能動的ネットワーク防衛システム及び方法
【課題】自動的にトラフィックを監視しブロックする能動的ネットワーク防衛システムを提供する。
【解決手段】本システムは、ネットワーク・インフラストラクチャの一部として、パケット・トラフィック・データ・フローに関してインラインに設置される。この構成においては、全通過パケットの検査及び処理が可能である。多数のセッションにわたって存在する脅威を識別するために、アルゴリズム・フィルタリング動作が、データ・フローに対して統計学的閾値フィルタリングを適用する。個々のセッション内に存在する脅威を識別するために、トリガー・フィルタリング動作がデータ・フローに対してヘッダ・コンテンツ・マッチフィルタリングを適用する。脅威パケット・トラフィックはブロックされ、脅威セッションは終了される。疑わしいトラフィックは、データ・フローから抽出されて、より包括的なコンテンツマッチング調査並びに資産リスク解析調査を更に受ける。
【解決手段】本システムは、ネットワーク・インフラストラクチャの一部として、パケット・トラフィック・データ・フローに関してインラインに設置される。この構成においては、全通過パケットの検査及び処理が可能である。多数のセッションにわたって存在する脅威を識別するために、アルゴリズム・フィルタリング動作が、データ・フローに対して統計学的閾値フィルタリングを適用する。個々のセッション内に存在する脅威を識別するために、トリガー・フィルタリング動作がデータ・フローに対してヘッダ・コンテンツ・マッチフィルタリングを適用する。脅威パケット・トラフィックはブロックされ、脅威セッションは終了される。疑わしいトラフィックは、データ・フローから抽出されて、より包括的なコンテンツマッチング調査並びに資産リスク解析調査を更に受ける。
【発明の詳細な説明】
【技術分野】
【0001】
(クロスリファレンス)
本出願は、その全体が引用によりここに組み入れられる、2002年4月30日付で出願された「NETWORK SECURITY SYSTEM INTEGRATION」という名称の係属中の米国特許出願番号第10/136,889号に関連する。
本出願は、その全体が引用によりここに組み入れられる、2002年8月12日付で出願された「MULTI−LEVEL PACKET SCREENING WITH DYNAMICALLY SELECTED FILTERING CRITERIA」という名称の係属中の米国特許出願番号第10/217,862号に関連する。
本発明はネットワーク侵入の検出及び抑止に関する。
【背景技術】
【0002】
企業がインターネットを用いてビジネスを行うことが増えるにつれて、インターネットを通して配信され、またこれを介してアクセス可能な機密・重要情報の量もまた増加している。ここ数十年にわたって企業がビジネスに用いてきた、外部の侵入者からは比較的守られている私設の専用通信ネットワークと異なり、インターネット及び企業に接続されたネットワークは、その公開性及びアクセスのし易さのために、セキュリティ上の脅威及び悪意ある傍受に対して弱い。最近では、こうした機密情報にアクセスするか又は他の形でネットワーク通信に干渉することを意図したネットワークセキュリティ突破の試み即ちハッカー攻撃の頻度に増加が見られる。
【0003】
ツール及び如何にしてそのような攻撃を行うかについての情報の入手し易さ、ハッカーの巧妙さが増したこと、攻撃に対して脆弱なネットワーク上のアクセスポイント数の増加、及びインターネットを介してアクセス可能であるか又はこれを通して配信される機密情報の全体量の増加などを原因の一端として、ネットワーク攻撃は一層広まりつつあるばかりでなく、巧妙且つ深刻なものになりつつある。こうした攻撃は、攻撃者がウェブサイトを大量のパケット又は接続要求で溢れさせ、それによりそのウェブサイトを殺到状態にして正当なユーザのアクセスを妨害するという、分散型サービス拒否攻撃を含む。他のタイプの攻撃には、単にウェブサイトへのアクセスを妨害するに留まらず、セキュリティに侵入して、ハッカーがサーバを制御し、そのウェブサイトを改竄するか又は重要情報を盗むことができるように設計されているものがある。更に他の攻撃には、インターネット上に伝送された機密通信をハッカーが不正利用することを可能にする、悪意ある傍受を含む。重要情報が悪用されれば、企業の商取引に対する損害、又は最小限の場合でもその評判が損なわれることが起こりうる。また、サービス拒否攻撃からは、多大なコスト及び逆宣伝効果がもたらされる。企業はこうした全てのタイプの攻撃に対抗するべく、高まるネットワーク脆弱性問題に対処するためにセキュリティ予算を増やし続けている。
【0004】
ネットワーク防衛の一手段として侵入検出システムが広く利用されている。このようなシステムは一般に、トラフィックを監視し、トラフィックの中の疑わしい部分を識別し、そのようなトラフィックが検出された時には警報又は注意報を発するように作動する受動的システムである。どれほど賢いか又は正確であっても、こうした侵入検出システムは攻撃の疑いに対するいかなる能動的な働きかけも備えていないのが通例である。疑わしい活動の各事例に対して警報を発することは可能であるが、ネットワークセキュリティ管理者にとってはさしたる慰めにはならないであろう。その理由は、多くの場合、警報が発せられ認識される頃には、何がしかの意味のある対応をするにしても手遅れだからである。既に損害が与えられてしまっている。簡単に言うと、セキュリティの突破又は突破の可能性があると知ることは、突破による損害を食い止めることと同じではないのである。
【発明の概要】
【発明が解決しようとする課題】
【0005】
従って、当該分野においては、侵入検出システムは、幾らかは役に立つサービスを提供するものの、ネットワーク攻撃に対しては不十分な防衛機構であると認識される。設計者は更に、侵入の疑いに対して何らかの自動応答手段を提供することの必要性を認識してきた。そのような応答機構は、従来型の受動的検出モードから進んだ攻撃抑止モードへと侵入検出システムを機能的に拡張するように意図されている。例えば、侵入検出システムが実装している2つの公知の能動的応答機構は、(a)セッション・スナイピング(TCPリセット要求をTCPセッション・エンドポイントに送信すること)、及び(b)ファイアウォール更新(ポリシー設定要求をファイアウォール又はルータに送信すること)である。しかしながらこれらの能動的機構は一般に効果的ではなく、またTCP/TPの仕組みに関して基本知識を持つ攻撃者であれば誰にでも容易にバイパスされる。事実、こうした応答機構は、攻撃に際してアドレスを詐称された無実のサーバに対してサービス拒否攻撃の応答を始めること、或いは誤って正当なマシンへのアクセスを拒否することで、被害側ネットワークにとっては逆効果となりかねない。
【0006】
このようなネットワーク防衛を提供することに関して、従来技術の現況では、汎用プロセッサに実装されたソフトウェアベースの侵入検出システムを利用している。このような実装に伴う困難は、ネットワークを的確に防衛するために必要となるパケット検査、比較及び解析を行うのに十分なだけ迅速にソフトウェアを実行させることができないことである。加えて、ソフトウェアベースのソリューションは時間がかかりすぎるため、こうした実装は、危険なトラフィックが保護されたネットワークに入るのを効果的に阻止するような形で機能することができない。
従って、従来型の侵入検出システムは、その受動的リスニング構成のために、応答機構を装備した場合であっても、もはや適切なネットワーク防衛ストラテジーを与えるものではないと認識される。更に、強化された能動的応答侵入検出システムは、能動的防衛能力の点で十分な手段を提供するものではないと認識される。よって、巧妙化の一途を辿り危険性を増すネットワーク攻撃に対してネットワークを防衛するためには、性能が向上された能動的防衛システム及び方法が必要である。
【課題を解決するための手段】
【0007】
本発明の1つの実施形態によれば、ネットワーク防衛システムは、パケット・データ・フローに関してインラインに接続された状態管理部を含む。状態管理部は、データ・フロー上に現時点で存在しているセッションを追跡し、パケット関連履歴データを保管するように動作可能である。システムは、追跡されたセッション及びパケット関連履歴データに対して統計学的解析を行い、多数のセッションにわたるデータ・フロー中のパケットが保護されたネットワークに対して脅威を与えるかどうかを判断するように動作可能なアルゴリズム・フィルタを更に含む。
システムは、同じくパケット・データ・フローに関してインラインに接続されたパケット・ハンドラを更に含む。パケット・ハンドラは、脅威の存在に応答して、脅威パケットをブロックするように動作可能である。
【0008】
システムは、同じくパケット・データ・フローに関してインラインに接続されたトリガー・フィルタを更に含む。トリガー・フィルタは、個々のセッションにおける脅威パケットを検出するために設計された基準に照らして、データ・フロー中のパケットをフィルタリングするように動作可能である。トリガー・フィルタは更に、アルゴリズム・フィルタによる疑わしさ判断に応答して、多数のセッションにわたる脅威パケットを検出するために設計された基準に照らして、データ・フロー中の疑わしいパケットをフィルタリングするように動作可能である。
システムは、同じくパケット・データ・フローに関してインラインに接続されたフロー・コントローラを更に含む。フロー・コントローラは、データ・フローに沿ったパケットの通過速度を調整するように動作可能である。
【0009】
パケットが疑わしいと識別された場合には、システムは脅威検証機能を更に含む。疑わしいパケットは、データ・フローから抽出され、その後脅威検証機能により、インライン・トリガー・フィルタが用いる基準よりも包括的なフィルタリング基準を用いてフィルタリングされる。より包括的な解析は、疑わしい抽出パケットが実際に脅威を与えるものであるかどうかを解明するように設計される。
疑わしいパケットはまた、リスク評価機能によって解析することができる。リスク評価機能は、疑わしい抽出パケットを調査し、それがネットワーク内に存在する識別可能な資産に対する特定のリスクを示すかどうかを判断するように動作可能である。
【0010】
本発明は、疑わしい/危険なコンテンツに関する深いレベルのパケット検査を伝送速度で実行できる能力のために、従来のソフトウェアベースの侵入検出システムに比べて多大な向上を提供するという利点を持つ。高速パス・パターン・マッチングの性能は、攻撃に対するネットワーク防衛を提供しながら高速化パケット処理を行うための鍵である。必要なパターン・マッチング速度をサポートするために、またそれによる深いレベルのパケット検査を達成するために、多数の並行パターン・マッチング動作を用いて、パターン・マッチング動作が行われることが好ましい。このように実装されることにより、システムは将来の必要性に対処できるように拡張することが容易なものとなる。
加えて、幾つかのパケットはより慎重な検査を必要とするであろうことが認識されている。この目的のために、本発明は初期スクリーニングを行って、更なる解析が必要となるであろうパケットを識別するという利点を持つ。そのようなパケットはデータ・フローから抽出され、その後独立したプロセス・フローの中でより慎重にスクリーニングされる。
【0011】
本発明の好ましい実施形態においては、システムは、ハードウェア/ソフトウェア混合ソリューションを利用して、パケット・スループットレートを維持しつつ適切なレベルのパケット・スクリーニングを提供するという利点を持つ。ハードウェアにインライン・コンポーネントが実装されることが好ましい。例えば、パターン・マッチング動作は、従来のソフトウェアベースの侵入検出ソリューションより遥かに迅速に動作するハードウェア設計を用いて行われる。制御及び設定は、システムにある程度の柔軟性を与えるようにソフトウェアで処理することが可能である。また更に、パケットにより示されるいずれかの脅威をシステムがより慎重に考慮できるように、データ・フローから抽出されたこれらのパケットのライン外処理が、ソフトウェアで行われることが好ましい。このアーキテクチャは更に、データ速度の増加に合わせてシステムが拡張されることを可能にする。
【図面の簡単な説明】
【0012】
【図1】本発明による能動的ネットワーク防衛システムのブロック図である。
【図2】図1のシステムのより詳細なブロック図である。
【発明を実施するための形態】
【0013】
本発明の方法及び装置のより完全な理解は、添付の図面と共に以下の詳細な説明を参照することによって得られるであろう。
本発明は、自動的にトラフィックを監視しブロックするように動作可能な能動的ネットワーク防衛システムを提供するものである。この能動的ネットワーク防衛システムは、全ての通過パケットを検査し、且つ可能であれば処理できるように、ネットワーク・インフラストラクチャの一部として、インラインに(即ちパケット・トラフィック・データ・フローの中に)設置されることが好ましい。このネットワーク防衛ソリューションは従来の受動的侵入検出システムからの劇的な技術転換を構成する。
【0014】
能動的ネットワーク防衛システムは、ライン速度において信頼性を持って動作できる能力があることが重要である。悪意あるパケットを検出した時には、直ちにそのパケットを除去するアクションが取られ、それによりそれが損害を与えうるネットワークに入ることを防止しなければならない。従って、パケットの除去により、攻撃は直ちにブロックされ、いかなる損害も修復する必要がなく、いかなる警報も処理される必要がないという付加的な便益が得られる。
能動的ネットワーク防衛システムは更に幾つかの利点を提供する。能動的ネットワーク防衛システムは、ブロッキングに留まらず、パケットを修正する能力を有する。幾らかの重要性を持つ1つのパケット修正概念は、正規化という発想である。正規化とは、あるプロトコル又は基準の特定の実装に対して順守性を強制するプロセスである。例えば、普及している侵入検出システム回避技術は、標的システムがフラグメント化を処理する手法がまちまちであることを利用する。あるシステムは重複フラグメントを最初の重複パケット・データと一緒に再組み立てし、他のシステムは最後の重複パケット・データと再組み立てする。侵入検出システムは、標的がいかにして再組み立てするかを推測するか又は全ての可能性を考慮に入れる必要がある。標的の振舞いの予測に失敗することにより、攻撃が未検出のまま進行するか、又は誤警報が発せられるであろう。これと対照的に、本発明の能動的ネットワーク防衛システムは、インラインに常駐して全パケットにインターセプトして、セット・アルゴリズムを用いてフラグメントを再組み立てし、再組み立て済パケットを転送することで、正規化を実行することが可能である。フローの正規化は、異なる標的システムにおいてパケット又はフローがどのように処理されるかを推測する必要性をなくし、普及している侵入検出システム回避技術を阻止する。
【0015】
能動的ネットワーク防衛システムは、パケット・フロー(スループット)を能動的に管理する能力を更に有する。フローを減速させるというこの概念は、能動的ネットワーク防衛システムが疑わしいトラフィックの通過を制限するか又は遅らせながら、既知の「良性の」トラフィックを優先させることを可能にする。この点に関して、多くのサービス拒否攻撃は正当なトラフィックと区別できないことが認識される。ある属性を持つことが検出されたトラフィックを減速させることで、少なくとも、サービス拒否攻撃が標的リソースを殺到状態にすることを阻止することが可能である(且つ更に進んで止めさせることが可能であろう)。付加的な便益として、減速制御を利用可能とすることに伴い、能動的ネットワーク防衛システムを通して基幹トラフィック・スループットにより高い優先度を割当てることによってこれを加速させ、結果としてネットワーク生産性を向上させることが可能である。
【0016】
能動的ネットワーク防衛システムがうまく機能するためには、パケット・トラフィックのステートフル検査をライン速度で且つ短い待ち時間で実行できる能力がなければならない。例えばWAN/LANのアクセス速度は何ギガビットという桁であり、従って、能動的ネットワーク防衛システムは、スイッチ及びルータにおいては典型的なミリ秒レベルの待ち時間を伴うギガビットレートでのハードウェア能力を有するのでなければならない。ここでの目標は、深いレベルのパターン・マッチングの実践である。能動的ネットワーク防衛システムは、有用なトラフィックの廃棄を避けるような信頼性尺度を有するのでなければならない。また、能動的ネットワーク防衛システムは、ネットワーク・インフラストラクチャの一部として実装されることから、高度の可用性を与えることができなければならない。
【0017】
これらの背景を考慮に入れて、本発明による能動的ネットワーク防衛システム及び方法のより詳細な検討を提示する。
これより、本発明の能動的ネットワーク防衛システム10のブロック図が示された図1及び図2への参照がなされる。システム10は、企業のネットワーク・インフラストラクチャ12の一部として構成されている。この構成は、システム10が、監視されるデータ・フロー14に関してインラインに設置されることを可能にする利点を持つ。このようなインライン配置は、データ・フロー14内の一つ一つ及び全てのパケット16に対する検査及び可能性ある処理を容易にする。よってシステムは、データ・フロー14のライン速度を超える好ましい速度ではないにせよ、これに近い速度で動作することが必須である。システムは、インライン処理を通じて各通過パケットに対して深いレベルのパケット検査を実行する。
【0018】
システム10により、幾つかのインライン機能が提供される。これらの機能のうち第1のものは、状態管理部20を含む。状態管理部20は、データ・フロー14の能動的監視と共同して、2つの鍵となる動作を実行する。第1に、状態管理部20は、セッション管理動作22を実行する。このセッション管理動作22は、データ・フロー14上を運ばれるパケット・トラフィックに関連した各セッションの状態を監視し管理する。より具体的には、セッション管理動作22は、恐らくはテーブル又は他の機構を用いて、どのセッションが現時点でデータ・フロー14に存在するかを追跡し、調査に備えてパケット関連履歴データを保管する。例えば接続テーブルを用いて、各接続(例えばTCP SYN、SYN ACKなど)の状態に関するデータを維持することができる。保持されうるパケット関連履歴データのタイプの例は、
− フラグメント化されたパケットの再組み立てと、
− TCPセッション・フローの再組み立てと、
− 折衝された一時ポートの維持(例えば、FTPはデータを交換するための動的ポートを確立する)と、
− 接続確立状態(例えば接続確立に当たっての良好に定義されたTCP交換のような通信ホスト間の妥当なハンドシェーク)と、
− プロトコル及びアプリケーションレベル状態情報(アプリケーション又はプロトコルが、それらのアプリケーション又はプロトコルの仕様に違反しない、或いはそれらのアプリケーション又はプロトコルの既知の脆弱性を利用しない、良好に定義された状態へと遷移していることを保証する)と、
を含む。
【0019】
個々のパケットが認識済セッションに関係することを保証する目的で、データ・フロー14の各パケット16は、セッション管理動作22により、インラインで調査される。セッションに関係しないパケット16が調査された場合には、その非認識パケット16を疑わしいか又は脅威であると識別し、次いでシステム10によりブロックすることができる。付加的に、パケットとセッションの間の関係記録を保存して、そのことによりシステム10が脅威である又は疑わしいパケットを発見した時に、検出されたパケットを含むセッション中の全てのパケットを(除去するか又は更に調査することで)同様に処理することを選択することが可能である。この概念は、「セッション・リダイレクション」と呼ばれる。
【0020】
第2に、状態管理部20は、パケット・フロー再組み立て動作24を実行する。この動作に関連して、ネットワークへの攻撃は多数のパケットにわたって分割されることが認識される。このようにして攻撃者は、個々においては一見良性に見える数個のパケットに跨らせて攻撃を隠匿しようとする。これに対抗するためには、パケット・フロー再組み立て動作24は、攻撃の存在を検出できるように、(上記の履歴データを用いて)ある期間にわたって、確立された接続との関連でデータ・フロー14を監視し、複数のパケット及びそのコンテンツを調査する。このようにして、パケット・フロー再組み立て動作は、パケットとそのペイロードを追跡し、パケット同士の関係を識別し、パケット及びペイロードを一体に再組み立てし、再組み立て済パケット・データが脅威の可能性について解析される。共通フローに関して一群のパケット16が調査され、再組み立て時に脅威を示すことが判断された場合には、そのようなパケット(及び同じフロー又はセッション中の関連パケット)はシステム10によりブロックすることができ、及び/又はそのような脅威パケットに関係するフロー/セッションはシステム10により終了させることができる。よって、この機能はパケット境界を越えてのパターン・マッチング追跡を可能にする。
【0021】
正規化プロセスは、何らかの標準への適合性を強制するように設計された幾つかの異なるパケット処理手順を関与させることができる。状態管理がデータ・フローを通過する各パケットに「接触する」ことから、このことは本発明との関連で達成される。例えば、正規化は、システムが、保護されたネットワークに関連する何らかの再組み立てポリシーを定義することを可能にする。フラグメント化されたパケットの脅威を認識すると、このポリシーは、順序立たずに到着したいかなるパケットも無条件でブロックするように命令して、パケットが保護されたネットワークに受信可能となる前に、送信側エンティティが正しい順序で再送信するように仕向けることができる。正規化はまた、システム10がIPオプションに関して何らかの解釈規則を実装することを可能にする。正規化は付加的に、全てのコード化された(例えば16進法又はUnicode)パケットが保護されたネットワークに渡される前にまずデコードされることを必要とする場合がある。これらの動作は、このようにして、何らかの規則又は正規化制限への適合性を強制し、より良好に攻撃からネットワークを保護する。
【0022】
必要なタスクを最大可能速度(データ・フローのライン速度を超えることが好ましい)で実行する能力を保証するために、状態管理はアプリケーション特化ハードウェア部品として実装されることが好ましい。
状態管理部20の動作を補助するために、状態管理部20により、通過パケット・トラフィックの性質に関するデータが収集される。このデータは、例えば、上記の接続テーブルにコンパイルする即ち収集することができる。このデータは、個々のセッションにおけるパケット・トラフィックに関する情報を含むと共に、多数の異なるセッションにわたるパケット・トラフィックに関する情報を含む。
状態管理とアルゴリズム・フィルタリング動作の間には、2つのデータ関係の実装が可能である。第1の実装においては、データは状態管理において単に収集され、アルゴリズム・フィルタリング動作に向けて報告される。第2の実装においては、データは状態管理において収集されて要約され、次いでこの要約がアルゴリズム・フィルタリング動作に向けて報告される。フィルタリング動作を行う前にフィルタが要約を行うことがないようにし、そのことにより処理速度の増加が得られることから、第2の実装が好ましい。しかしながら、この第2の実装は遥かに複雑なハードウェア状態管理実装を必要とし、そのことは設計コストを増す。
【0023】
収集されたデータはアルゴリズム・フィルタリング動作28に向けて報告される26。アルゴリズム・フィルタリング動作28は、報告されたデータに対し、統計学的解析を行って、該データが問題を起こす可能性を示している(即ち疑わしい)か又は脅威であるかどうかを判断する。アルゴリズム・フィルタリング動作28によって実行される統計学的解析は、複数の異なるセッションにわたるデータ・フローのパケット・トラフィックの性質に関して報告されたデータによって明らかになる、アドレス・スイープ攻撃、ポートスキャン攻撃、及びサービス拒否攻撃のインスタンスを捕捉するように設計される。この目標を達成するために、アルゴリズム・フィルタ・セット30が、多数のセッションにわたって発生する認識済みネットワーク脅威を識別し、検出し、抑止するように設計され又は仕立てられる。次いでこれらのアルゴリズム・フィルタ30は検出エンジン・セット32に供給され、複数の認識済みセッション攻撃シナリオ(アドレス・スイープ、ポートスキャン、及びサービス拒否攻撃など)の各々1つに対し1つのエンジンが実装される。各検出エンジン32はまた、状態管理部20により個々のセッションにおけるパケット・トラフィックに関して収集された報告済26データ(又はそのサブセット)と共に、多数の異なるセッションにわたるパケット・トラフィックについての情報を受信する。報告済26データをアルゴリズム・フィルタ30に対し統計学的な手法で評価することにより、各検出エンジン32は、ネットワークが現時点でマルチセッション攻撃下にあるかどうかについての結論に達することが可能である。次いでアルゴリズム・フィルタリング動作28内の管理部34が、適切なフィードバック36を状態管理部20に提供することにより、検出エンジン32の結論を踏まえて機能する。データ・フロー中の多数のセッション・パケット・トラフィックからの脅威が検出された状況においては、危険なパケットはシステム10によりブロックすることができ、及び/又はそうしたパケットに関係するセッションはシステム10により終了させることができる。
【0024】
セキュリティ・リスクに合わせて仕立てられ又は調整される柔軟性及び能力の継続を保証するために、アルゴリズム・フィルタリング動作は、(ハードウェアの状態管理とインタフェースする)特化可能なソフトウェア・アプリケーションとして実装されることが好ましい。このようにして、脅威検出能力もまた、必要に応じて拡張することが可能である。アルゴリズム・フィルタリング動作により実行される機能を制限し、ハードウェア上で効率的且つ迅速に実行することが可能な状態管理にできるだけ多くの機能(脅威検出動作に留まらず)を入れ込むことにより、付加的に、全体としてのパケット処理速度を高く保ち、動作がライン速度で実行されることを可能にすることができる。
【0025】
システム10により提供される第2のインライン機能は、深いレベルのパケット検査を容易にする、ある形式のステートフル・パターン・マッチングを実装するトリガー・フィルタ機能50を備える。トリガー・フィルタ50は、データ・フロー14の能動的監視と共同して2つのフィルタリング動作を実行する。第1に、パケットヘッダ・マッチング動作52が各パケットを観察し、そのヘッダフィールド値が危険トラフィックの疑いを生じさせるかどうかを判断する。この動作は、固定ヘッダフィールド(例えば宛先及びソースIPアドレス、宛先及びソース・ポートなど)を確認して、攻撃を示す情報の存在を調べることを含む。例えば、パケットはヘッダ情報に基づいて分類することができる。次いでこの分類を単独に用いてフィルタリングを行うことが可能であり、また次に論じる他のフィルタリング動作を行う時のコンテキストを提供するために用いることが可能である。第2に、パケットコンテンツ・マッチング動作54が各パケットを観察し、コンテンツ(文字)ストリング及び/又はその正規表現値が危険トラフィックの疑いを生じさせるかどうかを判断する。この動作は、パケット・ペイロード要素を、攻撃に関係するとして識別されたストリング及び表現にマッチングすることを含む。パケットヘッダ・マッチング動作52及びパケットコンテンツ・マッチング動作54は互いに関連して動作し、検出されたヘッダフィールド値とコンテンツ・ストリング/正規表現値との組み合わせに基づいて、疑わしいパケット・トラフィックを検出するという利点を持つことが認識されるであろう。脅威が検出された状況においては、危険なパケットはシステム10によりブロックすることができ、及び/又はそうしたパケットに関係するセッションはシステム10により終了させることができる。
【0026】
上記の説明は、危険であるか又は疑わしいトラフィックを見つけ出す(そしてその後当該トラフィックをブロックする)トリガー動作に焦点を当てているが、幾つかの状況においては、「良性の」トラフィックの質及び特徴を見つけ出すようにトリガーを実装し、またフィルタを設計できるというような場合もあろう。この場合においては、「良性」基準を満たすとして識別されることに失敗したパケットが全てシステム10によりブロックされ、識別された良性トラフィックが通過を許されることになる。
必要なタスクを最大可能速度(データ・フローのライン速度を超えることが好ましい)で実行する能力を保証するために、トリガー・フィルタ機能はアプリケーション特化ハードウェア部品として実装されることが好ましい。より具体的には、並行処理アーキテクチャにおける複数のハードウェア実装パターン・マッチング・コンポーネントの使用を通じて、高速パス・パターン・マッチングのためのプロセスが実行される。この設定はシステムがライン速度で動作することを可能にし、更に将来的な拡張容易性を提供する。
【0027】
トリガー・フィルタ機能50の動作を補助するために、パケットヘッダ・マッチング動作52とパケットコンテンツ・マッチング動作54の両方に、フィルタリング基準(即ち規則)54が与えられる。これらの規則54は、検出トリガー56と検出例外58の両方を含む。検出トリガー56とは、単一セッションのパケットのペイロード要素内のマッチング済存在がネットワークへの脅威を示す1つ又はそれ以上のヘッダフィールド値、コンテンツ・ストリング、及び/又は正規表現値を、単独に又は互いに組み合わせて識別することである。検出例外58とは、単一セッションのパケットのペイロード要素内のマッチング済存在が、関心の対象となりうる間、ネットワークへの脅威を示すと見なされてはならない1つ又はそれ以上のヘッダフィールド値、コンテンツ・ストリング、及び/又は正規表現値を、単独に又は互いに組み合わせて識別することである。検出トリガー56及び検出例外58を翻訳してフィルタリング基準(即ち規則)54とするために翻訳機能60が与えられ、該フィルタリング基準は、トリガー・フィルタ機能50のパケットヘッダ・マッチング動作52及びパケットコンテンツ・マッチング動作54に供給され、それらによって活用される。この翻訳は、例えば、パケットヘッダ・マッチング動作52及びパケットコンテンツ・マッチング動作54による実装のための、より低いレベルのマシンコードにデータを変換することを含むことができる。
【0028】
検出トリガー56及び検出例外58は、特に認識済み単一セッション型ネットワーク脅威の識別、検出、及び抑止のために設計され又は仕立てられた検出シグニチャ・セット62から派生する。例えば検出シグニチャ62(例えばセキュリティ規則、ポリシー、及びアルゴリズムを備える)を設計して、検出された脆弱性によるネットワーク損害を軽減するか又は回避することができる。このような検出シグニチャ62は、例えばマシン(ホスト)製造業者、サービス提供業者、インターネットなどを含む数ある中のいずれか1つの周知の作成元から得ることができる。付加的に、シグニチャ62は、保護されたネットワークの管理者によって作成されることもできる。更に又、シグニチャ62は、脅威情報(例えばワーム、ウイルス、トロイの木馬、サービス拒否攻撃、Access、Failure、Reconnaissance、他の疑わしいトラフィックなど)を世界中から収集し、その情報を解析して、収集された脅威からのネットワーク損害を軽減するか又は回避するために他者によって用いられることが可能となる検出シグニチャ62を設計する仕事を行っている、シグニチャ作成に従事する事業体により供給されることもできる。
【0029】
検査されたトラフィックがもたらすネットワークに対する脅威の可能性を検出するために、検出シグニチャ62は、概説すると、1つ又はそれ以上の抽出済パケット特徴により満たされねばならない基準(例えばTCP、HTTP、及びURI関連基準)を定義するオブジェクトを含む。例として、各検出シグニチャ62は以下のオブジェクト即ち、
− メタ・データ:シグニチャの名称、識別番号、カテゴリ、及びクラスを説明するものと、
− アクション・セット:脅威が検出された場合にシステム10により実行されるべき1つ又はそれ以上のアクション(許可する、拒否する、ログを取る、ブロックする、終了させるなど)の定義と、
− クエリ:脅威を受けており、且つシグニチャが適用される対象である1つ又はそれ以上の特定のネットワーク・コンポーネント(マシン・セット)の定義(又は識別番号)と、
− シグニチャ定義:脅威が識別されるために合致されねばならない基準セット及びそれと共に検討されねばならないいずれかの関係パラメータと、
を含むことができる。
【0030】
セキュリティ・リスクに合わせて仕立てられ又は調整される柔軟性及び能力の継続を保証するために、上記のフィルタ基準管理に関連する動作は(ハードウェアのトリガー・フィルタ機能とインタフェースする)特化可能なソフトウェア・アプリケーションとして実装されることが好ましい。このようにして、システムの脅威検出能力は、必要に応じて拡張することが可能である。
トリガー・フィルタ機能50によって実行されるフィルタリング比較動作は、パケットレベル及び/又はセッションレベルの一方又は両方で実装されることが好ましい。パケットレベルにおいては、検査・フィルタリング動作は、検出シグニチャの規則を適用する際に各パケットを個別に検討する。セッションレベルにおいては、検査・フィルタリング動作は、検出シグニチャの規則を適用する際に、複数の関係パケットをまとめて検討する。セッションレベルでの比較を補助するために、システム10は格納済みパケット関連履歴データに関する状態情報に依拠することができる。セッションレベルでの比較については、比較及びフィルタリングは調査下にある現時点のパケットの抽出されたパケット特徴(ヘッダ及びペイロード)ばかりでなく、パケット関連履歴データも検討する。シグニチャ62基準と、抽出されたパケット特徴及びパケット関連履歴データの組み合わせとの間に合致が見られた場合には、ネットワーク14に対する脅威の可能性が検出される。
【0031】
システム10により提供される第3のインライン機能は、パケット・ハンドラ機能70を含む。パケット・ハンドラ機能70は、状態管理部20及びトリガー・フィルタ機能50が達した評価及び結論に応答して、ゲートキーパーとして機能し、パケット及び/又はセッションがどのように処理されるかを判断する。より具体的には、パケット・ハンドラ機能は、状態管理部20及びトリガー・フィルタ機能50の解析・調査結果をコンパイルして、ある種のパケットが関心ある対象であるかどうかを判断し、次いでそのパケットに対して適切なアクションを取る。関心ある対象と判断されたパケットに対して、3つの処理オプションが利用可能である。第1に、あるパケット又はセッションに関して、状態管理部20もトリガー・フィルタ機能50も、いかなる脅威、危険又は疑いをも検出することができなかった限りにおいて、当該パケット・トラフィックはデータ・フロー14に沿って通過72し、そのまま通行することが許可される。第2に、あるパケット又はセッションに関して状態管理部20又はトリガー・フィルタ機能50のどちらかが明らかな脅威又は危険を検出した限りにおいて、当該パケット・トラフィックはブロックされ、データ・フロー14から除去74される。第3に、あるパケット又はセッションに関して状態管理部20又はトリガー・フィルタ機能50のどちらかが脅威又は危険の疑いを検出した限りにおいて、当該パケット・トラフィックはデータ・フロー14から抽出76され、その後ここでより詳細に論じられるより慎重な調査に当てられる。
データ・フローを通過するパケットに関するソーティング決定を下すように迅速に動作する能力を保つために、このパケット・ハンドラ機能はハードウェアに実装されることが好ましい。
【0032】
システム10により提供される第4のインライン機能は、フロー制御機能80を含む。フロー制御機能80は、何らかのプログラム可能な又は設定可能な優先度に基づいて、データ・パス14の中のトラフィック・フロー出力を成形するように機能する。トラフィック成形は、主に、あるパケット・トラフィックがデータ・パス14の中を通過することを許された速度を加速させる(又は逆に減速させる)ことによって達成される。例えば、既知の確認済み良性トラフィックを、データ・パス14の中で優先的に伝送させることができる。同様にして、既知の基幹アプリケーションに関係するパケット・トラフィックに、他の重要性の低いトラフィックより高い優先度を与えることができる。より一般的には、ある種のトラフィックを減速して、それがある閾値容量を超過しないようにすることが可能である。このことは、下流リソースのオーバーランニング又はより高い優先度のトラフィックへの干渉を防止する役割を果たす。
データ・フローを通過するパケットに関する処理決定を下すように迅速に動作する能力を保つために、このフロー制御機能はハードウェアに実装されることが好ましい。
【0033】
疑わしいものとして識別され、次いでパケット・ハンドラ機能70によりデータ・フロー14から抽出76されたパケット・トラフィックに関して、最終処理決定を下す前に、当該トラフィックに対するより慎重且つ徹底した調査が行われる。この更なる調査は、ライン外の脅威検証機能100を用いて実行される。「ライン外」とは、そのパケット・トラフィックがメイン・データ・フロー14から離れて処理されることを意味する。脅威検証機能100は、上記で詳細に論じられたインラインのトリガー・フィルタ機能50と類似した形で動作する。しかしながら、実行される詳細な調査のレベルに関連した主要な動作上の違いが存在する。トリガー・フィルタ機能50はインラインで動作しなければならないことから、フィルタリング基準(即ち規則)54は本質的に、ライン速度での実装に合わせて設計されねばならない(上記の特化されたハードウェア・ソリューションを用いることが好ましい)。この設計基準は本質的に、トリガー・フィルタ機能50が、その検出努力を、疑いがあり明らかに危険な又は脅威を与えるパケット・トラフィックを迅速に識別するように設計された、さほど徹底的でない調査及び評価に絞り込むことを強いるものである。この調査の性質は、更により詳細な解析によれば良性トラフィックと判断されるようなトラフィックの幾らかを不可避的に疑わしいとして識別することになる。しかしながら、ライン外脅威検証機能100の目的は、この疑わしいトラフィックをより徹底的に評価して、疑わしいトラフィックの中の良性部分を分離し、データ・フロー14に戻す102ことである。この目的のために、特化可能なソフトウェア・アプリケーションとして実装し、セキュリティ・リスクのより徹底的且つ慎重な評価に合わせられ又は調整される柔軟性及び能力の継続を保証することは利点を持つ。
【0034】
ソフトウェアベースの実装であることを原因の一端として、脅威検証機能100は、トリガー・フィルタ機能50とはやや異なった評価プロセスを実装する。より具体的には、脅威検証機能100はプロトコル・デコーダ及び正規表現マッチングを用いて詳細な脅威解析を実行する。このことは、トリガー・フィルタリング評価に比べてより多くの時間及びリソースを要するが、遥かに正確な脅威判断をもたらす。この動作を実装するため、脅威検証機能100に供給されるフィルタリング基準(即ち規則)108は、インラインのトリガー・フィルタ機能50に供給される規則54に比べて遥かに包括的であり且つ識別力がある。抽出された76疑わしいトラフィックの評価がライン外で実行され、調査されるトラフィックの容量が著しく減少されていることから、脅威検証機能100には、各パケットがネットワークに対して本当に脅威又は危険を示すかどうかをより慎重に検討するために、付加的な時間がかけられる。関心あるプロトコル及び正規表現に関連する検出検証110が与えられる。次いで翻訳機能112が検出検証110を翻訳してフィルタリング基準(即ち規則)108とし、これが脅威検証機能100に供給され、それらによって活用される。検出検証110は、特に認識済み単一セッション型ネットワーク脅威の識別、検出、及び抑止のために設計され又は仕立てられた上記と同じ検出シグニチャ・セット62から派生する。
【0035】
脅威検証機能100は、疑わしいトラフィックに対するより慎重な解析に応答して、3つの処理オプションから1つを選択する。第1には、そのパケット・トラフィックが良性であると確認された限りにおいて、それはデータ・フロー14に戻される102。第2には、明らかな脅威又は危険が確認された限りにおいて、そのパケット・トラフィックはブロックされ除去される114。第3には、(良性か脅威であるか)明確な判断が下せなかった限りにおいて、そのパケット・トラフィックはデータ・フローに戻される102が、そのトラフィックのコピーが渡されて116、その後更なる検討及び処理が行われ、警報が発せられる必要があるかどうかが判断される。
【0036】
トリガー・フィルタ機能50によって実行される解析と、脅威検証機能100によって実行される解析との間の違いのより良好な理解は、以下を検討することによって得られよう。トリガー・フィルタ機能50によって用いられるフィルタリング基準は、受信されたパケット・トラフィックを比較的高速で調査できるように、ハードウェアベースのトリガー機構として実装され、ここでは、実質的に全ての疑わしいトラフィックを捕捉するように設計され、処理能力が制限されたフィルタリングが用いられており、フィルタが危険なトラフィックの他に幾つかの良性のトラフィックまで付加的に不可避的に誤って捕捉するであろうと理解される(即ち、正確性は比較的低く、数多くの偽陽性が存在することになろう)。例として、このレベルのスクリーニングには、より複雑性の低いアルゴリズム及びプロセスを用いてより高速で実行することが可能なヘッダフィールド比較及びトリガー・コンテンツ検索(即ち短ストリング比較)が関与しており、スクリーニング済み出力はよりエラーを含みやすい。これに対し、脅威検証機能100によって用いられるフィルタリング基準の方は、パケット・トラフィックの疑わしい部分をより低速度で調査することを可能にするソフトウェアベースの確認機構として実装され、ここでは、疑わしいトラフィックをより慎重に調査し、脅威を与える又は危険である可能性が最も高いトラフィックを識別するように設計された、より複雑な処理が可能なフィルタリングが用いられており、ここでも脅威検証機能100が幾つかの良性のトラフィックまで不可避的に誤って捕捉するであろうことが理解される(即ち、正確性は比較的高いものの、最小限の数の偽陽性が存在することになろう)が、それが起きる可能性は、トリガー・フィルタ機能50と共に経験されるものより著しく低い。例として、この第2のレベルのスクリーニングには、より複雑性の高いアルゴリズム及びプロセスを用いたより低速度でのプロトコル・デコーダ及び正規表現マッチング(即ち長ストリング比較)が関与しており、スクリーニング済み出力はよりエラーを含みにくい。
【0037】
脅威検証機能100によって渡された116(依然として疑わしい)パケット・トラフィックのコピーに対して、数多くの可能なアクションを取ることができる。例えば、警報120を発することができ、疑わしいパケット・トラフィックのコピーをネットワーク管理者に配信して更なる調査を受けさせることができる。或いは又、ライン外のリスク評価機能130により、疑わしいパケット・トラフィックを評価することも可能である。リスク評価機能130は、疑わしいパケット・トラフィックがネットワーク内に存在するマシン及びデバイスに対して識別可能で具体的な危険性を示すかどうかを評価するように動作する。この判断を補助するために、システム10により、保護されたネットワーク内に存在するマシン及びデバイスの各々、及びそれらの互いに対する相互接続及び動作上の関係に関する情報を格納した資産データベース132が維持される。例えば、資産データベース132は、ネットワーク中のマシン(ホスト)、ホストにより提供されるサービス、及びネットワーク構成の観点でこれらのマシン及びサービスに関係するコンピュータシステム並びにネットワークデバイスの潜在的な脆弱性を識別する、企業(即ち保護されたネットワーク)指定データを格納することが好ましい。このデータは、例えば従来の手法で保護されたネットワークを評価するように動作する、独立した、恐らくは従来技術の、脆弱性評価スキャナデバイスの使用を含む、数ある中のいずれか1つの周知の方法で収集することができる。次いでリスク評価機能は、疑いを引き起こした検出シグニチャ(より詳細には、シグニチャの中の脅威を受ける1つ又はそれ以上のネットワーク・コンポーネント(マシン・セット)情報)を、ネットワーク内の資産の観点から評価して、検出シグニチャの適用を通じて疑わしいと検出されたパケット・トラフィックにより、どのタイプのネットワーク資産が脅威を受けているかを判断する。データベース132に格納された情報により判断されたときに、保護されたネットワークがいかなる脅威を受けたマシン又はデバイスも持たない場合は、疑わしいトラフィックはネットワークにとって殆ど懸念材料とならないか又は全く懸念材料とならず、無視することが可能である。しかしながら、保護されたネットワークが疑わしいトラフィックにより脅威を受ける可能性がある資産を有する限りにおいては、損害のリスクを低減するか又は解消するために、トラフィックが以後ブロックされて除去されるか、又はそれに対して警報が出されて、ネットワーク/セキュリティ管理者に脅威の可能性があることが通知される。この状況においては、警報120を発して、疑わしいパケット・トラフィックをネットワーク管理者に配信して更なる調査を受けさせることができる。
【0038】
これより再び、アルゴリズム・フィルタリング動作28への参照がなされる。より具体的には、検出エンジン32が報告された26データをアルゴリズム・フィルタ30に照らして統計学的な手法で評価し、ネットワークが現時点でマルチセッション攻撃下にあるかどうかの結論を出すということが想起されよう。この評価が攻撃の存在又は非存在を最終的に確立することに失敗することがありうる。そのような状況においては、攻撃の疑いが浮上する。この疑いに対処するために、検出エンジンは、翻訳機能60に転送される疑い警報170を発するように構成される。これに応答して、翻訳機能60が、その翻訳動作を変更するか又は調整して、検出トリガー56及び検出例外58の翻訳をフィルタリング基準(即ち規則)54へと作り替え、そのことによりトリガー・フィルタ機能50のパケットヘッダ・マッチング動作52及び/又はパケットコンテンツ・マッチング動作54がマルチセッション攻撃の存在の可能性をより感知し易くすることができる。このようにして、パケットヘッダ・マッチング動作52及び/又はパケットコンテンツ・マッチング動作54に対して或る制御が加えられ、アルゴリズム・フィルタリング動作28により行われる統計学的解析に基づいてその存在が疑われるマルチセッション攻撃の発見が試みられる。
【0039】
システム10は、保護されたネットワークのネットワーク要素として構成されることが好ましい。それにより、システム10は、外部の世界(すなわち保護されたネットワークの外部の信頼できない世界)と接続することを可能にする幾つかの外付け物理的インタフェースを含むことになる。例として、信頼できない世界は、広域ネットワーク(WAN)、仮想プライベートネットワーク(VPN)サーバ、ローカルエリアネットワーク(LAN)クライアント、無線又はリモートアクセスサーバ、及び信頼できないネットワーク(インターネットなど)のうち、いずれか1つ又はそれ以上を含む。システム10には、保護された(信頼できる)ネットワークの要素との接続を可能にする幾つかの内蔵物理的インタフェースもまた含めることができる。例として、保護されたネットワークの要素は、ルータ、特殊なタイプのサーバ(例えばHTTP、SMTP、FTP、DNAなど)、イントラネット、パーソナルコンピュータ、及びネットワークゾーンを含むことができる。内蔵又は外付けの物理的インタフェースは、信頼できるネットワークと信頼できないネットワークとの相互接続を構成するに当たり、所望に応じて接続できることが認識されよう。
【0040】
システム10は、その動作をサポートする適切な物理的プラットフォーム上に実装されることが好ましい。プラットフォームは、システムがセキュリティ用途に適した実行環境を提供することを可能にするのに必要な、基礎となるハードウェア、操作システム、及びコア・インフラストラクチャ設備を備える。この実行環境は、オペレーション、アドミニストレーション、メンテナンス及びプロビジョニング設備、セキュリティ用途の実行をサポートする埋め込みオペレーティングシステム、及びハードウェア(例えばシャーシ、電源、拡張能力、回路カードサポートなど)を含む。上では好ましい実装が論じられたが、システム10の機能は、ハードウェア上のプラットフォームのみに実装することができ、ソフトウェア上のプラットフォームのみに実装することができ、又はハードウェアとソフトウェア両方の組み合わせにおけるプラットフォームに実装することもできる。
【0041】
このシステムのトリガー・フィルタ機能50又は脅威検証機能100のいずれかによって実行される比較動作及びフィルタリング動作に関連して、フィルタリング基準における使用又はこれと関係する使用を目的として、幾つかの処理機能を検討し評価することができる。OSIレイヤー1においては、パケット通信のための物理的ハードウェア・インタフェースを検討することができる。OSIレイヤー2においては、イーサネット(登録商標)上のソース/宛先アドレス、VLAN PRI/CFI、VLAN識別子及びイーサネット(登録商標)タイプ、並びにMPLSラベルなどのデータリンクに関連するコード化情報、アドレス情報、及び送信情報を検討することができる。OSIレイヤー3においては、IPフィールド(例えばソース/宛先アドレス、ペイロード長、フラグビット、ヘッダ長、IDフィールド、オフセット・フィールド、オプション、プロトコル・フィールド、サービスタイプ・フィールド、有効期限フィールド、及びバージョン・フィールド)、及びARPフィールド(送信者及び標的のMACアドレス又はプロトコル・アドレス、プロトコル又はハードウェアのタイプ又は大きさ)などのネットワークに関連する転送ルート情報、メッセージ処理及び送信情報を検討することができる。OSIレイヤー4においては付加的に、TCPフィールド(ソース/宛先ポート、データ長、ヘッダ長、確認番号、フラグ、シーケンス番号、緊急ポインタ、ウインドウ及びチェックサム)、ICMP(タイプ、コード、シーケンス、ID、データ長、チェックサム、icmp.コード)、及びUDP(ソース/宛先ポート)などの転送関連の配信サービス情報及び品質情報を検討することができる。処理機能は、付加的に、HTTP(要求ライン、メソッド、URI、プロトコル、ホスト、コンテンツ長、ボディを含む全てのヘッダフィールド)、DNS、SMTP、SNMP、SMP、FTPなどのプロトコル・デコード情報を評価することができる。更に又、処理機能は、固定ストリングの固定オフセット、ストリング変数の固定オフセット、正規表現の固定オフセット、正規表現の変数オフセット、事象の集合、事象のシーケンス、フラグメンテーション、接続状態、フロー再組み立て、正規化技術(重複フラグメントの検出及び除去、回避技術)、及び16進法並びにunicodeデコーディングを評価することができる。
【0042】
本発明の方法及び装置の好ましい実施形態が添付の図面に示され、上記の詳細な説明において説明されたが、本発明は開示された実施形態に限定されるものではなく、添付の特許請求の範囲より示され且つ定められる本発明の精神から逸脱することなく無数の再配置、修正、及び置換が可能であることが理解されるであろう。
【技術分野】
【0001】
(クロスリファレンス)
本出願は、その全体が引用によりここに組み入れられる、2002年4月30日付で出願された「NETWORK SECURITY SYSTEM INTEGRATION」という名称の係属中の米国特許出願番号第10/136,889号に関連する。
本出願は、その全体が引用によりここに組み入れられる、2002年8月12日付で出願された「MULTI−LEVEL PACKET SCREENING WITH DYNAMICALLY SELECTED FILTERING CRITERIA」という名称の係属中の米国特許出願番号第10/217,862号に関連する。
本発明はネットワーク侵入の検出及び抑止に関する。
【背景技術】
【0002】
企業がインターネットを用いてビジネスを行うことが増えるにつれて、インターネットを通して配信され、またこれを介してアクセス可能な機密・重要情報の量もまた増加している。ここ数十年にわたって企業がビジネスに用いてきた、外部の侵入者からは比較的守られている私設の専用通信ネットワークと異なり、インターネット及び企業に接続されたネットワークは、その公開性及びアクセスのし易さのために、セキュリティ上の脅威及び悪意ある傍受に対して弱い。最近では、こうした機密情報にアクセスするか又は他の形でネットワーク通信に干渉することを意図したネットワークセキュリティ突破の試み即ちハッカー攻撃の頻度に増加が見られる。
【0003】
ツール及び如何にしてそのような攻撃を行うかについての情報の入手し易さ、ハッカーの巧妙さが増したこと、攻撃に対して脆弱なネットワーク上のアクセスポイント数の増加、及びインターネットを介してアクセス可能であるか又はこれを通して配信される機密情報の全体量の増加などを原因の一端として、ネットワーク攻撃は一層広まりつつあるばかりでなく、巧妙且つ深刻なものになりつつある。こうした攻撃は、攻撃者がウェブサイトを大量のパケット又は接続要求で溢れさせ、それによりそのウェブサイトを殺到状態にして正当なユーザのアクセスを妨害するという、分散型サービス拒否攻撃を含む。他のタイプの攻撃には、単にウェブサイトへのアクセスを妨害するに留まらず、セキュリティに侵入して、ハッカーがサーバを制御し、そのウェブサイトを改竄するか又は重要情報を盗むことができるように設計されているものがある。更に他の攻撃には、インターネット上に伝送された機密通信をハッカーが不正利用することを可能にする、悪意ある傍受を含む。重要情報が悪用されれば、企業の商取引に対する損害、又は最小限の場合でもその評判が損なわれることが起こりうる。また、サービス拒否攻撃からは、多大なコスト及び逆宣伝効果がもたらされる。企業はこうした全てのタイプの攻撃に対抗するべく、高まるネットワーク脆弱性問題に対処するためにセキュリティ予算を増やし続けている。
【0004】
ネットワーク防衛の一手段として侵入検出システムが広く利用されている。このようなシステムは一般に、トラフィックを監視し、トラフィックの中の疑わしい部分を識別し、そのようなトラフィックが検出された時には警報又は注意報を発するように作動する受動的システムである。どれほど賢いか又は正確であっても、こうした侵入検出システムは攻撃の疑いに対するいかなる能動的な働きかけも備えていないのが通例である。疑わしい活動の各事例に対して警報を発することは可能であるが、ネットワークセキュリティ管理者にとってはさしたる慰めにはならないであろう。その理由は、多くの場合、警報が発せられ認識される頃には、何がしかの意味のある対応をするにしても手遅れだからである。既に損害が与えられてしまっている。簡単に言うと、セキュリティの突破又は突破の可能性があると知ることは、突破による損害を食い止めることと同じではないのである。
【発明の概要】
【発明が解決しようとする課題】
【0005】
従って、当該分野においては、侵入検出システムは、幾らかは役に立つサービスを提供するものの、ネットワーク攻撃に対しては不十分な防衛機構であると認識される。設計者は更に、侵入の疑いに対して何らかの自動応答手段を提供することの必要性を認識してきた。そのような応答機構は、従来型の受動的検出モードから進んだ攻撃抑止モードへと侵入検出システムを機能的に拡張するように意図されている。例えば、侵入検出システムが実装している2つの公知の能動的応答機構は、(a)セッション・スナイピング(TCPリセット要求をTCPセッション・エンドポイントに送信すること)、及び(b)ファイアウォール更新(ポリシー設定要求をファイアウォール又はルータに送信すること)である。しかしながらこれらの能動的機構は一般に効果的ではなく、またTCP/TPの仕組みに関して基本知識を持つ攻撃者であれば誰にでも容易にバイパスされる。事実、こうした応答機構は、攻撃に際してアドレスを詐称された無実のサーバに対してサービス拒否攻撃の応答を始めること、或いは誤って正当なマシンへのアクセスを拒否することで、被害側ネットワークにとっては逆効果となりかねない。
【0006】
このようなネットワーク防衛を提供することに関して、従来技術の現況では、汎用プロセッサに実装されたソフトウェアベースの侵入検出システムを利用している。このような実装に伴う困難は、ネットワークを的確に防衛するために必要となるパケット検査、比較及び解析を行うのに十分なだけ迅速にソフトウェアを実行させることができないことである。加えて、ソフトウェアベースのソリューションは時間がかかりすぎるため、こうした実装は、危険なトラフィックが保護されたネットワークに入るのを効果的に阻止するような形で機能することができない。
従って、従来型の侵入検出システムは、その受動的リスニング構成のために、応答機構を装備した場合であっても、もはや適切なネットワーク防衛ストラテジーを与えるものではないと認識される。更に、強化された能動的応答侵入検出システムは、能動的防衛能力の点で十分な手段を提供するものではないと認識される。よって、巧妙化の一途を辿り危険性を増すネットワーク攻撃に対してネットワークを防衛するためには、性能が向上された能動的防衛システム及び方法が必要である。
【課題を解決するための手段】
【0007】
本発明の1つの実施形態によれば、ネットワーク防衛システムは、パケット・データ・フローに関してインラインに接続された状態管理部を含む。状態管理部は、データ・フロー上に現時点で存在しているセッションを追跡し、パケット関連履歴データを保管するように動作可能である。システムは、追跡されたセッション及びパケット関連履歴データに対して統計学的解析を行い、多数のセッションにわたるデータ・フロー中のパケットが保護されたネットワークに対して脅威を与えるかどうかを判断するように動作可能なアルゴリズム・フィルタを更に含む。
システムは、同じくパケット・データ・フローに関してインラインに接続されたパケット・ハンドラを更に含む。パケット・ハンドラは、脅威の存在に応答して、脅威パケットをブロックするように動作可能である。
【0008】
システムは、同じくパケット・データ・フローに関してインラインに接続されたトリガー・フィルタを更に含む。トリガー・フィルタは、個々のセッションにおける脅威パケットを検出するために設計された基準に照らして、データ・フロー中のパケットをフィルタリングするように動作可能である。トリガー・フィルタは更に、アルゴリズム・フィルタによる疑わしさ判断に応答して、多数のセッションにわたる脅威パケットを検出するために設計された基準に照らして、データ・フロー中の疑わしいパケットをフィルタリングするように動作可能である。
システムは、同じくパケット・データ・フローに関してインラインに接続されたフロー・コントローラを更に含む。フロー・コントローラは、データ・フローに沿ったパケットの通過速度を調整するように動作可能である。
【0009】
パケットが疑わしいと識別された場合には、システムは脅威検証機能を更に含む。疑わしいパケットは、データ・フローから抽出され、その後脅威検証機能により、インライン・トリガー・フィルタが用いる基準よりも包括的なフィルタリング基準を用いてフィルタリングされる。より包括的な解析は、疑わしい抽出パケットが実際に脅威を与えるものであるかどうかを解明するように設計される。
疑わしいパケットはまた、リスク評価機能によって解析することができる。リスク評価機能は、疑わしい抽出パケットを調査し、それがネットワーク内に存在する識別可能な資産に対する特定のリスクを示すかどうかを判断するように動作可能である。
【0010】
本発明は、疑わしい/危険なコンテンツに関する深いレベルのパケット検査を伝送速度で実行できる能力のために、従来のソフトウェアベースの侵入検出システムに比べて多大な向上を提供するという利点を持つ。高速パス・パターン・マッチングの性能は、攻撃に対するネットワーク防衛を提供しながら高速化パケット処理を行うための鍵である。必要なパターン・マッチング速度をサポートするために、またそれによる深いレベルのパケット検査を達成するために、多数の並行パターン・マッチング動作を用いて、パターン・マッチング動作が行われることが好ましい。このように実装されることにより、システムは将来の必要性に対処できるように拡張することが容易なものとなる。
加えて、幾つかのパケットはより慎重な検査を必要とするであろうことが認識されている。この目的のために、本発明は初期スクリーニングを行って、更なる解析が必要となるであろうパケットを識別するという利点を持つ。そのようなパケットはデータ・フローから抽出され、その後独立したプロセス・フローの中でより慎重にスクリーニングされる。
【0011】
本発明の好ましい実施形態においては、システムは、ハードウェア/ソフトウェア混合ソリューションを利用して、パケット・スループットレートを維持しつつ適切なレベルのパケット・スクリーニングを提供するという利点を持つ。ハードウェアにインライン・コンポーネントが実装されることが好ましい。例えば、パターン・マッチング動作は、従来のソフトウェアベースの侵入検出ソリューションより遥かに迅速に動作するハードウェア設計を用いて行われる。制御及び設定は、システムにある程度の柔軟性を与えるようにソフトウェアで処理することが可能である。また更に、パケットにより示されるいずれかの脅威をシステムがより慎重に考慮できるように、データ・フローから抽出されたこれらのパケットのライン外処理が、ソフトウェアで行われることが好ましい。このアーキテクチャは更に、データ速度の増加に合わせてシステムが拡張されることを可能にする。
【図面の簡単な説明】
【0012】
【図1】本発明による能動的ネットワーク防衛システムのブロック図である。
【図2】図1のシステムのより詳細なブロック図である。
【発明を実施するための形態】
【0013】
本発明の方法及び装置のより完全な理解は、添付の図面と共に以下の詳細な説明を参照することによって得られるであろう。
本発明は、自動的にトラフィックを監視しブロックするように動作可能な能動的ネットワーク防衛システムを提供するものである。この能動的ネットワーク防衛システムは、全ての通過パケットを検査し、且つ可能であれば処理できるように、ネットワーク・インフラストラクチャの一部として、インラインに(即ちパケット・トラフィック・データ・フローの中に)設置されることが好ましい。このネットワーク防衛ソリューションは従来の受動的侵入検出システムからの劇的な技術転換を構成する。
【0014】
能動的ネットワーク防衛システムは、ライン速度において信頼性を持って動作できる能力があることが重要である。悪意あるパケットを検出した時には、直ちにそのパケットを除去するアクションが取られ、それによりそれが損害を与えうるネットワークに入ることを防止しなければならない。従って、パケットの除去により、攻撃は直ちにブロックされ、いかなる損害も修復する必要がなく、いかなる警報も処理される必要がないという付加的な便益が得られる。
能動的ネットワーク防衛システムは更に幾つかの利点を提供する。能動的ネットワーク防衛システムは、ブロッキングに留まらず、パケットを修正する能力を有する。幾らかの重要性を持つ1つのパケット修正概念は、正規化という発想である。正規化とは、あるプロトコル又は基準の特定の実装に対して順守性を強制するプロセスである。例えば、普及している侵入検出システム回避技術は、標的システムがフラグメント化を処理する手法がまちまちであることを利用する。あるシステムは重複フラグメントを最初の重複パケット・データと一緒に再組み立てし、他のシステムは最後の重複パケット・データと再組み立てする。侵入検出システムは、標的がいかにして再組み立てするかを推測するか又は全ての可能性を考慮に入れる必要がある。標的の振舞いの予測に失敗することにより、攻撃が未検出のまま進行するか、又は誤警報が発せられるであろう。これと対照的に、本発明の能動的ネットワーク防衛システムは、インラインに常駐して全パケットにインターセプトして、セット・アルゴリズムを用いてフラグメントを再組み立てし、再組み立て済パケットを転送することで、正規化を実行することが可能である。フローの正規化は、異なる標的システムにおいてパケット又はフローがどのように処理されるかを推測する必要性をなくし、普及している侵入検出システム回避技術を阻止する。
【0015】
能動的ネットワーク防衛システムは、パケット・フロー(スループット)を能動的に管理する能力を更に有する。フローを減速させるというこの概念は、能動的ネットワーク防衛システムが疑わしいトラフィックの通過を制限するか又は遅らせながら、既知の「良性の」トラフィックを優先させることを可能にする。この点に関して、多くのサービス拒否攻撃は正当なトラフィックと区別できないことが認識される。ある属性を持つことが検出されたトラフィックを減速させることで、少なくとも、サービス拒否攻撃が標的リソースを殺到状態にすることを阻止することが可能である(且つ更に進んで止めさせることが可能であろう)。付加的な便益として、減速制御を利用可能とすることに伴い、能動的ネットワーク防衛システムを通して基幹トラフィック・スループットにより高い優先度を割当てることによってこれを加速させ、結果としてネットワーク生産性を向上させることが可能である。
【0016】
能動的ネットワーク防衛システムがうまく機能するためには、パケット・トラフィックのステートフル検査をライン速度で且つ短い待ち時間で実行できる能力がなければならない。例えばWAN/LANのアクセス速度は何ギガビットという桁であり、従って、能動的ネットワーク防衛システムは、スイッチ及びルータにおいては典型的なミリ秒レベルの待ち時間を伴うギガビットレートでのハードウェア能力を有するのでなければならない。ここでの目標は、深いレベルのパターン・マッチングの実践である。能動的ネットワーク防衛システムは、有用なトラフィックの廃棄を避けるような信頼性尺度を有するのでなければならない。また、能動的ネットワーク防衛システムは、ネットワーク・インフラストラクチャの一部として実装されることから、高度の可用性を与えることができなければならない。
【0017】
これらの背景を考慮に入れて、本発明による能動的ネットワーク防衛システム及び方法のより詳細な検討を提示する。
これより、本発明の能動的ネットワーク防衛システム10のブロック図が示された図1及び図2への参照がなされる。システム10は、企業のネットワーク・インフラストラクチャ12の一部として構成されている。この構成は、システム10が、監視されるデータ・フロー14に関してインラインに設置されることを可能にする利点を持つ。このようなインライン配置は、データ・フロー14内の一つ一つ及び全てのパケット16に対する検査及び可能性ある処理を容易にする。よってシステムは、データ・フロー14のライン速度を超える好ましい速度ではないにせよ、これに近い速度で動作することが必須である。システムは、インライン処理を通じて各通過パケットに対して深いレベルのパケット検査を実行する。
【0018】
システム10により、幾つかのインライン機能が提供される。これらの機能のうち第1のものは、状態管理部20を含む。状態管理部20は、データ・フロー14の能動的監視と共同して、2つの鍵となる動作を実行する。第1に、状態管理部20は、セッション管理動作22を実行する。このセッション管理動作22は、データ・フロー14上を運ばれるパケット・トラフィックに関連した各セッションの状態を監視し管理する。より具体的には、セッション管理動作22は、恐らくはテーブル又は他の機構を用いて、どのセッションが現時点でデータ・フロー14に存在するかを追跡し、調査に備えてパケット関連履歴データを保管する。例えば接続テーブルを用いて、各接続(例えばTCP SYN、SYN ACKなど)の状態に関するデータを維持することができる。保持されうるパケット関連履歴データのタイプの例は、
− フラグメント化されたパケットの再組み立てと、
− TCPセッション・フローの再組み立てと、
− 折衝された一時ポートの維持(例えば、FTPはデータを交換するための動的ポートを確立する)と、
− 接続確立状態(例えば接続確立に当たっての良好に定義されたTCP交換のような通信ホスト間の妥当なハンドシェーク)と、
− プロトコル及びアプリケーションレベル状態情報(アプリケーション又はプロトコルが、それらのアプリケーション又はプロトコルの仕様に違反しない、或いはそれらのアプリケーション又はプロトコルの既知の脆弱性を利用しない、良好に定義された状態へと遷移していることを保証する)と、
を含む。
【0019】
個々のパケットが認識済セッションに関係することを保証する目的で、データ・フロー14の各パケット16は、セッション管理動作22により、インラインで調査される。セッションに関係しないパケット16が調査された場合には、その非認識パケット16を疑わしいか又は脅威であると識別し、次いでシステム10によりブロックすることができる。付加的に、パケットとセッションの間の関係記録を保存して、そのことによりシステム10が脅威である又は疑わしいパケットを発見した時に、検出されたパケットを含むセッション中の全てのパケットを(除去するか又は更に調査することで)同様に処理することを選択することが可能である。この概念は、「セッション・リダイレクション」と呼ばれる。
【0020】
第2に、状態管理部20は、パケット・フロー再組み立て動作24を実行する。この動作に関連して、ネットワークへの攻撃は多数のパケットにわたって分割されることが認識される。このようにして攻撃者は、個々においては一見良性に見える数個のパケットに跨らせて攻撃を隠匿しようとする。これに対抗するためには、パケット・フロー再組み立て動作24は、攻撃の存在を検出できるように、(上記の履歴データを用いて)ある期間にわたって、確立された接続との関連でデータ・フロー14を監視し、複数のパケット及びそのコンテンツを調査する。このようにして、パケット・フロー再組み立て動作は、パケットとそのペイロードを追跡し、パケット同士の関係を識別し、パケット及びペイロードを一体に再組み立てし、再組み立て済パケット・データが脅威の可能性について解析される。共通フローに関して一群のパケット16が調査され、再組み立て時に脅威を示すことが判断された場合には、そのようなパケット(及び同じフロー又はセッション中の関連パケット)はシステム10によりブロックすることができ、及び/又はそのような脅威パケットに関係するフロー/セッションはシステム10により終了させることができる。よって、この機能はパケット境界を越えてのパターン・マッチング追跡を可能にする。
【0021】
正規化プロセスは、何らかの標準への適合性を強制するように設計された幾つかの異なるパケット処理手順を関与させることができる。状態管理がデータ・フローを通過する各パケットに「接触する」ことから、このことは本発明との関連で達成される。例えば、正規化は、システムが、保護されたネットワークに関連する何らかの再組み立てポリシーを定義することを可能にする。フラグメント化されたパケットの脅威を認識すると、このポリシーは、順序立たずに到着したいかなるパケットも無条件でブロックするように命令して、パケットが保護されたネットワークに受信可能となる前に、送信側エンティティが正しい順序で再送信するように仕向けることができる。正規化はまた、システム10がIPオプションに関して何らかの解釈規則を実装することを可能にする。正規化は付加的に、全てのコード化された(例えば16進法又はUnicode)パケットが保護されたネットワークに渡される前にまずデコードされることを必要とする場合がある。これらの動作は、このようにして、何らかの規則又は正規化制限への適合性を強制し、より良好に攻撃からネットワークを保護する。
【0022】
必要なタスクを最大可能速度(データ・フローのライン速度を超えることが好ましい)で実行する能力を保証するために、状態管理はアプリケーション特化ハードウェア部品として実装されることが好ましい。
状態管理部20の動作を補助するために、状態管理部20により、通過パケット・トラフィックの性質に関するデータが収集される。このデータは、例えば、上記の接続テーブルにコンパイルする即ち収集することができる。このデータは、個々のセッションにおけるパケット・トラフィックに関する情報を含むと共に、多数の異なるセッションにわたるパケット・トラフィックに関する情報を含む。
状態管理とアルゴリズム・フィルタリング動作の間には、2つのデータ関係の実装が可能である。第1の実装においては、データは状態管理において単に収集され、アルゴリズム・フィルタリング動作に向けて報告される。第2の実装においては、データは状態管理において収集されて要約され、次いでこの要約がアルゴリズム・フィルタリング動作に向けて報告される。フィルタリング動作を行う前にフィルタが要約を行うことがないようにし、そのことにより処理速度の増加が得られることから、第2の実装が好ましい。しかしながら、この第2の実装は遥かに複雑なハードウェア状態管理実装を必要とし、そのことは設計コストを増す。
【0023】
収集されたデータはアルゴリズム・フィルタリング動作28に向けて報告される26。アルゴリズム・フィルタリング動作28は、報告されたデータに対し、統計学的解析を行って、該データが問題を起こす可能性を示している(即ち疑わしい)か又は脅威であるかどうかを判断する。アルゴリズム・フィルタリング動作28によって実行される統計学的解析は、複数の異なるセッションにわたるデータ・フローのパケット・トラフィックの性質に関して報告されたデータによって明らかになる、アドレス・スイープ攻撃、ポートスキャン攻撃、及びサービス拒否攻撃のインスタンスを捕捉するように設計される。この目標を達成するために、アルゴリズム・フィルタ・セット30が、多数のセッションにわたって発生する認識済みネットワーク脅威を識別し、検出し、抑止するように設計され又は仕立てられる。次いでこれらのアルゴリズム・フィルタ30は検出エンジン・セット32に供給され、複数の認識済みセッション攻撃シナリオ(アドレス・スイープ、ポートスキャン、及びサービス拒否攻撃など)の各々1つに対し1つのエンジンが実装される。各検出エンジン32はまた、状態管理部20により個々のセッションにおけるパケット・トラフィックに関して収集された報告済26データ(又はそのサブセット)と共に、多数の異なるセッションにわたるパケット・トラフィックについての情報を受信する。報告済26データをアルゴリズム・フィルタ30に対し統計学的な手法で評価することにより、各検出エンジン32は、ネットワークが現時点でマルチセッション攻撃下にあるかどうかについての結論に達することが可能である。次いでアルゴリズム・フィルタリング動作28内の管理部34が、適切なフィードバック36を状態管理部20に提供することにより、検出エンジン32の結論を踏まえて機能する。データ・フロー中の多数のセッション・パケット・トラフィックからの脅威が検出された状況においては、危険なパケットはシステム10によりブロックすることができ、及び/又はそうしたパケットに関係するセッションはシステム10により終了させることができる。
【0024】
セキュリティ・リスクに合わせて仕立てられ又は調整される柔軟性及び能力の継続を保証するために、アルゴリズム・フィルタリング動作は、(ハードウェアの状態管理とインタフェースする)特化可能なソフトウェア・アプリケーションとして実装されることが好ましい。このようにして、脅威検出能力もまた、必要に応じて拡張することが可能である。アルゴリズム・フィルタリング動作により実行される機能を制限し、ハードウェア上で効率的且つ迅速に実行することが可能な状態管理にできるだけ多くの機能(脅威検出動作に留まらず)を入れ込むことにより、付加的に、全体としてのパケット処理速度を高く保ち、動作がライン速度で実行されることを可能にすることができる。
【0025】
システム10により提供される第2のインライン機能は、深いレベルのパケット検査を容易にする、ある形式のステートフル・パターン・マッチングを実装するトリガー・フィルタ機能50を備える。トリガー・フィルタ50は、データ・フロー14の能動的監視と共同して2つのフィルタリング動作を実行する。第1に、パケットヘッダ・マッチング動作52が各パケットを観察し、そのヘッダフィールド値が危険トラフィックの疑いを生じさせるかどうかを判断する。この動作は、固定ヘッダフィールド(例えば宛先及びソースIPアドレス、宛先及びソース・ポートなど)を確認して、攻撃を示す情報の存在を調べることを含む。例えば、パケットはヘッダ情報に基づいて分類することができる。次いでこの分類を単独に用いてフィルタリングを行うことが可能であり、また次に論じる他のフィルタリング動作を行う時のコンテキストを提供するために用いることが可能である。第2に、パケットコンテンツ・マッチング動作54が各パケットを観察し、コンテンツ(文字)ストリング及び/又はその正規表現値が危険トラフィックの疑いを生じさせるかどうかを判断する。この動作は、パケット・ペイロード要素を、攻撃に関係するとして識別されたストリング及び表現にマッチングすることを含む。パケットヘッダ・マッチング動作52及びパケットコンテンツ・マッチング動作54は互いに関連して動作し、検出されたヘッダフィールド値とコンテンツ・ストリング/正規表現値との組み合わせに基づいて、疑わしいパケット・トラフィックを検出するという利点を持つことが認識されるであろう。脅威が検出された状況においては、危険なパケットはシステム10によりブロックすることができ、及び/又はそうしたパケットに関係するセッションはシステム10により終了させることができる。
【0026】
上記の説明は、危険であるか又は疑わしいトラフィックを見つけ出す(そしてその後当該トラフィックをブロックする)トリガー動作に焦点を当てているが、幾つかの状況においては、「良性の」トラフィックの質及び特徴を見つけ出すようにトリガーを実装し、またフィルタを設計できるというような場合もあろう。この場合においては、「良性」基準を満たすとして識別されることに失敗したパケットが全てシステム10によりブロックされ、識別された良性トラフィックが通過を許されることになる。
必要なタスクを最大可能速度(データ・フローのライン速度を超えることが好ましい)で実行する能力を保証するために、トリガー・フィルタ機能はアプリケーション特化ハードウェア部品として実装されることが好ましい。より具体的には、並行処理アーキテクチャにおける複数のハードウェア実装パターン・マッチング・コンポーネントの使用を通じて、高速パス・パターン・マッチングのためのプロセスが実行される。この設定はシステムがライン速度で動作することを可能にし、更に将来的な拡張容易性を提供する。
【0027】
トリガー・フィルタ機能50の動作を補助するために、パケットヘッダ・マッチング動作52とパケットコンテンツ・マッチング動作54の両方に、フィルタリング基準(即ち規則)54が与えられる。これらの規則54は、検出トリガー56と検出例外58の両方を含む。検出トリガー56とは、単一セッションのパケットのペイロード要素内のマッチング済存在がネットワークへの脅威を示す1つ又はそれ以上のヘッダフィールド値、コンテンツ・ストリング、及び/又は正規表現値を、単独に又は互いに組み合わせて識別することである。検出例外58とは、単一セッションのパケットのペイロード要素内のマッチング済存在が、関心の対象となりうる間、ネットワークへの脅威を示すと見なされてはならない1つ又はそれ以上のヘッダフィールド値、コンテンツ・ストリング、及び/又は正規表現値を、単独に又は互いに組み合わせて識別することである。検出トリガー56及び検出例外58を翻訳してフィルタリング基準(即ち規則)54とするために翻訳機能60が与えられ、該フィルタリング基準は、トリガー・フィルタ機能50のパケットヘッダ・マッチング動作52及びパケットコンテンツ・マッチング動作54に供給され、それらによって活用される。この翻訳は、例えば、パケットヘッダ・マッチング動作52及びパケットコンテンツ・マッチング動作54による実装のための、より低いレベルのマシンコードにデータを変換することを含むことができる。
【0028】
検出トリガー56及び検出例外58は、特に認識済み単一セッション型ネットワーク脅威の識別、検出、及び抑止のために設計され又は仕立てられた検出シグニチャ・セット62から派生する。例えば検出シグニチャ62(例えばセキュリティ規則、ポリシー、及びアルゴリズムを備える)を設計して、検出された脆弱性によるネットワーク損害を軽減するか又は回避することができる。このような検出シグニチャ62は、例えばマシン(ホスト)製造業者、サービス提供業者、インターネットなどを含む数ある中のいずれか1つの周知の作成元から得ることができる。付加的に、シグニチャ62は、保護されたネットワークの管理者によって作成されることもできる。更に又、シグニチャ62は、脅威情報(例えばワーム、ウイルス、トロイの木馬、サービス拒否攻撃、Access、Failure、Reconnaissance、他の疑わしいトラフィックなど)を世界中から収集し、その情報を解析して、収集された脅威からのネットワーク損害を軽減するか又は回避するために他者によって用いられることが可能となる検出シグニチャ62を設計する仕事を行っている、シグニチャ作成に従事する事業体により供給されることもできる。
【0029】
検査されたトラフィックがもたらすネットワークに対する脅威の可能性を検出するために、検出シグニチャ62は、概説すると、1つ又はそれ以上の抽出済パケット特徴により満たされねばならない基準(例えばTCP、HTTP、及びURI関連基準)を定義するオブジェクトを含む。例として、各検出シグニチャ62は以下のオブジェクト即ち、
− メタ・データ:シグニチャの名称、識別番号、カテゴリ、及びクラスを説明するものと、
− アクション・セット:脅威が検出された場合にシステム10により実行されるべき1つ又はそれ以上のアクション(許可する、拒否する、ログを取る、ブロックする、終了させるなど)の定義と、
− クエリ:脅威を受けており、且つシグニチャが適用される対象である1つ又はそれ以上の特定のネットワーク・コンポーネント(マシン・セット)の定義(又は識別番号)と、
− シグニチャ定義:脅威が識別されるために合致されねばならない基準セット及びそれと共に検討されねばならないいずれかの関係パラメータと、
を含むことができる。
【0030】
セキュリティ・リスクに合わせて仕立てられ又は調整される柔軟性及び能力の継続を保証するために、上記のフィルタ基準管理に関連する動作は(ハードウェアのトリガー・フィルタ機能とインタフェースする)特化可能なソフトウェア・アプリケーションとして実装されることが好ましい。このようにして、システムの脅威検出能力は、必要に応じて拡張することが可能である。
トリガー・フィルタ機能50によって実行されるフィルタリング比較動作は、パケットレベル及び/又はセッションレベルの一方又は両方で実装されることが好ましい。パケットレベルにおいては、検査・フィルタリング動作は、検出シグニチャの規則を適用する際に各パケットを個別に検討する。セッションレベルにおいては、検査・フィルタリング動作は、検出シグニチャの規則を適用する際に、複数の関係パケットをまとめて検討する。セッションレベルでの比較を補助するために、システム10は格納済みパケット関連履歴データに関する状態情報に依拠することができる。セッションレベルでの比較については、比較及びフィルタリングは調査下にある現時点のパケットの抽出されたパケット特徴(ヘッダ及びペイロード)ばかりでなく、パケット関連履歴データも検討する。シグニチャ62基準と、抽出されたパケット特徴及びパケット関連履歴データの組み合わせとの間に合致が見られた場合には、ネットワーク14に対する脅威の可能性が検出される。
【0031】
システム10により提供される第3のインライン機能は、パケット・ハンドラ機能70を含む。パケット・ハンドラ機能70は、状態管理部20及びトリガー・フィルタ機能50が達した評価及び結論に応答して、ゲートキーパーとして機能し、パケット及び/又はセッションがどのように処理されるかを判断する。より具体的には、パケット・ハンドラ機能は、状態管理部20及びトリガー・フィルタ機能50の解析・調査結果をコンパイルして、ある種のパケットが関心ある対象であるかどうかを判断し、次いでそのパケットに対して適切なアクションを取る。関心ある対象と判断されたパケットに対して、3つの処理オプションが利用可能である。第1に、あるパケット又はセッションに関して、状態管理部20もトリガー・フィルタ機能50も、いかなる脅威、危険又は疑いをも検出することができなかった限りにおいて、当該パケット・トラフィックはデータ・フロー14に沿って通過72し、そのまま通行することが許可される。第2に、あるパケット又はセッションに関して状態管理部20又はトリガー・フィルタ機能50のどちらかが明らかな脅威又は危険を検出した限りにおいて、当該パケット・トラフィックはブロックされ、データ・フロー14から除去74される。第3に、あるパケット又はセッションに関して状態管理部20又はトリガー・フィルタ機能50のどちらかが脅威又は危険の疑いを検出した限りにおいて、当該パケット・トラフィックはデータ・フロー14から抽出76され、その後ここでより詳細に論じられるより慎重な調査に当てられる。
データ・フローを通過するパケットに関するソーティング決定を下すように迅速に動作する能力を保つために、このパケット・ハンドラ機能はハードウェアに実装されることが好ましい。
【0032】
システム10により提供される第4のインライン機能は、フロー制御機能80を含む。フロー制御機能80は、何らかのプログラム可能な又は設定可能な優先度に基づいて、データ・パス14の中のトラフィック・フロー出力を成形するように機能する。トラフィック成形は、主に、あるパケット・トラフィックがデータ・パス14の中を通過することを許された速度を加速させる(又は逆に減速させる)ことによって達成される。例えば、既知の確認済み良性トラフィックを、データ・パス14の中で優先的に伝送させることができる。同様にして、既知の基幹アプリケーションに関係するパケット・トラフィックに、他の重要性の低いトラフィックより高い優先度を与えることができる。より一般的には、ある種のトラフィックを減速して、それがある閾値容量を超過しないようにすることが可能である。このことは、下流リソースのオーバーランニング又はより高い優先度のトラフィックへの干渉を防止する役割を果たす。
データ・フローを通過するパケットに関する処理決定を下すように迅速に動作する能力を保つために、このフロー制御機能はハードウェアに実装されることが好ましい。
【0033】
疑わしいものとして識別され、次いでパケット・ハンドラ機能70によりデータ・フロー14から抽出76されたパケット・トラフィックに関して、最終処理決定を下す前に、当該トラフィックに対するより慎重且つ徹底した調査が行われる。この更なる調査は、ライン外の脅威検証機能100を用いて実行される。「ライン外」とは、そのパケット・トラフィックがメイン・データ・フロー14から離れて処理されることを意味する。脅威検証機能100は、上記で詳細に論じられたインラインのトリガー・フィルタ機能50と類似した形で動作する。しかしながら、実行される詳細な調査のレベルに関連した主要な動作上の違いが存在する。トリガー・フィルタ機能50はインラインで動作しなければならないことから、フィルタリング基準(即ち規則)54は本質的に、ライン速度での実装に合わせて設計されねばならない(上記の特化されたハードウェア・ソリューションを用いることが好ましい)。この設計基準は本質的に、トリガー・フィルタ機能50が、その検出努力を、疑いがあり明らかに危険な又は脅威を与えるパケット・トラフィックを迅速に識別するように設計された、さほど徹底的でない調査及び評価に絞り込むことを強いるものである。この調査の性質は、更により詳細な解析によれば良性トラフィックと判断されるようなトラフィックの幾らかを不可避的に疑わしいとして識別することになる。しかしながら、ライン外脅威検証機能100の目的は、この疑わしいトラフィックをより徹底的に評価して、疑わしいトラフィックの中の良性部分を分離し、データ・フロー14に戻す102ことである。この目的のために、特化可能なソフトウェア・アプリケーションとして実装し、セキュリティ・リスクのより徹底的且つ慎重な評価に合わせられ又は調整される柔軟性及び能力の継続を保証することは利点を持つ。
【0034】
ソフトウェアベースの実装であることを原因の一端として、脅威検証機能100は、トリガー・フィルタ機能50とはやや異なった評価プロセスを実装する。より具体的には、脅威検証機能100はプロトコル・デコーダ及び正規表現マッチングを用いて詳細な脅威解析を実行する。このことは、トリガー・フィルタリング評価に比べてより多くの時間及びリソースを要するが、遥かに正確な脅威判断をもたらす。この動作を実装するため、脅威検証機能100に供給されるフィルタリング基準(即ち規則)108は、インラインのトリガー・フィルタ機能50に供給される規則54に比べて遥かに包括的であり且つ識別力がある。抽出された76疑わしいトラフィックの評価がライン外で実行され、調査されるトラフィックの容量が著しく減少されていることから、脅威検証機能100には、各パケットがネットワークに対して本当に脅威又は危険を示すかどうかをより慎重に検討するために、付加的な時間がかけられる。関心あるプロトコル及び正規表現に関連する検出検証110が与えられる。次いで翻訳機能112が検出検証110を翻訳してフィルタリング基準(即ち規則)108とし、これが脅威検証機能100に供給され、それらによって活用される。検出検証110は、特に認識済み単一セッション型ネットワーク脅威の識別、検出、及び抑止のために設計され又は仕立てられた上記と同じ検出シグニチャ・セット62から派生する。
【0035】
脅威検証機能100は、疑わしいトラフィックに対するより慎重な解析に応答して、3つの処理オプションから1つを選択する。第1には、そのパケット・トラフィックが良性であると確認された限りにおいて、それはデータ・フロー14に戻される102。第2には、明らかな脅威又は危険が確認された限りにおいて、そのパケット・トラフィックはブロックされ除去される114。第3には、(良性か脅威であるか)明確な判断が下せなかった限りにおいて、そのパケット・トラフィックはデータ・フローに戻される102が、そのトラフィックのコピーが渡されて116、その後更なる検討及び処理が行われ、警報が発せられる必要があるかどうかが判断される。
【0036】
トリガー・フィルタ機能50によって実行される解析と、脅威検証機能100によって実行される解析との間の違いのより良好な理解は、以下を検討することによって得られよう。トリガー・フィルタ機能50によって用いられるフィルタリング基準は、受信されたパケット・トラフィックを比較的高速で調査できるように、ハードウェアベースのトリガー機構として実装され、ここでは、実質的に全ての疑わしいトラフィックを捕捉するように設計され、処理能力が制限されたフィルタリングが用いられており、フィルタが危険なトラフィックの他に幾つかの良性のトラフィックまで付加的に不可避的に誤って捕捉するであろうと理解される(即ち、正確性は比較的低く、数多くの偽陽性が存在することになろう)。例として、このレベルのスクリーニングには、より複雑性の低いアルゴリズム及びプロセスを用いてより高速で実行することが可能なヘッダフィールド比較及びトリガー・コンテンツ検索(即ち短ストリング比較)が関与しており、スクリーニング済み出力はよりエラーを含みやすい。これに対し、脅威検証機能100によって用いられるフィルタリング基準の方は、パケット・トラフィックの疑わしい部分をより低速度で調査することを可能にするソフトウェアベースの確認機構として実装され、ここでは、疑わしいトラフィックをより慎重に調査し、脅威を与える又は危険である可能性が最も高いトラフィックを識別するように設計された、より複雑な処理が可能なフィルタリングが用いられており、ここでも脅威検証機能100が幾つかの良性のトラフィックまで不可避的に誤って捕捉するであろうことが理解される(即ち、正確性は比較的高いものの、最小限の数の偽陽性が存在することになろう)が、それが起きる可能性は、トリガー・フィルタ機能50と共に経験されるものより著しく低い。例として、この第2のレベルのスクリーニングには、より複雑性の高いアルゴリズム及びプロセスを用いたより低速度でのプロトコル・デコーダ及び正規表現マッチング(即ち長ストリング比較)が関与しており、スクリーニング済み出力はよりエラーを含みにくい。
【0037】
脅威検証機能100によって渡された116(依然として疑わしい)パケット・トラフィックのコピーに対して、数多くの可能なアクションを取ることができる。例えば、警報120を発することができ、疑わしいパケット・トラフィックのコピーをネットワーク管理者に配信して更なる調査を受けさせることができる。或いは又、ライン外のリスク評価機能130により、疑わしいパケット・トラフィックを評価することも可能である。リスク評価機能130は、疑わしいパケット・トラフィックがネットワーク内に存在するマシン及びデバイスに対して識別可能で具体的な危険性を示すかどうかを評価するように動作する。この判断を補助するために、システム10により、保護されたネットワーク内に存在するマシン及びデバイスの各々、及びそれらの互いに対する相互接続及び動作上の関係に関する情報を格納した資産データベース132が維持される。例えば、資産データベース132は、ネットワーク中のマシン(ホスト)、ホストにより提供されるサービス、及びネットワーク構成の観点でこれらのマシン及びサービスに関係するコンピュータシステム並びにネットワークデバイスの潜在的な脆弱性を識別する、企業(即ち保護されたネットワーク)指定データを格納することが好ましい。このデータは、例えば従来の手法で保護されたネットワークを評価するように動作する、独立した、恐らくは従来技術の、脆弱性評価スキャナデバイスの使用を含む、数ある中のいずれか1つの周知の方法で収集することができる。次いでリスク評価機能は、疑いを引き起こした検出シグニチャ(より詳細には、シグニチャの中の脅威を受ける1つ又はそれ以上のネットワーク・コンポーネント(マシン・セット)情報)を、ネットワーク内の資産の観点から評価して、検出シグニチャの適用を通じて疑わしいと検出されたパケット・トラフィックにより、どのタイプのネットワーク資産が脅威を受けているかを判断する。データベース132に格納された情報により判断されたときに、保護されたネットワークがいかなる脅威を受けたマシン又はデバイスも持たない場合は、疑わしいトラフィックはネットワークにとって殆ど懸念材料とならないか又は全く懸念材料とならず、無視することが可能である。しかしながら、保護されたネットワークが疑わしいトラフィックにより脅威を受ける可能性がある資産を有する限りにおいては、損害のリスクを低減するか又は解消するために、トラフィックが以後ブロックされて除去されるか、又はそれに対して警報が出されて、ネットワーク/セキュリティ管理者に脅威の可能性があることが通知される。この状況においては、警報120を発して、疑わしいパケット・トラフィックをネットワーク管理者に配信して更なる調査を受けさせることができる。
【0038】
これより再び、アルゴリズム・フィルタリング動作28への参照がなされる。より具体的には、検出エンジン32が報告された26データをアルゴリズム・フィルタ30に照らして統計学的な手法で評価し、ネットワークが現時点でマルチセッション攻撃下にあるかどうかの結論を出すということが想起されよう。この評価が攻撃の存在又は非存在を最終的に確立することに失敗することがありうる。そのような状況においては、攻撃の疑いが浮上する。この疑いに対処するために、検出エンジンは、翻訳機能60に転送される疑い警報170を発するように構成される。これに応答して、翻訳機能60が、その翻訳動作を変更するか又は調整して、検出トリガー56及び検出例外58の翻訳をフィルタリング基準(即ち規則)54へと作り替え、そのことによりトリガー・フィルタ機能50のパケットヘッダ・マッチング動作52及び/又はパケットコンテンツ・マッチング動作54がマルチセッション攻撃の存在の可能性をより感知し易くすることができる。このようにして、パケットヘッダ・マッチング動作52及び/又はパケットコンテンツ・マッチング動作54に対して或る制御が加えられ、アルゴリズム・フィルタリング動作28により行われる統計学的解析に基づいてその存在が疑われるマルチセッション攻撃の発見が試みられる。
【0039】
システム10は、保護されたネットワークのネットワーク要素として構成されることが好ましい。それにより、システム10は、外部の世界(すなわち保護されたネットワークの外部の信頼できない世界)と接続することを可能にする幾つかの外付け物理的インタフェースを含むことになる。例として、信頼できない世界は、広域ネットワーク(WAN)、仮想プライベートネットワーク(VPN)サーバ、ローカルエリアネットワーク(LAN)クライアント、無線又はリモートアクセスサーバ、及び信頼できないネットワーク(インターネットなど)のうち、いずれか1つ又はそれ以上を含む。システム10には、保護された(信頼できる)ネットワークの要素との接続を可能にする幾つかの内蔵物理的インタフェースもまた含めることができる。例として、保護されたネットワークの要素は、ルータ、特殊なタイプのサーバ(例えばHTTP、SMTP、FTP、DNAなど)、イントラネット、パーソナルコンピュータ、及びネットワークゾーンを含むことができる。内蔵又は外付けの物理的インタフェースは、信頼できるネットワークと信頼できないネットワークとの相互接続を構成するに当たり、所望に応じて接続できることが認識されよう。
【0040】
システム10は、その動作をサポートする適切な物理的プラットフォーム上に実装されることが好ましい。プラットフォームは、システムがセキュリティ用途に適した実行環境を提供することを可能にするのに必要な、基礎となるハードウェア、操作システム、及びコア・インフラストラクチャ設備を備える。この実行環境は、オペレーション、アドミニストレーション、メンテナンス及びプロビジョニング設備、セキュリティ用途の実行をサポートする埋め込みオペレーティングシステム、及びハードウェア(例えばシャーシ、電源、拡張能力、回路カードサポートなど)を含む。上では好ましい実装が論じられたが、システム10の機能は、ハードウェア上のプラットフォームのみに実装することができ、ソフトウェア上のプラットフォームのみに実装することができ、又はハードウェアとソフトウェア両方の組み合わせにおけるプラットフォームに実装することもできる。
【0041】
このシステムのトリガー・フィルタ機能50又は脅威検証機能100のいずれかによって実行される比較動作及びフィルタリング動作に関連して、フィルタリング基準における使用又はこれと関係する使用を目的として、幾つかの処理機能を検討し評価することができる。OSIレイヤー1においては、パケット通信のための物理的ハードウェア・インタフェースを検討することができる。OSIレイヤー2においては、イーサネット(登録商標)上のソース/宛先アドレス、VLAN PRI/CFI、VLAN識別子及びイーサネット(登録商標)タイプ、並びにMPLSラベルなどのデータリンクに関連するコード化情報、アドレス情報、及び送信情報を検討することができる。OSIレイヤー3においては、IPフィールド(例えばソース/宛先アドレス、ペイロード長、フラグビット、ヘッダ長、IDフィールド、オフセット・フィールド、オプション、プロトコル・フィールド、サービスタイプ・フィールド、有効期限フィールド、及びバージョン・フィールド)、及びARPフィールド(送信者及び標的のMACアドレス又はプロトコル・アドレス、プロトコル又はハードウェアのタイプ又は大きさ)などのネットワークに関連する転送ルート情報、メッセージ処理及び送信情報を検討することができる。OSIレイヤー4においては付加的に、TCPフィールド(ソース/宛先ポート、データ長、ヘッダ長、確認番号、フラグ、シーケンス番号、緊急ポインタ、ウインドウ及びチェックサム)、ICMP(タイプ、コード、シーケンス、ID、データ長、チェックサム、icmp.コード)、及びUDP(ソース/宛先ポート)などの転送関連の配信サービス情報及び品質情報を検討することができる。処理機能は、付加的に、HTTP(要求ライン、メソッド、URI、プロトコル、ホスト、コンテンツ長、ボディを含む全てのヘッダフィールド)、DNS、SMTP、SNMP、SMP、FTPなどのプロトコル・デコード情報を評価することができる。更に又、処理機能は、固定ストリングの固定オフセット、ストリング変数の固定オフセット、正規表現の固定オフセット、正規表現の変数オフセット、事象の集合、事象のシーケンス、フラグメンテーション、接続状態、フロー再組み立て、正規化技術(重複フラグメントの検出及び除去、回避技術)、及び16進法並びにunicodeデコーディングを評価することができる。
【0042】
本発明の方法及び装置の好ましい実施形態が添付の図面に示され、上記の詳細な説明において説明されたが、本発明は開示された実施形態に限定されるものではなく、添付の特許請求の範囲より示され且つ定められる本発明の精神から逸脱することなく無数の再配置、修正、及び置換が可能であることが理解されるであろう。
【特許請求の範囲】
【請求項1】
ネットワーク防衛システムであって、
パケット・データ・フローに関してインラインに接続され、前記データ・フロー上に現時点で存在している複数のセッションを追跡し、前記複数のセッションの各々についてのパケット関連履歴データを保管するように動作可能な状態管理部と、
前記追跡された複数のセッション及び前記保管されたパケット関連履歴データに対する統計学的解析処理であって、第1のセッション内のパケットに関連する情報と第2のセッション内のパケットに関連する情報について、前記第1及び第2のセッションの両方からのデータ・フローにおけるパケットが、保護されたネットワークに対するマルチセッション攻撃の脅威であることを表していると判断することにより前記情報を評価する統計的解析処理を行うアルゴリズム・フィルタと、
を含むシステム。
【請求項2】
同じくパケット・データ・フローに関してインラインに接続され、前記マルチセッション攻撃の脅威の存在に応答して脅威パケットをブロックするように動作可能なパケット・ハンドラをさらに含むことを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項3】
前記パケット・ハンドラがさらに、前記マルチセッション攻撃の脅威の存在に応答して脅威セッションを終了させるように動作可能であることを特徴とする請求項2に記載のネットワーク防衛システム。
【請求項4】
前記保護されたネットワークへの前記マルチセッション攻撃の脅威が、アドレス・スイープ攻撃、ポートスキャン攻撃、及びサービス拒否攻撃からなるグループから取られた脅威を含むことを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項5】
前記アルゴリズム・フィルタはさらに、追跡されたセッション及び保管されたパケット関連履歴データに対する統計学的解析処理であって、前記第1及び第2のセッションの両方からのデータ・フローにおけるパケットが前記保護されたネットワークに対してマルチセッション攻撃の脅威であるかどうかについて決定することにより、前記第1のセッション内のパケットに関連する情報と前記第2のセッション内のパケットに関連する情報とを評価する統計学的解析処理を行うことを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項6】
同じくパケット・データ・フローに関してインラインに接続され、前記アルゴリズム・フィルタの疑い判断に応答して、多数のセッションにわたる脅威パケットを検出するために設計された基準に照らして、データ・フロー中の疑わしいパケットにフィルタリングを行うトリガー・フィルタと、
同じくパケット・データ・フローに関してインラインに接続され、検出された脅威に応答して脅威パケットをブロックするように動作可能なパケット・ハンドラと、
をさらに含むことを特徴とする請求項5に記載のネットワーク防衛システム。
【請求項7】
前記トリガー・フィルタがさらに、個々のセッションの中の脅威パケットを検出するために設計された基準に照らして、データ・フロー中の疑わしいパケットにフィルタリングを行うことを特徴とする請求項6に記載のネットワーク防衛システム。
【請求項8】
前記パケット・ハンドラは、ハードウェアに実装されたことを特徴とする請求項6に記載のネットワーク防衛システム。
【請求項9】
前記トリガー・フィルタがさらに、個々のセッションにおけるデータ・フロー中のパケットが疑わしいかどうかを判断し、前記パケット・ハンドラがさらに、更なる調査のために、疑わしいパケットをデータ・フローから抽出することを特徴とする請求項7に記載のネットワーク防衛システム。
【請求項10】
前記パケット・ハンドラから前記抽出されたパケットを受信し、前記疑わしい抽出されたパケットが脅威を与えるものであるかどうかを解明する目的で、前記インラインのトリガー・フィルタによって使用される基準よりも包括的な基準をもってフィルタリング動作を実装する脅威検証機能部をさらに含むことを特徴とする請求項9に記載のネットワーク防衛システム。
【請求項11】
前記脅威検証機能部がさらに、前記疑わしい抽出されたパケットが脅威を与えるものでないと判断された場合、前記トリガー・フィルタの後、疑わしい抽出されたパケットを前記データ・フローに戻すように動作することを特徴とする請求項9に記載のネットワーク防衛システム。
【請求項12】
どのタイプのネットワーク資産が脅威であるかという観点で前記疑わしい抽出されたパケットを調査し、前記パケットがネットワーク内に識別可能に存在する資産に対し何らかのリスクを示すかどうかを判断するように動作するリスク評価機能部をさらに含むことを特徴とする請求項10に記載のネットワーク防衛システム。
【請求項13】
前記判断は、前記システムによって管理される資産データベースによってなされることを特徴とする請求項12に記載のネットワーク防衛システム。
【請求項14】
前記資産データベースは、前記システム内に存在する装置及び機器の各々における情報とともに、これら装置及び機器間の相互の接続及び作動関係についての情報を含むことを特徴とする請求項13に記載のネットワーク防衛システム。
【請求項15】
前記脅威検証機能部は、プロトコルデコーダと前記疑わしい抽出されたパケットが脅威を与えるものであるかどうかを判断するための正規表現マッチング機能とを有することを特徴とする請求項10に記載のネットワーク防衛システム。
【請求項16】
前記脅威検証機能部は、ソフトウェアに実装されたことを特徴とする請求項15に記載のネットワーク防衛システム。
【請求項17】
前記パケットのデータ・フローに関してインラインに接続され、前記データ・フローに沿ったパケットの通過割合を調整するフロー・コントローラーを更に有することを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項18】
前記フロー・コントローラーは、所定のプログラムないし設定可能な優先順位に基づいて前記データ・フローに沿ったパケットの通過割合を調整することを特徴とする請求項17に記載のネットワーク防衛システム。
【請求項19】
前記フロー・コントローラーは、ハードウェアに実装されたことを特徴とする請求項18に記載のネットワーク防衛システム。
【請求項20】
前記状態管理部がハードウェアに実装され、
前記アルゴリズム・フィルタがソフトウェアに実装される、
ことを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項21】
ラインスピードにて前記パケットのデータ・フローのステートフル・インスペクションを実行する手段をさらに備えたことを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項22】
前記状態管理部は、前記データ・フローにおける個々のデータ・パケットが認識されたセッションに関連するかどうかを保障することを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項23】
前記パケット関連履歴データは、通過パケット・トラフィックの内容を含むことを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項24】
前記パケット関連履歴データは、個々のセッションにおける前記パケット・トラフィックについての情報を更に含むことを特徴とする請求項23に記載のネットワーク防衛システム。
【請求項25】
前記パケット関連履歴データは、複合差動セッション(multiple different sessions)を横断する前記パケット・トラフィックついての情報を更に含むことを特徴とする請求項24に記載のネットワーク防衛システム。
【請求項1】
ネットワーク防衛システムであって、
パケット・データ・フローに関してインラインに接続され、前記データ・フロー上に現時点で存在している複数のセッションを追跡し、前記複数のセッションの各々についてのパケット関連履歴データを保管するように動作可能な状態管理部と、
前記追跡された複数のセッション及び前記保管されたパケット関連履歴データに対する統計学的解析処理であって、第1のセッション内のパケットに関連する情報と第2のセッション内のパケットに関連する情報について、前記第1及び第2のセッションの両方からのデータ・フローにおけるパケットが、保護されたネットワークに対するマルチセッション攻撃の脅威であることを表していると判断することにより前記情報を評価する統計的解析処理を行うアルゴリズム・フィルタと、
を含むシステム。
【請求項2】
同じくパケット・データ・フローに関してインラインに接続され、前記マルチセッション攻撃の脅威の存在に応答して脅威パケットをブロックするように動作可能なパケット・ハンドラをさらに含むことを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項3】
前記パケット・ハンドラがさらに、前記マルチセッション攻撃の脅威の存在に応答して脅威セッションを終了させるように動作可能であることを特徴とする請求項2に記載のネットワーク防衛システム。
【請求項4】
前記保護されたネットワークへの前記マルチセッション攻撃の脅威が、アドレス・スイープ攻撃、ポートスキャン攻撃、及びサービス拒否攻撃からなるグループから取られた脅威を含むことを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項5】
前記アルゴリズム・フィルタはさらに、追跡されたセッション及び保管されたパケット関連履歴データに対する統計学的解析処理であって、前記第1及び第2のセッションの両方からのデータ・フローにおけるパケットが前記保護されたネットワークに対してマルチセッション攻撃の脅威であるかどうかについて決定することにより、前記第1のセッション内のパケットに関連する情報と前記第2のセッション内のパケットに関連する情報とを評価する統計学的解析処理を行うことを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項6】
同じくパケット・データ・フローに関してインラインに接続され、前記アルゴリズム・フィルタの疑い判断に応答して、多数のセッションにわたる脅威パケットを検出するために設計された基準に照らして、データ・フロー中の疑わしいパケットにフィルタリングを行うトリガー・フィルタと、
同じくパケット・データ・フローに関してインラインに接続され、検出された脅威に応答して脅威パケットをブロックするように動作可能なパケット・ハンドラと、
をさらに含むことを特徴とする請求項5に記載のネットワーク防衛システム。
【請求項7】
前記トリガー・フィルタがさらに、個々のセッションの中の脅威パケットを検出するために設計された基準に照らして、データ・フロー中の疑わしいパケットにフィルタリングを行うことを特徴とする請求項6に記載のネットワーク防衛システム。
【請求項8】
前記パケット・ハンドラは、ハードウェアに実装されたことを特徴とする請求項6に記載のネットワーク防衛システム。
【請求項9】
前記トリガー・フィルタがさらに、個々のセッションにおけるデータ・フロー中のパケットが疑わしいかどうかを判断し、前記パケット・ハンドラがさらに、更なる調査のために、疑わしいパケットをデータ・フローから抽出することを特徴とする請求項7に記載のネットワーク防衛システム。
【請求項10】
前記パケット・ハンドラから前記抽出されたパケットを受信し、前記疑わしい抽出されたパケットが脅威を与えるものであるかどうかを解明する目的で、前記インラインのトリガー・フィルタによって使用される基準よりも包括的な基準をもってフィルタリング動作を実装する脅威検証機能部をさらに含むことを特徴とする請求項9に記載のネットワーク防衛システム。
【請求項11】
前記脅威検証機能部がさらに、前記疑わしい抽出されたパケットが脅威を与えるものでないと判断された場合、前記トリガー・フィルタの後、疑わしい抽出されたパケットを前記データ・フローに戻すように動作することを特徴とする請求項9に記載のネットワーク防衛システム。
【請求項12】
どのタイプのネットワーク資産が脅威であるかという観点で前記疑わしい抽出されたパケットを調査し、前記パケットがネットワーク内に識別可能に存在する資産に対し何らかのリスクを示すかどうかを判断するように動作するリスク評価機能部をさらに含むことを特徴とする請求項10に記載のネットワーク防衛システム。
【請求項13】
前記判断は、前記システムによって管理される資産データベースによってなされることを特徴とする請求項12に記載のネットワーク防衛システム。
【請求項14】
前記資産データベースは、前記システム内に存在する装置及び機器の各々における情報とともに、これら装置及び機器間の相互の接続及び作動関係についての情報を含むことを特徴とする請求項13に記載のネットワーク防衛システム。
【請求項15】
前記脅威検証機能部は、プロトコルデコーダと前記疑わしい抽出されたパケットが脅威を与えるものであるかどうかを判断するための正規表現マッチング機能とを有することを特徴とする請求項10に記載のネットワーク防衛システム。
【請求項16】
前記脅威検証機能部は、ソフトウェアに実装されたことを特徴とする請求項15に記載のネットワーク防衛システム。
【請求項17】
前記パケットのデータ・フローに関してインラインに接続され、前記データ・フローに沿ったパケットの通過割合を調整するフロー・コントローラーを更に有することを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項18】
前記フロー・コントローラーは、所定のプログラムないし設定可能な優先順位に基づいて前記データ・フローに沿ったパケットの通過割合を調整することを特徴とする請求項17に記載のネットワーク防衛システム。
【請求項19】
前記フロー・コントローラーは、ハードウェアに実装されたことを特徴とする請求項18に記載のネットワーク防衛システム。
【請求項20】
前記状態管理部がハードウェアに実装され、
前記アルゴリズム・フィルタがソフトウェアに実装される、
ことを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項21】
ラインスピードにて前記パケットのデータ・フローのステートフル・インスペクションを実行する手段をさらに備えたことを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項22】
前記状態管理部は、前記データ・フローにおける個々のデータ・パケットが認識されたセッションに関連するかどうかを保障することを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項23】
前記パケット関連履歴データは、通過パケット・トラフィックの内容を含むことを特徴とする請求項1に記載のネットワーク防衛システム。
【請求項24】
前記パケット関連履歴データは、個々のセッションにおける前記パケット・トラフィックについての情報を更に含むことを特徴とする請求項23に記載のネットワーク防衛システム。
【請求項25】
前記パケット関連履歴データは、複合差動セッション(multiple different sessions)を横断する前記パケット・トラフィックついての情報を更に含むことを特徴とする請求項24に記載のネットワーク防衛システム。
【図1】
【図2】
【図2】
【公開番号】特開2010−268483(P2010−268483A)
【公開日】平成22年11月25日(2010.11.25)
【国際特許分類】
【出願番号】特願2010−141647(P2010−141647)
【出願日】平成22年6月22日(2010.6.22)
【分割の表示】特願2004−551910(P2004−551910)の分割
【原出願日】平成15年11月7日(2003.11.7)
【出願人】(505167978)ティッピングポイント テクノロジーズ インコーポレイテッド (2)
【Fターム(参考)】
【公開日】平成22年11月25日(2010.11.25)
【国際特許分類】
【出願日】平成22年6月22日(2010.6.22)
【分割の表示】特願2004−551910(P2004−551910)の分割
【原出願日】平成15年11月7日(2003.11.7)
【出願人】(505167978)ティッピングポイント テクノロジーズ インコーポレイテッド (2)
【Fターム(参考)】
[ Back to top ]