ネットワーク侵入防止
本発明の一実施例によれば、ネットワーク攻撃を防止するシステムが提供される。このシステムは、プロセッサを有するコンピュータとコンピュータ可読媒体とを有する。このシステムはまた、コンピュータ可読媒体に格納されたシールドプログラムを有する。シールドプログラムは、プロセッサにより実行されたときに、ネットワークを対象とした攻撃に応じて、ネットワークの1つ以上のノードのそれぞれにエージェントを送信するように動作可能である。エージェントは、ノードでの攻撃の効力の低減を開始するように動作可能である。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、概してネットワークセキュリティに関し、特にネットワーク侵入防止に関する。
【背景技術】
【0002】
コンピュータウィルスのような手段を使用した電子攻撃はコンピュータネットワークを無効にする可能性があり、このことは、無数のマイナスの結果をもたらすことがある。このような結果を回避するために、ファイヤウォールのような装置及びネットワーク侵入検出システムが、入口点でコンピュータウィルスを検出してブロックすることを目指して、ネットワークの異なる入口点に配置される。しかし、これらの防御機構は、ワームのようないくつかのウィルスに対して十分に効率的でないことがある。ワームは、全体のネットワークに渡って迅速に広まり得る。
【発明の開示】
【課題を解決するための手段】
【0003】
一実施例によれば、ネットワーク攻撃を防止するシステムが提供される。このシステムは、プロセッサを有するコンピュータとコンピュータ可読媒体とを有する。このシステムはまた、コンピュータ可読媒体に格納されたシールドプログラムを有する。シールドプログラムは、プロセッサにより実行されたときに、ネットワークを対象とした攻撃に応じて、ネットワークの1つ以上のノードのそれぞれにエージェントを送信するように動作可能である。エージェントは、ノードでの攻撃の効力の低減を開始するように動作可能である。
【発明の効果】
【0004】
本発明の或る実施例は、多数の技術的利点を提供する。他の実施例は、これらの利点のうち一部又は全部を実現してもよく、実現しなくてもよい。例えば、一実施例によれば、ネットワークの一部又は全部のノードに防御及び/又は攻撃機構を送信することにより、ネットワーク攻撃に迅速に反応することができるネットワーク侵入防止方法及びシステムが提供される。他の実施例では、エンドホストレベルで防御及び/又は攻撃機構を配置することにより、ネットワーク侵入防止システムの効率及び機能が拡張される。他の実施例では、エンドホストレベルで防御/攻撃機構を配置し、攻撃のソースに対して攻撃的動作を開始するために比較的多くの数のエンドホスト装置を利用することにより、代替のネットワーク侵入防止方法が提供される。他の利点は、当業者に容易に確認できる。
【発明を実施するための最良の形態】
【0005】
添付図面と共に以下の説明に言及が行われる。添付図面において、同様の参照符号は同様の部分を表す。
【0006】
本発明の実施例は、図面の図1〜8を参照することにより最も理解される。同様の番号が様々な図面の同様の部分又は対応する部分に使用される。
【0007】
図1は、本発明の教示から利益を受け得るネットワーク環境10の一実施例を示す概略図である。環境10は、保護ネットワーク18とネットワーク14とを有する。ネットワーク14及び18は、回線20で相互に通信してもよく、回線20は、物理的及び/又は論理的通信パスでもよい。保護ネットワーク18は、入口点24を通じてネットワーク14及び/又は他のエンティティと通信する。従来では、ファイヤウォールが各入口点24に配置され、入口点24で入来データを選別し、ウィルス攻撃のような攻撃が検出されたときに通信の一部又は全部をブロックし得る。しかし、ファイヤウォールは、1つの入口点24に対して責任があるため、攻撃がネットワーク18の他の部分で生じたときに、ファイヤウォールの使用は非効率になることがあり、及び/又は、ファイヤウォールはウィルス又は他の形式の攻撃を見逃して入口点24を通過することを許容する。攻撃がワームのような迅速に広まる病原体である場合に、このことは特に問題になり得る。
【0008】
或る実施例によれば、攻撃が検出された後にネットワークの多数のノード又は全てのノードに防御及び/又は攻撃機構を送信することにより、ネットワーク攻撃に迅速に反応することができるネットワーク侵入防止方法及びシステムが提供される。或る実施例では、エンドホストレベルで防御及び/又は攻撃機構を配置することにより、ネットワーク侵入防止システムの効率及び機能が拡張される。他の実施例では、エンドホストレベルで防御/攻撃機構を配置し、攻撃のソースに対して攻撃的動作を開始するために比較的多くの数のエンドホスト装置を利用することにより、代替のネットワーク侵入防止方法が提供される。
【0009】
図1を参照すると、保護ネットワーク18は複数のノード30を有する。ノード30は、ネットワーク侵入検出システム(NIDS:network intrusion detection system)34a〜34cと、管理システム38a〜38eと、エンドホスト40a〜40dと、オペレータコンソール44とを有する。NIDS34a〜34cは、併せて及び/又は一般的にNIDS34と呼ばれ、管理システム38a〜38eは、併せて及び/又は一般的に管理システム38と呼ばれ、エンドホスト40a〜40dは併せて及び/又は一般的にエンドホスト40又はエンドホストノード40と呼ばれる。エンドホスト40がネットワーク18内のノード30及びネットワーク(ネットワーク14等)の他のノードと通信することができるように、NIDS34、管理システム38及びエンドホストノード40は通信可能に結合されている。ネットワーク侵入防止のためにノード30を構成するために使用され得る様々なアーキテクチャに関する更なる詳細は、図2及び3と共に以下に示される。
【0010】
NIDS34は、ネットワークトラヒックを走査し、走査されたトラヒックがネットワーク18への侵入を構成するか否かを決定するように動作可能である。NIDS34は、侵入が疑わしい場合又は検出された場合に、ネットワーク18を対象とした攻撃が生じていることを示すメッセージを送信するように動作可能である。或る実施例では、NIDS34は、サンプリング可能なように、ネットワーク18で入口点24に、又は入口点24とノード38/40との間に配置される。NIDS34が配置され得る論理区域はまた、ネットワーク18の“境界”とも呼ばれることがある。或る実施例では、NIDS34は、サーバ・ファームのようにネットワーク18の境界以外の位置に配置されてもよく、管理システム38のように他のノードに配置されてもよい。NIDS34の例は、SNORTとCisco IDS(CIDS)とSYMANTEC MANHUNTとを含み、これらに限定されない。
【0011】
管理システム38は、NIDS34からメッセージを受信し、これに応じて、自律エージェントを生成してエンドホスト40及び/又は他の管理システム38(図1に明示的に図示しない)に送信するように動作可能である。自律エージェントは、ネットワーク18を対象とした攻撃が生じていることを示す。自律エージェントは、防御/攻撃機能を実行するようにエンドホスト40で実行され得るコンピュータプログラムのような侵入防止機構を有してもよい。或る実施例では、管理システム38は、管理システム38により決定された特定の形式の攻撃に応じて、自律エージェントをカスタマイズしてもよい。例えば、管理システム38は、特定の活動が侵入を構成するか否かを決定することができなくてもよく、これに応じて特定の活動に関する何らかの情報を有するか否かを他のノードに問い合わせるように構成された自律エージェントを送信してもよい。或る実施例では、このような自律エージェントの送信は、このような照会の帯域の使用が最小化されるように、1日当たり特定の数に制限されてもよい。例えば、最大で4回のこのような自律エージェントの送信が、管理システム38で許容されてもよい。或る実施例では、侵入防止プログラムは、各ノード30に既にインストールされていてもよく、自律エージェントは、各ノード30の既にインストールされた侵入防止プログラムの実行を開始するトリガーとして機能してもよい。このような実施例では、侵入防止機構がエンドホスト40のような各ノード30に既にインストールされているため、自律エージェントは、侵入防止機構を有さなくてもよい。或る実施例では、ノード30間での帯域使用が低減されるため、このことは有利である。管理システム38は、1つ以上のNIDS34から受信した情報に基づいて、攻撃者の識別情報を決定するように動作可能な相関エンジン(図1に明示的に図示しない)を有してもよい。攻撃者の例示的な識別情報は、攻撃者のIPアドレスを含み、これに限定されない。或る実施例では、決定された攻撃者の識別情報は、他のノード30に送信される自律エージェントに含まれてもよい。
【0012】
エンドホスト40は、ユーザがネットワーク18内及びネットワーク18外で他のノードとネットワークトラヒックを通信することを可能にするコンピュータプラットフォームである。エンドホスト40はまた、データを格納するように動作可能である。エンドホスト40の例は、デスクトップコンピュータとラップトップコンピュータとを含むが、これらに限定されない。オペレータコンソール44は、オペレータが攻撃を含むネットワーク活動を監視し、ネットワーク18を保護するために適切な動作を行うことを可能にするコンピュータプラットフォームである。オペレータコンソール44は、ネットワーク18に対する攻撃に関するデータを含み、データを格納するように動作可能である。
【0013】
図1は、別々のノード30で、NIDS34と管理システム38とエンドホスト40とを図示しているが、或る実施例では、NIDS34と管理システム38とエンドホスト40とは、全ての3つのノード34、38及び40の機能を実行する1つのノード30に結合されてもよい。
【0014】
図2は、図1に示すネットワーク18で使用され得る侵入防止アーキテクチャ50の例を示す概略図である。アーキテクチャ50は、管理システム30とNIDS34とエンドホスト40とを有する。NIDS34は管理システム38に通信可能に結合され、管理システム38はエンドホスト40に通信可能に結合される。
【0015】
管理システム38は、異なる攻撃の署名からのパターンを認識し、攻撃者の識別情報のような特定の攻撃に関する結論を出すように動作可能である。相関エンジン54はまた、攻撃に関するデータを格納するために使用されてもよい。攻撃情報の格納及び配置に関する更なる詳細は、図6と共に以下に示される。或る実施例では、相関エンジン54は、自律エージェント60の送信を起動する総計の攻撃レベルの閾値を決定するように動作可能でもよい。この自律エージェント40は、指定の期間に指定の攻撃者のIPアドレス及びポートをブロックするようにエンドホスト40に指示してもよい。
【0016】
エンドホスト40は、自律エージェント60で侵入に従った防御及び/又は攻撃機能を実行するように動作可能な侵入防止シールドプログラム58を有する。シールドプログラム58は、自律エージェント60に含まれてもよく、エンドホスト40に予めインストールされてもよい防止プログラムを受信及び/又は実行するように動作可能である。或る実施例では、シールドプログラム58はコンピュータプログラムである。防止プログラムが既にエンドホスト40にインストールされている実施例では、自律エージェント60は、防止プログラムを有さない。従って、シールドプログラム58は、自律エージェント60を受信し、これに応じて、既にインストールされている防止プログラムの実行を開始するように動作可能である。或る実施例では、このことは、エンドホストレベルで防止の実行を起動するために管理システム38とエンドホスト40との間にあまり帯域が必要にならないため、有利である。
【0017】
防止プログラム及びシールドプログラム58は、所定の期間に異なる種類の防御的及び攻撃的動作を実行するように動作可能でもよい。防御手段の例は、自律エージェント60により特定された攻撃者との通信を中止することである。或る実施例では、防止プログラム及び/又はシールドプログラム58もまた、特定された攻撃者及び攻撃者であると疑われた他のエンティティとの通信を中止するように動作可能でもよい。他の防御的反応は、ログ記録(攻撃者からのデータフローのログ)、パケットのドロップ/回避(管理システム38から渡された署名から起動され得る特定のIPアドレス及びポートの拒否)、TCPのリセット(IPアドレス及びポートでの通信の却下)、ネットワークインタフェースカードのシャットダウン(攻撃者が高度侵入防止管理システム(Advanced Intrusion Prevention-managed sysmte)である場合)、攻撃のサンドボックス(IP接続を傍受し、有効性を実行/検査し、有効である場合には接続の実行を許容するためにサンドボックス(sandbox)を使用すること)、及びハニーポットへのプロキシ(IPアドレスが疑わしい場合、接続をハニーポットに変更する)を含み、これらに限定されない。
【0018】
攻撃手段の例は、PING、TCP同期/終了/承認、攻撃者の既知の脆弱性の行使(例えばログ記録から学習したもの)、不変のUDPストリームの送信、継続的なNetBiosセッション接続要求の開始、及び他のDDOS攻撃を含み、これらに限定されない。或る実施例では、これらの手段の1つ以上は、攻撃に応じた反撃として実施されてもよい。攻撃者がシールドプログラム58を有することが決定された場合、管理システム30は、攻撃者のネットワークインタフェースカードのシャットダウンを起動してもよい。多数又は全てのノード30がPING又は他の信号を攻撃者に大量に送る攻撃に関与しているため、本発明の或る実施例は、攻撃者からの攻撃をブロックするために使用され得るだけでなく、攻撃者を無効にするためにも使用され得る。
【0019】
動作中に、1つ以上のNIDS34は侵入を検出し、警告メッセージ62を管理システム34に送信してもよい。管理システム38の相関エンジン34は、警告メッセージ62の情報を分析し、攻撃についての特定の結論(例えば、検出されたコンピュータウィルスの形式、攻撃者の識別情報、類似/同一の攻撃者の履歴等)に達し、決定された情報の一部又は全部を有する自律エージェント60を1つ以上のエンドホスト40に送信する。自律エージェント60はまた、何の形式の防御/攻撃機能が実行されるべきかについての指示を有してもよい。或る実施例では、自律エージェント60は、SSLを用いてノード30間で通信してもよい。SSLは、暗号化と、自律エージェント60の整合性のデジタル署名とを提供する。
【0020】
自律エージェント60を受信したことに応じて、エンドホスト40のシールドプログラム58は、エンドホスト40で1つ以上の防止動作を実行する。防止プログラムがエンドホスト40に既にインストールされている或る実施例では、シールドプログラム58は、自律エージェント60を受信したことに応じて防止プログラムを実行する。防止プログラムがエンドホスト40にまだインストールされていない或る実施例では、シールドプログラム58は、自律エージェント60の一部として防止プログラムを受信し、防止プログラムをインストールする。次に、シールドプログラム58は、防止プログラムの実行を開始し、これにより1つ以上の防止動作がエンドホスト40により実行され得る。エンドホスト40は、自律エージェント60を他のエンドホスト40に送信してもよい。エンドホスト40はまた、管理システム38により要求されたときに、自律エージェント60を管理システム38に送信してもよい。
【0021】
図3は、侵入防止アーキテクチャ80の例を示す概略図である。アーキテクチャ80は管理システム38f〜38iを有し、各管理システム38f〜38iはシールドプログラム58とNIDS34とを有する。図3に示すアーキテクチャ80のようなアーキテクチャでは、ノード30f〜38iのようなノード30は、ネットワーク18を対象とした侵入を検出し、自律エージェント60を他のノード30に送信するように動作可能である。例えば、図3に示す管理システム38fは、NIDS34を使用して侵入を検出し、これに応じて、自律エージェント60を管理システム38g、38h及び38iに送信してもよい。自律エージェント60を受信したことに応じて、管理システム38g、38h及び38iは、自律エージェント60を1つ以上の他のノード30にそれぞれ送信する。次に、他のノード30は、自律エージェント60を受信していない他のノード30に自律エージェント60をそれぞれ送信する。全てのノード30が自律エージェント60を受信するまで、エージェント60の送信はこのように続く。管理システム38gのような他の管理システム38は、ネットワーク侵入を検出し、自律エージェント60の類似のチェーン分配を開始してもよい。自律エージェント60を受信したことに応じて、各管理システム38g、38h、38i、及び自律エージェント60を受信した他のノード30もまた、既にインストールされていてもよい保護プログラムを実行してもよい。例えば、管理システム38gのシールドプログラム58は、自律エージェント60を受信し、これに応じて、既にインストールされている保護プログラム実行する。保護プログラムが管理システム38f〜38iにインストールされていない或る実施例では、自律エージェント60は、管理システム38f〜38iの各シールドプログラム58によるインストール及び実行のための保護プログラムを有する。図4に示すような実施例では、管理システム38は、“エンドホスト”又は“エンドホストレベル”を構成してもよい。図4に示す実施例の管理システム38はまた、NIDS34の機能を実行することができるため、或る実施例では、NIDS34の機能は必ずしもネットワーク18の境界で実行される必要がない。自律エージェント60は、様々な分配プランを通じて、保護ネットワーク18の一部又は全部のノード30に送信されてもよい。自律エージェント60をネットワーク18の一部又は全部に送信する例示的なプランは、図4及び5と共に以下に記載される。
【0022】
図4は、図1に示す一部又は全部のノード30に自律エージェント60を送信するために使用され得る割り当てられた伝搬プラン100の一実施例を示す概略図である。アーキテクチャ100は、“レベル0”(図4で“L0”として示す)が、侵入が最初に検出される場所であることを仮定する。一例として、ノード30aは、NIDS34を使用して侵入を検出してもよい。侵入を検出すると、ノード30aは、自律エージェント60をノード30bに送信する。ノード30bは同じレベル0にある。ノード30aはまた、侵入を検出した後に、自律エージェント60をレベル1(図4で“L1”として示す)のノード30c及び30dに送信する。自律エージェント60を受信した後に、ノード30c及び30dは、自律エージェントを他の割り当てられたノード30に送信してもよい。
【0023】
ノード30aから自律エージェント60を受信した後に、ノード30bは、自律エージェント60をレベル1のノード30e及び30fに送信するように動作可能である。自律エージェント60を受信した後に、ノード30eは、自律エージェント60をレベル2(図2で“L2”として示す)のノード30g及び30hに送信する。自律エージェント60を受信した後に、ノード30fは、自律エージェント60をレベル2のノード30i及び30sに送信する。プラン100は、各ノード30が自律エージェント60を受信したことに応じて2つの他のノードに自律エージェント60を送信することを示しているが、如何なる数のノード30が自律エージェント60の受信者になってもよい。例えば、ノード30bは、自律エージェント60をレベル1の1つ、2つ、3つ又はそれ以上のノード30に送信してもよい。3つのレベルのみが図4に図示されているが、ノード数と保護ネットワーク18の特定のアーキテクチャとに応じて、(図4で“LN”として示すレベルNで示すように)如何なる数のレベルが存在してもよい。自律エージェント60を受信したことに応じて自律エージェント60を1つ以上の他のノード30に送信するように各ノード30を割り当てることにより、ネットワーク18を対象とした攻撃を認識したノード30の数が急激且つ迅速に増加し、ワームのようなウィルスへのタイムリーな反応が可能になる。或る実施例では、ネットワーク18の全てのノード30が、自律エージェント60のチェーン分配を使用して通知されてもよい。或る実施例では、特定の攻撃を受けやすいと決定されたノード30のみが、自律エージェント60のチェーン分配を使用して通知されてもよい。
【0024】
図5は、隣接ノード30への自律エージェント60の伝搬プラン120の一実施例を示す概略図である。自律エージェントを送信する割り当てで各ノード30をプログラムするのではなく、図5に示すような或る実施例では、ノード30は、自律エージェントを通信可能な次のレベルの各ノード30に送信するようにプログラムされてもよい。例えば、レベル0にあるノード30jは、侵入を検出し、自律エージェントをレベル1のノード30k及び30lに送信する。ノード30jはノード30k及び30lと既に確立された通信パスを有しているため、ノード30jは自律エージェントをノード30k及び30lに送信する。ノード30jから自律エージェントを受信したことに応じて、ノード30kは、自律エージェントをレベル2のノード30mに送信する。レベル1のノード30lは、ノード30jから自律エージェントを受信したことに応じて、レベル2のノード30nに自律エージェントを送信する。或る実施例では、ノード30mは、ノード30mと同じレベルにあるノードである30nと確立された通信パスを有してもよいが、このような送信は回避されるか、同じレベルの他のノードから送信されたため、受信ノード(この場合にはノード30n)は単に自律エージェントを無視する。このような規則は、ノード30間での重複した通信のレベルを低減するために実装されてもよい。このことは、帯域使用のレベルを低減する。
【0025】
ノード30kから自律エージェントを受信した後に、ノード30mは自律エージェントをノード30rに送信する。ノード30lから自律エージェントを受信したことに応じて、ノード30nはノード30p及び30qと確立された通信パスを有しているため、ノード30nは、自律エージェントをレベル3のノード30p及び30qに送信する。プラン120は、それぞれ図2及び3に示す双方のアーキテクチャ50及び80で使用され得る。それぞれ図4及び5に示すプラン100及び120は、1つのノード30が攻撃されることがあるが、同じネットワークの他のノード30が攻撃に気付かないことがある無線環境で特に有利である。
【0026】
1つ以上のノード30はまた、“全モード”でプログラムされてもよい。“全モード”は、1つ以上のノード30が各サブネット又は全体ネットワーク18内の全ての他のノード30に自律エージェント60をブロードキャスト又はマルチキャストするモードである。このようなモードは、割り当て又は既存の関係により1つのノード30が通信することになっている一部又は全ての他のノード30と1つのノード30が通信できないときに起動されてもよい。例えば、再び図4を参照して、何らかの理由でノード30eがノード30g及び30hと通信することができない場合(例えばノード30g及び30gが感染又は無効又は動作不能である場合)、ノード30eは“全モード”になり、自律エージェント60をサブネット内の全てのノード30にブロードキャストする1つ以上の試みを行う。このようなモードは、技術的問題又は感染のため1つ以上のノード30が無効である場合に、自律エージェントがネットワーク18内のできるだけ多くのノードに広められることを確保する。
【0027】
図6は、図1のネットワーク18を対象とした攻撃についての情報を見つけるために使用され得るアドレスに基づく論理マップ150を示す論理フローチャートである。図6のそれぞれの円は、判定又は選択が行われる接点を表す。図6のそれぞれの矢印は、1つの接点から次の接点に導く判定パスを表す。論理マップ150は、適切な情報が見つかるまで攻撃者の識別情報の部分が1つの接点から次の接点に移動するように、1つ以上の攻撃に関する情報がデータ構造で見つかるように配置されている。論理マップ150は、それぞれIPアドレス“10.10.2.20”及び“10.10.9.87”を有する2人の攻撃者がネットワーク18での攻撃の履歴を有する例示的なシナリオを使用して記載されている。この例はまた、攻撃者“10.10.2.20”がネットワーク18で57の攻撃を実行しており、57の攻撃に関する情報が管理システム38に送信されていることを仮定する。同じ例示的なシナリオで、攻撃者“10.10.9.87”がネットワーク18で109の攻撃を実行しており、109の攻撃に関する情報が管理システム38に送信されたことを仮定する。データは、図2に示す管理システム38の相関エンジン54を使用して、論理マップ150に従って格納されて見つけられ得る。
【0028】
接点154において、攻撃者のIPアドレスのオクテットAが検査され、何のパスが取られるべきかを決定する。攻撃者の攻撃情報が攻撃者のIPアドレスを使用して見つかるため、攻撃者のIPアドレスの一部に基づいて各パスが選択される。この例では、攻撃者“10.10.2.20”及び“10.10.9.87”の双方がオクテットAとして“10”を有する。従って、“10”のオクテットAの値に対応するパス190に続く。しかし、オクテットAが異なる値(1〜9又は11〜255の間の何らかの数)である場合、他の接点への、特定の値に対応する異なるパスが取られてもよい。接点158において、攻撃者のアドレスのオクテットBが検査される。この例では、攻撃者“10.10.2.20”及び“10.10.9.87”の双方が“10”のオクテットBの値を有する。従って、接点160へのパス154が取られる。接点160において、オクテットCが検査される。この例では、攻撃者“10.10.2.20”は“2”のオクテットCの値を有しているため、“10.10.2.20”に関連する情報の検索は、接点164へのパス198に従う。接点164で、“10.10.2.20”のオクテットDが検査される。攻撃者“10.10.2.20”は“20”のオクテットDの値を有するため、インシデントキュー168へのパス204に続く。インシデントキュー168で、“10.10.2.20”のIPアドレスに関連する攻撃イベント170〜174に関する情報が見つかる。
【0029】
接点160を参照すると、攻撃者“10.10.9.87”は“9”のオクテットCの値を有するため、“10.10.9.87”に関する情報の検索は、接点178へのパス200に従う。接点178で、攻撃者のアドレスのオクテットDの値が決定される。攻撃者“10.10.9.87”が“87”のオクテットDの値を有するため、インシデントキュー180へのパス208に続く。インシデントキュー180で、“10.10.9.87”のIPアドレスに関連する攻撃イベント184〜188に関する情報が見つかる。或る実施例で攻撃者のIPアドレスのオクテット値に基づいて攻撃に関する情報を格納することは有利である。この理由は、情報を見つけて格納することが効率的になるからである。
【0030】
図7は、オペレータがネットワーク状態の認識を維持することを可能にするために、図1に示すコンソール44のようなオペレータコンソールで表示され得るグラフィックユーザインタフェース(GUI)を示す概略図である。或る実施例では、GUI220は、オペレータにより迅速な注意を必要とし得る攻撃者の識別情報を表示する。このような表示は、重要な出来事に反応する機能をオペレータに提供し得る。重要な出来事は、保護ネットワークへの損害のレベルより小さくてもよい。
【0031】
GUI220は、パネル224とパネル228とを有する。パネル224は、攻撃者のアドレスのリスト234を表示し、パネル228は、ハイライトされた攻撃者238に関する情報を有する。例えば図7に示すように、アドレス“10.10.10.10”がハイライトされており、参照番号238を使用して特定されている。オペレータがこのアドレスを選択したため、パネル228に示される全ての情報は、ハイライトされたアドレスに関連する。攻撃者のアドレスのリストは、最も悪質な攻撃者が最初に記載されるように優先付けられてもよい。例えば、攻撃者“10.10.10.10”が最も悪質な攻撃者であり、攻撃者“10.12.10.101”が次に悪質な攻撃者であり、以下同様である。
【0032】
パネル228に表示される情報は列に構成される。列230は、攻撃イベント毎の特定の優先レベルを示す。列240は、イベント名を示し、この例では“TELNET”である。列224は、各攻撃の日時を記載する。列248は、攻撃を検出した特定のノード30を特定する。列250は、攻撃毎の攻撃者の識別情報を記載する。或る実施例では、パネル224に示す選択されたアドレス毎の全ての攻撃情報は、図6に示す論理マップ150を使用して見つけられ得る。しかし、特定された攻撃者毎に攻撃情報を格納して見つけるための他の適切な方法が使用されてもよい。特定の攻撃者及び関連する攻撃に関する情報を表示する一例が図7のGUIを使用して図示されているが、何らかの適切なレイアウトが使用されてもよい。
【0033】
図8は、図1に示すネットワーク18のようなネットワークの侵入を防止する方法300の一実施例を示すフローチャートである。方法300の一部又は全部の動作は、それぞれ図2及び3に示す例示的なアーキテクチャ50及び80を使用して実施されてもよい。しかし、何らかの適切な装置又は装置の組み合わせが方法300を実施するために使用されてもよい。方法300の或る実施例を記載するために、図1、2及び3に示すネットワーク18、ノード30並びにアーキテクチャ50及び80が使用される。しかし、方法300の実施は、以下に示す説明に限定されない。
【0034】
方法300はステップ304で始まる。ステップ308において、ノード30は、ネットワーク18を対象とした攻撃が生じていることを決定する。ステップ308のノード30は、侵入検出機能を有するNDIS34又は管理システム38でもよい。このような管理システム38の例は、図3に示す管理システム38fである。ステップ310において、自律エージェント60は、1つ以上のエンドホスト40及び/又は1つ以上の管理システム38に送信される。自律エージェント60を受信したことに応じて、ステップ314において、自律エージェント60を受信したエンドホスト40及び/又は管理システム38は、防御的及び/又は攻撃的動作を実行する。或る実施例では、管理システム38もまた、自律エージェント60を他のエンドホスト40及び/又は管理システム38に送信してもよい。或る実施例では、それぞれ図4及び5に示す伝搬プラン100及び120がチェーン分配を行うために使用されてもよい。
【0035】
ステップ318において、管理システム38の相関エンジン54は、攻撃の重要度に基づいて攻撃者の優先リストを維持してもよい。ステップ320において、図6と共に記載したように、各攻撃に関する情報が攻撃者の識別情報により分類されてもよい。しかし、他の適切な格納方法が使用されてもよい。ステップ324において、攻撃者リストと各攻撃者に関連する攻撃に関する情報とが、コンソール44のような適切なオペレータコンソールを使用して表示され、図7に示すフォーマットで表示されてもよい。方法300はステップ328で終了する。
【0036】
本発明のいくつかの実施例について詳細に説明したが、特許請求の範囲に記載の本発明の要旨及び範囲を逸脱することなく、様々な変更、置換及び代替が行われ得ることがわかる。
【図面の簡単な説明】
【0037】
【図1】本発明の教示から利益を受け得るネットワーク環境の一実施例を示す概略図
【図2】図1の環境で使用され得る侵入防止アーキテクチャの一実施例を示す図
【図3】図1の環境で使用され得る侵入防止アーキテクチャの一実施例を示す図
【図4】図2又は図3の例示的なアーキテクチャ内における自律エージェントの割り当てられた伝搬の一実施例を示す概略図
【図5】図2又は図3の例示的なアーキテクチャ内における隣接ノードへの自律エージェントの伝搬の一実施例を示す概略図
【図6】図1のネットワークを対象とした攻撃についての情報が見つかり得るアドレスに基づく論理パスを示す論理フローチャート
【図7】図2又は図3の例示的なアーキテクチャと共に使用され得るグラフィックユーザインタフェースの一実施例を示す概略図
【図8】ネットワーク侵入防止方法の一実施例を示すフローチャート
【技術分野】
【0001】
本発明は、概してネットワークセキュリティに関し、特にネットワーク侵入防止に関する。
【背景技術】
【0002】
コンピュータウィルスのような手段を使用した電子攻撃はコンピュータネットワークを無効にする可能性があり、このことは、無数のマイナスの結果をもたらすことがある。このような結果を回避するために、ファイヤウォールのような装置及びネットワーク侵入検出システムが、入口点でコンピュータウィルスを検出してブロックすることを目指して、ネットワークの異なる入口点に配置される。しかし、これらの防御機構は、ワームのようないくつかのウィルスに対して十分に効率的でないことがある。ワームは、全体のネットワークに渡って迅速に広まり得る。
【発明の開示】
【課題を解決するための手段】
【0003】
一実施例によれば、ネットワーク攻撃を防止するシステムが提供される。このシステムは、プロセッサを有するコンピュータとコンピュータ可読媒体とを有する。このシステムはまた、コンピュータ可読媒体に格納されたシールドプログラムを有する。シールドプログラムは、プロセッサにより実行されたときに、ネットワークを対象とした攻撃に応じて、ネットワークの1つ以上のノードのそれぞれにエージェントを送信するように動作可能である。エージェントは、ノードでの攻撃の効力の低減を開始するように動作可能である。
【発明の効果】
【0004】
本発明の或る実施例は、多数の技術的利点を提供する。他の実施例は、これらの利点のうち一部又は全部を実現してもよく、実現しなくてもよい。例えば、一実施例によれば、ネットワークの一部又は全部のノードに防御及び/又は攻撃機構を送信することにより、ネットワーク攻撃に迅速に反応することができるネットワーク侵入防止方法及びシステムが提供される。他の実施例では、エンドホストレベルで防御及び/又は攻撃機構を配置することにより、ネットワーク侵入防止システムの効率及び機能が拡張される。他の実施例では、エンドホストレベルで防御/攻撃機構を配置し、攻撃のソースに対して攻撃的動作を開始するために比較的多くの数のエンドホスト装置を利用することにより、代替のネットワーク侵入防止方法が提供される。他の利点は、当業者に容易に確認できる。
【発明を実施するための最良の形態】
【0005】
添付図面と共に以下の説明に言及が行われる。添付図面において、同様の参照符号は同様の部分を表す。
【0006】
本発明の実施例は、図面の図1〜8を参照することにより最も理解される。同様の番号が様々な図面の同様の部分又は対応する部分に使用される。
【0007】
図1は、本発明の教示から利益を受け得るネットワーク環境10の一実施例を示す概略図である。環境10は、保護ネットワーク18とネットワーク14とを有する。ネットワーク14及び18は、回線20で相互に通信してもよく、回線20は、物理的及び/又は論理的通信パスでもよい。保護ネットワーク18は、入口点24を通じてネットワーク14及び/又は他のエンティティと通信する。従来では、ファイヤウォールが各入口点24に配置され、入口点24で入来データを選別し、ウィルス攻撃のような攻撃が検出されたときに通信の一部又は全部をブロックし得る。しかし、ファイヤウォールは、1つの入口点24に対して責任があるため、攻撃がネットワーク18の他の部分で生じたときに、ファイヤウォールの使用は非効率になることがあり、及び/又は、ファイヤウォールはウィルス又は他の形式の攻撃を見逃して入口点24を通過することを許容する。攻撃がワームのような迅速に広まる病原体である場合に、このことは特に問題になり得る。
【0008】
或る実施例によれば、攻撃が検出された後にネットワークの多数のノード又は全てのノードに防御及び/又は攻撃機構を送信することにより、ネットワーク攻撃に迅速に反応することができるネットワーク侵入防止方法及びシステムが提供される。或る実施例では、エンドホストレベルで防御及び/又は攻撃機構を配置することにより、ネットワーク侵入防止システムの効率及び機能が拡張される。他の実施例では、エンドホストレベルで防御/攻撃機構を配置し、攻撃のソースに対して攻撃的動作を開始するために比較的多くの数のエンドホスト装置を利用することにより、代替のネットワーク侵入防止方法が提供される。
【0009】
図1を参照すると、保護ネットワーク18は複数のノード30を有する。ノード30は、ネットワーク侵入検出システム(NIDS:network intrusion detection system)34a〜34cと、管理システム38a〜38eと、エンドホスト40a〜40dと、オペレータコンソール44とを有する。NIDS34a〜34cは、併せて及び/又は一般的にNIDS34と呼ばれ、管理システム38a〜38eは、併せて及び/又は一般的に管理システム38と呼ばれ、エンドホスト40a〜40dは併せて及び/又は一般的にエンドホスト40又はエンドホストノード40と呼ばれる。エンドホスト40がネットワーク18内のノード30及びネットワーク(ネットワーク14等)の他のノードと通信することができるように、NIDS34、管理システム38及びエンドホストノード40は通信可能に結合されている。ネットワーク侵入防止のためにノード30を構成するために使用され得る様々なアーキテクチャに関する更なる詳細は、図2及び3と共に以下に示される。
【0010】
NIDS34は、ネットワークトラヒックを走査し、走査されたトラヒックがネットワーク18への侵入を構成するか否かを決定するように動作可能である。NIDS34は、侵入が疑わしい場合又は検出された場合に、ネットワーク18を対象とした攻撃が生じていることを示すメッセージを送信するように動作可能である。或る実施例では、NIDS34は、サンプリング可能なように、ネットワーク18で入口点24に、又は入口点24とノード38/40との間に配置される。NIDS34が配置され得る論理区域はまた、ネットワーク18の“境界”とも呼ばれることがある。或る実施例では、NIDS34は、サーバ・ファームのようにネットワーク18の境界以外の位置に配置されてもよく、管理システム38のように他のノードに配置されてもよい。NIDS34の例は、SNORTとCisco IDS(CIDS)とSYMANTEC MANHUNTとを含み、これらに限定されない。
【0011】
管理システム38は、NIDS34からメッセージを受信し、これに応じて、自律エージェントを生成してエンドホスト40及び/又は他の管理システム38(図1に明示的に図示しない)に送信するように動作可能である。自律エージェントは、ネットワーク18を対象とした攻撃が生じていることを示す。自律エージェントは、防御/攻撃機能を実行するようにエンドホスト40で実行され得るコンピュータプログラムのような侵入防止機構を有してもよい。或る実施例では、管理システム38は、管理システム38により決定された特定の形式の攻撃に応じて、自律エージェントをカスタマイズしてもよい。例えば、管理システム38は、特定の活動が侵入を構成するか否かを決定することができなくてもよく、これに応じて特定の活動に関する何らかの情報を有するか否かを他のノードに問い合わせるように構成された自律エージェントを送信してもよい。或る実施例では、このような自律エージェントの送信は、このような照会の帯域の使用が最小化されるように、1日当たり特定の数に制限されてもよい。例えば、最大で4回のこのような自律エージェントの送信が、管理システム38で許容されてもよい。或る実施例では、侵入防止プログラムは、各ノード30に既にインストールされていてもよく、自律エージェントは、各ノード30の既にインストールされた侵入防止プログラムの実行を開始するトリガーとして機能してもよい。このような実施例では、侵入防止機構がエンドホスト40のような各ノード30に既にインストールされているため、自律エージェントは、侵入防止機構を有さなくてもよい。或る実施例では、ノード30間での帯域使用が低減されるため、このことは有利である。管理システム38は、1つ以上のNIDS34から受信した情報に基づいて、攻撃者の識別情報を決定するように動作可能な相関エンジン(図1に明示的に図示しない)を有してもよい。攻撃者の例示的な識別情報は、攻撃者のIPアドレスを含み、これに限定されない。或る実施例では、決定された攻撃者の識別情報は、他のノード30に送信される自律エージェントに含まれてもよい。
【0012】
エンドホスト40は、ユーザがネットワーク18内及びネットワーク18外で他のノードとネットワークトラヒックを通信することを可能にするコンピュータプラットフォームである。エンドホスト40はまた、データを格納するように動作可能である。エンドホスト40の例は、デスクトップコンピュータとラップトップコンピュータとを含むが、これらに限定されない。オペレータコンソール44は、オペレータが攻撃を含むネットワーク活動を監視し、ネットワーク18を保護するために適切な動作を行うことを可能にするコンピュータプラットフォームである。オペレータコンソール44は、ネットワーク18に対する攻撃に関するデータを含み、データを格納するように動作可能である。
【0013】
図1は、別々のノード30で、NIDS34と管理システム38とエンドホスト40とを図示しているが、或る実施例では、NIDS34と管理システム38とエンドホスト40とは、全ての3つのノード34、38及び40の機能を実行する1つのノード30に結合されてもよい。
【0014】
図2は、図1に示すネットワーク18で使用され得る侵入防止アーキテクチャ50の例を示す概略図である。アーキテクチャ50は、管理システム30とNIDS34とエンドホスト40とを有する。NIDS34は管理システム38に通信可能に結合され、管理システム38はエンドホスト40に通信可能に結合される。
【0015】
管理システム38は、異なる攻撃の署名からのパターンを認識し、攻撃者の識別情報のような特定の攻撃に関する結論を出すように動作可能である。相関エンジン54はまた、攻撃に関するデータを格納するために使用されてもよい。攻撃情報の格納及び配置に関する更なる詳細は、図6と共に以下に示される。或る実施例では、相関エンジン54は、自律エージェント60の送信を起動する総計の攻撃レベルの閾値を決定するように動作可能でもよい。この自律エージェント40は、指定の期間に指定の攻撃者のIPアドレス及びポートをブロックするようにエンドホスト40に指示してもよい。
【0016】
エンドホスト40は、自律エージェント60で侵入に従った防御及び/又は攻撃機能を実行するように動作可能な侵入防止シールドプログラム58を有する。シールドプログラム58は、自律エージェント60に含まれてもよく、エンドホスト40に予めインストールされてもよい防止プログラムを受信及び/又は実行するように動作可能である。或る実施例では、シールドプログラム58はコンピュータプログラムである。防止プログラムが既にエンドホスト40にインストールされている実施例では、自律エージェント60は、防止プログラムを有さない。従って、シールドプログラム58は、自律エージェント60を受信し、これに応じて、既にインストールされている防止プログラムの実行を開始するように動作可能である。或る実施例では、このことは、エンドホストレベルで防止の実行を起動するために管理システム38とエンドホスト40との間にあまり帯域が必要にならないため、有利である。
【0017】
防止プログラム及びシールドプログラム58は、所定の期間に異なる種類の防御的及び攻撃的動作を実行するように動作可能でもよい。防御手段の例は、自律エージェント60により特定された攻撃者との通信を中止することである。或る実施例では、防止プログラム及び/又はシールドプログラム58もまた、特定された攻撃者及び攻撃者であると疑われた他のエンティティとの通信を中止するように動作可能でもよい。他の防御的反応は、ログ記録(攻撃者からのデータフローのログ)、パケットのドロップ/回避(管理システム38から渡された署名から起動され得る特定のIPアドレス及びポートの拒否)、TCPのリセット(IPアドレス及びポートでの通信の却下)、ネットワークインタフェースカードのシャットダウン(攻撃者が高度侵入防止管理システム(Advanced Intrusion Prevention-managed sysmte)である場合)、攻撃のサンドボックス(IP接続を傍受し、有効性を実行/検査し、有効である場合には接続の実行を許容するためにサンドボックス(sandbox)を使用すること)、及びハニーポットへのプロキシ(IPアドレスが疑わしい場合、接続をハニーポットに変更する)を含み、これらに限定されない。
【0018】
攻撃手段の例は、PING、TCP同期/終了/承認、攻撃者の既知の脆弱性の行使(例えばログ記録から学習したもの)、不変のUDPストリームの送信、継続的なNetBiosセッション接続要求の開始、及び他のDDOS攻撃を含み、これらに限定されない。或る実施例では、これらの手段の1つ以上は、攻撃に応じた反撃として実施されてもよい。攻撃者がシールドプログラム58を有することが決定された場合、管理システム30は、攻撃者のネットワークインタフェースカードのシャットダウンを起動してもよい。多数又は全てのノード30がPING又は他の信号を攻撃者に大量に送る攻撃に関与しているため、本発明の或る実施例は、攻撃者からの攻撃をブロックするために使用され得るだけでなく、攻撃者を無効にするためにも使用され得る。
【0019】
動作中に、1つ以上のNIDS34は侵入を検出し、警告メッセージ62を管理システム34に送信してもよい。管理システム38の相関エンジン34は、警告メッセージ62の情報を分析し、攻撃についての特定の結論(例えば、検出されたコンピュータウィルスの形式、攻撃者の識別情報、類似/同一の攻撃者の履歴等)に達し、決定された情報の一部又は全部を有する自律エージェント60を1つ以上のエンドホスト40に送信する。自律エージェント60はまた、何の形式の防御/攻撃機能が実行されるべきかについての指示を有してもよい。或る実施例では、自律エージェント60は、SSLを用いてノード30間で通信してもよい。SSLは、暗号化と、自律エージェント60の整合性のデジタル署名とを提供する。
【0020】
自律エージェント60を受信したことに応じて、エンドホスト40のシールドプログラム58は、エンドホスト40で1つ以上の防止動作を実行する。防止プログラムがエンドホスト40に既にインストールされている或る実施例では、シールドプログラム58は、自律エージェント60を受信したことに応じて防止プログラムを実行する。防止プログラムがエンドホスト40にまだインストールされていない或る実施例では、シールドプログラム58は、自律エージェント60の一部として防止プログラムを受信し、防止プログラムをインストールする。次に、シールドプログラム58は、防止プログラムの実行を開始し、これにより1つ以上の防止動作がエンドホスト40により実行され得る。エンドホスト40は、自律エージェント60を他のエンドホスト40に送信してもよい。エンドホスト40はまた、管理システム38により要求されたときに、自律エージェント60を管理システム38に送信してもよい。
【0021】
図3は、侵入防止アーキテクチャ80の例を示す概略図である。アーキテクチャ80は管理システム38f〜38iを有し、各管理システム38f〜38iはシールドプログラム58とNIDS34とを有する。図3に示すアーキテクチャ80のようなアーキテクチャでは、ノード30f〜38iのようなノード30は、ネットワーク18を対象とした侵入を検出し、自律エージェント60を他のノード30に送信するように動作可能である。例えば、図3に示す管理システム38fは、NIDS34を使用して侵入を検出し、これに応じて、自律エージェント60を管理システム38g、38h及び38iに送信してもよい。自律エージェント60を受信したことに応じて、管理システム38g、38h及び38iは、自律エージェント60を1つ以上の他のノード30にそれぞれ送信する。次に、他のノード30は、自律エージェント60を受信していない他のノード30に自律エージェント60をそれぞれ送信する。全てのノード30が自律エージェント60を受信するまで、エージェント60の送信はこのように続く。管理システム38gのような他の管理システム38は、ネットワーク侵入を検出し、自律エージェント60の類似のチェーン分配を開始してもよい。自律エージェント60を受信したことに応じて、各管理システム38g、38h、38i、及び自律エージェント60を受信した他のノード30もまた、既にインストールされていてもよい保護プログラムを実行してもよい。例えば、管理システム38gのシールドプログラム58は、自律エージェント60を受信し、これに応じて、既にインストールされている保護プログラム実行する。保護プログラムが管理システム38f〜38iにインストールされていない或る実施例では、自律エージェント60は、管理システム38f〜38iの各シールドプログラム58によるインストール及び実行のための保護プログラムを有する。図4に示すような実施例では、管理システム38は、“エンドホスト”又は“エンドホストレベル”を構成してもよい。図4に示す実施例の管理システム38はまた、NIDS34の機能を実行することができるため、或る実施例では、NIDS34の機能は必ずしもネットワーク18の境界で実行される必要がない。自律エージェント60は、様々な分配プランを通じて、保護ネットワーク18の一部又は全部のノード30に送信されてもよい。自律エージェント60をネットワーク18の一部又は全部に送信する例示的なプランは、図4及び5と共に以下に記載される。
【0022】
図4は、図1に示す一部又は全部のノード30に自律エージェント60を送信するために使用され得る割り当てられた伝搬プラン100の一実施例を示す概略図である。アーキテクチャ100は、“レベル0”(図4で“L0”として示す)が、侵入が最初に検出される場所であることを仮定する。一例として、ノード30aは、NIDS34を使用して侵入を検出してもよい。侵入を検出すると、ノード30aは、自律エージェント60をノード30bに送信する。ノード30bは同じレベル0にある。ノード30aはまた、侵入を検出した後に、自律エージェント60をレベル1(図4で“L1”として示す)のノード30c及び30dに送信する。自律エージェント60を受信した後に、ノード30c及び30dは、自律エージェントを他の割り当てられたノード30に送信してもよい。
【0023】
ノード30aから自律エージェント60を受信した後に、ノード30bは、自律エージェント60をレベル1のノード30e及び30fに送信するように動作可能である。自律エージェント60を受信した後に、ノード30eは、自律エージェント60をレベル2(図2で“L2”として示す)のノード30g及び30hに送信する。自律エージェント60を受信した後に、ノード30fは、自律エージェント60をレベル2のノード30i及び30sに送信する。プラン100は、各ノード30が自律エージェント60を受信したことに応じて2つの他のノードに自律エージェント60を送信することを示しているが、如何なる数のノード30が自律エージェント60の受信者になってもよい。例えば、ノード30bは、自律エージェント60をレベル1の1つ、2つ、3つ又はそれ以上のノード30に送信してもよい。3つのレベルのみが図4に図示されているが、ノード数と保護ネットワーク18の特定のアーキテクチャとに応じて、(図4で“LN”として示すレベルNで示すように)如何なる数のレベルが存在してもよい。自律エージェント60を受信したことに応じて自律エージェント60を1つ以上の他のノード30に送信するように各ノード30を割り当てることにより、ネットワーク18を対象とした攻撃を認識したノード30の数が急激且つ迅速に増加し、ワームのようなウィルスへのタイムリーな反応が可能になる。或る実施例では、ネットワーク18の全てのノード30が、自律エージェント60のチェーン分配を使用して通知されてもよい。或る実施例では、特定の攻撃を受けやすいと決定されたノード30のみが、自律エージェント60のチェーン分配を使用して通知されてもよい。
【0024】
図5は、隣接ノード30への自律エージェント60の伝搬プラン120の一実施例を示す概略図である。自律エージェントを送信する割り当てで各ノード30をプログラムするのではなく、図5に示すような或る実施例では、ノード30は、自律エージェントを通信可能な次のレベルの各ノード30に送信するようにプログラムされてもよい。例えば、レベル0にあるノード30jは、侵入を検出し、自律エージェントをレベル1のノード30k及び30lに送信する。ノード30jはノード30k及び30lと既に確立された通信パスを有しているため、ノード30jは自律エージェントをノード30k及び30lに送信する。ノード30jから自律エージェントを受信したことに応じて、ノード30kは、自律エージェントをレベル2のノード30mに送信する。レベル1のノード30lは、ノード30jから自律エージェントを受信したことに応じて、レベル2のノード30nに自律エージェントを送信する。或る実施例では、ノード30mは、ノード30mと同じレベルにあるノードである30nと確立された通信パスを有してもよいが、このような送信は回避されるか、同じレベルの他のノードから送信されたため、受信ノード(この場合にはノード30n)は単に自律エージェントを無視する。このような規則は、ノード30間での重複した通信のレベルを低減するために実装されてもよい。このことは、帯域使用のレベルを低減する。
【0025】
ノード30kから自律エージェントを受信した後に、ノード30mは自律エージェントをノード30rに送信する。ノード30lから自律エージェントを受信したことに応じて、ノード30nはノード30p及び30qと確立された通信パスを有しているため、ノード30nは、自律エージェントをレベル3のノード30p及び30qに送信する。プラン120は、それぞれ図2及び3に示す双方のアーキテクチャ50及び80で使用され得る。それぞれ図4及び5に示すプラン100及び120は、1つのノード30が攻撃されることがあるが、同じネットワークの他のノード30が攻撃に気付かないことがある無線環境で特に有利である。
【0026】
1つ以上のノード30はまた、“全モード”でプログラムされてもよい。“全モード”は、1つ以上のノード30が各サブネット又は全体ネットワーク18内の全ての他のノード30に自律エージェント60をブロードキャスト又はマルチキャストするモードである。このようなモードは、割り当て又は既存の関係により1つのノード30が通信することになっている一部又は全ての他のノード30と1つのノード30が通信できないときに起動されてもよい。例えば、再び図4を参照して、何らかの理由でノード30eがノード30g及び30hと通信することができない場合(例えばノード30g及び30gが感染又は無効又は動作不能である場合)、ノード30eは“全モード”になり、自律エージェント60をサブネット内の全てのノード30にブロードキャストする1つ以上の試みを行う。このようなモードは、技術的問題又は感染のため1つ以上のノード30が無効である場合に、自律エージェントがネットワーク18内のできるだけ多くのノードに広められることを確保する。
【0027】
図6は、図1のネットワーク18を対象とした攻撃についての情報を見つけるために使用され得るアドレスに基づく論理マップ150を示す論理フローチャートである。図6のそれぞれの円は、判定又は選択が行われる接点を表す。図6のそれぞれの矢印は、1つの接点から次の接点に導く判定パスを表す。論理マップ150は、適切な情報が見つかるまで攻撃者の識別情報の部分が1つの接点から次の接点に移動するように、1つ以上の攻撃に関する情報がデータ構造で見つかるように配置されている。論理マップ150は、それぞれIPアドレス“10.10.2.20”及び“10.10.9.87”を有する2人の攻撃者がネットワーク18での攻撃の履歴を有する例示的なシナリオを使用して記載されている。この例はまた、攻撃者“10.10.2.20”がネットワーク18で57の攻撃を実行しており、57の攻撃に関する情報が管理システム38に送信されていることを仮定する。同じ例示的なシナリオで、攻撃者“10.10.9.87”がネットワーク18で109の攻撃を実行しており、109の攻撃に関する情報が管理システム38に送信されたことを仮定する。データは、図2に示す管理システム38の相関エンジン54を使用して、論理マップ150に従って格納されて見つけられ得る。
【0028】
接点154において、攻撃者のIPアドレスのオクテットAが検査され、何のパスが取られるべきかを決定する。攻撃者の攻撃情報が攻撃者のIPアドレスを使用して見つかるため、攻撃者のIPアドレスの一部に基づいて各パスが選択される。この例では、攻撃者“10.10.2.20”及び“10.10.9.87”の双方がオクテットAとして“10”を有する。従って、“10”のオクテットAの値に対応するパス190に続く。しかし、オクテットAが異なる値(1〜9又は11〜255の間の何らかの数)である場合、他の接点への、特定の値に対応する異なるパスが取られてもよい。接点158において、攻撃者のアドレスのオクテットBが検査される。この例では、攻撃者“10.10.2.20”及び“10.10.9.87”の双方が“10”のオクテットBの値を有する。従って、接点160へのパス154が取られる。接点160において、オクテットCが検査される。この例では、攻撃者“10.10.2.20”は“2”のオクテットCの値を有しているため、“10.10.2.20”に関連する情報の検索は、接点164へのパス198に従う。接点164で、“10.10.2.20”のオクテットDが検査される。攻撃者“10.10.2.20”は“20”のオクテットDの値を有するため、インシデントキュー168へのパス204に続く。インシデントキュー168で、“10.10.2.20”のIPアドレスに関連する攻撃イベント170〜174に関する情報が見つかる。
【0029】
接点160を参照すると、攻撃者“10.10.9.87”は“9”のオクテットCの値を有するため、“10.10.9.87”に関する情報の検索は、接点178へのパス200に従う。接点178で、攻撃者のアドレスのオクテットDの値が決定される。攻撃者“10.10.9.87”が“87”のオクテットDの値を有するため、インシデントキュー180へのパス208に続く。インシデントキュー180で、“10.10.9.87”のIPアドレスに関連する攻撃イベント184〜188に関する情報が見つかる。或る実施例で攻撃者のIPアドレスのオクテット値に基づいて攻撃に関する情報を格納することは有利である。この理由は、情報を見つけて格納することが効率的になるからである。
【0030】
図7は、オペレータがネットワーク状態の認識を維持することを可能にするために、図1に示すコンソール44のようなオペレータコンソールで表示され得るグラフィックユーザインタフェース(GUI)を示す概略図である。或る実施例では、GUI220は、オペレータにより迅速な注意を必要とし得る攻撃者の識別情報を表示する。このような表示は、重要な出来事に反応する機能をオペレータに提供し得る。重要な出来事は、保護ネットワークへの損害のレベルより小さくてもよい。
【0031】
GUI220は、パネル224とパネル228とを有する。パネル224は、攻撃者のアドレスのリスト234を表示し、パネル228は、ハイライトされた攻撃者238に関する情報を有する。例えば図7に示すように、アドレス“10.10.10.10”がハイライトされており、参照番号238を使用して特定されている。オペレータがこのアドレスを選択したため、パネル228に示される全ての情報は、ハイライトされたアドレスに関連する。攻撃者のアドレスのリストは、最も悪質な攻撃者が最初に記載されるように優先付けられてもよい。例えば、攻撃者“10.10.10.10”が最も悪質な攻撃者であり、攻撃者“10.12.10.101”が次に悪質な攻撃者であり、以下同様である。
【0032】
パネル228に表示される情報は列に構成される。列230は、攻撃イベント毎の特定の優先レベルを示す。列240は、イベント名を示し、この例では“TELNET”である。列224は、各攻撃の日時を記載する。列248は、攻撃を検出した特定のノード30を特定する。列250は、攻撃毎の攻撃者の識別情報を記載する。或る実施例では、パネル224に示す選択されたアドレス毎の全ての攻撃情報は、図6に示す論理マップ150を使用して見つけられ得る。しかし、特定された攻撃者毎に攻撃情報を格納して見つけるための他の適切な方法が使用されてもよい。特定の攻撃者及び関連する攻撃に関する情報を表示する一例が図7のGUIを使用して図示されているが、何らかの適切なレイアウトが使用されてもよい。
【0033】
図8は、図1に示すネットワーク18のようなネットワークの侵入を防止する方法300の一実施例を示すフローチャートである。方法300の一部又は全部の動作は、それぞれ図2及び3に示す例示的なアーキテクチャ50及び80を使用して実施されてもよい。しかし、何らかの適切な装置又は装置の組み合わせが方法300を実施するために使用されてもよい。方法300の或る実施例を記載するために、図1、2及び3に示すネットワーク18、ノード30並びにアーキテクチャ50及び80が使用される。しかし、方法300の実施は、以下に示す説明に限定されない。
【0034】
方法300はステップ304で始まる。ステップ308において、ノード30は、ネットワーク18を対象とした攻撃が生じていることを決定する。ステップ308のノード30は、侵入検出機能を有するNDIS34又は管理システム38でもよい。このような管理システム38の例は、図3に示す管理システム38fである。ステップ310において、自律エージェント60は、1つ以上のエンドホスト40及び/又は1つ以上の管理システム38に送信される。自律エージェント60を受信したことに応じて、ステップ314において、自律エージェント60を受信したエンドホスト40及び/又は管理システム38は、防御的及び/又は攻撃的動作を実行する。或る実施例では、管理システム38もまた、自律エージェント60を他のエンドホスト40及び/又は管理システム38に送信してもよい。或る実施例では、それぞれ図4及び5に示す伝搬プラン100及び120がチェーン分配を行うために使用されてもよい。
【0035】
ステップ318において、管理システム38の相関エンジン54は、攻撃の重要度に基づいて攻撃者の優先リストを維持してもよい。ステップ320において、図6と共に記載したように、各攻撃に関する情報が攻撃者の識別情報により分類されてもよい。しかし、他の適切な格納方法が使用されてもよい。ステップ324において、攻撃者リストと各攻撃者に関連する攻撃に関する情報とが、コンソール44のような適切なオペレータコンソールを使用して表示され、図7に示すフォーマットで表示されてもよい。方法300はステップ328で終了する。
【0036】
本発明のいくつかの実施例について詳細に説明したが、特許請求の範囲に記載の本発明の要旨及び範囲を逸脱することなく、様々な変更、置換及び代替が行われ得ることがわかる。
【図面の簡単な説明】
【0037】
【図1】本発明の教示から利益を受け得るネットワーク環境の一実施例を示す概略図
【図2】図1の環境で使用され得る侵入防止アーキテクチャの一実施例を示す図
【図3】図1の環境で使用され得る侵入防止アーキテクチャの一実施例を示す図
【図4】図2又は図3の例示的なアーキテクチャ内における自律エージェントの割り当てられた伝搬の一実施例を示す概略図
【図5】図2又は図3の例示的なアーキテクチャ内における隣接ノードへの自律エージェントの伝搬の一実施例を示す概略図
【図6】図1のネットワークを対象とした攻撃についての情報が見つかり得るアドレスに基づく論理パスを示す論理フローチャート
【図7】図2又は図3の例示的なアーキテクチャと共に使用され得るグラフィックユーザインタフェースの一実施例を示す概略図
【図8】ネットワーク侵入防止方法の一実施例を示すフローチャート
【特許請求の範囲】
【請求項1】
ネットワーク攻撃を防止する方法であって、
管理システムにおいて、ネットワークの1つ以上のノードを対象とした攻撃が生じていることを決定し、
前記決定に応じて、前記管理システムから前記ノードのそれぞれにエージェントを送信し、
前記ノードのそれぞれで前記エージェントを受信したことに応じて、前記ノードのそれぞれで、実行されたときに前記ノードでの前記攻撃の効力を低減するように動作可能なプログラムを実行することを有する方法。
【請求項2】
前記1つ以上のノードは、ユーザにより直接使用されるようにそれぞれ構成されたエンドホストノードである請求項1に記載の方法。
【請求項3】
前記エージェントは前記プログラムを有し、
前記エージェントを受信した後に、前記ノードのそれぞれに前記プログラムをインストールすることを更に有する請求項1に記載の方法。
【請求項4】
前記1つ以上のノードは、前記ネットワークの前記ノードの全てを有する請求項1に記載の方法。
【請求項5】
前記管理システムを使用して前記攻撃のソースの識別情報を決定することを更に有し、
前記エージェントは、前記決定された識別情報を有する請求項1に記載の方法。
【請求項6】
前記プログラムは、前記プログラムを実行するノードが、前記攻撃の特定されたソースからネットワークトラヒックを受信することを中止するように動作可能である請求項5に記載の方法。
【請求項7】
前記プログラムは、前記決定された識別情報を使用して前記攻撃のソースに信号を送信することにより、前記攻撃のソースに対して攻撃的動作を行うように動作可能である請求項5に記載の方法。
【請求項8】
前記攻撃的動作は、前記攻撃のソースにPINGすることを有する請求項7に記載の方法。
【請求項9】
前記攻撃のソースは、前記ネットワークの特定のノードを有し、
前記特定のノードは、ネットワークインタフェースカードを有し、
前記プログラムは、前記特定のノードの前記ネットワークインタフェースカードを無効にするように動作可能である請求項5に記載の方法。
【請求項10】
前記1つ以上のノードは、侵入検出を実行するようにそれぞれ動作可能な1つ以上の第1の管理システムを有し、
それぞれの第1の管理システムで前記エージェントを受信したことに応じて、それぞれの第1の管理システムから侵入検出を実行するようにそれぞれ動作可能な複数の第2の管理システムに、前記エージェントを送信し、
それぞれの第2の管理システムで前記エージェントを受信したことに応じて、それぞれの第2の管理システムから侵入検出を実行するようにそれぞれ動作可能な複数の第3の管理システムに、前記エージェントを送信し、
前記第2及び前記第3の管理システムは、前記ネットワークにある請求項1に記載の方法。
【請求項11】
前記エージェントを受信した前記それぞれのノードから前記ネットワークの2つ以上の他のノードに、前記エージェントを送信することを更に有する請求項1に記載の方法。
【請求項12】
前記攻撃のソースのアドレスを決定し、
前記管理システムにおいて複数の論理ステップに従うことにより到達可能なメモリ位置に前記攻撃を記述する情報を格納し、
それぞれの論理ステップは、前記アドレスの特定の位置に基づいて次の論理ステップに導くことを更に有する請求項1に記載の方法。
【請求項13】
前記アドレスは、複数のオクテットにグループ化された複数の数字を有し、
前記アドレスの特定の部分は、特定のオクテットを有する請求項12に記載の方法。
【請求項14】
前記ノードはエンドホストノードであり、
前記管理システムから前記エンドホストノードのそれぞれにエージェントを送信することは、前記エンドホストノードのそれぞれと、前記ネットワークの他のエンドホストノードとにエージェントを送信することを有する請求項1に記載の方法。
【請求項15】
ネットワーク攻撃を防止するシステムであって、
ネットワークを対象とした攻撃を検出し、前記攻撃の検出を示すメッセージを送信するように動作可能な侵入検出装置と、
前記侵入検出装置に結合され、前記メッセージを受信し、前記メッセージを受信したことに応じて1つ以上のエージェントを送信するように動作可能な管理システムと、
前記管理システムに結合され、前記エージェントを受信し、前記エージェントを受信したことに応じて、エンドホストノードでの前記攻撃の効力を低減するように動作可能なプログラムを実行するように動作可能なエンドホストノードと
を有するシステム。
【請求項16】
前記エージェントは前記プログラムを有し、
前記エンドホストノードは、前記エージェントを受信した後に、前記プログラムをインストールし、前記プログラムを実行するように更に動作可能である請求項15に記載のシステム。
【請求項17】
前記管理システムは、前記攻撃のソースの識別情報を決定するように動作可能であり、
前記エージェントは、前記決定された識別情報を有する請求項15に記載のシステム。
【請求項18】
前記プログラムは、前記エンドホストノードが、前記攻撃の特定されたソースからネットワークトラヒックを受信することを中止するように更に動作可能である請求項17に記載のシステム。
【請求項19】
前記エージェントを受信し、前記プログラムを実行するようにそれぞれ動作可能な複数の他のエンドホストノードを更に有し、
前記プログラムは、前記他のエンドホストノードと協調して前記攻撃のソースに信号を送信することにより、前記攻撃のソースに対して攻撃的動作を行うように更に動作可能である請求項17に記載のシステム。
【請求項20】
前記攻撃的動作は、前記攻撃のソースにPINGすることを有する請求項19に記載のシステム。
【請求項21】
前記攻撃のソースは、前記ネットワークの特定のノードを有し、
前記特定のノードは、ネットワークインタフェースカードを有し、
前記プログラムは、前記特定のノードの前記ネットワークインタフェースカードを無効にするように更に動作可能である請求項17に記載のシステム。
【請求項22】
前記管理システムは、
前記攻撃のソースのアドレスを決定し、
複数の論理ステップに従うことにより到達可能なメモリ位置に前記攻撃を記述する情報を格納するように更に動作可能であり、
それぞれの論理ステップは、前記アドレスの特定の部分に基づいて次の論理ステップに導く請求項15に記載のシステム。
【請求項23】
前記アドレスは、複数のオクテットにグループ化された複数の数字を有し、
前記アドレスの特定の部分は、特定のオクテットを有する請求項22に記載のシステム。
【請求項24】
ネットワーク攻撃を防止するシステムであって、
プロセッサを有するコンピュータ及びコンピュータ可読媒体と、
前記コンピュータ可読媒体に格納され、前記プロセッサにより実行されたときに、ネットワークを対象とした攻撃に応じて、ネットワークの1つ以上のノードのそれぞれにエージェントを送信するように動作可能なシールドプログラムと
を有し、
前記エージェントは、前記ノードでの前記攻撃の効力の低減を開始するように動作可能であるシステム。
【請求項25】
前記1つ以上のノードは、ユーザにより直接使用されるようにそれぞれ構成されたエンドホストノードである請求項24に記載のシステム。
【請求項26】
前記エージェントは、前記プログラムを実行する前記ノードで前記攻撃の効力を低減するように動作可能なプログラムを有し、
前記コンピュータに結合され、前記エージェントを受信し、前記エージェントを受信した後に前記プログラムをインストールするようにそれぞれ動作可能な複数のエンドホストノードを更に有する請求項24に記載のシステム。
【請求項27】
前記コンピュータに結合され、ネットワーク侵入を検出し、前記エージェントを受信し、前記コンピュータから前記エージェントを受信したことに応じて前記エージェントを前記ネットワークの複数の他のノードに送信し、前記エージェントを受信したことに応じて前記攻撃のソースに対して反撃を始めるようにそれぞれ動作可能な複数のノードを更に有する請求項24に記載のシステム。
【請求項28】
前記コンピュータは、前記攻撃のソースの識別情報を決定するように動作可能な相関エンジンを更に有し、
前記エージェントは、前記決定された識別情報を有する請求項24に記載のシステム。
【請求項29】
前記コンピュータ可読媒体に格納され、前記コンピュータが前記攻撃の特定されたソースからネットワークトラヒックを受信することを中止するように動作可能なプログラムを更に有する請求項28に記載のシステム。
【請求項30】
前記プログラムは、前記攻撃のソースに信号を送信することにより、前記攻撃のソースに対して攻撃的動作を行うように動作可能である請求項29に記載のシステム。
【請求項31】
前記攻撃的動作は、前記攻撃のソースにPINGすることを有する請求項30に記載のシステム。
【請求項32】
前記コンピュータは、
前記攻撃のソースのアドレスを決定し、
前記コンピュータにおいて複数の論理ステップに従うことにより到達可能な前記コンピュータ可読媒体のメモリ位置に前記攻撃を記述する情報を格納するように動作可能な相関エンジンを更に有し、
それぞれの論理ステップは、前記アドレスの特定の部分に基づいて次の論理ステップに導く請求項24に記載のシステム。
【請求項33】
前記アドレスは、複数のオクテットにグループ化された複数の数字を有し、
前記アドレスの特定の部分は、特定のオクテットを有する請求項32に記載の方法。
【請求項34】
ネットワーク攻撃を防止するシステムであって、
ほぼネットワークの境界に論理的に配置され、前記ネットワークを対象とした攻撃を検出し、前記攻撃を記述するメッセージを送信するようにそれぞれ動作可能な複数の侵入検出装置と、
前記侵入検出装置に結合され、前記メッセージを受信し、前記攻撃のソースの識別情報を決定し、1つ以上の自律エージェントを送信するように動作可能な管理システムと、
前記管理システムに結合され、特定の自律エージェントを受信し、前記自律エージェントを受信したことに応じて、前記攻撃のソースに信号を送信することにより、前記攻撃のソースからのネットワークトラヒックの受信を中止し、前記攻撃のソースに対して攻撃を開始するように動作可能なプログラムを実行するようにそれぞれ動作可能な複数のエンドホストノードと
を有するシステム。
【請求項35】
前記自律エージェントは、前記プログラムを有する請求項34に記載のシステム。
【請求項36】
前記侵入検出装置による前記攻撃の検出の前に、前記プログラムは、それぞれのエンドホストノードにインストールされる請求項34に記載のシステム。
【請求項37】
前記エンドホストノードは、ユーザにより直接使用されるように構成されたコンピュータである請求項34に記載のシステム。
【請求項38】
ネットワーク攻撃を防止するシステムであって、
ネットワークを形成し、プロセッサとコンピュータ可読媒体とをそれぞれ有する複数の管理システムであり、それぞれの管理システムは、
前記ネットワークを対象とした攻撃を検出し、
前記攻撃を開始した第1の攻撃者を特定し、
前記第1の攻撃者を特定する第1の自律エージェントを生成し、
前記第1の自律エージェントを前記ネットワークの1つ以上の他の管理システムに送信するように動作可能である複数の管理システムと、
前記コンピュータ可読媒体に格納された侵入シールドプログラムであり、前記高度侵入シールドプログラムは、前記プロセッサにより実行されたときに、
他の管理システムから第2の攻撃者を特定する第2の自律エージェントを受信し、
前記第2の自律エージェントを、前記第2の自律エージェントが受信された他の管理システムではなく、前記ネットワークの複数の他の管理システムに送信し、
前記第2の自律エージェントを受信したことに応じて、前記プロセッサによる防止プログラムの実行を開始する侵入シールドプログラムと
を有し、
前記防止プログラムは、前記コンピュータ可読媒体に格納され、実行されたときに、
前記第2の攻撃者からのネットワークトラヒックの受信を中止し、
前記第2の攻撃者に少なくとも1つの信号を送信することにより、特定された第2の攻撃者に対して反撃を開始するように動作可能であるシステム。
【請求項1】
ネットワーク攻撃を防止する方法であって、
管理システムにおいて、ネットワークの1つ以上のノードを対象とした攻撃が生じていることを決定し、
前記決定に応じて、前記管理システムから前記ノードのそれぞれにエージェントを送信し、
前記ノードのそれぞれで前記エージェントを受信したことに応じて、前記ノードのそれぞれで、実行されたときに前記ノードでの前記攻撃の効力を低減するように動作可能なプログラムを実行することを有する方法。
【請求項2】
前記1つ以上のノードは、ユーザにより直接使用されるようにそれぞれ構成されたエンドホストノードである請求項1に記載の方法。
【請求項3】
前記エージェントは前記プログラムを有し、
前記エージェントを受信した後に、前記ノードのそれぞれに前記プログラムをインストールすることを更に有する請求項1に記載の方法。
【請求項4】
前記1つ以上のノードは、前記ネットワークの前記ノードの全てを有する請求項1に記載の方法。
【請求項5】
前記管理システムを使用して前記攻撃のソースの識別情報を決定することを更に有し、
前記エージェントは、前記決定された識別情報を有する請求項1に記載の方法。
【請求項6】
前記プログラムは、前記プログラムを実行するノードが、前記攻撃の特定されたソースからネットワークトラヒックを受信することを中止するように動作可能である請求項5に記載の方法。
【請求項7】
前記プログラムは、前記決定された識別情報を使用して前記攻撃のソースに信号を送信することにより、前記攻撃のソースに対して攻撃的動作を行うように動作可能である請求項5に記載の方法。
【請求項8】
前記攻撃的動作は、前記攻撃のソースにPINGすることを有する請求項7に記載の方法。
【請求項9】
前記攻撃のソースは、前記ネットワークの特定のノードを有し、
前記特定のノードは、ネットワークインタフェースカードを有し、
前記プログラムは、前記特定のノードの前記ネットワークインタフェースカードを無効にするように動作可能である請求項5に記載の方法。
【請求項10】
前記1つ以上のノードは、侵入検出を実行するようにそれぞれ動作可能な1つ以上の第1の管理システムを有し、
それぞれの第1の管理システムで前記エージェントを受信したことに応じて、それぞれの第1の管理システムから侵入検出を実行するようにそれぞれ動作可能な複数の第2の管理システムに、前記エージェントを送信し、
それぞれの第2の管理システムで前記エージェントを受信したことに応じて、それぞれの第2の管理システムから侵入検出を実行するようにそれぞれ動作可能な複数の第3の管理システムに、前記エージェントを送信し、
前記第2及び前記第3の管理システムは、前記ネットワークにある請求項1に記載の方法。
【請求項11】
前記エージェントを受信した前記それぞれのノードから前記ネットワークの2つ以上の他のノードに、前記エージェントを送信することを更に有する請求項1に記載の方法。
【請求項12】
前記攻撃のソースのアドレスを決定し、
前記管理システムにおいて複数の論理ステップに従うことにより到達可能なメモリ位置に前記攻撃を記述する情報を格納し、
それぞれの論理ステップは、前記アドレスの特定の位置に基づいて次の論理ステップに導くことを更に有する請求項1に記載の方法。
【請求項13】
前記アドレスは、複数のオクテットにグループ化された複数の数字を有し、
前記アドレスの特定の部分は、特定のオクテットを有する請求項12に記載の方法。
【請求項14】
前記ノードはエンドホストノードであり、
前記管理システムから前記エンドホストノードのそれぞれにエージェントを送信することは、前記エンドホストノードのそれぞれと、前記ネットワークの他のエンドホストノードとにエージェントを送信することを有する請求項1に記載の方法。
【請求項15】
ネットワーク攻撃を防止するシステムであって、
ネットワークを対象とした攻撃を検出し、前記攻撃の検出を示すメッセージを送信するように動作可能な侵入検出装置と、
前記侵入検出装置に結合され、前記メッセージを受信し、前記メッセージを受信したことに応じて1つ以上のエージェントを送信するように動作可能な管理システムと、
前記管理システムに結合され、前記エージェントを受信し、前記エージェントを受信したことに応じて、エンドホストノードでの前記攻撃の効力を低減するように動作可能なプログラムを実行するように動作可能なエンドホストノードと
を有するシステム。
【請求項16】
前記エージェントは前記プログラムを有し、
前記エンドホストノードは、前記エージェントを受信した後に、前記プログラムをインストールし、前記プログラムを実行するように更に動作可能である請求項15に記載のシステム。
【請求項17】
前記管理システムは、前記攻撃のソースの識別情報を決定するように動作可能であり、
前記エージェントは、前記決定された識別情報を有する請求項15に記載のシステム。
【請求項18】
前記プログラムは、前記エンドホストノードが、前記攻撃の特定されたソースからネットワークトラヒックを受信することを中止するように更に動作可能である請求項17に記載のシステム。
【請求項19】
前記エージェントを受信し、前記プログラムを実行するようにそれぞれ動作可能な複数の他のエンドホストノードを更に有し、
前記プログラムは、前記他のエンドホストノードと協調して前記攻撃のソースに信号を送信することにより、前記攻撃のソースに対して攻撃的動作を行うように更に動作可能である請求項17に記載のシステム。
【請求項20】
前記攻撃的動作は、前記攻撃のソースにPINGすることを有する請求項19に記載のシステム。
【請求項21】
前記攻撃のソースは、前記ネットワークの特定のノードを有し、
前記特定のノードは、ネットワークインタフェースカードを有し、
前記プログラムは、前記特定のノードの前記ネットワークインタフェースカードを無効にするように更に動作可能である請求項17に記載のシステム。
【請求項22】
前記管理システムは、
前記攻撃のソースのアドレスを決定し、
複数の論理ステップに従うことにより到達可能なメモリ位置に前記攻撃を記述する情報を格納するように更に動作可能であり、
それぞれの論理ステップは、前記アドレスの特定の部分に基づいて次の論理ステップに導く請求項15に記載のシステム。
【請求項23】
前記アドレスは、複数のオクテットにグループ化された複数の数字を有し、
前記アドレスの特定の部分は、特定のオクテットを有する請求項22に記載のシステム。
【請求項24】
ネットワーク攻撃を防止するシステムであって、
プロセッサを有するコンピュータ及びコンピュータ可読媒体と、
前記コンピュータ可読媒体に格納され、前記プロセッサにより実行されたときに、ネットワークを対象とした攻撃に応じて、ネットワークの1つ以上のノードのそれぞれにエージェントを送信するように動作可能なシールドプログラムと
を有し、
前記エージェントは、前記ノードでの前記攻撃の効力の低減を開始するように動作可能であるシステム。
【請求項25】
前記1つ以上のノードは、ユーザにより直接使用されるようにそれぞれ構成されたエンドホストノードである請求項24に記載のシステム。
【請求項26】
前記エージェントは、前記プログラムを実行する前記ノードで前記攻撃の効力を低減するように動作可能なプログラムを有し、
前記コンピュータに結合され、前記エージェントを受信し、前記エージェントを受信した後に前記プログラムをインストールするようにそれぞれ動作可能な複数のエンドホストノードを更に有する請求項24に記載のシステム。
【請求項27】
前記コンピュータに結合され、ネットワーク侵入を検出し、前記エージェントを受信し、前記コンピュータから前記エージェントを受信したことに応じて前記エージェントを前記ネットワークの複数の他のノードに送信し、前記エージェントを受信したことに応じて前記攻撃のソースに対して反撃を始めるようにそれぞれ動作可能な複数のノードを更に有する請求項24に記載のシステム。
【請求項28】
前記コンピュータは、前記攻撃のソースの識別情報を決定するように動作可能な相関エンジンを更に有し、
前記エージェントは、前記決定された識別情報を有する請求項24に記載のシステム。
【請求項29】
前記コンピュータ可読媒体に格納され、前記コンピュータが前記攻撃の特定されたソースからネットワークトラヒックを受信することを中止するように動作可能なプログラムを更に有する請求項28に記載のシステム。
【請求項30】
前記プログラムは、前記攻撃のソースに信号を送信することにより、前記攻撃のソースに対して攻撃的動作を行うように動作可能である請求項29に記載のシステム。
【請求項31】
前記攻撃的動作は、前記攻撃のソースにPINGすることを有する請求項30に記載のシステム。
【請求項32】
前記コンピュータは、
前記攻撃のソースのアドレスを決定し、
前記コンピュータにおいて複数の論理ステップに従うことにより到達可能な前記コンピュータ可読媒体のメモリ位置に前記攻撃を記述する情報を格納するように動作可能な相関エンジンを更に有し、
それぞれの論理ステップは、前記アドレスの特定の部分に基づいて次の論理ステップに導く請求項24に記載のシステム。
【請求項33】
前記アドレスは、複数のオクテットにグループ化された複数の数字を有し、
前記アドレスの特定の部分は、特定のオクテットを有する請求項32に記載の方法。
【請求項34】
ネットワーク攻撃を防止するシステムであって、
ほぼネットワークの境界に論理的に配置され、前記ネットワークを対象とした攻撃を検出し、前記攻撃を記述するメッセージを送信するようにそれぞれ動作可能な複数の侵入検出装置と、
前記侵入検出装置に結合され、前記メッセージを受信し、前記攻撃のソースの識別情報を決定し、1つ以上の自律エージェントを送信するように動作可能な管理システムと、
前記管理システムに結合され、特定の自律エージェントを受信し、前記自律エージェントを受信したことに応じて、前記攻撃のソースに信号を送信することにより、前記攻撃のソースからのネットワークトラヒックの受信を中止し、前記攻撃のソースに対して攻撃を開始するように動作可能なプログラムを実行するようにそれぞれ動作可能な複数のエンドホストノードと
を有するシステム。
【請求項35】
前記自律エージェントは、前記プログラムを有する請求項34に記載のシステム。
【請求項36】
前記侵入検出装置による前記攻撃の検出の前に、前記プログラムは、それぞれのエンドホストノードにインストールされる請求項34に記載のシステム。
【請求項37】
前記エンドホストノードは、ユーザにより直接使用されるように構成されたコンピュータである請求項34に記載のシステム。
【請求項38】
ネットワーク攻撃を防止するシステムであって、
ネットワークを形成し、プロセッサとコンピュータ可読媒体とをそれぞれ有する複数の管理システムであり、それぞれの管理システムは、
前記ネットワークを対象とした攻撃を検出し、
前記攻撃を開始した第1の攻撃者を特定し、
前記第1の攻撃者を特定する第1の自律エージェントを生成し、
前記第1の自律エージェントを前記ネットワークの1つ以上の他の管理システムに送信するように動作可能である複数の管理システムと、
前記コンピュータ可読媒体に格納された侵入シールドプログラムであり、前記高度侵入シールドプログラムは、前記プロセッサにより実行されたときに、
他の管理システムから第2の攻撃者を特定する第2の自律エージェントを受信し、
前記第2の自律エージェントを、前記第2の自律エージェントが受信された他の管理システムではなく、前記ネットワークの複数の他の管理システムに送信し、
前記第2の自律エージェントを受信したことに応じて、前記プロセッサによる防止プログラムの実行を開始する侵入シールドプログラムと
を有し、
前記防止プログラムは、前記コンピュータ可読媒体に格納され、実行されたときに、
前記第2の攻撃者からのネットワークトラヒックの受信を中止し、
前記第2の攻撃者に少なくとも1つの信号を送信することにより、特定された第2の攻撃者に対して反撃を開始するように動作可能であるシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2008−527471(P2008−527471A)
【公表日】平成20年7月24日(2008.7.24)
【国際特許分類】
【出願番号】特願2007−548266(P2007−548266)
【出願日】平成17年12月7日(2005.12.7)
【国際出願番号】PCT/US2005/044474
【国際公開番号】WO2006/071486
【国際公開日】平成18年7月6日(2006.7.6)
【出願人】(503455363)レイセオン カンパニー (244)
【Fターム(参考)】
【公表日】平成20年7月24日(2008.7.24)
【国際特許分類】
【出願日】平成17年12月7日(2005.12.7)
【国際出願番号】PCT/US2005/044474
【国際公開番号】WO2006/071486
【国際公開日】平成18年7月6日(2006.7.6)
【出願人】(503455363)レイセオン カンパニー (244)
【Fターム(参考)】
[ Back to top ]