JP2005071218A - Unauthorized access defense system, policy management device, unauthorized access defense method, and program - Google Patents

Unauthorized access defense system, policy management device, unauthorized access defense method, and program Download PDF

Info

Publication number
JP2005071218A
JP2005071218A JP2003302629A JP2003302629A JP2005071218A JP 2005071218 A JP2005071218 A JP 2005071218A JP 2003302629 A JP2003302629 A JP 2003302629A JP 2003302629 A JP2003302629 A JP 2003302629A JP 2005071218 A JP2005071218 A JP 2005071218A
Authority
JP
Japan
Prior art keywords
policy
unauthorized access
outside
access
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003302629A
Other languages
Japanese (ja)
Inventor
Shigeo Morimoto
繁雄 森本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Fielding Ltd
Original Assignee
NEC Fielding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Fielding Ltd filed Critical NEC Fielding Ltd
Priority to JP2003302629A priority Critical patent/JP2005071218A/en
Publication of JP2005071218A publication Critical patent/JP2005071218A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To relieve a manager's load by automatically executing defense against unauthorized access and to further realize the defense against the unauthorized access by utilizing a commercial product by providing a policy management device which automatically updates policy of a firewall by utilizing an unauthorized access detecting function of a network type intrusion detection system. <P>SOLUTION: This unauthorized access defense system has a firewall device 10 which restricts access from the outside according to the policy held in a policy holding part 13, an intrusion detector 20 which is placed in a DMZ segment 18, detects the unauthorized access and notifies the policy management device 30 of a log and the policy management device 30 having a log form conversion part 31 which is placed in an internal segment 19 and converts the log into the one in the present form, a policy creation part 33 which creates the policy for prohibiting the unauthorized access based on the converted log and a policy form a conversion part 34 which converts the created policy into the one in a form of the firewall device 10, transmits the policy to the firewall device 10 and applies it to the policy holding part 13. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は不正アクセス防御システム、ポリシ管理装置、不正アクセス防御方法、及びプログラムに関し、特に、不正アクセスを検出した結果を様々な仕様のファイアウォール装置に自動的に適用して不正アクセスを防御する技術に関する。   The present invention relates to an unauthorized access protection system, a policy management device, an unauthorized access protection method, and a program, and more particularly, to a technology for preventing unauthorized access by automatically applying unauthorized access detection results to firewall devices of various specifications. .

インターネットの普及により、ユーザがインターネットを利用するケースが増えてきている。インターネットは不特定多数の人間が利用できるが、悪意のあるユーザからの不正行為も度々見受けられる。不正な通信を防御・監視する手段としてファイアウォールとネットワーク型侵入検知システム(NIDSともいう)がある。   With the spread of the Internet, users are increasingly using the Internet. The Internet can be used by an unspecified number of people, but fraudulent acts from malicious users are often seen. There are a firewall and a network type intrusion detection system (also referred to as NIDS) as means for preventing and monitoring unauthorized communication.

ファイアウォールは予め決められた通信制御ルール(ポリシという)に基づいてアクセス制限を実行する。例えば電子メールやFTP(file transfer protocol)のアクセスのみを許可するようにポリシを決めておけば、これら以外の種類のアクセスは拒絶することができる。しかし、許可されたポリシ内での不正アクセス、例えば電子メール等、を防御する手段はなく、これらが不正アクセスを許す一因となっているのが実情である。   The firewall executes access restriction based on a predetermined communication control rule (referred to as policy). For example, if a policy is determined so as to permit only e-mail and FTP (file transfer protocol) access, other types of access can be rejected. However, there is no means to protect against unauthorized access within the permitted policy, such as e-mail, and the fact is that they contribute to allowing unauthorized access.

ネットワーク型侵入検知システムはネットワークのトラフィックを監視し、通常不正アクセスを発見するとアラームを管理者に通知する。不正アクセスを自動的に切断する機能をもつネットワーク型侵入検知システムも存在するが、誤検知等で正常な通信も切断する可能性があるため、利便性に乏しく、あまり実用的とはいえない
特開2000−261483号公報では、その図1に示すように外部ネットワークと内部ネットワークを接続するルータに偽装サーバを接続する構成とし、不正アクセスを検出するとその送信元の情報をルータに保持し、ルータは不正アクセスした送信元からのアクセスがあると偽装サーバへ転送することにより不正アクセス元の逆探知等の対策をすることができる。 A network-type intrusion detection system monitors network traffic and notifies an administrator of an alarm when an unauthorized access is detected. There are network-type intrusion detection systems that have the function of automatically disconnecting unauthorized access, but there is a possibility that normal communication may be disconnected due to false detection etc., so it is not convenient and not very practical. In Japanese Unexamined Patent Publication No. 2000-261383, as shown in FIG. 1, a camouflaged server is connected to a router that connects an external network and an internal network, and when unauthorized access is detected, information on the transmission source is held in the router. Can take countermeasures such as reverse detection of the unauthorized access source by transferring the unauthorized access source to the camouflaged server.

また、ファイアウォールとネットワーク型侵入検知システムの連携によってポリシを自動的に変更し不正なアクセスから防御する技術として、OPSEC(Open Platform for Security)を使用したものが業界標準としてあるが、各ベンダから多数提供されているファイアウォール製品には自動更新機能が実装されていないのが実情である。   In addition, there is an industry standard that uses OPSEC (Open Platform for Security) as a technology to automatically change policy and prevent unauthorized access by linking firewall and network type intrusion detection system. The actual situation is that the automatic update function is not implemented in the provided firewall products.

特開2000−261483号公報JP 2000-26183 A

インターネットからの不正アクセスに対しては、常に管理者がアクセスを監視し、早急に対応する必要があるが、従来のファイアウォールやネットワーク型侵入検知システムでは管理者により対策を実施するのに時間がかかり、また管理者の負担が大きいという問題があった。また、ファイアウォールとネットワーク型侵入検知システムの連携によりポリシを自動更新する手法が十分実用化されていないという問題があった。   For unauthorized access from the Internet, it is necessary for the administrator to always monitor the access and respond as soon as possible. However, in conventional firewalls and network-type intrusion detection systems, it takes time for the administrator to take countermeasures. In addition, there was a problem that the burden on the administrator was heavy. In addition, there has been a problem that a technique for automatically updating a policy through cooperation between a firewall and a network-type intrusion detection system has not been sufficiently put into practical use.

本発明の目的は、ネットワーク型侵入検知システムの不正アクセス検出機能を利用して自動的にファイアウォールのポリシを更新する装置を設けることにより、不正アクセスの防御を自動的に実行して管理者の負荷を軽減することと、市販のファイアウォール適用製品やネットワーク型侵入検知システム適用製品を利用して不正アクセスを防御することを実現した不正アクセス防御システム、不正アクセス防御方法、及びプログラムを提供することにある。   An object of the present invention is to provide an apparatus that automatically updates a policy of a firewall using an unauthorized access detection function of a network type intrusion detection system, thereby automatically executing unauthorized access prevention and And providing an unauthorized access prevention system, an unauthorized access prevention method, and a program that can prevent unauthorized access using commercially available firewall application products and network type intrusion detection system application products. .

本発明の第1の不正アクセス防御システムは、防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを設定可能なルールであるポリシに従って制限するファイアウォール装置と、
防御対象システム内部にあって外部からの不正アクセスを検出する侵入検知装置と、
防御対象システム内部にあって前記侵入検知装置が検出した不正アクセス情報に基づいて不正アクセスを禁止するためのポリシを作成し前記ファイアウォール装置が参照するポリシとして適用するポリシ管理装置とを有することを特徴とする。 A first unauthorized access prevention system of the present invention includes a firewall device that connects a protection target system and a network outside the protection target system and restricts access according to a policy that is a rule that can set access from the outside,
An intrusion detection device that is inside the defense target system and detects unauthorized access from outside,
A policy management device that creates a policy for prohibiting unauthorized access based on the unauthorized access information detected by the intrusion detection device inside the protection target system and applies the policy as a policy referred to by the firewall device. And

本発明の第2の不正アクセス防御システムは、防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを設定可能なルールであるポリシに従って制限するファイアウォール装置と、
外部からのアクセスが可能なDMZセグメントに置かれ外部からの不正アクセスを検出する侵入検知装置と、
外部からのアクセスが不可能なセグメントに置かれ前記侵入検知装置が検出した不正アクセス情報に基づいて不正アクセスを禁止するためのポリシを作成し前記ファイアウォール装置が参照するポリシとして適用するポリシ管理装置とを有することを特徴とする。 A second unauthorized access protection system of the present invention includes a firewall device that connects a protection target system and a network outside the protection target system and restricts access according to a policy that is a rule that can set access from the outside,
An intrusion detection device that is located in a DMZ segment that can be accessed from the outside and detects unauthorized access from the outside,
A policy management device that creates a policy for prohibiting unauthorized access based on unauthorized access information detected by the intrusion detection device placed in a segment that cannot be accessed from the outside, and that is applied as a policy referred to by the firewall device; It is characterized by having.

本発明の第3の不正アクセス防御システムは、本発明の第1又は第2の不正アクセス防御システムにおいて、前記ポリシ管理装置は、前記侵入検知装置が検出した不正アクセス情報を受け取ると前記ポリシ管理装置の形式の情報に変換してからポリシを作成し、作成したポリシを前記ファイアウォール装置の形式のポリシに変換して前記ファイアウォール装置に送り、前記ファイアウォール装置のポリシとして適用することを特徴とする。   According to a third unauthorized access prevention system of the present invention, in the first or second unauthorized access prevention system of the present invention, the policy management apparatus receives the unauthorized access information detected by the intrusion detection apparatus. The policy is created after converting the information into the format of the above-mentioned information, the created policy is converted into the policy of the format of the firewall device, sent to the firewall device, and applied as the policy of the firewall device.

本発明の第4の不正アクセス防御システムは、防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するルールであるポリシに従ってアクセス制限するファイアウォール装置と、外部からのアクセスが可能なDMZセグメントに置かれる侵入検知装置と、外部からのアクセスが不可能なセグメントに置かれるポリシ管理装置とを有する不正アクセス防御システムであって、
前記ファイアウォール装置は、外部からのアクセスの実行の可否を定義するポリシを保持するポリシ保持部を有し、外部からのアクセスに対してポリシ保持部を参照してそのアクセスが禁止されている場合にそのアクセスの実行を拒絶し、
前記侵入検知装置は、DMZセグメントを監視して外部からの不正アクセスを検出すると不正アクセス情報をログとして作成し前記ポリシ管理装置に通報し、
前記ポリシ管理装置は、前記侵入検知装置から通報されたログをポリシ管理装置形式のログに変換し、変換したログに基づいて不正アクセスを禁止するポリシを作成し、作成したポリシを前記ファイアウォール装置式のポリシに変換して前記ファイアウォール装置に送って前記ポリシ保持部に適用することを特徴とする。 A fourth unauthorized access protection system according to the present invention includes a firewall device that connects a protection target system and a network outside the protection target system and restricts access in accordance with a policy that restricts access from outside, and access from the outside. An unauthorized access protection system having an intrusion detection device placed in a possible DMZ segment and a policy management device placed in a segment that cannot be accessed from the outside,
The firewall device has a policy holding unit that holds a policy that defines whether or not external access can be executed, and the access is prohibited by referring to the policy holding unit for external access. Refuse to perform the access,
The intrusion detection device monitors the DMZ segment and detects unauthorized access from the outside, creates unauthorized access information as a log, and notifies the policy management device,
The policy management apparatus converts a log notified from the intrusion detection apparatus into a log in a policy management apparatus format, creates a policy prohibiting unauthorized access based on the converted log, and creates the created policy as the firewall apparatus type The policy is converted to the policy and sent to the firewall device and applied to the policy holding unit.

本発明の第1のポリシ管理装置は、防御対象システム内部にあって外部からの不正アクセスを検出する侵入検知装置が検出した不正アクセス情報に基づいて不正アクセスを禁止するためのポリシを作成し、防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するファイアウォール装置がアクセス制限ルールとして参照するポリシに適用することを特徴とする。   The first policy management device of the present invention creates a policy for prohibiting unauthorized access based on unauthorized access information detected by an intrusion detection device that is inside the protection target system and detects unauthorized access from outside, The present invention is characterized by being applied to a policy that a firewall device that connects a protection target system and a network outside the protection target system and restricts access from outside refers to as an access restriction rule.

本発明の第2のポリシ管理装置は、防御対象システム内部にあって外部からのアクセスが可能なDMZセグメントに置かれ外部からの不正アクセスを検出する侵入検知装置が検出した不正アクセス情報に基づいて不正アクセスを禁止するためのポリシを作成し、防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するファイアウォール装置がアクセス制限ルールとして参照するポリシに適用し、防御対象システム内部にあって外部からのアクセスが不可能なセグメントに置かれることを特徴とする。   The second policy management apparatus according to the present invention is based on unauthorized access information detected by an intrusion detection apparatus that is located in a DMZ segment that is accessible inside from a defense target system and that detects unauthorized access from outside. Create a policy to prohibit unauthorized access, apply it to the policy that the firewall device that connects the protected system and the network outside the protected system and restricts access from outside refers to as an access restriction rule, and protects the system It is characterized by being placed in a segment that is internal and cannot be accessed from the outside.

本発明の第3のポリシ管理装置は、本発明の第1又は第2のポリシ管理装置において、前記侵入検知装置が検出した不正アクセス情報を受け取ると前記ポリシ管理装置の形式の情報に変換してから不正アクセスを禁止するためのポリシを作成し、作成したポリシを前記ファイアウォール装置の形式のポリシに変換して前記ファイアウォール装置に送り、前記ファイアウォール装置のポリシとして適用することを特徴とする。   When the third policy management device of the present invention receives the unauthorized access information detected by the intrusion detection device in the first or second policy management device of the present invention, the third policy management device converts it into information in the format of the policy management device. A policy for prohibiting unauthorized access is created, the created policy is converted into a policy in the form of the firewall device, sent to the firewall device, and applied as a policy of the firewall device.

本発明の第4のポリシ管理装置は、防御対象システム外部からのアクセスが可能なDMZセグメントに置かれDMZセグメントを監視して外部からの不正アクセスを検出すると不正アクセス情報をログとして作成して通報する侵入検知装置からログを受け取ると自形式のログに変換し、
変換したログに基づいて不正アクセスを禁止するポリシを作成し、
作成したポリシを防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するファイアウォール装置に送り、ファイアウォール装置がアクセス制限の際に参照するポリシを保持するポリシ保持部に作成したポリシを適用することを特徴とする。 The fourth policy management apparatus of the present invention is placed in a DMZ segment that can be accessed from outside the protection target system, monitors the DMZ segment and detects unauthorized access from the outside, and creates and reports unauthorized access information as a log. When a log is received from an intrusion detection device that
Create a policy that prohibits unauthorized access based on the converted log,
The created policy is sent to the firewall device that restricts access from outside by connecting the protected system and the network outside the protected system, and created in the policy holding unit that holds the policy that the firewall device refers to when restricting access It is characterized by applying a policy.

本発明の第1の不正アクセス防御方法は、防御対象システム内部にあって外部からの不正アクセスを検出する侵入検知装置が検出した不正アクセス情報に基づいて不正アクセスを禁止するためのポリシを作成し、防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するファイアウォール装置がアクセス制限ルールとして参照するポリシに適用することを特徴とする。   The first unauthorized access prevention method of the present invention creates a policy for prohibiting unauthorized access based on unauthorized access information detected by an intrusion detection device that detects unauthorized access from outside inside the protection target system. The firewall apparatus that connects the protection target system and a network outside the protection target system and restricts access from the outside applies to a policy referred to as an access restriction rule.

本発明の第2の不正アクセス防御方法は、本発明の第1の不正アクセス防御方法において、前記侵入検知装置が検出した不正アクセス情報を受け取ると自ら定めた形式の情報に変換してから不正アクセスを禁止するためのポリシを作成し、作成したポリシを前記ファイアウォール装置の形式のポリシに変換して前記ファイアウォール装置に送り、前記ファイアウォール装置のポリシとして適用することを特徴とする。   The second unauthorized access prevention method of the present invention is the first unauthorized access prevention method of the present invention, wherein when the unauthorized access information detected by the intrusion detection device is received, the unauthorized access information is converted into information of a format determined by itself. A policy for prohibiting the policy is created, the created policy is converted into a policy in the form of the firewall device, sent to the firewall device, and applied as a policy of the firewall device.

本発明の第3の不正アクセス防御方法は、防御対象システム外部からのアクセスが可能なDMZセグメントに置かれDMZセグメントを監視して外部からの不正アクセスを検出すると不正アクセス情報をログとして作成して通報する侵入検知装置からログを受け取ると自形式のログに変換し、
変換したログに基づいて不正アクセスを禁止するポリシを作成し、
作成したポリシを防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するファイアウォール装置に送り、ファイアウォール装置がアクセス制限の際に参照するポリシを保持するポリシ保持部に作成したポリシを適用することを特徴とする。 The third unauthorized access prevention method of the present invention is placed in a DMZ segment that can be accessed from outside the protection target system, monitors the DMZ segment and detects unauthorized access from the outside, and creates unauthorized access information as a log. When a log is received from the intrusion detection device that reports,
Create a policy that prohibits unauthorized access based on the converted log,
The created policy is sent to the firewall device that restricts access from outside by connecting the protected system and the network outside the protected system, and created in the policy holding unit that holds the policy that the firewall device refers to when restricting access It is characterized by applying a policy.

本発明の第1のプログラムは、防御対象システム内部にあって外部からの不正アクセスを検出する侵入検知装置が検出した不正アクセス情報に基づいて不正アクセスを禁止するためのポリシを作成する手順と、防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するファイアウォール装置がアクセス制限ルールとして参照するポリシに適用する手順とをコンピュータに実行させることを特徴とする。   The first program of the present invention is a procedure for creating a policy for prohibiting unauthorized access based on unauthorized access information detected by an intrusion detection device that detects unauthorized access from outside inside the protection target system; It is characterized by causing a computer to execute a procedure applied to a policy that a firewall apparatus that connects a protection target system and a network outside the protection target system and restricts access from outside refers to as an access restriction rule.

本発明の第2のプログラムは、本発明の第1のプログラムにおいて、前記侵入検知装置が検出した不正アクセス情報を受け取ると自ら定めた形式の情報に変換してから不正アクセスを禁止するためのポリシを作成手順と、作成したポリシを前記ファイアウォール装置の形式のポリシに変換して前記ファイアウォール装置に送り前記ファイアウォール装置のポリシとして適用する手順とをコンピュータに実行させることを特徴とする。   The second program of the present invention is a policy for prohibiting unauthorized access after converting the unauthorized access information detected by the intrusion detection device into information of a self-defined format in the first program of the present invention. And a procedure for converting the created policy into a policy in the form of the firewall device, sending the policy to the firewall device, and applying the policy as a policy of the firewall device.

本発明の第3のプログラムは、防御対象システム外部からのアクセスが可能なDMZセグメントに置かれDMZセグメントを監視して外部からの不正アクセスを検出すると不正アクセス情報をログとして作成して通報する侵入検知装置からログを受け取ると自形式のログに変換する手順と、
変換したログに基づいて不正アクセスを禁止するポリシを作成する手順と、
作成したポリシを防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するファイアウォール装置に送り、ファイアウォール装置がアクセス制限の際に参照するポリシを保持するポリシ保持部に作成したポリシを適用する手順とをコンピュータに実行させることを特徴とする。 The third program of the present invention is an intrusion that is placed in a DMZ segment that can be accessed from outside the protection target system, monitors the DMZ segment and detects unauthorized access from outside, and creates and reports unauthorized access information as a log. When receiving a log from the detection device, convert it to a self-formatted log,
Create a policy that prohibits unauthorized access based on the converted log,
The created policy is sent to the firewall device that restricts access from outside by connecting the protected system and the network outside the protected system, and created in the policy holding unit that holds the policy that the firewall device refers to when restricting access And causing the computer to execute a procedure for applying the policy.

ネットワーク型侵入検知システムの不正アクセス検出機能を利用して自動的にファイアウォールのポリシを更新する装置を設けることにより、不正アクセスの防御を自動的に実行して管理者の負荷を軽減するという効果と、様々なベンダのファイアウォール製品やネットワーク型侵入検知システム製品に容易に対応して不正アクセスを防御できるという効果がある。   By providing a device that automatically updates the firewall policy using the unauthorized access detection function of the network-type intrusion detection system, the effect of automatically preventing unauthorized access and reducing the burden on the administrator It has the effect of being able to prevent unauthorized access by easily supporting firewall products and network intrusion detection system products from various vendors.

次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。図1のブロック図に示した本発明の不正アクセス防御システムの構成は、防御するシステムの外部にあるネットワークであるインターネット50と、インターネット50と防御対象となるシステムとを接続するファイアウォール装置10と、ファイアウォール装置10を介して外部からのアクセス可能なDMZセグメント18にある侵入検知装置20と、外部からのアクセス不可能な内部セグメント19にあるポリシ管理装置30とからなり、外部からの不正アクセスを行う侵入者装置40がインターネット50に接続する。なお、通常のユーザ端末は図示しないがインターネット接続プロバイダ等が提供する接続装置を介してインターネット50へ接続されるが、侵入者装置40がどのようにインターネット50へ接続するかは限定しない。   Next, the best mode for carrying out the present invention will be described in detail with reference to the drawings. The configuration of the unauthorized access protection system of the present invention shown in the block diagram of FIG. 1 includes an Internet 50 that is a network outside the system to be protected, and a firewall device 10 that connects the Internet 50 and a system to be protected, The intrusion detection device 20 in the DMZ segment 18 accessible from the outside via the firewall device 10 and the policy management device 30 in the internal segment 19 inaccessible from the outside perform unauthorized access from the outside. Intruder device 40 connects to the Internet 50. In addition, although a normal user terminal is not shown, it is connected to the Internet 50 via a connection device provided by an Internet connection provider or the like, but how the intruder device 40 connects to the Internet 50 is not limited.

ファイアウォール装置10は、予め決められた通信制御ルールであるポリシに基づいてインターネット50からのアクセスを制限する機能を有する装置であり、一般に市販される装置でよい。ファイアウォール装置10は、通信を制御する通信制御部11と、外部からのアクセスに対して許可する条件と禁止する条件からなるポリシを保持するポリシ保持部13と、ポリシ保持部13に保持されるポリシの更新や参照を行うポリシ管理部12とを有する。ポリシとしてはアプリケーションに対して制限したりアクセス元のアドレスに対して制限したりするものが含まれる。   The firewall device 10 is a device having a function of restricting access from the Internet 50 based on a policy that is a predetermined communication control rule, and may be a commercially available device. The firewall device 10 includes a communication control unit 11 that controls communication, a policy holding unit 13 that holds a policy that is permitted and prohibited from external access, and a policy that is held in the policy holding unit 13. And a policy management unit 12 for updating and referencing. Policies include those that limit applications and access addresses.

ファイアウォール装置10より内側は、外部からのアクセスが可能なネットワーク部分であるDMZ(demilitarized zone)セグメント18と、外部からのアクセスが不可能なネットワーク部分である内部セグメント19とに分けられる。外部とは図1を参照するとインターネット50と侵入者装置40が相当する。外部からのアクセスを受け付けて情報を提供するウェブサーバや電子メールを受け付けるメールサーバ等はDMZセグメント18上に置かれ、外部からの直接のアクセスを禁止して保護すべき装置は内部セグメント19上に置かれる。   The inside of the firewall device 10 is divided into a DMZ (demilitarized zone) segment 18 that is a network part that can be accessed from the outside, and an internal segment 19 that is a network part that cannot be accessed from the outside. With reference to FIG. 1, the outside corresponds to the Internet 50 and the intruder device 40. A web server that accepts external access and provides information, a mail server that accepts e-mail, and the like are placed on the DMZ segment 18, and devices that should be protected by prohibiting direct access from the outside are placed on the internal segment 19. Placed.

侵入検知装置20は、DMZセグメント18上に置かれるネットワーク型侵入検知機能を搭載した装置であり、一般に市販される装置でもよく、また他の機能も併せ持った装置であってもよい。侵入検知装置20は、ネットワーク型侵入検知システムとして不正アクセスを検出する不正アクセス検出部21と、不正アクセスに関する情報であるログの作成やポリシ管理装置30への通報機能を有するログ通報部22とを有する。   The intrusion detection device 20 is a device equipped with a network type intrusion detection function placed on the DMZ segment 18, and may be a commercially available device or a device having other functions. The intrusion detection device 20 includes an unauthorized access detection unit 21 that detects unauthorized access as a network-type intrusion detection system, and a log notification unit 22 that has a function of creating a log that is information related to unauthorized access and a notification function to the policy management device 30. Have.

ポリシ管理装置30は、内部セグメント19上に置かれ、侵入検知装置20から通報される侵入検知装置20形式のログをポリシ管理装置30形式のログに変換するログ形式変換部31と、変換後のログに基づいてポリシ作成に必要なパラメータをリストとして作成するリスト作成部32と、作成したリストに基づいてポリシを作成するポリシ作成部33と、作成したポリシを対象とするファイアウォール装置10のポリシ形式に変換してファイアウォール装置10に送信するポリシ形式変換部34と、ポリシの変更の発生を電子メールでシステムの管理者に通報するメール送信部35とを含む。   The policy management device 30 is placed on the internal segment 19 and converts a log in the intrusion detection device 20 format notified from the intrusion detection device 20 into a log in the policy management device 30 format, and a post-conversion A policy creation unit 32 that creates a list of parameters necessary for policy creation based on the log, a policy creation unit 33 that creates a policy based on the created list, and a policy format of the firewall device 10 that targets the created policy A policy format conversion unit 34 that converts the data into the firewall device 10 and transmits the policy change to the system administrator by e-mail.

なお、ログ形式変換部31、リスト作成部32、ポリシ作成部33、ポリシ形式変換部34、メール送信部35はプログラムで実現されるが、それぞれの一部又は全部をハードウェアで実現するようにしてもよい。また、ポリシ管理装置30は内部セグメント19に置かれるため、直接外部の新勇者装置40からの侵入により攻撃されることがないので、信頼できるポリシを作成できる。   The log format conversion unit 31, the list creation unit 32, the policy creation unit 33, the policy format conversion unit 34, and the mail transmission unit 35 are realized by a program, but a part or all of each may be realized by hardware. May be. Further, since the policy management device 30 is placed in the internal segment 19, it is not directly attacked by an intrusion from the external new hero device 40, so that a reliable policy can be created.

次に本発明の不正アクセス防御システムの動作を図面を参照して説明する。以降、侵入者装置40から不正アクセスが行われた場合の動作について図2のフローチャートを参照して説明する。侵入者装置40からインターネット50を介してアクセスがあると、ファイアウォール装置10の通信制御部11はアクセス内容をポリシ管理部12に対して問い合わせ、ポリシ管理部12はポリシ保持部13を参照してアクセス内容がポリシで禁止されていないか確認し結果を返す(S61)。   Next, the operation of the unauthorized access prevention system of the present invention will be described with reference to the drawings. Hereinafter, an operation when an unauthorized access is performed from the intruder device 40 will be described with reference to a flowchart of FIG. When there is an access from the intruder device 40 via the Internet 50, the communication control unit 11 of the firewall device 10 inquires of the policy management unit 12 about access contents, and the policy management unit 12 refers to the policy holding unit 13 to access. It is checked whether the content is prohibited by the policy and the result is returned (S61).

通信制御部11は確認結果を判定し(S62)、禁止されていればそのアクセスを拒絶し、許可されていればDMZセグメント18へ転送する(S63)。ここでは、外部アクセスを内部セグメントに転送することはなく、内部セグメントは保護されている。   The communication control unit 11 determines the confirmation result (S62). If it is prohibited, the communication control unit 11 rejects the access, and if permitted, transfers it to the DMZ segment 18 (S63). Here, external access is not transferred to the internal segment, and the internal segment is protected.

侵入者装置40からのアクセスがDMZセグメント18に転送されると侵入検知装置20の不正アクセス検出部21はそのアクセスを監視し(S64)、そのアクセスが不正アクセスであることを検出すると(S65)、ログ通報部22が不正アクセスに関する情報をログとして作成し侵入検知装置20内に保持するとともにポリシ管理装置30へ送信する(S66)。図3は、ログ通報部22が作成したログの一例を示した図であり、検出時刻(Time)、発生した事象名(Event Name)、発信元(Source)、宛先(Destination)等の情報を含む。   When access from the intruder device 40 is transferred to the DMZ segment 18, the unauthorized access detection unit 21 of the intrusion detection device 20 monitors the access (S64), and detects that the access is unauthorized access (S65). Then, the log reporting unit 22 creates information related to unauthorized access as a log, holds it in the intrusion detection device 20, and transmits it to the policy management device 30 (S66). FIG. 3 is a diagram showing an example of a log created by the log reporting unit 22 and includes information such as a detection time (Time), an event name (Event Name), a source (Source), and a destination (Destination). Including.

ポリシ管理装置30のログ形式変換部31は、送信されたログの形式をポリシ管理装置30で予め決められている形式に変換する(S67)。ログ形式変換部31は、市販される侵入検知装置20のログ形式の種類に応じてログ形式を変換するための手順を備えており、通報元の侵入検知装置20のログ形式の種類に従って変換を行う。この変換により異なる仕様の侵入検知装置20に対してログを共通に処理できるようになる。図4はポリシ管理装置30形式に変換した後のログの一例を示した図である。   The log format conversion unit 31 of the policy management device 30 converts the format of the transmitted log into a format predetermined by the policy management device 30 (S67). The log format conversion unit 31 includes a procedure for converting the log format according to the type of log format of the commercially available intrusion detection device 20, and performs conversion according to the type of log format of the intrusion detection device 20 as a report source. Do. By this conversion, the log can be processed in common for the intrusion detection devices 20 having different specifications. FIG. 4 is a diagram showing an example of the log after conversion into the policy management apparatus 30 format.

リスト作成部32は変換後のログに基づいてポリシ作成に必要な情報をリストとして作成する(S68)。図5はリスト作成部32が作成したリストの一例である。図5のように作成されたリストは発信元や宛先の情報(“Source Data”と“Destination Data”)からなるクライアント情報と、禁止条件となるルール情報とからなる。   The list creation unit 32 creates information necessary for policy creation as a list based on the converted log (S68). FIG. 5 is an example of a list created by the list creation unit 32. The list created as shown in FIG. 5 includes client information composed of source and destination information (“Source Data” and “Destination Data”) and rule information that is a prohibition condition.

ポリシ作成部33は作成されたリストに基づいてファイアウォール装置10における通信制御ルールであるポリシをポリシ管理装置30の形式で作成する(S69)。図6は作成されたポリシの一例である。図6のポリシでは、発信元が“PARSS0001”で宛先が“PARSD0001”の通信を禁止することを示しており、“PARSS0001”と“PARSD0001”の内容は図5に示した“Source Data”と“Destination Data”からなるクライアント情報で指定される。   Based on the created list, the policy creation unit 33 creates a policy that is a communication control rule in the firewall device 10 in the format of the policy management device 30 (S69). FIG. 6 is an example of the created policy. The policy in FIG. 6 indicates that communication with the source “PARSS0001” and the destination “PARSD0001” is prohibited, and the contents of “PARSS0001” and “PARSD0001” are “Source Data” and “ It is specified by client information consisting of “Destination Data”.

ポリシ形式変換部34はポリシ作成部33で作成されたポリシをファイアウォール装置10の形式に変換してファイアウォール装置10へポリシの更新要求を送る(S70)。ポリシ形式変換部34は様々なファイアウォール装置10の形式に対応して変換する機能を有し、ファイアウォール装置10の形式に応じてポリシの形式を変換する。図7はファイアウォール装置10形式に変換されたポリシの一例である。なお図7では図示しないが図5の“Source Data”と“Destination Data”からなるクライアント情報も必要に応じて形式変換され、ポリシ更新要求に伴ってファイアウォール装置10へ送られる。   The policy format conversion unit 34 converts the policy created by the policy creation unit 33 into the format of the firewall device 10 and sends a policy update request to the firewall device 10 (S70). The policy format conversion unit 34 has a function of converting in accordance with various firewall device 10 formats, and converts the policy format in accordance with the firewall device 10 format. FIG. 7 shows an example of a policy converted into the firewall apparatus 10 format. Although not shown in FIG. 7, the client information consisting of “Source Data” and “Destination Data” in FIG. 5 is also converted in format as necessary and sent to the firewall device 10 in response to a policy update request.

ポリシ管理装置30では続いてメール送信部35が予め決められた管理者宛にポリシの更新実行の通知と更新要求したポリシ情報を電子メールで送信する(S71)。これにより管理者はポリシ管理装置30で自動的にポリシ変更日時やポリシ変更内容が記述された電子メールを受信することによりポリシの変更情報を把握できシステムの管理が支障なく行える。   Next, in the policy management device 30, the mail transmission unit 35 transmits a policy update execution notification and policy information requested to be updated to a predetermined administrator by e-mail (S71). As a result, the administrator can grasp the policy change information by automatically receiving the e-mail in which the policy change date and time and the policy change contents are described by the policy management apparatus 30, and the system can be managed without any trouble.

ファイアウォール装置10の通信制御部11はポリシ管理装置30からポリシの更新要求を受けるとポリシ管理部12へ渡し、ポリシ管理部12がポリシ更新要求に基づいてポリシ保持部13の内容を更新する(S72)。この場合は図7に示したポリシがポリシ保持部13に追加登録され、以降は発信元が“PARSS0001”で宛先が“PARSD0001”の不正アクセスの通信をファイアウォール装置10が受け付けた場合ステップS61によるチェックで許可されなくなり、不正アクセスを撃退し自らのシステムを防御することができる。   When the communication control unit 11 of the firewall device 10 receives a policy update request from the policy management device 30, it passes it to the policy management unit 12, and the policy management unit 12 updates the contents of the policy holding unit 13 based on the policy update request (S72). ). In this case, the policy shown in FIG. 7 is additionally registered in the policy holding unit 13, and thereafter, when the firewall apparatus 10 accepts an unauthorized access communication with the source “PARSS0001” and the destination “PARSD0001”, the check in step S61 Is no longer allowed, and can repel unauthorized access and defend your system.

また、ポリシ管理装置30は、侵入検知装置20形式のログをポリシ管理装置30の形式に変換してからポリシを作成し、作成したポリシをファイアウォール装置10形式のポリシに変換してファイアウォール装置10に設定するので、仕様が異なるファイアウォール装置10と侵入検知装置20の仕様に対しても形式変換することによりポリシの自動更新が可能となっている。従って、市販のファイアウォール装置10や侵入検知装置20を利用して本システムを実現することも可能である。   The policy management apparatus 30 creates a policy after converting the log in the intrusion detection apparatus 20 format into the policy management apparatus 30 format, and converts the created policy into a policy in the firewall apparatus 10 format to the firewall apparatus 10. Therefore, the policy can be automatically updated by converting the format of the specifications of the firewall device 10 and the intrusion detection device 20 having different specifications. Therefore, this system can also be realized by using a commercially available firewall device 10 or intrusion detection device 20.

また、本発明のシステムではポリシを作成するポリシ管理装置30が外部からのアクセスが禁止される内部セグメント19に置かれるため、侵入者装置40からの侵入や攻撃から防御され、信頼性の高いポリシを作成し、ファイアウォール装置10へ適用することができる。   Further, in the system of the present invention, the policy management device 30 for creating a policy is placed in the internal segment 19 where access from the outside is prohibited. Therefore, the policy management device 30 is protected from intrusion or attack from the intruder device 40 and has high reliability. Can be created and applied to the firewall device 10.

本発明の不正アクセス防御システムの構成を示したブロック図である。It is the block diagram which showed the structure of the unauthorized access defense system of this invention. 本発明の不正アクセス防御システムの動作を示したフローチャートである。It is the flowchart which showed operation | movement of the unauthorized access prevention system of this invention. 侵入検知装置20で作成された侵入検知装置20形式のログの一例である。It is an example of the log of the intrusion detection device 20 format created by the intrusion detection device 20. ログ形式変換部31で形式変換した結果のログの一例である。4 is an example of a log resulting from format conversion by a log format conversion unit 31. リスト作成部32で作成されたリストの一例である。It is an example of the list created by the list creation unit 32. ポリシ作成部33で作成されたポリシの一例である。It is an example of the policy created by the policy creation unit 33. ポリシ形式変換部34で形式変換したポリシの一例である。It is an example of a policy whose format has been converted by a policy format conversion unit.

符号の説明Explanation of symbols

10 ファイアウォール装置
11 通信制御部
12 ポリシ管理部
13 ポリシ保持部
20 侵入検知装置
21 不正アクセス検出部
22 ログ通報部
30 ポリシ管理装置
31 ログ形式変換部
32 リスト作成部
33 ポリシ作成部
34 ポリシ形式変換部
35 メール送信部
40 侵入者装置
DESCRIPTION OF SYMBOLS 10 Firewall apparatus 11 Communication control part 12 Policy management part 13 Policy holding part 20 Intrusion detection apparatus 21 Unauthorized access detection part 22 Log reporting part 30 Policy management apparatus 31 Log format conversion part 32 List creation part 33 Policy creation part 34 Policy form conversion part 35 Mail transmission unit 40 Intruder device

Claims (14)

防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを設定可能なルールであるポリシに従って制限するファイアウォール装置と、
防御対象システム内部にあって外部からの不正アクセスを検出する侵入検知装置と、
防御対象システム内部にあって前記侵入検知装置が検出した不正アクセス情報に基づいて不正アクセスを禁止するためのポリシを作成し前記ファイアウォール装置が参照するポリシとして適用するポリシ管理装置とを有することを特徴とする不正アクセス防御システム。 A firewall device that connects a protection target system and a network outside the protection target system and restricts access according to a policy that is a rule that can set access from outside;
An intrusion detection device that is inside the defense target system and detects unauthorized access from outside,
A policy management device that creates a policy for prohibiting unauthorized access based on the unauthorized access information detected by the intrusion detection device inside the protection target system and applies the policy as a policy referred to by the firewall device. An unauthorized access protection system. 防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを設定可能なルールであるポリシに従って制限するファイアウォール装置と、
外部からのアクセスが可能なDMZセグメントに置かれ外部からの不正アクセスを検出する侵入検知装置と、
外部からのアクセスが不可能なセグメントに置かれ前記侵入検知装置が検出した不正アクセス情報に基づいて不正アクセスを禁止するためのポリシを作成し前記ファイアウォール装置が参照するポリシとして適用するポリシ管理装置とを有することを特徴とする不正アクセス防御システム。 A firewall device that connects a protection target system and a network outside the protection target system and restricts access according to a policy that is a rule that can set access from outside;
An intrusion detection device that is located in a DMZ segment that can be accessed from the outside and detects unauthorized access from the outside,
A policy management device that creates a policy for prohibiting unauthorized access based on unauthorized access information detected by the intrusion detection device placed in a segment that cannot be accessed from the outside, and that is applied as a policy referred to by the firewall device; An unauthorized access protection system comprising: 前記ポリシ管理装置は、前記侵入検知装置が検出した不正アクセス情報を受け取ると前記ポリシ管理装置の形式の情報に変換してからポリシを作成し、作成したポリシを前記ファイアウォール装置の形式のポリシに変換して前記ファイアウォール装置に送り、前記ファイアウォール装置のポリシとして適用することを特徴とする請求項1又は2の不正アクセス防御システム。 When the policy management device receives unauthorized access information detected by the intrusion detection device, the policy management device converts the information into information in the policy management device format, creates a policy, and converts the created policy into a policy in the firewall device format The unauthorized access protection system according to claim 1, wherein the unauthorized access prevention system is applied to the firewall device as a policy of the firewall device. 防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するルールであるポリシに従ってアクセス制限するファイアウォール装置と、外部からのアクセスが可能なDMZセグメントに置かれる侵入検知装置と、外部からのアクセスが不可能なセグメントに置かれるポリシ管理装置とを有する不正アクセス防御システムであって、
前記ファイアウォール装置は、外部からのアクセスの実行の可否を定義するポリシを保持するポリシ保持部を有し、外部からのアクセスに対してポリシ保持部を参照してそのアクセスが禁止されている場合にそのアクセスの実行を拒絶し、
前記侵入検知装置は、DMZセグメントを監視して外部からの不正アクセスを検出すると不正アクセス情報をログとして作成し前記ポリシ管理装置に通報し、
前記ポリシ管理装置は、前記侵入検知装置から通報されたログをポリシ管理装置形式のログに変換し、変換したログに基づいて不正アクセスを禁止するポリシを作成し、作成したポリシを前記ファイアウォール装置式のポリシに変換して前記ファイアウォール装置に送って前記ポリシ保持部に適用することを特徴とする不正アクセス防御システム。 A firewall device that connects a protection target system and a network outside the protection target system and restricts access according to a policy that restricts access from outside; an intrusion detection device placed in a DMZ segment that can be accessed from outside; An unauthorized access prevention system having a policy management device placed in a segment that cannot be accessed from the outside,
The firewall device has a policy holding unit that holds a policy that defines whether or not external access can be executed, and the access is prohibited by referring to the policy holding unit for external access. Refuse to perform the access,
The intrusion detection device monitors the DMZ segment and detects unauthorized access from the outside, creates unauthorized access information as a log, and notifies the policy management device,
The policy management apparatus converts a log notified from the intrusion detection apparatus into a log in a policy management apparatus format, creates a policy prohibiting unauthorized access based on the converted log, and creates the created policy as the firewall apparatus type An unauthorized access prevention system characterized in that it is converted into a policy of the above and sent to the firewall device and applied to the policy holding unit. 防御対象システム内部にあって外部からの不正アクセスを検出する侵入検知装置が検出した不正アクセス情報に基づいて不正アクセスを禁止するためのポリシを作成し、防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するファイアウォール装置がアクセス制限ルールとして参照するポリシに適用することを特徴とするポリシ管理装置。 Create a policy for prohibiting unauthorized access based on the unauthorized access information detected by the intrusion detection device inside the protected system that detects unauthorized access from the outside. A policy management apparatus, which is applied to a policy that is referred to as an access restriction rule by a firewall apparatus that connects a network and restricts access from outside. 防御対象システム内部にあって外部からのアクセスが可能なDMZセグメントに置かれ外部からの不正アクセスを検出する侵入検知装置が検出した不正アクセス情報に基づいて不正アクセスを禁止するためのポリシを作成し、防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するファイアウォール装置がアクセス制限ルールとして参照するポリシに適用し、防御対象システム内部にあって外部からのアクセスが不可能なセグメントに置かれることを特徴とするポリシ管理装置。 Create a policy to prohibit unauthorized access based on unauthorized access information detected by an intrusion detection device that is located in a DMZ segment that can be accessed from the outside and that is located inside the defense target system and detects unauthorized access from outside. , Applied to the policy that the firewall device that connects the protected system and the network outside the protected system and restricts access from outside refers to as an access restriction rule, and cannot be accessed from the outside inside the protected system Policy management device characterized by being placed in a segment. 前記侵入検知装置が検出した不正アクセス情報を受け取ると前記ポリシ管理装置の形式の情報に変換してから不正アクセスを禁止するためのポリシを作成し、作成したポリシを前記ファイアウォール装置の形式のポリシに変換して前記ファイアウォール装置に送り、前記ファイアウォール装置のポリシとして適用することを特徴とする請求項5又は6のポリシ管理装置。 When the unauthorized access information detected by the intrusion detection device is received, it is converted into information in the format of the policy management device, and then a policy for prohibiting unauthorized access is created, and the created policy is converted to a policy in the format of the firewall device. 7. The policy management apparatus according to claim 5, wherein the policy management apparatus converts the data and sends the converted data to the firewall apparatus as a policy of the firewall apparatus. 防御対象システム外部からのアクセスが可能なDMZセグメントに置かれDMZセグメントを監視して外部からの不正アクセスを検出すると不正アクセス情報をログとして作成して通報する侵入検知装置からログを受け取ると自形式のログに変換し、
変換したログに基づいて不正アクセスを禁止するポリシを作成し、
作成したポリシを防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するファイアウォール装置に送り、ファイアウォール装置がアクセス制限の際に参照するポリシを保持するポリシ保持部に作成したポリシを適用することを特徴とするポリシ管理装置。 It is placed in a DMZ segment that can be accessed from outside the system to be protected, and when the DMZ segment is monitored and unauthorized access from the outside is detected, unauthorized access information is created as a log and a log is received from the intrusion detection device that reports it Log to
Create a policy that prohibits unauthorized access based on the converted log,
The created policy is sent to the firewall device that restricts access from outside by connecting the protected system and the network outside the protected system, and created in the policy holding unit that holds the policy that the firewall device refers to when restricting access A policy management apparatus to which a policy is applied. 防御対象システム内部にあって外部からの不正アクセスを検出する侵入検知装置が検出した不正アクセス情報に基づいて不正アクセスを禁止するためのポリシを作成し、防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するファイアウォール装置がアクセス制限ルールとして参照するポリシに適用することを特徴とする不正アクセス防御方法。 Create a policy to prohibit unauthorized access based on the unauthorized access information detected by the intrusion detection device inside the protected system that detects unauthorized access from the outside, and the network outside the protected system and the protected system A method for preventing unauthorized access, which is applied to a policy that a firewall device that connects a network and restricts access from outside refers to as an access restriction rule. 前記侵入検知装置が検出した不正アクセス情報を受け取ると自ら定めた形式の情報に変換してから不正アクセスを禁止するためのポリシを作成し、作成したポリシを前記ファイアウォール装置の形式のポリシに変換して前記ファイアウォール装置に送り、前記ファイアウォール装置のポリシとして適用することを特徴とする請求項9の不正アクセス防御方法。 When the unauthorized access information detected by the intrusion detection device is received, it is converted into information in a format determined by itself, and then a policy for prohibiting unauthorized access is created, and the created policy is converted into a policy in the format of the firewall device. The unauthorized access prevention method according to claim 9, wherein the method is applied to the firewall device as a policy of the firewall device. 防御対象システム外部からのアクセスが可能なDMZセグメントに置かれDMZセグメントを監視して外部からの不正アクセスを検出すると不正アクセス情報をログとして作成して通報する侵入検知装置からログを受け取ると自形式のログに変換し、
変換したログに基づいて不正アクセスを禁止するポリシを作成し、
作成したポリシを防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するファイアウォール装置に送り、ファイアウォール装置がアクセス制限の際に参照するポリシを保持するポリシ保持部に作成したポリシを適用することを特徴とする不正アクセス防御方法。 It is placed in a DMZ segment that can be accessed from outside the system to be protected, and when the DMZ segment is monitored and unauthorized access from the outside is detected, unauthorized access information is created as a log and a log is received from the intrusion detection device that reports it Log to
Create a policy that prohibits unauthorized access based on the converted log,
The created policy is sent to the firewall device that restricts access from outside by connecting the protected system and the network outside the protected system, and created in the policy holding unit that holds the policy that the firewall device refers to when restricting access An unauthorized access prevention method characterized by applying a policy. 防御対象システム内部にあって外部からの不正アクセスを検出する侵入検知装置が検出した不正アクセス情報に基づいて不正アクセスを禁止するためのポリシを作成する手順と、防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するファイアウォール装置がアクセス制限ルールとして参照するポリシに適用する手順とをコンピュータに実行させることを特徴とするプログラム。 A procedure for creating a policy to prohibit unauthorized access based on unauthorized access information detected by an intrusion detection device inside the protected system that detects unauthorized access from the outside, and between the protected system and the protected system A program that causes a computer to execute a procedure that is applied to a policy that a firewall device that connects to a network and restricts access from outside refers to as an access restriction rule. 前記侵入検知装置が検出した不正アクセス情報を受け取ると自ら定めた形式の情報に変換してから不正アクセスを禁止するためのポリシを作成手順と、作成したポリシを前記ファイアウォール装置の形式のポリシに変換して前記ファイアウォール装置に送り前記ファイアウォール装置のポリシとして適用する手順とをコンピュータに実行させることを特徴とする請求項12のプログラム。 When the unauthorized access information detected by the intrusion detection device is received, it is converted into information in a format determined by itself, and then a policy for prohibiting unauthorized access is created, and the created policy is converted into a policy in the format of the firewall device The program according to claim 12, further causing a computer to execute a procedure to be sent to the firewall device and applied as a policy of the firewall device. 防御対象システム外部からのアクセスが可能なDMZセグメントに置かれDMZセグメントを監視して外部からの不正アクセスを検出すると不正アクセス情報をログとして作成して通報する侵入検知装置からログを受け取ると自形式のログに変換する手順と、
変換したログに基づいて不正アクセスを禁止するポリシを作成する手順と、
作成したポリシを防御対象システムと防御対象システム外部のネットワークとを接続し外部からのアクセスを制限するファイアウォール装置に送り、ファイアウォール装置がアクセス制限の際に参照するポリシを保持するポリシ保持部に作成したポリシを適用する手順とをコンピュータに実行させることを特徴とするプログラム。
It is placed in a DMZ segment that can be accessed from outside the system to be protected, and when the DMZ segment is monitored and unauthorized access from the outside is detected, unauthorized access information is created as a log and a log is received from the intrusion detection device that reports it The steps to convert to
Create a policy that prohibits unauthorized access based on the converted log,
The created policy is sent to the firewall device that restricts access from outside by connecting the protected system and the network outside the protected system, and created in the policy holding unit that holds the policy that the firewall device refers to when restricting access A program for causing a computer to execute a procedure for applying a policy.
JP2003302629A 2003-08-27 2003-08-27 Unauthorized access defense system, policy management device, unauthorized access defense method, and program Pending JP2005071218A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003302629A JP2005071218A (en) 2003-08-27 2003-08-27 Unauthorized access defense system, policy management device, unauthorized access defense method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003302629A JP2005071218A (en) 2003-08-27 2003-08-27 Unauthorized access defense system, policy management device, unauthorized access defense method, and program

Publications (1)

Publication Number Publication Date
JP2005071218A true JP2005071218A (en) 2005-03-17

Family

ID=34406859

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003302629A Pending JP2005071218A (en) 2003-08-27 2003-08-27 Unauthorized access defense system, policy management device, unauthorized access defense method, and program

Country Status (1)

Country Link
JP (1) JP2005071218A (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006318369A (en) * 2005-05-16 2006-11-24 Nippon Telegr & Teleph Corp <Ntt> Policy automatic generation method and approval apparatus
JP2009129332A (en) * 2007-11-27 2009-06-11 Kddi Corp Policy generation system, program, and recording medium
JP2011113355A (en) * 2009-11-27 2011-06-09 Ricoh Co Ltd Information processing apparatus, image forming apparatus, and information processing method
JP2013525927A (en) * 2010-05-07 2013-06-20 アルカテル−ルーセント Methods for adapting information system infrastructure security policies
JP2014506383A (en) * 2010-12-30 2014-03-13 コーニンクレッカ フィリップス エヌ ヴェ Policy-based OLN lighting management system
US20170034128A1 (en) * 2011-08-24 2017-02-02 Mcafee, Inc. System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
JP2017505942A (en) * 2013-12-20 2017-02-23 マカフィー, インコーポレイテッド Intelligent firewall access rules
JP2017534105A (en) * 2014-09-24 2017-11-16 ネットフリックス・インコーポレイテッドNetflix, Inc. Distributed traffic management system and technology
JP2019145996A (en) * 2018-02-20 2019-08-29 株式会社日立製作所 Security countermeasure planning device and method
CN115567233A (en) * 2022-07-12 2023-01-03 南京六六六信息技术有限公司 Big data electronic information safety monitoring system

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006318369A (en) * 2005-05-16 2006-11-24 Nippon Telegr & Teleph Corp <Ntt> Policy automatic generation method and approval apparatus
JP4723905B2 (en) * 2005-05-16 2011-07-13 日本電信電話株式会社 Policy automatic generation method and authorization device
JP2009129332A (en) * 2007-11-27 2009-06-11 Kddi Corp Policy generation system, program, and recording medium
JP2011113355A (en) * 2009-11-27 2011-06-09 Ricoh Co Ltd Information processing apparatus, image forming apparatus, and information processing method
JP2013525927A (en) * 2010-05-07 2013-06-20 アルカテル−ルーセント Methods for adapting information system infrastructure security policies
JP2014506383A (en) * 2010-12-30 2014-03-13 コーニンクレッカ フィリップス エヌ ヴェ Policy-based OLN lighting management system
US20170034128A1 (en) * 2011-08-24 2017-02-02 Mcafee, Inc. System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
US10701036B2 (en) * 2011-08-24 2020-06-30 Mcafee, Llc System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
JP2017505942A (en) * 2013-12-20 2017-02-23 マカフィー, インコーポレイテッド Intelligent firewall access rules
KR101877655B1 (en) * 2013-12-20 2018-07-11 맥아피, 엘엘씨 Intelligent firewall access rules
US10367787B2 (en) 2013-12-20 2019-07-30 Mcafee, Llc Intelligent firewall access rules
US10904216B2 (en) 2013-12-20 2021-01-26 Mcafee, Llc Intelligent firewall access rules
JP2017534105A (en) * 2014-09-24 2017-11-16 ネットフリックス・インコーポレイテッドNetflix, Inc. Distributed traffic management system and technology
JP2019145996A (en) * 2018-02-20 2019-08-29 株式会社日立製作所 Security countermeasure planning device and method
CN115567233A (en) * 2022-07-12 2023-01-03 南京六六六信息技术有限公司 Big data electronic information safety monitoring system

Similar Documents

Publication Publication Date Title
CN101802837B (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
EP1902375B1 (en) A malignant bot confrontation method and its system
US7832006B2 (en) System and method for providing network security
CN101116068B (en) Intrusion detection in a data center environment
US6892241B2 (en) Anti-virus policy enforcement system and method
JP4373779B2 (en) Stateful distributed event processing and adaptive maintenance
US8185618B2 (en) Dynamically responding to non-network events at a network device in a computer network
US8122495B2 (en) Integrated computer security management system and method
US7818565B2 (en) Systems and methods for implementing protocol enforcement rules
US20050108557A1 (en) Systems and methods for detecting and preventing unauthorized access to networked devices
US20040111623A1 (en) Systems and methods for detecting user presence
US20040250133A1 (en) Computer security event management system
WO1999057625A1 (en) Dynamic system defence for information warfare
WO2007124206A2 (en) System and method for securing information in a virtual computing environment
JP4581104B2 (en) Network security system
CN101675423A (en) System and method for providing data and device security between external and host devices
EP1443729B1 (en) Method and device for handling related connections in a firewall
JP2005071218A (en) Unauthorized access defense system, policy management device, unauthorized access defense method, and program
Alfaqih et al. Internet of things security based on devices architecture
US7840663B1 (en) Desktop security in peer-to-peer networks
KR20040065674A (en) Host-based security system and method
US20160205135A1 (en) Method and system to actively defend network infrastructure
JP2000354034A (en) Business: hacker monitoring chamber
KR101910496B1 (en) Network based proxy setting detection system through wide area network internet protocol(IP) validation and method of blocking harmful site access using the same
KR20070008804A (en) Host-based security system and method for providing security service

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20050307

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070124

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071019

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071106

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080304