JP2005045649A - 攻撃パケット検出装置及び方法 - Google Patents

攻撃パケット検出装置及び方法 Download PDF

Info

Publication number
JP2005045649A
JP2005045649A JP2003278979A JP2003278979A JP2005045649A JP 2005045649 A JP2005045649 A JP 2005045649A JP 2003278979 A JP2003278979 A JP 2003278979A JP 2003278979 A JP2003278979 A JP 2003278979A JP 2005045649 A JP2005045649 A JP 2005045649A
Authority
JP
Japan
Prior art keywords
packet
received
attack
management information
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003278979A
Other languages
English (en)
Other versions
JP3730642B2 (ja
Inventor
Kuniaki Motosawa
邦朗 本沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003278979A priority Critical patent/JP3730642B2/ja
Publication of JP2005045649A publication Critical patent/JP2005045649A/ja
Application granted granted Critical
Publication of JP3730642B2 publication Critical patent/JP3730642B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】受信パケットの中から未知の攻撃パケットを検出できるようにする。
【解決手段】受信パケット管理部135は受信パケットをパケット保存領域134bに保存すると共にパケット比較部136に渡す。パケット比較部136は、受信パケットをパターンファイル格納領域134cに格納されている各パターン情報の示すパターンと比較することで既知の攻撃パケットを検出する。受信パケットが既知の攻撃パケットでない場合、当該パケットはパケット処理モジュール12で処理され、処理が終了した時点で当該パケットはパケット保存領域134bから削除される。受信パケット管理部135は、パケット保存領域134bに一定時間を超えて保存されているパケットを検出し、未知の攻撃パケットであるとしてパターンファイル格納領域134cに追加する。
【選択図】 図1

Description

本発明は、ネットワークから受信されたパケットの中から未知の攻撃パケットを検出するのに好適な攻撃パケット検出装置及び方法に関する。
近年、ネットワークに接続された機器上でパケットの処理を行うモジュール(パケット処理モジュール)のセキュリティホールに対して攻撃する攻撃パケット(不正パケット)を検出して当該攻撃パケットによる攻撃を防御する技術が種々開発されている。この攻撃パケットを検出する代表的な技術として、攻撃パケットに共通のパターン(攻撃パターン)を予めデータベース化したパターンファイル(つまり静的なパターンファイル)を利用した技術が知られている(例えば、特許文献1参照)。この技術を適用した機器は、ネットワークインタフェースとパケット処理モジュールとの間に、上記のパターンファイルを含む防御モジュールを備えている。防御モジュールは、ネットワークインタフェースがネットワークからパケットを受信した場合、当該受信したパケットの内容をパターンファイル内のパターン情報と比較する。もし、両者が一致しなかった場合は、防御モジュールは受信パケットをパケット処理モジュールに転送する。一方、両者が一致した場合には、防御モジュールは受信パケットが攻撃パケットであるとみなし、当該受信パケットを破棄して、パケット処理モジュールには転送しない。同時に防御モジュールは、破棄したパケットに関する情報、時刻等のログの出力、機器の管理者への通知等を行う。
特開2002−63084号公報(段落0066,0067、図1)
上記した従来技術によれば、予めパターンファイルに登録されたパターンに一致するパケットを攻撃パケットとして検出できるため、そのパケットによる攻撃を防御できる。しかし従来技術では、パターンファイルに登録されていない未知のパターンの攻撃パケットは検出できず、したがって未知の攻撃パケットによる攻撃に関しては防御できない。
本発明は上記事情を考慮してなされたものでその目的は、ネットワークから受信されたパケットの中から未知の攻撃パケットを検出できる攻撃パケット検出装置及び方法を提供することにある。
本発明の1つの観点によれば、ネットワークから受信されたパケットを処理するパケット処理モジュールを備えたパケット処理装置に設けられ、受信パケットの中から攻撃パケットを検出する攻撃パケット検出装置が提供される。この攻撃パケット検出装置は、受信パケットを保存するパケット保存手段と、受信パケットに対する上記パケット処理モジュールによる処理が終了した時点で当該パケットを上記パケット保存手段から削除する手段と、上記パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを検出する手段と、この検出手段により検出された受信パケットを前記パケット処理装置に対する未知の攻撃パケットであると決定する手段とを備えている。
このような構成においては、ネットワークから受信したパケットをパケット保存手段に一時保存し、当該受信パケットに対するパケット処理モジュールによる処理(つまり本来の処理)が終了した時点で当該パケットをパケット保存手段から削除する構成とすることにより、パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを、パケット処理モジュールを含むパケット処理装置を異常状態に陥れた未知の攻撃パケットであるとして検出することができる。
ここで、未知の攻撃パケットであると決定された受信パケットから抽出された当該パケットを特定するためのパターンを示すパターン情報を格納するパターン格納手段と、受信パケットを、このパターン格納手段に格納されている各パターン情報の示すパターンと比較するパケット比較手段と、このパケット比較手段による比較で一致が検出された場合、対応する受信パケットを攻撃パケットであるとして破棄する手段と、上記パケット比較手段による比較で一致が検出されなかった場合、対応する受信パケットをパケット処理モジュールに転送する手段とを追加し、上記破棄手段により受信パケットが破棄された場合にも、当該パケットが上記削除手段により上記パケット保存手段から削除される構成とするとよい。
このような構成においては、受信パケットに起因してパケット処理装置が異常状態に陥ったことが検出された結果、原因となったパケットが未知の攻撃パケットであるとして、当該パケットを特定するためのパターンを示すパターン情報を新たにパターン格納手段に自動登録することにより、以降の同様のパケットによる攻撃を防御することが可能となる。また、以降の同様のパケットによる攻撃を防御した際に、即ち以降に受信される同様のパケットが攻撃パケットであると検出されて破棄された際に、当該パケットをパケット保存手段から削除することにより、当該パケットが未知の攻撃パケットであると誤検出されるのを防止できる。
また、パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを容易に検出可能とするために、パケット保存手段に保存された受信パケットを管理するための管理情報であって、当該受信パケットの保存時刻を示す時刻情報を含む管理情報を保存するパケット管理情報保存手段を追加し、このパケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が一定時間を経過している管理情報を検出することにより、対応する受信パケットを目的のパケットとして検出する構成とするとよい。ここで、検出された受信パケットの管理情報を上記パケット管理情報保存手段から削除することにより、当該管理情報により管理されるパケットを上記パケット保存手段から論理的に削除することができる。
また、上記検出手段により検出された受信パケットが未知の攻撃パケットであるかを決定するために、攻撃パケット検出装置内部または攻撃パケット検出装置外部のうち、当該受信パケットを処理中の部分の状態が異常であるかを監視し、異常である場合だけ当該受信パケットが未知の攻撃パケットであると決定するならば、より確実に未知の攻撃パケットを決定できる。ここで、攻撃パケット検出装置外部の状態は、例えばパケット処理モジュールと連携を取ることにより監視可能である。
本発明によれば、ネットワークから受信したパケットをパケット保存手段に一時保存し、当該受信パケットに対するパケット処理モジュールによる処理が終了した時点で当該パケットをパケット保存手段から削除する構成とすることにより、パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを未知の攻撃パケットであるとして検出することができる。
以下、本発明の実施の形態につき図面を参照して説明する。
図1は本発明の一実施形態に係るパケット処理装置の構成を示すブロック図である。図1において、パケット処理装置10は、ネットワーク20に接続されたネットワークI/F(インタフェース)11と、パケット処理モジュール12と、本発明に直接関係する攻撃パケット防御モジュール(以下、防御モジュールと略称する)13とを備えている。本実施形態において、パケット処理モジュール12及び防御モジュール13は、パケット処理装置10が有する図示せぬCPUがそれぞれパケット処理プログラム及び防御プログラムを実行することにより実現される。
防御モジュール13は、パケット処理モジュール12を防御対象として、当該パケット処理モジュール12を攻撃パケットから防御する攻撃パケット防御装置である。防御モジュール13は、パケット処理モジュール12と連携を取って、受信パケットに起因して当該パケット処理モジュール12が異常状態に陥ったことを検出する機能と、原因となったパケットを未知の攻撃パケットとして決定する機能とを有する。つまり防御モジュール13は、一連の受信パケットの中から未知の攻撃パケットを検出する攻撃パケット検出装置としての機能を有する。防御モジュール13はまた、未知の攻撃パケットとして決定された受信パケットから抽出されたパターンを示す情報を新たにパターンファイルに自動登録する機能と、受信パケットのうちパターンファイルに自動登録されたパターンに一致(類似)したパケットを破棄する機能とを有する。
防御モジュール13は、下位レイヤーパケット転送I/F131と、上位レイヤーパケット転送I/F132と、上位レイヤーパケット処理通知I/F133と、記憶部134とを備えている。下位レイヤーパケット転送I/F131は、下位レイヤーのネットワークI/F11(つまり、よりネットワーク20の物理レイヤーに近いインタフェースモジュール)との間でパケットの授受を行う。上位レイヤーパケット転送I/F132は、上位レイヤーのパケット処理モジュール12(つまり、よりネットワーク20の物理レイヤーから遠い、防御対象となるパケット処理モジュール12)との間でパケットの授受を行う。上位レイヤーパケット処理通知I/F133は、パケット処理モジュール12との間でパケット処理に関する情報の授受を行う。記憶部134は、パケット処理装置10が有する不揮発性の記憶装置(図示せぬ)の記憶領域(不揮発性領域)のうち、防御モジュール13に割り当てられる記憶領域により実現される。不揮発性の記憶装置は例えばハードディスクドライブである。
記憶部134の記憶領域は、保存パケット管理テーブル134aを記憶するための記憶領域(保存パケット管理テーブル記憶領域)と、パケット保存領域134bと、パターンファイル格納領域134cとに割り当てられる。なお、保存パケット管理テーブル134aの記憶領域とパケット保存領域134bとが、後述するように揮発性の記憶装置内に確保される構成であっても構わない。
パケット保存領域134bは、受信したパケットを一時的に保存しておく領域である。保存パケット管理テーブル134aは、パケット保存領域134bに保存されているパケットを管理するための管理情報を保存するのに用いられるパケット管理情報保存手段である。この管理情報は、保存パケットの状態を示す状態フラグと時刻を示す時刻情報とを含む。つまり保存パケット管理テーブル134a内の各エントリは、状態フラグが設定されるフラグフィールドと、時刻情報が設定される時刻フィールドとを含む。時刻情報は、年月日の情報も含む。状態フラグにより示される状態には、対応する保存パケット管理テーブル134a内のエントリが使われていないこと(つまり空きエントリであること)を示す「未使用」状態と、対応するパケットが防御モジュール13内で処理中であることを示す「内部処理中」状態と、対応するパケットが防御モジュール13外(ここではパケット処理モジュール12)で処理中であることを示す「外部処理中」状態との3つがある。パターンファイル格納領域134cは、パケット処理モジュール12に対する攻撃のパターンの情報を保存したパターンファイルを格納するのに用いられる。ここでは、パターンファイル格納領域134c(内のパターンファイル)に対するパターン情報の追加及びパターンファイル格納領域134c(内のパターンファイル)からのパターン情報の削除が可能である。
図2は、保存パケット管理テーブル134a及びパケット保存領域134bのデータ構造例を示す。保存パケット管理テーブル134aは、管理情報を保存するエントリの群を有し、パケット保存領域134bは受信パケットを保存するエントリの群を有する。ここで、インデクスiで参照される、保存パケット管理テーブル134a内のエントリ(第iエントリ)と、同じインデクスiで参照される、パケット保存領域134b内のエントリ(第iエントリ)とは対応している。即ち、保存パケット管理テーブル134a内のインデクスiで参照されるエントリには、パケット保存領域134b内のインデクスiで参照されるエントリに保存されているパケットの管理情報が保存されている。
再び図1を参照すると、防御モジュール13は更に、受信パケット管理部135と、パケット比較部136と、ログ出力警告処理部137とを備えている。受信パケット管理部135は、パターンファイル格納領域134c(内のパターンファイル)を対象とするパターン情報の追加/削除と、パケット保存領域134bを対象とする受信パケットの登録/削除と、保存パケット管理テーブル134a内のエントリの各フィールドへの情報書き込みと、パケット比較部136への受信パケットの転送等を行う。また、受信パケット管理部135は、パケット保存領域134bに保存されたパケットが予め定められた判定条件を満たした場合に当該パケットを未知の攻撃パケットであると判定し、当該パケットからパターン情報を抽出して新たにパターンファイル格納領域134cに登録する。パケット比較部136は、受信パケット管理部135から受け取った受信パケットを、パターンファイル格納領域134c中の各パターン情報と比較する。パケット比較部136は、比較の結果、受信パケットに一致するパターン情報があった場合、当該受信パケットが既知の攻撃パケットであると判断する。この場合、パケット比較部136はパケット破棄手段として機能して受信パケットを破棄し、ログ出力警告処理部137に通知する。またパケット比較部136は、比較の結果、受信パケットに一致するパターン情報がなかった場合、当該受信パケットは攻撃パケットでないと判断する。この場合、パケット比較部136は受信パケットを上位レイヤーパケット転送I/F132により上位レイヤー(パケット処理モジュール12)に転送させる。ログ出力警告処理部137は、パケット比較部136での比較の結果、受信パケットが攻撃パケットであるとみなされた場合に、攻撃の内容、受信日時、送信元等をログとして記録し、また表示器等の出力手段を介してシステム管理者に警告する処理を行う。
次に本実施形態の動作について、図1のパケット処理装置10内の防御モジュール13の動作を中心に説明する。
[インストール時の初期化処理]
まず本実施形態では、パケット処理装置10に防御プログラムをインストールして防御モジュール13を実現し、しかる後に当該防御モジュール13を初めて起動した際にのみ、図3のフローチャートに示す初期化処理が受信パケット管理部135により行われる。この初期化処理を、インストール時(防御モジュール13のインストール時)の初期化処理と称する。ここでは、受信パケット管理部135は、保存パケット管理テーブル134a内の全エントリについて、状態フラグをいずれも「未使用」状態に設定するセットする(ステップS1)。
[パケット受信時の処理]
次に、パケット受信時の処理について、図4のフローチャートを参照して説明する。
今、下位レイヤーをなすネットワークI/F11から、防御モジュール13内の下位レイヤーパケット転送I/F131に、ネットワーク20から受信したパケットが転送されたものとする。下位レイヤーパケット転送I/F131は、この下位レイヤー(ネットワークI/F11)から転送されたパケットを受信して、その受信パケットを受信パケット管理部135に転送する(ステップS11)。
受信パケット管理部135は、下位レイヤーパケット転送I/F131から転送された受信パケットを受け取ると、保存パケット管理テーブル134a内のエントリ群から、状態フラグが「未使用」状態を示すエントリ、つまり空きエントリを1つ探し、当該空きエントリを確保すると共に当該空きエントリのインデクスXを得る(ステップS12a)。次に受信パケット管理部135は、インデクスXで参照される、パケット保存領域134b内のエントリ(第Xエントリ)に受信パケットを格納する(ステップS12b)。また受信パケット管理部135は、インデクスXで参照される、保存パケット管理テーブル134a内のエントリ中のフラグフィールドに設定されている状態フラグを「内部処理中」を示す状態に変更すると共に、当該エントリ中の時刻フィールドに現在の(つまり内部処理開始時点の)時刻(及び年月日)を示す時刻情報を保存する(ステップS12c)。また受信パケット管理部135は、受信パケットをパケット比較部136に転送する(ステップS12d)。
パケット比較部136は、パターンファイル格納領域134cに格納されているパターン情報を例えば先頭から順に取り出す。そしてパケット比較部136は、パターンファイル格納領域134cからパターン情報を取り出す都度、当該パターン情報の示すパターンと受信パケット管理部135から転送された受信パケットの内容とを比較する。パケット比較部136は、この動作を、パターンファイル格納領域134cから取り出されたパターン情報の示すパターンと受信パケットとが一致するのを検出するまで、または全てのパターン情報について比較し終えるまで繰り返す(ステップS13)。
もし、パターンファイル格納領域134c内のいずれかのパターン情報の示すパターンと受信パケットの内容とが一致した場合(ステップS14)、パケット比較部136は、当該受信パケットが攻撃パケット(既知の攻撃パケット)であると判断する。この場合、パケット比較部136は受信パケットを破棄し、攻撃パケットを検出したことをログ出力警告処理部137に通知する(ステップS15)。するとログ出力警告処理部137は、攻撃パケットであると判断された受信パケットに関する情報(攻撃の内容、受信日時、送信元等の情報)をログとして記録すると共に、パケットによる攻撃を受けた旨を管理者等に音声メッセージ出力、表示メッセージ出力等より通知するための警告処理を行う(ステップS16)。この警告処理の中で、ログ出力警告処理部137は受信パケット管理部135に対し、受信パケットが攻撃パケットとみなされて破棄された旨を通知する。
受信パケット管理部135は、ログ出力警告処理部137から受信パケットが破棄された旨のパケット破棄通知を受け取ると、当該受信パケットが保存されているパケット保存領域134b内のエントリを探し、そのインデクスXを得る。受信パケット管理部135は、保存パケット管理テーブル134a内のインデクスXに対応するエントリに設定されている状態フラグを、「内部使用中」を示す状態から「未使用」を示す状態に変更する(ステップS17)。
一方、パターンファイル格納領域134c内の全てのパターン情報について当該パターン情報の示すパターンと受信パケットの内容とを比較しても、一致が検出されなかった場合(ステップS14)、パケット比較部136は、不一致を示す比較結果を受信パケット管理部135に通知する。すると受信パケット管理部135は、保存パケット管理テーブル134aから受信パケットに対応するエントリを探し、当該エントリ中の状態フラグを「内部処理中」を示す状態から「外部処理中」を示す状態に変更すると共に、当該エントリ中の時刻情報を現在の(つまり外部処理開始時点の)時刻(及び年月日)を示すように変更する(ステップS18)。一方、パケット比較部136は、受信パケットを上位レイヤーパケット転送I/F132に転送する。上位レイヤーパケット転送I/F132は、この受信パケットを上位レイヤーのパケット処理モジュール12に転送する(ステップS19)。
パケット処理モジュール12は、防御モジュール13内の上位レイヤーパケット転送I/F132から転送されたパケットを受信すると、当該パケットを処理する。もし、受信パケットの処理が正常に完了できたなら、パケット処理モジュール12は、パケット処理の完了と、完了したパケットに関する情報を防御モジュール13に返す。
[上位レイヤーでのパケット処理完了時の処理]
次に、上位レイヤーパケット転送I/F132から上位レイヤーのパケット処理モジュール12に転送されたパケットの処理が、当該モジュール12にて正常に完了した場合の動作について、図5のフローチャートを参照して説明する。まず、パケット処理モジュール12から防御モジュール13に対して、パケット処理の完了が通知されたものとする。このパケット処理完了通知には、完了したパケットに関する情報が付加されている。防御モジュール13内の上位レイヤーパケット処理通知I/F133は、パケット処理モジュール12からのパケット処理完了通知を受信して、その通知を受信パケット管理部135に伝える(ステップS21)。受信パケット管理部135は、このパケット処理完了通知を受け取ると、パケット処理モジュール12から処理完了が通知されたパケットをパケット保存領域134bから探し、当該パケットが保存されているエントリのインデクスXを得る。受信パケット管理部135は、保存パケット管理テーブル134a内のインデクスXに対応するエントリに設定されている状態フラグを、「外部使用中」を示す状態から「未使用」を示す状態に変更する(ステップS22)。
[未知攻撃パケット検出処理]
次に、未知の攻撃パケットを検出する処理(未知攻撃パケット検出処理)について、図6のフローチャートを参照して説明する。この処理は例えば定期的に実行される。また、この処理は、後述する防御モジュール13の終了処理の最初でも実行される。
まず、受信パケット管理部135は、保存パケット管理テーブル134a内のエントリを指定するインデクスiを初期値0に設定する(ステップS31)。次に受信パケット管理部135は、保存パケット管理テーブル134a内のインデクスiのエントリを参照する(ステップS32)。そして受信パケット管理部135は、インデクスiのエントリに設定されている状態フラグを調べる(ステップS33)。
もし、インデクスiのエントリ中の状態フラグが「内部処理中」または「外部処理中」を示しているならば、受信パケット管理部135は、当該エントリの時刻フィールドに設定されている時刻情報の示す時刻(設定時刻)(つまり、現在進行中の内部処理または外部処理の開始時刻)を現在時刻と比較する(ステップ34)。そして受信パケット管理部135は、時刻フィールドの示す時刻(つまり、現在進行中の内部処理または外部処理の開始時刻)から予め定められた基準時間を経過しているか否かを判定する(ステップ35)。
もし、時刻フィールドの示す時刻から基準時間を経過している場合、つまりパケットの「内部処理中」または「外部処理中」の状態が基準時間を超えて続いている場合、受信パケット管理部135は、「内部処理中」または「外部処理中」のパケットが未知の攻撃パケットである可能性があると判断する。その理由は次の通りである。
まず、「内部処理中」の状態が基準時間を超えて続いていることは、基準時間を経過しても、防御モジュール13の内部のパケット処理が完了していないことを意味している。そのため、受信パケットに起因して、防御モジュール13が無限ループに陥った、或いは異常終了した等の問題が発生している可能性がある。また、「外部処理中」の状態が基準時間を超えて続いていることは、「外部処理中」となっているパケットに関し、上位レイヤーのパケット処理モジュール12において同様の問題が発生している可能性がある。
そこで、受信パケット管理部135は、「内部処理中」または「外部処理中」のパケットが、防御モジュール13、或いは防御対象のパケット処理モジュール12に何らかの悪影響を及ぼす未知の攻撃パケットであるか否かを判定するために、「内部処理」または「外部処理」を行っているモジュール(つまり防御モジュール13またはパケット処理モジュール12)の状態を監視する(ステップS36)。ここでは受信パケット管理部135は、「内部処理」または「外部処理」を実行するためのプログラムの状態を確認する。
プログラムの実行状態を確認する手段は従来から知られており、オペレーティングシステム(OS)がWindows(登録商標)であれば例えばタスクマネージャを用いて実現可能であり、UNIX(登録商標)であればpsコマンドを用いて実現可能である。この他に、「内部処理」または「外部処理」を実行するためのプログラムに、予め状態を外部に知らせる機能(例えば、定期的に生存信号を発信する機能)を組み込むことによっても、プログラムの実行状態を確認することが可能である。
受信パケット管理部135は、このような手段を適用して、「内部処理」または「外部処理」を行うためのプログラムが、現在実行状態にあるか否か、更にはCPUやメモリの使用率がどの程度かを確認することができる。受信パケット管理部135は、パケット処理モジュール12または防御モジュール13での「内部処理」または「外部処理」を行うためのプログラム(プロセス)の実行状態を監視した結果、当該プログラムが実行中でない場合、或いはCPUやメモリの使用率が異常である(ある閾値以上となっている)など挙動が異常である場合に、当該プログラムの実行状態は異常となっていると判定する(ステップS37)。この場合、受信パケット管理部135は、「内部処理中」または「外部処理中」のパケットが、防御モジュール13または防御対象のパケット処理モジュール12に何らかの悪影響を及ぼす未知の攻撃パケットであると判定(決定)する。そこで受信パケット管理部135は、「内部処理中」または「外部処理中」のパケットから当該パケットを特定するためのパターンを抽出して、そのパターンを示すパターン情報を、パターンファイル格納領域134cに保存されているパターンファイルに追加登録する(ステップS38)。ここで、パターン抽出の対象となるパケットは、ステップS34での比較で用いられた時刻情報が設定されている保存パケット管理テーブル134a内のエントリに対応する、パケット保存領域134b内のエントリに保存されている。つまりパターン抽出の対象となるパケットは、インデクスiで指定されるパケット保存領域134b内のエントリに保存されている。
なお、「内部処理」または「外部処理」を行うためのプログラムが異常状態であると判定されても、一度だけでは「内部処理中」または「外部処理中」のパケットが未知の攻撃パケットであると決定せず、次回以降の未知攻撃パケット検出処理でも同様の状態が観測された場合に、未知の攻撃パケットであると決定するようにしてもよい。
また、上記の例では、説明を簡略化するために、「内部処理中」または「外部処理中」のいずれの状態でも、同一の基準時間を適用している。しかし、「内部処理中」及び「外部処理中」の各々について固有の基準時間(第1及び第2の基準時間)を適用し、例えば「内部処理中」または「外部処理中」の状態が、それぞれ第1または第2の基準時間を超えているかを判定することが好ましい。ここでは、「外部処理」に要する標準的な時間は「内部処理」に要する標準的な時間より長い。このため、第2の基準時間は第1の基準時間より長い値に設定される。
未知の攻撃パケットであると決定されたパケットからの(当該パケットを特定するための)パターンの抽出には、次のような方法が適用可能である。例えば、パケットの送信元アドレスをパターンとする方法である。この方法を適用して、送信元アドレスをパターンとしてパターンファイル格納領域134c内のパターンファイルに登録した場合、以後同じ送信元からのパケットは全て攻撃パケットであるとして破棄できる。また、パケットのデータ自体をパターンとして登録することで、以降同様のデータのパケットが送信された場合に攻撃パケットとして、当該パケットを処理しないようにできる。
本実施形態ではパケットを1個ずつ管理している。これらのパケットのある一定の単位の集合は、何らかの意味を持つのが一般的である。そこで、例えばTCP(Transmission Control Protocol)に代表される通信プロトコルのセッション(コネクション)単位で、そのセッション(コネクション)を用いて送信される一連のパケットの集合を、パケットの到着順序と共に格納して管理する方法を適用することも可能である。この方法の場合、あるパケットが攻撃とみなされた場合、そのパケットが属する一連パケットの集合、つまりセッション自体が攻撃であるとみなせる。そのため、以降では、同様の順番やデータを持つパケット群を受信した際に、攻撃と判断するようにパターンを作成し、パターンファイルに登録することができる。
受信パケット管理部135は、未知の攻撃パケットであると決定した受信パケットのパターン(を示すパターン情報)をパターンファイルに登録すると(ステップS38)、インデクスiで指定される保存パケット管理テーブル134a内のエントリの状態フラグを、「内部処理中」または「外部処理中」を示す状態から「未使用」を示す状態に変更する(ステップS39)。この保存パケット管理テーブル134a内のエントリの状態フラグを「未使用」を示す状態に変更する処理は、当該エントリに保存されている管理情報及び当該エントリに対応するパケット保存領域134b内のエントリに保存されている受信パケットを論理的に削除したのと等価である。
次に受信パケット管理部135は、保存パケット管理テーブル134a内の全てのエントリについて処理したか否かを判定する(ステップS40)。もし、未処理のエントリが残っているならば、受信パケット管理部135はインデクスiを1だけインクリメントして(ステップS41)、そのインクリメント後の保存パケット管理テーブル134a内のエントリ(つまり次のエントリ)を対象に、ステップS32から始まる処理を実行する。また受信パケット管理部135は、インデクスiのエントリに設定されている状態フラグが「未使用」を示している場合(ステップS33)、或いはインデクスiのエントリの時刻フィールドの示す時刻から基準時間を経過していない場合(ステップS35)、或いは「内部処理」または「外部処理」を実行するためのプログラムの状態が正常な場合(ステップS37)、対応する受信パケットを攻撃パケットであると決定することはできないとして、そのままステップS40に進む。受信パケット管理部135は、以上の処理を保存パケット管理テーブル134a内の全てのエントリについて実行する(ステップS38)。
[防御モジュール13の終了処理]
次に、防御モジュール13の終了処理について、図7のフローチャートを参照して説明する。この終了処理は、例えば図1のパケット処理装置のシャットダウン時に実行される。
まず、受信パケット管理部135は、図6に示した手順の未知攻撃パケット検出処理を実行する(ステップS51)。この処理の実行により、保存パケット管理テーブル134aの各エントリに設定されている状態フラグの意味は以下の通りとなることは明らかである。
「未使用」:対応するエントリは使われておらず、空きとなっている。
「内部処理中」:対応するエントリは使われており、且つ当該エントリに登録されているパケットは防御モジュール13内で処理中である。処理開始から基準時間を経過していないため、現時点で、処理は正しく行われている。
「外部処理中」:対応するエントリは使われており、且つ当該エントリに登録されているパケットは防御モジュール13外で処理中である。処理開始から基準時間を経過していないため、現時点で、処理は正しく行われている。
受信パケット管理部135は、未知攻撃パケット検出処理(ステップS51)を終了すると、保存パケット管理テーブル134a内の全てのエントリを対象に、当該エントリの状態フラグをいずれも「未使用」を示す状態に設定する(ステップS52)。これにより本実施形態においては、防御モジュール13の終了処理が終了した時点で、保存パケット管理テーブル134a内の全てのエントリの状態フラグは、当該エントリが「未使用」であること(使われていないこと)を示す。もし、パケットの「内部処理中」または「外部処理中」に防御モジュール13またはパケット処理モジュール12が異常終了した場合(つまりパケット処理装置10が異常終了した場合)には、上記した図7のフローチャートに従う終了処理は行われない。この場合、異常終了時点で「内部処理中」または「外部処理中」を示す状態フラグは、「未使用」を示す状態に変更されないことになる。
なお、本実施形態では、防御モジュール13の終了処理において、各エントリの状態フラグの状態に無関係に、当該フラグをいずれも「未使用」を示す状態に設定している。しかし、「内部使用中」を示す状態フラグが設定されているエントリと、「外部内部使用中」を示す状態フラグが設定されているエントリだけを対象に、当該フラグを「未使用」を示す状態に変更するようにしても構わない。
[防御モジュール13の起動時の処理]
次に、防御モジュール13の起動時の処理(初期化処理)について、図8のフローチャートを参照して説明する。図3のインストール時の初期化処理が、防御モジュール13を初めて起動した際のみ実行されるのに対し、この図8の処理は、防御モジュール13を初めて起動した以降での、当該防御モジュール13の起動の都度実行される。)
まず受信パケット管理部135は、保存パケット管理テーブル134a内のエントリを指定するインデクスiを初期値0に設定する(ステップS61)。次に受信パケット管理部135は、保存パケット管理テーブル134a内のインデクスiのエントリを参照する(ステップS62)。そして受信パケット管理部135は、インデクスiのエントリに設定されている状態フラグを調べる(ステップS63)。
もし、インデクスiのエントリ中の状態フラグが「内部処理中」または「外部処理中」を示しているならば、受信パケット管理部135は、当該エントリで管理されるパケットの「内部処理中」または「外部処理中」に、防御モジュール13またはパケット処理モジュール12が異常終了して、防御モジュール13の終了処理が実行されなかったものと判断する。そして受信パケット管理部135は、状態フラグが「内部処理中」を示している場合であれば、パケットの「内部処理中」に防御モジュール13が異常終了した要因が、当該パケットが未知の攻撃パケットとあったためであると判断する。同様に受信パケット管理部135は、状態フラグが「外部処理中」を示している場合であれば、パケットの「外部処理中」にパケット処理モジュール12が異常終了したことは、当該パケットが未知の攻撃パケットとあったためであると判断する。
そこで、受信パケット管理部135は、インデクスiで指定される保存パケット管理テーブル134a内のエントリの状態フラグが「内部処理中」または「外部処理中」を示している場合、当該エントリに対応するパケット保存領域134b内のエントリに保存されているパケットから先に述べた方法でパターンを抽出し、そのパターンを示すパターン情報を、パターンファイル格納領域134cに保存されているパターンファイルに追加登録する(ステップS64)。
受信パケット管理部135は、未知の攻撃パケットであると決定した受信パケットのパターン(を示すパターン情報)をパターンファイルに登録すると(ステップS64)、インデクスiで指定される保存パケット管理テーブル134a内のエントリの状態フラグを、「内部処理中」または「外部処理中」を示す状態から「未使用」を示す状態に変更する(ステップS65)。次に受信パケット管理部135は、保存パケット管理テーブル134a内の全てのエントリについて処理したか否かを判定する(ステップS66)。もし、未処理のエントリが残っているならば、受信パケット管理部135はインデクスiを1だけインクリメントして(ステップS67)、そのインクリメント後の保存パケット管理テーブル134a内のエントリを対象に、ステップS62から始まる処理を実行する。また受信パケット管理部135は、インデクスiのエントリに設定されている状態フラグが「未使用」を示している場合には(ステップS63)、対応する受信パケットは攻撃パケットでないとして、そのままステップS66に進む。受信パケット管理部135は、以上の処理を保存パケット管理テーブル134a内の全てのエントリについて実行する(ステップS66)。
このように本実施形態においては、防御モジュール13(内の受信パケット管理部135)は当該防御モジュール13の起動時点で、保存パケット管理テーブル134aにより処理が完了していないことが示されているパケットを検出し、当該パケットを、防御対象であるパケット処理モジュール12(上位モジュール)、或いは防御モジュール13自身への攻撃パケットであると判断する。そして防御モジュール13(内の受信パケット管理部135)は、攻撃パケットであると判断したパケットからパターンを抽出して、新規にパターンファイルに追加している。これにより、次回以降同様のパケットを受信した場合には、当該パケットによる攻撃を防御することができる。
なお、攻撃パケットから抽出したパターンを自動的にパターンファイルに登録する代わりに、当該パケットの内容をシステム管理者に例えばメール等を用いて通知し、当該パケットを攻撃パケットとみなすか否か(つまり、受信パケット管理部135による攻撃パケットであるとの決定の正否)を、管理者の判断に委ねるようにしてもよい。また、攻撃を受けていると判断する対象を、パケット処理モジュール12及び防御モジュール13の両方でなくて、いずれか一方とすることも可能である。
また、上記実施形態では、保存パケット管理テーブル134aの領域及びパケット保存領域134bは、パターンファイル格納領域134cと共に、ハードディスクドライブ等の不揮発性の記憶装置の記憶領域内に確保されている。しかし、保存パケット管理テーブル134aの領域及びパケット保存領域134bが、揮発性の記憶装置の記憶領域内に確保される構成とすることも可能である。
上記実施形態のように、不揮発性の記憶装置を用いる構成では、防御モジュール13または防御対象のパケット処理モジュール12が異常終了した場合、つまり当該防御モジュール13及び防御対象のパケット処理モジュール12が実行されているパケット処理装置10が異常終了した場合、当該パケット処理装置10の再起動後でも、不揮発性の記憶装置に情報が残っている。このため、上記の例のように、未知の攻撃パケットの検出を行える。これに対し、上記実施形態とは異なって、保存パケット管理テーブル134aの領域及びパケット保存領域134bが揮発性の記憶装置の記憶領域内に確保される構成を適用した場合、当該保存パケット管理テーブル134a及びパケット保存領域134bへのアクセス時間を短縮できる利点がある。但し、パケット処理装置10が異常終了した時点で、揮発性の記憶装置の情報は失われる。したがって、パケット処理装置10の再起動後、揮発性の記憶装置には、保存パケット管理テーブル134a及びパケット保存領域134bの情報は残っていない。よって、揮発性の記憶装置を用いる構成は、パケット処理装置10自体が異常終了するような攻撃以外の攻撃の検出に適用可能である。
なお、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。
本発明の一実施形態に係るパケット処理装置の構成を示すブロック図。 図1中の保存パケット管理テーブル134a及びパケット保存領域134bのデータ構造例を示す図。 同実施形態におけるインストール時の初期化処理の手順を示すフローチャート。 同実施形態におけるパケット受信時の処理の手順を示すフローチャート。 同実施形態における上位レイヤーでのパケット処理完了時の処理の手順を示すフローチャート。 同実施形態における未知攻撃パケット検出処理の手順を示すフローチャート。 同実施形態における防御モジュール13の終了処理の手順を示すフローチャート。 同実施形態における防御モジュール13の起動時の処理の手順を示すフローチャート。
符号の説明
10…パケット処理装置、11…ネットワークI/F(インタフェース)、12…パケット処理モジュール、13…防御モジュール(攻撃パケット検出装置)、20…ネットワーク、131…下位レイヤーパケット転送I/F、132…上位レイヤーパケット転送I/F、133…上位レイヤーパケット処理通知I/F、134…記憶部、134a…保存パケット管理テーブル(パケット管理情報保存手段)、134b…パケット保存領域、134c…パターンファイル格納領域、135…受信パケット管理部、136…パケット比較部(破棄手段)、137…ログ出力警告処理部。

Claims (10)

  1. ネットワークから受信されたパケットを処理するパケット処理モジュールを備えたパケット処理装置に設けられ、受信パケットの中から攻撃パケットを検出する攻撃パケット検出装置であって、
    受信パケットを保存するパケット保存手段と、
    受信パケットに対する前記パケット処理モジュールによる処理が終了した時点で当該パケットを前記パケット保存手段から削除する手段と、
    前記パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを検出する手段と、
    前記検出手段により検出された受信パケットを前記パケット処理装置に対する未知の攻撃パケットであると決定する手段と
    を具備することを特徴とする攻撃パケット検出装置。
  2. 前記決定手段により未知の攻撃パケットであると決定された受信パケットから抽出された当該パケットを特定するためのパターンを示すパターン情報を格納するパターン格納手段と、
    受信パケットを前記パターン格納手段に格納されている各パターン情報の示すパターンと比較するパケット比較手段と、
    前記パケット比較手段による比較で一致が検出された場合、対応する受信パケットを攻撃パケットであるとして破棄する手段と、
    前記パケット比較手段による比較で一致が検出されなかった場合、対応する受信パケットを前記パケット処理モジュールに転送する手段と
    を更に具備し、
    前記削除手段は、前記破棄手段により受信パケットが破棄された場合にも、当該パケットを前記パケット保存手段から削除する
    ことを特徴とする請求項1記載の攻撃パケット検出装置。
  3. 前記パケット保存手段に保存された受信パケットを管理するための管理情報であって、当該受信パケットの保存時刻を示す時刻情報を含む管理情報を保存するパケット管理情報保存手段を更に具備し、
    前記検出手段は、前記パケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が前記一定時間を経過している管理情報を検出することにより、当該検出された管理情報により管理されている受信パケットを検出し、
    前記削除手段は、前記検出手段により検出された受信パケットの管理情報を前記パケット管理情報保存手段から削除することで、当該管理情報により管理されるパケットを前記パケット保存手段から論理的に削除する
    ことを特徴とする請求項2記載の攻撃パケット検出装置。
  4. 前記パケット保存手段に保存された受信パケットを管理するための、対応するパケットが存在しない第1の状態、対応するパケットが前記攻撃パケット検出装置内で処理されている第2の状態、または対応するパケットが前記攻撃パケット検出装置外で処理されている第3の状態を示すフラグ情報と、当該フラグ情報が前記第2または第3の状態を示す際の時刻を示す時刻情報とを含む管理情報を保存するパケット管理情報保存手段であって、前記パケット保存手段への受信パケットの保存時には、前記第2の状態を示すフラグ情報と、当該受信パケットの保存時の時刻を示す時刻情報とを含む管理情報を保存するパケット管理情報保存手段と、
    前記パケット比較手段による比較で不一致が検出された場合、前記パケット管理情報保存手段に保存されている対応する受信パケットの管理情報に含まれているフラグ情報を前記第3の状態を示すように変更すると共に、当該管理情報中の時刻情報をその際の時刻を示すように変更する手段と
    を更に具備し、
    前記検出手段は、前記パケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれているフラグ情報が前記第2の状態を示し、且つ当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が第1の一定時間を経過している管理情報を検出すると共に、前記パケット管理情報保存手段に保存されている管理情報の中から、当該管理情報に含まれているフラグ情報が前記第3の状態を示し、且つ当該管理情報に含まれている時刻情報の示す時刻から現在時刻までの経過時間が第2の一定時間を経過している管理情報を検出することにより、当該検出された管理情報により管理されている受信パケットを検出し、
    前記削除手段は、前記検出手段により受信パケットが検出された場合には、前記パケット管理情報保存手段に保存されている当該受信パケットの管理情報に含まれているフラグ情報を前記第1の状態に変更することにより、前記破棄手段により受信パケットが破棄された場合には、前記パケット管理情報保存手段に保存されている当該破棄された受信パケットの管理情報に含まれているフラグ情報を前記第1の状態に変更することにより、いずれも当該受信パケットの管理情報を前記パケット管理情報保存手段から論理的に削除して、当該受信パケットを前記パケット保存手段から論理的に削除する
    ことを特徴とする請求項2記載の攻撃パケット検出装置。
  5. 前記決定手段は、前記検出手段により検出された受信パケットが未知の攻撃パケットであるかを決定するために、前記攻撃パケット検出装置内部または前記攻撃パケット検出装置外部のうち、当該受信パケットを処理中の部分の状態が異常であるかを監視する手段を含み、異常である場合だけ当該受信パケットが未知の攻撃パケットであると決定することを特徴とする請求項1記載の攻撃パケット検出装置。
  6. 前記検出手段は、前記攻撃パケット検出装置の動作期間中、定期的に起動されることを特徴とする請求項1記載の攻撃パケット検出装置。
  7. 前記パケット保存手段は書き換えが可能な不揮発性記憶手段であり、
    前記検出手段は、前記攻撃パケット検出装置の終了時にも起動され、
    前記削除手段は、前記攻撃パケット検出装置の終了時に、前記検出手段による検出動作完了後に、前記パケット保存手段から全ての受信パケットを削除することを特徴とする請求項6記載の攻撃パケット検出装置。
  8. 前記検出手段は、前記攻撃パケット検出装置の起動時にも、前記パケット保存手段に残されている受信パケットを検出することを特徴とする請求項7記載の攻撃パケット検出装置。
  9. 前記決定手段による攻撃パケットであるとの決定の正否をシステム管理者に委ねるために、攻撃パケットであると決定された受信パケットを出力手段を介してシステム管理者に通知する手段を更に具備することを特徴とする請求項1記載の攻撃パケット検出装置。
  10. ネットワークから受信されたパケットを処理するパケット処理モジュールを備えたパケット処理装置において、受信パケットの中から攻撃パケットを検出する攻撃パケット検出方法であって、
    受信パケットをパケット保存手段に保存するステップと、
    受信パケットに対する前記パケット処理モジュールによる処理が終了した時点で当該パケットを前記パケット保存手段から削除するステップと、
    前記パケット保存手段に保存されてから一定時間を経過しても当該パケット保存手段に残されている受信パケットを検出するステップと、
    前記検出ステップで検出された受信パケットを前記パケット処理装置に対する未知の攻撃パケットであると決定するステップと
    を具備することを特徴とする攻撃パケット検出方法。
JP2003278979A 2003-07-24 2003-07-24 攻撃パケット検出装置及び方法 Expired - Fee Related JP3730642B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003278979A JP3730642B2 (ja) 2003-07-24 2003-07-24 攻撃パケット検出装置及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003278979A JP3730642B2 (ja) 2003-07-24 2003-07-24 攻撃パケット検出装置及び方法

Publications (2)

Publication Number Publication Date
JP2005045649A true JP2005045649A (ja) 2005-02-17
JP3730642B2 JP3730642B2 (ja) 2006-01-05

Family

ID=34265227

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003278979A Expired - Fee Related JP3730642B2 (ja) 2003-07-24 2003-07-24 攻撃パケット検出装置及び方法

Country Status (1)

Country Link
JP (1) JP3730642B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009139170A1 (ja) * 2008-05-16 2009-11-19 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
JP2011507453A (ja) * 2007-12-18 2011-03-03 ソーラーウィンズ ワールドワイド、エルエルシー フロー情報に基づくネットワークデバイスのacl構成方法
US8065729B2 (en) 2006-12-01 2011-11-22 Electronics And Telecommunications Research Institute Method and apparatus for generating network attack signature
JP2019121017A (ja) * 2017-12-28 2019-07-22 株式会社リコー 情報処理装置、脆弱性検知方法およびプログラム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8065729B2 (en) 2006-12-01 2011-11-22 Electronics And Telecommunications Research Institute Method and apparatus for generating network attack signature
JP2011507453A (ja) * 2007-12-18 2011-03-03 ソーラーウィンズ ワールドワイド、エルエルシー フロー情報に基づくネットワークデバイスのacl構成方法
WO2009139170A1 (ja) * 2008-05-16 2009-11-19 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
JPWO2009139170A1 (ja) * 2008-05-16 2011-09-15 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
JP2019121017A (ja) * 2017-12-28 2019-07-22 株式会社リコー 情報処理装置、脆弱性検知方法およびプログラム
JP7167439B2 (ja) 2017-12-28 2022-11-09 株式会社リコー 情報処理装置、脆弱性検知方法およびプログラム

Also Published As

Publication number Publication date
JP3730642B2 (ja) 2006-01-05

Similar Documents

Publication Publication Date Title
RU2568295C2 (ru) Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости
JP6949951B2 (ja) コンピュータアプリケーション内のメモリ破損を修復するためのシステム及び方法
JP4629332B2 (ja) 状態参照モニタ
US7975302B2 (en) System for real-time detection of computer system files intrusion
JP3999188B2 (ja) 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
US7334264B2 (en) Computer virus generation detection apparatus and method
US8819835B2 (en) Silent-mode signature testing in anti-malware processing
US20050125687A1 (en) Security-related programming interface
US20100235920A1 (en) Method and device for questioning a plurality of computerized devices
TWI474213B (zh) 具攻擊防護機制的雲端系統及其防護方法
US20080201661A1 (en) Remote flash storage management
US7845010B2 (en) Terminal control apparatus and terminal control method
US20070250547A1 (en) Log Preservation Method, and Program and System Thereof
JP6379013B2 (ja) ネットワーク制御システム、ネットワーク制御方法及びプログラム
KR100788256B1 (ko) 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법
JP3730642B2 (ja) 攻撃パケット検出装置及び方法
JP2006040196A (ja) ソフトウェア監視システムおよび監視方法
JPH11167487A (ja) ウィルスチェックネットワーク、ウィルスチェック装置、クライアント端末及びウィルス情報管理局
JP2012073904A (ja) 情報処理装置、パスワード診断方法およびプログラム
CN111400706B (zh) 一种病毒防御方法、装置、设备及存储介质
JP2001086118A (ja) コンピュータ機器遠隔管理方法
CN111506897B (zh) 数据处理方法和装置
WO2021144978A1 (ja) 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム
KR101472523B1 (ko) 미식별 트래픽을 제어하는 보안 장치 및 그것의 동작 방법
RU2468427C1 (ru) Система и способ защиты компьютерной системы от активности вредоносных объектов

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050801

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051004

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051006

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081014

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091014

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091014

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101014

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees