JP2005005927A - Network system, unauthorized access control method, and program - Google Patents

Network system, unauthorized access control method, and program Download PDF

Info

Publication number
JP2005005927A
JP2005005927A JP2003165918A JP2003165918A JP2005005927A JP 2005005927 A JP2005005927 A JP 2005005927A JP 2003165918 A JP2003165918 A JP 2003165918A JP 2003165918 A JP2003165918 A JP 2003165918A JP 2005005927 A JP2005005927 A JP 2005005927A
Authority
JP
Japan
Prior art keywords
information
unauthorized access
network
transfer processing
digital information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003165918A
Other languages
Japanese (ja)
Other versions
JP3966231B2 (en
Inventor
Kunio Namito
邦夫 波戸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003165918A priority Critical patent/JP3966231B2/en
Publication of JP2005005927A publication Critical patent/JP2005005927A/en
Application granted granted Critical
Publication of JP3966231B2 publication Critical patent/JP3966231B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an unauthorized access detecting service without deteriorating the communication quality in a network system which connect the digital information transmitting networks to each other. <P>SOLUTION: An information transfer processor 2 detects, by using simple processing, at high speed whether the information to be transferred is based on an unauthorized access, and transfers the information based on the authorized access as usual, and transfers only the information whose unauthorized access is suspected not to the original destination but to a detail testing device 3. The detail testing device 3 carefully and strictly checks whether the transferred information is based on an unauthorized access by comparing the information with the information in the unauthorized access database 6, and when the information is not based on the unauthorized access, transfers the information to the original destination, but when it is based on the unauthorized access, records the information in an information recording device 4 without transferring it to the original destination. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、複数のデジタル情報伝達ネットワークを接続して広域のネットワークサービスを提供するネットワークシステム技術に係わり、特にデジタルネットワーク間での不正アクセスを効率的に監視・阻止してセキュリティを向上するのに好適なネットワークシステムに関するものである。
【0002】
【従来の技術】
インターネット等のパブリックなIP(Internet Protocol)ネットワークの普及に伴い、ネットワーク経由の不正アクセスによるデータなどの不正盗聴、破壊、改竄などの脅威が常に存在するとともに、ネットワーク、サーバなどに異常負荷をかけて、ネットワーク機器またはサーバシステムなどを事実上動作不能とさせる攻撃などの脅威が急増している。
【0003】
これらの脅威に対処するために、ネットワークを流れるデータの内容あるいは送信元のユーザ権限により、通信を制御するアクセス制御技術が一般に採用されている。
【0004】
この制御技術は、一般に、ファイヤウォールとして知られている機能をルータ等のパケット処理装置に実装することで実現されており、このパケット処理装置は、インターネットなどの外部ネットワークとイントラネットなどの内部ネットワークとの境界に設置され、セキュリティポリシーに従った必要最小限の通信のみを通過させるアクセス制御を行う。
【0005】
アクセス制御を行うためのファイヤウォールの機能は、IPフィルタリングによるIPレベルでのアクセス制御機能、TCP(Transport Control Protocol)レベルでのTCPポート毎のアクセス制御機能、通信の内容に応じてアクセス制御を行うアプリケーションレベルでのアクセス制御機能に大別される。
【0006】
これらの機能を備えた通信システムでは、通信の種別、内容及びその方向により、通信のアクセスを制御することが可能となる。さらに、セキュリティポリシーに基づいたセキュリティ設計により、そのアクセス制御方式を決定するとともにアクセス制御の各種パラメータを規定し、さらにファイヤウォール機能を有するパケット処理装置にパラメータ設定を行うことによって、セキュリティポリシーに従ったネットワーク運用を行うことができる。
【0007】
しかし、上記のファイヤウォール機能では、セキュリティポリシーに従った通信については、ネットワークの通過を許容するため、この通過可能な通信サービスを悪用した不正侵入等の不正アクセスを完全に阻止することは困難である。この問題点を補完するために、一般にIDS(Intrusion Detection System)として知られている不正侵入の検知を目的としたセキュリティ監視装置が採用されている。
【0008】
この監視装置では、ファイヤウォール機能を通過して流れる通信データを全て監視し、不正な通信の有無を常時監視する方式を採用している。例えば、既知の侵入などの不正行為に関するデータをデータベース化し、受信データと予め記憶された不正アクセスパターンとを比較し、一致の検出時にトラヒックシェービングによって不正アクセスのトラヒックを減少させることができる。
【0009】
また、トラヒックシェーピングにより、不正アクセスに用いられるIPパケットのトラヒックを減少させるのではなく、フィルタリングを行いトラヒックを遮断する技術もある。
【0010】
しかし、このような従来のパケット処理装置では、第1,第2の問題点がある。まず、第1の問題点として、不正アクセスのIPパケットに対して受信したパケット処理装置内でトラヒックシェービング、フィルタリング処理を行うため、パケット処理装置の処理負荷が増大するとともに、不正アクセスのIPパケットが帯域を消費する。そのため、不正アクセスから防護できても、端末間での通信品質の劣化を招きやすかった。
【0011】
また、第2の問題点として、これらのパケット処理装置は、不正アクセスから守りたい装置の直前に配置する必要があり、守りたい装置がネットワーク構成的に点在している場合には、それごとにパケット処理装置を複数配置しなければならない。
【0012】
このような問題を解決する従来技術として、例えば、特許文献1〜5に記載の技術がある。
【0013】
特許文献1においては、複数箇所から同時に連携してDoS(Denial of Services)攻撃を行う分散型サービス不能攻撃(DDoS)を、攻撃を受ける側で効率的に防御する技術として、ネットワーク境界に設けられた通信装置に、自通信装置を通過する通信パケットを監視して分散型サービス不能攻撃を検出して、当該分散型サービス不能攻撃の通信パケットを破棄すると共に、攻撃元に近い上位側の通信装置のアドレスを検索する攻撃元検索モジュールプログラムを実装し、この上位側の防御位置の通信装置に対して前記攻撃元検索モジュールプログラムを送信して、さらに、攻撃元に近い上位側の通信装置の候補中から上位側の防御位置とする通信装置を抽出し、この防御位置の通信装置に対して前記攻撃防御モジュールプログラムを送信することで、DoS攻撃者からのトラヒック全てを通過させないようにする技術が記載されている。
【0014】
特許文献2においては、アドレス不定型DoS攻撃を含むDoS攻撃全般の対策をISP(Internet Service Provider)においても容易に実現することを目的として、送信元側において、通信パケットに対して施した安全性確認の度合いに応じて、通信パケットに異なる種類の安全性識別子を付加し、通信パケットの配送経路上で、当該安全性識別子に応じて優先度制御を行うことにより、より高い安全性確認が行われたパケットを優先的に送信先に接続し、その他のパケットは破棄する技術が記載されている。アドレス不定型DoS攻撃は、十分な安全性確認を行っていないパケットを使って行われるため、このようなパケットは優先度が下げられ、帯域で許可された容量を超えた場合に、攻撃に使われるパケットは破棄され、アドレス不定型DoS攻撃は無効となる。
【0015】
特許文献3においては、複数箇所から同時に連携してDoS(Denial of Services)攻撃を行う分散型サービス不能攻撃(DDoS)を防御する技術として、防御側ネットワークにおいて、当該ネットワークの状況を監視して例えば急激にアクセスが増加することに基づき攻撃対象ホストに対する不正アクセス(DDoS攻撃)を検出すると、不正アクセスを実施するホストに所属する攻撃遮断機器に、当該踏み台ホストに対する通信制御を指示する技術が記載されている。
【0016】
特許文献4においては、他のキャリア(他のプロバイダ)のIPネットワークを介して侵入してきた不正者を、境界個所にて検出することで不正者を高速に(短時間に)特定し、遮断することを目的として、各IPネットワークの境界個所に位置する複数の境界中継装置のそれぞれにおいて、伝送されてきたIPパケットが不正侵入の不正パケットである場合、この不正パケットの再侵入を検出するためのフィルタリング情報に基づいて再侵入を検出すると、当該不正パケットを廃棄し、上記フィルタリング情報を他の境界中継装置に配布する技術が記載されている。
【0017】
特許文献5においては、ファイアウォールやIDSといったセキュリティに係るネットワーク機器を導入することや、導入したネットワーク機器を運用するための知識を獲得するという負担をユーザに強いることなく、インターネットからの攻撃を防御することを目的として、ネットワーク運営者側でユーザの指定(例えば送信元の指定、ポート番号の指定など)に基づいて検査対象のデータを区別し、検査対象と指定されたデータは検査サーバに送り、この検査サーバにおいて、攻撃を行うデータか否かを調査し、調査した結果から攻撃を行わないデータ、および、検査対象と指定されなかったデータだけを選択してネットワーク運営者がユーザに提供する技術が記載されている。
【0018】
【特許文献1】
特開2002−164938号公報
【特許文献2】
特開2002−158699号公報
【特許文献3】
特開2002−158660号公報
【特許文献4】
特開2002−185539号公報
【特許文献5】
特開2002−335246号公報
【0019】
これらの従来技術では、ネットワーク境界において、ユーザに負荷をかけることなく不正アクセス防止のためのサービスを提供することができる。しかし、不正アクセスの検出に時間を要してしまい、情報の転送速度が低下する。
【0020】
【発明が解決しようとする課題】
解決しようとする問題点は、従来の技術では、ネットワーク境界において、ユーザに負荷をかけることなく不正アクセス防止のためのサービスを提供することができるが、不正アクセスの検出に時間を要してしまう点である。
【0021】
発明の目的は、これら従来技術の課題を解決し、通信品質を劣化させることなく不正アクセスの検出サービスを提供可能とすることである。
【0022】
【課題を解決するための手段】
上記目的を達成するため、本発明は、デジタル情報伝達ネットワーク間で転送される情報の内、不正アクセスのための情報を検知する際、まず、デジタル情報伝達ネットワーク間で通常の情報転送処理を行う転送処理装置において、情報を簡易検査して不正アクセスの可能性の有無を高速に検出し、この簡易検査で不正アクセス有りと検出した情報のみを詳細検査装置に転送して、この詳細検査装置において、当該情報を精査して不正アクセスの有無を厳格に検出することを特徴とする。
【0023】
【発明の実施の形態】
以下、本発明の実施の形態を、図面により詳細に説明する。
【0024】
図1は、本発明に係わる不正アクセス制御サービス機能を有するネットワークシステムの構成例を示すブロック図であり、図2は、図1におけるネットワークシステムの第1の処理動作例を示すフローチャート、図3は、図1におけるネットワークシステムの第2の処理動作例を示すフローチャートである。
【0025】
図1において、1は本発明に係わる不正アクセス制御サービス機能を有するネットワークシステムであり、情報転送処理装置2A〜2Dと詳細検査装置3を有し、複数のデジタル情報伝送ネットワーク5A〜5Fを接続し、各デジタル情報伝送ネットワーク5A〜5F間の情報を指定された宛先のデジタル情報伝送ネットワーク5A〜5Fに転送する。
【0026】
情報転送処理装置2A〜2Dと詳細検査装置3のそれぞれは、CPU(Central Processing Unit)や主メモリ、表示装置、入力装置、外部記憶装置等を具備したコンピュータ構成からなり、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、各処理部の機能を実行する。
【0027】
例えば、情報転送処理装置2Aにおいて示すように、情報転送処理装置2A〜2Dのそれぞれは、送受信部21、不正アクセス検知部22、不正アクセス推定部23、転送制御部24、通知部25の各処理機能を有し、詳細検査装置3は、送受信部31、第1〜第3の判断部32〜34、および、不正アクセスデータベース6、情報記録装置4を有している。
【0028】
このような構成により本例のネットワークシステム1は、デジタル情報伝達ネットワーク間で転送される情報の内、不正アクセスのための情報を検知する際、まず、デジタル情報伝達ネットワーク5A〜5F間で通常の情報転送処理を行う転送処理装置2A〜2Dにおいて、情報を簡易検査して不正アクセスの可能性の有無を高速に検出し、この簡易検査で不正アクセス有りと検出した情報のみを詳細検査装置3に転送して、この詳細検査装置3において、当該情報を精査して不正アクセスの有無を厳格に検出する。
【0029】
例えば、転送処理装置2A〜2Dは、送受信部21により、デジタル情報伝達ネットワーク5A〜5F間で通常の情報転送処理を行い、不正アクセス検知部22により、受信した情報の内容に基づき当該情報の送信目的が不正アクセスであるか否かを簡易な処理で高速に特定し、また、不正アクセス推定部23により、受信した情報の送信量、受信間隔、送信元情報、送信先情報、および情報の内容の少なくともいずれか1つに基づき当該情報の送信目的が不正アクセスであるか否かを高速に推定する。
【0030】
そして、不正アクセス検知部22で不正アクセスを検出し、あるいは、不正アクセス推定部23で不正アクセスを推定すると、転送制御部24により、当該情報を詳細検査装置3に転送し、その旨を通知部25により詳細検査装置3に通知する。
【0031】
この際、転送処理装置2A〜2Dは、不正アクセスの可能性有りと検出した情報を含め、全ての情報を一旦、通常通りに指定の宛先のデジタル情報伝達ネットワーク5A〜5F宛に転送し、詳細検査装置3における厳格な不正アクセス検出で不正アクセスが検出された場合に、当該情報の以降の転送処理装置2A〜2Dでの転送を中止する構成、あるいは、転送処理装置2A〜2Dで不正アクセスの可能性有りと検出した情報はその時点で通常転送を中止し、詳細検査装置3における厳格な不正アクセス検出での不正アクセス無しの検出結果を待って、当該情報に対する通常転送を開始する構成とする。
【0032】
詳細検査装置3は、転送処理装置2A〜2Dで不正アクセスの可能性有りと検出した情報を送受信部31で受け取り、この情報に対して、第1〜第3の判断部32〜34において精査し、不正アクセスであるか否かを時間をかけて厳格に判断する。
【0033】
例えば、第1の判断部32においては、不正アクセスデータベース6において保持された過去の不正アクセスに関するデータとの比較に基づき、情報転送処理装置2A〜2Dから転送されてきた情報が不正アクセスであるか否かを判断し、また、第2の判断部33においては、情報転送処理装置2A〜2Dから転送されてきた情報の情報量、類似の情報の転送間隔、送信元および送信先のアドレス情報、送信先の端末の種類の少なくともいずれか1つに基づき当該情報が不正アクセスであるか否かを判断し、そして、第3の判断部34においては、不正アクセスデータベース6において保持された過去の情報の転送履歴と現在の転送状態との差に基づき当該情報が不正アクセスであるか否かを判断する。
【0034】
これらの第1〜第3の判断部32〜34のいずれかにより不正アクセスであると判断した場合、詳細検査装置3は、送受信部31により、その判断結果を情報転送処理装置2A〜2Dに通知する。
【0035】
これらの第1〜第3の判断部32〜34のいずれかにより、不正アクセスでないと判断した場合、詳細検査装置3は、送受信部31により、その判断結果を情報転送処理装置2A〜2Dに通知し、当該情報をネットワークシステム1を経由して、指定された宛先デジタル情報伝達ネットワーク5A〜5Fに転送する。
【0036】
尚、詳細検査装置3は判断結果を必ずしも情報転送処理装置2A〜2Dに通知しなくても良い。また、詳細検査装置3にて不正アクセスでないと判断された情報は、詳細検査装置3が、指定された宛先デジタル情報伝達ネットワークに転送しても良いし、詳細検査装置3から通知を受けた情報転送処理装置2A〜2Dが、指定された宛先デジタル情報伝達ネットワークに転送しても良い。
【0037】
このように、転送処理装置2A〜2Dで不正アクセスの可能性有りと検出した情報、および、詳細検査装置3における厳格な不正アクセス検出で不正アクセスとして検出した情報を、情報記録装置4において記録し、この情報記録装置4は、記録した情報が予め定められた条件を満たす場合に当該情報が不正アクセスであることを予め定められた管理用端末に通知する。
【0038】
本例では、ネットワークシステム1は、情報転送処理装置2Aを介してデジタル情報伝達ネットワーク5A,5Bを、情報転送処理装置2Bを介してデジタル情報伝達ネットワーク5Cを、情報転送処理装置2Cを介してデジタル情報伝達ネットワーク5D,5Eを、情報転送処理装置2Dを介してデジタル情報伝達ネットワーク5Fを接続する。詳細検査装置3は、内部に不正アクセスのデータを保持する不正アクセスデータベース6を具備している。
【0039】
以下、情報転送処理装置2A〜2Dを情報転送処理装置2、デジタル情報伝達ネットワーク5A〜5Fをデジタル情報伝達ネットワーク5として、このような構成におけるネットワークシステム1の処理動作を図2,3を用いて説明する。
【0040】
図2に示すように、情報転送処理装置2は、接続するデジタル情報伝達ネットワーク5から転送する情報を受信し(ステップ201)、受信した情報の宛先情報から転送するべき情報転送処理装置2を決定する。
【0041】
この際、情報転送処理装置2は、受信した情報が不正アクセスであるか否かを判断し(ステップ202)、不正アクセスであると判断した場合、もしくは不正アクセスであると通知を受けている場合(ステップ203)、その情報を廃棄して(ステップ204)、その判断結果を詳細検査装置3に通知する(ステップ205)。
【0042】
また、不正アクセスであると判断しなかった場合には(ステップ203)、不正アクセスの推定処理を行う(ステップ206)。
【0043】
この推定結果で不正アクセスの可能性が無い(ステップ207)と判定された情報は通常の転送処理で指定の宛先に転送するが(ステップ208)、不正アクセスの可能性があるとの推定結果であれば(ステップ207)、当該推定結果を詳細検査装置3に通知して当該情報を転送し(ステップ209)、詳細検査装置3での詳細な不正アクセス検出処理結果を待つ(ステップ210)。
【0044】
この際、当該情報を本来転送するべきデジタル情報伝達ネットワーク5側にある情報転送装置2には転送しないようにしても良いし、本来転送するべき情報転送装置2および詳細検査装置3の両者に転送することでも良い。
【0045】
詳細検査装置3での詳細な不正アクセス検出処理結果が不正アクセスでない場合(ステップ211)、通常の情報転送を継続し(ステップ208)、不正アクセスとの検出結果であれば(ステップ211)、当該情報の本来転送するべきデジタル情報伝達ネットワーク5側にある情報転送装置2への転送を中止する(ステップ213)。
【0046】
詳細検査装置3は、図3に示すように、情報転送処理装置2から転送されてきた情報を受信すると(ステップ301,302)、詳細検査装置3内に持つ不正アクセスデータベース6で保持するデータと、受信した情報、およびその情報の付帯情報とを比較して、受信した情報が不正アクセスであるか否かを判断する(ステップ303)。
【0047】
不正アクセスであると判断した場合は(ステップ304)、関連する情報転送処理装置2と情報記録装置4にその結果を通知し(ステップ305)、受信した情報を情報記録装置4に転送し、情報記録装置4において、当該情報および不正アクセスの判断結果を記録し(ステップ306)、ネットワークシステム管理者が参照可能とする。あるいは、予め設定された条件に従い、管理者に通知する。
【0048】
不正アクセスでないと判断した場合は(ステップ304)、関連する情報転送処理装置2と情報記録装置4にその結果を通知し(ステップ307)、受信した情報を本来転送すべきデジタル情報伝達ネットワーク5に接続する情報転送処理装置2に転送する(ステップ308)。
【0049】
この際、当該情報を転送するのは情報転送処理装置2でも良いし、詳細検査装置3でも良い。詳細検査装置3が当該情報を転送する際は、詳細検査装置3は、判断結果を情報転送処理装置2に通知しても良いし、しなくても良い。
【0050】
以上、図1〜図3を用いて説明したように、本例のネットワークシステム1は、複数のデジタル情報伝達ネットワーク5A〜5Fを相互に接続し、これらのデジタル情報伝達ネットワーク5A〜5F間の情報を、指定された宛先デジタル情報伝達ネットワーク5A〜5Fに転送するものであり、デジタル情報伝達ネットワーク5A〜5Fに対してネットワークシステム1の内部の構造を隠蔽し、ネットワークシステム1とデジタル情報伝達ネットワーク5A〜5Fの境界に位置する情報転送処理装置2A〜2Dにおいて、デジタル情報伝達ネットワーク5A〜5Fから送信された不正アクセスを検知し、不正アクセスと検知した情報を、本来意図された以外の宛先に転送し、その転送先に、詳細に不正アクセスを検査および記録する詳細検査装置3を配備する構成とする。
【0051】
あるいは、情報転送処理装置2A〜2Dにおいては、不正アクセスの兆候を検知し、または不正アクセスの通知を受け、不正アクセスの疑いのあるアクセスを詳細検査装置3に転送し、この詳細検査装置3において、そのアクセスが不正アクセスであるか否かを詳細に検査することで、不正アクセスと正規アクセスを区別し、正規アクセスのみを本来意図された宛先に転送し、不正アクセスを本来意図された宛先に転送しないことで、不正アクセスの大量送信等による正規アクセスの妨害を防止する。尚、詳細検査装置3から不正アクセスの終了通知を受けると、情報転送処理装置2A〜2Dは、以降、詳細検査装置3に転送していた当該アクセス(情報)を本来意図された宛先に転送する。
【0052】
このことにより、本例によれば、デジタル情報伝達ネットワーク5A〜5F間での不正アクセスが発生した場合においても、ネットワークシステム1側で不正アクセスを検知、転送、防御、記録することができ、デジタル情報伝達ネットワーク5A〜5F内で提供されるサービスや正規のアクセスが不正アクセスによって影響を受けることなく、通常通り使用することが可能となる。
【0053】
その際、本例では、ネットワークシステム1での不正アクセス検出行程を2段階に分け、まず、容易な処理で高速な不正アクセス検出を行い、ここで不正アクセスとして検出された情報に対してのみ、より細かい処理で厳格に不正アクセス検出を行う構成とし、正規のアクセスに関しては簡易で高速な不正アクセス検出のみを行うので、正規のアクセスの転送効率が向上し、ネットワークサービスの特性・性能の向上と伝送効率の向上を図ることが可能となる。
【0054】
尚、本発明は、図1〜図3を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、詳細検査装置3内に不正アクセスデータベース6および情報記録装置4を設けた構成としているが、不正アクセスデータベース6および情報記録装置4を詳細検査装置3と個別に設けた構成としても良い。
【0055】
また、本例では、情報転送処理装置2A〜2D内に、不正アクセス検知部22と不正アクセス推定部23の双方を設けた構成としているが、少なくともいずれか1つを有する構成としても良い。また、詳細検査装置3内の第1〜第3の判断部32〜34に関しても同様に、少なくともいずれか1つを設けた構成としても良い。
【0056】
また、本例のコンピュータ構成例としては、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
【0057】
【発明の効果】
本発明によれば、デジタル情報伝達ネットワーク間での不正アクセスが発生した場合においてもネットワークシステム側で不正アクセスを検知、転送、防御、記録することにより、デジタル情報伝達ネットワーク内で提供されるサービスや正規のアクセスが不正アクセスによって影響を受けることなく、通常通り使用することが可能となり、さらに、正規のアクセスに関しては簡易で高速な不正アクセス検出のみを行うので、正規のアクセスの転送効率が向上し、ネットワークサービスの特性・性能の向上と伝送効率の向上を図ることが可能となり、不正アクセスから防護すると同時に、通信品質の劣化をなくすことが可能である。
【図面の簡単な説明】
【図1】本発明に係わる不正アクセス制御サービス機能を有するネットワークシステムの構成例を示すブロック図である。
【図2】図1におけるネットワークシステムの第1の処理動作例を示すフローチャートである。
【図3】図1におけるネットワークシステムの第2の処理動作例を示すフローチャートである。
【符号の説明】
1:ネットワークシステム、2A〜2D:情報転送処理装置、3:詳細検査装置、4:情報記録装置、5A〜5F:デジタル情報伝達ネットワーク、6:不正アクセスデータベース、21:送受信部、22:不正アクセス検知部、23:不正アクセス推定部、24:転送制御部、25:通知部、31:送受信部、32〜34:第1〜第3の判断部。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a network system technology that provides a wide area network service by connecting a plurality of digital information transmission networks, and more particularly to improve security by efficiently monitoring and preventing unauthorized access between digital networks. The present invention relates to a suitable network system.
[0002]
[Prior art]
With the spread of public IP (Internet Protocol) networks such as the Internet, threats such as illegal eavesdropping, destruction, and tampering of data due to unauthorized access via the network always exist, and an abnormal load is imposed on the network and servers. Threats such as attacks that make network devices or server systems virtually inoperable are rapidly increasing.
[0003]
In order to deal with these threats, an access control technique for controlling communication according to the contents of data flowing through the network or the user authority of the transmission source is generally employed.
[0004]
This control technology is generally realized by implementing a function known as a firewall in a packet processing device such as a router. This packet processing device is connected to an external network such as the Internet and an internal network such as an intranet. It is installed at the boundary of the network and performs access control that allows only the minimum necessary communication according to the security policy.
[0005]
The firewall function for performing access control includes an access control function at the IP level by IP filtering, an access control function for each TCP port at the TCP (Transport Control Protocol) level, and performs access control according to the contents of communication. Broadly divided into access control functions at the application level.
[0006]
In a communication system having these functions, communication access can be controlled according to the type, content, and direction of communication. In addition, the security design based on the security policy determines the access control method, defines various parameters for access control, and further sets the parameters in the packet processing device that has a firewall function. Network operation can be performed.
[0007]
However, with the firewall function described above, it is difficult to completely prevent unauthorized access such as unauthorized intrusion using this passable communication service because communication through the security policy is allowed to pass through the network. is there. In order to compensate for this problem, a security monitoring device for detecting unauthorized intrusion, generally known as IDS (Intrusion Detection System), has been adopted.
[0008]
This monitoring apparatus employs a method of monitoring all communication data flowing through the firewall function and constantly monitoring the presence or absence of unauthorized communication. For example, it is possible to create a database of data related to illegal activities such as known intrusions, compare received data with previously stored illegal access patterns, and reduce traffic of unauthorized access by traffic shaving when a match is detected.
[0009]
In addition, there is a technique for blocking traffic by filtering instead of reducing traffic of IP packets used for unauthorized access by traffic shaping.
[0010]
However, such a conventional packet processing apparatus has the first and second problems. First, as a first problem, traffic shaving and filtering processing is performed in the received packet processing device for an illegally accessed IP packet, so that the processing load of the packet processing device increases and the illegally accessed IP packet Consume bandwidth. For this reason, even if it was possible to protect against unauthorized access, communication quality between terminals was likely to deteriorate.
[0011]
In addition, as a second problem, these packet processing devices need to be arranged immediately before the device that is to be protected from unauthorized access. A plurality of packet processing devices must be arranged in the network.
[0012]
As conventional techniques for solving such a problem, there are techniques described in Patent Documents 1 to 5, for example.
[0013]
In Patent Document 1, a network denial-of-service attack (DDoS) that performs a DoS (Denial of Services) attack in cooperation from a plurality of locations simultaneously is provided at the network boundary as a technique for efficiently protecting the attacked side. The communication device that monitors the communication packet passing through the communication device is detected by the communication device, detects the distributed denial-of-service attack, discards the communication packet of the distributed denial-of-service attack, and closes the upper communication device close to the attack source An attack source search module program for searching the address of the host is transmitted, the attack source search module program is transmitted to the communication device at the higher-level defense position, and further candidates for higher-level communication devices close to the attack source A communication device as a higher defense position is extracted from the inside, and the attack defense module is extracted from the communication device at this defense position. By sending le program, technology that does not pass all traffic from DoS attacker is described.
[0014]
In Patent Document 2, the security provided to the communication packet on the transmission side for the purpose of easily realizing countermeasures for the DoS attack including the indefinite address DoS attack even in the ISP (Internet Service Provider). Depending on the degree of confirmation, a different type of safety identifier is added to the communication packet, and priority control is performed according to the safety identifier on the delivery route of the communication packet, thereby achieving higher safety confirmation. A technique is described in which a broken packet is preferentially connected to a destination and other packets are discarded. Since address-indefinite DoS attacks are performed using packets that have not been fully secured, such packets are used for attacks when the priority is lowered and the bandwidth exceeds the capacity allowed. The received packet is discarded, and the indefinite address DoS attack becomes invalid.
[0015]
In Patent Document 3, as a technique for defending against a distributed denial-of-service attack (DDoS) in which a DoS (Denial of Services) attack is performed simultaneously in cooperation from a plurality of locations, the situation of the network is monitored in a defending network. Describes a technology that instructs an attack blocking device belonging to a host that performs unauthorized access to control communication with the corresponding step host when an unauthorized access (DDoS attack) to the attack target host is detected based on a sudden increase in access ing.
[0016]
In Patent Document 4, an unauthorized person who has entered through an IP network of another carrier (another provider) is detected at a boundary portion to identify and block the unauthorized person at a high speed (in a short time). For this purpose, in each of the plurality of boundary relay devices located at the boundary portions of each IP network, when the transmitted IP packet is an illegal intrusion packet, the re-intrusion of the illegal packet is detected. A technique is described in which when a re-intrusion is detected based on filtering information, the illegal packet is discarded and the filtering information is distributed to other boundary relay apparatuses.
[0017]
Patent Document 5 protects against attacks from the Internet without forcing the user to introduce security-related network devices such as firewalls and IDS and to acquire knowledge for operating the introduced network devices. For this purpose, the network operator distinguishes the data to be inspected based on the user's specification (for example, specification of the transmission source, specification of the port number, etc.), and the data specified as the inspection target is sent to the inspection server, This inspection server investigates whether or not the data is an attack, and the network operator provides to the user by selecting only the data that does not attack and the data that is not designated as the inspection target from the survey results Is described.
[0018]
[Patent Document 1]
JP 2002-164938 A [Patent Document 2]
JP 2002-158699 A [Patent Document 3]
JP 2002-158660 A [Patent Document 4]
JP 2002-185539 A [Patent Document 5]
Japanese Patent Laid-Open No. 2002-335246
These conventional techniques can provide a service for preventing unauthorized access at the network boundary without imposing a load on the user. However, it takes time to detect unauthorized access, and the information transfer speed decreases.
[0020]
[Problems to be solved by the invention]
The problem to be solved is that the conventional technology can provide a service for preventing unauthorized access without imposing a load on the user at the network boundary, but it takes time to detect unauthorized access. Is a point.
[0021]
An object of the present invention is to solve these problems of the prior art and to provide an unauthorized access detection service without deteriorating communication quality.
[0022]
[Means for Solving the Problems]
In order to achieve the above object, the present invention first performs a normal information transfer process between digital information transmission networks when detecting information for unauthorized access among the information transferred between digital information transmission networks. In the transfer processing device, the information is simply inspected to detect the possibility of unauthorized access at high speed, and only the information detected as having unauthorized access in this simple inspection is transferred to the detailed inspection device. The information is scrutinized to strictly detect the presence or absence of unauthorized access.
[0023]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[0024]
FIG. 1 is a block diagram showing a configuration example of a network system having an unauthorized access control service function according to the present invention, FIG. 2 is a flowchart showing a first processing operation example of the network system in FIG. 1, and FIG. FIG. 5 is a flowchart showing a second processing operation example of the network system in FIG. 1. FIG.
[0025]
In FIG. 1, reference numeral 1 denotes a network system having an unauthorized access control service function according to the present invention, which includes information transfer processing devices 2A to 2D and a detailed inspection device 3, and connects a plurality of digital information transmission networks 5A to 5F. The information between the digital information transmission networks 5A to 5F is transferred to the designated digital information transmission networks 5A to 5F.
[0026]
Each of the information transfer processing devices 2A to 2D and the detailed inspection device 3 has a computer configuration including a CPU (Central Processing Unit), a main memory, a display device, an input device, an external storage device, and the like. After the program and data recorded in a storage medium such as a CD-ROM are installed in the external storage device, the function of each processing unit is executed by reading the program and data from the external storage device into the main memory and processing them by the CPU.
[0027]
For example, as shown in the information transfer processing device 2A, each of the information transfer processing devices 2A to 2D includes a transmission / reception unit 21, an unauthorized access detection unit 22, an unauthorized access estimation unit 23, a transfer control unit 24, and a notification unit 25. The detailed inspection device 3 includes a transmission / reception unit 31, first to third determination units 32 to 34, an unauthorized access database 6, and an information recording device 4.
[0028]
With such a configuration, when the network system 1 of this example detects information for unauthorized access among the information transferred between the digital information transmission networks, first, the network system 1 of the example is a normal one between the digital information transmission networks 5A to 5F. In the transfer processing devices 2A to 2D that perform the information transfer processing, the information is simply inspected to detect the possibility of unauthorized access at a high speed, and only the information detected by the simple inspection as having unauthorized access is sent to the detailed inspection device 3 Then, the detailed inspection apparatus 3 examines the information and strictly detects the presence or absence of unauthorized access.
[0029]
For example, the transfer processing devices 2A to 2D perform normal information transfer processing between the digital information transmission networks 5A to 5F by the transmission / reception unit 21, and the unauthorized access detection unit 22 transmits the information based on the content of the received information. Whether or not the purpose is unauthorized access is identified at high speed by simple processing, and the unauthorized access estimation unit 23 transmits the amount of information received, the reception interval, the transmission source information, the transmission destination information, and the content of the information. Based on at least one of the above, it is estimated at high speed whether or not the transmission purpose of the information is unauthorized access.
[0030]
When the unauthorized access detection unit 22 detects unauthorized access or when the unauthorized access estimation unit 23 estimates unauthorized access, the transfer control unit 24 transfers the information to the detailed inspection device 3 and notifies the notification unit. 25 to notify the detailed inspection apparatus 3.
[0031]
At this time, the transfer processing devices 2A to 2D temporarily transfer all information including the information detected as having the possibility of unauthorized access to the designated digital information transmission networks 5A to 5F as usual. In the case where unauthorized access is detected by strict unauthorized access detection in the inspection device 3, a configuration in which transfer of the information in the subsequent transfer processing devices 2A to 2D is stopped, or unauthorized access is performed in the transfer processing devices 2A to 2D. The information detected as having possibility is stopped at the normal transfer at that time, and the normal transfer to the information is started after waiting for the detection result of no unauthorized access in the strict unauthorized access detection in the detailed inspection device 3. .
[0032]
The detailed inspection device 3 receives the information detected by the transfer processing devices 2A to 2D as having the possibility of unauthorized access at the transmission / reception unit 31, and scrutinizes this information at the first to third determination units 32 to 34. Strictly determine whether it is unauthorized access over time.
[0033]
For example, the first determination unit 32 determines whether the information transferred from the information transfer processing devices 2 </ b> A to 2 </ b> D is unauthorized access based on a comparison with data regarding past unauthorized access held in the unauthorized access database 6. In the second determination unit 33, the information amount of information transferred from the information transfer processing devices 2A to 2D, the transfer interval of similar information, the source and destination address information, Based on at least one of the types of destination terminals, it is determined whether or not the information is unauthorized access, and the third determination unit 34 determines past information held in the unauthorized access database 6. Whether the information is unauthorized access is determined based on the difference between the transfer history and the current transfer state.
[0034]
When any of these first to third determination units 32 to 34 determines that the access is unauthorized, the detailed inspection device 3 notifies the information transfer processing devices 2A to 2D of the determination result by the transmission / reception unit 31. To do.
[0035]
When any of these first to third determination units 32 to 34 determines that the access is not unauthorized, the detailed inspection device 3 notifies the information transfer processing devices 2A to 2D of the determination result by the transmission / reception unit 31. Then, the information is transferred via the network system 1 to the designated destination digital information transmission networks 5A to 5F.
[0036]
The detailed inspection device 3 does not necessarily have to notify the information transfer processing devices 2A to 2D of the determination result. The information determined by the detailed inspection apparatus 3 as not being unauthorized access may be transferred by the detailed inspection apparatus 3 to a designated destination digital information transmission network, or information received from the detailed inspection apparatus 3 The transfer processing devices 2A to 2D may transfer to a designated destination digital information transmission network.
[0037]
As described above, the information recording device 4 records information detected by the transfer processing devices 2A to 2D as the possibility of unauthorized access and information detected as unauthorized access by strict unauthorized access detection in the detailed inspection device 3. When the recorded information satisfies a predetermined condition, the information recording apparatus 4 notifies a predetermined management terminal that the information is unauthorized access.
[0038]
In this example, the network system 1 digitally transmits the digital information transfer networks 5A and 5B via the information transfer processing device 2A, the digital information transfer network 5C via the information transfer processing device 2B, and the digital information via the information transfer processing device 2C. The information transmission networks 5D and 5E are connected to the digital information transmission network 5F via the information transfer processing device 2D. The detailed inspection apparatus 3 includes an unauthorized access database 6 that stores unauthorized access data.
[0039]
Hereinafter, the information transfer processing devices 2A to 2D will be referred to as the information transfer processing device 2, and the digital information transmission networks 5A to 5F will be referred to as the digital information transmission network 5, and the processing operation of the network system 1 in such a configuration will be described with reference to FIGS. explain.
[0040]
As shown in FIG. 2, the information transfer processing device 2 receives information to be transferred from the connected digital information transmission network 5 (step 201), and determines the information transfer processing device 2 to be transferred from the destination information of the received information. To do.
[0041]
At this time, the information transfer processing device 2 determines whether or not the received information is unauthorized access (step 202), and when it is determined that it is unauthorized access or when it is notified that it is unauthorized access (Step 203), the information is discarded (Step 204), and the determination result is notified to the detailed inspection apparatus 3 (Step 205).
[0042]
If it is not determined that the access is unauthorized (step 203), an unauthorized access estimation process is performed (step 206).
[0043]
Information determined that there is no possibility of unauthorized access in this estimation result (step 207) is transferred to a specified destination by normal transfer processing (step 208), but the estimation result that there is a possibility of unauthorized access is obtained. If there is (step 207), the detailed inspection apparatus 3 is notified of the estimation result, the information is transferred (step 209), and the detailed unauthorized access detection processing result in the detailed inspection apparatus 3 is awaited (step 210).
[0044]
At this time, the information may not be transferred to the information transfer device 2 on the side of the digital information transfer network 5 to which the information is to be transferred, or may be transferred to both the information transfer device 2 and the detailed inspection device 3 that are to be transferred originally. You can do it.
[0045]
If the detailed unauthorized access detection processing result in the detailed inspection apparatus 3 is not unauthorized access (step 211), normal information transfer is continued (step 208). If it is a detection result of unauthorized access (step 211), The transfer of information to the information transfer device 2 on the digital information transfer network 5 side where the information is to be transferred is stopped (step 213).
[0046]
As shown in FIG. 3, when the detailed inspection apparatus 3 receives the information transferred from the information transfer processing apparatus 2 (steps 301 and 302), the detailed inspection apparatus 3 stores the data held in the unauthorized access database 6 in the detailed inspection apparatus 3 The received information and the incidental information of the information are compared to determine whether or not the received information is unauthorized access (step 303).
[0047]
If it is determined that the access is unauthorized (step 304), the related information transfer processing device 2 and the information recording device 4 are notified of the result (step 305), the received information is transferred to the information recording device 4, and the information is recorded. The recording device 4 records the information and the result of the unauthorized access determination (step 306), so that the network system administrator can refer to the information. Alternatively, the administrator is notified in accordance with preset conditions.
[0048]
If it is determined that the access is not unauthorized (step 304), the related information transfer processing device 2 and the information recording device 4 are notified of the result (step 307), and the received information is sent to the digital information transmission network 5 to which the original information should be transferred. The information is transferred to the information transfer processing device 2 to be connected (step 308).
[0049]
At this time, the information transfer processing device 2 or the detailed inspection device 3 may transfer the information. When the detailed inspection device 3 transfers the information, the detailed inspection device 3 may or may not notify the information transfer processing device 2 of the determination result.
[0050]
As described above with reference to FIGS. 1 to 3, the network system 1 of this example connects a plurality of digital information transmission networks 5 </ b> A to 5 </ b> F to each other, and information between these digital information transmission networks 5 </ b> A to 5 </ b> F. To the designated destination digital information transmission networks 5A to 5F, the internal structure of the network system 1 is concealed from the digital information transmission networks 5A to 5F, and the network system 1 and the digital information transmission network 5A are concealed. In the information transfer processing devices 2A to 2D located at the boundary of ~ 5F, the unauthorized access transmitted from the digital information transmission networks 5A to 5F is detected, and the information detected as unauthorized access is transferred to a destination other than originally intended. Detailed inspection to inspect and record unauthorized access in detail at the forwarding destination A configuration to deploy a location 3.
[0051]
Alternatively, the information transfer processing devices 2A to 2D detect signs of unauthorized access or receive unauthorized access notifications and transfer accesses suspected of unauthorized access to the detailed inspection device 3. By checking in detail whether the access is unauthorized access, it distinguishes between unauthorized access and authorized access, forwards only authorized access to the originally intended destination, and redirects unauthorized access to the originally intended destination. By not forwarding, the regular access is prevented from being disturbed due to mass transmission of unauthorized access. When receiving an unauthorized access end notification from the detailed inspection device 3, the information transfer processing devices 2A to 2D subsequently transfer the access (information) transferred to the detailed inspection device 3 to the originally intended destination. .
[0052]
Thus, according to this example, even when an unauthorized access occurs between the digital information transmission networks 5A to 5F, the unauthorized access can be detected, transferred, defended, and recorded on the network system 1 side. Services provided in the information transmission networks 5A to 5F and regular access can be used normally without being affected by unauthorized access.
[0053]
In this case, in this example, the unauthorized access detection process in the network system 1 is divided into two stages. First, high-speed unauthorized access detection is performed with easy processing, and only for information detected as unauthorized access here, It is configured to detect unauthorized access strictly with finer processing, and for regular access, only simple and high-speed unauthorized access detection is performed, so that the transfer efficiency of regular access is improved and the characteristics and performance of network services are improved. It becomes possible to improve the transmission efficiency.
[0054]
In addition, this invention is not limited to the example demonstrated using FIGS. 1-3, In the range which does not deviate from the summary, various changes are possible. For example, in this example, the unauthorized access database 6 and the information recording device 4 are provided in the detailed inspection device 3, but the unauthorized access database 6 and the information recording device 4 are provided separately from the detailed inspection device 3. Also good.
[0055]
In this example, both the unauthorized access detection unit 22 and the unauthorized access estimation unit 23 are provided in the information transfer processing devices 2A to 2D. However, the information transfer processing devices 2A to 2D may have at least one of them. Similarly, the first to third determination units 32 to 34 in the detailed inspection apparatus 3 may be configured to have at least one of them.
[0056]
Further, as a computer configuration example of this example, a computer configuration without a keyboard or an optical disk drive device may be used. In this example, an optical disk is used as a recording medium. However, an FD (Flexible Disk) or the like may be used as a recording medium. As for the program installation, the program may be downloaded and installed via a network via a communication device.
[0057]
【The invention's effect】
According to the present invention, even when unauthorized access occurs between digital information transmission networks, the network system detects, transfers, defends, and records unauthorized access on the digital information transmission network. Regular access can be used as normal without being affected by unauthorized access. In addition, regular access only performs simple and high-speed unauthorized access detection, improving the transfer efficiency of regular access. Therefore, it is possible to improve the characteristics and performance of network services and improve transmission efficiency, thereby protecting against unauthorized access and at the same time eliminating deterioration in communication quality.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration example of a network system having an unauthorized access control service function according to the present invention.
FIG. 2 is a flowchart showing a first processing operation example of the network system in FIG. 1;
FIG. 3 is a flowchart showing a second processing operation example of the network system in FIG. 1;
[Explanation of symbols]
1: Network system, 2A-2D: Information transfer processing device, 3: Detailed inspection device, 4: Information recording device, 5A-5F: Digital information transmission network, 6: Unauthorized access database, 21: Transmitter / receiver, 22: Unauthorized access Detection unit, 23: Unauthorized access estimation unit, 24: Transfer control unit, 25: Notification unit, 31: Transmission / reception unit, 32-34: First to third determination units.

Claims (10)

複数のデジタル情報伝達ネットワークを接続し、デジタル情報伝達ネットワーク間の情報を指定された宛先デジタル情報伝達ネットワークに転送するネットワークシステムであって、
上記情報を精査して不正アクセスの検知を行う詳細検査手段と、
上記デジタル情報伝達ネットワーク間の情報を指定されるデジタル情報伝達ネットワーク宛に転送すると共に上記受信した情報を簡易検査して不正アクセスの可能性の有無を判別し、不正アクセスの可能性有りと判別した情報を上記詳細検査手段に転送する転送処理手段とを有し、
上記詳細検査手段で不正アクセスを検知すると上記転送処理手段による当該情報の指定デジタル情報伝達ネットワーク宛への転送を中止することを特徴とするネットワークシステム。A network system for connecting a plurality of digital information transmission networks and transferring information between the digital information transmission networks to a designated destination digital information transmission network,
Detailed inspection means that scrutinize the above information and detect unauthorized access;
The information between the digital information transmission networks is transferred to the designated digital information transmission network, and the received information is simply inspected to determine whether there is a possibility of unauthorized access. Transfer processing means for transferring information to the detailed inspection means,
A network system characterized in that when an unauthorized access is detected by the detailed inspection means, the transfer processing means stops transferring the information to a designated digital information transmission network. 複数のデジタル情報伝達ネットワークを接続し、デジタル情報伝達ネットワーク間の情報を指定された宛先デジタル情報伝達ネットワークに転送するネットワークシステムであって、
上記情報を精査して不正アクセスを検知する詳細検査手段と、
上記デジタル情報伝達ネットワークからの情報を簡易検査して不正アクセスの可能性の有無を判別し、不正アクセスの可能性無しと判別した情報は指定された宛先デジタル情報伝達ネットワークに転送し、不正アクセスの可能性有りと判別した情報は上記詳細検査手段に転送する転送処理手段と
を有し、上記詳細検査手段で不正アクセスを検知しなければ上記転送処理手段により当該情報を指定デジタル情報伝達ネットワーク宛に転送することを特徴とするネットワークシステム。A network system for connecting a plurality of digital information transmission networks and transferring information between the digital information transmission networks to a designated destination digital information transmission network,
Detailed inspection means for scrutinizing the above information and detecting unauthorized access,
The information from the above digital information transmission network is simply inspected to determine the possibility of unauthorized access, and the information that is determined to be unauthorized access is transferred to the designated destination digital information transmission network and The information determined to be possible has transfer processing means for transferring to the detailed inspection means, and if the unauthorized inspection is not detected by the detailed inspection means, the transfer processing means sends the information to the designated digital information transmission network. A network system characterized by transferring. 請求項2に記載のネットワークシステムであって、
上記転送処理手段は、他の転送処理手段からの情報に対しては、全て指定されたデジタル情報伝達ネットワーク宛に転送すると共に、上記簡易検査による不正アクセス有無の判別と上記詳細検査手段への情報転送を行い、該詳細検査手段で不正アクセスを検知すると上記転送処理手段による当該情報の指定デジタル情報伝達ネットワーク宛への転送を中止することを特徴とするネットワークシステム。The network system according to claim 2,
The transfer processing means transfers all the information from the other transfer processing means to the designated digital information transmission network, and determines whether there is unauthorized access by the simple inspection and information to the detailed inspection means. A network system characterized by performing transfer and stopping transfer of the information to a designated digital information transmission network by the transfer processing means when the detailed inspection means detects unauthorized access. 請求項1から請求項3のいずれかに記載のネットワークシステムであって、
上記転送処理手段で不正アクセスの可能性有りと判別した情報および上記詳細検査手段で不正アクセスと検知した情報を記録すると共に、記録した情報が予め定められた条件を満たす場合に当該情報が不正アクセスであることを予め定められた管理用端末に通知する情報記録手段を有することを特徴とするネットワークシステム。The network system according to any one of claims 1 to 3,
The information that the transfer processing means has determined that there is a possibility of unauthorized access and the information that is detected as unauthorized access by the detailed inspection means are recorded, and if the recorded information satisfies a predetermined condition, the information is illegally accessed. A network system comprising information recording means for notifying a predetermined management terminal of the fact. 請求項1から請求項4のいずれかに記載のネットワークシステムであって、
上記転送処理手段は、
受信した情報の内容に基づき当該情報の送信目的が不正アクセスであるか否かを特定する検知手段と、
受信した情報の送信量、受信間隔、送信元情報、送信先情報、および情報の内容の少なくともいずれか1つに基づき当該情報の送信目的が不正アクセスであると推定する推定手段の少なくともいずれか1つを有することを特徴とするネットワークシステム。A network system according to any one of claims 1 to 4, wherein
The transfer processing means includes
Detection means for identifying whether or not the purpose of transmitting the information is unauthorized access based on the content of the received information;
At least one of estimation means for estimating that the transmission purpose of the information is unauthorized access based on at least one of the transmission amount, reception interval, transmission source information, transmission destination information, and information content of the received information A network system characterized by having one. 請求項1から請求項5のいずれかに記載のネットワークシステムであって、
上記詳細検査手段は、
過去の不正アクセスに関するデータを保持し、当該データとの比較に基づき上記転送処理手段から転送されてきた情報が不正アクセスであるか否かを判断する第1の判断手段と、
上記転送処理手段から転送されてきた情報の情報量、類似の情報の転送間隔、送信元および送信先のアドレス情報、送信先の端末の種類の少なくともいずれか1つに基づき当該情報が不正アクセスであるか否かを判断する第2の判断手段と、過去の情報の転送履歴を保持し、保持した転送履歴と現在の転送状態との差に基づき上記転送処理手段から転送されてきた情報が不正アクセスであるか否かを判断する第3の判断手段の少なくともいずれか1つと、
上記第1から第3の判断手段のいずれかにより不正アクセスであると判断した場合に、当該判断結果を上記情報転送処理手段に通知する手段と
を有することを特徴とするネットワークシステム。A network system according to any one of claims 1 to 5,
The detailed inspection means is
First determination means for holding data relating to past unauthorized access and determining whether the information transferred from the transfer processing means is unauthorized access based on comparison with the data;
The information can be illegally accessed based on at least one of the amount of information transferred from the transfer processing means, the transfer interval of similar information, the source and destination address information, and the type of the destination terminal. A second determination means for determining whether or not there is a transfer history of past information, and the information transferred from the transfer processing means based on the difference between the stored transfer history and the current transfer state is illegal At least one of third determination means for determining whether or not access; and
And a means for notifying the information transfer processing means of the determination result when any of the first to third determining means determines that the access is unauthorized. 請求項1から請求項5のいずれかに記載のネットワークシステムであって、
上記詳細検査手段は、
過去の不正アクセスに関するデータを保持し、当該データとの比較に基づき上記転送処理手段から転送されてきた情報が不正アクセスであるか否かを判断する第1の判断手段と、
上記転送処理手段から転送されてきた情報の情報量、類似の情報の転送間隔、送信元および送信先のアドレス情報、送信先の端末の種類の少なくともいずれか1つに基づき当該情報が不正アクセスであるか否かを判断する第2の判断手段と、過去の情報の転送履歴を保持し、保持した転送履歴と現在の転送状態との差に基づき上記転送処理手段から転送されてきた情報が不正アクセスであるか否かを判断する第3の判断手段の少なくともいずれか1つと、
上記第1から第3の判断手段の少なくともいずれか1つが、もしくは、各々の組み合わせにより不正アクセスでないと判断した場合に、当該判断結果を上記情報転送処理手段に通知する手段と、
当該情報をネットワークシステムを経由して指定された宛先デジタル情報伝達ネットワークに転送する手段と
を有することを特徴とするネットワークシステム。A network system according to any one of claims 1 to 5,
The detailed inspection means is
First determination means for holding data relating to past unauthorized access and determining whether the information transferred from the transfer processing means is unauthorized access based on comparison with the data;
The information can be illegally accessed based on at least one of the amount of information transferred from the transfer processing means, the transfer interval of similar information, the source and destination address information, and the type of the destination terminal. A second determination means for determining whether or not there is a transfer history of past information, and the information transferred from the transfer processing means based on the difference between the stored transfer history and the current transfer state is illegal At least one of third determination means for determining whether or not access; and
Means for notifying the information transfer processing means of the determination result when at least one of the first to third determination means determines that the unauthorized access is not made by a combination of the respective,
And a means for transferring the information to a designated destination digital information transmission network via the network system. コンピュータに、請求項1から請求項7のいずれかに記載のネットワークシステムにおける各手段として機能させるためのプログラム。A program for causing a computer to function as each means in the network system according to any one of claims 1 to 7. 複数のデジタル情報伝達ネットワークを接続し、デジタル情報伝達ネットワーク間の情報を指定された宛先デジタル情報伝達ネットワークに転送するネットワークにおける不正アクセス制御方法であって、
上記デジタル情報伝達ネットワークからの情報を簡易検査して不正アクセスの有無を高速に検出するステップと、
上記簡易検査で不正アクセスを検出すると、当該情報を精査して不正アクセスの有無を厳格に検出するステップとを有することを特徴とする不正アクセス制御方法。An unauthorized access control method in a network that connects a plurality of digital information transmission networks and transfers information between the digital information transmission networks to a designated destination digital information transmission network,
A step of simply inspecting information from the digital information transmission network to detect the presence or absence of unauthorized access at a high speed;
A method for controlling unauthorized access, comprising: a step of closely detecting the unauthorized access when the unauthorized access is detected by the simple inspection. 複数のデジタル情報伝達ネットワークを接続し、デジタル情報伝達ネットワーク間の情報を指定された宛先デジタル情報伝達ネットワークに転送するネットワークにおける不正アクセス制御方法であって、
上記デジタル情報伝達ネットワークからの情報を簡易検査して不正アクセスの可能性の有無を判別するステップと、
不正アクセスの可能性無しと判別した情報を指定された宛先デジタル情報伝達ネットワークに転送するステップと、
不正アクセスの可能性有りと判別した情報を所定のアドレス宛に転送するステップと、
上記所定のアドレスに設けられた情報検査手段で上記不正アクセスの可能性有りと判別した情報を受信し該情報を精査して不正アクセスの有無を判別するステップと
を有することを特徴とする不正アクセス制御方法。An unauthorized access control method in a network that connects a plurality of digital information transmission networks and transfers information between the digital information transmission networks to a designated destination digital information transmission network,
A step of simply inspecting information from the digital information transmission network to determine the possibility of unauthorized access; and
Transferring the information determined as having no possibility of unauthorized access to a designated destination digital information transmission network;
Transferring the information determined to have the possibility of unauthorized access to a predetermined address;
Receiving the information determined by the information checking means provided at the predetermined address as having the possibility of unauthorized access, and examining the information to determine the presence or absence of unauthorized access. Control method.
JP2003165918A 2003-06-11 2003-06-11 Network system, unauthorized access control method and program Expired - Fee Related JP3966231B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003165918A JP3966231B2 (en) 2003-06-11 2003-06-11 Network system, unauthorized access control method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003165918A JP3966231B2 (en) 2003-06-11 2003-06-11 Network system, unauthorized access control method and program

Publications (2)

Publication Number Publication Date
JP2005005927A true JP2005005927A (en) 2005-01-06
JP3966231B2 JP3966231B2 (en) 2007-08-29

Family

ID=34092219

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003165918A Expired - Fee Related JP3966231B2 (en) 2003-06-11 2003-06-11 Network system, unauthorized access control method and program

Country Status (1)

Country Link
JP (1) JP3966231B2 (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006043327A1 (en) * 2004-10-22 2006-04-27 Mitsubishi Denki Kabushiki Kaisha Repeater and network system
JP2008136049A (en) * 2006-11-29 2008-06-12 Alaxala Networks Corp Network relay system, and method in network relay system
JP2009535626A (en) * 2006-04-26 2009-10-01 トヨタ モーター エンジニアリング アンド マニュファクチャリング ノース アメリカ,インコーポレイティド Intelligent agent management system and method using supervisory agents used in vehicle diagnosis
JP2009232111A (en) * 2008-03-21 2009-10-08 Fujitsu Ltd Communication monitor device, communication monitor program, and communication monitor method
JP2009232110A (en) * 2008-03-21 2009-10-08 Fujitsu Ltd Communication monitor device, communication monitor program, and communication monitor method
JP2012504877A (en) * 2008-10-06 2012-02-23 日本電気株式会社 Protecting unsolicited communications against internet protocol multimedia subsystems
JP2012231232A (en) * 2011-04-25 2012-11-22 Hitachi Ltd Communication system and device
JP2017511072A (en) * 2014-04-11 2017-04-13 レベル スリー コミュニケーションズ,エルエルシー Incremental application of resources for network traffic flows based on heuristics and business policies
JP2017099013A (en) * 2014-09-12 2017-06-01 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Electronic control unit, in-vehicle network system, and vehicle communication method
JP2018038062A (en) * 2014-06-18 2018-03-08 日本電信電話株式会社 Network system, control device, communication equipment, communication control method, and communication control program

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006043327A1 (en) * 2004-10-22 2006-04-27 Mitsubishi Denki Kabushiki Kaisha Repeater and network system
JP2009535626A (en) * 2006-04-26 2009-10-01 トヨタ モーター エンジニアリング アンド マニュファクチャリング ノース アメリカ,インコーポレイティド Intelligent agent management system and method using supervisory agents used in vehicle diagnosis
JP2008136049A (en) * 2006-11-29 2008-06-12 Alaxala Networks Corp Network relay system, and method in network relay system
JP4615504B2 (en) * 2006-11-29 2011-01-19 アラクサラネットワークス株式会社 Network relay system and method in network relay system
US8340092B2 (en) 2006-11-29 2012-12-25 Alaxala Networks Corporation Switching system and method in switching system
JP2009232111A (en) * 2008-03-21 2009-10-08 Fujitsu Ltd Communication monitor device, communication monitor program, and communication monitor method
JP2009232110A (en) * 2008-03-21 2009-10-08 Fujitsu Ltd Communication monitor device, communication monitor program, and communication monitor method
JP2012504877A (en) * 2008-10-06 2012-02-23 日本電気株式会社 Protecting unsolicited communications against internet protocol multimedia subsystems
US9407668B2 (en) 2008-10-06 2016-08-02 Nec Corporation Protection against unsolicited communication for internet protocol multimedia subsystem
JP2012231232A (en) * 2011-04-25 2012-11-22 Hitachi Ltd Communication system and device
JP2017511072A (en) * 2014-04-11 2017-04-13 レベル スリー コミュニケーションズ,エルエルシー Incremental application of resources for network traffic flows based on heuristics and business policies
US10291534B2 (en) 2014-04-11 2019-05-14 Level 3 Communications, Llc Incremental application of resources to network traffic flows based on heuristics and business policies
JP2018038062A (en) * 2014-06-18 2018-03-08 日本電信電話株式会社 Network system, control device, communication equipment, communication control method, and communication control program
US10397260B2 (en) 2014-06-18 2019-08-27 Nippon Telegraph And Telephone Corporation Network system
US10476901B2 (en) 2014-06-18 2019-11-12 Nippon Telegraph And Telephone Corporation Network system, control apparatus, communication apparatus, communication control method, and communication control program
JP2017099013A (en) * 2014-09-12 2017-06-01 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Electronic control unit, in-vehicle network system, and vehicle communication method
JP2017229076A (en) * 2014-09-12 2017-12-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Electronic control unit, on-vehicle network system, and communication method for vehicle
US10193896B2 (en) 2014-09-12 2019-01-29 Panasonic Intellectual Property Corporation Of America Vehicle communication apparatus, in-vehicle network system, and vehicle communication method
US10693889B2 (en) 2014-09-12 2020-06-23 Panasonic Intellectual Property Corporation Of America Vehicle communication apparatus, in-vehicle network system, and vehicle communication method
US11240253B2 (en) 2014-09-12 2022-02-01 Panasonic Intellectual Property Corporation Of America Vehicle communication apparatus, in-vehicle network system, and vehicle communication method
US11943233B2 (en) 2014-09-12 2024-03-26 Panasonic Intellectual Property Corporation Of America Vehicle communication apparatus, in-vehicle network system, and vehicle communication method

Also Published As

Publication number Publication date
JP3966231B2 (en) 2007-08-29

Similar Documents

Publication Publication Date Title
JP4480422B2 (en) Unauthorized access prevention method, apparatus, system, and program
US9094372B2 (en) Multi-method gateway-based network security systems and methods
EP2095604B1 (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
US20060212572A1 (en) Protecting against malicious traffic
US20090254970A1 (en) Multi-tier security event correlation and mitigation
US20060075491A1 (en) Network overload detection and mitigation system and method
EP1616258A2 (en) System and method for network quality of service protection on security breach detection
JP2000261483A (en) Network monitoring system
WO2004070583A2 (en) Wireless network control and protection system
JP2006243878A (en) Unauthorized access detection system
JP2004302538A (en) Network security system and network security management method
JP3966231B2 (en) Network system, unauthorized access control method and program
EP1742438A1 (en) Network device for secure packet dispatching via port isolation
WO2003050644A2 (en) Protecting against malicious traffic
JP4278593B2 (en) Protection method against application denial of service attack and edge router
JP4284248B2 (en) Application service rejection attack prevention method, system, and program
KR101006372B1 (en) System and method for sifting out the malicious traffic
CA2469885C (en) Protecting against malicious traffic
JP2005134972A (en) Firewall device
JP2004140618A (en) Packet filter device and illegal access detection device
US20090222904A1 (en) Network access node computer for a communication network, communication system and method for operating a communication system
US20170346844A1 (en) Mitigating Multiple Advanced Evasion Technique Attacks
JP2008011008A (en) Unauthorized access prevention system
WO2005065023A2 (en) Internal network security
KR101375840B1 (en) Malicious code intrusion preventing system and method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050712

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070213

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070508

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070521

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100608

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110608

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120608

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130608

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees