JP2004140618A - Packet filter device and illegal access detection device - Google Patents

Packet filter device and illegal access detection device Download PDF

Info

Publication number
JP2004140618A
JP2004140618A JP2002303737A JP2002303737A JP2004140618A JP 2004140618 A JP2004140618 A JP 2004140618A JP 2002303737 A JP2002303737 A JP 2002303737A JP 2002303737 A JP2002303737 A JP 2002303737A JP 2004140618 A JP2004140618 A JP 2004140618A
Authority
JP
Japan
Prior art keywords
packet
unauthorized access
network
packet filter
filter device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2002303737A
Other languages
Japanese (ja)
Inventor
Yasushi Furukawa
古川 靖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2002303737A priority Critical patent/JP2004140618A/en
Publication of JP2004140618A publication Critical patent/JP2004140618A/en
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a packet filter device that can reduce illegal accesses to a PC or network equipment by not receiving, but discarding a malicious packet in case of an attack with malicious packets. <P>SOLUTION: The packet filter device is equipped with: a shift register which shifts and propagates a received communication packet; and a packet passage/discard control part which compares the communication packet with a detection pattern to find the number of consistency and inconsistency, collates the number with criteria to determine the state transition and passes or discards the packet outputted from the shift register on the basis of the determined state transition. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、インターネットを含む通信ネットワークにおいて、悪意を持ったパケットを送信するなどの不正アクセスの侵入を検知し除去することのできるパケットフィルタ装置およびその装置を用いた不正アクセス検知装置に関するものである。
【0002】
【従来の技術】
インターネットを含む通信ネットワークにおいて、通信データはパケットという単位で送信されている。
ところで、悪意をもったパケットを送信することにより、ネットワーク機器を通信不能にしたり、ネットワークへ接続されたPCへ不正アクセスしたりすることがあり、これが社会問題化している。
【0003】
図7は、周知のネットワークシステムの一例を示す構成図である。図において、10は攻撃を受けるパーソナルコンピュータ(PC)もしくはネットワーク機器(以下総称してPC、または機器という)であり、その内部にはネットワークインターフェイスカード(以下単にインターフェイスという)11と中央処理装置(CPU)12を備えている。20は攻撃をする悪意あるPCである。30はインターネットあるいは構内LANなどの通信ネットワークである。
【0004】
このような構成において、悪意のあるPC20からネットワーク30経由で悪意あるパケットが機器10へ送信されると、機器10のインターフェイ11は受信した攻撃パケットをCPU12へ転送する。CPU12は受信した攻撃パケットのヘッダ内容を解析する機能を有しており、悪意のある攻撃パケットに含まれる特定のパターンによって誤動作を起こしてしまう。
【0005】
悪意のあるPC20からの攻撃手法としては、上記の他に、悪意のあるパケットを繰返し大量に送信することにより、CPU12の処理能力の限界を超えさせ処理動作不能に陥らせるサービス不能攻撃手法もある{サービス不能(DoS:Denial of Service )攻撃については、例えば特許文献1参照}。
【0006】
機器10としては、例えば企業や官庁のサーバ、あるいはファイアウォール(Firewall)搭載のゲートウエイ(Gateway)PCやルータ(Router)などのネットワーク機器、または侵入検出装置(IDS)などである。
【0007】
なお、ファイアウォールについては例えば特許文献2、ゲートウエイについては例えば特許文献3、ルータについては例えば特許文献1および特許文献2、IDSについては例えば特許文献1にそれぞれ記載されている。
【0008】
【特許文献1】
特開2002−252654号公報(第3頁)
【特許文献2】
特開2000−261483号公報
【特許文献3】
特開平10−271154号公報
【0009】
【発明が解決しようとする課題】
しかしながら、上記のような従来の構成においては、次のような課題があった。
(1)機器10が企業や官庁などのサーバであった場合は、攻撃パケットにより処理不能になると、当該サーバへ侵入されて、サービス停止で金銭的な損失が発生したり、重要機密データが漏洩するなどの問題が生じる。
【0010】
(2)機器10がファイアウォールを搭載したゲートウエイPCやルータなどのネットワーク機器であった場合には、ファイアウォール・ソフトウェアを処理するCPU12の負荷が増大してファイアウォール機能が動作不能に陥り、内部ネットワークへの不正アクセスが可能になる。
【0011】
(3)機器10がIDSであった場合は、CPU12の処理負荷が増加すると不正アクセスの検出率が下がり、不正侵入を見落としやすくなる。これにより内部ネットワークへの不正アクセスが可能になる。
【0012】
(4)不正侵入検知のためにIDSを設置する際、監視対象の複数サーバと同一セグメントにリピータHUBで接続したり、スイッチのミラーポートやTAPを利用するなど、ネットワーク構築が煩雑で難しかった。また、IDSを遠隔管理するためにファイアウォールの設定を変更しなければならない場合など、運用上の危険を伴う操作が必要な場合もあった。
すなわち、IDSやファイアウォールの設置や運用において、ネットワークのスケーラビリティ(拡張性)が低いということが問題であった。
【0013】
(5)DoS攻撃を受けた場合、不正アクセスを検知してから実際に対策を行うまでの間も攻撃を受け続けるため、サービスが停止してしまう可能性がある。
【0014】
本発明の目的は、上記の課題を解決するもので、悪意のあるパケットの攻撃を受けた際は当該パケットを受信せずに廃棄するようにして、PCあるいはネットワーク機器への不正アクセスを低減させることのできるパケットフィルタ装置を提供することにある。
【0015】
本発明の他の目的は、上記のパケットフィルタ装置を用いると共に機器の不正アクセスを検知するための処理を低減し、不正アクセスの検知率を高めることのできる不正アクセス検知装置を提供することにある。
【0016】
【課題を解決するための手段】
このような目的を達成するために、請求項1のパケットフィルタ装置の発明では、
受信した通信パケットをシフト伝播するシフトレジスタと、
前記通信パケットを検出パターンと比較し一致不一致の数を求め、これを判定基準に照合して状態遷移を決定し、この状態遷移に基づいて前記シフトレジスタから出力されるパケットを通過または廃棄するパケット通過/廃棄制御部
を備えたことを特徴とする。
このような構成によれば、攻撃パケットのパターンを検出した場合、容易に攻撃パケットを廃棄できる。また、特定のアドレス宛のパケットのみを通過させるように設定することも容易に可能である。
【0017】
この場合、請求項2のような要素により構成することができ、そして請求項3のように指定した情報と一致するかどうかの判定処理をハードウェア構成にて行うようにしているため、このパケットフィルタ装置はOSIの2層目以上を持たない単なるハードウェアとして認識される。
したがって、外部からの不正アクセスなどによりシステム故障することはなくネットワークの構成に影響を与えることが極めて少ないパケットフィルタ装置が得られる。
【0018】
請求項4の不正アクセス検知装置は、
ネットワークに接続された機器と、この機器の前段に設置された請求項1または2または3のパケットフィルタ装置を備え、前記機器への不正アクセスを低減させるようにしたことを特徴とする。
【0019】
この場合、請求項5のように前記機器としては、ファイアウォールを搭載したゲートウェイやルータなどのネットワーク機器、あるいは請求項6のようにIDS機能を搭載した機器でも構わない。
【0020】
請求項7の発明は、
ネットワークに接続され、IDS機能を有するサーバ機器と、
このサーバ機器の前段に設置される請求項1または2または3のパケットフィルタ装置を備え、ネットワークのOSIモデルにおける下位層が前記パケットフィルタ装置に割り当てられ、上位層がサーバ機器に割り当てられたことを特徴とする。
このように、パケットフィルタ装置で下位層の不正アクセスを除去するとサーバ機器の処理トラフィック量は容易に低減される。またサーバ機器では、監視対象を上位層で判断すべき不正アクセスのみに限定しているため、容易に監視処理のパフォーマンスを向上することができる。
【0021】
この場合、請求項8のように、パケットフィルタ装置を、前記サーバ機器宛の通信のうち必要なパケットは通過させ、DoS攻撃は除去するように構成することができる。
【0022】
また、前記パケットフィルタ装置は、請求項9のように、OSIモデルにおけるレイヤ1から4までの下位層に関連する攻撃を除去するように構成することができる。
さらに、前記サーバ機器のIDS機能には、請求項10のように上位アプリケーションに関連する不正アクセスを監視し、OSIモデルにおけるレイヤ4から7までの上位層に関連する攻撃を除去する機能を含ませることができる。
【0023】
また、請求項11のように、前記ネットワークに接続されるサーバ機器が複数個用意され、その各サーバ機器にはパケットフィルタ装置をそれぞれ前置し、各サーバに必要なフィルタ機能を前置したパケットフィルタ装置によりそれぞれ実現するようにした構成とすることもできる。
【0024】
また、請求項12のように、サーバ機器は、不正アクセスを検知した際その不正アクセスを遮断するためのパケットフィルタ設定を前記パケットフィルタ装置に対して動的に制御し、パケットフィルタ装置はそのパケットフィルタの設定に応じて特定のパケットを破棄する構成とすることもできる。
【0025】
【発明の実施の形態】
以下図面を用いて本発明を詳しく説明する。図1は本発明に係るパケットフィルタ装置の一実施例を示す要部構成図である。図2はこのパケットフィルタ装置を使用した不正アクセス検知装置の一例を示す図である。
【0026】
なお、本発明のパケットフィルタ装置は、ハードウェアで構成され、本装置をネットワークに接続しても外部からの不正アクセスなどによりシステム故障が起こることはなく、ネットワークの構成に影響を与えることが極めて少ないという特徴がある。
【0027】
図1に示されるパケットフィルタ装置40おいて、41は複数個のフリップフロップを直列接続したものであり、受信されたパケットデータを動作クロックに同期してシフトするシフトレジスタ回路、42は受信されたパケットデータが検出パターンに一致するか否かを判定するパターン判定回路、43は前記検出パターンを設定し保存しておく検出パターン設定保持回路である。
【0028】
44はパターン判定回路42の結果と判定基準データを基にパターンを通過させるか廃棄するかを決定する状態遷移決定回路、45は前記判定基準データを設定し保存しておく判定基準設定保持回路、46はシフトレジスタ回路41から出力されるパケットを状態遷移決定回路44の決定に従って通過または廃棄するパケット通過/廃棄制御回路である。
【0029】
47は受信データのヘッダ情報を一定時間蓄積するヘッダパターンキャッシュ、48は一定時間内に判定基準を超える回数の同一ヘッダのパケットがキャッシュ47内に存在した場合、このヘッダを有するパケットを廃棄するように前記検出パターン設定保持回路43および判定基準設定保持回路45へ検出パターンおよび判定基準をそれぞれ設定するキャッシュ管理・廃棄制御回路である。
以上のような構成要素から成るパケットフィルタ装置40は、図2に示すように機器10の直前に挿入される。
【0030】
なお、パターン判定回路42、検出パターン設定保持回路43、状態遷移決定回路44、判定基準設定保持回路45、パケット通過/廃棄制御回路46、ヘッダパターンキャッシュ47およびキャッシュ管理・廃棄制御回路48から成る部分を、ここではパケット通過/廃棄制御部と呼ぶ。
【0031】
このように構成された装置の動作を次に説明する。動作は次のA,Bの2通りに大別できる。なお、A,Bの動作は同時に行われる。
【0032】
[動作A]
(1)受信した通信パケットは、シフトレジスタ41と、パターン判定回路42に伝達される。
(2)パターン判定回路42は、検出パターン設定保持回路43から検出パターンデータを受け取り、受信した通信パケットとの比較(パターンマッチング)を行う。パターンが一致したかどうかの結果は状態遷移決定回路44へ渡される。
【0033】
(3)状態遷移決定回路44は、受け取った結果(一致/不一致)をカウントし、判定基準設定保持回路45の判定基準データに照らし合わせる。一定の基準を満たすと、パケットの通過または廃棄を決定する。決定情報はパケット通過/廃棄制御回路46へ伝えられる。
【0034】
(4)上記の(2)、(3)の動作中に受信されたパケットはシフトレジスタ41内に保持されている。シフトレジスタ41はFIFO構成のバッファメモリではなく直列接続のフリップフロップで構成されていて、回路の動作クロックに同期しながらシフト伝播していく。このシフトレジスタ41は、パターンが判定され、状態遷移決定回路44で判定結果が出力されるまでの間、データを保持できるだけの長さがある。
【0035】
(5)パケット通過/廃棄制御回路46は、シフトレジスタ41から出力されるパケットデータを、状態遷移決定回路44が出力する通過/廃棄の決定に従って通過または廃棄する。
(6)攻撃から保護したい機器10からネットワーク30に向かって送出されるパケットは、機器10が信頼できる機器と想定してパケットフィルタをしない。もし、双方向のパケットフィルタが必要であれば、パケットフィルタ装置を2つ用意すれば実現可能である。
【0036】
[動作B]
(1)受信した通信パケットは、シフトレジスタ41およびパターン判定回路42と共に、ヘッダパターンキャッシュ47にも伝達される。
(2)ヘッダパターンキャッシュ47は、内部にキャッシュメモリを有し、受信データのヘッダ情報をそのキャッシュメモリ内に一定時間蓄積する。キャッシュメモリ内には、受信した通信パケットの内から特定の同一パターンの個数をカウントするメモリが含まれており、同一パターンのパケットを受信するとそのカウンタ数値が増加する。
【0037】
(3)キャッシュ管理・廃棄制御回路48は前記キャッシュ47のキャッシュメモリの蓄積時間等を管理する。一定時間が経過しても判定基準に満たないカウント値のキャッシュ情報はキャッシュメモリから消去される。
(4)キャッシュ管理・廃棄制御回路48は、一定時間内に判定基準を超える回数の同一ヘッダのパケットがキャッシュメモリ内に存在した場合、このヘッダを有するパケットを廃棄する設定を、検出パターン設定保持回路43および判定基準設定保持回路45へそれぞれ設定する。
【0038】
(5)状態遷移決定回路44は、キャッシュ管理・廃棄制御回路48の設定したデータ(検出パターンおよび判定基準値)に基づいて、動作Aと同様な処理によりパケットの通過/廃棄を決定し、この情報をパケット通過/廃棄制御回路46へ伝える。
(6)パケット通過/廃棄制御回路46は、シフトレジスタ41から出力されるパケットデータを、状態遷移決定回路44が出力する通過/廃棄の判定結果に従ってパケットを通過または廃棄する。
【0039】
(7)攻撃から保護したい機器10からネットワーク30に向かって送出されるパケットは、機器10が信頼できる機器と想定してパケットフィルタをしない。もし、双方向のパケットフィルタが必要であれば、パケットフィルタ装置を2つ用意すれば実現可能である。
【0040】
以上のようなパケットフィルタ装置によれば、次のような効果がある。
(1)図2に示すように、ネットワーク30を介して外部から攻撃を受ける機器10の直前に配置したパケットフィルタ装置40はハードウェアのみで構成されるため、外部からの不正アクセスなどによりシステム故障が起こることはなく、ネットワークの構成に影響を与えることが極めて少ない。
【0041】
(2)パケットフィルタ装置40は、攻撃パケットのパターンを検出した場合、攻撃パケットを廃棄するので、機器10を不正アクセスから守ることができる。(3)例えば、機器10のIPアドレス(address)が192.168.100.1であった場合、アドレス192.168.100.1宛てのパケットのみを通過させるように設定すれば、前述の動作Aに従って不要なパケットを受信しないことにより、機器10のCPU負荷を減らすことができ、機器10の動作効率を上げることが可能になる。
【0042】
(4)例えば、悪意ある攻撃者のIPアドレス(図では???.???.???.???)から大量のpingパケットが機器10のIPアドレス(図では192.168.100.1)へ送信されて来た場合、ヘッダ内容が同一である大量のパケットがキャッシュメモリ47内でカウントされる。一定カウント値を超えると廃棄するように動作Bの設定をすることにより、このようなDoS攻撃から機器10を守ることができる。
【0043】
なお、本発明は上記実施例に限定されることなく、その本質から逸脱しない範囲で更に多くの変更、変形をも含むものである。
例えば、図2において、機器10がファイアウォールを搭載したゲートウエイPCやルータなどのネットワーク機器であった場合、ネットワーク30側に接続されるネットワークインターフェイスカード11のMACアドレス宛てのパケットのみを受信するように設定することにより、機器10の動作効率が上がるとともに、攻撃パケットによってファイアウォール機能が動作不能に陥ることを回避することができ、内部ネットワークへの不正アクセスを遮断することが可能になる。
【0044】
ファイアウォール自体にもこのようなフィルタ機能は備わっているが、攻撃パケットが大量に送られた場合には、ファイアウォール・ソフトウェアを処理するCPUの負荷が増大してファイアウォール機能自体が停止してしまうことがある。したがって、ハードウェアのパケットフィルタ装置40を用いることはファイアウォールにおいても有効である。
【0045】
また、図2において、機器10がIDSであった場合、IDSで検出する必要のない無害なパケットや、IDSのセキュリティポリシーで検出不要としたパケットを、パケットフィルタ装置40であらかじめ除去することにより、IDS装置のCPUの処理負荷を低減することが可能になる。
IDS装置は処理負荷を低減させることにより、不正アクセスの検出率が上がって不正侵入を発見しやすくなり、内部ネットワークを守ることができる。
【0046】
図3は不正アクセス検知装置の他の構成例である。この不正アクセス検知装置では1つの侵入検出装置(IDS)を用いて各機器への不正アクセスを検出するようにしている。
【0047】
図3において図2と同等部分には同一符号を付してある。図において、10aは侵入検出装置(IDS)、50は侵入検出装置10aの直前のネットワーク側に挿入接続されたファイアウォール、100はファイアウォール50を介してネットワーク30に接続されたWWWサーバ、110はファイアウォール50を介してネットワーク30に接続されたFTPサーバである。
【0048】
ファイアウォール50は特定の通信パケットのみを通過させたり廃棄させたりするためのソフトウェアであり、一般的に外部ネットワークと内部ネットワーク(構内LANなど)との間に設置し、内部ネットワークを保護する。
【0049】
IDS10は、ネットワークからの信号を受信するネットワークインターフェイスカード(NIC:Network Interface Card)11と、受信したパケットを解析して不正アクセスか否かを判断し不正アクセスの場合は警告を発する機能を有する中央処理装置(CPU:Central Processing Unit)12を備えている。
【0050】
なお、ファイアウォール50とIDS10aは共にソフトウェアであり、これらを動作させているPC自体が動作不能になった場合には、これらソフトウェアの機能も停止あるいは低下する。
【0051】
このような構成において、機器20から悪意あるパケットをネットワーク30経由で送信すると、侵入検出装置10aはすべてのパケットをネットワークインターフェイスカード11から受信し、CPU12で不正アクセスかどうかを検出する。不正アクセスが検出されると、ネットワーク管理者はその対策を行う。
【0052】
しかしながら、このような不正アクセス検知装置では次の(1)〜(3)のような問題がある。
(1)IDS10aの処理能力には限界があるため、ネットワーク帯域使用率が高い(すなわち通信トラフィック量が多い)場合は、不正アクセスを見逃してしまう検知漏れが発生する。
【0053】
(2)サービス不能(DoS:Denial of Service)攻撃を受けた場合、不正アクセスを検知してから実際に対策を行うまでの間も攻撃を受け続けるため、サービスが停止してしまう可能性がある。
(3)すべての通信パケットがIDS10aに伝わるようにネットワーク構成を工夫する必要がある。
【0054】
図4はこの点を解決する分散型IDS構成の不正アクセス検知装置の一実施例図である。本実施例の不正アクセス検知装置は、IDSが負担している処理を分散させることによりIDSでの処理負荷を低減し、不正アクセスの検知率を高めることができる。また、IDSだけで防ぎきれないDoS攻撃から攻撃対象となっている機器を守ることもできる。
さらに、IDSの設置に関わる制限をなくし、ネットワークスケーラビリティを高めることができる。
【0055】
図4において図3と同等部分には同一符号を付してある。図において、40aは40と同等のパケットフィルタ装置である。100aはWWWサーバである。ただし、WWWサーバ100aは図3におけるWWWサーバとは異なり、サーバ内にIDS機能101を備えている。また、FTPサーバ110aについても同様に、図3におけるFTPサーバとは異なり、内部にIDS機能111を備えている。
【0056】
このような構成における動作を次に説明する。なお、図5は、分散型IDS構成とOSI参照モデルの構成との対比を表わす。
(1)機器20から悪意あるパケットをネットワーク30経由で送信して、ファイアウォール50を越えて機器100aへ不正アクセスしたとする。
【0057】
(2)パケットフィルタ40は機器100a宛の通信の内、必要なパケットのみを通過させるだけでなく、大量パケット送信で相手の息の根を止めるping爆弾やSYNフラッド攻撃(SynFlood攻撃)などのDoS攻撃を除去して機器100aを守る。
この動作は、概念的には図5のOSIモデルにおける下位層(レイヤ1から4まで)に関連する攻撃を除去するものである。
【0058】
(3)機器100aはIDS機能を搭載しており、上位アプリケーションに関連する不正アクセスを重点的に監視する。この動作は、概念的には図5のOSIモデルにおける上位層(レイヤ4から7まで)に関連する攻撃を除去するものである。(4)パケットフィルタ装置40と機器100aの分担範囲は重なっていても良く、不正アクセスの解析難易度は低いが高速処理が必要である下位層は主にハードウェアで実装し、解析難易度が高くて一定期間の通信セッションを記憶する必要のある上位層を主にソフトウェアで実装する。
【0059】
このような構成によれば次のような効果がある。
(1)パケットフィルタ装置40は、パケットヘッダー部分に埋め込まれた情報[MAC(Media Access Control)アドレス、IPアドレス、パケットタイプ、ポート番号など]をもとに機械的にフィルタして行く。指定した情報と一致するかどうかの判定をハードウェアで実装するため、ネットワークトラフィック量が増えても100%処理することが可能である。
【0060】
(2)パケットフィルタ装置40は、機器100aに到達するパケットを限定するため、機器100aの処理トラフィック量を低減することができる。
(3)パケットフィルタ装置40は、下位層の不正アクセスを除去するため、機器100aの処理トラフィック量を低減することができる。
【0061】
(4)機器100aは、上位層で判断すべき不正アクセスのみに監視対象を限定するため、監視処理のパフォーマンスが向上する。監視対象が多ければ多いほど、処理漏れが生じやすい。すなわち、監視対象が多いほど監視処理のパフォーマンスは低下する。
【0062】
(5)機器100aまたは機器110aなどのように、各サーバ機器がIDS機能を持つことにより、従来のようにIDS機器の配置やIDS機器へのネットワーク経路確保を検討する必要がなくなり、ネットワークスケーラビリティが高まる。
【0063】
図6は分散型IDS構成の不正アクセス検知装置の他の実施例を示す構成図である。本装置はIDS機能とパケットフィルタ装置が連動する点が図4の装置とは異なる。
【0064】
図6において、機器100aで上位層の不正アクセスが検知された場合には、機器100aがパケットフィルタ装置40の設定を動的に制御する。以下動作を説明する。
(1)機器20が悪意あるパケットをネットワーク30経由で送信し、ファイアウォール50を越えて機器110aへ不正アクセスしたとする。
(2)パケットフィルタ装置40は、機器100a宛の通信のうち、必要なパケットのみを通過させるだけでなく、SynFlood攻撃などのDoS攻撃を除去して機器100aを守る。
(3)機器100aは、IDS機能を搭載しており、上位アプリケーションに関連する不正アクセスのみを監視する。
【0065】
(4)機器100aは、不正アクセスを検出すると、その不正アクセスを遮断するためのパケットフィルタ設定をパケットフィルタ装置に対して動的に制御する。ここで、「動的に制御する」という表現は、設定内容が時間的に変化することを意味している。例えば、一定時間だけ特定のプロトコルを破棄したり、一定時間だけ特定のIPアドレスからのアクセスを破棄したり、といった制御がある。(5)パケットフィルタ装置40は、機器100aからの設定に応じて特定のパケットを破棄することで、不正アクセスと思われる通信セッションを遮断する。
【0066】
図6に示すような構成の発明によれば次のような効果がある。
(1)下位層での不正アクセスは正常なアクセスと見分けることが困難であるため、下位層で厳しいアクセス制限を設けることは難しい。それに対して、上位層での不正アクセスは明らかに不正であることが多いので、上位層での結果をもって下位層へのアクセス制限を設定することは、容易であり、より確実なセキュリティ効果が期待できる。
【0067】
(2)IDSが不正アクセスの検出という処理に専念すると同時に、別の機器(フィルタ装置)では不正アクセスを遮断するという役割分担を明確にすることにより、負荷が分散され、それぞれの機器は処理負荷が軽減されて容易に性能の向上を図ることができる。
【0068】
(3)各サーバに対して個別にパケットフィルタ装置を前段に設置することにより、各サーバに必要なフィルタだけを設定することができる。そのため、インターネットへの接続口の大元であるファイアウォール機器に適用されているポリシーを変更する必要がなくなる。ファイアウォールの設定を変更するのは大変な作業であり、これを動的に変更するとネットワークの維持管理がより難しくなる。(4)サーバの設置場所を変更しても、移設先のファイアウォールの設定を変更する必要がなく、ネットワークスケーラビリティが高まる。
【0069】
【発明の効果】
以上説明したように本発明のパケットフィルタ装置によれば次のような効果がある。
(1)攻撃パケットのパターンを検出した場合そのパターンを容易に廃棄することができる。また、特定のアドレス宛のパケットのみを通過させるように設定することも容易にできる。
(2)また、大量のpingパケットやSynFlood攻撃パケットなどについてもそのパケットを容易に廃棄することができ、DoS攻撃にも対処できる。
【0070】
また、本発明の不正アクセス検知装置によれば次のような効果がある。
(1)他方、本発明の不正アクセス検知装置によれば、パケットフィルタ装置に後置された機器がファイアウォールを搭載したゲートウェイやルータなどのネットワーク機器であった場合、ネットワーク側に接続されるインターフェイスのMACアドレス宛のパケットのみを受信するように設定することにより、容易に機器の動作効率を上げることができると共に内部ネットワークへの不正アクセスを遮断することができる。
【0071】
(2)機器がIDSであった場合、IDSで検出不要な無害なパケットやIDSのセキュリティポリシーで検出不要としたパケットを、パケットフィルタ装置であらかじめ除去すると、容易にIDS装置の処理負荷を低減することができる。そのため不正アクセスの検出率も上がり、不正侵入の発見も容易となる。
(3)パケットフィルタ装置においてパケットヘッダー部分に埋め込まれた情報と指定した情報が一致するかどうかの判定を行っているが、その判定機構はハードウェアで実装されるため、ネットワークトラフィック量が増えても100%処理することができる。
【0072】
(4)また、パケットフィルタ装置40は後置の機器に到達するパケットを限定するため、当該機器の処理トラフィック量を容易に低減することができる。
(5)また、パケットフィルタ装置40は下位層の不正アクセスを除去するため、機器の処理トラフィック量を低減することができる。
【0073】
(6)さらに、機器は上位層で判断すべき不正アクセスのみに監視対象を限定できるため、容易に監視処理のパフォーマンスを向上させ得る。
(7)ネットワークに接続された複数個のサーバ機器がそれぞれにIDS機能を持つことにより、従来のようにIDS機器の配置やIDS機器へのネットワーク経路確保を検討する必要がなくなり、容易にネットワークスケーラビリティを高めることができる。
【0074】
(8)下位層での不正アクセスは正常なアクセスと見分けることが困難であるため、下位層で厳しいアクセス制限を設けることは難しい。それに対して、上位層での不正アクセスは明らかに不正であることが多いので、図6のような構成によって上位層での結果をもって下位層へのアクセス制限を設定することは、容易であり、より確実なセキュリティ効果が期待できる。
【0075】
(9)IDSが不正アクセスの検出という本来の処理に専念し、不正アクセスの遮断という部分をIDSとは別の機器に分担させることで、それぞれの機器は処理負荷を軽減して性能を向上することが可能になる。
(10)各サーバに対して個別にパケットフィルタ装置を前段に設置することにより、各サーバに必要なフィルタだけを設定することができる。そのため、インターネットへの接続口の大元であるファイアウォール機器に適用されているポリシーを変更する必要がなくなる。
【0076】
(11)サーバの設置場所を変更しても、移設先のファイアウォールの設定を変更する必要がなく、ネットワークスケーラビリティを高めることが容易である。
【図面の簡単な説明】
【図1】本発明に係るパケットフィルタ装置の一実施例を示す要部構成図である。
【図2】パケットフィルタ装置を設置したネットワークシステムの一例を示す図である。
【図3】本発明に係る不正アクセスを検出する不正アクセス検知装置の一例を示す構成図である。
【図4】本発明に係る分散型IDS構成の不正アクセス検知装置の一例を示す構成図である。
【図5】本発明に係る分散型IDS構成とOSI参照モデルの構成との対比を表わす図である。
【図6】分散型IDS構成の不正アクセス検知装置の他の実施例を示す構成図である。
【図7】ネットワークシステムの一例を示す構成図である。
【符号の説明】
10 機器
10a 侵入検出装置
11 ネットワークインターフェイスカード
12 CPU
20 悪意あるPC
30 ネットワーク
40,40a パケットフィルタ装置
41 シフトレジスタ回路
42 パターン判定回路
43 検出パターン設定保持回路
44 状態遷移決定回路
45 判定基準設定保持回路
46 パケット通過/廃棄回路
47 ヘッダパターンキャッシュ
48 キャッシュ管理・廃棄制御回路
50 ファイアウォール
100,100a WWWサーバ
101,111 IDS機能
110,110a FTPサーバ[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a packet filter device capable of detecting and removing intrusion of unauthorized access such as transmitting a malicious packet in a communication network including the Internet, and an unauthorized access detection device using the device. .
[0002]
[Prior art]
In a communication network including the Internet, communication data is transmitted in units of packets.
By transmitting a malicious packet, a network device may become unable to communicate or may illegally access a PC connected to the network, which has become a social problem.
[0003]
FIG. 7 is a configuration diagram illustrating an example of a known network system. In the figure, reference numeral 10 denotes a personal computer (PC) or a network device (hereinafter, collectively referred to as PC or device) to be attacked, in which a network interface card (hereinafter simply referred to as an interface) 11 and a central processing unit (CPU) are provided. ) 12 are provided. Reference numeral 20 denotes a malicious PC that attacks. Reference numeral 30 denotes a communication network such as the Internet or a private LAN.
[0004]
In such a configuration, when a malicious packet is transmitted from the malicious PC 20 to the device 10 via the network 30, the interface 11 of the device 10 transfers the received attack packet to the CPU 12. The CPU 12 has a function of analyzing the header content of the received attack packet, and causes a malfunction due to a specific pattern included in the malicious attack packet.
[0005]
As an attack method from the malicious PC 20, there is also a denial-of-service attack method in which the processing capacity of the CPU 12 is exceeded and the processing operation is disabled by repeatedly transmitting a large number of malicious packets. {For a Denial of Service (DoS) attack, see, for example, Patent Document 1}.
[0006]
The device 10 is, for example, a server of a company or a government office, a network device such as a gateway PC or a router (Router) equipped with a firewall, or an intrusion detection device (IDS).
[0007]
The firewall is described in, for example, Patent Document 2, the gateway is described in, for example, Patent Document 3, the router is described in, for example, Patent Documents 1 and 2, and the IDS is described in, for example, Patent Document 1.
[0008]
[Patent Document 1]
JP-A-2002-252654 (page 3)
[Patent Document 2]
JP 2000-261483 A
[Patent Document 3]
JP-A-10-271154
[0009]
[Problems to be solved by the invention]
However, the conventional configuration as described above has the following problems.
(1) If the device 10 is a server such as a company or government office, if it cannot be processed due to an attack packet, the device 10 is invaded by the server and causes a financial loss due to service interruption or leakage of important confidential data. Problems occur.
[0010]
(2) If the device 10 is a network device such as a gateway PC or a router equipped with a firewall, the load on the CPU 12 that processes the firewall software increases, and the firewall function becomes inoperable. Unauthorized access becomes possible.
[0011]
(3) When the device 10 is an IDS, if the processing load on the CPU 12 increases, the detection rate of unauthorized access decreases, and it becomes easy to overlook unauthorized intrusion. This allows unauthorized access to the internal network.
[0012]
(4) When installing an IDS for detecting intrusion, network construction is complicated and difficult, such as connecting to the same segment as a plurality of servers to be monitored by a repeater HUB or using a mirror port or TAP of a switch. In addition, there have been cases where operations involving operational danger are required, such as when the settings of a firewall must be changed in order to remotely manage an IDS.
That is, there is a problem that the scalability (extensibility) of the network is low in installation and operation of the IDS and the firewall.
[0013]
(5) When receiving a DoS attack, the service may be stopped because the attack is continued from the time when the unauthorized access is detected until the time when the countermeasures are actually taken.
[0014]
SUMMARY OF THE INVENTION An object of the present invention is to solve the above-mentioned problem. When a malicious packet is attacked, the packet is not received but discarded, thereby reducing unauthorized access to a PC or a network device. It is an object of the present invention to provide a packet filter device capable of performing such operations.
[0015]
Another object of the present invention is to provide an unauthorized access detection device that can use the above-described packet filter device, reduce the processing for detecting unauthorized access of the device, and increase the unauthorized access detection rate. .
[0016]
[Means for Solving the Problems]
In order to achieve such an object, in the invention of the packet filter device of claim 1,
A shift register for shifting and propagating the received communication packet;
The communication packet is compared with a detection pattern to determine the number of matches or non-coincidences, and this is compared with a determination criterion to determine a state transition, and a packet that passes or is discarded from the shift register based on the state transition. Pass / discard control unit
It is characterized by having.
According to such a configuration, when the pattern of the attack packet is detected, the attack packet can be easily discarded. It is also possible to easily set only a packet addressed to a specific address to pass.
[0017]
In this case, the packet can be constituted by the elements as described in claim 2, and the processing for determining whether or not the information matches the specified information is performed by a hardware configuration as in claim 3. The filter device is perceived as mere hardware having no second or higher OSI layer.
Therefore, it is possible to obtain a packet filter device that does not cause a system failure due to an unauthorized access from the outside and has little influence on the network configuration.
[0018]
The unauthorized access detection device according to claim 4 is
A device connected to a network, and a packet filter device according to claim 1, 2 or 3 installed before the device, to reduce unauthorized access to the device.
[0019]
In this case, the device may be a network device such as a gateway or a router equipped with a firewall, or a device equipped with an IDS function as described in claim 6.
[0020]
The invention of claim 7 is
A server device connected to a network and having an IDS function;
4. The packet filter device according to claim 1, wherein said packet filter device is provided at a stage preceding said server device, wherein a lower layer in an OSI model of a network is assigned to said packet filter device, and an upper layer is assigned to said server device. Features.
As described above, when the packet filter device removes the unauthorized access in the lower layer, the processing traffic volume of the server device is easily reduced. Further, in the server device, since the monitoring target is limited to only unauthorized access that should be determined by the upper layer, the performance of the monitoring process can be easily improved.
[0021]
In this case, it is possible to configure the packet filter device to pass necessary packets in the communication addressed to the server device and remove the DoS attack.
[0022]
Further, the packet filter device can be configured to remove an attack related to lower layers from layer 1 to layer 4 in the OSI model.
Further, the IDS function of the server device includes a function of monitoring an unauthorized access related to an upper application and removing an attack related to an upper layer from layer 4 to layer 7 in the OSI model. be able to.
[0023]
Further, as in claim 11, a plurality of server devices connected to the network are prepared, each of the server devices is provided with a packet filter device in front thereof, and a packet function having a filter function required for each server is provided in front thereof. It is also possible to adopt a configuration realized by each of the filter devices.
[0024]
Further, as in claim 12, when detecting an unauthorized access, the server device dynamically controls the packet filter device to set a packet filter for blocking the unauthorized access, and the packet filter device determines the packet filter. A configuration in which a specific packet is discarded according to the setting of the filter may be adopted.
[0025]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, the present invention will be described in detail with reference to the drawings. FIG. 1 is a main part configuration diagram showing one embodiment of a packet filter device according to the present invention. FIG. 2 is a diagram showing an example of an unauthorized access detection device using this packet filter device.
[0026]
It should be noted that the packet filter device of the present invention is configured by hardware, and even if the device is connected to a network, system failure does not occur due to unauthorized access from the outside, etc. There is a feature that there is little.
[0027]
In the packet filter device 40 shown in FIG. 1, reference numeral 41 denotes a serial connection of a plurality of flip-flops, a shift register circuit for shifting received packet data in synchronization with an operation clock, and 42 a received register data. A pattern determination circuit 43 determines whether or not the packet data matches the detection pattern. Reference numeral 43 denotes a detection pattern setting holding circuit that sets and stores the detection pattern.
[0028]
44 is a state transition determination circuit that determines whether to pass or discard the pattern based on the result of the pattern determination circuit 42 and the determination reference data, 45 is a determination reference setting holding circuit that sets and stores the determination reference data, Reference numeral 46 denotes a packet passing / discarding control circuit for passing or discarding a packet output from the shift register circuit 41 according to the determination of the state transition determining circuit 44.
[0029]
47 is a header pattern cache for accumulating header information of received data for a certain period of time, and 48 is for discarding a packet having this header if a packet having the same header exceeding the determination standard exists in the cache 47 within a certain period of time. A cache management / discard control circuit for setting a detection pattern and a criterion in the detection pattern setting and holding circuit 43 and the criterion setting and holding circuit 45, respectively.
The packet filter device 40 including the above components is inserted immediately before the device 10 as shown in FIG.
[0030]
Note that a portion including a pattern determination circuit 42, a detection pattern setting holding circuit 43, a state transition determining circuit 44, a determination criterion setting holding circuit 45, a packet passing / discarding control circuit 46, a header pattern cache 47, and a cache management / discarding control circuit 48. Is referred to as a packet passing / discarding control unit here.
[0031]
The operation of the device configured as described above will now be described. The operation can be roughly classified into the following two cases A and B. The operations A and B are performed simultaneously.
[0032]
[Operation A]
(1) The received communication packet is transmitted to the shift register 41 and the pattern determination circuit 42.
(2) The pattern determination circuit 42 receives the detection pattern data from the detection pattern setting and holding circuit 43, and performs comparison (pattern matching) with the received communication packet. The result of whether the patterns match is passed to the state transition determination circuit 44.
[0033]
(3) The state transition determining circuit 44 counts the received result (match / mismatch) and compares the result with the criterion data of the criterion setting holding circuit 45. If certain criteria are met, the decision is made to pass or drop the packet. The decision information is transmitted to the packet passing / dropping control circuit 46.
[0034]
(4) The packet received during the operations (2) and (3) is held in the shift register 41. The shift register 41 is not composed of a buffer memory having a FIFO configuration but is composed of flip-flops connected in series, and shift-propagates in synchronization with the operation clock of the circuit. The shift register 41 has a length sufficient to hold data until the pattern is determined and the state transition determination circuit 44 outputs the determination result.
[0035]
(5) The packet passing / discarding control circuit 46 passes or discards the packet data output from the shift register 41 in accordance with the pass / discard determination output from the state transition determining circuit 44.
(6) Packets transmitted from the device 10 to be protected from an attack toward the network 30 are not subjected to packet filtering on the assumption that the device 10 is a reliable device. If a bidirectional packet filter is required, it can be realized by preparing two packet filter devices.
[0036]
[Operation B]
(1) The received communication packet is transmitted to the header pattern cache 47 together with the shift register 41 and the pattern determination circuit 42.
(2) The header pattern cache 47 has a cache memory inside, and stores header information of received data in the cache memory for a certain period of time. The cache memory includes a memory for counting the number of specific identical patterns from among the received communication packets, and when a packet of the same pattern is received, the counter value increases.
[0037]
(3) The cache management / discard control circuit 48 manages the storage time of the cache memory of the cache 47 and the like. Cache information with a count value that does not satisfy the criteria even after a certain time has elapsed is deleted from the cache memory.
(4) The cache management / discard control circuit 48 holds a setting for discarding a packet having this header when a packet having the same header exceeding the determination criterion exists in the cache memory within a predetermined time, in a detection pattern setting. It is set in the circuit 43 and the judgment reference setting holding circuit 45, respectively.
[0038]
(5) Based on the data (detection pattern and determination reference value) set by the cache management / discard control circuit 48, the state transition determination circuit 44 determines the passage / discard of the packet by the same processing as in the operation A. The information is transmitted to the packet passing / discarding control circuit 46.
(6) The packet passage / discard control circuit 46 passes or discards the packet data output from the shift register 41 in accordance with the result of the pass / discard determination output from the state transition determination circuit 44.
[0039]
(7) Packets transmitted from the device 10 to be protected from an attack toward the network 30 are not subjected to packet filtering, assuming that the device 10 is a reliable device. If a bidirectional packet filter is required, it can be realized by preparing two packet filter devices.
[0040]
According to the packet filter device as described above, the following effects can be obtained.
(1) As shown in FIG. 2, since the packet filter device 40 disposed immediately before the device 10 that is attacked from the outside via the network 30 is constituted only by hardware, a system failure occurs due to unauthorized access from the outside. Does not occur, and the configuration of the network is hardly affected.
[0041]
(2) When detecting the pattern of the attack packet, the packet filter device 40 discards the attack packet, so that the device 10 can be protected from unauthorized access. (3) For example, when the IP address (address) of the device 10 is 192.168.100.1, if the setting is made so that only the packet addressed to the address 192.168.10.0.1 is passed, the above-described operation is performed. By not receiving unnecessary packets according to A, the CPU load of the device 10 can be reduced, and the operation efficiency of the device 10 can be increased.
[0042]
(4) For example, a large amount of ping packets are sent from the IP address of the malicious attacker (???. ???. ??????? in the figure) of the device 10 (192.168.100 in the figure). .1), a large number of packets having the same header content are counted in the cache memory 47. By setting the operation B so that the device 10 is discarded when the count exceeds a certain count value, the device 10 can be protected from such a DoS attack.
[0043]
Note that the present invention is not limited to the above-described embodiment, but includes many more changes and modifications without departing from the essence thereof.
For example, in FIG. 2, when the device 10 is a network device such as a gateway PC or a router equipped with a firewall, a setting is made to receive only packets addressed to the MAC address of the network interface card 11 connected to the network 30. By doing so, the operation efficiency of the device 10 is increased, and it is possible to prevent the firewall function from becoming inoperable due to the attack packet, and it is possible to block unauthorized access to the internal network.
[0044]
Although the firewall itself has such a filtering function, if a large number of attack packets are sent, the load on the CPU that processes the firewall software may increase and the firewall function itself may stop. is there. Therefore, the use of the hardware packet filter device 40 is also effective in a firewall.
[0045]
In FIG. 2, when the device 10 is an IDS, the packet filter device 40 removes harmless packets that do not need to be detected by the IDS and packets that do not need to be detected by the security policy of the IDS in advance. The processing load on the CPU of the IDS device can be reduced.
By reducing the processing load, the IDS device increases the detection rate of unauthorized access, makes it easier to detect unauthorized intrusion, and protects the internal network.
[0046]
FIG. 3 shows another configuration example of the unauthorized access detection device. This unauthorized access detection device uses one intrusion detection device (IDS) to detect unauthorized access to each device.
[0047]
In FIG. 3, the same parts as those in FIG. 2 are denoted by the same reference numerals. In the figure, 10a is an intrusion detection device (IDS), 50 is a firewall inserted and connected to the network side immediately before the intrusion detection device 10a, 100 is a WWW server connected to the network 30 via the firewall 50, and 110 is a firewall 50 Is an FTP server connected to the network 30 via.
[0048]
The firewall 50 is software for passing or discarding only specific communication packets, and is generally installed between an external network and an internal network (such as a local LAN) to protect the internal network.
[0049]
The IDS 10 has a network interface card (NIC: Network Interface Card) 11 for receiving a signal from a network, and a central unit having a function of analyzing a received packet to determine whether or not the access is unauthorized and issuing a warning in the case of an unauthorized access. A processing device (CPU: Central Processing Unit) 12 is provided.
[0050]
Note that both the firewall 50 and the IDS 10a are software, and when the PC that operates them is inoperable, the functions of these software are stopped or deteriorated.
[0051]
In such a configuration, when a malicious packet is transmitted from the device 20 via the network 30, the intrusion detection device 10a receives all the packets from the network interface card 11, and the CPU 12 detects whether or not the access is unauthorized. When unauthorized access is detected, the network administrator takes measures against it.
[0052]
However, such an unauthorized access detection device has the following problems (1) to (3).
(1) Since the processing capacity of the IDS 10a is limited, when the network bandwidth usage rate is high (that is, when the communication traffic volume is large), detection omission that an unauthorized access is missed occurs.
[0053]
(2) If a denial of service (DoS) attack is received, the service may be stopped because the attack is continued from detection of unauthorized access until actual countermeasures are taken. .
(3) It is necessary to devise a network configuration so that all communication packets are transmitted to the IDS 10a.
[0054]
FIG. 4 is a diagram showing an embodiment of an unauthorized access detection device having a distributed IDS configuration to solve this problem. The unauthorized access detection device according to the present embodiment can reduce the processing load on the IDS and increase the detection rate of unauthorized access by dispersing the processing burdened by the IDS. In addition, it is possible to protect a device targeted for attack from a DoS attack that cannot be prevented only by the IDS.
Furthermore, it is possible to eliminate the restriction on the installation of the IDS and to enhance the network scalability.
[0055]
In FIG. 4, the same parts as those in FIG. 3 are denoted by the same reference numerals. In the figure, reference numeral 40a denotes a packet filter device equivalent to 40. 100a is a WWW server. However, unlike the WWW server in FIG. 3, the WWW server 100a has an IDS function 101 in the server. Similarly, the FTP server 110a has an IDS function 111 therein unlike the FTP server in FIG.
[0056]
The operation in such a configuration will now be described. FIG. 5 shows a comparison between the distributed IDS configuration and the configuration of the OSI reference model.
(1) It is assumed that a malicious packet is transmitted from the device 20 via the network 30 and illegally accesses the device 100a through the firewall 50.
[0057]
(2) The packet filter 40 not only allows necessary packets to pass through in the communication addressed to the device 100a, but also prevents DoS attacks such as ping bombs and SYN flood attacks (SynFlood attacks) that stop the other party's breath by transmitting a large amount of packets. Remove to protect device 100a.
This operation conceptually removes an attack related to a lower layer (layers 1 to 4) in the OSI model of FIG.
[0058]
(3) The device 100a has an IDS function and mainly monitors unauthorized access related to a higher-level application. This operation conceptually removes an attack related to an upper layer (layers 4 to 7) in the OSI model of FIG. (4) The allocation range of the packet filter device 40 and the device 100a may be overlapped, and the lower layer which requires low-speed processing although the analysis difficulty of unauthorized access is low is mainly implemented by hardware, and the analysis difficulty is low. The upper layers that need to store communication sessions for a long period of time are mainly implemented by software.
[0059]
According to such a configuration, the following effects can be obtained.
(1) The packet filter device 40 mechanically filters based on information [MAC (Media Access Control) address, IP address, packet type, port number, etc.] embedded in the packet header. Since the determination as to whether or not the information matches the specified information is implemented by hardware, 100% processing can be performed even when the network traffic volume increases.
[0060]
(2) Since the packet filter device 40 limits the packets that reach the device 100a, the processing traffic volume of the device 100a can be reduced.
(3) The packet filter device 40 can reduce the processing traffic volume of the device 100a in order to remove unauthorized access in the lower layer.
[0061]
(4) The performance of the monitoring process is improved because the device 100a limits the monitoring target to only the unauthorized access to be determined by the upper layer. As the number of monitoring targets increases, processing omissions are more likely to occur. That is, the performance of the monitoring process decreases as the number of monitoring targets increases.
[0062]
(5) Since each server device has the IDS function, such as the device 100a or the device 110a, it is not necessary to consider the arrangement of the IDS device and the securing of the network path to the IDS device unlike the related art, and the network scalability is improved. Increase.
[0063]
FIG. 6 is a configuration diagram showing another embodiment of an unauthorized access detection device having a distributed IDS configuration. This device differs from the device of FIG. 4 in that the IDS function and the packet filter device are linked.
[0064]
In FIG. 6, when an unauthorized access of an upper layer is detected by the device 100a, the device 100a dynamically controls the setting of the packet filter device 40. The operation will be described below.
(1) It is assumed that the device 20 transmits a malicious packet via the network 30 and illegally accesses the device 110a through the firewall 50.
(2) The packet filter device 40 protects the device 100a by not only passing necessary packets out of communication addressed to the device 100a but also removing DoS attacks such as SynFlood attacks.
(3) The device 100a has an IDS function, and monitors only an unauthorized access related to a higher-level application.
[0065]
(4) Upon detecting an unauthorized access, the device 100a dynamically controls the packet filter device to set a packet filter for blocking the unauthorized access. Here, the expression "control dynamically" means that the setting contents change with time. For example, there are controls such as discarding a specific protocol for a fixed time or discarding access from a specific IP address for a fixed time. (5) The packet filter device 40 discards a specific packet according to the setting from the device 100a, thereby blocking a communication session that is considered to be an unauthorized access.
[0066]
According to the invention having the configuration shown in FIG. 6, the following effects can be obtained.
(1) Since it is difficult to distinguish an unauthorized access in a lower layer from a normal access, it is difficult to provide a strict access restriction in a lower layer. On the other hand, unauthorized access at the upper layer is clearly unauthorized in many cases, so it is easy to set access restrictions to the lower layer based on the result at the upper layer, and a more reliable security effect is expected. it can.
[0067]
(2) At the same time that the IDS concentrates on the process of detecting unauthorized access, the load is distributed by clarifying the role sharing of blocking the unauthorized access by another device (filter device), and the load on each device is reduced. Is reduced, and the performance can be easily improved.
[0068]
(3) By installing a packet filter device individually for each server at the front stage, only a filter required for each server can be set. Therefore, there is no need to change the policy applied to the firewall device that is the origin of the connection to the Internet. Changing firewall settings is a daunting task, and changing them dynamically makes network maintenance more difficult. (4) Even when the installation location of the server is changed, it is not necessary to change the setting of the firewall at the relocation destination, and network scalability is improved.
[0069]
【The invention's effect】
As described above, according to the packet filter device of the present invention, the following effects can be obtained.
(1) When a pattern of an attack packet is detected, the pattern can be easily discarded. In addition, it can be easily set so that only a packet addressed to a specific address is passed.
(2) Also, a large number of ping packets and SynFlood attack packets can be easily discarded, and DoS attacks can be dealt with.
[0070]
Further, according to the unauthorized access detection device of the present invention, the following effects can be obtained.
(1) On the other hand, according to the unauthorized access detection device of the present invention, when the device attached to the packet filter device is a network device such as a gateway or a router equipped with a firewall, the interface connected to the network side By setting so as to receive only the packet addressed to the MAC address, it is possible to easily increase the operation efficiency of the device and to block unauthorized access to the internal network.
[0071]
(2) If the device is an IDS, if a harmless packet that is unnecessary to be detected by the IDS or a packet that is unnecessary to be detected by the security policy of the IDS is previously removed by a packet filter device, the processing load on the IDS device can be easily reduced. be able to. As a result, the detection rate of unauthorized access increases, and the detection of unauthorized intrusion becomes easy.
(3) The packet filter device determines whether the information embedded in the packet header matches the specified information. However, since the determination mechanism is implemented by hardware, the amount of network traffic increases. Can also be processed 100%.
[0072]
(4) In addition, since the packet filter device 40 limits the packets that reach the subsequent device, the processing traffic volume of the device can be easily reduced.
(5) Further, since the packet filter device 40 removes unauthorized access in the lower layer, the processing traffic volume of the device can be reduced.
[0073]
(6) Further, since the monitoring target can be limited to only the unauthorized access to be determined by the upper layer, the performance of the monitoring process can be easily improved.
(7) Since a plurality of server devices connected to the network each have an IDS function, there is no need to consider the arrangement of IDS devices and the securing of a network route to IDS devices as in the related art, thus facilitating network scalability. Can be increased.
[0074]
(8) Since it is difficult to distinguish an unauthorized access from a normal access in a lower layer, it is difficult to provide a strict access restriction in a lower layer. On the other hand, since unauthorized access in the upper layer is clearly unauthorized in many cases, it is easy to set the access restriction to the lower layer based on the result in the upper layer by the configuration shown in FIG. More secure security effects can be expected.
[0075]
(9) The IDS concentrates on the original process of detecting unauthorized access, and the part of blocking unauthorized access is assigned to a device different from the IDS, so that each device reduces processing load and improves performance. It becomes possible.
(10) By installing a packet filter device individually for each server at the front stage, only filters necessary for each server can be set. Therefore, there is no need to change the policy applied to the firewall device that is the origin of the Internet connection.
[0076]
(11) Even if the installation location of the server is changed, it is not necessary to change the settings of the firewall at the relocation destination, and it is easy to enhance network scalability.
[Brief description of the drawings]
FIG. 1 is a main part configuration diagram showing an embodiment of a packet filter device according to the present invention.
FIG. 2 is a diagram illustrating an example of a network system in which a packet filter device is installed.
FIG. 3 is a configuration diagram illustrating an example of an unauthorized access detection device that detects unauthorized access according to the present invention.
FIG. 4 is a configuration diagram illustrating an example of an unauthorized access detection device having a distributed IDS configuration according to the present invention.
FIG. 5 is a diagram showing a comparison between a distributed IDS configuration according to the present invention and a configuration of an OSI reference model.
FIG. 6 is a configuration diagram showing another embodiment of an unauthorized access detection device having a distributed IDS configuration.
FIG. 7 is a configuration diagram illustrating an example of a network system.
[Explanation of symbols]
10 Equipment
10a Intrusion detection device
11 Network interface card
12 CPU
20 Malicious PC
30 Network
40,40a Packet filter device
41 shift register circuit
42 Pattern Judgment Circuit
43 Detection pattern setting holding circuit
44 State transition decision circuit
45 Judgment standard setting holding circuit
46 Packet Pass / Drop Circuit
47 Header Pattern Cache
48 Cache management / discard control circuit
50 Firewall
100,100a WWW server
101,111 IDS function
110,110a FTP server

Claims (12)

受信した通信パケットをシフト伝播するシフトレジスタと、
前記通信パケットを検出パターンと比較し一致不一致の数を求め、これを判定基準に照合して状態遷移を決定し、この状態遷移に基づいて前記シフトレジスタから出力されるパケットを通過または廃棄するパケット通過/廃棄制御部
を備えたことを特徴とするパケットフィルタ装置。A shift register for shifting and propagating the received communication packet;
The communication packet is compared with a detection pattern to determine the number of matches and non-coincidences, and the number is compared with a determination criterion to determine a state transition. A packet filter device comprising a passage / discard control unit. 前記パケット通過/廃棄制御部は、通信パケットを検出パターンと比較し一致不一致の結果を出力するパターン判定回路と、前記検出パターンを設定し保持する検出パターン設定保持回路と、前記パターン判定回路により得られたパターンの一致不一致のカウント値を判定基準に照合してパケットの通過または廃棄を決定する状態遷移決定回路と、前記判定基準を設定し保持する判定基準設定保持回路と、前記通信パケットのヘッダ情報を蓄積し同一ヘッダパターンをカウントするヘッダパターンキャッシュと、所定の一定時間内に前記同一ヘッダパターンのカウント値が判定基準を超えるとこのヘッダを有するパケットを廃棄するように前記検出パターン設定保持回路および判定基準設定保持回路にそれぞれ検出パターンと判定基準データを設定するキャッシュ管理・廃棄制御回路から構成されることを特徴とする請求項1記載のパケットフィルタ装置。The packet passing / discarding control unit compares a communication packet with a detection pattern and outputs a match / mismatch result, a detection pattern setting / holding circuit for setting and holding the detection pattern, and a pattern determination circuit. A state transition determining circuit that determines whether a packet is passed or discarded by comparing a count value of a match / mismatch of a given pattern with a criterion, a criterion setting holding circuit that sets and holds the criterion, A header pattern cache for accumulating information and counting the same header pattern; and a detection pattern setting holding circuit for discarding a packet having this header when the count value of the same header pattern exceeds a determination reference within a predetermined time. The detection pattern and the judgment reference data are stored in the Setting packet filtering apparatus according to claim 1, characterized in that they are composed of cache management and disposal control circuit. パケットに埋め込まれた情報をもとに機械的にフィルタして行き、指定した情報と一致するかどうかの判定をハードウェア構成にて行うようにしたことを特徴とする請求項1または2記載のパケットフィルタ装置。3. The method according to claim 1, wherein the data is mechanically filtered based on the information embedded in the packet, and whether or not the information matches the specified information is determined by a hardware configuration. Packet filter device. ネットワークに接続された機器と、
この機器の前段に設置された請求項1または2または3のパケットフィルタ装置
を備え、前記機器への不正アクセスや、サービス不能(DoS)攻撃を低減するように構成したことを特徴とする不正アクセス検知装置。Devices connected to the network,
4. An unauthorized access, comprising: the packet filter device according to claim 1, 2 or 3, which is installed in front of the device, and configured to reduce unauthorized access to the device and a denial of service (DoS) attack. Detection device. 前記機器がファイアウォールを搭載したゲートウェイやルータなどのネットワーク機器であり、ネットワーク機器への不正アクセスを低減するように構成したことを特徴とする請求項4記載の不正アクセス検知装置。5. The unauthorized access detection device according to claim 4, wherein the device is a network device such as a gateway or a router equipped with a firewall, and configured to reduce unauthorized access to the network device. 前記機器がネットワーク経由で悪意あるパケットによる攻撃を受けたときに攻撃パケットの内容を解析して不正アクセスを検知する機能(IDS)を搭載した機器であり、不正アクセスの検出率が高められるように構成したことを特徴とする請求項4記載の不正アクセス検知装置。A device equipped with a function (IDS) for analyzing the contents of an attack packet and detecting an unauthorized access when the device is attacked by a malicious packet via a network, so that an unauthorized access detection rate is increased. The unauthorized access detection device according to claim 4, wherein the device is configured. ネットワークに接続され、ネットワーク経由で悪意あるパケットによる攻撃を受けたときに攻撃パケットの内容を解析して不正アクセスを検知する機能(IDS)を有するサーバ機器と、
このサーバ機器の前段に設置される請求項1または2または3のパケットフィルタ装置を備え、ネットワークのOSIモデルにおける下位層が前記パケットフィルタ装置に割り当てられ、上位層がサーバ機器に割り当てられたことを特徴とする不正アクセス検知装置。A server device connected to the network and having a function (IDS) for analyzing the contents of the attack packet and detecting unauthorized access when attacked by a malicious packet via the network;
4. The packet filter device according to claim 1, wherein said packet filter device is provided in a stage preceding said server device, wherein a lower layer in an OSI model of a network is allocated to said packet filter device, and an upper layer is allocated to said server device. Characteristic unauthorized access detection device. 前記パケットフィルタ装置を、前記サーバ機器宛の通信のうち必要なパケットは通過させ、DoS攻撃は除去するように構成したことを特徴とする請求項7記載の不正アクセス検知装置。The unauthorized access detection device according to claim 7, wherein the packet filter device is configured to pass a necessary packet in the communication addressed to the server device and remove a DoS attack. 前記パケットフィルタ装置は、OSIモデルにおけるレイヤ1から4までの下位層に関連する攻撃を除去するように構成されたことを特徴とする請求項7記載の不正アクセス検知装置。8. The unauthorized access detection device according to claim 7, wherein the packet filter device is configured to remove an attack related to lower layers from layer 1 to layer 4 in an OSI model. 前記サーバ機器のIDS機能は、上位アプリケーションに関連する不正アクセスを監視し、OSIモデルにおけるレイヤ4から7までの上位層に関連する攻撃を除去する機能を含むことを特徴とする請求項7記載の不正アクセス検知装置。8. The server according to claim 7, wherein the IDS function of the server device includes a function of monitoring an unauthorized access related to an upper application and removing an attack related to an upper layer from layers 4 to 7 in an OSI model. Unauthorized access detection device. 前記ネットワークに接続されるサーバ機器は複数個であり、前記パケットフィルタ装置が複数個用意されて各サーバ機器にそれぞれ前置され、各サーバに必要なフィルタ機能が各パケットフィルタ装置によりそれぞれ実現されるように構成したことを特徴とする請求項7記載の不正アクセス検知装置。A plurality of server devices are connected to the network, and a plurality of the packet filter devices are prepared and provided in front of each server device, and a filter function required for each server is realized by each packet filter device. 8. The unauthorized access detection device according to claim 7, wherein the unauthorized access detection device is configured as described above. 前記サーバ機器は不正アクセスを検知した際その不正アクセスを遮断するためのパケットフィルタ設定を前記パケットフィルタ装置に対して動的に制御し、
前記パケットフィルタ装置はそのパケットフィルタ設定に応じて特定のパケットを破棄するように構成されたことを特徴とする請求項7ないし11のいずれかに記載の不正アクセス検知装置。The server device, when detecting an unauthorized access, dynamically controls a packet filter setting for blocking the unauthorized access to the packet filter device,
12. The unauthorized access detection device according to claim 7, wherein the packet filter device is configured to discard a specific packet according to the packet filter setting.
JP2002303737A 2002-10-18 2002-10-18 Packet filter device and illegal access detection device Withdrawn JP2004140618A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002303737A JP2004140618A (en) 2002-10-18 2002-10-18 Packet filter device and illegal access detection device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002303737A JP2004140618A (en) 2002-10-18 2002-10-18 Packet filter device and illegal access detection device

Publications (1)

Publication Number Publication Date
JP2004140618A true JP2004140618A (en) 2004-05-13

Family

ID=32451379

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002303737A Withdrawn JP2004140618A (en) 2002-10-18 2002-10-18 Packet filter device and illegal access detection device

Country Status (1)

Country Link
JP (1) JP2004140618A (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006087832A1 (en) * 2005-02-18 2006-08-24 Duaxes Corporation Data processing device
JP2007243595A (en) * 2006-03-08 2007-09-20 Fuji Xerox Co Ltd Network control apparatus and control method
WO2009098819A1 (en) * 2008-02-04 2009-08-13 Nec Corporation Communication system
JP2009230418A (en) * 2008-03-21 2009-10-08 Fujitsu Ltd Communication monitoring device, communication monitoring program and communication monitoring method
US7865474B2 (en) 2005-05-20 2011-01-04 Duaxes Corporation Data processing system
US7937489B2 (en) 2005-09-29 2011-05-03 Nec Corporation System and method for detecting port hopping
US8073855B2 (en) 2005-03-28 2011-12-06 Duaxes Corporation Communication control device and communication control system
US8336092B2 (en) 2005-02-18 2012-12-18 Duaxes Corporation Communication control device and communication control system
KR101346330B1 (en) * 2012-03-07 2014-01-03 주식회사 시큐아이 Method and Apparatus For Detecting Abnormal Packets
JP2015119386A (en) * 2013-12-19 2015-06-25 株式会社日立製作所 Communication relay device

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006087832A1 (en) * 2005-02-18 2006-08-24 Duaxes Corporation Data processing device
CN101147381B (en) * 2005-02-18 2011-07-27 Duaxes株式会社 Data processing device
US8336092B2 (en) 2005-02-18 2012-12-18 Duaxes Corporation Communication control device and communication control system
US8073855B2 (en) 2005-03-28 2011-12-06 Duaxes Corporation Communication control device and communication control system
US7865474B2 (en) 2005-05-20 2011-01-04 Duaxes Corporation Data processing system
US7937489B2 (en) 2005-09-29 2011-05-03 Nec Corporation System and method for detecting port hopping
JP2007243595A (en) * 2006-03-08 2007-09-20 Fuji Xerox Co Ltd Network control apparatus and control method
US7843953B2 (en) 2006-03-08 2010-11-30 Fuji Xerox Co., Ltd. Network control device and control method
WO2009098819A1 (en) * 2008-02-04 2009-08-13 Nec Corporation Communication system
JP2009230418A (en) * 2008-03-21 2009-10-08 Fujitsu Ltd Communication monitoring device, communication monitoring program and communication monitoring method
KR101346330B1 (en) * 2012-03-07 2014-01-03 주식회사 시큐아이 Method and Apparatus For Detecting Abnormal Packets
JP2015119386A (en) * 2013-12-19 2015-06-25 株式会社日立製作所 Communication relay device

Similar Documents

Publication Publication Date Title
US8392991B2 (en) Proactive test-based differentiation method and system to mitigate low rate DoS attacks
KR100609170B1 (en) system of network security and working method thereof
US7743134B2 (en) Thwarting source address spoofing-based denial of service attacks
US7043759B2 (en) Architecture to thwart denial of service attacks
US7836498B2 (en) Device to protect victim sites during denial of service attacks
US8438241B2 (en) Detecting and protecting against worm traffic on a network
US7617533B1 (en) Self-quarantining network
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
KR101217647B1 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
US20020035628A1 (en) Statistics collection for network traffic
JP2010268483A (en) Active network defense system and method
WO2002021278A1 (en) Coordinated thwarting of denial of service attacks
WO2002021302A1 (en) Monitoring network traffic denial of service attacks
JP4774307B2 (en) Unauthorized access monitoring device and packet relay device
WO2006039529A2 (en) Network overload detection and mitigation system and method
Oktian et al. Mitigating denial of service (dos) attacks in openflow networks
WO2008005864A2 (en) Apparatus and method for selective mirroring
KR20060116741A (en) Method and apparatus for identifying and disabling worms in communication networks
KR20110049282A (en) System and method for detecting and blocking to distributed denial of service attack
WO2004070509A2 (en) Detecting and protecting against worm traffic on a network
JP2004140618A (en) Packet filter device and illegal access detection device
CN100380336C (en) Protecting against malicious traffic
JP3966231B2 (en) Network system, unauthorized access control method and program
JP2003099339A (en) Infiltration-detecting and infiltration-preventing device and program therefor
JP2006067078A (en) Network system and attack defense method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060828

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061006

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061006

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061109

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20061128