JP2004104739A - System for virus and hacker invasion preventive mechanism, invasion prevention method, and information processing apparatus - Google Patents

System for virus and hacker invasion preventive mechanism, invasion prevention method, and information processing apparatus Download PDF

Info

Publication number
JP2004104739A
JP2004104739A JP2002301137A JP2002301137A JP2004104739A JP 2004104739 A JP2004104739 A JP 2004104739A JP 2002301137 A JP2002301137 A JP 2002301137A JP 2002301137 A JP2002301137 A JP 2002301137A JP 2004104739 A JP2004104739 A JP 2004104739A
Authority
JP
Japan
Prior art keywords
information processing
processing device
data
filtering
dpfs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002301137A
Other languages
Japanese (ja)
Inventor
Hironori Wakayama
若山 裕典
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
LAPUTA KK
Original Assignee
LAPUTA KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by LAPUTA KK filed Critical LAPUTA KK
Priority to JP2002301137A priority Critical patent/JP2004104739A/en
Publication of JP2004104739A publication Critical patent/JP2004104739A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a system, an invasion prevention method and an information processing apparatus in which processing is accelerated in a filtering method of communications on a TCP/IP network including filtering of packets and contents. <P>SOLUTION: In the structure, a filtering means for communications is made independent in the manner of communications by a switch which is controlled by the filtering means itself, the filtering means manages reading and sending of data, and an IP address is not allocated to the filtering means, such that the filtering means reads and sends communication data to be passed. By performing contents filtering, carry-out inhibited data on an internal network are prevented to be leaked to the outside and by multiplexing the filtering means for communications, a load of processing per unit of the filtering means is reduced. Thus, a processing speed is obtained without problem even when contents filtering is performed. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】本発明はデータ通信網における、LANやイントラネット等の内部ネットワークと、外部ネットワークであるインターネットとの接続部における、通信のフィルタリングシステム、通信のフィルタリング方法及び情報処理装置に関し、外部ネットワーク上からの内部ネットワークに対する好ましからざるアクセスや好ましからざるデータの流入を阻止し、且つ内部ネットワークから外部ネットワークへの不正なデータ流出を阻止する為の通信のフィルタリングシステム、通信のフィルタリング方法及び情報処理装置に適用して好適なものである。
【0002】
【従来の技術】一般には、ルータやファイアウォールを用いてパケットを選択的に通過若しくは転送することによって好ましからざるアクセスやデータの流入を防いでいる。
【0003】通過若しくは転送するパケットをフィルタリングする方法には、パケットフィルタリングとコネクションフィルタリングがある。
【0004】パケットフィルタリングには、ネットワークレイヤ以上のプロトコルにおける解析を行いパケットマッチングによってフィルタリングを実行する方法と、ブロードキャストアドレスのフィルタリングを実行する方法と、TCP/IPにおいてネットワークアドレスが使用禁止対象となっているパケットのフィルタリングが含まれる。
【0004】コネクションフィルタリングには、Socksに代表される、トランスポートレベルのTCPパケットをソケットレイヤで制御して中継するトランスポートレベルゲートウェイ方式と、TCPパケットの通過を禁止してアプリケーションレイヤに拾い上げて転送する方式のアプリケーションレベルゲートウェイ方式がある。
【0005】上記アプリケーションレベルゲートウェイ方式には、sendmailのように全てのTCPパケットを転送する方式と、Proxy(CERN httpd Proxy)のように選択的にTCPパケットを転送する方式とがある。
【0006】また外部ネットワーク上から内部ネットワークへの攻撃に対する防御という意味では、防御機構をWebサーバ上で実現した技術としてヴァーチャル・ヴォールト(Virtual Vault)がある。
【0007】
【発明が解決しようとする課題】しかしながら、パケットフィルタリング方式、アプリケーションフィルタリング方式共に、フィルタリングするソフトウェアのバグや防御システム構築上の設定ミス等によってセキュリティホールが発生する可能性があるという問題がある。
【0008】パケットフィルタリング方式、アプリケーションフィルタリング方式共に、DoS攻撃(Denial of Service attack)、特にサーバに対して過剰な負荷をかけるような攻撃に対して、エコーの通過を禁止設定すること以外には防御手段を持たないという問題がある。
【0009】パケットフィルタリング方式、アプリケーションフィルタリング方式共に、セキュリティホールが発生して内部ネットワークに侵入された場合、別途ウィルスチェックのソフトウェアを情報処理端末機器上またはサーバ上に設置すること以外に防御手段がないという問題がある。
【0010】パケットフィルタリング方式は、処理にかかる負荷がそれほど大きくなく、また本来、防御システムの構築をシンプルにできるという特徴があったが、パケットマッチングの設定はやや複雑であり、また、IPアドレスが枯渇しつつあることによってグローバルアドレスとプライベートアドレスに分けなければならなくなった現状では、逆引きへの対応などの為に、防御システムの構築が複雑化してしまったという問題がある。
【0011】コネクションフィルタリング方式には、ウィルスチェックをできるようにしたものも出てきてはいるが、全般的且つ詳細なコンテンツフィルタリングをできるものはなく、できるようにしたとしても、プロキシ(Proxy)のようなコネクションフィルタリングですら処理にかかる負荷が大きいという現状では、実用性に耐えるものを作りづらいという問題がある。
【0012】また、ヴァーチャル・ヴォールトは優れた防御手段ではあるが、Webサーバに特化した防御であり、それ以外の不正な侵入に対してはファイアウォール等に頼らざるを得ないという問題がある。
【0013】本発明は以上の点を考慮して為されたもので、IPアドレス変換およびコンテンツフィルタリングを含むTCP/IPネットワーク上における通信のフィルタリングシステムであって、システム設定および管理が簡素であり、且つ技術的に容易に高速化が可能なシステム、侵入防止方法および情報処理装置を提案しようとするものである。
【0014】
【課題を解決するための手段】フィルタリング処理を、できる限りハードウェア化することによってソフトウェアのバグや設定ミスの発生を減少させることとした。
【0015】通信のフィルタリング手段にIPアドレスを割当てないことにより、ルータが通信データを通信フィルタリング手段に送り込むのではなく、ルータにプールされた通信データを通信フィルタリング手段が取りに行くことによって通信フィルタリング手段に通信データが読込まれるようにし、
そのことによって通信フィルタリング手段にかかる負荷が常に一定以下になるようにしてDoS攻撃に対する防御機能を実現した。
【0016】通信のフィルタリング手段をスイッチによって通信的に独立させたこと、および該通信のフィルタリング手段にIPアドレスを割当てないことにより外部からの好ましからざる侵入を防止すると共に、内部ネットワークから外部ネットワークへの発信においてもコンテンツフィルタリングを施すようにしたことにより、侵入が発生した場合でも部外秘に指定されている内部ネットワーク上の情報を外部ネットワークに持ち出せないようにした。
【0017】パケットフィルタリングと同等の処理をしながら、IPアドレス変換を行うと共に、コンテンツフィルタリングをも併せて処理することとした。
【0018】通信のフィルタリング手段を並列的に多重化することによってフィルタリング手段1ユニットあたりの処理の負荷を軽減し、コンテンツフィルタリングを行っても問題のない処理速度を実現した。
【0019】TCP/IPのレイヤ構造に依らないフィルタリング処理方法を実現した。
【0020】通信処理手段のOSおよび処理のための管理プログラムをROMに書きこむことにより外部からOSおよび処理のための管理プログラムを改竄若しくは破壊することを不能とした。
【0021】コンテンツフィルタリングのために、チェックするためのプログラムをスイッチによって通信的に独立した情報処理装置に格納することによって、外部からの改竄若しくは破壊を不能とした。
【0022】不正なデータを最終的に電気的に削除するために通信のフィルタリング手段の電気的独立性を確保すると同時に、通信のフィルタリング手段の管理下にあるスイッチにより他の各構成要素との間の通信的独立性を確保した。
【0023】コンテンツフィルタリングのためのプログラムとそのデータを、スイッチを介した情報処理手段に搭載すると共に、通信のフィルタリング手段のRAM上に読込んで使用し、必要に応じて通信のフィルタリング手段のRAMに読込みなおすことにより、外部ネットワークより不正に侵入したプログラムが該コンテンツフィルタリングのためのプログラムとそのデータを改竄若しくは破壊しても、DPFSが異変を検出することによって改竄若しくは破壊されたプログラムを削除し、再び情報管理手段から読込みなおすことで改竄若しくは破壊をできないようにした。
【0024】内部ネットワークから外部ネットワークへ向けての暗号化通信について、暗号化処理を通信フィルタリング手段の中で一括して行うことによって、鍵情報そのものの内部ネットワークおよび外部ネットワークへの流出を防止すると共に、暗号化されたデータに対するコンテンツフィルタリングを可能とした。
【0025】内部ネットワークから外部ネットワークへ向けての暗号化通信における暗号化されたコンテンツおよび外部ネットワークから内部ネットワークへ向けての暗号化されたコンテンツについて、事前に通信フィルタリング手段に鍵情報を登録したものについては、コンテンツフィルタリングをすることによって通信フィルタリング手段を通過できるようにし、事前登録のない鍵暗号によって暗号化されたコンテンツについては通信のフィルタリング手段を通過できないように設定できるようにした。
【0026】
【発明の実施形態】発明の好ましい実施形態における第一の実施例について、外部ネットワークから内部ネットワークへのデータの流れを図1〜図5を用いて説明する。
【0027】インターネットを経由して送信されてきたパケットデータはルータ機能を持つデータバッファリング手段である情報処理装置(1)のバッファ上にキューイングされる等の方法によってプールされることにより、該情報処理装置(1)は通信フィルタリング手段である情報処理装置(2)に対しデータ通信トラフィック上のバッファ機能を提供する。
【0028】今、スイッチSW1がオフで、且つ情報処理装置(2)のRAM(211)上に情報処理装置(1)から読み込まれたデータが存在しない時、情報処理装置(2)ではROM2(214)上に記述された管理用デーモンプログラムであるDPFS−20が定期的にスイッチSW1をオン(10103)にして情報処理装置(1)にデータを採りに行き(20100)、データがあれば発信元アドレス、発信先アドレス、ポート番号等のパケットヘッダの情報を取得(20102)し、
子プロセスとして「パケットフィルタリングの為のプログラム」を起動し、
該パケットヘッダの情報によって、読込/廃棄を判断(20103)し、廃棄の場合は該データを廃棄すると共に情報処理装置(1)から削除(20104)し、読込の場合はパケットの単位、若しくはバイナリデータファイル(20107)またはテキストデータファイル(20108)の単位(以下において、これら1単位毎のパケットデータ、バイナリデータファイル、テキストデータファイルを総称して『単位データ』と言う)でRAM(211)上に書込み(20109)、スイッチSW1をオフ(10105)にする。
【0029】前記単位データが読み込まれる(20109)とDPFS−20は、最初に、情報処理装置(3)に搭載されRAM(211)上に読込まれている暗号化データチェックプログラム(以下、暗号化チェックプログラムという)を子プロセスとして呼びだし、前記単位データが暗号化されたデータか否かチェック(30100)し、暗号化されていなければ情報処理装置(3)に搭載されRAM(211)上に読込まれている「好ましからざるデータ」を検出するためのプログラム(以下、コンテンツフィルタリングプログラムという)を子プロセスとして呼びだし、コンテンツフィルタリングプログラムに該単位データを渡す。
【0030】暗号化チェックプログラムにおいて、前記単位データが鍵情報を有する暗号化されたデータであった場合は、RAM(211)上の鍵情報リストから該当する鍵情報を検索(30101)し、該当する鍵情報があった場合は暗号化された該単位データを復号化処理(30103)し、コンテンツフィルタリングプログラムを子プロセスとして呼びだし、コンテンツフィルタリングプログラムに復号化された該単位データを渡す。
【0031】前記鍵情報の検索(30101)において該当する鍵情報が存在しなかった場合は、暗号化チェックプログラムは該単位データを削除(30104)する。
【0032】DPFS−20は、暗号化チェックプログラムが単位データの削除(30104)を実行すると、該削除(30104)の完了をチェック(30105)し、前記単位データが削除できていなかった場合は、情報処理装置(2)を電源オフ(30106)にすることによって不正と判断されるデータを電気的に削除する。
【0033】前記暗号化されていない単位データ若しくは復号化された単位データは、コンテンツフィルタリングプログラムが、該コンテンツフィルタリングプログラムに登録されているチェック内容に従って該単位データをチェック(10107)して、不正を検出すれば該単位データを削除(10114)する。
【0034】前記好ましからざる単位データのチェック(10107)において、不正がなければ、DPFS−20は情報処理装置(3)に搭載されRAM(211)上に読込まれているセッションID管理用プログラムを子プロセスとして呼びだし、該セッションID管理用プログラムが該単位データのパケットヘッダに記述されているポート番号からセッションIDの要/不要を判断(40100)し、不要な場合はDPFS−20が情報処理装置(3)に搭載されRAM(211)上に読込まれているIPアドレス変換プログラムを子プロセスとして呼びだしてIPアドレスをプライベートアドレスに変換(10110)し、DPFS−20がSW2をオン(10111)にして該単位データを情報処理装置(7)に送出(10112)しSW2をオフ(10113)にする。
【0035】前記セッションIDの要/不要の判断(40100)においてセッションIDが必要と判断された場合は、セッションIDの有無をチェック(40101)して該単位データにセッションIDが登録されていれば、DPFS−20はIPアドレスをプライベートアドレスに変換(10110)し、SW2をオン(10111)にして該単位データを情報処理装置(7)に送出(10112)しSW2をオフ(10113)にする。
【0036】前記セッションIDの有無のチェック(40101)において該単位データに記述されているセッションID情報がRAM(211)に登録されていない場合は、SW3をオン(40102)にして情報処理装置(3)から登録済みのセッションID情報を読込みなおし(40103)、SW3をオフ(40104)にし、今一度マッチするセッションID情報の有無をチェック(40105)する。
【0037】前記セッションIDの有無のチェック(40105)においてセッションIDが登録されていれば、DPFS−20はIPアドレスをプライベートアドレスに変換(10110)し、SW2をオン(10111)にして該単位データを情報処理装置(7)に送出(10112)しSW2をオフ(10113)にする。
【0038】前記セッションIDの有無のチェック(40105)においてセッションIDが登録されていなければ、DPFS−20は新しいセッションIDを発行すると共にRAM(211)に登録(40106)し、SW3をオン(40107)にして情報処理装置(3)にセッションID情報を登録(40108)してSW3をオフ(40109)にし、DPFS−20が前記IPアドレス変換プログラムを子プロセスとして呼びだしてIPアドレスをプライベートアドレスに変換(10110)し、SW2をオン(10111)にして該単位データを情報処理装置(7)に送出(10112)しSW2をオフ(10113)にする。
【0039】前記セッションID管理プロセスにおいて、要/不要チェック(40100)とセッションID登録情報の有無のチェック(40101)は手順が前後しても良い。
【0040】DPFS−20は、コンテンツフィルタリングプログラムが単位データの削除(10114)を実行すると、該削除(10114)の完了をチェック(10115)し、前記単位データが削除できていなかった場合は、情報処理装置(2)を電源オフ(10116)にすることによって不正なデータを電気的に削除する。
【0041】再起動手段である情報処理装置(6)は情報処理装置(2)の電源オフ(10114)を検出すると、情報処理装置(2)のRAM上から電気的に十分にデータがクリアされる時間を待って、情報処理装置(2)の電源を再びオン(10115)にする。
【0042】DPFS−20は、情報処理装置(2)のシステムが起動するとスイッチSW3をオン(10100)にして情報処理装置(3)に接続し、「RAM上のプログラム等」を読み込み(10101)、スイッチSW3をオフ(10102)にする。
【0043】次に、内部ネットワークから外部ネットワークへのデータの流れを図1および図6〜図9を用いて説明する。
【0044】内部ネットワークであるLAN/イントラネット(8)から外部ネットワークへ向けて送信されたパケットは、ルータ機能を持つ第二のデータバッファリング手段である情報処理装置(4)のバッファ上にキューイングされる等の方法によってプールされることにより、情報処理装置(4)は第二の通信フィルタリング手段である情報処理装置(5)に対しデータ通信トラフィック上のバッファ機能を提供する。
【0045】今、スイッチSW5がオフで、且つ情報処理装置(5)のRAM(511)上に情報処理装置(4)から読み込まれたデータが存在しない時、情報処理装置(5)ではROM4(514)上に記述された管理用デーモンプログラム(以下、DPFS−50という)が定期的にスイッチSW5をオン(10203)にして情報処理装置(4)にデータを採りに行き(20200)、データがあれば該データについてネットワークレイヤ以上のプロトコルにおける解析を行う(20202)ことによって、TCP/IPの場合はパケットの通過するポート番号(20203)を、IPX/SPXの場合はソケット番号(20204)を、それぞれ取得し、
子プロセスとして「パケットフィルタリングの為のプログラム」を起動し、
該ポート番号若しくは該ソケット番号によって、該単位データをそれぞれの定められた形式でRAM(511)上に書込み(20209)、スイッチSW5をオフ(10205)にする。
【0046】前記単位データが読み込まれる(10204)とDPFS−50は、最初に、情報処理装置(3)に搭載されRAM(511)上に読込まれている暗号化データチェックプログラム(以下、第二の暗号化チェックプログラムという)を子プロセスとして呼びだし、前記単位データが暗号化されたデータか否かチェック(30200)し、暗号化されていなければ情報処理装置(3)に搭載されRAM(511)上に読込まれている「不正なデータ」を検出するためのプログラム(以下、第二のコンテンツフィルタリングプログラムという)を子プロセスとして呼びだし、第二のコンテンツフィルタリングプログラムに該単位データを渡す。
【0047】第二の暗号化チェックプログラムにおいて、前記単位データが鍵情報を有する暗号化されたデータであった場合は、RAM(511)上の鍵情報リストから事前に登録された該当する鍵情報を検索(30201)し、該当する鍵情報があった場合は暗号化されたデータを復号化処理(30203)し、第二のコンテンツフィルタリングプログラムを子プロセスとして呼びだし、コンテンツフィルタリングプログラムに該単位データを渡す。
【0048】前記鍵情報の検索(30201)において該当する鍵情報が存在しなかった場合は、暗号化チェックプログラムは該単位データを削除(30204)すると共に、発信者にEメールにて警告通知する。
【0049】DPFS−50は、暗号化チェックプログラムが単位データの削除(30204)を実行すると、該削除(30204)の完了をチェック(30205)し、前記単位データが削除できていなかった場合は、情報処理装置(5)を電源オフ(30206)にすることによって不正と判断されるデータを電気的に削除する。
【0050】前記暗号化されていない単位データ若しくは復号化された単位データは、第二のコンテンツフィルタリングプログラムが、該第二のコンテンツフィルタリングプログラムに登録されているチェック内容に従って該単位データをチェック(10207)して、不正を検出すれば該単位データを削除(10214)する。
【0051】前記不正な単位データのチェック(10207)において、不正がなければ、DPFS−50は情報処理装置(3)に搭載されRAM(511)上に読込まれているセッションID管理用プログラムを子プロセスとして呼びだし、該セッションID管理用プログラムが該単位データのパケットヘッダのポート番号からセッションIDの要/不要を判断(40200)し、不要な場合はDPFS−50が情報処理装置(3)に搭載されRAM(511)上に読込まれている暗号化プログラムを子プロセスとして呼びだして、該単位データに暗号化処理(10209)を施し、DPFS−50が情報処理装置(3)に搭載されRAM(511)上に読込まれている第二のIPアドレス変換プログラムを子プロセスとして呼びだしてIPアドレスをプライベートアドレスに変換(10210)し、DPFS−50がSW4をオン(10211)にして該単位データを外部ネットワークに送出すべく情報処理装置(1)に送出(10212)しSW4をオフ(10213)にする。
【0052】前記セッションIDの要/不要の判断(40200)においてセッションIDが必要と判断された場合は、セッションIDの有無をチェック(40201)して該単位データにセッションIDが登録されていれば、DPFS−50が前記暗号化プログラムを子プロセスとして呼びだして、該単位データに暗号化処理(10209)を施し、DPFS−50が前記第二のIPアドレス変換プログラムを子プロセスとして呼びだしてIPアドレスをプライベートアドレスに変換(10210)し、DPFS−50がSW4をオン(10211)にして該単位データを外部ネットワークに送出すべく情報処理装置(1)に送出(10212)しSW4をオフ(10213)にする。
【0053】前記セッションIDの有無のチェック(40201)において該単位データに記述されているセッションID情報がRAM(511)に登録されていない場合は、SW6をオン(40202)にして情報処理装置(3)から登録済みのセッションIDを読込みなおし(40203)、SW6をオフ(40204)にし、今一度マッチするセッションIDの有無をチェック(40205)する。
【0054】前記セッションIDの有無のチェック(40205)においてセッションIDが登録されていれば、DPFS−50が前記暗号化プログラムを子プロセスとして呼びだして、該単位データに暗号化処理(10209)を施し、DPFS−50が前記第二のIPアドレス変換プログラムを子プロセスとして呼びだしてIPアドレスをプライベートアドレスに変換(10210)し、DPFS−50がSW4をオン(10211)にして該単位データを外部ネットワークに送出すべく情報処理装置(1)に送出(10212)しSW4をオフ(10213)にする。
【0055】前記セッションIDの有無のチェック(40205)においてセッションIDが登録されていなければ、DPFS−50は新しいセッションIDを発行すると共にRAM(511)に登録(40206)し、SW6をオン(40207)にして情報処理装置(3)にセッションID情報を登録(40208)してSW6をオフ(40109)にし、DPFS−50が前記暗号化プログラムを子プロセスとして呼びだして、該単位データに暗号化処理(10209)を施し、DPFS−50が前記第二のIPアドレス変換プログラムを子プロセスとして呼びだしてIPアドレスをプライベートアドレスに変換(10210)し、DPFS−50がSW4をオン(10211)にして該単位データを外部ネットワークに送出すべく情報処理装置(1)に送出(10212)しSW4をオフ(10213)にする
【0056】前記セッションID管理プロセスにおいて、要/不要チェック(40200)とセッションID登録情報の有無のチェック(40201)は手順が前後しても良い。
【0057】DPFS−50は、前記第二のコンテンツフィルタリングプログラムが不正なデータの削除(10214)を実行すると、該削除(102146)の完了をチェック(10215)し、前記単位データが削除できていなかった場合は、情報処理装置(5)の電源をオフ(10216)にすることによって不正なデータを電気的に削除する。
【0058】情報処理装置(6)は、前記情報処理装置(5)の電源オフ(10216)を検出すると、情報処理装置(5)のRAM上から電気的に十分にデータがクリアされる時間を待って、情報処理装置(5)の電源を再びオン(10217)にする。
【0059】DPFS−50は、情報処理装置(5)のシステムが起動するとスイッチSW6をオン(10200)にして情報処理装置(30)に接続し、前記第二のコンテンツフィルタリングプログラムおよび前記第二の暗号化チェックプログラム、前記暗号化プログラム、前記復号化プログラム、前記鍵情報、前記セッションID管理プログラム、前記セッションID情報、前記第二のIPアドレス変換プログラム等を読み込み(10201)、スイッチSW6をオフ(10202)にする。
【0060】情報処理装置(3)に登録され、RAM(211)に読込んで用いられるプログラムとデータには、「パケットフィルタリングのプログラムとデータ」、ウィルスチェックプログラムを含む「コンテンツフィルタリングの為のプログラムとそのデータ」、「セッションID情報を管理するプログラムとセッションID情報」、「IPアドレス変換プログラム」およびパケットの宛先管理プログラムとそのリスト等々(以下、RAM(211)上のプログラム等という)がある。
【0061】情報処理装置(3)に登録され、RAM(511)に読込んで用いられる第二のコンテンツフィルタリングプログラムには、ウィルスチェックプログラムを含む「コンテンツフィルタリングの為のプログラムとそのデータ」、「セッションID情報を管理するプログラムとセッションID情報」、「IPアドレス変換プログラム」、持ち出し禁止ファイル設定プログラムとリストまたはデータベース等々(以下、RAM(511)上のプログラム等という)があり、持ち出し禁止ファイル設定リストではIPアドレス、ファイル形式、ファイルの特定、キーワード設定等について指定できることが望ましい。
【0062】情報処理装置(2)において、ROM上に搭載されたDPFS−20が、スイッチSW3をオンにすることなくRAM(211)上のプログラム等のデータ量が変化する、あるいは処理量が異常に変化する等の異変を検知した場合、DPFS−20は該RAM(211)上のプログラム等を含むRAM(211)上の全てのデータを削除し、SW3をオンにして情報処理装置(3)に搭載されたRAM(211)上のプログラム等を読込む。
【0063】この削除処理において、DPFS−20が、削除が不完全であることを検知した場合、DPFS−20は情報処理装置(2)の電源をオフにする。
【0064】情報処理装置(5)において、ROM上に搭載されたDPFS−50が、スイッチSW6をオンにすることなくRAM(511)上のプログラム等のデータ量が変化する、あるいは処理量が異常に変化する等の異変を検知した場合、DPFS−50は該RAM(511)上のプログラム等を含むRAM(511)上の全てのデータを削除し、SW6をオンにして情報処理装置(3)に搭載されたRAM(511)上のプログラム等を読込む。
【0065】この削除処理において、DPFS−50が、削除が不完全であることを検知した場合、DPFS−50は情報処理装置(5)の電源をオフにする。
【0066】DPFS−20およびDPFS−50は、メモリ上に展開するDPFS−20およびDPFS−50それぞれのシステムの状況を、独立したデーモンプログラムによりモニタリングし、プログラムのデータ量が変化する、あるいは処理量が異常に変化する等の異変を検知した場合、それぞれのROMからシステムを読込みなおす。
【0067】DPFS−20およびDPFS−50は、前記読込みなおしによっても前記異変が改善されない場合、それぞれを搭載している情報処理装置の電源をオフにする。
【0068】通信のフィルタリング手段とルータ装置との間の通信プロトコル設定および通信のフィルタリング手段を多重化する方法について、代表的に情報処理装置(2)における方法に関し、図1および図10〜図12を用いて説明する。
【0069】図1において、情報処理装置(2)を情報処理装置(1)および情報処理装置(7)と例えばシリアル通信で接続する場合、TCP/Comなどのシリアル/TCP/IPコンバータを使って接続する方法と、単純にシリアル接続する方法とがある。
【0070】上記シリアル接続において、ファイアワイヤ<IEEE1394>のような高速シリアルインターフェースを用いることで、シリアルでも高速大容量の通信が可能となるため、シリアル通信の採用が通信のフィルタリング処理速度にとってボトルネックになることを解消できる。
【0071】上記シリアル接続によって多重化した場合(図11)、集線装置(9)には単純なシリアルコネクタを用いることができる。
【0072】図1において情報処理装置(2)を情報処理装置(1)および情報処理装置(7)とTCP/IP接続する場合で、情報処理装置(2)にIPアドレスを割当てずピアツーピア(peer to peer)接続する場合、DPFS−20が情報処理装置(1)にデータを取りに行くに際して読込み要求毎に乱数で生成した新しいセッションIDを発行し、該セッションIDのないパケットの受信を拒否することによって、DPFS−20からの要求なしに情報処理装置(1)から送出されてくる好ましからざるデータを排除し、通信の独立性を確保することができる。
【0073】上記ピアツーピア接続において情報処理装置(2)を多重化する場合(図11)、集線装置(9)としてはトラフィック上の理由からスイッチングハブを用いることが望ましい。
【0074】上記ピアツーピア接続において、スイッチSW1およびSW2を廃して直接情報処理装置(1)と情報処理装置(2)、および情報処理装置(2)と情報処理装置(4)を接続するようにしても、スイッチSW1およびSW2がある場合と同等の性能を獲得し得る(図11、図12)。
【0075】
【発明の効果】上述のように本発明によれば、通信のフィルタリング手段である情報処理装置(2)および情報処理装置(5)は該通信フィルタリング手段自身が制御するスイッチによって外部のシステムである他の情報処理装置と接続されており、且つ該スイッチが同時に接続状態とならないようにしたことにより、情報処理装置(1)若しくは情報処理装置(4)まで送信されてきたパケットはそれ以降の送信先を見つけることができず、ルータ機能を有する前記情報処理装置(1)あるいは前記情報処理装置(4)にプールされ、情報処理装置(2)または情報処理装置(5)から読込まれるまで一旦待機することとなるため、パケットが該通信フィルタリング手段を一切の検証なしに素通りして内部ネットワーク若しくは外部ネットワークに到達することのできない通信のフィルタリングを実現した。
【0076】また上述のように本発明によれば、第一の実施例においては通信フィルタリング手段自身がルータに通信データを採りに行く構造になっていることから、通信フィルタリング手段の処理能力が過剰な負荷が掛かることによって暴走することはなく、従ってDoS攻撃に対して防御機能を持つことを実現した。
【0077】また上述のように本発明によれば、通信のフィルタリング手段である情報処理装置(2)および情報処理装置(5)は、パケットをフィルタリングすると同時に、音声や画像等パケットのままでなければ成立し得ない通信を除き、パケットをバイナリ形式やテキスト形式のファイルに再構築することによって、ウィルスチェックを含むアプリケーションフィルタリングを同装置内にて実行することができる通信のフィルタリングを実現した。
【0078】また上述のように本発明によれば、通信のフィルタリング手段である情報処理装置(2)および情報処理装置(5)は、スイッチの管理を含めた管理システムをROMに搭載し、送信されてきたデータをチェックする「RAM上のプログラム等」をRAMに搭載して必要に応じて情報処理装置(3)からスイッチを経由して読込・更新できるようにしたことにより、該管理システム、該アプリケーションプログラムともに実質的に外部ネットワーク上および内部ネットワーク上からの書換えを不能とし、その結果、ハッカーが情報処理装置(1)に侵入することがあっても、該ハッカーが通信のフィルタリング手段を制御することによるハッキングをすることのできない通信のフィルタリングを実現したと同時に、該チェックに用いるアプリケーションプログラムとして市販の随時最新のウィルスチェックプログラム等をも用いることが可能な通信のフィルタリングを実現した。
【0079】また上述のように本発明によれば、情報処理装置(2)、情報処理装置(5)および情報処理装置(6)のOSをROM上に搭載したことにより、OSの改竄若しくは破壊等によるOSレベルのセキュリティ攻撃を確実に不可能とした通信のフィルタリングを実現した。
【0080】また上述のように本発明によれば、外部ネットワークから内部ネットワークを見ることができないこと、およびコンテンツフィルタリングプログラムが情報処理装置(3)に搭載され外部ネットワークからも内部ネットワークからも、情報処理装置(2)あるいは情報処理装置(5)のROMに搭載した管理プログラムに制御されるスイッチによって隔離されていることによって改竄ができないこと、
および情報処理装置(2)および情報処理装置(5)においてコンテンツフィルタリングを行うことから、
悪意あるものがハッキング等によって内部システムに侵入することは確実に不可能であり、
あるいは悪意ある者が何らかの好ましからざるプログラムを内部ネットワークに送りこんだ場合において、
該好ましからざるプログラムがパーミッションを与えられるなどの人的要因によって動作する可能性はあるものの、確実に、外部ネットワーク上からは内部ネットワークのシステムを直接操作することができず、また、内部ネットワーク上の部外秘のデータを外部ネットワークに持ち出すことのできない通信のフィルタリング手段を実現した。
【0081】また上述のように本発明によれば、DPFS−20、DPFS−50および情報管理手段によって、セッションIDを管理することにより、通過を許可したパケットへの応答を選択的に通過させることを可能とした。
【0084】また上述のように本発明によれば、通信のフィルタリング手段を多重化することにより、コンテンツフィルタリングを含む高速かつ大容量の通信フィルタリング処理を実現した。
【図面の簡単な説明】
【図1】本発明に関わるウィルス及びハッカー侵入防止機構の装置とシステムの実施形態の概要構成を示す説明図である。
【図2】通信フィルタリングのための情報処理装置(2)のROMに搭載された管理プログラムDPFS−20の処理の流れを示すフローチャートである。
【図3】通信フィルタリングのための情報処理装置(2)のROMに搭載された管理プログラムDPFS−20の処理において、単位データを該通信フィルタリングのための情報処理装置(2)に読込むための処理の流れを示すフローチャートである。
【図4】通信フィルタリングのための情報処理装置(2)のROMに搭載された管理プログラムDPFS−20の処理において、暗号化データの取扱を示すフローチャートである。
【図5】通信フィルタリングのための情報処理装置(2)のROMに搭載された管理プログラムDPFS−20の処理において、セッションIDの管理方法を示すフローチャートである。
【図6】第二の通信フィルタリングのための情報処理装置(5)のROMに搭載された管理プログラムDPFS−50の処理の流れを示すフローチャートである。
【図7】第二の通信フィルタリングのための情報処理装置(5)のROMに搭載された管理プログラムDPFS−50の処理において、単位データを該通信フィルタリングのための情報処理装置(5)に読込むための処理の流れを示すフローチャートである。
【図8】第二の通信フィルタリングのための情報処理装置(5)のROMに搭載された管理プログラムDPFS−50の処理において、暗号化データの取扱を示すフローチャートである。
【図9】第二の通信フィルタリングのための情報処理装置(5)のROMに搭載された管理プログラムDPFS−50の処理において、セッションIDの管理方法を示すフローチャートである。
【図10】本発明に関わるウィルス及びハッカー侵入防止機構の装置とシステムの実施形態において通信のフィルタリング手段が多重化された場合の概要構成を示す説明図である。
【図11】本発明に関わるウィルス及びハッカー侵入防止機構の装置とシステムの実施形態において通信のフィルタリング手段としてプロキシサーバ(Proxy Server)を用いた場合の概要構成を示す説明図であると共に、図1に示す実施形態との比較説明に用いる為の図である。
【図12】本発明に関わるウィルス及びハッカー侵入防止機構の装置とシステムの実施形態において通信のフィルタリング手段としてプロキシサーバ(Proxy Server)を用いた場合で、通信のフィルタリング手段が多重化された場合の概要構成を示す説明図であると共に、図11に示す実施形態との比較説明に用いる為の図である。
【符号の説明】
1  ルータ機能を持ち、バッファリング機能を提供する情報処理装置
2  通信フィルタリング手段としての情報処理装置
2’ 多重化された情報処理装置(2)の2台目
2“ 多重化された情報処理装置(2)3台目
’多重化された情報処理装置(2)のn+1台目
21 スイッチを除く、通信フィルタリング手段としての情報処理装置
211 RAM
212 CPU
213 ROM1:OSを搭載するROM
214 ROM2:アプリケーションプログラムを搭載するROM
3  コンテンツフィルタリングプログラム等を搭載する情報処理装置
4  ルータ機能を持ち、バッファリング機能を提供する情報処理装置
5  第二の通信フィルタリング手段としての情報処理装置
5’ 多重化された情報処理装置(5)の2台目
5“ 多重化された情報処理装置(5)の3台目
’多重化された情報処理装置(5)のn+1台目
51 スイッチを除く、第二の通信フィルタリング手段としての情報処理装置
511 RAM
512 CPU
513 ROM3:OSを搭載するROM
514 ROM4:アプリケーションプログラムを搭載するROM
6  情報処理装置(2)および情報処理装置(5)のシステムを再起動するための情報処理装置
61 CPU
62 ROM5:OSを搭載するROM
63 ROM6:アプリケーションプログラムを搭載するROM
7  ルータ機能を持つ情報処理装置
8  LAN/イントラネット(内部ネットワーク)
9  集線機能を持つ情報処理装置またはコネクタ
10 DNS
11 プライベートアドレス専用のDNS[0001]
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a communication filtering system, a communication filtering method, and an information processing apparatus in a connection portion between an internal network, such as a LAN or an intranet, and an external network, the Internet, in a data communication network. Communication filtering system, communication filtering method, and information processing for preventing undesired access to and undesired data inflow to an internal network from an external network, and preventing unauthorized outflow of data from the internal network to an external network It is suitable for application to an apparatus.
[0002]
2. Description of the Related Art Generally, undesired access and inflow of data are prevented by selectively passing or transferring packets using a router or a firewall.
[0003] There are packet filtering and connection filtering as methods for filtering packets that pass or transfer.
[0004] For packet filtering, a method of analyzing by a protocol of a network layer or higher and performing filtering by packet matching, a method of performing filtering of a broadcast address, and a method of prohibiting network addresses from being used in TCP / IP. This includes filtering packets that are
For connection filtering, a transport-level gateway system, such as Socks, for controlling and relaying a transport-level TCP packet at a socket layer, and a TCP packet that is prohibited from passing through and picked up and transferred to an application layer. There is an application level gateway method that performs this.
The application level gateway method includes a method of transferring all TCP packets like sendmail and a method of selectively transferring TCP packets like Proxy (CERN httpd Proxy).
[0006] In the sense of protection against attacks from the external network to the internal network, there is a virtual vault as a technology for implementing a defense mechanism on a Web server.
[0007]
However, both the packet filtering method and the application filtering method have a problem that a security hole may occur due to a bug in software for filtering or a setting error in the construction of a defense system.
Both the packet filtering method and the application filtering method protect against a DoS attack (Denial of Service attack), particularly an attack that places an excessive load on a server, except by prohibiting the passage of echo. There is a problem that there is no means.
In both the packet filtering method and the application filtering method, when a security hole occurs and enters an internal network, there is no defense means other than installing a separate virus check software on the information processing terminal device or the server. There is a problem.
[0010] The packet filtering method has a feature that the processing load is not so large and that the construction of the defense system can be simplified, but the setting of the packet matching is a little complicated, and the IP address is difficult. Under the current situation where global addresses and private addresses have to be divided due to depletion, there is a problem that the construction of a defense system has become complicated in order to cope with reverse lookup.
[0011] Although some connection filtering methods allow virus checking, there is no method capable of performing general and detailed content filtering. Even if such a method is available, a proxy (Proxy) can be used. Under such a situation that even the connection filtering has a large processing load, there is a problem in that it is difficult to make something that is practical.
Although virtual vaults are excellent protection means, they are protections specialized for Web servers, and have a problem that other unauthorized intrusions must rely on a firewall or the like.
The present invention has been made in view of the above points, and is a filtering system for communication on a TCP / IP network including IP address conversion and content filtering, wherein system setting and management are simple, Another object of the present invention is to propose a system, an intrusion prevention method, and an information processing device that can be easily speeded up technically easily.
[0014]
Means for Solving the Problems The filtering process is implemented by hardware as much as possible to reduce the occurrence of software bugs and setting errors.
By not assigning an IP address to the communication filtering means, the router does not send communication data to the communication filtering means, but the communication filtering means retrieves communication data pooled in the router. To read the communication data,
As a result, the load on the communication filtering means is always kept below a certain level, thereby realizing a defense function against DoS attacks.
The communication filtering means is communicatively independent by a switch, and by not assigning an IP address to the communication filtering means, it is possible to prevent undesired intrusion from the outside and to prevent the internal network from entering the external network. Content filtering is also applied to outgoing calls, so that even if an intrusion occurs, information on the internal network designated as confidential cannot be taken out to the external network.
While performing the same processing as packet filtering, IP address conversion is performed, and content filtering is also performed.
By multiplexing the communication filtering means in parallel, the processing load per filtering unit can be reduced, and a processing speed that does not cause a problem even if content filtering is performed is realized.
A filtering method that does not depend on the TCP / IP layer structure has been realized.
By writing the OS of the communication processing means and the management program for processing into the ROM, it is impossible to falsify or destroy the OS and the management program for processing from the outside.
For content filtering, a program for checking is stored in a communication-independent information processing device by a switch, thereby preventing external tampering or destruction.
At the same time, the electrical independence of the communication filtering means is ensured in order to finally electrically delete unauthorized data, and at the same time, a switch under the control of the communication filtering means allows communication between the communication filtering means and other components. Communication independence was ensured.
A program for content filtering and its data are mounted on the information processing means via the switch, and are read and used on the RAM of the communication filtering means. By re-reading, even if a program illegally invading from the external network falsifies or destroys the content filtering program and its data, DPFS detects the falsification and deletes the falsified or destroyed program, By reading it again from the information management means, tampering or destruction was prevented.
For the encrypted communication from the internal network to the external network, the encryption processing is performed collectively in the communication filtering means to prevent the key information itself from leaking to the internal network and the external network. This enables content filtering for encrypted data.
Key information registered in advance in the communication filtering means for encrypted content in encrypted communication from the internal network to the external network and for encrypted content from the external network to the internal network With regard to (2), the content filtering is made possible to pass through the communication filtering means, and the content encrypted by the key encryption without the pre-registration can be set so as not to pass through the communication filtering means.
[0026]
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS A first embodiment of a preferred embodiment of the present invention will be described with reference to FIGS. 1 to 5 showing a flow of data from an external network to an internal network.
The packet data transmitted via the Internet is pooled by a method such as being queued on a buffer of the information processing device (1), which is a data buffering means having a router function, and is pooled. The information processing device (1) provides a buffer function on data communication traffic to the information processing device (2) as a communication filtering means.
Now, when the switch SW1 is off and the data read from the information processing device (1) does not exist in the RAM (211) of the information processing device (2), the information processing device (2) uses the ROM2 ( 214) DPFS-20, which is the management daemon program described above, periodically turns on the switch SW1 (10103), goes to the information processing device (1) to collect data (20100), and sends data if there is data. The information of the packet header such as the source address, the destination address, and the port number is obtained (20102).
Launch a "packet filtering program" as a child process,
Based on the information in the packet header, read / discard is determined (20103). In the case of discard, the data is discarded and deleted from the information processing device (1) (20104). In the case of read, the packet unit or binary The unit of the data file (20107) or the text data file (20108) (hereinafter, the packet data, binary data file, and text data file for each unit are collectively referred to as "unit data") in the RAM (211). Is written (20109), and the switch SW1 is turned off (10105).
When the unit data is read (20109), the DPFS-20 first executes an encrypted data check program (hereinafter referred to as an encrypted data check program) mounted on the information processing device (3) and read on the RAM (211). (Referred to as a check program) as a child process, and checks whether the unit data is encrypted data (30100). If not encrypted, the unit data is mounted on the information processing device (3) and read into the RAM (211). A program for detecting rare “unwanted data” (hereinafter referred to as a content filtering program) is called as a child process, and the unit data is passed to the content filtering program.
In the encryption check program, if the unit data is encrypted data having key information, the corresponding key information is searched from the key information list on the RAM (211) (30101), and If there is key information to be decrypted, the encrypted unit data is decrypted (30103), the content filtering program is called as a child process, and the decrypted unit data is passed to the content filtering program.
If there is no corresponding key information in the search for key information (30101), the encryption check program deletes the unit data (30104).
When the encryption check program executes the deletion (30104) of the unit data, the DPFS-20 checks the completion (30105) of the deletion (30104), and if the unit data has not been deleted, By turning off the power of the information processing device (2) (30106), data determined to be invalid is electrically deleted.
The unfiltered unit data or the decrypted unit data is checked (10107) by the content filtering program according to the check contents registered in the content filtering program, and the unit If detected, the unit data is deleted (10114).
In the undesired unit data check (10107), if there is no fraud, the DPFS-20 executes the session ID management program mounted on the information processing device (3) and read into the RAM (211). Called as a process, the session ID management program determines whether or not a session ID is required / unnecessary from the port number described in the packet header of the unit data (40100). The IP address conversion program loaded on the RAM (211) mounted on the 3) is called as a child process to convert the IP address into a private address (10110), and the DPFS-20 turns on SW2 (10111) and turns the SW2 on (10111). The unit data is sent to the information processing device (7) (10112) To turn off (10113) was SW2.
If it is determined that the session ID is necessary in the above-mentioned session ID necessity / unnecessity (40100), it is checked whether or not the session ID exists (40101), and if the session ID is registered in the unit data, , DPFS-20 converts the IP address into a private address (10110), turns on SW2 (10111), sends the unit data to the information processing device (7) (10112), and turns off SW2 (10113).
If the session ID information described in the unit data is not registered in the RAM (211) in the check (40101) for the presence or absence of the session ID, SW3 is turned on (40102) and the information processing device (40102) is turned on. The registered session ID information is read again from 3) (40103), the SW3 is turned off (40104), and the presence or absence of the matching session ID information is checked again (40105).
If the session ID is registered in the check for the presence or absence of the session ID (40105), the DPFS-20 converts the IP address into a private address (10110), turns on SW2 (10111), and turns on the unit data. Is sent to the information processing device (7) (10112), and SW2 is turned off (10113).
If the session ID is not registered in the check of the presence or absence of the session ID (40105), the DPFS-20 issues a new session ID and registers it in the RAM (211) (40106), and turns on SW3 (40107). ), The session ID information is registered in the information processing device (3) (40108), SW3 is turned off (40109), and the DPFS-20 converts the IP address into a private address by calling the IP address conversion program as a child process. (10110), the SW2 is turned on (10111), the unit data is sent to the information processing device (7) (10112), and the SW2 is turned off (10113).
In the session ID management process, the procedure of the necessity / unnecessity check (40100) and the check of the presence / absence of session ID registration information (40101) may be performed in reverse order.
When the content filtering program deletes the unit data (10114), the DPFS-20 checks whether the deletion (10114) has been completed (10115). By turning off the processing unit (2) (10116), illegal data is electrically deleted.
When the information processing apparatus (6), which is a restart means, detects that the information processing apparatus (2) is turned off (10114), data is sufficiently sufficiently cleared from the RAM of the information processing apparatus (2). Then, the information processing apparatus (2) is turned on again (10115).
When the system of the information processing apparatus (2) is started, the DPFS-20 turns on the switch SW3 (10100), connects to the information processing apparatus (3), and reads "program on RAM" (10101). Switch SW3 is turned off (10102).
Next, the flow of data from the internal network to the external network will be described with reference to FIG. 1 and FIGS.
Packets transmitted from the LAN / intranet (8), which is an internal network, to an external network are queued on a buffer of an information processing device (4), which is a second data buffering means having a router function. The information processing apparatus (4) provides a buffer function for data communication traffic to the information processing apparatus (5), which is the second communication filtering means, by being pooled by such a method.
Now, when the switch SW5 is off and the data read from the information processing device (4) does not exist in the RAM (511) of the information processing device (5), the information processing device (5) uses the ROM 4 ( 514) The management daemon program described above (hereinafter referred to as DPFS-50) periodically turns on the switch SW5 (10203) and goes to the information processing device (4) to collect data (20200). If there is, the data is analyzed in a protocol of the network layer or higher (20202), so that the port number (20203) through which the packet passes in the case of TCP / IP, the socket number (20204) in the case of IPX / SPX, Get each,
Launch a "packet filtering program" as a child process,
According to the port number or the socket number, the unit data is written into the RAM (511) in a predetermined format (20209), and the switch SW5 is turned off (10205).
When the unit data is read (10204), the DPFS-50 first loads an encrypted data check program (hereinafter referred to as a second program) mounted on the information processing device (3) and read on the RAM (511). Is called as a child process, and it is checked whether or not the unit data is encrypted data (30200). If the unit data is not encrypted, the unit data is mounted on the information processing device (3) and the RAM (511) A program (hereinafter, referred to as a second content filtering program) for detecting “illegal data” read above is called as a child process, and the unit data is passed to the second content filtering program.
In the second encryption check program, if the unit data is encrypted data having key information, the corresponding key information registered in advance from the key information list on the RAM (511) Is searched (30201), and if there is corresponding key information, the encrypted data is decrypted (30203), the second content filtering program is called as a child process, and the unit data is sent to the content filtering program. hand over.
If there is no corresponding key information in the search for key information (30201), the encryption check program deletes the unit data (30204) and notifies the sender of a warning by e-mail. .
When the encryption check program executes the deletion (30204) of the unit data, the DPFS-50 checks the completion (30205) of the deletion (30204), and if the unit data has not been deleted, By turning off the power of the information processing device (5) (30206), data determined to be invalid is electrically deleted.
For the unencrypted unit data or the decrypted unit data, the second content filtering program checks the unit data in accordance with the check contents registered in the second content filtering program (10207). ), And if an illegality is detected, the unit data is deleted (10214).
In the checking of the illegal unit data (10207), if there is no illegality, the DPFS-50 executes the session ID management program mounted on the information processing device (3) and read into the RAM (511) as a child. Called as a process, the session ID management program judges whether a session ID is required / unnecessary from the port number of the packet header of the unit data (40200), and if not required, a DPFS-50 is mounted on the information processing device (3). Then, the encryption program read in the RAM (511) is called as a child process, the unit data is subjected to an encryption process (10209), and the DPFS-50 is mounted on the information processing device (3) and is stored in the RAM (511). ) Call the second IP address translation program loaded above as a child process and The address is converted to a private address (10210), the DPFS-50 turns on SW4 (10211), sends the unit data to the information processing device (1) to send it to the external network (10212), and turns off SW4 (10213). ).
If it is determined that the session ID is necessary in the session ID necessity / unnecessity judgment (40200), it is checked whether or not the session ID exists (40201). If the session ID is registered in the unit data, , DPFS-50 calls the encryption program as a child process, performs encryption processing (10209) on the unit data, and DPFS-50 calls the second IP address conversion program as a child process to obtain the IP address. It is converted to a private address (10210), and the DPFS-50 turns on SW4 (10211), sends it to the information processing device (1) to send the unit data to the external network (10212), and turns off SW4 (10213). I do.
If the session ID information described in the unit data is not registered in the RAM (511) in the above-mentioned check of the presence or absence of the session ID (40201), the switch SW6 is turned on (40202) and the information processing device ( The registered session ID is read again from 3) (40203), SW6 is turned off (40204), and the presence or absence of a matching session ID is checked again (40205).
If the session ID is registered in the check for the presence or absence of the session ID (40205), the DPFS-50 calls the encryption program as a child process and performs encryption processing (10209) on the unit data. , DPFS-50 calls the second IP address conversion program as a child process to convert the IP address to a private address (10210), and DPFS-50 turns on SW4 (10211) and sends the unit data to the external network. The information is sent to the information processing apparatus (1) (10212), and the switch SW4 is turned off (10213).
If the session ID is not registered in the session ID check (40205), the DPFS-50 issues a new session ID, registers the new session ID in the RAM (511) (40206), and turns on the SW6 (40207). ), The session ID information is registered in the information processing device (3) (40208), the SW6 is turned off (40109), and the DPFS-50 calls the encryption program as a child process and performs encryption processing on the unit data. (10209), the DPFS-50 calls the second IP address conversion program as a child process, converts the IP address to a private address (10210), and the DPFS-50 turns on the SW4 (10211), and Information to send data to external network To processing unit (1) to the delivery (10212) and SW4 OFF (10213)
In the session ID management process, the necessity / unnecessity check (40200) and the check of the presence / absence of session ID registration information (40201) may be performed in reverse order.
When the second content filtering program deletes illegal data (10214), the DPFS-50 checks (10215) completion of the deletion (102146), and the unit data has not been deleted. In such a case, the power of the information processing device (5) is turned off (10216), thereby illegally deleting the data.
When the information processing device (6) detects that the power of the information processing device (5) is turned off (10216), the information processing device (6) sets a time period during which the data is sufficiently cleared from the RAM of the information processing device (5). After waiting, the information processing apparatus (5) is turned on again (10217).
When the system of the information processing device (5) starts, the DPFS-50 turns on the switch SW6 (10200) to connect to the information processing device (30), and connects the second content filtering program and the second content filtering program. An encryption check program, the encryption program, the decryption program, the key information, the session ID management program, the session ID information, the second IP address conversion program, and the like are read (10201), and the switch SW6 is turned off ( 10202).
The programs and data registered in the information processing apparatus (3) and used by being read into the RAM (211) include “programs and data for packet filtering” and “programs for content filtering including a virus check program”. The data "," a program for managing session ID information and session ID information ", an" IP address conversion program ", a destination management program for packets and a list thereof (hereinafter referred to as a program on the RAM (211)).
The second content filtering programs registered in the information processing device (3) and used by being read into the RAM (511) include a “content filtering program and its data” including a virus check program, and a “session filtering program”. There are a program for managing ID information and session ID information, an "IP address conversion program", a program for setting a file prohibited from being taken out and a list or database (hereinafter referred to as a program on the RAM (511)). It is desirable to be able to specify the IP address, file format, file specification, keyword setting, and the like.
In the information processing apparatus (2), the DPFS-20 mounted on the ROM changes the data amount of the program or the like on the RAM (211) without turning on the switch SW3, or the processing amount is abnormal. When the DPFS-20 detects an anomaly such as a change in the information processing device (3), the DPFS-20 deletes all data on the RAM (211) including the program and the like on the RAM (211) and turns on SW3. A program or the like on the RAM (211) mounted on the device is read.
In this deletion process, when the DPFS-20 detects that the deletion is incomplete, the DPFS-20 turns off the power of the information processing device (2).
In the information processing device (5), the DPFS-50 mounted on the ROM changes the data amount of the program or the like in the RAM (511) without turning on the switch SW6, or the processing amount is abnormal. When the DPFS-50 detects an anomaly such as a change to the information processing device (3), the DPFS-50 deletes all data on the RAM (511) including the programs and the like on the RAM (511) and turns on the SW6. A program or the like on the RAM (511) mounted on the CPU is read.
In this deletion processing, when the DPFS-50 detects that the deletion is incomplete, the DPFS-50 turns off the power of the information processing device (5).
The DPFS-20 and the DPFS-50 monitor the status of each system of the DPFS-20 and the DPFS-50 developed on the memory by an independent daemon program, and change the data amount of the program or the processing amount. When an abnormal change such as abnormal change is detected, the system is reread from each ROM.
If the abnormalities are not improved by the re-reading, the power of the information processing apparatus equipped with each of the DPFS-20 and DPFS-50 is turned off.
The method of setting the communication protocol between the communication filtering means and the router device and multiplexing the communication filtering means will be described with reference to FIG. 1 and FIGS. This will be described with reference to FIG.
In FIG. 1, when the information processing device (2) is connected to the information processing device (1) and the information processing device (7) by, for example, serial communication, a serial / TCP / IP converter such as TCP / Com is used. There is a method of making a connection, and a method of simply making a serial connection.
In the above serial connection, by using a high-speed serial interface such as Firewire <IEEE1394>, high-speed and large-capacity communication can be performed even in serial communication. Therefore, the adoption of serial communication is a bottleneck for the communication filtering processing speed. Can be eliminated.
When multiplexing is performed by the serial connection (FIG. 11), a simple serial connector can be used for the concentrator (9).
In FIG. 1, when the information processing device (2) is connected to the information processing device (1) and the information processing device (7) by TCP / IP, a peer-to-peer (peer-to-peer) connection is not assigned to the information processing device (2). When connecting to peer, the DPFS-20 issues a new session ID generated by a random number for each read request when retrieving data from the information processing device (1), and rejects reception of a packet without the session ID. As a result, undesired data transmitted from the information processing device (1) without a request from the DPFS-20 can be eliminated, and communication independence can be ensured.
When the information processing device (2) is multiplexed in the peer-to-peer connection (FIG. 11), it is desirable to use a switching hub as the line concentrator (9) for traffic reasons.
In the above peer-to-peer connection, the switches SW1 and SW2 are omitted and the information processing device (1) is directly connected to the information processing device (2), and the information processing device (2) is connected to the information processing device (4). Can obtain the same performance as the case where the switches SW1 and SW2 are provided (FIGS. 11 and 12).
[0075]
As described above, according to the present invention, the information processing apparatus (2) and the information processing apparatus (5), which are communication filtering means, are external systems by switches controlled by the communication filtering means themselves. Since the switch is connected to another information processing device and the switch is not simultaneously connected, the packet transmitted to the information processing device (1) or the information processing device (4) is transmitted at a later time. Unable to find the destination, it is pooled in the information processing device (1) or the information processing device (4) having a router function, and is temporarily stored until it is read from the information processing device (2) or the information processing device (5). Since the packet is on standby, the packet passes through the communication filtering means without any verification and passes through the internal network or the external network. It was realized filtering communication that can not be reached over click.
As described above, according to the present invention, in the first embodiment, since the communication filtering means itself has a structure in which the router retrieves communication data, the processing capacity of the communication filtering means is excessive. It does not run away due to a heavy load, and thus has a function to protect against DoS attacks.
According to the present invention, as described above, the information processing device (2) and the information processing device (5), which are the communication filtering means, must filter the packet and, at the same time, leave the packet such as voice or image. Except for the communication that cannot be established if it is not possible, by reconstructing the packet into a binary or text file, application filtering including virus checking can be performed in the same device.
As described above, according to the present invention, the information processing device (2) and the information processing device (5), which are the communication filtering means, have the management system including the switch management mounted on the ROM and transmit the data. By installing a "program on RAM" for checking the data that has been read into the RAM and reading / updating it from the information processing device (3) via a switch as needed, the management system, Both the application program substantially disables rewriting on the external network and the internal network. As a result, even if a hacker enters the information processing device (1), the hacker controls the communication filtering means. At the same time as filtering communication that cannot be hacked. I realized filtering commercial that can be used at any time up-to-date virus checking program such as a communication as an application program are.
According to the present invention, as described above, the OS of the information processing device (2), the information processing device (5), and the information processing device (6) are mounted on the ROM, so that the OS is falsified or destroyed. And so on, which realizes filtering of communication that makes it impossible to perform OS-level security attacks.
As described above, according to the present invention, the internal network cannot be viewed from the external network, and the information filtering program is installed in the information processing apparatus (3), so that the information can be transmitted from both the external network and the internal network. That it cannot be tampered with by being isolated by a switch controlled by a management program mounted on the ROM of the processing device (2) or the information processing device (5);
And performing content filtering in the information processing device (2) and the information processing device (5),
It is definitely impossible for malicious things to enter internal systems by hacking etc.
Or, if a malicious person sends some unwanted programs to the internal network,
Although the unwanted program may be operated by human factors such as permission, the system of the internal network cannot be directly operated from the external network, We realized a means of filtering communications that cannot take confidential data to an external network.
As described above, according to the present invention, the session ID is managed by the DPFS-20, the DPFS-50 and the information management means, so that the response to the packet permitted to pass can be selectively passed. Was made possible.
As described above, according to the present invention, a high-speed and large-capacity communication filtering process including content filtering is realized by multiplexing communication filtering means.
[Brief description of the drawings]
FIG. 1 is an explanatory diagram showing a schematic configuration of an embodiment of an apparatus and system of a virus and hacker intrusion prevention mechanism according to the present invention.
FIG. 2 is a flowchart showing a processing flow of a management program DPFS-20 mounted on a ROM of an information processing device (2) for communication filtering.
FIG. 3 is a diagram illustrating a process of reading a unit data into the information processing device for communication filtering (2) in the process of the management program DPFS-20 mounted on the ROM of the information processing device for communication filtering (2). It is a flowchart which shows a flow.
FIG. 4 is a flowchart showing handling of encrypted data in a process of a management program DPFS-20 installed in a ROM of the information processing apparatus (2) for communication filtering.
FIG. 5 is a flowchart illustrating a method of managing a session ID in a process of a management program DPFS-20 installed in a ROM of the information processing device (2) for communication filtering.
FIG. 6 is a flowchart showing a processing flow of a management program DPFS-50 installed in a ROM of the information processing device (5) for the second communication filtering.
FIG. 7 is a flowchart showing a process of a management program DPFS-50 installed in a ROM of the second information processing device for communication filtering (5) to read unit data into the information processing device for communication filtering (5); 6 is a flowchart showing the flow of a process for performing the process.
FIG. 8 is a flowchart showing handling of encrypted data in processing of a management program DPFS-50 mounted on a ROM of the information processing device (5) for the second communication filtering.
FIG. 9 is a flowchart showing a session ID management method in the processing of a management program DPFS-50 installed in the ROM of the information processing device (5) for the second communication filtering.
FIG. 10 is an explanatory diagram showing a schematic configuration when a communication filtering means is multiplexed in the embodiment of the apparatus and system of the virus and hacker intrusion prevention mechanism according to the present invention.
11 is an explanatory diagram showing a schematic configuration in a case where a proxy server (Proxy Server) is used as communication filtering means in the embodiment of the apparatus and system of the virus and hacker intrusion prevention mechanism according to the present invention, and FIG. FIG. 10 is a diagram for use in comparison with the embodiment shown in FIG.
FIG. 12 shows a case where a proxy server (Proxy Server) is used as communication filtering means in the embodiment of the apparatus and system of the virus and hacker intrusion prevention mechanism according to the present invention, and the communication filtering means is multiplexed. FIG. 12 is an explanatory diagram illustrating a schematic configuration, and is a diagram used for comparison with the embodiment illustrated in FIG. 11.
[Explanation of symbols]
1 Information processing device that has a router function and provides a buffering function
2 Information processing device as communication filtering means
2 'Second multiplexed information processing device (2)
2 "Multiplexed information processing device (2) Third device
2 n 'N + 1th multiplexed information processing device (2)
21. Information processing apparatus as communication filtering means excluding switch
211 RAM
212 CPU
213 ROM1: ROM with OS
214 ROM2: ROM on which application program is mounted
3 Information processing device equipped with content filtering program, etc.
4 Information processing device that has a router function and provides a buffering function
5. Information processing device as second communication filtering means
5 'Second multiplexed information processing device (5)
5 "Third multiplexed information processing device (5)
5 n 'N + 1th multiplexed information processing device (5)
51 Information processing apparatus as second communication filtering means excluding switch
511 RAM
512 CPU
513 ROM3: ROM with OS
514 ROM4: ROM on which application program is mounted
6 Information processing apparatus for restarting the system of information processing apparatus (2) and information processing apparatus (5)
61 CPU
62 ROM5: ROM with OS
63 ROM6: ROM for loading application programs
7 Information processing device with router function
8 LAN / intranet (internal network)
9 Information processing device or connector with line concentrator function
10 DNS
11 Private address dedicated DNS

Claims (10)

TCP/IPネットワークにおいて、外部ネットワークに直接接続し、ルータ機能を持つデータバッファリング手段である情報処理装置(1)と、
情報処理装置(1)からスイッチSW1をオンにしてデータを一つずつ読込み、内部ネットワーク(8)に通過させるべきではない通信データ(以下、好ましからざるデータという)をパケットフィルタリングの手法とコンテンツフィルタリングの手法によって検出し、該好ましからざるデータを削除し、通過させてもよい通信データだけをスイッチSW2をオンにして通過させるようにした通信フィルタリング手段である情報処理装置(2)と、
情報処理装置(2)を通過したデータを内部ネットワーク(8)に送出する為のルーティング手段である情報処理装置(7)と、
内部ネットワーク(8)に接続し、ルータ機能を持つ第二のデータバッファリング手段である情報処理装置(4)と、
情報処理装置(4)からスイッチSW5をオンにしてデータを一つずつ読込み、外部ネットワークに通過させるべきではないデータ若しくは外部ネットワークに通過させたくないデータ(以下、不正なデータという)を検出し、該不正なデータを削除し、通過させてもよいデータだけをスイッチSW4をオンにして情報処理装置(1)を経由して外部ネットワークに通過させるようにした第二の通信フィルタリング手段である情報処理装置(5)と、
それぞれの手段のOSと動作管理を行うプログラム(以下、DPFSという)をそれぞれのROM上に搭載し、
「パケットフィルタリングの為のプログラムとデータ」、「コンテンツフィルタリングの為の『暗号化されたデータを検出し複号化する為のプログラムと暗号の鍵情報』と『好ましからざるデータや不正なデータを検出するプログラムとそのデータ』」(以下、コンテンツフィルタリングの為のプログラムとそのデータという)、「セッションID情報を管理するプログラムとセッションID情報」および「IPアドレス変換プログラム」(以下、「パケットフィルタリングの為のデータ」、「コンテンツフィルタリングの為のプログラムとそのデータ」、「セッションID情報を管理するプログラムとセッションID情報」および「IPアドレス変換プログラム」を総称して「RAM上のプログラム等」という)を搭載すると共に、セッションID情報を情報処理装置(2)と情報処理装置(5)との間で橋渡しする機能を持ち、情報処理装置(2)および情報処理装置(5)とそれぞれのスイッチSW3およびSW6を経由して接続し、情報処理装置(2)若しくは情報処理装置(5)からの要求に応じて、前記「RAM上のプログラム等」を供給する情報管理手段である情報処理装置(3)と、
情報処理装置(2)または情報処理装置(5)が、自らの電源をオフにすることによって読込まれている通信データの削除を行った場合において、該電源のオフを検知して情報処理装置(2)または情報処理装置(5)のシステムを再起動させる為の再起動管理手段である情報処理装置(6)から構成されるシステムにおいて、各情報処理装置のOSおよび動作管理を行うプログラム(以下、DPFSという)をそれぞれのROM上に搭載し、
「RAM上のプログラム等」を情報処理装置(3)に搭載すると共に、DPFSが情報処理装置(2)および情報処理装置(5)それぞれのRAM上に読込むことで使用し、
DPFSが上記RAM上の各プログラムとデータについて異変を検出した場合は上記それぞれのRAM上にある全てのプログラムとデータを削除して、DPFSの管理するスイッチSW3およびSW6によって通信的に独立した情報処理装置(3)からスイッチSW3またはSW6をオンにして通信接続することによって「RAM上のプログラム等」を再読込するようにしたことにより、
ROM上に搭載されたOS、DPFSおよび情報処理装置(3)に搭載された「RAM上のプログラム等」」が改竄若しくは破壊されないことはもとより、RAM上に読込まれた「RAM上のプログラム等」が改竄若しくは破壊されることを防ぐと共に、
「RAM上のプログラム等」が必要に応じて随時更新可能としたことを特徴とするウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置。In a TCP / IP network, an information processing device (1) which is directly connected to an external network and is a data buffering means having a router function;
The switch SW1 is turned on from the information processing device (1) to read data one by one, and communication data (hereinafter referred to as undesired data) that should not be passed through the internal network (8) is subjected to packet filtering and content filtering. An information processing device (2) that is a communication filtering unit that detects by a method, deletes the undesired data, and turns on the switch SW2 to pass only the communication data that may be passed;
An information processing device (7), which is routing means for transmitting data passing through the information processing device (2) to the internal network (8);
An information processing device (4) connected to the internal network (8) and serving as second data buffering means having a router function;
The switch SW5 is turned on from the information processing device (4) to read data one by one, and detects data that should not be passed through the external network or data that should not be passed through the external network (hereinafter referred to as illegal data), An information processing means which is a second communication filtering means which deletes the illegal data and turns on only the data which may be passed through by turning on the switch SW4 and passing through the information processing apparatus (1) to the external network. Device (5),
The OS of each means and a program for managing the operation (hereinafter referred to as DPFS) are mounted on each ROM,
“Programs and data for packet filtering”, “Programs for detecting and decrypting encrypted data and key information for encryption” for content filtering, and “Detecting unwanted or illegal data Program and its data ”” (hereinafter referred to as content filtering program and its data), “Program for managing session ID information and session ID information”, and “IP address conversion program” (hereinafter “packet filtering Data, programs for content filtering and their data, programs for managing session ID information and session ID information, and IP address conversion programs are collectively referred to as programs on RAM. Along with mounting, Has the function of bridging ID information between the information processing device (2) and the information processing device (5), and via the information processing device (2) and the information processing device (5) via the respective switches SW3 and SW6. An information processing device (3) which is an information management means for supplying the “program on the RAM” in response to a request from the information processing device (2) or the information processing device (5);
When the information processing device (2) or the information processing device (5) deletes the communication data that has been read by turning off the power of the information processing device (2) or the information processing device (5), the information processing device ( 2) Alternatively, in a system including the information processing apparatus (6), which is a restart management unit for restarting the system of the information processing apparatus (5), an OS of each information processing apparatus and a program for performing operation management (hereinafter, referred to as “program”). , DPFS) on each ROM.
The “programs and the like on the RAM” are mounted on the information processing device (3), and the DPFS is used by reading them into the respective RAMs of the information processing device (2) and the information processing device (5).
When the DPFS detects an abnormality in each program and data on the RAM, the DPFS deletes all the programs and data on the RAM and independently processes information independent of communication by the switches SW3 and SW6 managed by the DPFS. By turning on the switch SW3 or SW6 from the device (3) and making a communication connection, the “program on the RAM” is read again,
The OS, DPFS mounted on the ROM and the “program on RAM” mounted on the information processing device (3) are not falsified or destroyed, and the “program on RAM” read on RAM. To prevent tampering or destruction,
A system for a virus and hacker intrusion prevention mechanism, an intrusion prevention method, and an information processing apparatus, wherein "a program on a RAM" can be updated as needed. 情報処理装置(2)は、情報処理装置(1)、情報処理装置(3)および情報処理装置(7)のそれぞれと、情報処理装置(2)のROMに搭載されたDPFS(以下、DPFS−20という)が制御するスイッチによって通信接続し、DPFS−20が、情報処理装置(3)に搭載され情報処理装置(2)のRAM上に読込まれている「コンテンツフィルタリングの為のプログラム」および「セッションID情報を管理するプログラム」を子プロセスとして呼びだして、「好ましからざるデータの検出やセッションID管理等」のフィルタリング処理を実行させると共に、該フィルタリング処理の状況に応じてスイッチSW1をオンにして情報処理装置(1)から通信データを読込み、またSW2をオンにしてフィルタリング処理済の通信データを情報処理装置(7)に送出し、
該フィルタリング処理において好ましからざるデータが検出された場合は該好ましからざるデータをDPFS−20が削除することによってパケットフィルタリングおよびコンテンツフィルタリングを行うようにしたことを特徴とする請求項1に記載のウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置。The information processing device (2) includes each of the information processing device (1), the information processing device (3), and the information processing device (7), and a DPFS (hereinafter, DPFS- 20), and the DPFS-20 is mounted on the information processing device (3) and loaded into the RAM of the information processing device (2) as a “program for content filtering” and “DPFS-20”. A program that manages session ID information ”is called as a child process to execute filtering processing of“ detection of undesired data, session ID management, etc. ”and turn on the switch SW1 according to the state of the filtering processing to turn on the information. The communication data is read from the processing device (1), and the communication after the filtering process is performed by turning on the SW2. The chromatography data was sent to the information processing apparatus (7),
2. The virus and hacker according to claim 1, wherein, if undesired data is detected in the filtering process, the DPFS-20 deletes the undesired data to perform packet filtering and content filtering. A system for an intrusion prevention mechanism, an intrusion prevention method, and an information processing device. 情報処理装置(5)は、情報処理装置(4)、情報処理装置(3)および情報処理装置(1)のそれぞれと、情報処理装置(5)のROMに搭載されたDPFS(以下、DPFS−50という)が制御するスイッチによって通信接続し、DPFS−50が、情報処理装置(3)に搭載され情報処理装置(5)のRAM上に読込まれている「コンテンツフィルタリングの為のプログラム」および「セッションID情報を管理するプログラム」を子プロセスとして呼びだして、「不正なデータの検出やセッションID管理等」のフィルタリング処理を実行させると共に、該フィルタリング処理の状況に応じてスイッチSW5をオンにして情報処理装置(4)から通信データを読込み、またSW4をオンにしてフィルタリング処理済の通信データを情報処理装置(1)に送出し、
該フィルタリング処理において不正なデータが検出された場合は該不正なデータをDPFS−50が削除することによってパケットフィルタリングおよびコンテンツフィルタリングを行うようようにしたことを特徴とする請求項1に記載のウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置。The information processing device (5) includes the information processing device (4), the information processing device (3), and the information processing device (1), and a DPFS (hereinafter, DPFS- 50), and the DPFS-50 is mounted on the information processing device (3) and loaded into the RAM of the information processing device (5) as a “program for content filtering” and “DPFS-50”. A program that manages session ID information ”is called as a child process to execute filtering processing of“ detection of illegal data, management of session ID, etc. ”, and switch SW5 is turned on according to the status of the filtering processing to turn on information. The communication data is read from the processing device (4), and the communication data which has been subjected to the filtering processing by turning on the SW4 is read. Sent to distribution processing unit (1),
2. The virus according to claim 1, wherein, when illegal data is detected in said filtering processing, DPFS-50 deletes said illegal data to perform packet filtering and content filtering. A system for a hacker intrusion prevention mechanism, an intrusion prevention method, and an information processing apparatus. 情報処理装置(2)と情報処理装置(1)との間、情報処理装置(2)と情報処理装置(7)との間、情報処理装置(5)と情報処理装置(4)との間および情報処理装置(5)と情報処理装置(1)との間における通信プロトコルの種類が、情報処理装置(1)または情報処理装置(4)からの情報処理装置(2)または情報処理装置(5)へのデータ送出を抑止する目的から、情報処理装置(2)および情報処理装置(5)にはIPアドレスを割当てないようにしたことによって、TCP/IP以外の通信プロトコルであっても上記情報処理装置間において通信が成立するものであればどのような通信プロトコルでも良いようにしたことを特徴とする請求項1〜請求項3に記載のウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置。Between the information processing device (2) and the information processing device (1), between the information processing device (2) and the information processing device (7), and between the information processing device (5) and the information processing device (4) And the type of communication protocol between the information processing device (5) and the information processing device (1) is information processing device (2) or information processing device (2) from the information processing device (1) or the information processing device (4). For the purpose of suppressing data transmission to 5), no IP address is assigned to the information processing device (2) and the information processing device (5), so that even if a communication protocol other than TCP / IP is used, 4. A system for preventing virus and hacker intrusion according to claim 1, wherein any communication protocol may be used as long as communication can be established between the information processing apparatuses. Prevention method and information processing apparatus. DPFS−20によって、情報処理装置(2)と、情報処理装置(1)、情報処理装置(7)および情報処理装置(3)との間の複数の通信接続スイッチSW1、SW2、SW3のそれぞれが、同時に接続状態にならないようにしたことにより、情報処理装置(1)より読込まれた通信データが情報処理装置(2)を未チェックのまま通過して情報処理装置(7)および情報処理装置(3)に到達することができないようにしたと同時に、
「スイッチが同時接続状態にならないこと」、「情報処理装置(2)と、情報処理装置(1)、情報処理装置(7)および情報処理装置(3)がTCP/IP以外の通信プロトコルにより接続されていること」および「情報処理装置(2)にはIPアドレスが割当てられていないこと」によって、情報処理装置(1)まで到達したIPパケットは最終の送信先を見つけることができない為に情報処理装置(1)のメモリ上にプールされて留まらざるを得ず、DPFS−20が該IPパケットをヘッダ情報に応じてパケット毎に若しくはバイナリデータあるいはテキストデータとして情報処理装置(2)に読込み、フィルタリング処理後にIPアドレスをグローバルアドレスからプライベートアドレスに変換して情報処理装置(7)に送出し、情報処理装置(7)がルーティング機能によって該IPパケットを送出することにより初めて該IPパケットが内部ネットワーク(8)に到達できるようにしたことを特徴とする請求項1、請求項2および請求項4に記載のウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置。With DPFS-20, each of the plurality of communication connection switches SW1, SW2, and SW3 between the information processing device (2) and the information processing device (1), the information processing device (7), and the information processing device (3) is switched. The communication data read from the information processing device (1) passes through the information processing device (2) without being checked, thereby preventing the information processing device (7) and the information processing device ( At the same time that we were unable to reach 3)
"The switches do not enter the simultaneous connection state", "The information processing device (2) and the information processing device (1), the information processing device (7), and the information processing device (3) are connected by a communication protocol other than TCP / IP." And that the information processing device (2) has not been assigned an IP address, the IP packet arriving at the information processing device (1) cannot find the final destination. DPFS-20 must be pooled on the memory of the processing device (1) and read the IP packet into the information processing device (2) for each packet or as binary data or text data according to the header information, After the filtering process, the IP address is converted from the global address to the private address and sent to the information processing device (7), 5. The information processing apparatus according to claim 1, wherein said IP packet is allowed to reach the internal network for the first time by sending said IP packet by a routing function. A system for preventing a virus and a hacker from entering, a method for preventing entry, and an information processing apparatus. DPFS−50によって、情報処理装置(5)と、情報処理装置(1)、情報処理装置(4)および情報処理装置(3)との間の複数の通信接続スイッチSW4、SW5、SW6のそれぞれが、同時に接続状態にならないようにしたことにより、情報処理装置(4)より読込まれた通信データが情報処理装置(5)を未チェックのまま通過して情報処理装置(1)および情報処理装置(3)に到達できないようにしたと同時に、
「スイッチが同時接続状態にならないこと」、「情報処理装置(5)と、情報処理装置(1)、情報処理装置(4)および情報処理装置(3)がTCP/IP以外の通信プロトコルにより接続されていること」および「情報処理装置(5)にはIPアドレスが割当てられていないこと」によって、情報処理装置(4)まで到達したIPパケットは最終の送信先を見つけることができない為に情報処理装置(5)のメモリ上にプールされて留まらざるを得ず、DPFS−50が該IPパケットをヘッダ情報に応じてパケット毎に若しくはバイナリデータあるいはテキストデータとして情報処理装置(5)に読込み、フィルタリング処理後にIPアドレスをプライベートアドレスからグローバルアドレスに変換して情報処理装置(1)に送出し、情報処理装置(1)がルーティング機能によって該IPパケットを送出することによって初めて該IPパケットが外部ネットワークに到達できるようにしたことを特徴とする請求項1、請求項3および請求項4に記載のウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置。By DPFS-50, each of the plurality of communication connection switches SW4, SW5, and SW6 between the information processing device (5) and the information processing device (1), the information processing device (4), and the information processing device (3) The communication data read from the information processing device (4) passes through the information processing device (5) without being checked by not being connected at the same time, so that the information processing device (1) and the information processing device ( At the same time as 3)
"The switches do not enter the simultaneous connection state", "The information processing device (5) is connected to the information processing device (1), the information processing device (4), and the information processing device (3) by a communication protocol other than TCP / IP. And that the information processing device (5) has not been assigned an IP address, the IP packet arriving at the information processing device (4) cannot find the final destination. The IPFS must be pooled on the memory of the processing device (5), and the DPFS-50 reads the IP packet into the information processing device (5) for each packet or as binary data or text data according to the header information, After the filtering process, the IP address is converted from the private address to the global address and sent to the information processing device (1). 5. An information processing apparatus according to claim 1, wherein said IP packet is allowed to reach an external network only by sending said IP packet by a routing function. A system for a virus and hacker intrusion prevention mechanism, an intrusion prevention method, and an information processing apparatus. 情報処理装置(2)において好ましからざるデータをOSの削除コマンド用いても削除できなかった場合、あるいは情報処理装置(5)において不正なデータをOSの削除コマンド用いても削除できなかった場合、それぞれ情報処理装置(2)または情報処理装置(5)の電源をオフにすることによって電気的に該好ましからざるデータ若しくは該不正なデータを削除するようにしたことを特徴とする請求項1〜請求項6に記載のウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置。When undesired data cannot be deleted using the OS delete command in the information processing device (2), or when illegal data cannot be deleted using the OS delete command in the information processing device (5), respectively. The information processing device (2) or the information processing device (5) is turned off to electrically delete the undesirable data or the illegal data. 7. A system, an intrusion prevention method, and an information processing apparatus for the virus and hacker intrusion prevention mechanism according to 6. 情報処理装置(2)および情報処理装置(5)と通信接続した情報処理装置で、情報処理装置(2)または情報処理装置(5)の電源がオフになったことを検知すると自動的に再起動させる再起動手段である情報処理装置(6)を持つようにしたことを特徴とする請求項1〜請求項7に記載のウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置。When the information processing device (2) and the information processing device connected to the information processing device (5) are connected to the information processing device (2) or the information processing device (5), the information processing device (2) or the information processing device (5) is automatically restarted when detecting that the power is turned off. 8. A system for a virus and hacker intrusion prevention mechanism, an intrusion prevention method, and information processing according to claim 1, further comprising an information processing device (6) that is a restart means for starting. apparatus. 情報処理装置(2)および情報処理装置(5)は起動時において、情報処理装置(3)から「RAM上のプログラム等」を読込むようにしたことを特徴とする請求項1〜請求項8に記載のウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置。9. The information processing apparatus (2) and the information processing apparatus (5) read "a program on a RAM" from the information processing apparatus (3) at the time of startup. , A system for preventing intrusion of virus and hacker, an intrusion prevention method, and an information processing apparatus. 情報処理装置(2)および情報処理装置(5)は通信ネットワークにおいて並列的に配置することで多重化され、通信データを並列的に処理できるようにしたことを特徴とする請求項1〜請求項9に記載のウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置。The information processing apparatus (2) and the information processing apparatus (5) are multiplexed by being arranged in parallel in a communication network, so that communication data can be processed in parallel. 9. A system, an intrusion prevention method, and an information processing device for the virus and hacker intrusion prevention mechanism according to 9.
JP2002301137A 2002-09-05 2002-09-05 System for virus and hacker invasion preventive mechanism, invasion prevention method, and information processing apparatus Pending JP2004104739A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002301137A JP2004104739A (en) 2002-09-05 2002-09-05 System for virus and hacker invasion preventive mechanism, invasion prevention method, and information processing apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002301137A JP2004104739A (en) 2002-09-05 2002-09-05 System for virus and hacker invasion preventive mechanism, invasion prevention method, and information processing apparatus

Publications (1)

Publication Number Publication Date
JP2004104739A true JP2004104739A (en) 2004-04-02

Family

ID=32289260

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002301137A Pending JP2004104739A (en) 2002-09-05 2002-09-05 System for virus and hacker invasion preventive mechanism, invasion prevention method, and information processing apparatus

Country Status (1)

Country Link
JP (1) JP2004104739A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100718640B1 (en) 2005-11-10 2007-05-16 홍성호 System and method for information security
US8117305B2 (en) 2006-05-25 2012-02-14 Duaxes Corporation Communication management system, communication management method, and communication control device
US8417677B2 (en) 2006-06-02 2013-04-09 Duaxes Corporation Communication management system, communication management method and communication control device
WO2013069695A1 (en) * 2011-11-07 2013-05-16 株式会社アドバンス Security box
KR20180018236A (en) * 2016-08-12 2018-02-21 진우솔루션 주식회사 Communication security method and system using a network equipment without unique number of network

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100718640B1 (en) 2005-11-10 2007-05-16 홍성호 System and method for information security
US8117305B2 (en) 2006-05-25 2012-02-14 Duaxes Corporation Communication management system, communication management method, and communication control device
US8417677B2 (en) 2006-06-02 2013-04-09 Duaxes Corporation Communication management system, communication management method and communication control device
WO2013069695A1 (en) * 2011-11-07 2013-05-16 株式会社アドバンス Security box
US9886576B2 (en) 2011-11-07 2018-02-06 Admedec Co., Ltd. Security box
KR20180018236A (en) * 2016-08-12 2018-02-21 진우솔루션 주식회사 Communication security method and system using a network equipment without unique number of network
KR101952351B1 (en) * 2016-08-12 2019-03-21 진우솔루션 주식회사 Communication security method and system using a network equipment without unique number of network

Similar Documents

Publication Publication Date Title
US11757941B2 (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
US7188366B2 (en) Distributed denial of service attack defense method and device
US7536715B2 (en) Distributed firewall system and method
US6192477B1 (en) Methods, software, and apparatus for secure communication over a computer network
US6507908B1 (en) Secure communication with mobile hosts
US5896499A (en) Embedded security processor
US7793094B2 (en) HTTP cookie protection by a network security device
US7792990B2 (en) Remote client remediation
US20020095607A1 (en) Security protection for computers and computer-networks
US20060224897A1 (en) Access control service and control server
WO2010003317A1 (en) Device, method and system for preventing web page from being tampered
JP2009295187A (en) Method for providing firewall service
US10805295B2 (en) Network switch port access control and information security
EP1574009B1 (en) Systems and apparatuses using identification data in network communication
JP2008054204A (en) Connection device, terminal device, and data confirmation program
JP2008276457A (en) Network protection program, network protection device, and network protection method
JP2004104739A (en) System for virus and hacker invasion preventive mechanism, invasion prevention method, and information processing apparatus
EP1290852A2 (en) Distributed firewall system and method
KR102628441B1 (en) Apparatus and method for protecting network
US10609064B2 (en) Network device access control and information security
JP2002223254A (en) Electronic mail secure distribution system