JP2006060306A - Packet filtering method and packet filter device - Google Patents

Packet filtering method and packet filter device Download PDF

Info

Publication number
JP2006060306A
JP2006060306A JP2004237384A JP2004237384A JP2006060306A JP 2006060306 A JP2006060306 A JP 2006060306A JP 2004237384 A JP2004237384 A JP 2004237384A JP 2004237384 A JP2004237384 A JP 2004237384A JP 2006060306 A JP2006060306 A JP 2006060306A
Authority
JP
Japan
Prior art keywords
packet
information
transmission path
received
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004237384A
Other languages
Japanese (ja)
Inventor
Tsuguji Saito
嗣治 斉藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004237384A priority Critical patent/JP2006060306A/en
Publication of JP2006060306A publication Critical patent/JP2006060306A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a packet filtering method capable of dealing with continuous illegal access like a service rejection attack. <P>SOLUTION: The packet filter device (10) is equipped with: a rule storage section (14) which stores rule information including conditions for specifying a plurality of specified packets received from a packet transmission path (100), a packet information extraction section (12) which extracts packet information for identifying the packets received from the transmission line from the packets; a statistical processing part (13) which finds statistics of the packet information each time the packet information is extracted by the packet information extraction section; and a decision section (15) which decides whether the packets received from the transmission line need to be discarded according to the statistics found by the statistical processing part and the rule information. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、通信ネットワークあるいは個々の通信端末に設けられるファイアウォールシステム等に設けられるパケットフィルタリング機能に関する。   The present invention relates to a packet filtering function provided in a firewall system or the like provided in a communication network or individual communication terminals.

従来、LANのような構内ネットワークや個人利用の通信端末における情報セキュリティを強化するために、外部ネットワークとの境界あるいは通信端末内に、外部からの不正なアクセスに対処するための、いわゆるファイアウォールシステムを導入することが知られている。ファイアウォールシステムには、外部ネットワークあるいは他端末から送られてきたパケットの受け入れ可否を判定する手段として、例えばパケットフィルタリング機能を持つものがある。この機能は、予め設定されたルールに基づいてパケットの受け入れ可否を判定し、受け入れ拒否と判定したとき、当該パケットを廃棄することにより外部からの不正なアクセスに対処する。   2. Description of the Related Art Conventionally, in order to enhance information security in a local network such as a LAN or a communication terminal for personal use, a so-called firewall system for dealing with unauthorized access from the outside at a boundary with an external network or in a communication terminal has been provided. It is known to introduce. Some firewall systems have a packet filtering function, for example, as means for determining whether or not to accept a packet sent from an external network or another terminal. This function determines whether or not to accept a packet based on a preset rule. When it is determined that the packet is rejected, the function deals with unauthorized access from the outside by discarding the packet.

このようなパケットフィルタリング機能に関し、例えば、後述の特許文献1に記載の手法がある。特許文献1の手法は、受信パケットに順次的に適用する複数のルールを用意しておき、着信パケットに頻繁にマッチしないルールほど順序の後方に移動させるというものである。
特開2000−174808号公報 Regarding such a packet filtering function, for example, there is a method described in Patent Document 1 described later. The method of Patent Document 1 prepares a plurality of rules that are sequentially applied to received packets, and moves rules that do not frequently match incoming packets to the rear of the order.
JP 2000-174808 A

上記特許文献1の手法では、ルールの入れ替えを行うことにより、フィルタリング処理のパフォーマンス向上が図られている。しかしながら、この手法によるフィルタリング処理では、受信する個々のパケットに対する廃棄ルールを採用することから、例えば、いわゆるサービス拒否攻撃(DoS:Denial of Services)のように、意図的に大量のパケットが送り付けられるといった事態が発生しても、その送信元を不正なものとして予め関知していない限り、事態の異常性を認識し難いという不都合がある。   In the method of Patent Document 1, the performance of filtering processing is improved by replacing rules. However, the filtering process using this method employs a discard rule for each received packet. For example, a large number of packets are intentionally sent as in a so-called Denial of Services (DoS) attack. Even if a situation occurs, there is an inconvenience that it is difficult to recognize the abnormality of the situation unless the sender is known in advance as an unauthorized one.

本発明は、上記課題に鑑みてなされたものであり、連続的な不正アクセスにも適正に対処し得るパケットフィルタリング方法を提供することを目的とする。   The present invention has been made in view of the above problems, and an object of the present invention is to provide a packet filtering method capable of appropriately dealing with continuous unauthorized access.

本発明に係るパケットフィルタリング方法は、パケットの伝送路に接続された装置が、前記伝送路から受信した所定の複数のパケットを特定するための条件を含むルール情報を記憶し、前記伝送路から受信したパケットから該パケットを識別するためのパケット情報を抽出し、パケット情報の抽出ごとにパケット情報の統計を求め、前記求めた統計と前記ルール情報とに基づき、前記伝送路から受信したパケットの廃棄の要否を判定するという方法である。   The packet filtering method according to the present invention stores rule information including conditions for a device connected to a packet transmission path to specify a plurality of predetermined packets received from the transmission path, and receives the rule information from the transmission path. Packet information for identifying the packet is extracted from the received packets, packet information statistics are obtained for each packet information extraction, and packets received from the transmission path are discarded based on the obtained statistics and the rule information. It is a method of determining whether or not it is necessary.

本発明に係るパケットフィルタ装置は、パケットの伝送路から受信した所定の複数のパケットを特定するための条件を含むルール情報を記憶するルール記憶部と、前記伝送路から受信したパケットから該パケットを識別するためのパケット情報を抽出するパケット情報抽出部と、前記パケット情報抽出部によるパケット情報の抽出ごとにパケット情報の統計を求める統計処理部と、前記統計処理部により求めた統計と前記ルール情報とに基づき、前記伝送路から受信したパケットの廃棄の要否を判定する判定部とを備える。   A packet filter device according to the present invention includes a rule storage unit that stores rule information including a condition for specifying a plurality of predetermined packets received from a packet transmission path, and a packet received from the packet received from the transmission path. A packet information extraction unit for extracting packet information for identification; a statistical processing unit for obtaining statistics of packet information for each extraction of packet information by the packet information extraction unit; the statistics obtained by the statistical processing unit and the rule information And a determination unit that determines whether or not to discard the packet received from the transmission path.

本発明によれば、伝送路から順次受信したパケットについて統計をとり、その統計の結果に基づきフィルタリング処理を行うことから、受信パケットの送信元を予め関知しない場合であっても、その送信元からの連続的なアクセスを検出することができる。これにより、サービス拒否攻撃のような不正なアクセスに適正に対処することができる。   According to the present invention, statistics are taken for packets sequentially received from the transmission path, and filtering processing is performed based on the results of the statistics. Therefore, even if the transmission source of the received packet is not known in advance, the transmission source Continuous access can be detected. Thereby, it is possible to appropriately deal with unauthorized access such as a denial of service attack.

[実施例1]
以下、本発明の実施例について図面を用いて詳細に説明する。図1は、本発明による実施例1の構成を示すブロック図である。実施例1のパケットフィルタ装置10は、伝送路100からのパケットを受信するためのネットワークインタフェース機構のようなパケット受信部20と、パケットフィルタ装置10により受け入れを許可されたパケットをOS(Operating System)に基づき処理するパケット処理部30とに接続されている。 [Example 1]
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 is a block diagram showing the configuration of the first embodiment according to the present invention. The packet filter device 10 according to the first embodiment includes a packet receiving unit 20 such as a network interface mechanism for receiving a packet from the transmission line 100, and an OS (Operating System) that accepts a packet permitted to be accepted by the packet filter device 10. Is connected to a packet processing unit 30 for processing based on the above.

パケットフィルタ装置10は、図1に示すように、パケット受信部20から供給されるパケットを一時的に保存するバッファ11と、バッファ11内のパケットに対する読み出し及び廃棄等の処理を行うバッファ内パケット処理部12と、読み出されたパケットからパケット情報を抽出すると共にパケット情報の統計を求める統計処理部13と、フィルタリング処理に関する後述のルール情報を記憶するルール記憶部14と、統計処理部13の統計およびルール記憶部14のルール情報に基づきパケットを廃棄するか否かを判定する判定部15とを備える。   As shown in FIG. 1, the packet filter device 10 includes a buffer 11 that temporarily stores a packet supplied from the packet receiver 20, and an in-buffer packet process that performs processing such as reading and discarding of the packet in the buffer 11. Unit 12, a statistical processing unit 13 that extracts packet information from the read packet and obtains statistical information of the packet information, a rule storage unit 14 that stores later-described rule information related to filtering processing, and statistics of statistical processing unit 13 And a determination unit 15 that determines whether to discard the packet based on the rule information in the rule storage unit 14.

図2に、ルール記憶部14が記憶するルール情報の一例を示す。ルール情報150には、フィルタリング処理の判定対象を示す「対象151」と、対象151に該当するパケットから特定のパケットを識別するための「条件152」と、条件152に合致したパケットに対するフィルタリング処理の内容を示す「処理153」とが含まれる。   FIG. 2 shows an example of rule information stored in the rule storage unit 14. The rule information 150 includes a “target 151” indicating a filtering process determination target, a “condition 152” for identifying a specific packet from packets corresponding to the target 151, and a filtering process for a packet that matches the condition 152. “Processing 153” indicating the contents is included.

図2に示すルール情報150は、伝送路100から「1秒間」に受信したパケットが、「同一ソースIPアドレスから10パケット以上届く」という条件を満たすとき、それらを「廃棄」し、また、「TCPの80番ポート」に届いた「すべて」のパケットは「通過」させることを規定したものである。   The rule information 150 shown in FIG. 2 “discards” packets received in “one second” from the transmission path 100 when the condition “10 or more packets from the same source IP address” is satisfied, It is defined that “all” packets that reach “TCP port 80” are “passed”.

図3のシーケンス図に沿って、本実施例の動作手順を説明する。まず、事前準備として、パケットフィルタ装置10のバッファ内パケット処理部12は、ルール記憶部14のルール情報150から対象151を取得することにより、統計処理部13へ供給すべきパケットの読み出しタイミングを認識する(ステップA1)。パケット受信部20は、伝送路100からパケットを受信すると、それらを順次バッファ11へ格納する(ステップA2)。   The operation procedure of this embodiment will be described with reference to the sequence diagram of FIG. First, as a preliminary preparation, the buffer packet processing unit 12 of the packet filter device 10 acquires the target 151 from the rule information 150 of the rule storage unit 14 to recognize the read timing of the packet to be supplied to the statistical processing unit 13. (Step A1). When receiving packets from the transmission line 100, the packet receiving unit 20 sequentially stores them in the buffer 11 (step A2).

バッファ内パケット処理部12は、バッファ11の蓄積状況を確認し(ステップA3)、バッファ11内にパケットが存在するとき、それらのパケットをバッファ11から読み出す(ステップA4)。バッファ11からの読み出しタイミングは、適宜設定することができ、その一例としては、タイマ制御によりバッファ11から連続的にパケットを読み出すという方法が考えられる。この場合、対象151の「1秒間」より短い時間間隔にてパケットを読み出すよう設定することにより、パケットフィルタ装置10を通過させるパケットの処理遅延を回避することができる。また、ネットワーク上のトラヒックコントロールに沿ったタイミングで受信パケットを読み出す等も好ましい手法である。   The in-buffer packet processing unit 12 confirms the accumulation status of the buffer 11 (step A3), and when there are packets in the buffer 11, reads them from the buffer 11 (step A4). The timing of reading from the buffer 11 can be set as appropriate. As an example, a method of continuously reading packets from the buffer 11 by timer control is conceivable. In this case, by setting the packet 151 to be read at a time interval shorter than “one second” of the target 151, it is possible to avoid a processing delay of the packet that passes through the packet filter device 10. It is also a preferable method to read out received packets at a timing according to traffic control on the network.

バッファ内パケット処理部12は、バッファ11からパケットを読み出すごとに、そのパケットを識別するためのパケット情報を抽出する。パケット情報とは、例えば、パケットのIPヘッダ領域に記述されているソースIPアドレス、あるいはTCPヘッダ領域の宛先ポート番号等、ルール情報150の条件152に対応する情報を指す。バッファ内パケット処理部12は、抽出したパケット情報を統計処理部13へ供給する(ステップA5)。   Each time the packet processing unit 12 in the buffer reads a packet from the buffer 11, it extracts packet information for identifying the packet. The packet information refers to information corresponding to the condition 152 of the rule information 150 such as a source IP address described in the IP header area of the packet or a destination port number in the TCP header area. The in-buffer packet processing unit 12 supplies the extracted packet information to the statistical processing unit 13 (step A5).

統計処理部13は、バッファ内パケット処理部12から受け取ったパケット情報について、ルール情報150の条件152に沿った統計処理を行う。ここで言う統計処理とは、例えば図2のルール情報150の場合、ソースIPアドレスごとにパケット数を集計すること、また、ポート番号を記録することにより、パケット情報の統計を求めることを指す。統計処理部13は、求めた統計を判定部15へ供給する(ステップA6)。   The statistical processing unit 13 performs statistical processing on the packet information received from the in-buffer packet processing unit 12 according to the condition 152 of the rule information 150. For example, in the case of the rule information 150 in FIG. 2, the statistical processing referred to here refers to calculating the packet information statistics by counting the number of packets for each source IP address and recording the port number. The statistical processing unit 13 supplies the obtained statistics to the determination unit 15 (step A6).

判定部15は、統計処理部13から順次受け取った統計が、ルール情報150の条件152を満たすか否かを判定する。例えば、図2に示す条件152の「同一ソースIPアドレスから10パケット以上届く」に対しては、統計処理部13からのソースIPアドレスに関する「1秒間」分の統計を参照し、この統計において、同一のソースIPアドレスを持つパケットが10個以上記録されているか否かを判定する。なお、上記の「1秒間」分の統計とは、例えばバッファ11からの読み出し間隔が0.5秒間隔であれば、2回分の統計を指す。   The determination unit 15 determines whether the statistics sequentially received from the statistical processing unit 13 satisfy the condition 152 of the rule information 150. For example, with respect to the condition 152 shown in FIG. 2 that “more than 10 packets arrive from the same source IP address”, the statistics for “one second” regarding the source IP address from the statistical processing unit 13 are referred to. It is determined whether 10 or more packets having the same source IP address are recorded. Note that the above-mentioned “one second” statistics refers to statistics for two times when the interval between reading from the buffer 11 is 0.5 seconds, for example.

その結果、同一のソースIPアドレスのパケットが10個以上であるとき、条件152を満たすと判断し、現時点の処理においては、処理153で指定されている「廃棄」を適用することを決定する。また、同一のソースIPアドレスが10個未満である場合は、パケットを受け入れると決定する。すなわち、同一のソースIPアドレスからのパケットであっても、10個という閾値を超えるまでは廃棄されない。判定部15は、上記のような判定結果をバッファ内パケット処理部12へ通知する(ステップA7)。   As a result, when the number of packets with the same source IP address is 10 or more, it is determined that the condition 152 is satisfied, and in the current process, it is determined to apply “discard” specified in the process 153. If there are less than 10 identical source IP addresses, it is determined to accept the packet. That is, even packets from the same source IP address are not discarded until the threshold value of 10 is exceeded. The determination unit 15 notifies the in-buffer packet processing unit 12 of the determination result as described above (step A7).

バッファ内パケット処理部12は、判定部15からの判定結果が、パケットの受け入れを許可するものである場合、上記ステップA4にてバッファ11から読み出したパケットを処理すべくパケット処理部30へ転送する(ステップA8)。また、パケットの廃棄である場合は、当該パケットを廃棄する(ステップA9)。   If the determination result from the determination unit 15 permits acceptance of the packet, the in-buffer packet processing unit 12 transfers the packet read from the buffer 11 in step A4 to the packet processing unit 30 to be processed. (Step A8). If the packet is to be discarded, the packet is discarded (step A9).

以上説明した実施例1によれば、複数のパケットに関する統計の結果に基づきフィルタリングを行うことから、サービス拒否攻撃のように、同一の送信元から大量のパケットを送りつけられるといった不正アクセスが発生しても、その事態を適正に検出し、対処することができる。また、サービス拒否攻撃以外にも、例えば、侵入可能な通信ポートを長時間かけてスキャニングする、いわゆるスロースキャンにも対処可能である。さらに、ネットワーク内にて不正なコンテンツを提供するサーバを検出することにも利用することができる。   According to the first embodiment described above, since filtering is performed based on statistical results regarding a plurality of packets, unauthorized access such as a large number of packets being sent from the same source occurs like a denial of service attack. However, the situation can be properly detected and dealt with. In addition to the denial-of-service attack, for example, it is possible to cope with so-called slow scan in which an intrusive communication port is scanned for a long time. Furthermore, it can also be used to detect servers that provide unauthorized content within the network.

[実施例2]
図4は、本発明による実施例2の構成を示すブロック図である。実施例2のパケットフィルタ装置10は、図1に示す構成に加え、負荷測定部16を備える。負荷測定部16は、パケット受信部20がパケットを受信する際のCPUの稼動負荷率を求め、求めた値をバッファ内パケット処理部12へ通知する。 [Example 2]
FIG. 4 is a block diagram showing the configuration of the second embodiment according to the present invention. The packet filter device 10 according to the second embodiment includes a load measuring unit 16 in addition to the configuration illustrated in FIG. The load measuring unit 16 obtains the operating load factor of the CPU when the packet receiving unit 20 receives a packet, and notifies the in-buffer packet processing unit 12 of the obtained value.

また、本実施例では、ルール記憶部14のルール情報150として、図5に示すような情報を付加する。このルール情報150に沿った手順では、負荷測定部16により求めたパケット受信時の稼動負荷率が80%以上であるとき、バッファ内パケット処理部12は、意図的に大量のパケットが送りつけられているとの判断のもとに、受信パケットを廃棄する。   In the present embodiment, information as shown in FIG. 5 is added as the rule information 150 in the rule storage unit 14. In the procedure according to the rule information 150, when the operating load factor at the time of packet reception obtained by the load measuring unit 16 is 80% or more, the in-buffer packet processing unit 12 intentionally sends a large number of packets. The received packet is discarded based on the judgment that it is.

上記の実施例2によれば、同一の送信元からの不正アクセスに限らず、複数の送信元からの分散的な攻撃に対しても、適正に対処することができる。   According to the second embodiment, not only unauthorized access from the same transmission source but also distributed attacks from a plurality of transmission sources can be appropriately dealt with.

[実施例3]
本発明による実施例3は、組み合わせにより成立する複数の条件を持つルール情報に基づきフィルタリング処理を行う。本実施例のルール情報としては、例えば、図6に示すようなものが考えられる。図示のルール情報150には、各情報を識別するための番号154と、関連する条件を示す関連条件155とが追加されており、関連条件155で示される番号の条件が優先的に適用される。 [Example 3]
The third embodiment according to the present invention performs a filtering process based on rule information having a plurality of conditions that are established by a combination. As rule information of the present embodiment, for example, the information shown in FIG. 6 can be considered. In the illustrated rule information 150, a number 154 for identifying each information and a related condition 155 indicating a related condition are added, and the condition of the number indicated by the related condition 155 is preferentially applied. .

具体的に説明すると、図6のルール情報150では、番号「1」の情報に、関連条件155として「前提:3」が指定されている。これは、番号「1」の適用にあたっては、事前に番号「3」による判定を行い、その結果、廃棄されないパケットに番号「1」を適用することを指す。ここで、番号「3」の情報には、「TCPの80番ポート以外に向かう」パケットを「廃棄」することが指定されていることから、80番ポートに向かうパケットは廃棄されない。従って、番号「3」を前提とする番号「1」による判定では、TCPの80番ポートに向かうパケットが、「同一ソースIPアドレスから10パケット以上届く」場合に「廃棄」されることとなる。   More specifically, in the rule information 150 of FIG. 6, “premise: 3” is designated as the related condition 155 in the information of the number “1”. This means that when applying the number “1”, the determination based on the number “3” is performed in advance, and as a result, the number “1” is applied to a packet that is not discarded. Here, since the information “number 3” designates “discarding” a packet “going to other than TCP port 80”, the packet going to port 80 is not discarded. Therefore, in the determination by the number “1” on the assumption of the number “3”, the packet destined for the TCP port 80 is “discarded” when “10 or more packets arrive from the same source IP address”.

上述の実施例3によれば、複数の条件の組み合わせが可能となることから、不正アクセスに関する種々の事態に対処するための複雑なルール情報を設定することができる。   According to the above-described third embodiment, since a combination of a plurality of conditions is possible, it is possible to set complicated rule information for dealing with various situations related to unauthorized access.

[実施例4]
図7に、本発明による実施例4の構成を示す。本実施例のパケットフィルタ装置10は、電子メール送信機能を果たす判定通知部17を備える。バッファ内パケット処理部12は、判定部15によりパケット廃棄との判定があったとき、その旨を通知する電子メールを送信するよう判定通知部17に指示する。判定通知部17は、パケットを廃棄した旨を記述した電子メールを、予め設定されたメールアドレスに宛てて送信する。電子メールの宛先としては、例えば、ネットワークの監視センタやセンタ管理者の端末、あるいは個人ユーザの端末や携帯電話等を設定しておく。 [Example 4]
FIG. 7 shows the configuration of a fourth embodiment according to the present invention. The packet filter device 10 according to the present embodiment includes a determination notification unit 17 that performs an e-mail transmission function. When the determination unit 15 determines that the packet is discarded, the in-buffer packet processing unit 12 instructs the determination notification unit 17 to transmit an e-mail notifying that effect. The determination notification unit 17 transmits an e-mail describing that the packet has been discarded to a preset e-mail address. As an e-mail destination, for example, a network monitoring center, a center manager's terminal, an individual user's terminal, a mobile phone, or the like is set.

なお、電子メールによるパケット廃棄の通知は、特定の廃棄条件に合致したときのみに実行するよう設定することができる。これは、例えば、電子メールによる廃棄通知を行うか否かの情報を、ルール情報150の各条件に関連付けて設定しておき、廃棄通知を行うと設定されている条件に合致するとき、電子メールを送信するという方法である。   Note that the packet discard notification by e-mail can be set to be executed only when a specific discard condition is met. This is because, for example, information indicating whether or not to send a discard notification by e-mail is set in association with each condition of the rule information 150, and when the e-mail is matched, It is a method of transmitting.

また、判定通知部17としては、上記の電子メール送信機能に限らず、例えば、警告画面の表示あるいは警告音の鳴動等によりパケット廃棄の旨を通知する機能であってもよい。   Further, the determination notification unit 17 is not limited to the above-described e-mail transmission function, and may be a function of notifying that the packet is discarded by, for example, displaying a warning screen or sounding a warning sound.

上述の実施例4によれば、パケット廃棄が実施されるという異常な状態にあることを管理者等に速やかに通知することができ、これにより、不正なアクセスを常時監視することが可能となる。   According to the above-described fourth embodiment, it is possible to promptly notify an administrator or the like that there is an abnormal state in which packet discarding is performed, and thereby it is possible to constantly monitor unauthorized access. .

[実施例5]
本発明による実施例5は、パケットフィルタ装置10にバッファ11を配備しないケースである。この場合、バッファ内パケット処理部12は、パケット受信部20が伝送路100からパケットを受信する都度、これを取得して、送信元IPアドレスのようなパケット情報を抽出する。そして、パケット情報が抽出される都度、統計処理部13による統計処理の結果を保持すると共に、判定部15による廃棄の判定を行い、統計が廃棄の条件に合致するとき、その時点で判定の対象となったパケットを廃棄する。 [Example 5]
The fifth embodiment according to the present invention is a case where the buffer 11 is not provided in the packet filter device 10. In this case, each time the packet receiving unit 20 receives a packet from the transmission path 100, the in-buffer packet processing unit 12 acquires this and extracts packet information such as a source IP address. Each time packet information is extracted, the result of statistical processing by the statistical processing unit 13 is held, and determination of discard by the determination unit 15 is performed. When the statistics match the conditions for discarding, the target of determination at that time Discard the packet that became.

上述の実施例5によれば、バッファ11を持たずに、パケットの到着の都度、統計処理を行うことで、パケットフィルタ装置10での処理遅延を抑えることができる。   According to the above-described fifth embodiment, the processing delay in the packet filter device 10 can be suppressed by performing statistical processing each time a packet arrives without having the buffer 11.

本発明による実施例1の構成を示すブロック図である。It is a block diagram which shows the structure of Example 1 by this invention. 実施例1のルール情報を説明するための説明図である。It is explanatory drawing for demonstrating the rule information of Example 1. FIG. 実施例1の動作手順を示すシーケンス図である。FIG. 3 is a sequence diagram illustrating an operation procedure according to the first embodiment. 実施例2の構成を示すブロック図である。6 is a block diagram illustrating a configuration of Example 2. FIG. 実施例2のルール情報を説明するための説明図である。It is explanatory drawing for demonstrating the rule information of Example 2. FIG. 実施例3のルール情報を説明するための説明図である。It is explanatory drawing for demonstrating the rule information of Example 3. FIG. 実施例4の構成を示すブロック図である。FIG. 10 is a block diagram illustrating a configuration of a fourth embodiment.

符号の説明Explanation of symbols

100 伝送路
10 パケットフィルタ装置
11 バッファ
12 バッファ内パケット処理部
13 統計処理部
14 ルール記憶部
15 判定部
16 負荷測定部
17 判定通知部
20 パケット受信部
30 パケット処理部 DESCRIPTION OF SYMBOLS 100 Transmission path 10 Packet filter apparatus 11 Buffer 12 In-buffer packet processing part 13 Statistical processing part 14 Rule storage part 15 Determination part 16 Load measurement part 17 Determination notification part 20 Packet reception part 30 Packet processing part

Claims (13)

パケットの伝送路に接続された装置が、
前記伝送路から受信した所定の複数のパケットを特定するための条件を含むルール情報を記憶し、
前記伝送路から受信したパケットから該パケットを識別するためのパケット情報を抽出し、
パケット情報の抽出ごとにパケット情報の統計を求め、
前記求めた統計と前記ルール情報とに基づき、前記伝送路から受信したパケットの廃棄の要否を判定することを特徴とするパケットフィルタリング方法。 A device connected to the packet transmission path
Storing rule information including conditions for specifying a plurality of predetermined packets received from the transmission path;
Extracting packet information for identifying the packet from the packet received from the transmission path;
Obtain packet information statistics for each packet information extraction,
A packet filtering method comprising: determining whether or not to discard a packet received from the transmission path based on the obtained statistics and the rule information. 前記装置が、
パケットを受信したときの稼動負荷率を求め、
前記求めた稼動負荷率が所定値を超えるとき、受信したパケットを廃棄すると判定することを特徴とする請求項1記載のパケットフィルタリング方法。 The device is
Find the operating load factor when receiving a packet,
The packet filtering method according to claim 1, wherein when the obtained operating load factor exceeds a predetermined value, it is determined that the received packet is to be discarded. 前記装置が、
前記ルール情報として、組み合わせにより成立する複数の前記条件を含む情報を記憶することを特徴とする請求項1又は2記載のパケットフィルタリング方法。 The device is
The packet filtering method according to claim 1, wherein information including a plurality of the conditions established by a combination is stored as the rule information. 前記装置が、
前記伝送路から受信したパケットを蓄積し、
前記蓄積したパケットから所定のパケットを読み出し、該読み出したパケットから前記パケット情報を抽出することを特徴とする請求項1乃至3のいずれか1項に記載のパケットフィルタリング方法。 The device is
Accumulate packets received from the transmission path,
4. The packet filtering method according to claim 1, wherein a predetermined packet is read from the accumulated packet, and the packet information is extracted from the read packet. 前記装置が、
前記伝送路からパケットを受信したとき、該パケットから前記パケット情報を抽出することを特徴とする請求項1乃至3のいずれか1項に記載のパケットフィルタリング方法。 The device is
4. The packet filtering method according to claim 1, wherein when the packet is received from the transmission path, the packet information is extracted from the packet. 前記装置が、
パケットを廃棄すると判定したとき、該判定を通知するための電子メールを所定のメールアドレスに宛てて送信することを特徴とする請求項1乃至5のいずれか1項に記載のパケットフィルタリング方法。 The device is
6. The packet filtering method according to claim 1, wherein when it is determined that the packet is to be discarded, an e-mail for notifying the determination is transmitted to a predetermined mail address. パケットの伝送路から受信した所定の複数のパケットを特定するための条件を含むルール情報を記憶するルール記憶部と、
前記伝送路から受信したパケットから該パケットを識別するためのパケット情報を抽出するパケット情報抽出部と、
前記パケット情報抽出部によるパケット情報の抽出ごとにパケット情報の統計を求める統計処理部と、
前記統計処理部により求めた統計と前記ルール情報とに基づき、前記伝送路から受信したパケットの廃棄の要否を判定する判定部とを備えることを特徴とするパケットフィルタ装置。 A rule storage unit that stores rule information including conditions for specifying a plurality of predetermined packets received from a packet transmission path;
A packet information extraction unit for extracting packet information for identifying the packet from the packet received from the transmission path;
A statistical processing unit for obtaining statistics of packet information every time packet information is extracted by the packet information extracting unit;
A packet filter device comprising: a determination unit that determines whether or not to discard a packet received from the transmission path based on the statistics obtained by the statistical processing unit and the rule information. パケットを受信したときの稼動負荷率を求める負荷測定部を備え、
前記判定部は、前記負荷測定部により求めた稼動負荷率が所定値を超えるとき、受信したパケットを廃棄すると判定することを特徴とする請求項7記載のパケットフィルタ装置。 A load measurement unit that calculates the operating load factor when a packet is received is provided.
The packet filter device according to claim 7, wherein the determination unit determines to discard the received packet when the operating load factor obtained by the load measurement unit exceeds a predetermined value. 前記ルール情報記憶部は、前記ルール情報として、組み合わせにより成立する複数の前記条件を含む情報を記憶することを特徴とする請求項7又は8記載のパケットフィルタ装置。   9. The packet filter device according to claim 7, wherein the rule information storage unit stores information including a plurality of the conditions established by combination as the rule information. 前記伝送路から受信したパケットを蓄積するパケット蓄積部と、
前記パケット蓄積部から所定のパケットを読み出し該パケットを前記統計処理部へ供給する蓄積パケット処理部とを備えることを特徴とする請求項7乃至9のいずれか1項に記載のパケットフィルタ装置。 A packet storage unit for storing packets received from the transmission path;
The packet filter device according to claim 7, further comprising: an accumulation packet processing unit that reads a predetermined packet from the packet accumulation unit and supplies the packet to the statistical processing unit. 前記統計処理部は、前記伝送路からパケットを受信したとき、該パケットから前記パケット情報を抽出することを特徴とする請求項7乃至9のいずれか1項に記載のパケットフィルタ装置。   10. The packet filter device according to claim 7, wherein when the statistical processing unit receives a packet from the transmission path, the statistical processing unit extracts the packet information from the packet. 前記判定部によりパケットを廃棄すると判定されたとき、該判定を通知するための電子メールを所定のメールアドレスに宛てて送信する判定通知部を備えることを特徴とする請求項7乃至11のいずれか1項に記載のパケットフィルタ装置。   The determination notifying unit that transmits an e-mail for notifying the determination to a predetermined mail address when the determining unit determines to discard the packet. The packet filter device according to item 1. コンピュータを、請求項7乃至12のいずれか1項に記載のパケットフィルタ装置として機能させることを特徴とするプログラム。   A program for causing a computer to function as the packet filter device according to any one of claims 7 to 12.
JP2004237384A 2004-08-17 2004-08-17 Packet filtering method and packet filter device Pending JP2006060306A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004237384A JP2006060306A (en) 2004-08-17 2004-08-17 Packet filtering method and packet filter device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004237384A JP2006060306A (en) 2004-08-17 2004-08-17 Packet filtering method and packet filter device

Publications (1)

Publication Number Publication Date
JP2006060306A true JP2006060306A (en) 2006-03-02

Family

ID=36107455

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004237384A Pending JP2006060306A (en) 2004-08-17 2004-08-17 Packet filtering method and packet filter device

Country Status (1)

Country Link
JP (1) JP2006060306A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013070325A (en) * 2011-09-26 2013-04-18 Nec Corp Communication system, communication apparatus, server, and communication method
JP2016220213A (en) * 2015-05-22 2016-12-22 フィッシャー−ローズマウント システムズ,インコーポレイテッド Configurable Robustness Agent in Plant Security System
CN113645624A (en) * 2021-08-25 2021-11-12 广东省高峰科技有限公司 Abnormal network data checking method and device

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002342279A (en) * 2001-03-13 2002-11-29 Fujitsu Ltd Filtering device, filtering method and program for making computer execute the method
JP2003228552A (en) * 2001-10-31 2003-08-15 Hewlett Packard Co <Hp> Mobile device for mobile telecommunication network providing intrusion detection
JP2003273936A (en) * 2002-03-15 2003-09-26 First Trust:Kk Firewall system
JP2004140524A (en) * 2002-10-16 2004-05-13 Sony Corp Method and apparatus for detecting dos attack, and program
JP2004179999A (en) * 2002-11-27 2004-06-24 Mitsubishi Electric Corp Intrusion detector and method therefor

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002342279A (en) * 2001-03-13 2002-11-29 Fujitsu Ltd Filtering device, filtering method and program for making computer execute the method
JP2003228552A (en) * 2001-10-31 2003-08-15 Hewlett Packard Co <Hp> Mobile device for mobile telecommunication network providing intrusion detection
JP2003273936A (en) * 2002-03-15 2003-09-26 First Trust:Kk Firewall system
JP2004140524A (en) * 2002-10-16 2004-05-13 Sony Corp Method and apparatus for detecting dos attack, and program
JP2004179999A (en) * 2002-11-27 2004-06-24 Mitsubishi Electric Corp Intrusion detector and method therefor

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
フォンセカ ブライアン: "Part2 あらゆる脅威から自社ネットワークを守るためのIDS/IPS導入のガイドライン", SUNWORLD, vol. 第13巻,第8号, CSND200301453002, 1 August 2003 (2003-08-01), pages 054 - 059, ISSN: 0000858758 *
フォンセカ ブライアン: "Part2 あらゆる脅威から自社ネットワークを守るためのIDS/IPS導入のガイドライン", SUNWORLD, vol. 第13巻,第8号, JPN6008021518, 1 August 2003 (2003-08-01), pages 054 - 059, ISSN: 0001037216 *
吉田稔 他: "安全・安心を支えるITソリューション ネットワークセキュリティソリューション", 三菱電機技報, vol. 第78巻,第4号, CSNH200500015005, 25 April 2004 (2004-04-25), pages 19 - 22, ISSN: 0000858759 *
寺山 尚宏 他: "IPテレフォニー提供時の輻輳制御方式", 電子情報通信学会技術研究報告, vol. 第101巻,第441号, JPN6008021519, 14 November 2001 (2001-11-14), pages 7 - 12, ISSN: 0001037217 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013070325A (en) * 2011-09-26 2013-04-18 Nec Corp Communication system, communication apparatus, server, and communication method
JP2016220213A (en) * 2015-05-22 2016-12-22 フィッシャー−ローズマウント システムズ,インコーポレイテッド Configurable Robustness Agent in Plant Security System
US11363035B2 (en) 2015-05-22 2022-06-14 Fisher-Rosemount Systems, Inc. Configurable robustness agent in a plant security system
CN113645624A (en) * 2021-08-25 2021-11-12 广东省高峰科技有限公司 Abnormal network data checking method and device

Similar Documents

Publication Publication Date Title
US9392002B2 (en) System and method of providing virus protection at a gateway
EP2257024B1 (en) Method, network apparatus and network system for defending distributed denial of service ddos attack
AU2008207926B2 (en) Correlation and analysis of entity attributes
US8601065B2 (en) Method and apparatus for preventing outgoing spam e-mails by monitoring client interactions
CN106471778B (en) Attack detection device and attack detection method
JP2006352831A (en) Network controller and method of controlling the same
AU2008207924B2 (en) Web reputation scoring
JP6599819B2 (en) Packet relay device
JP5017440B2 (en) Network control apparatus and control method thereof
US20090240804A1 (en) Method and apparatus for preventing igmp packet attack
CN111010409A (en) Encryption attack network flow detection method
CN111756685B (en) DDOS attack detection method based on hypothesis test
US20180082062A1 (en) Technique for detecting suspicious electronic messages
JP2005184792A (en) Band control device, band control method, and program
CN112511517A (en) Mail detection method, device, equipment and medium
JP2008278272A (en) Electronic system, electronic equipment, central apparatus, program, and recording medium
JP2004140524A (en) Method and apparatus for detecting dos attack, and program
CN108737344B (en) Network attack protection method and device
JP2005210601A (en) Intrusion detector
JP5531064B2 (en) COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
US11895146B2 (en) Infection-spreading attack detection system and method, and program
JP3760919B2 (en) Unauthorized access prevention method, apparatus and program
JP2006060306A (en) Packet filtering method and packet filter device
US20210136103A1 (en) Control device, communication system, control method, and computer program
EP2109281A1 (en) Method and system for server-load and bandwidth dependent mitigation of distributed denial of service attacks

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070524

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070530

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070727

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080507

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080508

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20081127