優化裝置(10)收集作為與網絡攻擊有關的信息的網絡攻擊信息、以及作為與包括受到該網絡攻擊的設備的系統整體有關的信息的系統信息。并且，優化裝置(10)根據收集到的網絡攻擊信息和系統信息確定網絡攻擊的攻擊路徑，將位于該攻擊路徑上且對于網絡攻擊具有有效的應對功能的設備作為應對點的候選進行提取。接著，優化裝置(10)使用所設定的優化邏輯，從所提取的應對點的候選中選擇應對點。

技術領域

本發明涉及優化裝置、優化方法。

背景技術

以往，為了防御網絡攻擊，靜態設置防火墻或WAF(Web Application Firewall：網絡應用防火墻)等的設備，基于這種準備而根據事先設定的黑名單或簽名等的規則而進行應對。

這里，使用圖12的示例，對現有的確定應對點的處理進行說明。在圖12的示例中，攻擊者經由外部NW(NetWork：網絡)40A、DC(Data Center：數據中心)NW40B、虛擬FW(FireWall：防火墻)40C、虛擬NW40D、虛擬LB(Load Balancer：負載均衡器)40E、虛擬NW40F、虛擬WAF40G，攻擊Web Server40H。另外，DCNW40B不僅與虛擬FW40C連接，還與虛擬NW40I和虛擬NW40J連接。

如圖12舉例所示，例如作為為了應對攻擊而事先確定的個別規則，確定了多個規則1～3。并且，存在網絡攻擊的情況下，確定與攻擊者、受害者、攻擊類別、有效的應對功能等有關的信息(圖12中記作網絡攻擊信息)所匹配的規則3。并且，作為與規則3對應的應對點而選擇應對點3，確定執行該應對點的應對功能。

此外，作為確定針對網絡攻擊的應對點進行防御的技術，已知通過對攻擊通信量進行追蹤而搜索靠近攻擊者的防火墻并在上游防御攻擊的技術。例如，已知作為DoS(Denial of Service：拒絕服務)攻擊等發生時的一次應對而在檢測場所使用專用FW阻止攻擊，作為二次應對而對通信量進行追蹤，由此搜索靠近攻擊者的專用FW，在通信量的上游靠近攻擊者的應對點阻止攻擊的技術(例如，參照非專利文獻1)。

另外，作為針對網絡攻擊的防御方法，已知如下技術，動態變更設備的中的安全策略，進行Bayesian spam filters(貝葉斯垃圾郵件過濾)或針對范圍的動態訪問控制，由此防御網絡攻擊(例如，參照非專利文獻2)。

在先技術文獻

非專利文獻

非專利文獻1：Eric Y.Chen,AEGIS:An Active-Network-Powered DefenseMechanism against DDoS Attacks,IWAN'01Proceedings of the IFIP-TC6ThirdInternational Working Conference on Active Networks,P.1-15

非專利文獻2：W.Keith Edwards,Erika Shehan Poole,Jennifer Stoll,Security Automation Considered Harmful？,NSPW'07Proceedings of the2007Workshop on New Security Paradigms,P.33-42

發明內容

發明欲解決的課題

然而，在上述的現有技術中，無法對應于網絡上的設備的負荷狀態或網絡結構的動態變更，存在有時無法在最優的應對點使用最優的應對功能適當地防御網絡攻擊的課題。

例如，在發生多次網絡攻擊，安全應對集中于特定的應對點的情況下，對象設備的CPU(Central Processing Unit：中央處理單元)或存儲器等的資源會發生枯竭，應對功能不進行動作，有可能無法適當防御網絡攻擊。