JP3730642B2 - Attack packet detection apparatus and method - Google Patents
Attack packet detection apparatus and method Download PDFInfo
- Publication number
- JP3730642B2 JP3730642B2 JP2003278979A JP2003278979A JP3730642B2 JP 3730642 B2 JP3730642 B2 JP 3730642B2 JP 2003278979 A JP2003278979 A JP 2003278979A JP 2003278979 A JP2003278979 A JP 2003278979A JP 3730642 B2 JP3730642 B2 JP 3730642B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- received
- attack
- management information
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、ネットワークから受信されたパケットの中から未知の攻撃パケットを検出するのに好適な攻撃パケット検出装置及び方法に関する。 The present invention relates to an attack packet detection apparatus and method suitable for detecting an unknown attack packet from packets received from a network.
近年、ネットワークに接続された機器上でパケットの処理を行うモジュール(パケット処理モジュール)のセキュリティホールに対して攻撃する攻撃パケット(不正パケット)を検出して当該攻撃パケットによる攻撃を防御する技術が種々開発されている。この攻撃パケットを検出する代表的な技術として、攻撃パケットに共通のパターン(攻撃パターン)を予めデータベース化したパターンファイル(つまり静的なパターンファイル)を利用した技術が知られている(例えば、特許文献1参照)。この技術を適用した機器は、ネットワークインタフェースとパケット処理モジュールとの間に、上記のパターンファイルを含む防御モジュールを備えている。防御モジュールは、ネットワークインタフェースがネットワークからパケットを受信した場合、当該受信したパケットの内容をパターンファイル内のパターン情報と比較する。もし、両者が一致しなかった場合は、防御モジュールは受信パケットをパケット処理モジュールに転送する。一方、両者が一致した場合には、防御モジュールは受信パケットが攻撃パケットであるとみなし、当該受信パケットを破棄して、パケット処理モジュールには転送しない。同時に防御モジュールは、破棄したパケットに関する情報、時刻等のログの出力、機器の管理者への通知等を行う。
上記した従来技術によれば、予めパターンファイルに登録されたパターンに一致するパケットを攻撃パケットとして検出できるため、そのパケットによる攻撃を防御できる。しかし従来技術では、パターンファイルに登録されていない未知のパターンの攻撃パケットは検出できず、したがって未知の攻撃パケットによる攻撃に関しては防御できない。 According to the above-described conventional technology, a packet that matches a pattern registered in the pattern file in advance can be detected as an attack packet, so that an attack by the packet can be prevented. However, the conventional technique cannot detect an attack packet having an unknown pattern that is not registered in the pattern file, and therefore cannot protect against an attack by an unknown attack packet.
本発明は上記事情を考慮してなされたものでその目的は、ネットワークから受信されたパケットの中から未知の攻撃パケットを検出できる攻撃パケット検出装置及び方法を提供することにある。 The present invention has been made in view of the above circumstances, and an object thereof is to provide an attack packet detection apparatus and method that can detect an unknown attack packet from packets received from a network.
本発明の1つの観点によれば、ネットワークから受信されたパケットを処理するパケット処理モジュールを備えたパケット処理装置に設けられ、受信パケットの中から攻撃パケットを検出する攻撃パケット検出装置が提供される。この攻撃パケット検出装置は、受信パケットを保存するパケット保存手段と、受信パケットに対する上記パケット処理モジュールによる処理が終了した時点で当該パケットを上記パケット保存手段から削除する手段と、上記パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを検出する手段と、この検出手段により検出された受信パケットを前記パケット処理装置に対する未知の攻撃パケットであると決定する手段とを備えている。 According to one aspect of the present invention, there is provided an attack packet detection device that is provided in a packet processing device including a packet processing module that processes a packet received from a network and detects an attack packet from the received packet. . The attack packet detection device includes: a packet storage unit that stores a received packet; a unit that deletes the packet from the packet storage unit when processing by the packet processing module for the received packet is completed; and a storage unit that stores the packet in the packet storage unit Means for detecting a received packet remaining in the packet storage means even after a certain period of time has elapsed, and determines that the received packet detected by the detection means is an unknown attack packet for the packet processing device Means.
このような構成においては、ネットワークから受信したパケットをパケット保存手段に一時保存し、当該受信パケットに対するパケット処理モジュールによる処理(つまり本来の処理)が終了した時点で当該パケットをパケット保存手段から削除する構成とすることにより、パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを、パケット処理モジュールを含むパケット処理装置を異常状態に陥れた未知の攻撃パケットであるとして検出することができる。 In such a configuration, a packet received from the network is temporarily stored in the packet storage unit, and the packet is deleted from the packet storage unit when processing by the packet processing module (that is, original processing) for the received packet is completed. By configuring the received packet remaining in the packet storage unit even after a lapse of a certain time since it was stored in the packet storage unit, the packet processing device including the packet processing module has entered an unknown state. It can be detected as an attack packet.
ここで、未知の攻撃パケットであると決定された受信パケットから抽出された当該パケットを特定するためのパターンを示すパターン情報を格納するパターン格納手段と、受信パケットを、このパターン格納手段に格納されている各パターン情報の示すパターンと比較するパケット比較手段と、このパケット比較手段による比較で一致が検出された場合、対応する受信パケットを攻撃パケットであるとして破棄する手段と、上記パケット比較手段による比較で一致が検出されなかった場合、対応する受信パケットをパケット処理モジュールに転送する手段とを追加し、上記破棄手段により受信パケットが破棄された場合にも、当該パケットが上記削除手段により上記パケット保存手段から削除される構成とするとよい。 Here, pattern storage means for storing pattern information indicating a pattern for identifying the packet extracted from the received packet determined to be an unknown attack packet, and the received packet are stored in the pattern storage means. A packet comparison means for comparing with a pattern indicated by each pattern information, a means for discarding a corresponding received packet as an attack packet when a match is detected by the comparison by the packet comparison means, and a packet comparison means A means for transferring the corresponding received packet to the packet processing module when a match is not detected in the comparison, and when the received packet is discarded by the discarding means, the packet is also deleted by the deleting means. It may be configured to be deleted from the storage means.
このような構成においては、受信パケットに起因してパケット処理装置が異常状態に陥ったことが検出された結果、原因となったパケットが未知の攻撃パケットであるとして、当該パケットを特定するためのパターンを示すパターン情報を新たにパターン格納手段に自動登録することにより、以降の同様のパケットによる攻撃を防御することが可能となる。また、以降の同様のパケットによる攻撃を防御した際に、即ち以降に受信される同様のパケットが攻撃パケットであると検出されて破棄された際に、当該パケットをパケット保存手段から削除することにより、当該パケットが未知の攻撃パケットであると誤検出されるのを防止できる。 In such a configuration, as a result of detecting that the packet processing apparatus has entered an abnormal state due to a received packet, the cause packet is identified as an unknown attack packet, and the packet is identified. By automatically registering new pattern information indicating a pattern in the pattern storage means, it is possible to prevent subsequent attacks by similar packets. In addition, when a subsequent attack by a similar packet is defended, that is, when a similar packet received thereafter is detected as an attack packet and discarded, the packet is deleted from the packet storage means. It is possible to prevent erroneous detection that the packet is an unknown attack packet.
また、パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを容易に検出可能とするために、パケット保存手段に保存された受信パケットを管理するための管理情報であって、当該受信パケットの保存時刻を示す時刻情報を含む管理情報を保存するパケット管理情報保存手段を追加し、このパケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が一定時間を経過している管理情報を検出することにより、対応する受信パケットを目的のパケットとして検出する構成とするとよい。ここで、検出された受信パケットの管理情報を上記パケット管理情報保存手段から削除することにより、当該管理情報により管理されるパケットを上記パケット保存手段から論理的に削除することができる。 In addition, in order to make it possible to easily detect a received packet remaining in the packet storage unit even after a predetermined time has elapsed since it was stored in the packet storage unit, the received packet stored in the packet storage unit is managed. Packet management information storage means for storing management information for storing management information including time information indicating the storage time of the received packet, and adding the management information stored in the packet management information storage means A configuration in which a corresponding received packet is detected as a target packet by detecting management information in which an elapsed time from the time indicated by the time information included in the management information to the current time has passed a fixed time; Good. Here, by deleting the management information of the detected received packet from the packet management information storage unit, the packet managed by the management information can be logically deleted from the packet storage unit.
また、上記検出手段により検出された受信パケットが未知の攻撃パケットであるかを決定するために、攻撃パケット検出装置内部または攻撃パケット検出装置外部のうち、当該受信パケットを処理中の部分の状態が異常であるかを監視し、異常である場合だけ当該受信パケットが未知の攻撃パケットであると決定するならば、より確実に未知の攻撃パケットを決定できる。ここで、攻撃パケット検出装置外部の状態は、例えばパケット処理モジュールと連携を取ることにより監視可能である。 In addition, in order to determine whether the received packet detected by the detecting means is an unknown attack packet, the state of the portion of the attack packet detecting device inside or outside the attack packet detecting device that is processing the received packet is If it is monitored whether it is abnormal and it is determined that the received packet is an unknown attack packet only if it is abnormal, the unknown attack packet can be determined more reliably. Here, the state outside the attack packet detection device can be monitored by, for example, cooperating with the packet processing module.
本発明によれば、ネットワークから受信したパケットをパケット保存手段に一時保存し、当該受信パケットに対するパケット処理モジュールによる処理が終了した時点で当該パケットをパケット保存手段から削除する構成とすることにより、パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを未知の攻撃パケットであるとして検出することができる。 According to the present invention, a packet received from the network is temporarily stored in the packet storage unit, and the packet is deleted from the packet storage unit when processing by the packet processing module for the received packet is completed. Even after a predetermined time has passed since the data is stored in the storage unit, the received packet remaining in the packet storage unit can be detected as an unknown attack packet.
以下、本発明の実施の形態につき図面を参照して説明する。
図1は本発明の一実施形態に係るパケット処理装置の構成を示すブロック図である。図1において、パケット処理装置10は、ネットワーク20に接続されたネットワークI/F(インタフェース)11と、パケット処理モジュール12と、本発明に直接関係する攻撃パケット防御モジュール(以下、防御モジュールと略称する)13とを備えている。本実施形態において、パケット処理モジュール12及び防御モジュール13は、パケット処理装置10が有する図示せぬCPUがそれぞれパケット処理プログラム及び防御プログラムを実行することにより実現される。
Embodiments of the present invention will be described below with reference to the drawings.
FIG. 1 is a block diagram showing a configuration of a packet processing apparatus according to an embodiment of the present invention. In FIG. 1, a
防御モジュール13は、パケット処理モジュール12を防御対象として、当該パケット処理モジュール12を攻撃パケットから防御する攻撃パケット防御装置である。防御モジュール13は、パケット処理モジュール12と連携を取って、受信パケットに起因して当該パケット処理モジュール12が異常状態に陥ったことを検出する機能と、原因となったパケットを未知の攻撃パケットとして決定する機能とを有する。つまり防御モジュール13は、一連の受信パケットの中から未知の攻撃パケットを検出する攻撃パケット検出装置としての機能を有する。防御モジュール13はまた、未知の攻撃パケットとして決定された受信パケットから抽出されたパターンを示す情報を新たにパターンファイルに自動登録する機能と、受信パケットのうちパターンファイルに自動登録されたパターンに一致(類似)したパケットを破棄する機能とを有する。
The
防御モジュール13は、下位レイヤーパケット転送I/F131と、上位レイヤーパケット転送I/F132と、上位レイヤーパケット処理通知I/F133と、記憶部134とを備えている。下位レイヤーパケット転送I/F131は、下位レイヤーのネットワークI/F11(つまり、よりネットワーク20の物理レイヤーに近いインタフェースモジュール)との間でパケットの授受を行う。上位レイヤーパケット転送I/F132は、上位レイヤーのパケット処理モジュール12(つまり、よりネットワーク20の物理レイヤーから遠い、防御対象となるパケット処理モジュール12)との間でパケットの授受を行う。上位レイヤーパケット処理通知I/F133は、パケット処理モジュール12との間でパケット処理に関する情報の授受を行う。記憶部134は、パケット処理装置10が有する不揮発性の記憶装置(図示せぬ)の記憶領域(不揮発性領域)のうち、防御モジュール13に割り当てられる記憶領域により実現される。不揮発性の記憶装置は例えばハードディスクドライブである。
The
記憶部134の記憶領域は、保存パケット管理テーブル134aを記憶するための記憶領域(保存パケット管理テーブル記憶領域)と、パケット保存領域134bと、パターンファイル格納領域134cとに割り当てられる。なお、保存パケット管理テーブル134aの記憶領域とパケット保存領域134bとが、後述するように揮発性の記憶装置内に確保される構成であっても構わない。
The storage area of the storage unit 134 is allocated to a storage area (a storage packet management table storage area) for storing the storage packet management table 134a, a
パケット保存領域134bは、受信したパケットを一時的に保存しておく領域である。保存パケット管理テーブル134aは、パケット保存領域134bに保存されているパケットを管理するための管理情報を保存するのに用いられるパケット管理情報保存手段である。この管理情報は、保存パケットの状態を示す状態フラグと時刻を示す時刻情報とを含む。つまり保存パケット管理テーブル134a内の各エントリは、状態フラグが設定されるフラグフィールドと、時刻情報が設定される時刻フィールドとを含む。時刻情報は、年月日の情報も含む。状態フラグにより示される状態には、対応する保存パケット管理テーブル134a内のエントリが使われていないこと(つまり空きエントリであること)を示す「未使用」状態と、対応するパケットが防御モジュール13内で処理中であることを示す「内部処理中」状態と、対応するパケットが防御モジュール13外(ここではパケット処理モジュール12)で処理中であることを示す「外部処理中」状態との3つがある。パターンファイル格納領域134cは、パケット処理モジュール12に対する攻撃のパターンの情報を保存したパターンファイルを格納するのに用いられる。ここでは、パターンファイル格納領域134c(内のパターンファイル)に対するパターン情報の追加及びパターンファイル格納領域134c(内のパターンファイル)からのパターン情報の削除が可能である。
The
図2は、保存パケット管理テーブル134a及びパケット保存領域134bのデータ構造例を示す。保存パケット管理テーブル134aは、管理情報を保存するエントリの群を有し、パケット保存領域134bは受信パケットを保存するエントリの群を有する。ここで、インデクスiで参照される、保存パケット管理テーブル134a内のエントリ(第iエントリ)と、同じインデクスiで参照される、パケット保存領域134b内のエントリ(第iエントリ)とは対応している。即ち、保存パケット管理テーブル134a内のインデクスiで参照されるエントリには、パケット保存領域134b内のインデクスiで参照されるエントリに保存されているパケットの管理情報が保存されている。
FIG. 2 shows an example of the data structure of the storage packet management table 134a and the
再び図1を参照すると、防御モジュール13は更に、受信パケット管理部135と、パケット比較部136と、ログ出力警告処理部137とを備えている。受信パケット管理部135は、パターンファイル格納領域134c(内のパターンファイル)を対象とするパターン情報の追加/削除と、パケット保存領域134bを対象とする受信パケットの登録/削除と、保存パケット管理テーブル134a内のエントリの各フィールドへの情報書き込みと、パケット比較部136への受信パケットの転送等を行う。また、受信パケット管理部135は、パケット保存領域134bに保存されたパケットが予め定められた判定条件を満たした場合に当該パケットを未知の攻撃パケットであると判定し、当該パケットからパターン情報を抽出して新たにパターンファイル格納領域134cに登録する。パケット比較部136は、受信パケット管理部135から受け取った受信パケットを、パターンファイル格納領域134c中の各パターン情報と比較する。パケット比較部136は、比較の結果、受信パケットに一致するパターン情報があった場合、当該受信パケットが既知の攻撃パケットであると判断する。この場合、パケット比較部136はパケット破棄手段として機能して受信パケットを破棄し、ログ出力警告処理部137に通知する。またパケット比較部136は、比較の結果、受信パケットに一致するパターン情報がなかった場合、当該受信パケットは攻撃パケットでないと判断する。この場合、パケット比較部136は受信パケットを上位レイヤーパケット転送I/F132により上位レイヤー(パケット処理モジュール12)に転送させる。ログ出力警告処理部137は、パケット比較部136での比較の結果、受信パケットが攻撃パケットであるとみなされた場合に、攻撃の内容、受信日時、送信元等をログとして記録し、また表示器等の出力手段を介してシステム管理者に警告する処理を行う。
Referring back to FIG. 1, the
次に本実施形態の動作について、図1のパケット処理装置10内の防御モジュール13の動作を中心に説明する。
[インストール時の初期化処理]
まず本実施形態では、パケット処理装置10に防御プログラムをインストールして防御モジュール13を実現し、しかる後に当該防御モジュール13を初めて起動した際にのみ、図3のフローチャートに示す初期化処理が受信パケット管理部135により行われる。この初期化処理を、インストール時(防御モジュール13のインストール時)の初期化処理と称する。ここでは、受信パケット管理部135は、保存パケット管理テーブル134a内の全エントリについて、状態フラグをいずれも「未使用」状態に設定するセットする(ステップS1)。
Next, the operation of this embodiment will be described focusing on the operation of the
[Initialization during installation]
First, in the present embodiment, only when the
[パケット受信時の処理]
次に、パケット受信時の処理について、図4のフローチャートを参照して説明する。
今、下位レイヤーをなすネットワークI/F11から、防御モジュール13内の下位レイヤーパケット転送I/F131に、ネットワーク20から受信したパケットが転送されたものとする。下位レイヤーパケット転送I/F131は、この下位レイヤー(ネットワークI/F11)から転送されたパケットを受信して、その受信パケットを受信パケット管理部135に転送する(ステップS11)。
[Process when receiving packets]
Next, processing at the time of packet reception will be described with reference to the flowchart of FIG.
It is assumed that the packet received from the network 20 is transferred from the network I /
受信パケット管理部135は、下位レイヤーパケット転送I/F131から転送された受信パケットを受け取ると、保存パケット管理テーブル134a内のエントリ群から、状態フラグが「未使用」状態を示すエントリ、つまり空きエントリを1つ探し、当該空きエントリを確保すると共に当該空きエントリのインデクスXを得る(ステップS12a)。次に受信パケット管理部135は、インデクスXで参照される、パケット保存領域134b内のエントリ(第Xエントリ)に受信パケットを格納する(ステップS12b)。また受信パケット管理部135は、インデクスXで参照される、保存パケット管理テーブル134a内のエントリ中のフラグフィールドに設定されている状態フラグを「内部処理中」を示す状態に変更すると共に、当該エントリ中の時刻フィールドに現在の(つまり内部処理開始時点の)時刻(及び年月日)を示す時刻情報を保存する(ステップS12c)。また受信パケット管理部135は、受信パケットをパケット比較部136に転送する(ステップS12d)。
When the received
パケット比較部136は、パターンファイル格納領域134cに格納されているパターン情報を例えば先頭から順に取り出す。そしてパケット比較部136は、パターンファイル格納領域134cからパターン情報を取り出す都度、当該パターン情報の示すパターンと受信パケット管理部135から転送された受信パケットの内容とを比較する。パケット比較部136は、この動作を、パターンファイル格納領域134cから取り出されたパターン情報の示すパターンと受信パケットとが一致するのを検出するまで、または全てのパターン情報について比較し終えるまで繰り返す(ステップS13)。
The
もし、パターンファイル格納領域134c内のいずれかのパターン情報の示すパターンと受信パケットの内容とが一致した場合(ステップS14)、パケット比較部136は、当該受信パケットが攻撃パケット(既知の攻撃パケット)であると判断する。この場合、パケット比較部136は受信パケットを破棄し、攻撃パケットを検出したことをログ出力警告処理部137に通知する(ステップS15)。するとログ出力警告処理部137は、攻撃パケットであると判断された受信パケットに関する情報(攻撃の内容、受信日時、送信元等の情報)をログとして記録すると共に、パケットによる攻撃を受けた旨を管理者等に音声メッセージ出力、表示メッセージ出力等より通知するための警告処理を行う(ステップS16)。この警告処理の中で、ログ出力警告処理部137は受信パケット管理部135に対し、受信パケットが攻撃パケットとみなされて破棄された旨を通知する。
If the pattern indicated by any of the pattern information in the pattern
受信パケット管理部135は、ログ出力警告処理部137から受信パケットが破棄された旨のパケット破棄通知を受け取ると、当該受信パケットが保存されているパケット保存領域134b内のエントリを探し、そのインデクスXを得る。受信パケット管理部135は、保存パケット管理テーブル134a内のインデクスXに対応するエントリに設定されている状態フラグを、「内部使用中」を示す状態から「未使用」を示す状態に変更する(ステップS17)。
When receiving the packet discard notification that the received packet has been discarded from the log output
一方、パターンファイル格納領域134c内の全てのパターン情報について当該パターン情報の示すパターンと受信パケットの内容とを比較しても、一致が検出されなかった場合(ステップS14)、パケット比較部136は、不一致を示す比較結果を受信パケット管理部135に通知する。すると受信パケット管理部135は、保存パケット管理テーブル134aから受信パケットに対応するエントリを探し、当該エントリ中の状態フラグを「内部処理中」を示す状態から「外部処理中」を示す状態に変更すると共に、当該エントリ中の時刻情報を現在の(つまり外部処理開始時点の)時刻(及び年月日)を示すように変更する(ステップS18)。一方、パケット比較部136は、受信パケットを上位レイヤーパケット転送I/F132に転送する。上位レイヤーパケット転送I/F132は、この受信パケットを上位レイヤーのパケット処理モジュール12に転送する(ステップS19)。
On the other hand, if no match is detected even if the pattern indicated by the pattern information is compared with the content of the received packet for all the pattern information in the pattern
パケット処理モジュール12は、防御モジュール13内の上位レイヤーパケット転送I/F132から転送されたパケットを受信すると、当該パケットを処理する。もし、受信パケットの処理が正常に完了できたなら、パケット処理モジュール12は、パケット処理の完了と、完了したパケットに関する情報を防御モジュール13に返す。
When the
[上位レイヤーでのパケット処理完了時の処理]
次に、上位レイヤーパケット転送I/F132から上位レイヤーのパケット処理モジュール12に転送されたパケットの処理が、当該モジュール12にて正常に完了した場合の動作について、図5のフローチャートを参照して説明する。まず、パケット処理モジュール12から防御モジュール13に対して、パケット処理の完了が通知されたものとする。このパケット処理完了通知には、完了したパケットに関する情報が付加されている。防御モジュール13内の上位レイヤーパケット処理通知I/F133は、パケット処理モジュール12からのパケット処理完了通知を受信して、その通知を受信パケット管理部135に伝える(ステップS21)。受信パケット管理部135は、このパケット処理完了通知を受け取ると、パケット処理モジュール12から処理完了が通知されたパケットをパケット保存領域134bから探し、当該パケットが保存されているエントリのインデクスXを得る。受信パケット管理部135は、保存パケット管理テーブル134a内のインデクスXに対応するエントリに設定されている状態フラグを、「外部使用中」を示す状態から「未使用」を示す状態に変更する(ステップS22)。
[Processing when packet processing in upper layer is completed]
Next, the operation when the processing of the packet transferred from the upper layer packet transfer I /
[未知攻撃パケット検出処理]
次に、未知の攻撃パケットを検出する処理(未知攻撃パケット検出処理)について、図6のフローチャートを参照して説明する。この処理は例えば定期的に実行される。また、この処理は、後述する防御モジュール13の終了処理の最初でも実行される。
[Unknown attack packet detection processing]
Next, processing for detecting an unknown attack packet (unknown attack packet detection processing) will be described with reference to the flowchart of FIG. This process is executed periodically, for example. This process is also executed at the beginning of the end process of the
まず、受信パケット管理部135は、保存パケット管理テーブル134a内のエントリを指定するインデクスiを初期値0に設定する(ステップS31)。次に受信パケット管理部135は、保存パケット管理テーブル134a内のインデクスiのエントリを参照する(ステップS32)。そして受信パケット管理部135は、インデクスiのエントリに設定されている状態フラグを調べる(ステップS33)。
First, the received
もし、インデクスiのエントリ中の状態フラグが「内部処理中」または「外部処理中」を示しているならば、受信パケット管理部135は、当該エントリの時刻フィールドに設定されている時刻情報の示す時刻(設定時刻)(つまり、現在進行中の内部処理または外部処理の開始時刻)を現在時刻と比較する(ステップ34)。そして受信パケット管理部135は、時刻フィールドの示す時刻(つまり、現在進行中の内部処理または外部処理の開始時刻)から予め定められた基準時間を経過しているか否かを判定する(ステップ35)。
If the status flag in the entry of index i indicates “internal processing” or “external processing”, the received
もし、時刻フィールドの示す時刻から基準時間を経過している場合、つまりパケットの「内部処理中」または「外部処理中」の状態が基準時間を超えて続いている場合、受信パケット管理部135は、「内部処理中」または「外部処理中」のパケットが未知の攻撃パケットである可能性があると判断する。その理由は次の通りである。
If the reference time has elapsed since the time indicated in the time field, that is, if the state of “internal processing” or “external processing” of the packet continues beyond the reference time, the received
まず、「内部処理中」の状態が基準時間を超えて続いていることは、基準時間を経過しても、防御モジュール13の内部のパケット処理が完了していないことを意味している。そのため、受信パケットに起因して、防御モジュール13が無限ループに陥った、或いは異常終了した等の問題が発生している可能性がある。また、「外部処理中」の状態が基準時間を超えて続いていることは、「外部処理中」となっているパケットに関し、上位レイヤーのパケット処理モジュール12において同様の問題が発生している可能性がある。
First, that the state of “internal processing” continues beyond the reference time means that the packet processing inside the
そこで、受信パケット管理部135は、「内部処理中」または「外部処理中」のパケットが、防御モジュール13、或いは防御対象のパケット処理モジュール12に何らかの悪影響を及ぼす未知の攻撃パケットであるか否かを判定するために、「内部処理」または「外部処理」を行っているモジュール(つまり防御モジュール13またはパケット処理モジュール12)の状態を監視する(ステップS36)。ここでは受信パケット管理部135は、「内部処理」または「外部処理」を実行するためのプログラムの状態を確認する。
Accordingly, the received
プログラムの実行状態を確認する手段は従来から知られており、オペレーティングシステム(OS)がWindows(登録商標)であれば例えばタスクマネージャを用いて実現可能であり、UNIX(登録商標)であればpsコマンドを用いて実現可能である。この他に、「内部処理」または「外部処理」を実行するためのプログラムに、予め状態を外部に知らせる機能(例えば、定期的に生存信号を発信する機能)を組み込むことによっても、プログラムの実行状態を確認することが可能である。 Means for confirming the execution state of a program is conventionally known. If the operating system (OS) is Windows (registered trademark), it can be realized using, for example, a task manager, and if it is UNIX (registered trademark), ps. This can be realized using a command. In addition to this, the program for executing “internal processing” or “external processing” can also be executed by incorporating a function for informing the state to the outside in advance (for example, a function for periodically sending a survival signal). It is possible to check the state.
受信パケット管理部135は、このような手段を適用して、「内部処理」または「外部処理」を行うためのプログラムが、現在実行状態にあるか否か、更にはCPUやメモリの使用率がどの程度かを確認することができる。受信パケット管理部135は、パケット処理モジュール12または防御モジュール13での「内部処理」または「外部処理」を行うためのプログラム(プロセス)の実行状態を監視した結果、当該プログラムが実行中でない場合、或いはCPUやメモリの使用率が異常である(ある閾値以上となっている)など挙動が異常である場合に、当該プログラムの実行状態は異常となっていると判定する(ステップS37)。この場合、受信パケット管理部135は、「内部処理中」または「外部処理中」のパケットが、防御モジュール13または防御対象のパケット処理モジュール12に何らかの悪影響を及ぼす未知の攻撃パケットであると判定(決定)する。そこで受信パケット管理部135は、「内部処理中」または「外部処理中」のパケットから当該パケットを特定するためのパターンを抽出して、そのパターンを示すパターン情報を、パターンファイル格納領域134cに保存されているパターンファイルに追加登録する(ステップS38)。ここで、パターン抽出の対象となるパケットは、ステップS34での比較で用いられた時刻情報が設定されている保存パケット管理テーブル134a内のエントリに対応する、パケット保存領域134b内のエントリに保存されている。つまりパターン抽出の対象となるパケットは、インデクスiで指定されるパケット保存領域134b内のエントリに保存されている。
The received
なお、「内部処理」または「外部処理」を行うためのプログラムが異常状態であると判定されても、一度だけでは「内部処理中」または「外部処理中」のパケットが未知の攻撃パケットであると決定せず、次回以降の未知攻撃パケット検出処理でも同様の状態が観測された場合に、未知の攻撃パケットであると決定するようにしてもよい。 Even if it is determined that the program for performing “internal processing” or “external processing” is in an abnormal state, the “internal processing” or “external processing” packet is an unknown attack packet only once. If the same state is observed in the unknown attack packet detection process after the next time, it may be determined that the packet is an unknown attack packet.
また、上記の例では、説明を簡略化するために、「内部処理中」または「外部処理中」のいずれの状態でも、同一の基準時間を適用している。しかし、「内部処理中」及び「外部処理中」の各々について固有の基準時間(第1及び第2の基準時間)を適用し、例えば「内部処理中」または「外部処理中」の状態が、それぞれ第1または第2の基準時間を超えているかを判定することが好ましい。ここでは、「外部処理」に要する標準的な時間は「内部処理」に要する標準的な時間より長い。このため、第2の基準時間は第1の基準時間より長い値に設定される。 In the above example, in order to simplify the description, the same reference time is applied in any state of “internal processing” or “external processing”. However, a unique reference time (first and second reference times) is applied to each of “internal processing” and “external processing”, for example, the state of “internal processing” or “external processing” It is preferable to determine whether each exceeds the first or second reference time. Here, the standard time required for “external processing” is longer than the standard time required for “internal processing”. For this reason, the second reference time is set to a value longer than the first reference time.
未知の攻撃パケットであると決定されたパケットからの(当該パケットを特定するための)パターンの抽出には、次のような方法が適用可能である。例えば、パケットの送信元アドレスをパターンとする方法である。この方法を適用して、送信元アドレスをパターンとしてパターンファイル格納領域134c内のパターンファイルに登録した場合、以後同じ送信元からのパケットは全て攻撃パケットであるとして破棄できる。また、パケットのデータ自体をパターンとして登録することで、以降同様のデータのパケットが送信された場合に攻撃パケットとして、当該パケットを処理しないようにできる。
The following method can be applied to the extraction of a pattern (for specifying the packet) from a packet determined to be an unknown attack packet. For example, it is a method in which the source address of the packet is used as a pattern. When this method is applied and the transmission source address is registered as a pattern in the pattern file in the pattern
本実施形態ではパケットを1個ずつ管理している。これらのパケットのある一定の単位の集合は、何らかの意味を持つのが一般的である。そこで、例えばTCP(Transmission Control Protocol)に代表される通信プロトコルのセッション(コネクション)単位で、そのセッション(コネクション)を用いて送信される一連のパケットの集合を、パケットの到着順序と共に格納して管理する方法を適用することも可能である。この方法の場合、あるパケットが攻撃とみなされた場合、そのパケットが属する一連パケットの集合、つまりセッション自体が攻撃であるとみなせる。そのため、以降では、同様の順番やデータを持つパケット群を受信した際に、攻撃と判断するようにパターンを作成し、パターンファイルに登録することができる。 In this embodiment, packets are managed one by one. A certain set of units of these packets generally has some meaning. Therefore, for example, in a session (connection) of a communication protocol represented by TCP (Transmission Control Protocol), a set of a series of packets transmitted using the session (connection) is stored and managed together with the arrival order of the packets. It is also possible to apply the method to do. In this method, when a certain packet is regarded as an attack, a set of a series of packets to which the packet belongs, that is, the session itself can be regarded as an attack. Therefore, after that, when a packet group having the same order and data is received, a pattern can be created so as to be determined as an attack and registered in the pattern file.
受信パケット管理部135は、未知の攻撃パケットであると決定した受信パケットのパターン(を示すパターン情報)をパターンファイルに登録すると(ステップS38)、インデクスiで指定される保存パケット管理テーブル134a内のエントリの状態フラグを、「内部処理中」または「外部処理中」を示す状態から「未使用」を示す状態に変更する(ステップS39)。この保存パケット管理テーブル134a内のエントリの状態フラグを「未使用」を示す状態に変更する処理は、当該エントリに保存されている管理情報及び当該エントリに対応するパケット保存領域134b内のエントリに保存されている受信パケットを論理的に削除したのと等価である。
When the received
次に受信パケット管理部135は、保存パケット管理テーブル134a内の全てのエントリについて処理したか否かを判定する(ステップS40)。もし、未処理のエントリが残っているならば、受信パケット管理部135はインデクスiを1だけインクリメントして(ステップS41)、そのインクリメント後の保存パケット管理テーブル134a内のエントリ(つまり次のエントリ)を対象に、ステップS32から始まる処理を実行する。また受信パケット管理部135は、インデクスiのエントリに設定されている状態フラグが「未使用」を示している場合(ステップS33)、或いはインデクスiのエントリの時刻フィールドの示す時刻から基準時間を経過していない場合(ステップS35)、或いは「内部処理」または「外部処理」を実行するためのプログラムの状態が正常な場合(ステップS37)、対応する受信パケットを攻撃パケットであると決定することはできないとして、そのままステップS40に進む。受信パケット管理部135は、以上の処理を保存パケット管理テーブル134a内の全てのエントリについて実行する(ステップS38)。
Next, the received
[防御モジュール13の終了処理]
次に、防御モジュール13の終了処理について、図7のフローチャートを参照して説明する。この終了処理は、例えば図1のパケット処理装置のシャットダウン時に実行される。
[End processing of defense module 13]
Next, the termination process of the
まず、受信パケット管理部135は、図6に示した手順の未知攻撃パケット検出処理を実行する(ステップS51)。この処理の実行により、保存パケット管理テーブル134aの各エントリに設定されている状態フラグの意味は以下の通りとなることは明らかである。
First, the received
「未使用」:対応するエントリは使われておらず、空きとなっている。
「内部処理中」:対応するエントリは使われており、且つ当該エントリに登録されているパケットは防御モジュール13内で処理中である。処理開始から基準時間を経過していないため、現時点で、処理は正しく行われている。
「外部処理中」:対応するエントリは使われており、且つ当該エントリに登録されているパケットは防御モジュール13外で処理中である。処理開始から基準時間を経過していないため、現時点で、処理は正しく行われている。
“Unused”: The corresponding entry is not used and is empty.
“Internal processing”: The corresponding entry is used, and the packet registered in the entry is being processed in the
“External processing”: The corresponding entry is used, and the packet registered in the entry is being processed outside the
受信パケット管理部135は、未知攻撃パケット検出処理(ステップS51)を終了すると、保存パケット管理テーブル134a内の全てのエントリを対象に、当該エントリの状態フラグをいずれも「未使用」を示す状態に設定する(ステップS52)。これにより本実施形態においては、防御モジュール13の終了処理が終了した時点で、保存パケット管理テーブル134a内の全てのエントリの状態フラグは、当該エントリが「未使用」であること(使われていないこと)を示す。もし、パケットの「内部処理中」または「外部処理中」に防御モジュール13またはパケット処理モジュール12が異常終了した場合(つまりパケット処理装置10が異常終了した場合)には、上記した図7のフローチャートに従う終了処理は行われない。この場合、異常終了時点で「内部処理中」または「外部処理中」を示す状態フラグは、「未使用」を示す状態に変更されないことになる。
When the received
なお、本実施形態では、防御モジュール13の終了処理において、各エントリの状態フラグの状態に無関係に、当該フラグをいずれも「未使用」を示す状態に設定している。しかし、「内部使用中」を示す状態フラグが設定されているエントリと、「外部内部使用中」を示す状態フラグが設定されているエントリだけを対象に、当該フラグを「未使用」を示す状態に変更するようにしても構わない。
In the present embodiment, in the termination process of the
[防御モジュール13の起動時の処理]
次に、防御モジュール13の起動時の処理(初期化処理)について、図8のフローチャートを参照して説明する。図3のインストール時の初期化処理が、防御モジュール13を初めて起動した際のみ実行されるのに対し、この図8の処理は、防御モジュール13を初めて起動した以降での、当該防御モジュール13の起動の都度実行される。)
まず受信パケット管理部135は、保存パケット管理テーブル134a内のエントリを指定するインデクスiを初期値0に設定する(ステップS61)。次に受信パケット管理部135は、保存パケット管理テーブル134a内のインデクスiのエントリを参照する(ステップS62)。そして受信パケット管理部135は、インデクスiのエントリに設定されている状態フラグを調べる(ステップS63)。
[Processing when the
Next, the process (initialization process) at the time of starting the
First, the received
もし、インデクスiのエントリ中の状態フラグが「内部処理中」または「外部処理中」を示しているならば、受信パケット管理部135は、当該エントリで管理されるパケットの「内部処理中」または「外部処理中」に、防御モジュール13またはパケット処理モジュール12が異常終了して、防御モジュール13の終了処理が実行されなかったものと判断する。そして受信パケット管理部135は、状態フラグが「内部処理中」を示している場合であれば、パケットの「内部処理中」に防御モジュール13が異常終了した要因が、当該パケットが未知の攻撃パケットとあったためであると判断する。同様に受信パケット管理部135は、状態フラグが「外部処理中」を示している場合であれば、パケットの「外部処理中」にパケット処理モジュール12が異常終了したことは、当該パケットが未知の攻撃パケットとあったためであると判断する。
If the status flag in the entry of the index i indicates “internal processing” or “external processing”, the received
そこで、受信パケット管理部135は、インデクスiで指定される保存パケット管理テーブル134a内のエントリの状態フラグが「内部処理中」または「外部処理中」を示している場合、当該エントリに対応するパケット保存領域134b内のエントリに保存されているパケットから先に述べた方法でパターンを抽出し、そのパターンを示すパターン情報を、パターンファイル格納領域134cに保存されているパターンファイルに追加登録する(ステップS64)。
Therefore, when the status flag of the entry in the stored packet management table 134a designated by the index i indicates “internal processing” or “external processing”, the received
受信パケット管理部135は、未知の攻撃パケットであると決定した受信パケットのパターン(を示すパターン情報)をパターンファイルに登録すると(ステップS64)、インデクスiで指定される保存パケット管理テーブル134a内のエントリの状態フラグを、「内部処理中」または「外部処理中」を示す状態から「未使用」を示す状態に変更する(ステップS65)。次に受信パケット管理部135は、保存パケット管理テーブル134a内の全てのエントリについて処理したか否かを判定する(ステップS66)。もし、未処理のエントリが残っているならば、受信パケット管理部135はインデクスiを1だけインクリメントして(ステップS67)、そのインクリメント後の保存パケット管理テーブル134a内のエントリを対象に、ステップS62から始まる処理を実行する。また受信パケット管理部135は、インデクスiのエントリに設定されている状態フラグが「未使用」を示している場合には(ステップS63)、対応する受信パケットは攻撃パケットでないとして、そのままステップS66に進む。受信パケット管理部135は、以上の処理を保存パケット管理テーブル134a内の全てのエントリについて実行する(ステップS66)。
When the received
このように本実施形態においては、防御モジュール13(内の受信パケット管理部135)は当該防御モジュール13の起動時点で、保存パケット管理テーブル134aにより処理が完了していないことが示されているパケットを検出し、当該パケットを、防御対象であるパケット処理モジュール12(上位モジュール)、或いは防御モジュール13自身への攻撃パケットであると判断する。そして防御モジュール13(内の受信パケット管理部135)は、攻撃パケットであると判断したパケットからパターンを抽出して、新規にパターンファイルに追加している。これにより、次回以降同様のパケットを受信した場合には、当該パケットによる攻撃を防御することができる。
As described above, in the present embodiment, the protection module 13 (the received packet management unit 135) indicates that the processing is not completed by the stored packet management table 134a when the
なお、攻撃パケットから抽出したパターンを自動的にパターンファイルに登録する代わりに、当該パケットの内容をシステム管理者に例えばメール等を用いて通知し、当該パケットを攻撃パケットとみなすか否か(つまり、受信パケット管理部135による攻撃パケットであるとの決定の正否)を、管理者の判断に委ねるようにしてもよい。また、攻撃を受けていると判断する対象を、パケット処理モジュール12及び防御モジュール13の両方でなくて、いずれか一方とすることも可能である。
Instead of automatically registering the pattern extracted from the attack packet in the pattern file, the contents of the packet are notified to the system administrator using, for example, e-mail, and whether or not the packet is regarded as an attack packet (that is, Whether or not the received
また、上記実施形態では、保存パケット管理テーブル134aの領域及びパケット保存領域134bは、パターンファイル格納領域134cと共に、ハードディスクドライブ等の不揮発性の記憶装置の記憶領域内に確保されている。しかし、保存パケット管理テーブル134aの領域及びパケット保存領域134bが、揮発性の記憶装置の記憶領域内に確保される構成とすることも可能である。
In the above-described embodiment, the storage packet management table 134a area and the
上記実施形態のように、不揮発性の記憶装置を用いる構成では、防御モジュール13または防御対象のパケット処理モジュール12が異常終了した場合、つまり当該防御モジュール13及び防御対象のパケット処理モジュール12が実行されているパケット処理装置10が異常終了した場合、当該パケット処理装置10の再起動後でも、不揮発性の記憶装置に情報が残っている。このため、上記の例のように、未知の攻撃パケットの検出を行える。これに対し、上記実施形態とは異なって、保存パケット管理テーブル134aの領域及びパケット保存領域134bが揮発性の記憶装置の記憶領域内に確保される構成を適用した場合、当該保存パケット管理テーブル134a及びパケット保存領域134bへのアクセス時間を短縮できる利点がある。但し、パケット処理装置10が異常終了した時点で、揮発性の記憶装置の情報は失われる。したがって、パケット処理装置10の再起動後、揮発性の記憶装置には、保存パケット管理テーブル134a及びパケット保存領域134bの情報は残っていない。よって、揮発性の記憶装置を用いる構成は、パケット処理装置10自体が異常終了するような攻撃以外の攻撃の検出に適用可能である。
In the configuration using the nonvolatile storage device as in the above embodiment, when the
なお、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。 Note that the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. Further, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment.
10…パケット処理装置、11…ネットワークI/F(インタフェース)、12…パケット処理モジュール、13…防御モジュール(攻撃パケット検出装置)、20…ネットワーク、131…下位レイヤーパケット転送I/F、132…上位レイヤーパケット転送I/F、133…上位レイヤーパケット処理通知I/F、134…記憶部、134a…保存パケット管理テーブル(パケット管理情報保存手段)、134b…パケット保存領域、134c…パターンファイル格納領域、135…受信パケット管理部、136…パケット比較部(破棄手段)、137…ログ出力警告処理部。
DESCRIPTION OF
Claims (10)
受信パケットを保存するパケット保存手段と、
受信パケットに対する前記パケット処理モジュールによる処理が終了した時点で当該パケットを前記パケット保存手段から削除する手段と、
前記パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを検出する手段と、
前記検出手段により検出された受信パケットを前記パケット処理装置に対する未知の攻撃パケットであると決定する手段と
を具備することを特徴とする攻撃パケット検出装置。 An attack packet detection device that is provided in a packet processing device including a packet processing module that processes a packet received from a network and detects an attack packet from received packets,
Packet storage means for storing received packets;
Means for deleting the packet from the packet storage means when processing by the packet processing module for the received packet is completed;
Means for detecting a received packet remaining in the packet storage means even after a predetermined time has elapsed since being stored in the packet storage means;
An attack packet detection apparatus comprising: a means for determining that the received packet detected by the detection means is an unknown attack packet for the packet processing apparatus.
受信パケットを前記パターン格納手段に格納されている各パターン情報の示すパターンと比較するパケット比較手段と、
前記パケット比較手段による比較で一致が検出された場合、対応する受信パケットを攻撃パケットであるとして破棄する手段と、
前記パケット比較手段による比較で一致が検出されなかった場合、対応する受信パケットを前記パケット処理モジュールに転送する手段と
を更に具備し、
前記削除手段は、前記破棄手段により受信パケットが破棄された場合にも、当該パケットを前記パケット保存手段から削除する
ことを特徴とする請求項1記載の攻撃パケット検出装置。 Pattern storage means for storing pattern information indicating a pattern for identifying the packet extracted from the received packet determined to be an unknown attack packet by the determination means;
A packet comparison means for comparing the received packet with a pattern indicated by each pattern information stored in the pattern storage means;
A means for discarding a corresponding received packet as an attack packet when a match is detected in the comparison by the packet comparison means;
Means for transferring a corresponding received packet to the packet processing module if no match is detected in the comparison by the packet comparison means;
The attack packet detection apparatus according to claim 1, wherein the deletion unit deletes the packet from the packet storage unit even when the received packet is discarded by the discard unit.
前記検出手段は、前記パケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が前記一定時間を経過している管理情報を検出することにより、当該検出された管理情報により管理されている受信パケットを検出し、
前記削除手段は、前記検出手段により検出された受信パケットの管理情報を前記パケット管理情報保存手段から削除することで、当該管理情報により管理されるパケットを前記パケット保存手段から論理的に削除する
ことを特徴とする請求項2記載の攻撃パケット検出装置。 Management information for managing received packets stored in the packet storage means, further comprising packet management information storage means for storing management information including time information indicating the storage time of the received packets,
The detection means includes, among the management information stored in the packet management information storage means, an elapsed time from the time indicated by the time information included in the management information to the current time has passed the predetermined time. The received packet managed by the detected management information,
The deletion unit logically deletes the packet managed by the management information from the packet storage unit by deleting the management information of the received packet detected by the detection unit from the packet management information storage unit. The attack packet detection apparatus according to claim 2.
前記パケット比較手段による比較で不一致が検出された場合、前記パケット管理情報保存手段に保存されている対応する受信パケットの管理情報に含まれているフラグ情報を前記第3の状態を示すように変更すると共に、当該管理情報中の時刻情報をその際の時刻を示すように変更する手段と
を更に具備し、
前記検出手段は、前記パケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれているフラグ情報が前記第2の状態を示し、且つ当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が第1の一定時間を経過している管理情報を検出すると共に、前記パケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれているフラグ情報が前記第3の状態を示し、且つ当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が第2の一定時間を経過している管理情報を検出することにより、当該検出された管理情報により管理されている受信パケットを検出し、
前記削除手段は、前記検出手段により受信パケットが検出された場合には、前記パケット管理情報保存手段に保存されている当該受信パケットの管理情報に含まれているフラグ情報を前記第1の状態に変更することにより、前記破棄手段により受信パケットが破棄された場合には、前記パケット管理情報保存手段に保存されている当該破棄された受信パケットの管理情報に含まれているフラグ情報を前記第1の状態に変更することにより、いずれも当該受信パケットの管理情報を前記パケット管理情報保存手段から論理的に削除して、当該受信パケットを前記パケット保存手段から論理的に削除する
ことを特徴とする請求項2記載の攻撃パケット検出装置。 A first state in which there is no corresponding packet for managing the received packet stored in the packet storage means, a second state in which the corresponding packet is processed in the attack packet detection device, or a corresponding state Management information including flag information indicating a third state in which a packet is processed outside the attack packet detection device, and time information indicating a time when the flag information indicates the second or third state Packet management information storing means for storing, comprising: flag information indicating the second state and time information indicating a time when the received packet is stored when the received packet is stored in the packet storing means Packet management information storage means for storing information;
When a mismatch is detected in the comparison by the packet comparison unit, the flag information included in the management information of the corresponding received packet stored in the packet management information storage unit is changed to indicate the third state. And means for changing the time information in the management information to indicate the time at that time,
The detection means includes flag information included in the management information from the management information stored in the packet management information storage means indicating the second state and included in the management information. Management information whose elapsed time from the time indicated by the time information to the current time has passed the first fixed time is detected, and the management information is selected from the management information stored in the packet management information storage means Management information in which the flag information included in the information indicates the third state, and the elapsed time from the time indicated by the time information included in the management information to the current time has passed the second fixed time To detect the received packet managed by the detected management information,
When the received packet is detected by the detecting unit, the deleting unit sets the flag information included in the received packet management information stored in the packet management information storing unit to the first state. When the received packet is discarded by the discarding unit by changing, the flag information included in the management information of the discarded received packet stored in the packet management information storing unit is changed to the first information. In any case, the management information of the received packet is logically deleted from the packet management information storage unit, and the received packet is logically deleted from the packet storage unit. The attack packet detection apparatus according to claim 2.
前記検出手段は、前記攻撃パケット検出装置の終了時にも起動され、
前記削除手段は、前記攻撃パケット検出装置の終了時に、前記検出手段による検出動作完了後に、前記パケット保存手段から全ての受信パケットを削除することを特徴とする請求項6記載の攻撃パケット検出装置。 The packet storage means is a rewritable nonvolatile storage means,
The detection means is also activated at the end of the attack packet detection device,
7. The attack packet detection device according to claim 6, wherein the deletion unit deletes all received packets from the packet storage unit after the detection operation by the detection unit is completed when the attack packet detection device is terminated.
受信パケットをパケット保存手段に保存するステップと、
受信パケットに対する前記パケット処理モジュールによる処理が終了した時点で当該パケットを前記パケット保存手段から削除するステップと、
前記パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを検出するステップと、
前記検出ステップで検出された受信パケットを前記パケット処理装置に対する未知の攻撃パケットであると決定するステップと
を具備することを特徴とする攻撃パケット検出方法。 An attack packet detection method for detecting an attack packet from received packets in a packet processing device including a packet processing module for processing a packet received from a network,
Storing the received packet in a packet storage means;
Deleting the packet from the packet storage means when the processing by the packet processing module for the received packet is completed;
Detecting a received packet remaining in the packet storage unit even after a predetermined time has elapsed since being stored in the packet storage unit;
And determining the received packet detected in the detection step as an unknown attack packet for the packet processing device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003278979A JP3730642B2 (en) | 2003-07-24 | 2003-07-24 | Attack packet detection apparatus and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003278979A JP3730642B2 (en) | 2003-07-24 | 2003-07-24 | Attack packet detection apparatus and method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005045649A JP2005045649A (en) | 2005-02-17 |
JP3730642B2 true JP3730642B2 (en) | 2006-01-05 |
Family
ID=34265227
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003278979A Expired - Fee Related JP3730642B2 (en) | 2003-07-24 | 2003-07-24 | Attack packet detection apparatus and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3730642B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8065729B2 (en) | 2006-12-01 | 2011-11-22 | Electronics And Telecommunications Research Institute | Method and apparatus for generating network attack signature |
US8295198B2 (en) * | 2007-12-18 | 2012-10-23 | Solarwinds Worldwide Llc | Method for configuring ACLs on network device based on flow information |
JPWO2009139170A1 (en) * | 2008-05-16 | 2011-09-15 | パナソニック株式会社 | Attack packet detection device, attack packet detection method, video reception device, content recording device, and IP communication device |
JP7167439B2 (en) * | 2017-12-28 | 2022-11-09 | 株式会社リコー | Information processing device, vulnerability detection method and program |
-
2003
- 2003-07-24 JP JP2003278979A patent/JP3730642B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005045649A (en) | 2005-02-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2568295C2 (en) | System and method for temporary protection of operating system of hardware and software from vulnerable applications | |
JP4629332B2 (en) | Status reference monitor | |
JP3999188B2 (en) | Unauthorized access detection device, unauthorized access detection method, and unauthorized access detection program | |
US7478250B2 (en) | System and method for real-time detection of computer system files intrusion | |
US7334264B2 (en) | Computer virus generation detection apparatus and method | |
US8819835B2 (en) | Silent-mode signature testing in anti-malware processing | |
US8301433B2 (en) | Software behavior modeling apparatus, software behavior monitoring apparatus, software behavior modeling method, and software behavior monitoring method | |
US20100235920A1 (en) | Method and device for questioning a plurality of computerized devices | |
US20080201661A1 (en) | Remote flash storage management | |
TWI474213B (en) | Cloud system for threat protection and protection method using for the same | |
CA2485062A1 (en) | Security-related programming interface | |
US7845010B2 (en) | Terminal control apparatus and terminal control method | |
US20070250547A1 (en) | Log Preservation Method, and Program and System Thereof | |
JP6379013B2 (en) | Network control system, network control method and program | |
KR100788256B1 (en) | System for monitoring web server fablication using network and method thereof | |
JP3730642B2 (en) | Attack packet detection apparatus and method | |
US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
JP5581162B2 (en) | Information processing apparatus, password diagnosis method, and program | |
JP2006146600A (en) | Operation monitoring server, terminal apparatus and operation monitoring system | |
JPH11167487A (en) | Virus check network, virus check device, client terminal and virus information managing station | |
CN111506897B (en) | Data processing method and device | |
RU2468427C1 (en) | System and method to protect computer system against activity of harmful objects | |
KR100594870B1 (en) | Method for detecting and killing anomaly file and process | |
JP2020017821A (en) | External information reception and distribution device, data transmission method, and program | |
CN115906069A (en) | Application identification management method and device and related equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050801 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051004 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051006 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081014 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091014 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091014 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101014 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |