JP2005045649A - 攻撃パケット検出装置及び方法 - Google Patents
攻撃パケット検出装置及び方法 Download PDFInfo
- Publication number
- JP2005045649A JP2005045649A JP2003278979A JP2003278979A JP2005045649A JP 2005045649 A JP2005045649 A JP 2005045649A JP 2003278979 A JP2003278979 A JP 2003278979A JP 2003278979 A JP2003278979 A JP 2003278979A JP 2005045649 A JP2005045649 A JP 2005045649A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- received
- attack
- management information
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】受信パケット管理部135は受信パケットをパケット保存領域134bに保存すると共にパケット比較部136に渡す。パケット比較部136は、受信パケットをパターンファイル格納領域134cに格納されている各パターン情報の示すパターンと比較することで既知の攻撃パケットを検出する。受信パケットが既知の攻撃パケットでない場合、当該パケットはパケット処理モジュール12で処理され、処理が終了した時点で当該パケットはパケット保存領域134bから削除される。受信パケット管理部135は、パケット保存領域134bに一定時間を超えて保存されているパケットを検出し、未知の攻撃パケットであるとしてパターンファイル格納領域134cに追加する。
【選択図】 図1
Description
図1は本発明の一実施形態に係るパケット処理装置の構成を示すブロック図である。図1において、パケット処理装置10は、ネットワーク20に接続されたネットワークI/F(インタフェース)11と、パケット処理モジュール12と、本発明に直接関係する攻撃パケット防御モジュール(以下、防御モジュールと略称する)13とを備えている。本実施形態において、パケット処理モジュール12及び防御モジュール13は、パケット処理装置10が有する図示せぬCPUがそれぞれパケット処理プログラム及び防御プログラムを実行することにより実現される。
[インストール時の初期化処理]
まず本実施形態では、パケット処理装置10に防御プログラムをインストールして防御モジュール13を実現し、しかる後に当該防御モジュール13を初めて起動した際にのみ、図3のフローチャートに示す初期化処理が受信パケット管理部135により行われる。この初期化処理を、インストール時(防御モジュール13のインストール時)の初期化処理と称する。ここでは、受信パケット管理部135は、保存パケット管理テーブル134a内の全エントリについて、状態フラグをいずれも「未使用」状態に設定するセットする(ステップS1)。
次に、パケット受信時の処理について、図4のフローチャートを参照して説明する。
今、下位レイヤーをなすネットワークI/F11から、防御モジュール13内の下位レイヤーパケット転送I/F131に、ネットワーク20から受信したパケットが転送されたものとする。下位レイヤーパケット転送I/F131は、この下位レイヤー(ネットワークI/F11)から転送されたパケットを受信して、その受信パケットを受信パケット管理部135に転送する(ステップS11)。
次に、上位レイヤーパケット転送I/F132から上位レイヤーのパケット処理モジュール12に転送されたパケットの処理が、当該モジュール12にて正常に完了した場合の動作について、図5のフローチャートを参照して説明する。まず、パケット処理モジュール12から防御モジュール13に対して、パケット処理の完了が通知されたものとする。このパケット処理完了通知には、完了したパケットに関する情報が付加されている。防御モジュール13内の上位レイヤーパケット処理通知I/F133は、パケット処理モジュール12からのパケット処理完了通知を受信して、その通知を受信パケット管理部135に伝える(ステップS21)。受信パケット管理部135は、このパケット処理完了通知を受け取ると、パケット処理モジュール12から処理完了が通知されたパケットをパケット保存領域134bから探し、当該パケットが保存されているエントリのインデクスXを得る。受信パケット管理部135は、保存パケット管理テーブル134a内のインデクスXに対応するエントリに設定されている状態フラグを、「外部使用中」を示す状態から「未使用」を示す状態に変更する(ステップS22)。
次に、未知の攻撃パケットを検出する処理(未知攻撃パケット検出処理)について、図6のフローチャートを参照して説明する。この処理は例えば定期的に実行される。また、この処理は、後述する防御モジュール13の終了処理の最初でも実行される。
次に、防御モジュール13の終了処理について、図7のフローチャートを参照して説明する。この終了処理は、例えば図1のパケット処理装置のシャットダウン時に実行される。
「内部処理中」:対応するエントリは使われており、且つ当該エントリに登録されているパケットは防御モジュール13内で処理中である。処理開始から基準時間を経過していないため、現時点で、処理は正しく行われている。
「外部処理中」:対応するエントリは使われており、且つ当該エントリに登録されているパケットは防御モジュール13外で処理中である。処理開始から基準時間を経過していないため、現時点で、処理は正しく行われている。
次に、防御モジュール13の起動時の処理(初期化処理)について、図8のフローチャートを参照して説明する。図3のインストール時の初期化処理が、防御モジュール13を初めて起動した際のみ実行されるのに対し、この図8の処理は、防御モジュール13を初めて起動した以降での、当該防御モジュール13の起動の都度実行される。)
まず受信パケット管理部135は、保存パケット管理テーブル134a内のエントリを指定するインデクスiを初期値0に設定する(ステップS61)。次に受信パケット管理部135は、保存パケット管理テーブル134a内のインデクスiのエントリを参照する(ステップS62)。そして受信パケット管理部135は、インデクスiのエントリに設定されている状態フラグを調べる(ステップS63)。
Claims (10)
- ネットワークから受信されたパケットを処理するパケット処理モジュールを備えたパケット処理装置に設けられ、受信パケットの中から攻撃パケットを検出する攻撃パケット検出装置であって、
受信パケットを保存するパケット保存手段と、
受信パケットに対する前記パケット処理モジュールによる処理が終了した時点で当該パケットを前記パケット保存手段から削除する手段と、
前記パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを検出する手段と、
前記検出手段により検出された受信パケットを前記パケット処理装置に対する未知の攻撃パケットであると決定する手段と
を具備することを特徴とする攻撃パケット検出装置。 - 前記決定手段により未知の攻撃パケットであると決定された受信パケットから抽出された当該パケットを特定するためのパターンを示すパターン情報を格納するパターン格納手段と、
受信パケットを前記パターン格納手段に格納されている各パターン情報の示すパターンと比較するパケット比較手段と、
前記パケット比較手段による比較で一致が検出された場合、対応する受信パケットを攻撃パケットであるとして破棄する手段と、
前記パケット比較手段による比較で一致が検出されなかった場合、対応する受信パケットを前記パケット処理モジュールに転送する手段と
を更に具備し、
前記削除手段は、前記破棄手段により受信パケットが破棄された場合にも、当該パケットを前記パケット保存手段から削除する
ことを特徴とする請求項1記載の攻撃パケット検出装置。 - 前記パケット保存手段に保存された受信パケットを管理するための管理情報であって、当該受信パケットの保存時刻を示す時刻情報を含む管理情報を保存するパケット管理情報保存手段を更に具備し、
前記検出手段は、前記パケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が前記一定時間を経過している管理情報を検出することにより、当該検出された管理情報により管理されている受信パケットを検出し、
前記削除手段は、前記検出手段により検出された受信パケットの管理情報を前記パケット管理情報保存手段から削除することで、当該管理情報により管理されるパケットを前記パケット保存手段から論理的に削除する
ことを特徴とする請求項2記載の攻撃パケット検出装置。 - 前記パケット保存手段に保存された受信パケットを管理するための、対応するパケットが存在しない第1の状態、対応するパケットが前記攻撃パケット検出装置内で処理されている第2の状態、または対応するパケットが前記攻撃パケット検出装置外で処理されている第3の状態を示すフラグ情報と、当該フラグ情報が前記第2または第3の状態を示す際の時刻を示す時刻情報とを含む管理情報を保存するパケット管理情報保存手段であって、前記パケット保存手段への受信パケットの保存時には、前記第2の状態を示すフラグ情報と、当該受信パケットの保存時の時刻を示す時刻情報とを含む管理情報を保存するパケット管理情報保存手段と、
前記パケット比較手段による比較で不一致が検出された場合、前記パケット管理情報保存手段に保存されている対応する受信パケットの管理情報に含まれているフラグ情報を前記第3の状態を示すように変更すると共に、当該管理情報中の時刻情報をその際の時刻を示すように変更する手段と
を更に具備し、
前記検出手段は、前記パケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれているフラグ情報が前記第2の状態を示し、且つ当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が第1の一定時間を経過している管理情報を検出すると共に、前記パケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれているフラグ情報が前記第3の状態を示し、且つ当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が第2の一定時間を経過している管理情報を検出することにより、当該検出された管理情報により管理されている受信パケットを検出し、
前記削除手段は、前記検出手段により受信パケットが検出された場合には、前記パケット管理情報保存手段に保存されている当該受信パケットの管理情報に含まれているフラグ情報を前記第1の状態に変更することにより、前記破棄手段により受信パケットが破棄された場合には、前記パケット管理情報保存手段に保存されている当該破棄された受信パケットの管理情報に含まれているフラグ情報を前記第1の状態に変更することにより、いずれも当該受信パケットの管理情報を前記パケット管理情報保存手段から論理的に削除して、当該受信パケットを前記パケット保存手段から論理的に削除する
ことを特徴とする請求項2記載の攻撃パケット検出装置。 - 前記決定手段は、前記検出手段により検出された受信パケットが未知の攻撃パケットであるかを決定するために、前記攻撃パケット検出装置内部または前記攻撃パケット検出装置外部のうち、当該受信パケットを処理中の部分の状態が異常であるかを監視する手段を含み、異常である場合だけ当該受信パケットが未知の攻撃パケットであると決定することを特徴とする請求項1記載の攻撃パケット検出装置。
- 前記検出手段は、前記攻撃パケット検出装置の動作期間中、定期的に起動されることを特徴とする請求項1記載の攻撃パケット検出装置。
- 前記パケット保存手段は書き換えが可能な不揮発性記憶手段であり、
前記検出手段は、前記攻撃パケット検出装置の終了時にも起動され、
前記削除手段は、前記攻撃パケット検出装置の終了時に、前記検出手段による検出動作完了後に、前記パケット保存手段から全ての受信パケットを削除することを特徴とする請求項6記載の攻撃パケット検出装置。 - 前記検出手段は、前記攻撃パケット検出装置の起動時にも、前記パケット保存手段に残されている受信パケットを検出することを特徴とする請求項7記載の攻撃パケット検出装置。
- 前記決定手段による攻撃パケットであるとの決定の正否をシステム管理者に委ねるために、攻撃パケットであると決定された受信パケットを出力手段を介してシステム管理者に通知する手段を更に具備することを特徴とする請求項1記載の攻撃パケット検出装置。
- ネットワークから受信されたパケットを処理するパケット処理モジュールを備えたパケット処理装置において、受信パケットの中から攻撃パケットを検出する攻撃パケット検出方法であって、
受信パケットをパケット保存手段に保存するステップと、
受信パケットに対する前記パケット処理モジュールによる処理が終了した時点で当該パケットを前記パケット保存手段から削除するステップと、
前記パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを検出するステップと、
前記検出ステップで検出された受信パケットを前記パケット処理装置に対する未知の攻撃パケットであると決定するステップと
を具備することを特徴とする攻撃パケット検出方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003278979A JP3730642B2 (ja) | 2003-07-24 | 2003-07-24 | 攻撃パケット検出装置及び方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003278979A JP3730642B2 (ja) | 2003-07-24 | 2003-07-24 | 攻撃パケット検出装置及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005045649A true JP2005045649A (ja) | 2005-02-17 |
JP3730642B2 JP3730642B2 (ja) | 2006-01-05 |
Family
ID=34265227
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003278979A Expired - Fee Related JP3730642B2 (ja) | 2003-07-24 | 2003-07-24 | 攻撃パケット検出装置及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3730642B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009139170A1 (ja) * | 2008-05-16 | 2009-11-19 | パナソニック株式会社 | 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置 |
JP2011507453A (ja) * | 2007-12-18 | 2011-03-03 | ソーラーウィンズ ワールドワイド、エルエルシー | フロー情報に基づくネットワークデバイスのacl構成方法 |
US8065729B2 (en) | 2006-12-01 | 2011-11-22 | Electronics And Telecommunications Research Institute | Method and apparatus for generating network attack signature |
JP2019121017A (ja) * | 2017-12-28 | 2019-07-22 | 株式会社リコー | 情報処理装置、脆弱性検知方法およびプログラム |
-
2003
- 2003-07-24 JP JP2003278979A patent/JP3730642B2/ja not_active Expired - Fee Related
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8065729B2 (en) | 2006-12-01 | 2011-11-22 | Electronics And Telecommunications Research Institute | Method and apparatus for generating network attack signature |
JP2011507453A (ja) * | 2007-12-18 | 2011-03-03 | ソーラーウィンズ ワールドワイド、エルエルシー | フロー情報に基づくネットワークデバイスのacl構成方法 |
WO2009139170A1 (ja) * | 2008-05-16 | 2009-11-19 | パナソニック株式会社 | 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置 |
JPWO2009139170A1 (ja) * | 2008-05-16 | 2011-09-15 | パナソニック株式会社 | 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置 |
JP2019121017A (ja) * | 2017-12-28 | 2019-07-22 | 株式会社リコー | 情報処理装置、脆弱性検知方法およびプログラム |
JP7167439B2 (ja) | 2017-12-28 | 2022-11-09 | 株式会社リコー | 情報処理装置、脆弱性検知方法およびプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP3730642B2 (ja) | 2006-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2568295C2 (ru) | Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости | |
JP6949951B2 (ja) | コンピュータアプリケーション内のメモリ破損を修復するためのシステム及び方法 | |
JP4629332B2 (ja) | 状態参照モニタ | |
US7975302B2 (en) | System for real-time detection of computer system files intrusion | |
JP3999188B2 (ja) | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム | |
US7334264B2 (en) | Computer virus generation detection apparatus and method | |
US8819835B2 (en) | Silent-mode signature testing in anti-malware processing | |
US20050125687A1 (en) | Security-related programming interface | |
US20100235920A1 (en) | Method and device for questioning a plurality of computerized devices | |
TWI474213B (zh) | 具攻擊防護機制的雲端系統及其防護方法 | |
US20080201661A1 (en) | Remote flash storage management | |
US7845010B2 (en) | Terminal control apparatus and terminal control method | |
US20070250547A1 (en) | Log Preservation Method, and Program and System Thereof | |
JP6379013B2 (ja) | ネットワーク制御システム、ネットワーク制御方法及びプログラム | |
KR100788256B1 (ko) | 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법 | |
JP3730642B2 (ja) | 攻撃パケット検出装置及び方法 | |
JP2006040196A (ja) | ソフトウェア監視システムおよび監視方法 | |
JPH11167487A (ja) | ウィルスチェックネットワーク、ウィルスチェック装置、クライアント端末及びウィルス情報管理局 | |
JP2012073904A (ja) | 情報処理装置、パスワード診断方法およびプログラム | |
CN111400706B (zh) | 一种病毒防御方法、装置、设备及存储介质 | |
JP2001086118A (ja) | コンピュータ機器遠隔管理方法 | |
CN111506897B (zh) | 数据处理方法和装置 | |
WO2021144978A1 (ja) | 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム | |
KR101472523B1 (ko) | 미식별 트래픽을 제어하는 보안 장치 및 그것의 동작 방법 | |
RU2468427C1 (ru) | Система и способ защиты компьютерной системы от активности вредоносных объектов |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050801 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051004 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051006 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081014 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091014 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091014 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101014 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |