JP2006004343A - Intrusion detecting device - Google Patents
Intrusion detecting device Download PDFInfo
- Publication number
- JP2006004343A JP2006004343A JP2004182498A JP2004182498A JP2006004343A JP 2006004343 A JP2006004343 A JP 2006004343A JP 2004182498 A JP2004182498 A JP 2004182498A JP 2004182498 A JP2004182498 A JP 2004182498A JP 2006004343 A JP2006004343 A JP 2006004343A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- internal network
- intrusion
- intrusion detection
- configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ネットワーク上に流れるパケットについて、シグネチャを用いて不正な侵入を検知する侵入検知装置に関するものである。 The present invention relates to an intrusion detection apparatus that detects an unauthorized intrusion using a signature for a packet flowing on a network.
例えば、特開2001-350678は従来の侵入検知装置であり、予め必要な検知ルールを設定しておかなければならないという問題を解決するためのもので、転送されたパケット6と検出ルールリストの情報に基づいて、IPアドレステーブル10と不正侵入判定ルールテーブル15とを更新し、これらの更新されたテーブルに従って侵入検知を実行することが開示されている。 For example, Japanese Patent Application Laid-Open No. 2001-350678 is a conventional intrusion detection device for solving the problem that a necessary detection rule must be set in advance. Based on the above, it is disclosed that the IP address table 10 and the unauthorized intrusion determination rule table 15 are updated, and intrusion detection is executed according to these updated tables.
従来の侵入検知装置は、テーブルに登録されていないIPアドレスのパケットが流れてきた場合に、パケットの宛先サーバで動作しているアプリケーションを調査して検知するルールを設定するものであるが、毎回調査するのに時間がかかり、インライン型の侵入検知装置の場合、パケットの転送が遅くなり過ぎるので実施できないという問題があった。 A conventional intrusion detection device sets a rule for investigating and detecting an application running on a packet destination server when a packet with an IP address not registered in the table flows. In the case of an inline type intrusion detection device, it takes time to investigate, and there has been a problem that it cannot be carried out because packet transfer becomes too slow.
本発明は、上記のような問題点を解決するためになされたものであり、内部ネットワークの構成を事前に自動調査して最適なシグネチャを設定することを目的とする。 The present invention has been made to solve the above-described problems, and an object of the present invention is to automatically investigate the internal network configuration in advance and set an optimal signature.
本発明に係る侵入検知装置は、内部ネットワークに1つ以上の端末を接続し、外部ネットワークからの侵入を検知する侵入検知装置であって、侵入が予測されるシグネチャ情報を記憶するシグネチャ手段と、前記内部ネットワークの構成を検出する内部ネットワーク構成検出手段と、前記シグネチャ手段により記憶されたシグネチャ情報と、前記内部ネットワーク構成検出手段により検出された内部ネットワークの構成とに基づいて、内部ネットワークに対するシグネチャ情報を適切に設定するシグネチャ最適化手段と、前記シグネチャ最適化手段により設定された内部ネットワークに対するシグネチャ情報に基づいて、前記外部ネットワークからの侵入を検知する侵入検知エンジン手段と、前記侵入検知エンジン手段により検知された情報に基づいて対処処理を実行する対処処理手段とを備えるものである。 An intrusion detection apparatus according to the present invention is an intrusion detection apparatus that connects one or more terminals to an internal network and detects an intrusion from an external network, and stores signature information for which intrusion is predicted, Signature information for the internal network based on internal network configuration detection means for detecting the configuration of the internal network, signature information stored by the signature means, and configuration of the internal network detected by the internal network configuration detection means A signature optimizing unit that appropriately sets the intrusion detection engine unit that detects an intrusion from the external network based on signature information for the internal network set by the signature optimizing unit, and the intrusion detection engine unit Detected information In which and a coping process means for executing a dealing process based.
以上のように、本発明によれば、容易に最適なシグネチャを設定できるという効果がある。 As described above, according to the present invention, there is an effect that an optimum signature can be easily set.
実施の形態1.
図1は、本発明の構成を示すシステム構成図である。図1において、侵入検知装置1と端末2〜5とが、ユーザ管轄内の内部ネットワーク6で接続されており、侵入検知装置1は、攻撃者が存在するユーザ管轄外の外部ネットワークとも接続されている。また、侵入検知装置1は、受信パケットのフィルタリングを行うフィルタ部10、内部ネットワーク構成検出部11とシグネチャ部12の情報に基づいてシグネチャを最適化するシグネチャ最適化部13、このシグネチャ最適化部13からの情報に基づいて侵入を検知する侵入検知エンジン部14、この侵入検知エンジン部14からの情報に基づいて対処処理を実行する対処処理部15を有する。
ここで、シグネチャ部12のシグネチャの情報と、対処処理部15のシグネチャに対応する対処処理の情報は、予め登録されているものとする。ここでいう対処処理とは、例えばTCPのリセットを攻撃元の端末に送ったり、送信元のIPアドレスをフィルタに設定して、次回のアクセスをできないようにしたりすることである。また、フィルタ部10のフィルタリング情報も予め設定されているものとする。
FIG. 1 is a system configuration diagram showing the configuration of the present invention. In FIG. 1, an
Here, it is assumed that the signature information of the signature unit 12 and the information of the handling processing corresponding to the signature of the handling processing unit 15 are registered in advance. The coping process here is, for example, sending a TCP reset to the attack source terminal or setting the source IP address in a filter to prevent next access. It is also assumed that the filtering information of the
また、図1において、IPアドレス10.10.0.1サブネットマスク255.255.255.0(以下10.10.0.1/24と記す)の端末2ではWWWサーバが動作している。IPアドレス10.10.0.2/24の端末3ではMAILサーバが動作しており、IPアドレス10.10.1.1/24の端末4ではWWWサーバが動作しており、IPアドレス10.10.1.2/24の端末5ではサーバは何も動作していない。
In FIG. 1, a WWW server is operating at the
次に、動作について説明する。
図2は、侵入検知装置1の初期設定時の処理フローである。この図2のフローを用いて、初期設定時の動作について説明する。
まず、内部ネットワークとして例えば10.10.0.0/16を予め設定しておく(ステップS11)。
Next, the operation will be described.
FIG. 2 is a processing flow at the time of initial setting of the
First, for example, 10.10.0.0/16 is set in advance as the internal network (step S11).
次に、内部ネットワーク構成検出部11はステップS11で設定された内部ネットワーク内の全ての端末を検索する(ステップS12)。例えば、全ての端末に対してpingを実施し、応答が返ってきたものに対して図3のようなIPアドレスリストを作成して保管する。 Next, the internal network configuration detection unit 11 searches for all terminals in the internal network set in step S11 (step S12). For example, ping is performed for all terminals, and an IP address list as shown in FIG.
次に、内部ネットワーク構成検出部11は、検索した端末の全てのポートに対して、シグネチャ部12で使用されているサーバアプリケーションが動作しているかの調査を行う(ステップS13)。例えば、全てのポートに対して、シグネチャ部12で使用されているサーバアプリケーションが動作しているかをクライアントのリクエストを擬似して応答を待って調査し、図4のようなIPアドレスとアプリケーション、ポート番号との関連を示すアプリケーションリストを作成する。図4の例では、MAILサーバとWWWサーバがシグネチャ部12で予め登録されていた場合を示している。シグネチャ部12でOS等の条件が記述されている場合には、それについても調査する。 Next, the internal network configuration detection unit 11 investigates whether or not the server application used in the signature unit 12 is operating for all the ports of the searched terminal (step S13). For example, for all the ports, whether the server application used in the signature unit 12 is operating is investigated by waiting for a response by simulating a client request, and the IP address, application, and port as shown in FIG. Create an application list that shows the relationship with the number. In the example of FIG. 4, the MAIL server and the WWW server are registered in advance in the signature unit 12. If conditions such as OS are described in the signature section 12, it is also investigated.
次に、シグネチャ最適化部13は、図4のアプリケーションリストの情報に基づいて、図5のようなネットワークアドレスとシグネチャのルールの種類との関連を示すシグネチャリストを作成する(ステップS14)。
上記図5のようなシグネチャリストの作成は、例えばシグネチャ最適化部13が定期的に行ったり、ユーザからの指示に基づいて行ったりする。
Next, the
The signature list as shown in FIG. 5 is created, for example, periodically by the
図6は、侵入検知装置1にパケットが送信されてきた場合の処理を示す処理フローである。この図6のフローを用いて、侵入検知装置1にパケットが送信された場合の動作について説明する。
まず、侵入検知装置1が外部ネットワーク7からパケットを受信する(ステップS21)。
FIG. 6 is a process flow showing a process when a packet is transmitted to the
First, the
フィルタ部10は、受信したパケットが予め設定されたフィルタリング条件に一致しているか否かを調べ、一致した場合(ステップS22でYes)、受信したパケットを廃棄して処理を終了する(ステップS23)。
The
受信したパケットがフィルタリング条件に一致しなかった場合(ステップS22でNo)、侵入検知エンジン部14がシグネチャ解析を行う(ステップS24)。侵入検知エンジン部14は、受信したパケットが、図5のシグネチャリストに登録されたシグネチャと一致するか否かを調べる。
If the received packet does not match the filtering condition (No in step S22), the intrusion
侵入検索エンジン部14によるシグネチャ解析の結果、受信したパケットが図5のシグネチャリストに登録されたシグネチャと一致せず、侵入が検知されなかった場合(ステップS25でNo)、受信したパケットの中継処理を行って処理を終了する(ステップS26)。
If the received packet does not match the signature registered in the signature list of FIG. 5 as a result of the signature analysis by the intrusion
受信したパケットが図5のシグネチャリストに登録されたシグネチャと一致し、侵入が検知された場合(ステップS25でYes)、対処処理部15に予め登録された対処処理に従って受信パケットを処理して終了する(ステップS27)。 When the received packet matches the signature registered in the signature list of FIG. 5 and an intrusion is detected (Yes in step S25), the received packet is processed according to the countermeasure process registered in advance in the countermeasure processing unit 15 and terminated. (Step S27).
例えば、受信したパケットが端末3へのWWWのリクエストの場合、IPアドレスとポート番号から図5のシグネチャリストにおける一番上の条件に該当するため、WWWサーバルールと一致するか否かを調べる。一致しなければ、図5のシグネチャリストにおける他のシグネチャと一致するか否かを調べる。図5のシグネチャリストにおける上から3番目の条件は全てに該当するため、その他のルールと一致するか否かを調べる。図5のシグネチャリストに登録されたシグネチャルールのいずれにも一致しなかった場合、受信したパケットを内部ネットワーク6へ中継する。図5のシグネチャリストに登録されたシグネチャルールのいずれかと一致した場合、対処処理部15に予め登録された対処処理に従って受信パケットを処理する。
For example, if the received packet is a WWW request to the
以上のように、内部ネットワークの構成を予め調査できる構成としたことにより、容易に最適なシグネチャを設定できる。
また、パケット受信時に送信先の端末にアクセスしてサービスを調査するのではなく、事前に調査することができるため、パケット中継時に時間を要することがなく、インライン型の侵入検知システムにも適用可能である。
As described above, since the configuration of the internal network can be examined in advance, an optimal signature can be easily set.
In addition, since it is possible to investigate the service in advance rather than accessing the destination device when receiving a packet, it can be applied to an inline intrusion detection system without requiring time for packet relay. It is.
また、シグネチャ最適化部13がシグネチャリストを作成することにより、余計なルールが省かれ、パケット受信時に余計なルールを検索する必要が無くなるため、侵入検知装置の性能を向上させることができる。
In addition, since the
また、ユーザのルール設定のし忘れで、セキュリティホールが発生することを防止することができる。 In addition, it is possible to prevent a security hole from occurring due to a user forgetting to set a rule.
なお、本実施の形態1におけるIPアドレスリストやアプリケーションリスト、シグネチャリストは、内部ナットワーク構成検出部11が格納してもよいし、他の構成が格納するようにしてもよい。 The IP address list, application list, and signature list in the first embodiment may be stored by the internal nutwork configuration detection unit 11 or may be stored by another configuration.
実施の形態2.
上記実施の形態1では、事前に内部ネットワークの構成を調査して、適切なシグネチャを設定するようにしたものであるが、本実施の形態2では、シグネチャを設定した段階で性能をユーザに対して出力する場合について説明する。
図7は、本実施の形態2における構成を示すシステム構成図である。図7における16は、ユーザにより入力された条件とシグネチャ部で設定されているルールとに基づいて、そのネットワーク構成における性能をユーザに対して出力する性能測定部である。その他図1と同一の符号を付したものは、上記実施の形態1と同様である。
In the first embodiment, the configuration of the internal network is investigated in advance and an appropriate signature is set. In the second embodiment, the performance is set to the user at the stage where the signature is set. Will be described.
FIG. 7 is a system configuration diagram showing the configuration in the second embodiment. Reference numeral 16 in FIG. 7 denotes a performance measurement unit that outputs the performance of the network configuration to the user based on the conditions input by the user and the rules set in the signature unit. Other components denoted by the same reference numerals as those in FIG. 1 are the same as those in the first embodiment.
次に動作について説明する。
図8は、本実施の形態2における初期設定時の処理フローである。この図8のフローを用いて、初期設定時の動作について説明する。
Next, the operation will be described.
FIG. 8 is a processing flow at the time of initial setting according to the second embodiment. The operation at the time of initial setting will be described using the flow of FIG.
図8において、ステップS11〜S14における動作は上記実施の形態1と同様のため、説明を省略する。
上記実施の形態1で説明したように、ステップS11〜S14における動作により、図5のようなネットワークアドレスとシグネチャのルールの種類との関連を示すシグネチャリストを作成する。
In FIG. 8, the operations in steps S11 to S14 are the same as those in the first embodiment, and a description thereof will be omitted.
As described in the first embodiment, the signature list indicating the relationship between the network address and the type of signature rule as shown in FIG. 5 is created by the operations in steps S11 to S14.
次に、性能測定部16は、図5のシグネチャリストで示されるネットワークに対して、どれくらいの割合でパケットが侵入検知システム1に流れてくるかの条件(要求性能)を設定する(ステップS35)。
Next, the performance measurement unit 16 sets a condition (required performance) for how much packets flow to the
そして、性能測定部16は、予め測定しておいたシグネチャリストにおけるそれぞれのルールの処理時間と、上記ステップS35で設定した条件とからそのネットワーク構成における性能を算出する(ステップS36)。例えば図5の例では、WWWサーバルールとMAILサーバルールとその他のルールの処理時間に、上記ステップS35で設定された割合を個々にかけて合計することにより、受信パケット一つ当たりの処理時間を算出して外部(ユーザ)に出力する。
侵入検知装置1にパケットが送信された場合の動作については、上記実施の形態1と同様のため、説明は省略する。
Then, the performance measurement unit 16 calculates the performance in the network configuration from the processing time of each rule in the signature list measured in advance and the condition set in step S35 (step S36). For example, in the example of FIG. 5, the processing time per received packet is calculated by summing the processing time of the WWW server rule, the MAIL server rule, and other rules by individually adding the ratio set in step S35. To the outside (user).
Since the operation when a packet is transmitted to the
以上のように、内部ネットワークの構成を予め調査できる構成とし、その調査したネットワークに対する性能を算出することにより、実際に運用する前に性能面での問題点を抽出することができる。 As described above, the configuration of the internal network can be investigated in advance, and by calculating the performance for the investigated network, it is possible to extract performance problems before actual operation.
なお、ステップS35における条件(要求性能)については、性能測定部16が条件を設定できればよく、条件自体はユーザが入力しても、予めテーブルに記憶しておいても、所定のパラメータに基づいて変更してもよい。
また、設定した条件を記憶するテーブルも、図5のシグネチャリストに記憶してもよいし、別のテーブルを設けて記憶してもよい。
Note that the condition (required performance) in step S35 only needs to be set by the performance measurement unit 16. The condition itself can be input by the user or stored in a table in advance, based on predetermined parameters. It may be changed.
Also, a table for storing the set conditions may be stored in the signature list of FIG. 5, or another table may be provided and stored.
実施の形態3.
上記実施の形態2では、ある設定したシグネチャに対する性能をユーザに対して出力するものであるが、本実施の形態3では、更にネットワーク構成の改善案をユーザに対して出力する場合について説明する。
図9は、本実施の形態3における構成を示すシステム構成図である。図9における17は、ユーザにより入力された条件を満たすように内部ネットワークの構成を算出する内部ネットワーク最適化部であり、8は端末である。その他図7と同一の符号を付したものは、上記実施の形態2と同様である。
In the second embodiment, the performance for a set signature is output to the user. In the third embodiment, a case where a network configuration improvement plan is further output to the user will be described.
FIG. 9 is a system configuration diagram showing the configuration in the third embodiment. In FIG. 9, 17 is an internal network optimizing unit that calculates the configuration of the internal network so as to satisfy the conditions input by the user, and 8 is a terminal. Other components denoted by the same reference numerals as those in FIG. 7 are the same as those in the second embodiment.
次に動作について説明する。
図10は、本実施の形態3における初期設定時の処理フローである。この図10のフローを用いて、初期設定時の動作について説明する。
Next, the operation will be described.
FIG. 10 is a processing flow at the time of initial setting according to the third embodiment. The operation at the time of initial setting will be described using the flow of FIG.
図10において、上記実施の形態1と同様に、内部ネットワークとして10.10.0.0/16を予め設定し(ステップS11)、内部ネットワーク構成検出部11はステップS11で設定された内部ネットワーク内の全ての端末を検索して図11のようなIPアドレスリストを作成し(ステップS12)、内部ネットワーク構成検出部11は、検索した端末の全てのポートに対して、シグネチャ部12で使用されているサーバアプリケーションが動作しているかの調査を行って図12のようなアプリケーションリストを作成し(ステップS13)、内部ネットワーク構成検出部11は、図12のアプリケーションリストの情報に基づいて、図13のようなシグネチャリストを作成する(ステップS14)。 In FIG. 10, as in the first embodiment, 10.10.0.0/16 is set in advance as the internal network (step S11), and the internal network configuration detection unit 11 sets the internal network set in step S11. 11 is created to create an IP address list as shown in FIG. 11 (step S12), and the internal network configuration detection unit 11 is used by the signature unit 12 for all ports of the searched terminals. 12 is created by creating an application list as shown in FIG. 12 (step S13), and the internal network configuration detecting unit 11 is based on the information in the application list shown in FIG. Such a signature list is created (step S14).
そして、上記実施の形態2と同様に、図13のシグネチャリストで示されるネットワークに対して、どれくらいの割合でパケットが侵入検知システム1に流れてくるかの条件(要求性能)を設定し(ステップS35)、性能測定部16は、予め測定しておいたシグネチャリストにおけるそれぞれのルールの処理時間と、上記ステップS35で設定した条件とからそのネットワーク構成における性能を算出する(ステップS36)。
Then, as in the second embodiment, conditions (required performance) for how much packets flow to the
内部ネットワーク最適化部17は、上記ステップS35で設定した条件と、上記ステップS36で算出した性能とを比較し、上記ステップS36で設定した条件を満たしている場合(ステップS47でYes)、そのまま処理を終了する。 The internal network optimization unit 17 compares the condition set in step S35 with the performance calculated in step S36. If the condition set in step S36 is satisfied (Yes in step S47), the internal network optimization unit 17 performs the processing as it is. Exit.
上記ステップS36で設定した条件を満たしていない場合(ステップS47でNo)、内部ネットワーク最適化部17は、ステップS36で設定した条件を満たすネットワーク構成を算出する(ステップS48)。内部ネットワーク最適化部17は、できるだけ図13のシグネチャルールで無駄がないように同じアプリケーションルールをまとめるように変更を行う。この場合、図14のように端末3と端末4のIPアドレスを変更することにより、条件を一つ削除できる。内部ネットワーク最適化部17が算出したネットワーク構成をユーザに対して出力することにより、例えばユーザがネットワーク構成を変更し、ネットワーク構成変更後、ユーザの指示により図2のフローを再度実施する。
侵入検知装置1にパケットが送信された場合の動作については、上記実施の形態1と同様のため、説明は省略する。
If the condition set in step S36 is not satisfied (No in step S47), the internal network optimization unit 17 calculates a network configuration that satisfies the condition set in step S36 (step S48). The internal network optimizing unit 17 performs a change so that the same application rules are put together so that the signature rules in FIG. 13 are not wasted as much as possible. In this case, one condition can be deleted by changing the IP addresses of the
Since the operation when a packet is transmitted to the
以上のように、設定された要求性能を満たすように内部ネットワークの構成を算出することにより、侵入検知装置の性能を向上させることができる。 As described above, the performance of the intrusion detection device can be improved by calculating the configuration of the internal network so as to satisfy the set required performance.
なお、本実施の形態3では、内部ネットワーク最適化部17が条件を満たすネットワーク構成を算出後、ユーザに変更後のネットワーク構成を出力して、ユーザがネットワーク構成を変更する場合について説明したが、内部ネットワーク最適化部17の算出したネットワーク構成に変更できればこれに限られず、ユーザを介することなく、内部ネットワーク最適化部17によるネットワーク構成の算出結果に基づいてネットワーク構成を変更するようにしても同様の効果を得ることができる。 In the third embodiment, the case where the internal network optimization unit 17 calculates the network configuration that satisfies the condition, outputs the changed network configuration to the user, and the user changes the network configuration has been described. If the network configuration calculated by the internal network optimization unit 17 can be changed, the present invention is not limited to this. The network configuration may be changed based on the calculation result of the network configuration by the internal network optimization unit 17 without using a user. The effect of can be obtained.
1 侵入検知装置
2、3、4、5、8 端末
6 内部ネットワーク
7 外部ネットワーク
10 フィルタ部
11 内部ネットワーク構成検出部
12 シグネチャ部
13 シグネチャ最適化部
14 侵入検知エンジン部
15 対処処理部
16 性能測定部
17 内部ネットワーク最適化部
DESCRIPTION OF
Claims (3)
侵入が予測されるシグネチャ情報を記憶するシグネチャ手段と、
前記内部ネットワークの構成を検出する内部ネットワーク構成検出手段と、
前記シグネチャ手段により記憶されたシグネチャ情報と、前記内部ネットワーク構成検出手段により検出された内部ネットワークの構成とに基づいて、内部ネットワークに対するシグネチャ情報を適切に設定するシグネチャ最適化手段と、
前記シグネチャ最適化手段により設定された内部ネットワークに対するシグネチャ情報に基づいて、前記外部ネットワークからの侵入を検知する侵入検知エンジン手段と、
前記侵入検知エンジン手段により検知された情報に基づいて対処処理を実行する対処処理手段と
を備えることを特徴とする侵入検知装置。 An intrusion detection device that connects one or more terminals to an internal network and detects an intrusion from an external network,
Signature means for storing signature information for which intrusion is expected;
Internal network configuration detecting means for detecting the configuration of the internal network;
Signature optimization means for appropriately setting signature information for the internal network based on the signature information stored by the signature means and the internal network configuration detected by the internal network configuration detection means;
Intrusion detection engine means for detecting an intrusion from the external network based on signature information for the internal network set by the signature optimization means;
An intrusion detection apparatus comprising: a countermeasure processing unit that executes a countermeasure process based on information detected by the intrusion detection engine unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004182498A JP2006004343A (en) | 2004-06-21 | 2004-06-21 | Intrusion detecting device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004182498A JP2006004343A (en) | 2004-06-21 | 2004-06-21 | Intrusion detecting device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006004343A true JP2006004343A (en) | 2006-01-05 |
Family
ID=35772671
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004182498A Pending JP2006004343A (en) | 2004-06-21 | 2004-06-21 | Intrusion detecting device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006004343A (en) |
-
2004
- 2004-06-21 JP JP2004182498A patent/JP2006004343A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20080060074A1 (en) | Intrusion detection system, intrusion detection method, and communication apparatus using the same | |
US7596809B2 (en) | System security approaches using multiple processing units | |
US7130305B2 (en) | Processing of data packets within a network element cluster | |
EP2416532B1 (en) | Communication flow control system, communication flow control method, and communication flow processing program | |
US7684339B2 (en) | Communication control system | |
JP2006352831A (en) | Network controller and method of controlling the same | |
US8910267B2 (en) | Method for managing connections in firewalls | |
KR100723864B1 (en) | Method for blocking network attacks using the information in packet and apparatus thereof | |
JP6422677B2 (en) | Network relay device, DDoS protection method and load distribution method using the same | |
US11102172B2 (en) | Transfer apparatus | |
KR20200006824A (en) | Method and apparatus for routing control in sdn network | |
US11245668B1 (en) | Critical firewall functionality management | |
JP6943313B2 (en) | Log analysis system, analysis equipment, method, and analysis program | |
JP5667009B2 (en) | Router device and data analysis method | |
JP2019152912A (en) | Unauthorized communication handling system and method | |
JP2008060763A (en) | Network node | |
CN108199965B (en) | Flow spec table item issuing method, network device, controller and autonomous system | |
JP2007336220A (en) | Device, method, and program for packet control | |
JP2006004343A (en) | Intrusion detecting device | |
JP2009005122A (en) | Illegal access detection apparatus, and security management device and illegal access detection system using the device | |
US20200213356A1 (en) | Malware inspection support system and malware inspection support method | |
US20070079378A1 (en) | Worm infection detecting device | |
JP2009081736A (en) | Packet transfer apparatus and program | |
JP4585975B2 (en) | Traffic handling apparatus and system | |
WO2019035313A1 (en) | Intrusion prevention device, intrusion prevention method, and program |