JP2004179999A - 侵入検知装置およびその方法 - Google Patents

侵入検知装置およびその方法 Download PDF

Info

Publication number
JP2004179999A
JP2004179999A JP2002344178A JP2002344178A JP2004179999A JP 2004179999 A JP2004179999 A JP 2004179999A JP 2002344178 A JP2002344178 A JP 2002344178A JP 2002344178 A JP2002344178 A JP 2002344178A JP 2004179999 A JP2004179999 A JP 2004179999A
Authority
JP
Japan
Prior art keywords
packet
data segment
unauthorized access
intrusion detection
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002344178A
Other languages
English (en)
Other versions
JP4027213B2 (ja
Inventor
Norimitsu Nagashima
規充 永嶋
Shinobu Atozawa
忍 後沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2002344178A priority Critical patent/JP4027213B2/ja
Publication of JP2004179999A publication Critical patent/JP2004179999A/ja
Application granted granted Critical
Publication of JP4027213B2 publication Critical patent/JP4027213B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

【課題】他の情報端末から送信される前後のパケットの組立てが必要なTCP/IPパケットの不正アクセス解析において、パケットを効率よく保持しながら、パケットの組立を必要とするTCP/IPの不正アクセス検知の精度を上げることが可能な侵入検知装置を得ること。
【解決手段】外部ネットワークからのパケットがTCPによる通信である場合に、パケット中に含まれるデータセグメントのコピーをセッション情報と関連付けして一時的に保留し、セッション情報と同一で最後のデータセグメントを有するパケットを受信すると、同一のセッション情報を有するデータセグメントを組み立てるデータセグメント組立部6と、受信したデータセグメントまたは組み立てたデータセグメントを解析し、不正アクセスが含まれている場合には最後に受信したデータセグメントが含まれるパケットを廃棄する不正アクセス解析部8とを備える。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
この発明は、インターネットなどの外部ネットワークと接続され、相互に通信を行うネットワークにおけるデータの安全性を高めることが可能な侵入検知装置およびその方法に関するものである。
【0002】
【従来の技術】
近年、複数台のコンピュータからなるLANなどのネットワークが相互に接続されたインターネットのような大規模なネットワークが発達し、このネットワークを用いて多数の利用者が様々な情報を得ることが可能になってきている。しかし、このような大規模ネットワークに接続されるネットワークにおいては、悪意の行為者によって不正アクセスがなされる危険性を有している。そのため、この不正アクセスに対する装置として従来までに種々の装置が提案されている。
【0003】
図9は、不正アクセスに対してパケットを通過させないパケット転送装置の構成を示すブロック図である(たとえば、特許文献1参照)。パケット転送装置100は、異なるネットワークセグメントに接続されるパケット受信部101およびパケット送出部102と、受信したパケットに識別子を付加するパケット識別子付加機構103と、識別子を付加されたパケットを一時的に保留するパケット保留キュー104と、複数のパケットが必要なパケットの解析時に参照される送出済みのパケットを保持する送出済みパケット保持機構105と、受信したパケットが不正アクセスに関わるパケットか否かを判定するパケット解析機構106とを有する。
【0004】
このようなパケット転送装置100において、パケット受信部101で受信され、パケット識別子付加機構103によって識別子が付加された受信パケットは、パケット保留キュー104に格納され、パケット解析機構106に渡されると同時に送出済みパケット保持機構105に保持される。パケット解析機構106は、受信パケットと送出済みパケット保持機構105に保持されている該受信パケット以前に送出したパケットを参照して受信パケットが不正アクセスに関わるパケットであるかを判定し、不正アクセスに関わるパケットであれば廃棄し、そうでない場合は転送する。送出済みパケット保持機構105に保持されるパケットは、格納してから一定期間経過した後に廃棄するか、あるいは予め指定した特定のデータ量を超えた分を到着順に廃棄する。
【0005】
【特許文献】
特開2002−63084号公報(第16〜17頁、第9図)
【0006】
【発明が解決しようとする課題】
インターネット上で一般的に使われているTCP/IPプロトコルでは、たとえばコネクション確立時や切断時にやりとりされるパケットやデータが相手に届かなかったことを伝えるメッセージのようにユーザデータ以外の制御用パケットが送受信される。そのため、ユーザデータ以外の制御用パケットの量も多量にのぼる。しかし、上述した従来のパケット転送装置では、受信したパケットは送出済みパケット保持機構において一定期間が過ぎるまでまたは特定のデータ量を超えるまで保持されるため、制御用パケットが増えると保持できるユーザデータのパケット数が少なくなり、送出済みのパケットを参照した不正アクセス検知の精度が下がってしまうという問題点があった。また、余分なデータを保持していることにより、送出済みのパケットを参照する場合に、関連するパケットを検索する時間が増大し、侵入検知のオーバヘッドが大きくなってしまうという問題点もあった。
【0007】
この発明は、上記に鑑みてなされたもので、他の情報端末から送信される前後のパケットの組立てが必要なTCP/IPパケットの不正アクセス解析において、パケットを効率よく保持しながら、パケットの組立を必要とするTCP/IPの不正アクセス検知の精度を上げることが可能な侵入検知装置およびその方法を得ることを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成するため、この発明にかかる侵入検知装置は、ネットワークに接続された機器への不正侵入を検知するために、前記ネットワークと外部ネットワークとの間に設けられる侵入検知装置において、前記外部ネットワークから受信したパケット中に含まれるデータセグメントのコピーを、前記パケットに含まれる所定のセッション情報と関連付けして一時的に保留するとともに、前記セッション情報と同一で最後のデータセグメントを有するパケットを受信すると、同一のセッション情報を有するデータセグメントを組み立てるデータセグメント組立手段と、前記受信したパケット中に含まれるデータセグメントまたは組み立てたデータセグメントに不正アクセスが含まれているか否かを解析し、不正アクセスが含まれている場合には最後に受信したデータセグメントが含まれるパケットを廃棄し、正常なパケットのみを前記ネットワークに接続された機器に対して送信する不正アクセス解析手段と、を備えることを特徴とする。
【0009】
また、上記目的を達成するため、この発明にかかる侵入検知方法は、ネットワークに接続された機器への不正侵入を検知する侵入検知方法であって、外部ネットワークから受信したパケット中に含まれるデータセグメントのコピーを、前記パケットに含まれる所定のセッション情報と関連付けして一時的に保留するデータセグメント保留工程と、前記セッション情報と同一で最後のデータセグメントを有するパケットを受信すると、前記一時的に保留されたデータセグメントのコピーを用いてデータセグメントを組み立てるデータセグメント組立工程と、この組み立てられたデータセグメントに不正アクセスが含まれているか否かを解析し、不正アクセスが含まれている場合には最後に受信したデータセグメントが含まれるパケットを廃棄し、正常なパケットのみを前記ネットワークに接続された機器に対して送信する不正アクセス解析工程と、を含むことを特徴とする。
【0010】
【発明の実施の形態】
以下に添付図面を参照して、この発明にかかる侵入検知装置およびその方法の好適な実施の形態を詳細に説明する。
【0011】
実施の形態1.
図1は、この発明にかかる侵入検知装置の実施の形態1の構成を示すブロック図であり、図2は、この侵入検知装置が使用されるネットワークシステムの構成を示すブロック図である。侵入検知装置1は、他のパーソナルコンピュータなどの端末C23が接続されているインターネット30と、このインターネット30に接続されるLAN(Local Area Network)などのネットワーク20との間に、図2に示されるように接続される。ここで、ネットワーク20には端末A21と端末B22が接続されているものとする。ここで、ネットワーク20内の端末A21や端末B22は、情報の送受信が可能な機器であり、例えば、パーソナルコンピュータなどの情報端末を挙げることができる。なお、図2では、ネットワーク20に2台の端末21,22が接続されている場合を例示するものであり、2台に限られるものではない。
【0012】
侵入検知装置1は、インターネット30などのネットワーク20から見て外部に接続された端末C23などからパケットを受信する受信制御部2、ネットワーク20内の端末A21や端末B22などにパケットを送信する送信制御部3、受信したパケットの宛先やプロトコルを判定するプロトコル判定部4、IPフラグメント化されているパケットを保持するリアセンブルデータ保留部5、受信したパケットのプロトコルがTCP(Transmission Control Protocol)の場合にデータセグメントを組み立てるデータセグメント組立部6、データセグメントの最後のパケットが到着するまで受信したデータを保留するデータセグメント保留部7、受信したパケットに不正アクセスが含まれるか否かを判別する不正アクセス解析部8、および不正アクセス解析部8が異常を検出した際に所定の対処を実施する対策部9を有する。ここで、データセグメントとは、TCPを使用した通信において相手に送信するデータのことをいい、特に、TCPヘッダを除いたデータの部分を意味するものである。
【0013】
受信制御部2は、インターネット30に接続された外部の端末C23からパケットを受信し、送信制御部3は、受信したパケットをネットワーク20内の所定の端末21,22に送信する。そのため、図2では、侵入検知装置1のインターネット30側は受信制御部2と接続され、侵入検知装置1のネットワーク20側は送信制御部3と接続される。
【0014】
プロトコル判定部4は、IPフラグメントされた複数のパケットを組み立てる機能のほかに、受信したまたは組み立てたパケットのヘッダを解析して宛先や送信元アドレス、プロトコルを判定する機能を有する。プロトコルの判定は、具体的には、たとえばIPv4のパケットの場合、ヘッダには後続のデータ部でどのような上位プロトコルが用いられているかを示すプロトコルタイプが格納される8ビットの領域である「プロトコルタイプ」と、パケットの宛先IPアドレスが格納される32ビットの領域である「宛先アドレス」、パケットの送信元IPアドレスが格納される32ビットの領域である「送信元アドレス」があるので、これらの領域を解析することによって、上記パケットの宛先やプロトコルを判定することが可能となる。
【0015】
また、プロトコル判定部4のパケット組み立て機能は、上述したプロトコルの判定と同様にそのヘッダを解析することによって受信したパケットがIPフラグメントされているか否かを判定し、IPフラグメントされている場合に、パケットの組み立てを行うものである。具体的には、たとえばIPv4のパケットの場合、ヘッダには、パケットをIPフラグメントしたときの識別子であり、またIPフラグメントされたパケットを元に戻すときに利用される16ビットの「ID」を解析することによってパケットがIPフラグメントされているか否かを判定することができる。そして、パケットがIPフラグメントされている場合にはパケットのヘッダのIPフラグメントに関して、IPフラグメントの禁止やフラグメントの途中か最後を示す3ビットの「フラグ」やフラグメントが元のパケットのどの位置にあったかを示す「フラグメントオフセット」を参照しながら、これらのパケットを先頭から組み立てる。なお、特許請求の範囲におけるプロトコル判定手段とパケット組立手段は、このプロトコル判定部4に相当する。
【0016】
リアセンブルデータ保留部5は、受信したパケットがIPフラグメントされていた場合に、すべてのパケットが到着するまでの間パケットを保持する機能を有する。すべてのパケットが到着すると、これらのパケットは、プロトコル判定部4に渡される。
【0017】
データセグメント組立部6は、他の端末C23などからTCPを利用して受信したパケットを組み立てる機能を有する。TCPでは、通信相手に送信するデータのことをセグメント(この明細書では、セグメントデータという)というが、たとえば、3文字のコマンド“ls改行”というデータセグメントを送信する場合には、“l”、“s”、“改行”のように分割して送信する場合も考えられる。これらのデータを処理する受信端末は分割されたデータセグメントを組み立てて順番を正しく整えることによって、コマンドを正しく認識することが可能となるが、侵入検知装置1も不正アクセスの有無を解析するためには、分割されたデータセグメントを受信端末と同様に組み立てて、コマンドを正しく認識する必要がある。そのためこのデータセグメント組立部6によるTCPを利用して受信した場合のパケットを組み立てる機能が必要となる。
【0018】
このデータセグメント組立部6では、パケットの宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号からセッションを識別し、このセッションを構成するデータセグメントが分割されて送信される場合には、このセッションに関するパケット(データセグメント)を組み立てる。ここで、分割されたデータセグメントがすべて到着していない場合には、データセグメント組立部6は、そのデータセグメントが含まれるパケットをコピーし、コピーしたパケットをデータセグメント保留部7に保持させるとともに、コピー元のパケットを指定された宛先アドレスの端末に向けて送信する。
【0019】
データセグメント保留部7は、データセグメントの最後のパケットが到着するまでデータセグメント組立部6でコピーされたデータを保留する機能を有する。保留されるデータセグメントは、パケットの宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号からなるセッション情報と関連付けされることによって管理される。
【0020】
不正アクセス解析部8は、受信したパケットに不正アクセスが含まれるか否かを判別し、不正アクセスであると判別された場合には最後に到着したパケットを廃棄する機能を有する。受信したパケットがTCP以外のプロトコルである場合には、不正アクセスか否かの判断を、要求元のアドレスやパケット内のデータやコマンド、アクセスの頻度などによって判断する。また、受信したパケットがTCPのプロトコルである場合には、不正アクセスか否かの判断を、たとえば、パケット内に所定の文字列やコードが含まれるか否かを検知するパターンマッチングを行うことによって判断する。図3は、パターンマッチングの一例を示している。この図3では、宛先ポート番号=80(HTTP)の場合に、TCPデータとして“cmd.exe?/”という文字列がパケット中に含まれている場合には、不正アクセスであると判断するものである。このような不正アクセスで用いられるパターンを登録することによって、不正アクセス解析部8による不正アクセスの判別が可能となる。なお、上述した不正アクセスか否かの判断は一例であり、従来知られている不正アクセスの検出方法を不正アクセス解析部8に実行させることができる。
【0021】
対策部9は、不正アクセス解析部8が異常を検出した際に対処を実施する機能を有する。対処として、たとえば、受信したパケットに不正アクセスが検出された場合に、ネットワーク管理者に対して不正アクセスがされた旨の電子メールを送信したりすることができる。
【0022】
つぎに、このような侵入検知装置1の侵入検知方法について、図4のフローチャートを参照しながら説明する。なお、以下の説明では、侵入検知装置1は、図2に示されるようにシステムに組み込まれているものとし、ネットワーク20の外の端末C23がネットワーク20内の端末A21または端末B22に対してアクセスする場合を例に挙げる。
【0023】
ネットワーク20の外部の端末、たとえば端末C23が、ネットワーク20内の端末21,22に対してアクセスすると、このアクセス時に端末C23からネットワーク20内の端末21,22にパケットが送信される。侵入検知装置1は、このネットワーク20内の端末21,22へのパケット(データ)を受信制御部2から受信する(ステップS1)。
【0024】
受信制御部2は受信したパケットをプロトコル判定部4に渡し、プロトコル判定部4はパケットのヘッダを読み取り、IPフラグメントされているか否かを判定する(ステップS2)。パケットがIPフラグメントされている場合(ステップS2でYesの場合)には、プロトコル判定部4は、リアセンブルデータ保留部5を参照して、IPフラグメントされたパケットがすべて到着しリアセンブルが完了したか、すなわち受信したパケットがIPフラグメントされた最後のパケットであるか否かを判定する(ステップS3)。IPフラグメントされたパケットがすべて到着していない場合(ステップS3でNoの場合)には、受信したパケットをリアセンブルデータ保留部5に保持し(ステップS4)、再びステップS1の処理から実行される。一方、ステップS3で、受信したパケットがIPフラグメントされた最後のパケットである場合(ステップS3でYesの場合)には、リアセンブルデータ保留部5から保持されたIPフラグメントされたすべてのパケットを取り出し、先頭から順にパケットを組み立てる(ステップS5)。このとき、パケットが組み立てられると、リアセンブルデータ保留部5に保持されていたデータは消去される。
【0025】
その後、またはステップS2でプロトコル判定部4によって受信したパケットがIPフラグメントされていないと判定された場合(ステップS2でNoの場合)には、プロトコル判定部4は、受信したパケットまたは受信して組み立てられたパケットのプロトコル種別が、TCPであるか否かを判定する(ステップS6)。
【0026】
パケットのプロトコル種別がTCPである場合(ステップS6でTCPの場合)には、データセグメント組立部6は、パケットから宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号を読み込み、これらの組合せからセッションを識別する(ステップS7)。そして、データセグメント組立部6は、データセグメント保留部7を参照して分割されたデータセグメントがすべて到着しているか否か、すなわち受信したパケットが最後のデータセグメントであるか否かを判定する(ステップS8)。分割されたデータセグメントがすべて到着していない場合(ステップS8でNoの場合)には、データセグメント組立部6は、受信したパケットをコピーしてデータセグメント保留部7に保持し(ステップS9)、コピー元のオリジナルのパケットを送信制御部3からヘッダに格納されている宛先アドレスの端末へと送信し(ステップS10)、再びステップS1からの処理を実行する。また、ステップS8で、受信したパケットが最後のデータセグメントである場合(ステップS8でYesの場合)には、データセグメント組立部6は、データセグメント保留部7からコピーされたパケットを取り出して、分割されたデータセグメントを組み立てる(ステップS11)。このとき、データセグメントが組み立てられると、データセグメント保留部7に組み立てられたデータセグメントと同一のセッション情報によって管理され、保留されていたデータセグメントは消去される。
【0027】
その後、または、ステップS6でパケットのプロトコル種別がICMP(Internet Control Message Protocol)やUDP(User Datagram Protocol)などのTCPでない場合(ステップS6でTCP以外の場合)には、不正アクセス解析部8に、組み立てられたデータセグメントまたはTCP以外のパケットが渡される。不正アクセス解析部8は、パケットまたは組み立てられたデータセグメントに不正アクセスが含まれるか否かを、パターンマッチング等などの不正アクセス解析方法を用いて解析する(ステップS12)。
【0028】
パケットまたは組み立てられたデータセグメントに不正アクセスが含まれる場合(ステップS12でYesの場合)であって、プロトコル種別がTCP以外の場合には受信したパケットを廃棄し、プロトコル種別がTCPである場合には最後に到着したパケットを廃棄する(ステップS14)。そして、対策部9は、ネットワーク管理者宛てに不正アクセスがされた旨の電子メールを送付して、異常を通知する(ステップS15)。一方、ステップS12でパケットまたは組み立てられたデータセグメントに不正アクセスが含まれていない場合(ステップS12でNoの場合)には、送信制御部3から受信したパケットを送信する(ステップS13)。そして、ステップS1に戻り、再び外部からネットワーク20内にアクセスされるデータについての監視を行う。
【0029】
この実施の形態1によれば、組み立てが必要なパケットを侵入検知装置1が保留し、最後のパケットが到着した時点で保留したパケットを取り出して組み立て、保留部内の情報を消去するようにしたので、パケットを効率よく保持することができ、保留部溢れによる受信データ廃棄を防ぐことができるため、パケットの組立を必要とするTCP/IPの不正アクセス検知の精度を上げることが可能となる。また、データセグメント保留部7の情報を宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号からなるセッション情報と関連付けることによって、TCPデータセグメントを組み立てる際のオーバヘッドを減らすことが可能となり、その結果、高速処理が可能となるという効果を有する。
【0030】
実施の形態2.
図5は、この発明にかかる侵入検知装置の実施の形態2の構成を示すブロック図である。この侵入検知装置1は、上述した実施の形態1の図1において、受信制御部2とプロトコル判定部4との間にフィルタ部10を設けることを特徴とする。このフィルタ部10は、不正アクセスのパケットを送信した端末の送信元アドレスを含むアドレス情報を登録し、受信制御部2によって受信されたパケットの送信元アドレスが登録されたアドレス情報と一致した場合にそのパケットを廃棄する機能を有する。なお、不正アクセスのパケットを送信した端末のアドレス情報は、過去に不正アクセスの解析を行った結果に基づいて対策部9から通知されるアドレス情報によって登録される。なお、以下の説明では、上述した実施の形態1と同一の構成要素には同一の符号を付してその説明を省略している。
【0031】
このように、フィルタ部10を設けることによって、実施の形態1では不正アクセス検出時に対策部9からネットワーク20の管理者宛てに電子メールを送信しているが、同じ発信元端末による2回目以降の不正アクセスに対しては、図4のフローチャートのステップS2以降を実行する必要がなくなり、侵入検知装置1にかかる負荷を減らすことが可能となる。
【0032】
この実施の形態2によれば、過去に不正アクセスを行った端末のアドレス情報を登録するように構成したので、不正アクセスを送信した端末からのパケットをすぐに廃棄することができる。このため、リアセンブルデータ保留部5やデータセグメント保留部7といった侵入検知装置1内部のリソースを使用しないので、他の端末C23からのパケット処理に対して内部リソースを使用することが可能となるため、パケットを効率よく保持し、パケットの組立を必要とするTCP/IPの不正アクセス検知の精度を上げることが可能となる。
【0033】
実施の形態3.
図6は、この発明にかかる侵入検知装置の実施の形態3の構成を示すブロック図である。この侵入検知装置1は、上述した実施の形態1の図1において、処理振分部11と複数の侵入検知エンジン部12が追加された構成を有している。以下の説明では、上述した実施の形態1と同一の構成要素には同一の符号を付してその説明を省略している。
【0034】
侵入検知エンジン部12は、データセグメント組立部6、データセグメント保留部7、不正アクセス解析部8および対策部9が一つの単位となって構成される侵入検知エンジン12(nは自然数)が、複数存在することによって構成される。これらのそれぞれの侵入検知エンジン12は、上述した実施の形態1におけるデータセグメント組立部6、データセグメント保留部7、不正アクセス解析部8および対策部9と同じ機能を有する。
【0035】
また、処理振分部11は、侵入検知装置1が受信したパケットに対する不正アクセスの解析処理を行う侵入検知エンジン12のうち可動状況の低い侵入検知エンジン12に処理を振り分ける機能を有する。稼動状況の低い侵入検知エンジン12の求める方法として、たとえば、複数存在する不正アクセス解析部8の処理パケット数などが低いものを、稼動状況の低い侵入検知エンジン12と求めることができる。なお、処理振分部11は、プロトコルがTCPによる通信プロトコルである場合には、受信したパケットの宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号から識別されるセッションが同一のデータは同じ侵入検知エンジン部12にデータを振り分ける。
【0036】
つぎに、この侵入検知装置1の侵入検知方法について、図7のフローチャートを参照しながら説明する。ネットワーク20の外部の端末、たとえば端末C23がネットワーク20の内部の端末21,22に対してアクセスするためにデータ(パケット)を送信すると、侵入検知装置1は、上述した実施の形態1の図4のステップS1〜S6と同様にして、端末C23からのパケットを受信し、プロトコル種別の判定を行う(ステップS21〜S26)。すなわち、端末C23からのパケットを受信制御部2で受信し、この受信したパケットまたは受信したパケットがIPフラグメントされている場合には組み立てられたパケットのヘッダを参照してプロトコル判定部4はプロトコル種別を判定する。
【0037】
パケットのプロトコル種別がTCPである場合(ステップS26でTCPの場合)には、処理振分部11はパケットから宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号を読み込み、これらの組合せからセッションを識別し(ステップS27)、複数ある侵入検知エンジン12のうち稼動状況の低い侵入検知エンジン12にパケットを振り分ける(ステップS28)。なお、処理振分部11は、パケットに格納されている宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号の組合せからセッションを識別し、このセッションと振り分け先の侵入検知エンジン12との組合せを記憶しているので、同じセッションを有するパケットを受信した場合には、処理振分部11は、該パケットを前回振り分けた侵入検知エンジン12と同じ侵入検知エンジン12に振り分けることが可能となる。
【0038】
その後、振り分けられた侵入検知エンジン12のデータセグメント組立部6はパケットから宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号を読み込み、これらの組合せからセッションを識別する。そして、実施の形態1の図4のステップS8〜S11と同様にして、侵入検知エンジン12は受信したパケットからデータセグメントを組み立てる(ステップS29〜S32)。すなわち、データセグメント組立部6はデータセグメント保留部7を参照して分割されたデータセグメントがすべて到着しているか否かを判断し、到着していない場合には受信したパケットをコピーしてデータセグメント保留部7に格納し、コピー元のパケットを宛先アドレスの端末へと送信する。また、受信したパケットが最後のデータセグメントである場合には、データセグメント組立部6はデータセグメント保留部7からコピーされたパケットを取り出して分割されたデータセグメントを組み立てる。このとき、データセグメント保留部7に保留されていた同一のセッションで識別されるパケット(データ)は消去される。組み立てられたデータセグメントは、不正アクセス解析部8に渡される。
【0039】
一方、ステップS26で、プロトコル種別がICMPやUDPなどTCP以外のプロトコルである場合(ステップS26でTCP以外の場合)には、処理振分部11で複数ある侵入検知エンジン12のうち稼動状況の低い侵入検知エンジン12にパケットを振り分け(ステップS33)、振り分けられたパケットは、その中の不正アクセス解析部8に渡される。
【0040】
不正アクセス解析部8に渡されたパケットまたは組み立てられたデータセグメントは、不正アクセス解析部8でパケットまたはデータセグメントに不正アクセスが含まれているか否かについて解析される。そして、実施の形態1の図4のステップS12〜S15と同様にして、不正アクセスがある場合にはパケットまたは最後に受信したパケットを廃棄し、不正アクセスがない場合にはパケットの宛先アドレスに格納されている端末に対してパケットを送信する(ステップS34〜S37)。すなわち、不正アクセス解析部8は、パケットに不正アクセスが含まれる場合であって、プロトコル種別がTCP以外の場合には受信したパケットを廃棄し、プロトコル種別がTCPである場合には最後に到着したパケットを廃棄して、対策部9がネットワーク管理者宛てに不正アクセスがされた旨の電子メールを送信して異常を通知する。一方、不正アクセス解析部8は、パケットまたは組み立てられたデータセグメントに不正アクセスが含まれていない場合には、送信制御部3から受信したパケットをそのまま送信する。
【0041】
この実施の形態3によれば、データセグメント組立部6、データセグメント保留部7、不正アクセス検知部8および対策部9からなる侵入検知エンジン12を複数有する構成とすることによって、複数のパケットを同時に処理できるため、不正アクセスを高速に検知することができるという効果を有する。
【0042】
なお、上述した説明では、不正アクセス検出時に対策部9から電子メールを送信する構成としているが、実施の形態2の図5に示されるようにフィルタ部10を設けるようにしてもよい。この場合には、不正アクセスが含まれるパケットを送信した端末の情報を対策部9からフィルタ部10に通知して登録しておくことによって、パケット受信時にフィルタ部10において受信したパケットのアドレスが登録されているアドレス情報と一致する場合に、該パケットを廃棄することが可能となり、リアセンブルデータ保留部5や侵入検知エンジン12のデータセグメント保留部7のリソースを有効に使用することが可能となる。
【0043】
実施の形態4.
図8は、この発明にかかる侵入検知装置の実施の形態4の構成を示すブロック図である。この侵入検知装置1は、図1の侵入検知装置1の受信制御部2とプロトコル判定部4との間に、検知対象検索部13が設けられていることを特徴とする。以下の説明では、上述した実施の形態1の図1と同一の構成要素についてはその同一の符号を付して、その説明を省略している。
【0044】
検知対象検索部13には、不正アクセス検知対象として、たとえば、宛先アドレスやアプリケーション種別などを含む検知対象情報が登録されている。そして、検知対象検索部13は、受信制御部2から渡されたパケットに対して、そのアドレスとアプリケーション種別が登録された宛先アドレスとアプリケーション種別と一致するか否かを確認し、一致した場合に該パケットを不正アクセス検知であるとして不正アクセス処理を実行する機能を有する。
【0045】
たとえば、不正アクセス検知対象の検知対象情報として、宛先アドレス「端末A」、アプリケーション種別「WWW」が検知対象検索部13に登録されているものとする。受信制御部2において、受信したパケットのアドレスとアプリケーション種別が登録されている検知対象情報と一致した場合には上述した実施の形態1で説明した不正アクセス検知を実行するが、たとえば端末C23から端末B22宛てのパケットのように登録されている検知対象情報と一致しない場合には、不正アクセスの検知対象外として受信したパケットを送信制御部3から送信する。
【0046】
なお、この図8では、実施の形態1の図1の侵入検知装置1に検知対象検索部13を備える構成としたが、実施の形態3の図6に示される侵入検知装置1に検知対象検索部13を備えるように構成してもよい。
【0047】
この実施の形態4によれば、検知対象外のパケットをすぐに送信することによって、リアセンブルデータ保留部5やデータセグメント保留部7といった侵入検知装置1内部のリソースを使用しないので、検知対象のパケット処理に内部リソースが使用できるため、パケットを効率よく保持し、パケットの組立を必要とするTCP/IPの不正アクセス検知の精度を上げることが可能となる。
【0048】
なお、上述した説明では、不正アクセス検出時に対策部9から電子メールを送信しているが、実施の形態2の図5のようにフィルタ部10と組み合わせることによって、パケットの組立を必要とするTCP/IPの不正アクセス検知の精度をさらに上げることが可能となる。
【0049】
【発明の効果】
以上説明したように、この発明によれば、TCPによる通信の場合には、データセグメントのコピーを保持し、同一セッションの最後のデータセグメントが到着した場合に、データセグメントを組み立てて不正アクセスの解析を行うとともに、保持したデータセグメントを破棄するようにしたので、パケットを効率よく保持することができるという効果を有する。また、TCPの場合には、データセグメントの識別をデータセグメント保留部7の情報を宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号からなるセッション情報によって行うようにしたので、制御用のパケットを保持する必要がなくなり、侵入検知のオーバヘッドを減らして、高速処理を可能とするという効果を有する。
【図面の簡単な説明】
【図1】この発明による侵入検知装置の実施の形態1の構成を示すブロック図である。
【図2】この発明による侵入検知装置が組み込まれたシステムの構成を示すブロック図である。
【図3】不正アクセス解析方法のパターンマッチングに用いるコードの一例を示す図である。
【図4】侵入検知方法の処理手順を示すフローチャートである。
【図5】この発明による侵入検知装置の実施の形態2の構成を示すブロック図である。
【図6】この発明による侵入検知装置の実施の形態3の構成を示すブロック図である。
【図7】侵入検知方法の処理手順を示すフローチャートである。
【図8】この発明による侵入検知装置の実施の形態4の構成を示すブロック図である。
【図9】パケット転送装置の構成の従来例を示す図である。
【符号の説明】
1 侵入検知装置、2 受信制御部、3 送信制御部、4 プロトコル判定部、5 リアセンブルデータ保留部、6,6 データセグメント組立部、7,7データセグメント保留部、8,8 不正アクセス解析部、9,9 対策部、10 フィルタ部、11 処理振分部、12,12 侵入検知エンジン部、13 検知対象検索部、20 ネットワーク、21〜23 端末、30 インターネット。

Claims (15)

  1. ネットワークに接続された機器への不正侵入を検知するために、前記ネットワークと外部ネットワークとの間に設けられる侵入検知装置において、
    前記外部ネットワークから受信したパケット中に含まれるデータセグメントのコピーを、前記パケットに含まれる所定のセッション情報と関連付けして一時的に保留するとともに、前記セッション情報と同一で最後のデータセグメントを有するパケットを受信すると、同一のセッション情報を有するデータセグメントを組み立てるデータセグメント組立手段と、
    前記受信したパケット中に含まれるデータセグメントまたは組み立てたデータセグメントに不正アクセスが含まれているか否かを解析し、不正アクセスが含まれている場合には最後に受信したデータセグメントが含まれるパケットを廃棄し、正常なパケットのみを前記ネットワークに接続された機器に対して送信する不正アクセス解析手段と、
    を備えることを特徴とする侵入検知装置。
  2. 前記受信パケットのプロトコル種別を解析し、所定プロトコルのパケットを抽出して前記データセグメント組立手段に対して出力するプロトコル判定手段を、さらに備えることを特徴とする請求項1に記載の侵入検知装置。
  3. 前記データセグメント組立手段は、前記パケットの宛先アドレス、送信元アドレス、宛先ポート番号もしくは送信元ポート番号のうち、少なくとも一つから識別されるセッション情報に基づいて、データセグメント組み立て処理を行うことを特徴とする請求項1または2に記載の侵入検知装置。
  4. 前記プロトコル判定手段によって、前記パケットがIPフラグメントされていると判定された場合に、該パケットを一時的に保留するリアセンブルデータ保留手段と、
    前記IPフラグメントされたパケットのうち最後のパケットを受信すると、前記リアセンブルデータ保留手段から前記パケットを取り出してIPフラグメントされたパケットを組み立てるパケット組立手段と、
    をさらに備え、
    前記不正アクセス解析手段は、前記受信したまたは組み立てたパケットに不正アクセスが含まれているか否かを解析し、不正アクセスが含まれている場合にはパケットを廃棄し、正常なパケットのみを前記ネットワークに接続された機器に対して送信する機能をさらに備えることを特徴とする請求項1〜3のいずれか1つに記載の侵入検知装置。
  5. 前記データセグメント組立手段および前記不正アクセス解析手段の組合せからなる侵入検知エンジン手段が複数設けられ、
    前記侵入検知エンジン手段の稼動状況に応じて、外部ネットワークから受信したTCPによる通信のパケットに含まれるデータセグメントをいずれかの侵入検知エンジン手段に振り分ける処理振分手段をさらに備えることを特徴とする請求項1〜4のいずれか1つに記載の侵入検知装置。
  6. 前記処理振分手段は、同一のセッション情報を有するデータセグメントを同一の侵入検知エンジン手段に振り分ける機能をさらに備えることを特徴とする請求項5に記載の侵入検知装置。
  7. 外部ネットワークから受信したパケットが、検知対象とする機器のアドレスとアプリケーション種別を含む検知対象情報と一致する場合に、前記受信したパケットを前記プロトコル判定手段に渡す検知対象検索手段をさらに備えることを特徴とする請求項1〜6のいずれか1つに記載の侵入検知装置。
  8. 前記不正アクセス解析手段によって不正アクセスと判断されたパケットの送信元アドレスを含むアドレス情報を登録し、該送信元アドレスと一致する送信元アドレスを有するパケットを受信した場合に、前記パケットを廃棄するフィルタ手段をさらに備えることを特徴とする請求項1〜7のいずれか1つに記載の侵入検知装置。
  9. 前記不正アクセス解析手段によって前記パケットに不正アクセスが含まれると判断された場合には、前記ネットワーク管理者に対して異常を通知する対策手段をさらに備えることを特徴とする請求項1〜8のいずれか1つに記載の侵入検知装置。
  10. ネットワークに接続された機器への不正侵入を検知する侵入検知方法であって、
    外部ネットワークから受信したパケット中に含まれるデータセグメントのコピーを、前記パケットに含まれる所定のセッション情報と関連付けして一時的に保留するデータセグメント保留工程と、
    前記セッション情報と同一で最後のデータセグメントを有するパケットを受信すると、前記一時的に保留されたデータセグメントのコピーを用いてデータセグメントを組み立てるデータセグメント組立工程と、
    この組み立てられたデータセグメントに不正アクセスが含まれているか否かを解析し、不正アクセスが含まれている場合には最後に受信したデータセグメントが含まれるパケットを廃棄し、正常なパケットのみを前記ネットワークに接続された機器に対して送信する不正アクセス解析工程と、
    を含むことを特徴とする侵入検知方法。
  11. 前記受信パケットのプロトコル種別を解析し、所定プロトコルのパケットの場合に、前記データセグメント保留工程または前記不正アクセス解析工程を実行するプロトコル判定工程を、さらに含むことを特徴とする請求項10に記載の侵入検知方法。
  12. 外部ネットワークから受信したパケットがIPフラグメントされている場合に、IPフラグメントされているすべてのパケットを受信するまで一時的に保留するリアセンブルデータ保留工程と、
    前記IPフラグメントされている最後のパケットを受信すると、前記一時的に保留されたパケットを用いてパケットを組み立てるパケット組立工程と、
    を含み、
    前記不正アクセス解析工程は、前記パケットがTCPによる通信プロトコルを利用するものでない場合に、前記組み立てられたパケットに不正アクセスが含まれているか否かを解析し、不正アクセスが含まれている場合には前記パケットを廃棄し、正常なパケットのみを前記ネットワークに接続された機器に対して送信する処理をさらに行うことを特徴とする請求項10または11に記載の侵入検知方法。
  13. 前記データセグメント組立工程および前記不正アクセス解析工程において、前記データセグメントの組み立ておよび該組み立てられたデータセグメントに不正アクセスが含まれているか否かの解析を同時に2以上実行可能な場合に、前記データセグメントを振り分ける処理振分工程をさらに含むことを特徴とする請求項10〜12のいずれか1つに記載の侵入検知方法。
  14. 前記外部ネットワークから受信したパケットが、検知対象とする機器のアドレスとアプリケーション種別を含む検知対象情報と一致する場合にのみ前記パケットについて不正アクセス解析を行うことを特徴とする請求項10〜13のいずれか1つに記載の侵入検知方法。
  15. 前記不正アクセス解析工程によって、不正アクセスと判断されたパケットの送信元アドレスを登録し、該送信元アドレスと一致する送信元アドレスを有するパケットを受信した場合に、該パケットを廃棄することを特徴とする請求項10〜14のいずれか1つに記載の侵入検知方法。
JP2002344178A 2002-11-27 2002-11-27 侵入検知装置およびその方法 Expired - Fee Related JP4027213B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002344178A JP4027213B2 (ja) 2002-11-27 2002-11-27 侵入検知装置およびその方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002344178A JP4027213B2 (ja) 2002-11-27 2002-11-27 侵入検知装置およびその方法

Publications (2)

Publication Number Publication Date
JP2004179999A true JP2004179999A (ja) 2004-06-24
JP4027213B2 JP4027213B2 (ja) 2007-12-26

Family

ID=32705744

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002344178A Expired - Fee Related JP4027213B2 (ja) 2002-11-27 2002-11-27 侵入検知装置およびその方法

Country Status (1)

Country Link
JP (1) JP4027213B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006060306A (ja) * 2004-08-17 2006-03-02 Nec Corp パケットフィルタリング方法およびパケットフィルタ装置
JP2007336551A (ja) * 2006-06-12 2007-12-27 Mitsubishi Electric Information Technology Centre Europa Bv 少なくとも1つのtcpデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法及びデバイス、その方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体、並びにコンピュータプログラム製品
US9055096B2 (en) 2013-07-04 2015-06-09 Fujitsu Limited Apparatus and method for detecting an attack in a computer network
US10257093B2 (en) 2014-12-26 2019-04-09 Pfu Limited Information processing device, method, and medium
JP2021121117A (ja) * 2017-02-10 2021-08-19 日本電信電話株式会社 データ処理装置、データ出力方法及びコンピュータプログラム

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006060306A (ja) * 2004-08-17 2006-03-02 Nec Corp パケットフィルタリング方法およびパケットフィルタ装置
JP2007336551A (ja) * 2006-06-12 2007-12-27 Mitsubishi Electric Information Technology Centre Europa Bv 少なくとも1つのtcpデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法及びデバイス、その方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体、並びにコンピュータプログラム製品
JP2013243694A (ja) * 2006-06-12 2013-12-05 Mitsubishi Electric R&D Centre Europe B.V. 少なくとも1つのtcpデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法及びデバイス、その方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体、並びにコンピュータプログラム製品
US9055096B2 (en) 2013-07-04 2015-06-09 Fujitsu Limited Apparatus and method for detecting an attack in a computer network
US10257093B2 (en) 2014-12-26 2019-04-09 Pfu Limited Information processing device, method, and medium
JP2021121117A (ja) * 2017-02-10 2021-08-19 日本電信電話株式会社 データ処理装置、データ出力方法及びコンピュータプログラム
JP7359801B2 (ja) 2017-02-10 2023-10-11 日本電信電話株式会社 データ処理装置、データ出力方法及びコンピュータプログラム

Also Published As

Publication number Publication date
JP4027213B2 (ja) 2007-12-26

Similar Documents

Publication Publication Date Title
JP3954385B2 (ja) 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法
US7706378B2 (en) Method and apparatus for processing network packets
EP1966977B1 (en) Method and system for secure communication between a public network and a local network
US9009830B2 (en) Inline intrusion detection
US8060633B2 (en) Method and apparatus for identifying data content
US6714985B1 (en) Method and apparatus for efficiently reassembling fragments received at an intermediate station in a computer network
US7467406B2 (en) Embedded data set processing
US9100319B2 (en) Context-aware pattern matching accelerator
US7107609B2 (en) Stateful packet forwarding in a firewall cluster
JP4743894B2 (ja) データ・パケットを伝送しながらセキュリティを改良するための方法及び装置
JP2009510815A (ja) サーチ前のパケットのリアセンブル方法及びシステム
US9356844B2 (en) Efficient application recognition in network traffic
EP1122932B1 (en) Protection of computer networks against malicious content
JP4290198B2 (ja) 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法
US20070233892A1 (en) System and method for performing information detection
JP2001517899A (ja) エグゼキュータブル・オブジェクトを識別および抑制するための方法およびシステム
US20040111642A1 (en) Content security by network switch
US20030229710A1 (en) Method for matching complex patterns in IP data streams
JP2022554101A (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
JP2002252654A (ja) 侵入検出装置およびシステムならびにルータ
EP1345361B1 (en) Multilevel parser for conditional flow detection in a network device
US7990861B1 (en) Session-based sequence checking
KR102014741B1 (ko) Fpga 기반 고속 스노트 룰과 야라 룰 매칭 방법
JP4027213B2 (ja) 侵入検知装置およびその方法
US20030053421A1 (en) Method and apparatus for transferring packets in network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050920

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070605

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070719

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071009

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071009

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101019

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111019

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121019

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131019

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees