JP2011188071A - Intrusion detection/prevention system, client computer, intrusion detection/prevention apparatus and method, and program - Google Patents

Intrusion detection/prevention system, client computer, intrusion detection/prevention apparatus and method, and program Download PDF

Info

Publication number
JP2011188071A
JP2011188071A JP2010048925A JP2010048925A JP2011188071A JP 2011188071 A JP2011188071 A JP 2011188071A JP 2010048925 A JP2010048925 A JP 2010048925A JP 2010048925 A JP2010048925 A JP 2010048925A JP 2011188071 A JP2011188071 A JP 2011188071A
Authority
JP
Japan
Prior art keywords
inspection
intrusion detection
patch
connection request
client computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010048925A
Other languages
Japanese (ja)
Other versions
JP5549281B2 (en
Inventor
Shigeo Kondo
茂生 近藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010048925A priority Critical patent/JP5549281B2/en
Publication of JP2011188071A publication Critical patent/JP2011188071A/en
Application granted granted Critical
Publication of JP5549281B2 publication Critical patent/JP5549281B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an intrusion detection/prevention system and the like in which deterioration in a security level and a communication velocity can be avoided by appropriately setting inspection items. <P>SOLUTION: A client computer 10 has a patch application information confirming section 102 for creating inspection unnecessary item data and a web browser operating section 101 for transmitting a connection request addressed to a web server after imparting the inspection unnecessary item data thereto. An intrusion detection/prevention apparatus 20 has: a session management section 201 for transferring the connection request from the client computer to the web server; an inspection unnecessary item writing function 202a for excluding the inspection unnecessary item data included in the connection request and writing the inspection unnecessary item data into a session table 212; an inspection execution determining function 202c for determining whether or not an inspection is required for a response packet for each of inspection items; and an inspection program reading function 202b for inspecting the response packet. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラムに関し、特にセキュリティレベルおよび通信速度の低下を避けることを可能とする不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラムに関する。   The present invention relates to an intrusion detection / protection system, a client computer, an intrusion detection / protection device, a method, and a program, and more particularly to an intrusion detection / protection system, a client computer, which can avoid a decrease in security level and communication speed. The present invention relates to an unauthorized intrusion detection / protection device, method, and program.

インターネットに接続される全てのコンピュータにとって、OS(Oparating System、基本ソフトウェア)やアプリケーションなどの脆弱性を突いて不正侵入を試みる攻撃に対する対策は、もはや不可欠である。非特許文献1で株式会社シマンテックが報告した所によると、同社は西暦2008年の1年間で約166万個の新たなマリシャスコード(悪意をもったプログラム)に対して対策を行ったという。これは前年の約62万個に比べて、およそ2.6倍の数となる。当然ながら、不正侵入に対する脅威も、これと同様のペースで急増していることになる。   For all computers connected to the Internet, it is no longer necessary to take measures against attacks that attempt to make unauthorized intrusions by exploiting vulnerabilities such as OS (Oparating System, basic software) and applications. According to a report by Symantec Corporation in Non-Patent Document 1, the company took measures against about 16.66 million new malicious codes (malicious programs) in the year 2008 AD. This is about 2.6 times the number of the previous year's 620,000. Of course, the threat to unauthorized intrusion is increasing at a similar pace.

このように不正侵入に対する脅威が急増している昨今では、不正侵入に対して各々のクライアントコンピュータで対策するだけでなく、企業などの組織内部のイントラネットがグローバルなインターネットに接続される部分(たとえばプロキシサーバなど)で不正侵入を検知して防御することが、各々のクライアントコンピュータでの負荷が軽減されるので望ましい。そのため、多くの組織で、外部ネットワークから内部のイントラネットを不正侵入から守るという意味で、インライン型不正侵入検知・防御システムが採用されるようになっている。   In recent years, the threat of unauthorized intrusion has increased rapidly. In addition to taking countermeasures against unauthorized intrusion at each client computer, the intranet inside the organization such as a company is connected to the global Internet (for example, proxy It is desirable to detect and prevent unauthorized intrusion by using a server, etc., because the load on each client computer is reduced. Therefore, in many organizations, an inline unauthorized intrusion detection / protection system has been adopted in order to protect an internal intranet from an unauthorized network.

図19は、一般的なインライン型不正侵入検知・防御システム1001の構成を示す説明図である。複数台のクライアントコンピュータ1010A、1010B、1010C、…が組織内の内部ネットワーク1030に接続されており、内部ネットワーク1030は不正侵入検知・防御装置1020を介して、インターネット1050に接続されている。これによって、各々のクライアントコンピュータ1010A、1010B、1010C、…は、インターネット1050上のウェブサーバ1040に接続して、ウェブサーバ1040によって提供されるウェブサービスを受けることが可能となっている。   FIG. 19 is an explanatory diagram showing a configuration of a general inline-type unauthorized intrusion detection / protection system 1001. A plurality of client computers 1010A, 1010B, 1010C,... Are connected to an internal network 1030 in the organization, and the internal network 1030 is connected to the Internet 1050 via an unauthorized intrusion detection / protection device 1020. As a result, each of the client computers 1010A, 1010B, 1010C,... Can connect to the web server 1040 on the Internet 1050 and receive a web service provided by the web server 1040.

不正侵入検知・防御装置1020は、各々のクライアントコンピュータ1010A、1010B、1010C、…からウェブサーバ1040への接続を仲介するいわゆるプロキシサーバであると共に、インターネット1050の側から内部ネットワーク1030に対して届く通信パケットを検査し、その通信パケットに不正な侵入を意図する内容が含まれていればこの通信パケットを破棄して、これによって不正侵入を防ぐという機能を持つ。これによって、各々のクライアントコンピュータ1010A、1010B、1010C、…は、不正侵入の脅威から守られる。   The unauthorized intrusion detection / protection device 1020 is a so-called proxy server that mediates connection from each client computer 1010A, 1010B, 1010C,... To the web server 1040, and communication that reaches the internal network 1030 from the Internet 1050 side. The packet is inspected, and if the communication packet contains contents intended for unauthorized intrusion, the communication packet is discarded, thereby preventing unauthorized intrusion. Accordingly, each client computer 1010A, 1010B, 1010C,... Is protected from unauthorized intrusion threats.

ただし、不正侵入検知・防御装置1020で各々の通信パケットを検査する項目が増加すると、その検査を行うプロセッサが過負荷となり、通信速度が大幅に低下するという問題が生じうる。この問題に関連して、次の各々の技術文献がある。その中でも特許文献1には、ネットワークの構成で上流機器に「セキュリティ強度」について問い合わせ、その返答に基づいて検査項目を一部省略するという不正アクセス検知装置などが記載されている。   However, if the number of items for inspecting each communication packet in the unauthorized intrusion detection / protection device 1020 increases, the processor that performs the inspection may be overloaded, and the communication speed may be significantly reduced. In relation to this problem, there are the following technical documents. Among them, Patent Document 1 describes an unauthorized access detection device that inquires an upstream device about “security strength” in a network configuration and omits some inspection items based on the response.

特許文献2には、ソフトウェアの脆弱性の修正によって改善された点について検査ルールから削除するという情報検査装置が記載されている。特許文献3には、HTTP(Hypertext Transfer Protocol)ヘッダなどのデータを自動作成する脆弱性検査装置が記載されている。特許文献4には、パケットの照合時間が最大遅延許容時間を超えるとパターン照合の中止を指示するというインライン型不正侵入検知・防御装置が記載されている。特許文献5には、使用対象となっているシグネチャの各検査項目の攻撃検知度数を判断し、CPU(Central Processing Unit、主演算制御手段)の負荷状況に応じて検査項目を変更するというインライン型不正侵入検知・防御装置が記載されている。   Patent Document 2 describes an information inspection apparatus that deletes points improved by correcting software vulnerabilities from inspection rules. Patent Document 3 describes a vulnerability inspection device that automatically creates data such as an HTTP (Hypertext Transfer Protocol) header. Patent Document 4 describes an inline-type intrusion detection / protection device that instructs to stop pattern matching when the packet matching time exceeds the maximum allowable delay time. Patent Document 5 discloses an inline type in which the attack detection frequency of each inspection item of a signature to be used is determined, and the inspection item is changed according to the load status of a CPU (Central Processing Unit, main arithmetic control means). An unauthorized intrusion detection / protection device is described.

特開2009−005122号公報JP 2009-005122 A 特開2004−139177号公報JP 2004-139177 A 特開2005−354338号公報JP 2005-354338 A 特開2008−066903号公報JP 2008-066903 A 特開2008−098766号公報JP 2008-098766 A

「インターネットセキュリティ脅威レポート」、[online]、平成21年4月、株式会社シマンテック、[平成22年2月12日検索]、インターネット<URL:http://www.symantec.com/content/ja/jp/enterprise/white_papers/istr14_wp_200904.pdf>"Internet Security Threat Report", [online], April 2009, Symantec Corporation, [searched on February 12, 2010], Internet <URL: http://www.symantec.com/content/en/ jp / enterprise / white_papers / istr14_wp_200904.pdf>

前述のように、図19で示したインライン型不正侵入検知・防御システム1001で、不正侵入検知・防御装置1020が同装置を通る各々の通信パケットに対して検査しなければならない項目は急増している。従って、これらの多数の項目を検査するために、この装置で検査を実際に行うプロセッサが過負荷となり、通信速度が大幅に低下するという問題が生じている。   As described above, in the inline-type intrusion detection / protection system 1001 shown in FIG. 19, the items that the intrusion detection / protection device 1020 has to inspect for each communication packet passing through the device are rapidly increasing. Yes. Therefore, in order to inspect these many items, there is a problem that the processor that actually performs the inspection with this apparatus is overloaded, and the communication speed is greatly reduced.

一方で、各々のクライアントコンピュータ1010A、1010B、1010C、…で動作するOS(Operating System)やアプリケーションでは、毎日のように発見される新たな脅威に対して、パッチと呼ばれるソフトウェアの修正モジュールが次々と作成され、配布されている。各クライアントコンピュータにそれらのパッチを適用することによって、多くの不正侵入の脅威に対応できる。   On the other hand, in the OS (Operating System) and applications that run on each of the client computers 1010A, 1010B, 1010C,..., There are a series of software correction modules called patches one after another against new threats discovered every day. Created and distributed. By applying these patches to each client computer, it is possible to cope with many unauthorized intrusion threats.

そのため、クライアントコンピュータ側でパッチの適用によって対応できている項目については不正侵入検知・防御装置1020の側で検査を省略し、それによって検査にかかる負荷を軽減し、通信速度の低下を避けるということは当然考えられる。   Therefore, for items that can be dealt with by applying a patch on the client computer side, inspection is omitted on the unauthorized intrusion detection / protection device 1020 side, thereby reducing the load on the inspection and avoiding a decrease in communication speed. Is of course conceivable.

しかしながら、パッチの適用状況はクライアントコンピュータごとに異なり、全ての必要なパッチが全てのクライアントコンピュータに適用されているとは限らない。また、各々のクライアントコンピュータごとに利用しているOSやアプリケーションが異なるので、適用すべきパッチも当然クライアントコンピュータごとに異なる。   However, the patch application status differs for each client computer, and not all necessary patches are applied to all client computers. In addition, since the OS and application used for each client computer are different, the patch to be applied is naturally different for each client computer.

そのため、管理者がその全てを把握して、日々増加する検査項目の内容を1つずつ確認しながら検査が必要であるか不要であるかを判断し、セキュリティレベルおよび通信速度を低下させずに検査項目を適切に設定するということは、既に現実的には困難なこととなっている。   Therefore, the administrator grasps all of them and checks whether the inspection items that are increasing day by day are checked one by one to determine whether inspection is necessary or not, without reducing the security level and communication speed. Setting inspection items appropriately is already difficult in practice.

特許文献1〜5に記載されている技術では、クライアントコンピュータごとにパッチの適用状況が異なるという点については考慮されていないし、ましてそれに応じて検査項目を設定するということはできない。   The techniques described in Patent Documents 1 to 5 do not take into consideration that the application status of patches differs for each client computer, and it is impossible to set inspection items accordingly.

本発明の目的は、各々のクライアントコンピュータごとに検査項目を適切に設定し、セキュリティレベルおよび通信速度の低下を避けることを可能とする不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラムを提供することにある。   An object of the present invention is to provide an intrusion detection / protection system, a client computer, and an intrusion detection / protection device that can appropriately set inspection items for each client computer and avoid a decrease in security level and communication speed. It is to provide a method and a program.

上記目的を達成するため、本発明に係る不正侵入検知・防御システムは、単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムであって、クライアントコンピュータが、脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する第1の記憶手段と、適用済パッチID情報およびパッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、ウェブサーバ宛の接続要求に検査不要項目データを付与して送信すると共に接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部とを有し、不正侵入検知・防御装置が、クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している第2の記憶手段と、クライアントコンピュータからの接続要求をウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係をセッションテーブルに記録し、接続要求に対応するウェブサーバからの応答パケットをセッションテーブルに記録された発信元に転送するセッション管理部と、ウェブサーバからの応答パケットに不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、パケット検査部が、クライアントコンピュータから受信した接続要求がウェブサーバに対して転送される前に該接続要求に含まれる検査不要項目データを取り除くと共に当該検査不要項目データをセッションテーブル内に書き込む検査不要項目書込機能と、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能とを有することを特徴とする。   In order to achieve the above object, an intrusion detection / protection system according to the present invention connects to a web server on an external network via an intrusion detection / protection device in which one or more client computers are connected through an internal network. It is possible to check whether a packet received from an external network contains an illegal attack that exploits the vulnerability of the software running on the client computer, and if the detected packet contains an illegal attack An intrusion detection and prevention system that discards packets, improved by client computers with applied patch ID information and a list of patch identifiers and patches applied to improve vulnerabilities Patch ID-inspection item pair indicating correspondence with vulnerability A first storage means for storing a table; a patch application information confirmation unit for creating inspection-unnecessary item data from the applied patch ID information and the patch ID-inspection item correspondence table; And a web browser operation unit that displays the contents of the response packet returned in response to the connection request, and the unauthorized intrusion detection / protection device is the source of the connection request from the client computer. And a second storage means for storing a session table which is data about the transmission destination, a connection request from the client computer is transferred to the web server, and the correspondence between the transmission source and the transmission destination of the connection request Is recorded in the session table, and the response packet from the web server corresponding to the connection request is recorded in the session. A session management unit that forwards to a source recorded in the table, and a packet inspection unit that inspects whether or not an illegal attack is included in the response packet from the web server. The inspection table writing function that removes the inspection unnecessary item data included in the connection request before the received connection request is transferred to the web server and writes the inspection unnecessary item data in the session table, and the session table A test execution determination function that determines whether or not inspection is required for each inspection item for the response packet based on inspection-unnecessary item data included in the connection request corresponding to the response packet, and determines that inspection is necessary The inspection program corresponding to the inspection item is read, the response packet is inspected, and the response packet is And an inspection program reading function for discarding an illegal attack if it is included in the network.

上記目的を達成するため、本発明に係るクライアントコンピュータは、内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能なクライアントコンピュータであって、動作するソフトウェアの脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する記憶手段と、適用済パッチID情報およびパッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、ウェブサーバ宛の接続要求に検査不要項目データを付与して送信すると共に接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部とを有することを特徴とする。   In order to achieve the above object, a client computer according to the present invention is a client computer that can be connected to a web server on an external network via an intrusion detection / protection device connected through an internal network, Storage for storing applied patch ID information indicating a list of identifiers of patches applied to improve vulnerabilities and a patch ID-inspection item correspondence table indicating correspondence between patch identifiers and vulnerabilities improved by patches A patch application information confirmation unit that creates inspection-unnecessary item data from the applied patch ID information and the patch ID-inspection item correspondence table, and adds and transmits inspection-unnecessary item data to the connection request addressed to the web server Displays the contents of the response packet sent back in response to the request Characterized in that it has a web browser operating unit.

上記目的を達成するため、本発明に係る不正侵入検知・防御装置は、内部ネットワークを通じて接続されたクライアントコンピュータと外部ネットワーク上のウェブサーバとの間の接続を仲介し、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御装置であって、クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している記憶手段と、クライアントコンピュータからの接続要求をウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係をセッションテーブルに記録し、接続要求に対応するウェブサーバからの応答パケットをセッションテーブルに記録された発信元に転送するセッション管理部と、ウェブサーバからの応答パケットに不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、パケット検査部が、クライアントコンピュータから受信した接続要求がウェブサーバに対して転送される前に該接続要求に含まれる検査不要項目データを取り除くと共に当該検査不要項目データをセッションテーブル内に書き込む検査不要項目書込機能と、セッションテーブルで応答に対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能とを有することを特徴とする。   In order to achieve the above object, an intrusion detection / protection device according to the present invention mediates a connection between a client computer connected through an internal network and a web server on an external network, and transmits packets received from the external network. An intrusion detection / protection device that inspects whether or not an unauthorized attack that exploits the vulnerability of software running on a client computer is included, and discards the packet if the detected packet includes an unauthorized attack Storage means for storing a session table, which is data about the source and destination of a connection request from a client computer, and transfers the connection request from the client computer to the web server and The correspondence between the sender and destination The session management unit that records the response packet from the web server corresponding to the connection request to the sender recorded in the session table, and whether the response packet from the web server contains an unauthorized attack The packet inspection unit removes the inspection unnecessary item data included in the connection request before the connection request received from the client computer is transferred to the web server, and the inspection unnecessary item. Whether or not inspection is required for each inspection item for the response packet based on the inspection unnecessary item writing function that writes data in the session table and the inspection unnecessary item data included in the connection request corresponding to the response in the session table Inspection execution determination function for determining whether or not the inspection item is determined to be inspected Examining the response packet reads the corresponding test program, and having the same and a discarding inspection program reading function if it contains illegal attack to the response packet.

上記目的を達成するため、本発明に係る不正侵入検知・防御方法は、単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、クライアントコンピュータが、予め記憶されている脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルからパッチ適用情報確認部にて検査不要項目データを作成し、クライアントコンピュータが、ウェブサーバ宛の接続要求に検査不要項目データを付与してウェブブラウザ動作部にて送信し、不正侵入検知・防御装置が、クライアントコンピュータからの接続要求をセッション管理部にて受信し、不正侵入検知・防御装置が、接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルにセッション管理部にて記録し、不正侵入検知・防御装置が、接続要求に含まれる検査不要項目データを検査不要項目書込機能にてセッションテーブル内に書き込み、不正侵入検知・防御装置が、接続要求から検査不要項目データを検査不要項目書込機能にて取り除き、不正侵入検知・防御装置が、検査不要項目データを取り除かれた接続要求をセッション管理部にてウェブサーバに対して転送し、不正侵入検知・防御装置が、接続要求に対応するウェブサーバからの応答パケットをセッション管理部にて受信し、不正侵入検知・防御装置が、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを検査実行判定機能にて判断し、不正侵入検知・防御装置が、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで検査プログラム読込機能にて該応答パケットを検査し、不正侵入検知・防御装置が、該応答パケットに不正な攻撃が含まれていればこれを検査プログラム読込機能にて破棄し、不正侵入検知・防御装置が、該応答パケットに不正な攻撃が含まれていなければこれをセッション管理部にてクライアントコンピュータに転送し、クライアントコンピュータが、不正侵入検知・防御装置から転送されてきた応答パケットの内容をウェブブラウザ動作部にて表示することを特徴とする。   In order to achieve the above object, an unauthorized intrusion detection / protection method according to the present invention connects to a web server on an external network via an unauthorized intrusion detection / protection device in which one or more client computers are connected through an internal network. It is possible to check whether a packet received from an external network contains an illegal attack that exploits the vulnerability of the software running on the client computer, and if the detected packet contains an illegal attack An intrusion detection / protection system for discarding packets, in which a client computer has applied patch ID information and a patch identifier indicating a list of patch identifiers applied to improve previously stored vulnerabilities; Patch I showing the correspondence with the vulnerabilities improved by the patch -Creates inspection-unnecessary item data from the patch application information confirmation unit from the inspection item correspondence table, and the client computer attaches inspection-unnecessary item data to the connection request addressed to the web server and sends it to the web browser operation unit. Session table in which the intrusion detection / protection device receives a connection request from the client computer at the session management unit, and the intrusion detection / protection device stores in advance the correspondence between the source and destination of the connection request The intrusion detection / protection device writes the inspection unnecessary item data included in the connection request into the session table using the inspection unnecessary item writing function, and the intrusion detection / protection device connects. The inspection unnecessary item data is removed from the request by the inspection unnecessary item writing function, and the unauthorized intrusion detection / protection device makes the inspection unnecessary item. The connection request from which the data has been removed is transferred to the web server by the session management unit, and the unauthorized intrusion detection / protection device receives the response packet from the web server corresponding to the connection request at the session management unit. The intrusion detection / protection device uses an inspection execution determination function to determine whether or not inspection is required for each inspection item for the response packet based on the inspection unnecessary item data included in the connection request corresponding to the response packet in the session table. The unauthorized intrusion detection / protection device reads the inspection program corresponding to the inspection item determined to require inspection, inspects the response packet with the inspection program reading function, and detects intrusion detection / protection. If the device contains an illegal attack in the response packet, the device discards it using the inspection program reading function, and the unauthorized intrusion detection / protection device If the response packet does not contain an unauthorized attack, it is transferred to the client computer by the session management unit, and the client computer sends the content of the response packet transferred from the unauthorized intrusion detection / protection device to the web browser operation unit. It is characterized by being displayed.

上記目的を達成するため、本発明に係る不正侵入検知・防御プログラムは、単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、コンピュータに、予め記憶されている脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルから検査不要項目データを作成する手順と、ウェブサーバ宛の接続要求に検査不要項目データを付与して送信する手順と、不正侵入検知・防御装置から転送されてきた応答パケットの内容を表示する手順とを実行させることを特徴とする。   In order to achieve the above object, an unauthorized intrusion detection / protection program according to the present invention is connected to a web server on an external network via an unauthorized intrusion detection / protection device in which one or more client computers are connected through an internal network. It is possible to check whether a packet received from an external network contains an illegal attack that exploits the vulnerability of software running on the client computer, and the packet that was inspected contains content intended for an unauthorized attack. If there is an unauthorized intrusion detection / protection system that discards the packet if it is, applied patch ID information and a patch indicating a list of patch identifiers applied to improve vulnerabilities stored in advance in the computer Shows the correspondence between the identifier and the vulnerability improved by the patch A procedure for creating inspection-unnecessary item data from the table ID-inspection item correspondence table, a procedure for adding inspection-unnecessary item data to a connection request addressed to a web server, and a procedure transmitted from an unauthorized intrusion detection / protection device And a procedure for displaying the contents of the response packet.

上記目的を達成するため、本発明に係る別の不正侵入検知・防御プログラムは、単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、コンピュータに、クライアントコンピュータからの接続要求を受信する手順と、接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに記録する手順と、接続要求に含まれる検査不要項目データをセッションテーブル内に書き込む手順と、接続要求から検査不要項目データを取り除く手順と、検査不要項目データを取り除かれた接続要求をウェブサーバに対して転送する手順と、接続要求に対応するウェブサーバからの応答パケットを受信する手順と、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する手順と、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査する手順と、該応答パケットに不正な攻撃が含まれていればこれを破棄する手順と、該応答パケットに不正な攻撃が含まれていなければこれをクライアントコンピュータに転送する手順とを実行させることを特徴とする。   In order to achieve the above object, another unauthorized intrusion detection / protection program according to the present invention provides a web server on an external network via an unauthorized intrusion detection / protection device in which one or more client computers are connected through an internal network. The packet received from the external network is inspected whether it contains an unauthorized attack that exploits the vulnerability of the software running on the client computer, and the content intended for the unauthorized attack is in the inspected packet. In the intrusion detection / protection system that discards the packet if it is included, the procedure for receiving the connection request from the client computer and the correspondence between the connection request source and destination are stored in advance in the computer. Recorded in the session table and the connection request To write the inspection-free item data to the session table, to remove the inspection-free item data from the connection request, to transfer the connection request from which the inspection-unnecessary item data has been removed to the web server, and to the connection request Is it necessary to inspect the response packet for each inspection item based on the procedure for receiving the response packet from the web server corresponding to the request packet and the inspection unnecessary item data included in the connection request corresponding to the response packet in the session table A procedure for judging whether or not, a procedure for inspecting the response packet by reading an examination program corresponding to the examination item judged to require examination, and if the response packet contains an illegal attack The procedure for discarding this message, and if the response packet does not contain an unauthorized attack, Characterized in that to execute a step of feeding.

上述したように本発明は、クライアントコンピュータが検査不要項目を含む接続要求を送信し、不正侵入検知・防御装置がこの接続要求から検査不要項目を取り除いてからウェブサーバに転送し、これに対して返送された応答パケットを前記検査不要項目に基づいて検査する構成としたので、各クライアントコンピュータでパッチが適用済の検査項目について検査を省略することができ、これによって各々のクライアントコンピュータごとに検査項目を適切に設定し、セキュリティレベルおよび通信速度の低下を避けることが可能である不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラムを提供することができる。   As described above, according to the present invention, the client computer transmits a connection request including an inspection unnecessary item, and the unauthorized intrusion detection / protection device removes the inspection unnecessary item from the connection request and then forwards it to the web server. Since the returned response packet is inspected based on the inspection-unnecessary items, the inspection can be omitted for the inspection items to which the patch has been applied in each client computer. It is possible to provide an intrusion detection / protection system, a client computer, an intrusion detection / prevention device, a method, and a program capable of appropriately setting the security level and avoiding a decrease in security level and communication speed.

図2に示したクライアントコンピュータおよび不正侵入検知・防御装置の構成を示す説明図である。It is explanatory drawing which shows the structure of the client computer and unauthorized intrusion detection and defense apparatus which were shown in FIG. 本発明の第1の実施形態に係る不正侵入検知・防御システムの全体の概略構成の一例を示す説明図である。It is explanatory drawing which shows an example of the schematic structure of the whole unauthorized intrusion detection and defense system which concerns on the 1st Embodiment of this invention. 図1に示したパッチID−検査項目対応テーブルのデータ構成を示す説明図である。It is explanatory drawing which shows the data structure of the patch ID-inspection item corresponding table shown in FIG. 図1に示した検査不要項目一覧のデータ構成を示す説明図である。It is explanatory drawing which shows the data structure of the test unnecessary item list | wrist shown in FIG. 図1に示した適用済パッチIDリストおよび検査不要項目ビットテーブルのデータ構成を示す説明図である。It is explanatory drawing which shows the data structure of the applied patch ID list | wrist and inspection unnecessary item bit table which were shown in FIG. 図1に示したHTTPヘッダ変更機能が検査不要項目情報を追加したHTTP要求ヘッダを含むHTTP要求について示す説明図である。It is explanatory drawing which shows the HTTP request | requirement containing the HTTP request | requirement header which the HTTP header change function shown in FIG. 1 added the inspection unnecessary item information. 図1に示したパッチID−検査項目対応テーブルのデータ構成を示す説明図である。It is explanatory drawing which shows the data structure of the patch ID-inspection item corresponding table shown in FIG. 図1に示したセッションテーブルのデータ構成を示す説明図である。It is explanatory drawing which shows the data structure of the session table shown in FIG. 図1に示した検査不要項目一覧を含むセッションテーブルのデータ構成を示す説明図である。It is explanatory drawing which shows the data structure of the session table containing the test unnecessary item list | wrist shown in FIG. 図1に示したサイト共通設定データのデータ構成を示す説明図である。It is explanatory drawing which shows the data structure of the site common setting data shown in FIG. 図1に示したパッチ適用情報確認部が定期的に行うパッチ適用情報確認の動作を表すフローチャートである。3 is a flowchart showing an operation of patch application information confirmation periodically performed by a patch application information confirmation unit shown in FIG. 1. 図1に示したHTTPヘッダ変更機能がHTTP要求ヘッダに検査不要項目情報を追加してHTTP要求ヘッダとする動作を表すフローチャートである。It is a flowchart showing the operation | movement by which the HTTP header change function shown in FIG. 1 adds inspection unnecessary item information to an HTTP request header, and makes it an HTTP request header. 図1に示したセッション管理部およびパケット検査部が、クライアントコンピュータからHTTP要求ヘッダを含むHTTP要求を受信した際の動作を表すフローチャートである。3 is a flowchart illustrating an operation when the session management unit and the packet inspection unit illustrated in FIG. 1 receive an HTTP request including an HTTP request header from a client computer. 図1に示したセッション管理部およびパケット検査部が、ウェブサーバからHTTP応答を受信した際の動作を表すフローチャートである。It is a flowchart showing operation | movement at the time of the session management part shown in FIG. 1 and a packet test | inspection part receiving an HTTP response from a web server. 本発明の第2の実施形態に係る不正侵入検知・防御システムの全体の概略構成の一例を示す説明図である。It is explanatory drawing which shows an example of the schematic structure of the whole unauthorized intrusion detection and defense system which concerns on the 2nd Embodiment of this invention. 図15で示したクライアントコンピュータの構成を示す説明図である。It is explanatory drawing which shows the structure of the client computer shown in FIG. 図16に示した資産管理用適用済パッチIDリストのデータ構成を示す説明図である。It is explanatory drawing which shows the data structure of the applied patch ID list for asset management shown in FIG. 図16に示したパッチ適用情報確認部の、パッチ適用情報確認の動作を表すフローチャートである。FIG. 17 is a flowchart showing patch application information confirmation operation of the patch application information confirmation unit shown in FIG. 16. FIG. 一般的なインライン型不正侵入検知・防御システムの構成を示す説明図である。It is explanatory drawing which shows the structure of a general inline type intrusion detection and defense system.

(第1の実施形態)
以下、本発明の第1の実施形態の構成について添付図1に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係る不正侵入検知・防御システム1は、単数もしくは複数台のクライアントコンピュータ10が内部ネットワーク30を通じて接続された不正侵入検知・防御装置20を介してインターネット50上のウェブサーバ40と接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムである。このクライアントコンピュータ10は、脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報(適用済パッチIDリスト112)およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブル111を記憶する第1の記憶手段12と、適用済パッチID情報およびパッチID−検査項目対応テーブルから検査不要項目データ(検査不要項目一覧114)を作成するパッチ適用情報確認部102と、ウェブサーバ宛の接続要求に検査不要項目データを付与して送信すると共に接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部111とを有する。そして不正侵入検知・防御装置20は、クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している第2の記憶手段22と、クライアントコンピュータからの接続要求をウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係をセッションテーブルに記録し、接続要求に対応するウェブサーバからの応答パケットをセッションテーブルに記録された発信元に転送するセッション管理部201と、ウェブサーバからの応答パケットに不正な攻撃が含まれているか否かについて検査するパケット検査部202とを備える。このパケット検査部202は、クライアントコンピュータから受信した接続要求がウェブサーバに対して転送される前に該接続要求に含まれる検査不要項目データを取り除くと共に当該検査不要項目データをセッションテーブル内に書き込む検査不要項目書込機能202aと、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する検査実行判定機能202cと、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能202bとを有する。 (First embodiment)
Hereinafter, the structure of the 1st Embodiment of this invention is demonstrated based on attached FIG.
First, the basic content of the present embodiment will be described, and then more specific content will be described.
The unauthorized intrusion detection / protection system 1 according to the present embodiment can be connected to the web server 40 on the Internet 50 via the unauthorized intrusion detection / protection device 20 to which one or a plurality of client computers 10 are connected through the internal network 30. And whether the packet received from the external network contains an illegal attack that exploits the vulnerability of the software running on the client computer, and if the inspected packet contains an illegal attack, the packet Is an intrusion detection and prevention system that destroys The client computer 10 includes applied patch ID information (applied patch ID list 112) indicating a list of patch identifiers applied to improve the vulnerability, and the patch identifier and the vulnerability improved by the patch. Inspection-unnecessary item data (inspection-unnecessary item list 114) is created from the first storage unit 12 that stores the patch ID-inspection item correspondence table 111 indicating correspondence, the applied patch ID information, and the patch ID-inspection item correspondence table. A patch application information confirmation unit 102, and a web browser operation unit 111 for displaying the contents of a response packet returned in response to the connection request while adding the inspection-unnecessary item data to the connection request addressed to the web server. Have. The unauthorized intrusion detection / protection device 20 includes a second storage means 22 that stores a session table that is data about the source and destination of the connection request from the client computer, and the connection request from the client computer to the web. Transfers to the server and records the correspondence between the source and destination of the connection request in the session table, and transfers the response packet from the web server corresponding to the connection request to the source recorded in the session table. A session management unit 201 and a packet inspection unit 202 that inspects whether or not an illegal attack is included in the response packet from the web server. The packet inspection unit 202 removes the inspection-unnecessary item data included in the connection request and writes the inspection-unnecessary item data in the session table before the connection request received from the client computer is transferred to the web server. Unnecessary item writing function 202a and inspection execution for determining whether or not inspection is required for each inspection item for the response packet based on the inspection-unnecessary item data included in the connection request corresponding to the response packet in the session table A determination function 202c and an inspection that reads an inspection program corresponding to the inspection item determined to be inspected, inspects the response packet, and discards the response packet if an illegal attack is included And a program reading function 202b.

不正侵入検知・防御装置20はまた、パッチID−検査項目対応テーブル111をクライアントコンピュータ10に対して送信する対応テーブル配布部203を有し、クライアントコンピュータ10のパッチ適用情報確認部102が、予め与えられた周期で対応テーブル配布部からパッチID−検査項目対応テーブルをダウンロードして検査不要項目データ(検査不要項目一覧114)を作成する。   The unauthorized intrusion detection / protection device 20 also has a correspondence table distribution unit 203 that transmits the patch ID / inspection item correspondence table 111 to the client computer 10, and the patch application information confirmation unit 102 of the client computer 10 gives in advance The patch ID / inspection item correspondence table is downloaded from the correspondence table distribution unit at a specified cycle to create inspection unnecessary item data (inspection unnecessary item list 114).

そして、不正侵入検知・防御装置20の第2の記憶部22が全てのクライアントコンピュータに共通する設定内容であるサイト共通設定(サイト共通設定データ214)を記憶しており、不正侵入検知・防御装置20の検査実行判定機能202cがサイト共通設定および検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する。   And the 2nd memory | storage part 22 of the unauthorized intrusion detection / protection apparatus 20 has memorize | stored the site common setting (site common setting data 214) which is the setting content common to all the client computers, and an unauthorized intrusion detection / protection apparatus The 20 inspection execution determination functions 202c determine whether inspection is required for each inspection item with respect to the response packet based on the site common setting and the inspection unnecessary item data.

以上の構成を備えることにより、この装置は各々のクライアントコンピュータごとに検査項目を適切に設定することが可能となる。
以下、これをより詳細に説明する。 By providing the above configuration, this apparatus can appropriately set inspection items for each client computer.
Hereinafter, this will be described in more detail.

図2は、本発明の第1の実施形態に係る不正侵入検知・防御システム1の全体の概略構成の一例を示す説明図である。本実施形態に係る不正侵入検知・防御システム1は、複数のクライアントコンピュータ10A、10B、10C、…が、内部ネットワーク(イントラネット)30を介して不正侵入検知・防御装置20に接続され、各クライアントコンピュータ10A、10B、10C、…は不正侵入検知・防御装置20を介してインターネット50経由でウェブサーバ40に対して通信可能であるように構成される。   FIG. 2 is an explanatory diagram showing an example of the overall schematic configuration of the unauthorized intrusion detection / defense system 1 according to the first embodiment of the present invention. In the unauthorized intrusion detection / protection system 1 according to the present embodiment, a plurality of client computers 10A, 10B, 10C,... Are connected to an unauthorized intrusion detection / protection device 20 via an internal network (intranet) 30. 10A, 10B, 10C,... Are configured to be able to communicate with the web server 40 via the Internet 50 via the unauthorized intrusion detection / protection device 20.

図1は、図2に示したクライアントコンピュータ10および不正侵入検知・防御装置20の構成を示す説明図である。図2に示したクライアントコンピュータ10A、10B、10C、…は、全て同一の構成を有するので、図1では詳細な記載を省略し、これらを総称してクライアントコンピュータ10という。   FIG. 1 is an explanatory diagram showing the configuration of the client computer 10 and unauthorized intrusion detection / protection device 20 shown in FIG. The client computers 10A, 10B, 10C,... Shown in FIG. 2 all have the same configuration, so detailed description thereof is omitted in FIG.

本発明の第1の実施形態に係るクライアントコンピュータ10は一般的なコンピュータ装置であり、コンピュータプログラムを実行する主体となる主演算制御手段(CPU: Central Processing Unit)11と、データを記憶する第1の記憶手段12と、ネットワークを介して他のコンピュータとのデータ通信を行う通信手段13と、ユーザからの操作を受け付け、また処理結果を提示する入出力手段14とを備える。   The client computer 10 according to the first embodiment of the present invention is a general computer device, and is a main arithmetic control means (CPU: Central Processing Unit) 11 that is a main body that executes a computer program, and a first that stores data. Storage means 12, communication means 13 for performing data communication with other computers via a network, and input / output means 14 for accepting an operation from a user and presenting a processing result.

主演算制御手段11では、ウェブブラウザ動作部101およびパッチ適用情報確認部102が、コンピュータプログラムとして動作する。ウェブブラウザ動作部101にはHTTP(Hypertext Transfer Protocol)ヘッダ変更部101aが含まれる。これらのプログラムの動作については後ほど詳しく説明する。また第1の記憶手段12には、パッチID−検査項目対応テーブル111と適用済パッチIDリスト112とがあらかじめ記憶されており、パッチ適用情報確認部102の動作によって検査不要項目ビットテーブル113および検査不要項目一覧114が作成され、第1の記憶手段12に記憶される。これらのデータ構成についても後ほど詳しく説明する。   In the main arithmetic control means 11, the web browser operation unit 101 and the patch application information confirmation unit 102 operate as computer programs. The web browser operation unit 101 includes an HTTP (Hypertext Transfer Protocol) header changing unit 101a. The operation of these programs will be described in detail later. The first storage means 12 stores a patch ID / inspection item correspondence table 111 and an applied patch ID list 112 in advance, and the inspection unnecessary item bit table 113 and the inspection are checked by the operation of the patch application information confirmation unit 102. An unnecessary item list 114 is created and stored in the first storage unit 12. These data structures will be described in detail later.

クライアントコンピュータ10と内部ネットワーク30を介して接続される不正侵入検知・防御装置20も一般的なコンピュータ装置であり、コンピュータプログラムを実行する主体となる主演算制御手段(CPU: Central Processing Unit)21と、データを記憶する第2の記憶手段22と、ネットワークを介して他のコンピュータとのデータ通信を行う通信手段23とを備える。   The unauthorized intrusion detection / protection device 20 connected to the client computer 10 via the internal network 30 is also a general computer device, and a main arithmetic control means (CPU: Central Processing Unit) 21 serving as a main body for executing a computer program, , Second storage means 22 for storing data, and communication means 23 for performing data communication with other computers via a network.

主演算制御手段21では、セッション管理部201、パケット検査部202、および対応テーブル配布部203が、コンピュータプログラムとして動作する。これらのプログラムの動作については後ほど詳しく説明する。また第2の記憶手段22には、パッチID−検査項目対応テーブル211、セッションテーブル212、検査プログラム群213、サイト共通設定データ214、といった各データが記憶されている。これらのデータ構成についても後ほど詳しく説明する。   In the main arithmetic control means 21, the session management unit 201, the packet inspection unit 202, and the correspondence table distribution unit 203 operate as computer programs. The operation of these programs will be described in detail later. The second storage unit 22 stores data such as a patch ID / inspection item correspondence table 211, a session table 212, an inspection program group 213, and site common setting data 214. These data structures will be described in detail later.

ちなみにウェブサーバ40も一般的なコンピュータ装置であり、ウェブサービスを提供するウェブサーバプログラム41が動作する。このウェブサーバ40およびウェブサーバプログラム41については、本発明の範囲ではないので特に詳しく説明しない。   Incidentally, the web server 40 is also a general computer device, and a web server program 41 that provides a web service operates. The web server 40 and the web server program 41 are not specifically described because they are not within the scope of the present invention.

(各部の動作の概要)
クライアントコンピュータ10で、適用済パッチIDリスト112は、クライアントコンピュータ10で既に適用されているパッチの、パッチIDの一覧を示す。検査不要項目一覧114は、この適用済パッチIDリスト112に基づいて作成される、クライアントコンピュータ10で既に脆弱性の対処がされているので検査が不要である項目の一覧を示す。 (Overview of each part's operation)
In the client computer 10, the applied patch ID list 112 shows a list of patch IDs of patches already applied in the client computer 10. The inspection unnecessary item list 114 shows a list of items that are created based on the applied patch ID list 112 and that need not be inspected because the client computer 10 has already dealt with the vulnerability.

パッチ適用情報確認部102は、定期的に適用済パッチIDリスト112を作成し、さらに適用済パッチIDリスト112とパッチID−検査項目対応テーブル111とから検査不要項目一覧114を作成する。   The patch application information confirmation unit 102 periodically creates an applied patch ID list 112 and further creates an inspection unnecessary item list 114 from the applied patch ID list 112 and the patch ID / inspection item correspondence table 111.

そして、クライアントコンピュータ10でユーザがウェブブラウザ動作部101を動作させてウェブ閲覧要求をした場合、ウェブブラウザ動作部101はHTTP要求ヘッダ121を生成し、ウェブブラウザ動作部101に含まれるHTTPヘッダ変更機能101aがこのHTTP要求ヘッダ121に検査不要項目一覧の情報を付加する。その上で、この情報が付加されたHTTP要求ヘッダ121aを、ウェブブラウザ動作部101がウェブサーバ40に送信する。   When the user operates the web browser operation unit 101 on the client computer 10 to make a web browsing request, the web browser operation unit 101 generates an HTTP request header 121 and an HTTP header change function included in the web browser operation unit 101 101 a adds information on a list of unnecessary items to the HTTP request header 121. Then, the web browser operation unit 101 transmits the HTTP request header 121a to which this information is added to the web server 40.

不正侵入検知・防御装置20では、クライアントコンピュータ10からウェブサーバ40宛に流れるHTTP要求120を受信すると、まずセッション管理部201が、このHTTP要求120の送信元および宛先のIPアドレス、送信元および宛先のポート番号の情報をセッション情報としてセッションテーブル212に登録する。   In the unauthorized intrusion detection / protection device 20, when the HTTP request 120 flowing to the web server 40 is received from the client computer 10, first, the session management unit 201 first transmits the IP address, the transmission source, and the destination of the HTTP request 120. Is registered in the session table 212 as session information.

その後、情報が付加されたHTTP要求ヘッダ121aをパケット検査部202が受け取り、パケット検査部202に含まれる検査不要項目書込機能202aが、該HTTP要求ヘッダに含まれる検査不要項目一覧を抽出し、セッションテーブル212の該当のエントリに、抽出した検査不要項目212eを追加して、該HTTP要求ヘッダから検査不要項目一覧を削除する。その後、パケット検査部202からウェブサーバ40に対してHTTP要求120を送信する。   Thereafter, the packet inspection unit 202 receives the HTTP request header 121a to which the information is added, and the inspection unnecessary item writing function 202a included in the packet inspection unit 202 extracts the inspection unnecessary item list included in the HTTP request header, The extracted inspection unnecessary item 212e is added to the corresponding entry of the session table 212, and the inspection unnecessary item list is deleted from the HTTP request header. Thereafter, an HTTP request 120 is transmitted from the packet inspection unit 202 to the web server 40.

送信したHTTP要求120に対して、ウェブサーバ40ではウェブサーバプログラム41が応答を返す。この応答であるHTTPパケットは不正侵入検知・防御装置20のセッション管理部201が受信し、そこからパケット検査部202に送られ、さらにパケット検査部202内の検査実行判定機能202cに渡される。   In response to the transmitted HTTP request 120, the web server 40 returns a response in the web server 40. The HTTP packet as the response is received by the session management unit 201 of the unauthorized intrusion detection / protection device 20, sent from there to the packet inspection unit 202, and further passed to the inspection execution determination function 202 c in the packet inspection unit 202.

検査実行判定機能202cでは、まずサイト全体のポリシーが格納されたサイト共通設定データ214を読込み、この設定内容に従って検査項目の選択を行う。次に、検査実行判定機能202cではセッションテーブル212内の該当するセッション情報から検査不要項目212eの情報を読み出し、検査不要項目212eの情報を基に、検査項目の1番から順番に検査の実行が必要であるか否かを確認する。   In the inspection execution determination function 202c, first, the site common setting data 214 in which the policy of the entire site is stored is read, and the inspection item is selected according to the setting contents. Next, the inspection execution determination function 202c reads the information of the inspection unnecessary item 212e from the corresponding session information in the session table 212, and the inspection is executed sequentially from the first inspection item based on the information of the inspection unnecessary item 212e. Check if it is necessary.

検査が不要な項目の場合は検査をスキップし、検査が必要な場合は検査プログラム読込機能202bを通して検査プログラム群213の中から必要な検査項目プログラムを読み出して実行して、このHTTPパケットの中に脆弱性を突いた攻撃がないかを検査する。   In the case of an item that does not require inspection, the inspection is skipped, and in the case where inspection is necessary, a necessary inspection item program is read out from the inspection program group 213 through the inspection program reading function 202b and executed. Check for attacks that exploit vulnerabilities.

パケット検査部202で全ての必要な検査が完了したHTTPパケットはセッション管理部201に戻され、クライアントコンピュータ10に送信される。その際、このパケットが最後の通信の場合には、検査不要項目書込機能202aがセッションテーブル212から該当するセッション情報を削除する。クライアントコンピュータ10では、受信したHTTP応答の内容をウェブブラウザ動作部101が入出力手段14を介して表示する。   The HTTP packet for which all necessary inspections have been completed by the packet inspection unit 202 is returned to the session management unit 201 and transmitted to the client computer 10. At this time, if this packet is the last communication, the inspection unnecessary item writing function 202a deletes the corresponding session information from the session table 212. In the client computer 10, the web browser operation unit 101 displays the content of the received HTTP response via the input / output unit 14.

(構成の詳細)
図1〜2で既に示したように、クライアントコンピュータ10の主演算制御手段11では、ウェブブラウザ動作部101およびパッチ適用情報確認部102が、コンピュータプログラムとして動作する。ウェブブラウザ動作部101にはHTTPヘッダ変更機能101aが含まれる。 (Configuration details)
As already shown in FIGS. 1 and 2, in the main calculation control means 11 of the client computer 10, the web browser operation unit 101 and the patch application information confirmation unit 102 operate as computer programs. The web browser operation unit 101 includes an HTTP header changing function 101a.

また第1の記憶手段12には、パッチID−検査項目対応テーブル111と適用済パッチIDリスト112とがあらかじめ記憶されており、パッチ適用情報確認部102の動作によって検査不要項目一覧114が作成され、第1の記憶手段12に記憶される。   The first storage unit 12 stores a patch ID / inspection item correspondence table 111 and an applied patch ID list 112 in advance, and an inspection unnecessary item list 114 is created by the operation of the patch application information confirmation unit 102. And stored in the first storage means 12.

図3は、図1に示したパッチID−検査項目対応テーブル111のデータ構成を示す説明図である。パッチID−検査項目対応テーブル111は、脆弱性に対処するためのパッチID111aと、その脆弱性を突いた攻撃を検出するための検査項目番号111bとの対応を表したテーブルであり、不正侵入検知・防御装置20の対応テーブル配布部203から配布される。   FIG. 3 is an explanatory diagram showing a data configuration of the patch ID-inspection item correspondence table 111 shown in FIG. The patch ID-inspection item correspondence table 111 is a table showing correspondence between a patch ID 111a for dealing with a vulnerability and an inspection item number 111b for detecting an attack that exploits the vulnerability. Distribution from the correspondence table distribution unit 203 of the defense device 20.

図3に示した例では、パッチID111a=「AAAAAA」のパッチは検査項目番号111b=1〜3の脆弱性に対応しているなどのように、パッチID111aと検査項目番号111bの対応が示されている。また、検査項目番号111bが70以上の検査項目に対応するパッチID111aは登録されていないことも示されている。これは検査項目番号111bが70以上の項目については、まだ対応が済んでいないので、検査不要とすることはできないということを意味する。   In the example shown in FIG. 3, the correspondence between the patch ID 111a and the inspection item number 111b is shown such that the patch with the patch ID 111a = “AAAAAAA” corresponds to the vulnerability with the inspection item number 111b = 1-3. ing. Further, it is also shown that the patch ID 111a corresponding to the inspection item whose inspection item number 111b is 70 or more is not registered. This means that an item having an inspection item number 111b of 70 or more has not yet been dealt with, and thus cannot be made unnecessary.

ここで、このパッチID111aおよびそれに対応する検査項目番号111bは、不正侵入検知・防御システム1内で統一されてさえいればよいので、たとえばハードウェアやソフトウェアのメーカーがパッチを作成する際に与えてもよいし、また不正侵入検知・防御システム1の管理者が与えて不正侵入検知・防御装置20のパッチID−検査項目対応テーブル211(詳細は後述)に登録するようにしてもよい。   Here, the patch ID 111a and the inspection item number 111b corresponding to the patch ID 111a need only be unified in the unauthorized intrusion detection / protection system 1, and are given, for example, when a manufacturer of hardware or software creates a patch. Alternatively, the administrator of the unauthorized intrusion detection / protection system 1 may be given and registered in the patch ID / inspection item correspondence table 211 (details will be described later) of the unauthorized intrusion detection / protection device 20.

図4は、図1に示した検査不要項目一覧114のデータ構成を示す説明図である。検査不要項目一覧114は、クライアントコンピュータ10のパッチ適用状況から、既に脆弱性に対処済で検査が不要であると判断できる検査項目番号の一覧である。パッチ適用情報確認部102は定期的に、適用済パッチIDリスト112を参照してクライアントコンピュータ10に既に適用されているパッチを検査し、パッチID−検査項目対応テーブル111の情報から検査が不要と判断された検査項目番号の一覧情報を検査不要項目一覧114として出力する。その動作については後述する。   FIG. 4 is an explanatory diagram showing a data structure of the inspection unnecessary item list 114 shown in FIG. The inspection unnecessary item list 114 is a list of inspection item numbers that can be determined from the patch application status of the client computer 10 that the vulnerability has already been addressed and the inspection is unnecessary. The patch application information confirmation unit 102 periodically inspects patches already applied to the client computer 10 with reference to the applied patch ID list 112, and does not need to be inspected based on the information in the patch ID / inspection item correspondence table 111. The list information of the determined inspection item numbers is output as the inspection unnecessary item list 114. The operation will be described later.

図5は、図1に示した適用済パッチIDリスト112および検査不要項目ビットテーブル113のデータ構成を示す説明図である。適用済パッチIDリスト112は、クライアントコンピュータ10に既に適用されているパッチIDのリストを一時的に格納するデータであり、図3のパッチID−検査項目対応テーブル111にあった適用済パッチIDが列挙されるという形式で、各々のクライアントコンピュータ10ごとに作成される。   FIG. 5 is an explanatory diagram showing a data structure of the applied patch ID list 112 and the inspection unnecessary item bit table 113 shown in FIG. The applied patch ID list 112 is data for temporarily storing a list of patch IDs already applied to the client computer 10, and the applied patch IDs in the patch ID / inspection item correspondence table 111 in FIG. It is created for each client computer 10 in the form of being enumerated.

検査不要項目ビットテーブル113は、パッチ適用情報確認部102が検査不要項目一覧114を作成するために用いる一時的なデータであるので、必ずしも図5に示した例の通りである必要はないし、またこれを作成せずに直接検査不要項目一覧114を作成してもよい。図5に示した例で、検査不要項目ビットテーブル113はビット位置がそのまま検査項目番号に対応しており、図3のパッチID−検査項目対応テーブル111にもあった検査項目番号1番から順番に、検査が不要であれば「1」、検査が必要であれば「0」という2進数で、各々の検査項目について検査が必要か不要かを示している。   Since the inspection unnecessary item bit table 113 is temporary data used by the patch application information confirmation unit 102 to create the inspection unnecessary item list 114, the inspection unnecessary item bit table 113 does not necessarily have to be the example shown in FIG. The inspection unnecessary item list 114 may be created directly without creating this. In the example shown in FIG. 5, the bit position of the inspection unnecessary item bit table 113 corresponds to the inspection item number as it is, and the inspection item number No. 1 that also exists in the patch ID-inspection item correspondence table 111 of FIG. In addition, a binary number of “1” if inspection is not necessary and “0” if inspection is necessary indicates whether inspection is necessary or unnecessary for each inspection item.

ウェブブラウザ動作部101は、利用者がウェブサーバ40の情報を閲覧するための操作を行った場合に、HTTPの要求をウェブサーバ40宛に送信し、またHTTPの応答があった場合はその内容を入出力手段14を介して表示する。HTTPヘッダ変更機能101aは、ウェブブラウザ動作部101がHTTP要求を生成した場合に、HTTP要求ヘッダ121の中に検査不要項目一覧114の情報を追加する。   The web browser operation unit 101 transmits an HTTP request to the web server 40 when the user performs an operation for browsing the information of the web server 40, and if there is an HTTP response, the content thereof Is displayed via the input / output means 14. The HTTP header changing function 101 a adds information on the inspection unnecessary item list 114 to the HTTP request header 121 when the web browser operation unit 101 generates an HTTP request.

図6は、図1に示したHTTPヘッダ変更機能101aが検査不要項目情報122を追加したHTTP要求ヘッダ121aを含むHTTP要求120について示す説明図である。図6では、検査不要項目情報122を、HTTP要求ヘッダ121aの中では「X−Client−Patch−Info:」という行で、検査不要項目一覧114で列挙された検査不要項目の番号を並べるという形で表現されているが、これ以外の形式であってもよい。   FIG. 6 is an explanatory diagram showing an HTTP request 120 including an HTTP request header 121a to which the HTTP header change function 101a shown in FIG. In FIG. 6, the inspection unnecessary item information 122 is arranged in the HTTP request header 121a on the line “X-Client-Patch-Info:” with the numbers of the inspection unnecessary items listed in the inspection unnecessary item list 114. However, other formats may be used.

図1で既に示したように、不正侵入検知・防御装置20の主演算制御手段21では、セッション管理部201、パケット検査部202、および対応テーブル配布部203が、コンピュータプログラムとして動作する。パケット検査部202には、検査不要項目書込機能202a、検査プログラム読込機能202b、および検査実行判定機能202cが含まれる。   As already shown in FIG. 1, in the main calculation control means 21 of the unauthorized intrusion detection / protection device 20, the session management unit 201, the packet inspection unit 202, and the correspondence table distribution unit 203 operate as computer programs. The packet inspection unit 202 includes an inspection unnecessary item writing function 202a, an inspection program reading function 202b, and an inspection execution determination function 202c.

また不正侵入検知・防御装置20の第2の記憶手段22には、パッチID−検査項目対応テーブル211、セッションテーブル212、検査プログラム群213、およびサイト共通設定データ214、といった各データが記憶されている。セッションテーブル212には、検査不要項目212eが含まれる。   The second storage means 22 of the unauthorized intrusion detection / protection apparatus 20 stores data such as a patch ID / inspection item correspondence table 211, a session table 212, an inspection program group 213, and site common setting data 214. Yes. The session table 212 includes an inspection unnecessary item 212e.

図7は、図1に示したパッチID−検査項目対応テーブル211のデータ構成を示す説明図である。パッチID−検査項目対応テーブル211は、脆弱性に対処するためのパッチIDと、その脆弱性を突いた攻撃を検出するための検査項目の番号との対応を表したテーブルであり、対応テーブル配布部203がこれを各々のクライアントコンピュータ10のパッチ適用情報確認部102に送信して配布する。従って、パッチID−検査項目対応テーブル211のデータ構成は、図3に示したパッチID−検査項目対応テーブル111のそれと同一である。   FIG. 7 is an explanatory diagram showing a data configuration of the patch ID-inspection item correspondence table 211 shown in FIG. The patch ID-inspection item correspondence table 211 is a table showing correspondence between patch IDs for dealing with vulnerabilities and inspection item numbers for detecting attacks that exploit the vulnerabilities, and correspondence table distribution The unit 203 transmits this to the patch application information confirmation unit 102 of each client computer 10 for distribution. Therefore, the data configuration of the patch ID / inspection item correspondence table 211 is the same as that of the patch ID / inspection item correspondence table 111 shown in FIG.

不正侵入検知・防御装置20のパッチID−検査項目対応テーブル211が、各クライアントコンピュータ10のパッチID−検査項目対応テーブル111としてそのまま与えられる構成とすることにより、不正侵入検知・防御システム1全体でパッチID111aと検査項目番号111bとの間の統一を取ることが可能となる。新たなパッチが作られ、それによって改善される(そのパッチを適用すれば検査不要となる)検査項目が明確になった場合、そのパッチID111aと検査項目番号111bの対応関係を、不正侵入検知・防御システム1全体の管理者がパッチID−検査項目対応テーブル211に登録する。こうすれば、各クライアントコンピュータ10にその登録された対応関係が反映される。   By configuring the patch ID / inspection item correspondence table 211 of the unauthorized intrusion detection / protection device 20 as it is as the patch ID / inspection item correspondence table 111 of each client computer 10, the entire unauthorized intrusion detection / protection system 1 is configured. It is possible to unify between the patch ID 111a and the inspection item number 111b. When a new patch is created and an inspection item to be improved (the inspection becomes unnecessary if the patch is applied) becomes clear, the correspondence between the patch ID 111a and the inspection item number 111b is determined as an unauthorized intrusion detection / The administrator of the entire defense system 1 registers in the patch ID-inspection item correspondence table 211. In this way, the registered correspondence relationship is reflected in each client computer 10.

図8は、図1に示したセッションテーブル212のデータ構成を示す説明図である。セッションテーブル212は、その時点でセッションが維持されている全ての通信についてのセッション情報(送信元および宛先のIPアドレス、送信元および宛先のポート番号)を格納しておくためのテーブルである。セッションテーブル212は、送信元IPアドレス212a、宛先IPアドレス212b、送信元ポート番号212c、宛先ポート番号212dに加えて、検査不要項目情報122に含まれていた内容を記録する検査不要項目212eといった各データを保持する。   FIG. 8 is an explanatory diagram showing the data structure of the session table 212 shown in FIG. The session table 212 is a table for storing session information (transmission source and destination IP addresses, transmission source and destination port numbers) for all communications in which the session is maintained at that time. The session table 212 includes a source IP address 212a, a destination IP address 212b, a source port number 212c, a destination port number 212d, and an inspection unnecessary item 212e that records the contents included in the inspection unnecessary item information 122. Retain data.

セッション管理部201は、不正侵入検知・防御装置20を通過する通信を受信し、そのセッション情報をセッションテーブル212に書き込んだ後、該パケットをパケット検査部202に送る。また、パケット検査部202で検査が完了したパケットをセッション管理部201が受け取り、各クライアントコンピュータ10に転送する。   The session management unit 201 receives communication passing through the unauthorized intrusion detection / protection device 20, writes the session information in the session table 212, and then sends the packet to the packet inspection unit 202. In addition, the session management unit 201 receives a packet that has been inspected by the packet inspection unit 202 and transfers the packet to each client computer 10.

セッション管理部201のこの動作は、いわゆるプロキシサーバの動作として一般的なものである。従って、プロキシサーバとして動作するコンピュータ装置を、本実施形態に係る不正侵入検知・防御装置20として動作しうる構成とすれば、本実施形態を実現可能である。   This operation of the session management unit 201 is general as a so-called proxy server operation. Therefore, if the computer device that operates as the proxy server is configured to operate as the unauthorized intrusion detection / protection device 20 according to the present embodiment, the present embodiment can be realized.

検査プログラム群213は、不正侵入検知・防御装置20を通過するパケットの中に、脆弱性を突いた攻撃や不正アクセスを行うためのパケットが含まれていないかを検査するためのプログラム群である。検査プログラム読込機能202bは、検査実行判定機能202cから要求された検査項目番号に対応する検査プログラムを検査プログラム群213の中から読み込んで動作させ、その検査項目についての該パケットの検査を実行する。   The inspection program group 213 is a program group for inspecting whether a packet passing through the unauthorized intrusion detection / protection device 20 includes a packet for performing an attack exploiting vulnerability or unauthorized access. . The inspection program reading function 202b reads and operates the inspection program corresponding to the inspection item number requested by the inspection execution determination function 202c from the inspection program group 213, and executes inspection of the packet for the inspection item.

図9は、図1に示した検査不要項目212eを含むセッションテーブル212のデータ構成を示す説明図である。検査不要項目書込機能202aは、HTTP要求ヘッダ121aの中に検査不要項目一覧の情報が含まれていた場合に、その情報をセッションテーブル212中の該当するエントリに検査不要項目212eとして格納し、HTTP要求ヘッダ121aから検査不要項目一覧の情報を削除して通常のHTTP要求ヘッダ121とした後に、セッション管理部201を通してウェブサーバ40にHTTP要求を送信する。   FIG. 9 is an explanatory diagram showing a data structure of the session table 212 including the inspection unnecessary item 212e shown in FIG. When the HTTP request header 121a includes information on the inspection unnecessary item list, the inspection unnecessary item writing function 202a stores the information as an inspection unnecessary item 212e in the corresponding entry in the session table 212. After deleting the information of the inspection unnecessary item list from the HTTP request header 121 a to obtain a normal HTTP request header 121, the HTTP request is transmitted to the web server 40 through the session management unit 201.

検査実行判定機能202cは、ウェブサーバ40からHTTP応答を受信した場合に、まずサイト全体のポリシーが格納されたサイト共通設定データ214を読込み、この設定内容に従って検査項目の選択を行う。次に、セッションテーブル212の中から該当するエントリを検索し、そのエントリ内の検査不要項目212eの情報を読込み、検査不要項目212eの情報を基に、検査項目番号1番から順番に検査が必要であるかを判断し、検査が必要なければ検査処理をスキップする。検査が必要な場合には、検査実行判定機能202cは検査プログラム読込機能202bを通して、検査プログラム群213から該当する検査プログラムを読込んでパケットの検査を実行する。   When the inspection execution determination function 202c receives an HTTP response from the web server 40, the inspection execution determination function 202c first reads the site common setting data 214 in which the policy of the entire site is stored, and selects an inspection item according to the setting contents. Next, the corresponding entry is searched from the session table 212, the information of the inspection unnecessary item 212e in the entry is read, and the inspection is required in order from the inspection item number 1 based on the information of the inspection unnecessary item 212e. If the inspection is not necessary, the inspection process is skipped. When inspection is necessary, the inspection execution determination function 202c reads the corresponding inspection program from the inspection program group 213 through the inspection program reading function 202b and executes packet inspection.

図10は、図1に示したサイト共通設定データ214のデータ構成を示す説明図である。前述の通り、サイト共通設定データ214は不正侵入検知・防御システム1全体のセキュリティポリシーを、該システム全体の管理者が記録したものである。セキュリティポリシーは組織で利用されるコンピュータネットワークでは既に一般的なものであり、その項目は多岐にわたっているが、本実施形態に関連するのは全てのクライアントコンピュータ10で共通する検査不要項目に関する設定のみである。たとえば、全てのクライアントコンピュータ10が必ず設定すべきパッチがある場合、そのパッチによって検査不要となる検査項目番号がここに設定される。   FIG. 10 is an explanatory diagram showing the data structure of the site common setting data 214 shown in FIG. As described above, the site common setting data 214 is a record of the security policy of the entire unauthorized intrusion detection / protection system 1 recorded by the administrator of the entire system. Security policies are already common in computer networks used by organizations, and there are a wide variety of items. However, only the settings related to items that do not require inspection common to all client computers 10 are relevant to this embodiment. is there. For example, when there is a patch that must be set by all client computers 10, an inspection item number that does not require inspection is set here.

従って、そのデータ形式は、図4に示した検査不要項目一覧114と同じように、全てのクライアントコンピュータ10で共通する検査不要項目番号を列挙するという形式である。検査実行判定機能202cは、このサイト共通設定データ214の検査不要項目番号と、セッションテーブル212の検査不要項目212eとを合わせて、各クライアントコンピュータ10について検査項目を判断する。   Therefore, the data format is a format in which the inspection unnecessary item numbers common to all the client computers 10 are enumerated like the inspection unnecessary item list 114 shown in FIG. The inspection execution determination function 202 c determines the inspection item for each client computer 10 by combining the inspection unnecessary item number of the site common setting data 214 and the inspection unnecessary item 212 e of the session table 212.

そしてセッション管理部201は検査が終了したパケットを受け取り、セッションテーブル212でそのパケットに該当するエントリの送信元IPアドレス212aおよび送信元ポート番号212cに該当するクライアントコンピュータ10に転送する。   The session management unit 201 receives the packet that has been inspected, and transfers it to the client computer 10 corresponding to the transmission source IP address 212a and transmission source port number 212c of the entry corresponding to the packet in the session table 212.

ウェブサーバ40で動作するウェブサーバプログラム41は、apacheなどのような一般的なウェブサーバ用のプログラムであり、HTTP要求を受信し、その要求の内容に応じてHTTPの応答を送信するものである。不正侵入検知・防御装置20からウェブサーバ40に送信されるHTTP要求で、HTTP要求ヘッダ121は検査不要項目一覧114の情報を削除されているので、HTTPの基本的仕様の通りのものである。従って、ウェブサーバプログラム41は、本実施形態に対応した特別なものである必要はなく、通常のものでよい。   A web server program 41 that operates on the web server 40 is a program for a general web server such as apache, and receives an HTTP request and transmits an HTTP response according to the content of the request. . In the HTTP request transmitted from the unauthorized intrusion detection / protection device 20 to the web server 40, the HTTP request header 121 has the information of the inspection unnecessary item list 114 deleted, and thus is in accordance with the basic specifications of HTTP. Therefore, the web server program 41 does not need to be a special one corresponding to the present embodiment, and may be a normal one.

(フローチャート)
図11は、図1に示したパッチ適用情報確認部102が定期的に行うパッチ適用情報確認の動作を表すフローチャートである。パッチ適用情報確認部102は、この動作を定期的に、たとえば1日に1回あらかじめ設定された時刻に行う。 (flowchart)
FIG. 11 is a flowchart showing an operation of patch application information confirmation periodically performed by the patch application information confirmation unit 102 shown in FIG. The patch application information confirmation unit 102 performs this operation periodically, for example, once a day at a preset time.

設定時刻が来たことを確認したパッチ適用情報確認部102は(ステップS301)、不正侵入検知・防御装置20の対応テーブル配布部203から、パッチID−検査項目対応テーブル211をダウンロードし、図3に示したパッチID−検査項目対応テーブル111として保存する(ステップS302)。そしてパッチ適用情報確認部102は、クライアントコンピュータ10に適用済のパッチを検査してパッチID−検査項目対応テーブル111と比較し、図5に示した適用済パッチIDリスト112を作成する(ステップS303)。   Upon confirming that the set time has come (step S301), the patch application information confirmation unit 102 downloads the patch ID / inspection item correspondence table 211 from the correspondence table distribution unit 203 of the unauthorized intrusion detection / protection device 20, and FIG. Are stored as the patch ID-inspection item correspondence table 111 shown in FIG. Then, the patch application information confirmation unit 102 inspects the patch applied to the client computer 10 and compares it with the patch ID / inspection item correspondence table 111 to create the applied patch ID list 112 shown in FIG. 5 (step S303). ).

そしてパッチ適用情報確認部102は、作成した適用済パッチIDリスト112から、図5に示した検査不要項目ビットテーブル113の初期データをまず作成する(ステップS304)。この段階で作成された初期データでは、全てのデータが「検査不要」を示す「1」となっている。パッチ適用情報確認部102は、パッチID−検査項目対応テーブル111の先頭から順番にそのデータを読み込み(ステップS305)、読み込んだエントリのパッチIDが適用済パッチIDリスト112に存在するか否かを確認する(ステップS306)。   Then, the patch application information confirmation unit 102 first creates initial data of the inspection unnecessary item bit table 113 shown in FIG. 5 from the created applied patch ID list 112 (step S304). In the initial data created at this stage, all data are “1” indicating “inspection unnecessary”. The patch application information confirmation unit 102 reads the data sequentially from the top of the patch ID / inspection item correspondence table 111 (step S305), and checks whether the patch ID of the read entry exists in the applied patch ID list 112. Confirmation (step S306).

存在すれば(ステップS306:YES)、そのパッチはクライアントコンピュータ10に既に適用されているので、これに対応する検査項目について検査する必要はないことになる。従って、検査不要項目ビットテーブル113でこれに対応するビットは「1」のままで、次のエントリについてステップS305から処理を繰り返す。   If it exists (step S306: YES), since the patch has already been applied to the client computer 10, there is no need to inspect the corresponding inspection item. Therefore, the bit corresponding to this in the inspection unnecessary item bit table 113 remains “1”, and the processing is repeated from step S305 for the next entry.

存在しなければ(ステップS306:NO)、そのパッチはクライアントコンピュータ10に適用されていないので、これに対応する検査項目について検査する必要はある。従って、検査不要項目ビットテーブル113でこれに対応するビットを「検査必要」を示す「0」に変更して(ステップS307)、次のエントリについてステップS305から処理を繰り返す(ステップS309)。   If it does not exist (step S306: NO), the patch has not been applied to the client computer 10, so it is necessary to inspect the corresponding inspection item. Therefore, the bit corresponding to this in the inspection unnecessary item bit table 113 is changed to “0” indicating “inspection is necessary” (step S307), and the processing is repeated from step S305 for the next entry (step S309).

以上の処理を、パッチID−検査項目対応テーブル111の最後のエントリまでくり返し(ステップS308)、全てのエントリの処理が終わったら、検査不要項目ビットテーブル113としてここまでに出力された情報を図4に示した検査不要項目一覧114として出力して(ステップS310)処理を終了する。   The above processing is repeated until the last entry of the patch ID / inspection item correspondence table 111 (step S308). When all entries have been processed, the information output so far as the inspection unnecessary item bit table 113 is shown in FIG. Is output as the inspection-unnecessary item list 114 shown in FIG.

図12は、図1に示したHTTPヘッダ変更機能101aがHTTP要求ヘッダ121に検査不要項目情報122を追加してHTTP要求ヘッダ121aとする動作を表すフローチャートである。ユーザが入出力手段14を操作してウェブブラウザ動作部101にウェブブラウザを起動させる(ステップS401)と、ウェブブラウザ動作部101はHTTP要求ヘッダ121を含むHTTP要求120をウェブサーバ40に向けて送出する(ステップS402)。   FIG. 12 is a flowchart showing the operation of the HTTP header changing function 101a shown in FIG. 1 adding the inspection unnecessary item information 122 to the HTTP request header 121 to obtain the HTTP request header 121a. When the user operates the input / output unit 14 to cause the web browser operation unit 101 to activate the web browser (step S401), the web browser operation unit 101 sends the HTTP request 120 including the HTTP request header 121 to the web server 40. (Step S402).

そのHTTP要求120はHTTPヘッダ変更機能101aに渡され、これに反応したHTTPヘッダ変更機能101aは、あらかじめ出力された検査不要項目一覧114を読込み、図6に示したようにHTTP要求ヘッダ121に検査不要項目情報122を付加してHTTP要求ヘッダ121aとしてウェブブラウザ動作部101に渡し(ステップS403)、ウェブブラウザ動作部101はこのHTTP要求ヘッダ121aを含むHTTP要求120をウェブサーバ40に向けて送出する(ステップS405)。   The HTTP request 120 is transferred to the HTTP header changing function 101a, and the HTTP header changing function 101a responding to the HTTP request 120 reads the inspection unnecessary item list 114 output in advance, and inspects the HTTP request header 121 as shown in FIG. The unnecessary item information 122 is added and passed to the web browser operation unit 101 as an HTTP request header 121a (step S403), and the web browser operation unit 101 sends the HTTP request 120 including the HTTP request header 121a to the web server 40. (Step S405).

図13は、図1に示したセッション管理部201およびパケット検査部202が、クライアントコンピュータ10からHTTP要求ヘッダ121aを含むHTTP要求120を受信した際の動作を表すフローチャートである。図13は、HTTP要求ヘッダ121aに含まれる検査不要項目情報122の内容をセッションテーブル212に保存し、検査不要項目情報122を取り除いた元のHTTP要求ヘッダ121としてウェブサーバ40に向けて送出するまでの動作を表す。   FIG. 13 is a flowchart illustrating an operation when the session management unit 201 and the packet inspection unit 202 illustrated in FIG. 1 receive the HTTP request 120 including the HTTP request header 121a from the client computer 10. FIG. 13 shows the contents of the inspection unnecessary item information 122 included in the HTTP request header 121a in the session table 212 until the original HTTP request header 121 with the inspection unnecessary item information 122 removed is sent to the web server 40. Represents the operation.

不正侵入検知・防御装置20では、まずセッション管理部201がこのHTTP要求120を受信して(ステップS501)、ここに含まれるセッション情報(送信元IPアドレス212a、宛先IPアドレス212b、送信元ポート番号212c、宛先ポート番号212d)をセッションテーブル212に記録して(ステップS502)、該HTTP要求120をパケット検査部202内の検査不要項目書込機能202aに渡す。   In the unauthorized intrusion detection / protection device 20, first, the session management unit 201 receives this HTTP request 120 (step S501), and includes session information (source IP address 212a, destination IP address 212b, source port number) included therein. 212c and destination port number 212d) are recorded in the session table 212 (step S502), and the HTTP request 120 is passed to the inspection unnecessary item writing function 202a in the packet inspection unit 202.

該HTTP要求を受けた検査不要項目書込機能202aは、このHTTP要求のHTTP要求ヘッダ121aに含まれる検査不要項目情報122の内容をセッションテーブル212の検査不要項目212eに保存して(ステップS503)、HTTP要求ヘッダ121aから検査不要項目情報122を削除して元のHTTP要求ヘッダ121に戻して、該HTTP要求をセッション管理部201に返却する(ステップS504)。セッション管理部201は、検査不要項目書込機能202aから返却されたHTTP要求120を、ウェブサーバ40に送出する(ステップS505)。   Upon receiving the HTTP request, the inspection unnecessary item writing function 202a stores the content of the inspection unnecessary item information 122 included in the HTTP request header 121a of the HTTP request in the inspection unnecessary item 212e of the session table 212 (step S503). Then, the inspection unnecessary item information 122 is deleted from the HTTP request header 121a and returned to the original HTTP request header 121, and the HTTP request is returned to the session management unit 201 (step S504). The session management unit 201 sends the HTTP request 120 returned from the inspection unnecessary item writing function 202a to the web server 40 (step S505).

図14は、図1に示したセッション管理部201およびパケット検査部202が、ウェブサーバ40からHTTP応答を受信した際の動作を表すフローチャートである。図13は、ウェブサーバ40からHTTP応答を受信してこれを検査し、そのHTTP応答の元となったHTTP要求120を送信したクライアントコンピュータ10に該HTTP応答を返すまでの動作を表す。   FIG. 14 is a flowchart illustrating an operation when the session management unit 201 and the packet inspection unit 202 illustrated in FIG. 1 receive an HTTP response from the web server 40. FIG. 13 shows an operation from receiving an HTTP response from the web server 40 to checking the HTTP response, and returning the HTTP response to the client computer 10 that has transmitted the HTTP request 120 that is the basis of the HTTP response.

不正侵入検知・防御装置20では、まずセッション管理部201がこのHTTP応答を受信して(ステップS601)、該HTTP応答をパケット検査部202内の検査実行判定機能202cに渡す(ステップS602)。   In the unauthorized intrusion detection / protection device 20, first, the session management unit 201 receives this HTTP response (step S601), and passes the HTTP response to the inspection execution determination function 202c in the packet inspection unit 202 (step S602).

該HTTP応答を受けた検査実行判定機能202cは、まずサイト共通設定データ214を読込み、この設定内容に従って検査項目の選択を行う(ステップS603)。次いで検査実行判定機能202cは、該HTTP応答に該当するエントリをセッションテーブル212の中から検索し、そのエントリの検査不要項目212eを読込み(ステップS604)、ここまでで読み込んだ情報から、各検査項目番号について検査が必要であるか否かについて判断する(ステップS605)。   Upon receiving the HTTP response, the inspection execution determination function 202c first reads the site common setting data 214, and selects an inspection item according to the setting contents (step S603). Next, the inspection execution determination function 202c searches the session table 212 for an entry corresponding to the HTTP response, reads the inspection-unnecessary item 212e of the entry (step S604), and reads each inspection item from the information read so far. It is determined whether or not the number needs to be inspected (step S605).

検査が必要である場合(ステップS605:YES)、検査実行判定機能202cは検査プログラム読込機能202bを通して、検査プログラム群213からその検査項目番号に該当する検査プログラムを読み込み、その項目について該HTTP応答を検査し(ステップS606)、次の項目についてステップS605から処理を繰り返す。検査の結果、脆弱性を突いた攻撃の内容を含んでいた場合はそのパケットを破棄して処理を終了する(ステップS607〜608)。   When the inspection is necessary (step S605: YES), the inspection execution determination function 202c reads the inspection program corresponding to the inspection item number from the inspection program group 213 through the inspection program reading function 202b, and returns the HTTP response for the item. Inspect (step S606) and repeat the process from step S605 for the next item. As a result of the inspection, if the contents of the attack exploiting the vulnerability are included, the packet is discarded and the process is terminated (steps S607 to 608).

検査が不要である場合(ステップS605:NO)、検査実行判定機能202cはその検査項目についての検査を行わず、次の項目についてステップS605から処理を繰り返す。   When the inspection is not required (step S605: NO), the inspection execution determination function 202c does not perform the inspection for the inspection item, and repeats the process from step S605 for the next item.

以上の処理を、全ての検査項目についてくり返し(ステップS609〜610)、全ての検査項目について処理が終わっても脆弱性を突いた攻撃の内容が見つからなかったら、該HTTP応答をそのHTTP応答の元となったHTTP要求を送信したクライアントコンピュータ10、即ちセッションテーブル212でそのHTTP応答の元となったHTTP要求120に該当するエントリの送信元IPアドレス212aおよび送信元ポート番号212cに該当するクライアントコンピュータ10に返して(ステップS611)、処理を終了する。   The above processing is repeated for all the inspection items (steps S609 to 610). If the details of the attack that exploits the vulnerability are not found even after the processing is completed for all the inspection items, the HTTP response is the source of the HTTP response. The client computer 10 that has transmitted the HTTP request, that is, the client computer 10 that corresponds to the source IP address 212a and the source port number 212c of the entry corresponding to the HTTP request 120 that is the source of the HTTP response in the session table 212. (Step S611), and the process ends.

これと同時に、セッション管理部201ではそのHTTP応答がHTTP要求120に該当する最後のパケットである場合に、セッションテーブル212の該当するエントリを削除する。クライアントコンピュータ10は、ウェブブラウザ動作部101が受信したそのHTTP応答の内容を表示する。   At the same time, the session management unit 201 deletes the corresponding entry in the session table 212 when the HTTP response is the last packet corresponding to the HTTP request 120. The client computer 10 displays the content of the HTTP response received by the web browser operation unit 101.

(第1の実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。本実施形態に係る不正侵入検知・防御方法は、単数もしくは複数台のクライアントコンピュータ10が内部ネットワーク30を通じて接続された不正侵入検知・防御装置20を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システム1で、クライアントコンピュータが、予め記憶されている脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルからパッチ適用情報確認部にて検査不要項目データを作成し(図11・ステップS303〜310)、クライアントコンピュータが、ウェブサーバ宛の接続要求に検査不要項目データを付与してウェブブラウザ動作部にて送信し(図12・ステップS402〜405)、不正侵入検知・防御装置が、クライアントコンピュータからの接続要求をセッション管理部にて受信し(図13・ステップS501)、不正侵入検知・防御装置が、接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルにセッション管理部にて記録し(図13・ステップS502)、不正侵入検知・防御装置が、接続要求に含まれる検査不要項目データを検査不要項目書込機能にてセッションテーブル内に書き込み(図13・ステップS503)、不正侵入検知・防御装置が、接続要求から検査不要項目データを検査不要項目書込機能にて取り除き(図13・ステップS504)、不正侵入検知・防御装置が、検査不要項目データを取り除かれた接続要求をセッション管理部にてウェブサーバに対して転送し(図13・ステップS505)、不正侵入検知・防御装置が、接続要求に対応するウェブサーバからの応答パケットをセッション管理部にて受信し(図14・ステップS601)、不正侵入検知・防御装置が、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを検査実行判定機能にて判断し(図14・ステップS603〜605)、不正侵入検知・防御装置が、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで検査プログラム読込機能にて該応答パケットを検査し(図14・ステップS606)、不正侵入検知・防御装置が、該応答パケットに不正な攻撃が含まれていればこれを検査プログラム読込機能にて破棄し(図14・ステップS607〜608)、不正侵入検知・防御装置が、該応答パケットに不正な攻撃が含まれていなければこれをセッション管理部にてクライアントコンピュータに転送し(図14・ステップS611)、クライアントコンピュータが、不正侵入検知・防御装置から転送されてきた応答パケットの内容をウェブブラウザ動作部にて表示する。 (Overall operation of the first embodiment)
Next, the overall operation of the above embodiment will be described. The unauthorized intrusion detection / protection method according to the present embodiment can be connected to a web server on an external network via an unauthorized intrusion detection / protection device 20 in which one or more client computers 10 are connected through an internal network 30. Inspect whether a packet received from an external network contains an illegal attack that exploits the vulnerability of software running on the client computer, and if the detected packet contains an illegal attack, discard the packet In the unauthorized intrusion detection / prevention system 1, the client computer is improved with applied patch ID information indicating a list of patch identifiers applied to improve vulnerabilities stored in advance, and patch identifiers and patches. Patch ID that indicates the correspondence with a specific vulnerability-inspection item The patch application information confirmation unit creates the inspection unnecessary item data from the response table (FIG. 11, steps S303 to S310), and the client computer adds the inspection unnecessary item data to the connection request addressed to the web server, and the web browser operation unit (FIG. 12, steps S402 to 405), the unauthorized intrusion detection / protection device receives a connection request from the client computer at the session management unit (FIG. 13, step S501), and the unauthorized intrusion detection / protection device. Records the correspondence between the connection request source and destination in the session table stored in advance in the session management unit (FIG. 13, step S502), and the intrusion detection / protection device is included in the connection request. Write the inspection unnecessary item data into the session table with the inspection unnecessary item writing function (see Fig. 13 S503), the unauthorized intrusion detection / protection device removes the inspection unnecessary item data from the connection request by the inspection unnecessary item writing function (FIG. 13, step S504), and the unauthorized intrusion detection / protection device removes the inspection unnecessary item data. The removed connection request is transferred to the web server by the session management unit (FIG. 13, step S505), and the unauthorized intrusion detection / protection device sends a response packet from the web server corresponding to the connection request to the session management unit. (FIG. 14, step S601), and the unauthorized intrusion detection / protection device performs, for each inspection item, on the response packet based on the inspection unnecessary item data included in the connection request corresponding to the response packet in the session table. Whether or not inspection is necessary is determined by the inspection execution determination function (FIG. 14, steps S603 to 605), and an unauthorized intrusion detection / protection device is determined. However, the inspection program corresponding to the inspection item determined to be inspected is read and the response packet is inspected by the inspection program reading function (FIG. 14, step S606). If the response packet contains an unauthorized attack, it is discarded by the inspection program reading function (FIG. 14, steps S607 to 608), and the unauthorized intrusion detection / protection device includes an unauthorized attack in the response packet. If not, it is transferred to the client computer by the session management unit (FIG. 14, step S611), and the client computer transmits the contents of the response packet transferred from the unauthorized intrusion detection / protection device to the web browser operation unit. indicate.

ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行するコンピュータであるクライアントコンピュータ10および不正侵入検知・防御装置20に実行させるようにしてもよい。
この構成および動作により、本実施形態は以下のような効果を奏する。 Here, each of the above operation steps is programmed so as to be executable by a computer, and these are executed by the client computer 10 and the unauthorized intrusion detection / protection device 20 which are computers that directly execute the respective steps. Good.
With this configuration and operation, the present embodiment has the following effects.

本実施形態により、各々のクライアントコンピュータごとに異なるパッチの適用状況に合わせて検査不要項目を設定し、応答パケットに対する検査を行うことが可能となる。このため、既にクライアントコンピュータ側で脆弱性への対処が行われている検査項目について、適切に検査を省略することができるので、セキュリティレベルを低下させることはない。それでいて、不正侵入検知・防御装置の側で検査にかかる負荷を小さくすることができるので、通信速度の低下を避けることが可能となる。   According to the present embodiment, it is possible to set inspection-unnecessary items in accordance with patch application statuses that are different for each client computer, and to inspect response packets. For this reason, since the inspection can be appropriately omitted for the inspection items for which the vulnerability has already been addressed on the client computer side, the security level is not lowered. Nevertheless, since the load on the inspection can be reduced on the unauthorized intrusion detection / protection device side, it is possible to avoid a decrease in communication speed.

(第2の実施形態)
本発明の第2の実施形態に係る不正侵入検知・防御システム701は、クライアントコンピュータ710が、コンピュータ資産管理の目的で適用済パッチID情報データを作成する資産管理用パッチ適用情報確認部803を有し、パッチ適用情報確認部802が資産管理用パッチ適用情報確認部803から適用済パッチID情報データ815を取得する。 (Second Embodiment)
The unauthorized intrusion detection / defense system 701 according to the second embodiment of the present invention has an asset management patch application information confirmation unit 803 in which the client computer 710 creates applied patch ID information data for the purpose of computer asset management. Then, the patch application information confirmation unit 802 acquires the applied patch ID information data 815 from the asset management patch application information confirmation unit 803.

これによって、適用済パッチIDリスト112の作成にかかるクライアントコンピュータ710の負荷を省略することができる。
以下、これをより詳細に説明する。 As a result, the load on the client computer 710 for creating the applied patch ID list 112 can be omitted.
Hereinafter, this will be described in more detail.

図15は、本発明の第2の実施形態に係る不正侵入検知・防御システム701の全体の概略構成の一例を示す説明図である。本実施形態に係る不正侵入検知・防御システム701は、前述した第1の実施形態に係る不正侵入検知・防御システム1と比べて、複数のクライアントコンピュータ10A、10B、10C、…が各々クライアントコンピュータ710A、710B、710C、…に置き換わっている。それらは全て同一の構成を有するので、以後総称してクライアントコンピュータ710という。   FIG. 15 is an explanatory diagram showing an example of an overall schematic configuration of an unauthorized intrusion detection / protection system 701 according to the second embodiment of the present invention. The unauthorized intrusion detection / protection system 701 according to the present embodiment includes a plurality of client computers 10A, 10B, 10C,... , 710B, 710C,... Since they all have the same configuration, they are hereinafter collectively referred to as a client computer 710.

これら以外の要素は全て、第1の実施形態に係る不正侵入検知・防御システム1と同一である。また、第2の実施形態に係るクライアントコンピュータ710と、第1の実施形態に係るクライアントコンピュータ10とが、同一の内部ネットワーク30の中で混在していてもよい。   All other elements are the same as those in the unauthorized intrusion detection / protection system 1 according to the first embodiment. Further, the client computer 710 according to the second embodiment and the client computer 10 according to the first embodiment may be mixed in the same internal network 30.

図16は、図15で示したクライアントコンピュータ710の構成を示す説明図である。クライアントコンピュータ710は、第1の実施形態に係るクライアントコンピュータ10と全く同様の主演算制御手段11と、第1の記憶手段12と、通信手段13と、入出力手段14とを備える。   FIG. 16 is an explanatory diagram showing the configuration of the client computer 710 shown in FIG. The client computer 710 includes a main calculation control unit 11, a first storage unit 12, a communication unit 13, and an input / output unit 14 that are exactly the same as the client computer 10 according to the first embodiment.

ただし、主演算制御手段11で動作するコンピュータプログラムは、ウェブブラウザ動作部101は第1の実施形態と同一だが、パッチ適用情報確認部102がパッチ適用情報確認部802に変更され、さらに資産管理用パッチ適用情報確認部803が追加されている。また、第1の記憶手段12にあらかじめ記憶されているデータに、パッチID−検査項目対応テーブル111と適用済パッチIDリスト112の他に、資産管理用適用済パッチIDリスト815が追加されている。これらの点以外は、第1の実施形態に係るクライアントコンピュータ10と同一の構成であるので、同一の要素については同一の参照番号を付す。   However, the computer program operated by the main arithmetic control unit 11 is the same as the first embodiment in the web browser operation unit 101, but the patch application information confirmation unit 102 is changed to the patch application information confirmation unit 802, and further for asset management. A patch application information confirmation unit 803 is added. In addition to the patch ID / inspection item correspondence table 111 and the applied patch ID list 112, the asset management applied patch ID list 815 is added to the data stored in the first storage unit 12 in advance. . Except for these points, the configuration is the same as that of the client computer 10 according to the first embodiment, and therefore, the same reference numerals are assigned to the same elements.

資産管理用パッチ適用情報確認部803は、コンピュータの資産管理の目的で既に導入されている、クライアントコンピュータ710のパッチの適用状況を確認するためのプログラムである。資産管理用適用済パッチIDリスト815は、資産管理用パッチ適用情報確認部803がその資産管理の目的で作成して保存するデータである。図17は、図16に示した資産管理用適用済パッチIDリスト815のデータ構成を示す説明図である。資産管理用適用済パッチIDリスト815のデータ構成および内容は、図5に示した適用済パッチIDリスト112と同一である。   The asset management patch application information confirmation unit 803 is a program for confirming the patch application status of the client computer 710 that has already been introduced for the purpose of asset management of the computer. The asset management applied patch ID list 815 is data that the asset management patch application information confirmation unit 803 creates and stores for the purpose of asset management. FIG. 17 is an explanatory diagram showing a data configuration of the asset management applied patch ID list 815 shown in FIG. The data configuration and content of the applied patch ID list 815 for asset management are the same as the applied patch ID list 112 shown in FIG.

図18は、図16に示したパッチ適用情報確認部802の、パッチ適用情報確認の動作を表すフローチャートである。この動作は、図11に示したパッチ適用情報確認部102の動作と概ね同一であるので、同一の動作は同一のステップ番号でいう。パッチ適用情報確認部802はステップS301〜302の動作を行った後、資産管理用パッチ適用情報確認部803に資産管理用適用済パッチIDリスト815を送信するように依頼(ステップS903)する。資産管理用パッチ適用情報確認部803はこれをパッチ適用情報確認部802に渡す(ステップS904)。   FIG. 18 is a flowchart showing the patch application information confirmation operation of the patch application information confirmation unit 802 shown in FIG. Since this operation is almost the same as the operation of the patch application information confirmation unit 102 shown in FIG. 11, the same operation is referred to by the same step number. After performing the operations in steps S301 to S302, the patch application information confirmation unit 802 requests the asset management patch application information confirmation unit 803 to transmit the asset management applied patch ID list 815 (step S903). The asset management patch application information confirmation unit 803 transfers this to the patch application information confirmation unit 802 (step S904).

図17に示したように、資産管理用適用済パッチIDリスト815は図5に示した適用済パッチIDリスト112と同一のデータ構成を有し、また内容もそのままステップS304以後の処理に利用できるものであるので、パッチ適用情報確認部802はこれを利用してステップS304以後の処理を行う。   As shown in FIG. 17, the asset management applied patch ID list 815 has the same data structure as the applied patch ID list 112 shown in FIG. 5, and the contents can also be used as it is for the processing after step S304. Therefore, the patch application information confirmation unit 802 uses this to perform the processing after step S304.

本実施形態によって、第1の実施形態で説明した効果と同一の効果を得ることができるのに加えて、資産管理の目的で既に作成された適用済パッチIDリストをそのまま利用するので、同一の適用済パッチIDリストを重複して作成することがないので、クライアントコンピュータ710の負荷を省略することができる。   In addition to being able to obtain the same effects as those described in the first embodiment, the present embodiment uses the applied patch ID list already created for the purpose of asset management as it is. Since the applied patch ID list is not duplicated, the load on the client computer 710 can be omitted.

これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。   The present invention has been described with reference to the specific embodiments shown in the drawings. However, the present invention is not limited to the embodiments shown in the drawings, and any known hitherto provided that the effects of the present invention are achieved. Even if it is a structure, it is employable.

上述した各々の実施形態について、その新規な技術内容の要点をまとめると、以下のようになる。なお、上記実施形態の一部または全部は、新規な技術として以下のようにまとめられるが、本発明は必ずしもこれに限定されるものではない。   About each embodiment mentioned above, it is as follows when the summary of the novel technical content is put together. In addition, although part or all of the said embodiment is summarized as follows as a novel technique, this invention is not necessarily limited to this.

(付記1) 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムであって、
前記クライアントコンピュータが、
前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する第1の記憶手段と、
前記適用済パッチID情報および前記パッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信すると共に前記接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部とを有し、
前記不正侵入検知・防御装置が、
前記クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している第2の記憶手段と、
前記クライアントコンピュータからの接続要求を前記ウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係を前記セッションテーブルに記録し、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッションテーブルに記録された前記発信元に転送するセッション管理部と、
前記ウェブサーバからの応答パケットに前記不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、
前記パケット検査部が、
前記クライアントコンピュータから受信した接続要求が前記ウェブサーバに対して転送される前に該接続要求に含まれる前記検査不要項目データを取り除くと共に当該検査不要項目データを前記セッションテーブル内に書き込む検査不要項目書込機能と、
前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに前記不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能と
を有することを特徴とする不正侵入検知・防御システム。 (Supplementary Note 1) One or more client computers can be connected to a web server on an external network via an unauthorized intrusion detection / protection device connected through an internal network, and the client computer receives packets received from the external network. An intrusion detection / protection system that inspects whether or not an unauthorized attack that exploits the vulnerability of software that operates on the network is included, and discards the packet if the inspected packet includes the unauthorized attack There,
The client computer is
Applied patch ID information indicating a list of identifiers of patches applied to improve the vulnerability, and a patch ID-inspection item correspondence table indicating correspondence between the identifier of the patch and the vulnerability improved by the patch First storage means for storing;
A patch application information confirmation unit that creates inspection unnecessary item data from the applied patch ID information and the patch ID-inspection item correspondence table;
A web browser operation unit for displaying the contents of a response packet returned in response to the connection request and sending the connection request addressed to the web server with the inspection-unnecessary item data attached thereto;
The unauthorized intrusion detection / protection device
Second storage means for storing a session table that is data about the source and destination of a connection request from the client computer;
The connection request from the client computer is transferred to the web server, and the correspondence between the source and destination of the connection request is recorded in the session table, and the response from the web server corresponding to the connection request A session manager that forwards packets to the source recorded in the session table;
A packet inspection unit that inspects whether or not the unauthorized attack is included in a response packet from the web server,
The packet inspection unit
Before the connection request received from the client computer is transferred to the web server, the inspection unnecessary item data included in the connection request is removed and the inspection unnecessary item data is written in the session table. Built-in function,
An inspection execution determination function for determining whether or not inspection is required for each inspection item for the response packet based on inspection-free item data included in the connection request corresponding to the response packet in the session table; ,
An inspection program reading function that reads an inspection program corresponding to the inspection item determined to be inspected, inspects the response packet, and discards the fraudulent attack if the response packet includes the illegal attack; An intrusion detection / protection system characterized by having

(付記2) 前記不正侵入検知・防御装置が、前記パッチID−検査項目対応テーブルを前記クライアントコンピュータに対して送信する対応テーブル配布部を有し、
前記クライアントコンピュータの前記パッチ適用情報確認部が、予め与えられた周期で前記対応テーブル配布部から前記パッチID−検査項目対応テーブルをダウンロードして前記検査不要項目データを作成することを特徴とする、付記1に記載の不正侵入検知・防御システム。 (Supplementary Note 2) The unauthorized intrusion detection / protection device has a correspondence table distribution unit that transmits the patch ID-inspection item correspondence table to the client computer,
The patch application information confirmation unit of the client computer downloads the patch ID-inspection item correspondence table from the correspondence table distribution unit at a predetermined period to create the inspection unnecessary item data. The unauthorized intrusion detection / protection system according to Appendix 1.

(付記3) 前記不正侵入検知・防御装置の第2の記憶部が全ての前記クライアントコンピュータに共通する設定内容であるサイト共通設定を記憶しており、
前記不正侵入検知・防御装置の前記検査実行判定機能が前記サイト共通設定および前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断することを特徴とする、付記1に記載の不正侵入検知・防御システム。 (Additional remark 3) The 2nd memory | storage part of the said unauthorized intrusion detection and defense apparatus has memorize | stored the site common setting which is the setting content common to all the said client computers,
The inspection execution determination function of the unauthorized intrusion detection / protection device determines whether inspection is required for each inspection item for the response packet based on the site common setting and the inspection unnecessary item data. The unauthorized intrusion detection / protection system according to appendix 1.

(付記4) 前記クライアントコンピュータが、
コンピュータ資産管理の目的で前記適用済パッチID情報データを作成する資産管理用パッチ適用情報確認部を有し、
前記パッチ適用情報確認部が前記資産管理用パッチ適用情報確認部から前記適用済パッチID情報データを取得することを特徴とする、付記1に記載の不正侵入検知・防御システム。 (Appendix 4) The client computer is
An asset management patch application information confirmation unit that creates the applied patch ID information data for the purpose of computer asset management;
The unauthorized intrusion detection / protection system according to appendix 1, wherein the patch application information confirmation unit acquires the applied patch ID information data from the asset management patch application information confirmation unit.

(付記5) 内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能なクライアントコンピュータであって、
動作するソフトウェアの脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する記憶手段と、
前記適用済パッチID情報および前記パッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信すると共に前記接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部と
を有することを特徴とするクライアントコンピュータ。 (Appendix 5) A client computer that can be connected to a web server on an external network via an intrusion detection / protection device connected through an internal network,
Applied patch ID information indicating a list of identifiers of patches applied to improve vulnerabilities of operating software, and patch ID-inspection items indicating correspondence between the identifiers of the patches and the vulnerabilities improved by the patches Storage means for storing the correspondence table;
A patch application information confirmation unit that creates inspection unnecessary item data from the applied patch ID information and the patch ID-inspection item correspondence table;
And a web browser operation unit for displaying the content of a response packet returned in response to the connection request, while transmitting the inspection-unnecessary item data to the connection request addressed to the web server. Client computer.

(付記6) 内部ネットワークを通じて接続されたクライアントコンピュータと外部ネットワーク上のウェブサーバとの間の接続を仲介し、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御装置であって、
前記クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している記憶手段と、
前記クライアントコンピュータからの接続要求を前記ウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係を前記セッションテーブルに記録し、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッションテーブルに記録された前記発信元に転送するセッション管理部と、
前記ウェブサーバからの応答パケットに前記不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、
前記パケット検査部が、
前記クライアントコンピュータから受信した接続要求が前記ウェブサーバに対して転送される前に該接続要求に含まれる前記検査不要項目データを取り除くと共に当該検査不要項目データを前記セッションテーブル内に書き込む検査不要項目書込機能と、
前記セッションテーブルで前記応答に対応する前記接続要求に含まれていた検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに前記不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能と
を有することを特徴とする不正侵入検知・防御装置。 (Supplementary Note 6) An unauthorized agent that mediates a connection between a client computer connected through an internal network and a web server on an external network, and exploits a vulnerability of software operating on the client computer in a packet received from the external network An intrusion detection / protection device that inspects whether or not an attack is included and discards the packet if the inspected packet includes the unauthorized attack,
Storage means for storing a session table that is data about the source and destination of a connection request from the client computer;
The connection request from the client computer is transferred to the web server, and the correspondence between the source and destination of the connection request is recorded in the session table, and the response from the web server corresponding to the connection request A session manager that forwards packets to the source recorded in the session table;
A packet inspection unit that inspects whether or not the unauthorized attack is included in a response packet from the web server,
The packet inspection unit
Before the connection request received from the client computer is transferred to the web server, the inspection unnecessary item data included in the connection request is removed and the inspection unnecessary item data is written in the session table. Built-in function,
An inspection execution determination function that determines whether or not inspection is required for each inspection item for the response packet based on inspection-free item data included in the connection request corresponding to the response in the session table;
An inspection program reading function that reads an inspection program corresponding to the inspection item determined to be inspected, inspects the response packet, and discards the fraudulent attack if the response packet includes the illegal attack; An unauthorized intrusion detection / defense device characterized by comprising:

(付記7) 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
前記クライアントコンピュータが、予め記憶されている前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルからパッチ適用情報確認部にて検査不要項目データを作成し、
前記クライアントコンピュータが、前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与してウェブブラウザ動作部にて送信し、
前記不正侵入検知・防御装置が、前記クライアントコンピュータからの接続要求をセッション管理部にて受信し、
前記不正侵入検知・防御装置が、前記接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに前記セッション管理部にて記録し、
前記不正侵入検知・防御装置が、前記接続要求に含まれる前記検査不要項目データを検査不要項目書込機能にて前記セッションテーブル内に書き込み、
前記不正侵入検知・防御装置が、前記接続要求から前記検査不要項目データを前記検査不要項目書込機能にて取り除き、
前記不正侵入検知・防御装置が、前記検査不要項目データを取り除かれた前記接続要求を前記セッション管理部にて前記ウェブサーバに対して転送し、
前記不正侵入検知・防御装置が、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッション管理部にて受信し、
前記不正侵入検知・防御装置が、前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを検査実行判定機能にて判断し、
前記不正侵入検知・防御装置が、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで検査プログラム読込機能にて該応答パケットを検査し、
前記不正侵入検知・防御装置が、該応答パケットに前記不正な攻撃が含まれていればこれを前記検査プログラム読込機能にて破棄し、
前記不正侵入検知・防御装置が、該応答パケットに前記不正な攻撃が含まれていなければこれを前記セッション管理部にて前記クライアントコンピュータに転送し、
前記クライアントコンピュータが、前記不正侵入検知・防御装置から転送されてきた前記応答パケットの内容を前記ウェブブラウザ動作部にて表示する
ことを特徴とする不正侵入検知・防御方法。 (Supplementary Note 7) One or more client computers can be connected to a web server on an external network via an unauthorized intrusion detection / protection device connected through an internal network, and the client computer receives packets received from the external network. In an intrusion detection / protection system that inspects whether or not an illegal attack that exploits the vulnerability of software that operates on the network is included, and discards the packet if the inspected packet includes the unauthorized attack There,
Applied patch ID information indicating a list of patch identifiers applied to improve the vulnerability stored in advance by the client computer, and correspondence between the patch identifier and the vulnerability improved by the patch The patch application information confirmation unit creates inspection unnecessary item data from the patch ID-inspection item correspondence table indicating
The client computer gives the inspection-unnecessary item data to the connection request addressed to the web server and transmits it in the web browser operation unit,
The unauthorized intrusion detection / protection device receives a connection request from the client computer at a session management unit,
The unauthorized intrusion detection / protection device records the correspondence between the connection request source and destination in a session table stored in advance in the session management unit,
The unauthorized intrusion detection / protection device writes the inspection unnecessary item data included in the connection request into the session table with an inspection unnecessary item writing function,
The unauthorized intrusion detection / protection device removes the inspection unnecessary item data from the connection request by the inspection unnecessary item writing function,
The unauthorized intrusion detection / protection device forwards the connection request from which the inspection unnecessary item data has been removed to the web server in the session management unit,
The unauthorized intrusion detection / protection device receives a response packet from the web server corresponding to the connection request at the session management unit,
Whether the intrusion detection / protection device needs to inspect each response item for the response packet based on the inspection-unnecessary item data included in the connection request corresponding to the response packet in the session table. Is determined by the inspection execution determination function,
The unauthorized intrusion detection / protection device reads an inspection program corresponding to the inspection item determined to be inspected, and inspects the response packet with an inspection program reading function,
If the unauthorized intrusion detection / protection device includes the unauthorized attack in the response packet, it is discarded by the inspection program reading function,
If the unauthorized intrusion detection / protection device does not contain the unauthorized attack in the response packet, it transfers this to the client computer in the session management unit,
An unauthorized intrusion detection / protection method, wherein the client computer displays the content of the response packet transferred from the unauthorized intrusion detection / protection device on the web browser operation unit.

(付記8) 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
コンピュータに、
予め記憶されている前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルから検査不要項目データを作成する手順と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信する手順と、
前記不正侵入検知・防御装置から転送されてきた応答パケットの内容を表示する手順と
を実行させることを特徴とする不正侵入検知・防御プログラム。 (Supplementary Note 8) One or a plurality of client computers can be connected to a web server on an external network via an unauthorized intrusion detection / protection device connected via an internal network, and the client computer is included in a packet received from the external network. Intrusion detection that inspects whether or not an illegal attack that exploits the vulnerability of software that operates on the Internet is included, and discards the packet if the inspected packet includes content intended for the unauthorized attack・ In the defense system,
On the computer,
Applied patch ID information indicating a list of identifiers of patches applied to improve the vulnerabilities stored in advance, and patch IDs indicating correspondence between the identifiers of the patches and the vulnerabilities improved by the patches Procedure to create inspection unnecessary item data from inspection item correspondence table,
A procedure for sending the connection request addressed to the web server with the inspection unnecessary item data being transmitted,
An illegal intrusion detection / protection program that executes a procedure for displaying the contents of a response packet transferred from the unauthorized intrusion detection / protection device.

(付記9) 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
コンピュータに、
前記クライアントコンピュータからの接続要求を受信する手順と、
前記接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに記録する手順と、
前記接続要求に含まれる前記検査不要項目データを前記セッションテーブル内に書き込む手順と、
前記接続要求から前記検査不要項目データを取り除く手順と、
前記検査不要項目データを取り除かれた前記接続要求を前記ウェブサーバに対して転送する手順と、
前記接続要求に対応する前記ウェブサーバからの応答パケットを受信する手順と、
前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する手順と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査する手順と、
該応答パケットに前記不正な攻撃が含まれていればこれを破棄する手順と、
該応答パケットに前記不正な攻撃が含まれていなければこれを前記クライアントコンピュータに転送する手順と
を実行させることを特徴とする不正侵入検知・防御プログラム。 (Supplementary Note 9) One or a plurality of client computers can be connected to a web server on an external network via an unauthorized intrusion detection / protection device connected via an internal network, and the client computer is included in a packet received from the external network. Intrusion detection that inspects whether or not an illegal attack that exploits the vulnerability of software that operates on the Internet is included, and discards the packet if the inspected packet includes content intended for the unauthorized attack・ In the defense system,
On the computer,
Receiving a connection request from the client computer;
A procedure for recording a correspondence relationship between a transmission source and a transmission destination of the connection request in a pre-stored session table;
A procedure for writing the inspection unnecessary item data included in the connection request in the session table;
A procedure for removing the inspection unnecessary item data from the connection request;
Transferring the connection request from which the inspection-unnecessary item data has been removed to the web server;
Receiving a response packet from the web server corresponding to the connection request;
A procedure for determining whether or not inspection is required for each inspection item for the response packet based on the inspection-unnecessary item data included in the connection request corresponding to the response packet in the session table;
A procedure for inspecting the response packet by reading an inspection program corresponding to the inspection item determined to be inspected;
A procedure for discarding the malicious attack if the response packet includes the malicious attack;
An unauthorized intrusion detection / protection program that executes a procedure for transferring the response packet to the client computer if the unauthorized attack is not included in the response packet.

本発明は、ネットワークに接続されたコンピュータの不正侵入対策に適用できる。   The present invention can be applied to countermeasures against unauthorized intrusion of a computer connected to a network.

1、701 不正侵入検知・防御システム
10、10A、10B、10C、710、710A、710B、710C クライアントコンピュータ
11、21 主演算制御手段
12 第1の記憶手段
22 第2の記憶手段
13、23 通信手段
14 入出力手段
20 不正侵入検知・防御装置
30 内部ネットワーク
40 ウェブサーバ
41 ウェブサーバプログラム
50 インターネット
101 ウェブブラウザ動作部
101a HTTPヘッダ変更機能
102、802 パッチ適用情報確認部
111、211 パッチID−検査項目対応テーブル
111a パッチID
111b 検査項目番号
112 適用済パッチIDリスト
113 検査不要項目ビットテーブル
114 検査不要項目一覧
120 HTTP要求
121、121a HTTP要求ヘッダ
122 検査不要項目情報
201 セッション管理部
202 パケット検査部
202a 検査不要項目書込機能
202b 検査プログラム読込機能
202c 検査実行判定機能
203 対応テーブル配布部
212 セッションテーブル
212e 検査不要項目
213 検査プログラム群
214 サイト共通設定データ
803 資産管理用パッチ適用情報確認部
815 資産管理用適用済パッチIDリスト DESCRIPTION OF SYMBOLS 1,701 Intrusion detection / protection system 10, 10A, 10B, 10C, 710, 710A, 710B, 710C Client computer 11, 21 Main arithmetic control means 12 First storage means 22 Second storage means 13, 23 Communication means DESCRIPTION OF SYMBOLS 14 Input / output means 20 Unauthorized intrusion detection / protection device 30 Internal network 40 Web server 41 Web server program 50 Internet 101 Web browser operation part 101a HTTP header change function 102, 802 Patch application information confirmation part 111, 211 Table 111a Patch ID
111b inspection item number 112 applied patch ID list 113 inspection unnecessary item bit table 114 inspection unnecessary item list 120 HTTP request 121, 121a HTTP request header 122 inspection unnecessary item information 201 session management unit 202 packet inspection unit 202a inspection unnecessary item writing function 202b Inspection program reading function 202c Inspection execution determination function 203 Corresponding table distribution unit 212 Session table 212e Inspection unnecessary items 213 Inspection program group 214 Site common setting data 803 Asset management patch application information confirmation unit 815 Asset management applied patch ID list

Claims (9)

単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムであって、
前記クライアントコンピュータが、
前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する第1の記憶手段と、
前記適用済パッチID情報および前記パッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信すると共に前記接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部とを有し、
前記不正侵入検知・防御装置が、
前記クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している第2の記憶手段と、
前記クライアントコンピュータからの接続要求を前記ウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係を前記セッションテーブルに記録し、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッションテーブルに記録された前記発信元に転送するセッション管理部と、
前記ウェブサーバからの応答パケットに前記不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、
前記パケット検査部が、
前記クライアントコンピュータから受信した接続要求が前記ウェブサーバに対して転送される前に該接続要求に含まれる前記検査不要項目データを取り除くと共に当該検査不要項目データを前記セッションテーブル内に書き込む検査不要項目書込機能と、
前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに前記不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能と
を有することを特徴とする不正侵入検知・防御システム。 Software that can be connected to a web server on an external network via an unauthorized intrusion detection / protection device in which one or more client computers are connected through an internal network, and that operates on the client computer in packets received from the external network An intrusion detection / protection system that inspects whether or not an illegal attack that exploits the vulnerability of the above is included and discards the packet if the inspected packet includes the unauthorized attack,
The client computer is
Applied patch ID information indicating a list of identifiers of patches applied to improve the vulnerability, and a patch ID-inspection item correspondence table indicating correspondence between the identifier of the patch and the vulnerability improved by the patch First storage means for storing;
A patch application information confirmation unit that creates inspection unnecessary item data from the applied patch ID information and the patch ID-inspection item correspondence table;
A web browser operation unit for displaying the contents of a response packet returned in response to the connection request and sending the connection request addressed to the web server with the inspection-unnecessary item data attached thereto;
The unauthorized intrusion detection / protection device
Second storage means for storing a session table which is data about a source and destination of a connection request from the client computer;
The connection request from the client computer is transferred to the web server, and the correspondence between the source and destination of the connection request is recorded in the session table, and the response from the web server corresponding to the connection request A session manager that forwards packets to the source recorded in the session table;
A packet inspection unit that inspects whether or not the unauthorized attack is included in a response packet from the web server,
The packet inspection unit
Before the connection request received from the client computer is transferred to the web server, the inspection unnecessary item data included in the connection request is removed and the inspection unnecessary item data is written in the session table. Built-in function,
An inspection execution determination function for determining whether or not inspection is required for each inspection item for the response packet based on inspection-free item data included in the connection request corresponding to the response packet in the session table; ,
An inspection program reading function that reads an inspection program corresponding to the inspection item determined to be inspected, inspects the response packet, and discards the fraudulent attack if the response packet includes the illegal attack; An intrusion detection / protection system characterized by having 前記不正侵入検知・防御装置が、前記パッチID−検査項目対応テーブルを前記クライアントコンピュータに対して送信する対応テーブル配布部を有し、
前記クライアントコンピュータの前記パッチ適用情報確認部が、予め与えられた周期で前記対応テーブル配布部から前記パッチID−検査項目対応テーブルをダウンロードして前記検査不要項目データを作成することを特徴とする、請求項1に記載の不正侵入検知・防御システム。 The unauthorized intrusion detection / protection device has a correspondence table distribution unit that transmits the patch ID-inspection item correspondence table to the client computer;
The patch application information confirmation unit of the client computer downloads the patch ID-inspection item correspondence table from the correspondence table distribution unit at a predetermined period to create the inspection unnecessary item data. The unauthorized intrusion detection / protection system according to claim 1. 前記不正侵入検知・防御装置の第2の記憶部が全ての前記クライアントコンピュータに共通する設定内容であるサイト共通設定を記憶しており、
前記不正侵入検知・防御装置の前記検査実行判定機能が前記サイト共通設定および前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断することを特徴とする、請求項1に記載の不正侵入検知・防御システム。 The second storage unit of the unauthorized intrusion detection / protection device stores a site common setting which is a setting content common to all the client computers,
The inspection execution determination function of the unauthorized intrusion detection / protection device determines whether inspection is required for each inspection item for the response packet based on the site common setting and the inspection unnecessary item data. The unauthorized intrusion detection / protection system according to claim 1. 前記クライアントコンピュータが、
コンピュータ資産管理の目的で前記適用済パッチID情報データを作成する資産管理用パッチ適用情報確認部を有し、
前記パッチ適用情報確認部が前記資産管理用パッチ適用情報確認部から前記適用済パッチID情報データを取得することを特徴とする、請求項1に記載の不正侵入検知・防御システム。 The client computer is
An asset management patch application information confirmation unit that creates the applied patch ID information data for the purpose of computer asset management;
The unauthorized intrusion detection / defense system according to claim 1, wherein the patch application information confirmation unit acquires the applied patch ID information data from the asset management patch application information confirmation unit. 内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能なクライアントコンピュータであって、
動作するソフトウェアの脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する記憶手段と、
前記適用済パッチID情報および前記パッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信すると共に前記接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部と
を有することを特徴とするクライアントコンピュータ。 A client computer that can be connected to a web server on an external network via an intrusion detection / protection device connected via an internal network,
Applied patch ID information indicating a list of identifiers of patches applied to improve vulnerabilities of operating software, and patch ID-inspection items indicating correspondence between the identifiers of the patches and the vulnerabilities improved by the patches Storage means for storing the correspondence table;
A patch application information confirmation unit that creates inspection unnecessary item data from the applied patch ID information and the patch ID-inspection item correspondence table;
And a web browser operation unit for displaying the content of a response packet returned in response to the connection request, while transmitting the inspection-unnecessary item data to the connection request addressed to the web server. Client computer. 内部ネットワークを通じて接続されたクライアントコンピュータと外部ネットワーク上のウェブサーバとの間の接続を仲介し、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御装置であって、
前記クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している記憶手段と、
前記クライアントコンピュータからの接続要求を前記ウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係を前記セッションテーブルに記録し、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッションテーブルに記録された前記発信元に転送するセッション管理部と、
前記ウェブサーバからの応答パケットに前記不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、
前記パケット検査部が、
前記クライアントコンピュータから受信した接続要求が前記ウェブサーバに対して転送される前に該接続要求に含まれる前記検査不要項目データを取り除くと共に当該検査不要項目データを前記セッションテーブル内に書き込む検査不要項目書込機能と、
前記セッションテーブルで前記応答に対応する前記接続要求に含まれていた検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに前記不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能と
を有することを特徴とする不正侵入検知・防御装置。 An illegal attack that mediates the connection between the client computer connected through the internal network and the web server on the external network and exploits the vulnerability of the software operating on the client computer in the packet received from the external network is included. An unauthorized intrusion detection / protection device that inspects whether or not the packet is inspected if the unauthorized attack is included in the packet,
Storage means for storing a session table that is data about the source and destination of a connection request from the client computer;
The connection request from the client computer is transferred to the web server, and the correspondence between the source and destination of the connection request is recorded in the session table, and the response from the web server corresponding to the connection request A session manager that forwards packets to the source recorded in the session table;
A packet inspection unit that inspects whether or not the unauthorized attack is included in a response packet from the web server,
The packet inspection unit
Before the connection request received from the client computer is transferred to the web server, the inspection unnecessary item data included in the connection request is removed and the inspection unnecessary item data is written in the session table. Built-in function,
An inspection execution determination function that determines whether or not inspection is required for each inspection item for the response packet based on inspection-free item data included in the connection request corresponding to the response in the session table;
An inspection program reading function that reads an inspection program corresponding to the inspection item determined to be inspected, inspects the response packet, and discards the fraudulent attack if the response packet includes the illegal attack; An unauthorized intrusion detection / defense device characterized by comprising: 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
前記クライアントコンピュータが、予め記憶されている前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルからパッチ適用情報確認部にて検査不要項目データを作成し、
前記クライアントコンピュータが、前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与してウェブブラウザ動作部にて送信し、
前記不正侵入検知・防御装置が、前記クライアントコンピュータからの接続要求をセッション管理部にて受信し、
前記不正侵入検知・防御装置が、前記接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに前記セッション管理部にて記録し、
前記不正侵入検知・防御装置が、前記接続要求に含まれる前記検査不要項目データを検査不要項目書込機能にて前記セッションテーブル内に書き込み、
前記不正侵入検知・防御装置が、前記接続要求から前記検査不要項目データを前記検査不要項目書込機能にて取り除き、
前記不正侵入検知・防御装置が、前記検査不要項目データを取り除かれた前記接続要求を前記セッション管理部にて前記ウェブサーバに対して転送し、
前記不正侵入検知・防御装置が、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッション管理部にて受信し、
前記不正侵入検知・防御装置が、前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを検査実行判定機能にて判断し、
前記不正侵入検知・防御装置が、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで検査プログラム読込機能にて該応答パケットを検査し、
前記不正侵入検知・防御装置が、該応答パケットに前記不正な攻撃が含まれていればこれを前記検査プログラム読込機能にて破棄し、
前記不正侵入検知・防御装置が、該応答パケットに前記不正な攻撃が含まれていなければこれを前記セッション管理部にて前記クライアントコンピュータに転送し、
前記クライアントコンピュータが、前記不正侵入検知・防御装置から転送されてきた前記応答パケットの内容を前記ウェブブラウザ動作部にて表示する
ことを特徴とする不正侵入検知・防御方法。 Software that can be connected to a web server on an external network via an unauthorized intrusion detection / protection device in which one or more client computers are connected through an internal network, and that operates on the client computer in packets received from the external network In an intrusion detection / protection system that inspects whether or not an illegal attack that exploits the vulnerabilities is included, and discards the packet if the inspected packet includes the unauthorized attack,
Applied patch ID information indicating a list of patch identifiers applied to improve the vulnerability stored in advance by the client computer, and correspondence between the patch identifier and the vulnerability improved by the patch The patch application information confirmation unit creates inspection unnecessary item data from the patch ID-inspection item correspondence table indicating
The client computer gives the inspection-unnecessary item data to the connection request addressed to the web server and transmits it in the web browser operation unit,
The unauthorized intrusion detection / protection device receives a connection request from the client computer at a session management unit,
The unauthorized intrusion detection / protection device records the correspondence between the connection request source and destination in a session table stored in advance in the session management unit,
The unauthorized intrusion detection / protection device writes the inspection unnecessary item data included in the connection request into the session table with an inspection unnecessary item writing function,
The unauthorized intrusion detection / protection device removes the inspection unnecessary item data from the connection request by the inspection unnecessary item writing function,
The unauthorized intrusion detection / protection device forwards the connection request from which the inspection unnecessary item data has been removed to the web server in the session management unit,
The unauthorized intrusion detection / protection device receives a response packet from the web server corresponding to the connection request at the session management unit,
Whether the intrusion detection / protection device needs to inspect each response item for the response packet based on the inspection-unnecessary item data included in the connection request corresponding to the response packet in the session table. Is determined by the inspection execution determination function,
The unauthorized intrusion detection / protection device reads an inspection program corresponding to the inspection item determined to be inspected, and inspects the response packet with an inspection program reading function,
If the unauthorized intrusion detection / protection device includes the unauthorized attack in the response packet, it is discarded by the inspection program reading function,
If the unauthorized intrusion detection / protection device does not contain the unauthorized attack in the response packet, it transfers this to the client computer in the session management unit,
An unauthorized intrusion detection / protection method, wherein the client computer displays the content of the response packet transferred from the unauthorized intrusion detection / protection device on the web browser operation unit. 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
コンピュータに、
予め記憶されている前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルから検査不要項目データを作成する手順と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信する手順と、
前記不正侵入検知・防御装置から転送されてきた応答パケットの内容を表示する手順と
を実行させることを特徴とする不正侵入検知・防御プログラム。 Software that can be connected to a web server on an external network via an unauthorized intrusion detection / protection device in which one or more client computers are connected through an internal network, and that operates on the client computer in packets received from the external network An intrusion detection / protection system that inspects whether or not an illegal attack that exploits the vulnerabilities is included, and discards the packet if the inspected packet includes content intended for the unauthorized attack There,
On the computer,
Applied patch ID information indicating a list of identifiers of patches applied to improve the vulnerabilities stored in advance, and patch IDs indicating correspondence between the identifiers of the patches and the vulnerabilities improved by the patches Procedure to create inspection unnecessary item data from inspection item correspondence table,
A procedure for sending the connection request addressed to the web server with the inspection unnecessary item data being transmitted,
An illegal intrusion detection / protection program that executes a procedure for displaying the contents of a response packet transferred from the unauthorized intrusion detection / protection device. 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
コンピュータに、
前記クライアントコンピュータからの接続要求を受信する手順と、
前記接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに記録する手順と、
前記接続要求に含まれる前記検査不要項目データを前記セッションテーブル内に書き込む手順と、
前記接続要求から前記検査不要項目データを取り除く手順と、
前記検査不要項目データを取り除かれた前記接続要求を前記ウェブサーバに対して転送する手順と、
前記接続要求に対応する前記ウェブサーバからの応答パケットを受信する手順と、
前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する手順と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査する手順と、
該応答パケットに前記不正な攻撃が含まれていればこれを破棄する手順と、
該応答パケットに前記不正な攻撃が含まれていなければこれを前記クライアントコンピュータに転送する手順と
を実行させることを特徴とする不正侵入検知・防御プログラム。 Software that can be connected to a web server on an external network via an unauthorized intrusion detection / protection device in which one or more client computers are connected through an internal network, and that operates on the client computer in packets received from the external network An intrusion detection / protection system that inspects whether or not an illegal attack that exploits the vulnerabilities is included, and discards the packet if the inspected packet includes content intended for the unauthorized attack There,
On the computer,
Receiving a connection request from the client computer;
A procedure for recording a correspondence relationship between a transmission source and a transmission destination of the connection request in a pre-stored session table;
A procedure for writing the inspection unnecessary item data included in the connection request in the session table;
A procedure for removing the inspection unnecessary item data from the connection request;
Transferring the connection request from which the inspection-unnecessary item data has been removed to the web server;
Receiving a response packet from the web server corresponding to the connection request;
A procedure for determining whether or not inspection is required for each inspection item for the response packet based on the inspection-unnecessary item data included in the connection request corresponding to the response packet in the session table;
A procedure for inspecting the response packet by reading an inspection program corresponding to the inspection item determined to be inspected;
A procedure for discarding the malicious attack if the response packet includes the malicious attack;
An unauthorized intrusion detection / protection program that executes a procedure for transferring the response packet to the client computer if the unauthorized attack is not included in the response packet.
JP2010048925A 2010-03-05 2010-03-05 Unauthorized intrusion detection and prevention system, client computer, unauthorized intrusion detection and prevention device, method and program Active JP5549281B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010048925A JP5549281B2 (en) 2010-03-05 2010-03-05 Unauthorized intrusion detection and prevention system, client computer, unauthorized intrusion detection and prevention device, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010048925A JP5549281B2 (en) 2010-03-05 2010-03-05 Unauthorized intrusion detection and prevention system, client computer, unauthorized intrusion detection and prevention device, method and program

Publications (2)

Publication Number Publication Date
JP2011188071A true JP2011188071A (en) 2011-09-22
JP5549281B2 JP5549281B2 (en) 2014-07-16

Family

ID=44793865

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010048925A Active JP5549281B2 (en) 2010-03-05 2010-03-05 Unauthorized intrusion detection and prevention system, client computer, unauthorized intrusion detection and prevention device, method and program

Country Status (1)

Country Link
JP (1) JP5549281B2 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015509313A (en) * 2011-12-30 2015-03-26 エフファイブ ネットワークス インコーポレイテッド Method and device for identifying network traffic characteristics for associating and managing one or more subsequent flows
JP2018088094A (en) * 2016-11-28 2018-06-07 富士通株式会社 Cyber terrorism detection device, cyber terrorism detection program, and cyber terrorism detection method
USRE47019E1 (en) 2010-07-14 2018-08-28 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
JP2020046698A (en) * 2018-09-14 2020-03-26 富士通株式会社 Monitoring apparatus, monitoring method and monitoring program
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof
JP2021040234A (en) * 2019-09-03 2021-03-11 Necプラットフォームズ株式会社 Packet transfer device, packet transfer method, and packet transfer program
JP6915183B1 (en) * 2021-02-04 2021-08-04 株式会社システムサポート Security inspection system and security inspection method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006146297A (en) * 2004-11-16 2006-06-08 Hitachi Ltd Security management method, security management apparatus, and security management program
JP2007200102A (en) * 2006-01-27 2007-08-09 Nec Corp System, program, and method for checking illegal code and illegal data
JP2009005122A (en) * 2007-06-22 2009-01-08 Panasonic Corp Illegal access detection apparatus, and security management device and illegal access detection system using the device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006146297A (en) * 2004-11-16 2006-06-08 Hitachi Ltd Security management method, security management apparatus, and security management program
JP2007200102A (en) * 2006-01-27 2007-08-09 Nec Corp System, program, and method for checking illegal code and illegal data
JP2009005122A (en) * 2007-06-22 2009-01-08 Panasonic Corp Illegal access detection apparatus, and security management device and illegal access detection system using the device

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
USRE47019E1 (en) 2010-07-14 2018-08-28 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
JP2015509313A (en) * 2011-12-30 2015-03-26 エフファイブ ネットワークス インコーポレイテッド Method and device for identifying network traffic characteristics for associating and managing one or more subsequent flows
US9985976B1 (en) 2011-12-30 2018-05-29 F5 Networks, Inc. Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof
JP2018088094A (en) * 2016-11-28 2018-06-07 富士通株式会社 Cyber terrorism detection device, cyber terrorism detection program, and cyber terrorism detection method
JP2020046698A (en) * 2018-09-14 2020-03-26 富士通株式会社 Monitoring apparatus, monitoring method and monitoring program
JP7152657B2 (en) 2018-09-14 2022-10-13 富士通株式会社 Monitoring device, monitoring method and monitoring program
JP2021040234A (en) * 2019-09-03 2021-03-11 Necプラットフォームズ株式会社 Packet transfer device, packet transfer method, and packet transfer program
JP7067796B2 (en) 2019-09-03 2022-05-16 Necプラットフォームズ株式会社 Packet transfer device, packet transfer method, and packet transfer program
JP6915183B1 (en) * 2021-02-04 2021-08-04 株式会社システムサポート Security inspection system and security inspection method

Also Published As

Publication number Publication date
JP5549281B2 (en) 2014-07-16

Similar Documents

Publication Publication Date Title
JP4405248B2 (en) Communication relay device, communication relay method, and program
JP5549281B2 (en) Unauthorized intrusion detection and prevention system, client computer, unauthorized intrusion detection and prevention device, method and program
US8161538B2 (en) Stateful application firewall
US8230497B2 (en) Method of identifying software vulnerabilities on a computer system
US20160226908A1 (en) Identification of and countermeasures against forged websites
JP6315640B2 (en) Communication destination correspondence collection apparatus, communication destination correspondence collection method, and communication destination correspondence collection program
US20080229419A1 (en) Automated identification of firewall malware scanner deficiencies
JP5920169B2 (en) Unauthorized connection detection method, network monitoring apparatus and program
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
US10841281B2 (en) Methods for preventing or detecting computer attacks in a cloud-based environment and apparatuses using the same
US20180322284A1 (en) Methods for preventing computer attacks in two-phase filtering and apparatuses using the same
JP2007047884A (en) Information processing system
JP2006262019A (en) Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus
US9558356B2 (en) Data driven system for responding to security vulnerability
JP5980968B2 (en) Information processing apparatus, information processing method, and program
JP2011101172A (en) Worm infection source specification system, specification method and specification program, agent, and manager computer
WO2015137249A1 (en) Monitoring device, monitoring method, and monitoring program
JP2007065810A (en) Security inspection system
KR100655492B1 (en) Web server vulnerability detection system and method of using search engine
US11038844B2 (en) System and method of analyzing the content of encrypted network traffic
JP2006244141A (en) Unauthorized intrusion monitoring device
JP2011258018A (en) Security server system
JP6721874B2 (en) Communication system, communication method and program
JP6286314B2 (en) Malware communication control device
JP6418423B2 (en) Communication system, communication method and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130214

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131108

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140120

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140422

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140505

R150 Certificate of patent or registration of utility model

Ref document number: 5549281

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150