JP2006005555A - Infection and destroy spread prevention system, packet transfer device, packet gathering and analyzing device, and program - Google Patents
Infection and destroy spread prevention system, packet transfer device, packet gathering and analyzing device, and program Download PDFInfo
- Publication number
- JP2006005555A JP2006005555A JP2004178419A JP2004178419A JP2006005555A JP 2006005555 A JP2006005555 A JP 2006005555A JP 2004178419 A JP2004178419 A JP 2004178419A JP 2004178419 A JP2004178419 A JP 2004178419A JP 2006005555 A JP2006005555 A JP 2006005555A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- original
- terminal
- global
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、端末からの入力パケットを、あらかじめ登録された登録済み端末リストと照会し、安全性の確認されていないパケットをエンカプセルしてパケット収集分析装置に転送し、そこで、安全性が確認されたパケットのみ、再度、エンカプセルし、パケット転送装置へ返信することにより、グローバルアドレス空間のサーバを介したウィルス被害の拡大を防止するとともに、ローカルアドレス空間内に閉じた企業内直接感染の防止も可能とする被害拡散防止システムに関する。 The present invention refers to an input packet from a terminal with a registered terminal list registered in advance, and encapsulates a packet whose safety has not been confirmed and forwards it to a packet collection and analysis device, where safety is confirmed. By encapsulating only the received packets again and sending them back to the packet transfer device, it is possible to prevent the spread of virus damage through the servers in the global address space and to prevent direct infection within the company closed in the local address space. It is also related to the damage diffusion prevention system that can be used.
企業内でコンピュータウィルス感染が広がるケースとして注目されているケースが、自宅へ持ち帰ったノートPCなどのいわゆる未対策端末(OS、アプリケーションのパッチプログラムのインストールやウィルス対策プログラムのパターンファイルの更新が行われているかが不明の端末)からの感染である。未対策端末からの感染パターンとしては、大きく以下の2つの感染パターンがある。 Cases that are attracting attention as cases where computer virus infection spreads within the company are so-called unmeasured terminals such as laptops that have been taken home (OS, application patch programs are installed, and anti-virus program pattern files are updated) It is an infection from a device that is unknown. There are two main infection patterns as infection patterns from untreated terminals.
一つ目は、間接感染で、これは、公開メールサーバなどのサーバを介して感染するパターンである。もう一つが、直接感染で、感染源の端末から社内網などを使って他の端末やサーバに直接的に被害を拡大するパターンである。 The first is indirect infection, which is a pattern of infection via a server such as a public mail server. The other is direct infection, in which the damage is spread directly from the terminal at the source of infection to other terminals and servers using the company network.
一方、企業ネットワークは、IPアドレス体系的に、グローバルIPアドレスを使用するグローバル空間とローカルIPアドレスを使用するローカル空間に一般的には分離されている。 On the other hand, the corporate network is generally divided into a global space using a global IP address and a local space using a local IP address in terms of IP address system.
前述した、感染パターンとIPアドレス空間の関係を示すと、例外もあるが、大まかには、間接感染はグローバル空間を介した感染、直接感染は、ローカル空間に閉じた感染と言うことができる。 The relationship between the infection pattern and the IP address space described above has some exceptions, but roughly speaking, the indirect infection can be said to be an infection via the global space, and the direct infection can be said to be an infection closed in the local space.
間接感染を防御する技術として特開2002−358253号公報に示されたようにPCなどの端末からのデータをグローバル空間上に置いたセキュリティサーバに転送し、内容をチェックし、感染データでないことを確認してから、セキュリティサーバより本来のあて先へ転送する技術が知られている。 As a technique for preventing indirect infection, as disclosed in Japanese Patent Laid-Open No. 2002-358253, data from a terminal such as a PC is transferred to a security server placed in a global space, the content is checked, and it is not infection data. A technique is known in which the information is transferred from the security server to the original destination after confirmation.
特開2002−358253号公報に示された技術では、グローバル空間を介した間接感染を防止することは可能であるが、ローカル空間に閉じた直接感染を防止することは、以下の理由により不可能であった。 With the technique disclosed in Japanese Patent Laid-Open No. 2002-358253, it is possible to prevent indirect infection through the global space, but it is impossible to prevent direct infection closed in the local space for the following reasons. Met.
特開2002−358253号公報に示された技術では、グローバル空間上のセキュリティサーバにパケットをエンカプセルして転送し、セキュリティサーバでウィルスチェックを実施した後、エンカプセルヘッダをデカプセルした後の本来のあて先にパケットを送信している。
間接感染の場合は、通常、デカプセルした後の本来のあて先IPアドレスは、グローバルIPアドレスであり、セキュリティサーバと同じグローバル空間のアドレスであるため、セキュリティサーバからの転送は可能である。
In the technique disclosed in Japanese Patent Laid-Open No. 2002-358253, the packet is encapsulated and transferred to a security server in the global space, the virus check is performed by the security server, and then the encapsulated header is decapsulated. A packet is being sent to the destination.
In the case of indirect infection, the original destination IP address after decapsulation is usually a global IP address, and since it is an address in the same global space as the security server, transfer from the security server is possible.
しかし、デカプセルした後の本来のあて先IPアドレスがローカル空間のIPアドレスである直接感染の場合は、グローバル空間上のセキュリティサーバからローカル空間あてのIPアドレスを持つパケットを転送することになり、転送そのものが不可能となってしまう。つまり、特開2002−358253号公報に示された技術の場合、本来のあて先IPアドレスと同じIPアドレス空間にセキュリティサーバが存在する感染のみ防御可能である。 However, in the case of direct infection in which the original destination IP address after decapsulation is the IP address in the local space, the packet having the IP address addressed to the local space is transferred from the security server in the global space, and the transfer itself Becomes impossible. That is, in the case of the technique disclosed in Japanese Patent Application Laid-Open No. 2002-358253, only infections in which a security server exists in the same IP address space as the original destination IP address can be protected.
また、特開2002−358253号公報に示された技術では、セキュリティセンタで感染チェックするパケットをプロトコルにより決定していたが、本来、感染活動は、PCなどの端末のOSやアプリケーションのセキュリティホールを利用するものであり、通常、パッチプログラムやウィルスチェックプログラムのパターンファイルにより感染活動そのものを防止するようになっている。つまり、パッチプログラムやパターンファイルが最新のものに更新されている端末(対策済み端末と呼ぶ)の場合、感染活動を行わないケースがほとんどであり、一般にこれらの対策の行き届いたといわれる企業内の端末においては、セキュリティサーバの負荷のほとんどは、正常のパケットであるというケースが容易に想像できる。 In the technique disclosed in Japanese Patent Laid-Open No. 2002-358253, a packet to be checked for infection at a security center is determined by a protocol. Originally, an infection activity is a security hole in an OS or application of a terminal such as a PC. Usually, the infection activity itself is prevented by the pattern file of the patch program or virus check program. In other words, in the case of a terminal whose patch program or pattern file has been updated to the latest one (referred to as a countermeasured terminal), in most cases, infection activities are not performed. In, it can be easily imagined that most of the load on the security server is a normal packet.
特開2002−358253号公報に示された技術の構成の場合、感染の有無にかかわらず、チェック対象プロトコルに指定されたパケットは全てセキュリティサーバを介して転送されることになるため、セキュリティサーバの負荷によっては、通信遅延が増大するという欠点がある。
この発明は上記のような問題点を解決するためになされたもので、間接感染と同時に直接感染を防止するとともに、対策済み端末のデータベースと連動することにより、必要な端末からのデータ、つまり未対策端末からのデータのみ感染チェックを行うことにより、センタでの感染チェック負荷を減らし、システム全体の効率を向上することを目的とする。 The present invention has been made to solve the above-mentioned problems. In addition to preventing direct infection simultaneously with indirect infection, the present invention is linked with a database of terminals that have already been treated, so that data from necessary terminals, i.e., The purpose is to reduce the infection check load at the center and improve the efficiency of the entire system by performing infection checks only on data from countermeasure terminals.
本発明に係る被害拡散防止システムは、
ローカル空間で端末と接続しているパケット転送装置と、グローバル空間で当該パケット転送装置と接続しているパケット収集分析装置とからなる被害拡散防止システムであって、
パケット転送装置は、
(1)端末からパケットを受信するローカル側パケット受信部と、
(2)受信したパケットの送信元の端末が、セキュリティ対策済みであるかを判定する端末対策判定部と、
(3)送信元の端末がセキュリティ対策済みでない場合に、当該パケットをパケット収集分析装置宛てにエンカプセルするエンカプセル部と、
(4)エンカプセルしたパケットをグローバル空間へ送出するグローバル側パケット送信部とを有し、
パケット収集分析装置は、
(5)グローバル空間からパケットを受信するパケット受信部と、
(6)受信したパケットをデカプセルして、オリジナルのパケットを得るデカプセル部と、
(7)オリジナルのパケットが安全であるかを判定するパケット分析機能部と、
(8)安全であるオリジナルのパケットを、送信元であったパケット転送装置宛てにエンカプセルするエンカプセル部と、
(9)エンカプセルしたパケットをグローバル空間へ送出するパケット送信部とを有し、
パケット転送装置は、
(10)グローバル空間からパケットを受信するグローバル側パケット受信部と、
(11)受信したパケットをデカプセルして、オリジナルのパケットを得るデカプセル部と、
(12)オリジナルのパケットを、オリジナルの送信先へ送信するローカル側パケット送信部とを有することを特徴する。
The damage diffusion prevention system according to the present invention is
A damage diffusion prevention system comprising a packet transfer device connected to a terminal in a local space and a packet collection and analysis device connected to the packet transfer device in a global space,
The packet transfer device
(1) a local-side packet receiver that receives packets from a terminal;
(2) a terminal countermeasure determining unit that determines whether the terminal of the transmission source of the received packet has already undergone security countermeasures;
(3) an encapsulating unit for encapsulating the packet to the packet collection and analysis device when the terminal of the transmission source has not been subjected to security measures;
(4) having a global-side packet transmitter for sending the encapsulated packet to the global space,
Packet collection and analysis equipment
(5) a packet receiver that receives packets from the global space;
(6) a decapsulation unit that decapsulates the received packet to obtain an original packet;
(7) a packet analysis function unit that determines whether the original packet is safe;
(8) an encapsulating unit that encapsulates a safe original packet to a packet transfer device that is a transmission source;
(9) a packet transmission unit that transmits the encapsulated packet to the global space;
The packet transfer device
(10) a global-side packet receiver that receives packets from the global space;
(11) A decapsulation unit that decapsulates a received packet to obtain an original packet;
(12) A local-side packet transmission unit that transmits an original packet to an original transmission destination.
本発明においては、グローバルアドレス空間のサーバを介したウィルス被害の拡大を防止するとともに、ローカルアドレス空間内に閉じた企業内直接感染の防止も可能となる。 According to the present invention, it is possible to prevent the spread of virus damage through a server in the global address space and to prevent direct infection within a company closed in the local address space.
実施の形態1.
以下本発明を図面に示す実施例に基づいて説明する。図1は、本発明のシステム構成図である。通常の企業網は、インターネットなど広域網4に接続された複数の企業ネットワーク5とネットワーク管理センタとで構成される。ネットワーク管理センタは、例えば、本社のような企業ネットワーク5の一部に置かれるケースもある。また、規模によっては、各企業ネットワーク5内にネットワーク管理センタが設置されるようなケースも考えられる。
Embodiment 1 FIG.
Hereinafter, the present invention will be described based on embodiments shown in the drawings. FIG. 1 is a system configuration diagram of the present invention. A typical corporate network is composed of a plurality of
本発明は、企業ネットワーク5に置かれたパケット転送装置2とネットワーク管理センタに置かれたパケット収集分析装置3によって実現される。パケット転送装置2は、企業ネットワーク5のローカルセグメントごとに設置される。ローカルセグメントとは、比較的少数の端末1のグループであり、企業の組織を例にとると、部単位、課単位、係単位などとなる。ローカルセグメントは、万一、感染被害が発生した場合の隔離単位でもあるため、なるべく、細かい単位にしておいた方が、感染被害は少なくなる。
The present invention is realized by the
なお、企業ネットワーク5のセキュリティ管理は、本発明のシステム以外にもフィアウォール、IDS(侵入検知システム)、アップデート監視システム(社内の端末のソフトウェアやウィルス監視プログラムが最新版にアップデートされているかを管理するシステム)など様々なシステムが必要に応じて運用されているのが一般的である。
In addition to the system of the present invention, the security management of the
図2は、パケット転送装置の内部ブロック構成図である。パケット精査機能部21は、ローカルセグメントから受信したパケットをパケット収集分析装置3に転送するかどうかを精査する機能である。精査は、受信パケットを対策済み端末リストと照合することによって実施する。なお、本機能の目的は、パケット収集分析装置3にパケットを転送するかどうかの決定と共に、なるべくパケット収集分析装置3へ無駄なパケットを転送しないという目的があるため、対策済み端末リストの内容は、その時の脅威によって照合箇所が変わってくる。例えば、OSに基本的な欠陥があるような場合では、そのOSを使用する端末1を特定するための情報(送信元IPアドレス)と照合し、あるプロトコルに欠陥があるような場合は、送信元IPアドレスとそのパケットのプロトコルと照合を行う。基本的には、詳細な照合を行えば行うほどパケット収集分析装置3へ転送するパケットの数は減る。
FIG. 2 is an internal block configuration diagram of the packet transfer apparatus. The packet scrutinizing
パケット転送機能部23は、後述するパケット収集分析装置3へパケットを転送するための機能を有し、パケット収集分析装置3のパケット転送機能部31とペアで動作する機能を有する。パケット精査機能部21により、パケット収集分析装置3へ転送されることが決定したパケットは、パケット転送機能部23において、エンカプセル処理が施される。エンカプセル処理前後のパケットフォーマットを図4に示す。図4は、簡略化のため、IPヘッダを構成するパラメータのうち、本発明に関連する部分のみ記述してある。
The packet
図3は、パケット収集分析装置の内部ブロック構成図である。パケット転送機能部31は、前述のパケット転送装置2のパケット転送機能部23のペアとなる機能で、転送されてきたパケットのデカプセル処理、および安全と判断され、パケット転送装置2へ再転送(送り返される)されるパケットのエンカプセル処理を実施する。パケット分析機能部32は、パケット転送装置2より転送されてきたパケットのオリジナルデータの分析を行う機能を有し、この分析によって安全であると判断されたパケットは、パケット転送機能部31を介して、パケット転送装置2へ返信される。
FIG. 3 is an internal block diagram of the packet collection / analysis apparatus. The packet
対策済み端末データベース部34は、あるインシデントに対して、対策済みである端末1のデータベースである。例えば、OSの最新パッチがインストール済みである端末1のデータベースなどが該当し、このデータベースの情報は、アップデート用のサーバなどから入手するものである。企業内の端末1は、パッチ配布から一定期間経過後は、一般に最新パッチがインストールされているため、本データベースに登録されることになる。逆に、発生直後のインシデントで、対策用のパッチプログラムの配布が行われていない場合は、対策済み端末1のデータベースの登録数は0となる。また、社内へ持ち込んだ個人PCなどは、このデータベースに登録されていないことから割り出しが可能となる。
The countermeasure-completed
パケット転送装置管理機能部33は、パケット転送装置2の動作を管理する機能を有し、前述した対策済み端末データベース部34の最新情報をパケット転送装置2へ通知する役割を持っている。本機能からの通知によって、パケット転送装置2の対策済み端末リストが更新され、分析の必要なパケットのみ、パケット収集分析装置3へ転送される動作が実現する。
The packet transfer device
実施の形態2.
図を用いて、新たなインシデントが発生した場合のシステムの動作を説明する。図5は、インターネットを介して構成された企業ネットワーク5の例で、企業ネットワーク5内部は、ローカルアドレスが使用されており、インターネットとの接続点においてNAT(ローカルアドレスからグローバルアドレスへの変換)が行われているものとする。よって、端末A〜Dおよびパケット転送装置E、サーバSは企業内ネットワークのローカルアドレスA〜D、E、Sを持ち、パケット収集分析装置3は、グローバルアドレスαを持っている。また、端末A〜Dのうち、D以外の端末はインシデントに対する最新のパッチがあたっているので、パケット転送装置Eの対策済み端末リストに登録されている。
The operation of the system when a new incident occurs will be described using the figure. FIG. 5 shows an example of a
ここで、端末DからサーバSへの通信を例にとって動作を説明する。図6は、パケット精査による転送処理に係る詳細な構成図である。図7は、パケット精査による転送処理フローを示す図である。 Here, the operation will be described taking communication from the terminal D to the server S as an example. FIG. 6 is a detailed configuration diagram relating to transfer processing by packet inspection. FIG. 7 is a diagram showing a transfer processing flow by packet scrutiny.
パケット転送装置Eのローカル側パケット受信部61でローカル側からパケットを受信すると(S701)、端末対策判定部62で対策済み端末リストと比較する(S702)。端末Dは、端末リストに登録されていないため、パケット転送装置Eのパケット転送機能部23のエンカプセル部64でエンカプセルされ(S704)、グローバル側パケット送信部65よりパケット収集分析装置3へ転送される(S705)。このときのパケットフォーマットは、図8の通りである。
When the local
パケット転送装置Eから送信された図8のパケットは、インターネット接続点でエンカプセルヘッダ内のローカルアドレスEをグローバルアドレスGに変換された後、パケット収集分析装置3へ転送される。パケット収集分析装置3の受信するパケットフォーマットを図9に示す。
The packet of FIG. 8 transmitted from the packet transfer device E is transferred to the packet collection and
図10は、パケット収集分析装置の詳細な構成図である。図11は、パケット収集分析装置の処理フローを示す図である。パケット受信部101で、エンカプセルパケットを受信したパケット収集分析装置3では、デカプセル部102でパケットをデカプセルし(S1102)、パケット分析機能部32でオリジナルパケットのデータを分析する(S1103)。分析結果が危険であった場合には、パケットを廃棄し(S1106)、安全であった場合には、エンカプセル部103でエンカプセル処理を実施し(S1104)、パケット送信部104よりパケット転送装置Eへパケットを返信する(S1105)。この時のパケットフォーマットを図12に示す。
FIG. 10 is a detailed configuration diagram of the packet collection and analysis apparatus. FIG. 11 is a diagram showing a processing flow of the packet collection and analysis apparatus. In the packet collection and
パケット分析収集装置からのエンカプセルパケットは、インタネット接続点でNATにより、あて先であるパケット転送装置EのグローバルアドレスGをローカルアドレスEに変換された後、パケット転送装置Eに到着する。 The encapsulated packet from the packet analysis / collection apparatus arrives at the packet transfer apparatus E after the global address G of the destination packet transfer apparatus E is converted to the local address E by NAT at the Internet connection point.
図13は、安全なパケットの転送処理に関する構成を示す図である。図14は、安全なパケットの転送処理フローを示す図である。グローバル側パケット受信部131によりグローバル側からパケットを受信したパケット転送装置Eは、デカプセル部132でパケットをデカプセルし(S1402)、ローカル側パケット送信部133よりサーバS側のポートに送信する(S1403)。このとき、パケット転送装置からサーバSに送信されるパケットは、図15に示すように、最初に端末Dからパケット転送装置が受信したパケットと同じものとなる。なお、図8、図9、図12、及び図15のパケットフォーマットは、本発明に関係する部分のみ記述してあり、例えば、MACヘッダなどは省略している。
FIG. 13 is a diagram illustrating a configuration related to secure packet transfer processing. FIG. 14 is a diagram showing a safe packet transfer processing flow. The packet transfer apparatus E that has received the packet from the global side by the global side
パケット収集分析装置3からのパケットを、一度パケット転送装置へ戻すことにより、ローカルアドレス空間内の直接感染の疑いのあるパケットについても安全性を確認した上で、転送することが可能となる。
By returning the packet from the packet collection /
なお、本シーケンスは、パケット転送装置の対策済み端末リストに登録されていない端末1全てに適用されるため、対策済み端末リストの内容を変化させることにより、自宅からの持込PC(社内PCを対策済み端末リストに登録)や、修正プログラムのリリースされていない攻撃(対策済み端末リストの登録を全てなくし、全通の安全性をパケット収集分析装置3で検査する)にも容易に対応可能となる。 Since this sequence is applied to all the terminals 1 that are not registered in the countermeasure terminal list of the packet transfer apparatus, by changing the contents of the countermeasure terminal list, a personal computer (in-house PC) It is possible to easily deal with attacks that have not been released with a fix program and attacks that have not been released with a modified program (all registered device lists are removed and all safety is checked by the packet collection analyzer 3). Become.
実施の形態3.
パケット収集分析装置で、分析結果が危険であった場合に、警告パケットを返信することも有効である。図16は、実施の形態3に係るパケット収集分析装置の構成図である。図17は、実施の形態3に係るパケット収集分析装置の処理フローを示す図である。
It is also effective to return a warning packet when the analysis result is dangerous in the packet collection and analysis device. FIG. 16 is a configuration diagram of a packet collection and analysis apparatus according to the third embodiment. FIG. 17 is a diagram illustrating a processing flow of the packet collection and analysis apparatus according to the third embodiment.
図に示すように、パケット分析機能部32で危険と判断した場合に(S1703)、警告パケットを生成し(S1706)、エンカプセルし(S1704)、パケット転送装置へ返信する(S1705)。
As shown in the figure, when the packet
このように動作することにより、パケット転送装置側で、転送したパケットが危険であったことを認識することができる。 By operating in this way, the packet transfer apparatus can recognize that the transferred packet is dangerous.
尚、パケット転送装置及びパケット収集分析装置は、コンピュータであり、各要素はプログラムにより処理を実行することができる。また、プログラムを記憶媒体に記憶させ、記憶媒体からコンピュータに読み取られるようにすることができる。 The packet transfer device and the packet collection / analysis device are computers, and each element can execute processing by a program. Further, the program can be stored in a storage medium so that the computer can read the program from the storage medium.
図18は、パケット転送装置及びパケット収集分析装置装置のハードウエア構成例を示す図である。バスに、演算装置1801、データ記憶装置1802、メモリ1803、通信インターフェース1804が接続されている。データ記憶装置1802は、例えばROM(Read Only Memory)やハードディスクである。メモリ1803は、通常RAM(Random Access Memory)である。
FIG. 18 is a diagram illustrating a hardware configuration example of the packet transfer device and the packet collection and analysis device. An
プログラムは、通常データ記憶装置1802に記憶されており、メモリ1803にロードされた状態で、順次演算装置1801に読み込まれ処理を行う。
The program is normally stored in the
1 端末、2 パケット転送装置、3 パケット収集分析装置、4 広域網、5 企業ネットワーク、21 パケット精査機能部、22 対策済み端末リスト記憶部、23 パケット転送機能部、31 パケット転送機能部、32 パケット分析機能部、33 パケット転送装置管理機能部、34 対策済み端末データベース部、61 ローカル側パケット受信部、62 端末対策判定部、63 ローカル側パケット送信部、64 エンカプセル部、65 グローバル側パケット送信部、101 パケット受信部、102 デカプセル部、103 エンカプセル部、104 パケット送信部、131 グローバル側パケット受信部、132 デカプセル部、133 ローカル側パケット送信部。
1 terminal, 2 packet transfer device, 3 packet collection and analysis device, 4 wide area network, 5 corporate network, 21 packet inspection function unit, 22 countermeasured terminal list storage unit, 23 packet transfer function unit, 31 packet transfer function unit, 32 packets Analysis function unit, 33 Packet transfer device management function unit, 34 Countermeasured terminal database unit, 61 Local packet reception unit, 62 Terminal countermeasure determination unit, 63 Local packet transmission unit, 64 Encapsulation unit, 65 Global
Claims (7)
パケット転送装置は、
(1)端末からパケットを受信するローカル側パケット受信部と、
(2)受信したパケットの送信元の端末が、セキュリティ対策済みであるかを判定する端末対策判定部と、
(3)送信元の端末がセキュリティ対策済みでない場合に、当該パケットをパケット収集分析装置宛てにエンカプセルするエンカプセル部と、
(4)エンカプセルしたパケットをグローバル空間へ送出するグローバル側パケット送信部とを有し、
パケット収集分析装置は、
(5)グローバル空間からパケットを受信するパケット受信部と、
(6)受信したパケットをデカプセルして、オリジナルのパケットを得るデカプセル部と、
(7)オリジナルのパケットが安全であるかを判定するパケット分析機能部と、
(8)安全であるオリジナルのパケットを、送信元であったパケット転送装置宛てにエンカプセルするエンカプセル部と、
(9)エンカプセルしたパケットをグローバル空間へ送出するパケット送信部とを有し、
パケット転送装置は、
(10)グローバル空間からパケットを受信するグローバル側パケット受信部と、
(11)受信したパケットをデカプセルして、オリジナルのパケットを得るデカプセル部と、
(12)オリジナルのパケットを、オリジナルの送信先へ送信するローカル側パケット送信部とを有することを特徴する被害拡散防止システム。 A damage diffusion prevention system comprising a packet transfer device connected to a terminal in a local space and a packet collection and analysis device connected to the packet transfer device in a global space,
The packet transfer device
(1) a local-side packet receiver that receives packets from a terminal;
(2) a terminal countermeasure determining unit that determines whether the terminal of the transmission source of the received packet has already undergone security countermeasures;
(3) an encapsulating unit for encapsulating the packet to the packet collection and analysis device when the terminal of the transmission source has not been subjected to security measures;
(4) having a global-side packet transmitter for sending the encapsulated packet to the global space,
Packet collection and analysis equipment
(5) a packet receiver that receives packets from the global space;
(6) a decapsulation unit that decapsulates the received packet to obtain an original packet;
(7) a packet analysis function unit that determines whether the original packet is safe;
(8) an encapsulating unit that encapsulates a safe original packet to a packet transfer device that is a transmission source;
(9) a packet transmission unit that transmits the encapsulated packet to the global space;
The packet transfer device
(10) a global-side packet receiver that receives packets from the global space;
(11) A decapsulation unit that decapsulates a received packet to obtain an original packet;
(12) A damage diffusion prevention system comprising: a local-side packet transmission unit that transmits an original packet to an original transmission destination.
エンカプセル部は、警告パケットを、送信元のパケット転送装置宛てにエンカプセルし、
パケット送信部は、エンカプセルしたパケットをグローバル空間へ送出することを特徴とする請求項1記載の被害拡散防止システム。 The packet analysis function unit generates a warning packet notifying that the original packet is not safe when the original packet is not safe,
The encapsulating unit encapsulates the warning packet to the source packet transfer device,
2. The damage diffusion prevention system according to claim 1, wherein the packet transmission unit transmits the encapsulated packet to the global space.
(1)端末からパケットを受信するローカル側パケット受信部
(2)受信したパケットの送信元の端末が、セキュリティ対策済みであるかを判定する端末対策判定部
(3)送信元の端末がセキュリティ対策済みでない場合に、当該パケットをパケット収集分析装置宛てにエンカプセルするエンカプセル部
(4)エンカプセルしたパケットをグローバル空間へ送出するグローバル側パケット送信部
(5)グローバル空間からパケットを受信するグローバル側パケット受信部
(6)受信したパケットをデカプセルして、オリジナルのパケットを得るデカプセル部
(7)オリジナルのパケットを、オリジナルの送信先へ送信するローカル側パケット送信部。 A packet transfer apparatus that is connected to a terminal in a local space and is connected to a packet collection and analysis apparatus in a global space, the packet transfer apparatus having the following elements: (1) a local side packet that receives a packet from a terminal (2) A terminal countermeasure determining unit that determines whether the terminal of the transmission source of the received packet has already undergone security countermeasures. (3) If the terminal of the transmission source has not undergone security countermeasures, the packet collecting and analyzing apparatus Encapsulation part for encapsulating to address (4) Global side packet transmission part for sending encapsulated packet to global space (5) Global side packet reception part for receiving packet from global space (6) Decapsulating received packet Decapsulation part to obtain original packet (7) Original Local side packet transmitter for transmitting packet, to the original destination.
(1)グローバル空間からパケットを受信するパケット受信部
(2)受信したパケットをデカプセルして、オリジナルのパケットを得るデカプセル部
(3)オリジナルのパケットが安全であるかを判定するパケット分析機能部
(4)安全であるオリジナルのパケットを、送信元であったパケット転送装置宛てにエンカプセルするエンカプセル部
(5)エンカプセルしたパケットをグローバル空間へ送出するパケット送信部。 A packet collection and analysis device connected to a packet transfer device in the global space, and having the following elements: (1) a packet reception unit for receiving packets from the global space (2) reception Decapsulation part that decapsulates the original packet and obtains the original packet (3) Packet analysis function part that determines whether the original packet is safe (4) Packet transfer that was the source of the safe original packet Encapsulation part for encapsulating to the device (5) A packet transmission part for sending the encapsulated packet to the global space.
(1)端末からパケットを受信する手順
(2)受信したパケットの送信元の端末が、セキュリティ対策済みであるかを判定する手順
(3)送信元の端末がセキュリティ対策済みでない場合に、当該パケットをパケット収集分析装置宛てにエンカプセルする手順
(4)エンカプセルしたパケットをグローバル空間へ送出する手順
(5)グローバル空間からパケットを受信する手順
(6)受信したパケットをデカプセルして、オリジナルのパケットを得る手順
(7)オリジナルのパケットを、オリジナルの送信先へ送信する手順。 A program for causing a computer to be a packet transfer device connected to a terminal in a local space and connected to a packet collection and analysis device in a global space to execute the following procedure (1) A procedure for receiving a packet from a terminal (2) received Procedure for determining whether the terminal of the packet transmission source has been subjected to security measures (3) Procedure for encapsulating the packet to the packet collection / analysis device when the terminal of the transmission source has not been subjected to security measures (4) Procedure to send encapsulated packet to global space (5) Procedure to receive packet from global space (6) Procedure to decapsulate received packet to obtain original packet (7) Original packet to original destination To send to.
(1)グローバル空間からパケットを受信する手順
(2)受信したパケットをデカプセルして、オリジナルのパケットを得る手順
(3)オリジナルのパケットが安全であるかを判定する手順
(4)安全であるオリジナルのパケットを、送信元であったパケット転送装置宛てにエンカプセルする手順
(5)エンカプセルしたパケットをグローバル空間へ送出する手順。 A program for causing a computer that is a packet collection and analysis device connected to a packet transfer device in the global space to execute the following procedure (1) a procedure for receiving a packet from the global space (2) decapsulating the received packet, Procedure for obtaining the original packet (3) Procedure for determining whether the original packet is safe (4) Procedure for encapsulating the original packet that is safe to the packet transfer apparatus that was the source (5) Procedure to send encapsulated packet to global space.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004178419A JP4319585B2 (en) | 2004-06-16 | 2004-06-16 | Damage prevention system, packet transfer apparatus, packet collection and analysis apparatus, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004178419A JP4319585B2 (en) | 2004-06-16 | 2004-06-16 | Damage prevention system, packet transfer apparatus, packet collection and analysis apparatus, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006005555A true JP2006005555A (en) | 2006-01-05 |
JP4319585B2 JP4319585B2 (en) | 2009-08-26 |
Family
ID=35773581
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004178419A Expired - Fee Related JP4319585B2 (en) | 2004-06-16 | 2004-06-16 | Damage prevention system, packet transfer apparatus, packet collection and analysis apparatus, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4319585B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017537560A (en) * | 2014-12-11 | 2017-12-14 | ビットディフェンダー アイピーアール マネジメント リミテッド | System and method for securing network endpoints |
JP2020028068A (en) * | 2018-08-15 | 2020-02-20 | 日本電信電話株式会社 | Communication system and communication method |
-
2004
- 2004-06-16 JP JP2004178419A patent/JP4319585B2/en not_active Expired - Fee Related
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017537560A (en) * | 2014-12-11 | 2017-12-14 | ビットディフェンダー アイピーアール マネジメント リミテッド | System and method for securing network endpoints |
JP2020039166A (en) * | 2014-12-11 | 2020-03-12 | ビットディフェンダー アイピーアール マネジメント リミテッド | System and method for securing network endpoint |
JP2020028068A (en) * | 2018-08-15 | 2020-02-20 | 日本電信電話株式会社 | Communication system and communication method |
JP7063185B2 (en) | 2018-08-15 | 2022-05-09 | 日本電信電話株式会社 | Communication system and communication method |
US11805098B2 (en) | 2018-08-15 | 2023-10-31 | Nippon Telegraph And Telephone Corporation | Communication system and communication method |
Also Published As
Publication number | Publication date |
---|---|
JP4319585B2 (en) | 2009-08-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110445770B (en) | Network attack source positioning and protecting method, electronic equipment and computer storage medium | |
US7725936B2 (en) | Host-based network intrusion detection systems | |
EP1817685B1 (en) | Intrusion detection in a data center environment | |
CN101116068B (en) | Intrusion detection in a data center environment | |
US7564837B2 (en) | Recording medium recording a network shutdown control program, and network shutdown device | |
US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
US7475420B1 (en) | Detecting network proxies through observation of symmetric relationships | |
CA2940644A1 (en) | System and method for verifying and detecting malware | |
US7333430B2 (en) | Systems and methods for passing network traffic data | |
US20210409446A1 (en) | Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file | |
EP1754348B1 (en) | Using address ranges to detect malicious activity | |
CN116055214A (en) | Attack detection method, device, equipment and readable storage medium | |
JP3495030B2 (en) | Intrusion data countermeasure processing device, intrusion data countermeasure processing method, and intrusion data countermeasure processing system | |
JP4319585B2 (en) | Damage prevention system, packet transfer apparatus, packet collection and analysis apparatus, and program | |
CN114172881B (en) | Network security verification method, device and system based on prediction | |
KR101003094B1 (en) | Cyber attack traceback system by using spy-bot agent, and method thereof | |
JP5267893B2 (en) | Network monitoring system, network monitoring method, and network monitoring program | |
JP2008011008A (en) | Unauthorized access prevention system | |
JP4753264B2 (en) | Method, apparatus, and computer program for detecting network attacks (network attack detection) | |
US8660143B2 (en) | Data packet interception system | |
US11451584B2 (en) | Detecting a remote exploitation attack | |
CN109684831B (en) | Method and device for detecting computer network virus | |
WO2021181391A1 (en) | System and method for finding, tracking, and capturing a cyber-attacker | |
Yousif et al. | A Proposed Firewall For Viruses |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070406 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090520 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090526 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090528 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120605 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |