エンドポイントリソースを使用したネットワークセキュリティ要素
【課題】エンドポイントリソースを使用した効果的なネットワークセキュリティ要素を提供すること。
【解決手段】本発明の一特徴は、エンドポイントサーバにおいてネットワークへのアクセスに対するリクエストを受信するステップと、前記リクエストが未許可のリクエストを含むことを検出するステップと、前記リクエストをネットワークセキュリティ要素に誘導するステップとを有する方法に関する。
【解決手段】本発明の一特徴は、エンドポイントサーバにおいてネットワークへのアクセスに対するリクエストを受信するステップと、前記リクエストが未許可のリクエストを含むことを検出するステップと、前記リクエストをネットワークセキュリティ要素に誘導するステップとを有する方法に関する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施例は、コンピュータセキュリティに関する。より詳細には、本発明の実施例は、エンドポイントリソースを使用したネットワークセキュリティ要素に関する。
【背景技術】
【0002】
コンピュータオペレーションについて、外部者による攻撃に対抗するため、多数のネットワークセキュリティ要素が導入されてきた。例えば、許可を受けていない者がしばしば、ネットワークにおいてシステムのアクセス可能ポイントを探索することによって、ネットワークリソースにアクセスしようとする。
【0003】
認証されていないネットワークへのエントリを解決するため考案されてきたネットワークセキュリティ要素には、動作中のコンピュータリソースから有害なトラフィックを引き離し、システムスタッフが攻撃者を解析することを可能にするため組み合わされるダークネットアナライザ(darknet analyzer)とハニーポット(honeypot)がある。一般に、セキュリティ要素は、許可を受けていない人が未使用のサブネット上にあり、このためアクセスされるべきでないIP(Internet Protocol)アドレスにアクセスしようとしていることを認識する。アクセスが検出されると、許可を受けていないユーザは、“ダークネット”と呼ばれるかもしれない動作中のネットワークから独立したサーバ又はシステムにガイドされるかもしれない。さらに、ネットワークセキュリティは、許可を受けていないユーザが、ユーザのアクセス方法又はネットワークに関する知識レベルを暴露することを奨励するようシステムをエミュレートしようとするかもしれず(“ハニーポットと呼ばれる)、これのより、システムアドミニストレータがネットワークセキュリティを向上させることを可能にする。
【0004】
しかしながら、従来のシステムは動作について限定され、多くのケースにおいてネットワークをプロテクトしない。許可を受けていないユーザが十分な知識を有している場合、ユーザは、ダークネット処理をトリガーすることを回避することが可能であるかもしれない。例えば、ユーザが未割当てのIPアドレスや未使用のネットワークを回避することが可能である場合、ユーザは検出されないかもしれない。さらに、許可を受けていないユーザによって、ダークネット/ハニーポットの処理が検出されるかもしれず、ネットワークアドミニストレータが侵入者に関する情報を取得可能になる前に、ユーザがコンタクトを中断することが可能となる。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の課題は、上記問題点を解決することである。すなわち、本発明の課題は、エンドポイントリソースを使用した効果的なネットワークセキュリティ要素を提供することである。
【課題を解決するための手段】
【0006】
上記課題を解決するため、本発明は、エンドポイントサーバにおいてネットワークへのアクセスに対するリクエストを受信するステップと、前記リクエストが未許可のリクエストを含むことを検出するステップと、前記リクエストをネットワークセキュリティ要素に誘導するステップとを有する方法を提供する。
【0007】
また、本発明は、ネットワークへのアクセスに対するリクエストを受信するためのインタフェースと、前記ネットワークへのアクセスに対する許可されたリクエストを検出するモジュールと、ネットワークセキュリティ要素とを有するサーバであって、当該サーバは、検出された未許可のリクエストを前記ネットワークセキュリティ要素に誘導するサーバを提供する。
【0008】
さらに、本発明は、イーサネット(登録商標)接続のためのイーサネット(登録商標)ケーブルと、前記イーサネット(登録商標)ケーブルに接続され、当該ネットワークへのアクセスに対する未許可のリクエストを誘導するエンドポイントサーバと、前記エンドポイントサーバに接続されるネットワークセキュリティ要素と、前記ネットワークの動作から独立したセキュリティサーバとを有するネットワークであって、前記エンドポイントサーバは、当該ネットワークへのアクセスに対する検出された未許可のリクエストを前記ネットワークセキュリティ要素に送信し、前記セキュリティサーバは、前記ネットワークセキュリティ要素から前記未許可のリクエストに関するデータを受信するネットワークを提供する。
【0009】
さらに、本発明は、マシーンによりアクセスされると、エンドポイントサーバにおいてネットワークへのアクセスに対するリクエストを受信するステップと、前記リクエストが未許可のリクエストを含むことを検出するステップと、前記リクエストをネットワークセキュリティ要素に誘導するステップとを有する処理を前記マシーンに実行させるデータを有するマシーンアクセス可能媒体から構成される生産物を提供する。
【発明の効果】
【0010】
本発明によると、エンドポイントリソースを使用した効果的なネットワークセキュリティ要素を提供することが可能となる。
【図面の簡単な説明】
【0011】
【図1】図1は、ネットワークへの許可されていないエントリを検出及び回避するためのネットワークセキュリティ要素の利用を示す。
【図2】図2は、分散されたネットワークセキュリティシステムの実施例を示す。
【図3】図3は、出力方向パケットモニタのためのプロセスを示す。
【図4】図4は、入力方向パケットモニタのためのプロセスを示す。
【図5】図5は、本発明の実施例を使用するコンピュータシステムを示す。
【発明を実施するための形態】
【0012】
本発明の実施例は、エンドポイントリソースを使用したネットワークセキュリティ要素に関する。
【0013】
ここで使用される“ダークネット(darknet)”という用語は、動作中のネットワーク要素から未許可の使用を引き離すのに使用されるネットワークサーバ又は要素を意味する。一般的な具体例では、未使用のサブネットにおいて未割当てIPアドレスにアクセスしようとするユーザが検出されると、ダークネットに誘導されるかもしれない。
【0014】
“ハニーポット(honeypot)”という用語は、未許可のユーザへのネットワークアクセスをエミュレートするのに使用されるネットワーク要素を意味する。具体例では、未許可であると疑われるネットワークにアクセスする主体が、未許可のアクセス試行に関する情報を取得するため、ハニーポットに誘導されるかもしれない。
【0015】
“ネットワークセキュリティ要素”という用語は、未許可のアクセスからネットワークをプロテクトするための要素を意味する。“ネットワークセキュリティ要素”という用語は、限定されるものではないが、ダークネットやハニーポットを含む。
【0016】
本発明の実施例では、未許可のユーザに対するプロテクトを行うネットワークセキュリティ要素は、ネットワーク全体に分散されている。本発明の実施例では、ネットワークセキュリティの処理は、ネットワークエンドポイントの分散されたネットワークセキュリティ要素の利用を通じて拡大される。具体例として、ダークネット/ハニーポットに誘導される許可されたアクセスのタイプは、各ファンクションのネットワークエンドポイントへの分散を通じて拡大される。本発明の実施例では、ネットワークセキュリティ要素は、従来技術による処理に限定されず、エンドポイントリソースによりアクセス可能なレベルにおいてトラフィックを解析する。
【0017】
ダークネットやハニーポットなどのネットワークセキュリティ要素は、企業のセキュリティ部門において極めて有用なツールとなっている。これらセキュリティ要素は、通常は中央に存在し、通常は未使用のサブネットにおけるIPアドレスを宛先とするトラフィックを迂回させることによって、企業IPスペースの各部分の視認性を有する。しかしながら、このアプローチによる重大な問題は、使用されているネットワークにおける使用されているIPアドレス又は未使用のIPアドレスを宛先とするトラフィックがセキュリティ要素をエスケープすることによって、多くの発生を視認できないということである。このため、従来の構成は、知識のある又はスキルのある攻撃者に対処するのに有用性が低い。他のトポロジーの知識を精査又は有する前にネットワークトラフィックをモニタする攻撃者など、IPスペース割当てに関する知識を有している攻撃者は、これらの検出システムを部分的又は完全に回避することが可能であり、このため、セキュリティ要素は、アクティブなネットワークにおける割り当てられたIPアドレスへのアクセスを制限可能な攻撃者を視認することができなくなる。
【0018】
本発明の実施例では、ネットワークセキュリティは、エンドポイントリソースがセキュリティについて利用可能となるように、ネットワーク全体に分散される。エンドポイントリソースの利用は、ダークネットを宛先とするトラフィックにおいてさらなる詳細さを提供することによって、より多くの処理を視認可能であり、エンドポイントレベルにおける処理のエミュレーションを可能にし、これにより、エミュレーションのクオリティが向上する。ダークネット処理の分散化は、セキュリティシステムが回避することをより困難にし(アクティブなアドレスがシステムの範囲内に含まれるため)、セキュリティシステムが検出することをより困難にする(エンドポイントシステムは、動作中のシステムの処理をより密接に近似することが可能であるため)ことを可能にする。一例として、エンドポイントは、通常のシステムとしてパケットに対して同一のTTL(Time To Live)を提供することが可能である。ここで、TTLは、パケットが長時間ネットワークにあり、破棄されるべきかルータに通知するIPパケットにおける値である。これにより、パケット伝送におけるリモートシステムの不可避な遅延のため、リモートダークネットからの利用が不可であるレスポンスが提供される。
【0019】
本発明の実施例では、ネットワークは、実際のホストシステムによりエミュレートされるサーバの1以上のエミュレーションを有する。例えば、ネットワークルータは、実際のシステムによりエミュレートされるように、1以上のエミュレートされるシステムと1以上の実際のホストシステムへのアクセスを提供するかもしれない。エミュレートされたシステムは、動作中のシステムの一部として考えられることが意図されるが、実際には、エンドポイントレベルにおけるエミュレーションである。
【0020】
本発明の実施例では、ネットワークセキュリティの分散は、多くのリソースの投資なくネットワークにおいて実現可能である。例えば、ME(Management Engine)における相対的に少量のエンドポイントリソースしか、ネットワークセキュリティ処理の分散化のため要求されない。さらに、何れのホストOS(Operating System)の関与も不要であり、このため、分散化されたセキュリティ要素を配置及び使用するのにシンプルなものにする。本発明の実施例では、すべてのネットワークトラフィックがMEを通過するため、OSの関与は不要となり、このため、OSが悪意のあるパケットを確認する機会を有する前に、セキュリティ対策をとることができる。このため、OSは露呈されず、侵入処理は完全にME装置内で保持される。
【0021】
本発明の実施例では、エンドポイントシェル(セキュリティのため提供されたサーバのエミュレーション)は、許可を受けていないように見える特定タイプのトラフィック(“interesting”として定義される任意のトラフィックとして参照されるかもしれない)又はこのようなトラフィックに関する統計量を中央セキュリティサーバ(ダークネット/ハニーポットサーバ)に送信する。分散されたセキュリティ要素の使用は、処理におけるこのような構成の視認性を増大させるのに使用されるかもしれない。ある実施例では、分散されたネットワークセキュリティ要素は、通常はダークネット/ハニーポットサーバにより提供されるネットワークスペースを選択的に視認する従来の処理の主要な問題を回避するのに使用されるかもしれない。
【0022】
本発明のある実施例では、インテルコーポレイションにより製造されているIntel Active Management Technology(iAMT)MEなどのリソースが、特定のトラフィックタイプを選択的に検出し、又は特定の統計量を生成し、これらを中央ダークネット/ハニーポットにわたすため利用されるかもしれない。しかしながら、本発明の実施例は当該実施例に限定されるものでない。ある実施例では、“interesting”ネットワークトラフィックを分類するのに使用されるエージェントは、あるタイプの信号又はデータが受信されると“トリップされる(tripped)”要素であるサーキットブレーカ(CB)であるかもしれない。本発明の実施例では、MEの拡張がハニーポットタイプのアクションを実行するのに利用されるか、又はそれを介しリモートアナライザにわたされる特定のトラフィックタイプを複製するのに利用されるかもしれない。一例では、サーバが、TCP(Transport Control Protocol)接続を確立するためのリクエストを示すSYNリクエストを受信したが、当該トラフィックがクローズドポートを宛先としている場合、サーバは、通常はRST(Reset)レスポンスを送信する。本発明の実施例では、サーバのMEは、トラフィックがクローズドポートを宛先とするとき、RSTレスポンスの代わりにSYNACK(又はSYN/ACK)を送信し(サーバに送信されたSYNに応答した確認及び同期)、その後、以下のパケットをダークネット/ハニーポットサーバに送信するよう構成されるかもしれない。
【0023】
本発明の実施例では、エンドポイントエージェントにおいて確立されるネットワークセキュリティ要素の処理は、検出された許可されていないネットワークトラフィックの迂回を含む。このような迂回に使用される方法は、各種実現形態により様々であり、限定されるものではないが以下を含むかもしれない。
(1)未許可のトラフィックを転送するためIPトンネルを開くこと。IPトンネルは、IP−in−IPトンネル(“IP in IP Tunneling”(Internet Network Working Group RFC 1853,October 1995、“IP Encapsulation Within IP”(Internet Network Working Group RFC 2003,October 1996に提供されるように、各種機能を有するIPインターネットワークの各部分の間のブリッジとして機能するエンドポイントの間で情報を転送するのに一般に使用される)又は他の同様の方法などを含む各種手段を用いて確立されるかもしれない。
(2)(パケット分類のためIPパケットのヘッダに設けられたフィールドを指定する)既知のDSCP(Differenciated Services Code Point)の値によるトラフィックのマーキング。本例では、ネットワークインフラストラクチャは、指定された情報をダークネットにわたすため、ポリシーベースルーティング方法を利用することが可能とされる。
【0024】
本発明の実施例では、実施例に応じて、エンドポイントエージェントは指定された基準に該当するすべてのパケット、当該トラフィックの統計的サンプリングなどの特定のパケット、又は当該トラフィックに関する統計量のみを中央ダークネット/ハニーポットコントローラにわたしてもよい。多数のステーションが分散されたエンドポイントセキュリティソリューションに参加する場合、ネットワークトラフィックの疎な統計的サンプリングでさえ、ネットワークアドミニストレータが状況を解析するのにネットワーク環境で行われているものへの十分な視認性を提供するかもしれない。
【0025】
本発明のある実施例では、ネットワークは、ホストOSによる参加を知ることなく、企業セキュリティ解析エンティティとして、iAMTをサポートするエンドポイントなどの既存のエンドポイントを利用可能である。この構成は、エンドポイント構成を複雑にせず、パフォーマンスに対する影響を最小限にするため、望ましいものである。さらに、分散されたセキュリティ構成の実施例は、ステーションアドミニストレータでなく管理団体によって直接制御される。ホストOSの外部の制御されたエンティティを使用することは、これらのエンティティをISPセキュリティセンサネットワーク活動全体に統合するプロセスを簡単化し、マルウェア活動の視認性において大きなギャップに接近するよう動作するかもしれない。マルウェアの予想される継続的進化によって、当該機能は完全な防御を実現するのに重要であるかもしれない。さらに、OSの外部のセキュリティエンティティを設けることは、マルウェアがOSを改ざんすることを防ぐのに利用可能である。
【0026】
本発明の実施例では、ダークネット及びハニーポット機能を向上させるためのプロセスが提供され、トポロジーアウェアマルウェアが監視を逃れる可能性を防ぐよう動作する。本発明の実施例では、システムはハニーポットとしてドメイン内のすべてのホストの利用を可能にする。
【0027】
図1は、ネットワークへの未許可の又は悪意あるトラフィックエントリの検出及び/又は回避を行うためのネットワークセキュリティ要素の使用を示す。この図では、未許可又は危険なユーザ105が、ファイアウォール110などを含む各種セキュリティエージェント及び装置によりプロテクト可能なネットワーク(ユーザの外部のネットワーク105a)に入ろうとしているか、又はこのようなネットワーク(ユーザの内部のネットワーク105b)においてすでに正当なユーザとなっている。ユーザ105が他のセキュリティ手段を回避することが可能である場合、ユーザは、システム上の1以上のIPアドレスに対する攻撃にアクセス又は生成しようと試みるかもしれない。動作中のネットワーク125へのアクセスを提供する又はその一部であるかもしれないシステムIPアドレス115に加えて、通常はアクセスされるべきでない未使用のIPアドレス120が存在するかもしれない。未使用のIPアドレスにアクセスしようとするユーザ105による試みは、当該活動を検出し、及び/又はユーザの方法又は意図に関する情報を未許可のユーザが漏洩するよう誘導するため、動作中のネットワークをエミュレートするダークネット/ハニーポットサーバに誘導させるかもしれない。さらに、他のネットワーク要素は、ユーザによるアクセスを制限するのに利用可能であり、それは、ダークネットにおいて導出された情報に基づいているかもしれない。
【0028】
しかしながら、未許可のユーザは、IPアドレス割当てに関する知識を取得しているかもしれず、このため、上述するように未使用のIPスペースへのアクセスを回避し、検出及びダークネット130への誘導を回避するかもしれない。さらに、ユーザ105がダークネットに誘導されたとしても、ダークネットの処理はそれの実際の機能を露呈するかもしれない。特に、ユーザ105が到達しようと試みていたローカルシステムとは対照的に、中央ダークネットサーバからのレスポンスを取得する際の遅延は、ユーザに状況を気付かせるかもしれない。ユーザ105が予め警告される場合、ユーザは検出を回避するため、異なる戦略を試みるかもしれない。
【0029】
本発明の実施例では、ダークネット/ハニーポットサーバ130の機能は、エンドポイントの処理を利用することを介して支援される。本発明の実施例では、ダークネット及びハニーポット処理は、ローカライズされたエンドポイント機能を利用してセキュリティプロセスの向上を実現する。
【0030】
図2は、分散されたネットワークセキュリティシステムの実施例である。図2に示されたシステムは、可能なネットワーク構成の単なる一例であり、本発明の実施例は何れか特定のネットワーク構成に限定されるものでない。図2では、ワイドエリアネットワーク(WAN)205が分散されたダークネットコントローラ210を有している。ダークネットコントローラ210は、ネットワークのエンドポイントにおいて実現される分散されたセキュリティ要素のためのコントローラとして機能する。WAN205は、キャンパスAのWANルータ215、キャンパスBのWANルータ220、・・・、キャンパスNのWANルータ215を含むキャンパスのための複数のルータを有する。キャンパスAのWANルータ215は、リアルホストA240、リアルホストB245及びホストA240により実際にエミュレートされるホストC250を含むローカルエリアネットワーク(LAN)によるLANルータ230にデータを送信する。同様に、キャンパスBのWANルータ220は、リアルホストX255、リアルホストY260及びホストX255により実際にエミュレートされるホストZ265を含むローカルエリアネットワーク(LAN)によるLANルータ235にデータを送信する。
【0031】
本発明の実施例では、ネットワークのダークネット処理は、分散されたダークネットコントローラ210により制御され、エミュレートされるネットワークホスト要素であるホストC250とホストZ265に分散される。本発明の実施例では、不適切なネットワークリクエストに対する視認性の向上が、エミュレートされたホストとリアルホストシステムの双方を通じて提供される。バーチャルなホストC250及びZ265にトラフィックを誘導する試みは、ダークネットコントローラ210に転送又は通知される。さらに、リアルホストA、B、X及びY上の未使用ポートを宛先とするトラフィックはまた、ダークネットコントローラ210に転送又は通知されるかもしれない。リダイレクトされたトラフィックの移行は、IPトンネリングによって、既知のDSCPによりトラフィックをマーキングすることによって、又は他の方法によって提供されるかもしれない。さらに、ホストサーバはまた、ポートがクローズされていることを特定するRSTを傍受し、何れの接続が試みられているか確認するため、SYNACKを送信することが可能であり、試みられた未許可のアクセスに関する情報を識別するため、コントローラ210の分散されたハニーポット処理に当該リクエストをトンネリングするようにしてもよい。
【0032】
図3は、出力方向(outbound)パケットモニタのための処理を示す。図3では、出力方向パケットモニタプロセス305が確立されると、システムがハニーポットモードにあるか、すなわち、未許可リクエストに対するハニーポット処理が存在するモードにあるか判断される(310)。システムがハニーポットモードにない場合、パケットは通過され、プロセスは315に戻る。ハニーポットモードがアクティブ状態にある場合、RST状態があるか判断される(320)。RST状態がない場合、パケットは通過可能であり、プロセスは315に戻る。RST状態がある場合、未許可ユーザがより多くの情報を漏洩することを誘導しようとするため、SYNACKが送信される(325)。プロセスはさらに、未許可ユーザにTCPセッションが確立されていることを確信させるため、ハニーポットTCPシミュレーションを呼び出すことを含む。
【0033】
図4は、入力方向(inbound)パケットモニタのための処理を示す。本発明の実施例では、入力方向パケットモニタプロセス405が確立されると、未許可ユーザからの入力方向パケットがわたされる(410)。その後、システムがハニーポットモードにあるか判断される(415)。システムがハニーポットモードにない場合、プロセスは、他のパケットが受信されるまで継続される。システムがハニーポットモードにある場合、パケットに関する統計量が計算され(420)、その後、それは未許可のネットワークトラフィックを解析するのに利用可能である。
【0034】
図5は、本発明の実施例を利用したコンピュータシステムを示す。コンピュータシステムは、サーバのためのエンドポイントサーバを表し、エンドポイントサーバは、ネットワークの分散されたダークネット/ハニーポット処理において使用される。本発明に関係ない標準的及び周知のコンポーネントは示されていない。本発明の実施例では、コンピュータ500は、情報を通信するためのバス505又は他の通信手段と、情報を処理するためバス505に接続された2以上のプロセッサ510(第1プロセッサ515と第2プロセッサ520として示される)などの処理手段とを有する。プロセッサ510は、1以上の物理的プロセッサと、1以上の論理的プロセッサとを有するかもしれない。さらに、各プロセッサ510は、複数のプロセッサコアを有するかもしれない。コンピュータ500は、簡単化のため1つのバス505により示されているが、複数のバスを有してもよく、このようなバスとのコンポーネント接続は可変的であるかもしれない。図5に示されるバス505は、1以上の物理的バス、ポイント・ツー・ポイント接続、又は双方が適切なブリッジ、アダプタ若しくはコントローラにより接続されるものを表す概念図である。バス505は、例えば、システムバス、PCI(Peripheral Component Interconnect)バス、HyperTransport若しくはISA(Industry Standard Architecture)バス、SCSI(Small Computer System Interface)バス、USB(Universal Serial Bus)、IIC(I2C)バス、“ファイアウォール”とも呼ばれるIEEE(Institute of Electrical and Electronics Engineers)規格1394バス(“Standard for a High Performance Serial Bus”1394−1995,IEEE,published August 30,1996及び補足)を含むかもしれない。
【0035】
コンピュータ500はさらに、プロセッサ510により実行される命令及び情報を格納するため、メインメモリ525としてRAM(Random Access Memory)又は他の動的ストレージデバイスを有する。メインメモリ525はまた、プロセッサ510による命令の実行中に、一時的な変数又は他の中間情報を格納するのに利用されるかもしれない。RAMメモリは、メモリコンテンツのリフレッシュ処理を要求するDRAM(Dynamic Random Access Memory)と、コンテンツのリフレッシュ処理を要求しないが、コストの高いSRAM(Static Random Access Memory)とを含む。DRAMメモリは、信号を制御するためクロック信号を有するSDRAM(Synchronous Dynamic Random Access Memory)と、EDODRAM(Extended Data−Out Dynamic Random Access Memory)とを含むかもしれない。メインメモリの使用は、無線装置から受信した信号を格納する。コンピュータ500はまた、プロセッサ510に対する命令及び静的情報を格納するため、ROM(Read Only Memory)530及び/又は他の静的ストレージデバイスを有するかもしれない。
【0036】
データストレージ535がまた、情報及び命令を格納するため、コンピュータ500のバス505に接続されてもよい。データストレージ535は、磁気ディスク若しくは光ディスク及びそれの対応するドライブ、フラッシュメモリ若しくは他の不揮発性メモリ又は他のメモリデバイスを含むかもしれない。これらの要素は、一体化されてもよいし、又は個別のコンポーネントであってもよく、コンピュータ500の他の要素の一部を利用するものであってもよい。
【0037】
コンピュータ500はまた、エンドユーザに情報を表示するため、CRT(Cathode Ray Tube)ディスプレイ、LCD(Liquid Crystal Display)、プラズマディスプレイ又は他の何れかの表示技術などの表示装置540にバス505を介し接続されるかもしれない。一部の環境では、表示装置は、入力装置の少なくとも一部として利用されるタッチ画面であってもよい。一部の環境では、表示装置540は、音声情報を提供するためのスピーカーなどの音声装置を含むものであってもよいし、そうでなくてもよい。入力装置545は、情報及び/又はコマンド選択をプロセッサ510に通信するため、バス505に接続されてもよい。各種実現形態では、入力装置545は、キーボード、キーパッド、タッチ画面及びスタイラス、音声起動システム、他の入力装置又は上記装置の組み合わせであるかもしれない。他のタイプのユーザ入力装置として、1以上のプロセッサ510に方向情報及びコマンド選択を通信し、表示装置540上のカーソル移動を制御するため、マウス、トラックボール、カーソル方向キーなどのカーソル制御装置550があげられる。
【0038】
通信装置555はまた、バス505に接続されるかもしれない。実現形態に応じて、通信装置555は、トランシーバ、ワイヤレスモデム、ネットワークインタフェースカード、マザーボード上のLAN又は他のインタフェースデバイスを含むかもしれない。通信装置555を使用することにより、無線装置からの信号を受信する。無線通信について、通信装置555は1以上のアンテナ558を有するかもしれない。一実施例では、通信装置555は、不適切なアクセスからコンピュータ500をプロテクトするためのファイアウォールを有するかもしれない。コンピュータ500は、インターネット、LAN又は他の環境とのリンクを含む通信装置555を使用して、LAN565などのネットワークや他のデバイスとリンクされるかもしれない。コンピュータ500はまた、電力を提供又は生成するため、電源、バッテリ、太陽電池、燃料電池又は他のシステム若しくはデバイスを有する電力装置又はシステム560を有するかもしれない。電力装置又はシステム960により提供される電力は、コンピュータ500の各要素に必要に応じて分配される。
【0039】
本発明の実施例では、コンピュータ500は、分散されたネットワークセキュリティシステムの一部として動作する機能を含むエンドポイントサーバである。ある実施例では、プロセッサ510は、入力されたデータパケットを処理し、未使用アドレス又はポート番号にアクセスするためのリクエストを有するパケットなど、許可されていると予想されるパケットを検出する。ある実施例では、コンピュータは、未許可のデータトラフィックの一部若しくはすべて又は当該データトラフィックに関する統計量を、検出されたトラフィックの解析とコントローラのセキュリティ処理のため、中央ダークネットコントローラに転送する。
【0040】
本開示を利用して、本発明の範囲内において上記記載及び図面からの他の多数の変形が可能であるということを当業者は理解するであろう。実際、本発明は、上述した詳細に限定されるものでない。本発明の範囲を規定するのは、請求項とそれに対して補正されたものである。
【0041】
上記記載では、本発明の完全な理解を提供するため、説明上、多数の具体的詳細が提供された。しかしながら、本発明がこれら具体的詳細のいくつかを使用することなく実現可能であるということは、当業者に明らかであろう。また、周知な構成及び装置はブロック図の形式により示されている。
【0042】
本発明は、様々なプロセスを有するかもしれない。本発明のプロセスは、ハードウェアコンポーネントにより実行されてもよく、又はプログラムされた汎用若しくは特定用途プロセッサ又は論理回路に当該プロセスを実行させるのに利用されるマシーン実行可能命令により実現されてもよい。あるいは、当該プロセスは、ハードウェアとソフトウェアの組み合わせにより実行されてもよい。
【0043】
本発明の各部分は、本発明によるプロセスを実行するようコンピュータ(又は他の電子装置)をプログラムするのに利用可能な命令を格納したマシーン可読媒体を含むコンピュータプログラムプロダクトとして提供されるかもしれない。マシーン可読媒体は、以下に限定されるものではないが、フロッピー(登録商標)ディスケット、光ディスク、CD−ROM(Compact Disk Read Only Memory)、光磁気ディスク、ROM、RAM、EPROM(Erasable Programmable ROM)、EEPROM(Electrically EPROM)、磁気若しくは光カード、フラッシュメモリ、又は電子命令を格納するのに適した他のタイプのメディア/マシーン可読媒体を含むかもしれない。さらに、本発明はまた、通信リンク(モデム又はネットワーク接続など)を介し搬送波又は他の伝搬媒体により実現されるデータ信号によって、リモートコンピュータから要求元コンピュータに伝送されるプログラムを有するコンピュータプログラムプロダクトとしてダウンロードされるかもしれない。
【0044】
本方法の多くは、それらの最も基本的な形式により記述されているが、本発明の基本的な範囲から逸脱することなく、プロセスが何れかの方法に追加又は削除することが可能であり、また記載されたメッセージの何れかに情報を追加又は省略することが可能である。また、さらなる改良及び調整が可能であるということが当業者に明らかであろう。上記実施例は、本発明を限定するものでなく、それを例示するために提供される。本発明の範囲は、上記具体例によってではなく、請求項によってのみ決定されるべきである。
【0045】
また、本明細書を通じて、“一実施例”又は“ある実施例”とう表現は、ある特徴が本発明の実現形態に含まれるかもしれないことを意味していることが理解されるべきである。同様に、本発明の実施例についての上記説明では、本発明の各種特徴は、本開示を簡単化し、様々な発明の特徴の1以上を理解するのに利用するため、1つの実施例、図面又はその記載に一体的にグループ化されていることが理解されるべきである。しかしながら、本開示による方法は、請求された発明が各請求項に明示的に記載されるよりも多くの特徴を必要とするという意図を反映させるものとして解釈されるべきでない。以下の請求項が反映するように、本発明の特徴は開示された1つの実施例のすべての特徴を有しないかもしれない。従って、各請求項は本発明の個別の実施例として記載されることによって、請求項は本記載に明示的に含まれる。
【符号の説明】
【0046】
105 ユーザ
125、205 ネットワーク
130 サーバ
210 ダークネットコントローラ
215、220、225 ルータ
240、245、250 ホスト
500 コンピュータ
505 バス
510 プロセッサ
525 メモリ
535 データストレージ
【技術分野】
【0001】
本発明の実施例は、コンピュータセキュリティに関する。より詳細には、本発明の実施例は、エンドポイントリソースを使用したネットワークセキュリティ要素に関する。
【背景技術】
【0002】
コンピュータオペレーションについて、外部者による攻撃に対抗するため、多数のネットワークセキュリティ要素が導入されてきた。例えば、許可を受けていない者がしばしば、ネットワークにおいてシステムのアクセス可能ポイントを探索することによって、ネットワークリソースにアクセスしようとする。
【0003】
認証されていないネットワークへのエントリを解決するため考案されてきたネットワークセキュリティ要素には、動作中のコンピュータリソースから有害なトラフィックを引き離し、システムスタッフが攻撃者を解析することを可能にするため組み合わされるダークネットアナライザ(darknet analyzer)とハニーポット(honeypot)がある。一般に、セキュリティ要素は、許可を受けていない人が未使用のサブネット上にあり、このためアクセスされるべきでないIP(Internet Protocol)アドレスにアクセスしようとしていることを認識する。アクセスが検出されると、許可を受けていないユーザは、“ダークネット”と呼ばれるかもしれない動作中のネットワークから独立したサーバ又はシステムにガイドされるかもしれない。さらに、ネットワークセキュリティは、許可を受けていないユーザが、ユーザのアクセス方法又はネットワークに関する知識レベルを暴露することを奨励するようシステムをエミュレートしようとするかもしれず(“ハニーポットと呼ばれる)、これのより、システムアドミニストレータがネットワークセキュリティを向上させることを可能にする。
【0004】
しかしながら、従来のシステムは動作について限定され、多くのケースにおいてネットワークをプロテクトしない。許可を受けていないユーザが十分な知識を有している場合、ユーザは、ダークネット処理をトリガーすることを回避することが可能であるかもしれない。例えば、ユーザが未割当てのIPアドレスや未使用のネットワークを回避することが可能である場合、ユーザは検出されないかもしれない。さらに、許可を受けていないユーザによって、ダークネット/ハニーポットの処理が検出されるかもしれず、ネットワークアドミニストレータが侵入者に関する情報を取得可能になる前に、ユーザがコンタクトを中断することが可能となる。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の課題は、上記問題点を解決することである。すなわち、本発明の課題は、エンドポイントリソースを使用した効果的なネットワークセキュリティ要素を提供することである。
【課題を解決するための手段】
【0006】
上記課題を解決するため、本発明は、エンドポイントサーバにおいてネットワークへのアクセスに対するリクエストを受信するステップと、前記リクエストが未許可のリクエストを含むことを検出するステップと、前記リクエストをネットワークセキュリティ要素に誘導するステップとを有する方法を提供する。
【0007】
また、本発明は、ネットワークへのアクセスに対するリクエストを受信するためのインタフェースと、前記ネットワークへのアクセスに対する許可されたリクエストを検出するモジュールと、ネットワークセキュリティ要素とを有するサーバであって、当該サーバは、検出された未許可のリクエストを前記ネットワークセキュリティ要素に誘導するサーバを提供する。
【0008】
さらに、本発明は、イーサネット(登録商標)接続のためのイーサネット(登録商標)ケーブルと、前記イーサネット(登録商標)ケーブルに接続され、当該ネットワークへのアクセスに対する未許可のリクエストを誘導するエンドポイントサーバと、前記エンドポイントサーバに接続されるネットワークセキュリティ要素と、前記ネットワークの動作から独立したセキュリティサーバとを有するネットワークであって、前記エンドポイントサーバは、当該ネットワークへのアクセスに対する検出された未許可のリクエストを前記ネットワークセキュリティ要素に送信し、前記セキュリティサーバは、前記ネットワークセキュリティ要素から前記未許可のリクエストに関するデータを受信するネットワークを提供する。
【0009】
さらに、本発明は、マシーンによりアクセスされると、エンドポイントサーバにおいてネットワークへのアクセスに対するリクエストを受信するステップと、前記リクエストが未許可のリクエストを含むことを検出するステップと、前記リクエストをネットワークセキュリティ要素に誘導するステップとを有する処理を前記マシーンに実行させるデータを有するマシーンアクセス可能媒体から構成される生産物を提供する。
【発明の効果】
【0010】
本発明によると、エンドポイントリソースを使用した効果的なネットワークセキュリティ要素を提供することが可能となる。
【図面の簡単な説明】
【0011】
【図1】図1は、ネットワークへの許可されていないエントリを検出及び回避するためのネットワークセキュリティ要素の利用を示す。
【図2】図2は、分散されたネットワークセキュリティシステムの実施例を示す。
【図3】図3は、出力方向パケットモニタのためのプロセスを示す。
【図4】図4は、入力方向パケットモニタのためのプロセスを示す。
【図5】図5は、本発明の実施例を使用するコンピュータシステムを示す。
【発明を実施するための形態】
【0012】
本発明の実施例は、エンドポイントリソースを使用したネットワークセキュリティ要素に関する。
【0013】
ここで使用される“ダークネット(darknet)”という用語は、動作中のネットワーク要素から未許可の使用を引き離すのに使用されるネットワークサーバ又は要素を意味する。一般的な具体例では、未使用のサブネットにおいて未割当てIPアドレスにアクセスしようとするユーザが検出されると、ダークネットに誘導されるかもしれない。
【0014】
“ハニーポット(honeypot)”という用語は、未許可のユーザへのネットワークアクセスをエミュレートするのに使用されるネットワーク要素を意味する。具体例では、未許可であると疑われるネットワークにアクセスする主体が、未許可のアクセス試行に関する情報を取得するため、ハニーポットに誘導されるかもしれない。
【0015】
“ネットワークセキュリティ要素”という用語は、未許可のアクセスからネットワークをプロテクトするための要素を意味する。“ネットワークセキュリティ要素”という用語は、限定されるものではないが、ダークネットやハニーポットを含む。
【0016】
本発明の実施例では、未許可のユーザに対するプロテクトを行うネットワークセキュリティ要素は、ネットワーク全体に分散されている。本発明の実施例では、ネットワークセキュリティの処理は、ネットワークエンドポイントの分散されたネットワークセキュリティ要素の利用を通じて拡大される。具体例として、ダークネット/ハニーポットに誘導される許可されたアクセスのタイプは、各ファンクションのネットワークエンドポイントへの分散を通じて拡大される。本発明の実施例では、ネットワークセキュリティ要素は、従来技術による処理に限定されず、エンドポイントリソースによりアクセス可能なレベルにおいてトラフィックを解析する。
【0017】
ダークネットやハニーポットなどのネットワークセキュリティ要素は、企業のセキュリティ部門において極めて有用なツールとなっている。これらセキュリティ要素は、通常は中央に存在し、通常は未使用のサブネットにおけるIPアドレスを宛先とするトラフィックを迂回させることによって、企業IPスペースの各部分の視認性を有する。しかしながら、このアプローチによる重大な問題は、使用されているネットワークにおける使用されているIPアドレス又は未使用のIPアドレスを宛先とするトラフィックがセキュリティ要素をエスケープすることによって、多くの発生を視認できないということである。このため、従来の構成は、知識のある又はスキルのある攻撃者に対処するのに有用性が低い。他のトポロジーの知識を精査又は有する前にネットワークトラフィックをモニタする攻撃者など、IPスペース割当てに関する知識を有している攻撃者は、これらの検出システムを部分的又は完全に回避することが可能であり、このため、セキュリティ要素は、アクティブなネットワークにおける割り当てられたIPアドレスへのアクセスを制限可能な攻撃者を視認することができなくなる。
【0018】
本発明の実施例では、ネットワークセキュリティは、エンドポイントリソースがセキュリティについて利用可能となるように、ネットワーク全体に分散される。エンドポイントリソースの利用は、ダークネットを宛先とするトラフィックにおいてさらなる詳細さを提供することによって、より多くの処理を視認可能であり、エンドポイントレベルにおける処理のエミュレーションを可能にし、これにより、エミュレーションのクオリティが向上する。ダークネット処理の分散化は、セキュリティシステムが回避することをより困難にし(アクティブなアドレスがシステムの範囲内に含まれるため)、セキュリティシステムが検出することをより困難にする(エンドポイントシステムは、動作中のシステムの処理をより密接に近似することが可能であるため)ことを可能にする。一例として、エンドポイントは、通常のシステムとしてパケットに対して同一のTTL(Time To Live)を提供することが可能である。ここで、TTLは、パケットが長時間ネットワークにあり、破棄されるべきかルータに通知するIPパケットにおける値である。これにより、パケット伝送におけるリモートシステムの不可避な遅延のため、リモートダークネットからの利用が不可であるレスポンスが提供される。
【0019】
本発明の実施例では、ネットワークは、実際のホストシステムによりエミュレートされるサーバの1以上のエミュレーションを有する。例えば、ネットワークルータは、実際のシステムによりエミュレートされるように、1以上のエミュレートされるシステムと1以上の実際のホストシステムへのアクセスを提供するかもしれない。エミュレートされたシステムは、動作中のシステムの一部として考えられることが意図されるが、実際には、エンドポイントレベルにおけるエミュレーションである。
【0020】
本発明の実施例では、ネットワークセキュリティの分散は、多くのリソースの投資なくネットワークにおいて実現可能である。例えば、ME(Management Engine)における相対的に少量のエンドポイントリソースしか、ネットワークセキュリティ処理の分散化のため要求されない。さらに、何れのホストOS(Operating System)の関与も不要であり、このため、分散化されたセキュリティ要素を配置及び使用するのにシンプルなものにする。本発明の実施例では、すべてのネットワークトラフィックがMEを通過するため、OSの関与は不要となり、このため、OSが悪意のあるパケットを確認する機会を有する前に、セキュリティ対策をとることができる。このため、OSは露呈されず、侵入処理は完全にME装置内で保持される。
【0021】
本発明の実施例では、エンドポイントシェル(セキュリティのため提供されたサーバのエミュレーション)は、許可を受けていないように見える特定タイプのトラフィック(“interesting”として定義される任意のトラフィックとして参照されるかもしれない)又はこのようなトラフィックに関する統計量を中央セキュリティサーバ(ダークネット/ハニーポットサーバ)に送信する。分散されたセキュリティ要素の使用は、処理におけるこのような構成の視認性を増大させるのに使用されるかもしれない。ある実施例では、分散されたネットワークセキュリティ要素は、通常はダークネット/ハニーポットサーバにより提供されるネットワークスペースを選択的に視認する従来の処理の主要な問題を回避するのに使用されるかもしれない。
【0022】
本発明のある実施例では、インテルコーポレイションにより製造されているIntel Active Management Technology(iAMT)MEなどのリソースが、特定のトラフィックタイプを選択的に検出し、又は特定の統計量を生成し、これらを中央ダークネット/ハニーポットにわたすため利用されるかもしれない。しかしながら、本発明の実施例は当該実施例に限定されるものでない。ある実施例では、“interesting”ネットワークトラフィックを分類するのに使用されるエージェントは、あるタイプの信号又はデータが受信されると“トリップされる(tripped)”要素であるサーキットブレーカ(CB)であるかもしれない。本発明の実施例では、MEの拡張がハニーポットタイプのアクションを実行するのに利用されるか、又はそれを介しリモートアナライザにわたされる特定のトラフィックタイプを複製するのに利用されるかもしれない。一例では、サーバが、TCP(Transport Control Protocol)接続を確立するためのリクエストを示すSYNリクエストを受信したが、当該トラフィックがクローズドポートを宛先としている場合、サーバは、通常はRST(Reset)レスポンスを送信する。本発明の実施例では、サーバのMEは、トラフィックがクローズドポートを宛先とするとき、RSTレスポンスの代わりにSYNACK(又はSYN/ACK)を送信し(サーバに送信されたSYNに応答した確認及び同期)、その後、以下のパケットをダークネット/ハニーポットサーバに送信するよう構成されるかもしれない。
【0023】
本発明の実施例では、エンドポイントエージェントにおいて確立されるネットワークセキュリティ要素の処理は、検出された許可されていないネットワークトラフィックの迂回を含む。このような迂回に使用される方法は、各種実現形態により様々であり、限定されるものではないが以下を含むかもしれない。
(1)未許可のトラフィックを転送するためIPトンネルを開くこと。IPトンネルは、IP−in−IPトンネル(“IP in IP Tunneling”(Internet Network Working Group RFC 1853,October 1995、“IP Encapsulation Within IP”(Internet Network Working Group RFC 2003,October 1996に提供されるように、各種機能を有するIPインターネットワークの各部分の間のブリッジとして機能するエンドポイントの間で情報を転送するのに一般に使用される)又は他の同様の方法などを含む各種手段を用いて確立されるかもしれない。
(2)(パケット分類のためIPパケットのヘッダに設けられたフィールドを指定する)既知のDSCP(Differenciated Services Code Point)の値によるトラフィックのマーキング。本例では、ネットワークインフラストラクチャは、指定された情報をダークネットにわたすため、ポリシーベースルーティング方法を利用することが可能とされる。
【0024】
本発明の実施例では、実施例に応じて、エンドポイントエージェントは指定された基準に該当するすべてのパケット、当該トラフィックの統計的サンプリングなどの特定のパケット、又は当該トラフィックに関する統計量のみを中央ダークネット/ハニーポットコントローラにわたしてもよい。多数のステーションが分散されたエンドポイントセキュリティソリューションに参加する場合、ネットワークトラフィックの疎な統計的サンプリングでさえ、ネットワークアドミニストレータが状況を解析するのにネットワーク環境で行われているものへの十分な視認性を提供するかもしれない。
【0025】
本発明のある実施例では、ネットワークは、ホストOSによる参加を知ることなく、企業セキュリティ解析エンティティとして、iAMTをサポートするエンドポイントなどの既存のエンドポイントを利用可能である。この構成は、エンドポイント構成を複雑にせず、パフォーマンスに対する影響を最小限にするため、望ましいものである。さらに、分散されたセキュリティ構成の実施例は、ステーションアドミニストレータでなく管理団体によって直接制御される。ホストOSの外部の制御されたエンティティを使用することは、これらのエンティティをISPセキュリティセンサネットワーク活動全体に統合するプロセスを簡単化し、マルウェア活動の視認性において大きなギャップに接近するよう動作するかもしれない。マルウェアの予想される継続的進化によって、当該機能は完全な防御を実現するのに重要であるかもしれない。さらに、OSの外部のセキュリティエンティティを設けることは、マルウェアがOSを改ざんすることを防ぐのに利用可能である。
【0026】
本発明の実施例では、ダークネット及びハニーポット機能を向上させるためのプロセスが提供され、トポロジーアウェアマルウェアが監視を逃れる可能性を防ぐよう動作する。本発明の実施例では、システムはハニーポットとしてドメイン内のすべてのホストの利用を可能にする。
【0027】
図1は、ネットワークへの未許可の又は悪意あるトラフィックエントリの検出及び/又は回避を行うためのネットワークセキュリティ要素の使用を示す。この図では、未許可又は危険なユーザ105が、ファイアウォール110などを含む各種セキュリティエージェント及び装置によりプロテクト可能なネットワーク(ユーザの外部のネットワーク105a)に入ろうとしているか、又はこのようなネットワーク(ユーザの内部のネットワーク105b)においてすでに正当なユーザとなっている。ユーザ105が他のセキュリティ手段を回避することが可能である場合、ユーザは、システム上の1以上のIPアドレスに対する攻撃にアクセス又は生成しようと試みるかもしれない。動作中のネットワーク125へのアクセスを提供する又はその一部であるかもしれないシステムIPアドレス115に加えて、通常はアクセスされるべきでない未使用のIPアドレス120が存在するかもしれない。未使用のIPアドレスにアクセスしようとするユーザ105による試みは、当該活動を検出し、及び/又はユーザの方法又は意図に関する情報を未許可のユーザが漏洩するよう誘導するため、動作中のネットワークをエミュレートするダークネット/ハニーポットサーバに誘導させるかもしれない。さらに、他のネットワーク要素は、ユーザによるアクセスを制限するのに利用可能であり、それは、ダークネットにおいて導出された情報に基づいているかもしれない。
【0028】
しかしながら、未許可のユーザは、IPアドレス割当てに関する知識を取得しているかもしれず、このため、上述するように未使用のIPスペースへのアクセスを回避し、検出及びダークネット130への誘導を回避するかもしれない。さらに、ユーザ105がダークネットに誘導されたとしても、ダークネットの処理はそれの実際の機能を露呈するかもしれない。特に、ユーザ105が到達しようと試みていたローカルシステムとは対照的に、中央ダークネットサーバからのレスポンスを取得する際の遅延は、ユーザに状況を気付かせるかもしれない。ユーザ105が予め警告される場合、ユーザは検出を回避するため、異なる戦略を試みるかもしれない。
【0029】
本発明の実施例では、ダークネット/ハニーポットサーバ130の機能は、エンドポイントの処理を利用することを介して支援される。本発明の実施例では、ダークネット及びハニーポット処理は、ローカライズされたエンドポイント機能を利用してセキュリティプロセスの向上を実現する。
【0030】
図2は、分散されたネットワークセキュリティシステムの実施例である。図2に示されたシステムは、可能なネットワーク構成の単なる一例であり、本発明の実施例は何れか特定のネットワーク構成に限定されるものでない。図2では、ワイドエリアネットワーク(WAN)205が分散されたダークネットコントローラ210を有している。ダークネットコントローラ210は、ネットワークのエンドポイントにおいて実現される分散されたセキュリティ要素のためのコントローラとして機能する。WAN205は、キャンパスAのWANルータ215、キャンパスBのWANルータ220、・・・、キャンパスNのWANルータ215を含むキャンパスのための複数のルータを有する。キャンパスAのWANルータ215は、リアルホストA240、リアルホストB245及びホストA240により実際にエミュレートされるホストC250を含むローカルエリアネットワーク(LAN)によるLANルータ230にデータを送信する。同様に、キャンパスBのWANルータ220は、リアルホストX255、リアルホストY260及びホストX255により実際にエミュレートされるホストZ265を含むローカルエリアネットワーク(LAN)によるLANルータ235にデータを送信する。
【0031】
本発明の実施例では、ネットワークのダークネット処理は、分散されたダークネットコントローラ210により制御され、エミュレートされるネットワークホスト要素であるホストC250とホストZ265に分散される。本発明の実施例では、不適切なネットワークリクエストに対する視認性の向上が、エミュレートされたホストとリアルホストシステムの双方を通じて提供される。バーチャルなホストC250及びZ265にトラフィックを誘導する試みは、ダークネットコントローラ210に転送又は通知される。さらに、リアルホストA、B、X及びY上の未使用ポートを宛先とするトラフィックはまた、ダークネットコントローラ210に転送又は通知されるかもしれない。リダイレクトされたトラフィックの移行は、IPトンネリングによって、既知のDSCPによりトラフィックをマーキングすることによって、又は他の方法によって提供されるかもしれない。さらに、ホストサーバはまた、ポートがクローズされていることを特定するRSTを傍受し、何れの接続が試みられているか確認するため、SYNACKを送信することが可能であり、試みられた未許可のアクセスに関する情報を識別するため、コントローラ210の分散されたハニーポット処理に当該リクエストをトンネリングするようにしてもよい。
【0032】
図3は、出力方向(outbound)パケットモニタのための処理を示す。図3では、出力方向パケットモニタプロセス305が確立されると、システムがハニーポットモードにあるか、すなわち、未許可リクエストに対するハニーポット処理が存在するモードにあるか判断される(310)。システムがハニーポットモードにない場合、パケットは通過され、プロセスは315に戻る。ハニーポットモードがアクティブ状態にある場合、RST状態があるか判断される(320)。RST状態がない場合、パケットは通過可能であり、プロセスは315に戻る。RST状態がある場合、未許可ユーザがより多くの情報を漏洩することを誘導しようとするため、SYNACKが送信される(325)。プロセスはさらに、未許可ユーザにTCPセッションが確立されていることを確信させるため、ハニーポットTCPシミュレーションを呼び出すことを含む。
【0033】
図4は、入力方向(inbound)パケットモニタのための処理を示す。本発明の実施例では、入力方向パケットモニタプロセス405が確立されると、未許可ユーザからの入力方向パケットがわたされる(410)。その後、システムがハニーポットモードにあるか判断される(415)。システムがハニーポットモードにない場合、プロセスは、他のパケットが受信されるまで継続される。システムがハニーポットモードにある場合、パケットに関する統計量が計算され(420)、その後、それは未許可のネットワークトラフィックを解析するのに利用可能である。
【0034】
図5は、本発明の実施例を利用したコンピュータシステムを示す。コンピュータシステムは、サーバのためのエンドポイントサーバを表し、エンドポイントサーバは、ネットワークの分散されたダークネット/ハニーポット処理において使用される。本発明に関係ない標準的及び周知のコンポーネントは示されていない。本発明の実施例では、コンピュータ500は、情報を通信するためのバス505又は他の通信手段と、情報を処理するためバス505に接続された2以上のプロセッサ510(第1プロセッサ515と第2プロセッサ520として示される)などの処理手段とを有する。プロセッサ510は、1以上の物理的プロセッサと、1以上の論理的プロセッサとを有するかもしれない。さらに、各プロセッサ510は、複数のプロセッサコアを有するかもしれない。コンピュータ500は、簡単化のため1つのバス505により示されているが、複数のバスを有してもよく、このようなバスとのコンポーネント接続は可変的であるかもしれない。図5に示されるバス505は、1以上の物理的バス、ポイント・ツー・ポイント接続、又は双方が適切なブリッジ、アダプタ若しくはコントローラにより接続されるものを表す概念図である。バス505は、例えば、システムバス、PCI(Peripheral Component Interconnect)バス、HyperTransport若しくはISA(Industry Standard Architecture)バス、SCSI(Small Computer System Interface)バス、USB(Universal Serial Bus)、IIC(I2C)バス、“ファイアウォール”とも呼ばれるIEEE(Institute of Electrical and Electronics Engineers)規格1394バス(“Standard for a High Performance Serial Bus”1394−1995,IEEE,published August 30,1996及び補足)を含むかもしれない。
【0035】
コンピュータ500はさらに、プロセッサ510により実行される命令及び情報を格納するため、メインメモリ525としてRAM(Random Access Memory)又は他の動的ストレージデバイスを有する。メインメモリ525はまた、プロセッサ510による命令の実行中に、一時的な変数又は他の中間情報を格納するのに利用されるかもしれない。RAMメモリは、メモリコンテンツのリフレッシュ処理を要求するDRAM(Dynamic Random Access Memory)と、コンテンツのリフレッシュ処理を要求しないが、コストの高いSRAM(Static Random Access Memory)とを含む。DRAMメモリは、信号を制御するためクロック信号を有するSDRAM(Synchronous Dynamic Random Access Memory)と、EDODRAM(Extended Data−Out Dynamic Random Access Memory)とを含むかもしれない。メインメモリの使用は、無線装置から受信した信号を格納する。コンピュータ500はまた、プロセッサ510に対する命令及び静的情報を格納するため、ROM(Read Only Memory)530及び/又は他の静的ストレージデバイスを有するかもしれない。
【0036】
データストレージ535がまた、情報及び命令を格納するため、コンピュータ500のバス505に接続されてもよい。データストレージ535は、磁気ディスク若しくは光ディスク及びそれの対応するドライブ、フラッシュメモリ若しくは他の不揮発性メモリ又は他のメモリデバイスを含むかもしれない。これらの要素は、一体化されてもよいし、又は個別のコンポーネントであってもよく、コンピュータ500の他の要素の一部を利用するものであってもよい。
【0037】
コンピュータ500はまた、エンドユーザに情報を表示するため、CRT(Cathode Ray Tube)ディスプレイ、LCD(Liquid Crystal Display)、プラズマディスプレイ又は他の何れかの表示技術などの表示装置540にバス505を介し接続されるかもしれない。一部の環境では、表示装置は、入力装置の少なくとも一部として利用されるタッチ画面であってもよい。一部の環境では、表示装置540は、音声情報を提供するためのスピーカーなどの音声装置を含むものであってもよいし、そうでなくてもよい。入力装置545は、情報及び/又はコマンド選択をプロセッサ510に通信するため、バス505に接続されてもよい。各種実現形態では、入力装置545は、キーボード、キーパッド、タッチ画面及びスタイラス、音声起動システム、他の入力装置又は上記装置の組み合わせであるかもしれない。他のタイプのユーザ入力装置として、1以上のプロセッサ510に方向情報及びコマンド選択を通信し、表示装置540上のカーソル移動を制御するため、マウス、トラックボール、カーソル方向キーなどのカーソル制御装置550があげられる。
【0038】
通信装置555はまた、バス505に接続されるかもしれない。実現形態に応じて、通信装置555は、トランシーバ、ワイヤレスモデム、ネットワークインタフェースカード、マザーボード上のLAN又は他のインタフェースデバイスを含むかもしれない。通信装置555を使用することにより、無線装置からの信号を受信する。無線通信について、通信装置555は1以上のアンテナ558を有するかもしれない。一実施例では、通信装置555は、不適切なアクセスからコンピュータ500をプロテクトするためのファイアウォールを有するかもしれない。コンピュータ500は、インターネット、LAN又は他の環境とのリンクを含む通信装置555を使用して、LAN565などのネットワークや他のデバイスとリンクされるかもしれない。コンピュータ500はまた、電力を提供又は生成するため、電源、バッテリ、太陽電池、燃料電池又は他のシステム若しくはデバイスを有する電力装置又はシステム560を有するかもしれない。電力装置又はシステム960により提供される電力は、コンピュータ500の各要素に必要に応じて分配される。
【0039】
本発明の実施例では、コンピュータ500は、分散されたネットワークセキュリティシステムの一部として動作する機能を含むエンドポイントサーバである。ある実施例では、プロセッサ510は、入力されたデータパケットを処理し、未使用アドレス又はポート番号にアクセスするためのリクエストを有するパケットなど、許可されていると予想されるパケットを検出する。ある実施例では、コンピュータは、未許可のデータトラフィックの一部若しくはすべて又は当該データトラフィックに関する統計量を、検出されたトラフィックの解析とコントローラのセキュリティ処理のため、中央ダークネットコントローラに転送する。
【0040】
本開示を利用して、本発明の範囲内において上記記載及び図面からの他の多数の変形が可能であるということを当業者は理解するであろう。実際、本発明は、上述した詳細に限定されるものでない。本発明の範囲を規定するのは、請求項とそれに対して補正されたものである。
【0041】
上記記載では、本発明の完全な理解を提供するため、説明上、多数の具体的詳細が提供された。しかしながら、本発明がこれら具体的詳細のいくつかを使用することなく実現可能であるということは、当業者に明らかであろう。また、周知な構成及び装置はブロック図の形式により示されている。
【0042】
本発明は、様々なプロセスを有するかもしれない。本発明のプロセスは、ハードウェアコンポーネントにより実行されてもよく、又はプログラムされた汎用若しくは特定用途プロセッサ又は論理回路に当該プロセスを実行させるのに利用されるマシーン実行可能命令により実現されてもよい。あるいは、当該プロセスは、ハードウェアとソフトウェアの組み合わせにより実行されてもよい。
【0043】
本発明の各部分は、本発明によるプロセスを実行するようコンピュータ(又は他の電子装置)をプログラムするのに利用可能な命令を格納したマシーン可読媒体を含むコンピュータプログラムプロダクトとして提供されるかもしれない。マシーン可読媒体は、以下に限定されるものではないが、フロッピー(登録商標)ディスケット、光ディスク、CD−ROM(Compact Disk Read Only Memory)、光磁気ディスク、ROM、RAM、EPROM(Erasable Programmable ROM)、EEPROM(Electrically EPROM)、磁気若しくは光カード、フラッシュメモリ、又は電子命令を格納するのに適した他のタイプのメディア/マシーン可読媒体を含むかもしれない。さらに、本発明はまた、通信リンク(モデム又はネットワーク接続など)を介し搬送波又は他の伝搬媒体により実現されるデータ信号によって、リモートコンピュータから要求元コンピュータに伝送されるプログラムを有するコンピュータプログラムプロダクトとしてダウンロードされるかもしれない。
【0044】
本方法の多くは、それらの最も基本的な形式により記述されているが、本発明の基本的な範囲から逸脱することなく、プロセスが何れかの方法に追加又は削除することが可能であり、また記載されたメッセージの何れかに情報を追加又は省略することが可能である。また、さらなる改良及び調整が可能であるということが当業者に明らかであろう。上記実施例は、本発明を限定するものでなく、それを例示するために提供される。本発明の範囲は、上記具体例によってではなく、請求項によってのみ決定されるべきである。
【0045】
また、本明細書を通じて、“一実施例”又は“ある実施例”とう表現は、ある特徴が本発明の実現形態に含まれるかもしれないことを意味していることが理解されるべきである。同様に、本発明の実施例についての上記説明では、本発明の各種特徴は、本開示を簡単化し、様々な発明の特徴の1以上を理解するのに利用するため、1つの実施例、図面又はその記載に一体的にグループ化されていることが理解されるべきである。しかしながら、本開示による方法は、請求された発明が各請求項に明示的に記載されるよりも多くの特徴を必要とするという意図を反映させるものとして解釈されるべきでない。以下の請求項が反映するように、本発明の特徴は開示された1つの実施例のすべての特徴を有しないかもしれない。従って、各請求項は本発明の個別の実施例として記載されることによって、請求項は本記載に明示的に含まれる。
【符号の説明】
【0046】
105 ユーザ
125、205 ネットワーク
130 サーバ
210 ダークネットコントローラ
215、220、225 ルータ
240、245、250 ホスト
500 コンピュータ
505 バス
510 プロセッサ
525 メモリ
535 データストレージ
【特許請求の範囲】
【請求項1】
コンピュータネットワークのためのハニーポット処理を提供する分散ネットワークセキュリティシステムのための方法であって、
各エンドポイントサーバは、エンドポイントネットワークセキュリティ要素を有し、
各エンドポイントネットワークセキュリティ要素は、前記分散ネットワークセキュリティシステムの一部であり、
当該方法は、
第1エンドポイントネットワークセキュリティ要素を有する第1エンドポイントサーバが、ネットワークへのアクセスに対するリクエストを送信機から受信するステップと、
前記ネットワークへのアクセスに対するリクエストが未許可のリクエストを含むことを検出するステップと、
前記第1エンドポイントサーバにより受信される未許可のリクエストを処理するためにサーバをエミュレートするよう実行可能な前記第1エンドポイントサーバの第1エンドポイントネットワークセキュリティ要素に前記未許可のリクエストを提供するステップと、
前記第1エンドポイントネットワークセキュリティ要素が、前記第1エンドポイントネットワークセキュリティ要素から前記リクエストの送信機に送信される、前記未許可のリクエストに対するアクノリッジメントを生成するステップと、
前記第1エンドポイントネットワークセキュリティ要素が、前記未許可のリクエストを記述した統計量を生成し、前記統計量を前記ネットワークの中央セキュリティサーバに転送するステップと、
を有し、
前記中央セキュリティサーバは、前記エンドポイントサーバのエンドポイントネットワークセキュリティ要素を含む前記分散ネットワークセキュリティシステムの処理のためのコントローラとして動作する方法。
【請求項2】
前記中央セキュリティサーバが、前記第1エンドポイントネットワークセキュリティ要素により生成された統計量に基づき、前記未許可のリクエストを含む未許可のネットワークトラフィックを解析するステップをさらに有する、請求項1記載の方法。
【請求項3】
前記アクノリッジメントを生成するステップは、リセット状態が存在することを決定し、リセットレスポンスの代わりにアクノリッジメントを送信することを含む、請求項1記載の方法。
【請求項4】
前記リクエストは、アクティブなネットワークアドレスにアドレス指定され、
前記未許可のリクエストは、アクティブなアドレスの未使用要素に関し、
前記未使用要素は、アクティブなIP(Internet Protocol)アドレスの未使用ポートである、請求項3記載の方法。
【請求項5】
前記第1エンドポイントネットワークセキュリティ要素は、前記エンドポイントサーバのオペレーティングシステムを使用することなく動作する、請求項1記載の方法。
【請求項6】
各エンドポイントネットワークセキュリティ要素は、各自のエンドポイントサーバに提供される未許可のリクエストのダークネット又はハニーポットを提供する、請求項1記載の方法。
【請求項7】
前記送信機に送信されるアクノリッジメントは、前記第1エンドポイントネットワークセキュリティ要素により生成されるTTL(Time To Live)値を含む、請求項1記載の方法。
【請求項8】
分散ネットワークセキュリティシステムを有するネットワークにおけるエンドポイントサーバであって、
前記ネットワークへのアクセスに対するリクエストを受信するためのインタフェースと、
メモリ内の命令を実行する1以上のプロセッサと、
を有し、
前記プロセッサは、
前記ネットワークへのアクセスに対する未許可のリクエストを検出するモジュールと、
前記検出された未許可のリクエストをエンドポイントネットワークセキュリティ要素に提供するエンドポイントネットワークセキュリティ要素と、
を有し、
前記検出された未許可のリクエストは、アクティブなIP(Internet Protocol)アドレスの未使用ポートであるアクティブなネットワークアドレスの未使用要素に対するリクエストを含み、
前記エンドポイントネットワークセキュリティ要素は、前記分散ネットワークセキュリティシステムの一部であって、前記ネットワーク上のサーバのエミュレーションを提供するよう動作可能であり、さらに前記未許可のリクエストの受信をアクノリッジするレスポンスを生成し、前記未許可のリクエストの送信機に提供よう動作可能であり、
前記エンドポイントネットワークセキュリティ要素は、前記未許可のリクエストを記述した統計量を生成し、前記統計量を前記分散ネットワークセキュリティシステムのエンドポイントネットワークセキュリティ要素のコントローラとして機能する中央ダークネットサーバに転送するエンドポイントサーバ。
【請求項9】
前記中央ダークネットサーバは、前記エンドポイントネットワークセキュリティ要素によって生成される統計量に基づき、前記分散ネットワークセキュリティシステムにおいて検出された未許可のネットワークトラフィックを解析する、請求項8記載のエンドポイントサーバ。
【請求項10】
前記エンドポイントネットワークセキュリティ要素は、当該エンドポイントサーバの1以上のプロセッサのための管理エンジンを含む、請求項8記載のエンドポイントサーバ。
【請求項11】
前記検出された未許可のリクエストは、TCP(Transport Control Protocol)接続を確立するためのリクエストを有し、
前記エンドポイントネットワークセキュリティ要素により前記送信機に提供されるリクエストに対するレスポンスは、アクノリッジメント及び同期(SYNACK)レスポンスである、請求項8記載のエンドポイントサーバ。
【請求項12】
前記エンドポイントネットワークセキュリティ要素は、当該エンドポイントサーバのオペレーティングシステムの関与なく動作する、請求項8記載のエンドポイントサーバ。
【請求項13】
ネットワークのための分散ネットワークセキュリティシステムであって、
エンドポイントサーバへのアクセスを提供するルータと、
前記ルータに接続される1以上のエンドポイントサーバと、
前記ネットワークの動作から独立した当該分散ネットワークセキュリティシステムのための中央セキュリティサーバと、
を有し、
前記1以上のエンドポイントサーバのそれぞれは、前記分散ネットワークセキュリティシステムのエンドポイントネットワークセキュリティ要素を有し、第1エンドポイントネットワークセキュリティ要素を含む第1エンドポイントサーバを含み、
前記第1エンドポイントネットワークセキュリティ要素は、未許可のリクエストを処理するために前記ルータに接続されるサーバのエミュレーションを生成するよう動作可能であり、前記ネットワークへのアクセスに対する未許可のリクエストを検出し、
前記第1エンドポイントサーバは、前記検出された未許可のリクエストを、前記第1エンドポイントサーバの第1エンドポイントネットワークセキュリティ要素に提供し、
前記第1エンドポイントネットワークセキュリティ要素は、受信した各未許可のリクエストのレスポンスを生成し、送信機に送信し、前記検出された未許可のリクエストに関する統計量を中央処理のために転送するよう動作可能であり、
前記中央セキュリティサーバは、前記分散ネットワークセキュリティシステムのエンドポイントネットワークセキュリティ要素のためのコントローラとして動作する分散ネットワークセキュリティシステム。
【請求項14】
前記中央セキュリティサーバは、前記第1エンドポイントネットワークセキュリティ要素と当該分散ネットワークセキュリティシステムの他のエンドポイントネットワークセキュリティ要素とから前記未許可のリクエストに関するデータを受信し、前記ネットワークの未許可のネットワークトラフィックを解析するために前記受信したデータを処理するよう動作可能である、請求項13記載の分散ネットワークセキュリティシステム。
【請求項15】
前記第1エンドポイントネットワークセキュリティ要素による前記リクエストに対するアクノリッジメントの生成は、リセット状態が存在すると決定し、リセットレスポンスの代わりにアクノリッジメントを送信することを含む、請求項13記載の分散ネットワークセキュリティシステム。
【請求項16】
前記第1エンドポイントサーバは、アクティブなネットワークアドレスの未使用要素に提供された未許可のリクエストを検出するよう動作可能であり、
前記未使用要素は、アクティブなIP(Internet Protocol)アドレスの未使用ポートである、請求項13記載の分散ネットワークセキュリティシステム。
【請求項17】
前記第1エンドポイントネットワークセキュリティ要素は、前記第1エンドポイントサーバのプロセッサのための管理エンジンを有する、請求項13記載の分散ネットワークセキュリティシステム。
【請求項18】
前記第1エンドポイントネットワークセキュリティ要素は、前記未許可のリクエストに関する統計量を前記中央セキュリティサーバに転送するため、前記第1エンドポイントネットワークセキュリティ要素と前記中央セキュリティサーバとの間のIPトンネルを開設するよう動作可能である、請求項13記載の分散ネットワークセキュリティシステム。
【請求項1】
コンピュータネットワークのためのハニーポット処理を提供する分散ネットワークセキュリティシステムのための方法であって、
各エンドポイントサーバは、エンドポイントネットワークセキュリティ要素を有し、
各エンドポイントネットワークセキュリティ要素は、前記分散ネットワークセキュリティシステムの一部であり、
当該方法は、
第1エンドポイントネットワークセキュリティ要素を有する第1エンドポイントサーバが、ネットワークへのアクセスに対するリクエストを送信機から受信するステップと、
前記ネットワークへのアクセスに対するリクエストが未許可のリクエストを含むことを検出するステップと、
前記第1エンドポイントサーバにより受信される未許可のリクエストを処理するためにサーバをエミュレートするよう実行可能な前記第1エンドポイントサーバの第1エンドポイントネットワークセキュリティ要素に前記未許可のリクエストを提供するステップと、
前記第1エンドポイントネットワークセキュリティ要素が、前記第1エンドポイントネットワークセキュリティ要素から前記リクエストの送信機に送信される、前記未許可のリクエストに対するアクノリッジメントを生成するステップと、
前記第1エンドポイントネットワークセキュリティ要素が、前記未許可のリクエストを記述した統計量を生成し、前記統計量を前記ネットワークの中央セキュリティサーバに転送するステップと、
を有し、
前記中央セキュリティサーバは、前記エンドポイントサーバのエンドポイントネットワークセキュリティ要素を含む前記分散ネットワークセキュリティシステムの処理のためのコントローラとして動作する方法。
【請求項2】
前記中央セキュリティサーバが、前記第1エンドポイントネットワークセキュリティ要素により生成された統計量に基づき、前記未許可のリクエストを含む未許可のネットワークトラフィックを解析するステップをさらに有する、請求項1記載の方法。
【請求項3】
前記アクノリッジメントを生成するステップは、リセット状態が存在することを決定し、リセットレスポンスの代わりにアクノリッジメントを送信することを含む、請求項1記載の方法。
【請求項4】
前記リクエストは、アクティブなネットワークアドレスにアドレス指定され、
前記未許可のリクエストは、アクティブなアドレスの未使用要素に関し、
前記未使用要素は、アクティブなIP(Internet Protocol)アドレスの未使用ポートである、請求項3記載の方法。
【請求項5】
前記第1エンドポイントネットワークセキュリティ要素は、前記エンドポイントサーバのオペレーティングシステムを使用することなく動作する、請求項1記載の方法。
【請求項6】
各エンドポイントネットワークセキュリティ要素は、各自のエンドポイントサーバに提供される未許可のリクエストのダークネット又はハニーポットを提供する、請求項1記載の方法。
【請求項7】
前記送信機に送信されるアクノリッジメントは、前記第1エンドポイントネットワークセキュリティ要素により生成されるTTL(Time To Live)値を含む、請求項1記載の方法。
【請求項8】
分散ネットワークセキュリティシステムを有するネットワークにおけるエンドポイントサーバであって、
前記ネットワークへのアクセスに対するリクエストを受信するためのインタフェースと、
メモリ内の命令を実行する1以上のプロセッサと、
を有し、
前記プロセッサは、
前記ネットワークへのアクセスに対する未許可のリクエストを検出するモジュールと、
前記検出された未許可のリクエストをエンドポイントネットワークセキュリティ要素に提供するエンドポイントネットワークセキュリティ要素と、
を有し、
前記検出された未許可のリクエストは、アクティブなIP(Internet Protocol)アドレスの未使用ポートであるアクティブなネットワークアドレスの未使用要素に対するリクエストを含み、
前記エンドポイントネットワークセキュリティ要素は、前記分散ネットワークセキュリティシステムの一部であって、前記ネットワーク上のサーバのエミュレーションを提供するよう動作可能であり、さらに前記未許可のリクエストの受信をアクノリッジするレスポンスを生成し、前記未許可のリクエストの送信機に提供よう動作可能であり、
前記エンドポイントネットワークセキュリティ要素は、前記未許可のリクエストを記述した統計量を生成し、前記統計量を前記分散ネットワークセキュリティシステムのエンドポイントネットワークセキュリティ要素のコントローラとして機能する中央ダークネットサーバに転送するエンドポイントサーバ。
【請求項9】
前記中央ダークネットサーバは、前記エンドポイントネットワークセキュリティ要素によって生成される統計量に基づき、前記分散ネットワークセキュリティシステムにおいて検出された未許可のネットワークトラフィックを解析する、請求項8記載のエンドポイントサーバ。
【請求項10】
前記エンドポイントネットワークセキュリティ要素は、当該エンドポイントサーバの1以上のプロセッサのための管理エンジンを含む、請求項8記載のエンドポイントサーバ。
【請求項11】
前記検出された未許可のリクエストは、TCP(Transport Control Protocol)接続を確立するためのリクエストを有し、
前記エンドポイントネットワークセキュリティ要素により前記送信機に提供されるリクエストに対するレスポンスは、アクノリッジメント及び同期(SYNACK)レスポンスである、請求項8記載のエンドポイントサーバ。
【請求項12】
前記エンドポイントネットワークセキュリティ要素は、当該エンドポイントサーバのオペレーティングシステムの関与なく動作する、請求項8記載のエンドポイントサーバ。
【請求項13】
ネットワークのための分散ネットワークセキュリティシステムであって、
エンドポイントサーバへのアクセスを提供するルータと、
前記ルータに接続される1以上のエンドポイントサーバと、
前記ネットワークの動作から独立した当該分散ネットワークセキュリティシステムのための中央セキュリティサーバと、
を有し、
前記1以上のエンドポイントサーバのそれぞれは、前記分散ネットワークセキュリティシステムのエンドポイントネットワークセキュリティ要素を有し、第1エンドポイントネットワークセキュリティ要素を含む第1エンドポイントサーバを含み、
前記第1エンドポイントネットワークセキュリティ要素は、未許可のリクエストを処理するために前記ルータに接続されるサーバのエミュレーションを生成するよう動作可能であり、前記ネットワークへのアクセスに対する未許可のリクエストを検出し、
前記第1エンドポイントサーバは、前記検出された未許可のリクエストを、前記第1エンドポイントサーバの第1エンドポイントネットワークセキュリティ要素に提供し、
前記第1エンドポイントネットワークセキュリティ要素は、受信した各未許可のリクエストのレスポンスを生成し、送信機に送信し、前記検出された未許可のリクエストに関する統計量を中央処理のために転送するよう動作可能であり、
前記中央セキュリティサーバは、前記分散ネットワークセキュリティシステムのエンドポイントネットワークセキュリティ要素のためのコントローラとして動作する分散ネットワークセキュリティシステム。
【請求項14】
前記中央セキュリティサーバは、前記第1エンドポイントネットワークセキュリティ要素と当該分散ネットワークセキュリティシステムの他のエンドポイントネットワークセキュリティ要素とから前記未許可のリクエストに関するデータを受信し、前記ネットワークの未許可のネットワークトラフィックを解析するために前記受信したデータを処理するよう動作可能である、請求項13記載の分散ネットワークセキュリティシステム。
【請求項15】
前記第1エンドポイントネットワークセキュリティ要素による前記リクエストに対するアクノリッジメントの生成は、リセット状態が存在すると決定し、リセットレスポンスの代わりにアクノリッジメントを送信することを含む、請求項13記載の分散ネットワークセキュリティシステム。
【請求項16】
前記第1エンドポイントサーバは、アクティブなネットワークアドレスの未使用要素に提供された未許可のリクエストを検出するよう動作可能であり、
前記未使用要素は、アクティブなIP(Internet Protocol)アドレスの未使用ポートである、請求項13記載の分散ネットワークセキュリティシステム。
【請求項17】
前記第1エンドポイントネットワークセキュリティ要素は、前記第1エンドポイントサーバのプロセッサのための管理エンジンを有する、請求項13記載の分散ネットワークセキュリティシステム。
【請求項18】
前記第1エンドポイントネットワークセキュリティ要素は、前記未許可のリクエストに関する統計量を前記中央セキュリティサーバに転送するため、前記第1エンドポイントネットワークセキュリティ要素と前記中央セキュリティサーバとの間のIPトンネルを開設するよう動作可能である、請求項13記載の分散ネットワークセキュリティシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2011−210273(P2011−210273A)
【公開日】平成23年10月20日(2011.10.20)
【国際特許分類】
【出願番号】特願2011−116659(P2011−116659)
【出願日】平成23年5月25日(2011.5.25)
【分割の表示】特願2007−334351(P2007−334351)の分割
【原出願日】平成19年12月26日(2007.12.26)
【出願人】(593096712)インテル コーポレイション (931)
【Fターム(参考)】
【公開日】平成23年10月20日(2011.10.20)
【国際特許分類】
【出願日】平成23年5月25日(2011.5.25)
【分割の表示】特願2007−334351(P2007−334351)の分割
【原出願日】平成19年12月26日(2007.12.26)
【出願人】(593096712)インテル コーポレイション (931)
【Fターム(参考)】
[ Back to top ]