JP2002073433A - Break-in detecting device and illegal break-in measures management system and break-in detecting method - Google Patents
Break-in detecting device and illegal break-in measures management system and break-in detecting methodInfo
- Publication number
- JP2002073433A JP2002073433A JP2000256571A JP2000256571A JP2002073433A JP 2002073433 A JP2002073433 A JP 2002073433A JP 2000256571 A JP2000256571 A JP 2000256571A JP 2000256571 A JP2000256571 A JP 2000256571A JP 2002073433 A JP2002073433 A JP 2002073433A
- Authority
- JP
- Japan
- Prior art keywords
- intrusion
- packet
- communication
- countermeasure
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、コンピュータネ
ットワークシステムに関するものである。[0001] The present invention relates to a computer network system.
【0002】[0002]
【従来の技術】図7は、例えば、特開平11−1775
97に示された侵入防止機能付きハブに基づく従来の侵
入防止機能付きハブの一例である。侵入防止機能付きハ
ブは、パケットの送信元のアドレスから不正アクセスか
否か判断しようとするものである。図において、50は
ハブである。51はメモリである。52はデータバスで
ある。53j(j=1〜N)はポート(PHY:物理層
部)である。2. Description of the Related Art FIG.
97 is an example of a conventional hub with an intrusion prevention function based on the hub with an intrusion prevention function shown in FIG. The hub with an intrusion prevention function attempts to determine whether or not an unauthorized access is made based on the address of the transmission source of the packet. In the figure, 50 is a hub. 51 is a memory. 52 is a data bus. 53j (j = 1 to N) is a port (PHY: physical layer unit).
【0003】次に、動作について説明する。図におい
て、まず、コンソール端末から接続を許可するIP(I
nternet Protocol)アドレスの範囲を
設定し、この設定内容をメモリ51に保持する。次に、
ハブ50は、ARP(Address Resolut
ionProtocol)フレームに含まれる送信元の
IPアドレスを調べる。この送信元IPアドレスが、メ
モリ51に保持されている許可されたIPアドレスの範
囲に含まれない場合は、不正な端末がネットワークに接
続されていると判断し、適切なポート53jをデータバ
ス52から切り離す。Next, the operation will be described. In the figure, first, an IP (I
(Internet Protocol) address range is set, and the set contents are stored in the memory 51. next,
The hub 50 is an ARP (Address Resolution).
(IonProtocol) frame is checked. If this source IP address is not included in the range of the permitted IP addresses held in the memory 51, it is determined that an unauthorized terminal is connected to the network, and an appropriate port 53j is connected to the data bus 52. Disconnect from
【0004】[0004]
【発明が解決しようとする課題】従来の侵入防止機能付
きハブでは、不正なパケットか否かの判断を、パケット
の送信元のIPアドレスを用いて、あらかじめ設定され
ている値か否かで判断していた。そのため、不正を行う
侵入者が正式な要求元からアクセスする場合、不正な侵
入であるにもかかわらず、不正なパケットであると判断
できず、侵入されてしまう。In a conventional hub with an intrusion prevention function, whether a packet is an illegal packet is determined by using a source IP address of the packet and whether the value is a preset value. Was. Therefore, when an intruder who performs fraud accesses from a legitimate request source, it cannot be determined that the packet is a fraudulent one, even though it is a fraudulent intrusion.
【0005】また、侵入を防止するためにポートをきり
はなした場合、正当な利用者からのパケット又は接続に
対して自動的にポートをオープンする処置がされてな
い。そのため、再度ポートを使用可能とするためには、
コンソールからの指示又は再起動といった管理者の操作
が必要となる。端末等の装置が一つのフロアだけでな
く、複数のフロア及び別建物にも配置されてある場合、
侵入防止のために自動的に通信が遮断されることは、対
策として有効であるが、いつまでも通信が遮断されてい
ると、業務に必要な通信がいつまでたってもできず、業
務に支障をきたす。攻撃に対処しつつ、円滑に業務シス
テムを運用するためには、不正な侵入が行われてなけれ
ば、ただちに業務システムが再開されなくてはならな
い。[0005] Further, when a port is cut off to prevent intrusion, no measure is taken to automatically open the port in response to a packet or connection from a legitimate user. Therefore, to make the port usable again,
An administrator operation such as an instruction from the console or a restart is required. If devices such as terminals are located not only on one floor, but also on multiple floors and different buildings,
Automatically interrupting communication to prevent intrusion is effective as a countermeasure. However, if communication is interrupted forever, communication necessary for business cannot be performed forever, which hinders business. In order to smoothly operate the business system while responding to the attack, the business system must be restarted immediately unless an unauthorized intrusion is made.
【0006】この発明は、上記のような問題点を解決す
るためになされたもので、不正侵入の検知をパケットの
要求元ではなくパケットから判断することを目的とす
る。また、不正なパケットである場合、不正侵入を防止
する、通信の遮断等の対策をとることを目的とする。更
に、不正侵入が行われてなければ、遮断されていた通信
を管理者の手を煩わせることなく自動的に解除し、通信
可能とすることを目的とする。SUMMARY OF THE INVENTION The present invention has been made to solve the above-described problems, and has as its object to detect unauthorized intrusions not from the request source of the packet but from the packet. Another object of the present invention is to take countermeasures such as blocking communication when the packet is illegal. Further, it is another object of the present invention to automatically release the interrupted communication without any trouble of an administrator and perform communication if an unauthorized intrusion is not performed.
【0007】[0007]
【課題を解決するための手段】この発明に係る侵入検知
装置は、パケットを送受信する通信部と、上記通信部が
受信したパケットを分析し、分析したパケットの中から
不正なパケットを検出するパケット分析部と、上記パケ
ット分析部が不正なパケットを検出した場合に、不正な
パケットが侵入する不正侵入を防止する対策をとる対策
部とを備えることを特徴とする。According to the present invention, there is provided an intrusion detection apparatus comprising: a communication unit for transmitting and receiving a packet; a packet for analyzing a packet received by the communication unit and detecting an unauthorized packet from the analyzed packet. An analysis unit, and a countermeasure unit for taking measures to prevent an unauthorized intrusion of an unauthorized packet when the packet analysis unit detects an unauthorized packet.
【0008】上記侵入検知装置は、さらに、上記パケッ
ト分析部の検出結果に基づいて上記不正侵入の有無を監
視し、上記不正侵入が終了する不正侵入終了を判断する
不正侵入監視部と、上記不正侵入監視部が、不正侵入終
了を判断した場合、上記対策部がとる上記不正侵入を防
止する対策を解除する対策解除部とを備えることを特徴
とする。[0008] The intrusion detection device further monitors the presence or absence of the unauthorized intrusion based on the detection result of the packet analysis unit, and determines an unauthorized intrusion end in which the unauthorized intrusion ends. When the intrusion monitoring unit determines the end of the unauthorized intrusion, the intrusion monitoring unit is characterized by including a countermeasure canceling unit that cancels the countermeasures taken by the countermeasure unit to prevent the unauthorized intrusion.
【0009】上記パケット分析部は、予め定義するデー
タを含むパケットを不正なパケットであるとすることを
特徴とする。[0009] The packet analyzer is characterized in that a packet containing predefined data is an invalid packet.
【0010】上記パケット分析部は、予め定義するデー
タとして、通信プロトコルの名称と通信ポートの番号と
所定の文字列との少なくともいずれか一つを定義するこ
とを特徴とする。[0010] The packet analyzer defines at least one of a communication protocol name, a communication port number, and a predetermined character string as the pre-defined data.
【0011】上記対策部は、不正侵入を防止する対策と
して、不正なパケットの通信を遮断することを特徴とす
る。The countermeasure unit is characterized in that, as a countermeasure for preventing an unauthorized intrusion, communication of an unauthorized packet is interrupted.
【0012】上記対策部は、通信の遮断として、使用し
ていた通信ポートの使用を中止し、上記侵入検知装置
は、さらに、上記対策部によって使用していた通信ポー
トの使用が中止されている場合、上記使用していた通信
ポートとは別の通信ポートをオープンし、オープンした
通信ポートを所定の送信元へ通知する通信ポート通知部
を備えることを特徴とする。The countermeasure section stops using the communication port used by the communication section to shut off the communication, and the intrusion detection device further stops using the communication port used by the countermeasure section. In this case, a communication port notifying unit for opening a communication port different from the used communication port and notifying the opened communication port to a predetermined transmission source is provided.
【0013】上記侵入検知装置は、さらに、不正なパケ
ットの受信が終了した場合に、使用を中止した通信ポー
トの使用を再開し、上記通信ポートの再開を上記所定の
送信元へ通知する不正侵入終了通知部を備えることを特
徴とする。[0013] The intrusion detection device further resumes the use of the communication port whose use has been stopped when the reception of the illegal packet is completed, and notifies the predetermined transmission source of the restart of the communication port. An end notification unit is provided.
【0014】この発明に係る不正侵入対策管理システム
は、情報処理装置と、上記情報処理装置と通信網を介し
て接続し、不正侵入を検知する侵入検知装置とを備える
不正侵入対策管理システムにおいて、上記侵入検知装置
は、上記通信網を介してパケットを送受信する通信部
と、上記受信したパケットを分析し、分析したパケット
の中から不正なパケットを検出するパケット分析部と、
上記パケット分析部で不正なパケットを検出した場合
に、不正なパケットが侵入する不正侵入を防止する対策
をとる対策部と、上記対策部によって使用していた通信
ポートの使用が中止されている場合、上記使用していた
通信ポートとは別の通信ポートをオープンし、オープン
した通信ポートを上記情報処理装置へ通知する通信ポー
ト通知部とを備え、上記情報処理装置は、上記通信網へ
パケットを送信すると伴に、上記通信ポート通知部から
通知される通信ポートを受信する送受信部と、上記送受
信部によって受信した通信ポートを用いて通信すること
を設定するテンポラリポート設定部とを備えることを特
徴とする。An intrusion countermeasure management system according to the present invention is an intrusion countermeasure management system including an information processing device and an intrusion detection device connected to the information processing device via a communication network to detect an intrusion. The intrusion detection device, a communication unit that transmits and receives packets via the communication network, a packet analysis unit that analyzes the received packets, and detects an unauthorized packet from the analyzed packets,
When the packet analysis unit detects an illegal packet, the countermeasure unit that takes measures to prevent the illegal intrusion of the illegal packet and the communication port used by the countermeasure unit are stopped. A communication port notifying unit for opening a communication port different from the communication port used and notifying the opened communication port to the information processing device, wherein the information processing device sends a packet to the communication network. A transmission / reception unit that receives a communication port notified from the communication port notification unit along with the transmission, and a temporary port setting unit that sets communication using the communication port received by the transmission / reception unit. And
【0015】上記侵入検知装置は、さらに、上記不正侵
入の有無を監視し、上記不正侵入が終了する不正侵入終
了を判断する不正侵入監視部と、上記不正侵入監視部に
よって、不正侵入終了を判断した場合、上記不正侵入を
防止する対策を解除する対策解除部と、不正なパケット
の受信が終了した場合に、使用を中止した通信ポートの
使用を再開し、上記使用を中止した通信ポートの再開を
上記情報処理装置へ通知する不正侵入終了通知部とを備
え、上記送受信部は、上記不正侵入終了通知部からの通
知を受信し、上記テンポラリポート設定部は、上記使用
を中止した通信ポートを用いる通信へ設定を変更するこ
とを特徴とする。The intrusion detection device further monitors the presence or absence of the unauthorized intrusion, and determines the termination of the unauthorized intrusion by the unauthorized intrusion monitoring unit that determines the termination of the unauthorized intrusion to terminate the unauthorized intrusion. In the case of the above, the countermeasure canceling unit for canceling the countermeasure for preventing the unauthorized intrusion, and when the reception of the illegal packet is completed, the use of the communication port whose use has been stopped is resumed, and the communication port whose use is stopped is restarted. An intrusion termination notification unit that notifies the information processing device of the intrusion, the transmission / reception unit receives a notification from the intrusion termination notification unit, and the temporary port setting unit communicates the communication port whose use has been stopped. The setting is changed to the communication to be used.
【0016】この発明に係る侵入検知方法は、パケット
を送受信する通信工程と、上記受信したパケットを分析
し、分析したパケットの中から不正なパケットを検出す
るパケット分析工程と、上記パケット分析工程で不正な
パケットを検出した場合に、不正なパケットが侵入する
不正侵入を防止する対策をとる対策工程とを備えること
を特徴とする。The intrusion detection method according to the present invention includes a communication step of transmitting and receiving a packet, a packet analyzing step of analyzing the received packet and detecting an invalid packet from the analyzed packets, and a packet analyzing step. And a countermeasure step for taking a countermeasure for preventing an unauthorized intrusion in which an unauthorized packet enters when an unauthorized packet is detected.
【0017】上記侵入検知方法は、さらに、上記不正侵
入の有無を監視し、上記不正侵入が終了する不正侵入終
了を判断する不正侵入監視工程と、上記不正侵入監視工
程によって、不正侵入終了を判断した場合、上記不正侵
入を防止する対策を解除する対策解除工程とを備えるこ
とを特徴とする。The intrusion detection method further monitors the presence or absence of the unauthorized intrusion, and determines the end of the unauthorized intrusion by the unauthorized intrusion monitoring step of determining whether or not the unauthorized intrusion is completed and the unauthorized intrusion monitoring step. And a countermeasure canceling step for canceling the countermeasure for preventing the unauthorized intrusion.
【0018】[0018]
【発明の実施の形態】実施の形態1.図1は、この発明
の侵入検知装置及び侵入検知方法を示す実施例の構成図
である。図1において、100は受信したパケットに対
して不正侵入が行われているか否かを分析し、侵入が行
われていると判断した場合、通信遮断等の対策を行う侵
入検知装置である。110はパケットを受信又は送信す
る通信手段(通信部)である。120は受信したパケッ
トが不正であるか否かを判断するパケット分析手段(パ
ケット分析部)である。130は通信遮断等の対策を行
う対策手段(対策部)である。140は対策手段130
によって対策が行われている場合、不正侵入が行われて
いないか否かを監視する不正侵入監視手段(不正侵入監
視部)である。150は不正侵入監視手段140が不正
侵入が行われていないと判断した場合、通信遮断等の対
策を解除する対策解除手段(対策解除部)である。この
明細書では、パケットは、ネットワーク上を流れる全て
のデータを総称し、特定のデータを指しているわけでは
ない。DESCRIPTION OF THE PREFERRED EMBODIMENTS Embodiment 1 FIG. 1 is a configuration diagram of an embodiment showing an intrusion detection device and an intrusion detection method of the present invention. In FIG. 1, reference numeral 100 denotes an intrusion detection device that analyzes whether or not a received packet has been subjected to unauthorized intrusion and, when it is determined that intrusion has been performed, takes measures such as communication interruption. A communication unit (communication unit) 110 receives or transmits a packet. Reference numeral 120 denotes a packet analysis unit (packet analysis unit) that determines whether the received packet is invalid. Reference numeral 130 denotes a countermeasure unit (countermeasure unit) for performing a countermeasure such as communication interruption. 140 is a measure 130
If a countermeasure is taken, the intrusion monitoring means (intrusion monitoring unit) monitors whether or not an intrusion has been performed. Reference numeral 150 denotes a countermeasure canceling unit (countermeasure canceling unit) that cancels a countermeasure such as communication interruption when the unauthorized intrusion monitoring unit 140 determines that no unauthorized intrusion has been performed. In this specification, a packet collectively refers to all data flowing on a network and does not refer to specific data.
【0019】次に、動作について図2を用いて説明す
る。まず、侵入検知装置100は、通信手段110によ
り外部ネットワークからパケットを受信する(S1
0)。そして、パケット分析手段120によりパケット
が不正か否かを後述に示す例のように解析する(S2
0)。もし、受信したパケットが不正であると判断した
場合(S30でYes)、対策手段130によりパケッ
トの中継は行わず、通信を遮断する(S40)。そし
て、侵入検知装置100は、不正侵入監視手段140を
用いて、不正侵入が行われているか否かを後述に示す例
のように監視する(S50)。もし、不正侵入が行われ
ていないと判断した場合(S60でYes)、対策解除
手段150を用いて通信遮断を解除し(S70)、パケ
ットの中継を再開する(S80)。Next, the operation will be described with reference to FIG. First, the intrusion detection device 100 receives a packet from an external network by the communication unit 110 (S1).
0). Then, the packet analysis means 120 analyzes whether the packet is invalid or not as in the example described later (S2).
0). If it is determined that the received packet is invalid (Yes in S30), the packet is not relayed by the countermeasure means 130 and the communication is cut off (S40). Then, the intrusion detection device 100 uses the unauthorized intrusion monitoring means 140 to monitor whether or not an unauthorized intrusion has been performed as in an example described later (S50). If it is determined that the unauthorized intrusion has not been performed (Yes in S60), the communication blocking is released by using the countermeasure release unit 150 (S70), and the relay of the packet is restarted (S80).
【0020】以上のように、不正か否かの判断を、要求
元のアドレスだけではなく、パケット内のデータ、コマ
ンド、アクセスの頻度等によって判断しているので、侵
入者が正規な要求元から侵入しようとしても侵入を検知
することができる。[0020] As described above, whether or not an unauthorized device is determined is determined not only by the address of the request source but also by the data, command, access frequency, and the like in the packet. Even if you try to get in, you can detect it.
【0021】また、不正侵入監視手段140と対策解除
手段150を用いることにより、不正侵入が終了したら
自動的に通信が再開しているため、管理者の手を煩わせ
ることがなく管理者の作業が軽減する。Further, by using the intrusion monitoring means 140 and the countermeasure canceling means 150, the communication is automatically resumed after the intrusion is completed. Is reduced.
【0022】次に、パケットの分析方法の例について説
明する。パケットの分析方法には、大きくわけると次の
2つの方法で行う。 (1)パケット内に含まれている文字列やコードを検査
するパターンマッチング。 (2)一定時間に一定以上の個数のパケットを検知する
統計的な手法。Next, an example of a packet analysis method will be described. The packet analysis method is roughly divided into the following two methods. (1) Pattern matching for checking a character string or code included in a packet. (2) A statistical method for detecting a certain number or more packets in a certain time.
【0023】次に、上記(1)のパターンマッチングの
例を3つ、上記(2)の統計的な手法の例を1つ示す。 パターンマッチング1:メールサーバへのバッファオー
バーフロー攻撃の検知方法。 メールサーバへのバッファオーバーフロー攻撃を受ける
と、メールサーバは、異常終了、誤動作等正常に動作し
なくなる。この攻撃を検知するためには、パケットが以
下のようなパターンになっているか否か分析する。 TCPヘッダ Destination Port=25(SMTPで
あることを表す) TCPデータ 以下のsmtpコマンドの引数が128バイト以上か否
かで判断。 “helo”,“mail from:”,“rcpt
to:”,“vrfy”,“expn” メールサーバへのバッファオーバーフロー攻撃は、実際
には、pop(Post Office Protoc
ol)に対してもあり、上記は、あくまでも一例であ
る。また、メールサーバへの攻撃には、smtp(Si
mple Mail Transfer Protoc
ol)コマンドを利用してユーザ名・ユーザの有無など
の情報取得といったさまざまな攻撃が存在する。Next, three examples of the pattern matching of the above (1) and one example of the statistical method of the above (2) will be shown. Pattern matching 1: A method for detecting a buffer overflow attack on a mail server. When a buffer overflow attack is applied to the mail server, the mail server does not operate normally such as abnormal termination and malfunction. In order to detect this attack, it is analyzed whether the packet has the following pattern. TCP header Destination Port = 25 (indicating SMTP) TCP data Judgment is made based on whether or not the argument of the following smtp command is 128 bytes or more. “Hello”, “mail from:”, “rcpt
To: "," vrfy "," expn "Buffer overflow attacks on mail servers are actually pop (Post Office Protocol).
ol), and the above is merely an example. Also, for attacks on mail servers, smtp (Si
Mple Mail Transfer Protocol
ol) There are various attacks such as obtaining information such as a user name and the presence or absence of a user using a command.
【0024】パターンマッチング2:FTP cwd
 ̄root攻撃の検知方法。 この攻撃を受けると、ftp(File Transf
er Protocol)サーバは、ルート権限を取得
される。そのため、パスワードファイル等の重要なファ
イルが改ざん又は盗まれたり、ウイルス等の不正処理を
行うプログラムをセットアップされ、実行されて、ft
pサーバが正常に動作しなくなる可能性がある。この攻
撃を検知するためには、パケットが以下のようなパター
ンになっているか否か分析する。 TCPヘッダ Destination Port=21(FTP−C
ONTROL)TCPデータ “cwd  ̄root”の文字列を検知する。 “cwd”は、ftpで使用される制御コマンドであ
る。上記以外のコマンドを用いることも可能である。Pattern matching 2: FTP cwd
 ̄ Root attack detection method. Upon receiving this attack, ftp (File Transf
erProtocol) server is obtained root authority. Therefore, a program that performs tampering or theft of important files such as a password file, or performs unauthorized processing such as a virus is set up and executed, and ft
The p server may not work properly. In order to detect this attack, it is analyzed whether the packet has the following pattern. TCP header Destination Port = 21 (FTP-C
ONTROL) Detects a character string of TCP data "cwd @ root". “Cwd” is a control command used in ftp. Commands other than those described above can be used.
【0025】パターンマッチング3:http phf
のバグを用いた攻撃の検知方法。 この攻撃を受けると、http(Hyper Text
TransferProtocol)サーバは、ルー
ト権限でコマンドを実行されてしまう。そのため、パス
ワードファイル等の重要なファイルが改ざん又は盗まれ
たり、ウイルス等の不正処理を行うプログラムをセット
アップされ、実行されて、httpサーバが正常に動作
しなくなる可能性がある。この攻撃を検知するために
は、パケットが以下のようなパターンになっているか否
か分析する。 TCPヘッダ Destination Port=80(HTTP) TCPデータ “get”,“/phf”の文字列を検知する。 phfは、プログラム名の1つである。上記以外のプロ
グラム名を用いることも可能である。Pattern matching 3: http phf
How to detect attacks using bugs. In response to this attack, http (Hyper Text
Transfer Protocol) server executes a command with root authority. Therefore, there is a possibility that an important file such as a password file is falsified or stolen, or a program for performing illegal processing such as a virus is set up and executed, and the http server does not operate normally. In order to detect this attack, it is analyzed whether the packet has the following pattern. TCP header Destination Port = 80 (HTTP) TCP data Detects character strings of “get” and “/ phf”. “phf” is one of the program names. It is also possible to use a program name other than the above.
【0026】統計的な手法1:SYNフラッド攻撃の検
知方法(サービス不能(DoS)攻撃の一例)。 この攻撃をうけると、SYNパケット対応のためにリソ
ースがなくなり、システムの負荷が高くなり、他のサー
ビスを実行することができなくなる。この攻撃を検知す
るためには、一定時間内(例えば、10秒間)に、以下
に該当するパケットが一定個数(例えば、100個)以
上あるか否かを分析する。 IPヘッダのDestination Address
が共通。 TCP(Transmission Control
Protocol)ヘッダのSYNフラグが1、ACK
フラグが0。 SYNフラッド(SYN−flood)は、攻撃名の1
つである。上記以外の攻撃名を用いることも可能であ
る。Statistical method 1: SYN flood attack detection method (example of denial of service (DoS) attack). When this attack is received, resources are lost due to SYN packet correspondence, the load on the system increases, and other services cannot be executed. In order to detect this attack, it is analyzed whether or not there is a certain number (for example, 100) or more of the following packets within a certain time (for example, 10 seconds). Destination Address of IP header
Is common. TCP (Transmission Control)
Protocol) SYN flag in the header is 1, ACK
The flag is 0. SYN-Flood is one of the attack names
One. It is also possible to use attack names other than the above.
【0027】次に、侵入監視の例についてDoS攻撃の
場合について説明する。DoS攻撃に対する侵入が終了
したか否かの判断は、一定時間内(例えば、10秒間)
に特定のパケットが一定個数(例えば、100個)以下
であるか否かで判断する。これらのしきい値は一例であ
り、攻撃の種類ごとに変更してもよい。また、攻撃と判
断したときのしきい値と、攻撃終了と判断するときのし
きい値とは同じでなくてもよい。Next, an example of intrusion monitoring in the case of a DoS attack will be described. It is determined within a certain period of time (for example, 10 seconds) whether or not the intrusion for the DoS attack has been completed.
Is determined based on whether the number of specific packets is equal to or less than a predetermined number (for example, 100). These thresholds are merely examples, and may be changed for each type of attack. In addition, the threshold value when it is determined that an attack has occurred may not be the same as the threshold value when it is determined that an attack has ended.
【0028】なお、上記実施の形態1の例では、対策と
して、全パケットの通信を遮断した。そのため、全パケ
ットの通信を遮断すると正常なパケットが通信されなく
なる。そこで、攻撃の種類によってicmp,tcp,
udpといったプロトコル毎にパケット中継を行わない
ようにすることによって、全パケットでなく攻撃に関す
るパケットだけを遮断してもよい。また、プロトコルご
とではなく、tcp又はudp(User Patag
ram Protocol)のポート番号毎に通信遮断
することによって、正常なパケットは正常に通信できる
ように対策してもよい。すなわち、一例として、電子メ
ールに関する攻撃があった場合、電子メールを表すtc
pポート番号25のパケットだけを遮断することによ
り、Webサーバへのアクセス(tcpポート番号8
0)や、FTP(tcpポート番号21)の通信が可能
となる。また、送信元/先のアドレスごとに通信を遮断
するように対策してもよい。また、tcpのセッション
を確立して行う攻撃に対しては、resetパケットを
送信することによりtcpセッションを切断してもよ
い。In the example of the first embodiment, communication of all packets is cut off as a countermeasure. Therefore, if communication of all packets is interrupted, normal packets will not be transmitted. Therefore, depending on the type of attack, icmp, tcp,
By not performing packet relay for each protocol such as udp, not all packets but only packets related to an attack may be blocked. Also, not for each protocol, but for tcp or udp (User
By interrupting the communication for each port number of the ram protocol, a countermeasure may be taken so that a normal packet can be normally communicated. That is, as an example, when there is an attack related to an e-mail, tc representing the e-mail
By blocking only the packet with the p port number 25, access to the Web server (tcp port number 8
0) and FTP (tcp port number 21). Further, a measure may be taken so that communication is interrupted for each source / destination address. In addition, for an attack performed by establishing a tcp session, the tcp session may be disconnected by transmitting a reset packet.
【0029】対策手段130が採り得る対策として、下
記のような対策が想定される。 (A)通信の遮断 (B)攻撃者に対して攻撃パケットを送信する(応戦、
やり返す) (C)うその応答を返す(おとり、相手に侵入成功と思
わせる) 上記は一例であり、上記以外の対策方法であってもかま
わない。The following countermeasures are assumed as countermeasures that can be taken by the countermeasure means 130. (A) Block communication (B) Send attack packet to attacker (response,
(Repeat) (C) Return a lie response (decoy, make the other party think that the intrusion was successful) The above is an example, and a countermeasure method other than the above may be used.
【0030】通信の遮断は、侵入検知装置100へ転送
されたパケットを破棄することによって実施する。通信
を遮断する際には、侵入検知装置100へ転送されたパ
ケット全てを破棄してもよいし、一部を破棄してもよ
い。通信の遮断には、ポートのクローズ、プロトコルの
クローズも含まれる。ポートのクローズは、通信ポート
が同一のパケットを破棄することによって実施する。ま
た、プロトコルのクローズは、通信プロトコルが同一の
パケットを破棄することによって実施する。The interruption of the communication is performed by discarding the packet transferred to the intrusion detection device 100. When interrupting the communication, all the packets transferred to the intrusion detection device 100 may be discarded, or some of them may be discarded. The interruption of communication includes closing ports and closing protocols. Closing a port is performed by discarding a packet with the same communication port. The protocol is closed by discarding a packet having the same communication protocol.
【0031】また、この実施の形態では、パケット分析
手段120によって、不正侵入が検出された後も、送信
元から侵入検知装置100へパケットは転送される。侵
入検知装置100へ転送されるパケットは、パケット分
析手段120によって全てのパケットが分析され、分析
結果に基づいて、不正侵入監視手段140は、不正侵入
が終了したか否かを監視する。Further, in this embodiment, even after an unauthorized intrusion is detected by the packet analysis means 120, the packet is transferred from the transmission source to the intrusion detection device 100. All packets transferred to the intrusion detection device 100 are analyzed by the packet analysis unit 120, and based on the analysis result, the unauthorized intrusion monitoring unit 140 monitors whether or not the unauthorized intrusion has been completed.
【0032】さらに、上記のように、不正侵入検出後、
パケット分析手段120は、侵入検知装置100に転送
される全てのパケットを分析しているが、不正を検出し
たパケットと同一のパケットを検査する手段を別に備え
るようにしてもよい。すなわち、不正侵入検出後、検出
した不正だけを検査する分析プログラムのように機能を
わけることも可能である。具体的には、すべての項目を
分析するプログラムと、特定の項目だけを分析するプロ
グラムとに分けることも可能である。Further, as described above, after detecting an unauthorized intrusion,
Although the packet analysis unit 120 analyzes all the packets transferred to the intrusion detection device 100, the packet analysis unit 120 may separately include a unit for inspecting the same packet as the packet in which the fraud is detected. That is, it is also possible to divide the functions like an analysis program that checks only the detected fraud after detecting the unauthorized intrusion. Specifically, the program can be divided into a program that analyzes all items and a program that analyzes only specific items.
【0033】また、パターンマッチングに用いるデータ
として、制御コマンド、プログラム名、攻撃名を用いる
場合を示したが、これらに限られることはない。上記以
外のデータを用いてもよい。Although the case where a control command, a program name, and an attack name are used as data used for pattern matching has been described, the present invention is not limited to these. Data other than the above may be used.
【0034】以上のように、コンピュータネットワーク
システムにおいて、以下の手段を備えた侵入検知装置及
び以下の手段を備えた侵入検知装置を用いた不正侵入対
策管理システムであることを特徴とする。 (a)通信手段、(b)受信したパケットを解析して不
正侵入が行われているか否かを判断するパケット分析手
段、(c)不正侵入が行われていると判断した場合、プ
ロトコル又はポートのクローズ、通信遮断等を行う対策
手段。As described above, the computer network system is characterized by an intrusion detection device having the following means and an intrusion countermeasure management system using the intrusion detection device having the following means. (A) communication means; (b) packet analysis means for analyzing received packets to determine whether an unauthorized intrusion has been performed; (c) protocol or port when it is determined that an unauthorized intrusion has been performed; Measures to close or shut down communication.
【0035】更に、上記侵入検知装置は、以下の手段を
備える。 (d)不正侵入等の攻撃が終了したか否かを監視する不
正侵入監視手段、(e)不正侵入等の攻撃が終了したと
判断した場合、通信遮断等の対策を解除する対策解除手
段。Further, the intrusion detection device has the following means. (D) Intrusion monitoring means for monitoring whether an attack such as unauthorized intrusion has ended, and (e) Countermeasure canceling means for canceling measures such as communication interruption when it is determined that an attack such as unauthorized intrusion has ended.
【0036】実施の形態2.以上の実施の形態では、侵
入検知装置100には、パケット分析手段120、対策
手段130及び対策解除手段150が、同じ装置上に装
備される例である。しかし、それぞれの手段は、同じ装
置上に実装しなくてもよい。例えば、次のように構成す
ることもできる。侵入検知装置100の他に、対策を実
施する対策装置と、それら対策装置を管理する管理装置
を設ける。侵入検知装置100は、攻撃が行われている
か終了しているかを管理装置に通知する。管理装置は、
通知の内容にしたがって対策装置に対策の指示又は対策
の解除指示を行ってもよい。Embodiment 2 In the above embodiment, the intrusion detection device 100 is an example in which the packet analysis unit 120, the countermeasure unit 130, and the countermeasure cancellation unit 150 are provided on the same device. However, each means does not have to be implemented on the same device. For example, the following configuration is also possible. In addition to the intrusion detection device 100, a countermeasure device for implementing a countermeasure and a management device for managing the countermeasure device are provided. The intrusion detection device 100 notifies the management device whether the attack is being performed or has ended. The management device
The countermeasure device may be instructed to take a countermeasure or cancel the countermeasure according to the content of the notification.
【0037】実施の形態3.以上の実施の形態1では、
不正侵入されている場合の対策として、通信を遮断した
ものである。しかし、その場合、同一プロトコル又は同
一ポートを利用した正常なパケットの通信も遮断されて
しまう。そこで、次に、正常なパケットを通過させるた
めに、テンポラリのポートを利用して正常なパケットを
通信する場合の実施の形態を示す。Embodiment 3 In the first embodiment,
As a countermeasure in case of unauthorized intrusion, communication was cut off. However, in that case, communication of normal packets using the same protocol or the same port is also interrupted. Therefore, next, an embodiment will be described in which normal packets are communicated using a temporary port in order to pass normal packets.
【0038】図3は、このような場合の不正侵入対策管
理システムを示す実施例の構成図である。図3におい
て、Bは受信したパケットが不正か否かを分析する侵入
検知装置である。30j(j=1〜N)は業務等の情報
処理を行う情報処理装置30jである。FIG. 3 is a block diagram of an embodiment showing an unauthorized intrusion countermeasure management system in such a case. In FIG. 3, B is an intrusion detection device that analyzes whether or not a received packet is unauthorized. 30j (j = 1 to N) is an information processing device 30j that performs information processing such as business.
【0039】図4は、侵入検知装置200の構成図の一
例である。図4において、210はパケットを受信又は
送信する通信手段(通信部)である。220は受信した
パケットが不正であるか否かを判断するパケット分析手
段(パケット分析部)である。230は通信遮断等の対
策を行う対策手段(対策部)である。231はテンポラ
リの通信路を通知する通信ポート通知手段(通信ポート
通知部)である。240はパケット分析手段220によ
って検知した攻撃がまだ行われているか否かを監視する
不正侵入監視手段(不正侵入監視部)である。250は
不正侵入監視手段240が不正侵入が行われていないと
判断した場合、通信遮断等の対策を解除する対策解除手
段(対策解除部)である。251は、不正侵入監視手段
240が不正侵入が行われてていないと判断した場合、
情報処理装置30j(j=1,・・・,N)に不正侵入
が終了しことを通知する不正侵入終了通知手段(不正侵
入終了通知部)である。FIG. 4 is an example of a configuration diagram of the intrusion detection device 200. In FIG. 4, reference numeral 210 denotes a communication unit (communication unit) that receives or transmits a packet. Reference numeral 220 denotes a packet analysis unit (packet analysis unit) that determines whether the received packet is invalid. Reference numeral 230 denotes a countermeasure unit (countermeasure unit) for performing a countermeasure such as communication interruption. Reference numeral 231 denotes a communication port notification unit (communication port notification unit) that notifies a temporary communication path. Reference numeral 240 denotes an intrusion monitoring unit (intrusion monitoring unit) that monitors whether the attack detected by the packet analysis unit 220 is still being performed. Reference numeral 250 denotes a countermeasure canceling unit (countermeasure canceling unit) that cancels a countermeasure such as communication interruption when the unauthorized intrusion monitoring unit 240 determines that no unauthorized intrusion has been performed. 251 indicates that the unauthorized intrusion monitoring means 240 determines that no unauthorized intrusion has been performed;
This is an unauthorized intrusion completion notification unit (an unauthorized intrusion completion notification unit) that notifies the information processing device 30j (j = 1,..., N) that the intrusion has been completed.
【0040】図5は、情報処理装置30j(j=1,・
・・,N)の構成図の一例である。図5において、31
0は送受信手段(送受信部)、320は侵入検知装置2
00から指定された通信路で通信することを設定するた
めのテンポラリポート設定手段(テンポラリポート設定
部)である。FIG. 5 shows an information processing device 30j (j = 1,.
.., N). In FIG. 5, 31
0 is a transmission / reception means (transmission / reception unit), 320 is an intrusion detection device 2
This is a temporary port setting means (temporary port setting unit) for setting communication with a communication channel designated from 00.
【0041】次に、動作を図6を用いて説明する。図2
と同じステップ番号の処理は、同様な処理を示す。侵入
検知装置200は、通信手段210によって受信したパ
ケット(S10)をパケット分析手段220を用いて分
析する(S20)。分析の結果、パケットが不正である
と判断した場合(30でYes)、対策手段230によ
りパケットの中継は行わず通信を遮断する(S40)。
また、通信ポート通知手段231は、不正パケットが使
用していたポート番号(例えば、25)とは異なり、他
のアプリケーションで使用していない番号(例えば、9
000)を選択し(S41)、通信ポート通知手段23
1を用いて情報処理装置30jに25番を使用していた
アプリケーションに9000で通信するよう通知する
(S42)。Next, the operation will be described with reference to FIG. FIG.
The processing having the same step number as the above indicates the same processing. The intrusion detection device 200 analyzes the packet (S10) received by the communication means 210 using the packet analysis means 220 (S20). As a result of the analysis, when it is determined that the packet is invalid (Yes in 30), the communication is cut off without relaying the packet by the countermeasure 230 (S40).
Further, the communication port notifying unit 231 is different from the port number (for example, 25) used by the unauthorized packet and is not used by another application (for example, 9).
000) (S41), and the communication port notification means 23
1 to notify the information processing apparatus 30j that the application using No. 25 is to communicate at 9000 (S42).
【0042】情報処理装置30jは、変更する通信ポー
ト番号を受信し(S100)、テンポラリポート処理手
段320を用いて、通信ポートの設定を変えることによ
って、25番を使用していたアプリケーションは900
0番を用いて通信を実施する(S101)。The information processing device 30j receives the communication port number to be changed (S100), and changes the setting of the communication port using the temporary port processing means 320, so that the application using the number 25 becomes 900.
Communication is performed using No. 0 (S101).
【0043】侵入検知装置200は、不正侵入監視手段
240によって実施の形態1と同様に、不正侵入が行わ
れているか否かを監視する(S50)。そして、侵入検
知装置200は、不正侵入監視手段240によって攻撃
が終了したと判断した場合(S60でYes)、対策解
除手段250を用いて通信遮断を解除し(S70)、パ
ケットの中継を再開する(S80)。また、不正侵入終
了通知手段251を用いて情報処理装置30jに攻撃が
終了したことを通知することにより(S71)、情報処
理装置30jは、通常のポート番号25で通信を再開す
る(S110,S111)。The intrusion detection device 200 monitors whether or not an unauthorized intrusion has been performed by the unauthorized intrusion monitoring means 240, as in the first embodiment (S50). When the intrusion detection device 200 determines that the attack has been completed by the unauthorized intrusion monitoring means 240 (Yes in S60), the intrusion detection device 200 releases the communication cutoff using the countermeasure cancellation means 250 (S70), and restarts the packet relay. (S80). Further, by notifying the information processing device 30j of the end of the attack using the unauthorized intrusion completion notifying means 251 (S71), the information processing device 30j resumes communication with the normal port number 25 (S110, S111). ).
【0044】以上のように、対策のためにあるポートを
閉じたとしてもテンポラリのポートを利用しているた
め、閉じられたポートで通信していた正常なパケットは
通信が遮断されずに送受信可能となり、システムは停止
せず業務等のアプリケーションは稼動しつづけることが
できる。As described above, even if a certain port is closed as a countermeasure, since a temporary port is used, normal packets communicated through the closed port can be transmitted and received without interruption. Thus, the application such as business can be continuously operated without stopping the system.
【0045】なお、上述の例では、テンポラリのポート
選択及び通知を侵入検知装置200で行ったが、必ずし
も侵入検知装置200で行う必要はない。侵入検知装置
200の他に、各アプリケーションが利用しているポー
トの管理等を行う管理装置を設け、侵入検知装置200
は、管理装置に閉じたポートを通知し、管理装置がテン
ポラリのポートを選択及び各アプリケーションへ通知し
てもよい。また、図4では、通信ポート通知手段231
は、対策手段230に含まれる構成を示したが、通信ポ
ート通知手段231は、対策手段230とは別個の構成
要素であってもよい。同様に、不正侵入終了通知手段2
51は、対策解除手段250と別個の構成要素であって
もよい。In the above example, the temporary port selection and notification are performed by the intrusion detection device 200, but need not necessarily be performed by the intrusion detection device 200. In addition to the intrusion detection device 200, a management device that manages ports used by each application is provided.
May notify the management device of the closed port, and the management device may select a temporary port and notify each application. In FIG. 4, the communication port notification unit 231 is used.
Has shown the configuration included in the countermeasure unit 230, but the communication port notification unit 231 may be a separate component from the countermeasure unit 230. Similarly, unauthorized intrusion end notification means 2
51 may be a component separate from the countermeasure canceling means 250.
【0046】以上のように、コンピュータネットワーク
システムにおいて、実施の形態1の侵入検知装置に加
え、以下の手段を備えた侵入検知装置及び上記侵入検知
装置を用いた不正侵入対策システムであることを特徴と
する。 (f)プロトコル又はポートのクローズといった通信遮
断がされている場合、テンポラリにポートをオープンす
る手段、(g)テンポラリにオープンしたポートを通知
する手段。As described above, in the computer network system, in addition to the intrusion detection device of the first embodiment, an intrusion detection device having the following means and an intrusion prevention system using the intrusion detection device are characterized. And (F) means for temporarily opening a port when communication is interrupted such as closing of a protocol or port, and (g) means for notifying of a temporarily opened port.
【0047】更に、上記不正侵入対策システムは、以下
の手段を備えた情報処理装置を備える。 (a)侵入検知装置からのテンポラリにオープンしたポ
ートの通知を受信する手段、(b)テンポラリにオープ
ンされたポートを利用して通信を行う手段、(c)侵入
検知装置からの攻撃終了の通知を受信し、本来のポート
で通信を再開する手段。Further, the unauthorized intrusion prevention system includes an information processing apparatus having the following means. (A) means for receiving a notification of a temporarily opened port from the intrusion detection device, (b) means for performing communication using the temporarily opened port, and (c) notification of the end of the attack from the intrusion detection device. Means to receive communication and resume communication at the original port.
【0048】[0048]
【発明の効果】以上のように、この発明は、パケットの
内容で不正か否かを判断することにより、正規な要求元
からの攻撃を検知できるという効果がある。As described above, the present invention has an effect that an attack from a legitimate request source can be detected by judging whether or not the contents of a packet are illegal.
【0049】また、対策実施後(例えば、ポートを閉じ
た後)、攻撃が続行しているか否かを監視し、攻撃が終
了していた場合、対策解除(例えば、ポートオープン)
することにより、人手を介さずに自動的に対策を解除で
きるため、対策終了後迅速に業務・サービスの提供が再
開できる。そして、自動的に対策が解除されるため、対
策解除のための管理者の作業を省くことができ、コンピ
ュータネットワークシステムの管理運用に関する人的作
業を軽減できる。After the countermeasure is implemented (for example, after the port is closed), it is monitored whether or not the attack is continuing. If the attack is completed, the countermeasure is canceled (for example, the port is opened).
By doing so, the countermeasure can be automatically canceled without manual intervention, so that the provision of tasks and services can be promptly resumed after the countermeasure is completed. Then, since the countermeasure is automatically canceled, the work of the administrator for canceling the countermeasure can be omitted, and human work related to the management and operation of the computer network system can be reduced.
【0050】この発明によれば、所定のデータに基づい
て、不正パケットを検出することができる。According to the present invention, an unauthorized packet can be detected based on predetermined data.
【0051】この発明によれば、通信を遮断することに
よって、不正なパケットが転送されることを防止するこ
とができる。According to the present invention, by interrupting the communication, it is possible to prevent an unauthorized packet from being transferred.
【0052】また、攻撃の対策として、通常使用するポ
ートを閉じてしまっても、各アプリケーション(情報処
理装置)にテンポラリのポートを通知し、各アプリケー
ションはテンポラリのポートで通信を行うため正常な利
用者にはアプリケーションのサービスを提供することが
できる。Also, as a countermeasure against attacks, even if the normally used port is closed, each application (information processing device) is notified of the temporary port, and each application communicates with the temporary port, so that normal use is possible. Can provide application services.
【0053】この発明によれば、対策終了後、使用を中
断していた通信ポートを迅速に、自動的に再開すること
ができる。According to the present invention, the communication port whose use has been interrupted can be quickly and automatically restarted after the countermeasure is completed.
【図1】 実施の形態1の侵入検知装置の一例を示す構
成図。FIG. 1 is a configuration diagram illustrating an example of an intrusion detection device according to a first embodiment.
【図2】 実施の形態1の侵入検知方法の動作の一例を
表すフローチャート図。FIG. 2 is a flowchart illustrating an example of an operation of the intrusion detection method according to the first embodiment.
【図3】 実施の形態2の不正侵入対策管理システムの
全体構成の一例を示す図。FIG. 3 is a diagram showing an example of the overall configuration of an unauthorized intrusion countermeasure management system according to a second embodiment.
【図4】 実施の形態2の侵入検知装置の一例を示す構
成図。FIG. 4 is a configuration diagram illustrating an example of an intrusion detection device according to a second embodiment.
【図5】 実施の形態2の情報処理装置の一例を示す構
成図。FIG. 5 is a configuration diagram illustrating an example of an information processing device according to Embodiment 2;
【図6】 実施の形態2の侵入検知方法の動作の一例を
表すフローチャート図。FIG. 6 is a flowchart illustrating an example of an operation of an intrusion detection method according to the second embodiment.
【図7】 従来例の実施例を示す構成図。FIG. 7 is a configuration diagram showing an example of a conventional example.
1 通信網、50 ハブ、51 メモリ、52 データ
バス、53j(j=1〜N) ポート、100,200
侵入検知装置、110,210 通信手段、120,
220 パケット分析手段、130,230 対策手
段、140,240 不正侵入監視手段、150,25
0 対策解除手段、231 通信ポート通知手段、25
1 不正侵入終了通知手段、301〜30N,30j
(j=1〜N) 情報処理装置、310 送受信手段、
320 テンポラリポート設定手段。1 communication network, 50 hubs, 51 memories, 52 data buses, 53j (j = 1 to N) ports, 100, 200
Intrusion detection device, 110, 210 communication means, 120,
220 Packet analysis means, 130, 230 Countermeasure means, 140, 240 Intrusion monitoring means, 150, 25
0 Countermeasure canceling means, 231 Communication port notification means, 25
1 unauthorized intrusion end notification means, 301 to 30N, 30j
(J = 1 to N) information processing apparatus, 310 transmitting / receiving means,
320 Temporary port setting means.
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 12/22 ──────────────────────────────────────────────────続 き Continued on the front page (51) Int.Cl. 7 Identification symbol FI Theme coat ゛ (Reference) H04L 12/22
Claims (11)
ットの中から不正なパケットを検出するパケット分析部
と、 上記パケット分析部が不正なパケットを検出した場合
に、不正なパケットが侵入する不正侵入を防止する対策
をとる対策部とを備えることを特徴とする侵入検知装
置。A communication unit that transmits and receives a packet; a packet analysis unit that analyzes a packet received by the communication unit and detects an invalid packet from the analyzed packets; An intrusion detection device, comprising: a countermeasure that takes a countermeasure for preventing an unauthorized intrusion in which an unauthorized packet enters when detected.
の有無を監視し、上記不正侵入が終了する不正侵入終了
を判断する不正侵入監視部と、 上記不正侵入監視部が、不正侵入終了を判断した場合、
上記対策部がとる上記不正侵入を防止する対策を解除す
る対策解除部とを備えることを特徴とする請求項1記載
の侵入検知装置。2. The intrusion detection device further monitors the presence or absence of the unauthorized intrusion based on the detection result of the packet analysis unit, and determines an unauthorized intrusion termination in which the unauthorized intrusion ends. If the intrusion monitoring unit determines that the intrusion has ended,
2. The intrusion detection device according to claim 1, further comprising a countermeasure canceling unit configured to cancel the countermeasure for preventing the unauthorized intrusion taken by the countermeasure unit.
ータを含むパケットを不正なパケットであるとすること
を特徴とする請求項1または2記載の侵入検知装置。3. The intrusion detection device according to claim 1, wherein the packet analysis unit determines that a packet including data defined in advance is an invalid packet.
ータとして、通信プロトコルの名称と通信ポートの番号
と所定の文字列との少なくともいずれか一つを定義する
ことを特徴とする請求項3記載の侵入検知装置。4. The packet analysis unit according to claim 3, wherein the packet analysis unit defines at least one of a communication protocol name, a communication port number, and a predetermined character string as the data to be defined in advance. Intrusion detection device.
として、不正なパケットの通信を遮断することを特徴と
する請求項1から4いずれかに記載の侵入検知装置。5. The intrusion detection device according to claim 1, wherein the countermeasure unit blocks communication of an unauthorized packet as a countermeasure for preventing unauthorized intrusion.
していた通信ポートの使用を中止し、 上記侵入検知装置は、さらに、 上記対策部によって使用していた通信ポートの使用が中
止されている場合、上記使用していた通信ポートとは別
の通信ポートをオープンし、オープンした通信ポートを
所定の送信元へ通知する通信ポート通知部を備えること
を特徴とする請求項5記載の侵入検知装置。6. The countermeasure unit stops use of the communication port used for interrupting communication, and the intrusion detection device further stops using the communication port used by the countermeasure unit. 6. The intrusion according to claim 5, further comprising a communication port notification unit that opens a communication port different from the communication port used and notifies the predetermined communication source of the opened communication port. Detection device.
た通信ポートの使用を再開し、上記通信ポートの再開を
上記所定の送信元へ通知する不正侵入終了通知部を備え
ることを特徴とする請求項6記載の侵入検知装置。7. The intrusion detection device further resumes the use of the communication port whose use has been stopped when the reception of the illegal packet ends, and notifies the predetermined transmission source of the restart of the communication port. The intrusion detection device according to claim 6, further comprising an unauthorized intrusion completion notification unit.
信網を介して接続し、不正侵入を検知する侵入検知装置
とを備える不正侵入対策管理システムにおいて、 上記侵入検知装置は、 上記通信網を介してパケットを送受信する通信部と、 上記受信したパケットを分析し、分析したパケットの中
から不正なパケットを検出するパケット分析部と、 上記パケット分析部で不正なパケットを検出した場合
に、不正なパケットが侵入する不正侵入を防止する対策
をとる対策部と、 上記対策部によって使用していた通信ポートの使用が中
止されている場合、上記使用していた通信ポートとは別
の通信ポートをオープンし、オープンした通信ポートを
上記情報処理装置へ通知する通信ポート通知部とを備
え、 上記情報処理装置は、 上記通信網へパケットを送信すると伴に、上記通信ポー
ト通知部から通知される通信ポートを受信する送受信部
と、 上記送受信部によって受信した通信ポートを用いて通信
することを設定するテンポラリポート設定部とを備える
ことを特徴とする不正侵入対策管理システム。8. An unauthorized intrusion countermeasure management system comprising an information processing device and an intrusion detection device connected to the information processing device via a communication network to detect unauthorized intrusion, wherein the intrusion detection device comprises: A communication unit that transmits and receives packets via the communication unit; a packet analysis unit that analyzes the received packet and detects an invalid packet from the analyzed packets; and a packet analysis unit that detects an invalid packet. A countermeasure that takes measures to prevent unauthorized intrusion of illegal packets, and a communication port that is different from the communication port used when the communication port used by the countermeasure is stopped. A communication port notifying unit that notifies the information processing apparatus of the opened communication port, and the information processing apparatus transmits a packet to the communication network. Transmitting / receiving a communication port notified from the communication port notification unit, and a temporary port setting unit configured to set communication using the communication port received by the transmission / reception unit. Characteristic intrusion countermeasure management system.
不正侵入終了を判断する不正侵入監視部と、 上記不正侵入監視部によって、不正侵入終了を判断した
場合、上記不正侵入を防止する対策を解除する対策解除
部と、 不正なパケットの受信が終了した場合に、使用を中止し
た通信ポートの使用を再開し、上記使用を中止した通信
ポートの再開を上記情報処理装置へ通知する不正侵入終
了通知部とを備え、 上記送受信部は、上記不正侵入終了通知部からの通知を
受信し、 上記テンポラリポート設定部は、上記使用を中止した通
信ポートを用いる通信へ設定を変更することを特徴とす
る請求項8記載の不正侵入対策管理システム。9. The intrusion detection device further monitors the presence or absence of the unauthorized intrusion, and determines whether or not the unauthorized intrusion is terminated by the unauthorized intrusion monitoring unit. If the determination is made, the countermeasure canceling unit cancels the countermeasure for preventing the above-mentioned unauthorized intrusion, and, when the reception of the illegal packet is completed, the communication port whose use has been stopped is restarted and the communication port whose use is stopped is stopped. An intrusion termination notification unit for notifying the information processing apparatus of the resumption of the intrusion, the transmission / reception unit receives a notification from the intrusion termination notification unit, and the temporary port setting unit communicates the suspended communication. 9. The unauthorized intrusion countermeasure management system according to claim 8, wherein the setting is changed to communication using a port.
から不正なパケットを検出するパケット分析工程と、 上記パケット分析工程で不正なパケットを検出した場合
に、不正なパケットが侵入する不正侵入を防止する対策
をとる対策工程とを備えることを特徴とする侵入検知方
法。10. A communication process for transmitting and receiving packets, a packet analysis process for analyzing the received packets and detecting an invalid packet from the analyzed packets, and a case where an invalid packet is detected in the packet analysis process. And a countermeasure step for taking a countermeasure for preventing an unauthorized intrusion of an unauthorized packet.
不正侵入終了を判断する不正侵入監視工程と、 上記不正侵入監視工程によって、不正侵入終了を判断し
た場合、上記不正侵入を防止する対策を解除する対策解
除工程とを備えることを特徴とする請求項10記載の侵
入検知方法。11. The intrusion detection method further comprises: an intrusion monitoring step of monitoring the presence or absence of the intrusion and judging the end of the intrusion to terminate the intrusion; 11. The intrusion detection method according to claim 10, further comprising: a step of releasing the countermeasure for preventing the unauthorized intrusion when the determination is made.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000256571A JP2002073433A (en) | 2000-08-28 | 2000-08-28 | Break-in detecting device and illegal break-in measures management system and break-in detecting method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000256571A JP2002073433A (en) | 2000-08-28 | 2000-08-28 | Break-in detecting device and illegal break-in measures management system and break-in detecting method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002073433A true JP2002073433A (en) | 2002-03-12 |
Family
ID=18745161
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000256571A Pending JP2002073433A (en) | 2000-08-28 | 2000-08-28 | Break-in detecting device and illegal break-in measures management system and break-in detecting method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002073433A (en) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002111726A (en) * | 2000-09-29 | 2002-04-12 | Kddi Corp | Illegal invasion preventing system |
| JP2002252654A (en) * | 2001-02-23 | 2002-09-06 | Mitsubishi Electric Corp | Intrusion detection device, system, and router |
| JP2003289337A (en) * | 2002-03-28 | 2003-10-10 | Nippon Telegr & Teleph Corp <Ntt> | Communication network, router, and distributed service refusal attack detection and defense method |
| JP2003309607A (en) * | 2002-04-17 | 2003-10-31 | Ntt Data Corp | Anti-profiling apparatus and its program |
| JP2004030286A (en) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | Intrusion detection system and intrusion detection program |
| JP2004304629A (en) * | 2003-03-31 | 2004-10-28 | Mizuho Bank Ltd | Method and program for managing address data |
| JP2005301551A (en) * | 2004-04-09 | 2005-10-27 | Hitachi Ltd | Security measure system and integrated security system |
| JP2005311870A (en) * | 2004-04-23 | 2005-11-04 | Mitsubishi Electric Corp | Unauthorized break-in preventing system |
| JP2006013737A (en) * | 2004-06-24 | 2006-01-12 | Fujitsu Ltd | Device for eliminating abnormal traffic |
| WO2006054602A1 (en) * | 2004-11-17 | 2006-05-26 | Matsushita Electric Industrial Co., Ltd. | Home-use information product and mobile terminal |
| WO2006059572A1 (en) * | 2004-12-02 | 2006-06-08 | Matsushita Electric Industrial Co., Ltd. | Communication device and communication method |
| JP2006228140A (en) * | 2005-02-21 | 2006-08-31 | Fuji Xerox Co Ltd | Information processor |
| JP2008028740A (en) * | 2006-07-21 | 2008-02-07 | Secure Ware:Kk | Communication control apparatus, communication control method, and computer program |
| JP2009504100A (en) * | 2005-08-05 | 2009-01-29 | ルーセント テクノロジーズ インコーポレーテッド | Method of defending against DoS attack by target victim self-identification and control in IP network |
| CN100463409C (en) * | 2004-02-13 | 2009-02-18 | Lgcns株式会社 | Network security system and method |
| US7523494B2 (en) | 2004-02-05 | 2009-04-21 | International Business Machines Corporation | Determining blocking measures for processing communication traffic anomalies |
| US7552478B2 (en) | 2003-08-28 | 2009-06-23 | Nec Corporation | Network unauthorized access preventing system and network unauthorized access preventing apparatus |
| US7594263B2 (en) | 2004-02-05 | 2009-09-22 | International Business Machines Corporation | Operating a communication network through use of blocking measures for responding to communication traffic anomalies |
| JP2010109775A (en) * | 2008-10-30 | 2010-05-13 | Kyocera Corp | Radio communication device and radio communication method |
| JP2010536221A (en) | 2007-08-08 | 2010-11-25 | サムスン エスディーエス シーオー.エルティディ. | Method for blocking TCP-based denial of service attacks on mobile devices |
| WO2011027496A1 (en) | 2009-09-01 | 2011-03-10 | 株式会社日立製作所 | Unauthorized process detection method and unauthorized process detection system |
| JP2011097527A (en) * | 2009-11-02 | 2011-05-12 | Konica Minolta Business Technologies Inc | Communication system and device, method and program for controlling communication |
| JP2013011948A (en) * | 2011-06-28 | 2013-01-17 | Nippon Telegr & Teleph Corp <Ntt> | Malware-infected terminal detection apparatus, malware-infected terminal detection method and malware-infected terminal detection program |
| JP2014116685A (en) * | 2012-12-06 | 2014-06-26 | Toshiba Corp | Relay terminal |
| WO2020105657A1 (en) * | 2018-11-22 | 2020-05-28 | 株式会社オートネットワーク技術研究所 | Onboard relay device and relay method |
-
2000
- 2000-08-28 JP JP2000256571A patent/JP2002073433A/en active Pending
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002111726A (en) * | 2000-09-29 | 2002-04-12 | Kddi Corp | Illegal invasion preventing system |
| JP2002252654A (en) * | 2001-02-23 | 2002-09-06 | Mitsubishi Electric Corp | Intrusion detection device, system, and router |
| JP2003289337A (en) * | 2002-03-28 | 2003-10-10 | Nippon Telegr & Teleph Corp <Ntt> | Communication network, router, and distributed service refusal attack detection and defense method |
| JP2003309607A (en) * | 2002-04-17 | 2003-10-31 | Ntt Data Corp | Anti-profiling apparatus and its program |
| JP2004030286A (en) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | Intrusion detection system and intrusion detection program |
| JP2004304629A (en) * | 2003-03-31 | 2004-10-28 | Mizuho Bank Ltd | Method and program for managing address data |
| US7552478B2 (en) | 2003-08-28 | 2009-06-23 | Nec Corporation | Network unauthorized access preventing system and network unauthorized access preventing apparatus |
| US7594263B2 (en) | 2004-02-05 | 2009-09-22 | International Business Machines Corporation | Operating a communication network through use of blocking measures for responding to communication traffic anomalies |
| US7523494B2 (en) | 2004-02-05 | 2009-04-21 | International Business Machines Corporation | Determining blocking measures for processing communication traffic anomalies |
| CN100463409C (en) * | 2004-02-13 | 2009-02-18 | Lgcns株式会社 | Network security system and method |
| JP2005301551A (en) * | 2004-04-09 | 2005-10-27 | Hitachi Ltd | Security measure system and integrated security system |
| JP2005311870A (en) * | 2004-04-23 | 2005-11-04 | Mitsubishi Electric Corp | Unauthorized break-in preventing system |
| JP2006013737A (en) * | 2004-06-24 | 2006-01-12 | Fujitsu Ltd | Device for eliminating abnormal traffic |
| JP4546807B2 (en) * | 2004-11-17 | 2010-09-22 | パナソニック株式会社 | Information appliance, mobile terminal and P2P connection system |
| JP2006148361A (en) * | 2004-11-17 | 2006-06-08 | Matsushita Electric Ind Co Ltd | Intelligent home appliance, mobile terminal, and p2p connection system |
| WO2006054602A1 (en) * | 2004-11-17 | 2006-05-26 | Matsushita Electric Industrial Co., Ltd. | Home-use information product and mobile terminal |
| WO2006059572A1 (en) * | 2004-12-02 | 2006-06-08 | Matsushita Electric Industrial Co., Ltd. | Communication device and communication method |
| JP2006228140A (en) * | 2005-02-21 | 2006-08-31 | Fuji Xerox Co Ltd | Information processor |
| JP2009504100A (en) * | 2005-08-05 | 2009-01-29 | ルーセント テクノロジーズ インコーポレーテッド | Method of defending against DoS attack by target victim self-identification and control in IP network |
| JP4768021B2 (en) * | 2005-08-05 | 2011-09-07 | アルカテル−ルーセント ユーエスエー インコーポレーテッド | Method of defending against DoS attack by target victim self-identification and control in IP network |
| JP2008028740A (en) * | 2006-07-21 | 2008-02-07 | Secure Ware:Kk | Communication control apparatus, communication control method, and computer program |
| JP2010536221A (en) | 2007-08-08 | 2010-11-25 | サムスン エスディーエス シーオー.エルティディ. | Method for blocking TCP-based denial of service attacks on mobile devices |
| JP2010109775A (en) * | 2008-10-30 | 2010-05-13 | Kyocera Corp | Radio communication device and radio communication method |
| WO2011027496A1 (en) | 2009-09-01 | 2011-03-10 | 株式会社日立製作所 | Unauthorized process detection method and unauthorized process detection system |
| JP2011097527A (en) * | 2009-11-02 | 2011-05-12 | Konica Minolta Business Technologies Inc | Communication system and device, method and program for controlling communication |
| JP2013011948A (en) * | 2011-06-28 | 2013-01-17 | Nippon Telegr & Teleph Corp <Ntt> | Malware-infected terminal detection apparatus, malware-infected terminal detection method and malware-infected terminal detection program |
| JP2014116685A (en) * | 2012-12-06 | 2014-06-26 | Toshiba Corp | Relay terminal |
| WO2020105657A1 (en) * | 2018-11-22 | 2020-05-28 | 株式会社オートネットワーク技術研究所 | Onboard relay device and relay method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2002073433A (en) | Break-in detecting device and illegal break-in measures management system and break-in detecting method | |
| US7797749B2 (en) | Defending against worm or virus attacks on networks | |
| EP1905197B1 (en) | System and method for detecting abnormal traffic based on early notification | |
| US7832009B2 (en) | Techniques for preventing attacks on computer systems and networks | |
| US7757285B2 (en) | Intrusion detection and prevention system | |
| US6792546B1 (en) | Intrusion detection signature analysis using regular expressions and logical operators | |
| US7797436B2 (en) | Network intrusion prevention by disabling a network interface | |
| US8356349B2 (en) | Method and system for intrusion prevention and deflection | |
| TWI294726B (en) | ||
| US6816973B1 (en) | Method and system for adaptive network security using intelligent packet analysis | |
| US7457965B2 (en) | Unauthorized access blocking apparatus, method, program and system | |
| US7308714B2 (en) | Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack | |
| US7564837B2 (en) | Recording medium recording a network shutdown control program, and network shutdown device | |
| US20030084322A1 (en) | System and method of an OS-integrated intrusion detection and anti-virus system | |
| US7099940B2 (en) | System, method and computer program product for processing network accounting information | |
| KR100947211B1 (en) | System for active security surveillance | |
| KR101042291B1 (en) | System and method for detecting and blocking to distributed denial of service attack | |
| JP2006243878A (en) | Unauthorized access detection system | |
| JP2001057554A (en) | Cracker monitor system | |
| JP2006235876A (en) | Dos attack countermeasure system and dos attack countermeasure method | |
| JP2005293550A (en) | Method and system for monitoring and protecting private network against attack from public network | |
| JP4694578B2 (en) | Method and system for protecting a computer network from packet flood | |
| JP2008011008A (en) | Unauthorized access prevention system | |
| Cisco | Tuning Sensor Signatures Using Policy Override Settings | |
| CN111865954A (en) | Data hedging type computer network security system and working method thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040517 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20041018 |