[发明专利]优化装置、优化方法

说明书

优化装置(10)收集作为与网络攻击有关的信息的网络攻击信息、以及作为与包括受到该网络攻击的设备的系统整体有关的信息的系统信息。并且，优化装置(10)根据收集到的网络攻击信息和系统信息确定网络攻击的攻击路径，将位于该攻击路径上且对于网络攻击具有有效的应对功能的设备作为应对点的候选进行提取。接着，优化装置(10)使用所设定的优化逻辑，从所提取的应对点的候选中选择应对点。

技术领域

本发明涉及优化装置、优化方法。

背景技术

以往，为了防御网络攻击，静态设置防火墙或WAF(Web Application Firewall：网络应用防火墙)等的设备，基于这种准备而根据事先设定的黑名单或签名等的规则而进行应对。

这里，使用图12的示例，对现有的确定应对点的处理进行说明。在图12的示例中，攻击者经由外部NW(NetWork：网络)40A、DC(Data Center：数据中心)NW40B、虚拟FW(FireWall：防火墙)40C、虚拟NW40D、虚拟LB(Load Balancer：负载均衡器)40E、虚拟NW40F、虚拟WAF40G，攻击Web Server40H。另外，DCNW40B不仅与虚拟FW40C连接，还与虚拟NW40I和虚拟NW40J连接。

如图12举例所示，例如作为为了应对攻击而事先确定的个别规则，确定了多个规则1～3。并且，存在网络攻击的情况下，确定与攻击者、受害者、攻击类别、有效的应对功能等有关的信息(图12中记作网络攻击信息)所匹配的规则3。并且，作为与规则3对应的应对点而选择应对点3，确定执行该应对点的应对功能。

此外，作为确定针对网络攻击的应对点进行防御的技术，已知通过对攻击通信量进行追踪而搜索靠近攻击者的防火墙并在上游防御攻击的技术。例如，已知作为DoS(Denial of Service：拒绝服务)攻击等发生时的一次应对而在检测场所使用专用FW阻止攻击，作为二次应对而对通信量进行追踪，由此搜索靠近攻击者的专用FW，在通信量的上游靠近攻击者的应对点阻止攻击的技术(例如，参照非专利文献1)。

另外，作为针对网络攻击的防御方法，已知如下技术，动态变更设备的中的安全策略，进行Bayesian spam filters(贝叶斯垃圾邮件过滤)或针对范围的动态访问控制，由此防御网络攻击(例如，参照非专利文献2)。

在先技术文献

非专利文献

非专利文献1：Eric Y.Chen,AEGIS:An Active-Network-Powered DefenseMechanism against DDoS Attacks,IWAN'01Proceedings of the IFIP-TC6ThirdInternational Working Conference on Active Networks,P.1-15

非专利文献2：W.Keith Edwards,Erika Shehan Poole,Jennifer Stoll,Security Automation Considered Harmful？,NSPW'07Proceedings of the2007Workshop on New Security Paradigms,P.33-42

发明内容

发明欲解决的课题

然而，在上述的现有技术中，无法对应于网络上的设备的负荷状态或网络结构的动态变更，存在有时无法在最优的应对点使用最优的应对功能适当地防御网络攻击的课题。

例如，在发生多次网络攻击，安全应对集中于特定的应对点的情况下，对象设备的CPU(Central Processing Unit：中央处理单元)或存储器等的资源会发生枯竭，应对功能不进行动作，有可能无法适当防御网络攻击。