JP2003067269A - Device and method for detecting unauthorized access - Google Patents
Device and method for detecting unauthorized accessInfo
- Publication number
- JP2003067269A JP2003067269A JP2001260959A JP2001260959A JP2003067269A JP 2003067269 A JP2003067269 A JP 2003067269A JP 2001260959 A JP2001260959 A JP 2001260959A JP 2001260959 A JP2001260959 A JP 2001260959A JP 2003067269 A JP2003067269 A JP 2003067269A
- Authority
- JP
- Japan
- Prior art keywords
- server
- response
- monitored
- access request
- specific
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、ネットワークを
経由した不正アクセスの検出に係る不正アクセス検知装
置等に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an unauthorized access detection device for detecting unauthorized access via a network.
【0002】[0002]
【従来の技術】図13は、Internet Secu
rity Systems社(http://www.
iss.net/)の製品”RealSecure”に
代表される、従来の侵入検知装置を示す構成図である。
従来の侵入検知装置702はサーバ704及び705へ
の攻撃を検知するため、サーバと同一のLAN703で
インターネット701より送られてくるパケットをモニ
タする。2. Description of the Related Art FIG. 13 shows the Internet Secu.
rity Systems, Inc. (http: // www.
iss. FIG. 11 is a configuration diagram showing a conventional intrusion detection device represented by a product “RealSecure” of net /).
In order to detect an attack on the servers 704 and 705, the conventional intrusion detection device 702 monitors a packet transmitted from the Internet 701 on the same LAN 703 as the server.
【0003】図14は従来の侵入検知装置の内部構成を
示す構成図である。従来の侵入検知装置702の動作に
ついて、以下に説明する。侵入検知装置内のパケットモ
ニタ部807は、LAN703上を流れるパケットを常
にモニタし、パケットの情報を攻撃判定部806に転送
する。FIG. 14 is a block diagram showing the internal structure of a conventional intrusion detection device. The operation of the conventional intrusion detection device 702 will be described below. The packet monitor unit 807 in the intrusion detection device constantly monitors the packet flowing on the LAN 703 and transfers the packet information to the attack determination unit 806.
【0004】攻撃判定部806は、パケットに含まれる
データと、攻撃パターンデータベース808に含まれる
攻撃パターンとを照合し、そのパケットが攻撃を意図し
て送られたものかどうかを判断する。The attack determination unit 806 compares the data included in the packet with the attack pattern included in the attack pattern database 808, and determines whether the packet is sent with the intention of attacking.
【0005】パケットが、攻撃パターンデータベース8
08の攻撃パターンと一致した場合には、攻撃判定部8
06は対策部805を呼び出し、管理者に通知する等、
あらかじめ定められた侵入時の対策処理を実行する。The packet is the attack pattern database 8
If the attack pattern matches 08, the attack determination unit 8
06 calls the countermeasure unit 805 to notify the administrator,
Execute predetermined intrusion countermeasures.
【0006】図13及び図14で示されたものは、ネッ
トワーク監視型の侵入検知装置であるが、パケットの代
わりに、サーバ内部で動作し、プログラムの出力するロ
グファイルを監視するタイプの侵入検知装置も存在す
る。その場合、パケットモニタ部807は、ログファイ
ルのモニタ機能に置きかえられるが、残りの部分の構成
及び動作は同様である。Although FIG. 13 and FIG. 14 show a network monitoring type intrusion detection device, instead of packets, it operates inside the server and monitors the log file output by the program. There are also devices. In that case, the packet monitor unit 807 is replaced with a log file monitor function, but the configuration and operation of the remaining parts are the same.
【0007】[0007]
【発明が解決しようとする課題】以上のように、従来の
侵入検知装置は、攻撃パターンをあらかじめデータベー
スとして持ち、入力された情報がパターンに一致するか
どうかにより、侵入を検知するものであった。従って、
攻撃パターンとしてデータベース中に存在しない未知の
攻撃に対しては、それを検知することが不可能であっ
た。As described above, the conventional intrusion detection device has an attack pattern as a database in advance and detects an intrusion by checking whether the input information matches the pattern. . Therefore,
It was impossible to detect an unknown attack that does not exist in the database as an attack pattern.
【0008】本発明は上記の問題を解決するためになさ
れたものであり、入力を、同等な機能を持った複数のサ
ーバに転送し、その応答を比較することで、未知の攻撃
に対しても侵入を検知することを可能とするものであ
る。The present invention has been made to solve the above-mentioned problem, and transfers an input to a plurality of servers having equivalent functions and compares the responses, so that an unknown attack can be performed. Also makes it possible to detect intrusion.
【0009】[0009]
【課題を解決するための手段】本発明に係る不正アクセ
ス検知装置は、監視対象となる少なくとも一つ以上の監
視対象サーバと、監視対象サーバのそれぞれに対応づけ
られた少なくとも一つ以上の対応サーバとに接続され、
いずれかのクライアント装置による前記監視対象サーバ
への不正アクセスを検知する不正アクセス検知装置であ
って、いずれかのクライアント装置より特定の監視対象
サーバ宛のアクセス要求が送信された場合に、前記アク
セス要求を取得し、前記特定の監視対象サーバに対応す
る特定の対応サーバへ前記アクセス要求を送信するとと
もに、前記特定の対応サーバより、前記アクセス要求に
対する応答を対応サーバ応答として受信し、前記特定の
監視対象サーバより送信された前記アクセス要求に対す
る応答を監視対象サーバ応答として取得し、前記監視対
象サーバ応答と前記対応サーバ応答とを比較し、比較結
果に基づき、前記アクセス要求が前記特定の監視対象サ
ーバへの不正アクセスを目的とするか否かを判断するこ
とを特徴とする。An unauthorized access detection apparatus according to the present invention comprises at least one or more monitored servers to be monitored and at least one corresponding server associated with each monitored server. Connected to and
An unauthorized access detection device for detecting unauthorized access to the monitored server by any of the client devices, wherein the access request is sent when an access request addressed to a specific monitored server is sent from any of the client devices. And sending the access request to a specific corresponding server corresponding to the specific monitored server, receiving a response to the access request from the specific corresponding server as a corresponding server response, and performing the specific monitoring. A response to the access request sent from the target server is acquired as a monitored server response, the monitored server response and the corresponding server response are compared, and the access request is based on the comparison result and the specific monitored server is the access request. It is characterized by determining whether or not it is intended for unauthorized access to.
【0010】前記不正アクセス検知装置は、対応する監
視対象サーバのプログラムと同様な機能を有するが、プ
ログラム構成が異なるプログラムを使用する対応サーバ
に接続されていることを特徴とする。The unauthorized access detection device has the same function as the program of the corresponding monitored server, but is connected to a corresponding server using a program having a different program configuration.
【0011】前記不正アクセス検知装置は、前記監視対
象サーバ応答と前記対応サーバ応答との比較において、
前記監視対象サーバ応答と前記対応サーバ応答との間に
一定レベル以上の差異があった場合に、前記アクセス要
求が前記特定の監視対象サーバに対する不正アクセスを
目的とすると判断することを特徴とする。The unauthorized access detection device compares the monitored server response with the corresponding server response,
When there is a difference of a certain level or more between the monitored server response and the corresponding server response, it is determined that the access request is intended for unauthorized access to the specific monitored server.
【0012】前記不正アクセス検知装置は、いずれかの
クライアント装置より前記特定の監視対象サーバ宛のア
クセス要求が送信された場合に、前記アクセス要求を受
信するアクセス要求受信部と、前記アクセス要求を前記
特定の監視対象サーバ及び前記特定の対応サーバに送信
するとともに、前記特定の監視対象サーバより前記アク
セス要求に対する応答を監視対象サーバ応答として受信
し、前記特定の対応サーバより前記アクセス要求に対す
る応答を対応サーバ応答として受信する通信中継部と、
前記監視対象サーバ応答と前記対応サーバ応答とを比較
し、比較結果に基づき、前記アクセス要求が前記特定の
監視対象サーバへの不正アクセスを目的とするか否かを
判断する応答比較部とを有することを特徴とする。The unauthorized access detection device, when any one of the client devices sends an access request addressed to the specific server to be monitored, an access request receiving unit that receives the access request, and the access request. The response to the access request is sent from the specific monitored server and the specific corresponding server, and the response to the access request is received as the monitored server response from the specific monitored server, and the response to the access request is handled from the specific corresponding server. A communication relay unit that receives as a server response,
A response comparison unit that compares the monitored server response with the corresponding server response, and determines whether or not the access request is for unauthorized access to the specific monitored server based on the comparison result. It is characterized by
【0013】前記不正アクセス検知装置は、それぞれの
監視対象サーバについてデータ送受信状況をモニタし、
いずれかのクライアント装置より前記特定の監視対象サ
ーバ宛のアクセス要求が送信された場合に、前記アクセ
ス要求をモニタするとともに、前記特定の監視対象サー
バによる前記アクセス要求に対する応答を監視対象サー
バ応答としてモニタするモニタ部と、前記モニタ部によ
りモニタされた前記アクセス要求を前記特定の対応サー
バへ送信するとともに、前記特定の対応サーバより、前
記アクセス要求に対する応答を対応サーバ応答として受
信する通信中継部と、前記監視対象サーバ応答と前記対
応サーバ応答とを比較し、比較結果に基づき、前記アク
セス要求が前記特定の監視対象サーバへの不正アクセス
を目的とするか否かを判断する応答比較部とを有するこ
とを特徴とする。The unauthorized access detection device monitors the data transmission / reception status for each monitored server,
When an access request addressed to the specific monitored server is sent from any of the client devices, the access request is monitored and a response to the access request by the specific monitored server is monitored as a monitored server response. And a communication relay unit that transmits the access request monitored by the monitor unit to the specific corresponding server, and receives a response to the access request from the specific corresponding server as a corresponding server response. A response comparison unit that compares the monitored server response with the corresponding server response, and determines whether or not the access request is for unauthorized access to the specific monitored server based on the comparison result. It is characterized by
【0014】本発明に係る不正アクセス検知方法は、監
視対象となる少なくとも一つ以上の監視対象サーバと、
監視対象サーバのそれぞれに対応づけられた少なくとも
一つ以上の対応サーバとに接続され、いずれかのクライ
アント装置による前記監視対象サーバへの不正アクセス
を検知する不正アクセス検知方法であって、いずれかの
クライアント装置より特定の監視対象サーバ宛のアクセ
ス要求が送信された場合に、前記アクセス要求を取得
し、前記特定の監視対象サーバに対応する特定の対応サ
ーバへ前記アクセス要求を送信するとともに、前記特定
の対応サーバより、前記アクセス要求に対する応答を対
応サーバ応答として受信し、前記特定の監視対象サーバ
より送信された前記アクセス要求に対する応答を監視対
象サーバ応答として取得し、前記監視対象サーバ応答と
前記対応サーバ応答とを比較し、比較結果に基づき、前
記アクセス要求が前記特定の監視対象サーバへの不正ア
クセスを目的とするか否かを判断することを特徴とす
る。The unauthorized access detection method according to the present invention includes at least one or more monitored servers to be monitored,
An unauthorized access detection method, which is connected to at least one or more corresponding servers associated with each of the monitored servers, and detects unauthorized access to the monitored server by any client device, comprising: When an access request addressed to a specific monitoring target server is transmitted from the client device, the access request is acquired, and the access request is transmitted to a specific corresponding server corresponding to the specific monitoring target server. From the corresponding server, the response to the access request is received as a corresponding server response, and the response to the access request transmitted from the specific monitored server is acquired as a monitored server response. Based on the comparison result, the access request is compared with the server response. Characterized by determining whether an object unauthorized access to a specific managed server.
【0015】前記不正アクセス検知方法は、対応する監
視対象サーバのプログラムと同様な機能を有するが、プ
ログラム構成が異なるプログラムを使用する対応サーバ
に接続されていることを特徴とする。The unauthorized access detection method has the same function as the program of the corresponding monitored server, but is characterized in that the unauthorized access detection method is connected to a corresponding server using a program having a different program configuration.
【0016】前記不正アクセス検知方法は、前記監視対
象サーバ応答と前記対応サーバ応答との比較において、
前記監視対象サーバ応答と前記対応サーバ応答との間に
一定レベル以上の差異があった場合に、前記アクセス要
求が前記特定の監視対象サーバに対する不正アクセスを
目的とすると判断することを特徴とする。In the unauthorized access detection method, in the comparison between the monitored server response and the corresponding server response,
When there is a difference of a certain level or more between the monitored server response and the corresponding server response, it is determined that the access request is intended for unauthorized access to the specific monitored server.
【0017】前記不正アクセス検知方法は、いずれかの
クライアント装置より前記特定の監視対象サーバ宛のア
クセス要求が送信された場合に、前記アクセス要求を受
信するアクセス要求受信ステップと、前記アクセス要求
を前記特定の監視対象サーバ及び前記特定の対応サーバ
に送信するとともに、前記特定の監視対象サーバより前
記アクセス要求に対する応答を監視対象サーバ応答とし
て受信し、前記特定の対応サーバより前記アクセス要求
に対する応答を対応サーバ応答として受信する通信中継
ステップと、前記監視対象サーバ応答と前記対応サーバ
応答とを比較し、比較結果に基づき、前記アクセス要求
が前記特定の監視対象サーバへの不正アクセスを目的と
するか否かを判断する応答比較ステップとを有すること
を特徴とする。In the unauthorized access detection method, when an access request addressed to the specific monitored server is transmitted from any of the client devices, an access request receiving step of receiving the access request and the access request The response to the access request is sent from the specific monitored server and the specific corresponding server, and the response to the access request is received as the monitored server response from the specific monitored server, and the response to the access request is handled from the specific corresponding server. Whether the communication relay step received as a server response is compared with the monitored server response and the corresponding server response, and whether the access request is for unauthorized access to the specific monitored server based on the comparison result. And a response comparison step of determining whether or not.
【0018】前記不正アクセス検知方法は、それぞれの
監視対象サーバについてデータ送受信状況をモニタし、
いずれかのクライアント装置より前記特定の監視対象サ
ーバ宛のアクセス要求が送信された場合に、前記アクセ
ス要求をモニタするとともに、前記特定の監視対象サー
バによる前記アクセス要求に対する応答を監視対象サー
バ応答としてモニタするモニタステップと、前記モニタ
ステップによりモニタされた前記アクセス要求を前記特
定の対応サーバへ送信するとともに、前記特定の対応サ
ーバより、前記アクセス要求に対する応答を対応サーバ
応答として受信する通信中継ステップと、前記監視対象
サーバ応答と前記対応サーバ応答とを比較し、比較結果
に基づき、前記アクセス要求が前記特定の監視対象サー
バへの不正アクセスを目的とするか否かを判断する応答
比較ステップとを有することを特徴とする。The unauthorized access detection method monitors the data transmission / reception status for each monitored server,
When an access request addressed to the specific monitored server is sent from any of the client devices, the access request is monitored and a response to the access request by the specific monitored server is monitored as a monitored server response. And a communication relay step of transmitting the access request monitored by the monitoring step to the specific corresponding server, and receiving a response to the access request from the specific corresponding server as a corresponding server response, A response comparison step of comparing the monitored server response with the corresponding server response, and determining whether or not the access request is intended for unauthorized access to the specific monitored server based on the comparison result. It is characterized by
【0019】[0019]
【発明の実施の形態】実施の形態1.図1は本実施の形
態に係る侵入検知装置(不正アクセス検知装置)を含む
ネットワーク構成を示す図である。侵入検知装置104
は、LAN102を通じてインターネット101と接続
し、また、サーバ106及び侵入検知用サーバ107と
LAN103及びLAN105を通じて接続されてい
る。ただし、ここでインターネットとは、侵入検知装置
104にIPパケットを送ることができる全てのネット
ワーク(但しLAN103、LAN105は除く)を表
すものとする。BEST MODE FOR CARRYING OUT THE INVENTION Embodiment 1. FIG. 1 is a diagram showing a network configuration including an intrusion detection device (unauthorized access detection device) according to the present embodiment. Intrusion detection device 104
Is connected to the Internet 101 through the LAN 102, and is also connected to the server 106 and the intrusion detection server 107 through the LAN 103 and the LAN 105. However, here, the Internet represents all networks capable of sending IP packets to the intrusion detection device 104 (excluding the LAN 103 and the LAN 105).
【0020】図2は本実施の形態の動作の概略を表す図
である。FIG. 2 is a diagram showing an outline of the operation of this embodiment.
【0021】図3は本実施の形態における侵入検知装置
104の内部構成を表す図である。侵入検知装置104
は、サーバ通信送受信部141、応答比較部142、サ
ーバ情報管理部143、対策部144、通信中継部14
5で構成されており、LAN102を通じてインターネ
ットと、LAN103、LAN105を通じてサーバ1
06及び侵入検知用サーバ107と接続されている。FIG. 3 is a diagram showing an internal configuration of the intrusion detection device 104 in this embodiment. Intrusion detection device 104
Is a server communication transmission / reception unit 141, a response comparison unit 142, a server information management unit 143, a countermeasure unit 144, a communication relay unit 14
5, the server 1 through the LAN 102 and the Internet through the LAN 103 and LAN 105.
06 and the intrusion detection server 107.
【0022】図4及び図5は本実施の形態における侵入
検知装置104の内部動作を時系列にそって図示したも
のである。4 and 5 show the internal operation of the intrusion detection device 104 according to the present embodiment in chronological order.
【0023】図6は、本実施の形態における侵入検知装
置104の応答比較部142の内部構成を表す図であ
る。応答比較部142は、応答比較制御部1421、各
種プロトコル対応比較部1422〜1424で構成され
ている。応答比較部142は、その処理を行う際にサー
バ情報管理部143を利用する。FIG. 6 is a diagram showing the internal configuration of the response comparison unit 142 of the intrusion detection device 104 according to this embodiment. The response comparison unit 142 includes a response comparison control unit 1421, and various protocol correspondence comparison units 1422 to 1424. The response comparison unit 142 uses the server information management unit 143 when performing the processing.
【0024】図7は、本実施の形態におけるサーバ情報
管理部143で管理されるサーバ情報管理テーブルの内
容を表すものである。FIG. 7 shows the contents of the server information management table managed by the server information management unit 143 in this embodiment.
【0025】図1を参照しながら本侵入検知装置104
の構成について詳しく説明する。侵入検知装置104
は、インターネット101へと接続するLAN102
と、インターネット上にサービスを提供するサーバ10
6が接続されているLAN103の両方に接続されてい
る。また、侵入検知装置104は、LAN105を通じ
て侵入検知用サーバ107と接続されている。なお、侵
入検知装置は、不正アクセス検知装置に相当する。With reference to FIG. 1, the intrusion detection device 104
The configuration will be described in detail. Intrusion detection device 104
Is a LAN 102 that connects to the Internet 101
And a server 10 that provides services on the Internet
6 is connected to both of the connected LANs 103. The intrusion detection device 104 is also connected to the intrusion detection server 107 via the LAN 105. The intrusion detection device corresponds to an unauthorized access detection device.
【0026】106は、侵入検知装置104による侵入
検知の対象となる、即ち、侵入検知装置による監視の対
象となるサーバである。サーバ106は、監視対象サー
バに相当する。Reference numeral 106 denotes a server which is a target of intrusion detection by the intrusion detection device 104, that is, a server which is a target of monitoring by the intrusion detection device. The server 106 corresponds to the monitored server.
【0027】侵入検知用サーバ107は、サーバ106
と同等のサービスをLAN105上に提供しているサー
バである。例えば、サーバ106がWWWサービスをイ
ンターネットに提供している場合には、侵入検知用サー
バ107上でも、同等なWWWサービスが稼動している
必要がある。ただし、サーバ106と侵入検知用サーバ
107上で動作しているサーバは、異なるプログラム
(アプリケーションやバージョンが異なる)でなければ
ならない。また、侵入検知用サーバ107は、対応サー
バに相当する。The intrusion detection server 107 is the server 106.
It is a server that provides a service equivalent to that on the LAN 105. For example, when the server 106 provides the WWW service to the Internet, the equivalent WWW service needs to be running on the intrusion detection server 107. However, the servers operating on the server 106 and the intrusion detection server 107 must be different programs (different applications and versions). The intrusion detection server 107 corresponds to the corresponding server.
【0028】図1及び図2では、サーバ106及び侵入
検知用サーバ107は一台ずつしか描かれていないが、
実際には複数のサーバ及び侵入検知用サーバをLAN上
に配置することが可能である。また、LAN103とL
AN105は、同一のLANとして構成することも可能
である。Although only one server 106 and one intrusion detection server 107 are shown in FIGS. 1 and 2,
Actually, it is possible to arrange a plurality of servers and an intrusion detection server on the LAN. LAN 103 and L
The AN 105 can be configured as the same LAN.
【0029】次に、図2を参照しながら侵入検知装置1
04の動作について説明する。侵入検知装置104は、
LAN202上でサーバ106のプロキシとして動作す
る。従って、サーバ106のサービスを受けようとする
クライアントには、侵入検知装置104上でそのサービ
スが提供されているように認識される。Next, referring to FIG. 2, the intrusion detection device 1
The operation of 04 will be described. The intrusion detection device 104 is
It operates as a proxy for the server 106 on the LAN 202. Therefore, the client trying to receive the service of the server 106 is recognized as the service being provided on the intrusion detection device 104.
【0030】インターネット101からサーバ106へ
と送られたメッセージはLAN102を経由して侵入検
知装置104に送られる。ここで、該侵入検知装置10
4は、そのメッセージをサーバ106に転送すると同時
に、侵入検知用サーバ107にも送付する。The message sent from the Internet 101 to the server 106 is sent to the intrusion detection device 104 via the LAN 102. Here, the intrusion detection device 10
4 transfers the message to the server 106 and at the same time sends it to the intrusion detection server 107.
【0031】サーバ106及び侵入検知用サーバ107
はともに、送られたメッセージを処理し、応答メッセー
ジを送信する。これら応答メッセージは、侵入検知装置
104によって受信される。両サーバから応答メッセー
ジを受け取った侵入検知装置104は、そのメッセージ
に含まれる内容を比較する。Server 106 and intrusion detection server 107
Both process the sent message and send a reply message. These response messages are received by the intrusion detection device 104. The intrusion detection device 104, which receives the response message from both servers, compares the contents included in the message.
【0032】もし、サーバ106が攻撃を受けていなけ
れば、応答メッセージはアプリケーション毎に若干の差
異はあるとしても、侵入検知用サーバ107のそれと、
ほぼ同一の内容である。侵入検知装置104は、両者の
応答メッセージに顕著な差異がみられないことを確認
し、正当なアクセスと判断してサーバから送られた応答
メッセージをインターネット101上のクライアントに
送信する。If the server 106 has not been attacked, the response message may differ from that of the intrusion detection server 107, although the response message may differ from application to application.
The contents are almost the same. The intrusion detection device 104 confirms that there is no noticeable difference between the response messages of both parties, determines that the access is valid, and transmits the response message sent from the server to the client on the Internet 101.
【0033】万一サーバ106が攻撃を受けた場合に
は、サーバは本来とは異なる動作を行うため、その応答
メッセージは侵入検知用サーバ107の応答メッセージ
とは明らかな違いが生じる。侵入検知装置104はこの
違いを検出し、不正アクセスが行われたとして、管理者
に通知する等の適切な対策を実行する。なお、サーバ1
06からの応答を監視対象サーバ応答といい、侵入検知
用サーバ107からの応答を対応サーバ応答という。In the unlikely event that the server 106 is attacked, the server performs an operation different from the original operation, so that the response message thereof clearly differs from the response message of the intrusion detection server 107. The intrusion detection device 104 detects this difference and determines that an unauthorized access has been made, and takes appropriate measures such as notifying the administrator. The server 1
The response from 06 is called a monitored server response, and the response from the intrusion detection server 107 is called a corresponding server response.
【0034】次に、図3を参照しながら、本実施の形態
に係る侵入検知装置104の内部構成について説明す
る。サーバ通信送受信部141は、LAN102を通じ
てサーバ106に送られるメッセージ(アクセス要求)
を受信し、そのメッセージを、適切なサーバ106、及
び侵入検知用サーバ107に転送するよう通信中継部1
45に要求する。適切な転送先は、サーバ情報管理部1
43を利用することで得ることができる。また、サーバ
通信送受信部141は、サーバからの応答メッセージを
応答比較部142より受け取り、LAN102を通じて
インターネット上のクライアントに返送する。また、サ
ーバ通信送受信部141は、対策実行要求を応答比較部
142より受け取り、対策実行要求を対策部144に送
る。サーバ通信送受信部141は、アクセス要求受信部
として機能する。Next, the internal structure of the intrusion detection device 104 according to the present embodiment will be described with reference to FIG. The server communication transmitting / receiving unit 141 sends a message (access request) to the server 106 via the LAN 102.
Communication relay unit 1 to receive the message and transfer the message to an appropriate server 106 and intrusion detection server 107.
45 request. The appropriate transfer destination is the server information management unit 1.
It can be obtained by using 43. Further, the server communication transmitting / receiving unit 141 receives the response message from the server from the response comparing unit 142 and returns it to the client on the Internet through the LAN 102. Further, the server communication transmission / reception unit 141 receives the countermeasure execution request from the response comparison unit 142 and sends the countermeasure execution request to the countermeasure unit 144. The server communication transmitting / receiving unit 141 functions as an access request receiving unit.
【0035】応答比較部142は、通信中継部145よ
りサーバ106及び侵入検知用サーバ107からの応答
メッセージを受け取り、それらの内容が一致しているか
どうかを判定する。また、応答比較部142は、判定の
結果正常なアクセスであると判断した場合には、サーバ
106からの応答メッセージをサーバ通信送受信部14
1に送る。不正なアクセスであると判断した場合には、
対策要求メッセージをサーバ通信送受信部141に送付
する。The response comparison unit 142 receives the response messages from the server 106 and the intrusion detection server 107 from the communication relay unit 145, and determines whether or not their contents match. When the response comparison unit 142 determines that the access is normal as a result of the determination, the response comparison unit 142 sends the response message from the server 106 to the server communication transmission / reception unit 14.
Send to 1. If it is determined that the access is unauthorized,
The countermeasure request message is sent to the server communication transmitting / receiving unit 141.
【0036】サーバ情報管理部143は、サーバ通信送
受信部141からポート番号及びトランスポート層のプ
ロトコル名を受け取り、内部のテーブルを参照して、適
切なサーバ106及び侵入検知用サーバ107のアドレ
ス、ポート番号、及びサービス名を返す。The server information management unit 143 receives the port number and the protocol name of the transport layer from the server communication transmission / reception unit 141, refers to the internal table, and addresses and ports of the appropriate server 106 and intrusion detection server 107. Returns the number and service name.
【0037】対策部144は、サーバ通信送受信部14
1より不正アクセス検知情報を受け取り、不正アクセス
対策を実行する。The countermeasure section 144 is the server communication transmitting / receiving section 14
The unauthorized access detection information is received from 1, and the unauthorized access countermeasure is executed.
【0038】通信中継部145は、サーバ通信送受信部
141より、サーバ106及び侵入検知用サーバ107
のアドレス、ポート、及び送信すべきメッセージを受け
取り、該当するサーバ106、及び侵入検知用サーバ1
07の指定されたポートに、LAN103及びLAN1
05を通じてメッセージを送信する。また、サーバ10
6もしくは侵入検知用サーバ107からLAN103、
LAN105を通じて応答メッセージを受信し、メッセ
ージの送信元アドレス、ポート、及びサーバ種別(本来
のサーバか侵入検知用サーバか)の情報を付加して、メ
ッセージを応答比較部142に入力する。The communication relay unit 145 receives the server 106 and the intrusion detection server 107 from the server communication transmitting / receiving unit 141.
Address, port, and message to be transmitted, and the corresponding server 106 and intrusion detection server 1
LAN103 and LAN1 to the designated port of 07
Send message through 05. Also, the server 10
6 or the intrusion detection server 107 to the LAN 103,
The response message is received via the LAN 105, information of the message source address, port, and server type (whether the original server or the intrusion detection server) is added, and the message is input to the response comparison unit 142.
【0039】次に、図4及び図5を参照しながら、侵入
検知装置104の内部動作についてより詳しく説明す
る。この図では、インターネット上のホスト(クライア
ント)が、TCP接続によってサーバと通信を行う場合
について説明している。Next, the internal operation of the intrusion detection device 104 will be described in more detail with reference to FIGS. 4 and 5. In this figure, a case where a host (client) on the Internet communicates with a server by TCP connection is described.
【0040】侵入検知装置104が起動すると、サーバ
通信送受信部141は、サーバ情報管理部143に対
し、接続許可ポート取得要求を送付し(S101)、サ
ーバ情報管理部143から、クライアントが接続可能な
ポートのリストを取得し(S102)、それらのポート
上でクライアントからの接続を待つ。When the intrusion detection device 104 is activated, the server communication transmission / reception unit 141 sends a connection permission port acquisition request to the server information management unit 143 (S101), and the client can be connected from the server information management unit 143. The list of ports is acquired (S102), and the client waits for a connection on those ports.
【0041】クライアントが、サーバ通信送受信部14
1が接続を待っているポートに接続すると(S10
3)、サーバ通信送受信部141は、一意の通信識別子
を割り振る。次に、接続されたポート番号と、トランス
ポート層のプロトコル名(TCP、UDP)で構成され
た接続ポート情報をパラメータとして、サーバ情報管理
部143に対して転送先検索要求を出す(S104)。
サーバ情報管理部143は、その応答として転送先情報
を返す(S105)。転送先情報には、転送先サーバア
ドレス、同ポート、転送先侵入検知用サーバアドレス、
同ポート、及びサービス名が含まれている。The client communicates with the server communication transmitting / receiving unit 14
1 connects to the port waiting for connection (S10
3), the server communication transmitter / receiver 141 allocates a unique communication identifier. Next, a transfer destination search request is issued to the server information management unit 143 using the connected port number and the connection port information composed of the transport layer protocol name (TCP, UDP) as parameters (S104).
The server information management unit 143 returns the transfer destination information as the response (S105). The transfer destination information includes the transfer destination server address, the same port, the transfer destination intrusion detection server address,
The port and service name are included.
【0042】サーバ通信送受信部141は、通信識別子
と、転送先情報に含まれるサービス名をパラメータとし
て、応答比較部に対し、通信識別子登録要求を送る(S
106)。応答比較部142は、得られたサービス情報
と通信識別子を関連付けて記憶しておく。次に、サーバ
通信送受信部141は、通信識別子、トランスポート層
のプロトコル名と、転送先情報に含まれる転送先サーバ
アドレス、同ポート、転送先侵入検知用サーバアドレ
ス、同ポートをパラメータとして、通信中継部145に
対し、接続要求を送る(S107)。通信中継部145
は入力された転送先情報に従い、該当するサーバ及び侵
入検知用サーバ上の、転送先情報記載のポートに接続を
行う(S108、S109)。The server communication transmitting / receiving unit 141 sends a communication identifier registration request to the response comparing unit using the communication identifier and the service name included in the transfer destination information as parameters (S).
106). The response comparison unit 142 stores the obtained service information in association with the communication identifier. Next, the server communication transmitting / receiving unit 141 performs communication using the communication identifier, the protocol name of the transport layer, the transfer destination server address included in the transfer destination information, the same port, the transfer destination intrusion detection server address, and the same port as parameters. A connection request is sent to the relay unit 145 (S107). Communication relay unit 145
Connects to the port described in the transfer destination information on the corresponding server and the intrusion detection server according to the input transfer destination information (S108, S109).
【0043】次に、図5において、クライアントからサ
ーバ通信送受信部141にデータ(アクセス要求)が送
信されると(S110)、サーバ通信送受信部141
は、受信したデータをパラメータとして通信中継部14
5に対し、データ送信要求を送る(S111)。その結
果、データは通信中継部よりサーバ及び侵入検知用サー
バの両方に転送される(S112、S113)。Next, in FIG. 5, when data (access request) is transmitted from the client to the server communication transmitting / receiving section 141 (S110), the server communication transmitting / receiving section 141 is sent.
Is the communication relay unit 14 using the received data as a parameter.
5, a data transmission request is sent to S5 (S111). As a result, the data is transferred from the communication relay unit to both the server and the intrusion detection server (S112, S113).
【0044】サーバからの応答を通信中継部145が受
信すると(S114)、通信中継部145は応答比較部
に対し、通信識別子をパラメータとしてサーバ応答受信
通知を送る(S115)。同様に、侵入検知用サーバか
らの応答を通信中継部145が受信すると(S11
6)、通信中継部145は、応答比較部142に対し、
通信識別子をパラメータとして侵入検知用サーバ応答受
信通知を送る(S117)。When the communication relay unit 145 receives the response from the server (S114), the communication relay unit 145 sends a server response reception notification to the response comparison unit using the communication identifier as a parameter (S115). Similarly, when the communication relay unit 145 receives a response from the intrusion detection server (S11
6), the communication relay unit 145 tells the response comparison unit 142 that
An intrusion detection server response reception notification is sent using the communication identifier as a parameter (S117).
【0045】サーバからの応答と侵入検知用サーバから
の応答がそろった時点で、応答比較部142は、受け取
った応答の比較を行う(S118)。When the response from the server and the response from the intrusion detection server are complete, the response comparison unit 142 compares the received responses (S118).
【0046】比較の結果、サーバ及び侵入検知用サーバ
からの応答に顕著な違いが認められなかった場合、応答
比較部142はサーバ通信送受信部141に、通信識別
子と、サーバからの応答データをパラメータとして応答
受信通知を送る(S119)。応答受信通知を受け取っ
たサーバ通信送受信部141は、パラメータとして渡さ
れたサーバからの応答データをクライアントに送信する
(S120)。As a result of the comparison, if no significant difference is found in the responses from the server and the intrusion detection server, the response comparing unit 142 causes the server communication transmitting / receiving unit 141 to use the communication identifier and the response data from the server as parameters. A response reception notice is sent as (S119). The server communication transmission / reception unit 141 that has received the response reception notification transmits the response data from the server, which has been passed as a parameter, to the client (S120).
【0047】もし、比較の結果、サーバ及び侵入検知用
サーバからの応答に顕著な違いが認められたならば、応
答比較部142は、通信識別子をパラメータとして対策
実行要求をサーバ通信送受信部に送付する(S12
1)。サーバ通信送受信部141は、通信識別子をもと
にその通信に関する情報をパラメータとして、対策実行
要求を送る(S122)。その後、対策部144は、不
正アクセスが行われたとして、管理者に通知する等の適
切な対策を実行する(S123)。If a significant difference is found in the responses from the server and the intrusion detection server as a result of the comparison, the response comparing section 142 sends a countermeasure execution request to the server communication transmitting / receiving section using the communication identifier as a parameter. Yes (S12
1). The server communication transmission / reception unit 141 sends a countermeasure execution request based on the communication identifier, using information about the communication as a parameter (S122). After that, the countermeasure unit 144 executes appropriate countermeasures such as notifying the administrator that unauthorized access has been made (S123).
【0048】次に、図6を参照しながら応答比較部の内
部について説明する。応答比較部142は、応答比較制
御部1421と各種比較部1422〜1424で構成さ
れている。各種比較部は、それぞれが特定のサービスに
おける比較方法が実装されており、ユーザによって追加
削除が可能となっている。Next, the inside of the response comparison unit will be described with reference to FIG. The response comparison unit 142 includes a response comparison control unit 1421 and various comparison units 1422 to 1424. Each of the comparison units has a comparison method for a specific service, and can be added or deleted by the user.
【0049】サーバ通信送受信部141から送られた通
信登録要求を、応答比較制御部1421が受信すると、
通信登録要求に含まれる通信識別子と、サービス名との
対応を記憶しておく。When the response comparison control unit 1421 receives the communication registration request sent from the server communication transmitting / receiving unit 141,
The correspondence between the communication identifier included in the communication registration request and the service name is stored.
【0050】応答比較制御部1421が、サーバ、もし
くは侵入検知用サーバからの応答受信通知を通信中継部
145から受信すると、応答比較制御部は応答受信通知
に含まれている通信識別子から、関連付けられているサ
ービス名を取得し、そのサービスにおける応答比較機能
を有する比較部を呼び出す。When the response comparison control unit 1421 receives the response reception notification from the server or the intrusion detection server from the communication relay unit 145, the response comparison control unit is associated with the communication identifier included in the response reception notification. The service name of the corresponding service is acquired, and the comparison unit having the response comparison function in the service is called.
【0051】各種比較部は、入力されたサーバ、侵入検
知用サーバからの応答を比較し、応答が一致するかどう
かを比較する。応答が一致していた場合には、応答比較
制御部1421に比較結果一致通知を出力する。該通知
には、通信識別子と、サーバから入力されたデータが含
まれている。応答が一致していない場合(一定レベル以
上の差異がある場合)には、比較結果不一致通知を出力
する。該通知には通信識別子が含まれている。The various comparison units compare the responses from the input server and the intrusion detection server, and compare whether the responses match. If the responses match, the response comparison control unit 1421 outputs a comparison result match notification. The notification includes the communication identifier and the data input from the server. When the responses do not match (when there is a difference of a certain level or more), the comparison result mismatch notification is output. The notification includes the communication identifier.
【0052】各種比較部より比較結果一致通知を受け取
った応答比較制御部1421は、サーバ通信送受信部1
41に、比較結果一致通知中に含まれる通信識別子と、
サーバからのデータをパラメータとして応答受信通知を
送る。比較結果不一致通知を受け取った場合には、応答
比較制御部1421は、サーバ通信送受信部141に、
比較結果不一致通知中の通信識別子をパラメータとして
対策要求を送る。The response comparison control unit 1421 which has received the comparison result agreement notification from the various comparison units, the server communication transmission / reception unit 1
41, a communication identifier included in the comparison result match notification,
A response reception notification is sent using the data from the server as a parameter. When the comparison result mismatch notification is received, the response comparison control unit 1421 causes the server communication transmitting / receiving unit 141 to
A countermeasure request is sent using the communication identifier in the comparison result mismatch notification as a parameter.
【0053】最後に、図7を参照しながらサーバ情報管
理部143の動作について説明する。図7はサーバ情報
管理部143内で管理されているサーバ情報のテーブル
を表している。テーブルは、接続ポート601、トラン
スポート層のプロトコル602、サービス名603、サ
ーバIPアドレス604、サーバポート605、侵入検
知用サーバIPアドレス606、侵入検知用サーバポー
ト607で構成されている。Finally, the operation of the server information management unit 143 will be described with reference to FIG. FIG. 7 shows a server information table managed in the server information management unit 143. The table includes a connection port 601, a transport layer protocol 602, a service name 603, a server IP address 604, a server port 605, an intrusion detection server IP address 606, and an intrusion detection server port 607.
【0054】サーバ通信送受信部141から、接続許可
ポート取得要求を受けたサーバ情報管理部143は、内
部テーブルの601及び602のコラムで構成されたリ
ストを、接続許可ポートとして出力する。Upon receiving the connection permission port acquisition request from the server communication transmission / reception unit 141, the server information management unit 143 outputs the list constituted by the columns of 601 and 602 of the internal table as the connection permission port.
【0055】サーバ通信送受信部141から、ポート番
号とトランスポート層のプロトコル名をパラメータとし
て転送先検索要求を受け取ったサーバ情報管理部143
は、それらをキーとして、該当するテーブル中のエント
リを検索する。見つかったエントリから、サービス名6
03、サーバアドレス604、ポート605、侵入検知
用サーバアドレス606、ポート607を取得し、転送
先情報として返す。The server information management unit 143 receives a transfer destination search request from the server communication transmission / reception unit 141 using the port number and the protocol name of the transport layer as parameters.
Searches for an entry in the corresponding table using them as keys. Service name 6 from the entry found
03, the server address 604, the port 605, the intrusion detection server address 606, and the port 607 are acquired and returned as transfer destination information.
【0056】以上のように、本実施の形態で示される構
成は、従来の侵入検知技術と異なり、未知の攻撃に対し
ても侵入を検知できるという効果がある。As described above, unlike the conventional intrusion detection technique, the configuration shown in the present embodiment has an effect of being able to detect an intrusion even for an unknown attack.
【0057】実施の形態2.図8は、実施の形態2に係
る侵入検知装置を含むネットワーク構成を示す図であ
る。侵入検知装置104は、LAN102上に接続し、
また、侵入検知用サーバ107の接続されたLAN10
3とも接続されている。LAN102は、インターネッ
ト101上のクライアントとサーバ106との通信を侵
入検知装置によってモニタできるタイプのLANであ
る。Embodiment 2. FIG. 8 is a diagram showing a network configuration including the intrusion detection device according to the second embodiment. The intrusion detection device 104 is connected to the LAN 102,
The LAN 10 to which the intrusion detection server 107 is connected
3 is also connected. The LAN 102 is a type of LAN in which communication between a client on the Internet 101 and a server 106 can be monitored by an intrusion detection device.
【0058】図9は侵入検知装置104の内部構成を示
した図である。侵入検知装置104は、ネットワークモ
ニタ部146、通信中継部145、応答比較部142、
対策部144、サーバ情報管理部143で構成されてい
る。応答比較部142の内部構成は図6に示したものと
同一である。なお、ネットワークモニタ部は、モニタ部
に相当する。FIG. 9 shows the internal structure of the intrusion detection device 104. The intrusion detection device 104 includes a network monitor unit 146, a communication relay unit 145, a response comparison unit 142,
It is composed of a countermeasure section 144 and a server information management section 143. The internal structure of the response comparison unit 142 is the same as that shown in FIG. The network monitor unit corresponds to the monitor unit.
【0059】図10及び図11は、本実施の形態におけ
る侵入検知装置104の動作を示した図である。10 and 11 are diagrams showing the operation of the intrusion detection device 104 in this embodiment.
【0060】図12は、本実施の形態における侵入検知
装置内のサーバ情報管理部143で管理されるサーバ情
報管理テーブルの構成を表した図である。FIG. 12 is a diagram showing the configuration of a server information management table managed by the server information management unit 143 in the intrusion detection device according to this embodiment.
【0061】次に、図9〜11を参照しながら動作につ
いて説明する。ネットワークモニタ部146は、LAN
102上を流れるパケットのうち、対象とするサーバへ
の入出力となるパケットを監視している。Next, the operation will be described with reference to FIGS. The network monitor unit 146 is a LAN
Among the packets flowing on 102, the packets that are input / output to / from the target server are monitored.
【0062】ネットワークモニタ部146は、起動時に
サーバ情報管理部143に対し、モニタ対象サーバ要求
を送り(S201)、ネットワーク上で通信を監視すべ
きサーバのアドレス、ポート、トランスポート層のプロ
トコルの一覧を入手する(S202)。The network monitor unit 146 sends a monitor target server request to the server information management unit 143 at the time of activation (S201), and a list of addresses, ports, and transport layer protocols of servers to monitor communication on the network. Is obtained (S202).
【0063】インターネット上のクライアントが監視対
象のサーバに接続を行うと、それはネットワークモニタ
部146で検知される(S203)。ネットワークモニ
タ部146は、通信識別子を割り当て、サーバ情報管理
部143にサーバのアドレス、ポート、トランスポート
層プロトコルをパラメータとして転送先検索要求を送る
(S204)。サーバ情報管理部143は、転送先情報
をネットワークモニタ部に返す(S205)。転送先情
報は、侵入検知用サーバ107のアドレス、ポート、及
びサービス名が含まれている。When the client on the Internet connects to the server to be monitored, it is detected by the network monitor unit 146 (S203). The network monitor unit 146 assigns a communication identifier and sends a transfer destination search request to the server information management unit 143 using the server address, port, and transport layer protocol as parameters (S204). The server information management unit 143 returns the transfer destination information to the network monitor unit (S205). The transfer destination information includes the address, port, and service name of the intrusion detection server 107.
【0064】次にネットワークモニタ部146は、実施
の形態1の場合と同様、応答比較部142に対し通信登
録要求を送り(S206)、通信中継部145に対し、
接続要求を送る(S207)。ただし、本実施の形態で
は、実施の形態1の場合と異なり、通信中継部145に
はサーバに関する情報は渡されない。その後、通信中継
部145は、侵入検知用サーバ107に接続を行う(S
208)。Next, the network monitor unit 146 sends a communication registration request to the response comparison unit 142 (S206), as in the case of the first embodiment, and the communication relay unit 145
A connection request is sent (S207). However, in the present embodiment, unlike the case of the first embodiment, information regarding the server is not passed to the communication relay unit 145. After that, the communication relay unit 145 connects to the intrusion detection server 107 (S
208).
【0065】次に、図11において、ネットワークモニ
タ部146がクライアントからのデータ送信(アクセス
要求)を検知すると(S209)、実施の形態1の場合
と同様、データ送信要求を通信中継部145に送る(S
210)。ここで、通信中継部145に送るデータ送信
要求には、モニタしたデータ(アクセス要求)が含まれ
る。通信中継部145は、侵入検知用サーバにデータ送
信を行った後(S211)、侵入検知用サーバからの応
答を受信すると(S212)、応答比較部142に侵入
検知用サーバ応答受信通知を送る(S213)。この動
作も、実施の形態1の場合と同様である。Next, in FIG. 11, when the network monitor unit 146 detects data transmission (access request) from the client (S209), the data transmission request is sent to the communication relay unit 145 as in the case of the first embodiment. (S
210). Here, the data transmission request sent to the communication relay unit 145 includes the monitored data (access request). After transmitting the data to the intrusion detection server (S211), the communication relay unit 145 receives the response from the intrusion detection server (S212), and then sends the intrusion detection server response reception notification to the response comparison unit 142 ( S213). This operation is also similar to that of the first embodiment.
【0066】ネットワークモニタ部146が、サーバ1
06からクライアントへの応答を検知すると(S21
4)、応答比較部142に対してサーバ応答受信通知を
送る(S215)。ここで、応答比較部142に送るサ
ーバ応答受信通知には、ネットワークモニタ部146が
モニタしたサーバからの応答が含まれる。パラメータは
実施の形態1の場合と同じである。The network monitor unit 146 uses the server 1
When a response from 06 to the client is detected (S21
4), a server response reception notification is sent to the response comparison unit 142 (S215). Here, the server response reception notification sent to the response comparison unit 142 includes the response from the server monitored by the network monitoring unit 146. The parameters are the same as in the first embodiment.
【0067】サーバからの応答と、侵入検知用サーバか
らの応答を入力された応答比較部142は、実施の形態
1の場合と同様に応答比較を行う(S216)。もし比
較結果が一致していた場合には、通信識別子をパラメー
タとして比較一致通知をネットワークモニタ部146に
通知する(S217)。The response comparison unit 142, which receives the response from the server and the response from the intrusion detection server, compares the responses as in the case of the first embodiment (S216). If the comparison results match, the network monitor unit 146 is notified of the comparison match using the communication identifier as a parameter (S217).
【0068】もし、比較が一致しなかった場合(一定レ
ベル以上の差異があった場合)には、対策実行要求をネ
ットワークモニタ部146に送る(S218)。パラメ
ータは実施の形態1の場合と同様である。If the comparisons do not match (if there is a difference of a certain level or more), a countermeasure execution request is sent to the network monitor unit 146 (S218). The parameters are the same as those in the first embodiment.
【0069】対策実行要求を受け取ったネットワークモ
ニタ部146は実施の形態1の場合と同様、対策部14
4に対し対策実行要求を送る(S219)。対策実行要
求を受けた対策部144は、実施の形態1の場合と同様
に侵入に対する対策処理を行う(S220)。The network monitor unit 146 that has received the countermeasure execution request receives the countermeasure unit 14 as in the case of the first embodiment.
A measure execution request is sent to the server 4 (S219). Upon receiving the countermeasure execution request, the countermeasure unit 144 performs the countermeasure process against the intrusion similarly to the case of the first embodiment (S220).
【0070】最後に、図12を参照しながら、本実施の
形態のサーバ情報管理部143の動作について説明す
る。図12は、サーバ情報管理部143内で管理される
サーバ情報管理テーブルを示すものである。このテーブ
ルは、サーバIPアドレス1201、ポート1202、
侵入検知用サーバ1203、ポート1204、トランス
ポート層プロトコル1205、サービス名1206で構
成されている。Finally, the operation of the server information management unit 143 of this embodiment will be described with reference to FIG. FIG. 12 shows a server information management table managed in the server information management unit 143. This table shows the server IP address 1201, port 1202,
It is composed of an intrusion detection server 1203, a port 1204, a transport layer protocol 1205, and a service name 1206.
【0071】ネットワークモニタ部146からモニタ対
象サーバ要求を受け取ったサーバ情報管理部143は、
サーバIPアドレス1201、ポート1202、トラン
スポート層プロトコル1205を項目としたリストをネ
ットワークモニタ部146に返す。The server information management unit 143, which has received the monitoring target server request from the network monitoring unit 146,
A list of the server IP address 1201, port 1202 and transport layer protocol 1205 is returned to the network monitor unit 146.
【0072】ネットワークモニタ部146から、サーバ
IPアドレス、ポート、トランスポート層プロトコルを
パラメータとして転送先検索要求を受け取ったサーバ情
報管理部143は、侵入検知用サーバIPアドレス12
03、ポート1204、サービス名1206を項目とし
たリストをネットワークモニタ部146に返す。The server information management unit 143, which has received the transfer destination search request from the network monitor unit 146 with the server IP address, port, and transport layer protocol as parameters, uses the intrusion detection server IP address 12
03, port 1204, service name 1206 are returned to the network monitor unit 146.
【0073】以上のように、本実施の形態における侵入
検知装置は、実施の形態1で述べた効果に加え、既存の
サーバのLANへの接続を変更する必要が無いという効
果がある。As described above, the intrusion detection device according to the present embodiment has the effect that it is not necessary to change the connection of the existing server to the LAN in addition to the effect described in the first embodiment.
【0074】以上の実施の形態1及び実施の形態2で
は、本発明に係る不正アクセス検知装置について説明し
たが、実施の形態1及び実施の形態2と同様の処理手順
により本発明に係る不正アクセス検知方法も実現するこ
とができる。Although the unauthorized access detection device according to the present invention has been described in the above first and second embodiments, the unauthorized access detection device according to the present invention is performed by the same processing procedure as in the first and second embodiments. A detection method can also be realized.
【0075】ここで、実施の形態1及び実施の形態2に
係る侵入検知装置の特徴をまとめる。Here, the features of the intrusion detection device according to the first and second embodiments will be summarized.
【0076】実施の形態1及び実施の形態2に係る侵入
検知装置は、
(1)監視対象となるサーバ(複数可能)と同等だが、
異なるプログラムで実現されている侵入検知用サーバ
(複数可能)があること
(2)クライアントからの入力を、侵入検知用サーバに
転送し、サーバの応答と侵入検知用サーバの応答を比較
することで侵入の有無を検出することを特徴とする。The intrusion detection devices according to the first and second embodiments are (1) equivalent to the server (plurality of servers) to be monitored,
There may be multiple intrusion detection servers realized by different programs (2) By transferring the input from the client to the intrusion detection server and comparing the server response with the intrusion detection server response It is characterized by detecting the presence or absence of intrusion.
【0077】実施の形態1に係る侵入検知装置は、外部
LANとサーバとの間に設置され、サーバのプロキシと
して動作することを特徴とする。The intrusion detection device according to the first embodiment is characterized by being installed between an external LAN and a server and operating as a proxy for the server.
【0078】実施の形態2に係る侵入検知装置は、ネッ
トワークモニタ機能を有し、監視対象サーバとクライア
ントとの通信をモニタすることを特徴とする。The intrusion detection device according to the second embodiment is characterized by having a network monitor function and monitoring the communication between the monitored server and the client.
【0079】実施の形態1及び実施の形態2に係る侵入
検知装置は、サーバで提供されているサービス毎に応答
の比較方法を変更することを特徴とする。The intrusion detection devices according to the first and second embodiments are characterized by changing the response comparison method for each service provided by the server.
【0080】実施の形態1及び実施の形態2に係る侵入
検知装置は、サービス毎の比較機能を追加・削除可能に
したことを特徴とする。The intrusion detection devices according to the first and second embodiments are characterized in that the comparison function for each service can be added or deleted.
【0081】実施の形態1に係る侵入検知装置は、接続
ポート、トランスポート層のプロトコル、サービス名、
サーバIPアドレス、ポート、侵入検知用サーバIPア
ドレス、ポートを項目としたサーバ情報管理テーブルを
有することを特徴とする。The intrusion detection device according to the first embodiment has a connection port, a transport layer protocol, a service name,
It is characterized by having a server information management table having server IP address, port, intrusion detection server IP address, and port as items.
【0082】実施の形態1に係る侵入検知装置は、サー
バIPアドレス、ポート、侵入検知用IPアドレス、ポ
ート、トランスポート層のプロトコル、サービス名を項
目としたサーバ情報管理テーブルを有することを特徴と
する。The intrusion detection device according to the first embodiment is characterized by having a server information management table having server IP address, port, intrusion detection IP address, port, transport layer protocol, and service name as items. To do.
【0083】[0083]
【発明の効果】以上のように、本発明によれば、いずれ
かのクライアント装置より特定の監視対象サーバ宛のア
クセス要求が送信された場合に、特定の監視対象サーバ
及び特定の監視対象サーバに対応する特定の対応サーバ
より、アクセス要求に対する応答を受信し、受信したを
応答を比較し、比較結果に基づき、アクセス要求が特定
の監視対象サーバへの不正アクセスを目的とするか否か
を判断するため、未知の不正アクセスであっても検知す
ることできるという効果がある。As described above, according to the present invention, when an access request addressed to a specific monitoring target server is transmitted from any of the client devices, the specific monitoring target server and the specific monitoring target server are sent to the specific monitoring target server. Receives a response to the access request from the corresponding corresponding server, compares the received responses, and determines whether the access request is intended for unauthorized access to the specific monitored server based on the comparison result. Therefore, there is an effect that even an unknown unauthorized access can be detected.
【0084】また、本発明によれば、いずれかのクライ
アント装置より特定の監視対象サーバ宛のアクセス要求
が送信された場合に、アクセス要求をモニタするととも
に、特定の監視対象サーバによるアクセス要求に対する
応答をモニタし、モニタした応答と特定の対応サーバよ
り受信した応答とを比較して不正アクセスの有無を判断
するため、既存のネットワーク構成を変更することな
く、未知の不正アクセスを検知することができるという
効果がある。Further, according to the present invention, when an access request addressed to a specific monitoring target server is transmitted from any of the client devices, the access request is monitored and a response to the access request from the specific monitoring target server is sent. It is possible to detect unknown unauthorized access without changing the existing network configuration by monitoring the response and comparing the monitored response with the response received from a specific corresponding server to determine the presence or absence of unauthorized access. There is an effect.
【図1】 実施の形態1に係る侵入検知装置を含むネッ
トワークの構成例を示す図。FIG. 1 is a diagram showing a configuration example of a network including an intrusion detection device according to a first embodiment.
【図2】 実施の形態1に係る動作概要を示す図。FIG. 2 is a diagram showing an operation outline according to the first embodiment.
【図3】 実施の形態1に係る侵入検知装置の内部構成
の例を示す図。FIG. 3 is a diagram showing an example of an internal configuration of an intrusion detection device according to the first embodiment.
【図4】 実施の形態1に係る侵入検知装置の動作手順
を示す図。FIG. 4 is a diagram showing an operation procedure of the intrusion detection device according to the first embodiment.
【図5】 実施の形態1に係る侵入検知装置の動作手順
を示す図。FIG. 5 is a diagram showing an operation procedure of the intrusion detection device according to the first embodiment.
【図6】 応答比較部の内部構成の例を示す図。FIG. 6 is a diagram showing an example of an internal configuration of a response comparison unit.
【図7】 サーバ情報管理テーブルの例を示す図。FIG. 7 is a diagram showing an example of a server information management table.
【図8】 実施の形態2に係る侵入検知装置を含むネッ
トワークの構成例を示す図。FIG. 8 is a diagram showing a configuration example of a network including an intrusion detection device according to the second embodiment.
【図9】 実施の形態2に係る侵入検知装置の内部構成
の例を示す図。FIG. 9 is a diagram showing an example of an internal configuration of an intrusion detection device according to the second embodiment.
【図10】 実施の形態2に係る侵入検知装置の動作手
順を示す図。FIG. 10 is a diagram showing an operation procedure of the intrusion detection device according to the second embodiment.
【図11】 実施の形態2に係る侵入検知装置の動作手
順を示す図。FIG. 11 is a diagram showing an operation procedure of the intrusion detection device according to the second embodiment.
【図12】 サーバ情報管理テーブルの例を示す図。FIG. 12 is a diagram showing an example of a server information management table.
【図13】 従来の侵入検知装置を含むネットワークの
構成例を示す図。FIG. 13 is a diagram showing a configuration example of a network including a conventional intrusion detection device.
【図14】 従来の侵入検知装置の内部構成の例を示す
図。FIG. 14 is a diagram showing an example of the internal configuration of a conventional intrusion detection device.
101 インターネット、102 LAN、103 L
AN、104 侵入検知装置、105 LAN、106
サーバ、107 侵入検知用サーバ、141サーバ通
信送受信部、142 応答比較部、143 サーバ情報
管理部、144 対策部、145 通信中継部、146
ネットワークモニタ部。101 Internet, 102 LAN, 103 L
AN, 104 Intrusion detection device, 105 LAN, 106
Server, 107 intrusion detection server, 141 server communication transmission / reception unit, 142 response comparison unit, 143 server information management unit, 144 countermeasure unit, 145 communication relay unit, 146
Network monitor section.
Claims (10)
視対象サーバと、監視対象サーバのそれぞれに対応づけ
られた少なくとも一つ以上の対応サーバとに接続され、
いずれかのクライアント装置による前記監視対象サーバ
への不正アクセスを検知する不正アクセス検知装置であ
って、 いずれかのクライアント装置より特定の監視対象サーバ
宛のアクセス要求が送信された場合に、前記アクセス要
求を取得し、 前記特定の監視対象サーバに対応する特定の対応サーバ
へ前記アクセス要求を送信するとともに、前記特定の対
応サーバより、前記アクセス要求に対する応答を対応サ
ーバ応答として受信し、 前記特定の監視対象サーバより送信された前記アクセス
要求に対する応答を監視対象サーバ応答として取得し、 前記監視対象サーバ応答と前記対応サーバ応答とを比較
し、比較結果に基づき、前記アクセス要求が前記特定の
監視対象サーバへの不正アクセスを目的とするか否かを
判断することを特徴とする不正アクセス検知装置。1. Connected to at least one or more monitored servers to be monitored and at least one or more corresponding servers associated with each of the monitored servers,
An unauthorized access detection device for detecting unauthorized access to the monitored server by any of the client devices, wherein the access request is sent when an access request addressed to a specific monitored server is sent from any of the client devices. And sending the access request to a specific corresponding server corresponding to the specific monitored server, and receiving a response to the access request from the specific corresponding server as a corresponding server response, the specific monitoring Acquiring a response to the access request sent from the target server as a monitored server response, comparing the monitored server response with the corresponding server response, and based on the comparison result, the access request is the specific monitored server. Characterized by determining whether the purpose is unauthorized access to Unauthorized access detection device.
監視対象サーバのプログラムと同様な機能を有するが、
プログラム構成が異なるプログラムを使用する対応サー
バに接続されていることを特徴とする請求項1に記載の
不正アクセス検知装置。2. The unauthorized access detection device has the same function as the program of the corresponding monitored server,
The unauthorized access detection device according to claim 1, wherein the unauthorized access detection device is connected to a corresponding server that uses a program having a different program configuration.
対象サーバ応答と前記対応サーバ応答との比較におい
て、前記監視対象サーバ応答と前記対応サーバ応答との
間に一定レベル以上の差異があった場合に、前記アクセ
ス要求が前記特定の監視対象サーバに対する不正アクセ
スを目的とすると判断することを特徴とする請求項1又
は2に記載の不正アクセス検知装置。3. The unauthorized access detection device, when comparing the monitored server response and the corresponding server response, when there is a difference of a certain level or more between the monitored server response and the corresponding server response. The unauthorized access detection device according to claim 1 or 2, wherein the access request is determined to be for an unauthorized access to the specific monitoring target server.
ーバ宛のアクセス要求が送信された場合に、前記アクセ
ス要求を受信するアクセス要求受信部と、 前記アクセス要求を前記特定の監視対象サーバ及び前記
特定の対応サーバに送信するとともに、前記特定の監視
対象サーバより前記アクセス要求に対する応答を監視対
象サーバ応答として受信し、前記特定の対応サーバより
前記アクセス要求に対する応答を対応サーバ応答として
受信する通信中継部と、 前記監視対象サーバ応答と前記対応サーバ応答とを比較
し、比較結果に基づき、前記アクセス要求が前記特定の
監視対象サーバへの不正アクセスを目的とするか否かを
判断する応答比較部とを有することを特徴とする請求項
1〜3に記載の不正アクセス検知装置。4. The unauthorized access detection device includes an access request receiving unit that receives the access request when an access request addressed to the specific monitored server is transmitted from any one of the client devices, and the access request. Is transmitted to the specific monitored server and the specific corresponding server, and a response to the access request is received as a monitored server response from the specific monitored server, and a response to the access request is received from the specific corresponding server. And a corresponding server response are compared with a communication relay unit that receives as a corresponding server response, and the access request aims at unauthorized access to the specific monitored server based on the comparison result. It has a response comparison part which judges whether or not it is characterized by the above-mentioned. Unauthorized access detection device.
モニタし、いずれかのクライアント装置より前記特定の
監視対象サーバ宛のアクセス要求が送信された場合に、
前記アクセス要求をモニタするとともに、前記特定の監
視対象サーバによる前記アクセス要求に対する応答を監
視対象サーバ応答としてモニタするモニタ部と、 前記モニタ部によりモニタされた前記アクセス要求を前
記特定の対応サーバへ送信するとともに、前記特定の対
応サーバより、前記アクセス要求に対する応答を対応サ
ーバ応答として受信する通信中継部と、 前記監視対象サーバ応答と前記対応サーバ応答とを比較
し、比較結果に基づき、前記アクセス要求が前記特定の
監視対象サーバへの不正アクセスを目的とするか否かを
判断する応答比較部とを有することを特徴とする請求項
1〜3に記載の不正アクセス検知装置。5. The unauthorized access detection device monitors the data transmission / reception status for each monitoring target server, and when an access request addressed to the specific monitoring target server is transmitted from any of the client devices,
A monitor unit that monitors the access request and also monitors a response to the access request by the specific monitoring target server as a monitoring target server response, and transmits the access request monitored by the monitoring unit to the specific corresponding server. In addition, a communication relay unit that receives a response to the access request from the specific corresponding server as a corresponding server response, compares the monitored server response and the corresponding server response, and based on the comparison result, the access request. 4. The unauthorized access detection device according to claim 1, further comprising: a response comparison unit that determines whether or not the unauthorized access to the specific monitoring target server is intended.
視対象サーバと、監視対象サーバのそれぞれに対応づけ
られた少なくとも一つ以上の対応サーバとに接続され、
いずれかのクライアント装置による前記監視対象サーバ
への不正アクセスを検知する不正アクセス検知方法であ
って、 いずれかのクライアント装置より特定の監視対象サーバ
宛のアクセス要求が送信された場合に、前記アクセス要
求を取得し、 前記特定の監視対象サーバに対応する特定の対応サーバ
へ前記アクセス要求を送信するとともに、前記特定の対
応サーバより、前記アクセス要求に対する応答を対応サ
ーバ応答として受信し、 前記特定の監視対象サーバより送信された前記アクセス
要求に対する応答を監視対象サーバ応答として取得し、 前記監視対象サーバ応答と前記対応サーバ応答とを比較
し、比較結果に基づき、前記アクセス要求が前記特定の
監視対象サーバへの不正アクセスを目的とするか否かを
判断することを特徴とする不正アクセス検知方法。6. Connected to at least one or more monitored servers to be monitored and at least one or more corresponding servers associated with each of the monitored servers,
An unauthorized access detection method for detecting unauthorized access to the monitored server by any of the client devices, wherein the access request is sent when an access request addressed to a specific monitored server is sent from any of the client devices. And sending the access request to a specific corresponding server corresponding to the specific monitored server, and receiving a response to the access request from the specific corresponding server as a corresponding server response, the specific monitoring Acquiring a response to the access request sent from the target server as a monitored server response, comparing the monitored server response with the corresponding server response, and based on the comparison result, the access request is the specific monitored server. Characterized by determining whether the purpose is unauthorized access to Unauthorized access detection method.
監視対象サーバのプログラムと同様な機能を有するが、
プログラム構成が異なるプログラムを使用する対応サー
バに接続されていることを特徴とする請求項6に記載の
不正アクセス検知方法。7. The unauthorized access detection method has the same function as the program of the corresponding monitored server,
The unauthorized access detection method according to claim 6, wherein the unauthorized access detection method is connected to a corresponding server that uses a program having a different program configuration.
対象サーバ応答と前記対応サーバ応答との比較におい
て、前記監視対象サーバ応答と前記対応サーバ応答との
間に一定レベル以上の差異があった場合に、前記アクセ
ス要求が前記特定の監視対象サーバに対する不正アクセ
スを目的とすると判断することを特徴とする請求項6又
は7に記載の不正アクセス検知方法。8. The method for detecting unauthorized access according to claim 4, wherein in the comparison between the monitored server response and the corresponding server response, there is a certain level or more difference between the monitored server response and the corresponding server response. The unauthorized access detection method according to claim 6 or 7, wherein the access request is determined to be an unauthorized access to the specific monitored server.
ーバ宛のアクセス要求が送信された場合に、前記アクセ
ス要求を受信するアクセス要求受信ステップと、 前記アクセス要求を前記特定の監視対象サーバ及び前記
特定の対応サーバに送信するとともに、前記特定の監視
対象サーバより前記アクセス要求に対する応答を監視対
象サーバ応答として受信し、前記特定の対応サーバより
前記アクセス要求に対する応答を対応サーバ応答として
受信する通信中継ステップと、 前記監視対象サーバ応答と前記対応サーバ応答とを比較
し、比較結果に基づき、前記アクセス要求が前記特定の
監視対象サーバへの不正アクセスを目的とするか否かを
判断する応答比較ステップとを有することを特徴とする
請求項6〜8に記載の不正アクセス検知方法。9. The unauthorized access detection method comprises: an access request receiving step of receiving the access request when an access request addressed to the specific monitored server is transmitted from any of the client devices; Is transmitted to the specific monitored server and the specific corresponding server, and a response to the access request is received as a monitored server response from the specific monitored server, and a response to the access request is received from the specific corresponding server. And a corresponding server response are compared with the communication relay step of receiving as a corresponding server response, and the access request aims at unauthorized access to the specific monitored server based on a comparison result. And a response comparison step for determining whether or not Unauthorized access detection method according to claim 6-8.
モニタし、いずれかのクライアント装置より前記特定の
監視対象サーバ宛のアクセス要求が送信された場合に、
前記アクセス要求をモニタするとともに、前記特定の監
視対象サーバによる前記アクセス要求に対する応答を監
視対象サーバ応答としてモニタするモニタステップと、 前記モニタステップによりモニタされた前記アクセス要
求を前記特定の対応サーバへ送信するとともに、前記特
定の対応サーバより、前記アクセス要求に対する応答を
対応サーバ応答として受信する通信中継ステップと、 前記監視対象サーバ応答と前記対応サーバ応答とを比較
し、比較結果に基づき、前記アクセス要求が前記特定の
監視対象サーバへの不正アクセスを目的とするか否かを
判断する応答比較ステップとを有することを特徴とする
請求項6〜8に記載の不正アクセス検知方法。10. The unauthorized access detection method monitors the data transmission / reception status for each monitored server, and when an access request addressed to the specific monitored server is transmitted from any of the client devices,
A monitoring step of monitoring the access request and monitoring a response to the access request by the specific monitoring target server as a monitoring target server response; and transmitting the access request monitored by the monitoring step to the specific corresponding server. In addition, a communication relay step of receiving a response to the access request from the specific corresponding server as a corresponding server response, comparing the monitored server response and the corresponding server response, and based on the comparison result, the access request 9. The unauthorized access detection method according to claim 6, further comprising: a response comparison step of determining whether or not the unauthorized access to the specific monitoring target server is intended.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001260959A JP2003067269A (en) | 2001-08-30 | 2001-08-30 | Device and method for detecting unauthorized access |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001260959A JP2003067269A (en) | 2001-08-30 | 2001-08-30 | Device and method for detecting unauthorized access |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003067269A true JP2003067269A (en) | 2003-03-07 |
Family
ID=19088072
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001260959A Pending JP2003067269A (en) | 2001-08-30 | 2001-08-30 | Device and method for detecting unauthorized access |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003067269A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004302538A (en) * | 2003-03-28 | 2004-10-28 | Meiji Univ | Network security system and network security management method |
| JP2005293246A (en) * | 2004-03-31 | 2005-10-20 | Toshiba Solutions Corp | Server computer protection device and server computer protection program |
| WO2015004543A1 (en) * | 2013-07-09 | 2015-01-15 | International Business Machines Corporation | A network security system |
| CN105933214A (en) * | 2016-06-27 | 2016-09-07 | 安徽科成信息科技有限公司 | Network monitoring device |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08249279A (en) * | 1995-03-13 | 1996-09-27 | Hitachi Ltd | Online system |
| JPH11154139A (en) * | 1997-11-19 | 1999-06-08 | Fujitsu Ltd | Method and device for correcting forgery and forgery discriminating device |
| WO2000064122A1 (en) * | 1999-04-15 | 2000-10-26 | Gilian Technologies, Ltd. | Monitoring integrity of transmitted data |
-
2001
- 2001-08-30 JP JP2001260959A patent/JP2003067269A/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08249279A (en) * | 1995-03-13 | 1996-09-27 | Hitachi Ltd | Online system |
| JPH11154139A (en) * | 1997-11-19 | 1999-06-08 | Fujitsu Ltd | Method and device for correcting forgery and forgery discriminating device |
| WO2000064122A1 (en) * | 1999-04-15 | 2000-10-26 | Gilian Technologies, Ltd. | Monitoring integrity of transmitted data |
| JP2002542722A (en) * | 1999-04-15 | 2002-12-10 | ギリアン テクノロジーズ リミテッド | Monitoring the integrity of transmitted data |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004302538A (en) * | 2003-03-28 | 2004-10-28 | Meiji Univ | Network security system and network security management method |
| JP4581104B2 (en) * | 2003-03-28 | 2010-11-17 | 学校法人明治大学 | Network security system |
| JP2005293246A (en) * | 2004-03-31 | 2005-10-20 | Toshiba Solutions Corp | Server computer protection device and server computer protection program |
| JP2016524261A (en) * | 2013-07-09 | 2016-08-12 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Network security system, method, and computer program for generating alerts in response to a security breach detected at a proxy server in a data processing network |
| CN105359157A (en) * | 2013-07-09 | 2016-02-24 | 国际商业机器公司 | A network security system |
| GB2531677A (en) * | 2013-07-09 | 2016-04-27 | Ibm | A network security system |
| WO2015004543A1 (en) * | 2013-07-09 | 2015-01-15 | International Business Machines Corporation | A network security system |
| CN105359157B (en) * | 2013-07-09 | 2017-12-29 | 国际商业机器公司 | The network safety system and method for alarm are generated for detecting security breaches |
| US9887963B2 (en) | 2013-07-09 | 2018-02-06 | International Business Machines Corporation | Network security processing |
| US10110565B2 (en) | 2013-07-09 | 2018-10-23 | International Business Machines Corporation | Network security processing |
| US10587581B2 (en) | 2013-07-09 | 2020-03-10 | International Business Machines Corporation | Network security processing |
| GB2531677B (en) * | 2013-07-09 | 2020-07-22 | Ibm | A network security system |
| US11082405B2 (en) | 2013-07-09 | 2021-08-03 | International Business Machines Corporation | Network security processing |
| CN105933214A (en) * | 2016-06-27 | 2016-09-07 | 安徽科成信息科技有限公司 | Network monitoring device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7360242B2 (en) | Personal firewall with location detection | |
| US7325248B2 (en) | Personal firewall with location dependent functionality | |
| EP2612488B1 (en) | Detecting botnets | |
| US8881234B2 (en) | Host state monitoring | |
| US8261346B2 (en) | Detecting attacks on a data communication network | |
| US8732296B1 (en) | System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware | |
| US20010017857A1 (en) | IP address duplication detection method using address resolution protocol | |
| US7567573B2 (en) | Method for automatic traffic interception | |
| JP5581141B2 (en) | Management server, communication cutoff device, information processing system, method, and program | |
| JP2008177714A (en) | Network system, server, ddns server, and packet relay device | |
| US20070016670A1 (en) | Determining data flows in a network | |
| JP6435695B2 (en) | Controller and its attacker detection method | |
| US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
| CN111683162B (en) | IP address management method based on flow identification | |
| US20040243843A1 (en) | Content server defending system | |
| JP2005197815A (en) | Network system and network control method | |
| JP2003067269A (en) | Device and method for detecting unauthorized access | |
| CN112565203B (en) | Centralized management platform | |
| JP5267893B2 (en) | Network monitoring system, network monitoring method, and network monitoring program | |
| JP4753264B2 (en) | Method, apparatus, and computer program for detecting network attacks (network attack detection) | |
| JP2007174406A (en) | Illegitimate access preventing apparatus and illegitimate access preventing program | |
| JP3880530B2 (en) | Client safety screening system using dynamic address assignment server | |
| JP2009278293A (en) | Packet transmitter identification system, packet transmitter identification method, and packet transmitter identification program | |
| Vinay et al. | Detection of ARP spoofing attack using ICMP protocol | |
| JP2005236664A (en) | Method, program, and terminal for monitoring unauthorized access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040518 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040611 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20041019 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060726 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060802 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060929 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070313 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070411 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070703 |