JP2005117100A - 侵入検知システムおよびトラヒック集約装置 - Google Patents
侵入検知システムおよびトラヒック集約装置 Download PDFInfo
- Publication number
- JP2005117100A JP2005117100A JP2003344875A JP2003344875A JP2005117100A JP 2005117100 A JP2005117100 A JP 2005117100A JP 2003344875 A JP2003344875 A JP 2003344875A JP 2003344875 A JP2003344875 A JP 2003344875A JP 2005117100 A JP2005117100 A JP 2005117100A
- Authority
- JP
- Japan
- Prior art keywords
- unit
- aggregation
- unauthorized access
- unit data
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【解決手段】 通信の単位となる単位データをもとに、当該単位データを利用して行われる所定の通信システム内への不正アクセスを検知する侵入検知システムにおいて、前記通信システム内に設定された複数の参照点ごとに配置され、各参照点から得られた前記単位データまたは当該単位データから抽出された情報を、所定の集約処理を施して集約するトラヒック集約部と、各トラヒック集約部から、その集約結果を受け取り、受け取った集約結果をもとに所定の分析処理を行って前記不正アクセスの有無を検知する不正アクセス検知部とを備える。
【選択図】 図1
Description
以下、本発明にかかる侵入検知システムおよびトラヒック集約装置をIPv4ネットワークに適用した場合を例に、実施形態について説明する。
本実施形態にかかる侵入検知システム10の全体構成例を図1に示す。この侵入検知システム10は、その参照点RE12、RF12,RE13、RF13を介して、さらに大きなネットワーク(監視対象ネットワーク)に接続されている。この監視対象ネットワークは不正侵入の対象となり得、当該侵入検知システム10で監視すべきネットワークである。監視対象ネットワークの構成には様々なものがあり得るが、ここでは図示しない。一般的には、当該監視対象ネットワーク上に設置される各種のサーバ類(例えば、Webサーバ、メールサーバ、データベースサーバなど)が不正侵入による攻撃の対象とされることが多い。
図5において、当該分析器11は、通信部20と、制御部21と、記憶部22とを備えている。
図3において、当該分析器11は、オペレーティングシステムIO−1と、トラヒック情報受信部IT−1と、制御情報送信部IC−1と、侵入分析部IA−1と、侵入情報蓄積部ID−1とを備えている。
図2において、当該アグリゲータ12は、オペレーティングシステムAO−1と、トラヒック情報送信部AT−1と、パケット送受信部AP−1と、制御情報受信部AC−1と、トラヒック情報生成部AM−1と、バッファ蓄積部AB−1とを備えている。
前記参照点RE12から得たパケットDU12は、アグリゲータ12内の前記通信部20および前記オペレーティングシステムAO−1を介して、パケット送受信部AP−1に供給され、パケット送受信部AP−1からトラヒック情報生成部AM−1に供給される。
DA=1.1.1.1 SA=2.2.2.2 DP=150 SP=200 …(DU122)
DA=1.1.1.1 SA=2.2.2.2 DP=100 SP=1000 …(DU123)
ここで、当該3つのパケットDU12を区別するため、3つのパケットDU12をそれぞれ、DU121、DU122,DU123とする。また、「1.1.1.1」や「2.2.2.2」は、ドット表記で記述した32ビットのIPv4アドレスである。
これと同時に、同様の集約処理がアグリゲータ13のほうでも行われたものとする。そして、前記参照点RE13から時系列に受信された3つのパケットDU13を区別するため、それぞれ、DU131,DU132,DU133とし、これら3パケットDU131〜DU133の宛先IPアドレス(DA)、送信元IPアドレス(SA)、宛先ポート番号(DP)、送信元ポート番号(SP)が、次の通りであるものとする。
DA=1.1.1.1 SA=2.2.2.2 DP=170 SP=200 …(DU132)
DA=1.1.1.1 SA=2.2.2.2 DP=100 SP=1500 …(DU133)
このトラヒックを宛先IPアドレス(DA)と送信元IPアドレス(SA)に基づいて集約すると、アグリゲータ13から分析器11に送られる1回目の集約結果AG13は、例えば、次の内容となる。
一般的には、ある送信元IPアドレス(ここでは、2.2.2.2)からある宛先IPアドレス(ここでは、1.1.1.1)へ送信されるパケットが連続して3パケット程度、検出されたことは、必ずしも異常とはいえないが、監視対象ネットワーク上の伝送帯域や、各機器(Webサーバなども含む)の稼働率などから、それを異常とみなすことができる場合もあり得る。また、この3が、3よりもはるかに大きな所定値を越えた値であれば、その一事をもって異常とみなすことができる場合もある。
制御情報C11をポートPA13で受け取ったアグリゲータ13でも、これと同様な処理が行われ、例えば、次のような集約結果AG12を分析器11へ返送する。これも、同じパケットDU131〜DU133に関して得られる2回目の集約結果である。
これら2回目の集約結果AG12,AG13を受け取った分析器11では、宛先ポート番号の値(この例では、100)から、攻撃対象となっている通信アプリケーションを特定することができる。
本実施形態によれば、複数の参照点(例えば、RE12,RE13)を持つ侵入検知システムで、不正アクセスの有無を検知するための負荷を軽減でき、処理(不正アクセスの有無の判定や、前記防御処理の実行などの各処理)のリアルタイム性を高めることが可能である。
以下では、本実施形態が第1の実施形態と相違する点についてのみ説明する。
本実施形態と第1の実施形態の相違は、実質的に、アグリゲータの内部構成(ソフトウエア構成)に関する点に限られる。
本実施形態によれば、第1の実施形態の効果とほぼ同等な効果を得ることができる。
上記第1および第2の実施形態にかかわらず、アグリゲータの数は3つ以上であってもよいことは当然である。
Claims (6)
- 通信の単位となる単位データをもとに、当該単位データを利用して行われる所定の通信システム内への不正アクセスを検知する侵入検知システムにおいて、
前記通信システム内に設定された複数の参照点ごとに配置され、各参照点から得られた前記単位データまたは当該単位データから抽出された情報を、所定の集約処理を施して集約するトラヒック集約部と、
各トラヒック集約部から、その集約結果を受け取り、受け取った集約結果をもとに所定の分析処理を行って前記不正アクセスの有無を検知する不正アクセス検知部とを備えたことを特徴とする侵入検知システム。 - 請求項1の侵入検知システムにおいて、
前記不正アクセス検知部は、
前記不正アクセスの有無を判定するまでには至らなかったものの、不正アクセスの蓋然性が高いと判定した単位データに関しては、その単位データまたは当該単位データから抽出された情報の集約要求をトラヒック集約部に送る集約要求部を備え、
前記トラヒック集約部は、
当該集約要求に応じて、前記集約処理を実行し、その集約結果を前記不正アクセス検知部へ送ることを特徴とする侵入検知システム。 - 請求項1の侵入検知システムにおいて、
前記トラヒック集約部は、
前記参照点から得られた単位データが不正アクセスに関係するか否かを予測するための予測処理部を備え、
当該予測処理部によって不正アクセスとの関係が予測された単位データまたは当該単位データから抽出された情報を、前記集約処理で集約して、その集約結果を前記不正アクセス検知部へ届けることを特徴とする侵入検知システム。 - 通信の単位となる単位データをもとに、当該単位データを利用して行われる所定の通信システム内への不正アクセスを検知する侵入検知システムの構成要素としてのトラヒック集約装置において、
前記通信システム内に設定された複数の参照点のうち該当する参照点から得られた前記単位データまたは当該単位データから抽出された情報を、所定の集約処理を施して集約するトラヒック集約部を備え、
当該トラヒック集約部の集約結果を、前記不正アクセスの有無を検知する不正アクセス検知部に届けることを特徴とするトラヒック集約装置。 - 請求項4のトラヒック集約装置において、
前記不正アクセスの有無を判定するまでには至らなかったものの、不正アクセスの蓋然性が高いと判定した単位データに関して、前記不正アクセス検知部から集約要求が送られてくると、当該集約要求に応じて、その単位データまたは当該単位データから抽出された情報に対する前記集約処理を実行し、その集約結果を前記不正アクセス検知部へ送ることを特徴とするトラヒック集約装置。 - 請求項4のトラヒック集約装置において、
前記参照点から得られた単位データが不正アクセスに関係するか否かを予測するための予測処理部を備え、
当該予測処理部によって不正アクセスとの関係が予測された単位データまたは当該単位データから抽出された情報を、前記集約処理で集約して、その集約結果を前記不正アクセス検知部へ届けることを特徴とするトラヒック集約装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003344875A JP2005117100A (ja) | 2003-10-02 | 2003-10-02 | 侵入検知システムおよびトラヒック集約装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003344875A JP2005117100A (ja) | 2003-10-02 | 2003-10-02 | 侵入検知システムおよびトラヒック集約装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005117100A true JP2005117100A (ja) | 2005-04-28 |
Family
ID=34538359
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003344875A Pending JP2005117100A (ja) | 2003-10-02 | 2003-10-02 | 侵入検知システムおよびトラヒック集約装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005117100A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010512035A (ja) * | 2006-11-14 | 2010-04-15 | エフエムアール エルエルシー | ネットワークにおける不正行為の検出及び禁止 |
JP2011526751A (ja) * | 2008-07-04 | 2011-10-13 | アルカテル−ルーセント | 通信ネットワークのための侵入防止方法およびシステム |
-
2003
- 2003-10-02 JP JP2003344875A patent/JP2005117100A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010512035A (ja) * | 2006-11-14 | 2010-04-15 | エフエムアール エルエルシー | ネットワークにおける不正行為の検出及び禁止 |
JP2011526751A (ja) * | 2008-07-04 | 2011-10-13 | アルカテル−ルーセント | 通信ネットワークのための侵入防止方法およびシステム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8661544B2 (en) | Detecting botnets | |
US8542684B2 (en) | ARP packet processing method, communication system and device | |
US8732833B2 (en) | Two-stage intrusion detection system for high-speed packet processing using network processor and method thereof | |
US8670316B2 (en) | Method and apparatus to control application messages between client and a server having a private network address | |
US20200137112A1 (en) | Detection and mitigation solution using honeypots | |
US10693908B2 (en) | Apparatus and method for detecting distributed reflection denial of service attack | |
US20190230116A1 (en) | Distributed denial-of-service attack mitigation with reduced latency | |
US8254286B2 (en) | Method and system for detection of NAT devices in a network | |
JP2008066945A (ja) | 攻撃検出システム及び攻撃検出方法 | |
US20190245890A1 (en) | Method for a communication network, and electronic monitoring unit | |
US20140259140A1 (en) | Using learned flow reputation as a heuristic to control deep packet inspection under load | |
Harshita | Detection and prevention of ICMP flood DDOS attack | |
Lukaseder et al. | An sdn-based approach for defending against reflective ddos attacks | |
JP4259183B2 (ja) | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 | |
KR101281160B1 (ko) | 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법 | |
Gonzalez et al. | The impact of application-layer denial-of-service attacks | |
KR20200109875A (ko) | 유해 ip 판단 방법 | |
WO2009064114A2 (en) | Protection method and system for distributed denial of service attack | |
CN115664833B (zh) | 基于局域网安全设备的网络劫持检测方法 | |
JP2005117100A (ja) | 侵入検知システムおよびトラヒック集約装置 | |
JP4753264B2 (ja) | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) | |
CN110071905A (zh) | 用于提供连接的方法、边界网络以及ip服务器 | |
JP2005130121A (ja) | ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム | |
US20180331957A1 (en) | Policy Enforcement Based on Host Value Classification | |
Ohsita et al. | Deployable overlay network for defense against distributed SYN flood attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060127 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071004 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071023 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071220 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080304 |