JP2004146931A - Packet transfer apparatus and information notice method at illegitimate access detection by the packet transfer apparatus - Google Patents
Packet transfer apparatus and information notice method at illegitimate access detection by the packet transfer apparatus Download PDFInfo
- Publication number
- JP2004146931A JP2004146931A JP2002307124A JP2002307124A JP2004146931A JP 2004146931 A JP2004146931 A JP 2004146931A JP 2002307124 A JP2002307124 A JP 2002307124A JP 2002307124 A JP2002307124 A JP 2002307124A JP 2004146931 A JP2004146931 A JP 2004146931A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- unauthorized access
- access history
- determined
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークセグメント間でパケットを転送するパケット転送装置、およびパケット転送装置の不正アクセス検知時に於ける情報通知方法に関する。
【0002】
【従来の技術】
複数のネットワークセグメントに接続され、ネットワークセグメント間でパケットを転送するパケット転送装置に於いて、パケット転送装置が不正アクセスに関わるパケットを検知した場合の管理者への通知方法として、不正アクセスを検知する度に管理者に通知を行なうという方法、不正アクセスを検知した際に管理者に一度だけ通知を行なうという方法、不正アクセスの種類毎に一度だけ通知を行なう方法等が考えられる。
【0003】
しかしながら、不正アクセスを検知する度に管理者に通知を行なう方法は、例えば同一送信者から同一の不正アクセス方法で不正アクセスを大量に受けた場合、管理者に大量の通知が届いてしまうことから、管理者が本来必要とする情報を容易に把握できないという問題がある。
【0004】
また、管理者に一度だけ通知を行なう方法は、同一の不正アクセス方法で複数の送信先から不正アクセスがあった場合であっても、管理者への通知が一度しか行なわれないことから、管理者が不正アクセスの情報(実態)を正確に把握できないという問題がある。
【0005】
また、管理者に、不正アクセスの種類毎に一度だけ通知を行なう方法は、パケット転送装置の複数の転送先に同一のアクセス方法で不正アクセスがあった場合であっても、管理者への通知が一度しか行なわれないことから、管理者が不正アクセスの情報(実態)を正確に把握できないという問題がある。
【0006】
【発明が解決しようとする課題】
上述したように従来では、パケット転送装置に於いて不正アクセスに関わるパケットを検知した場合の管理者への通知機能に於いて、管理者が不正アクセスの実態を容易にかつ正確に把握できる有効な通知機能が存在しなかった。
【0007】
本発明は上記実情に鑑みなされたもので、不正アクセスに関わるパケットを検知した場合に、その不正アクセスの実態を管理者が効率よく正確に把握できるパケット転送装置およびパケット転送装置の不正アクセス検知時に於ける情報通知方法を提供することを目的とする。
【0008】
【課題を解決するための手段】
本発明は、パケット転送装置の不正アクセス検知機構に於いて、不正アクセスに関わるパケットを検知した際の管理者への通知に際し、通知する情報の有用性を判定し、有用な情報のみを管理者に通知する処理を介在したことを特徴とする。
【0009】
即ち、本発明は、ネットワークセグメント間で転送されるパケットが不正アクセスに関わるパケットであるか否かを判定するパケット解析手段と、前記パケット解析手段で不正アクセスに関わるパケットであると判定されたパケットの存在及び詳細情報を不正アクセス履歴として記録する不正アクセス履歴記録手段とを具備したパケット転送装置に於いて、前記パケット解析手段に、前記ネットワークセグメント間で転送されるパケットが不正アクセスに関わるパケットであることを判定した際、前記不正アクセス履歴記録手段に記録された不正アクセス履歴を参照して、前記不正アクセスに関わるパケットであると判定したパケットの送信元が、過去に存在する不正パケットの送信元であるか否かを判定する判定手段と、前記判定手段が過去に存在しない不正パケットの送信元であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び詳細情報を外部の機器に通知する通知手段とを具備したことを特徴とする。
【0010】
また、本発明は、ネットワークセグメント間で転送されるパケットが不正アクセスに関わるパケットであるか否かを判定するパケット解析手段と、前記パケット解析手段で不正アクセスに関わるパケットであると判定されたパケットの存在及び詳細情報を不正アクセス履歴として記録する不正アクセス履歴記録手段とを具備したパケット転送装置に於いて、前記パケット解析手段に、前記ネットワークセグメント間で転送されるパケットが不正アクセスに関わるパケットであることを判定した際、前記不正アクセス履歴記録手段に記録された不正アクセス履歴を参照して、前記不正アクセスに関わるパケットであると判定したパケットの送信先が、過去に存在する不正パケットの送信先であるか否かを判定する判定手段と、前記判定手段が過去に存在しない不正パケットの送信先であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び詳細情報を外部の機器に通知する通知手段とを具備したことを特徴とする。
【0011】
また、本発明は、前記パケット転送装置に於いて、前記判定手段は、前記不正アクセス履歴記録手段に記録された、過去の一定時間内の不正アクセス履歴を参照して判定を行うことを特徴とする。
【0012】
また、本発明は、前記パケット転送装置に於いて、前記判定手段は、前記不正アクセス履歴記録手段に記録された不正アクセス履歴から、設定された任意のタイミング以降の不正アクセス履歴を参照して判定を行うことを特徴とする。
【0013】
また、本発明は、前記パケット転送装置に於いて、前記パケット解析手段は、前記通知手段による通知が成功しない際に、該当する不正アクセスに関わるパケットの存在及び詳細情報を、以降に前記判定手段が参照する不正アクセス履歴から除外する制御手段を具備したことを特徴とする。
【0014】
また、本発明は、前記パケット転送装置に於いて、前記パケット解析手段は、前記通知手段が不正アクセスに関わるパケットの存在及び詳細情報を外部の機器に通知する際、当該通知の対象となる詳細情報をもとに通知先となる外部の機器を決定する手段を具備したことを特徴とする。
【0015】
また、本発明は、パケット転送装置の不正アクセス検知時に於ける情報通知方法に於いて、ネットワークセグメントの間で転送されるパケットが不正アクセスに関わるパケットであるか否かを判定し、不正アクセスに関わるパケットであると判定した際に、当該パケットの存在及び詳細情報を不正アクセス履歴として記録するステップと、前記不正アクセスに関わるパケットであると判定したパケットについて、前記記録した不正アクセス履歴のすべて若しくは一部を参照して、過去の不正アクセス履歴に存在しない不正パケットの送信元であるか否かを判定し、過去の不正アクセス履歴に存在しない不正パケットの送信元であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び詳細情報を外部の機器に通知するステップとを具備したことを特徴とする。
【0016】
また、本発明は、パケット転送装置の不正アクセス検知時に於ける情報通知方法に於いて、ネットワークセグメントの間で転送されるパケットが不正アクセスに関わるパケットであるか否かを判定し、不正アクセスに関わるパケットであると判定した際に、当該パケットの存在及び詳細情報を不正アクセス履歴として記録するステップと、前記不正アクセスに関わるパケットであると判定したパケットについて、前記記録した不正アクセス履歴のすべて若しくは一部を参照して、過去の不正アクセス履歴に存在しない不正パケットの送信先であるか否かを判定し、過去の不正アクセス履歴に存在しない不正パケットの送信先であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び詳細情報を外部の機器に通知するステップとを具備したことを特徴とする。
【0017】
【発明の実施の形態】
以下、図面を参照して本発明の実施形態を説明する。
【0018】
図1は本発明に係るパケット転送装置を用いたネットワークシステムの構成を示すブロック図である。
【0019】
図1に於いて、パケット転送装置10は、複数のクライアント計算機が接続されたネットワークセグメント(クライアント側のネットワークセグメント)100と、複数のサーバ計算機20,20,…が接続されたネットワークセグメント(サーバ側のネットワークセグメント)200との間に接続され、クライアント側のネットワークセグメント100とサーバ側のネットワークセグメント200との間の通信時に於いて、パケットを転送する機能をもつ。
【0020】
図2は上記パケット転送装置10の構成を示すブロック図である。
【0021】
パケット転送装置10には、図2に示すように、それぞれ異なるネットワークセグメントを接続対象とした2つのパケット送受信部11,12と、不正アクセスに関わるパケットを検知するパケット解析機構13とが設けられる。
【0022】
パケット転送装置10に於いて、パケット送受信部11は、クライアント側のネットワークセグメント100に接続され、パケット送受信部12は、サーバ側のネットワークセグメント200に接続される。
【0023】
パケット送受信部11は、クライアント側のネットワークセグメント100からパケットを受信すると、その受信したパケットをパケット解析機構13に送出する。
【0024】
パケット解析機構13は、パケット送受信部11で受信したパケットが不正アクセスに関わるパケットであるか否かを判定し、不正アクセスに関わるパケットでなければ、そのパケットをパケット送受信部12に渡す。パケット送受信部12はパケット解析機構13を介して受けたパケットをサーバ側のネットワークセグメント200へ送出する。
【0025】
また、パケット解析機構13に於いて、パケット送受信部11で受信したパケットが不正アクセスに関わるパケットであると判定した際は、そのパケットをパケット送受信部12に渡さずに廃棄して、不正アクセスに関わるパケットであると判定したパケットの通過を防ぐ。
【0026】
パケット送受信部12は、サーバ側のネットワークセグメント200からパケットを受信すると、その受信したパケットをパケット送受信部11に渡す。パケット送受信部11はパケット送受信部12より受けたパケットをクライアント側のネットワークセグメント100へ送出する。
【0027】
図3は上記図2に示したパケット解析機構13の構成要素を示すブロック図である。
【0028】
パケット解析機構13には、図3に示すように、パケット解析処理部131、パケット通過処理部132、不正アクセス履歴保持部133、不正アクセス情報通知部134等が設けられる。この図3に示す各構成要素はソフトウェアにより実現されるもので、ここでは、不正アクセス履歴保持部133が不正アクセス履歴を記録する記録部を有し、この記録部上でパケット解析処理部131の指示に従い不正アクセス履歴を記録し更新し管理する処理機能をもつものとする。
【0029】
パケット解析処理部131は、パケット送受信部11が受信したパケットのデータを解析し、不正アクセスに関わるパケットであるか否かを判定する。不正アクセスに関わるパケットであると判定した場合は、その旨をパケット通過処理部132、不正アクセス履歴保持部133、及び不正アクセス情報通知部134に通知する処理機能をもつ。更に、その不正アクセスに関わるパケットの存在及び詳細情報(不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等)を不正アクセス履歴として不正アクセス履歴保持部133に通知するとともに、不正アクセス履歴保持部133を参照して、上記不正アクセスに関わるパケットの検知情報を所定の外部監視機器(指定計算機)に通知すべきか否かを判定し、情報通知をすべきであると判定した場合は、その旨を不正アクセス情報通知部134に通知する処理機能をもつ。
【0030】
パケット通過処理部132は、パケット送受信部11が受信したパケットについて、パケット解析処理部131に問い合わせ、その問い合わせた結果に従い、受信したパケットを転送するか否か(パケット送受信部12に渡すか否か)を制御するパケット転送制御処理機能をもつ。
【0031】
不正アクセス履歴保持部133は、パケット解析処理部131が不正アクセスに関わるパケットであると判定した場合に、そのパケットの受信時刻や送信元、送信先等の詳細情報を不正アクセス履歴として記録する機能をもつ。
【0032】
不正アクセス情報通知部134は、パケット解析処理部131が情報通知すべきと判定した場合に、不正アクセス履歴保持部133で保持する不正アクセスに関わる詳細情報(不正アクセスの情報)を監視を行う所定の計算機に通知する機能をもつ。
【0033】
図4は上記不正アクセス履歴保持部133に記録された不正アクセス履歴の一例を示す図である。
【0034】
パケット解析処理部131は、パケット送受信部11で受信したパケットについて、不正アクセスに関わるパケットであると判定した場合、不正アクセス履歴保持部133に、不正アクセス履歴として、上記不正アクセスに関わるパケットの受信日時、及び送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を通知する。不正アクセス履歴保持部133は上記通知を受けると、上記不正アクセスに関わるパケットの受信日時、及び送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴として記録し管理する。尚、図4に示す不正アクセス履歴の記録例では、上記詳細情報に対応して、後述する識別子1及び識別子2が記録される。
【0035】
図5乃至図7はそれぞれ本発明の第1実施形態に於けるパケット解析機構13の処理手順を示すフローチャートである。このうち、図5はパケット転送時の不正アクセス検知処理手順を示すフローチャート、図6は不正アクセス検知時の不正アクセス履歴参照処理手順を示すフローチャート、図7は不正アクセス検知時の情報通知処理手順を示すフローチャートである。
【0036】
図8及び図9はそれぞれ本発明の第2実施形態に於けるパケット解析機構13の処理手順を示すフローチャートである。このうち、図8は不正アクセス検知時の不正アクセス履歴参照処理手順を示すフローチャート、図9は不正アクセス検知時の情報通知処理手順を示すフローチャートである。尚、この第2実施形態に於いて、パケット転送時の不正アクセス検知処理手順については、図5に示す第1実施形態の不正アクセス検知処理手順と同様であるので同図を援用する。
【0037】
図10及び図11はそれぞれ本発明の第3実施形態に於けるパケット解析機構13の処理手順を示すフローチャートである。このうち、図10は不正アクセス履歴に識別子1を付加する処理手順を示すフローチャート、図11は不正アクセス検知時の不正アクセス履歴参照処理手順を示すフローチャートである。
【0038】
図12及び図13はそれぞれ本発明の第4実施形態に於けるパケット解析機構13の処理手順を示すフローチャートである。このうち、図12は不正アクセス履歴に識別子1を付加する処理手順を示すフローチャート、図13は不正アクセス検知時の不正アクセス履歴参照処理手順を示すフローチャートである。
【0039】
図14及び図15はそれぞれ本発明の第5実施形態に於けるパケット解析機構13の処理手順を示すフローチャートである。このうち、図14は不正アクセス監視を行う指定計算機への情報通知エラー時の処理手順を示すフローチャート、図15は不正アクセス検知時の不正アクセス履歴参照処理手順を示すフローチャートである。
【0040】
図16は本発明の第6実施形態に於ける不正アクセス情報通知先計算機一覧の構成例を示す図である。図17は本発明の第6実施形態に於ける不正アクセス情報をもとにした通知先振り分け処理の手順を示すフローチャートである。
【0041】
ここで、上記各図を参照して本発明の第1乃至第6実施形態に於ける不正アクセス検知時の情報通知処理動作を説明する。
【0042】
先ず、図1乃至図7を参照して本発明の第1実施形態に於ける不正アクセス検知時の情報通知処理動作について説明する。この第1実施形態では、パケット転送装置10のパケット送受信部11で受信した不正アクセスに関わるパケットであると判定したパケットについて、そのパケットの送信元が、過去の不正アクセス履歴に存在しない不正パケットの送信元であるか否かを判定し、過去の不正アクセス履歴に存在しない不正パケットの送信元であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び詳細情報を外部の機器に通知する機能を実現している。
【0043】
パケット転送装置10は、パケット転送時に於いて、図5に示すような不正アクセス検知処理を実行する。
【0044】
パケット転送装置10に於いて、パケット送受信部11がクライアント側のネットワークセグメント100からパケットを受信すると、パケット解析機構13のパケット通過処理部132は、当該受信パケットが不正アクセスに関わるパケットであるか否かをパケット解析処理部131に問い合わせる(図5ステップS101)。
【0045】
パケット解析処理部131は、パケット送受信部11が受信したパケットのデータを解析し、不正アクセスに関わるパケットであるか否かを判定して(図5ステップS102,S103)、その判定結果をパケット通過処理部132に通知する(図5ステップS104,S106)。
【0046】
ここで、パケット通過処理部132は、パケット解析処理部131から不正アクセスに関わるパケットである旨の判定結果を受けると(図5ステップS103Yes)、その判定結果に従い上記受信した不正アクセスに関わるパケットを通過させずに廃棄する(図5ステップS105)。
【0047】
また、パケット解析処理部131から不正アクセスに関わるパケットでない旨の判定結果を受けると(図5ステップS103 No)、その判定結果に従い上記受信したパケットを通過させてパケット送受信部12に渡す(図5ステップS107)。パケット送受信部12はパケット解析機構13を介して受けたパケットをサーバ側のネットワークセグメント200へ送出する。
【0048】
上記したパケット転送装置10のパケット転送処理に於いて、パケット解析機構13が不正アクセスに関わるパケットを検知した際、図6に示すような不正アクセス履歴参照処理を実行する。
【0049】
クライアント側ネットワークセグメント100から、サーバ側ネットワークセグメント200へのパケット転送時に於いて、パケット解析処理部131は、パケット送受信部11で受信したパケットについて、不正アクセスに関わるパケットであると判定すると(図6ステップS201)、その不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴保持部133に通知する(図6ステップS202)。
【0050】
不正アクセス履歴保持部133はパケット解析処理部131から上記通知を受けると、上記不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴として記録し管理する(図6ステップS203)。
【0051】
上記パケット解析処理部131は、上記不正アクセス履歴保持部133に記録された不正アクセス履歴を参照して、その不正アクセスに関わるパケットであると判定したパケットの送信元が、過去に存在する不正パケットの送信元であるか否か(受信した不正アクセスに関わるパケットの送信元と同一送信元の不正アクセスが過去にあったか否か)を判定する(図6ステップS204)。
【0052】
即ち、パケット解析処理部131は、不正アクセス履歴保持部133に記録された不正アクセス履歴を参照して、上記不正アクセスに関わるパケットの情報を所定の外部監視機器(指定計算機)に通知すべきか否かを判定する。
【0053】
ここで、パケット解析処理部131は、不正アクセスに関わるパケットであると判定したパケットの送信元が、過去の不正アクセスに関わるパケットに存在しないことを確認すると、即ち情報通知をする不正アクセスであることを判定すると(図7ステップS205 Yes)、その判定結果を不正アクセス情報通知部134に通知する(図7ステップS206)。
【0054】
不正アクセス情報通知部134は、パケット解析処理部131から、情報通知をする旨の判定結果を受けると、上記不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報(不正アクセスの情報)を所定の外部監視機器(指定計算機)に通知する(図7ステップS207)。
【0055】
また、パケット解析処理部131は、不正アクセスに関わるパケットであると判定したパケットの送信元が、過去の不正アクセスに関わるパケットに存在することを確認すると、即ち情報通知をする不正アクセスでないことを判定すると(図7ステップS205 No)、上記不正アクセスに関わるパケットの情報通知を行わず(図7ステップS208)、この情報通知処理を終了する。
【0056】
これにより、パケット転送装置10が不正アクセスを検知した場合、過去に不正アクセスを受けたことがないパケットの送信元ならば、指定の計算機に、パケットの受信時刻や、送信元、送信先等の詳細情報を通知することが可能となる。つまり、不正アクセスに関わるパケットの送信元が、過去に受けた不正アクセスに関わるパケットの送信元と同じであれば、情報通知を行なわない。
【0057】
次に、図1乃至図5と、図8及び図9を参照して本発明の第2実施形態に於ける不正アクセス検知時の情報通知処理動作について説明する。この第2実施形態では、パケット転送装置10のパケット送受信部11で受信した不正アクセスに関わるパケットであると判定したパケットについて、そのパケットの送信先が、過去の不正アクセス履歴に存在しない不正パケットの送信先であるか否かを判定し、過去の不正アクセス履歴に存在しない不正パケットの送信先であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び詳細情報を外部の機器に通知する機能を実現している。
【0058】
パケット転送装置10は、パケット転送時に於いて、図5に示すような不正アクセス検知処理を実行する。この処理については上記した第1実施形態に於いて既に説明しているので、ここではその説明を省略する。
【0059】
上記したパケット転送装置10のパケット転送処理に於いて、パケット解析機構13が不正アクセスに関わるパケットを検知した際、図8に示すような不正アクセス履歴参照処理を実行する。
【0060】
クライアント側ネットワークセグメント100から、サーバ側ネットワークセグメント200へのパケット転送時に於いて、パケット解析処理部131は、パケット送受信部11で受信したパケットについて、不正アクセスに関わるパケットであると判定すると(図8ステップS301)、その不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴保持部133に通知する(図8ステップS302)。
【0061】
不正アクセス履歴保持部133はパケット解析処理部131から上記通知を受けると、上記不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴として記録し管理する(図8ステップS303)。
【0062】
上記パケット解析処理部131は、不正アクセス履歴保持部133に記録された不正アクセス履歴を参照して、その不正アクセスに関わるパケットであると判定したパケットの送信先が、過去に存在する不正パケットの送信先であるか否か(受信した不正アクセスに関わるパケットの送信先と同一送信先の不正アクセスが過去にあったか否か)を判定する(図8ステップS304)。
【0063】
即ち、パケット解析処理部131は、不正アクセス履歴保持部133に記録された不正アクセス履歴を参照して、上記不正アクセスに関わるパケットの情報を所定の外部監視機器(指定計算機)に通知すべきか否かを判定する。
【0064】
ここで、パケット解析処理部131は、不正アクセスに関わるパケットであると判定したパケットの送信先が、過去の不正アクセスに関わるパケットに存在しないことを確認すると、即ち情報通知をする不正アクセスであることを判定すると(図9ステップS305 Yes)、その判定結果を不正アクセス情報通知部134に通知する(図9ステップS306)。
【0065】
不正アクセス情報通知部134は、パケット解析処理部131から、情報通知をする旨の判定結果を受けると、上記不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報(不正アクセスの情報)を所定の外部監視機器(指定計算機)に通知する(図9ステップS307)。
【0066】
また、パケット解析処理部131は、不正アクセスに関わるパケットであると判定したパケットの送信先が、過去の不正アクセスに関わるパケットに存在することを確認すると、即ち情報通知をする不正アクセスでないことを判定すると(図9ステップS305 No)、上記不正アクセスに関わるパケットの情報通知を行わず(図9ステップS308)、この情報通知処理を終了する。
【0067】
これにより、パケット転送装置10が不正アクセスを検知した場合、過去に不正アクセスを受けたことがないパケットの送信先ならば、指定の計算機に、パケットの受信時刻や、送信元、送信先等の詳細情報を通知することが可能となる。つまり、不正アクセスに関わるパケットの送信先が、過去に受けた不正アクセスに関わるパケットの送信先と同じであれば、情報通知を行なわない。
【0068】
次に、図1乃至図4と、図10及び図11を参照して本発明の第3実施形態に於ける不正アクセス検知時の情報通知処理動作について説明する。この第3実施形態では、パケット転送装置10に設けられたパケット解析機構13が、不正アクセス履歴保持部133に記録された、過去の一定時間内の不正アクセス履歴を参照して情報通知すべき不正アクセスであるか否かの判定を行う処理機能を実現している。即ち、現在からx日以内、x時間以内等、過去の一定時間内を監視の対象として、情報通知すべき不正アクセスであるか否かの判定を行う処理機能を実現している。
【0069】
パケット転送装置10のパケット解析機構13に於いて、不正アクセス履歴保持部133は、予め設定した一定時間の経過毎に(図10ステップS401)、記録した不正アクセス履歴を参照して(図10ステップS402)、識別子1が付いていない不正アクセス情報に、識別子1を付加する(図10ステップS403)。即ち、図4に示す不正アクセス履歴の識別子1の記録部に、xx時間経過毎に、過去に記録した不正アクセス履歴に対して識別子1を付加する。
【0070】
その後、クライアント側ネットワークセグメント100から、サーバ側ネットワークセグメント200へのパケット転送時に於いて、パケット解析処理部131は、パケット送受信部11で受信したパケットについて、不正アクセスに関わるパケットであると判定すると(図11ステップS404)、その不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴保持部133に通知する(図11ステップS405)。
【0071】
不正アクセス履歴保持部133はパケット解析処理部131より受けた、不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴として記録し管理する(図11ステップS406)。
【0072】
上記パケット解析処理部131は、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、識別子1が付加されていない不正アクセス履歴のみを参照して、情報通知すべき不正アクセスであるか否かを判定する(図11ステップS407)。
【0073】
即ち、この第3実施形態を上記した第1実施形態に適用した場合は、パケット解析処理部131が、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、識別子1が付加されていない不正アクセス履歴のみを参照して、過去に同じ送信元の不正アクセスがあったか否かを判定し、過去に同じ送信元の不正アクセスが存在しない場合に、不正アクセス情報通知部134に情報通知を指示する。
【0074】
また、この第3実施形態を上記した第2実施形態に適用した場合は、パケット解析処理部131が、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、識別子1が付加されていない不正アクセス履歴のみを参照して、過去に同じ送信先の不正アクセスがあったか否かを判定し、過去に同じ送信先の不正アクセスが存在しない場合に、不正アクセス情報通知部134に情報通知を指示する。
【0075】
これにより、不正アクセスに関わるパケットを検知した場合、予め設定した一定時間内に検知した不正アクセス履歴のみを参照し、情報通知すべき不正アクセスか否かを判定することが可能となる。
【0076】
次に、図1乃至図4と、図12及び図13を参照して本発明の第4実施形態に於ける不正アクセス検知時の情報通知処理動作について説明する。この第4実施形態では、パケット転送装置10に設けられたパケット解析機構13が、不正アクセス履歴保持部133に記録された不正アクセス履歴から、設定された任意のタイミング以降の不正アクセス履歴のみを参照して情報通知すべき不正アクセスであるか否かの判定を行う処理機能を実現している。即ち、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、例えば任意の操作指示時点以降の不正アクセス履歴のみを参照して、情報通知すべき不正アクセスであるか否かの判定を行う処理機能を実現している。
【0077】
パケット転送装置10のパケット解析機構13に於いて、不正アクセス情報通知部134は、任意のタイミングで、不正アクセス履歴に識別子1を付加する要求を受け付けると(図12ステップS501)、記録した不正アクセス履歴を参照して(図12ステップS502)、識別子1が付いていない不正アクセス情報に対して、識別子1を付加する(図12ステップS503)。
【0078】
その後、クライアント側ネットワークセグメント100から、サーバ側ネットワークセグメント200へのパケット転送時に於いて、パケット解析処理部131は、パケット送受信部11で受信したパケットについて、不正アクセスに関わるパケットであると判定すると(図13ステップS601)、その不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴保持部133に通知する(図13ステップS602)。
【0079】
不正アクセス履歴保持部133は、パケット解析処理部131より受けた、不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴として記録し管理する(図13ステップS603)。
【0080】
上記パケット解析処理部131は、不正アクセス履歴保持部133に記録された不正アクセス履歴を参照して、識別子1が付加されていない、上記操作指示された任意のタイミング以降の不正アクセス履歴のみを参照して、情報通知すべき不正アクセスであるか否かを判定する(図13ステップS604)。
【0081】
即ち、この第4実施形態を上記した第1実施形態に適用した場合は、パケット解析処理部131が、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、上記操作指示された任意のタイミング以降の、識別子1が付加されていない不正アクセス履歴のみを参照して、過去に同じ送信元の不正アクセスがあったか否かを判定し、過去に同じ送信元の不正アクセスが存在しない場合に、不正アクセス情報通知部134に情報通知を指示する。
【0082】
また、この第3実施形態を上記した第2実施形態に適用した場合は、パケット解析処理部131が、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、上記操作指示された任意のタイミング以降の、識別子1が付加されていない不正アクセス履歴のみを参照して、過去に同じ送信先の不正アクセスがあったか否かを判定し、過去に同じ送信先の不正アクセスが存在しない場合に、不正アクセス情報通知部134に情報通知を指示する。
【0083】
これにより、不正アクセスに関わるパケットを検知した場合、上記操作指示された任意のタイミング以降に於ける若しくは設定されたタイミング以降に於ける不正アクセス履歴のみを参照して、情報通知すべき不正アクセスか否かを判定することが可能となる。
【0084】
次に、図1乃至図4と、図14及び図15を参照して本発明の第5実施形態に於ける不正アクセス検知時の情報通知処理動作について説明する。この第5実施形態では、上記した不正アクセス情報通知部134による情報通知が成功しなかった場合に、その不正アクセスに関わる不正アクセスの情報を、以降の判定に参照する不正アクセス履歴から除外する機能を実現している。
【0085】
不正アクセス情報通知部134が、指定の計算機に不正アクセスに関わるパケットの受信時刻や送信元、送信先等の詳細情報を通知した際(図14ステップS701)に、その通知がエラーとなった場合(図14ステップS702 Yes)、不正アクセス情報通知部134は、そのエラーをパケット解析処理部131を介して不正アクセス履歴保持部133に通知する(図14ステップS703)。また、不正アクセス情報通知部134は、上記不正アクセスの情報が正常に通知された際は、上記エラー通知を行わず(図14ステップS705)、このエラー処理を終了する。
【0086】
不正アクセス履歴保持部133はパケット解析処理部131を介して上記エラー通知を受けると、記録した不正アクセス履歴を参照し、エラーした不正アクセスの情報に識別子2を付加する(図14ステップS704)。
【0087】
その後、クライアント側ネットワークセグメント100から、サーバ側ネットワークセグメント200へのパケット転送時に於いて、パケット解析処理部131は、パケット送受信部11で受信したパケットについて、不正アクセスに関わるパケットであると判定すると(図15ステップS706)、その不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴保持部133に通知する(図15ステップS707)。
【0088】
不正アクセス履歴保持部133はパケット解析処理部131より受けた、不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴として記録し管理する(図15ステップS708)。
【0089】
上記パケット解析処理部131は、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、識別子2が付加されていない不正アクセス履歴のみを参照して、情報通知すべき不正アクセスであるか否かを判定する(図15ステップS709)。
【0090】
即ち、この第5実施形態を上記した第1実施形態に適用した場合は、パケット解析処理部131が、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、識別子2が付加されていない不正アクセス履歴のみを参照して(情報通知の受信時にエラーのあった不正アクセス履歴を除外して)、過去に同じ送信元の不正アクセスがあったか否かを判定し、過去に同じ送信元の不正アクセスが存在しない場合に、不正アクセス情報通知部134に情報通知を指示する。
【0091】
また、この第3実施形態を上記した第2実施形態に適用した場合は、パケット解析処理部131が、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、識別子2が付加されていない不正アクセス履歴のみを参照して、過去に同じ送信先の不正アクセスがあったか否かを判定し、過去に同じ送信先の不正アクセスが存在しない場合に、不正アクセス情報通知部134に情報通知を指示する。
【0092】
これにより、不正アクセスを検知した場合の指定計算機への情報通知がエラーになった場合、次回以降の不正アクセス検知時には、情報通知がエラーになった場合の不正アクセス履歴を参照しないようにすることが可能となる。
【0093】
次に、図1乃至図4と、図16及び図17を参照して本発明の第6実施形態に於ける不正アクセス検知時の情報通知処理動作について説明する。この第6実施形態では、不正アクセス情報通知部134が情報通知を行う際に、その通知を行う情報をもとに、通知先(送信先)の計算機を決定する(振り分ける)機能を実現している。
【0094】
この第6実施形態に於いては、図16に示すような不正アクセス情報の通知先となる計算機の一覧情報が予め設定され、この計算機一覧を参照して不正アクセス情報の通知先計算機が決定される。この図16に示す不正アクセス情報通知先計算機一覧135には、送信元、送信先等の詳細情報、不正アクセスの種類、情報通知先計算機のネットワークアドレス等が予め設定され、不正アクセスに関わるパケットの受信時刻や、送信元、送信先等の詳細情報をもとに、それぞれの記述内容をパラメータにして、不正情報通知先の計算機を指定可能にしている。
【0095】
不正アクセス情報通知部134は、パケット解析処理部131から情報通知の指示に従い、図16に示す不正アクセス情報通知計算機一覧135を参照して、指定の計算機に不正アクセスの情報を通知する。
【0096】
クライアント側ネットワークセグメント100から、サーバ側ネットワークセグメント200へのパケット転送時に於いて、パケット解析処理部131は、パケット送受信部11で受信したパケットについて、不正アクセスに関わるパケットであると判定すると、その旨を不正アクセス情報通知部134に通知する(図17ステップS801)。不正アクセス情報通知部134はパケット解析処理部131から上記通知を受けると、図16に示す不正アクセス情報通知計算機一覧を参照して(図17ステップS802)、通知先計算機を決定し(図17ステップS803)、不正アクセス情報通知計算機一覧よりネットワークアドレスを取得して、その指定計算機に不正アクセスの情報を通知する(図17ステップS804)。
【0097】
これにより、パケット転送装置10が不正アクセスを検知した場合、不正アクセス情報の種類により、情報通知先の計算機を振り分けることが可能となる。
【0098】
【発明の効果】
以上詳記したように本発明によれば、不正アクセスに関わるパケットを検知した場合に、その不正アクセスの実態を管理者が効率よく正確に把握できるパケット転送装置およびパケット転送装置の不正アクセス検知時に於ける情報通知方法が提供できる。
【図面の簡単な説明】
【図1】本発明の第1乃至第6実施形態に於けるパケット転送装置を用いたネットワークシステムの構成を示すブロック図。
【図2】上記各実施形態に於けるパケット転送装置の構成を示すブロック図。
【図3】上記各実施形態に於けるパケット解析機構の構成要素を示すブロック図。
【図4】上記各実施形態に於ける不正アクセス履歴保持部に記録された不正アクセス履歴の一例を示す図。
【図5】本発明の第1実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図6】本発明の第1実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図7】本発明の第2実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図8】本発明の第2実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図9】本発明の第2実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図10】本発明の第3実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図11】本発明の第3実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図12】本発明の第4実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図13】本発明の第4実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図14】本発明の第5実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図15】本発明の第5実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図16】本発明の第6実施形態に於ける不正アクセス情報通知先計算機一覧の構成例を示す図。
【図17】本発明の第6実施形態に於ける通知先振り分け処理の手順を示すフローチャート。
【符号の説明】
10…パケット転送装置
11…パケット送受信部
12…パケット送受信部
13…パケット解析機構
20…サーバ
100…クライアント側のネットワークセグメント
131…パケット解析処理部
132…パケット通過処理部
133…不正アクセス履歴保持部
134…不正アクセス情報通知部
135…不正アクセス情報通知計算機一覧
200…サーバ側のネットワークセグメント[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a packet transfer device that transfers packets between network segments, and a method of notifying information when an unauthorized access of the packet transfer device is detected.
[0002]
[Prior art]
In a packet transfer device connected to a plurality of network segments and transferring packets between the network segments, an unauthorized access is detected as a method of notifying an administrator when the packet transfer device detects a packet related to an unauthorized access. A method of notifying the administrator each time, a method of notifying the administrator only once when an unauthorized access is detected, a method of notifying once for each type of unauthorized access, and the like can be considered.
[0003]
However, the method of notifying the administrator every time an unauthorized access is detected is that, for example, if a large amount of unauthorized access is received from the same sender using the same unauthorized access method, a large amount of notifications will be sent to the administrator. However, there is a problem that the administrator cannot easily grasp the information that is originally required.
[0004]
In addition, the method of notifying the administrator only once means that even if there is an unauthorized access from a plurality of destinations using the same unauthorized access method, the administrator is notified only once. There is a problem that the user cannot accurately grasp the information (actual situation) of the unauthorized access.
[0005]
In addition, the method of notifying the administrator only once for each type of unauthorized access is a method for notifying the administrator even if the same access method has been used to access multiple forwarding destinations of the packet transfer device. Is performed only once, so that there is a problem that the administrator cannot accurately grasp the information (actual situation) of the unauthorized access.
[0006]
[Problems to be solved by the invention]
As described above, conventionally, in the function of notifying an administrator when a packet related to an unauthorized access is detected in a packet transfer device, an effective function that allows the administrator to easily and accurately grasp the actual situation of the unauthorized access is provided. Notification function did not exist.
[0007]
The present invention has been made in view of the above circumstances, and when detecting a packet related to unauthorized access, a packet transfer device that allows an administrator to efficiently and accurately grasp the actual situation of the unauthorized access and a method for detecting unauthorized access of the packet transfer device. The purpose of the present invention is to provide a method for notifying information.
[0008]
[Means for Solving the Problems]
The present invention relates to an unauthorized access detection mechanism of a packet transfer device, which determines the usefulness of information to be notified to a manager when detecting a packet related to unauthorized access, and determines only useful information by the administrator. , And a process of notifying is provided.
[0009]
That is, the present invention provides a packet analysis unit that determines whether a packet transferred between network segments is a packet related to unauthorized access, and a packet that is determined by the packet analysis unit to be a packet related to unauthorized access. A packet transfer device comprising an unauthorized access history recording means for recording the presence and detailed information of the network as an unauthorized access history, wherein the packet transferred between the network segments is a packet related to an unauthorized access by the packet analyzing means. When it is determined that there is a packet, the source of the packet determined to be a packet related to the unauthorized access with reference to the unauthorized access history recorded in the unauthorized Determining means for determining whether or not the Notification means for notifying an external device of the existence and detailed information of the packet determined to be a packet related to the unauthorized access when it is determined that the packet is a source of an unauthorized packet that does not exist. I do.
[0010]
Also, the present invention provides a packet analysis unit for determining whether a packet transferred between network segments is a packet related to an unauthorized access, and a packet determined to be a packet related to an unauthorized access by the packet analysis unit. A packet transfer device comprising an unauthorized access history recording means for recording the presence and detailed information of the network as an unauthorized access history, wherein the packet transferred between the network segments is a packet related to an unauthorized access by the packet analyzing means. When it is determined that there is a packet, the destination of the packet determined to be the packet related to the unauthorized access is referred to the unauthorized access history recorded in the unauthorized access history recording means, Determining means for determining whether or not the And a notifying unit that notifies an external device of the existence and detailed information of the packet determined to be a packet related to the unauthorized access when it is determined that the packet is a transmission destination of an unauthorized packet that does not exist. I do.
[0011]
Also, the present invention is characterized in that, in the packet transfer device, the determination unit performs the determination with reference to an unauthorized access history within a predetermined time in the past, recorded in the unauthorized access history recording unit. I do.
[0012]
Further, according to the present invention, in the packet transfer device, the determining unit determines the unauthorized access history recorded at the unauthorized access history recording unit by referring to the unauthorized access history after a set arbitrary timing. Is performed.
[0013]
Further, in the packet transfer device according to the present invention, when the notification by the notifying unit is not successful, the packet analyzing unit determines the presence and the detailed information of the packet related to the corresponding unauthorized access by the determining unit. Is provided with control means for excluding from the unauthorized access history referred to by the user.
[0014]
Further, according to the present invention, in the packet transfer device, when the notifying unit notifies the external device of the existence and the detailed information of the packet related to the unauthorized access, It is characterized by comprising means for determining an external device to be notified based on the information.
[0015]
Further, the present invention provides an information notification method at the time of detecting an unauthorized access of a packet transfer device, wherein it is determined whether or not a packet transferred between network segments is a packet related to an unauthorized access. Recording the existence and detailed information of the packet as an unauthorized access history when determining that the packet is an unauthorized access history, and for all of the recorded unauthorized access history, By referring to a part, it is determined whether or not the source of the unauthorized packet that does not exist in the past unauthorized access history, and when it is determined that the source of the unauthorized packet does not exist in the past unauthorized access history, The presence and detailed information of the packet determined to be a packet related to the unauthorized access is transmitted to an external device. Characterized by comprising a step of notifying the.
[0016]
Further, the present invention provides an information notification method at the time of detecting an unauthorized access of a packet transfer device, wherein it is determined whether or not a packet transferred between network segments is a packet related to an unauthorized access. Recording the existence and detailed information of the packet as an unauthorized access history when determining that the packet is an unauthorized access history, and for all of the recorded unauthorized access history, By referring to a part, it is determined whether or not the destination of the unauthorized packet that does not exist in the past unauthorized access history, and when it is determined that the destination of the unauthorized packet does not exist in the past unauthorized access history, The presence and detailed information of the packet determined to be a packet related to the unauthorized access is transmitted to an external device. Characterized by comprising a step of notifying the.
[0017]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0018]
FIG. 1 is a block diagram showing the configuration of a network system using the packet transfer device according to the present invention.
[0019]
In FIG. 1, a
[0020]
FIG. 2 is a block diagram showing a configuration of the
[0021]
As shown in FIG. 2, the
[0022]
In the
[0023]
When receiving a packet from the
[0024]
The
[0025]
When the
[0026]
Upon receiving a packet from the
[0027]
FIG. 3 is a block diagram showing components of the
[0028]
As shown in FIG. 3, the
[0029]
The packet
[0030]
The packet
[0031]
When the packet
[0032]
When the packet
[0033]
FIG. 4 is a diagram showing an example of the unauthorized access history recorded in the unauthorized access
[0034]
If the packet
[0035]
FIGS. 5 to 7 are flowcharts each showing a processing procedure of the
[0036]
FIGS. 8 and 9 are flowcharts showing the processing procedure of the
[0037]
FIGS. 10 and 11 are flowcharts showing the processing procedure of the
[0038]
FIG. 12 and FIG. 13 are flowcharts each showing a processing procedure of the
[0039]
FIGS. 14 and 15 are flowcharts showing the processing procedure of the
[0040]
FIG. 16 is a diagram showing a configuration example of the unauthorized access information notification destination computer list according to the sixth embodiment of the present invention. FIG. 17 is a flowchart showing the procedure of the notification destination allocation processing based on the unauthorized access information according to the sixth embodiment of the present invention.
[0041]
Here, an information notification processing operation at the time of detecting an unauthorized access in the first to sixth embodiments of the present invention will be described with reference to the above-described drawings.
[0042]
First, an information notification processing operation at the time of detecting an unauthorized access in the first embodiment of the present invention will be described with reference to FIGS. In the first embodiment, for a packet determined to be a packet related to an unauthorized access received by the packet transmission /
[0043]
The
[0044]
In the
[0045]
The packet
[0046]
Here, upon receiving the determination result indicating that the packet is related to unauthorized access from the packet analysis processing unit 131 (Step S103 Yes in FIG. 5), the packet passing
[0047]
Further, when receiving a determination result that the packet is not a packet related to unauthorized access from the packet analysis processing unit 131 (No in step S103 in FIG. 5), the received packet is passed and passed to the packet transmitting / receiving
[0048]
In the packet transfer process of the
[0049]
When transferring a packet from the client-
[0050]
Upon receiving the notification from the packet
[0051]
The packet
[0052]
That is, the packet
[0053]
Here, the packet
[0054]
Upon receiving the determination result of the information notification from the packet
[0055]
Further, the packet
[0056]
Thereby, when the
[0057]
Next, an information notification processing operation when an unauthorized access is detected in the second embodiment of the present invention will be described with reference to FIGS. 1 to 5 and FIGS. In the second embodiment, for a packet determined to be a packet related to an unauthorized access received by the packet transmission /
[0058]
The
[0059]
In the packet transfer process of the
[0060]
At the time of packet transfer from the client-
[0061]
Upon receiving the notification from the packet
[0062]
The packet
[0063]
That is, the packet
[0064]
Here, the packet
[0065]
Upon receiving the determination result of the information notification from the packet
[0066]
Further, the packet
[0067]
Accordingly, when the
[0068]
Next, an information notification processing operation when an unauthorized access is detected in the third embodiment of the present invention will be described with reference to FIGS. 1 to 4 and FIGS. In the third embodiment, the
[0069]
In the
[0070]
Thereafter, when transferring the packet from the client-
[0071]
The unauthorized access
[0072]
The packet
[0073]
That is, when the third embodiment is applied to the above-described first embodiment, the packet
[0074]
When the third embodiment is applied to the above-described second embodiment, the packet
[0075]
Accordingly, when a packet related to an unauthorized access is detected, it is possible to refer to only the unauthorized access history detected within a predetermined period of time and determine whether or not the unauthorized access should be notified.
[0076]
Next, an information notification processing operation at the time of detecting an unauthorized access according to the fourth embodiment of the present invention will be described with reference to FIGS. 1 to 4 and FIGS. In the fourth embodiment, the
[0077]
In the
[0078]
Thereafter, when transferring the packet from the client-
[0079]
The unauthorized access
[0080]
The packet
[0081]
That is, when the fourth embodiment is applied to the above-described first embodiment, the packet
[0082]
When the third embodiment is applied to the above-described second embodiment, the packet
[0083]
Thereby, when a packet related to an unauthorized access is detected, the unauthorized access to be notified of information is checked by referring only to the unauthorized access history after an arbitrary timing specified by the operation or after the set timing. It is possible to determine whether or not.
[0084]
Next, an information notification processing operation when an unauthorized access is detected in the fifth embodiment of the present invention will be described with reference to FIGS. 1 to 4 and FIGS. In the fifth embodiment, when the information notification by the unauthorized access
[0085]
When the unauthorized access
[0086]
Upon receiving the error notification via the packet
[0087]
Thereafter, when transferring the packet from the client-
[0088]
The unauthorized access
[0089]
The packet
[0090]
That is, when the fifth embodiment is applied to the above-described first embodiment, the packet
[0091]
When the third embodiment is applied to the above-described second embodiment, the packet
[0092]
In this way, if the information notification to the designated computer when an unauthorized access is detected results in an error, the next time the unauthorized access is detected, the unauthorized access history when the information notification results in an error should not be referenced. Becomes possible.
[0093]
Next, an information notification processing operation at the time of detecting an unauthorized access in the sixth embodiment of the present invention will be described with reference to FIGS. 1 to 4 and FIGS. In the sixth embodiment, when the unauthorized access
[0094]
In the sixth embodiment, list information of computers to be notified of unauthorized access information as shown in FIG. 16 is set in advance, and a computer to which unauthorized access information is notified is determined with reference to this computer list. You. In the unauthorized access information notification
[0095]
In accordance with the information notification instruction from the packet
[0096]
When transferring a packet from the client-
[0097]
Thus, when the
[0098]
【The invention's effect】
As described above in detail, according to the present invention, when a packet related to an unauthorized access is detected, an administrator can efficiently and accurately grasp the actual situation of the unauthorized access. Information notification method can be provided.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a network system using a packet transfer device according to first to sixth embodiments of the present invention.
FIG. 2 is a block diagram showing a configuration of a packet transfer device in each of the embodiments.
FIG. 3 is a block diagram showing components of a packet analysis mechanism in each of the embodiments.
FIG. 4 is a diagram showing an example of an unauthorized access history recorded in an unauthorized access history holding unit in each of the embodiments.
FIG. 5 is a flowchart illustrating a processing procedure of a packet analysis mechanism according to the first embodiment of the present invention.
FIG. 6 is a flowchart showing a processing procedure of a packet analysis mechanism according to the first embodiment of the present invention.
FIG. 7 is a flowchart illustrating a processing procedure of a packet analysis mechanism according to the second embodiment of the present invention.
FIG. 8 is a flowchart illustrating a processing procedure of a packet analysis mechanism according to the second embodiment of the present invention.
FIG. 9 is a flowchart illustrating a processing procedure of a packet analysis mechanism according to the second embodiment of the present invention.
FIG. 10 is a flowchart illustrating a processing procedure of a packet analysis mechanism according to the third embodiment of the present invention.
FIG. 11 is a flowchart illustrating a processing procedure of a packet analysis mechanism according to a third embodiment of the present invention.
FIG. 12 is a flowchart illustrating a processing procedure of a packet analysis mechanism according to a fourth embodiment of the present invention.
FIG. 13 is a flowchart illustrating a processing procedure of a packet analysis mechanism according to a fourth embodiment of the present invention.
FIG. 14 is a flowchart illustrating a processing procedure of a packet analysis mechanism according to a fifth embodiment of the present invention.
FIG. 15 is a flowchart illustrating a processing procedure of a packet analysis mechanism according to a fifth embodiment of the present invention.
FIG. 16 is a diagram showing a configuration example of an unauthorized access information notification destination computer list in the sixth embodiment of the present invention.
FIG. 17 is a flowchart illustrating a procedure of a notification destination allocation process according to the sixth embodiment of the present invention.
[Explanation of symbols]
10 ... Packet transfer device
11 Packet transmitting / receiving unit
12 Packet transmission / reception unit
13: Packet analysis mechanism
20 ... Server
100: Client-side network segment
131: Packet analysis processing unit
132: Packet passage processing unit
133: Unauthorized access history holding unit
134: Unauthorized access information notification unit
135 ... List of unauthorized access information notification computers
200: Network segment on the server side
Claims (11)
前記パケット解析手段に、
前記ネットワークセグメント間で転送されるパケットが不正アクセスに関わるパケットであることを判定した際、前記不正アクセス履歴記録手段に記録された不正アクセス履歴を参照して、前記不正アクセスに関わるパケットであると判定したパケットの送信元が、過去に存在する不正パケットの送信元であるか否かを判定する判定手段と、
前記判定手段が過去に存在しない不正パケットの送信元であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び詳細情報を外部の機器に通知する通知手段と
を具備したことを特徴とするパケット転送装置。Packet analysis means for determining whether a packet transferred between network segments is a packet related to unauthorized access; and information on the existence and detailed information of the packet determined to be a packet related to unauthorized access by the packet analysis means. An unauthorized access history recording means for recording as an unauthorized access history;
In the packet analysis means,
When determining that the packet transferred between the network segments is a packet related to unauthorized access, referring to the unauthorized access history recorded in the unauthorized access history recording unit, it is determined that the packet is related to the unauthorized access. Determining means for determining whether or not the source of the determined packet is the source of a malicious packet that exists in the past;
Notification means for notifying an external device of the existence and detailed information of the packet determined to be a packet related to the unauthorized access when the determination means determines that the packet is a source of an unauthorized packet that has not existed in the past. A packet transfer device characterized in that:
前記パケット解析手段に、
前記ネットワークセグメント間で転送されるパケットが不正アクセスに関わるパケットであることを判定した際、前記不正アクセス履歴記録手段に記録された不正アクセス履歴を参照して、前記不正アクセスに関わるパケットであると判定したパケットの送信先が、過去に存在する不正パケットの送信先であるか否かを判定する判定手段と、
前記判定手段が過去に存在しない不正パケットの送信先であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び詳細情報を外部の機器に通知する通知手段と
を具備したことを特徴とするパケット転送装置。Packet analysis means for determining whether a packet transferred between network segments is a packet related to unauthorized access; and information on the existence and detailed information of the packet determined to be a packet related to unauthorized access by the packet analysis means. An unauthorized access history recording means for recording as an unauthorized access history;
In the packet analysis means,
When determining that the packet transferred between the network segments is a packet related to unauthorized access, referring to the unauthorized access history recorded in the unauthorized access history recording unit, it is determined that the packet is related to the unauthorized access. Determining means for determining whether or not the destination of the determined packet is a destination of a malicious packet that exists in the past;
Notifying means for notifying an external device of the existence and detailed information of the packet determined to be a packet related to the unauthorized access when the determining means determines that the packet is a transmission destination of an unauthorized packet that does not exist in the past. A packet transfer device characterized in that:
前記不正アクセスに関わるパケットであると判定したパケットについて、前記記録した不正アクセス履歴のすべて若しくは一部を参照して、過去の不正アクセス履歴に存在しない不正パケットの送信元であるか否かを判定し、過去の不正アクセス履歴に存在しない不正パケットの送信元であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び詳細情報を外部の機器に通知するステップと
を具備したことを特徴とするパケット転送装置の不正アクセス検知時に於ける情報通知方法。Determines whether the packet transferred between network segments is a packet related to unauthorized access, and if it is determined to be a packet related to unauthorized access, records the existence and detailed information of the packet as unauthorized access history Steps to
For the packet determined to be a packet related to the unauthorized access, refer to all or a part of the recorded unauthorized access history to determine whether the packet is a source of an unauthorized packet that does not exist in the past unauthorized access history. Notifying the existence and detailed information of the packet determined to be a packet related to the unauthorized access to an external device when it is determined that the packet is a source of an unauthorized packet that does not exist in the past unauthorized access history. An information notification method at the time of detecting unauthorized access of a packet transfer device, the method being provided.
前記不正アクセスに関わるパケットであると判定したパケットについて、前記記録した不正アクセス履歴のすべて若しくは一部を参照して、過去の不正アクセス履歴に存在しない不正パケットの送信先であるか否かを判定し、過去の不正アクセス履歴に存在しない不正パケットの送信先であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び詳細情報を外部の機器に通知するステップと
を具備したことを特徴とするパケット転送装置の不正アクセス検知時に於ける情報通知方法。Determines whether the packet transferred between network segments is a packet related to unauthorized access, and if it is determined to be a packet related to unauthorized access, records the existence and detailed information of the packet as unauthorized access history Steps to
For the packet determined to be a packet related to the unauthorized access, refer to all or a part of the recorded unauthorized access history to determine whether the packet is a destination of an unauthorized packet that does not exist in the past unauthorized access history. Notifying the existence and detailed information of the packet determined to be a packet related to the unauthorized access to an external device when determining that the packet is a destination of an unauthorized packet that does not exist in the past unauthorized access history. An information notification method at the time of detecting unauthorized access of a packet transfer device, the method being provided.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002307124A JP3689079B2 (en) | 2002-10-22 | 2002-10-22 | Packet transfer device and information notification method when detecting unauthorized access of packet transfer device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002307124A JP3689079B2 (en) | 2002-10-22 | 2002-10-22 | Packet transfer device and information notification method when detecting unauthorized access of packet transfer device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004146931A true JP2004146931A (en) | 2004-05-20 |
| JP3689079B2 JP3689079B2 (en) | 2005-08-31 |
Family
ID=32453674
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002307124A Expired - Fee Related JP3689079B2 (en) | 2002-10-22 | 2002-10-22 | Packet transfer device and information notification method when detecting unauthorized access of packet transfer device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3689079B2 (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007028268A (en) * | 2005-07-19 | 2007-02-01 | Kddi Corp | Base station, system, and method for limiting band allocation of terminal transmitting illegal packet |
| JP2007336551A (en) * | 2006-06-12 | 2007-12-27 | Mitsubishi Electric Information Technology Centre Europa Bv | Method and device for submitting at least one tcp data segment stream to in-line content analysis, computer readable medium holding one or more instruction sequence for implementing the method, and computer program product |
| JP2010226177A (en) * | 2009-03-19 | 2010-10-07 | Toshiba Corp | Packet transfer device, and program to be executed by the device |
| JP2013168763A (en) * | 2012-02-15 | 2013-08-29 | Hitachi Ltd | Security monitoring system and security monitoring method |
| JP2018157368A (en) * | 2017-03-17 | 2018-10-04 | 株式会社構造計画研究所 | Detection information distribution system |
-
2002
- 2002-10-22 JP JP2002307124A patent/JP3689079B2/en not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007028268A (en) * | 2005-07-19 | 2007-02-01 | Kddi Corp | Base station, system, and method for limiting band allocation of terminal transmitting illegal packet |
| JP2007336551A (en) * | 2006-06-12 | 2007-12-27 | Mitsubishi Electric Information Technology Centre Europa Bv | Method and device for submitting at least one tcp data segment stream to in-line content analysis, computer readable medium holding one or more instruction sequence for implementing the method, and computer program product |
| JP2010226177A (en) * | 2009-03-19 | 2010-10-07 | Toshiba Corp | Packet transfer device, and program to be executed by the device |
| JP2013168763A (en) * | 2012-02-15 | 2013-08-29 | Hitachi Ltd | Security monitoring system and security monitoring method |
| JP2018157368A (en) * | 2017-03-17 | 2018-10-04 | 株式会社構造計画研究所 | Detection information distribution system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3689079B2 (en) | 2005-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11165869B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
| US9729655B2 (en) | Managing transfer of data in a data network | |
| US7523493B2 (en) | Virus monitor and methods of use thereof | |
| CN100361452C (en) | Method and device for server denial of service shield | |
| US20070022468A1 (en) | Packet transmission equipment and packet transmission system | |
| US20090077631A1 (en) | Allowing a device access to a network in a trusted network connect environment | |
| WO2010003317A1 (en) | Device, method and system for preventing web page from being tampered | |
| JP5980968B2 (en) | Information processing apparatus, information processing method, and program | |
| US8082583B1 (en) | Delegation of content filtering services between a gateway and trusted clients in a computer network | |
| JP2008054204A (en) | Connection device, terminal device, and data confirmation program | |
| US7774847B2 (en) | Tracking computer infections | |
| JP2004146931A (en) | Packet transfer apparatus and information notice method at illegitimate access detection by the packet transfer apparatus | |
| EP3349138B1 (en) | Communication destination determination device, communication destination determination method, and recording medium | |
| US20120110665A1 (en) | Intrusion Detection Within a Distributed Processing System | |
| US9064093B1 (en) | Method and system for content detection and interception in communication networks | |
| US20200389435A1 (en) | Auditing smart bits | |
| JP2009081736A (en) | Packet transfer apparatus and program | |
| US8660143B2 (en) | Data packet interception system | |
| JP2019092106A (en) | Network monitoring device, network monitoring method, and network monitoring program | |
| JP2006031238A (en) | Message transfer control method, message transfer control program and message queuing device | |
| JP4710889B2 (en) | Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program | |
| JP2003281003A (en) | Support method for guaranteeing operation of system | |
| JP2009225046A (en) | Communication jamming apparatus and communication jamming program | |
| JP2006203340A (en) | Resource management device, method and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050201 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050208 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050411 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050531 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050609 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090617 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100617 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100617 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110617 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |