情報セキュリティ保護ホスト
【課題】情報セキュリティ保護ホストを提供する。
【解決手段】情報セキュリティ保護ホストは、ネットワークインターフェースと、仮想コンピュータモニタ(VMM)装置を備える。ネットワークインターフェースは、コンピュータネットワークに接続され、第1パケットを受信するように構成される。仮想コンピュータモニタ装置は、第1ネットワークサービスを提供する第1オペレーティングシステムを実行するように構成される。仮想コンピュータモニタ装置は、第1オペレーティングシステムの第1オペレーティングシステム情報及び第1ネットワークサービスの第1ネットワークサービス情報を即座に提供して第1パケットのセキュリティを判断するように更に構成される。
【解決手段】情報セキュリティ保護ホストは、ネットワークインターフェースと、仮想コンピュータモニタ(VMM)装置を備える。ネットワークインターフェースは、コンピュータネットワークに接続され、第1パケットを受信するように構成される。仮想コンピュータモニタ装置は、第1ネットワークサービスを提供する第1オペレーティングシステムを実行するように構成される。仮想コンピュータモニタ装置は、第1オペレーティングシステムの第1オペレーティングシステム情報及び第1ネットワークサービスの第1ネットワークサービス情報を即座に提供して第1パケットのセキュリティを判断するように更に構成される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報セキュリティ保護ホスト装置に関する。特に、本発明の情報セキュリティ保護ホストは、該ホスト上で実行している1つ以上のオペレーティングシステム及び該1つ以上のオペレーティングシステムにより提供されるネットワークサービスに基づいて、異なるオペレーティングシステム又は該オペレーティングシステムによって提供されるネットワークサービスに対応する一連の検証ルールを、受信パケットを検証するための複数の検証ルールから選択することができる。これにより、異なるオペレーティングシステムに関連するパケットの全てを同一の検証ルールによって検証することを回避することができる。
【背景技術】
【0002】
インターネットの急速な発展に伴い、現在、益々多くの企業がホストの開発を通してネットワークサービス(例えば、ウェブページサービス、電子メールサービス、ファイル転送プロトコル(FTP)サービス)を提供している。しかしながら、インターネットによって人々は情報を伝達する利便性を手に入れた一方で、何者かがホストに侵入してそこに記憶されているデータを盗んだり改ざんしたりする可能性もでてきた。そのため、ホストのデータを保護するために、ほぼ全てのホストで侵入検知システム(Intrusion Detection System;IDS)をインストールして様々な侵入イベントを検知してきた。
【0003】
従来型IDSでは、パケットの内容を検証するために受信パケットに対して課す検証ルールが一般に多過ぎるため、ホスト内で実行しているオペレーティングシステムに脅威を与える可能性のないパケットに対しても検証のために全ての検証ルールを課している。しかしながら、著しく多くの検証ルールを課すことは、システム性能を損なう虞があり、誤った判断を下しがちになる。
【0004】
更に、現在、企業のホストの中には、仮想コンピュータモニタ(Virtual Machine Monitor; VMM)装置を用いて、多くの異なるオペレーティングシステムを実行しているものもある。そのため、仮想コンピュータモニタ装置が従来型IDSを更に実行させてこれらの異なるオペレーションシステムに関連した各パケットを検証する場合、著しく多くの検証ルールを課すことにより損なわれる虞のあるシステム性能の問題がより深刻なものとなる。
【0005】
上述した説明によると、当分野において、特に、仮想コンピュータモニタ装置をホストに用いて多くの異なるオペレーティングシステムを実行する際にIDSの検知性能を向上させるためには、更なる取り組みが要求されている。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の目的は、情報セキュリティ保護ホスト装置を提供することである。情報セキュリティ保護ホストは、1つ以上のオペレーティングシステムを実行して1つ以上のネットワークサービスを提供する。情報セキュリティ保護ホストは、実行中のオペレーティングシステム及び該実行中のオペレーティングシステムによって提供されるサービスに基づいて、異なるオペレーティングシステムに関連付けられた受信パケットのセキュリティを判断する。
【課題を解決するための手段】
【0007】
上述した目的を実現するために、本発明は、インターネットインターフェース及び仮想コンピュータモニタ(VMM)装置を備える情報セキュリティ保護ホストを開示するものである。ネットワークインターフェースは、コンピュータネットワークに接続し、第1パケットを受信するように構成される。仮想コンピュータモニタ装置は、ネットワークインターフェースに接続し、第1オペレーティングシステムを実行するように構成される。第1オペレーティングシステムは、第1ネットワークサービスを提供し、仮想コンピュータモニタ装置は、第1オペレーティングシステムの第1オペレーティングシステム情報及び第1ネットワークサービスの第1ネットワークサービス情報をリアルタイムで提供するように更に構成されている。第1ネットワークサービス情報は、第1サービスポート番号(Port Number)を含み、ネットワークインターフェースがポートを介して第1パケットを受信すると、仮想コンピュータモニタ装置は、第1オペレーティングシステム情報及び第1ネットワークサービス情報とに基づいて、第1パケットが第1オペレーティングシステムに関連付けられていること、そして、ポートのポート番号が第1パケットをフィルタするために第1サービスポート番号とは異なることを判断する。
【0008】
本発明の他の目的は、情報セキュリティ保護ホストを提供することである。情報セキュリティ保護ホストは、1つ以上のオペレーティングシステムを実行して1つ以上のネットワークサービスを提供する。情報セキュリティ保護ホストは、複数の検証ルールを提供するセキュリティシステムを更に実行する。セキュリティシステムは、情報セキュリティ保護ホスト及びオペレーティングシステムによって提供されるネットワークサービス上で実行しているオペレーティングシステムに基づく検証ルールから、それぞれ異なるオペレーティングシステムに適用可能な検証ルールを選択する。そのため、情報セキュリティ保護ホストがオペレーティングシステムの1つに関連付けられたパケットを受信すると、セキュリティシステムは、オペレーティングシステムに対応した一連の選択検証ルールを適用して受信パケットの内容を検証する。これにより、全ての検証ルールを用いて受信パケットを検証する必要がなくなるため、検知性能が向上する。
【0009】
上述した目的を実現するために、本発明は、インターネットインターフェース及び仮想コンピュータモニタ(VMM)装置を備える情報セキュリティ保護ホストを更に開示するものである。ネットワークインターフェースは、コンピュータネットワークに接続し、第1パケットを受信するように構成される。仮想コンピュータモニタ装置は、ネットワークインターフェースに接続し、第1オペレーティングシステム及びセキュリティシステムを実行するように構成される。第1オペレーティングシステムは、第1ネットワークサービスを提供する。セキュリティシステムは、複数の検証ルールを提供するように構成されている。仮想コンピュータモニタ装置は、第1オペレーティングシステムの第1オペレーティングシステム情報及び第1ネットワークシステムの第1ネットワークサービス情報をリアルタイムでセキュリティシステムに提供するので、セキュリティシステムは、第1オペレーティングシステム情報及び第1ネットワークサービス情報に基づいて、複数の検証ルールから第1の検証ルールを選択し、そして、第1パケットを検証するための第1検証ルールを適用するように、第1パケットが第1オペレーティングシステム情報に関連付けられていることを判断する。
【0010】
本発明の他の目的は、情報セキュリティ保護ホストを提供することである。情報セキュリティ保護ホストは、1つ以上のオペレーティングシステムを実行して1つ以上のネットワークサービスを提供する。情報セキュリティ保護ホストは、複数の検証ルールを提供するセキュリティシステムを更に実行し、検証ルールに基づいてそれぞれのオペレーティングシステムに関連付けられている複数の受信パケットを検証する。パケットが検証ルールのうちの1つにパスできなければ、情報セキュリティ保護ホストは、該パケットがオペレーティングシステムのうちの1つに関連付けられているか、そして、該パケットがオペレーティングシステムに対して脅威となり得るかどうかを判断するように該ルールがオペレーティングシステムに関連付けられているかどうかを判断する。よって、上述した仕組みを通すことで、検証ルールに基づいてパケットを検証するためにセキュリティシステムを用いる場合に、誤った判断を下すことを防ぐことができる。
【0011】
上述した目的を実現するために、本発明は、インターネットインターフェース及び仮想コンピュータモニタ(VMM)装置を備える情報セキュリティ保護ホストを更に開示するものである。ネットワークインターフェースは、コンピュータネットワークに接続し、第1パケットを受信するように構成される。仮想コンピュータモニタ装置は、ネットワークインターフェースに接続し、第1オペレーティングシステム及びセキュリティシステムを実行するように構成される。第1オペレーティングシステムは、第1ネットワークサービスを提供する。仮想コンピュータモニタ装置は、第1オペレーティングシステムの第1オペレーティングシステム情報及び第1ネットワークサービスの第1ネットワークサービス情報をリアルタイムで提供するように更に構成されている。セキュリティシステムは、複数の検証ルールを提供して該検証ルールに基づいて第1パケットを検証するように構成されている。第1パケットが検証ルールのうちの1つにパスできなければ、検証ルールに基づいて第1パケットを検証するためにセキュリティシステムを用いるときに誤った判断がなされないように、仮想コンピュータモニタ装置は、第1オペレーティングシステム情報又は第1ネットワークサービス情報に基づいて、第1パケットが第1オペレーティングシステムに関連付けられていること、そして、検証ルールが第1オペレーティングシステムに関連付けられていないことを更に判断する。
【図面の簡単な説明】
【0012】
【図1】本発明の第1の実施形態に係る情報セキュリティ保護ホスト1の概略図である。
【図2】本発明の第2の実施形態に係る情報セキュリティ保護ホスト1の概略図である。
【図3】本発明の第3の実施形態及び第5の実施形態に係る情報セキュリティ保護ホスト1の概略図である。
【図4】本発明の第4の実施形態及び第6の実施形態に係る情報セキュリティ保護ホスト1の概略図である。
【発明を実施するための形態】
【0013】
請求した発明の特徴を当技術分野の当業者によく理解してもらうために、技術の詳細及び主題の発明を実施するための好ましい実施形態を、図面を添付した以下の段落において説明する。
【0014】
(実施形態1)
本発明は、情報セキュリティ保護ホスト装置を提供するものである。本発明の情報セキュリティ保護ホストは、1つ以上のオペレーティングシステムを実行し、該オペレーティングシステムのそれぞれは、1つ以上のネットワークサービスを提供する。オペレーティングシステムの1つに関連付けられたパケットを受信すると、情報セキュリティ保護ホストは、オペレーティングシステムのオペレーティングシステム情報及び該オペレーションシステムによって提供されるネットワークサービスのネットワークサービス情報に基づいて受信パケットのセキュリティを判断する。以下に説明する実施形態は、本発明の技術的な開示を単に説明するためのものであり、本発明の請求の範囲を限定するものではない。当然のことではあるが、以下の本実施形態及び添付の図面において、本発明と関係のない要素は図示せず省略してあり、添付図面における要素間のそれぞれの寸法は、理解しやすいように示してあるだけで実際の大きさを限定するものではない。
【0015】
図1に、本発明の第1の実施形態に係る情報セキュリティ保護ホスト1を示す。情報セキュリティ保護ホスト1は、ネットワークインターフェース11及び仮想コンピュータモニタ(Virtual Machine Monitor; VMM)装置13を備える。情報セキュリティ保護ホスト1は、ネットワークインターフェース11を介して有線又は無線でコンピュータネットワーク2に接続する。コンピュータネットワーク2は、私設ネットワーク、公設ネットワーク、インターネット(Internet)、他の種類の任意のネットワーク又はこれらの組み合わせのうちの任意のものであってもよい。
【0016】
仮想コンピュータモニタ装置13は、メモリ13aを備え、第1オペレーティングシステム131を実行するように構成されている。第1オペレーティングシステム131は、例えば、ウェブページ(Web Page)サービス、ファイル転送プロトコル(File Transfer Protocol; FTP)サービス、電子メールサービス、他のネットワークサービス又はこれらの組み合わせ等の第1ネットワークサービスを提供する。当然のことながら、第1オペレーティングシステム131は、Microsoftオペレーティングシステム、Unixライク(Unix−like)オペレーティングシステム又はネットワークサービスを提供し得る他の任意のオペレーティングシステムであってもよく、仮想コンピュータモニタ装置13は、一般のコンピュータホストハードウェア(例えば、中央処理装置(CPU)、メモリ、ハードディスク、メインボード等を備えるもの)又は1つ以上のオペレーティングシステムを同時に実行できる他の任意の装置であってもよい。
【0017】
本実施形態において、仮想コンピュータモニタ装置13が第1オペレーティングシステム131を実行していると、第1オペレーティングシステム131を実行するにはメモリ13aを使用する必要があるため、メモリ13aはそこに記憶されている第1オペレーティングシステム131に関する情報、例えは、第1オペレーティングシステム131の第1オペレーティングシステム情報及び該第1オペレーティングシステムにより提供される第1ネットワークサービスの第1ネットワークサービス情報等の情報を得ることになる。第1オペレーティングシステム情報を用いて、第1オペレーティングシステムがMicrosoftオペレーティングシステム、Unixライクオペレーティングシステム又は他の任意のオペレーティングシステムであることを示してもよく、また、第1ネットワークサービス情報を用いて、第1ネットワークサービスにはウェブページサービス、FTPサービス、電子メールサービス、他の任意のネットワークサービス又はこれらの組み合わせ等を含んでもよいことを示してもよい。
【0018】
Microsoftオペレーティングシステムを例にとると、Microsoftオペレーティングシステムを実行していると、そのカーネルが、関連するパラメータを記憶するためのメモリに記憶されるプロセス環境ブロック(Process Environment Block; PEB)データ構造体を構成する。OSMajorVersionフィールド及びPEBデータ構造体のOSMinorVersionフィールドを用いてMicrosoftオペレーティングシステムのバージョンパラメータを記憶する。例えば、OSMajorVersionフィールドの値が「7」で、OSMinorVersionフィールドの値が「0」の場合、MicrosoftオペレーティングシステムがWindows 7(商標)であることを示している。また、OSMajorVersionフィールドの値が「6」で、OSMinorVersionフィールドの値が「0」の場合、MicrosoftオペレーティングシステムがWindows Vista(商標)又はServer 2008(商標)であることを示している。また、OSMajorVersionフィールドの値が「5」で、OSMinorVersionフィールドの値が「2」の場合、MicrosoftオペレーティングシステムがWindows Server 2003(商標)であることを示している。そして、OSMajorVersionフィールドの値が「5」で、OSMinorVersionフィールドの値が「1」の場合、MicrosoftオペレーティングシステムがWindows XP(商標)であることを示している。PEBデータ構造体は、従来技術によるものであり、当業者であれば既存の技術文献に基づいてPEBデータ構造体の詳細な内容を容易に理解することができるので、本明細書ではその詳細は説明しない。
【0019】
その上、Microsoftオペレーティングシステムが実行中には、そのカーネルもEPROCESSデータ構造体及びMIB_TCPROW_OWNER_MODULEデータ構造体を構成し、これら2つの構造体をメモリに記憶する。EPROCESSデータ構造体は、現在実行中のプロセス(すなわち、第1ネットワークサービスを提供するために用いるプロセス)を記録し、MIB_TCPROW_OWNER_MODULEデータ構造体は、実行中のプロセスに関連した情報を記録する。従って、プロセスリスト(Process List)をEPROCESSデータ構造体から取得することができ、その後、該プロセスリストにおけるプロセス同定(Process Identification; PID)に基づいて、実行中のプロセスに関連した情報をMIB_TCPROW_OWNER_MODULEデータ構造体から取得することができる。また、第1オペレーティングシステム131により提供される第1ネットワークサービスをアップデートする(すなわち、新規ネットワークサービスを設定する又は既存のネットワークサービスを閉じる)と、第1オペレーティングシステム131は、ページ不在(Page Fault)メッセージを生成するので、該ページ不在メッセージに基づいて仮想コンピュータモニタ装置13は、第1ネットワークサービス情報を更新するために新規ネットワークサービスの設定すること又は既存のネットワークサービスを閉じることに関するメッセージを取得することができる。
【0020】
上述した例によると仮想コンピュータモニタ装置13は、そのメモリ13aから第1オペレーティングシステム131の第1オペレーティングシステム情報及び該第1オペレーティングシステム131により提供される第1ネットワークサービスの第1ネットワークサービス情報を読み出す。本明細書においては、Microsoftオペレーティングシステムだけを例に取り上げて説明したが、当業者であれば異なるオペレーティングシステムの仕様書に基づいてオペレーティングシステム情報及びネットワークサービス情報をメモリから取得する方法が理解できるであろう。そのため、オペレーティングシステム及び該オペレーティングシステムにより提供されるネットワークサービスは共に、本発明の請求の範囲を限定することを意図するものではなく、他のオペレーティングシステムの動作について更に説明することはしない。
【0021】
次に、ネットワークインターフェース11が第1パケット102を受信すると、仮想コンピュータモニタ装置13は、第1ネットワークサービス情報に記録されている第1ネットワークサービスが用いる第1サービスポート番号(例えば807)に基づいて第1パケット102をフィルタする。例えば、ネットワークインターフェース11がポート(例えば544)を介して第1パケット102を受信すると、仮想コンピュータモニタ装置13は、第1パケット102が第1オペレーティングシステム131に関係付けられている(すなわち、第1パケット102が第1オペレーティングシステム131に対して定められている)という判断及び受信した第1パケット102が第1サービスポート番号とは異なるという判断に基づいて第1パケット102をフィルタアウトしてもよい。
【0022】
(実施形態2)
図2に、本発明の第2実施形態に係る情報セキュリティ保護ホスト1を示す。第1実施形態とは異なり第2実施形態においては、ネットワークインターフェース11は、第2パケット104をコンピュータネットワーク2から更に受信し、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、第2オペレーティングシステム133を実行するように更に構成されている。第2オペレーティングシステム133も、例えば、ウェブページサービス、ファイル転送プロトコル(FTP)サービス、電子メールサービス、他のネットワークサービス又はこれらの組み合わせ等の第2ネットワークサービスを提供する。同様に、第2オペレーティングシステム133は、Microsoftオペレーティングシステム、Unixライクオペレーティングシステム又はネットワークサービスを提供可能な他の任意のオペレーティングシステムであってもよい。
【0023】
仮想コンピュータモニタ装置13が第1オペレーティングシステム133を実行していると、第2オペレーティングシステム133を実行するにはメモリ13aを使用する必要があるため、メモリ13aは、そこに記憶されている第2オペレーティングシステム133に関する情報、例えば、第2オペレーティングシステム133の第2オペレーティングシステム情報及び該第2オペレーティングシステムにより提供される第2ネットワークサービスの第2ネットワークサービス情報等に関する情報を得ることになる。第2オペレーティングシステム情報を用いて、第2オペレーティングシステムがMicrosoftオペレーティングシステム、Unixライクオペレーティングシステム又は他の任意のオペレーティングシステムであることを示してもよく、第2ネットワークサービス情報を用いて、第2ネットワークサービスには、ウェブページサービス、FTPサービス、電子メールサービス、他のネットワークサービス又はこれらの組み合わせを含んでもよいことを示してもよい。
【0024】
次に、ネットワークインターフェース11が第2パケット104を受信すると、仮想コンピュータモニタ装置13は、第2ネットワークサービス情報に記録されている第2ネットワークサービスが用いる第2サービスポート番号(例えば707)に基づいて第2パケット104をフィルタしてもよい。例えば、ネットワークインターフェース11がポート(例えば474)を介して第2パケット104を受信すると、仮想コンピュータモニタ装置13は、第2パケット104が第2オペレーティングシステム133に関連付けられている(すなわち、第2パケット104は、第2オペレーティングシステム133に対して定められている)という判断及び受信した第2パケット104が第2サービスポート番号とは異なるという判断に基づいて第2パケット104をフィルタアウトしてもよい。
【0025】
(実施形態3)
図3に、本発明の第3実施形態に係る情報セキュリティ保護ホスト1を示す。第1実施形態とは異なり第3実施形態においては、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、セキュリティシステム135を実行するように更に構成されているので、第1ネットワークサービス情報に記録されている第1ネットワークサービスが用いる第1サービスポート番号に基づいて仮想コンピュータモニタ装置13が第1パケット102をフィルタする必要はない。セキュリティシステム135は、複数の検証ルールを提供するように構成されている。セキュリティシステム135は、侵入検知システム(Intrusion Detection System;IDS)、ネットワーク侵入検知システム(Network Intrusion Prevention System; NIDS)、ネットワーク侵入保護システム(Network Intrusion Prevention System; NIPS)、ウェブアプリケーションファイヤウォール(Web App Firewall)、ファイヤウォール(Firewall)又は保護を提供可能な他の任意のシステムであってもよい。
【0026】
仮想コンピュータモニタ装置13は、そのメモリ13aから第1オペレーティングシステム131の第1オペレーティングシステム情報及び該第1オペレーティングシステム131により提供される第1ネットワークサービスの第1ネットワークサービス情報を読み出し、それらの情報をセキュリティシステム135に提供する。セキュリティシステム135は、第1オペレーティングシステム情報又は第1ネットワークサービス情報に基づいて複数の検証ルールから第1検証ルールを選択する。例えば、第1オペレーティングシステム情報が、第1オペレーティングシステム131がMicrosoftオペレーティングシステム(Windows Server 2003)であることを示し、第1ネットワークサービス情報が、第1ネットワークサービスが電子メールサービスを含むことを示すとき、セキュリティシステム135は、Microsoftオペレーティングシステム(Windows Server 2003)に関連付けられかつ電子メールサービスに更に関連付けられている検証ルールを複数の検証ルールから第1の検証ルールとして選択する。従って、第1パケット102をネットワークインターフェース11から受信すると、仮想コンピュータモニタ装置13は、まずセキュリティシステム135を用いて第1パケット102を検証する。セキュリティシステム135が、第1パケット102が第1オペレーティングシステム131に関連付けられている(すなわち、第1パケット102は、第1オペレーティングシステム131に対して定められている)と判断すると、全ての検証ルールではなく第1検証ルールを適用して第1パケット102を検証する。具体的には、第1パケット102が第1検証ルールを用いて行う検証にパスすると、次に仮想コンピュータモニタ装置13が第1オペレーティングシステム131で用いるために第1パケット102を提供する。一方、第1パケット102が第1検証ルールを用いて行う検証にパスしなければ、第1パケット102をフィルタアウトすることで、第1パケット102が第1オペレーティングシステム131に与える脅威を防いでいる。
【0027】
更に、他の実施形態において仮想コンピュータモニタ装置13は、第1ネットワークサービス情報に記録されている第1ネットワークサービスが用いる第1サービスポート番号に基づいて、最初に第1パケット102をフィルタしてもよい。仮想コンピュータモニタ装置13が、第1パケット102が第1オペレーティングシステム131に関連付けられている(すなわち、第1パケット102は、第1オペレーティングシステム131に対して定められている)と判断し、そして、第1パケット102を受信するボート番号が第1サービスポート番号と等しいと判断すると、仮想コンピュータモニタ装置13は、セキュリティシステム135を用いて第1パケット102を検証する。すなわち、本発明の仮想コンピュータモニタ装置13は、セキュリティシステム135だけを用いてパケットを検証する、又は、セキュリティシステム135を用いてパケットを認証する前にポート番号に基づいてパケットをフィルタしてもよい。
【0028】
(実施形態4)
図4に、本発明の第4実施形態に係る情報セキュリティ保護ホスト1を示す。第1実施形態とは異なり第4実施形態においては、ネットワークインターフェース11は、コンピュータネットワーク2から第2パケット104を更に受信し、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、第2オペレーティングシステム133を実行するように更に構成されている。第2オペレーティングシステム133も、ウェブページサービス、ファイル転送プロトコル(FTP)サービス、電子メールサービス、他のネットワークサービス又はこれらの組み合わせ等の第2ネットワークサービスを提供する。同様に、第2オペレーティングシステム133は、Microsoftオペレーティングシステム、Unixライクオペレーティングシステム又はネットワークサービスを提供可能な他の任意のオペレーティングシステムであってもよい。第4実施形態においては、仮想コンピュータモニタ装置13は、第2ネットワークサービス情報に記録されている第2ネットワークサービスが用いる第2サービスポート番号に基づいて第2パケット104をフィルタしてもよい。
【0029】
仮想コンピュータモニタ装置13が第1オペレーティングシステム133を実行していると、第2オペレーティングシステム133を実行するにはメモリ13aを使用する必要があるため、メモリ13aは、そこに記憶されている第2オペレーティングシステム133に関する情報、例えば、第2オペレーティングシステム133の第2オペレーティングシステム情報及び該第2オペレーティングシステムにより提供される第2のネットワークサービスの第2ネットワークサービス情報等に関する情報を得ることになる。第2オペレーティングシステム情報を用いて、第2オペレーティングシステム133がMicrosoftオペレーティングシステム、Unixライクオペレーティングシステム又は他の任意のオペレーティングシステムであることを示してもよく、第2ネットワークサービス情報を用いて、第2ネットワークサービスには、ウェブページサービス、FTPサービス、電子メールサービス、他の任意のネットワークサービス又はこれらの組み合わせを含んでもよいことを示してもよい。
【0030】
仮想コンピュータモニタ装置13は、そのメモリ13aから第2オペレーティングシステム133の第2オペレーティングシステム情報及び該第2オペレーティングシステム133によって提供される第2ネットワークサービスの第2ネットワークサービス情報を読み出し、それらの情報をセキュリティシステム135に提供する。セキュリティシステム135は、第2オペレーティングシステム情報又は第2ネットワークサービス情報に基づいて複数の検証ルールから第2検証ルールを選択する。例えば、第2オペレーティングシステム情報が、第2オペレーティングシステム131がUnixライクオペレーティングシステムであることを示し、第2ネットワークサービス情報が、第2ネットワークサービスには、ウェブページサービス及びFTPサービスが含まれることを示すときは、セキュリティシステム135は、Unixライクオペレーティングシステムに関連付けられ、ウェブページサービス及びFTPサービスと更に関連付けられた検証ルールを第2検証ルールとして複数の検証ルールから選択する。従って、第2パケット104をネットワークインターフェース11が受信すると仮想コンピュータモニタ装置13は、セキュリティシステム135を用いて第2パケット104を検証する。セキュリティシステム135が、第2パケット104が第2オペレーティングシステム133に関連付けられている(すなわち、第2パケット104は、第2オペレーティングシステム133に対して定められている)と判断すると、全ての検証ルールではなく第2検証ルールを適用して第2パケット104を検証する。具体的には、第2パケット104が第2検証ルールを用いて行う検証にパスすると、仮想コンピュータモニタ装置13は、第2オペレーティングシステム133で用いるために第2パケット104を提供する。一方、第2パケット104が第2検証ルールを用いて行う検証にパスしなければ、第2パケット104をフィルタアウトすることにより、第2パケット104が第2オペレーティングシステム133に与える脅威を防いでいる。
【0031】
更に、他の実施形態において仮想コンピュータモニタ装置13は、第2ネットワークサービス情報に記録されている第2ネットワークサービスが用いる第2サービスポート番号に基づいて、最初に第2パケット104をフィルタしてもよい。仮想コンピュータモニタ装置13が、第2パケット104が第2オペレーティングシステム133に関連付けられている(すなわち、第2パケット104は、第2オペレーティングシステム133に対して定められている)と判断し、そして、第2パケット104を受信するボート番号が第2サービスポート番号と等しいと判断すると、仮想コンピュータモニタ装置13は、セキュリティシステム135を用いて第2パケット104を検証する。
【0032】
(実施形態5)
図3に、本発明の第5実施形態に係る情報セキュリティ保護ホスト1を示す。第1実施形態とは異なり第5実施形態においては、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、セキュリティシステム135を実行するように更に構成される。セキュリティシステム135は、複数の検証ルールを提供するように構成される。セキュリティシステム135は、侵入検知システム(IDS)、ネットワーク侵入検知システム(NIDS)、ネットワーク侵入保護システム(NIPS)、ウェブアプリケーションファイヤウォール、ファイヤウォール又は保護を提供可能な他の任意のシステムであってもよい。
【0033】
仮想コンピュータモニタ装置13は、第1パケット102を受信してからセキュリティシステム135を用いて第1パケット102を検証する。セキュリティシステム135は、全ての検証ルールを適用して第1パケット102を検証する。第1パケット102が検証ルールのうちの1つにパスできなければ、仮想コンピュータモニタ装置13は、第1オペレーティングシステム情報又は第1ネットワークサービス情報に基づいて、第1パケット102が第1オペレーティングシステム131に関連付けられていること、そして、検証ルールが第1オペレーティングシステム131に関連付けられていないことを更に判断して、セキュリティシステム135が全ての検証ルールを適用して第1パケット102を検証する際に誤った判断をしていないかどうかを判断する。具体的には、セキュリティシステム135が、第1パケット102は検証ルールに適合しないと判断する場合、セキュリティシステム135は、アラームを発行する。このアラームに応答して仮想コンピュータモニタ装置13は、パケットが第1オペレーティングシステム131に関連付けられている(すなわち、第1パケット102は、第1オペレーティングシステム131に対して定められている)と判断し、検証ルールが第1オペレーティングシステム131に関連付けられていないと判断する。例えば、第1オペレーティングシステム131はWindows Server 2003オペレーティングシステムだが、検証ルールがWindows Server 2003オペレーティングシステムに対して適用できない場合などのことである。従って、仮想コンピュータモニタ装置13は、セキュリティシステム135が第1パケット102に対して行った検証が誤っていたと判断することができる。このようにして、セキュリティシステム135が全ての検証ルールを適用して第1パケット102を検証する際に誤った判断をすることを防止することができる。
【0034】
(実施形態6)
図4に、本発明の第6実施形態に係る情報セキュリティ保護ホスト1を示す。第5実施形態とは異なり第6実施形態においては、ネットワークインターフェース11は、コンピュータネットワーク2から第2パケット104を更に受信し、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、第2オペレーティングシステム133を実行するように更に構成される。第2オペレーティングシステム133も、例えば、ウェブページサービス、ファイル転送プロトコル(FTP)サービス、電子メールサービス、他の任意のネットワークサービス又はこれらの組み合わせ等の第2ネットワークサービスを提供する。同様に、第2オペレーティングシステム133は、Microsoftオペレーティングシステム、Unixライクオペレーティングシステム又はネットワークサービスを提供可能な他の任意のオペレーティングシステムであってもよい。
【0035】
仮想コンピュータモニタ装置13が第1オペレーティングシステム133を実行させていると、第2オペレーティングシステム133を実行するにはメモリ13aを使用する必要があるため、メモリ13aは、そこに記憶されている第2オペレーティングシステム133に関する情報、例えば、第2オペレーティングシステム133の第2オペレーティングシステム情報及び該第2オペレーティングシステムにより提供される第2のネットワークサービスの第2ネットワークサービス情報等に関する情報を得ることになる。第2オペレーティングシステム情報を用いて、第2オペレーティングシステム133がMicrosoftオペレーティングシステム、Unixライクオペレーティングシステム又は他の任意のオペレーティングシステムであることを示してもよく、第2ネットワークサービス情報を用いて、第2ネットワークサービスには、ウェブページサービス、FTPサービス、電子メールサービス、他の任意のネットワークサービス又はこれらの組み合わせを含んでもよいことを示してもよい。
【0036】
仮想コンピュータモニタ装置13は、第2パケット104を受信してからセキュリティシステム135を用いて第2パケット104を検証する。セキュリティシステム135は、全ての検証ルールを適用して第2パケット104を検証する。第2パケット104が検証ルールのうちの1つにパスできなければ、仮想コンピュータモニタ装置13は、第2オペレーティングシステム情報又は第2ネットワークサービス情報に基づいて、第2パケット104が第2オペレーティングシステム133に関連付けられ、そして、検証ルールが第2オペレーティングシステム133に関連付けられていないと更に判断して、セキュリティシステム135が全ての検証ルールを適用して第2パケット104を検証する際に誤った判断をしていないかどうかを判断する。具体的には、セキュリティシステム135が、第2パケット104は検証ルールに適合しないと判断する場合、セキュリティシステム135がアラームを発行する。このアラームに応答して仮想コンピュータモニタ装置13は、パケットが第2オペレーティングシステム133に関連付けられている(すなわち、第2パケット104は、第2オペレーティングシステム133に対して定められている)と判断し、そして、検証ルールが第2オペレーティングシステム133に関連付けられていないと判断する。例えば、第2オペレーティングシステム133はUnixライクペレーティングシステムであるが、検証ルールがUnixライクオペレーティングシステムに対して適用できないような場合のことである。従って、仮想コンピュータモニタ装置13は、セキュリティシステム135が第2パケット104に対して行った検証が誤っていたことを判断することができる。このようにして、セキュリティシステム135が全ての検証ルールを適用して第2パケット104を検証する際に誤った判断をすることを防止することができる。
【0037】
ここで、本実施形態における「第1」及び「第2」は、仮想コンピュータモニタ装置13が2つのオペレーティングシステムを実行し、2つの該オペレーティングシステムがそれぞれネットワークサービスを提供することを意味することが分かるが、他の実施形態においては、仮想コンピュータモニタ装置13は、それぞれが異なるネットワークサービスを提供する2つよりも多いオペレーティングシステムを更に実行することもできる。すなわち、仮想コンピュータモニタ装置13が2つよりも多いオペレーティングシステムを実行する時には、本実施形態を採用してもよい。
【0038】
上述した説明によると、本発明において情報セキュリティ保護ホストの仮想コンピュータモニタ装置は、そのメモリから、仮想コンピュータモニタ装置上で実行している複数の異なるオペレーティングシステムの情報を取得し、その取得した情報に基づき、情報セキュリティ保護ホストが受信したパケットを異なるオペレーティングシステム又は該オペレーティングシステムによって提供されるネットワークサービスに基づいてフィルタする。更に、取得した情報に基づき、仮想コンピュータモニタ装置上で実行しているセキュリティシステムも、もともと使用されている多くの検証ルールから、異なるオペレーティングシステム又は該オペレーティングシステムによって提供されるネットワークサービスに対してそれぞれ適用可能な検証ルールを選択してもよい。従って、パケットが対応するオペレーティングシステムによっては、選択した検証ルールだけを用いてパケットを検証することもできるので、全ての検証ルールを用いてパケットを検証することを回避することができる。また、セキュリティシステムが全ての検証ルールを適用してパケットを検証する際に、そのような情報を用いることでパケットを検証する際に起こる誤った判断を防ぐこともできる。また、本発明の情報セキュリティ保護ホストは、検知性能を効率的に向上させ、誤った判断の発生を低減させることができる。
【0039】
上記の開示は、詳細な技術内容でありその発明的特徴に関するものである。当業者であれば本発明の特徴から逸脱することなく、説明した本開示及び本発明の提案に基づいて様々な変更例及び代替例を進めることができるであろう。しかしながら、そのような変更例及び代替例は、上記の説明には十分には開示されていないが、添付した以下の請求の範囲において実質的に網羅されている。
【符号の説明】
【0040】
1 情報セキュリティ保護ホスト
2 コンピュータネットワーク
11 ネットワークインターフェース
13 仮想コンピュータモニタ装置
13a メモリ
131 第1オペレーティングシステム
133 第2オペレーティングシステム
135 セキュリティシステム
102 第1パケット
104 第2パケット
【技術分野】
【0001】
本発明は、情報セキュリティ保護ホスト装置に関する。特に、本発明の情報セキュリティ保護ホストは、該ホスト上で実行している1つ以上のオペレーティングシステム及び該1つ以上のオペレーティングシステムにより提供されるネットワークサービスに基づいて、異なるオペレーティングシステム又は該オペレーティングシステムによって提供されるネットワークサービスに対応する一連の検証ルールを、受信パケットを検証するための複数の検証ルールから選択することができる。これにより、異なるオペレーティングシステムに関連するパケットの全てを同一の検証ルールによって検証することを回避することができる。
【背景技術】
【0002】
インターネットの急速な発展に伴い、現在、益々多くの企業がホストの開発を通してネットワークサービス(例えば、ウェブページサービス、電子メールサービス、ファイル転送プロトコル(FTP)サービス)を提供している。しかしながら、インターネットによって人々は情報を伝達する利便性を手に入れた一方で、何者かがホストに侵入してそこに記憶されているデータを盗んだり改ざんしたりする可能性もでてきた。そのため、ホストのデータを保護するために、ほぼ全てのホストで侵入検知システム(Intrusion Detection System;IDS)をインストールして様々な侵入イベントを検知してきた。
【0003】
従来型IDSでは、パケットの内容を検証するために受信パケットに対して課す検証ルールが一般に多過ぎるため、ホスト内で実行しているオペレーティングシステムに脅威を与える可能性のないパケットに対しても検証のために全ての検証ルールを課している。しかしながら、著しく多くの検証ルールを課すことは、システム性能を損なう虞があり、誤った判断を下しがちになる。
【0004】
更に、現在、企業のホストの中には、仮想コンピュータモニタ(Virtual Machine Monitor; VMM)装置を用いて、多くの異なるオペレーティングシステムを実行しているものもある。そのため、仮想コンピュータモニタ装置が従来型IDSを更に実行させてこれらの異なるオペレーションシステムに関連した各パケットを検証する場合、著しく多くの検証ルールを課すことにより損なわれる虞のあるシステム性能の問題がより深刻なものとなる。
【0005】
上述した説明によると、当分野において、特に、仮想コンピュータモニタ装置をホストに用いて多くの異なるオペレーティングシステムを実行する際にIDSの検知性能を向上させるためには、更なる取り組みが要求されている。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の目的は、情報セキュリティ保護ホスト装置を提供することである。情報セキュリティ保護ホストは、1つ以上のオペレーティングシステムを実行して1つ以上のネットワークサービスを提供する。情報セキュリティ保護ホストは、実行中のオペレーティングシステム及び該実行中のオペレーティングシステムによって提供されるサービスに基づいて、異なるオペレーティングシステムに関連付けられた受信パケットのセキュリティを判断する。
【課題を解決するための手段】
【0007】
上述した目的を実現するために、本発明は、インターネットインターフェース及び仮想コンピュータモニタ(VMM)装置を備える情報セキュリティ保護ホストを開示するものである。ネットワークインターフェースは、コンピュータネットワークに接続し、第1パケットを受信するように構成される。仮想コンピュータモニタ装置は、ネットワークインターフェースに接続し、第1オペレーティングシステムを実行するように構成される。第1オペレーティングシステムは、第1ネットワークサービスを提供し、仮想コンピュータモニタ装置は、第1オペレーティングシステムの第1オペレーティングシステム情報及び第1ネットワークサービスの第1ネットワークサービス情報をリアルタイムで提供するように更に構成されている。第1ネットワークサービス情報は、第1サービスポート番号(Port Number)を含み、ネットワークインターフェースがポートを介して第1パケットを受信すると、仮想コンピュータモニタ装置は、第1オペレーティングシステム情報及び第1ネットワークサービス情報とに基づいて、第1パケットが第1オペレーティングシステムに関連付けられていること、そして、ポートのポート番号が第1パケットをフィルタするために第1サービスポート番号とは異なることを判断する。
【0008】
本発明の他の目的は、情報セキュリティ保護ホストを提供することである。情報セキュリティ保護ホストは、1つ以上のオペレーティングシステムを実行して1つ以上のネットワークサービスを提供する。情報セキュリティ保護ホストは、複数の検証ルールを提供するセキュリティシステムを更に実行する。セキュリティシステムは、情報セキュリティ保護ホスト及びオペレーティングシステムによって提供されるネットワークサービス上で実行しているオペレーティングシステムに基づく検証ルールから、それぞれ異なるオペレーティングシステムに適用可能な検証ルールを選択する。そのため、情報セキュリティ保護ホストがオペレーティングシステムの1つに関連付けられたパケットを受信すると、セキュリティシステムは、オペレーティングシステムに対応した一連の選択検証ルールを適用して受信パケットの内容を検証する。これにより、全ての検証ルールを用いて受信パケットを検証する必要がなくなるため、検知性能が向上する。
【0009】
上述した目的を実現するために、本発明は、インターネットインターフェース及び仮想コンピュータモニタ(VMM)装置を備える情報セキュリティ保護ホストを更に開示するものである。ネットワークインターフェースは、コンピュータネットワークに接続し、第1パケットを受信するように構成される。仮想コンピュータモニタ装置は、ネットワークインターフェースに接続し、第1オペレーティングシステム及びセキュリティシステムを実行するように構成される。第1オペレーティングシステムは、第1ネットワークサービスを提供する。セキュリティシステムは、複数の検証ルールを提供するように構成されている。仮想コンピュータモニタ装置は、第1オペレーティングシステムの第1オペレーティングシステム情報及び第1ネットワークシステムの第1ネットワークサービス情報をリアルタイムでセキュリティシステムに提供するので、セキュリティシステムは、第1オペレーティングシステム情報及び第1ネットワークサービス情報に基づいて、複数の検証ルールから第1の検証ルールを選択し、そして、第1パケットを検証するための第1検証ルールを適用するように、第1パケットが第1オペレーティングシステム情報に関連付けられていることを判断する。
【0010】
本発明の他の目的は、情報セキュリティ保護ホストを提供することである。情報セキュリティ保護ホストは、1つ以上のオペレーティングシステムを実行して1つ以上のネットワークサービスを提供する。情報セキュリティ保護ホストは、複数の検証ルールを提供するセキュリティシステムを更に実行し、検証ルールに基づいてそれぞれのオペレーティングシステムに関連付けられている複数の受信パケットを検証する。パケットが検証ルールのうちの1つにパスできなければ、情報セキュリティ保護ホストは、該パケットがオペレーティングシステムのうちの1つに関連付けられているか、そして、該パケットがオペレーティングシステムに対して脅威となり得るかどうかを判断するように該ルールがオペレーティングシステムに関連付けられているかどうかを判断する。よって、上述した仕組みを通すことで、検証ルールに基づいてパケットを検証するためにセキュリティシステムを用いる場合に、誤った判断を下すことを防ぐことができる。
【0011】
上述した目的を実現するために、本発明は、インターネットインターフェース及び仮想コンピュータモニタ(VMM)装置を備える情報セキュリティ保護ホストを更に開示するものである。ネットワークインターフェースは、コンピュータネットワークに接続し、第1パケットを受信するように構成される。仮想コンピュータモニタ装置は、ネットワークインターフェースに接続し、第1オペレーティングシステム及びセキュリティシステムを実行するように構成される。第1オペレーティングシステムは、第1ネットワークサービスを提供する。仮想コンピュータモニタ装置は、第1オペレーティングシステムの第1オペレーティングシステム情報及び第1ネットワークサービスの第1ネットワークサービス情報をリアルタイムで提供するように更に構成されている。セキュリティシステムは、複数の検証ルールを提供して該検証ルールに基づいて第1パケットを検証するように構成されている。第1パケットが検証ルールのうちの1つにパスできなければ、検証ルールに基づいて第1パケットを検証するためにセキュリティシステムを用いるときに誤った判断がなされないように、仮想コンピュータモニタ装置は、第1オペレーティングシステム情報又は第1ネットワークサービス情報に基づいて、第1パケットが第1オペレーティングシステムに関連付けられていること、そして、検証ルールが第1オペレーティングシステムに関連付けられていないことを更に判断する。
【図面の簡単な説明】
【0012】
【図1】本発明の第1の実施形態に係る情報セキュリティ保護ホスト1の概略図である。
【図2】本発明の第2の実施形態に係る情報セキュリティ保護ホスト1の概略図である。
【図3】本発明の第3の実施形態及び第5の実施形態に係る情報セキュリティ保護ホスト1の概略図である。
【図4】本発明の第4の実施形態及び第6の実施形態に係る情報セキュリティ保護ホスト1の概略図である。
【発明を実施するための形態】
【0013】
請求した発明の特徴を当技術分野の当業者によく理解してもらうために、技術の詳細及び主題の発明を実施するための好ましい実施形態を、図面を添付した以下の段落において説明する。
【0014】
(実施形態1)
本発明は、情報セキュリティ保護ホスト装置を提供するものである。本発明の情報セキュリティ保護ホストは、1つ以上のオペレーティングシステムを実行し、該オペレーティングシステムのそれぞれは、1つ以上のネットワークサービスを提供する。オペレーティングシステムの1つに関連付けられたパケットを受信すると、情報セキュリティ保護ホストは、オペレーティングシステムのオペレーティングシステム情報及び該オペレーションシステムによって提供されるネットワークサービスのネットワークサービス情報に基づいて受信パケットのセキュリティを判断する。以下に説明する実施形態は、本発明の技術的な開示を単に説明するためのものであり、本発明の請求の範囲を限定するものではない。当然のことではあるが、以下の本実施形態及び添付の図面において、本発明と関係のない要素は図示せず省略してあり、添付図面における要素間のそれぞれの寸法は、理解しやすいように示してあるだけで実際の大きさを限定するものではない。
【0015】
図1に、本発明の第1の実施形態に係る情報セキュリティ保護ホスト1を示す。情報セキュリティ保護ホスト1は、ネットワークインターフェース11及び仮想コンピュータモニタ(Virtual Machine Monitor; VMM)装置13を備える。情報セキュリティ保護ホスト1は、ネットワークインターフェース11を介して有線又は無線でコンピュータネットワーク2に接続する。コンピュータネットワーク2は、私設ネットワーク、公設ネットワーク、インターネット(Internet)、他の種類の任意のネットワーク又はこれらの組み合わせのうちの任意のものであってもよい。
【0016】
仮想コンピュータモニタ装置13は、メモリ13aを備え、第1オペレーティングシステム131を実行するように構成されている。第1オペレーティングシステム131は、例えば、ウェブページ(Web Page)サービス、ファイル転送プロトコル(File Transfer Protocol; FTP)サービス、電子メールサービス、他のネットワークサービス又はこれらの組み合わせ等の第1ネットワークサービスを提供する。当然のことながら、第1オペレーティングシステム131は、Microsoftオペレーティングシステム、Unixライク(Unix−like)オペレーティングシステム又はネットワークサービスを提供し得る他の任意のオペレーティングシステムであってもよく、仮想コンピュータモニタ装置13は、一般のコンピュータホストハードウェア(例えば、中央処理装置(CPU)、メモリ、ハードディスク、メインボード等を備えるもの)又は1つ以上のオペレーティングシステムを同時に実行できる他の任意の装置であってもよい。
【0017】
本実施形態において、仮想コンピュータモニタ装置13が第1オペレーティングシステム131を実行していると、第1オペレーティングシステム131を実行するにはメモリ13aを使用する必要があるため、メモリ13aはそこに記憶されている第1オペレーティングシステム131に関する情報、例えは、第1オペレーティングシステム131の第1オペレーティングシステム情報及び該第1オペレーティングシステムにより提供される第1ネットワークサービスの第1ネットワークサービス情報等の情報を得ることになる。第1オペレーティングシステム情報を用いて、第1オペレーティングシステムがMicrosoftオペレーティングシステム、Unixライクオペレーティングシステム又は他の任意のオペレーティングシステムであることを示してもよく、また、第1ネットワークサービス情報を用いて、第1ネットワークサービスにはウェブページサービス、FTPサービス、電子メールサービス、他の任意のネットワークサービス又はこれらの組み合わせ等を含んでもよいことを示してもよい。
【0018】
Microsoftオペレーティングシステムを例にとると、Microsoftオペレーティングシステムを実行していると、そのカーネルが、関連するパラメータを記憶するためのメモリに記憶されるプロセス環境ブロック(Process Environment Block; PEB)データ構造体を構成する。OSMajorVersionフィールド及びPEBデータ構造体のOSMinorVersionフィールドを用いてMicrosoftオペレーティングシステムのバージョンパラメータを記憶する。例えば、OSMajorVersionフィールドの値が「7」で、OSMinorVersionフィールドの値が「0」の場合、MicrosoftオペレーティングシステムがWindows 7(商標)であることを示している。また、OSMajorVersionフィールドの値が「6」で、OSMinorVersionフィールドの値が「0」の場合、MicrosoftオペレーティングシステムがWindows Vista(商標)又はServer 2008(商標)であることを示している。また、OSMajorVersionフィールドの値が「5」で、OSMinorVersionフィールドの値が「2」の場合、MicrosoftオペレーティングシステムがWindows Server 2003(商標)であることを示している。そして、OSMajorVersionフィールドの値が「5」で、OSMinorVersionフィールドの値が「1」の場合、MicrosoftオペレーティングシステムがWindows XP(商標)であることを示している。PEBデータ構造体は、従来技術によるものであり、当業者であれば既存の技術文献に基づいてPEBデータ構造体の詳細な内容を容易に理解することができるので、本明細書ではその詳細は説明しない。
【0019】
その上、Microsoftオペレーティングシステムが実行中には、そのカーネルもEPROCESSデータ構造体及びMIB_TCPROW_OWNER_MODULEデータ構造体を構成し、これら2つの構造体をメモリに記憶する。EPROCESSデータ構造体は、現在実行中のプロセス(すなわち、第1ネットワークサービスを提供するために用いるプロセス)を記録し、MIB_TCPROW_OWNER_MODULEデータ構造体は、実行中のプロセスに関連した情報を記録する。従って、プロセスリスト(Process List)をEPROCESSデータ構造体から取得することができ、その後、該プロセスリストにおけるプロセス同定(Process Identification; PID)に基づいて、実行中のプロセスに関連した情報をMIB_TCPROW_OWNER_MODULEデータ構造体から取得することができる。また、第1オペレーティングシステム131により提供される第1ネットワークサービスをアップデートする(すなわち、新規ネットワークサービスを設定する又は既存のネットワークサービスを閉じる)と、第1オペレーティングシステム131は、ページ不在(Page Fault)メッセージを生成するので、該ページ不在メッセージに基づいて仮想コンピュータモニタ装置13は、第1ネットワークサービス情報を更新するために新規ネットワークサービスの設定すること又は既存のネットワークサービスを閉じることに関するメッセージを取得することができる。
【0020】
上述した例によると仮想コンピュータモニタ装置13は、そのメモリ13aから第1オペレーティングシステム131の第1オペレーティングシステム情報及び該第1オペレーティングシステム131により提供される第1ネットワークサービスの第1ネットワークサービス情報を読み出す。本明細書においては、Microsoftオペレーティングシステムだけを例に取り上げて説明したが、当業者であれば異なるオペレーティングシステムの仕様書に基づいてオペレーティングシステム情報及びネットワークサービス情報をメモリから取得する方法が理解できるであろう。そのため、オペレーティングシステム及び該オペレーティングシステムにより提供されるネットワークサービスは共に、本発明の請求の範囲を限定することを意図するものではなく、他のオペレーティングシステムの動作について更に説明することはしない。
【0021】
次に、ネットワークインターフェース11が第1パケット102を受信すると、仮想コンピュータモニタ装置13は、第1ネットワークサービス情報に記録されている第1ネットワークサービスが用いる第1サービスポート番号(例えば807)に基づいて第1パケット102をフィルタする。例えば、ネットワークインターフェース11がポート(例えば544)を介して第1パケット102を受信すると、仮想コンピュータモニタ装置13は、第1パケット102が第1オペレーティングシステム131に関係付けられている(すなわち、第1パケット102が第1オペレーティングシステム131に対して定められている)という判断及び受信した第1パケット102が第1サービスポート番号とは異なるという判断に基づいて第1パケット102をフィルタアウトしてもよい。
【0022】
(実施形態2)
図2に、本発明の第2実施形態に係る情報セキュリティ保護ホスト1を示す。第1実施形態とは異なり第2実施形態においては、ネットワークインターフェース11は、第2パケット104をコンピュータネットワーク2から更に受信し、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、第2オペレーティングシステム133を実行するように更に構成されている。第2オペレーティングシステム133も、例えば、ウェブページサービス、ファイル転送プロトコル(FTP)サービス、電子メールサービス、他のネットワークサービス又はこれらの組み合わせ等の第2ネットワークサービスを提供する。同様に、第2オペレーティングシステム133は、Microsoftオペレーティングシステム、Unixライクオペレーティングシステム又はネットワークサービスを提供可能な他の任意のオペレーティングシステムであってもよい。
【0023】
仮想コンピュータモニタ装置13が第1オペレーティングシステム133を実行していると、第2オペレーティングシステム133を実行するにはメモリ13aを使用する必要があるため、メモリ13aは、そこに記憶されている第2オペレーティングシステム133に関する情報、例えば、第2オペレーティングシステム133の第2オペレーティングシステム情報及び該第2オペレーティングシステムにより提供される第2ネットワークサービスの第2ネットワークサービス情報等に関する情報を得ることになる。第2オペレーティングシステム情報を用いて、第2オペレーティングシステムがMicrosoftオペレーティングシステム、Unixライクオペレーティングシステム又は他の任意のオペレーティングシステムであることを示してもよく、第2ネットワークサービス情報を用いて、第2ネットワークサービスには、ウェブページサービス、FTPサービス、電子メールサービス、他のネットワークサービス又はこれらの組み合わせを含んでもよいことを示してもよい。
【0024】
次に、ネットワークインターフェース11が第2パケット104を受信すると、仮想コンピュータモニタ装置13は、第2ネットワークサービス情報に記録されている第2ネットワークサービスが用いる第2サービスポート番号(例えば707)に基づいて第2パケット104をフィルタしてもよい。例えば、ネットワークインターフェース11がポート(例えば474)を介して第2パケット104を受信すると、仮想コンピュータモニタ装置13は、第2パケット104が第2オペレーティングシステム133に関連付けられている(すなわち、第2パケット104は、第2オペレーティングシステム133に対して定められている)という判断及び受信した第2パケット104が第2サービスポート番号とは異なるという判断に基づいて第2パケット104をフィルタアウトしてもよい。
【0025】
(実施形態3)
図3に、本発明の第3実施形態に係る情報セキュリティ保護ホスト1を示す。第1実施形態とは異なり第3実施形態においては、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、セキュリティシステム135を実行するように更に構成されているので、第1ネットワークサービス情報に記録されている第1ネットワークサービスが用いる第1サービスポート番号に基づいて仮想コンピュータモニタ装置13が第1パケット102をフィルタする必要はない。セキュリティシステム135は、複数の検証ルールを提供するように構成されている。セキュリティシステム135は、侵入検知システム(Intrusion Detection System;IDS)、ネットワーク侵入検知システム(Network Intrusion Prevention System; NIDS)、ネットワーク侵入保護システム(Network Intrusion Prevention System; NIPS)、ウェブアプリケーションファイヤウォール(Web App Firewall)、ファイヤウォール(Firewall)又は保護を提供可能な他の任意のシステムであってもよい。
【0026】
仮想コンピュータモニタ装置13は、そのメモリ13aから第1オペレーティングシステム131の第1オペレーティングシステム情報及び該第1オペレーティングシステム131により提供される第1ネットワークサービスの第1ネットワークサービス情報を読み出し、それらの情報をセキュリティシステム135に提供する。セキュリティシステム135は、第1オペレーティングシステム情報又は第1ネットワークサービス情報に基づいて複数の検証ルールから第1検証ルールを選択する。例えば、第1オペレーティングシステム情報が、第1オペレーティングシステム131がMicrosoftオペレーティングシステム(Windows Server 2003)であることを示し、第1ネットワークサービス情報が、第1ネットワークサービスが電子メールサービスを含むことを示すとき、セキュリティシステム135は、Microsoftオペレーティングシステム(Windows Server 2003)に関連付けられかつ電子メールサービスに更に関連付けられている検証ルールを複数の検証ルールから第1の検証ルールとして選択する。従って、第1パケット102をネットワークインターフェース11から受信すると、仮想コンピュータモニタ装置13は、まずセキュリティシステム135を用いて第1パケット102を検証する。セキュリティシステム135が、第1パケット102が第1オペレーティングシステム131に関連付けられている(すなわち、第1パケット102は、第1オペレーティングシステム131に対して定められている)と判断すると、全ての検証ルールではなく第1検証ルールを適用して第1パケット102を検証する。具体的には、第1パケット102が第1検証ルールを用いて行う検証にパスすると、次に仮想コンピュータモニタ装置13が第1オペレーティングシステム131で用いるために第1パケット102を提供する。一方、第1パケット102が第1検証ルールを用いて行う検証にパスしなければ、第1パケット102をフィルタアウトすることで、第1パケット102が第1オペレーティングシステム131に与える脅威を防いでいる。
【0027】
更に、他の実施形態において仮想コンピュータモニタ装置13は、第1ネットワークサービス情報に記録されている第1ネットワークサービスが用いる第1サービスポート番号に基づいて、最初に第1パケット102をフィルタしてもよい。仮想コンピュータモニタ装置13が、第1パケット102が第1オペレーティングシステム131に関連付けられている(すなわち、第1パケット102は、第1オペレーティングシステム131に対して定められている)と判断し、そして、第1パケット102を受信するボート番号が第1サービスポート番号と等しいと判断すると、仮想コンピュータモニタ装置13は、セキュリティシステム135を用いて第1パケット102を検証する。すなわち、本発明の仮想コンピュータモニタ装置13は、セキュリティシステム135だけを用いてパケットを検証する、又は、セキュリティシステム135を用いてパケットを認証する前にポート番号に基づいてパケットをフィルタしてもよい。
【0028】
(実施形態4)
図4に、本発明の第4実施形態に係る情報セキュリティ保護ホスト1を示す。第1実施形態とは異なり第4実施形態においては、ネットワークインターフェース11は、コンピュータネットワーク2から第2パケット104を更に受信し、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、第2オペレーティングシステム133を実行するように更に構成されている。第2オペレーティングシステム133も、ウェブページサービス、ファイル転送プロトコル(FTP)サービス、電子メールサービス、他のネットワークサービス又はこれらの組み合わせ等の第2ネットワークサービスを提供する。同様に、第2オペレーティングシステム133は、Microsoftオペレーティングシステム、Unixライクオペレーティングシステム又はネットワークサービスを提供可能な他の任意のオペレーティングシステムであってもよい。第4実施形態においては、仮想コンピュータモニタ装置13は、第2ネットワークサービス情報に記録されている第2ネットワークサービスが用いる第2サービスポート番号に基づいて第2パケット104をフィルタしてもよい。
【0029】
仮想コンピュータモニタ装置13が第1オペレーティングシステム133を実行していると、第2オペレーティングシステム133を実行するにはメモリ13aを使用する必要があるため、メモリ13aは、そこに記憶されている第2オペレーティングシステム133に関する情報、例えば、第2オペレーティングシステム133の第2オペレーティングシステム情報及び該第2オペレーティングシステムにより提供される第2のネットワークサービスの第2ネットワークサービス情報等に関する情報を得ることになる。第2オペレーティングシステム情報を用いて、第2オペレーティングシステム133がMicrosoftオペレーティングシステム、Unixライクオペレーティングシステム又は他の任意のオペレーティングシステムであることを示してもよく、第2ネットワークサービス情報を用いて、第2ネットワークサービスには、ウェブページサービス、FTPサービス、電子メールサービス、他の任意のネットワークサービス又はこれらの組み合わせを含んでもよいことを示してもよい。
【0030】
仮想コンピュータモニタ装置13は、そのメモリ13aから第2オペレーティングシステム133の第2オペレーティングシステム情報及び該第2オペレーティングシステム133によって提供される第2ネットワークサービスの第2ネットワークサービス情報を読み出し、それらの情報をセキュリティシステム135に提供する。セキュリティシステム135は、第2オペレーティングシステム情報又は第2ネットワークサービス情報に基づいて複数の検証ルールから第2検証ルールを選択する。例えば、第2オペレーティングシステム情報が、第2オペレーティングシステム131がUnixライクオペレーティングシステムであることを示し、第2ネットワークサービス情報が、第2ネットワークサービスには、ウェブページサービス及びFTPサービスが含まれることを示すときは、セキュリティシステム135は、Unixライクオペレーティングシステムに関連付けられ、ウェブページサービス及びFTPサービスと更に関連付けられた検証ルールを第2検証ルールとして複数の検証ルールから選択する。従って、第2パケット104をネットワークインターフェース11が受信すると仮想コンピュータモニタ装置13は、セキュリティシステム135を用いて第2パケット104を検証する。セキュリティシステム135が、第2パケット104が第2オペレーティングシステム133に関連付けられている(すなわち、第2パケット104は、第2オペレーティングシステム133に対して定められている)と判断すると、全ての検証ルールではなく第2検証ルールを適用して第2パケット104を検証する。具体的には、第2パケット104が第2検証ルールを用いて行う検証にパスすると、仮想コンピュータモニタ装置13は、第2オペレーティングシステム133で用いるために第2パケット104を提供する。一方、第2パケット104が第2検証ルールを用いて行う検証にパスしなければ、第2パケット104をフィルタアウトすることにより、第2パケット104が第2オペレーティングシステム133に与える脅威を防いでいる。
【0031】
更に、他の実施形態において仮想コンピュータモニタ装置13は、第2ネットワークサービス情報に記録されている第2ネットワークサービスが用いる第2サービスポート番号に基づいて、最初に第2パケット104をフィルタしてもよい。仮想コンピュータモニタ装置13が、第2パケット104が第2オペレーティングシステム133に関連付けられている(すなわち、第2パケット104は、第2オペレーティングシステム133に対して定められている)と判断し、そして、第2パケット104を受信するボート番号が第2サービスポート番号と等しいと判断すると、仮想コンピュータモニタ装置13は、セキュリティシステム135を用いて第2パケット104を検証する。
【0032】
(実施形態5)
図3に、本発明の第5実施形態に係る情報セキュリティ保護ホスト1を示す。第1実施形態とは異なり第5実施形態においては、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、セキュリティシステム135を実行するように更に構成される。セキュリティシステム135は、複数の検証ルールを提供するように構成される。セキュリティシステム135は、侵入検知システム(IDS)、ネットワーク侵入検知システム(NIDS)、ネットワーク侵入保護システム(NIPS)、ウェブアプリケーションファイヤウォール、ファイヤウォール又は保護を提供可能な他の任意のシステムであってもよい。
【0033】
仮想コンピュータモニタ装置13は、第1パケット102を受信してからセキュリティシステム135を用いて第1パケット102を検証する。セキュリティシステム135は、全ての検証ルールを適用して第1パケット102を検証する。第1パケット102が検証ルールのうちの1つにパスできなければ、仮想コンピュータモニタ装置13は、第1オペレーティングシステム情報又は第1ネットワークサービス情報に基づいて、第1パケット102が第1オペレーティングシステム131に関連付けられていること、そして、検証ルールが第1オペレーティングシステム131に関連付けられていないことを更に判断して、セキュリティシステム135が全ての検証ルールを適用して第1パケット102を検証する際に誤った判断をしていないかどうかを判断する。具体的には、セキュリティシステム135が、第1パケット102は検証ルールに適合しないと判断する場合、セキュリティシステム135は、アラームを発行する。このアラームに応答して仮想コンピュータモニタ装置13は、パケットが第1オペレーティングシステム131に関連付けられている(すなわち、第1パケット102は、第1オペレーティングシステム131に対して定められている)と判断し、検証ルールが第1オペレーティングシステム131に関連付けられていないと判断する。例えば、第1オペレーティングシステム131はWindows Server 2003オペレーティングシステムだが、検証ルールがWindows Server 2003オペレーティングシステムに対して適用できない場合などのことである。従って、仮想コンピュータモニタ装置13は、セキュリティシステム135が第1パケット102に対して行った検証が誤っていたと判断することができる。このようにして、セキュリティシステム135が全ての検証ルールを適用して第1パケット102を検証する際に誤った判断をすることを防止することができる。
【0034】
(実施形態6)
図4に、本発明の第6実施形態に係る情報セキュリティ保護ホスト1を示す。第5実施形態とは異なり第6実施形態においては、ネットワークインターフェース11は、コンピュータネットワーク2から第2パケット104を更に受信し、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、第2オペレーティングシステム133を実行するように更に構成される。第2オペレーティングシステム133も、例えば、ウェブページサービス、ファイル転送プロトコル(FTP)サービス、電子メールサービス、他の任意のネットワークサービス又はこれらの組み合わせ等の第2ネットワークサービスを提供する。同様に、第2オペレーティングシステム133は、Microsoftオペレーティングシステム、Unixライクオペレーティングシステム又はネットワークサービスを提供可能な他の任意のオペレーティングシステムであってもよい。
【0035】
仮想コンピュータモニタ装置13が第1オペレーティングシステム133を実行させていると、第2オペレーティングシステム133を実行するにはメモリ13aを使用する必要があるため、メモリ13aは、そこに記憶されている第2オペレーティングシステム133に関する情報、例えば、第2オペレーティングシステム133の第2オペレーティングシステム情報及び該第2オペレーティングシステムにより提供される第2のネットワークサービスの第2ネットワークサービス情報等に関する情報を得ることになる。第2オペレーティングシステム情報を用いて、第2オペレーティングシステム133がMicrosoftオペレーティングシステム、Unixライクオペレーティングシステム又は他の任意のオペレーティングシステムであることを示してもよく、第2ネットワークサービス情報を用いて、第2ネットワークサービスには、ウェブページサービス、FTPサービス、電子メールサービス、他の任意のネットワークサービス又はこれらの組み合わせを含んでもよいことを示してもよい。
【0036】
仮想コンピュータモニタ装置13は、第2パケット104を受信してからセキュリティシステム135を用いて第2パケット104を検証する。セキュリティシステム135は、全ての検証ルールを適用して第2パケット104を検証する。第2パケット104が検証ルールのうちの1つにパスできなければ、仮想コンピュータモニタ装置13は、第2オペレーティングシステム情報又は第2ネットワークサービス情報に基づいて、第2パケット104が第2オペレーティングシステム133に関連付けられ、そして、検証ルールが第2オペレーティングシステム133に関連付けられていないと更に判断して、セキュリティシステム135が全ての検証ルールを適用して第2パケット104を検証する際に誤った判断をしていないかどうかを判断する。具体的には、セキュリティシステム135が、第2パケット104は検証ルールに適合しないと判断する場合、セキュリティシステム135がアラームを発行する。このアラームに応答して仮想コンピュータモニタ装置13は、パケットが第2オペレーティングシステム133に関連付けられている(すなわち、第2パケット104は、第2オペレーティングシステム133に対して定められている)と判断し、そして、検証ルールが第2オペレーティングシステム133に関連付けられていないと判断する。例えば、第2オペレーティングシステム133はUnixライクペレーティングシステムであるが、検証ルールがUnixライクオペレーティングシステムに対して適用できないような場合のことである。従って、仮想コンピュータモニタ装置13は、セキュリティシステム135が第2パケット104に対して行った検証が誤っていたことを判断することができる。このようにして、セキュリティシステム135が全ての検証ルールを適用して第2パケット104を検証する際に誤った判断をすることを防止することができる。
【0037】
ここで、本実施形態における「第1」及び「第2」は、仮想コンピュータモニタ装置13が2つのオペレーティングシステムを実行し、2つの該オペレーティングシステムがそれぞれネットワークサービスを提供することを意味することが分かるが、他の実施形態においては、仮想コンピュータモニタ装置13は、それぞれが異なるネットワークサービスを提供する2つよりも多いオペレーティングシステムを更に実行することもできる。すなわち、仮想コンピュータモニタ装置13が2つよりも多いオペレーティングシステムを実行する時には、本実施形態を採用してもよい。
【0038】
上述した説明によると、本発明において情報セキュリティ保護ホストの仮想コンピュータモニタ装置は、そのメモリから、仮想コンピュータモニタ装置上で実行している複数の異なるオペレーティングシステムの情報を取得し、その取得した情報に基づき、情報セキュリティ保護ホストが受信したパケットを異なるオペレーティングシステム又は該オペレーティングシステムによって提供されるネットワークサービスに基づいてフィルタする。更に、取得した情報に基づき、仮想コンピュータモニタ装置上で実行しているセキュリティシステムも、もともと使用されている多くの検証ルールから、異なるオペレーティングシステム又は該オペレーティングシステムによって提供されるネットワークサービスに対してそれぞれ適用可能な検証ルールを選択してもよい。従って、パケットが対応するオペレーティングシステムによっては、選択した検証ルールだけを用いてパケットを検証することもできるので、全ての検証ルールを用いてパケットを検証することを回避することができる。また、セキュリティシステムが全ての検証ルールを適用してパケットを検証する際に、そのような情報を用いることでパケットを検証する際に起こる誤った判断を防ぐこともできる。また、本発明の情報セキュリティ保護ホストは、検知性能を効率的に向上させ、誤った判断の発生を低減させることができる。
【0039】
上記の開示は、詳細な技術内容でありその発明的特徴に関するものである。当業者であれば本発明の特徴から逸脱することなく、説明した本開示及び本発明の提案に基づいて様々な変更例及び代替例を進めることができるであろう。しかしながら、そのような変更例及び代替例は、上記の説明には十分には開示されていないが、添付した以下の請求の範囲において実質的に網羅されている。
【符号の説明】
【0040】
1 情報セキュリティ保護ホスト
2 コンピュータネットワーク
11 ネットワークインターフェース
13 仮想コンピュータモニタ装置
13a メモリ
131 第1オペレーティングシステム
133 第2オペレーティングシステム
135 セキュリティシステム
102 第1パケット
104 第2パケット
【特許請求の範囲】
【請求項1】
コンピュータネットワークに接続し、第1パケットを受信するように構成されるネットワークインターフェースと、
前記ネットワークインターフェースに接続し、第1ネットワークサービスを提供する第1オペレーティングシステムを実行すると共に、該第1オペレーティングシステムの第1オペレーティングシステム情報及び該第1ネットワークサービスの第1ネットワークサービス情報をリアルタイムで提供するように構成される仮想コンピュータモニタ(Virtual Machine Monitor;VMM)装置と、を備え、
前記第1ネットワークサービス情報は、第1サービスポート番号を含み、前記ネットワークインターフェースがポートを介して前記第1パケットを受信すると、前記仮想コンピュータモニタ装置は、前記第1オペレーティングシステム情報又は前記第1ネットワークサービス情報に基づき、前記第1パケットが前記第1オペレーティングシステムに関連付けられていること、そして、前記ポートのポート番号(Port Number)が前記第1パケットをフィルタアウトするように前記第1サービスポート番号とは異なることを判断する情報セキュリティ保護ホスト。
【請求項2】
前記仮想コンピュータモニタ装置は、複数の検証ルールを提供するように構成される第2セキュリティシステムを更に実行し、前記仮想コンピュータモニタ装置は、前記セキュリティシステムが、前記第1オペレーティングシステム情報及び前記第1ネットワークサービス情報に基づいて前記複数の検証ルールから第1検証ルールを選択するように前記第1オペレーティングシステム情報及び前記ネットワークサービス情報を前記セキュリティシステムにリアルタイムで更に提供し、前記仮想コンピュータモニタ装置が、前記第1オペレーティングシステム情報又は前記第1ネットワークサービス情報に基づいて、前記第1パケットが前記第1オペレーティングシステムに関連付けられていること、そして、前記ポートの前記ポート番号が前記第1サービスポート番号と等しいと判断すると、前記セキュリティシステムは、前記第1パケットが前記第1オペレーティングシステムに関連付けられていると判断して、前記第1検証ルールを適用して前記第1パケットを検証する請求項1に記載の情報セキュリティ保護ホスト。
【請求項3】
前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第1オペレーティングシステムを実行すると、該メモリは、前記第1オペレーティングシステム情報及び前記第1ネットワークサービス情報を記憶する請求項1に記載の情報セキュリティ保護ホスト。
【請求項4】
前記第1オペレーティングシステム情報を用いて、前記第1オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライク(Unix−like)オペレーティングシステムの一方であることを示す請求項1に記載の情報セキュリティ保護ホスト。
【請求項5】
前記第1ネットワークサービスは、ウェブページ(Web Page)サービス、ファイル転送プロトコル(File Transfer Protocol; FTP)サービス及び電子メールサービスからなる群から選択される請求項1に記載の情報セキュリティ保護ホスト。
【請求項6】
前記ネットワークインターフェースは、第2パケットを受信するように更に構成され、前記仮想コンピュータモニタ装置は、第2ネットワークサービスを提供する第2オペレーティングシステムを更に実行し、前記仮想コンピュータモニタ装置は、前記第2オペレーティングシステムの第2オペレーティングシステム情報及び前記第2ネットワークサービスの第2ネットワークサービス情報をリアルタイムで提供するように更に構成され、前記第2ネットワークサービス情報は、第2サービスポート番号を含み、前記ネットワークインターフェースが他のポートを介して前記第2パケットを受信すると、前記仮想コンピュータモニタ装置は、前記第2オペレーティングシステム情報又は第2ネットワークサービス情報に基づいて、前記第2パケットが前記第2オペレーティングシステムに関連付けられていること、そして、前記第2パケットをフィルタアウトするように前記他のポートのポート番号が前記第2のサービスポート番号と異なることを更に判断する請求項1に記載の情報セキュリティ保護ホスト。
【請求項7】
前記仮想コンピュータモニタ装置は、複数の検証ルールを提供するように構成される第2セキュリティシステムを更に実行し、前記仮想コンピュータモニタ装置は、前記セキュリティシステムが前記第2オペレーティングシステム情報及び第2ネットワークサービス情報に基づいて前記複数の検証ルールから第2検証ルールを選択するように、前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報を前記セキュリティシステムに対して更にリアルタイムで提供し、前記仮想コンピュータモニタ装置が、前記第2オペレーティングシステム情報又は前記第2ネットワークサービス情報に基づいて、前記第2パケットが前記第2オペレーティングシステムに関連付けられていること、そして前記他のポートの前記ポート番号が前記第2サービスポート番号と等しいことを判断すると、前記セキュリティシステムは、前記第2パケットが前記第1オペレーティングシステムに関連付けられていると判断して、前記第2検証規則を適用して前記第2パケットを検証する請求項6に記載の情報セキュリティ保護ホスト。
【請求項8】
前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第2オペレーティングシステムを実行すると、該メモリは前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報を記憶する請求項6に記載の情報セキュリティ保護ホスト。
【請求項9】
前記第2オペレーティングシステム情報を用いて、前記第2オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項6に記載の情報セキュリティ保護ホスト。
【請求項10】
前記第2ネットワークサービスは、ウェブページサービス、ファイル転送プロトコル(FTP)サービス及び電子メールサービスからなる群から選択される請求項6に記載の情報セキュリティ保護ホスト。
【請求項11】
コンピュータネットワークに接続し、第1パケットを受信するように構成されるネットワークインターフェースと、
前記ネットワークインターフェースに接続し、第1ネットワークサービスを提供する第1オペレーティングシステム及び複数の検証ルールを提供するように構成されるセキュリティシステムを実行するように構成される仮想コンピュータモニタ装置と、を備え、
前記仮想コンピュータモニタ装置は、前記第1オペレーティングシステムの第1オペレーティングシステム情報及び前記第1ネットワークシステムの第1ネットワークサービス情報をリアルタイムで前記セキュリティシステムに提供するので、前記セキュリティシステムは、前記第1オペレーティングシステム情報又は前記第1ネットワークサービス情報に基づいて、前記複数の検証ルールから第1検証ルールを選択し、前記第1パケットを検証するための該第1検証ルールを適用するために前記第1オペレーティングシステムに前記第1パケットが関連付けられていることを判断する情報セキュリティ保護ホスト。
【請求項12】
前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第1オペレーティングシステムを実行すると、該メモリは前記第1オペレーティングシステム情報及び前記第1ネットワークサービス情報を記憶する請求項11に記載の情報セキュリティ保護ホスト。
【請求項13】
前記第1オペレーティングシステム情報を用いて、前記第1オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項11に記載の情報セキュリティ保護ホスト。
【請求項14】
前記第2ネットワークサービスは、ウェブページサービス、ファイル転送プロトコル(FTP)サービス及び電子メールサービスからなる群から選択される請求項11に記載の情報セキュリティ保護ホスト。
【請求項15】
前記ネットワークインターフェースは、第2パケットを受信するように更に構成され、前記仮想コンピュータモニタ装置は、第2ネットワークサービスを提供する第2オペレーティングシステムを更に実行し、前記仮想コンピュータモニタ装置は、前記第2オペレーティングシステムの第2オペレーティングシステム情報及び前記第2ネットワークシステムの第2ネットワークサービス情報をリアルタイムで前記セキュリティシステムに提供するように更に構成されるので、前記セキュリティシステムは、前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報に基づいて、前記複数の検証ルールから第2検証ルールを選択して、前記第2パケットを検証するための前記第2検証ルールを適用するために前記第2オペレーティングシステムに前記第2パケットが関連付けられていることを判断する請求項11に記載の情報セキュリティ保護ホスト。
【請求項16】
前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第2オペレーティングシステムを実行すると、該メモリは前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報を記憶する請求項15に記載の情報セキュリティ保護ホスト。
【請求項17】
前記第2オペレーティングシステム情報を用いて、前記第2オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項15に記載の情報セキュリティ保護ホスト。
【請求項18】
コンピュータネットワークに接続し、第1パケットを受信するように構成されるネットワークインターフェースと、
前記ネットワークインターフェースに接続し、第1ネットワークサービスを提供する第1オペレーティングシステム及び複数の検証ルールを提供して該検証ルールに基づいて前記第1パケットを検証するように構成されるセキュリティシステムを実行するように構成るとともに、前記第1オペレーティングシステムの第1オペレーティングシステム情報及び前記第1ネットワークサービスの第1ネットワークサービス情報をリアルタイムで提供するように更に構成される仮想コンピュータモニタ装置と、を備え、
前記第1パケットが前記検証ルールのうちの1つにパスできなければ、前記仮想コンピュータモニタ装置は、前記検証ルールに基づいて前記第1パケットを検証するために前記セキュリティシステムを用いるときに誤った判断がなされないように、前記第1オペレーティングシステム情報又は前記第1ネットワークサービス情報に基づいて、前記第1パケットが前記第1オペレーティングシステムに関連付けられていること、そして、前記検証ルールが前記第1オペレーティングシステムに関連付けられていないことを更に判断する情報セキュリティ保護ホスト。
【請求項19】
前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第1オペレーティングシステムを実行すると、該メモリは前記第1オペレーティングシステム情報及び前記第1ネットワークサービス情報を記憶する請求項18に記載の情報セキュリティ保護ホスト。
【請求項20】
前記第1オペレーティングシステム情報を用いて、前記第1オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項18に記載の情報セキュリティ保護ホスト。
【請求項21】
前記第1ネットワークサービスは、ウェブページサービス、ファイル転送プロトコル(FTP)サービス及び電子メールサービスからなる群から選択される請求項18に記載の情報セキュリティ保護ホスト。
【請求項22】
前記ネットワークインターフェースは、第2パケットを受信するように更に構成され、前記仮想コンピュータモニタ装置は、第2ネットワークサービスを提供する第2オペレーティングシステムを更に実行し、前記セキュリティシステムは、前記検証ルールに基づいて前記第2パケットを更に検証し、前記第2パケットが前記検証ルールのうちの1つにパスできなければ、前記仮想コンピュータモニタ装置は、前記検証ルールに基づいて前記第2パケットを検証するために前記セキュリティシステムを用いるときに誤った判断がなされないように、前記第2オペレーティングシステム情報又は前記第2ネットワークサービス情報に基づいて、前記第2パケットが前記第2オペレーティングシステムに関連付けられていること、そして、前記検証ルールが前記第2オペレーティングシステムに関連付けられていないことを更に判断する請求項18に記載の情報セキュリティ保護ホスト。
【請求項23】
前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第2オペレーティングシステムを実行すると、該メモリは前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報を記憶する請求項22に記載の情報セキュリティ保護ホスト。
【請求項24】
前記第2オペレーティングシステム情報を用いて、前記第2オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項22に記載の情報セキュリティ保護ホスト。
【請求項25】
前記第2ネットワークサービスは、ウェブページサービス、ファイル転送プロトコル(FTP)サービス及び電子メールサービスからなる群から選択される請求項22に記載の情報セキュリティ保護ホスト。
【請求項1】
コンピュータネットワークに接続し、第1パケットを受信するように構成されるネットワークインターフェースと、
前記ネットワークインターフェースに接続し、第1ネットワークサービスを提供する第1オペレーティングシステムを実行すると共に、該第1オペレーティングシステムの第1オペレーティングシステム情報及び該第1ネットワークサービスの第1ネットワークサービス情報をリアルタイムで提供するように構成される仮想コンピュータモニタ(Virtual Machine Monitor;VMM)装置と、を備え、
前記第1ネットワークサービス情報は、第1サービスポート番号を含み、前記ネットワークインターフェースがポートを介して前記第1パケットを受信すると、前記仮想コンピュータモニタ装置は、前記第1オペレーティングシステム情報又は前記第1ネットワークサービス情報に基づき、前記第1パケットが前記第1オペレーティングシステムに関連付けられていること、そして、前記ポートのポート番号(Port Number)が前記第1パケットをフィルタアウトするように前記第1サービスポート番号とは異なることを判断する情報セキュリティ保護ホスト。
【請求項2】
前記仮想コンピュータモニタ装置は、複数の検証ルールを提供するように構成される第2セキュリティシステムを更に実行し、前記仮想コンピュータモニタ装置は、前記セキュリティシステムが、前記第1オペレーティングシステム情報及び前記第1ネットワークサービス情報に基づいて前記複数の検証ルールから第1検証ルールを選択するように前記第1オペレーティングシステム情報及び前記ネットワークサービス情報を前記セキュリティシステムにリアルタイムで更に提供し、前記仮想コンピュータモニタ装置が、前記第1オペレーティングシステム情報又は前記第1ネットワークサービス情報に基づいて、前記第1パケットが前記第1オペレーティングシステムに関連付けられていること、そして、前記ポートの前記ポート番号が前記第1サービスポート番号と等しいと判断すると、前記セキュリティシステムは、前記第1パケットが前記第1オペレーティングシステムに関連付けられていると判断して、前記第1検証ルールを適用して前記第1パケットを検証する請求項1に記載の情報セキュリティ保護ホスト。
【請求項3】
前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第1オペレーティングシステムを実行すると、該メモリは、前記第1オペレーティングシステム情報及び前記第1ネットワークサービス情報を記憶する請求項1に記載の情報セキュリティ保護ホスト。
【請求項4】
前記第1オペレーティングシステム情報を用いて、前記第1オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライク(Unix−like)オペレーティングシステムの一方であることを示す請求項1に記載の情報セキュリティ保護ホスト。
【請求項5】
前記第1ネットワークサービスは、ウェブページ(Web Page)サービス、ファイル転送プロトコル(File Transfer Protocol; FTP)サービス及び電子メールサービスからなる群から選択される請求項1に記載の情報セキュリティ保護ホスト。
【請求項6】
前記ネットワークインターフェースは、第2パケットを受信するように更に構成され、前記仮想コンピュータモニタ装置は、第2ネットワークサービスを提供する第2オペレーティングシステムを更に実行し、前記仮想コンピュータモニタ装置は、前記第2オペレーティングシステムの第2オペレーティングシステム情報及び前記第2ネットワークサービスの第2ネットワークサービス情報をリアルタイムで提供するように更に構成され、前記第2ネットワークサービス情報は、第2サービスポート番号を含み、前記ネットワークインターフェースが他のポートを介して前記第2パケットを受信すると、前記仮想コンピュータモニタ装置は、前記第2オペレーティングシステム情報又は第2ネットワークサービス情報に基づいて、前記第2パケットが前記第2オペレーティングシステムに関連付けられていること、そして、前記第2パケットをフィルタアウトするように前記他のポートのポート番号が前記第2のサービスポート番号と異なることを更に判断する請求項1に記載の情報セキュリティ保護ホスト。
【請求項7】
前記仮想コンピュータモニタ装置は、複数の検証ルールを提供するように構成される第2セキュリティシステムを更に実行し、前記仮想コンピュータモニタ装置は、前記セキュリティシステムが前記第2オペレーティングシステム情報及び第2ネットワークサービス情報に基づいて前記複数の検証ルールから第2検証ルールを選択するように、前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報を前記セキュリティシステムに対して更にリアルタイムで提供し、前記仮想コンピュータモニタ装置が、前記第2オペレーティングシステム情報又は前記第2ネットワークサービス情報に基づいて、前記第2パケットが前記第2オペレーティングシステムに関連付けられていること、そして前記他のポートの前記ポート番号が前記第2サービスポート番号と等しいことを判断すると、前記セキュリティシステムは、前記第2パケットが前記第1オペレーティングシステムに関連付けられていると判断して、前記第2検証規則を適用して前記第2パケットを検証する請求項6に記載の情報セキュリティ保護ホスト。
【請求項8】
前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第2オペレーティングシステムを実行すると、該メモリは前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報を記憶する請求項6に記載の情報セキュリティ保護ホスト。
【請求項9】
前記第2オペレーティングシステム情報を用いて、前記第2オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項6に記載の情報セキュリティ保護ホスト。
【請求項10】
前記第2ネットワークサービスは、ウェブページサービス、ファイル転送プロトコル(FTP)サービス及び電子メールサービスからなる群から選択される請求項6に記載の情報セキュリティ保護ホスト。
【請求項11】
コンピュータネットワークに接続し、第1パケットを受信するように構成されるネットワークインターフェースと、
前記ネットワークインターフェースに接続し、第1ネットワークサービスを提供する第1オペレーティングシステム及び複数の検証ルールを提供するように構成されるセキュリティシステムを実行するように構成される仮想コンピュータモニタ装置と、を備え、
前記仮想コンピュータモニタ装置は、前記第1オペレーティングシステムの第1オペレーティングシステム情報及び前記第1ネットワークシステムの第1ネットワークサービス情報をリアルタイムで前記セキュリティシステムに提供するので、前記セキュリティシステムは、前記第1オペレーティングシステム情報又は前記第1ネットワークサービス情報に基づいて、前記複数の検証ルールから第1検証ルールを選択し、前記第1パケットを検証するための該第1検証ルールを適用するために前記第1オペレーティングシステムに前記第1パケットが関連付けられていることを判断する情報セキュリティ保護ホスト。
【請求項12】
前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第1オペレーティングシステムを実行すると、該メモリは前記第1オペレーティングシステム情報及び前記第1ネットワークサービス情報を記憶する請求項11に記載の情報セキュリティ保護ホスト。
【請求項13】
前記第1オペレーティングシステム情報を用いて、前記第1オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項11に記載の情報セキュリティ保護ホスト。
【請求項14】
前記第2ネットワークサービスは、ウェブページサービス、ファイル転送プロトコル(FTP)サービス及び電子メールサービスからなる群から選択される請求項11に記載の情報セキュリティ保護ホスト。
【請求項15】
前記ネットワークインターフェースは、第2パケットを受信するように更に構成され、前記仮想コンピュータモニタ装置は、第2ネットワークサービスを提供する第2オペレーティングシステムを更に実行し、前記仮想コンピュータモニタ装置は、前記第2オペレーティングシステムの第2オペレーティングシステム情報及び前記第2ネットワークシステムの第2ネットワークサービス情報をリアルタイムで前記セキュリティシステムに提供するように更に構成されるので、前記セキュリティシステムは、前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報に基づいて、前記複数の検証ルールから第2検証ルールを選択して、前記第2パケットを検証するための前記第2検証ルールを適用するために前記第2オペレーティングシステムに前記第2パケットが関連付けられていることを判断する請求項11に記載の情報セキュリティ保護ホスト。
【請求項16】
前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第2オペレーティングシステムを実行すると、該メモリは前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報を記憶する請求項15に記載の情報セキュリティ保護ホスト。
【請求項17】
前記第2オペレーティングシステム情報を用いて、前記第2オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項15に記載の情報セキュリティ保護ホスト。
【請求項18】
コンピュータネットワークに接続し、第1パケットを受信するように構成されるネットワークインターフェースと、
前記ネットワークインターフェースに接続し、第1ネットワークサービスを提供する第1オペレーティングシステム及び複数の検証ルールを提供して該検証ルールに基づいて前記第1パケットを検証するように構成されるセキュリティシステムを実行するように構成るとともに、前記第1オペレーティングシステムの第1オペレーティングシステム情報及び前記第1ネットワークサービスの第1ネットワークサービス情報をリアルタイムで提供するように更に構成される仮想コンピュータモニタ装置と、を備え、
前記第1パケットが前記検証ルールのうちの1つにパスできなければ、前記仮想コンピュータモニタ装置は、前記検証ルールに基づいて前記第1パケットを検証するために前記セキュリティシステムを用いるときに誤った判断がなされないように、前記第1オペレーティングシステム情報又は前記第1ネットワークサービス情報に基づいて、前記第1パケットが前記第1オペレーティングシステムに関連付けられていること、そして、前記検証ルールが前記第1オペレーティングシステムに関連付けられていないことを更に判断する情報セキュリティ保護ホスト。
【請求項19】
前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第1オペレーティングシステムを実行すると、該メモリは前記第1オペレーティングシステム情報及び前記第1ネットワークサービス情報を記憶する請求項18に記載の情報セキュリティ保護ホスト。
【請求項20】
前記第1オペレーティングシステム情報を用いて、前記第1オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項18に記載の情報セキュリティ保護ホスト。
【請求項21】
前記第1ネットワークサービスは、ウェブページサービス、ファイル転送プロトコル(FTP)サービス及び電子メールサービスからなる群から選択される請求項18に記載の情報セキュリティ保護ホスト。
【請求項22】
前記ネットワークインターフェースは、第2パケットを受信するように更に構成され、前記仮想コンピュータモニタ装置は、第2ネットワークサービスを提供する第2オペレーティングシステムを更に実行し、前記セキュリティシステムは、前記検証ルールに基づいて前記第2パケットを更に検証し、前記第2パケットが前記検証ルールのうちの1つにパスできなければ、前記仮想コンピュータモニタ装置は、前記検証ルールに基づいて前記第2パケットを検証するために前記セキュリティシステムを用いるときに誤った判断がなされないように、前記第2オペレーティングシステム情報又は前記第2ネットワークサービス情報に基づいて、前記第2パケットが前記第2オペレーティングシステムに関連付けられていること、そして、前記検証ルールが前記第2オペレーティングシステムに関連付けられていないことを更に判断する請求項18に記載の情報セキュリティ保護ホスト。
【請求項23】
前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第2オペレーティングシステムを実行すると、該メモリは前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報を記憶する請求項22に記載の情報セキュリティ保護ホスト。
【請求項24】
前記第2オペレーティングシステム情報を用いて、前記第2オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項22に記載の情報セキュリティ保護ホスト。
【請求項25】
前記第2ネットワークサービスは、ウェブページサービス、ファイル転送プロトコル(FTP)サービス及び電子メールサービスからなる群から選択される請求項22に記載の情報セキュリティ保護ホスト。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2012−104088(P2012−104088A)
【公開日】平成24年5月31日(2012.5.31)
【国際特許分類】
【出願番号】特願2010−273505(P2010−273505)
【出願日】平成22年12月8日(2010.12.8)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.UNIX
【出願人】(599060434)財團法人資訊工業策進會 (27)
【Fターム(参考)】
【公開日】平成24年5月31日(2012.5.31)
【国際特許分類】
【出願日】平成22年12月8日(2010.12.8)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.UNIX
【出願人】(599060434)財團法人資訊工業策進會 (27)
【Fターム(参考)】
[ Back to top ]