JP2003179647A - パケット転送装置およびパケット転送方法 - Google Patents

パケット転送装置およびパケット転送方法

Info

Publication number
JP2003179647A
JP2003179647A JP2001380162A JP2001380162A JP2003179647A JP 2003179647 A JP2003179647 A JP 2003179647A JP 2001380162 A JP2001380162 A JP 2001380162A JP 2001380162 A JP2001380162 A JP 2001380162A JP 2003179647 A JP2003179647 A JP 2003179647A
Authority
JP
Japan
Prior art keywords
packet
identification information
received
data
connection identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001380162A
Other languages
English (en)
Other versions
JP3581345B2 (ja
Inventor
Masamichi Tateoka
正道 楯岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2001380162A priority Critical patent/JP3581345B2/ja
Publication of JP2003179647A publication Critical patent/JP2003179647A/ja
Application granted granted Critical
Publication of JP3581345B2 publication Critical patent/JP3581345B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】不正アクセスに関わるパケットの転送を効率よ
く禁止することが可能なパケット転送装置の実現を図
る。 【解決手段】パケット転送装置11においては、パケッ
トデータ解析部111によって不正アクセスに関わるパ
ケットであると判定された受信パケットについては、そ
のパケットデータ解析の解析結果として、当該受信パケ
ットのコネクション識別情報が不正コネクションテーブ
ル112に登録される。そして、以降は、そのコネクシ
ョン識別情報と同一のコネクション識別情報を持つ受信
パケットについては、パケットデータ解析部111によ
る解析は行われずに、廃棄される。よって、不正アクセ
スに係る再送パケットが多数送られてきても、パケット
転送の性能低下を招くことなく、不正アクセスに関わる
パケットの転送を禁止することが可能となる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は複数のネットワーク
セグメント間のパケットの転送を制御するためのパケッ
ト転送装置およびパケット転送方法に関する。
【0002】
【従来の技術】近年、複数のネットワークセグメント間
のパケットの転送を制御するためのパケット転送装置と
して、フィルタ型IDS装置(IDS:intrusion dete
ctionsystem 侵入検知システム)が注目されている。
【0003】このフィルタ型IDS装置は、受信パケッ
トについて当該パケットが運ぶデータを解析して、不正
アクセスに関わるパケットであるか否かの判定を行なう
ものである。パケットデータ解析処理では、不正アクセ
スに関わる既知のパターンを登録したデータベースが参
照され、受信パケットがそれに該当するかどうかなどが
判定される。この解析処理により不正アクセスに関わる
パケットであると判定された受信パケットは転送されず
に、破棄される。これにより、不正パケットの侵入を未
然に防止でき、一定のセキュリティを確保することが出
来る。
【0004】従来のフィルタ型IDS装置では、受信し
た全てのパケットについて、上述の解析処理を行い、不
正アクセスに関わるパケットであるか否かの判定を行っ
ている。
【0005】
【発明が解決しようとする課題】ところで、一般に、パ
ケット交換網を介して通信を行なう通信システムでは、
受信側でパケットを受信した際に応答確認を送出し、送
信側では、受信側からの応答確認によってパケットが受
信側へ到達したことが確認できない場合に、再度、パケ
ットを送出する(再送する)等の方法により、通信の信
頼性を確保している。このような通信システムに、上述
のフィルタ型IDS装置を用いた場合、フィルタ型ID
S装置が、受信したパケットを不正アクセスに関わるパ
ケットであると判定し、それを破棄した場合、当該パケ
ットが受信側へ到達しないため、再送により、再度同じ
パケットが送られてくる事となる。
【0006】従来のフィルタ型IDS装置では、再送に
より送られてきたパケットについても、最初に送られて
きたパケットと同様にデータの内容の解析を行ってい
た。しかし、再送パケットが運ぶデータと同じデータ
は、すでに解析済みであり、再びデータの内容の解析を
行なうのは、フィルタ型IDS装置として用いられるシ
ステムのCPU資源を消費する事となる。よって、不正
アクセスが頻発した場合には、再送パケットが多数送ら
れて来ることとなり、パケット転送の性能低下を招いて
しまうという問題があった。
【0007】本発明は上述の事情を考慮してなされたも
のであり、不正アクセスに関わるパケットの転送を効率
よく禁止することが可能なパケット転送装置、およびパ
ケット転送方法を提供することを目的とする。
【0008】
【課題を解決するための手段】上述の課題を解決するた
め、本発明のパケット転送装置は、複数のネットワーク
セグメント間のパケットの転送を制御するパケット転送
装置において、ネットワークセグメント上のパケットを
受信するパケット受信手段と、前記パケット受信手段で
受信した受信パケットを一時保留するパケット保留手段
と、不正アクセスに関わるパケットであると判定された
パケットのコネクション識別情報が登録されるコネクシ
ョン識別情報記憶手段と、前記パケット受信手段により
受信した受信パケットのコネクション識別情報が前記コ
ネクション識別情報記憶手段に登録されているか否かを
判別して、不正アクセスに関わるパケットであるか否か
を判定する第1の判定手段と、前記受信パケットのコネ
クション識別情報が前記コネクション識別情報記憶手段
に登録されていないと判別した場合、前記受信パケット
のデータを解析して、当該受信パケットが正常なパケッ
トか不正アクセスに関わるパケットであるかを判定する
第2の判定手段と、および前記受信パケットのデータ解
析によって不正アクセスに関わるパケットであると判定
した場合、当該受信パケットのコネクション識別情報を
前記コネクション識別情報記憶手段に登録する手段とを
有するパケット解析手段と、前記パケット解析手段の前
記判定結果に基づき、前記パケット保留手段に一時保留
されている前記受信パケットのうち、前記不正アクセス
に関わるパケットは破棄し、正常な受信パケットのみを
送信先のネットワークセグメントへ送出するパケット送
出手段とを具備することを特徴とする。
【0009】また、本発明のパケット転送装置は、複数
のネットワークセグメント間のパケットの転送を制御す
るパケット転送装置において、ネットワークセグメント
上のパケットを受信するパケット受信手段と、前記パケ
ット受信手段により受信したパケットを一時保留するパ
ケット保留手段と、不正アクセスに関わるパケットであ
ると判定されたパケットのコネクション識別情報が登録
されるコネクション識別情報記憶手段と、前記パケット
受信手段により受信した受信パケットのコネクション識
別情報が前記コネクション識別情報記憶手段に登録され
ているか否かを判別して、不正アクセスに関わるパケッ
トであるか否かを判定する第1の判定手段とを有する解
析結果保持手段と、前記解析結果保持手段からの不正ア
クセスに関わるパケットであるか否かの判定結果を受信
し、前記受信パケットのコネクション識別情報が前記コ
ネクション識別情報記憶手段に登録されていないと判別
した場合に、不正アクセスデータベースを用いて前記受
信パケットのデータを解析し、当該受信パケットが正常
なパケットか不正アクセスに関わるパケットであるかを
判定する第2の判定手段と、前記受信パケットのデータ
解析によって不正アクセスに関わるパケットであると判
定した場合、当該受信パケットのコネクション識別情報
を前記コネクション識別情報記憶手段に登録する手段と
有するパケットデータ解析手段と、前記パケットデータ
解析手段によって解析された解析済みのパケットを過去
パケットとして保持する過去パケット保持手段と、前記
過去パケット保持手段を参照して得られる、前記受信パ
ケットと同一のコネクション識別情報を持つ過去パケッ
トから、複数のパケットに分割されて運ばれてくる一連
のデータを再構築し、その再構築したデータを解析用デ
ータとして前記第2の判定手段に提供するコネクション
データ再構築手段と、前記パケットデータ解析手段の前
記判定結果に基づき、前記パケット保留手段に一時保留
されている前記受信パケットのうち、前記不正アクセス
に関わるパケットは破棄し、正常な受信パケットのみを
送信先のネットワークセグメントへ送出するパケット送
出手段とを具備することを特徴とする。
【0010】このパケット転送装置においては、パケッ
ト解析手段によって不正アクセスに関わるパケットであ
ると判定された受信パケットについては、そのパケット
データ解析の解析結果として、当該受信パケットのコネ
クション識別情報がコネクション識別情報記憶手段に登
録される。そして、以降は、そのコネクション識別情報
と同一のコネクション識別情報を持つ受信パケットにつ
いては、データ解析による不正アクセスに関わるパケッ
トであるか否かの判定は行われずに、廃棄される。よっ
て、不正アクセスに係る再送パケットが多数送られてき
ても、パケット転送の性能低下を招くことなく、不正ア
クセスに関わるパケットの転送を禁止することが可能と
なる。
【0011】ここで、コネクション識別情報とは、単な
るアドレス情報ではなく、セッション毎にそのセッショ
ン内における一連のデータを運ぶ複数のパケットそれぞ
れに対して共通に割り当てられる識別情報を意味する。
もし送信元アドレスや送信先アドレスといったパケット
内のアドレス情報のみを登録するという構成を用いた場
合には、端末やサーバといった物理的なネットワークノ
ード単位でのパケットフィルタリングとなるので、例え
ば、一旦不正パケットを送信したと判定された端末や、
NAT(Network Address Translation)配下の全ての
端末からのパケット転送はその後も一切禁止されてしま
うことになる。これに対し、コネクション識別情報を用
いた場合には、あるサービスを要求したユーザとそのサ
ービスを提供するサーバとの間のセッションを単位とし
たパケットフィルタリングを実現できる。
【0012】例えばTCPでは、パケットに含まれる送
信元のアドレス及びポート番号と送信先のアドレスおよ
びポート番号との組み合わせが上記コネクション識別情
報となる。
【0013】また、データ解析された解析済みのパケッ
トを過去パケットとして保持する過去パケット保持手段
と、前記受信パケットと前記過去パケット保持手段から
得られる当該受信パケットと同一のコネクション識別情
報を持つ過去パケットとを用いることにより、複数のパ
ケットに分割されて運ばれてくる一連のデータを再構築
するコネクションデータ再構築手段とをさらに設けるこ
とが好ましい。
【0014】これにより、受信したパケット個々のデー
タのみならず、解析済み過去パケットを含めた、同一の
コネクション識別情報を持つ一連のデータを運ぶ複数の
パケットのデータ内容に基づいて当該受信パケットが不
正アクセスに関するパケットであるかどうかを判定でき
るので、パケットデータ解析の精度をより高めることが
可能となり、セキュリティ性能を高めることができる。
【0015】この場合、もしパケット解析手段が、解析
済みパケットを内部に保持していると、判定すべき不正
アクセスの種類の増加に対応するなどの目的でパケット
解析手段を交換した場合、交換以前に処理した解析済み
過去パケットのデータ内容が失われてしまう。もし交換
以前から交換後に跨る複数のパケットに分割されたデー
タによって攻撃が行われた場合には、その攻撃を検知す
ることができず、結果として、不正アクセスを防げなく
なる。よって、上述のように、解析済みの過去パケット
保持手段およびコネクションデータ再構築手段は、パケ
ットデータ解析手段とは別に設けることが好ましい。こ
れにより、パケットデータ解析手段を交換する場合で
も、交換以前に処理した解析済みパケットを保持してお
くことができるので、それを基にデータの再構築が可能
となる。具体的には、前記パケット解析手段を、前記過
去パケット保持手段および前記コネクションデータ再構
築手段とは独立したモジュールとして構成して、パケッ
トデータ解析手段単体で交換可能にすればよい。
【0016】さらに、コネクションデータ再構築手段
は、コネクション識別情報を用いてデータを再構築する
ものであるため、このコネクションデータ再構築手段内
に、パケットデータの解析によって不正アクセスに関わ
るパケットであると判定された受信パケットのコネクシ
ョン識別情報を記憶する手段と、前記データの再構築を
行なう前に、前記受信パケットが前記コネクション識別
情報記憶手段に保持されているコネクション識別情報を
持つか否かを判定し、その判定結果を前記パケットデー
タ解析手段に通知する手段とを設けることで、コネクシ
ョンデータ再構築手段のコネクション管理機能をより有
効に活用することが出来る。
【0017】
【発明の実施の形態】以下、図面を参照して本発明の実
施形態を説明する。図1には、本発明の一実施形態に係
るパケット転送装置が示されている。このパケット転送
装置11は複数のネットワークセグメント間のパケット
の転送を制御するものであり、例えば、ブリッジ、ルー
タ、ゲートウェイ、NAT(Network Address Translat
ion)等のネットワーク接続装置として使用される。パ
ケット転送装置11にはフィルタ型IDSを用いたセキ
ュリティ機能が搭載されており、受信パケットについて
当該パケットが運ぶデータを解析して、不正アクセスに
関わるパケットであるか否かの判定が行われる。以下で
は、例えばネットワークセグメントAからネットワーク
セグメントBへのパケット転送を許可、または禁止する
ためのパケットフィルタリングを行なう場合を例示し
て、パケット転送装置11の構成を説明することにす
る。
【0018】パケット転送装置11には、図示のよう
に、パケット受信部101、パケット識別子付加機構1
02、パケット保留キュー103、パケット解析機構1
04、およびパケット送出部105が設けられている。
【0019】パケット受信部101は、ネットワークセ
グメントA上に送信されるパケットを受信する。パケッ
ト識別子付加機構102は、パケット受信部101によ
って受信された受信パケットに対して識別子を付加し
て、パケット保留キュー103およびパケット解析機構
104に出力する。パケット保留キュー103は識別子
が付加された受信パケットを、パケット解析機構104
が不正アクセスに関わるパケットで無いことを判定する
まで一時保留する。
【0020】パケット解析機構104は、内蔵するパケ
ットデータ解析部111によって、受信パケットで運ば
れるデータを解析して、それが既知の不正アクセスに関
するパターンに該当するかどうかを調べることにより、
当該受信パケットが不正アクセスに関わるパケットであ
るかどうかを判定し、不正アクセスに関わるパケットで
無いことを判定したパケットの識別子をパケット送出部
105に伝える。パケットデータ解析部111では、受
信パケットによって運ばれるデータに含まれるヘッダや
ペイロードの内容を解析するほか、同一のコネクション
識別情報を持つ複数のパケットにより分割されて運ばれ
ていたデータを再構築したりするなど、解析するのに都
合の良い形に整形するプロトコル処理なども必要に応じ
て行われ、その再構築後のデータに不正アクセスに関す
るパターンが含まれるかどうかが判定される。
【0021】また、パケット解析機構104は、不正ア
クセスに関するパケットであると一旦判定した受信パケ
ットと同じコネクション識別情報を持つパケットを再度
受信した場合には、その受信パケットのデータ解析を行
なわずに、それを不正アクセスに関わるパケットである
と判定する機能を持つ。この機能を実現するため、パケ
ット解析機構104には不正コネクションテーブル11
2が設けられている。
【0022】不正コネクションテーブル112には、パ
ケットデータ解析部111によるパケットデータ解析の
結果、不正アクセスに関わるパケットであると判定され
た受信パケットのコネクション識別情報が登録される。
パケット解析機構104は、パケット識別子付加機構1
02からパケットを受信すると、まず、受信パケットの
コネクション識別情報が不正コネクションテーブル11
2に既に登録されているかどうかを調べ、登録されてい
る場合には、その受信パケットをその時点で不正アクセ
スに関わるパケットであると判定する。この場合、パケ
ットデータ解析部111による解析処理は行なわない。
【0023】ここで、不正コネクションテーブル112
にパケットデータ解析結果として登録されるコネクショ
ン識別情報とは、セッション毎にそのセッション内で一
連のデータを運ぶ複数のパケットそれぞれに対して共通
に割り当てられる識別情報を意味する。送信元アドレス
や送信先アドレスといったアドレス情報のみを使用した
場合には、端末やサーバといった物理的なネットワーク
ノード単位でのパケットフィルタリングとなるので、例
えば、一旦不正パケットを送信したと判定された端末か
らのパケット転送はその後も一切禁止されてしまうこと
になる。特にNATを介して転送されたパケットが一旦
不正アクセスに関するパケットであると判定されると、
NATを介してネットワークにつながる全ての端末から
のアクセスが禁止されてしまうという事態を招く。これ
に対し、コネクション識別情報を用いた場合には、ある
サービスを要求したユーザとそのサービスを提供するサ
ーバとの間のセッションを単位としたパケットフィルタ
リングを実現でき、上述のような問題は生じない。
【0024】例えばTCPでは、パケットに含まれる、
送信元のアドレスおよびポート番号と、送信先のアドレ
スおよびポート番号との組み合わせが、コネクション識
別情報となる。ポート番号は例えば送信元アドレスで指
定される端末と送信先アドレスで指定されるサーバとの
間で、サービスを要求する端末内のアプリケーションプ
ログラムとサービスを提供するサーバ内のサーバプログ
ラムとの関係を一対一で結びつけるために使用されるも
のである。端末内のアプリケーションプログラムに割り
当てられるポート番号はネットワーク接続の度に変化さ
れ、アプリケーションプログラムからサーバに接続する
ときに動的に割り当てられる。したがって、例えば、あ
る端末で特定のプログラムを起動することによってサー
バにアクセスし、そのサーバの提供する特定のサービス
を受ける場合を想定すると、そのアクセス期間中は、端
末からサーバに一連のデータを運ぶための複数のパケッ
トにはそれぞれ共通のコネクション識別子が割り当てら
れ、またサーバから端末に一連のデータを運ぶための複
数のパケットにもそれらの間で共通のコネクション識別
子が割り当てられる。よって、このようなコネクション
識別のための識別情報を用いることにより、端末やサー
バといった物理的なネットワークノードを対象にしたア
クセス禁止制御ではなく、あるサービスを要求したユー
ザとそのサービスを提供するサーバとの関係を単位とし
た、セッション単位でのアクセス禁止制御を実現でき
る。
【0025】また、コネクションレス型の転送プロトコ
ルであるUDP等を用いる場合でも、送信元から送信先
へデータを運ぶ各パケットにはセッション毎に共通のコ
ネクション識別情報が上位プロトコルによって付加され
るので、それを用いてアクセス禁止制御を行なうことが
出来る。
【0026】パケット送出部105は、パケット解析機
構104から不正アクセスに関するパケットであると判
定された受信パケットの識別子を受け取った場合には、
パケット保留キュー103から当該受信パケットを破棄
し、またパケット解析機構104から不正アクセスに関
するパケットではないと判定された受信パケットの識別
子を受け取った場合には、パケット保留キュー103か
ら当該受信パケットを取り出して、ネットワークセグメ
ントB上に送出する。
【0027】図2には、パケット解析機構104の具体
的な構成の一例が示されている。
【0028】パケット解析機構104は、不正コネクシ
ョン判定機構113と、不正コネクションテーブル11
2と、パケットデータ解析部111とから構成される。
不正コネクション判定機構113は、パケット解析機構
104に入力されたパケットを受取り、不正コネクショ
ンテーブル112を参照して、当該入力されたパケット
が不正コネクションテーブル112に登録されていた場
合、パケットデータ解析部111による不正パケットの
解析処理を行なわずに、当該入力されたパケットは不正
アクセスに関わるパケットと判定して、パケット解析機
構104に出力する機能を持つ。
【0029】パケットデータ解析部111は、プロトコ
ル処理部201および不正アクセスデータベース202
から構成されている。不正アクセスデータベース202
は既知の不正アクセスに関する情報を記憶したデータベ
ースであり、ここには不正アクセスに関する様々なパタ
ーンが記憶されている。プロトコル処理部201は、不
正アクセスデータベース202を検索しながら、パケッ
ト受信部101が受信したパケットが不正アクセスに関
わるパケットか否かを判定する。
【0030】次に、図3のフローチャートを参照して、
図1、および図2のパケット転送装置11の動作を説明
する。
【0031】まず、パケット転送装置11のパケット受
信部101により、ネットワークセグメントA上に送信
されるパケットが受信される(ステップS101)。こ
の受信パケットには、パケット識別子付加機構102に
よりパケット転送装置11内でユニークな識別子が付加
され、その識別子が付加された受信パケットはパケット
保留キュー103に格納されると共に、パケット解析機
構104に渡される。
【0032】パケット解析機構104では、最初に、受
信パケットのコネクション識別情報が判別される(ステ
ップS102)。即ち、その受信パケットのコネクショ
ン識別情報を基に、不正コネクション判定機構113に
よって不正コネクションテーブル112がサーチされ、
受信パケットが、不正コネクションテーブル112に登
録されたコネクション識別情報を持つパケットであるか
どうかが判別される(ステップS103,S104)。
【0033】受信パケットが不正コネクションテーブル
112に登録されたコネクション識別情報を持っていた
場合、不正コネクション判定機構113は、当該パケッ
トをパケットデータ解析部111に渡すこと無く、当該
パケットが、不正アクセスに関わるものであると判定し
て、パケット送出部105へ不正アクセスパケットであ
る識別子を伝える。これにより、パケット保留キュー1
03に格納されている当該パケットは送出されずに、破
棄される(ステップS109)。
【0034】一方、不正コネクション判定機構113に
て、受信パケットのコネクション識別情報が不正コネク
ションテーブル112に登録されていないと判定した場
合、当該パケットをパケットデータ解析部111に渡
す。パケットデータ解析部111では、当該パケット中
のデータを解析して、それが正常なパケットか不正アク
セスに関わるパケットであるかを判定するためのパケッ
トデータ解析処理が行われる(ステップS105)。こ
のパケットデータ解析処理で当該パケットが不正アクセ
スに関わることが検出されなければ、パケット解析機構
104は、正常なパケットであると判定して、当該パケ
ットの識別子を、パケット送出部105に伝える。識別
子を伝えられたパケット送出部105は、パケット保留
キュー103から、当該識別子を持つ受信パケットを取
り出し、当該パケットを受信したネットワークセグメン
トとは異なる送信先のネットワークセグメント(ここで
はネットワークセグメントB)上に送出する(ステップ
S107)。
【0035】一方、もし当該パケットが不正アクセスに
関わるものであると判定された場合は、パケットデータ
解析部111は当該パケットのコネクション識別情報を
不正コネクションテーブル112に登録する(ステップ
S108)。そして、パケット解析機構104からパケ
ット送出部105へ不正アクセスに関わると判定した当
該パケットの識別子が伝えられ、パケット保留キュー1
03に格納されている当該パケットは送出されずに、破
棄されることになる(ステップS109)。なお、パケ
ットの破棄は、明示的な指示で破棄するのみならず、パ
ケット保留キュー103からの溢れによる等の暗黙的な
手段によって、破棄するようにしても良い。
【0036】この一連の動作をパケット受信の度に実行
することにより、不正アクセスが頻発することにより再
送パケットが多数送られてきた場合でも、それによるパ
ケット転送性能の低下を招くことなく、不正アクセスに
関するパケットの転送を禁止することが出来る。
【0037】次に、図4および図5のフローチャートを
参照して、ステップS105で行われるパケットデータ
解析処理の具体的例について説明する。
【0038】このパケットデータ解析処理では、受信パ
ケットについて、先ずヘッダフィールドのオプション
や、パラメータの組み合わせが、パケット送信先のサー
バに誤動作を引き起こすとして予め設定された既知の条
件を満たしているか否かが判定される(ステップS1
1)。即ち、受信パケットのヘッダ部から不審な相手か
らの送信であったり、形式の異なる怪しいパケットであ
ることを見分ける処理を行なう。ここで上記条件を満た
していれば、当該受信パケットは不正アクセスに関わる
パケットであると判定され、当該受信パケットを破棄す
るよう指示する(ステップS15)。
【0039】一方、上記条件を満たしていなければ、次
に、断片化されたパケットやTCPプロトコルで転送さ
れるパケット等、判断に他のパケットの情報も必要とな
るか否かが判断される(ステップS12)。他のパケッ
トを必要としない場合は、次にパケットが搬送している
データの長さ、あるいはデータが指定しているパラメー
タの組み合わせが、そのデータを処理するアプリケーシ
ョン等に誤動作を引き起こすとして予め設定された既知
の条件を満たしているか否かが判定される(ステップS
13)。ここで上記条件を満たしていれば当該受信パケ
ットは不正アクセスに関わるパケットであると判定さ
れ、当該受信パケットを破棄するよう指示する(ステッ
プS15)。
【0040】一方、上記条件を満たしていなければ、当
該受信パケットを送出対象パケットとして、パケット送
出部105に当該受信パケットの転送指示を行なう(ス
テップS14)。
【0041】また、上記ステップS12において、他の
パケットの情報も必要であると判断された際は、受信パ
ケットが、断片化されたパケットで、かつパケット解析
機構104内に解析済みパケットとして保持されてい
る、送出済みの他の断片化されたパケットとデータ領域
がオーバーラップしているパケットであるかどうか等、
サーバに誤動作引き起こすとして予め設定された既知の
条件を満たしているか否かが判定される(図5のステッ
プS21)。ここで上記条件を満たしていれば当該受信
パケットは不正アクセスに関わるパケットであると判定
される。
【0042】一方、上記条件を満たしていなければ、次
に、受信パケットが、TCPのパケットで、かつパケッ
ト解析機構104内に解析済みパケットとして保持され
ている、コネクション識別情報が受信パケットと同一の
送出済みのパケットとデータ領域がオーバーラップして
いるパケットであるかどうか等、サーバに誤動作引き起
こすとして予め設定された既知の条件を満たしているか
否かが判定される(ステップS22)。ここで上記条件
を満たしていれば当該受信パケットは不正アクセスに関
するパケットであると判定される。
【0043】一方、上記条件を満たしていなければ、次
に、パケット解析機構104内に解析済みのパケットと
して保持されている、受信パケットと同一のコネクショ
ン識別情報を持つ必要に応じた数の過去の送出済みパケ
ットを用いて、解析に充分な長さのストリームデータを
再構築する(ステップS23)。そして、当該再構築さ
れたデータストリームによって搬送されているデータの
長さ、あるいはデータが指定しているパラメータが誤動
作を引き起こすとして予め設定された既知の条件を満た
しているか否かが判定される(ステップS24)。ここ
で上記条件を満たしていれば当該受信パケットは不正ア
クセスに関するパケットであると判定され、また条件を
満たしていなければ不正アクセスに関するパケットでは
ないと判定されることになる。
【0044】以上のように、パケットデータ解析部11
1によるパケット解析処理では様々な観点に基づいて、
受信パケットが運ぶデータの解析が行われるので、パケ
ットデータ解析部111によって不正アクセスに関わる
パケットであると判定された受信パケットについては、
その受信パケットのコネクション識別情報を不正コネク
ションテーブル112に登録し、以降は、そのコネクシ
ョン識別情報と同一のコネクション識別情報を持つ受信
パケットについてはパケット解析処理を行なわずに直ち
に不正アクセスに関するパケットであると判定すること
により、少ない負荷で効率よく不正アクセスに関するパ
ケットを検知することが可能となる。
【0045】なお、上述した解析済みの過去のパケット
を用いてデータ再構築を行なう機能をパケットデータ解
析部111内に設けた場合は、判定すべき不正アクセス
の種類の増加に対応するなどの目的でパケットデータ解
析部111を新たなバージョンに交換する様な場合に、
過去のパケットの内容が失われてしまうので、データ再
構築に関する機能と、パケットデータ解析機能とは互い
に独立したモジュールとして実現することが好ましい。
この場合の構成例を図6に示す。
【0046】図6に示されているように、パケット解析
機構104は、パケットデータ解析部111と、コネク
ションデータ再構築部203と、過去パケット格納部2
04からなる。パケットデータ解析部111は、プロト
コル処理部201と、不正アクセスデータベース202
を持ち、必要に応じ、コネクションデータ再構築部20
3によって再構築された同一のコネクション識別情報を
持つ複数のパケットに分割して運ばれているデータを参
照しながら、不正アクセスデータベース202を検索
し、パケットが運ぶデータを解析し、当該パケットが、
不正アクセスに関わるパケットか否かを判定する機能を
持つ。
【0047】コネクションデータ再構築部203は、同
一のコネクション識別情報を持つ複数のパケットに分割
して運ばれているデータを、再構築してパケットデータ
解析部111に渡す機能を持つ。過去パケット格納部2
04は、パケットデータ解析部111によって既に解析
され、送信先のネットワークセグメントに送出済みの過
去のパケットを保持しておくためのものであり、ここに
は、パケット保留キュー103に保留されているパケッ
トの受信以前に受信したパケットで、且つ解析済みの過
去パケットのデータが蓄積される。過去パケット格納部
204は、コネクションデータ再構築部203の要求に
応じて、指定されたコネクション識別情報を持つ過去の
解析済みパケットをコネクションデータ再構築部203
に提供する機能を持つ。
【0048】図6のパケット解析機構104において
は、パケットデータ解析部111に渡されたパケットに
ついて、当該パケットのヘッダ部のオプションやパラメ
ータの組合せや、当該パケットが運ぶデータの長さやデ
ータが指定するパラメータの組合せが、不正アクセスデ
ータベース202に登録された既知の不正アクセスの条
件を満たしているか否かが判定される。この際、必要に
応じてプロトコル処理部201によって当該パケットが
運ぶデータの種類に応じたプロトコル処理を行なう。当
該パケットが運ぶデータが、同一のコネクション識別情
報を持つ複数のパケットに分割して運ばれているデータ
の一部である場合には、プロトコル処理部201は、コ
ネクションデータ再構築部203によって、過去パケッ
ト格納部204に格納された、当該パケットの受信以前
に受信した解析済みパケットから同一のコネクション識
別情報を持つパケットを取り出し、再構築を行なう。
【0049】この際、分割されたデータを運ぶすべての
パケットがまだ受信されてない場合は、過去パケット格
納部204に格納されたパケットおよび当該受信された
パケットから構築可能な部分のみ再構築を行なう。プロ
トコル処理部201は、このようにして再構築されたデ
ータの長さや指定するパラメータの組み合わせが、不正
アクセスデータベース202に登録された既知の不正ア
クセスの条件を満たしているか否かを判定する。
【0050】ここで、分割されたデータを運ぶすべての
パケットが受信できていない状態で、判定すべき不正ア
クセスの種類の増加に対応するなどの目的でパケットデ
ータ解析部111を交換した場合を考える。
【0051】パケットデータ解析部111の交換後に、
続いて同一のコネクション識別情報を持つパケットが受
信され、パケットデータ解析部111に渡されたとする
と、プロトコル処理部201は、コネクションデータ再
構築部203によって、過去パケット格納部204に格
納された、当該パケットの受信以前に受信したパケット
の中から同一のコネクション識別情報を持つパケットを
取り出し、再構築を行なう。パケットデータ解析部11
1の交換以前に受信されたパケットも、過去パケット格
納部204に格納されているため、このように、分割さ
れたデータを運ぶすべてのパケットが受信できていない
状態で、判定すべき不正アクセスの種類の増加に対応す
るなどの目的でパケットデータ解析部111を交換した
としても、コネクションデータ再構築部203は、デー
タの再構築を正しく行なうことが可能となる。
【0052】コネクションデータ再構築部203で途中
まで再構築したデータはキャッシュの形でコネクション
データ再構築部203内に保持しておき、保持された再
構築データがコネクションデータ再構築部203に存在
する場合は、過去パケット格納部204に格納されたパ
ケットのデータの代わりに用いることも可能である。こ
のようにして、交換以前から交換後に跨る複数のパケッ
トに分割されたデータによって攻撃が行われた場合で
も、その攻撃を検知しパケットを破棄する事が可能とな
る。
【0053】図7は、図6の構成を図2のパケット解析
機構104に適用した場合の構成例である。
【0054】この図7のパケット解析機構104におい
ては、図2の不正コネクション判定機構113の機能
が、プロトコル処理部201によって行われる。すなわ
ち、不正コネクションテーブル112を持つ解析結果保
持部205が設けられており、パケットデータ解析部1
11のプロトコル処理部201は、解析結果保持部20
5に対して、受信パケットのコネクション識別情報が、
既に不正パケットであると判定されたパケットと同一の
識別情報を持つものであるかどうかを問い合わせ、その
問い合わせ結果によって、パケットデータ解析処理を行
なう必要があるか否かを判断する。
【0055】解析結果保持部205は、パケットデータ
解析部111からの要求に応じて、不正アクセスに関す
るパケットであると判定された受信パケットのコネクシ
ョン識別情報を不正コネクションテーブル112に登録
する機能、さらには、パケットデータ解析部111から
の問い合わせに応じて、不正コネクションテーブル11
2を参照して、要求されたコネクション識別情報と同一
のコネクション識別情報が登録されているかどうかを判
定し、その判定結果をパケットデータ解析部111に通
知する機能を持つ。
【0056】次に、図8のフローチャートを参照して、
図7のパケット解析機構104を用いた場合のパケット
転送装置11の動作を説明する。なお、基本部の構成は
図1を参照するものとする。
【0057】まず、パケット転送装置11のパケット受
信部101により、ネットワークセグメントA上のパケ
ットが受信される(ステップS201)。この受信パケ
ットには、パケット識別子付加機構102によりパケッ
ト転送装置11内でユニークな識別子が付加され、その
識別子が付加された受信パケットはパケット保留キュー
103に格納されると共に、パケット解析機構104に
も渡される。パケット解析機構104においては、最初
に、プロトコル処理部201が、受信パケットのコネク
ション識別情報を判別し(ステップS202)、当該コ
ネクション識別情報が既に不正アクセスに関するパケッ
トのコネクション識別情報として登録されているか否か
を解析結果保持部205に対して問い合わせる(ステッ
プS203)。
【0058】解析結果保持部205は、プロトコル処理
部201からの問い合わせに従い不正コネクションテー
ブル112をサーチし、その結果をプロトコル処理部2
01に通知する。この通知に基づいて、プロトコル処理
部201は、受信パケットが、不正コネクションテーブ
ル112に登録されたコネクション識別情報を持つパケ
ットであるかどうかを判別する(ステップS204)。
【0059】受信パケットが不正コネクションテーブル
112に登録されたコネクション識別情報を持っていた
場合(ステップS204のYes)、プロトコル処理部
201は、当該パケットに対するパケットデータ解析処
理を行なうことなく、当該パケットが不正アクセスであ
ることを、パケット解析機構104の解析出力として、
当該パケットの識別子を用いてパケット送出部105へ
伝える。これにより、パケット保留キュー103に格納
されている当該パケットは送出されずに、破棄される
(ステップS210)。
【0060】一方、受信パケットが不正コネクションテ
ーブルに登録されたコネクション識別情報を持っていな
かった場合、プロトコル処理部201は、当該パケット
のデータを解析して、それが不正アクセスに関わるパケ
ットであるか否かを判定するためのパケットデータ解析
処理を行なう(ステップS205)。このパケットデー
タ解析処理では、必要に応じ、コネクションデータ再構
築部203に対してデータの再構築が要求され、解析対
象の受信パケットと、それと同一の識別情報を持つ過去
の解析済みパケットとを用いてデータの再構築が行われ
る。そして、その再構築されたデータを基に不正アクセ
スデータベース202が参照される。
【0061】このようなパケットデータ解析処理により
当該パケットが不正アクセスに関わるものでは無いパケ
ットであると判定された場合には、パケット解析機構1
04は、当該解析済みの受信パケットを過去パケット格
納部204に格納し(ステップS207)、そして当該
パケットに付加された識別子をパケット送出部105に
伝える。識別子を伝えられたパケット送出部105は、
パケット保留キュー103から、当該識別子を持つパケ
ットを取り出し、ネットワークセグメントBに送出する
(ステップS208)。
【0062】一方、パケットデータ解析処理により当該
パケットが不正アクセスに関わるものであると判定され
た場合は、当該パケットのコネクション識別情報が解析
結果保持部205に送られ、その不正コネクションテー
ブル112に登録される(ステップS209)。そし
て、パケット解析機構104は、不正アクセスと判定し
た当該パケットの識別子をパケット送出部105へ伝え
る。これにより、パケット送出部105からは、パケッ
ト保留キュー103に格納されている当該パケットは送
出されずに、破棄される(ステップS210)。
【0063】図9は、解析結果保持部205がコネクシ
ョンデータ再構築部203内に含まれている場合のパケ
ット解析機構104の構成例である。
【0064】パケットデータ解析部111は、コネクシ
ョンデータ再構築部203に対して、解析を行おうとす
る受信パケットと同一のコネクション識別情報を持つ複
数のパケットに分割されて運ばれてくるデータの再構築
を要求して、コネクションデータ再構築部203から、
受信パケットの持つコネクション識別情報と同一のコネ
クション識別情報のパケットが過去に不正アクセスに関
わると判定されていたか否かの情報を取得する機能と、
上記機能により受信パケットのコネクション識別情報が
過去に不正アクセスに関わると判定されていなかった場
合には、再構築された同一のコネクション識別情報を持
つ複数のパケットに分割されて運ばれてくるデータを参
照しながら、不正アクセスデータベース202を検索
し、その受信パケットが運ぶデータを解析して、不正ア
クセスに関わるパケットか否かを判定する機能を持つ。
【0065】コネクションデータ再構築部203は、解
析結果保持部205に格納された、解析を行おうとする
受信パケットの持つコネクション識別情報と同一のコネ
クション識別情報のパケットが過去に不正アクセスに関
わると判定されていたか否かの情報を参照し、不正アク
セスと判定されていた場合には、その旨をパケットデー
タ解析部111に通知する機能を持ち、また、不正アク
セスと判定されていなかった場合には、過去パケット格
納部204に格納された、同一のコネクション識別情報
を持つ過去のパケットを参照しながら、同一のコネクシ
ョン識別情報を持つ複数のパケットに分割されて運ばれ
てくるデータを再構築する機能を持つ。
【0066】次に、図10のフローチャートを参照し
て、図9に示すパケットデータ解析部111からデータ
再構築要求を受けた場合に実行されるコネクションデー
タ再構築部203の動作を説明する。
【0067】コネクションデータ再構築部203は、受
信パケットと同一のコネクション識別情報を持つ複数の
パケットに分割されて運ばれてくるデータの再構築の要
求をパケットデータ解析部111から受け取ると、ま
ず、その受信パケットのコネクション識別情報を取得す
る(ステップS301)。そしてデータ再構築処理を行
なう前に、解析結果保持部205に保持されている過去
に不正アクセスに関するパケットであると判定されたパ
ケットのコネクション識別情報を参照して、指定された
コネクション識別情報と同一のコネクション識別情報が
解析結果保持部205に保持されているかどうかを判別
する(ステップS302)。受信パケットのコネクショ
ン識別情報と同一のコネクション識別情報が保持されて
いる場合には、コネクションデータ再構築部203は、
当該受信パケットは不正アクセスに関するパケットであ
る旨を、直ちにパケットデータ解析部111に通知する
(ステップS303)。
【0068】一方、取得したコネクション識別情報と同
一のコネクション識別情報が保持されていなかった場合
には、コネクションデータ再構築部203は、受信パケ
ットと同じコネクション識別情報を持つ過去の解析済み
パケットを過去パケット格納部204から取り出して、
受信パケットと同一のコネクション識別情報を持つ複数
のパケットに分割されて運ばれてきたデータを再構築
し、それをパケットデータ解析部111に通知する(ス
テップS304,S305)。
【0069】このように、解析結果保持部205をコネ
クションデータ再構築部203内に設け、データ再構築
処理のみならず、既に不正アクセスに関するパケットで
あると判定されているパケットと同一のコネクション識
別情報を持つものであるか否かの判定についてもコネク
ションデータ再構築部203内で行なうことにより、少
ない部品点数で、効率よく処理を行なうことが可能とな
る。
【0070】なお、以上説明したパケット転送装置11
の各構成要素は、専用のハードウェア或いはDSP等で
実現できるほか、コンピュータ上で実行されるプログラ
ムとしても実現可能である。この場合、例えば、ネット
ワークセグメント間に接続された特定のコンピュータ上
で、上述したパケット転送装置11の機能を持つプログ
ラムを実行させることにより、専用装置として実現した
場合と同様の効果を容易に実現することが出来る。この
ようにパケット転送装置11の機能をコンピュータプロ
グラムで実現した場合でも、パケットデータ解析部11
1については、コネクションデータ再構築部203およ
び過去パケット格納部204とは独立したプログラムモ
ジュールとして実現しておくことが好ましい。また、本
パケット転送装置11の機能はネットワークに接続され
るコンピュータにおいて、そのネットワークから当該コ
ンピュータ内のプログラムへの不正パケットの侵入を検
知・防止するためのコンピュータプログラムとしても実
現することができる。
【0071】また、本発明は、上記実施形態に限定され
るものではなく、実施段階ではその要旨を逸脱しない範
囲で種々に変形することが可能である。更に、上記実施
形態には種々の段階の発明が含まれており、開示される
複数の構成要件における適宜な組み合わせにより種々の
発明が抽出され得る。例えば、実施形態に示される全構
成要件から幾つかの構成要件が削除されても、発明が解
決しようとする課題の欄で述べた課題が解決でき、発明
の効果の欄で述べられている効果が得られる場合には、
この構成要件が削除された構成が発明として抽出され得
る。
【0072】
【発明の効果】以上説明したように、本発明によれば、
コネクション識別情報記憶手段に不正アクセスに関わる
パケットであると記憶されたコネクション識別情報を持
つパケットを受信した場合、データ解析を行うことな
く、直ちに不正アクセスに関わるパケットであることが
判別されるため、不正アクセスに対し効率よく禁止する
ことが可能となる。
【図面の簡単な説明】
【図1】本発明の一実施形態に係るパケット転送装置の
構成を示すブロック図。
【図2】図1のパケット転送装置に設けられたパケット
解析機構の構成例を示すブロック図。
【図3】図1のパケット転送装置の動作を説明するフロ
ーチャート。
【図4】図1のパケット転送装置におけるパケットデー
タ解析処理の手順の一部を示すフローチャート。
【図5】図1のパケット転送装置におけるパケットデー
タ解析処理の手順の残りの一部を示すフローチャート。
【図6】図1のパケット転送装置に設けられたパケット
解析機構の他の構成例を示すブロック図。
【図7】図1のパケット転送装置に設けられたパケット
解析機構の更に他の構成例を示すブロック図。
【図8】図7のパケット解析機構を用いたパケット転送
装置の動作を説明するフローチャート。
【図9】図1のパケット転送装置に設けられたパケット
解析機構の別の構成例を示すブロック図。
【図10】図9のパケット解析機構に設けられたコネク
ションデータ再構築部の処理を説明するフローチャー
ト。
【符号の説明】
11…パケット転送装置 101…パケット受信部 102…パケット識別子付加機構 103…パケット保留キュー 104…パケット解析機構 105…パケット送出部 111…パケットデータ解析部 112…不正コネクションテーブル 113…不正コネクション判定機構 201…プロトコル処理部 202…不正アクセスデータベース 203…コネクションデータ再構築部 204…過去パケット格納部 205…解析結果保持部

Claims (17)

    【特許請求の範囲】
  1. 【請求項1】 複数のネットワークセグメント間のパケ
    ットの転送を制御するパケット転送装置において、 ネットワークセグメント上のパケットを受信するパケッ
    ト受信手段と、 前記パケット受信手段で受信した受信パケットを一時保
    留するパケット保留手段と、 不正アクセスに関わるパケットであると判定されたパケ
    ットのコネクション識別情報が登録されるコネクション
    識別情報記憶手段と、前記パケット受信手段により受信
    した受信パケットのコネクション識別情報が前記コネク
    ション識別情報記憶手段に登録されているか否かを判別
    して、不正アクセスに関わるパケットであるか否かを判
    定する第1の判定手段と、前記受信パケットのコネクシ
    ョン識別情報が前記コネクション識別情報記憶手段に登
    録されていないと判別した場合、前記受信パケットのデ
    ータを解析して、当該受信パケットが正常なパケットか
    不正アクセスに関わるパケットであるかを判定する第2
    の判定手段と、および前記受信パケットのデータ解析に
    よって不正アクセスに関わるパケットであると判定した
    場合、当該受信パケットのコネクション識別情報を前記
    コネクション識別情報記憶手段に登録する手段とを有す
    るパケット解析手段と、 前記パケット解析手段の前記判定結果に基づき、前記パ
    ケット保留手段に一時保留されている前記受信パケット
    のうち、前記不正アクセスに関わるパケットは破棄し、
    正常な受信パケットのみを送信先のネットワークセグメ
    ントへ送出するパケット送出手段とを具備することを特
    徴とするパケット転送装置。
  2. 【請求項2】 前記コネクション識別情報は、セッショ
    ン毎にそのセッション内における一連のデータを運ぶ複
    数のパケットそれぞれに対して共通に割り当てられる識
    別情報であることを特徴とする請求項1記載のパケット
    転送装置。
  3. 【請求項3】 前記コネクション識別情報は、パケット
    に含まれる送信元のアドレス及びポート番号と送信先の
    アドレスおよびポート番号との組み合わせから構成され
    るものであることを特徴とする請求項1記載のパケット
    転送装置。
  4. 【請求項4】 前記パケット解析手段の前記コネクショ
    ン識別情報記憶手段と前記第1の判定手段は独立した解
    析結果保持手段として構成されることを特徴とする請求
    項1記載のパケット転送装置。
  5. 【請求項5】 前記第2の判定手段は、データの解析を
    行うために既知の不正アクセスの条件が登録された不正
    アクセスデータベースを有し、前記不正アクセスデータ
    ベースと前記第2の判定手段により独立したパケットデ
    ータ解析手段が構成されることを特徴とする請求項1記
    載のパケット転送装置。
  6. 【請求項6】 前記パケット解析手段はさらに、 前記第2の判定手段によって解析された解析済みのパケ
    ットを過去パケットとして保持する過去パケット保持手
    段と、 前記受信パケットと、当該受信パケットと同一のコネク
    ション識別情報を持つ前記過去パケット保持手段からの
    前記過去パケットとにより、複数のパケットに分割され
    て運ばれてくる一連のデータを再構築するコネクション
    データ再構築手段とを具備し、 前記第2の判定手段は、前記コネクションデータ再構築
    手段によって再構築されたデータを解析することを特徴
    とする請求項1記載のパケット転送装置。
  7. 【請求項7】 前記過去パケット保持手段および前記コ
    ネクションデータ再構築手段はそれぞれ独立したモジュ
    ールとして構成されていることを特徴とする請求項6記
    載のパケット転送装置。
  8. 【請求項8】 前記コネクションデータ再構築手段に前
    記コネクション識別情報記憶手段と前記第1の判定手段
    を設けたことを特徴とする請求項6記載のパケット転送
    装置。
  9. 【請求項9】 複数のネットワークセグメント間のパケ
    ットの転送を制御するパケット転送装置において、 ネットワークセグメント上のパケットを受信するパケッ
    ト受信手段と、 前記パケット受信手段により受信したパケットを一時保
    留するパケット保留手段と、 不正アクセスに関わるパケットであると判定されたパケ
    ットのコネクション識別情報が登録されるコネクション
    識別情報記憶手段と、前記パケット受信手段により受信
    した受信パケットのコネクション識別情報が前記コネク
    ション識別情報記憶手段に登録されているか否かを判別
    して、不正アクセスに関わるパケットであるか否かを判
    定する第1の判定手段とを有する解析結果保持手段と、 前記解析結果保持手段からの不正アクセスに関わるパケ
    ットであるか否かの判定結果を受信し、前記受信パケッ
    トのコネクション識別情報が前記コネクション識別情報
    記憶手段に登録されていないと判別した場合に、不正ア
    クセスデータベースを用いて前記受信パケットのデータ
    を解析し、当該受信パケットが正常なパケットか不正ア
    クセスに関わるパケットであるかを判定する第2の判定
    手段と、前記受信パケットのデータ解析によって不正ア
    クセスに関わるパケットであると判定した場合、当該受
    信パケットのコネクション識別情報を前記コネクション
    識別情報記憶手段に登録する手段と有するパケットデー
    タ解析手段と、 前記パケットデータ解析手段によって解析された解析済
    みのパケットを過去パケットとして保持する過去パケッ
    ト保持手段と、 前記過去パケット保持手段を参照して得られる、前記受
    信パケットと同一のコネクション識別情報を持つ過去パ
    ケットから、複数のパケットに分割されて運ばれてくる
    一連のデータを再構築し、その再構築したデータを解析
    用データとして前記第2の判定手段に提供するコネクシ
    ョンデータ再構築手段と、 前記パケットデータ解析手段の前記判定結果に基づき、
    前記パケット保留手段に一時保留されている前記受信パ
    ケットのうち、前記不正アクセスに関わるパケットは破
    棄し、正常な受信パケットのみを送信先のネットワーク
    セグメントへ送出するパケット送出手段とを具備するこ
    とを特徴とするパケット転送装置。
  10. 【請求項10】 前記コネクションデータ再構築手段内
    に前記解析結果保持手段を設けたことを特徴とする請求
    項9記載のパケット転送装置。
  11. 【請求項11】 複数のネットワークセグメント間のパ
    ケットの転送を制御するパケット転送方法において、 ネットワークセグメント上のパケットを受信するパケッ
    ト受信ステップと、 前記パケット受信ステップで受信した受信パケットをパ
    ケット保留手段に一時保留するパケット保留ステップ
    と、 前記パケット受信ステップにより受信した受信パケット
    のコネクション識別情報が、不正アクセスに関わるパケ
    ットであると判定されたパケットのコネクション識別情
    報が登録されるコネクション識別情報記憶手段に既に登
    録されているか否かを判別して、不正アクセスに関わる
    パケットであるか否かを判定するステップと、 前記受信パケットのコネクション識別情報が前記コネク
    ション識別情報記憶手段に登録されていないと判別され
    た場合に、前記受信パケットのデータを解析して、当該
    受信パケットが正常なパケットか不正アクセスに関わる
    パケットであるかを判定するパケットデータ解析ステッ
    プと、 前記データ解析により、不正アクセスに関わるパケット
    であると判定した場合、当該受信パケットのコネクショ
    ン識別情報を前記コネクション識別情報記憶手段に登録
    するステップと、 前記パケット保留手段に一時保留されている受信パケッ
    トのうち、前記不正パケットに関わるパケットと判定さ
    れた受信パケットは破棄し、正常なパケットと判定した
    パケットのみを送信先のネットワークセグメントへ送出
    するステップとを具備することを特徴とするパケット転
    送方法。
  12. 【請求項12】 前記コネクション識別情報は、セッシ
    ョン毎にそのセッション内における一連のデータを運ぶ
    複数のパケットそれぞれに対して共通に割り当てられる
    識別情報であることを特徴とする請求項11記載のパケ
    ット転送方法。
  13. 【請求項13】 前記コネクション識別情報は、パケッ
    トに含まれる送信元のアドレス及びポート番号と、送信
    先のアドレスおよびポート番号との組み合わせから構成
    されることを特徴とする請求項11記載のパケット転送
    方法。
  14. 【請求項14】 前記パケットデータ解析ステップによ
    って解析された解析済みのパケットを過去パケットとし
    て保持するステップと、 前記受信パケットと、当該受信パケットと同一のコネク
    ション識別情報を持つ前記過去パケットとにより、複数
    のパケットに分割されて運ばれてくる一連のデータを再
    構築するコネクションデータ再構築ステップとをさらに
    具備し、 前記パケットデータ解析ステップは前記コネクションデ
    ータ再構築ステップによって再構築されたデータを解析
    するステップを含むことを特徴とする請求項11記載の
    パケット転送方法。
  15. 【請求項15】 複数のネットワークセグメント間のパ
    ケットの転送を制御するパケット転送方法において、 ネットワークセグメント上のパケットを受信するパケッ
    ト受信ステップと、 前記パケット受信ステップにより受信したパケットを一
    時保留するパケット保留手段と、 前記パケット受信ステップにより受信した受信パケット
    のコネクション識別情報が、不正アクセスに関わるパケ
    ットであると判定されたパケットのコネクション識別情
    報が登録されるコネクション識別情報記憶手段に既に登
    録されているか否かを判別して、不正アクセスに関わる
    パケットであるか否かを判定する第1の判定ステップ
    と、 前記第1の判定ステップにおける不正アクセスに関わる
    パケットであるか否かの判定結果を受信し、前記受信パ
    ケットのコネクション識別情報が前記コネクション識別
    情報記憶手段に登録されていないと判別した場合に、不
    正アクセスデータベースを用いて前記受信パケットのデ
    ータを解析し、当該受信パケットが正常なパケットか不
    正アクセスに関わるパケットであるかを判定する第2の
    判定ステップと、 前記受信パケットのデータ解析によって不正アクセスに
    関わるパケットであると判定した場合、当該受信パケッ
    トのコネクション識別情報を前記コネクション識別情報
    記憶手段に登録するステップと、 前記第2の判定ステップにおいて解析された解析済みの
    パケットを過去パケット保持手段に保持するステップ
    と、 前記過去パケット保持手段を参照して得られる、前記受
    信パケットと同一のコネクション識別情報を持つ過去パ
    ケットから、複数のパケットに分割されて運ばれてくる
    一連のデータを再構築し、その再構築したデータを解析
    用データとして前記第2の判定ステップに提供するステ
    ップと、 前記パケット保留手段に一時保留されている前記受信パ
    ケットのうち、前記不正アクセスに関わるパケットは破
    棄し、正常な受信パケットのみを送信先のネットワーク
    セグメントへ送出するステップとを具備することを特徴
    とするパケット転送方法。
  16. 【請求項16】 コンピュータに複数のネットワークセ
    グメント間のパケットの転送を制御させるためのプログ
    ラムであって、 ネットワークセグメント上のパケットを受信するパケッ
    ト受信機能、 前記パケット受信ステップで受信した受信パケットをパ
    ケット保留手段に一時保留する機能、 前記パケット受信機能により受信した受信パケットのコ
    ネクション識別情報が、不正アクセスに関わるパケット
    であると判定されたパケットのコネクション識別情報が
    登録されるコネクション識別情報記憶手段に既に登録さ
    れているか否かを判別して、不正アクセスに関わるパケ
    ットであるか否かを判定する機能、 前記受信パケットのコネクション識別情報が前記コネク
    ション識別情報記憶手段に登録されていないと判別され
    た場合に、前記受信パケットのデータを解析して、当該
    受信パケットが正常なパケットか不正アクセスに関わる
    パケットであるかを判定する機能、 前記データ解析により、不正アクセスに関わるパケット
    であると判定した場合、当該受信パケットのコネクショ
    ン識別情報を前記コネクション識別情報記憶手段に登録
    する機能、 前記パケット保留手段に一時保留されている受信パケッ
    トのうち、前記不正パケットに関わるパケットと判定さ
    れた受信パケットは破棄し、前記正常なパケットと判定
    したパケットのみを送信先のネットワークセグメントへ
    送出する機能を実現させるためのプログラム。
  17. 【請求項17】 コンピュータに複数のネットワークセ
    グメント間のパケットの転送を制御させるためのプログ
    ラムであって、 ネットワークセグメント上のパケットを受信するパケッ
    ト受信機能、 前記パケット受信機能により受信したパケットをパケッ
    ト保留手段に一時保留する機能、 前記パケット受信機能により受信した受信パケットのコ
    ネクション識別情報が、不正アクセスに関わるパケット
    であると判定されたパケットのコネクション識別情報が
    登録されるコネクション識別情報記憶手段に既に登録さ
    れているか否かを判別して、不正アクセスに関わるパケ
    ットであるか否かを判定する第1の判定機能、 前記第1の判定機能における不正アクセスに関わるパケ
    ットであるか否かの判定結果を受信し、前記受信パケッ
    トのコネクション識別情報が前記コネクション識別情報
    記憶手段に登録されていないと判別した場合に、不正ア
    クセスデータベースを用いて前記受信パケットのデータ
    を解析し、当該受信パケットが正常なパケットか不正ア
    クセスに関わるパケットであるかを判定する第2の判定
    機能と、 前記受信パケットのデータ解析によって不正アクセスに
    関わるパケットであると判定した場合、当該受信パケッ
    トのコネクション識別情報を前記コネクション識別情報
    記憶手段に登録する機能、 前記第2の判定機能において解析された解析済みのパケ
    ットを過去パケット保持手段に保持する機能、 前記過去パケット保持手段を参照して得られる、前記受
    信パケットと同一のコネクション識別情報を持つ過去パ
    ケットから、複数のパケットに分割されて運ばれてくる
    一連のデータを再構築し、その再構築したデータを解析
    用データとして前記第2の判定ステップに提供する機
    能、 前記パケット保留手段に一時保留されている前記受信パ
    ケットのうち、前記不正アクセスに関わるパケットは破
    棄し、前記正常な受信パケットのみを送信先のネットワ
    ークセグメントへ送出する機能を実現するためのプログ
    ラム。
JP2001380162A 2001-12-13 2001-12-13 パケット転送装置およびパケット転送方法 Expired - Lifetime JP3581345B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001380162A JP3581345B2 (ja) 2001-12-13 2001-12-13 パケット転送装置およびパケット転送方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001380162A JP3581345B2 (ja) 2001-12-13 2001-12-13 パケット転送装置およびパケット転送方法

Publications (2)

Publication Number Publication Date
JP2003179647A true JP2003179647A (ja) 2003-06-27
JP3581345B2 JP3581345B2 (ja) 2004-10-27

Family

ID=19187100

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001380162A Expired - Lifetime JP3581345B2 (ja) 2001-12-13 2001-12-13 パケット転送装置およびパケット転送方法

Country Status (1)

Country Link
JP (1) JP3581345B2 (ja)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005050935A1 (ja) * 2003-11-21 2005-06-02 Mitsubishi Denki Kabushiki Kaisha 侵入検知装置およびその方法
JP2006135963A (ja) * 2004-11-08 2006-05-25 Samsung Electronics Co Ltd 悪性コード検出装置及び検出方法
JP2006148505A (ja) * 2004-11-19 2006-06-08 Mitsubishi Electric Corp 中継装置及び中継方法及び中継プログラム
JP2007235341A (ja) * 2006-02-28 2007-09-13 Hitachi Ltd 対異常通信防御を行うための装置とネットワークシステム
JP2007251906A (ja) * 2006-03-20 2007-09-27 Fujitsu Ltd フレーム中継装置及びフレーム検査装置
JP2009510815A (ja) * 2005-08-29 2009-03-12 株式会社コネクトテクノロジーズ サーチ前のパケットのリアセンブル方法及びシステム
JP2009081736A (ja) * 2007-09-26 2009-04-16 Toshiba Corp パケット転送装置及びパケット転送プログラム
JP2010011206A (ja) * 2008-06-27 2010-01-14 Mitsubishi Electric Corp ゲートウェイ装置およびパケットフィルタリング方法
EP2263513A2 (en) 2003-06-24 2010-12-22 Olympus Corporation Capsule type medical device communication system, capsule type medical device, and biological information reception device
JP2011244048A (ja) * 2010-05-14 2011-12-01 Fujitsu Ltd 中継装置、プログラム及び方法
JP2013011948A (ja) * 2011-06-28 2013-01-17 Nippon Telegr & Teleph Corp <Ntt> マルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラム
EP2721990A4 (en) * 2011-06-16 2015-03-04 Olympus Corp BIOLOGICAL INFORMATION ACQUISITION SYSTEM AND CONTROL METHOD FOR BIOLOGICAL INFORMATION ACQUISITION SYSTEMS

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2263513A2 (en) 2003-06-24 2010-12-22 Olympus Corporation Capsule type medical device communication system, capsule type medical device, and biological information reception device
WO2005050935A1 (ja) * 2003-11-21 2005-06-02 Mitsubishi Denki Kabushiki Kaisha 侵入検知装置およびその方法
JP2006135963A (ja) * 2004-11-08 2006-05-25 Samsung Electronics Co Ltd 悪性コード検出装置及び検出方法
JP2006148505A (ja) * 2004-11-19 2006-06-08 Mitsubishi Electric Corp 中継装置及び中継方法及び中継プログラム
JP2009510815A (ja) * 2005-08-29 2009-03-12 株式会社コネクトテクノロジーズ サーチ前のパケットのリアセンブル方法及びシステム
JP4634320B2 (ja) * 2006-02-28 2011-02-16 株式会社日立製作所 対異常通信防御を行うための装置とネットワークシステム
JP2007235341A (ja) * 2006-02-28 2007-09-13 Hitachi Ltd 対異常通信防御を行うための装置とネットワークシステム
JP2007251906A (ja) * 2006-03-20 2007-09-27 Fujitsu Ltd フレーム中継装置及びフレーム検査装置
JP2009081736A (ja) * 2007-09-26 2009-04-16 Toshiba Corp パケット転送装置及びパケット転送プログラム
JP2010011206A (ja) * 2008-06-27 2010-01-14 Mitsubishi Electric Corp ゲートウェイ装置およびパケットフィルタリング方法
JP2011244048A (ja) * 2010-05-14 2011-12-01 Fujitsu Ltd 中継装置、プログラム及び方法
US8819107B2 (en) 2010-05-14 2014-08-26 Fujitsu Limited Relay apparatus, recording medium storing a relay program, and a relay method
EP2721990A4 (en) * 2011-06-16 2015-03-04 Olympus Corp BIOLOGICAL INFORMATION ACQUISITION SYSTEM AND CONTROL METHOD FOR BIOLOGICAL INFORMATION ACQUISITION SYSTEMS
JP2013011948A (ja) * 2011-06-28 2013-01-17 Nippon Telegr & Teleph Corp <Ntt> マルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラム

Also Published As

Publication number Publication date
JP3581345B2 (ja) 2004-10-27

Similar Documents

Publication Publication Date Title
Iyengar et al. QUIC: A UDP-based multiplexed and secure transport
US7107609B2 (en) Stateful packet forwarding in a firewall cluster
US7636305B1 (en) Method and apparatus for monitoring network traffic
US8149705B2 (en) Packet communications unit
US7472411B2 (en) Method for stateful firewall inspection of ICE messages
CN113132342B (zh) 方法、网络装置、隧道入口点装置及存储介质
Iyengar et al. RFC 9000: QUIC: A UDP-based multiplexed and secure transport
US7970878B1 (en) Method and apparatus for limiting domain name server transaction bandwidth
JP6674007B1 (ja) 車載通信装置、通信制御方法および通信制御プログラム
GB2493129A (en) Managing a SIP server
CN104205749B (zh) 一种通信系统、上层交换机、控制装置及交换机控制方法
JP2003179647A (ja) パケット転送装置およびパケット転送方法
US20160156742A1 (en) Relaying system and method of transmitting ip address of client to server using encapsulation protocol
CN113746788A (zh) 一种数据处理方法及装置
CN107154917B (zh) 数据传输方法及服务器
CN107104892A (zh) 网络加速的方法和装置
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
CN116566763A (zh) 网络系统、通信方法、网络节点和存储介质
JP2007537617A (ja) チェックポイントを介して実行ファイルの通過時間を高速化する方法
US8276204B2 (en) Relay device and relay method
CN114640574A (zh) 一种主备设备的切换方法及装置
JP4542053B2 (ja) パケット中継装置、パケット中継方法及びパケット中継プログラム
JP2007509540A (ja) 分散型外部ゲートウェイプロトコル
JP4027213B2 (ja) 侵入検知装置およびその方法
JPWO2005050935A1 (ja) 侵入検知装置およびその方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040315

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040323

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040524

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040720

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040722

R151 Written notification of patent or utility model registration

Ref document number: 3581345

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080730

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090730

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090730

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100730

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100730

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110730

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120730

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130730

Year of fee payment: 9

EXPY Cancellation because of completion of term