JP2004140618A - Packet filter device and illegal access detection device - Google Patents
Packet filter device and illegal access detection device Download PDFInfo
- Publication number
- JP2004140618A JP2004140618A JP2002303737A JP2002303737A JP2004140618A JP 2004140618 A JP2004140618 A JP 2004140618A JP 2002303737 A JP2002303737 A JP 2002303737A JP 2002303737 A JP2002303737 A JP 2002303737A JP 2004140618 A JP2004140618 A JP 2004140618A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- unauthorized access
- network
- packet filter
- filter device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、インターネットを含む通信ネットワークにおいて、悪意を持ったパケットを送信するなどの不正アクセスの侵入を検知し除去することのできるパケットフィルタ装置およびその装置を用いた不正アクセス検知装置に関するものである。
【0002】
【従来の技術】
インターネットを含む通信ネットワークにおいて、通信データはパケットという単位で送信されている。
ところで、悪意をもったパケットを送信することにより、ネットワーク機器を通信不能にしたり、ネットワークへ接続されたPCへ不正アクセスしたりすることがあり、これが社会問題化している。
【0003】
図7は、周知のネットワークシステムの一例を示す構成図である。図において、10は攻撃を受けるパーソナルコンピュータ(PC)もしくはネットワーク機器(以下総称してPC、または機器という)であり、その内部にはネットワークインターフェイスカード(以下単にインターフェイスという)11と中央処理装置(CPU)12を備えている。20は攻撃をする悪意あるPCである。30はインターネットあるいは構内LANなどの通信ネットワークである。
【0004】
このような構成において、悪意のあるPC20からネットワーク30経由で悪意あるパケットが機器10へ送信されると、機器10のインターフェイ11は受信した攻撃パケットをCPU12へ転送する。CPU12は受信した攻撃パケットのヘッダ内容を解析する機能を有しており、悪意のある攻撃パケットに含まれる特定のパターンによって誤動作を起こしてしまう。
【0005】
悪意のあるPC20からの攻撃手法としては、上記の他に、悪意のあるパケットを繰返し大量に送信することにより、CPU12の処理能力の限界を超えさせ処理動作不能に陥らせるサービス不能攻撃手法もある{サービス不能(DoS:Denial of Service )攻撃については、例えば特許文献1参照}。
【0006】
機器10としては、例えば企業や官庁のサーバ、あるいはファイアウォール(Firewall)搭載のゲートウエイ(Gateway)PCやルータ(Router)などのネットワーク機器、または侵入検出装置(IDS)などである。
【0007】
なお、ファイアウォールについては例えば特許文献2、ゲートウエイについては例えば特許文献3、ルータについては例えば特許文献1および特許文献2、IDSについては例えば特許文献1にそれぞれ記載されている。
【0008】
【特許文献1】
特開2002−252654号公報(第3頁)
【特許文献2】
特開2000−261483号公報
【特許文献3】
特開平10−271154号公報
【0009】
【発明が解決しようとする課題】
しかしながら、上記のような従来の構成においては、次のような課題があった。
(1)機器10が企業や官庁などのサーバであった場合は、攻撃パケットにより処理不能になると、当該サーバへ侵入されて、サービス停止で金銭的な損失が発生したり、重要機密データが漏洩するなどの問題が生じる。
【0010】
(2)機器10がファイアウォールを搭載したゲートウエイPCやルータなどのネットワーク機器であった場合には、ファイアウォール・ソフトウェアを処理するCPU12の負荷が増大してファイアウォール機能が動作不能に陥り、内部ネットワークへの不正アクセスが可能になる。
【0011】
(3)機器10がIDSであった場合は、CPU12の処理負荷が増加すると不正アクセスの検出率が下がり、不正侵入を見落としやすくなる。これにより内部ネットワークへの不正アクセスが可能になる。
【0012】
(4)不正侵入検知のためにIDSを設置する際、監視対象の複数サーバと同一セグメントにリピータHUBで接続したり、スイッチのミラーポートやTAPを利用するなど、ネットワーク構築が煩雑で難しかった。また、IDSを遠隔管理するためにファイアウォールの設定を変更しなければならない場合など、運用上の危険を伴う操作が必要な場合もあった。
すなわち、IDSやファイアウォールの設置や運用において、ネットワークのスケーラビリティ(拡張性)が低いということが問題であった。
【0013】
(5)DoS攻撃を受けた場合、不正アクセスを検知してから実際に対策を行うまでの間も攻撃を受け続けるため、サービスが停止してしまう可能性がある。
【0014】
本発明の目的は、上記の課題を解決するもので、悪意のあるパケットの攻撃を受けた際は当該パケットを受信せずに廃棄するようにして、PCあるいはネットワーク機器への不正アクセスを低減させることのできるパケットフィルタ装置を提供することにある。
【0015】
本発明の他の目的は、上記のパケットフィルタ装置を用いると共に機器の不正アクセスを検知するための処理を低減し、不正アクセスの検知率を高めることのできる不正アクセス検知装置を提供することにある。
【0016】
【課題を解決するための手段】
このような目的を達成するために、請求項1のパケットフィルタ装置の発明では、
受信した通信パケットをシフト伝播するシフトレジスタと、
前記通信パケットを検出パターンと比較し一致不一致の数を求め、これを判定基準に照合して状態遷移を決定し、この状態遷移に基づいて前記シフトレジスタから出力されるパケットを通過または廃棄するパケット通過/廃棄制御部
を備えたことを特徴とする。
このような構成によれば、攻撃パケットのパターンを検出した場合、容易に攻撃パケットを廃棄できる。また、特定のアドレス宛のパケットのみを通過させるように設定することも容易に可能である。
【0017】
この場合、請求項2のような要素により構成することができ、そして請求項3のように指定した情報と一致するかどうかの判定処理をハードウェア構成にて行うようにしているため、このパケットフィルタ装置はOSIの2層目以上を持たない単なるハードウェアとして認識される。
したがって、外部からの不正アクセスなどによりシステム故障することはなくネットワークの構成に影響を与えることが極めて少ないパケットフィルタ装置が得られる。
【0018】
請求項4の不正アクセス検知装置は、
ネットワークに接続された機器と、この機器の前段に設置された請求項1または2または3のパケットフィルタ装置を備え、前記機器への不正アクセスを低減させるようにしたことを特徴とする。
【0019】
この場合、請求項5のように前記機器としては、ファイアウォールを搭載したゲートウェイやルータなどのネットワーク機器、あるいは請求項6のようにIDS機能を搭載した機器でも構わない。
【0020】
請求項7の発明は、
ネットワークに接続され、IDS機能を有するサーバ機器と、
このサーバ機器の前段に設置される請求項1または2または3のパケットフィルタ装置を備え、ネットワークのOSIモデルにおける下位層が前記パケットフィルタ装置に割り当てられ、上位層がサーバ機器に割り当てられたことを特徴とする。
このように、パケットフィルタ装置で下位層の不正アクセスを除去するとサーバ機器の処理トラフィック量は容易に低減される。またサーバ機器では、監視対象を上位層で判断すべき不正アクセスのみに限定しているため、容易に監視処理のパフォーマンスを向上することができる。
【0021】
この場合、請求項8のように、パケットフィルタ装置を、前記サーバ機器宛の通信のうち必要なパケットは通過させ、DoS攻撃は除去するように構成することができる。
【0022】
また、前記パケットフィルタ装置は、請求項9のように、OSIモデルにおけるレイヤ1から4までの下位層に関連する攻撃を除去するように構成することができる。
さらに、前記サーバ機器のIDS機能には、請求項10のように上位アプリケーションに関連する不正アクセスを監視し、OSIモデルにおけるレイヤ4から7までの上位層に関連する攻撃を除去する機能を含ませることができる。
【0023】
また、請求項11のように、前記ネットワークに接続されるサーバ機器が複数個用意され、その各サーバ機器にはパケットフィルタ装置をそれぞれ前置し、各サーバに必要なフィルタ機能を前置したパケットフィルタ装置によりそれぞれ実現するようにした構成とすることもできる。
【0024】
また、請求項12のように、サーバ機器は、不正アクセスを検知した際その不正アクセスを遮断するためのパケットフィルタ設定を前記パケットフィルタ装置に対して動的に制御し、パケットフィルタ装置はそのパケットフィルタの設定に応じて特定のパケットを破棄する構成とすることもできる。
【0025】
【発明の実施の形態】
以下図面を用いて本発明を詳しく説明する。図1は本発明に係るパケットフィルタ装置の一実施例を示す要部構成図である。図2はこのパケットフィルタ装置を使用した不正アクセス検知装置の一例を示す図である。
【0026】
なお、本発明のパケットフィルタ装置は、ハードウェアで構成され、本装置をネットワークに接続しても外部からの不正アクセスなどによりシステム故障が起こることはなく、ネットワークの構成に影響を与えることが極めて少ないという特徴がある。
【0027】
図1に示されるパケットフィルタ装置40おいて、41は複数個のフリップフロップを直列接続したものであり、受信されたパケットデータを動作クロックに同期してシフトするシフトレジスタ回路、42は受信されたパケットデータが検出パターンに一致するか否かを判定するパターン判定回路、43は前記検出パターンを設定し保存しておく検出パターン設定保持回路である。
【0028】
44はパターン判定回路42の結果と判定基準データを基にパターンを通過させるか廃棄するかを決定する状態遷移決定回路、45は前記判定基準データを設定し保存しておく判定基準設定保持回路、46はシフトレジスタ回路41から出力されるパケットを状態遷移決定回路44の決定に従って通過または廃棄するパケット通過/廃棄制御回路である。
【0029】
47は受信データのヘッダ情報を一定時間蓄積するヘッダパターンキャッシュ、48は一定時間内に判定基準を超える回数の同一ヘッダのパケットがキャッシュ47内に存在した場合、このヘッダを有するパケットを廃棄するように前記検出パターン設定保持回路43および判定基準設定保持回路45へ検出パターンおよび判定基準をそれぞれ設定するキャッシュ管理・廃棄制御回路である。
以上のような構成要素から成るパケットフィルタ装置40は、図2に示すように機器10の直前に挿入される。
【0030】
なお、パターン判定回路42、検出パターン設定保持回路43、状態遷移決定回路44、判定基準設定保持回路45、パケット通過/廃棄制御回路46、ヘッダパターンキャッシュ47およびキャッシュ管理・廃棄制御回路48から成る部分を、ここではパケット通過/廃棄制御部と呼ぶ。
【0031】
このように構成された装置の動作を次に説明する。動作は次のA,Bの2通りに大別できる。なお、A,Bの動作は同時に行われる。
【0032】
[動作A]
(1)受信した通信パケットは、シフトレジスタ41と、パターン判定回路42に伝達される。
(2)パターン判定回路42は、検出パターン設定保持回路43から検出パターンデータを受け取り、受信した通信パケットとの比較(パターンマッチング)を行う。パターンが一致したかどうかの結果は状態遷移決定回路44へ渡される。
【0033】
(3)状態遷移決定回路44は、受け取った結果(一致/不一致)をカウントし、判定基準設定保持回路45の判定基準データに照らし合わせる。一定の基準を満たすと、パケットの通過または廃棄を決定する。決定情報はパケット通過/廃棄制御回路46へ伝えられる。
【0034】
(4)上記の(2)、(3)の動作中に受信されたパケットはシフトレジスタ41内に保持されている。シフトレジスタ41はFIFO構成のバッファメモリではなく直列接続のフリップフロップで構成されていて、回路の動作クロックに同期しながらシフト伝播していく。このシフトレジスタ41は、パターンが判定され、状態遷移決定回路44で判定結果が出力されるまでの間、データを保持できるだけの長さがある。
【0035】
(5)パケット通過/廃棄制御回路46は、シフトレジスタ41から出力されるパケットデータを、状態遷移決定回路44が出力する通過/廃棄の決定に従って通過または廃棄する。
(6)攻撃から保護したい機器10からネットワーク30に向かって送出されるパケットは、機器10が信頼できる機器と想定してパケットフィルタをしない。もし、双方向のパケットフィルタが必要であれば、パケットフィルタ装置を2つ用意すれば実現可能である。
【0036】
[動作B]
(1)受信した通信パケットは、シフトレジスタ41およびパターン判定回路42と共に、ヘッダパターンキャッシュ47にも伝達される。
(2)ヘッダパターンキャッシュ47は、内部にキャッシュメモリを有し、受信データのヘッダ情報をそのキャッシュメモリ内に一定時間蓄積する。キャッシュメモリ内には、受信した通信パケットの内から特定の同一パターンの個数をカウントするメモリが含まれており、同一パターンのパケットを受信するとそのカウンタ数値が増加する。
【0037】
(3)キャッシュ管理・廃棄制御回路48は前記キャッシュ47のキャッシュメモリの蓄積時間等を管理する。一定時間が経過しても判定基準に満たないカウント値のキャッシュ情報はキャッシュメモリから消去される。
(4)キャッシュ管理・廃棄制御回路48は、一定時間内に判定基準を超える回数の同一ヘッダのパケットがキャッシュメモリ内に存在した場合、このヘッダを有するパケットを廃棄する設定を、検出パターン設定保持回路43および判定基準設定保持回路45へそれぞれ設定する。
【0038】
(5)状態遷移決定回路44は、キャッシュ管理・廃棄制御回路48の設定したデータ(検出パターンおよび判定基準値)に基づいて、動作Aと同様な処理によりパケットの通過/廃棄を決定し、この情報をパケット通過/廃棄制御回路46へ伝える。
(6)パケット通過/廃棄制御回路46は、シフトレジスタ41から出力されるパケットデータを、状態遷移決定回路44が出力する通過/廃棄の判定結果に従ってパケットを通過または廃棄する。
【0039】
(7)攻撃から保護したい機器10からネットワーク30に向かって送出されるパケットは、機器10が信頼できる機器と想定してパケットフィルタをしない。もし、双方向のパケットフィルタが必要であれば、パケットフィルタ装置を2つ用意すれば実現可能である。
【0040】
以上のようなパケットフィルタ装置によれば、次のような効果がある。
(1)図2に示すように、ネットワーク30を介して外部から攻撃を受ける機器10の直前に配置したパケットフィルタ装置40はハードウェアのみで構成されるため、外部からの不正アクセスなどによりシステム故障が起こることはなく、ネットワークの構成に影響を与えることが極めて少ない。
【0041】
(2)パケットフィルタ装置40は、攻撃パケットのパターンを検出した場合、攻撃パケットを廃棄するので、機器10を不正アクセスから守ることができる。(3)例えば、機器10のIPアドレス(address)が192.168.100.1であった場合、アドレス192.168.100.1宛てのパケットのみを通過させるように設定すれば、前述の動作Aに従って不要なパケットを受信しないことにより、機器10のCPU負荷を減らすことができ、機器10の動作効率を上げることが可能になる。
【0042】
(4)例えば、悪意ある攻撃者のIPアドレス(図では???.???.???.???)から大量のpingパケットが機器10のIPアドレス(図では192.168.100.1)へ送信されて来た場合、ヘッダ内容が同一である大量のパケットがキャッシュメモリ47内でカウントされる。一定カウント値を超えると廃棄するように動作Bの設定をすることにより、このようなDoS攻撃から機器10を守ることができる。
【0043】
なお、本発明は上記実施例に限定されることなく、その本質から逸脱しない範囲で更に多くの変更、変形をも含むものである。
例えば、図2において、機器10がファイアウォールを搭載したゲートウエイPCやルータなどのネットワーク機器であった場合、ネットワーク30側に接続されるネットワークインターフェイスカード11のMACアドレス宛てのパケットのみを受信するように設定することにより、機器10の動作効率が上がるとともに、攻撃パケットによってファイアウォール機能が動作不能に陥ることを回避することができ、内部ネットワークへの不正アクセスを遮断することが可能になる。
【0044】
ファイアウォール自体にもこのようなフィルタ機能は備わっているが、攻撃パケットが大量に送られた場合には、ファイアウォール・ソフトウェアを処理するCPUの負荷が増大してファイアウォール機能自体が停止してしまうことがある。したがって、ハードウェアのパケットフィルタ装置40を用いることはファイアウォールにおいても有効である。
【0045】
また、図2において、機器10がIDSであった場合、IDSで検出する必要のない無害なパケットや、IDSのセキュリティポリシーで検出不要としたパケットを、パケットフィルタ装置40であらかじめ除去することにより、IDS装置のCPUの処理負荷を低減することが可能になる。
IDS装置は処理負荷を低減させることにより、不正アクセスの検出率が上がって不正侵入を発見しやすくなり、内部ネットワークを守ることができる。
【0046】
図3は不正アクセス検知装置の他の構成例である。この不正アクセス検知装置では1つの侵入検出装置(IDS)を用いて各機器への不正アクセスを検出するようにしている。
【0047】
図3において図2と同等部分には同一符号を付してある。図において、10aは侵入検出装置(IDS)、50は侵入検出装置10aの直前のネットワーク側に挿入接続されたファイアウォール、100はファイアウォール50を介してネットワーク30に接続されたWWWサーバ、110はファイアウォール50を介してネットワーク30に接続されたFTPサーバである。
【0048】
ファイアウォール50は特定の通信パケットのみを通過させたり廃棄させたりするためのソフトウェアであり、一般的に外部ネットワークと内部ネットワーク(構内LANなど)との間に設置し、内部ネットワークを保護する。
【0049】
IDS10は、ネットワークからの信号を受信するネットワークインターフェイスカード(NIC:Network Interface Card)11と、受信したパケットを解析して不正アクセスか否かを判断し不正アクセスの場合は警告を発する機能を有する中央処理装置(CPU:Central Processing Unit)12を備えている。
【0050】
なお、ファイアウォール50とIDS10aは共にソフトウェアであり、これらを動作させているPC自体が動作不能になった場合には、これらソフトウェアの機能も停止あるいは低下する。
【0051】
このような構成において、機器20から悪意あるパケットをネットワーク30経由で送信すると、侵入検出装置10aはすべてのパケットをネットワークインターフェイスカード11から受信し、CPU12で不正アクセスかどうかを検出する。不正アクセスが検出されると、ネットワーク管理者はその対策を行う。
【0052】
しかしながら、このような不正アクセス検知装置では次の(1)〜(3)のような問題がある。
(1)IDS10aの処理能力には限界があるため、ネットワーク帯域使用率が高い(すなわち通信トラフィック量が多い)場合は、不正アクセスを見逃してしまう検知漏れが発生する。
【0053】
(2)サービス不能(DoS:Denial of Service)攻撃を受けた場合、不正アクセスを検知してから実際に対策を行うまでの間も攻撃を受け続けるため、サービスが停止してしまう可能性がある。
(3)すべての通信パケットがIDS10aに伝わるようにネットワーク構成を工夫する必要がある。
【0054】
図4はこの点を解決する分散型IDS構成の不正アクセス検知装置の一実施例図である。本実施例の不正アクセス検知装置は、IDSが負担している処理を分散させることによりIDSでの処理負荷を低減し、不正アクセスの検知率を高めることができる。また、IDSだけで防ぎきれないDoS攻撃から攻撃対象となっている機器を守ることもできる。
さらに、IDSの設置に関わる制限をなくし、ネットワークスケーラビリティを高めることができる。
【0055】
図4において図3と同等部分には同一符号を付してある。図において、40aは40と同等のパケットフィルタ装置である。100aはWWWサーバである。ただし、WWWサーバ100aは図3におけるWWWサーバとは異なり、サーバ内にIDS機能101を備えている。また、FTPサーバ110aについても同様に、図3におけるFTPサーバとは異なり、内部にIDS機能111を備えている。
【0056】
このような構成における動作を次に説明する。なお、図5は、分散型IDS構成とOSI参照モデルの構成との対比を表わす。
(1)機器20から悪意あるパケットをネットワーク30経由で送信して、ファイアウォール50を越えて機器100aへ不正アクセスしたとする。
【0057】
(2)パケットフィルタ40は機器100a宛の通信の内、必要なパケットのみを通過させるだけでなく、大量パケット送信で相手の息の根を止めるping爆弾やSYNフラッド攻撃(SynFlood攻撃)などのDoS攻撃を除去して機器100aを守る。
この動作は、概念的には図5のOSIモデルにおける下位層(レイヤ1から4まで)に関連する攻撃を除去するものである。
【0058】
(3)機器100aはIDS機能を搭載しており、上位アプリケーションに関連する不正アクセスを重点的に監視する。この動作は、概念的には図5のOSIモデルにおける上位層(レイヤ4から7まで)に関連する攻撃を除去するものである。(4)パケットフィルタ装置40と機器100aの分担範囲は重なっていても良く、不正アクセスの解析難易度は低いが高速処理が必要である下位層は主にハードウェアで実装し、解析難易度が高くて一定期間の通信セッションを記憶する必要のある上位層を主にソフトウェアで実装する。
【0059】
このような構成によれば次のような効果がある。
(1)パケットフィルタ装置40は、パケットヘッダー部分に埋め込まれた情報[MAC(Media Access Control)アドレス、IPアドレス、パケットタイプ、ポート番号など]をもとに機械的にフィルタして行く。指定した情報と一致するかどうかの判定をハードウェアで実装するため、ネットワークトラフィック量が増えても100%処理することが可能である。
【0060】
(2)パケットフィルタ装置40は、機器100aに到達するパケットを限定するため、機器100aの処理トラフィック量を低減することができる。
(3)パケットフィルタ装置40は、下位層の不正アクセスを除去するため、機器100aの処理トラフィック量を低減することができる。
【0061】
(4)機器100aは、上位層で判断すべき不正アクセスのみに監視対象を限定するため、監視処理のパフォーマンスが向上する。監視対象が多ければ多いほど、処理漏れが生じやすい。すなわち、監視対象が多いほど監視処理のパフォーマンスは低下する。
【0062】
(5)機器100aまたは機器110aなどのように、各サーバ機器がIDS機能を持つことにより、従来のようにIDS機器の配置やIDS機器へのネットワーク経路確保を検討する必要がなくなり、ネットワークスケーラビリティが高まる。
【0063】
図6は分散型IDS構成の不正アクセス検知装置の他の実施例を示す構成図である。本装置はIDS機能とパケットフィルタ装置が連動する点が図4の装置とは異なる。
【0064】
図6において、機器100aで上位層の不正アクセスが検知された場合には、機器100aがパケットフィルタ装置40の設定を動的に制御する。以下動作を説明する。
(1)機器20が悪意あるパケットをネットワーク30経由で送信し、ファイアウォール50を越えて機器110aへ不正アクセスしたとする。
(2)パケットフィルタ装置40は、機器100a宛の通信のうち、必要なパケットのみを通過させるだけでなく、SynFlood攻撃などのDoS攻撃を除去して機器100aを守る。
(3)機器100aは、IDS機能を搭載しており、上位アプリケーションに関連する不正アクセスのみを監視する。
【0065】
(4)機器100aは、不正アクセスを検出すると、その不正アクセスを遮断するためのパケットフィルタ設定をパケットフィルタ装置に対して動的に制御する。ここで、「動的に制御する」という表現は、設定内容が時間的に変化することを意味している。例えば、一定時間だけ特定のプロトコルを破棄したり、一定時間だけ特定のIPアドレスからのアクセスを破棄したり、といった制御がある。(5)パケットフィルタ装置40は、機器100aからの設定に応じて特定のパケットを破棄することで、不正アクセスと思われる通信セッションを遮断する。
【0066】
図6に示すような構成の発明によれば次のような効果がある。
(1)下位層での不正アクセスは正常なアクセスと見分けることが困難であるため、下位層で厳しいアクセス制限を設けることは難しい。それに対して、上位層での不正アクセスは明らかに不正であることが多いので、上位層での結果をもって下位層へのアクセス制限を設定することは、容易であり、より確実なセキュリティ効果が期待できる。
【0067】
(2)IDSが不正アクセスの検出という処理に専念すると同時に、別の機器(フィルタ装置)では不正アクセスを遮断するという役割分担を明確にすることにより、負荷が分散され、それぞれの機器は処理負荷が軽減されて容易に性能の向上を図ることができる。
【0068】
(3)各サーバに対して個別にパケットフィルタ装置を前段に設置することにより、各サーバに必要なフィルタだけを設定することができる。そのため、インターネットへの接続口の大元であるファイアウォール機器に適用されているポリシーを変更する必要がなくなる。ファイアウォールの設定を変更するのは大変な作業であり、これを動的に変更するとネットワークの維持管理がより難しくなる。(4)サーバの設置場所を変更しても、移設先のファイアウォールの設定を変更する必要がなく、ネットワークスケーラビリティが高まる。
【0069】
【発明の効果】
以上説明したように本発明のパケットフィルタ装置によれば次のような効果がある。
(1)攻撃パケットのパターンを検出した場合そのパターンを容易に廃棄することができる。また、特定のアドレス宛のパケットのみを通過させるように設定することも容易にできる。
(2)また、大量のpingパケットやSynFlood攻撃パケットなどについてもそのパケットを容易に廃棄することができ、DoS攻撃にも対処できる。
【0070】
また、本発明の不正アクセス検知装置によれば次のような効果がある。
(1)他方、本発明の不正アクセス検知装置によれば、パケットフィルタ装置に後置された機器がファイアウォールを搭載したゲートウェイやルータなどのネットワーク機器であった場合、ネットワーク側に接続されるインターフェイスのMACアドレス宛のパケットのみを受信するように設定することにより、容易に機器の動作効率を上げることができると共に内部ネットワークへの不正アクセスを遮断することができる。
【0071】
(2)機器がIDSであった場合、IDSで検出不要な無害なパケットやIDSのセキュリティポリシーで検出不要としたパケットを、パケットフィルタ装置であらかじめ除去すると、容易にIDS装置の処理負荷を低減することができる。そのため不正アクセスの検出率も上がり、不正侵入の発見も容易となる。
(3)パケットフィルタ装置においてパケットヘッダー部分に埋め込まれた情報と指定した情報が一致するかどうかの判定を行っているが、その判定機構はハードウェアで実装されるため、ネットワークトラフィック量が増えても100%処理することができる。
【0072】
(4)また、パケットフィルタ装置40は後置の機器に到達するパケットを限定するため、当該機器の処理トラフィック量を容易に低減することができる。
(5)また、パケットフィルタ装置40は下位層の不正アクセスを除去するため、機器の処理トラフィック量を低減することができる。
【0073】
(6)さらに、機器は上位層で判断すべき不正アクセスのみに監視対象を限定できるため、容易に監視処理のパフォーマンスを向上させ得る。
(7)ネットワークに接続された複数個のサーバ機器がそれぞれにIDS機能を持つことにより、従来のようにIDS機器の配置やIDS機器へのネットワーク経路確保を検討する必要がなくなり、容易にネットワークスケーラビリティを高めることができる。
【0074】
(8)下位層での不正アクセスは正常なアクセスと見分けることが困難であるため、下位層で厳しいアクセス制限を設けることは難しい。それに対して、上位層での不正アクセスは明らかに不正であることが多いので、図6のような構成によって上位層での結果をもって下位層へのアクセス制限を設定することは、容易であり、より確実なセキュリティ効果が期待できる。
【0075】
(9)IDSが不正アクセスの検出という本来の処理に専念し、不正アクセスの遮断という部分をIDSとは別の機器に分担させることで、それぞれの機器は処理負荷を軽減して性能を向上することが可能になる。
(10)各サーバに対して個別にパケットフィルタ装置を前段に設置することにより、各サーバに必要なフィルタだけを設定することができる。そのため、インターネットへの接続口の大元であるファイアウォール機器に適用されているポリシーを変更する必要がなくなる。
【0076】
(11)サーバの設置場所を変更しても、移設先のファイアウォールの設定を変更する必要がなく、ネットワークスケーラビリティを高めることが容易である。
【図面の簡単な説明】
【図1】本発明に係るパケットフィルタ装置の一実施例を示す要部構成図である。
【図2】パケットフィルタ装置を設置したネットワークシステムの一例を示す図である。
【図3】本発明に係る不正アクセスを検出する不正アクセス検知装置の一例を示す構成図である。
【図4】本発明に係る分散型IDS構成の不正アクセス検知装置の一例を示す構成図である。
【図5】本発明に係る分散型IDS構成とOSI参照モデルの構成との対比を表わす図である。
【図6】分散型IDS構成の不正アクセス検知装置の他の実施例を示す構成図である。
【図7】ネットワークシステムの一例を示す構成図である。
【符号の説明】
10 機器
10a 侵入検出装置
11 ネットワークインターフェイスカード
12 CPU
20 悪意あるPC
30 ネットワーク
40,40a パケットフィルタ装置
41 シフトレジスタ回路
42 パターン判定回路
43 検出パターン設定保持回路
44 状態遷移決定回路
45 判定基準設定保持回路
46 パケット通過/廃棄回路
47 ヘッダパターンキャッシュ
48 キャッシュ管理・廃棄制御回路
50 ファイアウォール
100,100a WWWサーバ
101,111 IDS機能
110,110a FTPサーバ[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a packet filter device capable of detecting and removing intrusion of unauthorized access such as transmitting a malicious packet in a communication network including the Internet, and an unauthorized access detection device using the device. .
[0002]
[Prior art]
In a communication network including the Internet, communication data is transmitted in units of packets.
By transmitting a malicious packet, a network device may become unable to communicate or may illegally access a PC connected to the network, which has become a social problem.
[0003]
FIG. 7 is a configuration diagram illustrating an example of a known network system. In the figure,
[0004]
In such a configuration, when a malicious packet is transmitted from the
[0005]
As an attack method from the
[0006]
The
[0007]
The firewall is described in, for example,
[0008]
[Patent Document 1]
JP-A-2002-252654 (page 3)
[Patent Document 2]
JP 2000-261483 A
[Patent Document 3]
JP-A-10-271154
[0009]
[Problems to be solved by the invention]
However, the conventional configuration as described above has the following problems.
(1) If the
[0010]
(2) If the
[0011]
(3) When the
[0012]
(4) When installing an IDS for detecting intrusion, network construction is complicated and difficult, such as connecting to the same segment as a plurality of servers to be monitored by a repeater HUB or using a mirror port or TAP of a switch. In addition, there have been cases where operations involving operational danger are required, such as when the settings of a firewall must be changed in order to remotely manage an IDS.
That is, there is a problem that the scalability (extensibility) of the network is low in installation and operation of the IDS and the firewall.
[0013]
(5) When receiving a DoS attack, the service may be stopped because the attack is continued from the time when the unauthorized access is detected until the time when the countermeasures are actually taken.
[0014]
SUMMARY OF THE INVENTION An object of the present invention is to solve the above-mentioned problem. When a malicious packet is attacked, the packet is not received but discarded, thereby reducing unauthorized access to a PC or a network device. It is an object of the present invention to provide a packet filter device capable of performing such operations.
[0015]
Another object of the present invention is to provide an unauthorized access detection device that can use the above-described packet filter device, reduce the processing for detecting unauthorized access of the device, and increase the unauthorized access detection rate. .
[0016]
[Means for Solving the Problems]
In order to achieve such an object, in the invention of the packet filter device of
A shift register for shifting and propagating the received communication packet;
The communication packet is compared with a detection pattern to determine the number of matches or non-coincidences, and this is compared with a determination criterion to determine a state transition, and a packet that passes or is discarded from the shift register based on the state transition. Pass / discard control unit
It is characterized by having.
According to such a configuration, when the pattern of the attack packet is detected, the attack packet can be easily discarded. It is also possible to easily set only a packet addressed to a specific address to pass.
[0017]
In this case, the packet can be constituted by the elements as described in
Therefore, it is possible to obtain a packet filter device that does not cause a system failure due to an unauthorized access from the outside and has little influence on the network configuration.
[0018]
The unauthorized access detection device according to claim 4 is
A device connected to a network, and a packet filter device according to
[0019]
In this case, the device may be a network device such as a gateway or a router equipped with a firewall, or a device equipped with an IDS function as described in claim 6.
[0020]
The invention of
A server device connected to a network and having an IDS function;
4. The packet filter device according to
As described above, when the packet filter device removes the unauthorized access in the lower layer, the processing traffic volume of the server device is easily reduced. Further, in the server device, since the monitoring target is limited to only unauthorized access that should be determined by the upper layer, the performance of the monitoring process can be easily improved.
[0021]
In this case, it is possible to configure the packet filter device to pass necessary packets in the communication addressed to the server device and remove the DoS attack.
[0022]
Further, the packet filter device can be configured to remove an attack related to lower layers from
Further, the IDS function of the server device includes a function of monitoring an unauthorized access related to an upper application and removing an attack related to an upper layer from layer 4 to
[0023]
Further, as in
[0024]
Further, as in
[0025]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, the present invention will be described in detail with reference to the drawings. FIG. 1 is a main part configuration diagram showing one embodiment of a packet filter device according to the present invention. FIG. 2 is a diagram showing an example of an unauthorized access detection device using this packet filter device.
[0026]
It should be noted that the packet filter device of the present invention is configured by hardware, and even if the device is connected to a network, system failure does not occur due to unauthorized access from the outside, etc. There is a feature that there is little.
[0027]
In the
[0028]
44 is a state transition determination circuit that determines whether to pass or discard the pattern based on the result of the
[0029]
47 is a header pattern cache for accumulating header information of received data for a certain period of time, and 48 is for discarding a packet having this header if a packet having the same header exceeding the determination standard exists in the
The
[0030]
Note that a portion including a
[0031]
The operation of the device configured as described above will now be described. The operation can be roughly classified into the following two cases A and B. The operations A and B are performed simultaneously.
[0032]
[Operation A]
(1) The received communication packet is transmitted to the shift register 41 and the
(2) The
[0033]
(3) The state
[0034]
(4) The packet received during the operations (2) and (3) is held in the shift register 41. The shift register 41 is not composed of a buffer memory having a FIFO configuration but is composed of flip-flops connected in series, and shift-propagates in synchronization with the operation clock of the circuit. The shift register 41 has a length sufficient to hold data until the pattern is determined and the state
[0035]
(5) The packet passing / discarding
(6) Packets transmitted from the
[0036]
[Operation B]
(1) The received communication packet is transmitted to the
(2) The
[0037]
(3) The cache management / discard control circuit 48 manages the storage time of the cache memory of the
(4) The cache management / discard control circuit 48 holds a setting for discarding a packet having this header when a packet having the same header exceeding the determination criterion exists in the cache memory within a predetermined time, in a detection pattern setting. It is set in the
[0038]
(5) Based on the data (detection pattern and determination reference value) set by the cache management / discard control circuit 48, the state
(6) The packet passage / discard
[0039]
(7) Packets transmitted from the
[0040]
According to the packet filter device as described above, the following effects can be obtained.
(1) As shown in FIG. 2, since the
[0041]
(2) When detecting the pattern of the attack packet, the
[0042]
(4) For example, a large amount of ping packets are sent from the IP address of the malicious attacker (???. ???. ??????? in the figure) of the device 10 (192.168.100 in the figure). .1), a large number of packets having the same header content are counted in the
[0043]
Note that the present invention is not limited to the above-described embodiment, but includes many more changes and modifications without departing from the essence thereof.
For example, in FIG. 2, when the
[0044]
Although the firewall itself has such a filtering function, if a large number of attack packets are sent, the load on the CPU that processes the firewall software may increase and the firewall function itself may stop. is there. Therefore, the use of the hardware
[0045]
In FIG. 2, when the
By reducing the processing load, the IDS device increases the detection rate of unauthorized access, makes it easier to detect unauthorized intrusion, and protects the internal network.
[0046]
FIG. 3 shows another configuration example of the unauthorized access detection device. This unauthorized access detection device uses one intrusion detection device (IDS) to detect unauthorized access to each device.
[0047]
In FIG. 3, the same parts as those in FIG. 2 are denoted by the same reference numerals. In the figure, 10a is an intrusion detection device (IDS), 50 is a firewall inserted and connected to the network side immediately before the
[0048]
The
[0049]
The
[0050]
Note that both the
[0051]
In such a configuration, when a malicious packet is transmitted from the
[0052]
However, such an unauthorized access detection device has the following problems (1) to (3).
(1) Since the processing capacity of the IDS 10a is limited, when the network bandwidth usage rate is high (that is, when the communication traffic volume is large), detection omission that an unauthorized access is missed occurs.
[0053]
(2) If a denial of service (DoS) attack is received, the service may be stopped because the attack is continued from detection of unauthorized access until actual countermeasures are taken. .
(3) It is necessary to devise a network configuration so that all communication packets are transmitted to the IDS 10a.
[0054]
FIG. 4 is a diagram showing an embodiment of an unauthorized access detection device having a distributed IDS configuration to solve this problem. The unauthorized access detection device according to the present embodiment can reduce the processing load on the IDS and increase the detection rate of unauthorized access by dispersing the processing burdened by the IDS. In addition, it is possible to protect a device targeted for attack from a DoS attack that cannot be prevented only by the IDS.
Furthermore, it is possible to eliminate the restriction on the installation of the IDS and to enhance the network scalability.
[0055]
In FIG. 4, the same parts as those in FIG. 3 are denoted by the same reference numerals. In the figure,
[0056]
The operation in such a configuration will now be described. FIG. 5 shows a comparison between the distributed IDS configuration and the configuration of the OSI reference model.
(1) It is assumed that a malicious packet is transmitted from the
[0057]
(2) The
This operation conceptually removes an attack related to a lower layer (
[0058]
(3) The
[0059]
According to such a configuration, the following effects can be obtained.
(1) The
[0060]
(2) Since the
(3) The
[0061]
(4) The performance of the monitoring process is improved because the
[0062]
(5) Since each server device has the IDS function, such as the
[0063]
FIG. 6 is a configuration diagram showing another embodiment of an unauthorized access detection device having a distributed IDS configuration. This device differs from the device of FIG. 4 in that the IDS function and the packet filter device are linked.
[0064]
In FIG. 6, when an unauthorized access of an upper layer is detected by the
(1) It is assumed that the
(2) The
(3) The
[0065]
(4) Upon detecting an unauthorized access, the
[0066]
According to the invention having the configuration shown in FIG. 6, the following effects can be obtained.
(1) Since it is difficult to distinguish an unauthorized access in a lower layer from a normal access, it is difficult to provide a strict access restriction in a lower layer. On the other hand, unauthorized access at the upper layer is clearly unauthorized in many cases, so it is easy to set access restrictions to the lower layer based on the result at the upper layer, and a more reliable security effect is expected. it can.
[0067]
(2) At the same time that the IDS concentrates on the process of detecting unauthorized access, the load is distributed by clarifying the role sharing of blocking the unauthorized access by another device (filter device), and the load on each device is reduced. Is reduced, and the performance can be easily improved.
[0068]
(3) By installing a packet filter device individually for each server at the front stage, only a filter required for each server can be set. Therefore, there is no need to change the policy applied to the firewall device that is the origin of the connection to the Internet. Changing firewall settings is a daunting task, and changing them dynamically makes network maintenance more difficult. (4) Even when the installation location of the server is changed, it is not necessary to change the setting of the firewall at the relocation destination, and network scalability is improved.
[0069]
【The invention's effect】
As described above, according to the packet filter device of the present invention, the following effects can be obtained.
(1) When a pattern of an attack packet is detected, the pattern can be easily discarded. In addition, it can be easily set so that only a packet addressed to a specific address is passed.
(2) Also, a large number of ping packets and SynFlood attack packets can be easily discarded, and DoS attacks can be dealt with.
[0070]
Further, according to the unauthorized access detection device of the present invention, the following effects can be obtained.
(1) On the other hand, according to the unauthorized access detection device of the present invention, when the device attached to the packet filter device is a network device such as a gateway or a router equipped with a firewall, the interface connected to the network side By setting so as to receive only the packet addressed to the MAC address, it is possible to easily increase the operation efficiency of the device and to block unauthorized access to the internal network.
[0071]
(2) If the device is an IDS, if a harmless packet that is unnecessary to be detected by the IDS or a packet that is unnecessary to be detected by the security policy of the IDS is previously removed by a packet filter device, the processing load on the IDS device can be easily reduced. be able to. As a result, the detection rate of unauthorized access increases, and the detection of unauthorized intrusion becomes easy.
(3) The packet filter device determines whether the information embedded in the packet header matches the specified information. However, since the determination mechanism is implemented by hardware, the amount of network traffic increases. Can also be processed 100%.
[0072]
(4) In addition, since the
(5) Further, since the
[0073]
(6) Further, since the monitoring target can be limited to only the unauthorized access to be determined by the upper layer, the performance of the monitoring process can be easily improved.
(7) Since a plurality of server devices connected to the network each have an IDS function, there is no need to consider the arrangement of IDS devices and the securing of a network route to IDS devices as in the related art, thus facilitating network scalability. Can be increased.
[0074]
(8) Since it is difficult to distinguish an unauthorized access from a normal access in a lower layer, it is difficult to provide a strict access restriction in a lower layer. On the other hand, since unauthorized access in the upper layer is clearly unauthorized in many cases, it is easy to set the access restriction to the lower layer based on the result in the upper layer by the configuration shown in FIG. More secure security effects can be expected.
[0075]
(9) The IDS concentrates on the original process of detecting unauthorized access, and the part of blocking unauthorized access is assigned to a device different from the IDS, so that each device reduces processing load and improves performance. It becomes possible.
(10) By installing a packet filter device individually for each server at the front stage, only filters necessary for each server can be set. Therefore, there is no need to change the policy applied to the firewall device that is the origin of the Internet connection.
[0076]
(11) Even if the installation location of the server is changed, it is not necessary to change the settings of the firewall at the relocation destination, and it is easy to enhance network scalability.
[Brief description of the drawings]
FIG. 1 is a main part configuration diagram showing an embodiment of a packet filter device according to the present invention.
FIG. 2 is a diagram illustrating an example of a network system in which a packet filter device is installed.
FIG. 3 is a configuration diagram illustrating an example of an unauthorized access detection device that detects unauthorized access according to the present invention.
FIG. 4 is a configuration diagram illustrating an example of an unauthorized access detection device having a distributed IDS configuration according to the present invention.
FIG. 5 is a diagram showing a comparison between a distributed IDS configuration according to the present invention and a configuration of an OSI reference model.
FIG. 6 is a configuration diagram showing another embodiment of an unauthorized access detection device having a distributed IDS configuration.
FIG. 7 is a configuration diagram illustrating an example of a network system.
[Explanation of symbols]
10 Equipment
10a Intrusion detection device
11 Network interface card
12 CPU
20 Malicious PC
30 Network
40,40a Packet filter device
41 shift register circuit
42 Pattern Judgment Circuit
43 Detection pattern setting holding circuit
44 State transition decision circuit
45 Judgment standard setting holding circuit
46 Packet Pass / Drop Circuit
47 Header Pattern Cache
48 Cache management / discard control circuit
50 Firewall
100,100a WWW server
101,111 IDS function
110,110a FTP server
Claims (12)
前記通信パケットを検出パターンと比較し一致不一致の数を求め、これを判定基準に照合して状態遷移を決定し、この状態遷移に基づいて前記シフトレジスタから出力されるパケットを通過または廃棄するパケット通過/廃棄制御部
を備えたことを特徴とするパケットフィルタ装置。A shift register for shifting and propagating the received communication packet;
The communication packet is compared with a detection pattern to determine the number of matches and non-coincidences, and the number is compared with a determination criterion to determine a state transition. A packet filter device comprising a passage / discard control unit.
この機器の前段に設置された請求項1または2または3のパケットフィルタ装置
を備え、前記機器への不正アクセスや、サービス不能(DoS)攻撃を低減するように構成したことを特徴とする不正アクセス検知装置。Devices connected to the network,
4. An unauthorized access, comprising: the packet filter device according to claim 1, 2 or 3, which is installed in front of the device, and configured to reduce unauthorized access to the device and a denial of service (DoS) attack. Detection device.
このサーバ機器の前段に設置される請求項1または2または3のパケットフィルタ装置を備え、ネットワークのOSIモデルにおける下位層が前記パケットフィルタ装置に割り当てられ、上位層がサーバ機器に割り当てられたことを特徴とする不正アクセス検知装置。A server device connected to the network and having a function (IDS) for analyzing the contents of the attack packet and detecting unauthorized access when attacked by a malicious packet via the network;
4. The packet filter device according to claim 1, wherein said packet filter device is provided in a stage preceding said server device, wherein a lower layer in an OSI model of a network is allocated to said packet filter device, and an upper layer is allocated to said server device. Characteristic unauthorized access detection device.
前記パケットフィルタ装置はそのパケットフィルタ設定に応じて特定のパケットを破棄するように構成されたことを特徴とする請求項7ないし11のいずれかに記載の不正アクセス検知装置。The server device, when detecting an unauthorized access, dynamically controls a packet filter setting for blocking the unauthorized access to the packet filter device,
12. The unauthorized access detection device according to claim 7, wherein the packet filter device is configured to discard a specific packet according to the packet filter setting.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002303737A JP2004140618A (en) | 2002-10-18 | 2002-10-18 | Packet filter device and illegal access detection device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002303737A JP2004140618A (en) | 2002-10-18 | 2002-10-18 | Packet filter device and illegal access detection device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004140618A true JP2004140618A (en) | 2004-05-13 |
Family
ID=32451379
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002303737A Withdrawn JP2004140618A (en) | 2002-10-18 | 2002-10-18 | Packet filter device and illegal access detection device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004140618A (en) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006087832A1 (en) * | 2005-02-18 | 2006-08-24 | Duaxes Corporation | Data processing device |
JP2007243595A (en) * | 2006-03-08 | 2007-09-20 | Fuji Xerox Co Ltd | Network control apparatus and control method |
WO2009098819A1 (en) * | 2008-02-04 | 2009-08-13 | Nec Corporation | Communication system |
JP2009230418A (en) * | 2008-03-21 | 2009-10-08 | Fujitsu Ltd | Communication monitoring device, communication monitoring program and communication monitoring method |
US7865474B2 (en) | 2005-05-20 | 2011-01-04 | Duaxes Corporation | Data processing system |
US7937489B2 (en) | 2005-09-29 | 2011-05-03 | Nec Corporation | System and method for detecting port hopping |
US8073855B2 (en) | 2005-03-28 | 2011-12-06 | Duaxes Corporation | Communication control device and communication control system |
US8336092B2 (en) | 2005-02-18 | 2012-12-18 | Duaxes Corporation | Communication control device and communication control system |
KR101346330B1 (en) * | 2012-03-07 | 2014-01-03 | 주식회사 시큐아이 | Method and Apparatus For Detecting Abnormal Packets |
JP2015119386A (en) * | 2013-12-19 | 2015-06-25 | 株式会社日立製作所 | Communication relay device |
-
2002
- 2002-10-18 JP JP2002303737A patent/JP2004140618A/en not_active Withdrawn
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006087832A1 (en) * | 2005-02-18 | 2006-08-24 | Duaxes Corporation | Data processing device |
CN101147381B (en) * | 2005-02-18 | 2011-07-27 | Duaxes株式会社 | Data processing device |
US8336092B2 (en) | 2005-02-18 | 2012-12-18 | Duaxes Corporation | Communication control device and communication control system |
US8073855B2 (en) | 2005-03-28 | 2011-12-06 | Duaxes Corporation | Communication control device and communication control system |
US7865474B2 (en) | 2005-05-20 | 2011-01-04 | Duaxes Corporation | Data processing system |
US7937489B2 (en) | 2005-09-29 | 2011-05-03 | Nec Corporation | System and method for detecting port hopping |
JP2007243595A (en) * | 2006-03-08 | 2007-09-20 | Fuji Xerox Co Ltd | Network control apparatus and control method |
US7843953B2 (en) | 2006-03-08 | 2010-11-30 | Fuji Xerox Co., Ltd. | Network control device and control method |
WO2009098819A1 (en) * | 2008-02-04 | 2009-08-13 | Nec Corporation | Communication system |
JP2009230418A (en) * | 2008-03-21 | 2009-10-08 | Fujitsu Ltd | Communication monitoring device, communication monitoring program and communication monitoring method |
KR101346330B1 (en) * | 2012-03-07 | 2014-01-03 | 주식회사 시큐아이 | Method and Apparatus For Detecting Abnormal Packets |
JP2015119386A (en) * | 2013-12-19 | 2015-06-25 | 株式会社日立製作所 | Communication relay device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8392991B2 (en) | Proactive test-based differentiation method and system to mitigate low rate DoS attacks | |
KR100609170B1 (en) | system of network security and working method thereof | |
US7743134B2 (en) | Thwarting source address spoofing-based denial of service attacks | |
US7043759B2 (en) | Architecture to thwart denial of service attacks | |
US7836498B2 (en) | Device to protect victim sites during denial of service attacks | |
US8438241B2 (en) | Detecting and protecting against worm traffic on a network | |
US7617533B1 (en) | Self-quarantining network | |
EP1905197B1 (en) | System and method for detecting abnormal traffic based on early notification | |
KR101217647B1 (en) | Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs | |
US20020035628A1 (en) | Statistics collection for network traffic | |
JP2010268483A (en) | Active network defense system and method | |
WO2002021278A1 (en) | Coordinated thwarting of denial of service attacks | |
WO2002021302A1 (en) | Monitoring network traffic denial of service attacks | |
JP4774307B2 (en) | Unauthorized access monitoring device and packet relay device | |
WO2006039529A2 (en) | Network overload detection and mitigation system and method | |
Oktian et al. | Mitigating denial of service (dos) attacks in openflow networks | |
WO2008005864A2 (en) | Apparatus and method for selective mirroring | |
KR20060116741A (en) | Method and apparatus for identifying and disabling worms in communication networks | |
KR20110049282A (en) | System and method for detecting and blocking to distributed denial of service attack | |
WO2004070509A2 (en) | Detecting and protecting against worm traffic on a network | |
JP2004140618A (en) | Packet filter device and illegal access detection device | |
CN100380336C (en) | Protecting against malicious traffic | |
JP3966231B2 (en) | Network system, unauthorized access control method and program | |
JP2003099339A (en) | Infiltration-detecting and infiltration-preventing device and program therefor | |
JP2006067078A (en) | Network system and attack defense method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041213 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060828 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061006 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061006 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061109 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20061128 |