JP2006033472A - Unauthorized access detecting device - Google Patents

Unauthorized access detecting device Download PDF

Info

Publication number
JP2006033472A
JP2006033472A JP2004210127A JP2004210127A JP2006033472A JP 2006033472 A JP2006033472 A JP 2006033472A JP 2004210127 A JP2004210127 A JP 2004210127A JP 2004210127 A JP2004210127 A JP 2004210127A JP 2006033472 A JP2006033472 A JP 2006033472A
Authority
JP
Japan
Prior art keywords
packet
unauthorized access
tcp
transmission
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004210127A
Other languages
Japanese (ja)
Inventor
Keisuke Takemori
敬祐 竹森
Akira Watanabe
晃 渡邊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2004210127A priority Critical patent/JP2006033472A/en
Publication of JP2006033472A publication Critical patent/JP2006033472A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an unauthorized access detecting device capable of detecting even a step attack or a new kind of virus or an unknown virus. <P>SOLUTION: In the unauthorized access detecting device 1, a TCP PUSH packet (reception) extracting part 402 extracts a TCP PUSH packet Pin which has a destination IP of a host computer and where a PUSH flag is set. A TCP PUSH packet (transmission) extracting part 403 extracts a TCP PUSH packet Pout, having a transmission source IP of the host computer. An unauthorized access detection part 404 refers to the TCP PUSH packets extracted by the extraction parts 402 and 403 and decides that transmission and reception of the TCP PUSH packets are unauthorized access, when TCP PUSH packets whose at least data between destination port numbers and data match each other are sent and received within a specified time. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、コンピュータへの不正なアクセスを検知する不正アクセス検知装置に係り、特に、踏み台攻撃や新種あるいは未知のコンピュータウィルスの侵入検知に好適な不正アクセス検知装置に関する。   The present invention relates to an unauthorized access detection device that detects unauthorized access to a computer, and more particularly to an unauthorized access detection device suitable for detecting a step attack or intrusion of a new or unknown computer virus.

侵入者が身元を隠すためにセキュリティ対策の甘いコンピュータへ不正侵入し、このコンピュータから別のコンピュータに侵入する踏み台攻撃が知られている。図15は、踏み台攻撃の一例を模式的に表現した図であり、踏み台にされたホストコンピュータは被害者であるにもかかわらず不正攻撃の共犯者となり得る。このような問題は上記した踏み台攻撃に限らず、コンピュータウィルス(以下、ウィルスと表現する)に感染した場合も同様に起こり得る。   A stepping attack is known in which an intruder illegally intrudes into a computer with poor security measures in order to conceal his identity, and then enters another computer from this computer. FIG. 15 is a diagram schematically showing an example of a step attack, and a host computer that has been used as a step can be an accomplice of a fraud attack despite being a victim. Such a problem is not limited to the above-described step attack, but can also occur when a computer virus (hereinafter referred to as a virus) is infected.

ウィルスに関しては、ファイアウォールやIDS(Intrusion Detection System=不正侵入検知システム)を利用して侵入を防止する技術が知られている。しかしながら、新種のウィルスに関しては、IDSの検知パターンが作成されるまでは検知できない。踏み台攻撃では、悪意の第三者が正規のパスワードを不正に入手してコンピュータへ侵入するために、パスワードを厳重に管理する以外には有効な防止策がなかった。   Regarding viruses, there are known techniques for preventing intrusion by using a firewall or IDS (Intrusion Detection System). However, new viruses cannot be detected until an IDS detection pattern is created. In the step attack, there was no effective preventive measure other than strictly managing the password in order for a malicious third party to obtain a legitimate password illegally and infiltrate the computer.

このような技術課題に対して、特許文献1には、攻撃者を追跡する技術として、ネットワーク上を流れるパケットのヘッダ情報をルータで収集し、ターゲットホストが攻撃を検知すると各ルータに攻撃パケットのヘッダ情報を問い合わせ、同じパケットが記録されているルータを逆戻りすることで経路を追跡する技術が開示されている。   In order to deal with such technical problems, Patent Document 1 discloses, as a technique for tracking an attacker, header information of packets flowing on a network is collected by a router, and when a target host detects an attack, each router receives an attack packet. There has been disclosed a technique for tracing a route by inquiring header information and returning to a router in which the same packet is recorded.

特許文献2には、ウィルス感染検知技術として、ネットワーク上に流れるパケットを監視して、通常は使用されない例外ポートを使用したTCP/IP通信、不完全パケット、多量な通信、多量なエラー通信等が検出された場合にウィルス感染と判定する技術が開示されている。   In Patent Document 2, as a virus infection detection technique, TCP / IP communication using an exception port that is not normally used, incomplete packets, a large amount of communication, a large amount of error communication, etc. are monitored. A technique for determining a virus infection when detected is disclosed.

特許文献3には、ウィルスの渡り歩きを検知するために、ネットワーク上に設置したウィルス検知装置とホストのアクセス履歴とを利用する技術が開示されている。ウィルス検知装置がウィルスによるパケットを検知すると、該当するホストのアクセス履歴を参照し、別のホストへのアクセス履歴がある場合を渡り歩きと判定する。ここではメール添付型のウィルスを対象としており、メールが内部に侵入した後のホストの挙動に注目してウィルスの渡り歩きが検知される。   Patent Document 3 discloses a technology that uses a virus detection apparatus installed on a network and a host access history in order to detect the movement of a virus. When the virus detection device detects a packet due to a virus, the access history of the corresponding host is referred to and a case where there is an access history to another host is determined to be a walk. In this case, the virus attached to the mail is targeted, and the movement of the virus is detected by paying attention to the behavior of the host after the mail enters the inside.

特許文献4には、ウィルスアクセスを防御するために、ネットワーク上にウィルス感染パケットの検知装置を設置してウィルスのアクセスを検知する技術が開示されている。   Patent Document 4 discloses a technique for detecting a virus access by installing a detection device for a virus-infected packet on a network in order to protect against virus access.

特許文献5には、侵入検知技術として、侵入検知の精度を高めるために、インバウンドトラヒックとアウトバウンドトラヒックの双方向を監視し、不正なインバウンドトラヒックが与える内部ネットワークへの影響をアウトバウンドトラヒックにより確認することで被害の状況を把握する技術が開示されている。
特開2003−258910号公報 特開2003−241989号公報 特開2004−86241号公報 特開平11−167487号公報 特開2004−302287号公報 In Patent Document 5, as intrusion detection technology, in order to increase the accuracy of intrusion detection, inbound traffic and outbound traffic are monitored in both directions, and the influence of unauthorized inbound traffic on the internal network is confirmed by outbound traffic. The technology to grasp the situation of damage is disclosed.
JP 2003-258910 A JP 2003-241989 JP 2004-86241 A JP-A-11-167487 JP 2004-302287 A

特許文献1の技術では、詐称された攻撃パケットの発信源とその経路を特定できるものの、攻撃の検知は既存のIDSに依存している。したがって、新種あるいは未知のウィルスに関してはIDSの検知パターンが作成されるまで検知できない。   Although the technique of Patent Document 1 can identify the source of the spoofed attack packet and its route, the detection of the attack depends on the existing IDS. Therefore, new or unknown viruses cannot be detected until an IDS detection pattern is created.

特許文献2の技術では、ネットワーク内部のホストコンピュータから送信されるパケットのみに注目してウィルス検知が行われるため、通常と異なる利用を行った正しいユーザによる操作を不正アクセスと誤検知してしまう可能性がある。   In the technique of Patent Document 2, since virus detection is performed by focusing on only packets transmitted from a host computer inside the network, an operation by a correct user who has used it differently from normal may be erroneously detected as unauthorized access. There is sex.

特許文献3、5の技術では、既存のウィルス検知装置を用いているので新種あるいは未知のウィルスを検知できない。のみならず、該当ホストコンピュータの通常利用の中で複数の外部ホストコンピュータにアクセスした履歴がある場合に不正アクセスと誤検知される可能性がある。   In the techniques of Patent Documents 3 and 5, since an existing virus detection device is used, a new or unknown virus cannot be detected. In addition, when there is a history of accessing a plurality of external host computers during normal use of the host computer, there is a possibility that it may be erroneously detected as unauthorized access.

特許文献4の技術では、ウィルスパケット検知装置は既存のウィルスパケットを検知できるだけなので、新種あるいは未知のウィルスパケットは検知できない。   In the technique of Patent Document 4, since the virus packet detection device can only detect an existing virus packet, it cannot detect a new or unknown virus packet.

本発明の目的は、上記した従来技術の課題を解決し、踏み台攻撃や新種あるいは未知のウィルスも検知が可能な不正アクセス検知装置を提供することにある。   An object of the present invention is to solve the above-described problems of the prior art and to provide an unauthorized access detection device capable of detecting a step attack and a new or unknown virus.

上記した目的を達成するために、本発明は、コンピュータへの不正アクセスを検知する不正アクセス検知装置において、以下のような手段を講じた点に特徴がある。   In order to achieve the above-described object, the present invention is characterized in that the following measures are taken in an unauthorized access detection apparatus for detecting unauthorized access to a computer.

(1)コンピュータで送受信されるTCP PUSHパケットを監視する送受信パケット監視手段と、TCP PUSHパケットが受信されてから所定時間内に、当該パケットと宛先ポート番号およびデータのうち、少なくともデータが同一のTCP PUSHパケットが送信されると、当該各TCP PUSHパケットの送受信を不正アクセスと判定する不正アクセス判定手段とを含むことを特徴とする。   (1) Transmission / reception packet monitoring means for monitoring a TCP PUSH packet transmitted / received by a computer, and a TCP having at least the same data among the packet, a destination port number and data within a predetermined time after the TCP PUSH packet is received An unauthorized access determination unit that determines transmission / reception of each TCP PUSH packet as an unauthorized access when the PUSH packet is transmitted is included.

(2)前記不正アクセス判定手段は、送受信される各TCP PUSHパケットに分散して登録されているデータ片をそれぞれ収集して所定長の送受信データを構築し、両者を比較することを特徴とする。   (2) The unauthorized access determination means collects data pieces distributed and registered in each TCP PUSH packet to be transmitted / received to construct transmission / reception data of a predetermined length, and compares the data pieces. .

(3)コンピュータで送受信されるTCP パケットを監視する送受信パケット監視手段と、TCP PUSHパケットが受信されてから所定時間内にTCP SYNパケットが送信されると、当該各TCPパケットの送受信を不正アクセスと判定する不正アクセス判定手段とを含むことを特徴とする。   (3) Transmission / reception packet monitoring means for monitoring TCP packets transmitted / received by the computer, and transmission / reception of each TCP packet as unauthorized access if a TCP SYN packet is transmitted within a predetermined time after the reception of the TCP PUSH packet. And unauthorized access determining means for determining.

(4)コンピュータで送受信されるICMPエコーリクエストパケットを監視する送受信パケット監視手段と、ICMPエコーリクエストパケットが受信されてから所定時間内にICMPエコーリクエストパケットが送信されると、当該各エコーリクエストパケットの送受信を不正アクセスと判定する不正アクセス判定手段とを含むことを特徴とする。   (4) Transmission / reception packet monitoring means for monitoring the ICMP echo request packet transmitted / received by the computer, and when the ICMP echo request packet is transmitted within a predetermined time after the ICMP echo request packet is received, And unauthorized access determination means for determining transmission / reception as unauthorized access.

(5)コンピュータで送受信されるTCP SYNパケットを監視する送受信パケット監視手段と、前記TCP SYNパケットが受信されてから所定時間内に、宛先ポート番号が前記受信されたTCP SYNパケットと同一のTCP SYNパケットが送信されると、当該各TCP SYNパケットの送受信を不正アクセスと判定する不正アクセス判定手段とを含むことを特徴とする。   (5) Transmission / reception packet monitoring means for monitoring a TCP SYN packet transmitted / received by a computer, and a TCP SYN whose destination port number is the same as the received TCP SYN packet within a predetermined time after the reception of the TCP SYN packet It includes an unauthorized access determination means that determines transmission / reception of each TCP SYN packet as unauthorized access when a packet is transmitted.

(6)コンピュータで送受信されるUDPパケットを監視する送受信パケット監視手段と、前記UDPパケットが受信されてから所定時間内に、当該UDPパケットと宛先ポート番号およびデータが同一のUDPパケットが送信されると、当該各UDPパケットの送受信を不正アクセスと判定する不正アクセス判定手段とを含むことを特徴とする。   (6) Transmission / reception packet monitoring means for monitoring a UDP packet transmitted / received by a computer, and a UDP packet having the same destination port number and data as the UDP packet is transmitted within a predetermined time after the UDP packet is received. And unauthorized access determination means for determining transmission / reception of each UDP packet as unauthorized access.

(7)送受信パケット監視手段は、ネットワークとコンピュータとを結ぶ経路上でパケットを監視することを特徴とする。   (7) The transmission / reception packet monitoring means monitors the packet on a path connecting the network and the computer.

(8)送受信パケット監視手段は、コンピュータ内において、MAC層とIP層との間でパケットを監視することを特徴とする。   (8) The transmission / reception packet monitoring means monitors the packet between the MAC layer and the IP layer in the computer.

(9)送受信パケット監視手段は、コンピュータ内において、アプリケーション層とTCP/UDP層との間でパケットを監視することを特徴とする。   (9) The transmission / reception packet monitoring means monitors the packet between the application layer and the TCP / UDP layer in the computer.

(10)信頼できるコンピュータの識別情報を登録する手段をさらに具備し、不正アクセス判定手段は、信頼できるコンピュータからのアクセスを不正アクセスと判定しないことを特徴とする。   (10) The information processing apparatus further includes means for registering identification information of a reliable computer, and the unauthorized access determination means does not determine that access from a trusted computer is unauthorized access.

本発明によれば、以下のような効果が達成される。
(1)請求項1の発明によれば、踏み台攻撃においてポートスキャンに用いられるTCP PUSHパケットに基づいて不正アクセスを検知できるので、踏み台攻撃の検知が可能になる。
(2)請求項2の発明によれば、データを複数のパケットに分散するアプリケーションで送受信されるパケットに関して、不正アクセスの誤検知を防止できるようになる。
(3)請求項3の発明によれば、踏み台攻撃においてポートスキャンに用いられるTCP PUSHパケットと、侵入先ホストから次の侵入先との間にセッションを確立するために送信されるTCP SYNパケットに基づいて不正アクセスを検知できるので、踏み台攻撃の検知が可能になる。
(4)請求項4の発明によれば、侵入者が宛先ホストの存在を確認する際にPingコマンドなどによって発信するエコーリクエストパケットに基づいて不正アクセスを検知できるので、踏み台攻撃や新種あるいは未知のウィルスも検知が可能になる。
(5)請求項5の発明によれば、TCP通信路を構築する際の3Wayハンドシェイクの開始パケットであって、悪意の侵入者やウィルスが攻撃目標のサービスポートを探索する際に用いられるTCP SYNパケットに基づいて不正アクセスを検知できるので、踏み台攻撃や新種あるいは未知のウィルスも検知が可能になる。
(6)請求項6の発明によれば、所定のUDPポートへのスキャンや攻撃パケットの送信に基づいて不正アクセスを検知できるので、踏み台攻撃や新種あるいは未知のウィルスも検知が可能になる。
(7)請求項7の発明によれば、ネットワーク上で送受信されるパケットに基づいて不正アクセスを検知できるようになる。
(8)請求項8、9の発明によれば、ホストコンピュータ上で送受信されるパケットに基づいて不正アクセスを検知できるようになる。また、特に請求項8の発明によれば、通信経路がSSLやTLSにより暗号化されている場合でも不正アクセスを検知できるようになる。
(9)請求項10の発明によれば、信頼できるホストコンピュータからのアクセスは不正アクセスと判定されないので、誤検知を低減できる。 According to the present invention, the following effects are achieved.
(1) According to the invention of claim 1, since it is possible to detect unauthorized access based on a TCP PUSH packet used for port scanning in a step attack, it becomes possible to detect a step attack.
(2) According to the invention of claim 2, it is possible to prevent erroneous detection of unauthorized access regarding a packet transmitted and received by an application that distributes data into a plurality of packets.
(3) According to the invention of claim 3, the TCP PUSH packet used for the port scan in the step attack and the TCP SYN packet transmitted to establish a session from the intrusion destination host to the next intrusion destination Since unauthorized access can be detected based on this, a step attack can be detected.
(4) According to the invention of claim 4, since unauthorized access can be detected based on an echo request packet transmitted by a Ping command or the like when an intruder confirms the presence of the destination host, a step attack or a new type or unknown Viruses can also be detected.
(5) According to the invention of claim 5, it is a start packet of a three-way handshake when constructing a TCP communication path, and is used when a malicious intruder or virus searches for an attack target service port. Because unauthorized access can be detected based on the SYN packet, it is possible to detect a step attack and a new or unknown virus.
(6) According to the invention of claim 6, since unauthorized access can be detected based on scanning to a predetermined UDP port or transmission of an attack packet, it is possible to detect a stepping attack or a new or unknown virus.
(7) According to the invention of claim 7, unauthorized access can be detected based on packets transmitted and received on the network.
(8) According to the inventions of claims 8 and 9, unauthorized access can be detected based on packets transmitted and received on the host computer. In particular, according to the invention of claim 8, unauthorized access can be detected even when the communication path is encrypted by SSL or TLS.
(9) According to the invention of claim 10, since an access from a reliable host computer is not determined as an unauthorized access, false detection can be reduced.

以下、図面を参照して本発明の好ましい実施の形態について詳細に説明する。図1は、本発明に係る不正アクセス検知装置の第1実施形態のブロック図であり、本実施形態では、侵入者が宛先ホストの存在を確認する際にPingコマンドなどによって発信するエコーリクエストパケットに基づいて不正アクセスが検知される。   Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 is a block diagram of a first embodiment of an unauthorized access detection device according to the present invention. In this embodiment, an echo request packet transmitted by a Ping command or the like when an intruder confirms the presence of a destination host is shown. Based on this, unauthorized access is detected.

不正アクセス検知装置1は、ネットワークとホストコンピュータとを結ぶネットワークゲートウェイに接続されている。不正アクセス検知装置1において、パケット取込部101はプロミスキャストモード(全フレーム収集モード)で動作し、宛先がホストコンピュータであるか否かにかかわらず、ネットワークゲートウェイ上の全てのパケットを取り込む。ICMP(Internet Control Message Protocol)受信パケット抽出部102は、宛先IPがホストコンピュータであるICMP受信パケットPinを抽出する。ICMP送信パケット抽出部103は、送信元IPがホストコンピュータであるICMP送信パケットPoutを抽出する。   The unauthorized access detection device 1 is connected to a network gateway that connects a network and a host computer. In the unauthorized access detection device 1, the packet capture unit 101 operates in the promiscuous mode (all frame collection mode), and captures all packets on the network gateway regardless of whether the destination is a host computer. An ICMP (Internet Control Message Protocol) received packet extraction unit 102 extracts an ICMP received packet Pin whose destination IP is a host computer. The ICMP transmission packet extraction unit 103 extracts an ICMP transmission packet Pout whose transmission source IP is a host computer.

図2は、ICMPパケットの構造を示した図であり、8ビットの「タイプ(機能コード)」フィールド、8ビットの「コード(補助的な機能コード)」フィールド、および16ビットの「チェックサム」フィールドを含み、それ以降の「データ」フィールドには、ICPMのタイプごとに可変長のデータが登録される。   FIG. 2 is a diagram showing the structure of an ICMP packet. An 8-bit “type (function code)” field, an 8-bit “code (auxiliary function code)” field, and a 16-bit “checksum” are shown. The variable length data is registered for each ICPM type in the “data” field after the field.

不正アクセス検知部104は、前記各抽出部102,103により抽出されたICMPパケットを参照し、タイプが「8(Echo Request)」でコードが「0(Network Unreachable)」のエコーリクエストパケットの受信タイミングから所定時間内に、同じくタイプが「8」でコードが「0」のエコーリクエストパケットがホストコンピュータから送信されると、当該各エコーリクエストパケットの送受信を不正アクセスと判定する。   The unauthorized access detection unit 104 refers to the ICMP packet extracted by each of the extraction units 102 and 103, and receives an echo request packet of type “8 (Echo Request)” and code “0 (Network Unreachable)”. If an echo request packet of the same type “8” and code “0” is transmitted from the host computer within a predetermined time, the transmission / reception of each echo request packet is determined as unauthorized access.

図3は、本実施形態の動作を示したフローチャートであり、主に不正アクセス検知部104の動作を示している。   FIG. 3 is a flowchart showing the operation of this embodiment, and mainly shows the operation of the unauthorized access detection unit 104.

ステップS1では、前記ICMP受信パケット抽出部102によりICMP受信パケットが抽出されたか否かが判定される。ICMP受信パケットが抽出されると、ステップS2では、当該受信パケットのタイプおよびコードが参照され、タイプが「8」でコードが「0」のエコーリクエストパケットであるか否かが判定される。エコーリクエストパケットが受信されていれば、ステップS3へ進んで不正アクセス判定タイマTがスタートする。   In step S1, it is determined whether or not an ICMP reception packet is extracted by the ICMP reception packet extraction unit 102. When the ICMP received packet is extracted, in step S2, the type and code of the received packet are referred to, and it is determined whether or not the type is “8” and the code is “0”. If the echo request packet has been received, the process proceeds to step S3, where the unauthorized access determination timer T is started.

ステップS4では、前記ICMP送信パケット抽出部103によりICMP送信パケットが抽出されたか否かが判定される。ICMP送信パケットが抽出されると、ステップS5では、当該パケットのタイプおよびコードが参照され、タイプが「8」でコードが「0」のエコーリクエストパケットであるか否かが判定される。エコーリクエストパケット以外であればステップS8へ進み、前記不正アクセス判定タイマTがタイムアウトしているか否かが判定され、タイムアウトするまではステップS4へ戻って上記した各処理が繰り返される。不正アクセス判定タイマTがタイムアウトすると、ステップS9で不正アクセス判定タイマTをリセットした後にステップS1へ戻る。   In step S4, it is determined whether the ICMP transmission packet extraction unit 103 has extracted an ICMP transmission packet. When the ICMP transmission packet is extracted, in step S5, the type and code of the packet are referred to, and it is determined whether or not the packet is an echo request packet of type “8” and code “0”. If it is not an echo request packet, the process proceeds to step S8, where it is determined whether or not the unauthorized access determination timer T has timed out, and the process returns to step S4 and repeats the above-described processes until time-out. When the unauthorized access determination timer T times out, the unauthorized access determination timer T is reset in step S9, and then the process returns to step S1.

これに対して、前記ステップS5において、ICMP送信パケットがエコーリクエストパケットであると判定されると、ステップS6では、送信されたパケットの宛先IPと受信されたパケットの送信元IPとが比較される。両者が一致していれば、一対のホストコンピュータ間での正常なパケット交換なのでステップS8へ進む。両者が不一致であればステップS7へ進み、前記各エコーリクエストパケットの送受信が不正アクセスと判定される。   On the other hand, if it is determined in step S5 that the ICMP transmission packet is an echo request packet, in step S6, the destination IP of the transmitted packet is compared with the transmission source IP of the received packet. . If the two match, this is a normal packet exchange between the pair of host computers, and the process proceeds to step S8. If they do not match, the process proceeds to step S7, and transmission / reception of each echo request packet is determined to be unauthorized access.

図4は、本発明に係る不正アクセス検知装置の第2実施形態のブロック図であり、前記と同一の符号は同一または同等部分を表している。本実施形態では、TCP通信路を構築する際の3Wayハンドシェイクの開始パケットであって、悪意の侵入者やウィルスが攻撃目標のサービスポートを探索する際に用いるTCP SYNパケットに基づいて不正アクセスが検知される。   FIG. 4 is a block diagram of a second embodiment of the unauthorized access detection apparatus according to the present invention, and the same reference numerals as those described above represent the same or equivalent parts. In this embodiment, unauthorized access is made based on a TCP SYN packet used when a malicious intruder or virus searches for a target service port, which is a start packet of a three-way handshake when constructing a TCP communication path. Detected.

TCP(Transmission Control Protocol)受信パケット抽出部202は、宛先IPがホストコンピュータであるTCP受信パケットPinを抽出する。TCP送信パケット抽出部203は、送信元IPがホストコンピュータであるTCP送信パケットPoutを抽出する。   A TCP (Transmission Control Protocol) received packet extraction unit 202 extracts a TCP received packet Pin whose destination IP is a host computer. The TCP transmission packet extraction unit 203 extracts a TCP transmission packet Pout whose transmission source IP is a host computer.

図5は、TCPパケットのヘッダ構造を示した図であり、TCPパケットの送信元のアプリケーションを識別するための「送信元ポート番号」フィールド、宛先となるアプリケーションが待ち受けしている「宛先ポート番号」フィールド等と共に6ビットのフラグフィールドを含み、このフラグフィールド内に、TCP接続を要求する場合にセットされる「SYN(synchronize)フラグ」や「FUSHフラグ」フィールドが確保されている。   FIG. 5 is a diagram showing the header structure of a TCP packet. The “source port number” field for identifying the TCP packet transmission source application, and the “destination port number” on which the destination application is waiting. A 6-bit flag field is included together with a field, and a “SYN (synchronize) flag” and “FUSH flag” field set when a TCP connection is requested is secured in this flag field.

不正アクセス検知部204は、前記各抽出部102,103により抽出されたTCPパケットを参照し、SYNプラグがセットされており、宛先ポート番号が相互に一致しているTCP受信パケットおよびTCP送信パケットが所定時間内に抽出されると、当該各TCPパケットの送受信を不正アクセスと判定する。   The unauthorized access detection unit 204 refers to the TCP packet extracted by each of the extraction units 102 and 103, sets a SYN plug, and receives a TCP reception packet and a TCP transmission packet whose destination port numbers match each other. If extracted within a predetermined time, transmission / reception of each TCP packet is determined as unauthorized access.

図6は、本実施形態の動作を示したフローチャートであり、主に不正アクセス検知部204の動作を示している。   FIG. 6 is a flowchart showing the operation of the present embodiment, and mainly shows the operation of the unauthorized access detection unit 204.

ステップS11では、前記TCP受信パケット抽出部202によりTCP受信パケットが抽出されたか否かが判定される。TCP受信パケットが抽出されると、ステップS12では、当該受信パケットのSYNフラグがセットされているか否かが判定される。SYNフラグがセットされていればステップS13へ進み、当該受信パケットの宛先ポート番号が抽出されて一時記憶される。ステップS14では、不正アクセス判定タイマTがスタートする。   In step S11, it is determined whether or not a TCP reception packet is extracted by the TCP reception packet extraction unit 202. When the TCP received packet is extracted, in step S12, it is determined whether or not the SYN flag of the received packet is set. If the SYN flag is set, the process proceeds to step S13, where the destination port number of the received packet is extracted and temporarily stored. In step S14, the unauthorized access determination timer T starts.

ステップS15では、前記TCP送信パケット抽出部203によりTCP送信パケットが抽出されたか否かが判定される。TCP送信パケットが抽出されると、ステップS16では、当該送信パケットのSYNフラグがセットされているか否かが判定される。SYNフラグがセットされていればステップS17へ進み、当該送信パケットの宛先ポート番号が、前記一時記憶されている受信パケットの宛先ポート番号と比較される。   In step S15, it is determined whether the TCP transmission packet extraction unit 203 has extracted a TCP transmission packet. When the TCP transmission packet is extracted, in step S16, it is determined whether or not the SYN flag of the transmission packet is set. If the SYN flag is set, the process proceeds to step S17, where the destination port number of the transmission packet is compared with the destination port number of the received packet stored temporarily.

前記ステップS15,S16,S17の判定が否定であればステップS20へ進み、前記不正アクセス判定タイマTがタイムアウトしているか否かが判定され、タイムアウトするまではステップS15へ戻って上記した各処理が繰り返される。不正アクセス判定タイマTがタイムアウトすると、ステップS21で不正アクセス判定タイマTをリセットした後にステップS11へ戻る。   If the determinations in steps S15, S16, and S17 are negative, the process proceeds to step S20, where it is determined whether or not the unauthorized access determination timer T has timed out. Repeated. When the unauthorized access determination timer T times out, the unauthorized access determination timer T is reset in step S21, and then the process returns to step S11.

これに対して、前記ステップS17において、送信パケットの宛先ポート番号受信パケットの宛先ポート番号と一致していると判定されると、ステップS18では、送信されたTCP SYNパケットの宛先IPと受信されたTCP SYNパケットの送信元IPとが比較される。両者が不一致であればステップS19へ進み、前記各TCPパケットの送受信が不正アクセスと判定される。   On the other hand, if it is determined in step S17 that the destination port number of the transmission packet matches the destination port number of the received packet, the destination IP of the transmitted TCP SYN packet is received in step S18. The source IP of the TCP SYN packet is compared. If they do not match, the process proceeds to step S19, where transmission / reception of each TCP packet is determined to be unauthorized access.

図7は、本発明に係る不正アクセス検知装置の第3実施形態のブロック図であり、前記と同一の符号は同一または同等部分を表している。本実施形態では、所定のUDPポートへのスキャンや攻撃パケットの送信の有無に基づいて不正アクセスが検知される。   FIG. 7 is a block diagram of a third embodiment of the unauthorized access detection apparatus according to the present invention, and the same reference numerals as those described above represent the same or equivalent parts. In this embodiment, unauthorized access is detected based on the presence or absence of scanning to a predetermined UDP port or transmission of an attack packet.

UDP(User Datagram Protocol)受信パケット抽出部302は、宛先IPがホストコンピュータであるUDP受信パケットを抽出する。UDP送信パケット抽出部303は、送信元IPがホストコンピュータであるUDP送信パケットを抽出する。   A UDP (User Datagram Protocol) received packet extraction unit 302 extracts a UDP received packet whose destination IP is a host computer. The UDP transmission packet extraction unit 303 extracts a UDP transmission packet whose transmission source IP is a host computer.

図8は、UDPパケットのヘッダ構造を示した図であり、UDPパケットの送信元のアプリケーションを識別するための「送信元ポート番号」フィールド、UDPパケットの宛先となるアプリケーションが待ち受けしている「宛先ポート番号」フィールド、UDPパケットの長さを表す「UDPデータ長」フィールド、UDPパケットの整合性を検査するための「UDPチェックサム」フィールド、および「データ」フィールドを含む。   FIG. 8 is a diagram showing a header structure of a UDP packet. A “source port number” field for identifying a UDP packet transmission source application, and a “destination” on which a destination application of the UDP packet is waiting. It includes a “port number” field, a “UDP data length” field indicating the length of the UDP packet, a “UDP checksum” field for checking the integrity of the UDP packet, and a “data” field.

不正アクセス検知部304は、前記各抽出部102,103により抽出されたUDPパケットを参照し、宛先ポート番号およびデータのいずれもが一致しているUDP受信パケットおよびUDP送信パケットが所定時間内に抽出されると、当該各UDPパケットの送受信を不正アクセスと判定する。   The unauthorized access detection unit 304 refers to the UDP packet extracted by each of the extraction units 102 and 103, and extracts a UDP reception packet and a UDP transmission packet in which both the destination port number and data match within a predetermined time. Then, transmission / reception of each UDP packet is determined as unauthorized access.

図9は、本実施形態の動作を示したフローチャートであり、主に不正アクセス検知部304の動作を示している。   FIG. 9 is a flowchart showing the operation of this embodiment, and mainly shows the operation of the unauthorized access detection unit 304.

ステップS31では、前記UDP受信パケット抽出部302によりUDP受信パケットが抽出されたか否かが判定される。UDP受信パケットが抽出されると、ステップS32では、当該受信パケットの宛先ポート番号およびデータが抽出されて一時記憶される。ステップS33では、不正アクセス判定タイマTがスタートする。   In step S31, it is determined whether or not the UDP reception packet extraction unit 302 has extracted a UDP reception packet. When the UDP received packet is extracted, in step S32, the destination port number and data of the received packet are extracted and temporarily stored. In step S33, the unauthorized access determination timer T starts.

ステップS34では、前記UDP送信パケット抽出部303によりUDP送信パケットが抽出されたか否かが判定される。UDP送信パケットが抽出されると、ステップS35では、当該送信パケットの宛先ポート番号およびデータが、前記一時記憶されている受信パケットの宛先ポート番号およびデータと比較される。   In step S34, it is determined whether the UDP transmission packet extraction unit 303 has extracted a UDP transmission packet. When the UDP transmission packet is extracted, in step S35, the destination port number and data of the transmission packet are compared with the destination port number and data of the temporarily stored reception packet.

前記ステップS34,S35の判定が否定であればステップS38へ進み、前記不正アクセス判定タイマTがタイムアウトしているか否かが判定され、タイムアウトするまではステップS34へ戻って上記した各処理が繰り返される。不正アクセス判定タイマTがタイムアウトすると、ステップS39で不正アクセス判定タイマTをリセットした後にステップS31へ戻る。   If the determinations in steps S34 and S35 are negative, the process proceeds to step S38, where it is determined whether or not the unauthorized access determination timer T has timed out. . When the unauthorized access determination timer T times out, the unauthorized access determination timer T is reset in step S39, and then the process returns to step S31.

これに対して、前記ステップS35において、送信パケットの宛先ポート番号およびデータが、それぞれ受信パケットの宛先ポート番号およびデータと一致していると判定されると、ステップS36では、UDP送信パケットの宛先IPとUDP受信パケットの送信元IPとが比較される。両者が不一致であればステップS37へ進み、前記各UDPパケットの送受信が不正アクセスと判定される。   In contrast, if it is determined in step S35 that the destination port number and data of the transmission packet match the destination port number and data of the reception packet, respectively, the destination IP number of the UDP transmission packet is determined in step S36. And the source IP of the UDP received packet are compared. If they do not match, the process proceeds to step S37, where transmission / reception of each UDP packet is determined as unauthorized access.

図10は、本発明に係る不正アクセス検知装置の第4実施形態のブロック図であり、本実施形態では、例えばtelnetを利用した踏み台攻撃であればTCP23番ポートに対して送信される、ポートスキャン用のTCP PUSHパケットに基づいて不正アクセスが検知される。   FIG. 10 is a block diagram of a fourth embodiment of the unauthorized access detection device according to the present invention. In this embodiment, for example, a port scan is transmitted to the TCP port No. 23 in the case of a step attack using telnet. Unauthorized access is detected based on the TCP PUSH packet.

TCP PUSHパケット(受信)抽出部402は、宛先IPがホストコンピュータであって、PUSHフラグのセットされているTCP PUSHパケットPinを抽出する。TCP PUSHパケット(送信)抽出部403は、送信元IPがホストコンピュータであるTCP PUSHパケットPoutを抽出する。   The TCP PUSH packet (reception) extraction unit 402 extracts a TCP PUSH packet Pin in which the destination IP is a host computer and the PUSH flag is set. The TCP PUSH packet (transmission) extraction unit 403 extracts a TCP PUSH packet Pout whose transmission source IP is a host computer.

不正アクセス検知部404は、前記各抽出部402,403により抽出された各TCP PUSHパケットを参照し、宛先ポート番号およびデータのうち、少なくともデータが相互に一致しているTCP PUSHパケットが所定時間内に送受信されると、当該各TCP PUSHパケットの送受信を不正アクセスと判定する。   The unauthorized access detection unit 404 refers to each TCP PUSH packet extracted by each of the extraction units 402 and 403, and among the destination port number and the data, at least a TCP PUSH packet whose data match each other is within a predetermined time. When transmission / reception is performed, transmission / reception of each TCP PUSH packet is determined as unauthorized access.

図11は、本実施形態の動作を示したフローチャートであり、主に不正アクセス検知部404の動作を示している。   FIG. 11 is a flowchart showing the operation of this embodiment, and mainly shows the operation of the unauthorized access detection unit 404.

ステップS41では、前記TCP PUSHパケット(受信)抽出部402によりTCP PUSHパケットが抽出されたか否かが判定される。TCP PUSHパケットが抽出されると、ステップS42では、当該受信パケットの宛先ポート番号およびデータが抽出されて一時記憶される。ステップS43では、不正アクセス判定タイマTがスタートする。   In step S41, it is determined whether or not the TCP PUSH packet (reception) extraction unit 402 has extracted the TCP PUSH packet. When the TCP PUSH packet is extracted, in step S42, the destination port number and data of the received packet are extracted and temporarily stored. In step S43, the unauthorized access determination timer T starts.

ステップS44では、前記TCP PUSHパケット(送信)抽出部403によりTCP PUSHパケットが抽出されたか否かが判定される。TCP PUSHパケットが抽出されると、ステップS45では、当該送信パケットの宛先ポート番号およびデータが、前記一時記憶されている受信パケットの宛先ポート番号およびデータと比較される。   In step S44, it is determined whether or not the TCP PUSH packet (transmission) extraction unit 403 has extracted the TCP PUSH packet. When the TCP PUSH packet is extracted, in step S45, the destination port number and data of the transmission packet are compared with the destination port number and data of the temporarily stored reception packet.

前記ステップS44,S45の判定が否定であればステップS48へ進み、前記不正アクセス判定タイマTがタイムアウトしているか否かが判定され、タイムアウトするまではステップS44へ戻って上記した各処理が繰り返される。不正アクセス判定タイマTがタイムアウトすると、ステップS49で不正アクセス判定タイマTをリセットした後にステップS41へ戻る。   If the determination in steps S44 and S45 is negative, the process proceeds to step S48, where it is determined whether or not the unauthorized access determination timer T has timed out, and the process returns to step S44 and repeats the above-described processes until time-out. . When the unauthorized access determination timer T times out, the unauthorized access determination timer T is reset in step S49, and then the process returns to step S41.

これに対して、前記ステップS45において、送信パケットの宛先ポート番号およびデータが、それぞれ受信パケットの宛先ポート番号およびデータと一致していると判定されると、ステップS46では、送信されたTCP SYNパケットの宛先IPと受信されたTCP SYNパケットの送信元IPとが比較される。両者が不一致であればステップS47へ進み、前記各TCPパケットの送受信が不正アクセスと判定される。   On the other hand, if it is determined in step S45 that the destination port number and data of the transmission packet match the destination port number and data of the reception packet, respectively, in step S46, the transmitted TCP SYN packet Is compared with the destination IP of the received TCP SYN packet. If they do not match, the process proceeds to step S47, where transmission / reception of each TCP packet is determined to be unauthorized access.

なお、telnetアプリケーションのように、キーボードから入力された文字列が一文字ずつ異なるパケットのデータ部に格納されて送受信される場合には、パケット単位でデータを比較して不正アクセスを検知することが難しい。このような場合には、各パケット抽出部402,403あるいは不正アクセス検知部404が、複数のパケットに分散されている送信データ片および受信データ片をそれぞれ収集して所定長の送信データおよび受信データを構築し、両者を比較することが望ましい。   When a character string input from the keyboard is stored in the data part of a packet that is different from character to character as in the telnet application and transmitted and received, it is difficult to detect unauthorized access by comparing data in units of packets. . In such a case, each of the packet extraction units 402 and 403 or the unauthorized access detection unit 404 collects a transmission data piece and a reception data piece distributed in a plurality of packets, respectively, and transmits a predetermined length of transmission data and reception data. It is desirable to construct and compare the two.

また、上記した実施形態では、ステップS45において宛先ポート番号およびデータのいずれもが一致していることを条件に不正アクセスと判定しているが、侵入者が不正の発覚を恐れて故意にデータを異ならせる場合もあるので、宛先ポート番号の一致のみを条件に不正アクセスと判定するようにしても良い。   Further, in the above-described embodiment, it is determined that unauthorized access is made on the condition that both the destination port number and the data match in step S45. However, the data is intentionally stored in fear of an unauthorized intruder. Since they may be different, it may be determined that unauthorized access is made only on the condition that the destination port numbers match.

図12は、本発明に係る不正アクセス検知装置の第5実施形態のブロック図であり、本実施形態では、踏み台攻撃であればTCP PUSHパケットが受信されたホストコンピュータからは、次の侵入先へ短時間のうちにTCPコネクションの確立要求が送信されることに着目し、TCP PUSHパケットの受信およびTCP SYNパケットの送信に基づいて不正アクセスが検知される。   FIG. 12 is a block diagram of the fifth embodiment of the unauthorized access detection device according to the present invention. In this embodiment, if a TCP PUSH packet is received in the case of a step attack, the host computer receives the next intrusion destination. Focusing on the fact that a TCP connection establishment request is transmitted within a short time, unauthorized access is detected based on the reception of a TCP PUSH packet and the transmission of a TCP SYN packet.

すなわち、第4実施形態のように、送受信されるTCP PUSHパケットの宛先ポート番号およびデータが一致している場合のみ不正アクセスと判断すると、例えば侵入者が最初のホストへtelnetで侵入し、その後、SSHによる暗号化通信で次のホストに侵入するといったように、アプリケーションを次々と変化させながらホストを渡り歩くと、データが変化するために不正アクセスを検知できなくなる。そこで、本実施形態では、侵入者がアプリケーションを次々と変化させながらホストを渡り歩く場合も、これを検知できるようにしている。   That is, as in the fourth embodiment, when it is determined that unauthorized access is performed only when the destination port number and data of the transmitted and received TCP PUSH packets match, for example, the intruder enters the first host by telnet, and then If you walk around the host while changing applications one after another, such as intruding into the next host with SSH encrypted communication, unauthorized access cannot be detected because the data changes. Therefore, in this embodiment, even when an intruder walks around the host while changing the application one after another, this can be detected.

TCP PUSHパケット(受信)抽出部502は、宛先IPがホストコンピュータであって、PUSHフラグのセットされているTCP PUSHパケットPinを抽出する。TCP SYNパケット(送信)抽出部503は、送信元IPがホストコンピュータであるTCP SYNパケットPoutを抽出する。   The TCP PUSH packet (reception) extraction unit 502 extracts a TCP PUSH packet Pin in which the destination IP is a host computer and the PUSH flag is set. A TCP SYN packet (transmission) extraction unit 503 extracts a TCP SYN packet Pout whose transmission source IP is a host computer.

不正アクセス検知部504は、前記各抽出部102,103により抽出された各TCP PUSHパケットおよびTCP SYNパケットが所定時間内に抽出されると、当該各TCPパケットの送受信を不正アクセスと判定する。   When the TCP PUSH packet and the TCP SYN packet extracted by the extraction units 102 and 103 are extracted within a predetermined time, the unauthorized access detection unit 504 determines that transmission / reception of each TCP packet is unauthorized access.

図13は、本実施形態の動作を示したフローチャートであり、主に不正アクセス検知部204の動作を示している。   FIG. 13 is a flowchart showing the operation of the present embodiment, and mainly shows the operation of the unauthorized access detection unit 204.

ステップS51では、前記TCP PUSHパケット(受信)抽出部502によりTCP PUSHパケットが抽出されたか否かが判定される。TCP PUSHパケットが抽出されると、ステップS52では、不正アクセス判定タイマTがスタートする。ステップS53では、前記TCP SYNパケット(送信)抽出部503によりTCP SYNパケットが抽出されたか否かが判定される。TCP SYNパケットが抽出されなければステップS56へ進み、前記不正アクセス判定タイマTがタイムアウトしているか否かが判定され、タイムアウトするまではステップS53へ戻って上記した各処理が繰り返される。不正アクセス判定タイマTがタイムアウトすると、ステップS57で不正アクセス判定タイマTをリセットした後にステップS51へ戻る。   In step S51, it is determined whether or not the TCP PUSH packet (reception) extraction unit 502 has extracted a TCP PUSH packet. When the TCP PUSH packet is extracted, an unauthorized access determination timer T is started in step S52. In step S53, it is determined whether the TCP SYN packet (transmission) extraction unit 503 has extracted a TCP SYN packet. If no TCP SYN packet is extracted, the process proceeds to step S56, where it is determined whether or not the unauthorized access determination timer T has timed out. When the unauthorized access determination timer T times out, the unauthorized access determination timer T is reset in step S57, and then the process returns to step S51.

これに対して、前記ステップS53においてTCP SYNパケットが抽出されるとステップS54へ進み、送信されたTCP SYNパケットの宛先IPと受信されたTCP PUSHパケットの送信元IPとが比較される。両者が不一致であればステップS55へ進み、前記各TCPパケットの送受信が不正アクセスと判定される。   On the other hand, when the TCP SYN packet is extracted in step S53, the process proceeds to step S54, where the destination IP of the transmitted TCP SYN packet is compared with the source IP of the received TCP PUSH packet. If they do not match, the process proceeds to step S55, and transmission / reception of each TCP packet is determined to be unauthorized access.

なお、上記した各実施形態では、ネットワークとホストコンピュータとを結ぶネットワークゲートウェイから取り込んだパケットに基づいて不正アクセスを検知するものとして説明したが、ホストコンピュータの内部で取り込んだパケットに基づいて不正アクセスを検知することもできる。   In each of the above embodiments, it has been described that unauthorized access is detected based on a packet captured from a network gateway connecting the network and the host computer. However, unauthorized access is detected based on a packet captured within the host computer. It can also be detected.

図14は、本発明の第6実施形態の構成を示したブロック図であり、本実施形態では、ホストコンピュータ内で全てのパケットを監視するために、不正アクセス検知プロセス2はMAC層とIP層との間でパケットを取り込み、上記と同様の手順で不正アクセスを検知する。ただし、通信経路がSSLやTLSにより暗号化されている場合には、暗号化前の状態でなければパケットを参照できないので、図14に破線で示したように、不正アクセス検知プロセス2はアプリケーション層とTCP/UDP層との間でパケットを取り込む必要がある。   FIG. 14 is a block diagram showing the configuration of the sixth embodiment of the present invention. In this embodiment, in order to monitor all packets in the host computer, the unauthorized access detection process 2 includes a MAC layer and an IP layer. Packets are taken in between and unauthorized access is detected in the same procedure as described above. However, when the communication path is encrypted by SSL or TLS, the packet cannot be referred to unless it is in the state before encryption. Therefore, as shown by the broken line in FIG. And packets must be captured between the TCP / UDP layer.

なお、上記した各実施形態では、コンピュータで送受信されるパケットに基づいて不正アクセスを検知するものとして説明したが、不正アクセスの誤検知を防止して信頼性を向上させるためには、信頼できるホストコンピュータのアドレスを予め不正アクセス検知部104(204,304…)等に登録しておき、送受信されるパケットに基づいて不正アクセスと判定された場合であっても、相手ホストが前記信頼できるホストとして既登録であれば、不正アクセスと判定しないようにすることが望ましい。   In each of the above-described embodiments, it has been described that unauthorized access is detected based on a packet transmitted and received by a computer. However, in order to prevent misdetection of unauthorized access and improve reliability, a reliable host can be used. Even if the computer address is registered in advance in the unauthorized access detection unit 104 (204, 304...) And it is determined that the unauthorized access is based on the transmitted / received packet, the partner host is regarded as the trusted host. If it is already registered, it is desirable not to judge it as unauthorized access.

本発明に係る不正アクセス検知装置の第1実施形態のブロック図である。1 is a block diagram of a first embodiment of an unauthorized access detection device according to the present invention. FIG. ICMPパケットの構造を示した図である。It is the figure which showed the structure of the ICMP packet. 第1実施形態の動作を示したフローチャートである。It is the flowchart which showed operation | movement of 1st Embodiment. 本発明に係る不正アクセス検知装置の第2実施形態のブロック図である。It is a block diagram of 2nd Embodiment of the unauthorized access detection apparatus which concerns on this invention. TCPパケットのヘッダ構造を示した図である。It is the figure which showed the header structure of a TCP packet. 第2実施形態の動作を示したフローチャートである。It is the flowchart which showed the operation | movement of 2nd Embodiment. 本発明に係る不正アクセス検知装置の第3実施形態のブロック図である。It is a block diagram of 3rd Embodiment of the unauthorized access detection apparatus which concerns on this invention. UDPパケットのヘッダ構造を示した図である。It is the figure which showed the header structure of the UDP packet. 第3実施形態の動作を示したフローチャートである。It is the flowchart which showed the operation | movement of 3rd Embodiment. 本発明に係る不正アクセス検知装置の第4実施形態のブロック図である。It is a block diagram of 4th Embodiment of the unauthorized access detection apparatus which concerns on this invention. 第4実施形態の動作を示したフローチャートである。It is the flowchart which showed the operation | movement of 4th Embodiment. 本発明に係る不正アクセス検知装置の第5実施形態のブロック図である。It is a block diagram of 5th Embodiment of the unauthorized access detection apparatus which concerns on this invention. 第5実施形態の動作を示したフローチャートである。It is the flowchart which showed the operation | movement of 5th Embodiment. 本発明に係る不正アクセス検知装置の第4実施形態のブロック図である。It is a block diagram of 4th Embodiment of the unauthorized access detection apparatus which concerns on this invention. 踏み台攻撃の一例を模式的に表現した図である。It is the figure which expressed typically an example of the step attack.

符号の説明Explanation of symbols

1…不正アクセス検知装置
101…パケット取込部
102…ICMP受信パケット抽出部
103…ICMP送信パケット抽出部
104,204,304、404,504…不正アクセス検知部
202…TCP受信パケット抽出部
203…TCP送信パケット抽出部
302…UDP受信パケット抽出部
303…UDP送信パケット抽出部
402,502…TCP PUSHパケット(受信)抽出部
403…TCP PUSHパケット(送信)抽出部
503…TCP SYNパケット(送信)抽出部 DESCRIPTION OF SYMBOLS 1 ... Unauthorized access detection apparatus 101 ... Packet capture part 102 ... ICMP reception packet extraction part 103 ... ICMP transmission packet extraction part 104,204,304,404,504 ... Unauthorized access detection part 202 ... TCP reception packet extraction part 203 ... TCP Transmission packet extraction unit 302 ... UDP reception packet extraction unit 303 ... UDP transmission packet extraction unit 402,502 ... TCP PUSH packet (reception) extraction unit 403 ... TCP PUSH packet (transmission) extraction unit 503 ... TCP SYN packet (transmission) extraction unit

Claims (11)

TCP(Transmission Control Protocol)で送受信されるパケットに基づいてコンピュータへの不正アクセスを検知する不正アクセス検知装置において、
前記コンピュータで送受信されるTCP PUSHパケットを監視する送受信パケット監視手段と、
前記TCP PUSHパケットが受信されてから所定時間内に、当該パケットと宛先ポート番号およびデータのうち、少なくともデータが同一のTCP PUSHパケットが送信されると、当該各TCP PUSHパケットの送受信を不正アクセスと判定する不正アクセス判定手段とを含むことを特徴とする不正アクセス検知装置。 In an unauthorized access detection device that detects unauthorized access to a computer based on packets transmitted and received by TCP (Transmission Control Protocol),
Transmission / reception packet monitoring means for monitoring TCP PUSH packets transmitted / received by the computer;
When a TCP PUSH packet having at least the same data among the packet and the destination port number and data is transmitted within a predetermined time after the TCP PUSH packet is received, transmission / reception of each TCP PUSH packet is regarded as unauthorized access. An unauthorized access detection device comprising unauthorized access determination means for determining. 前記不正アクセス判定手段は、前記送受信される各TCP PUSHパケットに分散して登録されているデータ片をそれぞれ収集して所定長の送受信データを構築し、両者を比較することを特徴とする請求項1に記載の不正アクセス検知装置。   The unauthorized access determination means collects data pieces distributed and registered in each of the TCP PUSH packets to be transmitted and received to construct transmission / reception data having a predetermined length, and compares the data pieces. The unauthorized access detection device according to 1. TCP(Transmission Control Protocol)で送受信されるパケットに基づいてコンピュータへの不正アクセスを検知する不正アクセス検知装置において、
前記コンピュータで送受信されるTCP パケットを監視する送受信パケット監視手段と、
TCP PUSHパケットが受信されてから所定時間内にTCP SYNパケットが送信されると、当該各TCPパケットの送受信を不正アクセスと判定する不正アクセス判定手段とを含むことを特徴とする不正アクセス検知装置。 In an unauthorized access detection device that detects unauthorized access to a computer based on packets transmitted and received by TCP (Transmission Control Protocol),
Sending and receiving packet monitoring means for monitoring TCP packets sent and received by the computer;
An unauthorized access detection apparatus comprising: unauthorized access determination means for determining that transmission / reception of each TCP packet is unauthorized access when a TCP SYN packet is transmitted within a predetermined time after the TCP PUSH packet is received. ICMP(Internet Control Message Protocol)で送受信されるパケットに基づいてコンピュータへの不正アクセスを検知する不正アクセス検知装置において、
前記コンピュータで送受信されるICMPエコーリクエストパケットを監視する送受信パケット監視手段と、
ICMPエコーリクエストパケットが受信されてから所定時間内にICMPエコーリクエストパケットが送信されると、当該各エコーリクエストパケットの送受信を不正アクセスと判定する不正アクセス判定手段とを含むことを特徴とする不正アクセス検知装置。 In an unauthorized access detection device that detects unauthorized access to a computer based on packets transmitted and received by ICMP (Internet Control Message Protocol),
Transmission / reception packet monitoring means for monitoring an ICMP echo request packet transmitted / received by the computer,
An unauthorized access comprising: an unauthorized access judging means for judging, when an ICMP echo request packet is transmitted within a predetermined time after an ICMP echo request packet is received, to transmit / receive each echo request packet as an unauthorized access Detection device. TCP(Transmission Control Protocol)で送受信されるパケットに基づいてコンピュータへの不正アクセスを検知する不正アクセス検知装置において、
前記コンピュータで送受信されるTCP SYNパケットを監視する送受信パケット監視手段と、
前記TCP SYNパケットが受信されてから所定時間内に、宛先ポート番号が前記受信されたTCP SYNパケットと同一のTCP SYNパケットが送信されると、当該各TCP SYNパケットの送受信を不正アクセスと判定する不正アクセス判定手段とを含むことを特徴とする不正アクセス検知装置。 In an unauthorized access detection device that detects unauthorized access to a computer based on packets transmitted and received by TCP (Transmission Control Protocol),
Transmission / reception packet monitoring means for monitoring TCP SYN packets transmitted / received by the computer;
When a TCP SYN packet having the same destination port number as the received TCP SYN packet is transmitted within a predetermined time after the TCP SYN packet is received, transmission / reception of each TCP SYN packet is determined to be unauthorized access. An unauthorized access detection device comprising unauthorized access determination means. UDP(User Datagram Protocol )で送受信されるパケットに基づいてコンピュータへの不正アクセスを検知する不正アクセス検知装置において、
前記コンピュータで送受信されるUDPパケットを監視する送受信パケット監視手段と、
前記UDPパケットが受信されてから所定時間内に、当該UDPパケットと宛先ポート番号およびデータが同一のUDPパケットが送信されると、当該各UDPパケットの送受信を不正アクセスと判定する不正アクセス判定手段とを含むことを特徴とする不正アクセス検知装置。 In an unauthorized access detection device that detects unauthorized access to a computer based on a packet transmitted and received by UDP (User Datagram Protocol),
Transmission / reception packet monitoring means for monitoring UDP packets transmitted / received by the computer;
An unauthorized access determination means for determining that transmission / reception of each UDP packet is unauthorized access when a UDP packet having the same destination port number and data as the UDP packet is transmitted within a predetermined time after the UDP packet is received; An unauthorized access detection device comprising: 前記送受信パケット監視手段は、ネットワークとコンピュータとを結ぶ経路上でパケットを監視することを特徴とする請求項1ないし6のいずれかに記載の不正アクセス検知装置。   7. The unauthorized access detection apparatus according to claim 1, wherein the transmission / reception packet monitoring unit monitors packets on a route connecting a network and a computer. 前記送受信パケット監視手段は、コンピュータ内において、MAC層とIP層との間でパケットを監視することを特徴とする請求項1ないし6のいずれかに記載の不正アクセス検知装置。   7. The unauthorized access detection device according to claim 1, wherein the transmission / reception packet monitoring means monitors a packet between a MAC layer and an IP layer in a computer. 前記送受信パケット監視手段は、コンピュータ内において、アプリケーション層とTCP/UDP層との間でパケットを監視することを特徴とする請求項1ないし6のいずれかに記載の不正アクセス検知装置。   7. The unauthorized access detection apparatus according to claim 1, wherein the transmission / reception packet monitoring unit monitors packets between an application layer and a TCP / UDP layer in a computer. 信頼できるコンピュータの識別情報を登録する手段をさらに具備し、
前記不正アクセス判定手段は、前記信頼できるコンピュータからのアクセスを不正アクセスと判定しないことを特徴とする請求項1ないし9のいずれかに記載の不正アクセス検知装置。 Further comprising means for registering trusted computer identification information;
The unauthorized access detection device according to claim 1, wherein the unauthorized access determination unit does not determine that access from the trusted computer is unauthorized access. 前記受信パケットの送信元アドレスと送信パケットの宛先アドレスとを比較する手段を更に具備し、
前記不正アクセス判定手段は、前記送信元アドレスと宛先アドレスとが一致すると、当該各パケットの送受信を不正アクセスと判定しないことを特徴とする請求項1ないし10のいずれかに記載の不正アクセス検知装置。 Means for comparing a source address of the received packet with a destination address of the transmitted packet;
11. The unauthorized access detection device according to claim 1, wherein the unauthorized access determination unit does not determine that the transmission / reception of each packet is unauthorized access when the transmission source address matches the destination address. .
JP2004210127A 2004-07-16 2004-07-16 Unauthorized access detecting device Pending JP2006033472A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004210127A JP2006033472A (en) 2004-07-16 2004-07-16 Unauthorized access detecting device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004210127A JP2006033472A (en) 2004-07-16 2004-07-16 Unauthorized access detecting device

Publications (1)

Publication Number Publication Date
JP2006033472A true JP2006033472A (en) 2006-02-02

Family

ID=35899280

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004210127A Pending JP2006033472A (en) 2004-07-16 2004-07-16 Unauthorized access detecting device

Country Status (1)

Country Link
JP (1) JP2006033472A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006135963A (en) * 2004-11-08 2006-05-25 Samsung Electronics Co Ltd Malignant code detecting apparatus and method
JP2010539735A (en) * 2006-11-13 2010-12-16 サムスン エスディーエス カンパニー リミテッド Denial of service attack blocking method using TCP state transition
US8874723B2 (en) 2006-12-28 2014-10-28 Nec Corporation Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof
JP2015015581A (en) * 2013-07-04 2015-01-22 富士通株式会社 Monitoring device, monitoring method, and program
JP2016015676A (en) * 2014-07-03 2016-01-28 富士通株式会社 Monitoring device, monitoring system, and monitoring method
JP2016046654A (en) * 2014-08-22 2016-04-04 富士通株式会社 Security system, security method, security device, and program

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006135963A (en) * 2004-11-08 2006-05-25 Samsung Electronics Co Ltd Malignant code detecting apparatus and method
JP2010539735A (en) * 2006-11-13 2010-12-16 サムスン エスディーエス カンパニー リミテッド Denial of service attack blocking method using TCP state transition
US8874723B2 (en) 2006-12-28 2014-10-28 Nec Corporation Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof
JP2015015581A (en) * 2013-07-04 2015-01-22 富士通株式会社 Monitoring device, monitoring method, and program
JP2016015676A (en) * 2014-07-03 2016-01-28 富士通株式会社 Monitoring device, monitoring system, and monitoring method
JP2016046654A (en) * 2014-08-22 2016-04-04 富士通株式会社 Security system, security method, security device, and program

Similar Documents

Publication Publication Date Title
US7284272B2 (en) Secret hashing for TCP SYN/FIN correspondence
KR101054705B1 (en) Method and apparatus for detecting port scans with counterfeit source addresses
JP4174392B2 (en) Network unauthorized connection prevention system and network unauthorized connection prevention device
US7373663B2 (en) Secret hashing for TCP SYN/FIN correspondence
KR101424490B1 (en) Reverse access detecting system and method based on latency
US7711790B1 (en) Securing an accessible computer system
Verba et al. Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS)
US20040049695A1 (en) System for providing a real-time attacking connection traceback using a packet watermark insertion technique and method therefor
JP2006512856A (en) System and method for detecting and tracking DoS attacks
WO2010031288A1 (en) Botnet inspection method and system
CN110784464B (en) Client verification method, device and system for flooding attack and electronic equipment
JP2006352274A (en) Frame transfer controller, refusal of service attack defense unit and system
JP2006243878A (en) Unauthorized access detection system
JP2002007234A (en) Detection device, countermeasure system, detecting method, and countermeasure method for illegal message, and computer-readable recording medium
JP2004302538A (en) Network security system and network security management method
KR101263381B1 (en) Method and apparatus for defending against denial of service attack in tcp/ip networks
JP2004356915A (en) System and apparatus for information processing, program, and method for detecting abnormality of communication through communication network
JP2004140524A (en) Method and apparatus for detecting dos attack, and program
JP2006033472A (en) Unauthorized access detecting device
CN112235329A (en) Method, device and network equipment for identifying authenticity of SYN message
CN112231679A (en) Terminal equipment verification method and device and storage medium
JP4641848B2 (en) Unauthorized access search method and apparatus
JP4014599B2 (en) Source address spoofed packet detection device, source address spoofed packet detection method, source address spoofed packet detection program
JP2006099590A (en) Access controller, access control method and access control program
KR100613904B1 (en) Apparatus and method for defeating network attacks with abnormal IP address

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090107

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090513