JP2001350678A - 不正侵入検知システム - Google Patents

不正侵入検知システム

Info

Publication number
JP2001350678A
JP2001350678A JP2000170727A JP2000170727A JP2001350678A JP 2001350678 A JP2001350678 A JP 2001350678A JP 2000170727 A JP2000170727 A JP 2000170727A JP 2000170727 A JP2000170727 A JP 2000170727A JP 2001350678 A JP2001350678 A JP 2001350678A
Authority
JP
Japan
Prior art keywords
address
intrusion
rule
packet
determination rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000170727A
Other languages
English (en)
Other versions
JP4537538B2 (ja
Inventor
Nobuhiro Kobayashi
信博 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2000170727A priority Critical patent/JP4537538B2/ja
Publication of JP2001350678A publication Critical patent/JP2001350678A/ja
Application granted granted Critical
Publication of JP4537538B2 publication Critical patent/JP4537538B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 IPアドレステーブルと不正侵入判定ルール
テーブルを用いて、不正侵入判定を行なう不正侵入検知
システムに係り、IPアドレステーブルと不正侵入判定
ルールテーブルの設定変更を自動的に行う不正侵入検知
システムを提供することを課題とする。 【解決手段】 検出ルール実行手段31の動作結果に基
づいて、IPアドレステーブル変更手段32が、IPア
ドレステーブル10を変更し、不正侵入判定ルールテー
ブル変更手段33が、不正侵入判定ルールテーブル15
を変更し、これらのテーブルを用いて、不正侵入判定ル
ール実行手段20は、不正侵入の判定を行なう。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、ネットワーク上
を流れるパケットを入手して動作する不正侵入検知シス
テムの設定方法に関する。
【0002】
【従来の技術】図17は、例えばコンピュータ・セキュ
リティ・シンポジウム’99にて発表された「パケット
監視によるネットワーク侵入検出システムの実装と評
価」に代表されるような従来の侵入検知システムであ
る。
【0003】ネットワーク5は、WWWサーバ1、MA
ILサーバ2、正常マシン3、不正マシン4などを接続
している。ネットワーク5上には、データ転送の為にパ
ケット6が流れている。
【0004】そのため、不正侵入検知システムは、通信
手段7、IPアドレステーブル10、IPアドレステー
ブル設定手段11、WWWサーバ用不正侵入判定ルール
12、MAILサーバ用不正侵入判定ルール13、不正
侵入判定ルールテーブル15、不正侵入判定ルールテー
ブル設定手段16、パケット情報取得手段17、IPア
ドレステーブル取得手段18、不正侵入判定ルールテー
ブル取得手段19、不正侵入判定ルール実行手段20、
対策実行手段22を備えている。
【0005】通信手段7は、ネットワーク5とパケット
6のやりとりを行う。
【0006】IPアドレステーブル10は、マシン名8
とIPアドレス9の関係をまとめたIPアドレスリスト
を記述している。尚、マシン名8は、WWWサーバ1、
MAILサーバ2、正常マシン3や不正マシン4などを
識別する。また、IPアドレス9は、WWWサーバ1や
MAILサーバ2や正常マシン3や不正マシン4などが
送受するパケット6の中に含まれるIPアドレスであ
る。
【0007】IPアドレステーブル設定手段11は、I
Pアドレステーブル10を設定する。
【0008】WWWサーバ用不正侵入判定ルール12
は、パケット6の情報をもとにWWWサーバに対する不
正侵入を判定するルールである。
【0009】MAILサーバ用不正侵入判定ルール13
は、パケット6の情報をもとにMAILサーバに対する
不正侵入を判定するルールである。
【0010】不正侵入判定ルールテーブル15は、マシ
ン名8と不正侵入判定ルール名14の関係をまとめた不
正侵入判定ルールリストを記述している。尚、不正侵入
判定ルール名14は、WWWサーバ用不正侵入判定ルー
ル12やMAILサーバ用不正侵入判定ルール13など
を識別するルール名である。
【0011】不正侵入判定ルールテーブル設定手段16
は、不正侵入判定ルールテーブル15を設定する。
【0012】パケット情報取得手段17は、通信手段7
からパケット6を取得する。
【0013】IPアドレステーブル取得手段18は、I
Pアドレステーブル10からIPアドレスリストを取得
する。
【0014】不正侵入判定ルールテーブル取得手段19
は、不正侵入判定ルールテーブル15から不正侵入判定
ルールリストを取得する。
【0015】不正侵入判定ルール実行手段20は、IP
アドレスリストから、パケット6から取り出したIPア
ドレス9に対応するマシン名8を特定し、不正侵入判定
ルールテーブルリストからそのマシン名8に対応する不
正侵入判定ルールを特定し、その不正侵入判定ルールを
実行する。
【0016】対策実行手段22は、不正侵入判定ルール
実行手段20の結果に応じて、アラーム出力などの制御
を行なう。これにより、不正侵入判定ルール実行結果が
不正侵入と判定されたときにアラームが出力する。
【0017】このような従来の侵入検知システムにおい
ては、パケット情報取得手段17により通信手段7から
得られたパケット6を利用し、IPアドレステーブル設
定手段11によってユーザーから設定されたIPアドレ
ステーブル10と、不正侵入判定ルールテーブル設定手
段16によってユーザーから設定された不正侵入判定ル
ールテーブル15に基づき、不正侵入判定ルール実行手
段20が該当する不正侵入判定ルールを呼び出して侵入
検知を行う。
【0018】従来の侵入検知システムにおいては、ユー
ザーが手作業によりIPアドレステーブル10と不正侵
入判定ルールテーブル15を設定していた為、煩雑であ
るという欠点があった。
【0019】また、マシンが追加された場合にユーザが
再設定しなくてはならないという欠点があった。
【0020】また、マシン上で新たなサーバが実行され
るようになった場合にユーザが再設定しなくてはならな
いという欠点があった。
【0021】また、設定時にユーザが操作ミスを犯して
意図しない設定のまま実行されるという問題もあった。
【0022】
【発明が解決しようとする課題】本発明は、上記した従
来技術の欠点を除くためになされたものであって、IP
アドレステーブルと不正侵入判定ルールテーブルの設定
変更を自動的に行うものである。
【0023】また、マシンが追加された場合に自動的に
IPアドレステーブルを変更する。
【0024】また、そのマシン上で稼働しているサーバ
を自動的に判定し、不正侵入判定ルールテーブルを変更
する。
【0025】また、マシン上で新たなサービスが稼働し
た場合に自動的に不正侵入判定ルールテーブルを変更す
る。
【0026】
【課題を解決するための手段】この発明に係る不正侵入
検知システムは、ネットワークを介してマシンに接続
し、マシンに対する不正侵入を検知する不正侵入検知シ
ステムであって、以下の要素を有することを特徴とす
る。 (1)ネットワークに接続するマシンの識別情報と、マ
シンのIPアドレスとを対応つけて記憶するIPアドレ
ステーブル、(2)ネットワークに接続するマシンの識
別情報と、マシンに対する不正侵入を判定する不正侵入
判定ルールの識別情報とを対応付けて記憶する不正侵入
判定ルールテーブル、(3)ネットワークを介してパケ
ットの送受信を行なう通信手段、(4)通信手段からパ
ケットを取得し、取得したパケットに含まれるIPアド
レスを取り出すパケット情報取得手段、(5)IPアド
レステーブルから、パケット情報取得手段により取り出
したIPアドレスと一致するIPアドレスに対応するマ
シンの識別情報を選択し、不正侵入判定ルールテーブル
から、選択したマシンの識別情報と一致する識別情報に
対応する不正侵入判定ルールの識別情報を選択し、選択
した識別情報で識別される不正侵入判定ルールに従っ
て、不正侵入を判定する不正侵入判定ルール実行手段、
(6)通信手段からパケットを取得し、取得したパケッ
トに含まれるIPアドレスを取り出し、取り出したIP
アドレスで特定されるマシンに対して接続し、接続した
マシン上で動作しているサーバの種類を取得し、取得し
たサーバの種類に適した不正侵入判定ルールを選択し、
接続したマシンの識別情報を生成する検出ルール実行手
段、(7)検出ルール実行手段により生成したマシンの
識別情報と、取り出したIPアドレスとを対応つけて、
IPアドレステーブルに記憶させるIPアドレステーブ
ル変更手段、(8)検出ルール実行手段により生成した
マシンの識別情報と、選択した不正侵入判定ルールの識
別情報とを対応付けて、不正侵入判定ルールテーブルに
記憶させる不正侵入判定ルールテーブル変更手段。
【0027】また、不正侵入検知システムは、更に、サ
ーバの種類と、そのサーバの種類に適した不正侵入判定
ルールの識別情報とを対応つけて記憶する検出ルールテ
ーブルを有し、検出ルール実行手段は、検出ルールテー
ブルで、サーバの種類に対応つけられる不正侵入判定ル
ールの識別情報を出力することを特徴とする。
【0028】また、不正侵入検知システムは、更に、I
Pアドレステーブルに、検出ルール実行手段により取り
出したIPアドレスと一致するIPアドレスが記憶され
ているかを検査するIPアドレス設定済検査手段を有
し、IPアドレステーブル変更手段は、IPアドレス設
定済検査手段により、一致するIPアドレスが記憶され
ていないと判断した場合に、検出ルール実行手段により
生成したマシンの識別情報と、取り出したIPアドレス
とを対応つけて、IPアドレステーブルに記憶させるこ
とを特徴とする。
【0029】また、不正侵入検知システムは、更に、不
正侵入判定ルールテーブルに、検出ルール実行手段によ
り選択した不正侵入判定ルールの識別情報と一致する識
別情報が記憶されているかを検査する不正侵入判定ルー
ル設定済検査手段を有し、不正侵入判定ルールテーブル
変更手段は、不正侵入判定ルール設定済検査手段によ
り、一致する不正侵入判定ルールの識別情報が記憶され
ていないと判断した場合に、検出ルール実行手段により
生成したマシンの識別情報と、選択した不正侵入判定ル
ールの識別情報とを対応付けて、不正侵入判定ルールテ
ーブルに記憶させることを特徴とする。
【0030】また、不正侵入検知システムは、更に、I
Pアドレステーブルから、マシンの識別情報と、マシン
のIPアドレスとを取得するIPアドレステーブル再取
得手段と、不正侵入判定ルールテーブルから、IPアド
レステーブル再取得手段により取得したマシンの識別情
報と一致する識別情報に対応する不正侵入判定ルールの
識別情報を取得する不正侵入判定ルールテーブル再取得
手段と、検出ルール実行手段に、IPアドレステーブル
再取得手段により取得したIPアドレスで特定されるマ
シンに接続させ、接続したマシン上で動作しているサー
バの種類を取得させる検出ルール再実行手段とを有し、
不正侵入判定ルールテーブル変更手段は、不正侵入判定
ルールテーブル再取得手段により取得した不正侵入判定
ルールの識別情報により識別される不正侵入識別ルール
が適するサーバの種類と、ルール実行手段により取得し
たサーバの種類とが一致しない場合に、不正侵入判定ル
ールテーブルから、不正侵入判定ルールテーブル再取得
手段により取得した不正侵入判定ルールの識別情報を削
除することを特徴とする。
【0031】また、不正侵入検知システムは、更に、I
Pアドレステーブルから、マシンの識別情報と、マシン
のIPアドレスとを取得するIPアドレステーブル再取
得手段と、検出ルール実行手段に、IPアドレステーブ
ル再取得手段により取得したIPアドレスで特定される
マシンに接続させる検出ルール再実行手段とを有し、I
Pアドレステーブル変更手段は、検出ルール実行手段に
よる接続ができない場合に、IPアドレステーブルか
ら、IPアドレステーブル再取得手段により取得したマ
シンの識別情報と、マシンのIPアドレスとを削除し、
不正侵入判定ルールテーブル変更手段は、IPアドレス
テーブル再取得手段により取得したマシンの識別情報
と、その識別情報に対応する不正侵入判定ルールの識別
情報とを削除することを特徴とする。
【0032】また、不正侵入検知システムは、更に、不
正侵入判定ルール手段により不正侵入があったことを判
定した場合に、対策としてアラームを出力する対策実行
手段と、対策実行手段により出力されたアラームを検知
するアラーム検出手段と、アラーム検出手段によりアラ
ームを検出した場合に、検出ルール再実行手段を起動す
る再検出指定手段とを有することを特徴とする。
【0033】また、不正侵入検知システムは、更に、検
出ルールテーブルを暗号化する検出ルールテーブル暗号
設定手段と、暗号化した検出ルールテーブルを復号する
検出ルールテーブル復号取得手段と、IPアドレステー
ブルを暗号化するIPアドレステーブル暗号設定手段
と、暗号化したIPアドレステーブルを復号するIPア
ドレステーブル復号取得手段と、不正侵入判定ルールテ
ーブルを暗号化する不正侵入判定ルールテーブル暗号設
定手段と、暗号化した不正侵入判定ルールテーブルを復
号する不正侵入判定ルールテーブル復号取得手段とを有
することを特徴とする。
【0034】また、不正侵入検知システムは、更に、検
出ルールテーブルと、IPアドレステーブルと、不正侵
入判定テーブルとの変更履歴を生成するテーブル変更保
存手段と、テーブル変更保存手段により生成した変更履
歴を格納する履歴テーブルとを有することを特徴とす
る。
【0035】また、不正侵入検知システムは、更に、通
信手段からパケットを取得して保存するパケット保存手
段と、パケット保存手段に保存したパケット出力するパ
ケット再生手段とを有し、検出ルール実行手段は、パケ
ット再生手段により出力されるパケットを取得すること
を特徴とする。
【0036】また、不正侵入検知システムは、更に、パ
ケット再生手段がパケットを出力するスケジュールを記
憶する再生スケジュール記憶部と、再生スケジュール記
憶部に記憶するスケジュールに従って、パケット再生手
段へパケットの出力を指示する指定日時パケット再生指
示手段とを有することを特徴とする。
【0037】また、不正侵入検知システムは、更に、シ
ステムの負荷状況を取得する負荷取得手段と、負荷取得
手段により取得した負荷状況が、所定の負荷よりも小さ
いと判断した場合に、パケット再生手段へパケットの出
力を指示する低負荷時パケット再生指示手段とを有する
ことを特徴とする。
【0038】また、不正侵入検知システムは、更に、パ
ケット保存手段からパケットの流通量を取得するパケッ
ト流通量取得手段と、パケット流通量取得手段により取
得したパケットの流通量が、所定の流通量よりも少ない
と判断した場合に、パケット再生手段へパケットの出力
を指示する低ネットワーク負荷時パケット再生指示手段
とを有することを特徴とする。
【0039】
【発明の実施の形態】実施の形態1.以下本発明を図面
に示す実施例に基づいて説明する。図1は、実施の形態
1における侵入検知システムを示す図である。ネットワ
ーク5は、WWWサーバ1、MAILサーバ2、正常マ
シン3、不正マシン4などを接続している。ネットワー
ク5上には、データ転送の為にパケット6が流れてい
る。
【0040】そのため、不正侵入検知システムは、通信
手段7、IPアドレステーブル10、IPアドレステー
ブル設定手段11、WWWサーバ用不正侵入判定ルール
12、MAILサーバ用不正侵入判定ルール13、不正
侵入判定ルールテーブル15、不正侵入判定ルールテー
ブル設定手段16、パケット情報取得手段17、IPア
ドレステーブル取得手段18、不正侵入判定ルールテー
ブル取得手段19、不正侵入判定ルール実行手段20、
対策実行手段22、パケット情報取得・送出手段23、
WWWサーバ用検出ルール24、MAILサーバ用検出
ルール25、検出ルールテーブル28、検出ルールテー
ブル設定手段29、検出ルールテーブル取得手段30、
検出ルール実行手段31、IPアドレステーブル変更手
段32、不正侵入判定ルールテーブル変更手段33を備
える。
【0041】通信手段7は、ネットワーク5とパケット
6のやりとりを行う。
【0042】IPアドレステーブル10は、マシン名8
とIPアドレス9の関係をまとめたIPアドレスリスト
を記述している。図2は、IPアドレステーブルの構成
を示す図である。尚、マシン名8は、WWWサーバ1、
MAILサーバ2、正常マシン3や不正マシン4などを
識別する。また、IPアドレス9は、WWWサーバ1や
MAILサーバ2や正常マシン3や不正マシン4などが
送受するパケット6の中に含まれるIPアドレスであ
る。
【0043】IPアドレステーブル設定手段11は、I
Pアドレステーブル10を設定する。
【0044】WWWサーバ用不正侵入判定ルール12
は、パケット6の情報をもとにWWWサーバに対する不
正侵入を判定するルールである。
【0045】MAILサーバ用不正侵入判定ルール13
は、パケット6の情報をもとにMAILサーバに対する
不正侵入を判定するルールである。
【0046】不正侵入判定ルールテーブル15は、マシ
ン名8と不正侵入判定ルール名14の関係をまとめた不
正侵入判定ルールリストを記述している。図3は、ルー
ルテーブルの構成を示す図である。尚、不正侵入判定ル
ール名14は、WWWサーバ用不正侵入判定ルール12
やMAILサーバ用不正侵入判定ルール13などを識別
するルール名である。
【0047】不正侵入判定ルールテーブル設定手段16
は、不正侵入判定ルールテーブル15を設定する。
【0048】パケット情報取得手段17は、通信手段7
からパケット6を取得する。
【0049】IPアドレステーブル取得手段18は、I
Pアドレステーブル10からIPアドレスリストを取得
する。
【0050】不正侵入判定ルールテーブル取得手段19
は、不正侵入判定ルールテーブル15から不正侵入判定
ルールリストを取得する。
【0051】不正侵入判定ルール実行手段20は、IP
アドレスリストから、パケット6から取り出したIPア
ドレス9に対応するマシン名8を特定し、不正侵入判定
ルールテーブルリストからそのマシン名8に対応する不
正侵入判定ルールを特定し、その不正侵入判定ルールを
実行する。
【0052】対策実行手段22は、不正侵入判定ルール
実行手段20の結果に応じて、アラーム出力などの制御
を行なう。これにより、不正侵入判定ルール実行結果が
不正侵入と判定されたときにアラーム21が出力する。
【0053】パケット情報取得・送出手段23は、通信
手段7からパケット6を取得または送出する。
【0054】WWWサーバ用検出ルール24は、パケッ
ト6の情報をもとにWWWサーバ1かどうかの検出を行
うルールである。
【0055】MAILサーバ用検出ルール25は、パケ
ット6の情報をもとにMAILサーバ2かどうかの検出
を行うルールである。
【0056】検出ルールテーブル28は、種類26と検
出ルール27とルール名14の関係をまとめた検出ルー
ルリストを記述している。図4は、検出ルールリストの
構成を示す図である。尚、種類26は、マシンがWWW
サーバ1かMAILサーバ2かなどを識別する。
【0057】検出ルールテーブル設定手段29は、検出
ルールテーブル28を設定する。
【0058】検出ルールテーブル取得手段30は、検出
ルールテーブル28から検出ルールリストを取り出す。
【0059】検出ルール実行手段31は、パケット6と
検出ルールリストから検出ルール27を実行し、検出ル
ール27からの要求に応じてパケット情報取得・送出手
段23とパケット6のやりとりを行い、検出結果を得
る。いずれかのサーバを検出するまで、検出ルールリス
トにあるすべての検出ルールを実行する。
【0060】IPアドレステーブル変更手段32は、検
出結果を元にIPアドレステーブル10を変更する。
【0061】不正侵入判定ルールテーブル変更手段33
は、検出結果を元に不正侵入判定ルールテーブル15を
変更する。
【0062】次に、動作について説明する。IPアドレ
ステーブル設定手段11により、予めユーザはWWWサ
ーバ1やMAILサーバ2や正常マシン3や不正マシン
4などを識別するマシン名8とIPアドレス9の関係を
まとめたIPアドレスリストを記述したIPアドレステ
ーブル10を設定しておくことができる。
【0063】また、不正侵入判定ルールテーブル設定手
段16により、予めユーザはマシン名8とWWWサーバ
用不正侵入判定ルール12やMAILサーバ用不正侵入
判定ルール13などを識別するルール名14の関係をま
とめたルールリストを記述した不正侵入判定ルールテー
ブル15を設定しておくことができる。
【0064】そして、ユーザは、検出ルールテーブル設
定手段29により、マシンがWWWサーバ1かMAIL
サーバ2かなどを識別する為の種類26と、WWWサー
バ用検出ルール24又はMAILサーバ用検出ルール2
5の検出ルール27と、WWWサーバ用不正侵入判定ル
ール12やMAILサーバ用不正侵入判定ルール13な
どを識別するルール名14を検出ルールテーブル28に
設定しておく。
【0065】不正侵入検知システムは、通信手段7によ
りそのネットワーク5上でデータをのせて流れるパケッ
ト6を入手する。
【0066】次に、パケット情報取得・送出手段23に
より、通信手段7からパケット6を取得する。
【0067】次に、検出ルールテーブル取得手段30に
より、検出ルールテーブル28から検出ルールリストを
全て取り出す。
【0068】次に、検出ルール実行手段31により、パ
ケット6と検出ルールリストから検出ルール27を実行
し、検出ルール27からの要求に応じてパケット情報取
得・送出手段23とパケット6のやりとりを行い、検出
結果を得る。この際に、パケット6は、パケット情報取
得・送出手段23と通信手段7を介し、ネットワーク5
を経由して対象となるマシンと通信される。
【0069】図5は、WWWサーバ用検出ルールの処理
の流れである。S501により、検出ルール実行手段3
1から実行されたWWWサーバ用検出ルール24の処理
が開始される。
【0070】S502により、パケット6の中のIPア
ドレスを取得する。
【0071】S503により、パケット6の中のIPア
ドレスに対して、PORT番号80の接続要求を送り、
検出ルール実行手段31からパケット情報取得・送出手
段23を経て通信手段7により実際のパケット6をネッ
トワーク5に送出する。尚、PORT番号80は、WW
Wサーバのポート番号である。但し、ポート番号を指定
せずに、1から順に確認する方法も考えられる。
【0072】S504により、接続結果を確認する。接
続成功の場合は、S505を実行する。接続失敗の場合
は、S509へ移る。
【0073】S505により、同一のIPアドレス及び
ポート番号に対して改行コードを2個送出し、検出ルー
ル実行手段31からパケット情報取得・送出手段23を
経て通信手段7により実際のパケット6をネットワーク
5に送出する。
【0074】S506により、ネットワークから取得し
たパケットを通信手段ならびにパケット情報取得・送出
手段、更に検出ルール実行手段を経由してリプライとし
て受信する。
【0075】S507により、リプライの先頭文字が
“HTTP/1.0”から始まっているかどうかを比較
する。一致した場合は、S508を実行する。不一致の
場合は、S509へ移る。
【0076】S508により、相手がWWWサーバであ
ると判定する。尚、HTTPプロトコルにより、WWW
サーバがこのように動作することが定義されている。ま
た、“HTTP/1.1”から始まっている場合にも、
同様に判定することができる。
【0077】S509により、一連の処理を終了する。
【0078】尚、MAILサーバの場合には、PORT
番号は、25番となり、HELOtestのリプライの
先頭文字が”250”から始まっていることにより判定
することができる。
【0079】検出結果、新しいIPアドレス9が発見さ
れ、更にサーバが検出された場合には、IPアドレステ
ーブル変更手段32によりIPアドレス9と、新たに生
成したマシン名8をIPアドレステーブル10に追加す
る。また、不正侵入判定ルールテーブル変更手段33に
より、マシン名8とルール名14を不正侵入判定ルール
テーブル15に追加する。
【0080】次に、パケット情報取得手段17により、
通信手段7からパケット6を取得する。この際、通信手
段7は自らがネットワーク5に送信したパケット6は渡
さずに破棄する。
【0081】次に、IPアドレステーブル取得手段18
により、IPアドレステーブル10からパケット6の中
に含まれるIPアドレス9に対応するIPアドレスリス
トを取得する。
【0082】次に、不正侵入判定ルールテーブル取得手
段19により、不正侵入判定ルールテーブル15からI
Pアドレスリストに含まれるマシン名8に対応するルー
ルテーブルリストを取得する。
【0083】次に、不正侵入判定ルール実行手段20に
より、ルールテーブルリストからルール名14を取得し
て実行する。実行結果が不正侵入と判定されたときは、
対策実行手段22によりアラーム21を出力する。
【0084】従って、自動的に更新されたIPアドレス
テーブル10と不正侵入判定ルールテーブル15を用い
て侵入検知が実行されることとなる。
【0085】実施の形態2.図6は、実施の形態2にお
ける侵入検知システムを示す図である。本実施の形態に
おける侵入検知システムは、前述の侵入検知システムの
構成に加えて、IPアドレス設定済検査手段43を備え
ている。
【0086】IPアドレス設定済検査手段43は、検出
ルール実行手段31から与えられたIPアドレス9がI
Pアドレステーブル10に既に設定されているかどうか
を検査して結果を検出ルール実行手段31に渡す。
【0087】動作について説明する。検出ルール実行手
段31により検出結果を得る処理までは、実施の形態1
における動作と同様である。
【0088】検出結果、新しいIPが発見され、更にサ
ーバが検出された場合には、IPアドレス9を検出ルー
ル実行手段31からIPアドレス設定済検査手段43に
渡し、IPアドレス設定済検査手段43により、IPア
ドレステーブル10に既に設定されているかどうかを検
査する。そして、検査結果を検出ルール実行手段31に
渡す。
【0089】IPアドレス9が未登録の場合は、IPア
ドレステーブル変更手段32により、IPアドレス9と
新たに生成したマシン名をIPアドレステーブル10に
追加する。また、不正侵入判定ルールテーブル変更手段
33により、マシン名とルール名を不正侵入判定ルール
テーブル15に追加する。
【0090】これ以降の動作は、実施の形態1における
動作と同様である。
【0091】本実施の形態では、IPアドレステーブル
10にIPアドレス9が重複して設定されることがない
ので、IPアドレステーブル10が最適な状態に保たれ
る。
【0092】実施の形態3.図7は、実施の形態3にお
ける侵入検知システムを示す図である。本実施の形態に
おける侵入検知システムは、前述の侵入検知システムの
構成に加えて、不正侵入判定ルール設定済検査手段44
を備えている。
【0093】不正侵入判定ルール設定済検査手段44
は、検出ルール実行手段31から与えられたマシン名8
とルール名14のペアであるルールリストが不正侵入判
定ルールテーブル15に既に設定されているかどうかを
検査して結果を検出ルール実行手段31に渡す。
【0094】動作について説明する。検出ルール実行手
段31により検出結果を得る処理までは、実施の形態1
における動作と同様である。
【0095】検出結果、新しいIPが発見され、更にサ
ーバが検出された場合には、マシン名8とルール名14
を検出ルール実行手段31から不正侵入判定ルール設定
済検査手段44に渡し、不正侵入判定ルール設定済検査
手段44により、不正侵入判定ルールテーブル15に既
に設定されているかどうかを検査する。そして、検査結
果を検出ルール実行手段31に渡す。
【0096】ルールリストが未登録の場合は、IPアド
レステーブル変更手段32により、IPアドレス9と新
たに生成したマシン名をIPアドレステーブル10に追
加する。また、不正侵入判定ルールテーブル変更手段3
3によりマシン名とルール名を不正侵入判定ルールテー
ブル15に追加する。
【0097】これ以降の動作は、実施の形態1における
動作と同様である。
【0098】本実施の形態では、不正侵入判定ルールテ
ーブル15にマシン名8とルール名14のペアであるル
ールリストが重複して設定されることがないので、不正
侵入判定ルールテーブル15が最適な状態に保たれる。
【0099】実施の形態4.図8は、実施の形態4にお
ける侵入検知システムを示す図である。本実施の形態に
おける侵入検知システムは、前述の侵入検知システムの
構成に加えて、IPアドレステーブル再取得手段45、
不正侵入判定ルールテーブル再取得手段46、検出ルー
ル再実行手段47、再検出指定手段48を備えている。
【0100】IPアドレステーブル再取得手段45は、
IPアドレステーブル10からIPアドレスリストを再
取得する。
【0101】不正侵入判定ルールテーブル再取得手段4
6は、不正侵入判定ルールテーブル15からルールリス
トを再取得する。
【0102】検出ルール再実行手段47は、IPアドレ
ステーブル再取得手段45より与えられるIPアドレス
リストと、不正侵入判定ルールテーブル再取得手段46
より与えられるルールリストと、検出ルールテーブル取
得手段30より得られる検出ルールリストを用いて、検
出ルール実行手段31に再実行させる。
【0103】再検出指定手段48は、検出ルール再実行
手段47に実行を指示する。
【0104】動作について説明する。ユーザは、任意の
時点で再検出指定手段48により検出ルール再実行手段
47に実行を指示することができる。
【0105】IPアドレステーブル再取得手段45は、
IPアドレステーブル10からIPアドレスリストを再
取得し、不正侵入判定ルールテーブル再取得手段46
は、不正侵入判定ルールテーブル15からルールリスト
を再取得し、更に、検出ルールテーブル取得手段30
は、検出ルールリストを取得する。
【0106】検出ルール再実行手段47は、ルールリス
ト中のルール名14に対応する検出ルールリスト中の検
出ルール27と、ルールリスト中のマシン名8に対応す
るIPアドレステーブル10中のIPアドレス9を取得
し、これを検出ルール実行手段31に渡して再実行させ
る。
【0107】次に、検出ルール実行手段31により、検
出ルール27を実行し、検出ルール27からの要求に応
じてパケット情報取得・送出手段23とパケット6のや
りとりを行い検出結果を得る。
【0108】この際にパケット6は、パケット情報取得
・送出手段23と通信手段7を介し、ネットワーク5を
経由して対象となるマシンと通信される。
【0109】検出結果、サーバが検出されなかった場合
には、不正侵入判定ルールテーブル変更手段33により
マシン名8とルール名14を不正侵入判定ルールテーブ
ル15から削除する。また、IPアドレス9が検出され
なかった場合には、IPアドレステーブル変更手段32
によりIPアドレス9とマシン名8をIPアドレステー
ブル10から削除し、不正侵入判定ルールテーブル変更
手段33によりマシン名8とルール名14を不正侵入判
定ルールテーブル15から削除する。
【0110】次に、パケット情報取得手段17により、
通信手段7からパケット6を取得する。この際、通信手
段7は自らがネットワーク5に送信したパケット6は渡
さずに破棄する。
【0111】次に、IPアドレステーブル取得手段18
により、IPアドレステーブル10からパケット6の中
に含まれるIPアドレス9に対応するIPアドレスリス
トを取得する。
【0112】次に、不正侵入判定ルールテーブル取得手
段19により、不正侵入判定ルールテーブル15からI
Pアドレスリストに含まれるマシン名8に対応するルー
ルテーブルリストを取得する。
【0113】次に、不正侵入判定ルール実行手段20に
よりルールテーブルリストからルール名14を取得して
実行する。実行結果が不正侵入と判定された時は対策実
行手段22によりアラーム21を出力する。
【0114】従って、再検出の指定のみで自動的に更新
されたIPアドレステーブル10と不正侵入判定ルール
テーブル15を用いて侵入検知が実行されることとな
る。
【0115】実施の形態5.図9は、実施の形態5にお
ける侵入検知システムを示す図である。本実施の形態に
おける侵入検知システムは、前述の侵入検知システムの
構成に加えて、再検出指定手段48、アラーム検出手段
49を備えている。
【0116】アラーム検出手段49は、アラーム21の
出力を検出して、再検出指定手段48に再検出を指示す
る。
【0117】本実施の形態では、ユーザが再検出指定手
段48を操作して検出ルール再実行手段47に再実行を
指示するかわりに、アラーム検出手段49によりアラー
ム21の発生を検出し、再検出指定手段48に再実行を
自動的に指示する。
【0118】従って、何らかの異常が発生または設定の
更新が必要と考えられる場合に、迅速に対応することが
可能となる。
【0119】実施の形態6.図10は、実施の形態6に
おける侵入検知システムを示す図である。本実施の形態
における侵入検知システムは、前述の侵入検知システム
の構成に加えて、設定時パスワード入力手段51、起動
時パスワード入力手段52、実行時パスワード保存手段
53、暗号済検出ルールテーブル54、検出ルールテー
ブル暗号設定手段55、検出ルールテーブル復号取得手
段56、暗号済IPアドレステーブル57、IPアドレ
ステーブル暗号設定手段58、IPアドレステーブル復
号取得手段59、IPアドレステーブル暗号変更手段6
0、暗号済不正侵入判定ルールテーブル61、不正侵入
判定ルールテーブル暗号設定手段62、不正侵入判定ル
ールテーブル復号取得手段63、不正侵入判定ルールテ
ーブル暗号変更手段64を備えている。
【0120】本実施の形態におけるパスワード50は、
管理者しか知り得ぬパスワードである。
【0121】設定時パスワード入力手段51は、設定時
にパスワード50を入力する。
【0122】起動時パスワード入力手段52は、起動時
にパスワード50を入力する。
【0123】実行時パスワード保存手段53は、起動時
パスワード入力手段52により入力されたパスワード5
0を実行時にのみ保存する。
【0124】暗号済検出ルールテーブル54は、パスワ
ード50により暗号化された検出ルールリストを格納す
る。
【0125】検出ルールテーブル暗号設定手段55は、
パスワード50により暗号化して暗号済検出ルールテー
ブル54を設定する。
【0126】検出ルールテーブル復号取得手段56は、
暗号済検出ルールテーブル54よりパスワード50にて
復号した検出ルールリストを取得する。
【0127】暗号済IPアドレステーブル57は、パス
ワード50により暗号化されたIPアドレスリストを格
納する。
【0128】IPアドレステーブル暗号設定手段58
は、パスワード50により暗号化して暗号済IPアドレ
ステーブル57を設定する。
【0129】IPアドレステーブル復号取得手段59
は、暗号済IPアドレステーブル57よりパスワード5
0にて復号したIPアドレスリストを取得する。
【0130】IPアドレステーブル暗号変更手段60
は、パスワード50により復号し再度暗号化して暗号済
IPアドレステーブル57を変更する。
【0131】暗号済不正侵入判定ルールテーブル61
は、パスワード50により暗号化されたルールリストを
格納する。
【0132】不正侵入判定ルールテーブル暗号設定手段
62は、パスワード50により暗号化して暗号済不正侵
入判定ルールテーブル61を設定する。
【0133】不正侵入判定ルールテーブル復号取得手段
63は、暗号済不正侵入判定ルールテーブル61よりパ
スワード50にて復号したルールリストを取得する。
【0134】不正侵入判定ルールテーブル暗号変更手段
64は、パスワード50により復号し、再度暗号化して
暗号済不正侵入判定ルールテーブル61を変更する。
【0135】動作について説明する。システム起動時
に、管理者は、管理者しか知り得ぬパスワード50を、
起動時パスワード入力手段52により入力し、実行時パ
スワード保存手段53により実行中のみ保存する。
【0136】暗号済検出ルールテーブル54には、パス
ワード50により暗号化された検出ルールリストが格納
される。暗号済検出ルールテーブル54を設定する場合
には、検出ルールテーブル暗号設定手段55によりパス
ワード50にて暗号化する。暗号済検出ルールテーブル
54により検出ルールリストを取得する場合には、検出
ルールテーブル復号取得手段56によりパスワード50
にて復号する。
【0137】暗号済IPアドレステーブル57には、パ
スワード50により暗号化されたIPアドレスリストが
格納される。暗号済IPアドレステーブル57を設定す
る場合には、IPアドレステーブル暗号設定手段58に
よりパスワード50にて暗号化する。暗号済IPアドレ
ステーブル57よりIPアドレスリストを取得する場合
には、IPアドレステーブル復号取得手段59によりパ
スワード50にて復号する。暗号済IPアドレステーブ
ル57を変更する場合には、IPアドレステーブル暗号
変更手段60によりパスワード50にて復号し再度暗号
化する。
【0138】暗号済不正侵入判定ルールテーブル61に
は、パスワード50により暗号化されたルールリストが
格納される。暗号済不正侵入判定ルールテーブル61を
設定する場合には、不正侵入判定ルールテーブル暗号設
定手段62によりパスワード50にて暗号化する。暗号
済不正侵入判定ルールテーブル61よりルールリストを
取得する場合には、不正侵入判定ルールテーブル復号取
得手段63によりパスワード50にて復号する。暗号済
不正侵入判定ルールテーブル61を変更する場合には、
不正侵入判定ルールテーブル暗号変更手段64によりパ
スワード50にて復号し再度暗号化する。
【0139】この他の動作は、実施の形態1と同様であ
る。
【0140】従って、管理者と当侵入検知システム以外
の者により、設定情報が改ざんされることを防止でき
る。
【0141】実施の形態7.図11は、実施の形態7に
おける侵入検知システムを示す図である。本実施の形態
における侵入検知システムは、前述の侵入検知システム
の構成に加えて、検出ルールテーブル28及びIPアド
レステーブル10及び検出ルールテーブル28の変更履
歴を格納する履歴テーブル65と、検出ルールテーブル
28及びIPアドレステーブル10及び検出ルールテー
ブル28の変更履歴を履歴テーブル65に格納するテー
ブル変更保存手段66を備えている。
【0142】また、図12は、この発明における履歴テ
ーブルの構成の一例である。
【0143】本実施の形態では、検出ルールテーブル設
定手段により、検出ルールテーブルを設定する際の履歴
をテーブル変更保存手段により履歴テーブルに保存す
る。不正侵入判定ルールテーブル設定手段により、ルー
ルテーブルを設定する際の履歴をテーブル変更保存手段
により履歴テーブルに保存する。不正侵入判定ルールテ
ーブル変更手段により、ルールテーブルを変更する際の
履歴をテーブル変更保存手段により履歴テーブルに保存
する。IPアドレステーブル設定手段により、IPアド
レステーブルを設定する際の履歴をテーブル変更保存手
段により履歴テーブルに保存する。IPアドレス不正侵
入判定ルールテーブル変更手段により、IPアドレスル
ールテーブルを変更する際の履歴をテーブル変更保存手
段により履歴テーブルに保存する。
【0144】この他の動作は、実施の形態1と同様であ
る。
【0145】従って、ユーザによる設定変更および当侵
入検知システムによる設定変更を後で確認することが可
能となり管理負荷の低減と利便性が向上する。
【0146】実施の形態8.図13は、実施の形態8に
おける侵入検知システムを示す図である。本実施の形態
における侵入検知システムは、前述の侵入検知システム
の構成に加えて、通信手段7より得られるパケット6を
保存しておくパケット保存手段67と、パケット保存手
段67に保存されているパケット6を再生するパケット
再生手段68と、パケット再生手段68にパケット6の
再生を指示するパケット再生指示手段69を備えてい
る。尚、ここで再生するとは、保存されているパケット
を通信手段によりネットワークへ送出することである。
【0147】動作について説明する。本実施の形態で
は、パケット保存手段67により、通信手段7より得ら
れるパケット6を保存し、パケット再生手段68によ
り、パケット保存手段67に保存されているパケット6
を再生する。ユーザーは、パケット再生指示手段69に
より、パケット再生手段68にパケット6の再生を指示
する。
【0148】この他の動作は、実施の形態1と同様であ
る。
【0149】従って、ユーザーの指定した時に、それま
で保存しておいたパケット6の情報をもとに設定更新を
実行させることができるので、企業等においては、ネッ
トワーク5の混雑する昼間はパケット6を保存してお
き、適当な時に設定更新作業を実施させることが可能で
ある。
【0150】実施の形態9.図14は、実施の形態9に
おける侵入検知システムを示す図である。本実施の形態
における侵入検知システムは、実施の形態8の侵入検知
システムの構成に加えて、現在の日時を取得する日時取
得手段70と、パケット再生指示を出す日時を記述した
再生スケジュール71と、現在の日時と再生スケジュー
ル71を比較して指定された日時にパケット再生指示を
出す指定日時パケット再生指示手段72を備えている。
【0151】動作について説明する。本実施の形態で
は、指定日時パケット再生指示手段72が、日時取得手
段70により現在の日時を取得し、再生スケジュール7
1に記述されたパケット再生指示を出す日時と比較し
て、指定された日時にパケット再生指示をパケット再生
手段68に出す。
【0152】この他の動作は、実施の形態8と同様であ
る。
【0153】従って、深夜等の利用者の少ない時間帯に
設定更新作業を自動で実施させることが可能である。ま
た、定期的に設定更新作業を実施させることも可能であ
る。
【0154】実施の形態10.図15は、実施の形態1
0における侵入検知システムを示す図である。本実施の
形態における侵入検知システムは、実施の形態8の侵入
検知システムの構成に加えて、システムの負荷状況を取
得する負荷取得手段73と、パケット再生指示を出すこ
とのできる負荷情報を記述した再生可能負荷情報74
と、現在の負荷情報と再生可能負荷情報とを比較して可
能な負荷状況であればパケット再生指示を出す低負荷時
パケット再生指示手段75を備えている。
【0155】動作について説明する。低負荷時パケット
再生指示手段75が、負荷取得手段73によりシステム
の負荷状況を取得し、再生可能負荷情報74に記述され
たパケット再生指示を出すことのできる負荷情報と比較
して、可能な負荷状況であればパケット再生指示をパケ
ット再生手段68に出す。
【0156】この他の動作は、実施の形態8と同様であ
る。なお、負荷取得手段73は一定時間プログラムをル
ープでまわし、その実行回数をカウントするなどの方法
により実現される。
【0157】従って、システムの負荷の軽い時間帯に設
定更新作業を自動で実施させることが可能であり、侵入
検知機能のスループットを下げることが防げる。
【0158】実施の形態11.図16は、実施の形態1
1における侵入検知システムを示す図である。本実施の
形態における侵入検知システムは、実施の形態8の侵入
検知システムの構成に加えて、パケット保存手段67か
らパケット6の流通量を取得するパケット流通量取得手
段76と、パケット再生指示を出すことのできるパケッ
ト流通量を記述した再生可能流通量情報77と、現在の
パケット流通量と再生可能流通量情報77とを比較して
可能な流通量であればパケット再生指示を出す低ネット
ワーク負荷時パケット再生指示手段78を備えている。
【0159】動作について説明する。低ネットワーク負
荷時パケット再生指示手段78が、パケット流通量取得
手段76によりパケット6の流通量を取得し、再生可能
流通量情報77に記述されたパケット再生指示を出すこ
とのできるパケット流通量と比較して、可能な流通量で
あればパケット再生指示をパケット再生手段68に出
す。
【0160】この他の動作は、実施の形態8と同様であ
る。
【0161】従って、ネットワークの負荷の軽い時間帯
に設定更新作業を自動で実施させることが可能であり、
ネットワークに繋がれた他の機器への影響を減らすこと
が可能である。
【0162】尚、上記の説明では、ネットワークにWW
WサーバやMAILサーバがある場合について述べた
が、その他のサーバに利用することも出来る。
【0163】
【発明の効果】本発明においては、自動的に更新された
IPアドレステーブル10と不正侵入判定ルールテーブ
ル15を用いて侵入検知が実行されることとなる。
【0164】また、この発明は、IPアドレステーブル
10にIPアドレス9が重複して設定されることがない
ので、IPアドレステーブル10が最適な状態に保たれ
る。
【0165】また、この発明は、不正侵入判定ルールテ
ーブル15にマシン名8とルール名14のペアであるル
ールリストが重複して設定されることがないので、不正
侵入判定ルールテーブル15が最適な状態に保たれる。
【0166】また、この発明は、再検出の指定のみで自
動的に更新されたIPアドレステーブル10と不正侵入
判定ルールテーブル15を用いて侵入検知が実行される
こととなる。
【0167】また、この発明は、何らかの異常が発生ま
たは設定の更新が必要と考えられる場合に、迅速に対応
することが可能となる。
【0168】また、この発明は、管理者と当侵入検知シ
ステム以外の者により、設定情報が改ざんされることを
防止できる。
【0169】また、この発明は、ユーザによる設定変更
および当侵入検知システムによる設定変更を後で確認す
ることが可能となり管理負荷の低減と利便性が向上す
る。
【0170】また、この発明は、ユーザーの指定した時
に、それまで保存しておいたパケット6の情報をもとに
設定更新を実行させることができるので、企業等におい
ては、ネットワーク5の混雑する昼間はパケット6を保
存しておき、適当な時に設定更新作業を実施させること
が可能である。
【0171】また、この発明は、深夜等の利用者の少な
い時間帯に設定更新作業を自動で実施させることが可能
である。また、定期的に設定更新作業を実施させること
も可能である。
【0172】また、この発明は、システムの負荷の軽い
時間帯に設定更新作業を自動で実施させることが可能で
あり、侵入検知機能のスループットを下げることが防げ
る。
【0173】また、この発明は、ネットワークの負荷の
軽い時間帯に設定更新作業を自動で実施させることが可
能であり、ネットワークに繋がれた他の機器への影響を
減らすことが可能である。
【図面の簡単な説明】
【図1】 実施の形態1における侵入検知システムを示
す図である。
【図2】 IPアドレステーブルの構成を示す図であ
る。
【図3】 ルールテーブルの構成を示す図である。
【図4】 検出ルールリストの構成を示す図である。
【図5】 WWWサーバ用検出ルールの処理の流れを示
す図である。
【図6】 実施の形態2における侵入検知システムを示
す図である。
【図7】 実施の形態3における侵入検知システムを示
す図である。
【図8】 実施の形態4における侵入検知システムを示
す図である。
【図9】 実施の形態5における侵入検知システムを示
す図である。
【図10】 実施の形態6における侵入検知システムを
示す図である。
【図11】 実施の形態7における侵入検知システムを
示す図である。
【図12】 この発明における履歴テーブルの構成の一
例を示す図である。
【図13】 実施の形態8における侵入検知システムを
示す図である。
【図14】 実施の形態9における侵入検知システムを
示す図である。
【図15】 実施の形態10における侵入検知システム
を示す図である。
【図16】 実施の形態11における侵入検知システム
を示す図である。
【図17】 従来の侵入検知システムを示す図である。
【符号の説明】
1 WWWサーバ、2 MAILサーバ、3 正常マシ
ン、4 不正マシン、5 ネットワーク、6 パケッ
ト、7 通信手段、8 マシン名、9 IPアドレス、
10 IPアドレステーブル、11 IPアドレステー
ブル設定手段、12 WWWサーバ用不正侵入判定ルー
ル、13 MAILサーバ用不正侵入判定ルール、14
不正侵入判定ルール名、15 不正侵入判定ルールテ
ーブル、16 不正侵入判定ルールテーブル設定手段、
17 パケット情報取得手段、18IPアドレステーブ
ル取得手段、19 不正侵入判定ルールテーブル取得手
段、20 不正侵入判定ルール実行手段、21 アラー
ム、22 対策実行手段、23 パケット情報取得・送
出手段、24 WWWサーバ用検出ルール、25MAI
Lサーバ用検出ルール、26 種類、27 検出ルー
ル、28 検出ルールテーブル、29 検出ルールテー
ブル設定手段、30 検出ルールテーブル取得手段、3
1 検出ルール実行手段、32 IPアドレステーブル
変更手段、33 不正侵入判定ルールテーブル変更手
段、43 IPアドレス設定済検査手段、44 不正侵
入判定ルール設定済検査手段、45 IPアドレステー
ブル再取得手段、46 不正侵入判定ルールテーブル再
取得手段、47 検出ルール再実行手段、48 再検出
指定手段、49 アラーム検出手段、51 設定時パス
ワード入力手段、52 起動時パスワード入力手段、5
3 実行時パスワード保存手段、54 暗号済検出ルー
ルテーブル、55 検出ルールテーブル暗号設定手段、
56 検出ルールテーブル復号取得手段、57 暗号済
IPアドレステーブル、58 IPアドレステーブル暗
号設定手段、59 IPアドレステーブル復号取得手
段、60 IPアドレステーブル暗号変更手段、61
暗号済不正侵入判定ルールテーブル、62 不正侵入判
定ルールテーブル暗号設定手段、63不正侵入判定ルー
ルテーブル復号取得手段、64 不正侵入判定ルールテ
ーブル暗号変更手段、65 履歴テーブル、66 テー
ブル変更保存手段、67 パケット保存手段、68 パ
ケット再生手段、69 パケット再生指示手段、70日
時取得手段、71 再生スケジュール、72 指定日時
パケット再生指示手段、73 負荷取得手段、74 再
生可能負荷情報、75 低負荷時パケット再生指示手
段、76 パケット流通量取得手段、77 再生可能流
通量情報、78低ネットワーク負荷時パケット再生指示
手段。

Claims (13)

    【特許請求の範囲】
  1. 【請求項1】 ネットワークを介してマシンに接続し、
    マシンに対する不正侵入を検知する不正侵入検知システ
    ムであって、以下の要素を有することを特徴とする不正
    侵入検知システム(1)ネットワークに接続するマシン
    の識別情報と、マシンのIPアドレスとを対応つけて記
    憶するIPアドレステーブル、(2)ネットワークに接
    続するマシンの識別情報と、マシンに対する不正侵入を
    判定する不正侵入判定ルールの識別情報とを対応付けて
    記憶する不正侵入判定ルールテーブル、(3)ネットワ
    ークを介してパケットの送受信を行なう通信手段、
    (4)通信手段からパケットを取得し、取得したパケッ
    トに含まれるIPアドレスを取り出すパケット情報取得
    手段、(5)IPアドレステーブルから、パケット情報
    取得手段により取り出したIPアドレスと一致するIP
    アドレスに対応するマシンの識別情報を選択し、 不正侵入判定ルールテーブルから、選択したマシンの識
    別情報と一致する識別情報に対応する不正侵入判定ルー
    ルの識別情報を選択し、 選択した識別情報で識別される不正侵入判定ルールに従
    って、不正侵入を判定する不正侵入判定ルール実行手
    段、(6)通信手段からパケットを取得し、 取得したパケットに含まれるIPアドレスを取り出し、 取り出したIPアドレスで特定されるマシンに対して接
    続し、 接続したマシン上で動作しているサーバの種類を取得
    し、 取得したサーバの種類に適した不正侵入判定ルールを選
    択し、 接続したマシンの識別情報を生成する検出ルール実行手
    段、 (7)検出ルール実行手段により生成したマシンの識別
    情報と、取り出したIPアドレスとを対応つけて、IP
    アドレステーブルに記憶させるIPアドレステーブル変
    更手段、(8)検出ルール実行手段により生成したマシ
    ンの識別情報と、選択した不正侵入判定ルールの識別情
    報とを対応付けて、不正侵入判定ルールテーブルに記憶
    させる不正侵入判定ルールテーブル変更手段。
  2. 【請求項2】 不正侵入検知システムは、更に、サーバ
    の種類と、そのサーバの種類に適した不正侵入判定ルー
    ルの識別情報とを対応つけて記憶する検出ルールテーブ
    ルを有し、 検出ルール実行手段は、検出ルールテーブルで、サーバ
    の種類に対応つけられる不正侵入判定ルールの識別情報
    を出力することを特徴とする請求項1記載の不正侵入検
    知システム。
  3. 【請求項3】 不正侵入検知システムは、更に、IPア
    ドレステーブルに、検出ルール実行手段により取り出し
    たIPアドレスと一致するIPアドレスが記憶されてい
    るかを検査するIPアドレス設定済検査手段を有し、 IPアドレステーブル変更手段は、IPアドレス設定済
    検査手段により、一致するIPアドレスが記憶されてい
    ないと判断した場合に、検出ルール実行手段により生成
    したマシンの識別情報と、取り出したIPアドレスとを
    対応つけて、IPアドレステーブルに記憶させることを
    特徴とする請求項1記載の不正侵入検知システム。
  4. 【請求項4】 不正侵入検知システムは、更に、不正侵
    入判定ルールテーブルに、検出ルール実行手段により選
    択した不正侵入判定ルールの識別情報と一致する識別情
    報が記憶されているかを検査する不正侵入判定ルール設
    定済検査手段を有し、 不正侵入判定ルールテーブル変更手段は、不正侵入判定
    ルール設定済検査手段により、一致する不正侵入判定ル
    ールの識別情報が記憶されていないと判断した場合に、
    検出ルール実行手段により生成したマシンの識別情報
    と、選択した不正侵入判定ルールの識別情報とを対応付
    けて、不正侵入判定ルールテーブルに記憶させることを
    特徴とする請求項1記載の不正侵入検知システム。
  5. 【請求項5】 不正侵入検知システムは、更に、IPア
    ドレステーブルから、マシンの識別情報と、マシンのI
    Pアドレスとを取得するIPアドレステーブル再取得手
    段と、 不正侵入判定ルールテーブルから、IPアドレステーブ
    ル再取得手段により取得したマシンの識別情報と一致す
    る識別情報に対応する不正侵入判定ルールの識別情報を
    取得する不正侵入判定ルールテーブル再取得手段と、 検出ルール実行手段に、IPアドレステーブル再取得手
    段により取得したIPアドレスで特定されるマシンに接
    続させ、接続したマシン上で動作しているサーバの種類
    を取得させる検出ルール再実行手段とを有し、 不正侵入判定ルールテーブル変更手段は、不正侵入判定
    ルールテーブル再取得手段により取得した不正侵入判定
    ルールの識別情報により識別される不正侵入識別ルール
    が適するサーバの種類と、ルール実行手段により取得し
    たサーバの種類とが一致しない場合に、 不正侵入判定ルールテーブルから、不正侵入判定ルール
    テーブル再取得手段により取得した不正侵入判定ルール
    の識別情報を削除することを特徴とする請求項1記載の
    不正侵入検知システム。
  6. 【請求項6】 不正侵入検知システムは、更に、IPア
    ドレステーブルから、マシンの識別情報と、マシンのI
    Pアドレスとを取得するIPアドレステーブル再取得手
    段と、 検出ルール実行手段に、IPアドレステーブル再取得手
    段により取得したIPアドレスで特定されるマシンに接
    続させる検出ルール再実行手段とを有し、 IPアドレステーブル変更手段は、検出ルール実行手段
    による接続ができない場合に、IPアドレステーブルか
    ら、IPアドレステーブル再取得手段により取得したマ
    シンの識別情報と、マシンのIPアドレスとを削除し、 不正侵入判定ルールテーブル変更手段は、IPアドレス
    テーブル再取得手段により取得したマシンの識別情報
    と、その識別情報に対応する不正侵入判定ルールの識別
    情報とを削除することを特徴とする請求項1記載の不正
    侵入検知システム。
  7. 【請求項7】 不正侵入検知システムは、更に、不正侵
    入判定ルール手段により不正侵入があったことを判定し
    た場合に、対策としてアラームを出力する対策実行手段
    と、 対策実行手段により出力されたアラームを検知するアラ
    ーム検出手段と、 アラーム検出手段によりアラームを検出した場合に、検
    出ルール再実行手段を起動する再検出指定手段とを有す
    ることを特徴とする請求項5または6記載の不正侵入検
    知システム。
  8. 【請求項8】 不正侵入検知システムは、更に、検出ル
    ールテーブルを暗号化する検出ルールテーブル暗号設定
    手段と、 暗号化した検出ルールテーブルを復号する検出ルールテ
    ーブル復号取得手段と、 IPアドレステーブルを暗号化するIPアドレステーブ
    ル暗号設定手段と、 暗号化したIPアドレステーブルを復号するIPアドレ
    ステーブル復号取得手段と、 不正侵入判定ルールテーブルを暗号化する不正侵入判定
    ルールテーブル暗号設定手段と、 暗号化した不正侵入判定ルールテーブルを復号する不正
    侵入判定ルールテーブル復号取得手段とを有することを
    特徴とする請求項2記載の不正侵入検知システム。
  9. 【請求項9】 不正侵入検知システムは、更に、検出ル
    ールテーブルと、IPアドレステーブルと、不正侵入判
    定テーブルとの変更履歴を生成するテーブル変更保存手
    段と、 テーブル変更保存手段により生成した変更履歴を格納す
    る履歴テーブルとを有することを特徴とする請求項1記
    載の不正侵入検知システム。
  10. 【請求項10】 不正侵入検知システムは、更に、通信
    手段からパケットを取得して保存するパケット保存手段
    と、 パケット保存手段に保存したパケット出力するパケット
    再生手段とを有し、 検出ルール実行手段は、パケット再生手段により出力さ
    れるパケットを取得することを特徴とする請求項1記載
    の不正侵入検知システム。
  11. 【請求項11】 不正侵入検知システムは、更に、パケ
    ット再生手段がパケットを出力するスケジュールを記憶
    する再生スケジュール記憶部と、 再生スケジュール記憶部に記憶するスケジュールに従っ
    て、パケット再生手段へパケットの出力を指示する指定
    日時パケット再生指示手段とを有することを特徴とする
    請求項10記載の不正侵入検知システム。
  12. 【請求項12】 不正侵入検知システムは、更に、シス
    テムの負荷状況を取得する負荷取得手段と、 負荷取得手段により取得した負荷状況が、所定の負荷よ
    りも小さいと判断した場合に、パケット再生手段へパケ
    ットの出力を指示する低負荷時パケット再生指示手段と
    を有することを特徴とする請求項10記載の不正侵入検
    知システム。
  13. 【請求項13】 不正侵入検知システムは、更に、パケ
    ット保存手段からパケットの流通量を取得するパケット
    流通量取得手段と、 パケット流通量取得手段により取得したパケットの流通
    量が、所定の流通量よりも少ないと判断した場合に、パ
    ケット再生手段へパケットの出力を指示する低ネットワ
    ーク負荷時パケット再生指示手段とを有することを特徴
    とする請求項10記載の不正侵入検知システム。
JP2000170727A 2000-06-07 2000-06-07 不正侵入検知システム Expired - Lifetime JP4537538B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000170727A JP4537538B2 (ja) 2000-06-07 2000-06-07 不正侵入検知システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000170727A JP4537538B2 (ja) 2000-06-07 2000-06-07 不正侵入検知システム

Publications (2)

Publication Number Publication Date
JP2001350678A true JP2001350678A (ja) 2001-12-21
JP4537538B2 JP4537538B2 (ja) 2010-09-01

Family

ID=18673396

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000170727A Expired - Lifetime JP4537538B2 (ja) 2000-06-07 2000-06-07 不正侵入検知システム

Country Status (1)

Country Link
JP (1) JP4537538B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007282104A (ja) * 2006-04-11 2007-10-25 Hitachi Electronics Service Co Ltd パケット保存装置
US7464407B2 (en) 2002-08-20 2008-12-09 Nec Corporation Attack defending system and attack defending method
EP2117659A2 (en) * 2007-01-04 2009-11-18 Playtech Software Limited Method and apparatus for preventing collusions in online games

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0397330A (ja) * 1989-09-11 1991-04-23 Hitachi Ltd ネツトワーク障害診断方式
JPH09331339A (ja) * 1996-06-10 1997-12-22 Nec Corp 監視制御装置
JPH10224351A (ja) * 1997-02-05 1998-08-21 Hitachi Electron Service Co Ltd ネットワーク管理支援装置、および、ネットワーク管理方法、ならびに、それに用いるプログラムを記憶した記憶媒体
JP2000324104A (ja) * 1999-05-10 2000-11-24 Matsushita Electric Works Ltd バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0397330A (ja) * 1989-09-11 1991-04-23 Hitachi Ltd ネツトワーク障害診断方式
JPH09331339A (ja) * 1996-06-10 1997-12-22 Nec Corp 監視制御装置
JPH10224351A (ja) * 1997-02-05 1998-08-21 Hitachi Electron Service Co Ltd ネットワーク管理支援装置、および、ネットワーク管理方法、ならびに、それに用いるプログラムを記憶した記憶媒体
JP2000324104A (ja) * 1999-05-10 2000-11-24 Matsushita Electric Works Ltd バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7464407B2 (en) 2002-08-20 2008-12-09 Nec Corporation Attack defending system and attack defending method
US7958549B2 (en) 2002-08-20 2011-06-07 Nec Corporation Attack defending system and attack defending method
JP2007282104A (ja) * 2006-04-11 2007-10-25 Hitachi Electronics Service Co Ltd パケット保存装置
EP2117659A2 (en) * 2007-01-04 2009-11-18 Playtech Software Limited Method and apparatus for preventing collusions in online games
EP2117659A4 (en) * 2007-01-04 2011-06-01 Playtech Software Ltd METHOD AND DEVICE FOR PREVENTING FRAUDULENT DEBATE ONLINE GAMES

Also Published As

Publication number Publication date
JP4537538B2 (ja) 2010-09-01

Similar Documents

Publication Publication Date Title
CN112019332B (zh) 基于微服务的加解密方法、api网关系统及设备
US5638448A (en) Network with secure communications sessions
US7681037B2 (en) Network connection system
US9921561B2 (en) Real time control of a remote device
CN110719203B (zh) 智能家居设备的操作控制方法、装置、设备及存储介质
MX2011002423A (es) Autorizacion de operaciones de servidor.
US6944762B1 (en) System and method for encrypting data messages
US11755499B2 (en) Locally-stored remote block data integrity
JP2006504206A (ja) 再生可能な不正防止機能セキュリティシステムのための自動生成された暗号関数
KR20010004791A (ko) 인터넷 환경의 이동통신시스템에서 사용자 정보 보안 장치 및그 방법
WO2000014918A1 (en) System and method for encrypting data messages
JP4459890B2 (ja) 情報処理装置、インシデント対応装置の制御方法、及びプログラム
JPH08320847A (ja) パスワード管理システム
JP2001203761A (ja) 中継装置、および同装置を備えたネットワークシステム
CN109587134B (zh) 接口总线的安全认证的方法、装置、设备和介质
JP3994657B2 (ja) サービス提供システム
KR102542213B1 (ko) 네트워크 기반 스토리지의 데이터 실시간 암복호화 보안 시스템 및 방법
JP2001350678A (ja) 不正侵入検知システム
JP2022523068A (ja) 安全な電子データ転送のためのシステムと方法
CN113014545B (zh) 一种数据处理方法、装置、计算机设备及存储介质
JP2011525011A (ja) 中間者によるコンピュータのハッキング技法を防止するための方法およびシステム
CN111211958B (zh) 用于提供vpn服务的方法及装置、区块链网络及节点设备
JP6688782B2 (ja) ネットワーク通信方法及びネットワーク通信システム
KR101448711B1 (ko) 통신 암호화를 통한 보안시스템 및 보안방법
JP7396483B2 (ja) パケット収集システム、パケット統合解析装置、パケット収集方法、及びプログラム

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20040517

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20041018

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070406

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100126

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100310

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100615

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100618

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130625

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4537538

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term