識別子とを対応付けた紐付け情報を、アラートとしてルール生成装置に送信する。また、サービス管理システムは、内部ネットワークに設置された各種サーバまたはそのサーバが提供するサービスを管理する情報処理装置であって、例えば、稼働中のサービスについて、そのサービスを特定するパケットパラメータとサービス識別子とを対応付けた紐付け情報と、そのサービスの重要度に応じた重みを示す重み情報とを記憶し、管理する。
【0104】
このような構成では、ルール生成装置は、アクセス制御装置が観測したパケット系列のパケットパラメータを抽出し、そのパケットの系列に沿ってマップ生成、ルール生成処理を行う。その際、ルール生成装置は、まず、抽出したパケットパラメータが攻撃に該当するかを攻撃検知システムからアラートとして通知された紐付け情報を走査することによって判定し、攻撃に該当すれば、攻撃検知システムが保持している重み情報から、その攻撃の重みを取得すればよい。攻撃に該当しない場合には、サービス管理システムが保持している紐付け情報を走査し、該当すれば、さらに重み情報から、そのサービスの重みを取得する。そして、ルール生成装置が保持しているマップに登録されている現在のアクセス優先度に、取得した重みを用いて重み付けすることによって、マップを更新する。このようにして更新されたマップ(アクセス優先度)に基づいて、ルールを生成する。そして、生成したルールをリスト化し、アクセス制御リストとして、アクセス制御装置に送信すればよい。
【0105】
また、別の構成例を、図12に示す。図12では、アクセス制御装置が2段構成される例を示している。例えば、ファイアウォール(FW)によって実現される第1のアクセス制御装置の後ろに、さらに、攻撃検知システム(IPS)によって実現される第2のアクセス制御装置を備える。なお、本実施の形態で示したアクセス制御リストに応じたアクセス制御を第1のアクセス制御装置が行うことによって、ブラックリスト化したアクセスを遮断し、第2のアクセス制御装置は予め定められた攻撃パターンと照合することによって、突発的な攻撃を遮断する。なお、第2のアクセス制御が検知した攻撃については、その攻撃を特定するパケットパラメータと攻撃識別子とを対応付けた紐付け情報をアラートとしてルール生成装置に送信すればよい。攻撃に関する情報をルール生成装置に送信することによって、ルール生成装置が、その攻撃の重みに応じてマップを更新し、第1のアクセス制御装置が保持するアクセス制御リストに反映されることになる。
【0106】
なお、本実施の形態では、アクセス制御装置に到達したパケット系列を対象として説明したが、パケット系列を観測する主体は、外部ネットワークからのパケットを観測することができれば、ネットワーク上に設定された他の機器(ルータや、ハブ、トラフィックアナライザ、IDS、IPS等)であってもよい。
【0107】
第2実施形態
(節2−1)構成
次に、本発明の第2実施形態について説明する。図13は、本発明の第2実施形態のアクセス制御システムの構成例をブロック図で示している。図13に示すように、本実施の形態によるアクセス制御システムは、パケット系列登録手段101と、マップ生成手段102と、重み情報登録手段103と、紐付け情報登録手段104と、マップ登録手段105と、ルール生成手段106と、閾値登録手段107と、アクセス制御手段111とを有するアクセス制御装置20を備える。すなわち、本実施の形態によるアクセス制御システムは、図1に示すアクセス制御システムにおけるルール生成装置を、アクセス制御装置20が内包する。なお、アクセス制御装置20は、具体的には、ファイアウォール、ルータ、ネットワークスイッチ、ゲートウェイ、VPNサーバ等の、ネットワーク上を通過するパケットに対するアクセス制御を行う通信制御装置や情報処理装置によって実現される。
【0108】
(節2−2)動作の概要
本実施の形態によるアクセス制御システムの動作は、本発明の第1実施形態と同様である。
【0109】
(節2−3)効果
以上のように、本実施の形態によれば、1つのハードウェアでルール生成およびアクセス制御をさせることで、本アクセス制御システムを、より容易に実現できる。
【0110】
第3実施形態
(節3−1)構成
次に、本発明の第3実施形態について説明する。図14は、本発明の第3実施形態であるネットワーク監視システムの構成例をブロック図で示している。図14に示すように、ネットワーク監視システムは、パケット系列登録手段101と、マップ生成手段102と、重み情報登録手段103と、紐付け情報登録手段104と、マップ登録手段105と、マップ表示手段301とを有するネットワーク監視装置30を備える。ネットワーク監視装置30は、具体的には、トラフィックアナライザ、ルータやネットワークスイッチの監視コンソール等、ネットワークを通過するパケットの利用状況を観測する情報処理装置によって実現される。
【0111】
マップ表示手段301は、マップ生成手段102が生成したマップを、視覚的に表示する。マップ表示手段301は、例えば、プログラムに従って動作するCPU、記憶装置、およびディスプレイ等の出力装置によって実現される。なお、他の点に関しては、第1実施形態と同様である。
【0112】
(節3−2)動作の概要
図15は、本実施の形態によるネットワーク監視システムの動作例をフローチャートで示している。図15に示すように、まず、ネットワーク監視システムは、ネットワーク監視装置30において、第1実施形態と同様に、現状のマップとパケット系列と重み情報と紐付け情報とに基づいて、現状のマップを更新して新しいマップを生成する(ステップA1)。次に、ネットワーク監視システムは、ネットワーク監視装置30において、生成されたマップを、視覚化して表示する(ステップC1)。ネットワーク監視装置30のマップ表示手段301は、例えば、アクセスを特定するための各要素のいずれかをX,Y軸に取る矩形領域を、軸に取った要素の組み合わせで示されるアクセスのアクセス優先度に応じて描画した表示画面の画面情報を生成して表示することによって、マップを視覚化する。
【0113】
(節3−3)マップ表示方法
次に、マップ表示手段301が行うマップ表示(ステップC1)について説明する。図16は、マップ表示手段301が行うマップの視覚化表示の例を示す説明図である。図16に示すように、マップ表示手段301は、例えば、所定の表示画面上に、X軸にアクセス元IPアドレスを、Y軸にアクセス先IPアドレスを取る矩形領域を描画した画面を表示する。具体的には、矩形領域を描画した画面情報を生成し、ディスプレイ装置等に出力する。このとき、各座標(x、y)についてマップを参照し、対応するアクセス優先度がpであれば、明度p+C(Cは所定の基準明度を示す定数)でピクセルをプロットすることによって、矩形領域をアクセス優先度に応じた明度で描画した画面を表示する。本例では、優先度の高いアクセスほど、明るい画素で表示されることとなる。なお、軸にとる要素は、アクセス元IPアドレス、アクセス先IPアドレスに限らず、ユーザに選択させてもよい。また、Z軸を加えて3次元領域を描画した画面を表示するなどしてもよい。
【0114】
(節3−4)効果
以上のようにして、3要素までの組み合わせで示されるアクセス毎のアクセス優先度を、明度に変換して視覚化表示することができるので、ネットワーク上のパケットの利用状況をアクセス優先度として、サービスの利用や攻撃の発生・収束などを一覧することができる。
【0115】
第4実施形態
(節4−1)構成
次に、本発明の第4実施形態について説明する。図17は、本発明の第4実施形態である適正度検査システムの構成例をブロック図で示している。図17に示すように、適正度検査システムは、パケット系列登録手段101と、マップ生成手段102と、重み情報登録手段103と、紐付け情報登録手段104と、マップ登録手段105と、適正度計算手段401と、ルール登録手段402と、適正度表示手段403とを有する適正度検査装置40を備える。適正度検査装置40は、具体的には、ファイアウォール、ルータ、ネットワークスイッチ、ゲートウェイ、VPNサーバ等、ネットワーク上を通過するパケットに対するアクセス制御の設定を保持、管理する通信制御装置や情報処理装置によって実現される。
【0116】
また、適正度計算手段401、適正度表示手段403は、具体的には、プログラムに従って動作する情報処理装置のCPU、記憶装置によって実現される。また、ルール登録手段402は、具体的には、プログラムに従って動作する情報処理装置のCPU、及びメモリやハードディスク装置等の記憶装置によって実現される。なお、ここに挙げた各手段を実現するためのCPUは、共通のCPUであってよい。
【0117】
適正度計算手段401は、現在のマップと、複数のルール(アクセス制御リスト)とに基づいて、適正度を生成し、適正度表示手段403に受け渡す。ここで、適正度とは、アクセス制御ルールがアクセス制御を行うために適正なルールであることの度合いを示す情報をいう。なお、本発明において、適正なルールとは、深刻ではない攻撃の遮断よりも、重要なサービスの維持を優先するルールを生成したり、攻撃によって一旦遮断された後に、攻撃の収束やサービスの開始によって部分的に遮断を解除するなど、ネットワークの利用状況に追随したルールであることをいう。
【0118】
ルール登録手段402は、記憶装置内に、適正度の判定対象とするアクセス制御ルール(以下、対象ルールという。)を格納する。適正度表示手段403は、与えられた適正度を対象ルールと対応付けて、一覧表示する。なお、他の点に関しては、第1実施形態と同様である。
【0119】
(節4−2)動作の概要
図18は、本実施の形態による適正度検査システムの動作例をフローチャートで示している。図18に示すように、まず、適正度検査システムは、適正度検査装置40において、第1実施形態と同様に、現状のマップとパケット系列と重み情報と紐付け情報とに基づいて、現状のマップを更新して新しいマップを生成する(ステップA1)。
【0120】
次に、適正度検査システムは、適正度検査装置40において、生成されたマップと、対象ルールの集合であるアクセス制御リストとに基づいて、各対象ルールの適正度を計算する(ステップD1)。適正度検査装置40の適正度計算手段401は、マップに基づいて判定される各アクセスのアクセス許否の度合い(アクセス優先度)と、各対象ルールで示されるアクセス許否とを比較計算することによって、適正度を計算する。そして、適正度検査システムは、計算された適正度を、視覚化して表示する(ステップD2)。適正度検査装置40の適正度表示手段403は、例えば、各対象ルールとその適正度とを対応づけた表示画面の画面情報を生成し、一覧表示する。
【0121】
(節4−3)適正度計算方法
次に、適正度計算手段401が行う適正度計算処理(ステップD1)について説明する。図19は、適正度計算手段401が行う適正度計算処理における動作例をフローチャートで示している。図19に示すように、まず、適正度計算手段401は、マップ登録手段105から、マップを取得(入力)する(ステップD101)。また、適正度計算手段401は、ルール登録手段402から、1つ以上のルール(アクセス制御リスト)を取得(入力)する(ステップD102)。
【0122】
次に、適正度計算手段401は、取得したアクセス制御リストから、ルールを1つ抽出する(ステップD103)。そして、適正度計算手段401は、抽出したルールに示されるアクセス定義(1つのパケットパラメータや特定の範囲のパケットパラメータ)にマッチ(ルールに示される条件に合致)する1つ以上のアクセス定義をマップから検索し、そのアクセス優先度を抽出する(ステップD104)。
【0123】
次に、適正度計算手段401は、抽出した1つ以上のアクセス優先度の平均値を計算する(ステップD105)。適正度計算手段401は、対象ルールが許可ルールであれば、計算したアクセス優先度の平均値を、そのまま当該ルールの適正度とする(ステップD106のYes,ステップD107)。これは、アクセス優先度の平均値が正の値として大きければ大きいほど、許可すべき多くのパケットが当該ルールにマッチすることを示しており、当該ルールは許可ルールとすることが適正であるためである。
【0124】
一方、適正度計算手段401は、対象ルールが拒否ルールであれば、計算したアクセス優先度の平均値の正負の符号を反転した値を、当該ルールの適正度とする(ステップD106のNo,ステップD108)。これは、アクセス優先度の平均値が負の値として大きければ大きいほど、拒否すべき多くのパケットが当該ルールにマッチすることを示しており、当該ルールは拒否ルールとすることが適正であるためである。
【0125】
そして、適正度計算手段401は、抽出した対象ルールと計算した適正度との組を、適正度計算手段401の持つ一時記憶中に追加する(ステップD109)。適正度計算手段401は、取得したアクセス制御リストから、すべてのルールの抽出が完了するまで、適正度の計算処理を繰り返す(ステップD110,D103)。最後に、適正度計算手段401は、一時記憶中の対象ルールと適正度との組を、適正度表示手段403に受け渡す(ステップD111)。
【0126】
(節4−5)適正度表示方法
次に、適正度表示手段403が行う適正度表示処理(ステップD2)について説明する。図20は、適正度表示手段403が行う適正度表示の例を示す説明図である。図20に示すように、適正度表示手段403は、例えば、所定の表示画面上に、適正度と適正度計算の対象としたルールとを組み合わせて表示する。なお、適正度が所定の値を下回る場合に、注意や警告といった、変更や再検討を促す表示を行ってもよい。
【0127】
(節4−6)効果
以上のように、本実施の形態によれば、ルールが処理している攻撃やサービスの重み情報とパケット量に応じて、設定済み及び設定前のルールの適正度検査を行うことができる。この場合、ルールの効果の有無や大小を一覧することができ、変更が望ましいルールの発見や、ルールの変更案の作成を支援できる。
【産業上の利用可能性】
【0128】
本発明は、深刻な攻撃の防御と重要なサービスの維持をバランスさせるアクセス制御システムといった用途に適用できる。また、様々なサービスや攻撃の混在するネットワークの状況の変化を観測・表示し、ネットワーク管理者の作業を支援するネットワーク管理システムといった用途に適用できる。また、アクセス制御機器に設定されているルールのチェック・修正を支援するルール設定管理システムといった用途に利用できる。
【図面の簡単な説明】
【0129】
【図1】本発明の第1実施形態のアクセス制御システムの構成例を示すブロック図。
【図2】本発明の第1実施形態のアクセス制御システムの動作例を示すフローチャート。
【図3】マップ生成手段102によるマップ生成処理の手順を示すフローチャート。
【図4】マップ生成手段102によるマップ生成処理において利用するマップの例を示す説明図。
【図5】マップ生成手段102によるマップ生成処理において利用するパケット系列の例を示す説明図。
【図6】マップ生成手段102によるマップ生成処理において利用する紐付け情報の例を示す説明図。
【図7】マップ生成手段102によるマップ生成処理において利用する重み情報の例を示す説明図。
【図8】マップ生成手段102によるマップ生成処理において更新されたマップの例を示す説明図。
【図9】ルール生成手段106によるルール生成処理の手順を示すフローチャート。
【図10】本発明の第1実施形態の効果を示すアクセス制御の例を示す説明図。
【図11】本発明の第1実施形態によるアクセス制御システム全体の構成例を示すブロック図。
【図12】本発明の第1実施形態によるアクセス制御システム全体の構成例を示すブロック図。
【図13】本発明の第2実施形態のアクセス制御システムの構成例を示すブロック図。
【図14】本発明の第3実施形態のアクセス制御システムの構成例を示すブロック図。
【図15】本発明の第3実施形態のネットワーク監視システムの動作例を示すフローチャート。
【図16】マップの視覚化表示に用いられるユーザインタフェースを示す表示画面例を示す説明図。
【図17】本発明の第4実施形態の適正度検査システムの構成例を示すブロック図。
【図18】本発明の第4実施形態の適正度検査システムの動作例を示すフローチャート。
【図19】適正度計算手段401による適正度計算処理の手順を示すフローチャート。
【図20】適正度の視覚化表示に用いられるユーザインタフェースを示す表示画面例。
【符号の説明】
【0130】
10 ルール生成装置
11,20 アクセス制御装置
30 ネットワーク監視装置
40 適正度検査装置
101 パケット系列登録手段
102 マップ生成手段
103 重み情報登録手段
104 紐付け情報登録手段
105 マップ登録手段
106 ルール生成手段
107 閾値登録手段
111 アクセス制御手段
301 マップ表示手段
401 適正度計算手段
402 ルール登録手段
403 適正度表示手段
【技術分野】
【0001】
本発明は、ネットワークを介したアクセスの許否を制御するアクセス制御システム、アクセス制御方法、およびアクセス制御プログラムに関し、特に、アクセスの優先度に基づいて当該アクセスの許否を制御するアクセス制御システム、アクセス制御方法、およびアクセス制御プログラムに関する。また、本発明は、アクセス制御に関連するアクセス制御ルール生成装置、ネットワーク監視システム、アクセス制御ルール適正検査システム、方法、およびプログラムに関する。
【背景技術】
【0002】
内部ネットワーク上にサーバを設置して何らかのサービスを提供する場合、ネットワークを介した攻撃からそれらサーバやサービスを防御するために、アクセス可能なパケットを制限するアクセス制御が行われる。
【0003】
一般には、防御したいサーバが設置されるネットワーク(内部ネットワーク)と、サービスの提供先となるクライアントが存在するネットワーク(外部ネットワーク)との境界にファイアウォールを設置し、当該ファイアウォールが、予め定められているパケットパラメータ(アクセス元IPアドレス、アクセス先IPアドレス等)に基づくアクセス制御ルールと、外部ネットワークから到着した各パケットのパラメータ(パケットパラメータ)とを照合して、パケットを通過させるかまたは遮断するかを制御する、アクセス制御手法が用いられている。このようなアクセス制御は、パケットフィルタリングと呼ばれている。
【0004】
しかしながら、このような静的なアクセス制御ルールで定義されるパケットパラメータに基づくアクセス制御手法では、安全性と可用性のバランスを図ることが難しい。その理由は、各パケットのパケットパラメータだけでは、そのパケットが、Ping of DeathやDoSなどの攻撃パケットであるか、通常のWebアクセスのような正常パケットであるかを判別することが難しいためである。つまり、攻撃パケットも正常パケットも同じパケットパラメータを持ちうるため、安全性を保つために一律に遮断すれば可用性が損なわれ、逆に、可用性を保つために一律に許可すれば安全性が損なわれる。
【0005】
そこで、パケットを分析して、その分析結果をアクセス制御ルールに動的にフィードバックする手法が考えられている。例えば、ファイアウォールとIDS(Intrusion Detection System)とを連携させ、IDSによって検知された攻撃パケットを一時的に遮断するようなアクセス制御ルールをファイアウォールに追加させるようなアクセス制御手法が考えられている。
【0006】
他にも、例えば、特許文献1、特許文献2に動的なアクセス制御手法が開示されている。特許文献1には、パケットフィルタリング機能において、パケット系列が頻繁にマッチ(パケット系列の合致)するアクセス制御ルールほど上位に並び替えるアクセス制御手法が記載されている。特許文献2には、従来の傍受型のIDSに代えて、フィルタ型のIDS機能部を備えることで、攻撃となるIPパケットの侵入を検知した場合に、即座にそのパケットを遮断するアクセス制御手法が記載されている。また、特許文献2には、第2の発明として、IDS宛のパケットが一定数を超えた場合に、そのパケットを遮断するようなアクセス制御ルールをファイアウォールに追加させるアクセス制御手法が記載されている。
【0007】
【特許文献1】特開2000−174808号公報
【特許文献2】特開2003−99339号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
前述したように、静的なアクセス制御ルールで定義されるパケットパラメータに基づくアクセス制御手法では、攻撃パケットも正常パケットも同じパケットパラメータを持ちうるため、安全性と可用性とのバランスを図ることが難しい。
【0009】
しかしながら、動的なアクセス制御ルールで定義されるパケットパラメータに基づくアクセス制御手法を適用したとしても、必ずしも安全性と可用性とのバランスが図られているとは言えない。すなわち、パケットの系列を観測して、動的にアクセス制御ルールにフィードバックする従来手法を適用したとしても、重要なサービスの可用性を高め、深刻な攻撃のみ遮断するといった、各攻撃に対する安全性と各サービスの可用性とのバランスという観点でルール内容を最適化することはできない。
【0010】
例えば、特許文献1に記載されている従来手法を適用した場合、より早くマッチ(パケット系列の合致)の有無が判定されることによって、ファイアウォールの処理速度改善に伴うサービス全体の応答速度という可用性が向上されるのであって、遮断するようルールづけられたパケットに対し、そのパケットが該当するサービスの可用性を確保するためにアクセス許否の結果が変化するわけではない。
【0011】
また、例えば、ファイアウォールとIDSとを連携させる従来手法を適用した場合、IDSが検知した攻撃パケットを随時遮断することはできる。しかしながら、遮断するルールが適用されている間は、攻撃パケットと同じパラメータを持つ正常パケットも例外なく遮断されてしまう。たとえポートスキャンなど実害の小さな攻撃であって、その攻撃の対象が重要なサービスを提供していたとしても、そのサービスに用いられるパラメータに対し拒絶ルールが適用されれば、そのサービスは一時的とはいえ停止してしまう。
【0012】
なお、特許文献2に第1の発明として記載されている従来手法は、各攻撃に対する安全性の確保によって各サーバまたは各サービスの可用性を犠牲にすることはないが、逆に、全ての攻撃を検知するためにネットワーク内の全ての可用性を犠牲にしていると言える。たとえ、ファイアウォールが判断した信頼度に応じて検知処理のオン/オフを切り替えるとしても、攻撃パケットか否かを判定するマッチング処理は、大きなタイムロスを生じさせる。
【0013】
また、特許文献2に第2の発明として記載されている従来手法を適用した場合、特定アドレス宛(IDS宛)の攻撃パケットの数量に応じて遮断することができる。しかしながら、所定の数量が検知されれば例外なく遮断するため、他の従来手法と同様、各攻撃に対する安全性と各サービスの可用性とのバランスという観点でルール内容を最適化することはできない。
【0014】
そこで、本発明は、ネットワークの利用状況に基づいて、攻撃に対する安全性を確保できるとともに、サービスの可用性を確保できるアクセス制御ルールを生成することを目的とする。
【0015】
また、本発明は、セキュリティ運用上の課題を解決するために、大規模な内部ネットワークにおいて、任意のサーバまたはサービスに対する利用状況や攻撃発生状況などを、ネットワーク管理者が認識することができる一覧性の高いネットワーク監視手段を提供することを目的とする。
【0016】
また、本発明は、セキュリティ運用上の課題を解決するために、大規模な内部ネットワークと外部ネットワークとの境界に設置されるファイアウォールに適用されるアクセス制御ルールについて、最新の利用状況や攻撃発生状況に整合させるためのメンテナンス作業を支援することができる適正度検査手段を提供することを目的とする。
【課題を解決するための手段】
【0017】
本発明によるアクセス制御システムは、ネットワークを介したアクセスの許否を制御するアクセス制御システムであって、制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段(例えば、マップ生成手段102)を備えたことを特徴とする。
【0018】
また、アクセス制御システムは、マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成するルール生成手段(例えば、ルール生成手段106)と、前記ルール生成手段が生成したアクセス制御ルールに従って、前記所定のアクセスを許可するか否かを判定するアクセス制御手段(例えば、アクセス制御手段111)とを備えていてもよい。
【0019】
また、マップ生成手段は、外部ネットワークから受信したパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻度に基づいて、制御対象となるアクセスを特定するためのパケットパラメータの各要素の組み合わせ毎のアクセス優先度を示すマップ情報に含まれる、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新してもよい。
【0020】
また、アクセス制御システムは、サービスの重要度または攻撃の深刻度に応じてアクセス優先度を重みづけるための重みを示す重み情報を記憶する重み情報記憶手段(例えば、重み情報登録手段103が含む記憶装置)と、サービスまたは攻撃を特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、当該パラメータ条件によって特定されるサービスまたは攻撃とを対応づけた情報である対応情報を記憶する対応情報記憶手段(例えば、紐付け情報登録手段104が含む記憶装置)と、マップ情報を記憶するマップ情報記憶手段(例えば、マップ登録手段105が含む記憶装置)とを備え、マップ情報記憶手段は、マップ情報として、制御対象となるアクセスを特定するためのパラメータ条件と、当該パラメータ条件によって特定されるアクセスのアクセス優先度とを対応づけた情報を記憶し、マップ生成手段は、外部ネットワークから受信したパケットのパケットパラメータと合致するパラメータ条件を、前記マップ情報から検索することによって、前記受信したパケットのパケットパラメータに対応するアクセスの現在のアクセス優先度を抽出するアクセス優先度抽出手段と、前記受信したパケットのパケットパラメータと合致するパラメータ条件を、前記対応除法から検索することによって、前記受信したパケットのパケットパラメータが該当するサービスまたは攻撃に対応する重みを前記重み情報から抽出する重み抽出手段とを含み、前記アクセス優先度抽出手段によって抽出された現在のアクセス優先度に、前記重み抽出手段によって抽出された重みを重みづけることによって、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新してもよい。
【0021】
また、本発明によるアクセス制御ルール生成装置は、ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールを生成するアクセス制御ルール生成装置であって、制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段と、前記マップ情報に含まれる所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とに基づいて、前記所定のアクセスの許否を示すアクセス制御ルールを生成するルール生成手段とを備えたことを特徴とする。
【0022】
また、本発明によるネットワーク監視システムは、ネットワークを介したアクセスを監視するネットワーク監視システムであって、監視対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段と、前記マップ情報で示される所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とを視覚的に表示するマップ情報表示手段とを備えたことを特徴とする。
【0023】
また、マップ生成手段は、外部ネットワークから受信したパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、制御対象となるアクセスを特定するためのパケットパラメータの各要素の組み合わせ毎のアクセス優先度を示すマップ情報に含まれる、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新することによって、前記マップ情報を更新し、マップ情報表示手段は、前記マップ生成手段がマップ情報を更新するたびに、表示内容を更新してもよい。
【0024】
また、本発明によるアクセス制御ルール適正検査システムは、ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールがアクセス制御を行うために適正かどうかを検査するアクセス制御ルール適正検査システムであって、アクセス制御の対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段と、前記マップ情報に含まれる、検査対象のアクセス制御ルールで示されるアクセスのアクセス優先度と、前記検査対象のアクセスルールで示される当該アクセスの許否を示す情報とに基づいて、前記検査対象のアクセス制御ルールがアクセス制御を行うために適正なルールであることの度合いを示す適正度を算出する適正度算出手段とを備えたことを特徴とする。
【0025】
また、本発明によるアクセス制御方法は、ネットワークを介したアクセスの許否を制御するアクセス制御方法であって、制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するステップを含むことを特徴とする。
【0026】
また、アクセス制御方法は、マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成するステップと、前記アクセス制御ルールに従って、前記所定のアクセスを許可するか否かを判定するステップとを含んでいてもよい。
【0027】
また、本発明によるアクセス制御ルール生成方法は、ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールを生成するアクセス制御ルール生成方法であって、制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するステップと、前記マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成するステップとを含むことを特徴とする。
【0028】
また、本発明によるネットワーク監視方法は、ネットワークを介したアクセスを監視するネットワーク監視方法であって、監視対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成ステップと、
前記マップ情報で示される所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とを視覚的に表示するマップ情報表示ステップとを含み、マップ生成ステップで、外部ネットワークから受信したパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、制御対象となるアクセスを特定するためのパケットパラメータの各要素の組み合わせ毎のアクセス優先度を示すマップ情報に含まれる、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新することによって、前記マップ情報を更新し、マップ情報表示表示ステップで、前記マップ情報が更新されるたびに、表示内容を更新することを特徴とする。
【0029】
また、本発明によるアクセス制御ルール適正検査方法は、ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールがアクセス制御を行うために適正かどうかを検査するアクセス制御ルール適正検査方法であって、アクセス制御の対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成ステップと、前記マップ情報に含まれる、検査対象のアクセス制御ルールで示されるアクセスのアクセス優先度と、前記検査対象のアクセスルールで示される当該アクセスの許否を示す情報とに基づいて、前記検査対象のアクセス制御ルールがアクセス制御を行うために適正なルールであることの度合いを示す適正度を算出する適正度算出ステップとを含むことを特徴とする。
【0030】
また、本発明によるアクセス制御プログラムは、ネットワークを介したアクセスの許否を制御するためのアクセス制御プログラムであって、コンピュータに、制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理を実行させることを特徴とする。
【0031】
また、アクセス制御プログラムは、コンピュータに、マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成する処理、および前記アクセス制御ルールに従って、前記所定のアクセスを許可するか否かを判定する処理を実行させてもよい。
【0032】
また、本発明によるアクセス制御ルール生成プログラムは、ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールを生成するためのアクセス制御ルール生成プログラムであって、コンピュータに、制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理、および前記マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成する処理を実行させることを特徴とする。
【0033】
また、本発明によるネットワーク監視プログラムは、ネットワークを介したアクセスを監視するためのネットワーク監視プログラムであって、コンピュータに、監視対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理、および前記マップ情報で示される所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とを視覚的に表示する処理を実行させることを特徴とする。
【0034】
また、本発明によるアクセス制御ルール適正検査プログラムは、ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールがアクセス制御を行うために適正かどうかを検査するためのアクセス制御ルール適正検査プログラムであって、コンピュータに、アクセス制御の対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理、および前記マップ情報に含まれる、検査対象のアクセス制御ルールで示されるアクセスのアクセス優先度と、前記検査対象のアクセスルールで示される当該アクセスの許否を示す情報とに基づいて、前記検査対象のアクセス制御ルールがアクセス制御を行うために適正なルールであることの度合いを示す適正度を算出する処理を実行させることを特徴とする。
【0035】
また、本発明によるデータ構造は、ネットワークを介したアクセスの許否を判定するために用いられるマップ情報のデータ構造であって、アクセス制御の対象となる各アクセスを特定するためのパケットパラメータの要素であるアクセス元IPアドレスを示すデータと、アクセス元ポート番号を示すデータと、アクセス先IPアドレスを示すデータと、アクセス先ポート番号を示すデータと、プロトコルを示すデータのうちのいずれかを含む領域と、前記組み合わされたデータによって特定されるアクセスについて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度データを含む領域とを有することを特徴とする。
【発明の効果】
【0036】
本発明によれば、攻撃の深刻度とサービスの重要度とに基づいて、アクセス優先度を含むマップ情報を生成するので、攻撃への安全性とサービスの可用性とのバランスという観点で、ネットワークの利用状況に応じてどちらをどの程度優先するのかをアクセス優先度に反映させることができる。従って、アクセス優先度に基づいて、攻撃に対する安全性を確保できるとともに、サービスの可用性を確保できるアクセス制御ルールを生成することができる。
【0037】
例えば、攻撃やサービスのパケットの重み情報とパケット量に応じてマップでのアクセス優先度を変化させる。このため、変化するアクセス優先度に基づいて、アクセス許否を判断するだけで、攻撃遮断よりもサービス維持を優先するアクセス制御や、攻撃のためサービスを遮断しても攻撃が改善すれば動的に遮断を解除するアクセス制御を、実現することができる。
【0038】
本発明によれば、アクセス制御ルールで定義されるパケットパラメータの条件に該当する攻撃やサービスの重み情報とパケット量に応じて、マップを変化させ、表示装置に表示する。この場合、ネットワーク上のパケットの利用状況をアクセス優先度として、サービスの利用や攻撃の発生・収束、それらの分布の偏りなどを一覧することができる。
【0039】
本発明によれば、アクセス制御ルールで定義されるパケットパラメータの条件に該当する攻撃やサービスの重み情報とパケット量に応じて、設定済み及び設定前のルールの適正度検査を行う。この場合、ルールの効果の有無や大小を一覧することができ、変更が望ましいルールの発見や、ルールの変更案の作成を支援できる。なぜなら、ネットワーク管理者が作成したアクセス制御ルールと、最新の利用状況や攻撃発生状況との整合性を比較・評価し、ルールの適正度としてネットワーク管理者に示すことができるからである。
【発明を実施するための最良の形態】
【0040】
以下、本実施の形態について図面を参照して説明する。なお、以下に示す各実施の形態において、「アクセス」とは、サーバまたはそのサーバが提供するサービスことに分別されたパケット系列をいう。外部ネットワークから到達するパケット系列は、内部ネットワーク上にあるサーバまたはそのサーバが提供するサービスごとに、いくつかのパケット系列に分別でき、それぞれをサーバまたはサービスへの「アクセス」と定義する。なお、ここで「サービス」とは、ネットワークを介したアクセスによって実行されるサーバからクライアントに対し提供される各種ネットワーク処理(例えば、Web情報の配信処理やメール情報の配信処理)をいう。なお、アクセス制御の分野では、「サービス」は、各種ネットワーク処理の実行に用いられるポートを指す場合もある。
【0041】
「パケットパラメータ」とは、パケットが持つヘッダ情報から得られる要素の総称をいう。例えば、パケットパラメータには、アクセス元アドレス、アクセス元ポート番号、アクセス先アドレス、アクセス先ポート番号、プロトコルなどの要素が含まれる。なお、1つのパケットが持つパケットパラメータは、1つである。
【0042】
「アクセス制御ルール」とは、あるアクセス元からあるアクセス先へのアクセスを認めるか否かを示す情報である。本実施の形態では、パケットパラメータと対応づけてアクセス許否を判断するための条件を示す情報であって、例えば、1つのパケットパラメータと、そのパケットパラメータで示されるアクセスの許否を示すフラグ情報とを含めた情報である。なお、アクセス制御ルールに定義するパケットパラメータには、アクセス元アドレス、アクセス元ポート番号、アクセス先アドレス、アクセス先ポート番号、プロトコルの5要素のうち少なくとも1つが含まれればよく、これら5要素の組み合わせによって何通りものパケットパラメータが定義可能である。なお、アクセス制御ルールには、パケットパラメータと対応づけるだけでなく、パケットを識別可能な情報であればよい。例えば、ユーザIDやフラグ群を含めてもよい。また、パケットを識別可能な情報は、1つのパケットを示す情報だけでなく、複数のパケットを示す情報であっても、特定の範囲のパケットを示す情報であってもよい。以下、アクセス制御ルールを、単に「ルール」と表現する場合がある。
【0043】
なお、1つのパケットパラメータと対応づけられた「アクセス制御ルール」をリスト化したものを「アクセス制御リスト」という。「アクセス制御リスト」とは、1つ以上の「アクセス制御ルール」からなり、ネットワーク全体のアクセス制御ルールを示す情報である。
【0044】
第1実施形態
(節1−1構成)
図1は、本発明の第1実施形態のアクセス制御システムの構成例をブロック図で示している。図1に示すように、アクセス制御システムは、ルール生成装置10と、アクセス制御装置11とを備える。アクセス制御システムは、例えば、コンピュータシステムとして構成できる。また、ルール生成装置10、およびアクセス制御装置11は、それぞれ別個のコンピュータシステムとして構成できる。
【0045】
アクセス制御装置11は、具体的には、ファイアウォール、ルータ、ネットワークスイッチ、ゲートウェイ、VPNサーバ等のネットワーク上を通過するパケットに対するアクセス制御を行う通信制御装置や情報処理装置によって実現される。アクセス制御装置11は、アクセス制御手段111を備える。アクセス制御手段111は、例えば、プログラムに従って動作するCPU、記憶装置およびルール生成装置10との通信インタフェースによって実現される。アクセス制御手段111は、与えられた1つあるいは複数のルール(アクセス制御リスト)に従って、アクセス制御を行う。
【0046】
ルール生成装置10は、具体的には、プログラムに従って動作するワークステーションやパーソナルコンピュータ等の情報処理装置によって実現される。ルール生成装置10は、パケット系列登録手段101と、マップ生成手段102と、重み情報登録手段103と、紐付け情報登録手段104と、マップ登録手段105と、ルール生成手段106と、閾値登録手段107とを備える。
【0047】
ルール生成手段106は、具体的には、プログラムに従って動作する情報処理装置のCPU、記憶装置およびアクセス制御装置11との通信インタフェースによって実現される。マップ生成手段102は、具体的には、プログラムに従って動作するCPU、およびメモリやハードディスク装置等の記憶装置によって実現される。パケット系列登録手段101、重み情報登録手段103、紐付け情報登録手段104、マップ登録手段105及び閾値登録手段107は、具体的には、プログラムに従って動作する情報処理装置のCPU、及びメモリやハードディスク装置等の記憶装置によって実現される。なお、ここに挙げた各手段を実現するためのCPUは、共通のCPUであってもよい。
【0048】
パケット系列登録手段101は、メモリやハードディスク装置等の記憶装置内に、パケット系列を格納する。なお、パケット系列登録手段101が格納するパケット系列は、外部ネットワークから内部ネットワークに到達したパケットのパケットパラメータを系列に沿って順に含めばよい。なお、本実施の形態では、アクセス制御装置11に到達したパケットのパケットパラメータを系列に沿って順に含む。
【0049】
重み情報登録手段103は、記憶装置内に、重み情報を格納する。ここで、重み情報とは、サービスの重要度または外部からの攻撃の深刻度に応じて、各アクセスのアクセス優先度を重みづけるための情報(値)である。なお、アクセス優先度とは、パケットに対してアクセスを優先して許可する度合いを示す情報である。重み情報は、具体的には、サービスや攻撃毎に、そのサービスや攻撃を形成するパケットのアクセス優先度にかかる重み(サービス重要度や攻撃深刻度に応じた重み)を示す情報とを対応づけた情報である。なお、サービス重要度が大きいほど+(プラス)方向に重みづけてアクセス優先度を高くし、攻撃深刻度が大きいほど−(マイナス)方向に重みづけてアクセス優先度を低くする。
【0050】
紐付け情報登録手段104は、記憶装置内に、紐付け情報を格納する。ここで、紐付け情報とは、特定のパケットパラメータや、パケットパラメータの範囲が、どのサービスや攻撃に由来するかを示す情報である。具体的には、パケットパラメータの各要素の組み合わせと、サービスまたは攻撃とを対応づけた情報である。以下、サービスまたは攻撃を特定するために紐付け情報上で定義されたパケットパラメータの各要素の組み合わせで示されるパラメータの条件を、サービス定義または攻撃定義と表現する場合がある。
【0051】
マップ登録手段105は、記憶装置内に、マップを格納する。ここで、マップとは、アクセスマトリクスとも呼ばれる、アクセスを特定するための各要素(例えば、パケットパラメータの各要素)の組み合わせに対し、その組み合わせによって特定されるアクセスの優先度を示す情報である。本実施の形態では、パケットパラメータの5要素の組み合わせによって特定されるアクセス毎の優先度を示す情報である。なお、マップの記憶領域は、パケットパラメータの5要素を組み合わせる場合、5要素のそれぞれを軸とする5次元空間内の5次元領域を表すこととなる。以下、アクセスを特定するためにマップ上で定義されたパケットパラメータの各要素の組み合わせで示されるパラメータの条件を、アクセス定義と表現する場合がある。
【0052】
マップ生成手段102は、現状のマップと、パケット系列と、重み情報と、紐付け情報とに基づいて新たなマップを生成する。また、生成したマップを、マップ登録手段105を介して格納する。
【0053】
閾値登録手段107は、記憶装置内に、アクセスを許可するアクセス優先度の閾値を格納する。
【0054】
ルール生成手段106は、マップ生成手段102によって生成されたマップと閾値とに基づいて新たなルールを生成する。また、生成したルールを、アクセス制御手段111に受け渡す。
【0055】
(節1−2)動作の概要
次に、動作について説明する。まず、アクセス制御システム全体の動作の概要について説明する。図2は、アクセス制御システム全体の動作例をフローチャートで示している。図2に示すように、まず、アクセス制御システムは、ルール生成装置10において、現状のマップとパケット系列と重み情報と紐付け情報とに基づいて、現状のマップを更新して新しいマップを生成する(ステップA1)。ルール生成装置10のマップ生成手段102は、到達したパケット系列のパケットパラメータで特定されるアクセスのアクセス優先度に対し、そのパケット系列で形成されるサービスまたは攻撃の重みを用いて重み付けることによってマップを更新する。
【0056】
次に、アクセス制御システムは、ルール生成装置10において、生成されたマップと、閾値から、現状のルールを更新して新しいルールを生成する(ステップA2)。ルール生成装置10のルール生成手段106は、生成されたマップで示される各アクセスの優先度と閾値とを比較することによって、そのアクセスの許否を判定し、判定結果に応じてルールを更新する。なお、既存のルールの許否を変更するだけでなく、新たなパケットパラメータに対してアクセス許否を示す新たなルールを生成する場合もある。そして、アクセス制御システムは、アクセス制御装置11において、生成されたルールに基づいて、アクセス制御を行う(ステップA3)。アクセス制御装置11のアクセス制御手段111は、ルール生成装置10によって生成されたルールに従って、到達したパケットに対しアクセスの許否を判定することによってアクセス制御を行う。
【0057】
(節1−3)マップ生成方法
次に、上記で説明した各動作について説明する。まず、マップ生成手段102が行うマップ生成処理(ステップA1)について説明する。図3は、マップ生成処理における動作例をフローチャートで示している。図3に示すように、マップ生成手段102は、まず、マップ登録手段105から現状のマップを取得(入力)する(ステップA101)。本実施の形態において、マップには、パケットパラメータの各要素の組み合わせに対し、そのパケットパラメータで示されるアクセスのアクセス優先度が示されている。また、マップ生成手段102は、パケット系列登録手段101からパケット系列を取得(入力)する(ステップA102)。パケット系列には、例えば、アクセス制御装置11に到達した複数のパケットのパケットパラメータが系列に沿って順に含まれている。
【0058】
また、マップ生成手段102は、重み情報登録手段103から重み情報を取得(入力)する(ステップA103)。重み情報には、サービス・攻撃毎の、サービス重要度や攻撃深刻度が含まれている。なお、重み情報は、例えば、侵入検知システム(IDS)のアラート、異常検知(アノマリ検知)システムのアラート、各種ネットワーク機器のQoS設定、トラフィックアナライザの観測結果、サービス稼動率や対障害性の管理システムの設定情報、等の形式で示されていてもよい。
【0059】
また、マップ生成手段102は、紐付け情報登録手段104から紐付け情報を取得(入力)する(ステップA104)。紐付け情報には、特定のパケットパラメータやパケットパラメータの範囲が、どのサービスや攻撃に由来するかが含まれている。
【0060】
次に、マップ生成手段102は、取得したパケット系列からパケットパラメータを1つ抽出する(ステップA105)。なお、ここで抽出するパケットパラメータは、例えば、アクセス制御装置11に到達したパケットのパケットパラメータである。次に、マップ生成手段102は、取得したマップから、抽出したパケットパラメータに対応するアクセス優先度を抽出する(ステップA106)。マップ生成手段102は、例えば、抽出したパケットパラメータと合致するアクセス定義を、マップから検索することによって、抽出したパケットパラメータに対応するアクセス優先度を抽出する。なお、マップに、該当するアクセス定義が含まれていない場合には、予め定めておいたデフォルト値を用いてもよい。
【0061】
次に、マップ生成手段102は、紐付け情報に基づいて、抽出したパケットパラメータが該当するサービスまたは攻撃を抽出し、さらに、重み情報に基づいて、抽出したサービスまたは攻撃の重みを抽出する(ステップA107)。マップ生成手段102は、例えば、抽出したパケットパラメータと合致するサービス定義または攻撃定義を、紐付け情報から検索することによって、抽出したパケットパラメータが該当するサービスまたは攻撃を抽出する。そして、抽出したサービスまたは攻撃の重みを重み情報から読み出すことによって、抽出パケットパラメータに対応する重みを抽出する。これは、アクセス制御装置11に到達した1パケットに対応して、そのパケットで示されるアクセスに応じた重みを取得したことになる。
【0062】
次に、マップ生成手段102は、抽出したパケットパラメータに対応するアクセス優先度(現アクセス優先度)と重みとに基づいて、新たなアクセス優先度を計算する(ステップA108)。新たなアクセス優先度の計算方法には、例えば、以下の計算式(式A108.1、A108.2、A108.3)などを用いるが、これ以外の方法を用いてもよい。
【0063】
(新たなアクセス優先度)=((現アクセス優先度p)+(重みw))÷2
・・・(式A108.1)
【0064】
(新たなアクセス優先度)=((現アクセス優先度p)×(現アクセス優先度pの計算に用いたパケットの総数n)+(重みw))÷(n+1)
・・・(式A108.2)
【0065】
(新たなアクセス優先度)=(現アクセス優先度p)+(重みw)
・・・(式A108.3)
【0066】
マップ生成手段102は、計算した新たなアクセス優先度を、当該パケットパラメータに対応するアクセス優先度の新たな値として、マップを更新し、マップ登録手段105に受け渡す(ステップA109)。
【0067】
マップ生成手段102は、パケット系列登録手段101から取得したパケット系列から、すべてのパケットパラメータの抽出が完了するまで、マップ更新処理を繰り返す(ステップA110,A105)。
【0068】
(マップ生成方法の具体例)
次に、マップ生成手段102の動作の具体例を説明する。まず、マップ生成手段102は、ステップA101〜A104において、現在のマップと、パケット系列と、重み情報と、紐付け情報とを取得(入力)する。ここでは、図4に示すマップmapと、図5に示すパケット系列σと、図6に示す紐付け情報assocと、図7に示す重み情報weightとが得られたものとする。
【0069】
図4は、マップ登録手段105によって格納されるマップのデータ構造の例を示す説明図である。図4に示すように、マップ登録手段105は、例えば、ルールの条件部分として用いるパケットパラメータの各要素と、そのパケットパラメータの各要素の組み合わせによって特定されるアクセスのアクセス優先度とを含む情報をマップとして記憶する。なお、図4では、例えば、(アクセス元IPアドレス,アクセス元ポート番号,アクセス先IPアドレス,アクセス先ポート番号,プロトコル)=(10.20.20.20,59999,10.30.30.30,135,tcp)であるパケットパラメータ(アクセス定義105−2)に対応するアクセス優先度が10であることが示されている。また、例えば、(アクセス元IPアドレス,アクセス元ポート番号,アクセス先IPアドレス,アクセス先ポート番号,プロトコル)=(10.20.20.20,60000,10.30.30.30,80,tcp)であるパケットパラメータ(アクセス定義105−1)に対応するアクセス優先度が20であることが示されている。なお、マップ上で定義されるアクセス定義は、パケットパラメータの1つの要素を特定することによって定義される場合もあるし、パケットパラメータのうちのある要素の範囲を特定することによって定義される場合もある。特定不要な要素については、全範囲が該当する旨を示しておけばよい。
【0070】
また、図5は、パケット系列登録手段101によって格納されるパケット系列のデータ構造の例を示す説明図である。図5に示すように、パケット系列登録手段101は、例えば、アクセス制御装置11に到達したパケットのパケットパラメータを古い順に含む情報をパケット系列として記憶する。なお、図5に示す例では、パケット1,2,・・・,Nの順でアクセス制御装置11に到達した場合に、パケット1のパケットパラメータp1,パケット2のパケットパラメータp2,・・・,パケットNのパケットパラメータpNの順に格納されることがわかる。
【0071】
また、図6は、紐付け情報登録手段104によって格納される紐付け情報のデータ構造の例を示す説明図である。図6に示すように、紐付け情報登録手段104は、例えば、サービスまたは攻撃に該当するアクセスを特定するためのアクセス定義(すなわち、サービス定義または攻撃定義)と、サービスまたは攻撃を識別するための識別子とを含む情報を紐付け情報として記憶する。なお、図6に示すように、アクセス定義は、パケットパラメータの各要素の組み合わせを示すため、例えば、パケットパラメータの各要素の値や、そのリスト、または、条件式として格納される。図6では、例えば、アクセス先ポート番号が135であるパケットパラメータ(攻撃定義104−2)は、識別子rpcで示される攻撃に該当することが示されている。また、例えば、アクセス先IPアドレスが10.40.40.40であり、かつ、アクセス先ポート番号が25であるパケットパラメータ(サービス定義104−1)は、識別子smtp01で示されるサービスに該当することが示されている。
【0072】
また、図7は、重み情報登録手段103によって格納される重み情報のデータ構造の例を示す説明図である。図7に示すように、重み情報登録手段103は、例えば、サービスまたは攻撃を識別するための情報と、そのサービスまたは攻撃の重みとを含む情報を重み情報として記憶する。なお、図7では、例えば、識別子rpcで示される攻撃の重みが−50であることが示されている。なお、重みが−方向であることから、攻撃であることがわかる。また、例えば、識別子httpで示されるサービスの重みが100であり、識別子smtp01で示されるサービスの重みが120であることから、識別子smtp01で示されるサービスの方が識別子httpで示されるサービスよりも重要度が高いことがわかる。
【0073】
マップ生成手段102は、ステップA105において、パケット系列σから最も古いパケットパラメータp1を抽出する。このとき、パケットパラメータp1は、(アクセス元IPアドレス,アクセス元ポート番号,アクセス先IPアドレス,アクセス先ポート番号,プロトコル)=(10.20.20.20,60000,10.30.30.30,80,tcp)であったとする。
【0074】
次に、マップ生成手段102は、ステップA106において、マップmapから、パケットパラメータp1に合致するアクセス定義を検索し、パケットパラメータp1に対応するアクセス優先度を抽出する。ここでは、図4に示すように、アクセス定義105−1と合致するので、対応するアクセス優先度prio=20を抽出する。なお、これは、パケットパラメータp1で示されるアクセスの現在のアクセス優先度(アクセスを優先して許可する度合い)が20であることを示している。
【0075】
また、マップ生成手段102は、ステップA107において、紐付け情報assocから、パケットパラメータp1と合致するサービス定義または攻撃定義を検索し、パケットパラメータp1が該当するサービスまたは攻撃を抽出する。ここでは、図6に示すように、サービス定義104−1(パラメータの条件:アクセス先ポート番号=80)と合致するので、識別子httpで示されるサービスまたは攻撃が該当することがわかる。そして、抽出したサービスまたは攻撃の重みを、重み情報weightを走査して、抽出する。ここでは、図7に示すように、識別子httpに対応する重みw=100を抽出する。なお、本実施の形態において、特に、サービスか攻撃かを区別する必要はないが、重み情報に、サービスの重要度と攻撃の深刻度とを、アクセス優先度に対し同じ尺度の重みとして含める点、および、1つのパケットパラメータが、サービスにも攻撃にも該当するような場合には、サービスの重みよりも発生中の攻撃の重みを優先して抽出する点で注意が必要である。なお、例えば、攻撃用の重み情報とサービス用の重み情報とを別々に保持し、また、識別子によってサービスか攻撃かを区別可能にした上で、抽出した識別子に応じて読み出す重み情報を切り替えてもよい。
【0076】
そして、マップ生成手段102は、ステップA108において、抽出したパケットパラメータp1に対応するアクセス優先度prio=20と、重みw=100とに基づいて、所定の重み付け計算処理を行うことによって、パケットパラメータp1に対応するアクセス優先度を更新して、更新後のアクセス優先度を反映させたマップを生成する。マップ生成手段102は、例えば、(式A108.1)で示した計算式に代入し、(20+100)/2=60を算出し、パケットパラメータp1に対応するアクセス定義(マップmap中のアクセス定義105−1)のアクセス優先度を60に更新する(図8参照)。なお、これは、パケットパラメータp1が到達したことによって、パケットパラメータp1が該当するサービスの重要度に応じた重みが重み付け加算された結果、パケットパラメータp1と合致するアクセス定義で示されるアクセスを優先して許可する度合いが大きくなったことを示している。
【0077】
また、攻撃に該当するパケットパラメータの具体例を説明する。例えば、マップ生成手段102は、次のパケットパラメータとして、ステップA105において、パケットパラメータp2を抽出する。このとき、パケットパラメータp2は、(アクセス元IPアドレス,アクセス元ポート番号,アクセス先IPアドレス,アクセス先ポート番号,プロトコル)=(10.20.20.20,59999,10.30.30.30,135,tcp)であったとする。
【0078】
次に、マップ生成手段102は、パケットパラメータp1と同様に、ステップA107において、パケットパラメータp2に合致するアクセス定義を検索し、パケットパラメータp2に対応するアクセス優先度を抽出する。ここでは、図4に示すように、アクセス定義105−2と合致するので、対応するアクセス優先度prio=10を抽出する。なお、これは、パケットパラメータp2で示されるアクセスの現在のアクセス優先度(アクセスを優先して許可する度合い)が10であることを示している。
【0079】
また、マップ生成手段102は、ステップA107において、紐付け情報assocから、パケットパラメータp2と合致するサービス定義または攻撃定義を検索し、パケットパラメータp2が該当するサービスまたは攻撃を抽出する。ここでは、図6に示すように、攻撃定義104−2(パラメータの条件:アクセス先ポート番号=135)と合致するので、識別子rpcで示されるサービスまたは攻撃が該当することがわかる。そして、抽出したサービスまたは攻撃の重みを、重み情報weightを走査して、抽出する。ここでは、図7に示すように、識別子rpcに対応する重みw=−50を抽出する。
【0080】
そして、マップ生成手段102は、ステップA108において、抽出したパケットパラメータp2に対応するアクセス優先度prio=10と、重みw=−50とに基づいて、所定の重み付け計算処理を行うことによって、パケットパラメータp2に対応するアクセス優先度を更新して、更新後のアクセス優先度を反映させたマップを生成する。マップ生成手段102は、例えば、(式A108.1)で示した計算式に代入し、(10−50)/2=−20を算出し、パケットパラメータp2に対応するアクセス定義(マップmap中のアクセス定義105−2)のアクセス優先度を−20に更新する(図8参照)。なお、これは、パケットパラメータp2が到達したことによって、パケットパラメータp2が該当する攻撃の深刻度に応じた重みが重み付け加算された結果、パケットパラメータp2と合致するアクセス定義で示されるアクセスを優先して許可する度合いが小さくなったことを示している。
【0081】
(節1−4)ルール生成方法
次に、ルール生成手段106が行うルール生成処理(ステップA2)について説明する。図9は、ルール生成処理における動作例をフローチャートで示している。図9に示すように、ルール生成手段106は、まず、マップ登録手段105からマップを取得(入力)する(ステップA201)。また、ルール生成手段106は、閾値登録手段107からアクセスを許可するアクセス優先度の閾値を取得(入力)する(ステップA202)。
【0082】
次に、ルール生成手段106は、マップに含まれるパケットパラメータ(アクセス定義)とアクセス優先度との組み合わせを1つ抽出する(ステップA203)。そして、ルール生成手段106は、抽出したアクセス優先度と取得した閾値とを比較する(ステップA204)。
【0083】
ルール生成手段106は、アクセス優先度が閾値以上であれば、抽出したパケットパラメータに該当するパケットのアクセスを許可するルールを生成する(ステップA205のYes,ステップA206)。
【0084】
また、ルール生成手段106は、アクセス優先度が閾値未満であれば、抽出したパケットパラメータに該当するパケットのアクセスを拒否するルールを生成する(ステップA205のNo,ステップA207)。
【0085】
そして、ルール生成手段106は、生成されたルールを反映させたアクセス制御リストを生成する(ステップA208)。ルール生成手段106は、例えば、ルール生成手段106が有する一時記憶中のアクセス制御リストに追加してアクセス制御リストを更新する。なお、現在のアクセス制御リストに含まれる該当するルールの許否を更新するだけでもよいし、新しいアクセス制御ルールを新規に登録していくことで新たにアクセス制御リストを生成してもよい。また、例えば、拒否するルールのみを集めてアクセス制御リストとしてもよい。
【0086】
ルール生成手段106は、取得したマップから全てのパケットパラメータ(アクセス定義)の抽出が完了するまで、アクセス優先度の判定処理を繰り返し行う(ステップA209,A203)。なお、取得したマップから全てのパケットパラメータ(アクセス定義)の抽出が完了すると、マップ生成手段102は、生成したアクセス制御リストを、アクセス制御手段111に受け渡す(ステップA210)。
【0087】
(ルール生成方法の具体例)
次に、ルール生成手段106の動作の具体例を説明する。まず、ルール生成手段106は、ステップA201,A202において、現在のマップ(マップ生成手段102によって更新されたマップ)と、閾値とを取得する。ここでは、図8に示すマップmapと、閾値τ(本例では0とする)を抽出する。次に、ルール生成手段106は、ステップA203により、マップmapで定義される各アクセス定義を先頭から順に抽出していく。ここでは、k個目のルール生成を行うものとし、k行目にあるアクセス定義として、アクセス定義105−1で示されるパケットパラメータ(10.20.20.20,60000,10.30.30.30,80,tcp)と、対応するアクセス優先度prio=60を抽出したものとする。
【0088】
そして、ステップ生成手段106は、ステップA204,A205において、抽出したアクセス優先度prioと前記τとの大小を比較する。ここでは、アクセス定義105−1に対応するアクセス優先度prio=60,τ=0なので、アクセス優先度が閾値以上であるため、ステップA206に進む。
【0089】
そして、ルール生成手段106は、ステップA206において、抽出したパケットパラメータに該当するパケットのアクセスを許可するルールを生成する。ルール生成手段106は、例えば、アクセス定義105−1で示されるパケットパラメータ(10.20.20.20,60000,10.30.30.30,80,tcp)から、k個目のルールとして、以下のようなルールを生成する。
【0090】
(10.20.20.20:60000,10.30.30.30:80,tcp,permit)
【0091】
ここで、「10.20.20.20:60000」はアクセス元IPアドレスとポート番号との組、「10.30.30.30:80」はアクセス先IPアドレスとポート番号との組、「tcp」はプロトコル、「permit」は許可を示すフラグ情報である。従って、k番目のルールは、アクセス元「10.20.20.20:60000」からアクセス先「10.30.30.30:80」へのtcpによるネットワークアクセスを許可することを示している。
【0092】
そして、ステップ生成手段107は、ステップA208において、k−1個目までのルールを順次記録した一時記憶中のアクセス制御リストの最後尾に、前記k個目のルールを追加する。その後、ステップ生成手段107は、ステップA209において、マップmapにk+1行目があるかどうかをチェックし、あればステップA203に進み、k+1個目以降のルール生成を行う。なければステップA210に進み、前記一時記憶されたk個のルールからなるアクセス制御リストを、アクセス制御手段111に通知(送信)する。
【0093】
なお、仮に、アクセス優先度が閾値未満であれば、ルール生成手段106は、例えば、以下のようなルールを生成する。「deny」は拒否を示すフラグ情報である。
【0094】
(10.20.20.20:60000,10.30.30.30:80,tcp,deny)
【0095】
(節1−5)アクセス制御方法
ステップA3の動作例としては、アクセス制御手段111を備えるネットワーク上を通過するパケットに対するアクセス制御を行うサーバ装置が、ルール生成手段106から取得したアクセス制御リストに基づいて、アクセス制御を行う。当該サーバ装置の例としては、例えば、ファイアウォール、ルータ、ネットワークスイッチ、ゲートウェイ、VPNサーバなどが挙げられる。
【0096】
(節1−6)効果
以上のように、本実施の形態によれば、パケット系列や、重み情報と紐付け情報の変化をマップ(具体的には、アクセス優先度)に反映するので、攻撃に対する安全性とサービスの可用性のどちらを優先するのかを、ネットワークの利用状況(攻撃の発生状況やサービスの利用状況)と、攻撃の深刻度およびサービスの重要度とに基づいて、動的に変化させることができる。すなわち、深刻ではない攻撃の遮断よりも、重要なサービスの維持を優先するルールを生成したり、攻撃によって一旦遮断された後に、攻撃の収束やサービスの開始によって部分的に遮断を解除するなど、攻撃に対する安全性とサービスの可用性とでバランスをとった動的なアクセス制御を実現できる。
【0097】
例えば、図10を参照すると、あるサーバへの全アクセス履歴を示すパケット系列(長さをλで表わす)について、当該サーバへのλ1個目までのパケットが全て正常アクセスであった場合、パケット系列に含まれるパケットのパケットパラメータで示される当該サーバに対するアクセスのアクセス優先度prioは、サービスの重要度に応じた+(プラス)方向の重みによって、単調増加する。これは、当該パケットが該当するサービスの重要度と利用頻度とに応じて、当該パケットのアクセスを許可する度合いを大きくしていくことを意味する。なお、当該サーバが提供するサービスの重要度およびそのサービスに該当するアクセスを特定するためのパケットパラメータについては、例えば、ネットワーク管理者によってサービスを特定するための識別子と対応付けて、予め重み情報と紐付け情報として登録されているものとする。
【0098】
その後、λ1+1個目からλ2個目までのパケットで攻撃が継続的に加えられた場合、パケット系列に含まれるパケットのパケットパラメータで示される当該サーバに対するアクセスのアクセス優先度prioは、攻撃の深刻度に応じた−(マイナス)方向の重みによって、単調減少していく。これは、当該パケットが該当する攻撃の深刻度と発生頻度とに応じて、当該パケットのアクセスを許可する度合いを小さくしていくことを意味する。このように、アクセス優先度が単調減少していく中で、アクセス優先度prioが所定の閾値τ以上である間は、ルール生成手段106は、攻撃に対する安全性よりもサービスの可用性の方を優先させるよう、当該サーバへのアクセスを許可するルールを生成しつづける。結果、当該サーバが提供するサービスが継続され、可用性が維持される。なお、当該サーバに対する攻撃およびその攻撃に該当するアクセスを特定するためのパケットパラメータについては、例えば、進入検知システム(IDS)や、攻撃検知システム(IPS)からアラート情報として通知されることによって、攻撃発生の都度、攻撃を特定するための識別子と対応付けて、重み情報と紐付け情報として登録されるものとする。なお、攻撃検知システムには、例えば、所定の攻撃に対してその深刻度と攻撃を検知するためのパターンとが登録されているものとする。
【0099】
その後、さらに攻撃が継続され、アクセス優先度prioが所定の閾値τを下回った場合には、ルール生成手段106は、サービスの可用性よりも攻撃に対する安全性の方を優先させるよう、当該サーバへのアクセスを遮断するルールを生成する。結果、攻撃が遮断され、当該サーバの安全性が確保される。
【0100】
また、例えば、λ2個目までのパケットで攻撃が止まり、λ2+1個目から正常アクセスがなされるようになると、再びアクセス優先度prioは単調増加する。これは、当該パケットが該当するサービスの重要度と利用頻度とに応じて、当該パケットのアクセスを許可する度合いを大きくしていくことを意味する。このように、アクセス優先度が単調増加していく中で、アクセス優先度prioが所定の閾値τを上回れば、ルール生成手段106は、再度、攻撃に対する安全性よりもサービスの可用性の方を優先させるよう、当該サーバへのアクセスを許可するルールを再び生成する。結果、当該サーバが提供するサービスが自動的に再開される。
【0101】
このようにして、攻撃やサービス毎の重み情報とパケット量に応じてマップでのアクセス優先度を変化させることによって、サービスの可用性と攻撃への安全性のどちらを優先させるかを自動的に調整する動的アクセス制御が実現される。
【0102】
なお、アクセス制御システム全体の構成例として、例えば、図11に示すような、攻撃検知システムやサービス管理システムと連携するように構成されていてもよい。図11は、攻撃検知システムとサービス管理システムと連携したアクセス制御システム全体の構成例を示すブロック図である。図11では、例えば、クライアント装置が設置される外部ネットワークと各種サービスを提供する各種サーバ装置が設置される内部ネットワークとの境界に、アクセス制御リスト(図中ではACLと表記)を保持するアクセス制御装置とマップを保持するルール生成装置とが設置される。なお、ルール生成装置とアクセス制御装置とは、例えばLANネットワークを介して、通信可能に接続されているものとする。また、攻撃に関する重み情報を保持する攻撃検知システムと、サービスに関する重み情報と紐付け情報とを保持するサービス管理システムとが、ルール生成装置と通信可能に接続される。
【0103】
例えば、攻撃検知システムは、外部ネットワークからアクセス制御装置に到達するパケット系列を盗み見て、予め設定されている攻撃パターンと照合することによって、そのパケット系列が攻撃に該当するか否かを判断することによって攻撃を検知する。攻撃が検知された場合には、その攻撃を特定するパケットパラメータと攻撃識別子とを対応付けた紐付け情報を、アラートとしてルール生成装置に送信する。また、サービス管理システムは、内部ネットワークに設置された各種サーバまたはそのサーバが提供するサービスを管理する情報処理装置であって、例えば、稼働中のサービスについて、そのサービスを特定するパケットパラメータとサービス識別子とを対応付けた紐付け情報と、そのサービスの重要度に応じた重みを示す重み情報とを記憶し、管理する。
【0104】
このような構成では、ルール生成装置は、アクセス制御装置が観測したパケット系列のパケットパラメータを抽出し、そのパケットの系列に沿ってマップ生成、ルール生成処理を行う。その際、ルール生成装置は、まず、抽出したパケットパラメータが攻撃に該当するかを攻撃検知システムからアラートとして通知された紐付け情報を走査することによって判定し、攻撃に該当すれば、攻撃検知システムが保持している重み情報から、その攻撃の重みを取得すればよい。攻撃に該当しない場合には、サービス管理システムが保持している紐付け情報を走査し、該当すれば、さらに重み情報から、そのサービスの重みを取得する。そして、ルール生成装置が保持しているマップに登録されている現在のアクセス優先度に、取得した重みを用いて重み付けすることによって、マップを更新する。このようにして更新されたマップ(アクセス優先度)に基づいて、ルールを生成する。そして、生成したルールをリスト化し、アクセス制御リストとして、アクセス制御装置に送信すればよい。
【0105】
また、別の構成例を、図12に示す。図12では、アクセス制御装置が2段構成される例を示している。例えば、ファイアウォール(FW)によって実現される第1のアクセス制御装置の後ろに、さらに、攻撃検知システム(IPS)によって実現される第2のアクセス制御装置を備える。なお、本実施の形態で示したアクセス制御リストに応じたアクセス制御を第1のアクセス制御装置が行うことによって、ブラックリスト化したアクセスを遮断し、第2のアクセス制御装置は予め定められた攻撃パターンと照合することによって、突発的な攻撃を遮断する。なお、第2のアクセス制御が検知した攻撃については、その攻撃を特定するパケットパラメータと攻撃識別子とを対応付けた紐付け情報をアラートとしてルール生成装置に送信すればよい。攻撃に関する情報をルール生成装置に送信することによって、ルール生成装置が、その攻撃の重みに応じてマップを更新し、第1のアクセス制御装置が保持するアクセス制御リストに反映されることになる。
【0106】
なお、本実施の形態では、アクセス制御装置に到達したパケット系列を対象として説明したが、パケット系列を観測する主体は、外部ネットワークからのパケットを観測することができれば、ネットワーク上に設定された他の機器(ルータや、ハブ、トラフィックアナライザ、IDS、IPS等)であってもよい。
【0107】
第2実施形態
(節2−1)構成
次に、本発明の第2実施形態について説明する。図13は、本発明の第2実施形態のアクセス制御システムの構成例をブロック図で示している。図13に示すように、本実施の形態によるアクセス制御システムは、パケット系列登録手段101と、マップ生成手段102と、重み情報登録手段103と、紐付け情報登録手段104と、マップ登録手段105と、ルール生成手段106と、閾値登録手段107と、アクセス制御手段111とを有するアクセス制御装置20を備える。すなわち、本実施の形態によるアクセス制御システムは、図1に示すアクセス制御システムにおけるルール生成装置を、アクセス制御装置20が内包する。なお、アクセス制御装置20は、具体的には、ファイアウォール、ルータ、ネットワークスイッチ、ゲートウェイ、VPNサーバ等の、ネットワーク上を通過するパケットに対するアクセス制御を行う通信制御装置や情報処理装置によって実現される。
【0108】
(節2−2)動作の概要
本実施の形態によるアクセス制御システムの動作は、本発明の第1実施形態と同様である。
【0109】
(節2−3)効果
以上のように、本実施の形態によれば、1つのハードウェアでルール生成およびアクセス制御をさせることで、本アクセス制御システムを、より容易に実現できる。
【0110】
第3実施形態
(節3−1)構成
次に、本発明の第3実施形態について説明する。図14は、本発明の第3実施形態であるネットワーク監視システムの構成例をブロック図で示している。図14に示すように、ネットワーク監視システムは、パケット系列登録手段101と、マップ生成手段102と、重み情報登録手段103と、紐付け情報登録手段104と、マップ登録手段105と、マップ表示手段301とを有するネットワーク監視装置30を備える。ネットワーク監視装置30は、具体的には、トラフィックアナライザ、ルータやネットワークスイッチの監視コンソール等、ネットワークを通過するパケットの利用状況を観測する情報処理装置によって実現される。
【0111】
マップ表示手段301は、マップ生成手段102が生成したマップを、視覚的に表示する。マップ表示手段301は、例えば、プログラムに従って動作するCPU、記憶装置、およびディスプレイ等の出力装置によって実現される。なお、他の点に関しては、第1実施形態と同様である。
【0112】
(節3−2)動作の概要
図15は、本実施の形態によるネットワーク監視システムの動作例をフローチャートで示している。図15に示すように、まず、ネットワーク監視システムは、ネットワーク監視装置30において、第1実施形態と同様に、現状のマップとパケット系列と重み情報と紐付け情報とに基づいて、現状のマップを更新して新しいマップを生成する(ステップA1)。次に、ネットワーク監視システムは、ネットワーク監視装置30において、生成されたマップを、視覚化して表示する(ステップC1)。ネットワーク監視装置30のマップ表示手段301は、例えば、アクセスを特定するための各要素のいずれかをX,Y軸に取る矩形領域を、軸に取った要素の組み合わせで示されるアクセスのアクセス優先度に応じて描画した表示画面の画面情報を生成して表示することによって、マップを視覚化する。
【0113】
(節3−3)マップ表示方法
次に、マップ表示手段301が行うマップ表示(ステップC1)について説明する。図16は、マップ表示手段301が行うマップの視覚化表示の例を示す説明図である。図16に示すように、マップ表示手段301は、例えば、所定の表示画面上に、X軸にアクセス元IPアドレスを、Y軸にアクセス先IPアドレスを取る矩形領域を描画した画面を表示する。具体的には、矩形領域を描画した画面情報を生成し、ディスプレイ装置等に出力する。このとき、各座標(x、y)についてマップを参照し、対応するアクセス優先度がpであれば、明度p+C(Cは所定の基準明度を示す定数)でピクセルをプロットすることによって、矩形領域をアクセス優先度に応じた明度で描画した画面を表示する。本例では、優先度の高いアクセスほど、明るい画素で表示されることとなる。なお、軸にとる要素は、アクセス元IPアドレス、アクセス先IPアドレスに限らず、ユーザに選択させてもよい。また、Z軸を加えて3次元領域を描画した画面を表示するなどしてもよい。
【0114】
(節3−4)効果
以上のようにして、3要素までの組み合わせで示されるアクセス毎のアクセス優先度を、明度に変換して視覚化表示することができるので、ネットワーク上のパケットの利用状況をアクセス優先度として、サービスの利用や攻撃の発生・収束などを一覧することができる。
【0115】
第4実施形態
(節4−1)構成
次に、本発明の第4実施形態について説明する。図17は、本発明の第4実施形態である適正度検査システムの構成例をブロック図で示している。図17に示すように、適正度検査システムは、パケット系列登録手段101と、マップ生成手段102と、重み情報登録手段103と、紐付け情報登録手段104と、マップ登録手段105と、適正度計算手段401と、ルール登録手段402と、適正度表示手段403とを有する適正度検査装置40を備える。適正度検査装置40は、具体的には、ファイアウォール、ルータ、ネットワークスイッチ、ゲートウェイ、VPNサーバ等、ネットワーク上を通過するパケットに対するアクセス制御の設定を保持、管理する通信制御装置や情報処理装置によって実現される。
【0116】
また、適正度計算手段401、適正度表示手段403は、具体的には、プログラムに従って動作する情報処理装置のCPU、記憶装置によって実現される。また、ルール登録手段402は、具体的には、プログラムに従って動作する情報処理装置のCPU、及びメモリやハードディスク装置等の記憶装置によって実現される。なお、ここに挙げた各手段を実現するためのCPUは、共通のCPUであってよい。
【0117】
適正度計算手段401は、現在のマップと、複数のルール(アクセス制御リスト)とに基づいて、適正度を生成し、適正度表示手段403に受け渡す。ここで、適正度とは、アクセス制御ルールがアクセス制御を行うために適正なルールであることの度合いを示す情報をいう。なお、本発明において、適正なルールとは、深刻ではない攻撃の遮断よりも、重要なサービスの維持を優先するルールを生成したり、攻撃によって一旦遮断された後に、攻撃の収束やサービスの開始によって部分的に遮断を解除するなど、ネットワークの利用状況に追随したルールであることをいう。
【0118】
ルール登録手段402は、記憶装置内に、適正度の判定対象とするアクセス制御ルール(以下、対象ルールという。)を格納する。適正度表示手段403は、与えられた適正度を対象ルールと対応付けて、一覧表示する。なお、他の点に関しては、第1実施形態と同様である。
【0119】
(節4−2)動作の概要
図18は、本実施の形態による適正度検査システムの動作例をフローチャートで示している。図18に示すように、まず、適正度検査システムは、適正度検査装置40において、第1実施形態と同様に、現状のマップとパケット系列と重み情報と紐付け情報とに基づいて、現状のマップを更新して新しいマップを生成する(ステップA1)。
【0120】
次に、適正度検査システムは、適正度検査装置40において、生成されたマップと、対象ルールの集合であるアクセス制御リストとに基づいて、各対象ルールの適正度を計算する(ステップD1)。適正度検査装置40の適正度計算手段401は、マップに基づいて判定される各アクセスのアクセス許否の度合い(アクセス優先度)と、各対象ルールで示されるアクセス許否とを比較計算することによって、適正度を計算する。そして、適正度検査システムは、計算された適正度を、視覚化して表示する(ステップD2)。適正度検査装置40の適正度表示手段403は、例えば、各対象ルールとその適正度とを対応づけた表示画面の画面情報を生成し、一覧表示する。
【0121】
(節4−3)適正度計算方法
次に、適正度計算手段401が行う適正度計算処理(ステップD1)について説明する。図19は、適正度計算手段401が行う適正度計算処理における動作例をフローチャートで示している。図19に示すように、まず、適正度計算手段401は、マップ登録手段105から、マップを取得(入力)する(ステップD101)。また、適正度計算手段401は、ルール登録手段402から、1つ以上のルール(アクセス制御リスト)を取得(入力)する(ステップD102)。
【0122】
次に、適正度計算手段401は、取得したアクセス制御リストから、ルールを1つ抽出する(ステップD103)。そして、適正度計算手段401は、抽出したルールに示されるアクセス定義(1つのパケットパラメータや特定の範囲のパケットパラメータ)にマッチ(ルールに示される条件に合致)する1つ以上のアクセス定義をマップから検索し、そのアクセス優先度を抽出する(ステップD104)。
【0123】
次に、適正度計算手段401は、抽出した1つ以上のアクセス優先度の平均値を計算する(ステップD105)。適正度計算手段401は、対象ルールが許可ルールであれば、計算したアクセス優先度の平均値を、そのまま当該ルールの適正度とする(ステップD106のYes,ステップD107)。これは、アクセス優先度の平均値が正の値として大きければ大きいほど、許可すべき多くのパケットが当該ルールにマッチすることを示しており、当該ルールは許可ルールとすることが適正であるためである。
【0124】
一方、適正度計算手段401は、対象ルールが拒否ルールであれば、計算したアクセス優先度の平均値の正負の符号を反転した値を、当該ルールの適正度とする(ステップD106のNo,ステップD108)。これは、アクセス優先度の平均値が負の値として大きければ大きいほど、拒否すべき多くのパケットが当該ルールにマッチすることを示しており、当該ルールは拒否ルールとすることが適正であるためである。
【0125】
そして、適正度計算手段401は、抽出した対象ルールと計算した適正度との組を、適正度計算手段401の持つ一時記憶中に追加する(ステップD109)。適正度計算手段401は、取得したアクセス制御リストから、すべてのルールの抽出が完了するまで、適正度の計算処理を繰り返す(ステップD110,D103)。最後に、適正度計算手段401は、一時記憶中の対象ルールと適正度との組を、適正度表示手段403に受け渡す(ステップD111)。
【0126】
(節4−5)適正度表示方法
次に、適正度表示手段403が行う適正度表示処理(ステップD2)について説明する。図20は、適正度表示手段403が行う適正度表示の例を示す説明図である。図20に示すように、適正度表示手段403は、例えば、所定の表示画面上に、適正度と適正度計算の対象としたルールとを組み合わせて表示する。なお、適正度が所定の値を下回る場合に、注意や警告といった、変更や再検討を促す表示を行ってもよい。
【0127】
(節4−6)効果
以上のように、本実施の形態によれば、ルールが処理している攻撃やサービスの重み情報とパケット量に応じて、設定済み及び設定前のルールの適正度検査を行うことができる。この場合、ルールの効果の有無や大小を一覧することができ、変更が望ましいルールの発見や、ルールの変更案の作成を支援できる。
【産業上の利用可能性】
【0128】
本発明は、深刻な攻撃の防御と重要なサービスの維持をバランスさせるアクセス制御システムといった用途に適用できる。また、様々なサービスや攻撃の混在するネットワークの状況の変化を観測・表示し、ネットワーク管理者の作業を支援するネットワーク管理システムといった用途に適用できる。また、アクセス制御機器に設定されているルールのチェック・修正を支援するルール設定管理システムといった用途に利用できる。
【図面の簡単な説明】
【0129】
【図1】本発明の第1実施形態のアクセス制御システムの構成例を示すブロック図。
【図2】本発明の第1実施形態のアクセス制御システムの動作例を示すフローチャート。
【図3】マップ生成手段102によるマップ生成処理の手順を示すフローチャート。
【図4】マップ生成手段102によるマップ生成処理において利用するマップの例を示す説明図。
【図5】マップ生成手段102によるマップ生成処理において利用するパケット系列の例を示す説明図。
【図6】マップ生成手段102によるマップ生成処理において利用する紐付け情報の例を示す説明図。
【図7】マップ生成手段102によるマップ生成処理において利用する重み情報の例を示す説明図。
【図8】マップ生成手段102によるマップ生成処理において更新されたマップの例を示す説明図。
【図9】ルール生成手段106によるルール生成処理の手順を示すフローチャート。
【図10】本発明の第1実施形態の効果を示すアクセス制御の例を示す説明図。
【図11】本発明の第1実施形態によるアクセス制御システム全体の構成例を示すブロック図。
【図12】本発明の第1実施形態によるアクセス制御システム全体の構成例を示すブロック図。
【図13】本発明の第2実施形態のアクセス制御システムの構成例を示すブロック図。
【図14】本発明の第3実施形態のアクセス制御システムの構成例を示すブロック図。
【図15】本発明の第3実施形態のネットワーク監視システムの動作例を示すフローチャート。
【図16】マップの視覚化表示に用いられるユーザインタフェースを示す表示画面例を示す説明図。
【図17】本発明の第4実施形態の適正度検査システムの構成例を示すブロック図。
【図18】本発明の第4実施形態の適正度検査システムの動作例を示すフローチャート。
【図19】適正度計算手段401による適正度計算処理の手順を示すフローチャート。
【図20】適正度の視覚化表示に用いられるユーザインタフェースを示す表示画面例。
【符号の説明】
【0130】
10 ルール生成装置
11,20 アクセス制御装置
30 ネットワーク監視装置
40 適正度検査装置
101 パケット系列登録手段
102 マップ生成手段
103 重み情報登録手段
104 紐付け情報登録手段
105 マップ登録手段
106 ルール生成手段
107 閾値登録手段
111 アクセス制御手段
301 マップ表示手段
401 適正度計算手段
402 ルール登録手段
403 適正度表示手段
【特許請求の範囲】
【請求項1】
ネットワークを介したアクセスの許否を制御するアクセス制御システムであって、
制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段を備えた
ことを特徴とするアクセス制御システム。
【請求項2】
マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成するルール生成手段と、
前記ルール生成手段が生成したアクセス制御ルールに従って、前記所定のアクセスを許可するか否かを判定するアクセス制御手段とを備えた
請求項1に記載のアクセス制御システム。
【請求項3】
マップ生成手段は、外部ネットワークから受信したパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻度に基づいて、制御対象となるアクセスを特定するためのパケットパラメータの各要素の組み合わせ毎のアクセス優先度を示すマップ情報に含まれる、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新する
請求項1または請求項2に記載のアクセス制御システム。
【請求項4】
サービスの重要度または攻撃の深刻度に応じてアクセス優先度を重みづけるための重みを示す重み情報を記憶する重み情報記憶手段と、
サービスまたは攻撃を特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、当該パラメータ条件によって特定されるサービスまたは攻撃とを対応づけた情報である対応情報を記憶する対応情報記憶手段と、
マップ情報を記憶するマップ情報記憶手段とを備え、
マップ情報記憶手段は、マップ情報として、制御対象となるアクセスを特定するためのパラメータ条件と、当該パラメータ条件によって特定されるアクセスのアクセス優先度とを対応づけた情報を記憶し、
マップ生成手段は、
外部ネットワークから受信したパケットのパケットパラメータと合致するパラメータ条件を、前記マップ情報から検索することによって、前記受信したパケットのパケットパラメータに対応するアクセスの現在のアクセス優先度を抽出するアクセス優先度抽出手段と、
前記受信したパケットのパケットパラメータと合致するパラメータ条件を、前記対応除法から検索することによって、前記受信したパケットのパケットパラメータが該当するサービスまたは攻撃に対応する重みを前記重み情報から抽出する重み抽出手段とを含み、
前記アクセス優先度抽出手段によって抽出された現在のアクセス優先度に、前記重み抽出手段によって抽出された重みを重みづけることによって、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新する
請求項1から請求項3のうちのいずれか1項に記載のアクセス制御システム。
【請求項5】
ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールを生成するアクセス制御ルール生成装置であって、
制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段と、
前記マップ情報に含まれる所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とに基づいて、前記所定のアクセスの許否を示すアクセス制御ルールを生成するルール生成手段とを備えた
ことを特徴とするアクセス制御ルール生成装置。
【請求項6】
ネットワークを介したアクセスを監視するネットワーク監視システムであって、
監視対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段と、
前記マップ情報で示される所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とを視覚的に表示するマップ情報表示手段とを備えた
ことを特徴とするネットワーク監視システム。
【請求項7】
マップ生成手段は、外部ネットワークから受信したパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、制御対象となるアクセスを特定するためのパケットパラメータの各要素の組み合わせ毎のアクセス優先度を示すマップ情報に含まれる、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新することによって、前記マップ情報を更新し、
マップ情報表示手段は、前記マップ生成手段がマップ情報を更新するたびに、表示内容を更新する
請求項6に記載のネットワーク監視システム。
【請求項8】
ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールがアクセス制御を行うために適正かどうかを検査するアクセス制御ルール適正検査システムであって、
アクセス制御の対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段と、
前記マップ情報に含まれる、検査対象のアクセス制御ルールで示されるアクセスのアクセス優先度と、前記検査対象のアクセスルールで示される当該アクセスの許否を示す情報とに基づいて、前記検査対象のアクセス制御ルールがアクセス制御を行うために適正なルールであることの度合いを示す適正度を算出する適正度算出手段とを備えた
ことを特徴とするアクセス制御ルール適正検査システム。
【請求項9】
ネットワークを介したアクセスの許否を制御するアクセス制御方法であって、
制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するステップを含む
ことを特徴とするアクセス制御方法。
【請求項10】
マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成するステップと、
前記アクセス制御ルールに従って、前記所定のアクセスを許可するか否かを判定するステップとを含む
請求項9に記載のアクセス制御方法。
【請求項11】
ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールを生成するアクセス制御ルール生成方法であって、
制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するステップと、
前記マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成するステップとを含む
ことを特徴とするアクセス制御ルール生成方法。
【請求項12】
ネットワークを介したアクセスを監視するネットワーク監視方法であって、
監視対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成ステップと、
前記マップ情報で示される所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とを視覚的に表示するマップ情報表示ステップとを含み、
マップ生成ステップで、外部ネットワークから受信したパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、制御対象となるアクセスを特定するためのパケットパラメータの各要素の組み合わせ毎のアクセス優先度を示すマップ情報に含まれる、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新することによって、前記マップ情報を更新し、
マップ情報表示表示ステップで、前記マップ情報が更新されるたびに、表示内容を更新する
ことを特徴とするネットワーク監視方法。
【請求項13】
ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールがアクセス制御を行うために適正かどうかを検査するアクセス制御ルール適正検査方法であって、
アクセス制御の対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成ステップと、
前記マップ情報に含まれる、検査対象のアクセス制御ルールで示されるアクセスのアクセス優先度と、前記検査対象のアクセスルールで示される当該アクセスの許否を示す情報とに基づいて、前記検査対象のアクセス制御ルールがアクセス制御を行うために適正なルールであることの度合いを示す適正度を算出する適正度算出ステップとを含む
ことを特徴とするアクセス制御ルール適正検査方法。
【請求項14】
ネットワークを介したアクセスの許否を制御するためのアクセス制御プログラムであって、
コンピュータに、
制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理
を実行させるためのアクセス制御プログラム。
【請求項15】
コンピュータに、
マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成する処理、および
前記アクセス制御ルールに従って、前記所定のアクセスを許可するか否かを判定する処理
を実行させるための請求項14に記載のアクセス制御プログラム。
【請求項16】
ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールを生成するためのアクセス制御ルール生成プログラムであって、
コンピュータに、
制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理、および
前記マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成する処理
を実行させるためのアクセス制御ルール生成プログラム。
【請求項17】
ネットワークを介したアクセスを監視するためのネットワーク監視プログラムであって、
コンピュータに、
監視対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理、および
前記マップ情報で示される所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とを視覚的に表示する処理
を実行させるためのネットワーク監視プログラム。
【請求項18】
ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールがアクセス制御を行うために適正かどうかを検査するためのアクセス制御ルール適正検査プログラムであって、
コンピュータに、
アクセス制御の対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理、および
前記マップ情報に含まれる、検査対象のアクセス制御ルールで示されるアクセスのアクセス優先度と、前記検査対象のアクセスルールで示される当該アクセスの許否を示す情報とに基づいて、前記検査対象のアクセス制御ルールがアクセス制御を行うために適正なルールであることの度合いを示す適正度を算出する処理
を実行させるためのアクセス制御ルール適正検査プログラム。
【請求項19】
ネットワークを介したアクセスの許否を判定するために用いられるマップ情報のデータ構造であって、
アクセス制御の対象となる各アクセスを特定するためのパケットパラメータの要素であるアクセス元IPアドレスを示すデータと、アクセス元ポート番号を示すデータと、アクセス先IPアドレスを示すデータと、アクセス先ポート番号を示すデータと、プロトコルを示すデータのうちのいずれかを含む領域と、
前記組み合わされたデータによって特定されるアクセスについて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度データを含む領域とを有する
ことを特徴とするデータ構造。
【請求項1】
ネットワークを介したアクセスの許否を制御するアクセス制御システムであって、
制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段を備えた
ことを特徴とするアクセス制御システム。
【請求項2】
マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成するルール生成手段と、
前記ルール生成手段が生成したアクセス制御ルールに従って、前記所定のアクセスを許可するか否かを判定するアクセス制御手段とを備えた
請求項1に記載のアクセス制御システム。
【請求項3】
マップ生成手段は、外部ネットワークから受信したパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻度に基づいて、制御対象となるアクセスを特定するためのパケットパラメータの各要素の組み合わせ毎のアクセス優先度を示すマップ情報に含まれる、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新する
請求項1または請求項2に記載のアクセス制御システム。
【請求項4】
サービスの重要度または攻撃の深刻度に応じてアクセス優先度を重みづけるための重みを示す重み情報を記憶する重み情報記憶手段と、
サービスまたは攻撃を特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、当該パラメータ条件によって特定されるサービスまたは攻撃とを対応づけた情報である対応情報を記憶する対応情報記憶手段と、
マップ情報を記憶するマップ情報記憶手段とを備え、
マップ情報記憶手段は、マップ情報として、制御対象となるアクセスを特定するためのパラメータ条件と、当該パラメータ条件によって特定されるアクセスのアクセス優先度とを対応づけた情報を記憶し、
マップ生成手段は、
外部ネットワークから受信したパケットのパケットパラメータと合致するパラメータ条件を、前記マップ情報から検索することによって、前記受信したパケットのパケットパラメータに対応するアクセスの現在のアクセス優先度を抽出するアクセス優先度抽出手段と、
前記受信したパケットのパケットパラメータと合致するパラメータ条件を、前記対応除法から検索することによって、前記受信したパケットのパケットパラメータが該当するサービスまたは攻撃に対応する重みを前記重み情報から抽出する重み抽出手段とを含み、
前記アクセス優先度抽出手段によって抽出された現在のアクセス優先度に、前記重み抽出手段によって抽出された重みを重みづけることによって、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新する
請求項1から請求項3のうちのいずれか1項に記載のアクセス制御システム。
【請求項5】
ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールを生成するアクセス制御ルール生成装置であって、
制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段と、
前記マップ情報に含まれる所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とに基づいて、前記所定のアクセスの許否を示すアクセス制御ルールを生成するルール生成手段とを備えた
ことを特徴とするアクセス制御ルール生成装置。
【請求項6】
ネットワークを介したアクセスを監視するネットワーク監視システムであって、
監視対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段と、
前記マップ情報で示される所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とを視覚的に表示するマップ情報表示手段とを備えた
ことを特徴とするネットワーク監視システム。
【請求項7】
マップ生成手段は、外部ネットワークから受信したパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、制御対象となるアクセスを特定するためのパケットパラメータの各要素の組み合わせ毎のアクセス優先度を示すマップ情報に含まれる、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新することによって、前記マップ情報を更新し、
マップ情報表示手段は、前記マップ生成手段がマップ情報を更新するたびに、表示内容を更新する
請求項6に記載のネットワーク監視システム。
【請求項8】
ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールがアクセス制御を行うために適正かどうかを検査するアクセス制御ルール適正検査システムであって、
アクセス制御の対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成手段と、
前記マップ情報に含まれる、検査対象のアクセス制御ルールで示されるアクセスのアクセス優先度と、前記検査対象のアクセスルールで示される当該アクセスの許否を示す情報とに基づいて、前記検査対象のアクセス制御ルールがアクセス制御を行うために適正なルールであることの度合いを示す適正度を算出する適正度算出手段とを備えた
ことを特徴とするアクセス制御ルール適正検査システム。
【請求項9】
ネットワークを介したアクセスの許否を制御するアクセス制御方法であって、
制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するステップを含む
ことを特徴とするアクセス制御方法。
【請求項10】
マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成するステップと、
前記アクセス制御ルールに従って、前記所定のアクセスを許可するか否かを判定するステップとを含む
請求項9に記載のアクセス制御方法。
【請求項11】
ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールを生成するアクセス制御ルール生成方法であって、
制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するステップと、
前記マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成するステップとを含む
ことを特徴とするアクセス制御ルール生成方法。
【請求項12】
ネットワークを介したアクセスを監視するネットワーク監視方法であって、
監視対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成ステップと、
前記マップ情報で示される所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とを視覚的に表示するマップ情報表示ステップとを含み、
マップ生成ステップで、外部ネットワークから受信したパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、制御対象となるアクセスを特定するためのパケットパラメータの各要素の組み合わせ毎のアクセス優先度を示すマップ情報に含まれる、前記受信したパケットのパケットパラメータで示されるアクセスのアクセス優先度を更新することによって、前記マップ情報を更新し、
マップ情報表示表示ステップで、前記マップ情報が更新されるたびに、表示内容を更新する
ことを特徴とするネットワーク監視方法。
【請求項13】
ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールがアクセス制御を行うために適正かどうかを検査するアクセス制御ルール適正検査方法であって、
アクセス制御の対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成するマップ生成ステップと、
前記マップ情報に含まれる、検査対象のアクセス制御ルールで示されるアクセスのアクセス優先度と、前記検査対象のアクセスルールで示される当該アクセスの許否を示す情報とに基づいて、前記検査対象のアクセス制御ルールがアクセス制御を行うために適正なルールであることの度合いを示す適正度を算出する適正度算出ステップとを含む
ことを特徴とするアクセス制御ルール適正検査方法。
【請求項14】
ネットワークを介したアクセスの許否を制御するためのアクセス制御プログラムであって、
コンピュータに、
制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理
を実行させるためのアクセス制御プログラム。
【請求項15】
コンピュータに、
マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成する処理、および
前記アクセス制御ルールに従って、前記所定のアクセスを許可するか否かを判定する処理
を実行させるための請求項14に記載のアクセス制御プログラム。
【請求項16】
ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールを生成するためのアクセス制御ルール生成プログラムであって、
コンピュータに、
制御対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理、および
前記マップ情報に含まれる所定のアクセスのアクセス優先度に基づいて、前記所定のアクセスの許否を判定するためのアクセス制御ルールを生成する処理
を実行させるためのアクセス制御ルール生成プログラム。
【請求項17】
ネットワークを介したアクセスを監視するためのネットワーク監視プログラムであって、
コンピュータに、
監視対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理、および
前記マップ情報で示される所定のアクセスを特定するためのパケットパラメータの各要素の組み合わせを示すパラメータ条件と、アクセス優先度とを視覚的に表示する処理
を実行させるためのネットワーク監視プログラム。
【請求項18】
ネットワークを介したアクセスの許否を判定するためのアクセス制御ルールがアクセス制御を行うために適正かどうかを検査するためのアクセス制御ルール適正検査プログラムであって、
コンピュータに、
アクセス制御の対象となるパケットのパケットパラメータに含まれる各要素の組み合わせによって特定されるアクセスに対応するサービスの重要度または攻撃の深刻さの度合いを示す深刻度に基づいて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度を含む所定のマップ情報を生成する処理、および
前記マップ情報に含まれる、検査対象のアクセス制御ルールで示されるアクセスのアクセス優先度と、前記検査対象のアクセスルールで示される当該アクセスの許否を示す情報とに基づいて、前記検査対象のアクセス制御ルールがアクセス制御を行うために適正なルールであることの度合いを示す適正度を算出する処理
を実行させるためのアクセス制御ルール適正検査プログラム。
【請求項19】
ネットワークを介したアクセスの許否を判定するために用いられるマップ情報のデータ構造であって、
アクセス制御の対象となる各アクセスを特定するためのパケットパラメータの要素であるアクセス元IPアドレスを示すデータと、アクセス元ポート番号を示すデータと、アクセス先IPアドレスを示すデータと、アクセス先ポート番号を示すデータと、プロトコルを示すデータのうちのいずれかを含む領域と、
前記組み合わされたデータによって特定されるアクセスについて、前記アクセスを優先して許可すべき度合いを示すアクセス優先度データを含む領域とを有する
ことを特徴とするデータ構造。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図17】
【図18】
【図19】
【図20】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図17】
【図18】
【図19】
【図20】
【図16】
【公開番号】特開2008−17179(P2008−17179A)
【公開日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願番号】特願2006−186631(P2006−186631)
【出願日】平成18年7月6日(2006.7.6)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願日】平成18年7月6日(2006.7.6)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]