JP2003099339A - Infiltration-detecting and infiltration-preventing device and program therefor - Google Patents
Infiltration-detecting and infiltration-preventing device and program thereforInfo
- Publication number
- JP2003099339A JP2003099339A JP2001292430A JP2001292430A JP2003099339A JP 2003099339 A JP2003099339 A JP 2003099339A JP 2001292430 A JP2001292430 A JP 2001292430A JP 2001292430 A JP2001292430 A JP 2001292430A JP 2003099339 A JP2003099339 A JP 2003099339A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- attack
- ids
- function
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、不正アクセスやサ
ービス不能攻撃などに対するネットワークセキュリティ
に用いられる侵入検知・防御装置及びプログラムに関す
る。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an intrusion detection / defense apparatus and program used for network security against unauthorized access, denial of service attacks, and the like.
【0002】[0002]
【従来の技術】従来、企業内ネットワークや組織内ネッ
トワークといった内部ネットワークのセキュリティを確
保する方法として、ファイアウォールを外部ネットワー
クとの境界に配置する方法が広く用いられている。2. Description of the Related Art Conventionally, a method of arranging a firewall at a boundary with an external network has been widely used as a method of ensuring security of an internal network such as a corporate network or an internal network.
【0003】ファイアウォールは、予め設定されたフィ
ルタリングルール(以下、設定ルーツという)に基づい
て、IPパケットをフィルタリングする機能をもってい
る。設定ルールは、送信元IPアドレス、宛先IPアド
レス、サービス(プロトコル)等のヘッダ情報と、その
ヘッダ情報に対応するアクション(受入れ(Accept)/
拒絶(Reject))との集合である。The firewall has a function of filtering IP packets based on preset filtering rules (hereinafter referred to as setting roots). The setting rule includes header information such as a source IP address, a destination IP address, a service (protocol), and an action (Accept / Accept) corresponding to the header information.
It is a set with Reject.
【0004】ファイアウォールは、IPパケットのヘッ
ダ情報に適合する設定ルールの内容に基づいて、当該I
Pパケットを受入れ又は拒絶することにより、内部ネッ
トワークを不適切なIPパケットの侵入から防御可能と
している。[0004] Based on the contents of the setting rule that matches the header information of the IP packet, the firewall can
By accepting or rejecting P packets, the internal network can be protected from inappropriate intrusion of IP packets.
【0005】しかしながら、ファイアウォールは、設定
ルール上で「受入れ」に対応するヘッダ情報をもつIP
パケットに関しては、不正なIPパケットであっても侵
入を防御できない欠点がある。However, the firewall has an IP having header information corresponding to "accept" on the setting rule.
Regarding packets, there is a drawback that even an illegal IP packet cannot prevent intrusion.
【0006】そこで近年、ファイアウォールの後段の内
部ネットワークに分岐接続されたネットワーク傍受型の
侵入検知システム(IDS;Intrusion Detection Syst
em)を用いる場合が考えられる。Therefore, in recent years, a network interception-type intrusion detection system (IDS; Intrusion Detection Syst) is branched and connected to an internal network behind a firewall.
It is possible to use em).
【0007】係る侵入検知システムは、あらかじめ攻撃
パターンのデータベース(以下、攻撃パターンDBとい
う)を保持しており、内部ネットワークから傍受したI
Pパケットに関し、攻撃となるIPパケット(以下、攻
撃パケットともいう)か否かを攻撃パターンDBとの整
合/非整合により判定する。この判定の結果、整合した
場合、侵入検知システムは攻撃パケットが侵入した旨を
管理者に通知する。The intrusion detection system has a database of attack patterns (hereinafter referred to as attack pattern DB) in advance, and intercepts I from the internal network.
It is determined whether or not the P packet is an attacking IP packet (hereinafter, also referred to as attack packet) based on matching / non-matching with the attack pattern DB. If the result of this determination is that they match, the intrusion detection system notifies the administrator that the attack packet has entered.
【0008】さらにこれらの製品間で連携を行ない、侵
入検知システムからファイアウォールに一時的に攻撃パ
ケットを遮断するように要求することも可能である。こ
の場合、ファイアウォールとしては、例えば商品名「フ
ァイアウォール−1(FireWall-1、(登録商標))、チ
ェックポイント(CheckPoint)社」が使用可能である。
侵入検知システムとしては、例えば商品名「リアルセキ
ュア(RealSecure、(登録商標))、ISS社」が使用
可能である。Further, it is possible to make a cooperation between these products and request the firewall to temporarily block the attack packet from the intrusion detection system. In this case, as the firewall, for example, the product name “Firewall-1 (FireWall-1, (registered trademark)), CheckPoint (CheckPoint) Company” can be used.
As the intrusion detection system, for example, the product name “RealSecure (registered trademark), ISS company” can be used.
【0009】[0009]
【発明が解決しようとする課題】しかしながら、以上の
ような侵入検知システムでは、攻撃パケットの侵入を検
知して管理者に通知したとしても、通知が管理者に届く
頃には、内部ネットワーク上の該当機器が攻撃パケット
による攻撃を受けてしまう。However, in the intrusion detection system as described above, even if an intrusion of an attack packet is detected and the administrator is notified, by the time the notification reaches the administrator, the notification on the internal network is lost. The target device is attacked by the attack packet.
【0010】また最近、侵入検知システムを攻撃した後
に改めて機器を攻撃する観点から、侵入検知システム宛
の大量のIPパケットを送信するサービス不能攻撃(D
oSアタック;Denial of Service attack)が行われる
場合がある。この場合、侵入検知システムは、自己宛の
大量のIPパケットの処理により、本来の侵入検知処理
が実行不能になってしまう。Further, recently, from the viewpoint of attacking the device again after attacking the intrusion detection system, a denial of service attack (D) for transmitting a large number of IP packets addressed to the intrusion detection system (D
An oS attack (Denial of Service attack) may occur. In this case, the intrusion detection system cannot execute the original intrusion detection process due to the processing of a large number of IP packets addressed to itself.
【0011】本発明は上記実情を考慮してなされたもの
であり、攻撃パケットによる攻撃を防御し得る侵入検知
・防御装置及びプログラムを提供することを目的とす
る。The present invention has been made in consideration of the above situation, and an object thereof is to provide an intrusion detection / defense apparatus and a program capable of preventing an attack by an attack packet.
【0012】他の発明の目的は、自己に対するサービス
不能攻撃を防御し得る侵入検知・防御装置及びプログラ
ムを提供することにある。Another object of the present invention is to provide an intrusion detection / prevention device and program capable of preventing a denial of service attack against itself.
【0013】[0013]
【課題を解決するための手段】第1の発明は、攻撃とな
るIPパケットの侵入を検知して前記攻撃を防御するた
めの侵入検知・防御装置であって、受信したIPパケッ
トのヘッダ情報に基づいて、予め設定されたIPパケッ
トのヘッダ情報と攻撃との関係を示す設定ルールを参照
し、攻撃となるIPパケットを遮断する一方、前記攻撃
とはならないIPパケットを通過させるファイアウォー
ル機能手段と、前記ファイアウォール機能手段を通過し
たIPパケットのペイロード情報に基づいて、攻撃とな
るIPパケットを遮断する一方、当該攻撃とはならない
IPパケットを通過させるフィルタ型のIDS機能手段
と、を備えた侵入検知・防御装置である。A first aspect of the present invention is an intrusion detection / defense apparatus for detecting an intrusion of an IP packet that is an attack to prevent the attack, and is provided in the header information of the received IP packet. Based on the preset setting information indicating the relationship between the header information of the IP packet and the attack, based on the firewall, firewall function means for blocking the attacking IP packet while passing the IP packet that does not become the attack, An intrusion detection / filtering unit for blocking an IP packet that is an attack based on payload information of the IP packet that has passed through the firewall function unit, and passing an IP packet that is not an attack It is a defense device.
【0014】このように、従来の傍受型のIDSとは異
なり、フィルタ型のIDS機能手段であるので、攻撃と
なるIPパケットを即座に遮断でき、攻撃パケットによ
る攻撃を防御することができる。As described above, unlike the conventional interception type IDS, the filter type IDS function means can immediately block an attacking IP packet and prevent an attack by an attacking packet.
【0015】第2の発明は、第1の発明において、前記
IDS機能手段に設けられ、単位時間当りにおけるID
S機能手段宛のIPパケットの個数がしきい値を越えた
か否かを判定し、この判定結果が前記しきい値を越えた
とき、前記IDS機能手段宛のIPパケットを遮断させ
るための他の設定ルールを前記ファイアウォール機能手
段に一時的に設定する大量パケット拒否機能手段を備え
た侵入検知・防御装置である。In a second aspect based on the first aspect, the IDS function means is provided with an ID per unit time.
It is determined whether or not the number of IP packets addressed to the S function means exceeds a threshold value, and when the result of the determination exceeds the threshold value, another IP packet for the IDS function means is blocked. It is an intrusion detection / defense apparatus equipped with a mass packet denial function means for temporarily setting a setting rule in the firewall function means.
【0016】このように、IDS機能手段宛の大量のI
Pパケットを検出すると、一時的にファイアウォール機
能手段に対して該当するIPパケットを遮断させるの
で、第1の発明の作用に加え、IDS機能に対するサー
ビス不能攻撃を防御することができる。In this way, a large amount of I
When the P packet is detected, the corresponding IP packet is temporarily blocked by the firewall function means. Therefore, in addition to the effect of the first invention, a denial of service attack against the IDS function can be prevented.
【0017】第3の発明は、第1又は第2の発明におい
て、前記ファイアウォール機能手段に設けられ、予め設
定されたIPパケットのヘッダ情報と前記IDS機能手
段のオン/オフ状態との関係に基づいて、前記IDS機
能手段のオン/オフ状態を切換えるIDS切換機能手段
を備えた侵入検知・防御装置である。A third aspect of the invention is based on the first or second aspect of the invention and is based on the relationship between the preset header information of the IP packet provided in the firewall function means and the ON / OFF state of the IDS function means. In addition, the intrusion detection / defense device includes IDS switching function means for switching the on / off state of the IDS function means.
【0018】このように、ファイアウォール機能手段か
らIDS機能手段をオン/オフ制御するので、第1又は
第2の発明の作用に加え、IDS機能手段の無駄な実行
をなくし、IDS機能手段の負荷を軽減させることがで
きる。この結果、装置のスループットを向上させること
ができる。Since the firewall function means controls the ON / OFF of the IDS function means in this way, in addition to the operation of the first or second aspect of the invention, wasteful execution of the IDS function means is eliminated and the load of the IDS function means is reduced. Can be reduced. As a result, the throughput of the device can be improved.
【0019】なお、上記各発明は、「装置」の名称とカ
テゴリーで表現したが、これに限らず、「プログラ
ム」、「記憶媒体」、「方法」、「システム」又は「方
式」といった他の名称やカテゴリーで表現してもよい。Although each of the above inventions is expressed by the name and category of "apparatus", the invention is not limited to this, and any other program such as "program", "storage medium", "method", "system" or "method" may be used. It may be expressed by name or category.
【0020】[0020]
【発明の実施の形態】以下、本発明の各実施形態につい
て図面を参照しながら説明する。
(第1の実施形態)図1は本発明の第1の実施形態に係
る侵入検知・防御装置が接続されたネットワークシステ
ムの構成を示す模式図である。このネットワークシステ
ムは、インターネット等の外部ネットワーク1と、企業
/組織等の内部ネットワーク2との間にファイアウォー
ル(FW)3が設けられている。このファイアウォール
3は、両ネットワーク1,2間にDMZ(Demilitarize
d Zone;非武装地帯)のLAN4を構築している。LA
N4上には侵入検知・防御装置10を介して公開Web
サーバ5が分岐接続されている。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described below with reference to the drawings. (First Embodiment) FIG. 1 is a schematic diagram showing the configuration of a network system to which an intrusion detection / defense apparatus according to a first embodiment of the present invention is connected. In this network system, a firewall (FW) 3 is provided between an external network 1 such as the Internet and an internal network 2 such as a company / organization. This firewall 3 is a DMZ (Demilitarize) between both networks 1 and 2.
d Zone; demilitarized zone) LAN4 is being constructed. LA
On the N4, open the web via the intrusion detection / prevention device 10.
The server 5 is branched and connected.
【0021】ここで、侵入検知・防御装置10は、ファ
イアウォール3を通過してLAN4上を伝搬する全ての
IPパケットに関し、各IPパケットを公開Webサー
バ5側のLAN4に通過させるか又は遮断するフィルタ
型に構成されている。Here, the intrusion detection / defense apparatus 10 filters all IP packets that pass through the firewall 3 and propagate on the LAN 4, and pass or block each IP packet to the LAN 4 on the public Web server 5 side. It is composed of molds.
【0022】具体的には侵入検知・防御装置10は、図
2に示すように、外側I/F11、ファイアウォール機
能部12、IDS(Intrusion Detection System)機能
部13及び内側I/F14を備えている。Specifically, as shown in FIG. 2, the intrusion detection / defense apparatus 10 includes an outer I / F 11, a firewall function unit 12, an IDS (Intrusion Detection System) function unit 13, and an inner I / F 14. .
【0023】外側I/F11は、ファイアウォール3側
のLAN4上の各IPパケットをファイアウォール機能
部12に送出するためのLANインタフェースである。The outer I / F 11 is a LAN interface for sending each IP packet on the LAN 4 on the firewall 3 side to the firewall function unit 12.
【0024】ファイアウォール機能部12は、外側I/
F11から送出された全てのIPパケットにおける各I
Pパケットのヘッダ情報と、予め設定された設定ルール
とに基づいて、当該各IPパケットをIDS機能部13
に通過させるか又は遮断する機能をもっている。The firewall function unit 12 has an external I /
Each I in all IP packets sent from F11
Based on the header information of the P packet and a preset setting rule, each IP packet is set to the IDS function unit 13
It has the function of passing or blocking.
【0025】この設定ルールは、前段のファイアウォー
ル3の設定ルールと同一内容でも使用可能であるが、フ
ァイアウォール機能部12を有効に機能させる観点か
ら、侵入検知・防御装置10よりも後段側に配置された
要素(例、公開Webサーバ5)に関する内容とするこ
とが好ましい。This setting rule can be used with the same contents as the setting rule of the firewall 3 at the front stage, but it is arranged at the rear side of the intrusion detection / defense apparatus 10 from the viewpoint of effectively functioning the firewall function unit 12. It is preferable that the content is related to the element (eg, public Web server 5).
【0026】IDS機能部13は、攻撃パターンDB(d
atabase)13aを有し、外側I/F11から送出された
全てのIPパケットにおける各IPパケットのペイロー
ド情報と、予め保持する攻撃パターンDB13aの内容
とに基づいて、当該各IPパケットを内側I/F14に
通過させるか又は遮断する機能をもっている。The IDS function unit 13 uses the attack pattern DB (d
aabase) 13a, and based on the payload information of each IP packet in all the IP packets sent from the outer I / F 11 and the content of the attack pattern DB 13a held in advance, the inner I / F 14 It has the function of passing or blocking.
【0027】この攻撃パターンDB13aは、従来の侵
入検知システム内の攻撃パターンDBよりも、確実性の
高い攻撃パターンがIPパケットのペイロード情報に対
応して保存されている。これは、従来の侵入検知システ
ムがIPパケットを破棄しないので低い確実性(例、キ
ーワード検出)でよいのに対し、本実施形態のIDS機
能部13がIPパケットを破棄するので高い確実性
(例、キーワード検出+データ長の確認)を要求される
ことによる。In this attack pattern DB 13a, an attack pattern having a higher certainty than the attack pattern DB in the conventional intrusion detection system is stored corresponding to the payload information of the IP packet. The conventional intrusion detection system does not discard the IP packet, so that the reliability is low (eg, keyword detection), while the IDS function unit 13 of the present embodiment discards the IP packet, so that the reliability is high (eg. , Keyword detection + confirmation of data length) is required.
【0028】また、従来の侵入検知システムが侵入検知
後に通知のみを行なうので、保護を管理者に行なわせる
ので攻撃パターンの確実性が低くても構わないのに対
し、本実施形態のIDS機能部13が自ら保護を行なう
ので、攻撃パターンに高い確実性を要求されるという事
情もある。Further, since the conventional intrusion detection system only notifies after the intrusion detection, the administrator is required to perform the protection, and therefore the certainty of the attack pattern may be low, whereas the IDS function unit of this embodiment is not required. There is also a circumstance that a high degree of certainty is required for the attack pattern because the 13 protects itself.
【0029】内側I/F14は、IDS機能部13を通
過した各IPパケットを公開Webサーバ5側のLAN
4に送出するためのLANインタフェースである。The inner I / F 14 sends each IP packet passing through the IDS function unit 13 to the LAN on the public Web server 5 side.
4 is a LAN interface for sending data to the network.
【0030】なお、このような侵入検知・防御装置10
は、ハードウェア構成及び/又はソフトウェア構成によ
り実現可能である。例えばソフトウェア構成の場合、予
め記憶媒体又はネットワークからファイアウォール機能
とIDS機能とを実現させるためのプログラムが侵入検
知・防御装置10のコンピュータにインストールされる
ことにより、実現される。Incidentally, such an intrusion detection / defense device 10
Can be realized by a hardware configuration and / or a software configuration. For example, in the case of a software configuration, it is realized by previously installing a program for realizing the firewall function and the IDS function from the storage medium or the network in the computer of the intrusion detection / defense apparatus 10.
【0031】次に、以上のように構成された侵入検知・
防御装置の動作を図3のフローチャートを用いて説明す
る。Next, the intrusion detection /
The operation of the defense device will be described with reference to the flowchart of FIG.
【0032】いま、例えば外部ネットワーク上の図示し
ない端末装置から公開Webサーバ5宛のIPパケット
が送信され、このIPパケットがファイアウォール3を
通過してLAN4から侵入検知・防御装置10に取り込
まれたとする。Now, assume that an IP packet addressed to the public Web server 5 is transmitted from a terminal device (not shown) on the external network, and this IP packet passes through the firewall 3 and is taken into the intrusion detection / defense device 10 from the LAN 4. .
【0033】侵入検知・防御装置においては、外側I/
F11がIPパケットを受信し(ST1)、このIPパ
ケットをファイアウォール機能部12に送出する。In the intrusion detection / defense device, the outside I /
F11 receives the IP packet (ST1) and sends this IP packet to the firewall function unit 12.
【0034】ファイアウォール機能部12は、送出され
たIPパケットを設定ルールと比較し(ST2)、拒絶
すべきIPパケットであれば破棄するが(ST3)、受
け入れるIPパケットであればIDS機能部13に送出
する。The firewall function unit 12 compares the sent IP packet with the setting rule (ST2), discards the IP packet if it should be rejected (ST3), and sends it to the IDS function unit 13 if it is an accepted IP packet. Send out.
【0035】IDS機能部13は、このIPパケットに
関し、IPパケットのペイロード情報と攻撃パターンD
B内の攻撃パターンとを比較し(ST4)、両者が整合
した場合には当該IPパケットを破棄するが(ST
5)、両者が整合しない場合には当該IPパケットを内
側I/F14に送出して(ST6)、ステップST1に
戻る。The IDS function unit 13 relates to this IP packet, payload information of the IP packet and attack pattern D.
The attack pattern in B is compared (ST4), and if the two match, the IP packet is discarded (ST).
5) If they do not match, the IP packet is sent to the inner I / F 14 (ST6), and the process returns to step ST1.
【0036】内側I/F14は、この送出されたIPパ
ケットを公開Webサーバ5側のLAN4に送出する。The inner I / F 14 sends the sent IP packet to the LAN 4 on the public Web server 5 side.
【0037】これにより、ファイアウォール機能部12
及びIDS機能部13の両者で破棄されなかったIPパ
ケットのみが公開Webサーバ5に到達する。As a result, the firewall function unit 12
Only IP packets that have not been discarded by both the IDS function unit 13 and the IDS function unit 13 reach the public Web server 5.
【0038】上述したように本実施形態によれば、従来
の傍受型のIDSとは異なり、フィルタ型のIDS機能
部13であるので、攻撃となるIPパケットを即座に遮
断でき、攻撃パケットによる公開Webサーバ5への攻
撃を防御することができる。As described above, according to this embodiment, unlike the conventional interception-type IDS, the filter-type IDS function unit 13 can immediately block an IP packet that is an attack, and can be disclosed by an attack packet. It is possible to prevent an attack on the Web server 5.
【0039】補足すると、従来の侵入検知システムは、
傍受型であり、侵入検知のみで防御をしない方式であ
る。一方、本実施形態のIDS機能部13は、フィルタ
型であり、侵入検知をして防御する方式である。従っ
て、本実施形態は、従来とは異なり、前述した効果を得
ることができる。Supplementally, the conventional intrusion detection system is
It is an interception type and is a system that does not protect only by intrusion detection. On the other hand, the IDS function unit 13 of the present embodiment is a filter type, which is a system for detecting and preventing intrusion. Therefore, the present embodiment can obtain the above-mentioned effects, unlike the related art.
【0040】また、予め前段のファイアウォール機能部
12がIPパケットの個数を減少させるので、後段のI
DS機能部13における単位時間当りの処理量(以下、
スループットという)を向上させることができる。Further, since the firewall function unit 12 in the previous stage reduces the number of IP packets in advance, the I
Processing amount per unit time in the DS function unit 13 (hereinafter,
Throughput).
【0041】(第2の実施形態)図4は本発明の第2の
実施形態に係る侵入検知・防御装置の構成を示す模式図
であり、前述した図面と同一部分には同一符号を付して
その詳しい説明を省略し、ここでは異なる部分について
主に述べる。なお、以下の各実施形態も同様にして重複
した部分の説明を省略する。(Second Embodiment) FIG. 4 is a schematic diagram showing the structure of an intrusion detection / defense apparatus according to the second embodiment of the present invention. The same parts as those in the above-mentioned drawings are designated by the same reference numerals. The detailed description thereof will be omitted, and different parts will be mainly described here. In addition, in each of the following embodiments, the description of the overlapping portions will be omitted in the same manner.
【0042】すなわち、本実施形態は、第1の実施形態
の変形例であり、IDS機能部13がファイアウォール
機能部12の設定ルールを動的に設定可能なものであ
り、具体的には、例えばサービス不能攻撃(DoS)に
用いられるIPパケットを遮断するための設定ルールを
ファイアウォール機能部12に設定可能な動的ルール設
定部13bを備えている。That is, the present embodiment is a modification of the first embodiment, and the IDS function unit 13 can dynamically set the setting rule of the firewall function unit 12. Specifically, for example, The firewall function unit 12 is provided with a dynamic rule setting unit 13b that can set a setting rule for blocking an IP packet used for a denial of service attack (DoS).
【0043】ここで、動的ルール設定部(大量パケット
拒否機能手段)13bは、IDS機能部13に設けら
れ、IDS機能部13自身を宛先IPアドレスとするI
Pパケット数をカウントする機能と、単位時間当りのカ
ウント結果がしきい値を越えると、自機能部13宛のI
Pパケットを遮断させるための設定ルールをファイアウ
ォール機能部12に設定する機能と、一定時間後、この
設定ルールを解除する機能とをもっている。Here, the dynamic rule setting unit (mass packet rejection function means) 13b is provided in the IDS function unit 13 and uses the IDS function unit 13 itself as the destination IP address.
A function for counting the number of P packets and, when the count result per unit time exceeds a threshold value, I
It has a function of setting a setting rule for blocking P packets in the firewall function unit 12 and a function of canceling the setting rule after a predetermined time.
【0044】なお、DoS攻撃の宛先IPアドレスは、
IDS機能部13に限らず、公開Webサーバ5として
もよい。The destination IP address of the DoS attack is
The public Web server 5 is not limited to the IDS function unit 13.
【0045】次に、以上のように構成された侵入検知・
防御装置の動作を図5のフローチャートを用いて説明す
る。いま、前述した通り、ステップST1〜ST4まで
が完了したとする。すなわち、IDS機能部13には、
ファイアウォール機能部12を通過し、且つ攻撃パター
ンDB13a内の攻撃パターンにも該当しないIPパケ
ットがある。Next, the intrusion detection /
The operation of the defense device will be described with reference to the flowchart of FIG. Now, as described above, it is assumed that steps ST1 to ST4 are completed. That is, the IDS function unit 13 includes
There is an IP packet that passes through the firewall function unit 12 and does not correspond to the attack pattern in the attack pattern DB 13a.
【0046】ここで、IDS機能部13は、このIPパ
ケットが自己13宛の宛先IPアドレスを持たなけれ
ば、前述したステップST6に進んでIPパケットを内
側I/F14に送出する。一方、このIPパケットが自
己13宛の宛先IPアドレスを持つとき、動的ルール設
定部13bにより、このようなIPパケットの個数をカ
ウントする(ST11)。If the IP packet does not have a destination IP address addressed to itself 13, the IDS function unit 13 proceeds to step ST6 described above and sends the IP packet to the inner I / F 14. On the other hand, when this IP packet has a destination IP address addressed to itself 13, the dynamic rule setting unit 13b counts the number of such IP packets (ST11).
【0047】ここで、動的ルール設定部13bは、単位
時間当りのIPパケットの個数が所定のしきい値を越え
るか否かを判定し(ST12)、越えなければ前述した
ステップST6に進んでIPパケットを内側I/F14
に送出する。Here, the dynamic rule setting section 13b determines whether or not the number of IP packets per unit time exceeds a predetermined threshold value (ST12), and if not, proceeds to the above-mentioned step ST6. IP packet inside I / F 14
Send to.
【0048】一方、しきい値を越えると、動的ルール設
定部13bは、自機能部13宛の宛先IPアドレスをも
つIPパケットを遮断する旨の設定ルールをファイアウ
ォール機能部12に一時的に追加設定する(ST1
3)。On the other hand, when the threshold value is exceeded, the dynamic rule setting unit 13b temporarily adds a setting rule to the firewall function unit 12 to block an IP packet having a destination IP address addressed to the function unit 13 itself. Set (ST1
3).
【0049】これにより、以後、ファイアウォール機能
部12は、既存の設定ルールに加え、外側I/F11か
ら受けたIPパケットの宛先IPアドレスがIDS機能
部13宛のとき、このIPパケットを破棄する(ST1
〜ST3)。Consequently, thereafter, in addition to the existing setting rule, the firewall function unit 12 discards this IP packet when the destination IP address of the IP packet received from the outer I / F 11 is addressed to the IDS function unit 13. ST1
~ ST3).
【0050】DoS攻撃が終了したと考えられる一定時
間経過後、動的ルール設定部13bは、ステップST1
3で追加設定した設定ルールを解除する(ST14)。After the elapse of a certain period of time when it is considered that the DoS attack has ended, the dynamic rule setting section 13b proceeds to step ST1.
The setting rule additionally set in 3 is canceled (ST14).
【0051】これにより、侵入検知・防御装置10は、
前述同様に、ステップST1からそれ以降の処理を継続
する。上述したように本実施形態によれば、IDS機能
部13宛の大量のIPパケットを検出すると、一時的に
ファイアウォール機能部12に対して該当するIPパケ
ットを遮断させるので、第1の実施形態の効果に加え、
IDS機能に対するサービス不能攻撃を防御することが
できる。As a result, the intrusion detection / prevention device 10 is
Similarly to the above, the processing from step ST1 is continued. As described above, according to the present embodiment, when a large number of IP packets addressed to the IDS function unit 13 are detected, the firewall function unit 12 is temporarily interrupted to block the corresponding IP packets. In addition to the effect
A denial of service attack against the IDS function can be protected.
【0052】補足すると、従来のネットワーク傍受型の
侵入検知システムにおいて、本実施形態と同様のDoS
攻撃に対する防御をさせるとしても、侵入検知システム
がネットワーク経由でファイアウォールに通知するの
で、遅延時間が長い。Supplementally, in the conventional network interception type intrusion detection system, the DoS similar to that of this embodiment is used.
Even if you want to protect against attacks, the intrusion detection system notifies the firewall via the network, so the delay time is long.
【0053】しかし、本実施形態によれば、IDS機能
部13が同一装置10内のファイアウォール機能部12
に通知するので、最短の遅延時間で済む。However, according to this embodiment, the IDS function unit 13 has the firewall function unit 12 in the same device 10.
Since it will notify you, the shortest delay time will be required.
【0054】また、大量のIPパケットの宛先が後段の
公開Webサーバであったとしても、従来では、侵入検
知システムがネットワーク傍受型であるから、全てのI
Pパケットがネットワークを介して各機器に到達するの
で、攻撃の防御が不確実となる。Further, even if the destination of a large number of IP packets is the public Web server at the latter stage, in the past, since the intrusion detection system is a network interception type, all I
Since the P packet reaches each device via the network, the defense of the attack becomes uncertain.
【0055】一方、本実施形態では、IDS機能部13
がフィルタ型であるから、全てのIPパケットを遮断で
き、攻撃の防御が確実となる。On the other hand, in this embodiment, the IDS function unit 13
Since it is a filter type, all IP packets can be blocked, and the defense of attacks is ensured.
【0056】(第3の実施形態)図6は本発明の第3の
実施形態に係る侵入検知・防御装置の構成を示す模式図
である。すなわち、本実施形態は、第1の実施形態の変
形例であり、ファイアウォール機能部12がIDS機能
部13のオン/オフ状態を切換可能な機能(IDS切換
機能手段)を有しており、具体的には、例えば、IPパ
ケットのヘッダ情報とIDS機能部13のオン/オフ状
態とを関連付けするオン/オフ状態テーブル12aをフ
ァイアウォール機能部12に有し、このオン/オフ状態
テーブル12aを作成してファイアウォール機能部12
に設定するテーブル設定部13cをIDS機能部13に
備えている。(Third Embodiment) FIG. 6 is a schematic diagram showing the structure of an intrusion detection / defense apparatus according to a third embodiment of the present invention. That is, this embodiment is a modification of the first embodiment, and the firewall function unit 12 has a function (IDS switching function means) capable of switching the ON / OFF state of the IDS function unit 13, Specifically, for example, the firewall function unit 12 has an on / off state table 12a that associates the header information of the IP packet with the on / off state of the IDS function unit 13, and creates this on / off state table 12a. Firewall function part 12
The IDS function unit 13 is provided with a table setting unit 13c for setting the table.
【0057】ここで、オン/オフ状態テーブル12a
は、ファイアウォール機能部12がIDSをオン/オフ
制御する際に参照するテーブルであり、図7に示すよう
に、例えば、予め送信元IPアドレスとオン/オフ状態
との組が設定されるものとなっている。Here, the on / off state table 12a
Is a table that the firewall function unit 12 refers to when performing on / off control of the IDS. As shown in FIG. 7, for example, a pair of a source IP address and an on / off state is set in advance. Has become.
【0058】具体的には、オン/オフ状態テーブル12
aは、信頼できない送信元IPアドレス(例、外部ネッ
トワーク1上のIPアドレス)の場合にIDS機能部1
3をオン状態(実行状態)とし、信頼できる送信元IP
アドレス(例、内部ネットワーク2上のIPアドレス)
の場合にIDS機能部13をオフ状態(停止状態)とす
るように設定されている。Specifically, the on / off state table 12
a is an IDS function unit 1 in the case of an unreliable source IP address (eg, an IP address on the external network 1)
3 is turned on (execution state) and reliable source IP
Address (eg, IP address on internal network 2)
In this case, the IDS function unit 13 is set to the off state (stop state).
【0059】なお、「信頼できない」とは「攻撃元とな
る可能性が有る、又はその可能性が「信頼できる」より
も高い」旨を意味し、「信頼できる」とは「攻撃元とな
る可能性が無い又はその可能性が「信頼できない」より
も低い」旨を意味している。Note that "unreliable" means "there is a possibility of being an attack source, or the possibility thereof is higher than that of" reliable "", and "reliable" is "an attack source." There is no possibility or the possibility is lower than “unreliable” ”.
【0060】一方、テーブル設定部13cは、IDS機
能部13に設けられ、ファイアウォール機能部12から
設定ルールが通知されると、この設定ルールに基づい
て、オン/オフ状態テーブル12aを作成し、得られた
オン/オフ状態テーブル12aをファイアウォール機能
部12に設定する機能をもっている。On the other hand, the table setting unit 13c is provided in the IDS function unit 13, and when the firewall function unit 12 notifies the setting rule, the on / off state table 12a is created based on the setting rule and is obtained. The firewall function section 12 has a function of setting the on / off state table 12a thus set.
【0061】ここで、ファイアウォール機能部12の設
定ルールからIDS機能部13のオン/オフ状態に関す
るオン/オフ状態テーブル12aを作成するには、例え
ば、設定ルール中の拒絶対象の送信元IPアドレスを含
むネットワーク上の送信元IPアドレスに関しては、I
DS機能部13をオン状態とする、というように設定す
る。換言すると、ファイアウォール機能部12の拒絶対
象に関連するIPパケットには侵入検知・防御処理をオ
ン状態とするように設定する。但し、これに限らず、設
定ルールに基づいて、有効なオン/オフ状態テーブル1
2aを作成できる方式であれば任意の方式が使用可能で
ある。Here, to create the on / off state table 12a relating to the on / off state of the IDS function unit 13 from the setting rule of the firewall function unit 12, for example, the sender IP address of the rejection target in the setting rule is set. For the source IP address on the containing network, I
It is set such that the DS function unit 13 is turned on. In other words, the intrusion detection / prevention process is set to the ON state for the IP packet related to the rejection target of the firewall function unit 12. However, not limited to this, the valid on / off state table 1 is based on the setting rule.
Any method can be used as long as it can create 2a.
【0062】次に、以上のように構成された侵入検知・
防御装置の動作を図8のフローチャートを用いて説明す
る。始めに、ファイアウォール機能部12は、図8に示
すように、設定ルールをIDS機能部13に通知する
(ST21)。Next, the intrusion detection /
The operation of the defense device will be described with reference to the flowchart of FIG. First, the firewall function unit 12 notifies the IDS function unit 13 of the setting rule as shown in FIG. 8 (ST21).
【0063】IDS機能部13は、HTTP(Hypertext
Transfer Protocol)に関する設定ルールに基づいて、
送信元IPアドレスに対するオン/オフ状態テーブル1
2aを作成し(ST22)、このオン/オフ状態テーブ
ル12aをファイアウォール機能部12に設定する。The IDS function unit 13 uses HTTP (Hypertext).
Transfer Protocol) based on the setting rules for
ON / OFF state table 1 for source IP address
2a is created (ST22), and this on / off state table 12a is set in the firewall function unit 12.
【0064】これにより、ファイアウォール機能部12
は、IDS機能部13のオン/オフ状態を切換可能とな
る。As a result, the firewall function unit 12
Can switch the on / off state of the IDS function unit 13.
【0065】次に、侵入検知・防御装置10は、前述同
様に、ステップST1〜ST3を処理する。ここで、ス
テップST2中、ファイアウォール機能部12は自己の
設定ルールに基づいて、IPパケットを受入れ可能であ
るとする。Next, the intrusion detection / defense apparatus 10 processes steps ST1 to ST3 as described above. Here, during step ST2, it is assumed that the firewall function unit 12 can accept the IP packet based on its own setting rule.
【0066】このとき、ファイアウォール機能部12
は、IPパケットから取出した送信元IPアドレスを検
索キーにして、オン/オフ状態テーブル12aを参照す
る(ST23)。この参照の結果、IDS機能部13を
オン状態とする旨をオン/オフ状態テーブル12aが示
すとき、ファイアウォール機能部12は、IDS機能部
13をオン状態に切換制御する。これにより、IDS機
能部13は、オン状態となって前述同様にステップST
4〜ST6を実行する。At this time, the firewall function unit 12
Uses the source IP address extracted from the IP packet as a search key to refer to the on / off state table 12a (ST23). As a result of this reference, when the on / off state table 12a indicates that the IDS function unit 13 is turned on, the firewall function unit 12 switches the IDS function unit 13 to the on state. As a result, the IDS function unit 13 is turned on and the step ST is performed as described above.
4 to ST6 are executed.
【0067】一方、ステップST23の参照の結果、I
DS機能部13をオフ状態とする旨をオン/オフ状態テ
ーブル12aが示すとき、ファイアウォール機能部12
は、IDS機能部13をオフ状態に切換制御し、IPパ
ケットを内側I/F14に送信する(ST6a)。On the other hand, as a result of the reference in step ST23, I
When the on / off state table 12a indicates that the DS function unit 13 is turned off, the firewall function unit 12
Switches the IDS function unit 13 to the off state and transmits the IP packet to the inner I / F 14 (ST6a).
【0068】これにより、例えば、外部ネットワーク1
の端末装置から公開Webサーバ5へのIPパケットは
IDS機能部13をオン状態にして検査するが、内部ネ
ットワーク2上の端末装置からの公開Webサーバ5へ
のIPパケットはIDS機能部13をオフ状態にして通
過させる、といった切換動作を実現できる。Thus, for example, the external network 1
IP packets from the terminal device to the public Web server 5 are inspected by turning on the IDS function unit 13, but IP packets from the terminal device on the internal network 2 to the public Web server 5 turn off the IDS function unit 13. It is possible to realize a switching operation in which the state is changed to pass.
【0069】上述したように本実施形態によれば、ファ
イアウォール機能部12からIDS機能部13をオン/
オフ制御するので、第1又は第2の実施形態の効果に加
え、IDS機能部13の無駄な実行をなくし、IDS機
能部13の負荷を軽減させることができる。この結果、
装置のスループットを向上させることができる。As described above, according to this embodiment, the firewall function unit 12 turns on / off the IDS function unit 13.
Since the off control is performed, in addition to the effects of the first or second embodiment, wasteful execution of the IDS function unit 13 can be eliminated and the load on the IDS function unit 13 can be reduced. As a result,
The throughput of the device can be improved.
【0070】(第4の実施形態)図9は本発明の第4の
実施形態に係る侵入検知・防御装置の構成を示す模式図
である。(Fourth Embodiment) FIG. 9 is a schematic diagram showing the structure of an intrusion detection / defense apparatus according to a fourth embodiment of the present invention.
【0071】すなわち、本実施形態は、第2及び第3の
実施形態を互いに組合せた例であり、具体的には図9に
示すように、オン/オフ状態テーブル12a、動的ルー
ル設定部13b及びテーブル設定部13cを同時に備
え、図10に示すように、前述した図5と図8とを合わ
せたフローチャートに沿って動作する。That is, the present embodiment is an example in which the second and third embodiments are combined with each other. Specifically, as shown in FIG. 9, the on / off state table 12a and the dynamic rule setting unit 13b are used. Also, a table setting unit 13c is provided at the same time, and as shown in FIG. 10, it operates according to the above-described flowchart combining FIG. 5 and FIG.
【0072】従って、第2及び第3の実施形態の構成を
同時に実現でき、且つ両実施形態の効果を同時に得るこ
とができる。Therefore, the configurations of the second and third embodiments can be realized at the same time, and the effects of both embodiments can be obtained at the same time.
【0073】なお、上記各実施形態に記載した手法は、
コンピュータに実行させることのできるプログラムとし
て、磁気ディスク(フロッピー(登録商標)ディスク、
ハードディスクなど)、光ディスク(CD−ROM、D
VDなど)、光磁気ディスク(MO)、半導体メモリな
どの記憶媒体に格納して頒布することもできる。The method described in each of the above embodiments is
As a program that can be executed by a computer, a magnetic disk (floppy (registered trademark) disk,
Hard disk, etc., Optical disk (CD-ROM, D
It can be stored in a storage medium such as a VD), a magneto-optical disk (MO), a semiconductor memory or the like and distributed.
【0074】また、この記憶媒体としては、プログラム
を記憶でき、かつコンピュータが読み取り可能な記憶媒
体であれば、その記憶形式は何れの形態であっても良
い。The storage medium may have any storage format as long as it can store the program and can be read by a computer.
【0075】また、記憶媒体からコンピュータにインス
トールされたプログラムの指示に基づきコンピュータ上
で稼働しているOS(オペレーティングシステム)や、
データベース管理ソフト、ネットワークソフト等のMW
(ミドルウェア)等が本実施形態を実現するための各処
理の一部を実行しても良い。Further, an OS (operating system) running on the computer based on the instructions of the program installed in the computer from the storage medium,
MW such as database management software and network software
(Middleware) or the like may execute a part of each processing for realizing the present embodiment.
【0076】さらに、本発明における記憶媒体は、コン
ピュータと独立した媒体に限らず、LANやインターネ
ット等により伝送されたプログラムをダウンロードして
記憶または一時記憶した記憶媒体も含まれる。Further, the storage medium in the present invention is not limited to a medium independent of a computer, but includes a storage medium in which a program transmitted via a LAN, the Internet or the like is downloaded and stored or temporarily stored.
【0077】また、記憶媒体は1つに限らず、複数の媒
体から本実施形態における処理が実行される場合も本発
明における記憶媒体に含まれ、媒体構成は何れの構成で
あっても良い。Further, the number of storage media is not limited to one, and the case in which the processing in this embodiment is executed from a plurality of media is also included in the storage media in the present invention, and the medium configuration may be any configuration.
【0078】尚、本発明におけるコンピュータは、記憶
媒体に記憶されたプログラムに基づき、本実施形態にお
ける各処理を実行するものであって、パソコン等の1つ
からなる装置、複数の装置がネットワーク接続されたシ
ステム等の何れの構成であっても良い。The computer according to the present invention executes each process in the present embodiment based on the program stored in the storage medium, and is a device such as a personal computer or a plurality of devices connected to the network. It may have any configuration such as an established system.
【0079】また、本発明におけるコンピュータとは、
パソコンに限らず、情報処理機器に含まれる演算処理装
置、マイコン等も含み、プログラムによって本発明の機
能を実現することが可能な機器、装置を総称している。The computer in the present invention means
Not only a personal computer but also an arithmetic processing unit, a microcomputer, and the like included in an information processing device, which collectively refer to a device and a device that can realize the functions of the present invention by a program.
【0080】なお、本願発明は、上記各実施形態に限定
されるものでなく、実施段階ではその要旨を逸脱しない
範囲で種々に変形することが可能である。また、各実施
形態は可能な限り適宜組み合わせて実施してもよく、そ
の場合、組み合わされた効果が得られる。さらに、上記
各実施形態には種々の段階の発明が含まれており、開示
される複数の構成用件における適宜な組み合わせにより
種々の発明が抽出され得る。例えば実施形態に示される
全構成要件から幾つかの構成要件が省略されることで発
明が抽出された場合には、その抽出された発明を実施す
る場合には省略部分が周知慣用技術で適宜補われるもの
である。The invention of the present application is not limited to the above-described embodiments, and can be variously modified at the stage of implementation without departing from the spirit of the invention. In addition, the respective embodiments may be implemented by being combined appropriately as far as possible, in which case the combined effects can be obtained. Further, the above-described embodiments include inventions at various stages, and various inventions can be extracted by appropriately combining a plurality of disclosed constituent requirements. For example, when the invention is extracted by omitting some of the constituent elements shown in the embodiment, when omitting the extracted invention, the omitted portions are appropriately supplemented by well-known and common techniques. It is something that will be done.
【0081】その他、本発明はその要旨を逸脱しない範
囲で種々変形して実施できる。Besides, the present invention can be variously modified and implemented without departing from the gist thereof.
【0082】[0082]
【発明の効果】以上説明したように本発明によれば、攻
撃パケットによる攻撃を防御できる。また、自己に対す
るサービス不能攻撃を防御できる。As described above, according to the present invention, it is possible to prevent an attack by an attack packet. Also, it can prevent denial of service attacks against itself.
【図1】本発明の第1の実施形態に係る侵入検知・防御
装置が接続されたネットワークシステムの構成を示す模
式図FIG. 1 is a schematic diagram showing a configuration of a network system to which an intrusion detection / defense device according to a first embodiment of the present invention is connected.
【図2】同実施形態における侵入検知・防御装置の構成
を示す模式図FIG. 2 is a schematic diagram showing a configuration of an intrusion detection / defense device according to the same embodiment.
【図3】同実施形態における動作を説明するためのフロ
ーチャートFIG. 3 is a flowchart for explaining an operation in the same embodiment.
【図4】本発明の第4の実施形態に係る侵入検知・防御
装置の構成を示す模式図FIG. 4 is a schematic diagram showing a configuration of an intrusion detection / defense device according to a fourth embodiment of the present invention.
【図5】同実施形態における動作を説明するためのフロ
ーチャートFIG. 5 is a flowchart for explaining an operation in the same embodiment.
【図6】本発明の第3の実施形態に係る侵入検知・防御
装置の構成を示す模式図FIG. 6 is a schematic diagram showing the configuration of an intrusion detection / defense device according to a third embodiment of the present invention.
【図7】同実施形態におけるオン/オフ状態テーブルの
構成を示す模式図FIG. 7 is a schematic diagram showing a configuration of an on / off state table in the same embodiment.
【図8】同実施形態における動作を説明するためのフロ
ーチャートFIG. 8 is a flowchart for explaining the operation in the same embodiment.
【図9】本発明の第4の実施形態に係る侵入検知・防御
装置の構成を示す模式図FIG. 9 is a schematic diagram showing the configuration of an intrusion detection / defense device according to a fourth embodiment of the present invention.
【図10】同実施形態における動作を説明するためのフ
ローチャートFIG. 10 is a flowchart for explaining the operation in the same embodiment.
1…外部ネットワーク 2…内部ネットワーク 3…ファイアウォール 4…LAN 5…公開Webサーバ 10…侵入検知・防御装置 11…外側I/F 12…ファイアウォール機能部 12a…オン/オフ状態テーブル 13…IDS機能部 13a…攻撃パターンDB 13b…動的ルール設定部 13c…テーブル設定部 14…内側I/F 1 ... External network 2 ... Internal network 3 ... Firewall 4 ... LAN 5 ... Public Web server 10 ... Intrusion detection / prevention device 11 ... Outside I / F 12 ... Firewall function 12a ... on / off state table 13 ... IDS functional unit 13a ... Attack pattern DB 13b ... Dynamic rule setting section 13c ... table setting section 14 ... Inside I / F
Claims (6)
て前記攻撃を防御するための侵入検知・防御装置であっ
て、 受信したIPパケットのヘッダ情報に基づいて、予め設
定されたIPパケットのヘッダ情報と攻撃との関係を示
す設定ルールを参照し、攻撃となるIPパケットを遮断
する一方、前記攻撃とはならないIPパケットを通過さ
せるファイアウォール機能手段と、 前記ファイアウォール機能手段を通過したIPパケット
のペイロード情報に基づいて、攻撃となるIPパケット
を遮断する一方、当該攻撃とはならないIPパケットを
通過させるフィルタ型のIDS機能手段と、を備えたこ
とを特徴とする侵入検知・防御装置。1. An intrusion detection / prevention device for detecting an intrusion of an IP packet that constitutes an attack and protecting the attack, wherein an IP packet which is set in advance based on header information of the received IP packet Referring to a setting rule indicating the relationship between header information and an attack, a firewall function unit that blocks an IP packet that becomes an attack while passing an IP packet that does not become an attack, and an IP packet that has passed through the firewall function unit An intrusion detection / defense apparatus comprising: a filter-type IDS function unit that blocks an IP packet that is an attack based on payload information while passing an IP packet that is not an attack.
おいて、 前記IDS機能手段に設けられ、単位時間当りにおける
IDS機能手段宛のIPパケットの個数がしきい値を越
えたか否かを判定し、この判定結果が前記しきい値を越
えたとき、前記IDS機能手段宛のIPパケットを遮断
させるための他の設定ルールを前記ファイアウォール機
能手段に一時的に設定する大量パケット拒否機能手段を
備えたことを特徴とする侵入検知・防御装置。2. The intrusion detection / defense apparatus according to claim 1, wherein it is determined whether or not the number of IP packets addressed to the IDS function unit per unit time provided in the IDS function unit exceeds a threshold value. However, when the determination result exceeds the threshold value, a mass packet denial function means for temporarily setting another setting rule for blocking the IP packet addressed to the IDS function means in the firewall function means is provided. Intrusion detection / prevention device characterized by
・防御装置において、 前記ファイアウォール機能手段に設けられ、予め設定さ
れたIPパケットのヘッダ情報と前記IDS機能手段の
オン/オフ状態との関係に基づいて、前記IDS機能手
段のオン/オフ状態を切換えるIDS切換機能手段を備
えたことを特徴とする侵入検知・防御装置。3. The intrusion detection / defense apparatus according to claim 1, wherein the firewall function unit is provided with header information of an IP packet set in advance and an ON / OFF state of the IDS function unit. An intrusion detection / prevention device comprising IDS switching function means for switching the ON / OFF state of the IDS function means on the basis of the above relationship.
て前記攻撃を防御するための侵入検知・防御装置に用い
られるプログラムであって、 前記侵入検知・防御装置のコンピュータに、 受信したIPパケットのヘッダ情報に基づいて、予め設
定されたIPパケットのヘッダ情報と攻撃との関係を示
す設定ルールを参照し、攻撃となるIPパケットを遮断
する一方、前記攻撃とはならないIPパケットを通過さ
せるファイアウォール機能、 前記ファイアウォール機能を通過したIPパケットのペ
イロード情報に基づいて、攻撃となるIPパケットを遮
断する一方、当該攻撃とはならないIPパケットを通過
させるフィルタ型のIDS機能、 を実現させるためのプログラム。4. A program used in an intrusion detection / prevention device for detecting an intrusion of an IP packet that is an attack and protecting the attack, wherein the computer of the intrusion detection / prevention device receives the received IP packet. Based on the header information of the above, referring to a preset setting rule indicating the relationship between the header information of the IP packet and the attack, the IP packet that becomes the attack is blocked while the IP packet that does not become the attack is passed. A program for realizing a function, a filter-type IDS function that blocks an IP packet that is an attack based on payload information of an IP packet that has passed through the firewall function, while allowing an IP packet that is not an attack to pass through.
S機能宛のIPパケットの個数がしきい値を越えたか否
かを判定し、この判定結果が前記しきい値を越えたと
き、前記IDS機能宛のIPパケットを遮断させるため
の他の設定ルールを前記ファイアウォール機能に一時的
に設定する大量パケット拒否機能、 を実現させるためのプログラム。5. The program according to claim 4, wherein an ID per unit time is added to the computer of the intrusion detection / prevention device to the IDS function.
It is determined whether or not the number of IP packets addressed to the S function exceeds a threshold value, and when this determination result exceeds the threshold value, another setting rule for blocking the IP packet addressed to the IDS function. A program for realizing a large packet rejection function that temporarily sets the above-mentioned firewall function.
ムにおいて、 前記侵入検知・防御装置のコンピュータに、 前記ファイアウォール機能に付加され、予め設定された
IPパケットのヘッダ情報と前記IDS機能のオン/オ
フ状態との関係に基づいて、前記IDS機能のオン/オ
フ状態を切換えるIDS切換機能、 を実現させるためのプログラム。6. The program according to claim 4 or 5, wherein the computer of the intrusion detection / prevention device has a preset IP packet header information added to the firewall function and the IDS function turned on. A program for realizing an IDS switching function for switching the ON / OFF state of the IDS function based on the relationship with the ON / OFF state.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001292430A JP2003099339A (en) | 2001-09-25 | 2001-09-25 | Infiltration-detecting and infiltration-preventing device and program therefor |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001292430A JP2003099339A (en) | 2001-09-25 | 2001-09-25 | Infiltration-detecting and infiltration-preventing device and program therefor |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003099339A true JP2003099339A (en) | 2003-04-04 |
Family
ID=19114392
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001292430A Pending JP2003099339A (en) | 2001-09-25 | 2001-09-25 | Infiltration-detecting and infiltration-preventing device and program therefor |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003099339A (en) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004328726A (en) * | 2003-04-11 | 2004-11-18 | Alcatel | Network manager snmp trap suppression |
| WO2005117374A1 (en) * | 2004-05-31 | 2005-12-08 | Japan Science And Technology Agency | Relay device, packet filtering method, and packet filtering program |
| JP2006345014A (en) * | 2005-06-07 | 2006-12-21 | Nippon Telegr & Teleph Corp <Ntt> | System and method for protecting offensive traffic |
| JP2007124258A (en) * | 2005-10-27 | 2007-05-17 | Fujitsu Ltd | Network relay program, network relay method, network repeater and communication control program |
| JP2007537626A (en) * | 2004-04-19 | 2007-12-20 | ザ・リージェンツ・オブ・ザ・ユニバーシティ・オブ・カリフォルニア | Programmable hardware for deep packet filtering |
| JPWO2007040093A1 (en) * | 2005-09-30 | 2009-04-16 | 株式会社エヌ・ティ・ティ・ドコモ | Information communication apparatus and message display method |
| US7552478B2 (en) | 2003-08-28 | 2009-06-23 | Nec Corporation | Network unauthorized access preventing system and network unauthorized access preventing apparatus |
| JP2010539965A (en) * | 2007-10-03 | 2010-12-24 | プロカルタ バイオシステムズ リミテッド | Transcription factor decoy, compositions and methods |
| US7881700B2 (en) | 2005-09-30 | 2011-02-01 | Ntt Docomo, Inc. | Information communication apparatus and message displaying method |
| JP2012114917A (en) * | 2010-11-25 | 2012-06-14 | Nhn Business Platform Corp | Dos attack interruption method and system utilizing content filtering system and packet level interruption system, and computer readable storage medium |
| JP2016181874A (en) * | 2015-03-25 | 2016-10-13 | 日本電気株式会社 | Communication control device and communication control method |
| JP2018515984A (en) * | 2015-05-15 | 2018-06-14 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Methods and devices for defending against network attacks |
-
2001
- 2001-09-25 JP JP2001292430A patent/JP2003099339A/en active Pending
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4602683B2 (en) * | 2003-04-11 | 2010-12-22 | アルカテル−ルーセント | Network manager SNMP trap suppression |
| JP2004328726A (en) * | 2003-04-11 | 2004-11-18 | Alcatel | Network manager snmp trap suppression |
| US7552478B2 (en) | 2003-08-28 | 2009-06-23 | Nec Corporation | Network unauthorized access preventing system and network unauthorized access preventing apparatus |
| JP2007537626A (en) * | 2004-04-19 | 2007-12-20 | ザ・リージェンツ・オブ・ザ・ユニバーシティ・オブ・カリフォルニア | Programmable hardware for deep packet filtering |
| JP4755175B2 (en) * | 2004-04-19 | 2011-08-24 | ザ・リージェンツ・オブ・ザ・ユニバーシティ・オブ・カリフォルニア | Programmable hardware for deep packet filtering |
| US7633957B2 (en) | 2004-05-31 | 2009-12-15 | Japan Science And Technology Agency | Relay device, packet filtering method, and packet filtering program |
| KR100752955B1 (en) * | 2004-05-31 | 2007-08-30 | 독립행정법인 과학기술진흥기구 | Relay device packet filtering method, and packet filtering program |
| WO2005117374A1 (en) * | 2004-05-31 | 2005-12-08 | Japan Science And Technology Agency | Relay device, packet filtering method, and packet filtering program |
| JP2006345014A (en) * | 2005-06-07 | 2006-12-21 | Nippon Telegr & Teleph Corp <Ntt> | System and method for protecting offensive traffic |
| JPWO2007040093A1 (en) * | 2005-09-30 | 2009-04-16 | 株式会社エヌ・ティ・ティ・ドコモ | Information communication apparatus and message display method |
| JP4519909B2 (en) * | 2005-09-30 | 2010-08-04 | 株式会社エヌ・ティ・ティ・ドコモ | Information communication apparatus and message display method |
| US7881700B2 (en) | 2005-09-30 | 2011-02-01 | Ntt Docomo, Inc. | Information communication apparatus and message displaying method |
| JP2007124258A (en) * | 2005-10-27 | 2007-05-17 | Fujitsu Ltd | Network relay program, network relay method, network repeater and communication control program |
| JP2010539965A (en) * | 2007-10-03 | 2010-12-24 | プロカルタ バイオシステムズ リミテッド | Transcription factor decoy, compositions and methods |
| JP2012114917A (en) * | 2010-11-25 | 2012-06-14 | Nhn Business Platform Corp | Dos attack interruption method and system utilizing content filtering system and packet level interruption system, and computer readable storage medium |
| JP2016181874A (en) * | 2015-03-25 | 2016-10-13 | 日本電気株式会社 | Communication control device and communication control method |
| JP2018515984A (en) * | 2015-05-15 | 2018-06-14 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Methods and devices for defending against network attacks |
| US10931710B2 (en) | 2015-05-15 | 2021-02-23 | Alibaba Group Holding Limited | Method and device for defending against network attacks |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9001661B2 (en) | Packet classification in a network security device | |
| US7797436B2 (en) | Network intrusion prevention by disabling a network interface | |
| KR101217647B1 (en) | Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs | |
| US7039950B2 (en) | System and method for network quality of service protection on security breach detection | |
| JP2010268483A (en) | Active network defense system and method | |
| JP4768020B2 (en) | Method of defending against DoS attack by target victim self-identification and control in IP network | |
| JP4774307B2 (en) | Unauthorized access monitoring device and packet relay device | |
| JP2006135963A (en) | Malignant code detecting apparatus and method | |
| JP2004302538A (en) | Network security system and network security management method | |
| JP2003099339A (en) | Infiltration-detecting and infiltration-preventing device and program therefor | |
| JP3699941B2 (en) | Distributed denial of service attack prevention method, gate device, communication device, distributed denial of service attack prevention program, and recording medium | |
| CN106059939B (en) | Message forwarding method and device | |
| KR100427179B1 (en) | Attacker isolation method and system using packet filtering at the border router of ISP | |
| JP2004140618A (en) | Packet filter device and illegal access detection device | |
| US7873731B1 (en) | Use of per-flow monotonically decreasing TTLs to prevent IDS circumvention | |
| JP3947138B2 (en) | DDoS protection method and router device with DDoS protection function | |
| JP2004248198A (en) | Dos attack prevention method and apparatus | |
| JP4585156B2 (en) | Defense device and program | |
| Bazaz | Study of Computer Networks and Network Intrusion | |
| JP2004363915A (en) | DoS ATTACH COUNTERMEASURE SYSTEM, METHOD, AND PROGRAM |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040908 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070209 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070220 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070423 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070522 |