JP2006005555A - Infection and destroy spread prevention system, packet transfer device, packet gathering and analyzing device, and program - Google Patents

Infection and destroy spread prevention system, packet transfer device, packet gathering and analyzing device, and program Download PDF

Info

Publication number
JP2006005555A
JP2006005555A JP2004178419A JP2004178419A JP2006005555A JP 2006005555 A JP2006005555 A JP 2006005555A JP 2004178419 A JP2004178419 A JP 2004178419A JP 2004178419 A JP2004178419 A JP 2004178419A JP 2006005555 A JP2006005555 A JP 2006005555A
Authority
JP
Japan
Prior art keywords
packet
original
terminal
global
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004178419A
Other languages
Japanese (ja)
Other versions
JP4319585B2 (en
Inventor
Toru Inada
徹 稲田
Shinobu Atozawa
忍 後沢
Akiko Toyokuni
明子 豊国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2004178419A priority Critical patent/JP4319585B2/en
Publication of JP2006005555A publication Critical patent/JP2006005555A/en
Application granted granted Critical
Publication of JP4319585B2 publication Critical patent/JP4319585B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To enable an infection and destroy spread prevention system to prevent virus damage from spreading through a server in a global address space, and also to prevent closed in-office direct infection in a local address pace. <P>SOLUTION: A packet transfer device 2 inquires an input packet from a terminal 1 of a registered terminal list of terminals having been registered. When the packet is judged to be a packet whose safety is not confirmed through the inquiry, the packet is encapsuled and transferred to a packet gathering and analyzing device 3. The packet gathering and analyzing device 3 encapsules and returns only packets whose safety is confirmed to the packet transfer device 2. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、端末からの入力パケットを、あらかじめ登録された登録済み端末リストと照会し、安全性の確認されていないパケットをエンカプセルしてパケット収集分析装置に転送し、そこで、安全性が確認されたパケットのみ、再度、エンカプセルし、パケット転送装置へ返信することにより、グローバルアドレス空間のサーバを介したウィルス被害の拡大を防止するとともに、ローカルアドレス空間内に閉じた企業内直接感染の防止も可能とする被害拡散防止システムに関する。   The present invention refers to an input packet from a terminal with a registered terminal list registered in advance, and encapsulates a packet whose safety has not been confirmed and forwards it to a packet collection and analysis device, where safety is confirmed. By encapsulating only the received packets again and sending them back to the packet transfer device, it is possible to prevent the spread of virus damage through the servers in the global address space and to prevent direct infection within the company closed in the local address space. It is also related to the damage diffusion prevention system that can be used.

企業内でコンピュータウィルス感染が広がるケースとして注目されているケースが、自宅へ持ち帰ったノートPCなどのいわゆる未対策端末(OS、アプリケーションのパッチプログラムのインストールやウィルス対策プログラムのパターンファイルの更新が行われているかが不明の端末)からの感染である。未対策端末からの感染パターンとしては、大きく以下の2つの感染パターンがある。   Cases that are attracting attention as cases where computer virus infection spreads within the company are so-called unmeasured terminals such as laptops that have been taken home (OS, application patch programs are installed, and anti-virus program pattern files are updated) It is an infection from a device that is unknown. There are two main infection patterns as infection patterns from untreated terminals.

一つ目は、間接感染で、これは、公開メールサーバなどのサーバを介して感染するパターンである。もう一つが、直接感染で、感染源の端末から社内網などを使って他の端末やサーバに直接的に被害を拡大するパターンである。   The first is indirect infection, which is a pattern of infection via a server such as a public mail server. The other is direct infection, in which the damage is spread directly from the terminal at the source of infection to other terminals and servers using the company network.

一方、企業ネットワークは、IPアドレス体系的に、グローバルIPアドレスを使用するグローバル空間とローカルIPアドレスを使用するローカル空間に一般的には分離されている。   On the other hand, the corporate network is generally divided into a global space using a global IP address and a local space using a local IP address in terms of IP address system.

前述した、感染パターンとIPアドレス空間の関係を示すと、例外もあるが、大まかには、間接感染はグローバル空間を介した感染、直接感染は、ローカル空間に閉じた感染と言うことができる。   The relationship between the infection pattern and the IP address space described above has some exceptions, but roughly speaking, the indirect infection can be said to be an infection via the global space, and the direct infection can be said to be an infection closed in the local space.

間接感染を防御する技術として特開2002−358253号公報に示されたようにPCなどの端末からのデータをグローバル空間上に置いたセキュリティサーバに転送し、内容をチェックし、感染データでないことを確認してから、セキュリティサーバより本来のあて先へ転送する技術が知られている。   As a technique for preventing indirect infection, as disclosed in Japanese Patent Laid-Open No. 2002-358253, data from a terminal such as a PC is transferred to a security server placed in a global space, the content is checked, and it is not infection data. A technique is known in which the information is transferred from the security server to the original destination after confirmation.

特開2002−358253号公報に示された技術では、グローバル空間を介した間接感染を防止することは可能であるが、ローカル空間に閉じた直接感染を防止することは、以下の理由により不可能であった。   With the technique disclosed in Japanese Patent Laid-Open No. 2002-358253, it is possible to prevent indirect infection through the global space, but it is impossible to prevent direct infection closed in the local space for the following reasons. Met.

特開2002−358253号公報に示された技術では、グローバル空間上のセキュリティサーバにパケットをエンカプセルして転送し、セキュリティサーバでウィルスチェックを実施した後、エンカプセルヘッダをデカプセルした後の本来のあて先にパケットを送信している。
間接感染の場合は、通常、デカプセルした後の本来のあて先IPアドレスは、グローバルIPアドレスであり、セキュリティサーバと同じグローバル空間のアドレスであるため、セキュリティサーバからの転送は可能である。 In the technique disclosed in Japanese Patent Laid-Open No. 2002-358253, the packet is encapsulated and transferred to a security server in the global space, the virus check is performed by the security server, and then the encapsulated header is decapsulated. A packet is being sent to the destination.
In the case of indirect infection, the original destination IP address after decapsulation is usually a global IP address, and since it is an address in the same global space as the security server, transfer from the security server is possible.

しかし、デカプセルした後の本来のあて先IPアドレスがローカル空間のIPアドレスである直接感染の場合は、グローバル空間上のセキュリティサーバからローカル空間あてのIPアドレスを持つパケットを転送することになり、転送そのものが不可能となってしまう。つまり、特開2002−358253号公報に示された技術の場合、本来のあて先IPアドレスと同じIPアドレス空間にセキュリティサーバが存在する感染のみ防御可能である。   However, in the case of direct infection in which the original destination IP address after decapsulation is the IP address in the local space, the packet having the IP address addressed to the local space is transferred from the security server in the global space, and the transfer itself Becomes impossible. That is, in the case of the technique disclosed in Japanese Patent Application Laid-Open No. 2002-358253, only infections in which a security server exists in the same IP address space as the original destination IP address can be protected.

また、特開2002−358253号公報に示された技術では、セキュリティセンタで感染チェックするパケットをプロトコルにより決定していたが、本来、感染活動は、PCなどの端末のOSやアプリケーションのセキュリティホールを利用するものであり、通常、パッチプログラムやウィルスチェックプログラムのパターンファイルにより感染活動そのものを防止するようになっている。つまり、パッチプログラムやパターンファイルが最新のものに更新されている端末(対策済み端末と呼ぶ)の場合、感染活動を行わないケースがほとんどであり、一般にこれらの対策の行き届いたといわれる企業内の端末においては、セキュリティサーバの負荷のほとんどは、正常のパケットであるというケースが容易に想像できる。   In the technique disclosed in Japanese Patent Laid-Open No. 2002-358253, a packet to be checked for infection at a security center is determined by a protocol. Originally, an infection activity is a security hole in an OS or application of a terminal such as a PC. Usually, the infection activity itself is prevented by the pattern file of the patch program or virus check program. In other words, in the case of a terminal whose patch program or pattern file has been updated to the latest one (referred to as a countermeasured terminal), in most cases, infection activities are not performed. In, it can be easily imagined that most of the load on the security server is a normal packet.

特開2002−358253号公報に示された技術の構成の場合、感染の有無にかかわらず、チェック対象プロトコルに指定されたパケットは全てセキュリティサーバを介して転送されることになるため、セキュリティサーバの負荷によっては、通信遅延が増大するという欠点がある。
特開2002−358253号公報 In the case of the configuration of the technique disclosed in Japanese Patent Application Laid-Open No. 2002-358253, all packets designated as the check target protocol are transferred through the security server regardless of the presence or absence of infection. Depending on the load, there is a disadvantage that communication delay increases.
JP 2002-358253 A

この発明は上記のような問題点を解決するためになされたもので、間接感染と同時に直接感染を防止するとともに、対策済み端末のデータベースと連動することにより、必要な端末からのデータ、つまり未対策端末からのデータのみ感染チェックを行うことにより、センタでの感染チェック負荷を減らし、システム全体の効率を向上することを目的とする。   The present invention has been made to solve the above-mentioned problems. In addition to preventing direct infection simultaneously with indirect infection, the present invention is linked with a database of terminals that have already been treated, so that data from necessary terminals, i.e., The purpose is to reduce the infection check load at the center and improve the efficiency of the entire system by performing infection checks only on data from countermeasure terminals.

本発明に係る被害拡散防止システムは、
ローカル空間で端末と接続しているパケット転送装置と、グローバル空間で当該パケット転送装置と接続しているパケット収集分析装置とからなる被害拡散防止システムであって、
パケット転送装置は、
(1)端末からパケットを受信するローカル側パケット受信部と、
(2)受信したパケットの送信元の端末が、セキュリティ対策済みであるかを判定する端末対策判定部と、
(3)送信元の端末がセキュリティ対策済みでない場合に、当該パケットをパケット収集分析装置宛てにエンカプセルするエンカプセル部と、
(4)エンカプセルしたパケットをグローバル空間へ送出するグローバル側パケット送信部とを有し、
パケット収集分析装置は、
(5)グローバル空間からパケットを受信するパケット受信部と、
(6)受信したパケットをデカプセルして、オリジナルのパケットを得るデカプセル部と、
(7)オリジナルのパケットが安全であるかを判定するパケット分析機能部と、
(8)安全であるオリジナルのパケットを、送信元であったパケット転送装置宛てにエンカプセルするエンカプセル部と、
(9)エンカプセルしたパケットをグローバル空間へ送出するパケット送信部とを有し、
パケット転送装置は、
(10)グローバル空間からパケットを受信するグローバル側パケット受信部と、
(11)受信したパケットをデカプセルして、オリジナルのパケットを得るデカプセル部と、
(12)オリジナルのパケットを、オリジナルの送信先へ送信するローカル側パケット送信部とを有することを特徴する。 The damage diffusion prevention system according to the present invention is
A damage diffusion prevention system comprising a packet transfer device connected to a terminal in a local space and a packet collection and analysis device connected to the packet transfer device in a global space,
The packet transfer device
(1) a local-side packet receiver that receives packets from a terminal;
(2) a terminal countermeasure determining unit that determines whether the terminal of the transmission source of the received packet has already undergone security countermeasures;
(3) an encapsulating unit for encapsulating the packet to the packet collection and analysis device when the terminal of the transmission source has not been subjected to security measures;
(4) having a global-side packet transmitter for sending the encapsulated packet to the global space,
Packet collection and analysis equipment
(5) a packet receiver that receives packets from the global space;
(6) a decapsulation unit that decapsulates the received packet to obtain an original packet;
(7) a packet analysis function unit that determines whether the original packet is safe;
(8) an encapsulating unit that encapsulates a safe original packet to a packet transfer device that is a transmission source;
(9) a packet transmission unit that transmits the encapsulated packet to the global space;
The packet transfer device
(10) a global-side packet receiver that receives packets from the global space;
(11) A decapsulation unit that decapsulates a received packet to obtain an original packet;
(12) A local-side packet transmission unit that transmits an original packet to an original transmission destination.

本発明においては、グローバルアドレス空間のサーバを介したウィルス被害の拡大を防止するとともに、ローカルアドレス空間内に閉じた企業内直接感染の防止も可能となる。   According to the present invention, it is possible to prevent the spread of virus damage through a server in the global address space and to prevent direct infection within a company closed in the local address space.

実施の形態1.
以下本発明を図面に示す実施例に基づいて説明する。図1は、本発明のシステム構成図である。通常の企業網は、インターネットなど広域網4に接続された複数の企業ネットワーク5とネットワーク管理センタとで構成される。ネットワーク管理センタは、例えば、本社のような企業ネットワーク5の一部に置かれるケースもある。また、規模によっては、各企業ネットワーク5内にネットワーク管理センタが設置されるようなケースも考えられる。 Embodiment 1 FIG.
Hereinafter, the present invention will be described based on embodiments shown in the drawings. FIG. 1 is a system configuration diagram of the present invention. A typical corporate network is composed of a plurality of corporate networks 5 connected to a wide area network 4 such as the Internet and a network management center. The network management center may be placed in a part of the corporate network 5 such as the head office. Depending on the scale, a network management center may be installed in each company network 5.

本発明は、企業ネットワーク5に置かれたパケット転送装置2とネットワーク管理センタに置かれたパケット収集分析装置3によって実現される。パケット転送装置2は、企業ネットワーク5のローカルセグメントごとに設置される。ローカルセグメントとは、比較的少数の端末1のグループであり、企業の組織を例にとると、部単位、課単位、係単位などとなる。ローカルセグメントは、万一、感染被害が発生した場合の隔離単位でもあるため、なるべく、細かい単位にしておいた方が、感染被害は少なくなる。   The present invention is realized by the packet transfer device 2 placed in the corporate network 5 and the packet collection / analysis device 3 placed in the network management center. The packet transfer apparatus 2 is installed for each local segment of the corporate network 5. A local segment is a group of a relatively small number of terminals 1. When a company organization is taken as an example, a local segment is a department unit, a section unit, a staff unit, or the like. The local segment is also a unit of isolation in the event of infection damage, so infection damage will be less if it is made as small as possible.

なお、企業ネットワーク5のセキュリティ管理は、本発明のシステム以外にもフィアウォール、IDS(侵入検知システム)、アップデート監視システム(社内の端末のソフトウェアやウィルス監視プログラムが最新版にアップデートされているかを管理するシステム)など様々なシステムが必要に応じて運用されているのが一般的である。   In addition to the system of the present invention, the security management of the corporate network 5 manages the firewall, IDS (intrusion detection system), update monitoring system (whether in-house terminal software and virus monitoring programs are updated to the latest version) In general, various systems are operated as necessary.

図2は、パケット転送装置の内部ブロック構成図である。パケット精査機能部21は、ローカルセグメントから受信したパケットをパケット収集分析装置3に転送するかどうかを精査する機能である。精査は、受信パケットを対策済み端末リストと照合することによって実施する。なお、本機能の目的は、パケット収集分析装置3にパケットを転送するかどうかの決定と共に、なるべくパケット収集分析装置3へ無駄なパケットを転送しないという目的があるため、対策済み端末リストの内容は、その時の脅威によって照合箇所が変わってくる。例えば、OSに基本的な欠陥があるような場合では、そのOSを使用する端末1を特定するための情報(送信元IPアドレス)と照合し、あるプロトコルに欠陥があるような場合は、送信元IPアドレスとそのパケットのプロトコルと照合を行う。基本的には、詳細な照合を行えば行うほどパケット収集分析装置3へ転送するパケットの数は減る。   FIG. 2 is an internal block configuration diagram of the packet transfer apparatus. The packet scrutinizing function unit 21 is a function for scrutinizing whether or not the packet received from the local segment is transferred to the packet collection / analysis device 3. The scrutiny is carried out by checking the received packet against the list of countermeasured terminals. The purpose of this function is to determine whether or not to transfer a packet to the packet collection and analysis device 3 and to avoid transferring a useless packet to the packet collection and analysis device 3 as much as possible. The collation location changes depending on the threat at that time. For example, in the case where the OS has a basic defect, the information (source IP address) for identifying the terminal 1 that uses the OS is collated. The original IP address is checked against the protocol of the packet. Basically, the more detailed matching is performed, the smaller the number of packets transferred to the packet collection and analysis apparatus 3.

パケット転送機能部23は、後述するパケット収集分析装置3へパケットを転送するための機能を有し、パケット収集分析装置3のパケット転送機能部31とペアで動作する機能を有する。パケット精査機能部21により、パケット収集分析装置3へ転送されることが決定したパケットは、パケット転送機能部23において、エンカプセル処理が施される。エンカプセル処理前後のパケットフォーマットを図4に示す。図4は、簡略化のため、IPヘッダを構成するパラメータのうち、本発明に関連する部分のみ記述してある。   The packet transfer function unit 23 has a function for transferring a packet to the packet collection analysis device 3 described later, and has a function of operating in a pair with the packet transfer function unit 31 of the packet collection analysis device 3. The packet that has been determined to be transferred to the packet collection and analysis device 3 by the packet scrutinizing function unit 21 is subjected to encapsulation processing in the packet transfer function unit 23. The packet format before and after the encapsulating process is shown in FIG. For the sake of simplicity, FIG. 4 shows only the part related to the present invention among the parameters constituting the IP header.

図3は、パケット収集分析装置の内部ブロック構成図である。パケット転送機能部31は、前述のパケット転送装置2のパケット転送機能部23のペアとなる機能で、転送されてきたパケットのデカプセル処理、および安全と判断され、パケット転送装置2へ再転送(送り返される)されるパケットのエンカプセル処理を実施する。パケット分析機能部32は、パケット転送装置2より転送されてきたパケットのオリジナルデータの分析を行う機能を有し、この分析によって安全であると判断されたパケットは、パケット転送機能部31を介して、パケット転送装置2へ返信される。   FIG. 3 is an internal block diagram of the packet collection / analysis apparatus. The packet transfer function unit 31 is a function that forms a pair with the packet transfer function unit 23 of the packet transfer device 2 described above. The packet transfer function unit 31 is determined to be decapsulated and safe for the transferred packet, and retransmitted (sent back) to the packet transfer device 2. Encapsulation processing of a packet to be performed is performed. The packet analysis function unit 32 has a function of analyzing original data of a packet transferred from the packet transfer device 2, and a packet determined to be safe by this analysis is sent via the packet transfer function unit 31. Is returned to the packet transfer apparatus 2.

対策済み端末データベース部34は、あるインシデントに対して、対策済みである端末1のデータベースである。例えば、OSの最新パッチがインストール済みである端末1のデータベースなどが該当し、このデータベースの情報は、アップデート用のサーバなどから入手するものである。企業内の端末1は、パッチ配布から一定期間経過後は、一般に最新パッチがインストールされているため、本データベースに登録されることになる。逆に、発生直後のインシデントで、対策用のパッチプログラムの配布が行われていない場合は、対策済み端末1のデータベースの登録数は0となる。また、社内へ持ち込んだ個人PCなどは、このデータベースに登録されていないことから割り出しが可能となる。   The countermeasure-completed terminal database unit 34 is a database of the terminal 1 that has been countermeasured against a certain incident. For example, this corresponds to the database of the terminal 1 in which the latest OS patch has been installed, and this database information is obtained from an update server or the like. The terminal 1 in the company is registered in this database since the latest patch is generally installed after a certain period of time has elapsed since patch distribution. On the other hand, if the countermeasure patch program is not distributed in the incident immediately after the occurrence, the number of registered database of the countermeasured terminal 1 is zero. Further, since personal PCs brought into the company are not registered in this database, they can be determined.

パケット転送装置管理機能部33は、パケット転送装置2の動作を管理する機能を有し、前述した対策済み端末データベース部34の最新情報をパケット転送装置2へ通知する役割を持っている。本機能からの通知によって、パケット転送装置2の対策済み端末リストが更新され、分析の必要なパケットのみ、パケット収集分析装置3へ転送される動作が実現する。   The packet transfer device management function unit 33 has a function of managing the operation of the packet transfer device 2 and has a role of notifying the packet transfer device 2 of the latest information of the countermeasured terminal database unit 34 described above. By the notification from this function, the countermeasured terminal list of the packet transfer apparatus 2 is updated, and the operation of transferring only the packets that need to be analyzed to the packet collection and analysis apparatus 3 is realized.

実施の形態2.
図を用いて、新たなインシデントが発生した場合のシステムの動作を説明する。図5は、インターネットを介して構成された企業ネットワーク5の例で、企業ネットワーク5内部は、ローカルアドレスが使用されており、インターネットとの接続点においてNAT(ローカルアドレスからグローバルアドレスへの変換)が行われているものとする。よって、端末A〜Dおよびパケット転送装置E、サーバSは企業内ネットワークのローカルアドレスA〜D、E、Sを持ち、パケット収集分析装置3は、グローバルアドレスαを持っている。また、端末A〜Dのうち、D以外の端末はインシデントに対する最新のパッチがあたっているので、パケット転送装置Eの対策済み端末リストに登録されている。 Embodiment 2. FIG.
The operation of the system when a new incident occurs will be described using the figure. FIG. 5 shows an example of a corporate network 5 configured via the Internet. A local address is used in the corporate network 5 and NAT (conversion from a local address to a global address) is performed at a connection point with the Internet. Suppose that it is done. Accordingly, the terminals A to D, the packet transfer device E, and the server S have local addresses A to D, E, and S of the corporate network, and the packet collection and analysis device 3 has a global address α. Further, among terminals A to D, terminals other than D have the latest patch for the incident, and are registered in the countermeasured terminal list of the packet transfer apparatus E.

ここで、端末DからサーバSへの通信を例にとって動作を説明する。図6は、パケット精査による転送処理に係る詳細な構成図である。図7は、パケット精査による転送処理フローを示す図である。   Here, the operation will be described taking communication from the terminal D to the server S as an example. FIG. 6 is a detailed configuration diagram relating to transfer processing by packet inspection. FIG. 7 is a diagram showing a transfer processing flow by packet scrutiny.

パケット転送装置Eのローカル側パケット受信部61でローカル側からパケットを受信すると(S701)、端末対策判定部62で対策済み端末リストと比較する(S702)。端末Dは、端末リストに登録されていないため、パケット転送装置Eのパケット転送機能部23のエンカプセル部64でエンカプセルされ(S704)、グローバル側パケット送信部65よりパケット収集分析装置3へ転送される(S705)。このときのパケットフォーマットは、図8の通りである。   When the local packet receiving unit 61 of the packet transfer apparatus E receives a packet from the local side (S701), the terminal countermeasure determining unit 62 compares the packet with the countermeasure-completed terminal list (S702). Since the terminal D is not registered in the terminal list, it is encapsulated by the encapsulating unit 64 of the packet transfer function unit 23 of the packet transfer device E (S704), and transferred from the global packet transmission unit 65 to the packet collection and analysis device 3 (S705). The packet format at this time is as shown in FIG.

パケット転送装置Eから送信された図8のパケットは、インターネット接続点でエンカプセルヘッダ内のローカルアドレスEをグローバルアドレスGに変換された後、パケット収集分析装置3へ転送される。パケット収集分析装置3の受信するパケットフォーマットを図9に示す。   The packet of FIG. 8 transmitted from the packet transfer device E is transferred to the packet collection and analysis device 3 after the local address E in the encapsulation header is converted to the global address G at the Internet connection point. A packet format received by the packet collection and analysis apparatus 3 is shown in FIG.

図10は、パケット収集分析装置の詳細な構成図である。図11は、パケット収集分析装置の処理フローを示す図である。パケット受信部101で、エンカプセルパケットを受信したパケット収集分析装置3では、デカプセル部102でパケットをデカプセルし(S1102)、パケット分析機能部32でオリジナルパケットのデータを分析する(S1103)。分析結果が危険であった場合には、パケットを廃棄し(S1106)、安全であった場合には、エンカプセル部103でエンカプセル処理を実施し(S1104)、パケット送信部104よりパケット転送装置Eへパケットを返信する(S1105)。この時のパケットフォーマットを図12に示す。   FIG. 10 is a detailed configuration diagram of the packet collection and analysis apparatus. FIG. 11 is a diagram showing a processing flow of the packet collection and analysis apparatus. In the packet collection and analysis apparatus 3 that has received the encapsulated packet by the packet receiving unit 101, the packet is decapsulated by the decapsulating unit 102 (S1102), and the data of the original packet is analyzed by the packet analyzing function unit 32 (S1103). If the analysis result is dangerous, the packet is discarded (S1106). If the analysis result is safe, the encapsulation unit 103 performs encapsulation processing (S1104), and the packet transmission unit 104 sends a packet transfer device. A packet is returned to E (S1105). The packet format at this time is shown in FIG.

パケット分析収集装置からのエンカプセルパケットは、インタネット接続点でNATにより、あて先であるパケット転送装置EのグローバルアドレスGをローカルアドレスEに変換された後、パケット転送装置Eに到着する。   The encapsulated packet from the packet analysis / collection apparatus arrives at the packet transfer apparatus E after the global address G of the destination packet transfer apparatus E is converted to the local address E by NAT at the Internet connection point.

図13は、安全なパケットの転送処理に関する構成を示す図である。図14は、安全なパケットの転送処理フローを示す図である。グローバル側パケット受信部131によりグローバル側からパケットを受信したパケット転送装置Eは、デカプセル部132でパケットをデカプセルし(S1402)、ローカル側パケット送信部133よりサーバS側のポートに送信する(S1403)。このとき、パケット転送装置からサーバSに送信されるパケットは、図15に示すように、最初に端末Dからパケット転送装置が受信したパケットと同じものとなる。なお、図8、図9、図12、及び図15のパケットフォーマットは、本発明に関係する部分のみ記述してあり、例えば、MACヘッダなどは省略している。   FIG. 13 is a diagram illustrating a configuration related to secure packet transfer processing. FIG. 14 is a diagram showing a safe packet transfer processing flow. The packet transfer apparatus E that has received the packet from the global side by the global side packet receiving unit 131 decapsulates the packet by the decapsulation unit 132 (S1402), and transmits the packet from the local side packet transmission unit 133 to the port on the server S side (S1403). . At this time, the packet transmitted from the packet transfer apparatus to the server S is the same as the packet first received by the packet transfer apparatus from the terminal D as shown in FIG. 8, 9, 12, and 15 only describe portions related to the present invention, and, for example, the MAC header is omitted.

パケット収集分析装置3からのパケットを、一度パケット転送装置へ戻すことにより、ローカルアドレス空間内の直接感染の疑いのあるパケットについても安全性を確認した上で、転送することが可能となる。   By returning the packet from the packet collection / analysis device 3 to the packet transfer device once, it is possible to transfer the packet that is suspected of being directly infected in the local address space after confirming the safety.

なお、本シーケンスは、パケット転送装置の対策済み端末リストに登録されていない端末1全てに適用されるため、対策済み端末リストの内容を変化させることにより、自宅からの持込PC(社内PCを対策済み端末リストに登録)や、修正プログラムのリリースされていない攻撃(対策済み端末リストの登録を全てなくし、全通の安全性をパケット収集分析装置3で検査する)にも容易に対応可能となる。   Since this sequence is applied to all the terminals 1 that are not registered in the countermeasure terminal list of the packet transfer apparatus, by changing the contents of the countermeasure terminal list, a personal computer (in-house PC) It is possible to easily deal with attacks that have not been released with a fix program and attacks that have not been released with a modified program (all registered device lists are removed and all safety is checked by the packet collection analyzer 3). Become.

実施の形態3.
パケット収集分析装置で、分析結果が危険であった場合に、警告パケットを返信することも有効である。図16は、実施の形態3に係るパケット収集分析装置の構成図である。図17は、実施の形態3に係るパケット収集分析装置の処理フローを示す図である。 Embodiment 3 FIG.
It is also effective to return a warning packet when the analysis result is dangerous in the packet collection and analysis device. FIG. 16 is a configuration diagram of a packet collection and analysis apparatus according to the third embodiment. FIG. 17 is a diagram illustrating a processing flow of the packet collection and analysis apparatus according to the third embodiment.

図に示すように、パケット分析機能部32で危険と判断した場合に(S1703)、警告パケットを生成し(S1706)、エンカプセルし(S1704)、パケット転送装置へ返信する(S1705)。   As shown in the figure, when the packet analysis function unit 32 determines that there is a danger (S1703), a warning packet is generated (S1706), encapsulated (S1704), and returned to the packet transfer apparatus (S1705).

このように動作することにより、パケット転送装置側で、転送したパケットが危険であったことを認識することができる。   By operating in this way, the packet transfer apparatus can recognize that the transferred packet is dangerous.

尚、パケット転送装置及びパケット収集分析装置は、コンピュータであり、各要素はプログラムにより処理を実行することができる。また、プログラムを記憶媒体に記憶させ、記憶媒体からコンピュータに読み取られるようにすることができる。   The packet transfer device and the packet collection / analysis device are computers, and each element can execute processing by a program. Further, the program can be stored in a storage medium so that the computer can read the program from the storage medium.

図18は、パケット転送装置及びパケット収集分析装置装置のハードウエア構成例を示す図である。バスに、演算装置1801、データ記憶装置1802、メモリ1803、通信インターフェース1804が接続されている。データ記憶装置1802は、例えばROM(Read Only Memory)やハードディスクである。メモリ1803は、通常RAM(Random Access Memory)である。   FIG. 18 is a diagram illustrating a hardware configuration example of the packet transfer device and the packet collection and analysis device. An arithmetic device 1801, a data storage device 1802, a memory 1803, and a communication interface 1804 are connected to the bus. The data storage device 1802 is, for example, a ROM (Read Only Memory) or a hard disk. The memory 1803 is a normal RAM (Random Access Memory).

プログラムは、通常データ記憶装置1802に記憶されており、メモリ1803にロードされた状態で、順次演算装置1801に読み込まれ処理を行う。   The program is normally stored in the data storage device 1802, and is loaded in the memory 1803 and sequentially read into the arithmetic device 1801 for processing.

本発明のシステム構成図である。It is a system configuration diagram of the present invention. パケット転送装置の内部ブロック構成図である。It is an internal block block diagram of a packet transfer apparatus. パケット収集分析装置の内部ブロック構成図である。It is an internal block block diagram of a packet collection analyzer. エンカプセル処理前後のパケットフォーマットを示す図である。It is a figure which shows the packet format before and behind an encapsulating process. インターネットを介して構成された企業ネットワークの例を示す図である。It is a figure which shows the example of the corporate network comprised via the internet. パケット精査による転送処理に係る詳細な構成図である。It is a detailed block diagram which concerns on the transfer process by packet examination. パケット精査による転送処理フローを示す図である。It is a figure which shows the transfer processing flow by packet examination. パケット収集分析装置へ転送されるパケットフォーマットを示す図である。It is a figure which shows the packet format transferred to a packet collection analyzer. パケット収集分析装置で受信するパケットフォーマットを示す図である。It is a figure which shows the packet format received with a packet collection analyzer. パケット収集分析装置の詳細な構成図である。It is a detailed block diagram of a packet collection analyzer. パケット収集分析装置の処理フローを示す図である。It is a figure which shows the processing flow of a packet collection analyzer. パケット転送装置へ返信するパケットフォーマットを示す図である。It is a figure which shows the packet format returned to a packet transfer apparatus. 安全なパケットの転送処理に関する構成を示す図である。It is a figure which shows the structure regarding the transfer process of a safe packet. 安全なパケットの転送処理フローを示す図である。It is a figure which shows the transfer processing flow of a safe packet. サーバSに送信されるパケットフォーマットを示す図である。It is a figure which shows the packet format transmitted to the server. 実施の形態3に係るパケット収集分析装置の構成図である。FIG. 10 is a configuration diagram of a packet collection and analysis apparatus according to a third embodiment. 実施の形態3に係るパケット収集分析装置の処理フローを示す図である。FIG. 10 is a diagram showing a processing flow of the packet collection and analysis apparatus according to the third embodiment. パケット転送装置及びパケット収集分析装置装置のハードウエア構成例を示す図である。It is a figure which shows the hardware structural example of a packet transfer apparatus and a packet collection analyzer apparatus.

符号の説明Explanation of symbols

1 端末、2 パケット転送装置、3 パケット収集分析装置、4 広域網、5 企業ネットワーク、21 パケット精査機能部、22 対策済み端末リスト記憶部、23 パケット転送機能部、31 パケット転送機能部、32 パケット分析機能部、33 パケット転送装置管理機能部、34 対策済み端末データベース部、61 ローカル側パケット受信部、62 端末対策判定部、63 ローカル側パケット送信部、64 エンカプセル部、65 グローバル側パケット送信部、101 パケット受信部、102 デカプセル部、103 エンカプセル部、104 パケット送信部、131 グローバル側パケット受信部、132 デカプセル部、133 ローカル側パケット送信部。   1 terminal, 2 packet transfer device, 3 packet collection and analysis device, 4 wide area network, 5 corporate network, 21 packet inspection function unit, 22 countermeasured terminal list storage unit, 23 packet transfer function unit, 31 packet transfer function unit, 32 packets Analysis function unit, 33 Packet transfer device management function unit, 34 Countermeasured terminal database unit, 61 Local packet reception unit, 62 Terminal countermeasure determination unit, 63 Local packet transmission unit, 64 Encapsulation unit, 65 Global packet transmission unit 101 packet receiving unit, 102 decapsulating unit, 103 encapsulating unit, 104 packet transmitting unit, 131 global side packet receiving unit, 132 decapsulating unit, 133 local side packet transmitting unit.

Claims (7)

ローカル空間で端末と接続しているパケット転送装置と、グローバル空間で当該パケット転送装置と接続しているパケット収集分析装置とからなる被害拡散防止システムであって、
パケット転送装置は、
(1)端末からパケットを受信するローカル側パケット受信部と、
(2)受信したパケットの送信元の端末が、セキュリティ対策済みであるかを判定する端末対策判定部と、
(3)送信元の端末がセキュリティ対策済みでない場合に、当該パケットをパケット収集分析装置宛てにエンカプセルするエンカプセル部と、
(4)エンカプセルしたパケットをグローバル空間へ送出するグローバル側パケット送信部とを有し、
パケット収集分析装置は、
(5)グローバル空間からパケットを受信するパケット受信部と、
(6)受信したパケットをデカプセルして、オリジナルのパケットを得るデカプセル部と、
(7)オリジナルのパケットが安全であるかを判定するパケット分析機能部と、
(8)安全であるオリジナルのパケットを、送信元であったパケット転送装置宛てにエンカプセルするエンカプセル部と、
(9)エンカプセルしたパケットをグローバル空間へ送出するパケット送信部とを有し、
パケット転送装置は、
(10)グローバル空間からパケットを受信するグローバル側パケット受信部と、
(11)受信したパケットをデカプセルして、オリジナルのパケットを得るデカプセル部と、
(12)オリジナルのパケットを、オリジナルの送信先へ送信するローカル側パケット送信部とを有することを特徴する被害拡散防止システム。 A damage diffusion prevention system comprising a packet transfer device connected to a terminal in a local space and a packet collection and analysis device connected to the packet transfer device in a global space,
The packet transfer device
(1) a local-side packet receiver that receives packets from a terminal;
(2) a terminal countermeasure determining unit that determines whether the terminal of the transmission source of the received packet has already undergone security countermeasures;
(3) an encapsulating unit for encapsulating the packet to the packet collection and analysis device when the terminal of the transmission source has not been subjected to security measures;
(4) having a global-side packet transmitter for sending the encapsulated packet to the global space,
Packet collection and analysis equipment
(5) a packet receiver that receives packets from the global space;
(6) a decapsulation unit that decapsulates the received packet to obtain an original packet;
(7) a packet analysis function unit that determines whether the original packet is safe;
(8) an encapsulating unit that encapsulates a safe original packet to a packet transfer device that is a transmission source;
(9) a packet transmission unit that transmits the encapsulated packet to the global space;
The packet transfer device
(10) a global-side packet receiver that receives packets from the global space;
(11) A decapsulation unit that decapsulates a received packet to obtain an original packet;
(12) A damage diffusion prevention system comprising: a local-side packet transmission unit that transmits an original packet to an original transmission destination. パケット分析機能部は、オリジナルのパケットが安全でない場合に、当該パケットを廃棄することを特徴とする請求項1記載の被害拡散防止システム。   The damage diffusion prevention system according to claim 1, wherein the packet analysis function unit discards the original packet when the original packet is not secure. パケット分析機能部は、オリジナルのパケットが安全でない場合に、オリジナルのパケットが安全でない旨を伝える警告パケットを生成し、
エンカプセル部は、警告パケットを、送信元のパケット転送装置宛てにエンカプセルし、
パケット送信部は、エンカプセルしたパケットをグローバル空間へ送出することを特徴とする請求項1記載の被害拡散防止システム。 The packet analysis function unit generates a warning packet notifying that the original packet is not safe when the original packet is not safe,
The encapsulating unit encapsulates the warning packet to the source packet transfer device,
2. The damage diffusion prevention system according to claim 1, wherein the packet transmission unit transmits the encapsulated packet to the global space. ローカル空間で端末と接続し、グローバル空間でパケット収集分析装置と接続するパケット転送装置であって、以下の要素を有することを特徴とするパケット転送装置
(1)端末からパケットを受信するローカル側パケット受信部
(2)受信したパケットの送信元の端末が、セキュリティ対策済みであるかを判定する端末対策判定部
(3)送信元の端末がセキュリティ対策済みでない場合に、当該パケットをパケット収集分析装置宛てにエンカプセルするエンカプセル部
(4)エンカプセルしたパケットをグローバル空間へ送出するグローバル側パケット送信部
(5)グローバル空間からパケットを受信するグローバル側パケット受信部
(6)受信したパケットをデカプセルして、オリジナルのパケットを得るデカプセル部
(7)オリジナルのパケットを、オリジナルの送信先へ送信するローカル側パケット送信部。 A packet transfer apparatus that is connected to a terminal in a local space and is connected to a packet collection and analysis apparatus in a global space, the packet transfer apparatus having the following elements: (1) a local side packet that receives a packet from a terminal (2) A terminal countermeasure determining unit that determines whether the terminal of the transmission source of the received packet has already undergone security countermeasures. (3) If the terminal of the transmission source has not undergone security countermeasures, the packet collecting and analyzing apparatus Encapsulation part for encapsulating to address (4) Global side packet transmission part for sending encapsulated packet to global space (5) Global side packet reception part for receiving packet from global space (6) Decapsulating received packet Decapsulation part to obtain original packet (7) Original Local side packet transmitter for transmitting packet, to the original destination. グローバル空間でパケット転送装置と接続しているパケット収集分析装置であって、以下の要素を有することを特徴とするパケット収集分析装置
(1)グローバル空間からパケットを受信するパケット受信部
(2)受信したパケットをデカプセルして、オリジナルのパケットを得るデカプセル部
(3)オリジナルのパケットが安全であるかを判定するパケット分析機能部
(4)安全であるオリジナルのパケットを、送信元であったパケット転送装置宛てにエンカプセルするエンカプセル部
(5)エンカプセルしたパケットをグローバル空間へ送出するパケット送信部。 A packet collection and analysis device connected to a packet transfer device in the global space, and having the following elements: (1) a packet reception unit for receiving packets from the global space (2) reception Decapsulation part that decapsulates the original packet and obtains the original packet (3) Packet analysis function part that determines whether the original packet is safe (4) Packet transfer that was the source of the safe original packet Encapsulation part for encapsulating to the device (5) A packet transmission part for sending the encapsulated packet to the global space. ローカル空間で端末と接続し、グローバル空間でパケット収集分析装置と接続するパケット転送装置となるコンピュータに、以下の手順を実行させるためのプログラム
(1)端末からパケットを受信する手順
(2)受信したパケットの送信元の端末が、セキュリティ対策済みであるかを判定する手順
(3)送信元の端末がセキュリティ対策済みでない場合に、当該パケットをパケット収集分析装置宛てにエンカプセルする手順
(4)エンカプセルしたパケットをグローバル空間へ送出する手順
(5)グローバル空間からパケットを受信する手順
(6)受信したパケットをデカプセルして、オリジナルのパケットを得る手順
(7)オリジナルのパケットを、オリジナルの送信先へ送信する手順。 A program for causing a computer to be a packet transfer device connected to a terminal in a local space and connected to a packet collection and analysis device in a global space to execute the following procedure (1) A procedure for receiving a packet from a terminal (2) received Procedure for determining whether the terminal of the packet transmission source has been subjected to security measures (3) Procedure for encapsulating the packet to the packet collection / analysis device when the terminal of the transmission source has not been subjected to security measures (4) Procedure to send encapsulated packet to global space (5) Procedure to receive packet from global space (6) Procedure to decapsulate received packet to obtain original packet (7) Original packet to original destination To send to. グローバル空間でパケット転送装置と接続しているパケット収集分析装置なるコンピュータに、以下の手順を実行させるためのプログラム
(1)グローバル空間からパケットを受信する手順
(2)受信したパケットをデカプセルして、オリジナルのパケットを得る手順
(3)オリジナルのパケットが安全であるかを判定する手順
(4)安全であるオリジナルのパケットを、送信元であったパケット転送装置宛てにエンカプセルする手順
(5)エンカプセルしたパケットをグローバル空間へ送出する手順。 A program for causing a computer that is a packet collection and analysis device connected to a packet transfer device in the global space to execute the following procedure (1) a procedure for receiving a packet from the global space (2) decapsulating the received packet, Procedure for obtaining the original packet (3) Procedure for determining whether the original packet is safe (4) Procedure for encapsulating the original packet that is safe to the packet transfer apparatus that was the source (5) Procedure to send encapsulated packet to global space.
JP2004178419A 2004-06-16 2004-06-16 Damage prevention system, packet transfer apparatus, packet collection and analysis apparatus, and program Expired - Fee Related JP4319585B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004178419A JP4319585B2 (en) 2004-06-16 2004-06-16 Damage prevention system, packet transfer apparatus, packet collection and analysis apparatus, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004178419A JP4319585B2 (en) 2004-06-16 2004-06-16 Damage prevention system, packet transfer apparatus, packet collection and analysis apparatus, and program

Publications (2)

Publication Number Publication Date
JP2006005555A true JP2006005555A (en) 2006-01-05
JP4319585B2 JP4319585B2 (en) 2009-08-26

Family

ID=35773581

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004178419A Expired - Fee Related JP4319585B2 (en) 2004-06-16 2004-06-16 Damage prevention system, packet transfer apparatus, packet collection and analysis apparatus, and program

Country Status (1)

Country Link
JP (1) JP4319585B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017537560A (en) * 2014-12-11 2017-12-14 ビットディフェンダー アイピーアール マネジメント リミテッド System and method for securing network endpoints
JP2020028068A (en) * 2018-08-15 2020-02-20 日本電信電話株式会社 Communication system and communication method

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017537560A (en) * 2014-12-11 2017-12-14 ビットディフェンダー アイピーアール マネジメント リミテッド System and method for securing network endpoints
JP2020039166A (en) * 2014-12-11 2020-03-12 ビットディフェンダー アイピーアール マネジメント リミテッド System and method for securing network endpoint
JP2020028068A (en) * 2018-08-15 2020-02-20 日本電信電話株式会社 Communication system and communication method
JP7063185B2 (en) 2018-08-15 2022-05-09 日本電信電話株式会社 Communication system and communication method
US11805098B2 (en) 2018-08-15 2023-10-31 Nippon Telegraph And Telephone Corporation Communication system and communication method

Also Published As

Publication number Publication date
JP4319585B2 (en) 2009-08-26

Similar Documents

Publication Publication Date Title
CN110445770B (en) Network attack source positioning and protecting method, electronic equipment and computer storage medium
US7725936B2 (en) Host-based network intrusion detection systems
EP1817685B1 (en) Intrusion detection in a data center environment
CN101116068B (en) Intrusion detection in a data center environment
US7564837B2 (en) Recording medium recording a network shutdown control program, and network shutdown device
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
US7475420B1 (en) Detecting network proxies through observation of symmetric relationships
CA2940644A1 (en) System and method for verifying and detecting malware
US7333430B2 (en) Systems and methods for passing network traffic data
US20210409446A1 (en) Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file
EP1754348B1 (en) Using address ranges to detect malicious activity
CN116055214A (en) Attack detection method, device, equipment and readable storage medium
JP3495030B2 (en) Intrusion data countermeasure processing device, intrusion data countermeasure processing method, and intrusion data countermeasure processing system
JP4319585B2 (en) Damage prevention system, packet transfer apparatus, packet collection and analysis apparatus, and program
CN114172881B (en) Network security verification method, device and system based on prediction
KR101003094B1 (en) Cyber attack traceback system by using spy-bot agent, and method thereof
JP5267893B2 (en) Network monitoring system, network monitoring method, and network monitoring program
JP2008011008A (en) Unauthorized access prevention system
JP4753264B2 (en) Method, apparatus, and computer program for detecting network attacks (network attack detection)
US8660143B2 (en) Data packet interception system
US11451584B2 (en) Detecting a remote exploitation attack
CN109684831B (en) Method and device for detecting computer network virus
WO2021181391A1 (en) System and method for finding, tracking, and capturing a cyber-attacker
Yousif et al. A Proposed Firewall For Viruses

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070406

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090520

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090526

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090528

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120605

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees