Nothing Special   »   [go: up one dir, main page]

JPWO2016042587A1 - 攻撃観察装置、及び攻撃観察方法 - Google Patents

攻撃観察装置、及び攻撃観察方法 Download PDF

Info

Publication number
JPWO2016042587A1
JPWO2016042587A1 JP2016548452A JP2016548452A JPWO2016042587A1 JP WO2016042587 A1 JPWO2016042587 A1 JP WO2016042587A1 JP 2016548452 A JP2016548452 A JP 2016548452A JP 2016548452 A JP2016548452 A JP 2016548452A JP WO2016042587 A1 JPWO2016042587 A1 JP WO2016042587A1
Authority
JP
Japan
Prior art keywords
communication
terminal
simulation environment
management unit
malware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016548452A
Other languages
English (en)
Other versions
JP6081031B2 (ja
Inventor
河内 清人
清人 河内
鐘治 桜井
鐘治 桜井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Application granted granted Critical
Publication of JP6081031B2 publication Critical patent/JP6081031B2/ja
Publication of JPWO2016042587A1 publication Critical patent/JPWO2016042587A1/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本発明は、攻撃者が作成したマルウェアなどの不正プログラムを動作させ、その挙動や攻撃手法を観察するために構築された模擬環境である攻撃観察装置に関する。攻撃観察装置は、端末上でマルウェアからの通信に対して予め決められた応答を実行する低対話型模擬環境と、端末を模擬する仮想マシンによりマルウェアからの通信に対して応答を実行する高対話型模擬環境と、マルウェアからの通信に対する低対話型模擬環境の実行状態を監視し、低対話型模擬環境の実行状態に応じて、マルウェアからの通信を高対話型模擬環境へ切り替える通信管理部とを備える。

Description

本発明は、攻撃者が作成したマルウェアなどの不正プログラムを動作させ、その挙動や攻撃手法を観察するために構築された模擬環境である攻撃観察装置に関する。
従来、攻撃者が作成したマルウェアなどの不正プログラムを動作させ、その挙動や攻撃手法を観察するために構築された模擬ネットワークシステムにおいて、ネットワークシステム内で動作する端末またはサーバを模擬する方式(以降、模擬環境と呼ぶ)が知られている。例えば、特許文献1に記載されているように、マルウェアの感染端末から送信された通信データを入力とし、その内容に応じて応答データを決定し、返信する模擬プログラムによってシミュレートする方式が知られている。このような模擬環境を、以後、低対話型ハニーポット(低対話型模擬環境の一例)と呼ぶ。
また、例えば、特許文献2や非特許文献1に記載されているように、市販されている製品を利用した仮想化環境上で仮想マシンを稼働させ、それを模擬環境として利用する方式も知られている。このような模擬環境を、以後、高対話型ハニーポット(高対話型模擬環境の一例)と呼ぶ。
特開2009−181335号公報 特開2012−212391号公報
笠間 貴弘、他、"疑似クライアントを用いたサーバ応答蓄積型マルウェア動的解析システム、" 情報処理学会、マルウェア対策研究人材ワークショップ 2009(MWS2009) A7−2、(2009年10月).
低対話型ハニーポットでは、各模擬端末やサーバは、受け取った通信パケットの内容に対し、あらかじめプログラムで決められた方法で応答を返す。マルウェアから送信されたパケットに対して決められた応答を返すだけで良いため、処理の負荷が軽く、大量の端末やサーバを同時に模擬できるメリットがある反面、プログラムで処理できない内容(例えば、未知の攻撃)を含んだパケットを受け取った場合に、実物と同様に応答することができないという問題がある。また、マルウェア感染を伴う攻撃を受けたとしても、模擬環境内でマルウェアを動作させることができないという問題がある。
一方、高対話型ハニーポットでは、未知の攻撃やマルウェアの感染という先の課題に対しても対応可能である。しかし、これらを用いた模擬環境では、端末やサーバを1台模擬するために、実物と同等なリソース(CPU、メモリ、HDD等)を必要とするため、例えば、業務システム全体を模擬しようとすると、大量の端末やサーバを用意しなければならないという問題がある。
以上のように、従来技術では、大規模なシステムを精巧に模擬することができないという課題があった。
この発明は、上記のような問題点を解決するためになされたもので、業務システム等の大きなネットワークシステムであっても、少ない計算機資源で、かつ精巧に模擬可能な攻撃観察装置を実現することを目的とする。
上記で述べた課題を解決するため、本発明の攻撃観察装置は、マルウェアを動作させて前記マルウェアの攻撃を観察する環境である攻撃観察装置であって、端末上で前記マルウェアからの通信に対して予め決められた応答を実行する低対話型模擬環境と、前記端末を模擬する仮想マシンにより前記マルウェアからの通信に対して応答を実行する高対話型模擬環境と、前記マルウェアからの通信に対する前記低対話型模擬環境の実行状態を監視し、前記低対話型模擬環境の前記実行状態に応じて、前記マルウェアからの通信を前記高対話型模擬環境へ切り替える通信管理部とを備える。
本発明によれば、最初は低対話型ハニーポットで通信を処理させ、必要な場合のみ高対話型ハニーポットに切り替えて、高対話型ハニーポットの使用を抑えることができるため、大規模なシステムを模擬した攻撃観察装置を少ない計算機資源で実現できるという効果がある。
実施の形態1に係る攻撃観察装置の一構成例を示す構成図である。 通信管理部112とネットワーク111の構成について詳細に説明する図である。 低対話型ハニーポット部106の構成について詳細に説明する図である。 ハニーポット実行状態管理部115に格納されているハニーポット実行状態データの一例を示す図である。 端末状態遷移シナリオ蓄積部110に格納されている端末状態遷移シナリオの一例を示す図である。 高対話型ハニーポット実行コマンド蓄積部116に格納されている高対話型ハニーポット実行コマンド定義テーブルの一例を示す図である。 端末状態蓄積部109の一構成例を示す図である。 通信管理部112が他の端末と行なう通信と、通信管理部112内で実行する処理を示すシーケンス図である。 通信プロトコルの状態遷移の一例を示す図である。 低対話型ハニーポット802の動作の流れを示すフローチャートである。 通信処理プログラム303内の動作の流れを示すフローチャートである。 端末状態管理部108の動作の流れを示すフローチャートである。 端末状態管理部112で実行可能なコマンドの例を示す図である。 端末状態遷移シナリオ実行部107の動作の流れを示すフローチャートである。 実施の形態2に係る通信管理部112周辺のシステム構成の一例を示す図である。 本実施の形態3に係る通信管理部112周辺のシステム構成の一例を示す図である。 ARP応答パケットの一例を示す図である。 本実施の形態4に係る通信管理部112周辺のシステム構成の一例を示す図である。 本実施の形態4に係る低対話型ハニーポット部106の構成の一例を示す図である。 実施の形態4に係る低対話型ハニーポット部106の動作の流れを示すフローチャートである。 実施の形態4に係る通信処理プログラムの動作の流れを示すフローチャートである。 実施の形態5に係る通信管理部112周辺のシステム構成の一例を示す図である。
実施の形態1.
図1は、実施の形態1に係る攻撃観察装置の一構成例を示す構成図である。
図1において、攻撃観察装置であるハニーポットシステム101は、高対話型模擬環境である高対話型ハニーポット部103、低対話型模擬環境である低対話型ハニーポット部106、端末状態遷移シナリオ実行部107、端末状態管理部108、端末状態蓄積部109、端末状態遷移シナリオ蓄積部110、通信管理部112、実行状態管理部であるハニーポット実行状態管理部115、及び実行コマンド蓄積部である高対話型ハニーポット実行コマンド蓄積部116で構成されている。以下、高対話型ハニーポット部103と低対話型ハニーポット部106を総称してハニーポットと呼ぶ。
高対話型ハニーポット部103は、高対話型ハニーポットとして機能する仮想マシン群104、及び同仮想マシン群104を実行する仮想マシン実行環境105を格納する。低対話型ハニーポット部106は、低対話型ハニーポットとして動作する。端末状態遷移シナリオ実行部107は、ハニーポットシステム101内で模擬する各端末内で自発的に発生するファイル等の状態変化を端末状態管理部108に命令する。端末状態管理部108は、端末状態遷移シナリオ実行部107や低対話型ハニーポット部106からのコマンドに従い、各端末内のファイル等の状態を取得・変更する。端末状態遷移シナリオ蓄積部110は、各端末の状態遷移のシナリオを示す端末状態遷移シナリオを蓄積する。通信管理部112は、ハニーポット間、あるいはハニーポットと外部ネットワーク102との通信を中継・管理する。ハニーポット実行状態管理部115は、ハニーポットの現在の実行状態を示すハニーポット実行状態データを管理する。高対話型ハニーポット実行コマンド蓄積部116は、高対話型ハニーポット部103上で端末状態遷移シナリオを再現する際に起動するコマンド等を定義する高対話型ハニーポット実行コマンド定義テーブルを蓄積する。通信管理部112は、ネットワーク111を通じて仮想マシン群104と接続され、ネットワーク113を通じて低対話型ハニーポット部106と接続されている。また、ネットワーク114を通じて外部ネットワーク102と接続されている。
図2は、通信管理部112とネットワーク111の構成について詳細に説明する図である。
図2において、通信管理部112は、通信管理部112へのパケットを受信するパケット受信部207、通信管理部112からパケットを送信するパケット送信部208、ARP(Address Resolution Protocol)に対する偽装応答を返すARP応答部209、通信を中継するゲートウェイ部210、模擬端末の実行状態遷移時に、遷移前の通信状態を、遷移後の模擬端末上に再構築するために必要なデータを蓄積した通信復元用データ蓄積部211で構成されている。また、通信管理部112は、低対話型ハニーポット106とネットワーク113で接続され、ハニーポットシステム外とネットワーク114で接続されている。
図1中のネットワーク111は、図2において、高対話型ハニーポット部103内の仮想スイッチ205、各仮想マシン201〜202毎に仮想スイッチ205との間に張られたVLAN(Virtual Local Area Network)203〜204、仮想スイッチ205と通信管理部112とをtrunk接続するネットワーク206で構成されている。
図3は、低対話型ハニーポット部106の構成について詳細に説明する図である。
図3において、低対話型ハニーポット部106は、通信処理プログラム実行部301、通信処理プログラム蓄積部302を備える。通信処理プログラム実行部301は、TCP/IP(Transmission Control Protocol/Internet Protocol)やTLS(Transport Layer Security)といった共通的な通信プロトコルの処理、及びアプリケーション層通信を処理する通信処理プログラムの実行を行なう。通信処理プログラム蓄積部302は、一つ以上の通信処理プログラム303を格納する。なお、各通信処理プログラム303は、プログラム名で識別可能である。
図4は、ハニーポット実行状態管理部115に格納されているハニーポット実行状態データの一例を示す図である。
図4において、ハニーポット実行状態データは、端末ID401、通信処理プログラム名402、ファイルシステム名403、IPアドレス404、実行状態405、VLAN ID406で構成されている。
図5は、端末状態遷移シナリオ蓄積部110に格納されている端末状態遷移シナリオの一例を示す図である。
図5において、端末状態遷移シナリオは、シナリオの実施時刻501、実施対象とする模擬端末のIDを示す端末ID502、状態遷移を発生するために実施するコマンド503で構成されている。
図6は、高対話型ハニーポット実行コマンド蓄積部116に格納されている高対話型ハニーポット実行コマンド定義テーブルの一例を示す図である。
図6において、高対話型ハニーポット実行コマンド定義テーブルは、コマンド名601、コマンドを実施する端末の端末ID602、コマンドの実施時に起動する起動プログラム603、操作を実施する際のユーザ権限を持つユーザID604で構成されている。起動プログラム603には、605に示すように、起動プログラム603のコマンドに与えられる引数を参照する変数(図6では、$1)を指定することができる。
図7は、端末状態蓄積部109の一構成例を示す図である。
図7において、端末状態蓄積部109には、各模擬端末の仮想マシンイメージ701〜702が格納されている。仮想マシンイメージは、各模擬端末のファイルシステムのイメージをファイルとして保存したものである。このようなファイルシステムのイメージをファイルとして保存する方法は、例えば基本OSのddコマンドのように、HDD内の各セクタを順番に読み取り、ファイルに保存していくことなどで容易に実現可能である。
次に、実施の形態1に係る攻撃観察装置の動作について説明する。
はじめに、全体の動作の概要について説明する。本実施の形態1に係るハニーポットシステム101内で模擬される端末は、低対話型ハニーポット状態、高対話型ハニーポット状態の2通りの実行状態の間を遷移する。
通信管理部112は、本システム内で模擬する対象の端末を宛先とした通信が発生した場合、同端末の実行状態に応じ、低対話型ハニーポット部106、もしくは高対話型ハニーポット部103内の仮想マシン群104に通信データを中継する。
低対話型ハニーポット部106では、通信処理プログラム303に従い、送信されてきた通信データに対する応答を返す。もし処理方法について未定義の通信が来た場合等の理由により、通信処理プログラム303が高対話型ハニーポットへの切り替えが必要と判断した場合、宛先端末を模擬する仮想マシンが高対話型ハニーポット部103内で起動し、当該端末の実行状態は、高対話型ハニーポット状態に遷移する。以降の通信は、通信管理部112により、仮想マシンに転送される。
端末状態遷移シナリオ実行部107は、端末状態管理部108を操作することで、各模擬端末内の自発的な状態変更をシナリオにそって実施する。自発的な状態変更とは、模擬端末への通信とは無関係に発生する状態変化、すなわちファイルの変更であり、模擬端末上であたかも正規のユーザが活動を行なっているかのように見せかけることを目的としている。
次に、攻撃観察装置の各部の詳細な動作について説明する。はじめに通信管理部112の動作について図8を参照しながら説明する。
図8は、通信管理部112が他の端末と行なう通信と、通信管理部112内で実行する処理を示すシーケンス図である。
図8において、まず、端末1(801)が、模擬端末(IPアドレスがIP2)へ通信を行なう場合、端末1は、IP2を宛先として接続要求を送信する(803)。接続要求は、通信管理部112のパケット受信部207によって受信され、ゲートウェイ部210へと渡される。ゲートウェイ部210では、送信元とのコネクションを確立する。宛先IPアドレスをキーとして、ハニーポット実行状態管理部115内のハニーポット実行状態データ(図4)を検索し、同端末が模擬端末であることを確認すると、低対話型ハニーポット802に対し、通信管理部112から接続要求を行ない、コネクションを確立する(804)。つまり、端末から別の端末へのコネクションは、通信管理部112内のゲートウェイ部210によって終端され、2本のコネクションとなる。TCPだけでなく、TLS(Transport Layer Security)等の、さらに上位のプロトコルが構築するセッションも、通信管理部112で終端される。
その後、端末1(801)と低対話型ハニーポット(802)は、通信管理部112に通信を中継されながら通信を行なっていく(805〜815)。通信管理部112は、通信を中継しつつ、中継している通信のアプリケーション層の通信状態変化を監視し、状態遷移が発生した時の通信を通信復元用データ蓄積部211に保存する。
例えば、図8で例示している通信が、図9に示されるような状態遷移図で表されるような状態遷移を行なうアプリケーション層プロトコルを中継していたとする。
図9は、通信プロトコルの状態遷移の一例を示す図である。
図9の状態遷移の場合、ログイン(904)通信が発生した時に、通信状態が接続済(903)からログイン済(905)へと遷移することが判る。そのため、808でログインが成功後、809においてログインデータを通信復元用データ蓄積部211に保存しておく。なお、ログイン後に中継したコマンドは、図9の906の遷移に該当し、状態遷移を引き起こさないため、通信復元用データ蓄積部211には保存されない。
次に、815において、低対話型ハニーポット802へコマンド#nの通信を転送後、低対話型ハニーポット802からハニーポットの切替要求816が送られてくると、通信管理部112は、ハニーポット実行状態管理部115内のハニーポット実行状態データ(図4)内の模擬端末の実行状態を高対話型ハニーポット状態へと変更する(817)。そして、高対話型ハニーポット部103内に、新たな仮想マシンを起動し、他の仮想マシンとは独立したVLANを使い、仮想スイッチに接続させる(819)。
その後、通信管理部112は、起動した仮想マシンに接続を行ない(820)、通信状態を、直前まで低対話型ハニーポット802と端末1(801)との間で行われていた通信の状態まで復元させるため、通信復元用データ蓄積部211に保存しておいたログインデータを用い、ログイン要求を送信し(821)、ログイン応答を受け取る(822)。なお、821から822までの通信状態復元では、ハニーポット切替直前の通信状態を復元するため、コマンド#1〜コマンド#n−1までは復元対象としない。その後、最後に低対話型ハニーポット802へ送信したコマンド#n(823)を送信し、その応答であるコマンド#n結果(824)を端末1(801)へと転送する(825)。
このように、両端末間に配置され、それぞれの端末と別個のコネクションを張って二つのコネクション間でデータを転送する装置としてプロキシ−サーバなどが知られているが、これら公知の実施例と本実施の形態1が異なる点として、本実施の形態1における通信管理部112が、IPアドレスを偽装することで、どちらの端末からも、通信相手が通信管理部112であることを識別できないようにしている点が挙げられる。この動作は、各模擬端末への通信を開始する際に、通信元端末が相手のMAC(Media Access Control)アドレスをブロードキャストするARP(Address Resolution Protocol)要求に対し、通信管理部112のARP応答部209が通信管理部112のMACアドレスを応答することによって実現される。
本実施の形態1において、通信管理部112のパケット送信部208は、パケットをどのネットワーク上に流さなければならないかを決定する必要がある。そのため、パケット送信部208は、ハニーポット実行状態管理部115に格納されているハニーポット実行状態データを参照し、宛先IPに対応する模擬端末の実行状態を確認する。もし実行状態が低対話型であれば、低対話型ハニーポット802へ接続されたネットワーク(図2では、113)上にパケットを送信し、高対話型であれば、ハニーポット実行状態データ中から当該模擬端末が接続されているVLAN IDを取得し、同VLANに到着するように、VLAN IDをタグとして格納したL2フレーム(タグVLAN)に格納してパケットを送信する。
次に、図10を参照しながら、低対話型ハニーポット802の動作について説明する。
図10は、低対話型ハニーポット802の動作の流れを示すフローチャートである。
まず、ステップS101において、低対話型ハニーポット802は、パケットの到着を待つ。
次に、ステップS102において、低対話型ハニーポット802は、低対話型ハニーポット802にパケットが到着すると、宛先IPを取得する。
次に、ステップS103において、低対話型ハニーポット802は、取得した宛先IPをキーとして、実行状態管理部115に格納されているハニーポット実行状態データを検索し、同データに登録されている端末IDと通信処理プログラム名を取得する。
次に、ステップS104において、低対話型ハニーポット802は、取得した端末IDをパラメータとして与えて通信処理プログラム303を実行する。
ここで、通信処理プログラム303内での処理は、同プログラムが模擬するプロトコルによって詳細は変化するが、処理の流れは、図11のフローチャートに示すようなものとなる。
図11は、通信処理プログラム303内の動作の流れを示すフローチャートである。
まず、ステップS201において、通信処理プログラム303は、到着したパケットのデータを通信処理プログラム実行部301から受信する。
次に、ステップS202において、通信処理プログラム303は、受信したデータの解析を行ない、応答を返す、処理を終了する、あるいは高対話型ハニーポットへ切り替えるべきかを決定する。
次に、ステップS203において、通信処理プログラム303は、ステップS202でデータを解析した結果、高対話型ハニーポットへの切り替えが必要という結果になった場合、ステップS204に分岐し、実行結果に「切替要求」をセットして、プログラムは終了する。
次に、ステップS205において、通信処理プログラム303は、ステップS202でデータを解析した結果、処理の終了を決定した場合、ステップS206に分岐し、実行結果に「終了」をセットしてプログラムを終了する。また、ステップS202でデータを解析した結果、応答を返す場合、ステップS207に分岐する。
次に、ステップS207において、通信処理プログラム303は、受信したデータに対する応答を作成する上で、端末状態の参照もしくは変更が必要かどうかを判定する。例えば、応答に模擬端末内の何らかのファイルの内容を格納する必要があったり、あるいは受信したデータが何らかのファイルの変更を要求するコマンドであったりした場合などが該当する。端末状態の参照もしくは変更が必要と判断された場合、ステップS208に分岐し、端末状態管理部108を端末IDとコマンドをパラメータとして呼出し、必要な参照もしくは変更を実施する。
最後に、ステップS209において、通信処理プログラム303は、応答データを作成し、通信管理部112に送信する。送信されたデータは、通信管理部112のゲートウェイ部210を通じて宛先端末へと転送される。その後、通信処理プログラム303は、再びステップS201に戻り、次のデータが到着するのを待つ。
通信処理プログラムが終了すると、処理は、図10のステップS105に復帰する。
ステップS105において、低対話型ハニーポット802は、通信処理プログラムの実行結果を確認し、「切替要求」だった場合にはステップS106に分岐し、通信管理部112にハニーポット切替要求を通知する。その後、低対話型ハニーポット802は、再びステップS101に戻る。
次に、端末状態管理部108の動作について図12を参照しながら説明する。
図12は、端末状態管理部108の動作の流れを示すフローチャートである。
まず、ステップS301において、端末状態管理部108は、端末IDとコマンドを受信する。
次に、ステップS301において、端末状態管理部108は、受信した同端末IDをキーとして、実行状態管理部115に格納されているファイルシステム名を取得する。
次に、ステップS301において、端末状態管理部108は、取得したファイルシステム名を基に、同ファイルシステムが格納された仮想マシンイメージ上で与えられたコマンドを実行するための関数を選択し呼出す。このような関数は、例えば基本OSのmountコマンドのように、ファイルを仮想的なファイルシステムとして操作可能にするコマンドに適用されている技術を用いれば、作成することができる。
なお、本実施の形態1では、関数は、端末状態管理部108に関数として実装されているが、モジュールとして分け、ファイルシステム名でロードするモジュールを切り替えることも可能である。
また、本実施の形態1において、端末状態管理部112で実行可能なコマンドの例を説明する。
図13は、端末状態管理部112で実行可能なコマンドの例を示す図である。
図13にある通り、コマンドには操作対象とするファイル名等、パラメータを必要とするものがある。その場合、コマンド名と必要なパラメータで、一つの完全なコマンドとなる。なお、端末状態管理部112で実行可能なコマンドは、図13に示した例に限定されるものではない。
最後に、ステップS304において、端末状態管理部108は、関数を実行した処理結果を、呼出し元に返し、処理は終了する。
次に、端末状態遷移シナリオ実行部107の処理について図14を参照しながら説明する。
図14は、端末状態遷移シナリオ実行部107の動作の流れを示すフローチャートである。
まず、ステップS401において、端末状態遷移シナリオ実行部107は、システム起動時に、端末状態遷移シナリオ蓄積部110から端末状態遷移シナリオをロードする。端末状態遷移シナリオは、図5のように、実施時刻501、端末ID502、コマンド503を要素とする表形式で構成されている。
次に、ステップS402において、端末状態遷移シナリオ実行部107は、現在の時刻を取得する。
次に、ステップS403において、端末状態遷移シナリオ実行部107は、ステップS402で取得した時刻に一致する実施時刻501が記載された実施シナリオが端末状態遷移シナリオに有るか調べる。もし無ければ、ステップS402に戻る。
次に、ステップS404において、端末状態遷移シナリオ実行部107は、当該シナリオの端末ID502とコマンド503を取得する。
次に、ステップS405において、端末状態遷移シナリオ実行部107は、取得した端末IDをキーとして実行状態管理部115を検索し、当該IDの端末の実行状態を取得する。
次に、ステップS406において、端末状態遷移シナリオ実行部107は、同端末IDで示される模擬端末の実行状態が高対話型ハニーポットかどうかを確認する。もし高対話型ハニーポットであった場合には、ステップS407に分岐する。
次に、ステップS407において、端末状態遷移シナリオ実行部107は、高対話型ハニーポット実行コマンド蓄積部116に格納された高対話型ハニーポット実行コマンド定義テーブル(図6)を、コマンド名と端末IDをキーとして検索し、操作に該当する起動プログラム603とユーザID604を取得する。起動プログラム603には、仮想マシン上で起動するプログラム名と、起動時に与える引数が記載されている。図6中$1と書かれている部分は、コマンドに含まれるパラメータのうち、一つ目の値を指す変数である。取得した起動プログラム603を、当該仮想マシン上で、取得したユーザIDの権限で起動する。このような仮想マシン内でのプログラム起動は、既存の仮想マシン実行環境の製品でも提供されている機能であり、実現は容易である。
最後に、ステップS408において、端末状態遷移シナリオ実行部107は、端末状態管理部108に、端末IDと、シナリオから取得したコマンドを渡し、ステップS402に戻る。
以上のように、本実施の形態1の発明では、通信管理部112で転送先ハニーポットを切り替えることにより、最初は低対話型ハニーポットで通信を処理させ、必要な場合のみ高対話型ハニーポットに切り替えて、高対話型ハニーポットの使用を抑えることができるため、大規模なシステムを模擬した攻撃観察装置を少ない計算機資源で実現できるという効果がある。
また、端末状態蓄積部109に格納する端末状態として、仮想マシンのイメージファイルを用い、さらに端末状態管理部108で同ファイルを操作することで、低対話型ハニーポットと高対話型ハニーポットの実行状態を同期させることができる。
また、通信管理部112でアプリケーション層のプロトコル状態遷移を追跡し、状態復元に必要なデータを蓄積し、ハニーポット切替時に通信状態復元のための通信を行なうことで、通信の状態不整合など起こすことなくハニーポットを切り替えることができる。
また、通信管理部112内で、通信を終端させることで、TCPやTLSといったプロトコルを用いた通信であっても、ハニーポットを切り替えることができる。
また、全ての模擬端末IPに対するARP要求に、通信管理部112がARP応答を返すこと、さらに仮想マシンを各々異なるVLAN上に接続した状態で起動することで、全ての通信が通信管理部112を経由することを保証することができる。
また、端末状態遷移シナリオに従い、端末状態を変更していくことで、模擬端末内であたかもユーザが業務を行なっているかのような状態を再現できる。
また、高対話型ハニーポットに対し、端末状態遷移シナリオにそった状態遷移を行わせる際に、仮想マシン内にプロセスを起動することで、一層、ユーザが業務を行なっているかのように偽装することができる。
実施の形態2.
以上の実施の形態1では、通信管理部112が通信を低対話型ハニーポット、及び高対話型ハニーポットに転送するようにしたものであるが、次に、本実施の形態2では、通信管理部112のゲートウェイ部210で低対話型ハニーポットを動作させる場合について説明する。
図15は、実施の形態2に係る通信管理部112周辺のシステム構成の一例を示す図である。
図15を図2と比較すると、低対話型ハニーポット部106が無くなり、かわりにゲートウェイ部210が、ゲートウェイ部兼低対話型ハニーポット部1501になっていることが判る。
次に、本実施の形態2におけるゲートウェイ部兼低対話型ハニーポット部1501の動作について説明する。ゲートウェイ部兼低対話型ハニーポット部1501は、端末からの通信を受けると、実施の形態1のゲートウェイ部210と同様に通信復元用のデータを保存しつつ、通信を低対話型ハニーポット部で処理する。このような処理は、実施の形態1のゲートウェイ部210上で、通信を転送するかわりに実施の形態1で開示した通信処理プログラム303にデータを入力することで容易に実現することが可能である。通信処理プログラム303が、ハニーポットの切替要求を返してきた場合、実施の形態1と同様な方法で高対話型ハニーポットの起動、および通信状態の復元を行なう。以降は実施の形態1と同様に通信を起動した高対話型ハニーポットへ転送する。
以上のように、本実施の形態2の発明では、低対話型ハニーポットの処理を通信管理部112上で実施することにより、通信を低対話型ハニーポットへ転送するオーバヘッドが無くなり、通信に対する応答遅延を低減できるという効果がある。
実施の形態3.
以上の実施の形態1、2では、高対話型ハニーポット部103内の各仮想マシンをそれぞれ別のVLANに接続させるようにしたものであるが、次に、本実施の形態3では、VLANを使用せず通信管理部112上で各仮想マシンのARPキャッシュを設定することで同等の効果を得るようにした場合について説明する。
図16は、本実施の形態3に係る通信管理部112周辺のシステム構成の一例を示す図である。
図16を図2と比較すると、仮想マシン201、202、及び通信管理部112が、同一のLANに接続されていることが判る。また、実施の形態1の通信管理部112内ではARP応答部209とされていた構成が、ARPキャッシュ設定部1601に置き換えられている。
次に、本実施の形態3における通信管理部112の動作について説明する。本実施の形態3では、起動中の各仮想マシンに対し、通信管理部112が、全ての模擬端末のIPに対応するMACアドレスが、ネットワーク206に接続されている通信管理部112のインタフェースに割り当てられたMACアドレスであることを示すARP応答パケットを定期的に送信する。
図17は、ARP応答パケットの一例を示す図である。
図17に示すように、パケットには、各仮想マシンIP(1702)に対するMACアドレス(1701)として通信管理部112のMACアドレスが使用される。これにより、各仮想マシンは、たとえ通信相手が隣接する仮想マシンであっても、その仮想マシンに直接通信を送ることはなく、通信管理部112へとパケットを送信することとなる。
以上のように、本実施の形態3の発明では、ARP応答を偽装して各仮想マシンに送信することで、各仮想マシンをVLANで分離する必要が無くなり、システムの構成を簡略化できるという効果がある。
なお、本実施の形態3で開示した方式は、実施の形態1だけでなく、実施の形態2であっても同じ様に適用できることは言うまでもない。
実施の形態4.
以上の実施の形態1〜3では、通信状態復元に必要なデータを全て通信管理部112に保存し、通信状態復元時には通信管理部112が起動した仮想マシンと通信を行なっていたが、次に、本実施の形態4では、アプリケーション層の通信状態復元については、低対話型ハニーポットを使用する場合について説明する。
図18は、本実施の形態4に係る通信管理部112周辺のシステム構成の一例を示す図である。
図18を実施の形態1の図2と比較すると、通信復元用データ蓄積部211が無くなり、また、低対話型ハニーポットからのアプリケーション層通信状態を復元するための通信を仮想マシンへ転送するアプリケーション層復元用通信転送部1801が付加されている。
図19は、本実施の形態4に係る攻撃観察装置の低対話型ハニーポット部106の構成の一例を示す図である。
図19を、実施の形態1の低対話型ハニーポット部106の構成を示す図3と比較すると、アプリケーション層通信を復元するためのデータを蓄積するアプリケーション層通信復元用データ蓄積部1901と、アプリケーション層の通信を復元するための復元プログラム1903を蓄積する通信状態復元用プログラム蓄積部1902が付加されている。
次に、実施の形態4に係る攻撃観察装置の動作について説明する。実施の形態4では、低対話型ハニーポット部106の動作は、図20のように行われる。
図20は、実施の形態4に係る低対話型ハニーポット部106の動作の流れを示すフローチャートである。
図20のフローチャートでは、ステップS506までは、実施の形態1と同じであるが、ステップS506でハニーポット切替要求を実行後、ステップS507で通信復元プログラムを取得し、同プログラムを用いて、ステップS508でアプリケーション層の通信状態を復元する。
ステップS508でアプリケーション層の通信状態を復元する為に必要なデータを蓄積するため、本実施の形態4における通信処理プログラムは、図21に示されるフローチャートのように動作する。
図21は、実施の形態4に係る通信処理プログラムの動作の流れを示すフローチャートである。
図21のフローチャートでは、実施の形態1で示したフローチャートに、ステップS607、及びステップS608を付加したものとなっている。つまり、通信処理プログラム内で、通信状態復元のためにデータ保存が必要と判断した場合(例えば、実施の形態1の図8において、アプリケーション層プロトコル上でのログイン要求を受信した時など)、必要なデータを保存する処理が追加されている。
通信管理部112がハニーポット切替要求を受けると、実施の形態1と同様に仮想マシンを起動し、下位層の通信(例えば、TCPやTLSセッション等)を復元する。その後、低対話型ハニーポット内の通信復元プログラムから送信されてくる通信復元用アプリケーション層データを、復元した通信コネクション上で仮想マシンに転送する。同様に、仮想マシンからの応答を通信復元プログラムに転送する。以上の通信を、通信復元プログラムが終了するまで実行し、通信の復元が終了する。
以上のように、本実施の形態4の発明は、通信管理部112ではTCPやTLSといったアプリケーション層以下のプロトコルの復元までを担当し、アプリケーション層の通信状態復元は、低対話型ハニーポット上の通信復元プログラムで実行することで、通信管理部112をアプリケーション層のプロトコルの変更に対して影響を受けないようにすることができるという効果がある。なお、実施の形態2で述べた通り、本実施の形態4も通信管理部112上で動作可能であることは言うまでもない。
実施の形態5.
以上の実施の形態1〜4では、低対話型ハニーポットからの要求に応じて高対話型ハニーポットへと切り替えたが、次に、本実施の形態5では、低対話型ハニーポット内、もしくは低対話型ハニーポットと通信管理部112とを接続しているネットワーク上に侵入検知装置(IDS:Intrusion Detection System)を設置し、IDSが攻撃を検知したことをハニーポット切替の条件とする場合を説明する。
図22は、実施の形態5に係る通信管理部112周辺のシステム構成の一例を示す図である。
図22において、IDS2201が低対話型ハニーポットへの通信を監視し、攻撃を検知した時点で通信管理部112に通知され、高対話型ハニーポットへの切り替えが実行される。ハニーポットの切り替えや、切替後の通信状態復元は、実施の形態1〜4と同様である。
以上のように、本実施の形態5の発明は、IDSが攻撃を検知したことをハニーポット切替の条件とすることにより、未定義の通信が来た場合だけでなく、IDSが検知可能な攻撃全体を対象として、網羅的にハニーポットを切り替えることができ、より精巧に大規模システムを模擬することができるという効果がある。
101 ハニーポットシステム(攻撃観察装置)、102 外部ネットワーク、103 高対話型ハニーポット部、104 仮想マシン群、105 仮想マシン実行環境、106 低対話型ハニーポット部、107 端末状態遷移シナリオ実行部、108 端末状態管理部、109 端末状態蓄積部、110 端末状態遷移シナリオ蓄積部、112 通信管理部、115 ハニーポット実行状態管理部、116 高対話型ハニーポット実行コマンド蓄積部、201〜202 仮想マシン、205 仮想スイッチ、207 パケット受信部、208 パケット送信部、209 ARP応答部、210 ゲートウェイ部、211 通信復元用データ蓄積部、301 通信処理プログラム実行部、302 通信処理プログラム蓄積部、303 通信処理プログラム、701〜702 仮想マシンイメージ、1501 ゲートウェイ部兼低対話型ハニーポット部、1601 ARPキャッシュ設定部、1801 アプリケーション層復元用通信転送部、1901 アプリケーション層通信復元用データ蓄積部、1902 通信状態復元用プログラム蓄積部、1903 復元プログラム、2201 IDS。

Claims (12)

  1. マルウェアを動作させて前記マルウェアの攻撃を観察する環境である攻撃観察装置であって、
    端末上で前記マルウェアからの通信に対して予め決められた応答を実行する低対話型模擬環境と、
    前記端末を模擬する仮想マシンにより前記マルウェアからの通信に対して応答を実行する高対話型模擬環境と、
    前記マルウェアからの通信に対する前記低対話型模擬環境の実行状態を監視し、前記低対話型模擬環境の前記実行状態に応じて、前記マルウェアからの通信を前記高対話型模擬環境へ切り替える通信管理部と
    を備える攻撃観察装置。
  2. 前記低対話型模擬環境は、自らの実行状態に応じて前記マルウェアからの通信を前記高対話型模擬環境へ切り替える切替要求を前記通信管理部に送信し、
    前記通信管理部は、前記低対話型模擬環境から送信された前記切替要求を受信した場合に、前記マルウェアからの通信を前記高対話型模擬環境へ切り替える請求項1記載の攻撃観察装置。
  3. 前記低対話型模擬環境及び前記高対話型模擬環境の前記実行状態を格納して管理する実行状態管理部を備え、
    前記通信管理部は、前記実行状態管理部により管理されている前記実行状態に応じて、前記マルウェアからの通信を前記高対話型模擬環境へ切り替える請求項1記載の攻撃観察装置。
  4. 各端末の状態遷移のシナリオを示す端末状態遷移シナリオを蓄積する端末状態遷移シナリオ蓄積部と、
    前記端末状態遷移シナリオに従って前記端末の状態遷移を実行する命令を出力する端末状態遷移シナリオ実行部と、
    前記端末状態遷移シナリオ実行部が出力した前記命令に従って前記端末の状態を変更する端末状態管理部と
    を備える請求項1記載の攻撃観察装置。
  5. 前記高対話型模擬環境上で前記端末状態遷移シナリオを実行するコマンドを蓄積する実行コマンド蓄積部を備え、
    前記端末状態遷移シナリオ実行部は、前記実行コマンド蓄積部に蓄積された前記コマンドにより前記端末の状態遷移を実行する命令を出力する請求項4記載の攻撃観察装置。
  6. 前記端末の通信状態の復元に必要な復元用データを蓄積する通信復元用データ蓄積部を備え、
    前記通信管理部は、前記復元用データを用いて、前記マルウェアからの通信を前記高対話型模擬環境へ切り替える際に通信状態を復元する通信を行なう請求項1記載の攻撃観察装置。
  7. 前記通信管理部は、前記端末からの通信を終端させて、前記通信を各端末へ中継する請求項1記載の攻撃観察装置。
  8. 前記通信管理部は、自らの内部に備えられた前記低対話型模擬環境により、前記低対話型模擬環境の処理を実行する請求項1記載の攻撃観察装置。
  9. ARP(Address Resolution Protocol)に対する偽装応答の設定であるARPキャッシュを格納するARPキャッシュ設定部を備え、
    前記通信管理部は、前記高対話型模擬環境の前記仮想マシンに前記ARPキャッシュを送信する請求項1記載の攻撃観察装置。
  10. 前記低対話型模擬環境は、前記端末のアプリケーション層の通信状態を復元した通信復元用アプリケーション層データを前記通信管理部に送信し、
    前記通信管理部は、前記通信復元用アプリケーション層データを前記高対話型模擬環境の前記仮想マシンに転送する請求項1記載の攻撃観察装置。
  11. 前記通信管理部は、前記マルウェアの侵入を検知する侵入検知装置の検知結果により、前記マルウェアからの通信を前記高対話型模擬環境へ切り替える請求項1記載の攻撃観察装置。
  12. マルウェアを動作させて前記マルウェアの攻撃を観察する環境である攻撃観察装置の攻撃観察方法であって、
    低対話型模擬環境が、端末上で前記マルウェアからの通信に対して予め決められた応答を実行する低対話型模擬環境ステップと、
    高対話型模擬環境が、前記端末を模擬する仮想マシンにより前記マルウェアからの通信に対して応答を実行する高対話型模擬環境ステップと、
    通信管理部が、前記マルウェアからの通信に対する前記低対話型模擬環境の実行状態を監視し、前記低対話型模擬環境の前記実行状態に応じて、前記マルウェアからの通信を前記高対話型模擬環境へ切り替える通信管理ステップと
    を備える攻撃観察方法。
JP2016548452A 2014-09-17 2014-09-17 攻撃観察装置、及び攻撃観察方法 Expired - Fee Related JP6081031B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2014/004773 WO2016042587A1 (ja) 2014-09-17 2014-09-17 攻撃観察装置、及び攻撃観察方法

Publications (2)

Publication Number Publication Date
JP6081031B2 JP6081031B2 (ja) 2017-02-15
JPWO2016042587A1 true JPWO2016042587A1 (ja) 2017-04-27

Family

ID=55532659

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016548452A Expired - Fee Related JP6081031B2 (ja) 2014-09-17 2014-09-17 攻撃観察装置、及び攻撃観察方法

Country Status (4)

Country Link
US (1) US10491628B2 (ja)
JP (1) JP6081031B2 (ja)
CN (1) CN106687974B (ja)
WO (1) WO2016042587A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3420700B8 (en) 2016-02-24 2022-05-18 Mandiant, Inc. Systems and methods for attack simulation on a production network
US10462181B2 (en) * 2016-05-10 2019-10-29 Quadrant Information Security Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures
US10715533B2 (en) * 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
US10628585B2 (en) 2017-01-23 2020-04-21 Microsoft Technology Licensing, Llc Ransomware resilient databases
JP6834688B2 (ja) * 2017-03-30 2021-02-24 日本電気株式会社 マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム
US10826939B2 (en) 2018-01-19 2020-11-03 Rapid7, Inc. Blended honeypot
WO2019220480A1 (ja) * 2018-05-14 2019-11-21 日本電気株式会社 監視装置、監視方法及びプログラム
US10979448B2 (en) * 2018-11-02 2021-04-13 KnowBe4, Inc. Systems and methods of cybersecurity attack simulation for incident response training and awareness
CN109302426B (zh) * 2018-11-30 2021-04-13 东软集团股份有限公司 未知漏洞攻击检测方法、装置、设备及存储介质
US11750651B2 (en) * 2019-09-04 2023-09-05 Oracle International Corporation Honeypots for infrastructure-as-a-service security
US11233823B1 (en) * 2019-12-09 2022-01-25 Amazon Technologies, Inc. Efficient implementation of honeypot devices to detect wide-scale network attacks
CN112165483B (zh) * 2020-09-24 2022-09-09 Oppo(重庆)智能科技有限公司 一种arp攻击防御方法、装置、设备及存储介质
CN114650153B (zh) * 2020-12-17 2024-04-05 浙江宇视科技有限公司 一种视频网络安全风险防范系统及防范方法

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020046351A1 (en) 2000-09-29 2002-04-18 Keisuke Takemori Intrusion preventing system
JP3687782B2 (ja) 2000-09-29 2005-08-24 Kddi株式会社 不正侵入防止システム
CN101087196B (zh) * 2006-12-27 2011-01-26 北京大学 多层次蜜网数据传输方法及系统
JP4780413B2 (ja) 2007-01-12 2011-09-28 横河電機株式会社 不正アクセス情報収集システム
JP2008306610A (ja) * 2007-06-11 2008-12-18 Hitachi Ltd 不正侵入・不正ソフトウェア調査システム、および通信振分装置
US9843596B1 (en) * 2007-11-02 2017-12-12 ThetaRay Ltd. Anomaly detection in dynamically evolving data and systems
JP4755658B2 (ja) 2008-01-30 2011-08-24 日本電信電話株式会社 解析システム、解析方法および解析プログラム
US7865795B2 (en) * 2008-02-28 2011-01-04 Qimonda Ag Methods and apparatuses for generating a random sequence of commands for a semiconductor device
JP5009244B2 (ja) 2008-07-07 2012-08-22 日本電信電話株式会社 マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム
CN101567887B (zh) * 2008-12-25 2012-05-23 中国人民解放军总参谋部第五十四研究所 一种漏洞拟真超载蜜罐方法
JP2010186427A (ja) 2009-02-13 2010-08-26 Kddi Corp 情報処理装置およびプログラム
JP5389739B2 (ja) 2010-06-08 2014-01-15 日本電信電話株式会社 解析システム、解析装置、解析方法及び解析プログラム
JP5385867B2 (ja) 2010-06-30 2014-01-08 日本電信電話株式会社 データ転送装置及びアクセス解析方法
JP5456636B2 (ja) 2010-10-06 2014-04-02 日本電信電話株式会社 ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム
JP5697206B2 (ja) 2011-03-31 2015-04-08 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 不正アクセスに対する防御をするシステム、方法およびプログラム
JP5713445B2 (ja) 2011-06-24 2015-05-07 日本電信電話株式会社 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム
JP5650617B2 (ja) 2011-10-11 2015-01-07 日本電信電話株式会社 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム
EP2843559A4 (en) * 2012-04-27 2016-01-13 Hitachi Ltd DATABASE MANAGEMENT SYSTEM, COMPUTERS AND DATABASE MANAGEMENT PROCEDURES
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全系统及实现方法
US9338819B2 (en) * 2013-05-29 2016-05-10 Medtronic Minimed, Inc. Variable data usage personal medical system and method
TWI626547B (zh) * 2014-03-03 2018-06-11 國立清華大學 於分散式資料庫中將系統狀態一致地還原至欲還原時間點之方法及系統

Also Published As

Publication number Publication date
US10491628B2 (en) 2019-11-26
US20170302683A1 (en) 2017-10-19
CN106687974B (zh) 2019-06-04
CN106687974A (zh) 2017-05-17
JP6081031B2 (ja) 2017-02-15
WO2016042587A1 (ja) 2016-03-24

Similar Documents

Publication Publication Date Title
JP6081031B2 (ja) 攻撃観察装置、及び攻撃観察方法
JP5521620B2 (ja) 中継装置、仮想マシンシステム及び中継方法
US9313171B2 (en) Path selection in a multi-service and multi-tenant secure cloud environment
US9036638B2 (en) Avoiding unknown unicast floods resulting from MAC address table overflows
WO2012127886A1 (ja) ネットワークシステム、及びポリシー経路設定方法
JP2018033135A (ja) 仮想ネットワーク環境でループバックインタフェースを利用してdsrロードバランシングを処理する方法およびシステム
US20150172156A1 (en) Detecting end hosts in a distributed network environment
US10880162B1 (en) Linking logical broadcast domains
US10181031B2 (en) Control device, control system, control method, and control program
CN108650337B (zh) 一种服务器探测方法、系统及存储介质
US11057820B2 (en) Dynamic mapping of nodes responsible for monitoring traffic of an evolved packet core
US11418537B2 (en) Malware inspection apparatus and malware inspection method
CN111988282B (zh) 基于tcp的数据传输系统、方法、电子设备及介质
US20200213356A1 (en) Malware inspection support system and malware inspection support method
KR101445255B1 (ko) 부하 분산 설정을 자동으로 제공하기 위한 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체
US20170289099A1 (en) Method and Device for Managing Internet Protocol Version 6 Address, and Terminal
JP2011211502A (ja) ネットワークシステム及びその運用方法
US20220217175A1 (en) Software defined network whitebox infection detection and isolation
US11316888B2 (en) Malware inspection support system and malware inspection support method
Zhang et al. A Novel Software Defined Networking Framework for Cloud Environments
JP6215144B2 (ja) 制御装置、制御方法、および、制御プログラム
JP2014165560A (ja) サーバおよびプログラム
JP2016031687A (ja) マルウェア通信制御装置

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161220

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170117

R150 Certificate of patent or registration of utility model

Ref document number: 6081031

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees