JP3730642B2 - Attack packet detection apparatus and method - Google Patents

Attack packet detection apparatus and method Download PDF

Info

Publication number
JP3730642B2
JP3730642B2 JP2003278979A JP2003278979A JP3730642B2 JP 3730642 B2 JP3730642 B2 JP 3730642B2 JP 2003278979 A JP2003278979 A JP 2003278979A JP 2003278979 A JP2003278979 A JP 2003278979A JP 3730642 B2 JP3730642 B2 JP 3730642B2
Authority
JP
Japan
Prior art keywords
packet
received
attack
management information
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003278979A
Other languages
Japanese (ja)
Other versions
JP2005045649A (en
Inventor
邦朗 本沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003278979A priority Critical patent/JP3730642B2/en
Publication of JP2005045649A publication Critical patent/JP2005045649A/en
Application granted granted Critical
Publication of JP3730642B2 publication Critical patent/JP3730642B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明は、ネットワークから受信されたパケットの中から未知の攻撃パケットを検出するのに好適な攻撃パケット検出装置及び方法に関する。   The present invention relates to an attack packet detection apparatus and method suitable for detecting an unknown attack packet from packets received from a network.

近年、ネットワークに接続された機器上でパケットの処理を行うモジュール(パケット処理モジュール)のセキュリティホールに対して攻撃する攻撃パケット(不正パケット)を検出して当該攻撃パケットによる攻撃を防御する技術が種々開発されている。この攻撃パケットを検出する代表的な技術として、攻撃パケットに共通のパターン(攻撃パターン)を予めデータベース化したパターンファイル(つまり静的なパターンファイル)を利用した技術が知られている(例えば、特許文献1参照)。この技術を適用した機器は、ネットワークインタフェースとパケット処理モジュールとの間に、上記のパターンファイルを含む防御モジュールを備えている。防御モジュールは、ネットワークインタフェースがネットワークからパケットを受信した場合、当該受信したパケットの内容をパターンファイル内のパターン情報と比較する。もし、両者が一致しなかった場合は、防御モジュールは受信パケットをパケット処理モジュールに転送する。一方、両者が一致した場合には、防御モジュールは受信パケットが攻撃パケットであるとみなし、当該受信パケットを破棄して、パケット処理モジュールには転送しない。同時に防御モジュールは、破棄したパケットに関する情報、時刻等のログの出力、機器の管理者への通知等を行う。
特開2002−63084号公報(段落0066,0067、図1) In recent years, there are various techniques for detecting attack packets (illegal packets) that attack a security hole in a module (packet processing module) that processes packets on devices connected to the network and defending against attacks by the attack packets. Has been developed. As a representative technique for detecting this attack packet, a technique using a pattern file (that is, a static pattern file) in which patterns common to attack packets (attack patterns) are previously databased is known (for example, patents). Reference 1). A device to which this technology is applied includes a defense module including the pattern file described above between a network interface and a packet processing module. When the network interface receives a packet from the network, the defense module compares the content of the received packet with the pattern information in the pattern file. If they do not match, the defense module forwards the received packet to the packet processing module. On the other hand, if the two match, the defense module regards the received packet as an attack packet, discards the received packet, and does not transfer it to the packet processing module. At the same time, the defense module outputs information about discarded packets, logs such as time, and notifies the device administrator.
Japanese Patent Laid-Open No. 2002-63084 (paragraphs 0066 and 0067, FIG. 1)

上記した従来技術によれば、予めパターンファイルに登録されたパターンに一致するパケットを攻撃パケットとして検出できるため、そのパケットによる攻撃を防御できる。しかし従来技術では、パターンファイルに登録されていない未知のパターンの攻撃パケットは検出できず、したがって未知の攻撃パケットによる攻撃に関しては防御できない。   According to the above-described conventional technology, a packet that matches a pattern registered in the pattern file in advance can be detected as an attack packet, so that an attack by the packet can be prevented. However, the conventional technique cannot detect an attack packet having an unknown pattern that is not registered in the pattern file, and therefore cannot protect against an attack by an unknown attack packet.

本発明は上記事情を考慮してなされたものでその目的は、ネットワークから受信されたパケットの中から未知の攻撃パケットを検出できる攻撃パケット検出装置及び方法を提供することにある。   The present invention has been made in view of the above circumstances, and an object thereof is to provide an attack packet detection apparatus and method that can detect an unknown attack packet from packets received from a network.

本発明の1つの観点によれば、ネットワークから受信されたパケットを処理するパケット処理モジュールを備えたパケット処理装置に設けられ、受信パケットの中から攻撃パケットを検出する攻撃パケット検出装置が提供される。この攻撃パケット検出装置は、受信パケットを保存するパケット保存手段と、受信パケットに対する上記パケット処理モジュールによる処理が終了した時点で当該パケットを上記パケット保存手段から削除する手段と、上記パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを検出する手段と、この検出手段により検出された受信パケットを前記パケット処理装置に対する未知の攻撃パケットであると決定する手段とを備えている。   According to one aspect of the present invention, there is provided an attack packet detection device that is provided in a packet processing device including a packet processing module that processes a packet received from a network and detects an attack packet from the received packet. . The attack packet detection device includes: a packet storage unit that stores a received packet; a unit that deletes the packet from the packet storage unit when processing by the packet processing module for the received packet is completed; and a storage unit that stores the packet in the packet storage unit Means for detecting a received packet remaining in the packet storage means even after a certain period of time has elapsed, and determines that the received packet detected by the detection means is an unknown attack packet for the packet processing device Means.

このような構成においては、ネットワークから受信したパケットをパケット保存手段に一時保存し、当該受信パケットに対するパケット処理モジュールによる処理(つまり本来の処理)が終了した時点で当該パケットをパケット保存手段から削除する構成とすることにより、パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを、パケット処理モジュールを含むパケット処理装置を異常状態に陥れた未知の攻撃パケットであるとして検出することができる。   In such a configuration, a packet received from the network is temporarily stored in the packet storage unit, and the packet is deleted from the packet storage unit when processing by the packet processing module (that is, original processing) for the received packet is completed. By configuring the received packet remaining in the packet storage unit even after a lapse of a certain time since it was stored in the packet storage unit, the packet processing device including the packet processing module has entered an unknown state. It can be detected as an attack packet.

ここで、未知の攻撃パケットであると決定された受信パケットから抽出された当該パケットを特定するためのパターンを示すパターン情報を格納するパターン格納手段と、受信パケットを、このパターン格納手段に格納されている各パターン情報の示すパターンと比較するパケット比較手段と、このパケット比較手段による比較で一致が検出された場合、対応する受信パケットを攻撃パケットであるとして破棄する手段と、上記パケット比較手段による比較で一致が検出されなかった場合、対応する受信パケットをパケット処理モジュールに転送する手段とを追加し、上記破棄手段により受信パケットが破棄された場合にも、当該パケットが上記削除手段により上記パケット保存手段から削除される構成とするとよい。   Here, pattern storage means for storing pattern information indicating a pattern for identifying the packet extracted from the received packet determined to be an unknown attack packet, and the received packet are stored in the pattern storage means. A packet comparison means for comparing with a pattern indicated by each pattern information, a means for discarding a corresponding received packet as an attack packet when a match is detected by the comparison by the packet comparison means, and a packet comparison means A means for transferring the corresponding received packet to the packet processing module when a match is not detected in the comparison, and when the received packet is discarded by the discarding means, the packet is also deleted by the deleting means. It may be configured to be deleted from the storage means.

このような構成においては、受信パケットに起因してパケット処理装置が異常状態に陥ったことが検出された結果、原因となったパケットが未知の攻撃パケットであるとして、当該パケットを特定するためのパターンを示すパターン情報を新たにパターン格納手段に自動登録することにより、以降の同様のパケットによる攻撃を防御することが可能となる。また、以降の同様のパケットによる攻撃を防御した際に、即ち以降に受信される同様のパケットが攻撃パケットであると検出されて破棄された際に、当該パケットをパケット保存手段から削除することにより、当該パケットが未知の攻撃パケットであると誤検出されるのを防止できる。   In such a configuration, as a result of detecting that the packet processing apparatus has entered an abnormal state due to a received packet, the cause packet is identified as an unknown attack packet, and the packet is identified. By automatically registering new pattern information indicating a pattern in the pattern storage means, it is possible to prevent subsequent attacks by similar packets. In addition, when a subsequent attack by a similar packet is defended, that is, when a similar packet received thereafter is detected as an attack packet and discarded, the packet is deleted from the packet storage means. It is possible to prevent erroneous detection that the packet is an unknown attack packet.

また、パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを容易に検出可能とするために、パケット保存手段に保存された受信パケットを管理するための管理情報であって、当該受信パケットの保存時刻を示す時刻情報を含む管理情報を保存するパケット管理情報保存手段を追加し、このパケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が一定時間を経過している管理情報を検出することにより、対応する受信パケットを目的のパケットとして検出する構成とするとよい。ここで、検出された受信パケットの管理情報を上記パケット管理情報保存手段から削除することにより、当該管理情報により管理されるパケットを上記パケット保存手段から論理的に削除することができる。   In addition, in order to make it possible to easily detect a received packet remaining in the packet storage unit even after a predetermined time has elapsed since it was stored in the packet storage unit, the received packet stored in the packet storage unit is managed. Packet management information storage means for storing management information for storing management information including time information indicating the storage time of the received packet, and adding the management information stored in the packet management information storage means A configuration in which a corresponding received packet is detected as a target packet by detecting management information in which an elapsed time from the time indicated by the time information included in the management information to the current time has passed a fixed time; Good. Here, by deleting the management information of the detected received packet from the packet management information storage unit, the packet managed by the management information can be logically deleted from the packet storage unit.

また、上記検出手段により検出された受信パケットが未知の攻撃パケットであるかを決定するために、攻撃パケット検出装置内部または攻撃パケット検出装置外部のうち、当該受信パケットを処理中の部分の状態が異常であるかを監視し、異常である場合だけ当該受信パケットが未知の攻撃パケットであると決定するならば、より確実に未知の攻撃パケットを決定できる。ここで、攻撃パケット検出装置外部の状態は、例えばパケット処理モジュールと連携を取ることにより監視可能である。   In addition, in order to determine whether the received packet detected by the detecting means is an unknown attack packet, the state of the portion of the attack packet detecting device inside or outside the attack packet detecting device that is processing the received packet is If it is monitored whether it is abnormal and it is determined that the received packet is an unknown attack packet only if it is abnormal, the unknown attack packet can be determined more reliably. Here, the state outside the attack packet detection device can be monitored by, for example, cooperating with the packet processing module.

本発明によれば、ネットワークから受信したパケットをパケット保存手段に一時保存し、当該受信パケットに対するパケット処理モジュールによる処理が終了した時点で当該パケットをパケット保存手段から削除する構成とすることにより、パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを未知の攻撃パケットであるとして検出することができる。   According to the present invention, a packet received from the network is temporarily stored in the packet storage unit, and the packet is deleted from the packet storage unit when processing by the packet processing module for the received packet is completed. Even after a predetermined time has passed since the data is stored in the storage unit, the received packet remaining in the packet storage unit can be detected as an unknown attack packet.

以下、本発明の実施の形態につき図面を参照して説明する。
図1は本発明の一実施形態に係るパケット処理装置の構成を示すブロック図である。図1において、パケット処理装置10は、ネットワーク20に接続されたネットワークI/F(インタフェース)11と、パケット処理モジュール12と、本発明に直接関係する攻撃パケット防御モジュール(以下、防御モジュールと略称する)13とを備えている。本実施形態において、パケット処理モジュール12及び防御モジュール13は、パケット処理装置10が有する図示せぬCPUがそれぞれパケット処理プログラム及び防御プログラムを実行することにより実現される。 Embodiments of the present invention will be described below with reference to the drawings.
FIG. 1 is a block diagram showing a configuration of a packet processing apparatus according to an embodiment of the present invention. In FIG. 1, a packet processing apparatus 10 includes a network I / F (interface) 11 connected to a network 20, a packet processing module 12, and an attack packet defense module (hereinafter abbreviated as a defense module) directly related to the present invention. 13). In the present embodiment, the packet processing module 12 and the defense module 13 are realized by a CPU (not shown) included in the packet processing device 10 executing a packet processing program and a defense program, respectively.

防御モジュール13は、パケット処理モジュール12を防御対象として、当該パケット処理モジュール12を攻撃パケットから防御する攻撃パケット防御装置である。防御モジュール13は、パケット処理モジュール12と連携を取って、受信パケットに起因して当該パケット処理モジュール12が異常状態に陥ったことを検出する機能と、原因となったパケットを未知の攻撃パケットとして決定する機能とを有する。つまり防御モジュール13は、一連の受信パケットの中から未知の攻撃パケットを検出する攻撃パケット検出装置としての機能を有する。防御モジュール13はまた、未知の攻撃パケットとして決定された受信パケットから抽出されたパターンを示す情報を新たにパターンファイルに自動登録する機能と、受信パケットのうちパターンファイルに自動登録されたパターンに一致(類似)したパケットを破棄する機能とを有する。   The defense module 13 is an attack packet defense device that protects the packet processing module 12 from attack packets with the packet processing module 12 as a protection target. The defense module 13 cooperates with the packet processing module 12 to detect that the packet processing module 12 has entered an abnormal state due to a received packet, and the causing packet is set as an unknown attack packet. And a function to determine. That is, the defense module 13 has a function as an attack packet detection device that detects an unknown attack packet from a series of received packets. The defense module 13 also has a function of automatically registering information indicating a pattern extracted from a received packet determined as an unknown attack packet in a pattern file, and matches a pattern automatically registered in the pattern file among the received packets. A function of discarding (similar) packets.

防御モジュール13は、下位レイヤーパケット転送I/F131と、上位レイヤーパケット転送I/F132と、上位レイヤーパケット処理通知I/F133と、記憶部134とを備えている。下位レイヤーパケット転送I/F131は、下位レイヤーのネットワークI/F11(つまり、よりネットワーク20の物理レイヤーに近いインタフェースモジュール)との間でパケットの授受を行う。上位レイヤーパケット転送I/F132は、上位レイヤーのパケット処理モジュール12(つまり、よりネットワーク20の物理レイヤーから遠い、防御対象となるパケット処理モジュール12)との間でパケットの授受を行う。上位レイヤーパケット処理通知I/F133は、パケット処理モジュール12との間でパケット処理に関する情報の授受を行う。記憶部134は、パケット処理装置10が有する不揮発性の記憶装置(図示せぬ)の記憶領域(不揮発性領域)のうち、防御モジュール13に割り当てられる記憶領域により実現される。不揮発性の記憶装置は例えばハードディスクドライブである。   The defense module 13 includes a lower layer packet transfer I / F 131, an upper layer packet transfer I / F 132, an upper layer packet processing notification I / F 133, and a storage unit 134. The lower layer packet transfer I / F 131 exchanges packets with the network I / F 11 of the lower layer (that is, an interface module closer to the physical layer of the network 20). The upper layer packet transfer I / F 132 exchanges packets with the packet processing module 12 of the upper layer (that is, the packet processing module 12 to be protected, which is further away from the physical layer of the network 20). The upper layer packet processing notification I / F 133 exchanges information regarding packet processing with the packet processing module 12. The storage unit 134 is realized by a storage area allocated to the defense module 13 among storage areas (nonvolatile areas) of a nonvolatile storage device (not shown) included in the packet processing device 10. The nonvolatile storage device is, for example, a hard disk drive.

記憶部134の記憶領域は、保存パケット管理テーブル134aを記憶するための記憶領域(保存パケット管理テーブル記憶領域)と、パケット保存領域134bと、パターンファイル格納領域134cとに割り当てられる。なお、保存パケット管理テーブル134aの記憶領域とパケット保存領域134bとが、後述するように揮発性の記憶装置内に確保される構成であっても構わない。   The storage area of the storage unit 134 is allocated to a storage area (a storage packet management table storage area) for storing the storage packet management table 134a, a packet storage area 134b, and a pattern file storage area 134c. The storage area of the storage packet management table 134a and the packet storage area 134b may be secured in a volatile storage device as will be described later.

パケット保存領域134bは、受信したパケットを一時的に保存しておく領域である。保存パケット管理テーブル134aは、パケット保存領域134bに保存されているパケットを管理するための管理情報を保存するのに用いられるパケット管理情報保存手段である。この管理情報は、保存パケットの状態を示す状態フラグと時刻を示す時刻情報とを含む。つまり保存パケット管理テーブル134a内の各エントリは、状態フラグが設定されるフラグフィールドと、時刻情報が設定される時刻フィールドとを含む。時刻情報は、年月日の情報も含む。状態フラグにより示される状態には、対応する保存パケット管理テーブル134a内のエントリが使われていないこと(つまり空きエントリであること)を示す「未使用」状態と、対応するパケットが防御モジュール13内で処理中であることを示す「内部処理中」状態と、対応するパケットが防御モジュール13外(ここではパケット処理モジュール12)で処理中であることを示す「外部処理中」状態との3つがある。パターンファイル格納領域134cは、パケット処理モジュール12に対する攻撃のパターンの情報を保存したパターンファイルを格納するのに用いられる。ここでは、パターンファイル格納領域134c(内のパターンファイル)に対するパターン情報の追加及びパターンファイル格納領域134c(内のパターンファイル)からのパターン情報の削除が可能である。   The packet storage area 134b is an area for temporarily storing received packets. The stored packet management table 134a is a packet management information storage unit used to store management information for managing packets stored in the packet storage area 134b. This management information includes a status flag indicating the status of the stored packet and time information indicating the time. That is, each entry in the stored packet management table 134a includes a flag field in which a status flag is set and a time field in which time information is set. The time information includes date information. The status indicated by the status flag includes an “unused” status indicating that the corresponding entry in the stored packet management table 134 a is not used (that is, a free entry), and the corresponding packet is in the defense module 13. The “internal processing” state indicating that processing is in progress, and the “external processing” state indicating that the corresponding packet is being processed outside the defense module 13 (here, the packet processing module 12). is there. The pattern file storage area 134c is used to store a pattern file in which information on an attack pattern for the packet processing module 12 is stored. Here, it is possible to add pattern information to the pattern file storage area 134c (internal pattern file) and to delete pattern information from the pattern file storage area 134c (internal pattern file).

図2は、保存パケット管理テーブル134a及びパケット保存領域134bのデータ構造例を示す。保存パケット管理テーブル134aは、管理情報を保存するエントリの群を有し、パケット保存領域134bは受信パケットを保存するエントリの群を有する。ここで、インデクスiで参照される、保存パケット管理テーブル134a内のエントリ(第iエントリ)と、同じインデクスiで参照される、パケット保存領域134b内のエントリ(第iエントリ)とは対応している。即ち、保存パケット管理テーブル134a内のインデクスiで参照されるエントリには、パケット保存領域134b内のインデクスiで参照されるエントリに保存されているパケットの管理情報が保存されている。   FIG. 2 shows an example of the data structure of the storage packet management table 134a and the packet storage area 134b. The stored packet management table 134a has a group of entries for storing management information, and the packet storage area 134b has a group of entries for storing received packets. Here, the entry (i-th entry) in the stored packet management table 134a referred to by the index i and the entry (i-th entry) in the packet storage area 134b referenced by the same index i correspond to each other. Yes. That is, the management information of the packet stored in the entry referred to by the index i in the packet storage area 134b is stored in the entry referenced by the index i in the stored packet management table 134a.

再び図1を参照すると、防御モジュール13は更に、受信パケット管理部135と、パケット比較部136と、ログ出力警告処理部137とを備えている。受信パケット管理部135は、パターンファイル格納領域134c(内のパターンファイル)を対象とするパターン情報の追加/削除と、パケット保存領域134bを対象とする受信パケットの登録/削除と、保存パケット管理テーブル134a内のエントリの各フィールドへの情報書き込みと、パケット比較部136への受信パケットの転送等を行う。また、受信パケット管理部135は、パケット保存領域134bに保存されたパケットが予め定められた判定条件を満たした場合に当該パケットを未知の攻撃パケットであると判定し、当該パケットからパターン情報を抽出して新たにパターンファイル格納領域134cに登録する。パケット比較部136は、受信パケット管理部135から受け取った受信パケットを、パターンファイル格納領域134c中の各パターン情報と比較する。パケット比較部136は、比較の結果、受信パケットに一致するパターン情報があった場合、当該受信パケットが既知の攻撃パケットであると判断する。この場合、パケット比較部136はパケット破棄手段として機能して受信パケットを破棄し、ログ出力警告処理部137に通知する。またパケット比較部136は、比較の結果、受信パケットに一致するパターン情報がなかった場合、当該受信パケットは攻撃パケットでないと判断する。この場合、パケット比較部136は受信パケットを上位レイヤーパケット転送I/F132により上位レイヤー(パケット処理モジュール12)に転送させる。ログ出力警告処理部137は、パケット比較部136での比較の結果、受信パケットが攻撃パケットであるとみなされた場合に、攻撃の内容、受信日時、送信元等をログとして記録し、また表示器等の出力手段を介してシステム管理者に警告する処理を行う。   Referring back to FIG. 1, the defense module 13 further includes a received packet management unit 135, a packet comparison unit 136, and a log output warning processing unit 137. The received packet management unit 135 adds / deletes pattern information for the pattern file storage area 134c (internal pattern file), registers / deletes received packets for the packet storage area 134b, and a stored packet management table. Information is written to each field of the entry in 134 a and the received packet is transferred to the packet comparison unit 136. In addition, when the packet stored in the packet storage area 134b satisfies a predetermined determination condition, the received packet management unit 135 determines that the packet is an unknown attack packet, and extracts pattern information from the packet. Then, it is newly registered in the pattern file storage area 134c. The packet comparison unit 136 compares the received packet received from the received packet management unit 135 with each pattern information in the pattern file storage area 134c. If there is pattern information that matches the received packet as a result of the comparison, the packet comparing unit 136 determines that the received packet is a known attack packet. In this case, the packet comparison unit 136 functions as a packet discarding unit, discards the received packet, and notifies the log output warning processing unit 137. Further, when there is no pattern information that matches the received packet as a result of the comparison, the packet comparing unit 136 determines that the received packet is not an attack packet. In this case, the packet comparison unit 136 causes the received packet to be transferred to the upper layer (packet processing module 12) by the upper layer packet transfer I / F 132. The log output warning processing unit 137 records the contents of the attack, the reception date and time, the transmission source, etc. as a log and displays it when the received packet is considered to be an attack packet as a result of the comparison by the packet comparison unit 136. The system administrator is warned through an output means such as a device.

次に本実施形態の動作について、図1のパケット処理装置10内の防御モジュール13の動作を中心に説明する。
[インストール時の初期化処理]
まず本実施形態では、パケット処理装置10に防御プログラムをインストールして防御モジュール13を実現し、しかる後に当該防御モジュール13を初めて起動した際にのみ、図3のフローチャートに示す初期化処理が受信パケット管理部135により行われる。この初期化処理を、インストール時(防御モジュール13のインストール時)の初期化処理と称する。ここでは、受信パケット管理部135は、保存パケット管理テーブル134a内の全エントリについて、状態フラグをいずれも「未使用」状態に設定するセットする(ステップS1)。 Next, the operation of this embodiment will be described focusing on the operation of the defense module 13 in the packet processing apparatus 10 of FIG.
[Initialization during installation]
First, in the present embodiment, only when the defense module 13 is realized by installing a defense program in the packet processing apparatus 10 and then the defense module 13 is activated for the first time, the initialization process shown in the flowchart of FIG. This is performed by the management unit 135. This initialization process is referred to as an initialization process at the time of installation (when the defense module 13 is installed). Here, the received packet management unit 135 sets the status flags of all entries in the stored packet management table 134a to be set to an “unused” state (step S1).

[パケット受信時の処理]
次に、パケット受信時の処理について、図4のフローチャートを参照して説明する。
今、下位レイヤーをなすネットワークI/F11から、防御モジュール13内の下位レイヤーパケット転送I/F131に、ネットワーク20から受信したパケットが転送されたものとする。下位レイヤーパケット転送I/F131は、この下位レイヤー(ネットワークI/F11)から転送されたパケットを受信して、その受信パケットを受信パケット管理部135に転送する(ステップS11)。 [Process when receiving packets]
Next, processing at the time of packet reception will be described with reference to the flowchart of FIG.
It is assumed that the packet received from the network 20 is transferred from the network I / F 11 forming the lower layer to the lower layer packet transfer I / F 131 in the defense module 13. The lower layer packet transfer I / F 131 receives the packet transferred from the lower layer (network I / F 11) and transfers the received packet to the received packet management unit 135 (step S11).

受信パケット管理部135は、下位レイヤーパケット転送I/F131から転送された受信パケットを受け取ると、保存パケット管理テーブル134a内のエントリ群から、状態フラグが「未使用」状態を示すエントリ、つまり空きエントリを1つ探し、当該空きエントリを確保すると共に当該空きエントリのインデクスXを得る(ステップS12a)。次に受信パケット管理部135は、インデクスXで参照される、パケット保存領域134b内のエントリ(第Xエントリ)に受信パケットを格納する(ステップS12b)。また受信パケット管理部135は、インデクスXで参照される、保存パケット管理テーブル134a内のエントリ中のフラグフィールドに設定されている状態フラグを「内部処理中」を示す状態に変更すると共に、当該エントリ中の時刻フィールドに現在の(つまり内部処理開始時点の)時刻(及び年月日)を示す時刻情報を保存する(ステップS12c)。また受信パケット管理部135は、受信パケットをパケット比較部136に転送する(ステップS12d)。   When the received packet management unit 135 receives the received packet transferred from the lower layer packet transfer I / F 131, the entry indicating that the status flag is “unused” from the entries in the stored packet management table 134 a, that is, a free entry Is obtained, the empty entry is secured, and the index X of the empty entry is obtained (step S12a). Next, the received packet management unit 135 stores the received packet in an entry (Xth entry) in the packet storage area 134b referred to by the index X (step S12b). The received packet management unit 135 changes the status flag set in the flag field in the entry in the stored packet management table 134a referred to by the index X to a status indicating “internal processing”, and Time information indicating the current time (and the date of the internal process) (and date) is stored in the middle time field (step S12c). The received packet management unit 135 transfers the received packet to the packet comparison unit 136 (step S12d).

パケット比較部136は、パターンファイル格納領域134cに格納されているパターン情報を例えば先頭から順に取り出す。そしてパケット比較部136は、パターンファイル格納領域134cからパターン情報を取り出す都度、当該パターン情報の示すパターンと受信パケット管理部135から転送された受信パケットの内容とを比較する。パケット比較部136は、この動作を、パターンファイル格納領域134cから取り出されたパターン情報の示すパターンと受信パケットとが一致するのを検出するまで、または全てのパターン情報について比較し終えるまで繰り返す(ステップS13)。   The packet comparison unit 136 extracts the pattern information stored in the pattern file storage area 134c, for example, in order from the top. Each time the packet comparison unit 136 extracts the pattern information from the pattern file storage area 134c, the packet comparison unit 136 compares the pattern indicated by the pattern information with the content of the reception packet transferred from the reception packet management unit 135. The packet comparison unit 136 repeats this operation until it detects that the pattern indicated by the pattern information extracted from the pattern file storage area 134c matches the received packet, or until all the pattern information has been compared (step S1). S13).

もし、パターンファイル格納領域134c内のいずれかのパターン情報の示すパターンと受信パケットの内容とが一致した場合(ステップS14)、パケット比較部136は、当該受信パケットが攻撃パケット(既知の攻撃パケット)であると判断する。この場合、パケット比較部136は受信パケットを破棄し、攻撃パケットを検出したことをログ出力警告処理部137に通知する(ステップS15)。するとログ出力警告処理部137は、攻撃パケットであると判断された受信パケットに関する情報(攻撃の内容、受信日時、送信元等の情報)をログとして記録すると共に、パケットによる攻撃を受けた旨を管理者等に音声メッセージ出力、表示メッセージ出力等より通知するための警告処理を行う(ステップS16)。この警告処理の中で、ログ出力警告処理部137は受信パケット管理部135に対し、受信パケットが攻撃パケットとみなされて破棄された旨を通知する。   If the pattern indicated by any of the pattern information in the pattern file storage area 134c matches the content of the received packet (step S14), the packet comparison unit 136 determines that the received packet is an attack packet (known attack packet). It is judged that. In this case, the packet comparison unit 136 discards the received packet and notifies the log output warning processing unit 137 that an attack packet has been detected (step S15). Then, the log output warning processing unit 137 records information on the received packet determined to be an attack packet (information of attack contents, reception date and time, transmission source, etc.) as a log and indicates that the packet has been attacked. A warning process is performed to notify the administrator or the like by voice message output, display message output, or the like (step S16). In this warning processing, the log output warning processing unit 137 notifies the received packet management unit 135 that the received packet is regarded as an attack packet and discarded.

受信パケット管理部135は、ログ出力警告処理部137から受信パケットが破棄された旨のパケット破棄通知を受け取ると、当該受信パケットが保存されているパケット保存領域134b内のエントリを探し、そのインデクスXを得る。受信パケット管理部135は、保存パケット管理テーブル134a内のインデクスXに対応するエントリに設定されている状態フラグを、「内部使用中」を示す状態から「未使用」を示す状態に変更する(ステップS17)。   When receiving the packet discard notification that the received packet has been discarded from the log output warning processing unit 137, the received packet management unit 135 searches for an entry in the packet storage area 134b in which the received packet is stored, and the index X Get. The received packet management unit 135 changes the status flag set in the entry corresponding to the index X in the stored packet management table 134a from the status indicating “internal use” to the status indicating “not used” (step S1). S17).

一方、パターンファイル格納領域134c内の全てのパターン情報について当該パターン情報の示すパターンと受信パケットの内容とを比較しても、一致が検出されなかった場合(ステップS14)、パケット比較部136は、不一致を示す比較結果を受信パケット管理部135に通知する。すると受信パケット管理部135は、保存パケット管理テーブル134aから受信パケットに対応するエントリを探し、当該エントリ中の状態フラグを「内部処理中」を示す状態から「外部処理中」を示す状態に変更すると共に、当該エントリ中の時刻情報を現在の(つまり外部処理開始時点の)時刻(及び年月日)を示すように変更する(ステップS18)。一方、パケット比較部136は、受信パケットを上位レイヤーパケット転送I/F132に転送する。上位レイヤーパケット転送I/F132は、この受信パケットを上位レイヤーのパケット処理モジュール12に転送する(ステップS19)。   On the other hand, if no match is detected even if the pattern indicated by the pattern information is compared with the content of the received packet for all the pattern information in the pattern file storage area 134c (step S14), the packet comparison unit 136 The comparison result indicating the mismatch is notified to the received packet management unit 135. Then, the received packet management unit 135 searches the stored packet management table 134a for an entry corresponding to the received packet, and changes the status flag in the entry from a state indicating “internal processing” to a state indicating “external processing”. At the same time, the time information in the entry is changed to indicate the current time (that is, the external processing start time) (and date) (step S18). On the other hand, the packet comparison unit 136 transfers the received packet to the upper layer packet transfer I / F 132. The upper layer packet transfer I / F 132 transfers this received packet to the packet processing module 12 of the upper layer (step S19).

パケット処理モジュール12は、防御モジュール13内の上位レイヤーパケット転送I/F132から転送されたパケットを受信すると、当該パケットを処理する。もし、受信パケットの処理が正常に完了できたなら、パケット処理モジュール12は、パケット処理の完了と、完了したパケットに関する情報を防御モジュール13に返す。   When the packet processing module 12 receives a packet transferred from the upper layer packet transfer I / F 132 in the defense module 13, the packet processing module 12 processes the packet. If the processing of the received packet has been completed normally, the packet processing module 12 returns the packet processing completion and information regarding the completed packet to the defense module 13.

[上位レイヤーでのパケット処理完了時の処理]
次に、上位レイヤーパケット転送I/F132から上位レイヤーのパケット処理モジュール12に転送されたパケットの処理が、当該モジュール12にて正常に完了した場合の動作について、図5のフローチャートを参照して説明する。まず、パケット処理モジュール12から防御モジュール13に対して、パケット処理の完了が通知されたものとする。このパケット処理完了通知には、完了したパケットに関する情報が付加されている。防御モジュール13内の上位レイヤーパケット処理通知I/F133は、パケット処理モジュール12からのパケット処理完了通知を受信して、その通知を受信パケット管理部135に伝える(ステップS21)。受信パケット管理部135は、このパケット処理完了通知を受け取ると、パケット処理モジュール12から処理完了が通知されたパケットをパケット保存領域134bから探し、当該パケットが保存されているエントリのインデクスXを得る。受信パケット管理部135は、保存パケット管理テーブル134a内のインデクスXに対応するエントリに設定されている状態フラグを、「外部使用中」を示す状態から「未使用」を示す状態に変更する(ステップS22)。 [Processing when packet processing in upper layer is completed]
Next, the operation when the processing of the packet transferred from the upper layer packet transfer I / F 132 to the upper layer packet processing module 12 is normally completed in the module 12 will be described with reference to the flowchart of FIG. To do. First, it is assumed that the packet processing module 12 notifies the defense module 13 of the completion of packet processing. Information regarding the completed packet is added to the packet processing completion notification. The upper layer packet processing notification I / F 133 in the defense module 13 receives the packet processing completion notification from the packet processing module 12, and transmits the notification to the received packet management unit 135 (step S21). When receiving the packet processing completion notification, the received packet management unit 135 searches the packet storage area 134b for the packet notified of the processing completion from the packet processing module 12, and obtains the index X of the entry storing the packet. The received packet management unit 135 changes the status flag set in the entry corresponding to the index X in the stored packet management table 134a from the status indicating “in use” to the status indicating “not used” (step S1). S22).

[未知攻撃パケット検出処理]
次に、未知の攻撃パケットを検出する処理(未知攻撃パケット検出処理)について、図6のフローチャートを参照して説明する。この処理は例えば定期的に実行される。また、この処理は、後述する防御モジュール13の終了処理の最初でも実行される。 [Unknown attack packet detection processing]
Next, processing for detecting an unknown attack packet (unknown attack packet detection processing) will be described with reference to the flowchart of FIG. This process is executed periodically, for example. This process is also executed at the beginning of the end process of the defense module 13 described later.

まず、受信パケット管理部135は、保存パケット管理テーブル134a内のエントリを指定するインデクスiを初期値0に設定する(ステップS31)。次に受信パケット管理部135は、保存パケット管理テーブル134a内のインデクスiのエントリを参照する(ステップS32)。そして受信パケット管理部135は、インデクスiのエントリに設定されている状態フラグを調べる(ステップS33)。   First, the received packet management unit 135 sets an index i designating an entry in the stored packet management table 134a to an initial value 0 (step S31). Next, the received packet management unit 135 refers to the entry of the index i in the stored packet management table 134a (step S32). The received packet management unit 135 checks the status flag set in the entry of index i (step S33).

もし、インデクスiのエントリ中の状態フラグが「内部処理中」または「外部処理中」を示しているならば、受信パケット管理部135は、当該エントリの時刻フィールドに設定されている時刻情報の示す時刻(設定時刻)(つまり、現在進行中の内部処理または外部処理の開始時刻)を現在時刻と比較する(ステップ34)。そして受信パケット管理部135は、時刻フィールドの示す時刻(つまり、現在進行中の内部処理または外部処理の開始時刻)から予め定められた基準時間を経過しているか否かを判定する(ステップ35)。   If the status flag in the entry of index i indicates “internal processing” or “external processing”, the received packet management unit 135 indicates the time information set in the time field of the entry. The time (set time) (that is, the start time of the internal process or external process currently in progress) is compared with the current time (step 34). Then, the received packet management unit 135 determines whether or not a predetermined reference time has elapsed since the time indicated by the time field (that is, the start time of the internal process or external process currently in progress) (step 35). .

もし、時刻フィールドの示す時刻から基準時間を経過している場合、つまりパケットの「内部処理中」または「外部処理中」の状態が基準時間を超えて続いている場合、受信パケット管理部135は、「内部処理中」または「外部処理中」のパケットが未知の攻撃パケットである可能性があると判断する。その理由は次の通りである。   If the reference time has elapsed since the time indicated in the time field, that is, if the state of “internal processing” or “external processing” of the packet continues beyond the reference time, the received packet management unit 135 , It is determined that there is a possibility that the “internal processing” or “external processing” packet is an unknown attack packet. The reason is as follows.

まず、「内部処理中」の状態が基準時間を超えて続いていることは、基準時間を経過しても、防御モジュール13の内部のパケット処理が完了していないことを意味している。そのため、受信パケットに起因して、防御モジュール13が無限ループに陥った、或いは異常終了した等の問題が発生している可能性がある。また、「外部処理中」の状態が基準時間を超えて続いていることは、「外部処理中」となっているパケットに関し、上位レイヤーのパケット処理モジュール12において同様の問題が発生している可能性がある。   First, that the state of “internal processing” continues beyond the reference time means that the packet processing inside the defense module 13 is not completed even after the reference time has elapsed. Therefore, there is a possibility that a problem such as the defense module 13 falling into an infinite loop or abnormally terminating due to the received packet has occurred. In addition, if the state of “external processing” continues beyond the reference time, the same problem may occur in the packet processing module 12 of the upper layer with respect to the packet being “external processing”. There is sex.

そこで、受信パケット管理部135は、「内部処理中」または「外部処理中」のパケットが、防御モジュール13、或いは防御対象のパケット処理モジュール12に何らかの悪影響を及ぼす未知の攻撃パケットであるか否かを判定するために、「内部処理」または「外部処理」を行っているモジュール(つまり防御モジュール13またはパケット処理モジュール12)の状態を監視する(ステップS36)。ここでは受信パケット管理部135は、「内部処理」または「外部処理」を実行するためのプログラムの状態を確認する。   Accordingly, the received packet management unit 135 determines whether or not the packet “internal processing” or “external processing” is an unknown attack packet that has some adverse effect on the defense module 13 or the packet processing module 12 to be protected. In order to determine whether or not the module performing the “internal processing” or “external processing” (that is, the defense module 13 or the packet processing module 12) is monitored (step S36). Here, the received packet management unit 135 checks the status of the program for executing “internal processing” or “external processing”.

プログラムの実行状態を確認する手段は従来から知られており、オペレーティングシステム(OS)がWindows(登録商標)であれば例えばタスクマネージャを用いて実現可能であり、UNIX(登録商標)であればpsコマンドを用いて実現可能である。この他に、「内部処理」または「外部処理」を実行するためのプログラムに、予め状態を外部に知らせる機能(例えば、定期的に生存信号を発信する機能)を組み込むことによっても、プログラムの実行状態を確認することが可能である。   Means for confirming the execution state of a program is conventionally known. If the operating system (OS) is Windows (registered trademark), it can be realized using, for example, a task manager, and if it is UNIX (registered trademark), ps. This can be realized using a command. In addition to this, the program for executing “internal processing” or “external processing” can also be executed by incorporating a function for informing the state to the outside in advance (for example, a function for periodically sending a survival signal). It is possible to check the state.

受信パケット管理部135は、このような手段を適用して、「内部処理」または「外部処理」を行うためのプログラムが、現在実行状態にあるか否か、更にはCPUやメモリの使用率がどの程度かを確認することができる。受信パケット管理部135は、パケット処理モジュール12または防御モジュール13での「内部処理」または「外部処理」を行うためのプログラム(プロセス)の実行状態を監視した結果、当該プログラムが実行中でない場合、或いはCPUやメモリの使用率が異常である(ある閾値以上となっている)など挙動が異常である場合に、当該プログラムの実行状態は異常となっていると判定する(ステップS37)。この場合、受信パケット管理部135は、「内部処理中」または「外部処理中」のパケットが、防御モジュール13または防御対象のパケット処理モジュール12に何らかの悪影響を及ぼす未知の攻撃パケットであると判定(決定)する。そこで受信パケット管理部135は、「内部処理中」または「外部処理中」のパケットから当該パケットを特定するためのパターンを抽出して、そのパターンを示すパターン情報を、パターンファイル格納領域134cに保存されているパターンファイルに追加登録する(ステップS38)。ここで、パターン抽出の対象となるパケットは、ステップS34での比較で用いられた時刻情報が設定されている保存パケット管理テーブル134a内のエントリに対応する、パケット保存領域134b内のエントリに保存されている。つまりパターン抽出の対象となるパケットは、インデクスiで指定されるパケット保存領域134b内のエントリに保存されている。   The received packet management unit 135 applies such means to determine whether or not a program for performing “internal processing” or “external processing” is currently in an execution state, and whether the usage rate of the CPU or memory is high. You can check how much. The reception packet management unit 135 monitors the execution state of the program (process) for performing “internal processing” or “external processing” in the packet processing module 12 or the defense module 13, and as a result, when the program is not being executed, Alternatively, when the behavior is abnormal, such as the usage rate of the CPU or memory being abnormal (being a certain threshold value or more), it is determined that the execution state of the program is abnormal (step S37). In this case, the received packet management unit 135 determines that the “internal processing” or “external processing” packet is an unknown attack packet that has some adverse effect on the defense module 13 or the packet processing module 12 to be protected ( decide. Therefore, the received packet management unit 135 extracts a pattern for specifying the packet from the “internal processing” or “external processing” packet, and stores the pattern information indicating the pattern in the pattern file storage area 134c. It is additionally registered in the registered pattern file (step S38). Here, the packet to be subjected to pattern extraction is stored in an entry in the packet storage area 134b corresponding to the entry in the stored packet management table 134a in which the time information used in the comparison in step S34 is set. ing. That is, the packet from which the pattern is to be extracted is stored in the entry in the packet storage area 134b specified by the index i.

なお、「内部処理」または「外部処理」を行うためのプログラムが異常状態であると判定されても、一度だけでは「内部処理中」または「外部処理中」のパケットが未知の攻撃パケットであると決定せず、次回以降の未知攻撃パケット検出処理でも同様の状態が観測された場合に、未知の攻撃パケットであると決定するようにしてもよい。   Even if it is determined that the program for performing “internal processing” or “external processing” is in an abnormal state, the “internal processing” or “external processing” packet is an unknown attack packet only once. If the same state is observed in the unknown attack packet detection process after the next time, it may be determined that the packet is an unknown attack packet.

また、上記の例では、説明を簡略化するために、「内部処理中」または「外部処理中」のいずれの状態でも、同一の基準時間を適用している。しかし、「内部処理中」及び「外部処理中」の各々について固有の基準時間(第1及び第2の基準時間)を適用し、例えば「内部処理中」または「外部処理中」の状態が、それぞれ第1または第2の基準時間を超えているかを判定することが好ましい。ここでは、「外部処理」に要する標準的な時間は「内部処理」に要する標準的な時間より長い。このため、第2の基準時間は第1の基準時間より長い値に設定される。   In the above example, in order to simplify the description, the same reference time is applied in any state of “internal processing” or “external processing”. However, a unique reference time (first and second reference times) is applied to each of “internal processing” and “external processing”, for example, the state of “internal processing” or “external processing” It is preferable to determine whether each exceeds the first or second reference time. Here, the standard time required for “external processing” is longer than the standard time required for “internal processing”. For this reason, the second reference time is set to a value longer than the first reference time.

未知の攻撃パケットであると決定されたパケットからの(当該パケットを特定するための)パターンの抽出には、次のような方法が適用可能である。例えば、パケットの送信元アドレスをパターンとする方法である。この方法を適用して、送信元アドレスをパターンとしてパターンファイル格納領域134c内のパターンファイルに登録した場合、以後同じ送信元からのパケットは全て攻撃パケットであるとして破棄できる。また、パケットのデータ自体をパターンとして登録することで、以降同様のデータのパケットが送信された場合に攻撃パケットとして、当該パケットを処理しないようにできる。   The following method can be applied to the extraction of a pattern (for specifying the packet) from a packet determined to be an unknown attack packet. For example, it is a method in which the source address of the packet is used as a pattern. When this method is applied and the transmission source address is registered as a pattern in the pattern file in the pattern file storage area 134c, all packets from the same transmission source can be discarded as attack packets thereafter. Further, by registering the packet data itself as a pattern, it is possible to prevent the packet from being processed as an attack packet when a packet of similar data is transmitted thereafter.

本実施形態ではパケットを1個ずつ管理している。これらのパケットのある一定の単位の集合は、何らかの意味を持つのが一般的である。そこで、例えばTCP(Transmission Control Protocol)に代表される通信プロトコルのセッション(コネクション)単位で、そのセッション(コネクション)を用いて送信される一連のパケットの集合を、パケットの到着順序と共に格納して管理する方法を適用することも可能である。この方法の場合、あるパケットが攻撃とみなされた場合、そのパケットが属する一連パケットの集合、つまりセッション自体が攻撃であるとみなせる。そのため、以降では、同様の順番やデータを持つパケット群を受信した際に、攻撃と判断するようにパターンを作成し、パターンファイルに登録することができる。   In this embodiment, packets are managed one by one. A certain set of units of these packets generally has some meaning. Therefore, for example, in a session (connection) of a communication protocol represented by TCP (Transmission Control Protocol), a set of a series of packets transmitted using the session (connection) is stored and managed together with the arrival order of the packets. It is also possible to apply the method to do. In this method, when a certain packet is regarded as an attack, a set of a series of packets to which the packet belongs, that is, the session itself can be regarded as an attack. Therefore, after that, when a packet group having the same order and data is received, a pattern can be created so as to be determined as an attack and registered in the pattern file.

受信パケット管理部135は、未知の攻撃パケットであると決定した受信パケットのパターン(を示すパターン情報)をパターンファイルに登録すると(ステップS38)、インデクスiで指定される保存パケット管理テーブル134a内のエントリの状態フラグを、「内部処理中」または「外部処理中」を示す状態から「未使用」を示す状態に変更する(ステップS39)。この保存パケット管理テーブル134a内のエントリの状態フラグを「未使用」を示す状態に変更する処理は、当該エントリに保存されている管理情報及び当該エントリに対応するパケット保存領域134b内のエントリに保存されている受信パケットを論理的に削除したのと等価である。   When the received packet management unit 135 registers the pattern of the received packet determined to be an unknown attack packet in the pattern file (step S38), the received packet management unit 135 stores the received packet pattern in the stored packet management table 134a specified by the index i. The status flag of the entry is changed from a status indicating “internal processing” or “external processing” to a status indicating “unused” (step S39). The process of changing the status flag of the entry in the saved packet management table 134a to the status indicating “unused” is saved in the management information saved in the entry and the entry in the packet save area 134b corresponding to the entry. This is equivalent to logically deleting the received packet.

次に受信パケット管理部135は、保存パケット管理テーブル134a内の全てのエントリについて処理したか否かを判定する(ステップS40)。もし、未処理のエントリが残っているならば、受信パケット管理部135はインデクスiを1だけインクリメントして(ステップS41)、そのインクリメント後の保存パケット管理テーブル134a内のエントリ(つまり次のエントリ)を対象に、ステップS32から始まる処理を実行する。また受信パケット管理部135は、インデクスiのエントリに設定されている状態フラグが「未使用」を示している場合(ステップS33)、或いはインデクスiのエントリの時刻フィールドの示す時刻から基準時間を経過していない場合(ステップS35)、或いは「内部処理」または「外部処理」を実行するためのプログラムの状態が正常な場合(ステップS37)、対応する受信パケットを攻撃パケットであると決定することはできないとして、そのままステップS40に進む。受信パケット管理部135は、以上の処理を保存パケット管理テーブル134a内の全てのエントリについて実行する(ステップS38)。   Next, the received packet management unit 135 determines whether or not all entries in the stored packet management table 134a have been processed (step S40). If an unprocessed entry remains, the received packet management unit 135 increments the index i by 1 (step S41), and the entry in the stored packet management table 134a after the increment (that is, the next entry). The process starting from step S32 is executed on the target. The received packet management unit 135 also passes the reference time from the time indicated by the time field of the index i entry when the status flag set in the entry of the index i indicates “unused” (step S33). If not (step S35), or if the state of the program for executing “internal processing” or “external processing” is normal (step S37), it is determined that the corresponding received packet is an attack packet. If not, the process proceeds to step S40 as it is. The received packet management unit 135 executes the above processing for all entries in the stored packet management table 134a (step S38).

[防御モジュール13の終了処理]
次に、防御モジュール13の終了処理について、図7のフローチャートを参照して説明する。この終了処理は、例えば図1のパケット処理装置のシャットダウン時に実行される。 [End processing of defense module 13]
Next, the termination process of the defense module 13 will be described with reference to the flowchart of FIG. This termination process is executed, for example, when the packet processing apparatus of FIG. 1 is shut down.

まず、受信パケット管理部135は、図6に示した手順の未知攻撃パケット検出処理を実行する(ステップS51)。この処理の実行により、保存パケット管理テーブル134aの各エントリに設定されている状態フラグの意味は以下の通りとなることは明らかである。   First, the received packet management unit 135 executes unknown attack packet detection processing according to the procedure shown in FIG. 6 (step S51). By executing this process, it is clear that the meaning of the status flag set in each entry of the stored packet management table 134a is as follows.

「未使用」:対応するエントリは使われておらず、空きとなっている。
「内部処理中」:対応するエントリは使われており、且つ当該エントリに登録されているパケットは防御モジュール13内で処理中である。処理開始から基準時間を経過していないため、現時点で、処理は正しく行われている。
「外部処理中」:対応するエントリは使われており、且つ当該エントリに登録されているパケットは防御モジュール13外で処理中である。処理開始から基準時間を経過していないため、現時点で、処理は正しく行われている。 “Unused”: The corresponding entry is not used and is empty.
“Internal processing”: The corresponding entry is used, and the packet registered in the entry is being processed in the defense module 13. Since the reference time has not elapsed since the start of the process, the process is being performed correctly at this time.
“External processing”: The corresponding entry is used, and the packet registered in the entry is being processed outside the defense module 13. Since the reference time has not elapsed since the start of the process, the process is being performed correctly at this time.

受信パケット管理部135は、未知攻撃パケット検出処理(ステップS51)を終了すると、保存パケット管理テーブル134a内の全てのエントリを対象に、当該エントリの状態フラグをいずれも「未使用」を示す状態に設定する(ステップS52)。これにより本実施形態においては、防御モジュール13の終了処理が終了した時点で、保存パケット管理テーブル134a内の全てのエントリの状態フラグは、当該エントリが「未使用」であること(使われていないこと)を示す。もし、パケットの「内部処理中」または「外部処理中」に防御モジュール13またはパケット処理モジュール12が異常終了した場合(つまりパケット処理装置10が異常終了した場合)には、上記した図7のフローチャートに従う終了処理は行われない。この場合、異常終了時点で「内部処理中」または「外部処理中」を示す状態フラグは、「未使用」を示す状態に変更されないことになる。   When the received packet management unit 135 finishes the unknown attack packet detection process (step S51), all the entries in the stored packet management table 134a are targeted, and all the status flags of the entries indicate “unused”. Set (step S52). As a result, in this embodiment, when the termination processing of the defense module 13 is completed, the status flags of all entries in the stored packet management table 134a indicate that the entry is “unused” (not used). Show). If the defense module 13 or the packet processing module 12 ends abnormally (that is, if the packet processing device 10 ends abnormally) during “internal processing” or “external processing” of the packet, the flowchart of FIG. The termination process according to is not performed. In this case, the status flag indicating “internal processing” or “external processing” at the time of abnormal termination is not changed to a status indicating “unused”.

なお、本実施形態では、防御モジュール13の終了処理において、各エントリの状態フラグの状態に無関係に、当該フラグをいずれも「未使用」を示す状態に設定している。しかし、「内部使用中」を示す状態フラグが設定されているエントリと、「外部内部使用中」を示す状態フラグが設定されているエントリだけを対象に、当該フラグを「未使用」を示す状態に変更するようにしても構わない。   In the present embodiment, in the termination process of the defense module 13, all of the flags are set to a state indicating “unused” regardless of the state flag state of each entry. However, only for entries that have a status flag that indicates "internal use" and entries that have a status flag that indicates "external internal use", the flag indicates "not used" You may make it change to.

[防御モジュール13の起動時の処理]
次に、防御モジュール13の起動時の処理(初期化処理)について、図8のフローチャートを参照して説明する。図3のインストール時の初期化処理が、防御モジュール13を初めて起動した際のみ実行されるのに対し、この図8の処理は、防御モジュール13を初めて起動した以降での、当該防御モジュール13の起動の都度実行される。)
まず受信パケット管理部135は、保存パケット管理テーブル134a内のエントリを指定するインデクスiを初期値0に設定する(ステップS61)。次に受信パケット管理部135は、保存パケット管理テーブル134a内のインデクスiのエントリを参照する(ステップS62)。そして受信パケット管理部135は、インデクスiのエントリに設定されている状態フラグを調べる(ステップS63)。 [Processing when the defense module 13 is activated]
Next, the process (initialization process) at the time of starting the defense module 13 will be described with reference to the flowchart of FIG. The initialization process at the time of installation in FIG. 3 is executed only when the defense module 13 is activated for the first time, whereas the process of FIG. 8 is performed after the defense module 13 is activated for the first time. It is executed at every start-up. )
First, the received packet management unit 135 sets an index i designating an entry in the stored packet management table 134a to an initial value 0 (step S61). Next, the received packet management unit 135 refers to the entry of the index i in the stored packet management table 134a (step S62). The received packet management unit 135 checks the status flag set in the entry of the index i (step S63).

もし、インデクスiのエントリ中の状態フラグが「内部処理中」または「外部処理中」を示しているならば、受信パケット管理部135は、当該エントリで管理されるパケットの「内部処理中」または「外部処理中」に、防御モジュール13またはパケット処理モジュール12が異常終了して、防御モジュール13の終了処理が実行されなかったものと判断する。そして受信パケット管理部135は、状態フラグが「内部処理中」を示している場合であれば、パケットの「内部処理中」に防御モジュール13が異常終了した要因が、当該パケットが未知の攻撃パケットとあったためであると判断する。同様に受信パケット管理部135は、状態フラグが「外部処理中」を示している場合であれば、パケットの「外部処理中」にパケット処理モジュール12が異常終了したことは、当該パケットが未知の攻撃パケットとあったためであると判断する。   If the status flag in the entry of the index i indicates “internal processing” or “external processing”, the received packet management unit 135 selects “internal processing” or “ During “external processing”, it is determined that the defense module 13 or the packet processing module 12 ended abnormally and the termination processing of the defense module 13 was not executed. If the status flag indicates “internal processing”, the received packet management unit 135 determines that the cause of the abnormal termination of the defense module 13 during the “internal processing” of the packet is that the packet is an unknown attack packet. It is judged that it was because of. Similarly, when the status flag indicates “external processing”, the received packet management unit 135 indicates that the packet processing module 12 has terminated abnormally during “external processing” of the packet. It is determined that the attack packet was found.

そこで、受信パケット管理部135は、インデクスiで指定される保存パケット管理テーブル134a内のエントリの状態フラグが「内部処理中」または「外部処理中」を示している場合、当該エントリに対応するパケット保存領域134b内のエントリに保存されているパケットから先に述べた方法でパターンを抽出し、そのパターンを示すパターン情報を、パターンファイル格納領域134cに保存されているパターンファイルに追加登録する(ステップS64)。   Therefore, when the status flag of the entry in the stored packet management table 134a designated by the index i indicates “internal processing” or “external processing”, the received packet management unit 135 determines the packet corresponding to the entry. A pattern is extracted from the packet stored in the entry in the storage area 134b by the method described above, and pattern information indicating the pattern is additionally registered in the pattern file stored in the pattern file storage area 134c (step S64).

受信パケット管理部135は、未知の攻撃パケットであると決定した受信パケットのパターン(を示すパターン情報)をパターンファイルに登録すると(ステップS64)、インデクスiで指定される保存パケット管理テーブル134a内のエントリの状態フラグを、「内部処理中」または「外部処理中」を示す状態から「未使用」を示す状態に変更する(ステップS65)。次に受信パケット管理部135は、保存パケット管理テーブル134a内の全てのエントリについて処理したか否かを判定する(ステップS66)。もし、未処理のエントリが残っているならば、受信パケット管理部135はインデクスiを1だけインクリメントして(ステップS67)、そのインクリメント後の保存パケット管理テーブル134a内のエントリを対象に、ステップS62から始まる処理を実行する。また受信パケット管理部135は、インデクスiのエントリに設定されている状態フラグが「未使用」を示している場合には(ステップS63)、対応する受信パケットは攻撃パケットでないとして、そのままステップS66に進む。受信パケット管理部135は、以上の処理を保存パケット管理テーブル134a内の全てのエントリについて実行する(ステップS66)。   When the received packet management unit 135 registers the pattern of the received packet determined to be an unknown attack packet in the pattern file (step S64), the received packet management unit 135 stores the received packet pattern in the stored packet management table 134a specified by the index i. The status flag of the entry is changed from a status indicating “internal processing” or “external processing” to a status indicating “unused” (step S65). Next, the received packet management unit 135 determines whether or not all entries in the stored packet management table 134a have been processed (step S66). If an unprocessed entry remains, the received packet management unit 135 increments the index i by 1 (step S67), and targets the entry in the saved packet management table 134a after the increment, in step S62. The process starting from is executed. If the status flag set in the entry of index i indicates “unused” (step S63), the received packet management unit 135 determines that the corresponding received packet is not an attack packet and proceeds to step S66. move on. The received packet management unit 135 executes the above processing for all entries in the stored packet management table 134a (step S66).

このように本実施形態においては、防御モジュール13(内の受信パケット管理部135)は当該防御モジュール13の起動時点で、保存パケット管理テーブル134aにより処理が完了していないことが示されているパケットを検出し、当該パケットを、防御対象であるパケット処理モジュール12(上位モジュール)、或いは防御モジュール13自身への攻撃パケットであると判断する。そして防御モジュール13(内の受信パケット管理部135)は、攻撃パケットであると判断したパケットからパターンを抽出して、新規にパターンファイルに追加している。これにより、次回以降同様のパケットを受信した場合には、当該パケットによる攻撃を防御することができる。   As described above, in the present embodiment, the protection module 13 (the received packet management unit 135) indicates that the processing is not completed by the stored packet management table 134a when the protection module 13 is activated. Is detected, and it is determined that the packet is an attack packet to the packet processing module 12 (upper module) that is the defense target or the defense module 13 itself. The defense module 13 (the received packet management unit 135 therein) extracts a pattern from the packet determined to be an attack packet, and newly adds it to the pattern file. Thereby, when the same packet is received after the next time, an attack by the packet can be prevented.

なお、攻撃パケットから抽出したパターンを自動的にパターンファイルに登録する代わりに、当該パケットの内容をシステム管理者に例えばメール等を用いて通知し、当該パケットを攻撃パケットとみなすか否か(つまり、受信パケット管理部135による攻撃パケットであるとの決定の正否)を、管理者の判断に委ねるようにしてもよい。また、攻撃を受けていると判断する対象を、パケット処理モジュール12及び防御モジュール13の両方でなくて、いずれか一方とすることも可能である。   Instead of automatically registering the pattern extracted from the attack packet in the pattern file, the contents of the packet are notified to the system administrator using, for example, e-mail, and whether or not the packet is regarded as an attack packet (that is, Whether or not the received packet management unit 135 determines that the packet is an attack packet may be left to the administrator's judgment. Further, it is possible to set not only both the packet processing module 12 and the defense module 13 but also one of the objects to be determined as being attacked.

また、上記実施形態では、保存パケット管理テーブル134aの領域及びパケット保存領域134bは、パターンファイル格納領域134cと共に、ハードディスクドライブ等の不揮発性の記憶装置の記憶領域内に確保されている。しかし、保存パケット管理テーブル134aの領域及びパケット保存領域134bが、揮発性の記憶装置の記憶領域内に確保される構成とすることも可能である。   In the above-described embodiment, the storage packet management table 134a area and the packet storage area 134b are secured in the storage area of a nonvolatile storage device such as a hard disk drive together with the pattern file storage area 134c. However, the storage packet management table 134a area and the packet storage area 134b may be secured in the storage area of the volatile storage device.

上記実施形態のように、不揮発性の記憶装置を用いる構成では、防御モジュール13または防御対象のパケット処理モジュール12が異常終了した場合、つまり当該防御モジュール13及び防御対象のパケット処理モジュール12が実行されているパケット処理装置10が異常終了した場合、当該パケット処理装置10の再起動後でも、不揮発性の記憶装置に情報が残っている。このため、上記の例のように、未知の攻撃パケットの検出を行える。これに対し、上記実施形態とは異なって、保存パケット管理テーブル134aの領域及びパケット保存領域134bが揮発性の記憶装置の記憶領域内に確保される構成を適用した場合、当該保存パケット管理テーブル134a及びパケット保存領域134bへのアクセス時間を短縮できる利点がある。但し、パケット処理装置10が異常終了した時点で、揮発性の記憶装置の情報は失われる。したがって、パケット処理装置10の再起動後、揮発性の記憶装置には、保存パケット管理テーブル134a及びパケット保存領域134bの情報は残っていない。よって、揮発性の記憶装置を用いる構成は、パケット処理装置10自体が異常終了するような攻撃以外の攻撃の検出に適用可能である。   In the configuration using the nonvolatile storage device as in the above embodiment, when the defense module 13 or the packet processing module 12 to be protected ends abnormally, that is, the defense module 13 and the packet processing module 12 to be protected are executed. When the packet processing apparatus 10 being terminated abnormally, information remains in the nonvolatile storage device even after the packet processing apparatus 10 is restarted. For this reason, unknown attack packets can be detected as in the above example. On the other hand, unlike the above embodiment, when a configuration in which the area of the storage packet management table 134a and the packet storage area 134b are secured in the storage area of the volatile storage device is applied, the storage packet management table 134a There is an advantage that the access time to the packet storage area 134b can be shortened. However, when the packet processing apparatus 10 is abnormally terminated, the information in the volatile storage device is lost. Therefore, after the packet processing apparatus 10 is restarted, information on the storage packet management table 134a and the packet storage area 134b does not remain in the volatile storage device. Therefore, the configuration using the volatile storage device can be applied to detection of an attack other than an attack in which the packet processing device 10 itself ends abnormally.

なお、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。   Note that the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. Further, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment.

本発明の一実施形態に係るパケット処理装置の構成を示すブロック図。The block diagram which shows the structure of the packet processing apparatus which concerns on one Embodiment of this invention. 図1中の保存パケット管理テーブル134a及びパケット保存領域134bのデータ構造例を示す図。The figure which shows the data structure example of the preservation | save packet management table 134a and the packet preservation | save area | region 134b in FIG. 同実施形態におけるインストール時の初期化処理の手順を示すフローチャート。6 is a flowchart showing a procedure of initialization processing at the time of installation in the embodiment. 同実施形態におけるパケット受信時の処理の手順を示すフローチャート。The flowchart which shows the procedure of the process at the time of packet reception in the embodiment. 同実施形態における上位レイヤーでのパケット処理完了時の処理の手順を示すフローチャート。9 is a flowchart showing a processing procedure when packet processing is completed in an upper layer in the embodiment. 同実施形態における未知攻撃パケット検出処理の手順を示すフローチャート。The flowchart which shows the procedure of the unknown attack packet detection process in the embodiment. 同実施形態における防御モジュール13の終了処理の手順を示すフローチャート。The flowchart which shows the procedure of the completion | finish process of the defense module 13 in the embodiment. 同実施形態における防御モジュール13の起動時の処理の手順を示すフローチャート。The flowchart which shows the procedure of the process at the time of starting of the defense module 13 in the embodiment.

符号の説明Explanation of symbols

10…パケット処理装置、11…ネットワークI/F(インタフェース)、12…パケット処理モジュール、13…防御モジュール(攻撃パケット検出装置)、20…ネットワーク、131…下位レイヤーパケット転送I/F、132…上位レイヤーパケット転送I/F、133…上位レイヤーパケット処理通知I/F、134…記憶部、134a…保存パケット管理テーブル(パケット管理情報保存手段)、134b…パケット保存領域、134c…パターンファイル格納領域、135…受信パケット管理部、136…パケット比較部(破棄手段)、137…ログ出力警告処理部。   DESCRIPTION OF SYMBOLS 10 ... Packet processing apparatus, 11 ... Network I / F (interface), 12 ... Packet processing module, 13 ... Defense module (attack packet detection apparatus), 20 ... Network, 131 ... Lower layer packet transfer I / F, 132 ... Upper Layer packet transfer I / F, 133 ... upper layer packet processing notification I / F, 134 ... storage unit, 134a ... storage packet management table (packet management information storage means), 134b ... packet storage area, 134c ... pattern file storage area, 135... Received packet management unit, 136... Packet comparison unit (discard means), 137.

Claims (10)

ネットワークから受信されたパケットを処理するパケット処理モジュールを備えたパケット処理装置に設けられ、受信パケットの中から攻撃パケットを検出する攻撃パケット検出装置であって、
受信パケットを保存するパケット保存手段と、
受信パケットに対する前記パケット処理モジュールによる処理が終了した時点で当該パケットを前記パケット保存手段から削除する手段と、
前記パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを検出する手段と、
前記検出手段により検出された受信パケットを前記パケット処理装置に対する未知の攻撃パケットであると決定する手段と
を具備することを特徴とする攻撃パケット検出装置。 An attack packet detection device that is provided in a packet processing device including a packet processing module that processes a packet received from a network and detects an attack packet from received packets,
Packet storage means for storing received packets;
Means for deleting the packet from the packet storage means when processing by the packet processing module for the received packet is completed;
Means for detecting a received packet remaining in the packet storage means even after a predetermined time has elapsed since being stored in the packet storage means;
An attack packet detection apparatus comprising: a means for determining that the received packet detected by the detection means is an unknown attack packet for the packet processing apparatus. 前記決定手段により未知の攻撃パケットであると決定された受信パケットから抽出された当該パケットを特定するためのパターンを示すパターン情報を格納するパターン格納手段と、
受信パケットを前記パターン格納手段に格納されている各パターン情報の示すパターンと比較するパケット比較手段と、
前記パケット比較手段による比較で一致が検出された場合、対応する受信パケットを攻撃パケットであるとして破棄する手段と、
前記パケット比較手段による比較で一致が検出されなかった場合、対応する受信パケットを前記パケット処理モジュールに転送する手段と
を更に具備し、
前記削除手段は、前記破棄手段により受信パケットが破棄された場合にも、当該パケットを前記パケット保存手段から削除する
ことを特徴とする請求項1記載の攻撃パケット検出装置。 Pattern storage means for storing pattern information indicating a pattern for identifying the packet extracted from the received packet determined to be an unknown attack packet by the determination means;
A packet comparison means for comparing the received packet with a pattern indicated by each pattern information stored in the pattern storage means;
A means for discarding a corresponding received packet as an attack packet when a match is detected in the comparison by the packet comparison means;
Means for transferring a corresponding received packet to the packet processing module if no match is detected in the comparison by the packet comparison means;
The attack packet detection apparatus according to claim 1, wherein the deletion unit deletes the packet from the packet storage unit even when the received packet is discarded by the discard unit. 前記パケット保存手段に保存された受信パケットを管理するための管理情報であって、当該受信パケットの保存時刻を示す時刻情報を含む管理情報を保存するパケット管理情報保存手段を更に具備し、
前記検出手段は、前記パケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が前記一定時間を経過している管理情報を検出することにより、当該検出された管理情報により管理されている受信パケットを検出し、
前記削除手段は、前記検出手段により検出された受信パケットの管理情報を前記パケット管理情報保存手段から削除することで、当該管理情報により管理されるパケットを前記パケット保存手段から論理的に削除する
ことを特徴とする請求項2記載の攻撃パケット検出装置。 Management information for managing received packets stored in the packet storage means, further comprising packet management information storage means for storing management information including time information indicating the storage time of the received packets,
The detection means includes, among the management information stored in the packet management information storage means, an elapsed time from the time indicated by the time information included in the management information to the current time has passed the predetermined time. The received packet managed by the detected management information,
The deletion unit logically deletes the packet managed by the management information from the packet storage unit by deleting the management information of the received packet detected by the detection unit from the packet management information storage unit. The attack packet detection apparatus according to claim 2. 前記パケット保存手段に保存された受信パケットを管理するための、対応するパケットが存在しない第1の状態、対応するパケットが前記攻撃パケット検出装置内で処理されている第2の状態、または対応するパケットが前記攻撃パケット検出装置外で処理されている第3の状態を示すフラグ情報と、当該フラグ情報が前記第2または第3の状態を示す際の時刻を示す時刻情報とを含む管理情報を保存するパケット管理情報保存手段であって、前記パケット保存手段への受信パケットの保存時には、前記第2の状態を示すフラグ情報と、当該受信パケットの保存時の時刻を示す時刻情報とを含む管理情報を保存するパケット管理情報保存手段と、
前記パケット比較手段による比較で不一致が検出された場合、前記パケット管理情報保存手段に保存されている対応する受信パケットの管理情報に含まれているフラグ情報を前記第3の状態を示すように変更すると共に、当該管理情報中の時刻情報をその際の時刻を示すように変更する手段と
を更に具備し、
前記検出手段は、前記パケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれているフラグ情報が前記第2の状態を示し、且つ当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が第1の一定時間を経過している管理情報を検出すると共に、前記パケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれているフラグ情報が前記第3の状態を示し、且つ当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が第2の一定時間を経過している管理情報を検出することにより、当該検出された管理情報により管理されている受信パケットを検出し、
前記削除手段は、前記検出手段により受信パケットが検出された場合には、前記パケット管理情報保存手段に保存されている当該受信パケットの管理情報に含まれているフラグ情報を前記第1の状態に変更することにより、前記破棄手段により受信パケットが破棄された場合には、前記パケット管理情報保存手段に保存されている当該破棄された受信パケットの管理情報に含まれているフラグ情報を前記第1の状態に変更することにより、いずれも当該受信パケットの管理情報を前記パケット管理情報保存手段から論理的に削除して、当該受信パケットを前記パケット保存手段から論理的に削除する
ことを特徴とする請求項2記載の攻撃パケット検出装置。 A first state in which there is no corresponding packet for managing the received packet stored in the packet storage means, a second state in which the corresponding packet is processed in the attack packet detection device, or a corresponding state Management information including flag information indicating a third state in which a packet is processed outside the attack packet detection device, and time information indicating a time when the flag information indicates the second or third state Packet management information storing means for storing, comprising: flag information indicating the second state and time information indicating a time when the received packet is stored when the received packet is stored in the packet storing means Packet management information storage means for storing information;
When a mismatch is detected in the comparison by the packet comparison unit, the flag information included in the management information of the corresponding received packet stored in the packet management information storage unit is changed to indicate the third state. And means for changing the time information in the management information to indicate the time at that time,
The detection means includes flag information included in the management information from the management information stored in the packet management information storage means indicating the second state and included in the management information. Management information whose elapsed time from the time indicated by the time information to the current time has passed the first fixed time is detected, and the management information is selected from the management information stored in the packet management information storage means Management information in which the flag information included in the information indicates the third state, and the elapsed time from the time indicated by the time information included in the management information to the current time has passed the second fixed time To detect the received packet managed by the detected management information,
When the received packet is detected by the detecting unit, the deleting unit sets the flag information included in the received packet management information stored in the packet management information storing unit to the first state. When the received packet is discarded by the discarding unit by changing, the flag information included in the management information of the discarded received packet stored in the packet management information storing unit is changed to the first information. In any case, the management information of the received packet is logically deleted from the packet management information storage unit, and the received packet is logically deleted from the packet storage unit. The attack packet detection apparatus according to claim 2. 前記決定手段は、前記検出手段により検出された受信パケットが未知の攻撃パケットであるかを決定するために、前記攻撃パケット検出装置内部または前記攻撃パケット検出装置外部のうち、当該受信パケットを処理中の部分の状態が異常であるかを監視する手段を含み、異常である場合だけ当該受信パケットが未知の攻撃パケットであると決定することを特徴とする請求項1記載の攻撃パケット検出装置。   The determining means is processing the received packet inside the attack packet detecting apparatus or outside the attack packet detecting apparatus in order to determine whether the received packet detected by the detecting means is an unknown attack packet 2. The attack packet detection apparatus according to claim 1, further comprising means for monitoring whether or not the state of said part is abnormal, and determines that the received packet is an unknown attack packet only when it is abnormal. 前記検出手段は、前記攻撃パケット検出装置の動作期間中、定期的に起動されることを特徴とする請求項1記載の攻撃パケット検出装置。   2. The attack packet detection apparatus according to claim 1, wherein the detection means is periodically activated during an operation period of the attack packet detection apparatus. 前記パケット保存手段は書き換えが可能な不揮発性記憶手段であり、
前記検出手段は、前記攻撃パケット検出装置の終了時にも起動され、
前記削除手段は、前記攻撃パケット検出装置の終了時に、前記検出手段による検出動作完了後に、前記パケット保存手段から全ての受信パケットを削除することを特徴とする請求項6記載の攻撃パケット検出装置。 The packet storage means is a rewritable nonvolatile storage means,
The detection means is also activated at the end of the attack packet detection device,
7. The attack packet detection device according to claim 6, wherein the deletion unit deletes all received packets from the packet storage unit after the detection operation by the detection unit is completed when the attack packet detection device is terminated. 前記検出手段は、前記攻撃パケット検出装置の起動時にも、前記パケット保存手段に残されている受信パケットを検出することを特徴とする請求項7記載の攻撃パケット検出装置。   8. The attack packet detection device according to claim 7, wherein the detection unit detects a received packet remaining in the packet storage unit even when the attack packet detection device is activated. 前記決定手段による攻撃パケットであるとの決定の正否をシステム管理者に委ねるために、攻撃パケットであると決定された受信パケットを出力手段を介してシステム管理者に通知する手段を更に具備することを特徴とする請求項1記載の攻撃パケット検出装置。   A means for notifying the system administrator of the received packet determined to be the attack packet via the output means in order to entrust the system administrator with the right or wrong of the determination by the determining means that the packet is an attack packet; The attack packet detection device according to claim 1. ネットワークから受信されたパケットを処理するパケット処理モジュールを備えたパケット処理装置において、受信パケットの中から攻撃パケットを検出する攻撃パケット検出方法であって、
受信パケットをパケット保存手段に保存するステップと、
受信パケットに対する前記パケット処理モジュールによる処理が終了した時点で当該パケットを前記パケット保存手段から削除するステップと、
前記パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを検出するステップと、
前記検出ステップで検出された受信パケットを前記パケット処理装置に対する未知の攻撃パケットであると決定するステップと
を具備することを特徴とする攻撃パケット検出方法。 An attack packet detection method for detecting an attack packet from received packets in a packet processing device including a packet processing module for processing a packet received from a network,
Storing the received packet in a packet storage means;
Deleting the packet from the packet storage means when the processing by the packet processing module for the received packet is completed;
Detecting a received packet remaining in the packet storage unit even after a predetermined time has elapsed since being stored in the packet storage unit;
And determining the received packet detected in the detection step as an unknown attack packet for the packet processing device.
JP2003278979A 2003-07-24 2003-07-24 Attack packet detection apparatus and method Expired - Fee Related JP3730642B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003278979A JP3730642B2 (en) 2003-07-24 2003-07-24 Attack packet detection apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003278979A JP3730642B2 (en) 2003-07-24 2003-07-24 Attack packet detection apparatus and method

Publications (2)

Publication Number Publication Date
JP2005045649A JP2005045649A (en) 2005-02-17
JP3730642B2 true JP3730642B2 (en) 2006-01-05

Family

ID=34265227

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003278979A Expired - Fee Related JP3730642B2 (en) 2003-07-24 2003-07-24 Attack packet detection apparatus and method

Country Status (1)

Country Link
JP (1) JP3730642B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8065729B2 (en) 2006-12-01 2011-11-22 Electronics And Telecommunications Research Institute Method and apparatus for generating network attack signature
US8295198B2 (en) * 2007-12-18 2012-10-23 Solarwinds Worldwide Llc Method for configuring ACLs on network device based on flow information
JPWO2009139170A1 (en) * 2008-05-16 2011-09-15 パナソニック株式会社 Attack packet detection device, attack packet detection method, video reception device, content recording device, and IP communication device
JP7167439B2 (en) * 2017-12-28 2022-11-09 株式会社リコー Information processing device, vulnerability detection method and program

Also Published As

Publication number Publication date
JP2005045649A (en) 2005-02-17

Similar Documents

Publication Publication Date Title
RU2568295C2 (en) System and method for temporary protection of operating system of hardware and software from vulnerable applications
JP4629332B2 (en) Status reference monitor
JP3999188B2 (en) Unauthorized access detection device, unauthorized access detection method, and unauthorized access detection program
US7478250B2 (en) System and method for real-time detection of computer system files intrusion
US7334264B2 (en) Computer virus generation detection apparatus and method
US8819835B2 (en) Silent-mode signature testing in anti-malware processing
US8301433B2 (en) Software behavior modeling apparatus, software behavior monitoring apparatus, software behavior modeling method, and software behavior monitoring method
US20100235920A1 (en) Method and device for questioning a plurality of computerized devices
US20080201661A1 (en) Remote flash storage management
TWI474213B (en) Cloud system for threat protection and protection method using for the same
CA2485062A1 (en) Security-related programming interface
US7845010B2 (en) Terminal control apparatus and terminal control method
US20070250547A1 (en) Log Preservation Method, and Program and System Thereof
JP6379013B2 (en) Network control system, network control method and program
KR100788256B1 (en) System for monitoring web server fablication using network and method thereof
JP3730642B2 (en) Attack packet detection apparatus and method
US20060015939A1 (en) Method and system to protect a file system from viral infections
JP5581162B2 (en) Information processing apparatus, password diagnosis method, and program
JP2006146600A (en) Operation monitoring server, terminal apparatus and operation monitoring system
JPH11167487A (en) Virus check network, virus check device, client terminal and virus information managing station
CN111506897B (en) Data processing method and device
RU2468427C1 (en) System and method to protect computer system against activity of harmful objects
KR100594870B1 (en) Method for detecting and killing anomaly file and process
JP2020017821A (en) External information reception and distribution device, data transmission method, and program
CN115906069A (en) Application identification management method and device and related equipment

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050801

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051004

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051006

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081014

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091014

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091014

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101014

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees