JP2006201951A - Network defence system, network defence method, monitoring manager and program - Google Patents

Network defence system, network defence method, monitoring manager and program Download PDF

Info

Publication number
JP2006201951A
JP2006201951A JP2005011719A JP2005011719A JP2006201951A JP 2006201951 A JP2006201951 A JP 2006201951A JP 2005011719 A JP2005011719 A JP 2005011719A JP 2005011719 A JP2005011719 A JP 2005011719A JP 2006201951 A JP2006201951 A JP 2006201951A
Authority
JP
Japan
Prior art keywords
information
network
detection
detection information
monitoring manager
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005011719A
Other languages
Japanese (ja)
Inventor
Hiroto Kawashiro
弘人 川白
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005011719A priority Critical patent/JP2006201951A/en
Publication of JP2006201951A publication Critical patent/JP2006201951A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a network defence system, a network defence method, a monitoring manager, and a program, capable of receiving substantially instantaneously receiving information for an attack or illicit access which has been generated in a place having no relation from a fire wall side, and taking a measure to the same illicitness. <P>SOLUTION: A detection system 20 detects illicit information and forms detection information. The fire wall 10 analyzes the detection information. The monitoring manager 30 develops illicit information to network equipment located in the other network monitored by an own apparatus based on the received detection information. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、不正アクセス検知システムと連動したネットワーク防御システム、ネットワーク防御方法、監視マネージャおよびプログラムに関する。   The present invention relates to a network defense system, a network defense method, a monitoring manager, and a program linked with an unauthorized access detection system.

近年、ネットワークを介した攻撃、ホームページの改ざん等の不正アクセスが後を絶たず、多くの企業やグループが大きな損害を被ってきた。   In recent years, attacks via the network and unauthorized access such as falsification of homepages have continued, and many companies and groups have suffered great damage.

このような不正に対して、例えば、LAN(Local Area Network)内に管理サーバを置き、LAN内の各サーバのログをチェックして不正を発見、さらに、その不正があったという旨を通知するホストサーバを置くという例がある。   For example, a management server is placed in a local area network (LAN), and the log of each server in the LAN is checked to find the fraud. Further, the fact that the fraud has occurred is notified. There is an example of putting a host server.

しかし、このシステムでは、ログをチェックして不正を発見するという方式であり、不正が起こってから対策を施すまでにある程度の時間がかかってしまうという問題があり、さらに、ホストサーバも管理サーバが送信した不正があったという通知を転送や、さらに管理サーバのログを受信するといった機能しか持たず、防御対策とる点では特に有効な動作は行わない。   However, in this system, it is a method of checking the log to detect fraud, and there is a problem that it takes a certain amount of time to take countermeasures after fraud occurs, and the host server also has a management server It has only functions such as forwarding notifications of sent frauds and receiving management server logs, and does not perform particularly effective operations in terms of defense measures.

これに対し、外部からの攻撃等に対して、LAN内の検知システムがすばやく自ネットワークにあるファイアウォールに不正情報をフィードバックし、次回からの同様の不正アクセスに対してファイアウォールでブロックする方式は、検知システムがある自ネットワーク(自LAN)のみの防御に閉じてしまっている。   On the other hand, in response to external attacks, etc., the detection system in the LAN quickly feeds back unauthorized information to the firewall in the local network, and the next unauthorized access is blocked by the firewall. The system is closed to the defense of only its own network (own LAN).

インターネット環境を多くの人々が気軽に利用することができ、さらに、電子商取引等金銭その他価値のある情報が当たり前のようにネットワーク上を流れている現状を考えると、自己が使用しているネットワークのみが安全であれば問題がないといった認識では、今後のネットワーク環境の発展の妨げになる。   Considering the current situation where many people can easily use the Internet environment, and money and other valuable information such as e-commerce are flowing on the network as a matter of course, only the network that they are using If it is safe, there will be no problem, and this will hinder future network environment development.

また、何よりも相手のネットワーク環境がセキュアでなければ自分の発信した情報もまた不正者のターゲットになり、結局自分自身も守れていないといった結果になる。   Also, above all, if the other party's network environment is not secure, the information sent by him / her will also be the target of unauthorized persons, and eventually he / she will not be protected.

ここで、通信網における複数のボーダルータがTCP−SYNパケットを監視し、宛先毎にTCP−SYNパケットを計数および集計し、この集計結果を複数のボーダルータ相互間で交換することにより、これらのボーダルータを経由して当該通信網に流入するTCP−SYNパケットを監視し、同一宛先に対して異常な個数で流入するTCP−SYNパケットについては、これを分散型サービス拒絶攻撃を目的とするTCP−SYNパケットと判断してこの流入を抑制することによって、分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の網流入の制限や停止を行うことができる技術が提案されている(例えば、特許文献1参照)。
特開2003−289337号公報 Here, a plurality of border routers in the communication network monitor the TCP-SYN packets, count and count the TCP-SYN packets for each destination, and exchange these summation results between the plurality of border routers. TCP-SYN packets that flow into the communication network via the border router are monitored, and TCP-SYN packets that flow in an abnormal number for the same destination are used for TCP for the purpose of distributed denial-of-service attacks. -Suppressing this inflow by determining that it is a SYN packet, it is possible to detect a sophisticated attack from a malicious user such as a distributed denial-of-service attack, and to limit or stop malicious calls from entering the network A technique has been proposed (see, for example, Patent Document 1).
JP 2003-289337 A

しかしながら、上述した従来例においては次のような問題点があった。   However, the conventional example described above has the following problems.

従来のネットワーク防御では、ある一箇所のネットワーク内のサーバ等が攻撃を受けた場合、その検知情報の他のネットワークへの通知、展開が遅く、防御対策の設定を行う前に他のネットワークも同様の攻撃や不正アクセスを受け、被害を受ける可能性が高いという問題があった。   In the conventional network defense, when a server in one network is attacked, the detection information is not notified to other networks and the deployment is slow, and so on other networks before setting defense measures. There was a problem that there was a high possibility of being damaged by attacks and unauthorized access.

そこで、本発明は、ファイアウォール側から見て、全く関係の無いところで発生した攻撃や不正アクセスに関して、ほぼ瞬時に情報が届き、同様の不正に対して未然に対策をとることができるネットワーク防御システム、ネットワーク防御方法、監視マネージャおよびプログラムを提供することを目的とする。   Accordingly, the present invention provides a network defense system that can receive information almost instantaneously and take countermeasures against similar frauds, regarding attacks and unauthorized access that occurred at all points of view from the firewall side, An object is to provide a network defense method, a monitoring manager, and a program.

請求項1記載の発明は、検知システムと、ファイアウォールと、これらとネットワークを介して接続されている監視マネージャと、を含むネットワーク防御システムであって、検知システムは、不正情報を検知し、検知情報を作成する不正情報検知手段を備え、ファイアウォールは、検知情報を解析する検知情報解析手段を備え、監視マネージャは、受け取った検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開する送信手段を備えることを特徴とするネットワーク防御システムである。   The invention described in claim 1 is a network defense system including a detection system, a firewall, and a monitoring manager connected to the firewall via a network. The detection system detects fraudulent information and detects the detection information. The firewall includes detection information analysis means for analyzing the detection information, and the monitoring manager uses the received detection information to connect to network devices in other networks monitored by the own device. A network defense system comprising a transmission means for developing unauthorized information.

請求項2記載の発明は、請求項1記載のネットワーク防御システムにおいて、監視マネージャは、検知情報を受け取った場合に、自機が保有する管理テーブル情報をもとに自機が監視する他のネットワークにあるネットワーク機器の設定がセキュアになるように自動で変更する手段をさらに備える。   According to a second aspect of the present invention, in the network defense system according to the first aspect, when the monitoring manager receives the detection information, the other network monitored by the own device based on the management table information held by the own device There is further provided means for automatically changing the setting of the network device in order to be secure.

請求項3記載の発明は、検知システムと、ファイアウォールと、これらとネットワークを介して接続されている監視マネージャと、を利用したネットワーク防御方法であって、検知システムが、不正情報検知手段によって不正情報を検知し、検知情報を作成するステップを有し、ファイアウォールが、検知情報解析手段によって検知情報を解析するステップを有し、監視マネージャが、送信手段によって受け取った検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開するステップを有することを特徴とするネットワーク防御方法である。   The invention described in claim 3 is a network defense method using a detection system, a firewall, and a monitoring manager connected to these via a network, wherein the detection system detects unauthorized information by unauthorized information detection means. And detecting the detection information, and the firewall has a step of analyzing the detection information by the detection information analysis means, and the monitoring manager uses the detection information received by the transmission means, A network defense method comprising the step of deploying unauthorized information to a network device in another network to be monitored.

請求項4記載の発明は、請求項3記載のネットワーク防御方法において、監視マネージャが、検知情報を受け取った場合に、自機が保有する管理テーブル情報をもとに自機が監視する他のネットワークにあるネットワーク機器の設定がセキュアになるように自動で変更するステップをさらに有する。   According to a fourth aspect of the present invention, in the network defense method according to the third aspect, when the monitoring manager receives the detection information, another network monitored by the own device based on the management table information held by the own device The network device further includes a step of automatically changing the setting of the network device so as to be secure.

請求項5記載の発明は、ネットワークを介して接続されているファイアウォールから受け取った不正情報の検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開することを特徴とする監視マネージャである。   The invention according to claim 5 is characterized in that, based on detection information of unauthorized information received from a firewall connected via a network, the unauthorized information is deployed to a network device in another network monitored by the own device. It is a monitoring manager.

請求項6記載の発明は、請求項5記載の監視マネージャにおいて、検知情報を受け取った場合に、自機が保有する管理テーブル情報をもとに自機が監視する他のネットワークにあるネットワーク機器の設定がセキュアになるように自動で変更する。   According to the sixth aspect of the present invention, in the monitoring manager according to the fifth aspect, when the detection information is received, the network device in another network monitored by the own device based on the management table information held by the own device. Automatically change settings to be secure.

請求項7記載の発明は、検知システムに、不正情報検知手段によって不正情報を検知し、検知情報を作成するステップを実行させ、ファイアウォールに、検知情報解析手段によって検知情報を解析するステップを実行させ、監視マネージャに、ネットワークを介して送信手段によって受け取った検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開するステップを実行させることを特徴とするプログラムである。   The invention according to claim 7 causes the detection system to detect illegal information by the illegal information detection means and execute the step of creating detection information, and causes the firewall to execute the step of analyzing the detection information by the detection information analysis means. A program for causing a monitoring manager to execute a step of deploying unauthorized information to a network device in another network monitored by the own device based on detection information received by a transmission unit via the network .

請求項8記載の発明は、請求項7記載のプログラムにおいて、監視マネージャに、検知情報を受け取った場合に、自機が保有する管理テーブル情報をもとに自機が監視する他のネットワークにあるネットワーク機器の設定がセキュアになるように自動で変更するステップをさらに実行させる。   The invention described in claim 8 is in the other network monitored by the self-machine based on the management table information held by the self-machine when the detection information is received by the monitoring manager. A step of automatically changing the network device settings to be secure is further executed.

本発明のネットワーク防御システム、ネットワーク防御方法、監視マネージャおよびプログラムによれば、ファイアウォール側から見て、全く関係の無いところで発生した攻撃や不正アクセスに関して、ほぼ瞬時に情報が届き、同様の不正に対して未然に対策をとることができる。   According to the network defense system, the network defense method, the monitoring manager, and the program of the present invention, information can be received almost instantaneously regarding attacks and unauthorized accesses that have occurred at all points of view from the firewall side. Measures can be taken.

次に、本発明の第1の実施の形態の構成について図面を参照して説明する。   Next, the configuration of the first exemplary embodiment of the present invention will be described with reference to the drawings.

図1を参照すると、本実施の形態におけるネットワーク防御システムは、ファイアウォール10、サーバ内にある検知システム20、インターネットのようなネットワーク100を介して、自身が管理しているファイアウォールなどのネットワーク機器を監視する監視マネージャ30とから構成されている。ネットワーク100は、任意のネットワークであってよく、例えば、光ファイバ、インターネット、公衆回線、LAN(Local Area Network)、ADSL(Asymmetric Digital Subscriber Line)等であってもよい。なお、通信方法は、有線であっても、無線であってもよい。   Referring to FIG. 1, the network defense system according to the present embodiment monitors a network device such as a firewall managed by itself through a firewall 10, a detection system 20 in the server, and a network 100 such as the Internet. And a monitoring manager 30. The network 100 may be any network, and may be, for example, an optical fiber, the Internet, a public line, a LAN (Local Area Network), an ADSL (Asymmetric Digital Subscriber Line), or the like. The communication method may be wired or wireless.

図2を参照すると、ファイアウォール10は、検知システム20からの検知情報受信部11と、受信データの認証を行う認証部12、受信した検知情報の解析を行う検知情報解析部13、検知情報解析部で解析された情報を監視マネージャ30に送信する検知情報送信部14、パケットフィルタリング等、いわゆるファイアウォールの機能を制御するファイアウォール制御部15、監視マネージャ30からの情報を受信するマネージャ情報受信部16を備えている。   Referring to FIG. 2, the firewall 10 includes a detection information receiving unit 11 from the detection system 20, an authentication unit 12 that authenticates received data, a detection information analysis unit 13 that analyzes received detection information, and a detection information analysis unit. A detection information transmission unit 14 that transmits information analyzed in step 1 to the monitoring manager 30, a firewall control unit 15 that controls a so-called firewall function such as packet filtering, and a manager information reception unit 16 that receives information from the monitoring manager 30. ing.

検知システム20は、ネットワークを介した攻撃や、不正アクセス、許可しない振る舞いを行うプログラムを検知する不正アクセス検知部21、不正アクセス検知部21が検知した情報を通知フォーマットに変更したり、その他自IPアドレス等検知情報として必要な情報を管理したり、送信先を決定する機能を持つ通知制御部22、通知制御部22で作成した検知情報を送信する検知情報送信部23を備えている。   The detection system 20 includes an unauthorized access detection unit 21 that detects an attack through a network, unauthorized access, and a program that performs unauthorized behavior, changes information detected by the unauthorized access detection unit 21 to a notification format, and other IP It includes a notification control unit 22 having a function of managing necessary information as detection information such as an address and determining a transmission destination, and a detection information transmission unit 23 that transmits detection information created by the notification control unit 22.

監視マネージャ30は、キーボード等からの入力を受け付ける入力インタフェース31、ファイアウォール10や他のネットワーク機器から検知情報を受信する受信部32、受信した検知情報の解析や、どのネットワークを監視しているか等の管理を行う検知情報制御部33、防御対策を行うネットワーク機器の情報や、実際に防御設定を行うのか、または通知のみなのかといったレベル等を管理する管理テーブル34、受信した情報の認証を行う認証部35、検知情報制御部33で作成された防御設定情報、あるいは検知連絡情報を、元の検知情報の送信元であるファイアウォール10以外のファイアウォール10に送信する送信部36を備えている。   The monitoring manager 30 includes an input interface 31 that receives input from a keyboard and the like, a receiving unit 32 that receives detection information from the firewall 10 and other network devices, analysis of the received detection information, and which network is being monitored, etc. A detection information control unit 33 that performs management, information on network devices that perform defensive measures, a management table 34 that manages levels such as whether protection settings are actually performed or only notifications, and authentication that authenticates received information The transmission part 36 which transmits the defense setting information produced | generated by the part 35 and the detection information control part 33 to the firewall 10 other than the firewall 10 which is the transmission origin of the original detection information is provided.

次に、図2〜4を参照して、本実施の形態における、ネットワーク防御処理のフローを詳細に説明する。   Next, with reference to FIGS. 2-4, the flow of the network defense process in this Embodiment is demonstrated in detail.

図3を参照すると、まず、はじめに、監視マネージャ30に、入力インタフェース31を介して監視するネットワークの情報を登録しておく(ステップA00)。これは、ファイアウォール10のIPアドレスや、ファイアウォール10の属するネットワークの管理者のメールアドレス、設定変更をするか、通知のみかのレベル情報等である。登録するネットワーク情報は、複数でもかまわない。ここでの監視マネージャ30は、例えば、監視サービスを行う事業者を想定し、異なる企業、グループのネットワークやサーバや、ファイアウォールで区切られた複数のネットワークを監視するものとする。入力インタフェースは、例えば、キーボードからの入力、あるいは他の記憶媒体からの読み込みであり、具体的な手段はここでは特定しない。   Referring to FIG. 3, first, network information to be monitored is registered in the monitoring manager 30 via the input interface 31 (step A00). This is the IP address of the firewall 10, the mail address of the administrator of the network to which the firewall 10 belongs, the level information indicating whether the setting is changed or notification only. Multiple network information may be registered. Here, the monitoring manager 30 is assumed to monitor a plurality of networks separated by firewalls and networks of different companies and groups, assuming a business operator that performs a monitoring service, for example. The input interface is, for example, input from a keyboard or reading from another storage medium, and specific means are not specified here.

次に、検知システムが、不正アクセスを検知し(ステップA10)、検知情報を作成する(ステップ20)。不正アクセスの検知の手段は、例えば、特開2004−304752等がある。ここでは、具体的な検知手段については言及しない。検知情報としては、例えば、「改ざんが行われた」とか、「アクセス禁止のファイルにアクセスした」といった、不正の内容や、不正が行われた時刻、アクセス元のIPアドレスといったものが考えられる。   Next, the detection system detects unauthorized access (step A10) and creates detection information (step 20). As a means for detecting unauthorized access, there is, for example, JP-A-2004-304752. Here, specific detection means will not be mentioned. The detection information may be, for example, illegal contents such as “Falsification has been performed” or “Access to an access-prohibited file”, the time when the fraud was performed, and the IP address of the access source.

次に、作成した検知情報をファイアウォール10に通知する(ステップA30)。ファイアウォール10は、検知システム20から検知情報を受信すると、その情報が正規のものかの認証を行う(ステップA40、A50)。ここでの認証方式は特に特定しない。認証がNGであったら終了する。   Next, the created detection information is notified to the firewall 10 (step A30). When the firewall 10 receives the detection information from the detection system 20, the firewall 10 authenticates whether the information is legitimate (steps A40 and A50). The authentication method here is not particularly specified. If authentication is NG, the process ends.

一方、認証がOKだったら、検知情報解析部13で検知情報の解析を行う(ステップA60)。ここでは、検知情報に含まれているIPアドレス等の情報を抜き出し、次のステップへ備える。解析が完了したら、例えば、検知情報から抜き出したIPアドレスをファイアウォール制御部15に通知する(ステップA70)。ファイアウォール制御部は、いわゆる通常のファイアウォール機能のことを指し、ここで通知された送信元IPアドレスからのアクセスは許可しないといった設定をすることが可能である。また、検知情報解析部13は、検知情報送信部14を経由して、監視マネージャ30に検知情報を送信する(ステップA80)。   On the other hand, if the authentication is OK, the detection information analysis unit 13 analyzes the detection information (step A60). Here, information such as the IP address included in the detection information is extracted and prepared for the next step. When the analysis is completed, for example, the firewall control unit 15 is notified of the IP address extracted from the detection information (step A70). The firewall control unit refers to a so-called normal firewall function, and can be set such that access from the notified source IP address is not permitted. Moreover, the detection information analysis part 13 transmits detection information to the monitoring manager 30 via the detection information transmission part 14 (step A80).

監視マネージャ30は、ファイアウォール10から検知情報を受信すると、その情報が正規のものかの認証部35で認証を行う(ステップA90、A100)。ここでの認証方式は特に特定しない。認証がNGであったら終了する。   When the monitoring manager 30 receives the detection information from the firewall 10, the authentication unit 35 authenticates whether the information is legitimate (steps A90 and A100). The authentication method here is not particularly specified. If authentication is NG, the process ends.

一方、認証がOKだったら、検知情報制御部33で検知情報の解析を行う(ステップA110)。検知情報制御部は、ステップA00で生成した管理テーブルを管理している。受信した検知情報を元に、不正アクセスの送信元IPアドレス等の情報を元に、ファイアウォール10の設定情報を自動で作成し、管理テーブルに従って防御設定、検知情報を最初に検知情報を送信してきた以外の監視下にあるファイアウォール10に自動で送信する。このとき、防御設定不要なファイアウォールには、検知情報のみを通知してもよい。また、同時に各ネットワーク、ファイアウォール10の管理者に対してメールを送信し、不正が行われる可能性があることや、ファイアウォールの設定を変更したといったことを通知することもできる。   On the other hand, if the authentication is OK, the detection information control unit 33 analyzes the detection information (step A110). The detection information control unit manages the management table generated in step A00. Based on the received detection information, the setting information of the firewall 10 is automatically created based on the information such as the IP address of the unauthorized access, and the detection information is sent first according to the management table as the defense setting and detection information. Automatically sent to the firewall 10 under monitoring other than. At this time, only detection information may be notified to a firewall that does not require defense setting. At the same time, an e-mail can be sent to the administrator of each network and firewall 10 to notify that there is a possibility of fraud or that the firewall settings have been changed.

次に、図4を参照して、ファイアウォール10´が監視マネージャ30から防御設定情報、検知情報を受信した際の動作を説明する。   Next, with reference to FIG. 4, an operation when the firewall 10 ′ receives defense setting information and detection information from the monitoring manager 30 will be described.

まず、監視マネージャ30は、防御設定、検知情報をファイアウォール10´に送信する(ステップB10)。   First, the monitoring manager 30 transmits defense setting and detection information to the firewall 10 '(step B10).

ファイアウォール10´は、監視マネージャ30から防御設定、検知情報を受信すると、その情報が正規のものかの認証を行う(ステップB20、B30)。ここでの認証方式は特に特定しない。認証がNGであったら終了する。   When the firewall 10 ′ receives the defense setting and detection information from the monitoring manager 30, the firewall 10 ′ authenticates whether the information is genuine (steps B 20 and B 30). The authentication method here is not particularly specified. If authentication is NG, the process ends.

一方、認証がOKだったら、検知情報解析部13で検知情報の解析を行う(ステップB40)。ここでは、不正アクセス元IPアドレスからのアクセスは拒否するといった防御設定をファイアウォール制御部15に通知して、パケットフィルタリング等のファイアウォールの設定を自動で行う。   On the other hand, if the authentication is OK, the detection information analysis unit 13 analyzes the detection information (step B40). Here, the firewall controller 15 is notified of a defense setting that denies access from the unauthorized access source IP address, and the firewall setting such as packet filtering is automatically performed.

上記のように、本実施の形態によれば、ファイアウォール10の側から見て、全く関係の無いところで発生した攻撃や不正アクセスに関して、ほぼ瞬時に情報が届き、同様の不正に対して未然に対策をとることができることにある。その理由は、検知システムが検知した情報をすぐに監視マネージャに送り、さらに監視マネージャが自分の管理下にあるネットワークに必要な情報を送り、さらに情報を受け取ったファイアウォール10がその情報を元に設定を変更し、防御対策を行うからである。   As described above, according to the present embodiment, as viewed from the side of the firewall 10, information is delivered almost instantaneously with respect to an attack or unauthorized access that has occurred at all points, and measures against similar unauthorized actions are taken It is to be able to take. The reason is that the information detected by the detection system is immediately sent to the monitoring manager, the monitoring manager sends the necessary information to the network under its management, and the firewall 10 that has received the information sets based on the information. This is because the countermeasure is taken and defense measures are taken.

また、最初に不正が検知されてから他のネットワークのファイアウォールの設定を変更するまでの時間を短縮することができる。その理由は、不正の検知から他のネットワークのファイアウォール10に防御設定が行われるまですべて自動化され、従来のように検知情報を各管理者に連絡し、さらに管理者が手動で設定を変更するといった作業の必要がないからである。   In addition, it is possible to shorten the time from when the fraud is first detected until the firewall setting of another network is changed. The reason for this is that everything is automated from detection of fraud until the firewall 10 of another network is set up for defense, the detection information is communicated to each administrator as in the past, and the administrator manually changes the setting. This is because there is no need for work.

また、ネットワーク単位での広い不正防御が瞬時に行われる。その理由は、監視マネージャ30が、管理下にある複数のファイアウォール10に情報を送ることで、ファイアウォール10で不正をブロックすることができるからである。つまり、ファイアウォールの内側にあるネットワーク(LAN)内のサーバ等は守られることを意味する。たとえば、図1において、ネットワークAで発生した不正の情報を監視マネージャ30に通知することで、ネットワークB、ネットワークCのファイアウォール10に検知情報が送られ、結果として、ネットワークB、ネットワークC内のサーバが守られる。   In addition, a wide range of fraud protection on a network basis is instantly performed. This is because the monitoring manager 30 can block fraud at the firewall 10 by sending information to a plurality of firewalls 10 under management. In other words, it means that servers in the network (LAN) inside the firewall are protected. For example, in FIG. 1, detection information is sent to the firewalls 10 of the network B and the network C by notifying the monitoring manager 30 of the illegal information generated in the network A. As a result, the servers in the network B and the network C Is protected.

従来までの技術では、検知システムが不正を防御して、自ネットワーク(例えば、図1のネットワークA)のファイアウォールに通知し、自動的に防御をするまでだったので、連動して他のネットワーク(例えば、図1のネットワークB、ネットワークC)を防御することはできなかった。   In the conventional technology, the detection system prevented fraud, notified the firewall of its own network (for example, network A in FIG. 1), and automatically defended. For example, network B and network C) in FIG. 1 could not be protected.

さらに、本発明は、例えば、監視サービスといった形態の事業を念頭においたものであり、監視マネージャは、監視サービス提供事業者が保有し、監視契約している顧客のネットワークにファイアウォールと検知システムを置く。   Furthermore, the present invention is intended for a business in the form of a monitoring service, for example, and the monitoring manager places a firewall and a detection system in a network of customers owned by the monitoring service provider and contracted for monitoring. .

検知システムが不正を検知した後、ファイアウォール経由、もしくは検知システムから直接監視マネージャへ詳細な情報を送るものであり、さらに、監視マネージャは、収集した不正に関する情報と、自身が保有している管理テーブルとを照らしあわせて初めて管理配下にあるファイアウォール、あるいは検知システムに不正情報およびアクセス制御設定情報を送信する。これは、例えば、顧客側が勝手に(自動的に)ファイアウォールのアクセス設定を変更してほしくない場合がある場合にも対応できるようにするためである。   After the detection system detects fraud, it sends detailed information via the firewall or directly from the detection system to the monitoring manager. The monitoring manager also collects information on fraud and the management table it owns For the first time, unauthorized information and access control setting information are sent to a firewall or detection system under management. This is because, for example, it is possible to cope with a case where the customer side does not want (automatically) to change the firewall access settings.

また、ビジネスの観点からは、監視サービスを提供する側として、不正なアクセスがある可能性があるというアラート情報を通知するだけの場合と、自動でファイアウォールの設定を変更し、攻撃を受ける前に対策を取れる場合とで料金に差をつけることで、ビジネスモデルを構築することも可能であるという利点がある。   Also, from a business perspective, the monitoring service provider can only notify alert information that there is a possibility of unauthorized access, and can automatically change the firewall settings before being attacked. There is an advantage that it is possible to build a business model by making a difference in the charge when the measure can be taken.

また、ファイアウォール同士を直接連携させる場合、新たに連携させたいファイアウォールを追加する場合には、現在稼動しているすべてのファイアウォールに新たな連携情報を登録しなければならず、非常に運用管理に手間がかかるが、監視マネージャで一括管理していれば、監視マネージャの管理テーブル情報1箇所に追加するだけで必要を情報は新たに追加したファイアウォールや検知システムに送ることができ、手間が大幅に削減される。   Also, when directly linking firewalls, or adding a new firewall that you want to link, you must register new link information on all currently running firewalls. However, if the monitoring manager is managing all at once, it is possible to send the necessary information to the newly added firewall and detection system just by adding it to the monitoring manager management table information. Is done.

次に、本発明の第2の実施の形態について図面を参照して説明する。   Next, a second embodiment of the present invention will be described with reference to the drawings.

本実施の形態におけるネットワーク防御システムは、上述の第1の実施の形態と基本的な構成は同様であるので、重複する説明は省略する。   Since the basic configuration of the network defense system according to the present embodiment is the same as that of the first embodiment described above, redundant description is omitted.

図5を参照すると、図2に示されたファイアウォール10の、マネージャからの受信部16が検知システム40にある点で上述の第1の実施の形態と異なる。例えば、Webサーバといった外部(インターネット)に公開しているサーバである場合には、監視マネージャから直接検知情報を検知システムに送信することが可能である。したがって、監視マネージャ30からの検知情報を一旦検知システムで受信し、認証を行った後で、自らが不正を検知したときと同様に、ファイアウォール10に検知情報を通知し、ファイアウォールの設定を自動的に変更する。   Referring to FIG. 5, the firewall 10 shown in FIG. 2 is different from the above-described first embodiment in that the detection unit 40 includes the receiving unit 16 from the manager. For example, in the case of a server that is open to the outside (Internet) such as a Web server, it is possible to transmit detection information directly from the monitoring manager to the detection system. Therefore, once the detection information from the monitoring manager 30 is received by the detection system and authenticated, the detection information is notified to the firewall 10 in the same manner as when the detection of fraud is performed, and the firewall setting is automatically set. Change to

次に、図6を参照して、本実施の形態における、ネットワーク防御処理のフローを詳細に説明する。   Next, with reference to FIG. 6, the flow of the network defense process in this Embodiment is demonstrated in detail.

検知システムで不正アクセスを検知してから、監視マネージャ30が検知情報を送信するステップ(ステップA120)までは上述の第1の実施の形態と同様である。   The steps from the detection of unauthorized access by the detection system to the step (step A120) in which the monitoring manager 30 transmits detection information are the same as those in the first embodiment.

監視マネージャ30は、防御設定、検知情報を検知システム40に送信する(ステップC10)。   The monitoring manager 30 transmits defense setting and detection information to the detection system 40 (step C10).

検知システム40は、監視マネージャ30から防御設定、検知情報を受信すると、その情報が正規のものかの認証を行う(ステップC20、C30)。ここでの認証方式は特に特定しない。認証がNGであったら終了する。   Upon receiving the defense setting and detection information from the monitoring manager 30, the detection system 40 authenticates whether the information is legitimate (steps C20 and C30). The authentication method here is not particularly specified. If authentication is NG, the process ends.

一方、認証がOKだったら、通知制御部42で検知情報の解析を行う(ステップC40)。   On the other hand, if the authentication is OK, the notification control unit 42 analyzes the detection information (step C40).

次に、作成した検知情報を自ネットワークにあるファイアウォール10に通知する(ステップC50)。以降、ファイアウォール10の動作(ステップC60〜ステップC90)は、上述の第1の実施の形態のステップB20〜ステップB50と同様である。   Next, the created detection information is notified to the firewall 10 in the local network (step C50). Thereafter, the operation of the firewall 10 (Step C60 to Step C90) is the same as Step B20 to Step B50 of the above-described first embodiment.

次に、本発明の第3の実施の形態について図面を参照して説明する。   Next, a third embodiment of the present invention will be described with reference to the drawings.

本実施の形態におけるネットワーク防御システムは、上述の第1の実施の形態と基本的な構成は同様であるので、重複する説明は省略する。   Since the basic configuration of the network defense system according to the present embodiment is the same as that of the first embodiment described above, redundant description is omitted.

図7を参照すると、検知システム20が検知情報を通知する相手がルータあるという点で上述の第1の実施の形態と異なる。   Referring to FIG. 7, the detection system 20 is different from the first embodiment described above in that there is a router that notifies the detection information.

次に、本発明の第4の実施の形態について図面を参照して説明する。   Next, a fourth embodiment of the present invention will be described with reference to the drawings.

本実施の形態におけるネットワーク防御システムは、上述の第1の実施の形態と基本的な構成は同様であるので、重複する説明は省略する。   Since the basic configuration of the network defense system according to the present embodiment is the same as that of the first embodiment described above, redundant description is omitted.

図8を参照すると、監視マネージャAが検知情報を受け取った後、自身の監視下にあるファイアウォール10だけでなく、他の監視マネージャBにも検知情報を送信(転送)する点で上述の第1の実施の形態と異なる。   Referring to FIG. 8, after the monitoring manager A receives the detection information, the above-mentioned first information is transmitted (transferred) not only to the firewall 10 under its own monitoring but also to other monitoring managers B. This is different from the embodiment.

本実施の形態によれば、ある監視マネージャ監視下だけでなく、同様の構成をとっている他の監視マネージャの監視下にあるファイアウォール10にも検知情報を通知することができ、不正対策を事前に講じることが可能な範囲を広げることができる。   According to the present embodiment, detection information can be notified not only to the monitoring of a certain monitoring manager but also to the firewall 10 under the monitoring of another monitoring manager having the same configuration. Can expand the range that can be taken.

ここで、監視マネージャ30での他の監視マネージャとの検知情報の送受信は、図2の受信部32と送信部36を利用することができる。   Here, the monitoring manager 30 can use the reception unit 32 and the transmission unit 36 in FIG. 2 to transmit and receive detection information to and from other monitoring managers.

なお、上述する各実施の形態は、本発明の好適な実施の形態であり、本発明の要旨を逸脱しない範囲内において種々変更実施が可能である。例えば、上記の実施の形態におけるファイアウォール10、検知システム20および監視マネージャ30の機能を実現するためのプログラムを各装置に読込ませて実行することにより本システムの機能を実現する処理を行ってもよい。さらに、そのプログラムは、コンピュータ読み取り可能な記録媒体であるCD−ROMまたは光磁気ディスク等を介して、または伝送媒体であるインターネット、電話回線等を介して伝送波により他のコンピュータシステムに伝送されてもよい。   Each of the above-described embodiments is a preferred embodiment of the present invention, and various modifications can be made without departing from the scope of the present invention. For example, the processing for realizing the functions of the present system may be performed by causing each device to read and execute a program for realizing the functions of the firewall 10, the detection system 20, and the monitoring manager 30 in the above embodiment. . Further, the program is transmitted to another computer system by a transmission wave via a CD-ROM or a magneto-optical disk that is a computer-readable recording medium, or via the Internet or a telephone line that is a transmission medium. Also good.

上述する各実施の形態は、ファイアウォール10と、検知システム20と、監視マネージャ30が別個の装置として接続されているシステム構成について説明したが、各機能が1つのコンピュータシステムとして実現されている構成や機能毎に複数のサーバ装置等が追加された構成にも適用可能であることはもちろんである。   In each of the above-described embodiments, the system configuration in which the firewall 10, the detection system 20, and the monitoring manager 30 are connected as separate devices has been described, but the configuration in which each function is realized as one computer system, Of course, the present invention can be applied to a configuration in which a plurality of server devices and the like are added for each function.

本発明の第1の実施形態におけるネットワーク防御システムの概略構成を示す図である。It is a figure which shows schematic structure of the network defense system in the 1st Embodiment of this invention. 本発明の第1の実施形態におけるファイアウォール、検知システム、監視マネージャの機能ブロックを示す図である。It is a figure which shows the functional block of the firewall in the 1st Embodiment of this invention, a detection system, and the monitoring manager. 本発明の第1の実施形態におけるネットワーク防御処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of the network defense process in the 1st Embodiment of this invention. 本発明の第1の実施形態におけるネットワーク防御処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of the network defense process in the 1st Embodiment of this invention. 本発明の第2の実施形態におけるファイアウォール、検知システム、監視マネージャの機能ブロックを示す図である。It is a figure which shows the functional block of the firewall in the 2nd Embodiment of this invention, a detection system, and the monitoring manager. 本発明の第2の実施形態におけるネットワーク防御処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of the network defense process in the 2nd Embodiment of this invention. 本発明の第3の実施形態におけるファイアウォール、検知システム、監視マネージャの機能ブロックを示す図である。It is a figure which shows the functional block of the firewall in the 3rd Embodiment of this invention, a detection system, and the monitoring manager. 本発明の第4の実施形態におけるネットワーク防御システムの概略構成を示す図である。It is a figure which shows schematic structure of the network defense system in the 4th Embodiment of this invention.

符号の説明Explanation of symbols

10 ファイアウォール
20 検知システム
30 監視マネージャ
100 ネットワーク 10 Firewall 20 Detection System 30 Monitoring Manager 100 Network

Claims (8)

検知システムと、ファイアウォールと、これらとネットワークを介して接続されている監視マネージャと、を含むネットワーク防御システムであって、
前記検知システムは、不正情報を検知し、検知情報を作成する不正情報検知手段を備え、
前記ファイアウォールは、前記検知情報を解析する検知情報解析手段を備え、
前記監視マネージャは、受け取った前記検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開する送信手段を備えることを特徴とするネットワーク防御システム。 A network defense system including a detection system, a firewall, and a monitoring manager connected to these via a network,
The detection system includes fraud information detecting means for detecting fraud information and creating detection information,
The firewall includes detection information analysis means for analyzing the detection information,
The network protection system according to claim 1, wherein the monitoring manager includes a transmission unit that expands unauthorized information to a network device in another network monitored by the own device based on the received detection information. 前記監視マネージャは、前記検知情報を受け取った場合に、自機が保有する管理テーブル情報をもとに自機が監視する他のネットワークにある前記ネットワーク機器の設定がセキュアになるように自動で変更する手段をさらに備えることを特徴とする請求項1記載のネットワーク防御システム。   When the monitoring manager receives the detection information, the monitoring manager automatically changes the settings of the network device in another network monitored by the own device to be secure based on the management table information held by the own device. The network defense system according to claim 1, further comprising: 検知システムと、ファイアウォールと、これらとネットワークを介して接続されている監視マネージャと、を利用したネットワーク防御方法であって、
前記検知システムが、不正情報検知手段によって不正情報を検知し、検知情報を作成するステップを有し、
前記ファイアウォールが、検知情報解析手段によって前記検知情報を解析するステップを有し、
前記監視マネージャが、送信手段によって受け取った前記検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開するステップを有することを特徴とするネットワーク防御方法。 A network defense method using a detection system, a firewall, and a monitoring manager connected to these via a network,
The detection system includes a step of detecting fraud information by fraud information detection means and creating detection information;
The firewall includes a step of analyzing the detection information by detection information analysis means;
A network defense method, comprising: a step in which the monitoring manager deploys unauthorized information to a network device in another network monitored by the own device based on the detection information received by the transmission unit. 前記監視マネージャが、前記検知情報を受け取った場合に、自機が保有する管理テーブル情報をもとに自機が監視する他のネットワークにある前記ネットワーク機器の設定がセキュアになるように自動で変更するステップをさらに有することを特徴とする請求項3記載のネットワーク防御方法。   When the monitoring manager receives the detection information, it automatically changes the settings of the network device in another network monitored by the own device based on the management table information held by the own device to be secure. The network defense method according to claim 3, further comprising the step of: ネットワークを介して接続されているファイアウォールから受け取った不正情報の検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開することを特徴とする監視マネージャ。   A monitoring manager characterized in that, based on detection information of illegal information received from a firewall connected via a network, the illegal information is deployed to a network device in another network monitored by the own device. 前記検知情報を受け取った場合に、自機が保有する管理テーブル情報をもとに自機が監視する他のネットワークにある前記ネットワーク機器の設定がセキュアになるように自動で変更することを特徴とする請求項5記載の監視マネージャ。   When the detection information is received, the setting of the network device in another network monitored by the own device is automatically changed based on the management table information held by the own device so as to be secure. The monitoring manager according to claim 5. 検知システムに、不正情報検知手段によって不正情報を検知し、検知情報を作成するステップを実行させ、
ファイアウォールに、検知情報解析手段によって前記検知情報を解析するステップを実行させ、
監視マネージャに、ネットワークを介して送信手段によって受け取った前記検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開するステップを実行させることを特徴とするプログラム。 Let the detection system detect unauthorized information by unauthorized information detection means, and execute a step of creating detected information,
Causing the firewall to execute a step of analyzing the detection information by detection information analysis means;
A program that causes a monitoring manager to execute a step of deploying unauthorized information to a network device in another network monitored by the own device based on the detection information received by the transmission unit via the network. 前記監視マネージャに、前記検知情報を受け取った場合に、自機が保有する管理テーブル情報をもとに自機が監視する他のネットワークにある前記ネットワーク機器の設定がセキュアになるように自動で変更するステップをさらに実行させることを特徴とする請求項7記載のプログラム。   When the detection information is received by the monitoring manager, the setting of the network device in another network monitored by the own device is automatically changed based on the management table information held by the own device to be secure 8. The program according to claim 7, further comprising the step of:
JP2005011719A 2005-01-19 2005-01-19 Network defence system, network defence method, monitoring manager and program Pending JP2006201951A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005011719A JP2006201951A (en) 2005-01-19 2005-01-19 Network defence system, network defence method, monitoring manager and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005011719A JP2006201951A (en) 2005-01-19 2005-01-19 Network defence system, network defence method, monitoring manager and program

Publications (1)

Publication Number Publication Date
JP2006201951A true JP2006201951A (en) 2006-08-03

Family

ID=36959908

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005011719A Pending JP2006201951A (en) 2005-01-19 2005-01-19 Network defence system, network defence method, monitoring manager and program

Country Status (1)

Country Link
JP (1) JP2006201951A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011097527A (en) * 2009-11-02 2011-05-12 Konica Minolta Business Technologies Inc Communication system and device, method and program for controlling communication
JP2015029207A (en) * 2013-07-30 2015-02-12 日本電信電話株式会社 Control device, communication system, and communication control method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011097527A (en) * 2009-11-02 2011-05-12 Konica Minolta Business Technologies Inc Communication system and device, method and program for controlling communication
JP2015029207A (en) * 2013-07-30 2015-02-12 日本電信電話株式会社 Control device, communication system, and communication control method

Similar Documents

Publication Publication Date Title
JP4480422B2 (en) Unauthorized access prevention method, apparatus, system, and program
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
US9497212B2 (en) Detecting malicious resources in a network based upon active client reputation monitoring
US7093294B2 (en) System and method for detecting and controlling a drone implanted in a network attached device such as a computer
US20050108557A1 (en) Systems and methods for detecting and preventing unauthorized access to networked devices
US20150207809A1 (en) System and method for generating and refining cyber threat intelligence data
CN109995794B (en) Safety protection system, method, equipment and storage medium
JP2005517349A (en) Network security system and method based on multi-method gateway
JP4581104B2 (en) Network security system
JP2005341217A (en) Device, method, and program for unauthorized access detection and distributed detection device against unserviceable attack
EP1616258A2 (en) System and method for network quality of service protection on security breach detection
JP2006243878A (en) Unauthorized access detection system
JP3609382B2 (en) Distributed denial of service attack prevention method, gate device, communication device, and program
JP3966231B2 (en) Network system, unauthorized access control method and program
JP5153779B2 (en) Method and apparatus for overriding unwanted traffic accusations in one or more packet networks
JP2000354034A (en) Business: hacker monitoring chamber
SOX This White Paper
CA2747584C (en) System and method for generating and refining cyber threat intelligence data
JP4328679B2 (en) Computer network operation monitoring method, apparatus, and program
JP2006201951A (en) Network defence system, network defence method, monitoring manager and program
JP2006295232A (en) Security monitoring apparatus, and security monitoring method and program
JP3609381B2 (en) Distributed denial of service attack prevention method, gate device, communication device, and program
Bendiab et al. IoT Security Frameworks and Countermeasures
JP2005318037A (en) Unauthorized use monitoring system, unauthorized use monitoring/alarming apparatus, and unauthorized use monitoring method
Harale et al. Network based intrusion detection and prevention systems: Attack classification, methodologies and tools

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080716

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080722

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20081202