JP2006201951A - Network defence system, network defence method, monitoring manager and program - Google Patents
Network defence system, network defence method, monitoring manager and program Download PDFInfo
- Publication number
- JP2006201951A JP2006201951A JP2005011719A JP2005011719A JP2006201951A JP 2006201951 A JP2006201951 A JP 2006201951A JP 2005011719 A JP2005011719 A JP 2005011719A JP 2005011719 A JP2005011719 A JP 2005011719A JP 2006201951 A JP2006201951 A JP 2006201951A
- Authority
- JP
- Japan
- Prior art keywords
- information
- network
- detection
- detection information
- monitoring manager
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、不正アクセス検知システムと連動したネットワーク防御システム、ネットワーク防御方法、監視マネージャおよびプログラムに関する。 The present invention relates to a network defense system, a network defense method, a monitoring manager, and a program linked with an unauthorized access detection system.
近年、ネットワークを介した攻撃、ホームページの改ざん等の不正アクセスが後を絶たず、多くの企業やグループが大きな損害を被ってきた。 In recent years, attacks via the network and unauthorized access such as falsification of homepages have continued, and many companies and groups have suffered great damage.
このような不正に対して、例えば、LAN(Local Area Network)内に管理サーバを置き、LAN内の各サーバのログをチェックして不正を発見、さらに、その不正があったという旨を通知するホストサーバを置くという例がある。 For example, a management server is placed in a local area network (LAN), and the log of each server in the LAN is checked to find the fraud. Further, the fact that the fraud has occurred is notified. There is an example of putting a host server.
しかし、このシステムでは、ログをチェックして不正を発見するという方式であり、不正が起こってから対策を施すまでにある程度の時間がかかってしまうという問題があり、さらに、ホストサーバも管理サーバが送信した不正があったという通知を転送や、さらに管理サーバのログを受信するといった機能しか持たず、防御対策とる点では特に有効な動作は行わない。 However, in this system, it is a method of checking the log to detect fraud, and there is a problem that it takes a certain amount of time to take countermeasures after fraud occurs, and the host server also has a management server It has only functions such as forwarding notifications of sent frauds and receiving management server logs, and does not perform particularly effective operations in terms of defense measures.
これに対し、外部からの攻撃等に対して、LAN内の検知システムがすばやく自ネットワークにあるファイアウォールに不正情報をフィードバックし、次回からの同様の不正アクセスに対してファイアウォールでブロックする方式は、検知システムがある自ネットワーク(自LAN)のみの防御に閉じてしまっている。 On the other hand, in response to external attacks, etc., the detection system in the LAN quickly feeds back unauthorized information to the firewall in the local network, and the next unauthorized access is blocked by the firewall. The system is closed to the defense of only its own network (own LAN).
インターネット環境を多くの人々が気軽に利用することができ、さらに、電子商取引等金銭その他価値のある情報が当たり前のようにネットワーク上を流れている現状を考えると、自己が使用しているネットワークのみが安全であれば問題がないといった認識では、今後のネットワーク環境の発展の妨げになる。 Considering the current situation where many people can easily use the Internet environment, and money and other valuable information such as e-commerce are flowing on the network as a matter of course, only the network that they are using If it is safe, there will be no problem, and this will hinder future network environment development.
また、何よりも相手のネットワーク環境がセキュアでなければ自分の発信した情報もまた不正者のターゲットになり、結局自分自身も守れていないといった結果になる。 Also, above all, if the other party's network environment is not secure, the information sent by him / her will also be the target of unauthorized persons, and eventually he / she will not be protected.
ここで、通信網における複数のボーダルータがTCP−SYNパケットを監視し、宛先毎にTCP−SYNパケットを計数および集計し、この集計結果を複数のボーダルータ相互間で交換することにより、これらのボーダルータを経由して当該通信網に流入するTCP−SYNパケットを監視し、同一宛先に対して異常な個数で流入するTCP−SYNパケットについては、これを分散型サービス拒絶攻撃を目的とするTCP−SYNパケットと判断してこの流入を抑制することによって、分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の網流入の制限や停止を行うことができる技術が提案されている(例えば、特許文献1参照)。
しかしながら、上述した従来例においては次のような問題点があった。 However, the conventional example described above has the following problems.
従来のネットワーク防御では、ある一箇所のネットワーク内のサーバ等が攻撃を受けた場合、その検知情報の他のネットワークへの通知、展開が遅く、防御対策の設定を行う前に他のネットワークも同様の攻撃や不正アクセスを受け、被害を受ける可能性が高いという問題があった。 In the conventional network defense, when a server in one network is attacked, the detection information is not notified to other networks and the deployment is slow, and so on other networks before setting defense measures. There was a problem that there was a high possibility of being damaged by attacks and unauthorized access.
そこで、本発明は、ファイアウォール側から見て、全く関係の無いところで発生した攻撃や不正アクセスに関して、ほぼ瞬時に情報が届き、同様の不正に対して未然に対策をとることができるネットワーク防御システム、ネットワーク防御方法、監視マネージャおよびプログラムを提供することを目的とする。 Accordingly, the present invention provides a network defense system that can receive information almost instantaneously and take countermeasures against similar frauds, regarding attacks and unauthorized access that occurred at all points of view from the firewall side, An object is to provide a network defense method, a monitoring manager, and a program.
請求項1記載の発明は、検知システムと、ファイアウォールと、これらとネットワークを介して接続されている監視マネージャと、を含むネットワーク防御システムであって、検知システムは、不正情報を検知し、検知情報を作成する不正情報検知手段を備え、ファイアウォールは、検知情報を解析する検知情報解析手段を備え、監視マネージャは、受け取った検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開する送信手段を備えることを特徴とするネットワーク防御システムである。
The invention described in
請求項2記載の発明は、請求項1記載のネットワーク防御システムにおいて、監視マネージャは、検知情報を受け取った場合に、自機が保有する管理テーブル情報をもとに自機が監視する他のネットワークにあるネットワーク機器の設定がセキュアになるように自動で変更する手段をさらに備える。 According to a second aspect of the present invention, in the network defense system according to the first aspect, when the monitoring manager receives the detection information, the other network monitored by the own device based on the management table information held by the own device There is further provided means for automatically changing the setting of the network device in order to be secure.
請求項3記載の発明は、検知システムと、ファイアウォールと、これらとネットワークを介して接続されている監視マネージャと、を利用したネットワーク防御方法であって、検知システムが、不正情報検知手段によって不正情報を検知し、検知情報を作成するステップを有し、ファイアウォールが、検知情報解析手段によって検知情報を解析するステップを有し、監視マネージャが、送信手段によって受け取った検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開するステップを有することを特徴とするネットワーク防御方法である。
The invention described in
請求項4記載の発明は、請求項3記載のネットワーク防御方法において、監視マネージャが、検知情報を受け取った場合に、自機が保有する管理テーブル情報をもとに自機が監視する他のネットワークにあるネットワーク機器の設定がセキュアになるように自動で変更するステップをさらに有する。 According to a fourth aspect of the present invention, in the network defense method according to the third aspect, when the monitoring manager receives the detection information, another network monitored by the own device based on the management table information held by the own device The network device further includes a step of automatically changing the setting of the network device so as to be secure.
請求項5記載の発明は、ネットワークを介して接続されているファイアウォールから受け取った不正情報の検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開することを特徴とする監視マネージャである。
The invention according to
請求項6記載の発明は、請求項5記載の監視マネージャにおいて、検知情報を受け取った場合に、自機が保有する管理テーブル情報をもとに自機が監視する他のネットワークにあるネットワーク機器の設定がセキュアになるように自動で変更する。 According to the sixth aspect of the present invention, in the monitoring manager according to the fifth aspect, when the detection information is received, the network device in another network monitored by the own device based on the management table information held by the own device. Automatically change settings to be secure.
請求項7記載の発明は、検知システムに、不正情報検知手段によって不正情報を検知し、検知情報を作成するステップを実行させ、ファイアウォールに、検知情報解析手段によって検知情報を解析するステップを実行させ、監視マネージャに、ネットワークを介して送信手段によって受け取った検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開するステップを実行させることを特徴とするプログラムである。 The invention according to claim 7 causes the detection system to detect illegal information by the illegal information detection means and execute the step of creating detection information, and causes the firewall to execute the step of analyzing the detection information by the detection information analysis means. A program for causing a monitoring manager to execute a step of deploying unauthorized information to a network device in another network monitored by the own device based on detection information received by a transmission unit via the network .
請求項8記載の発明は、請求項7記載のプログラムにおいて、監視マネージャに、検知情報を受け取った場合に、自機が保有する管理テーブル情報をもとに自機が監視する他のネットワークにあるネットワーク機器の設定がセキュアになるように自動で変更するステップをさらに実行させる。 The invention described in claim 8 is in the other network monitored by the self-machine based on the management table information held by the self-machine when the detection information is received by the monitoring manager. A step of automatically changing the network device settings to be secure is further executed.
本発明のネットワーク防御システム、ネットワーク防御方法、監視マネージャおよびプログラムによれば、ファイアウォール側から見て、全く関係の無いところで発生した攻撃や不正アクセスに関して、ほぼ瞬時に情報が届き、同様の不正に対して未然に対策をとることができる。 According to the network defense system, the network defense method, the monitoring manager, and the program of the present invention, information can be received almost instantaneously regarding attacks and unauthorized accesses that have occurred at all points of view from the firewall side. Measures can be taken.
次に、本発明の第1の実施の形態の構成について図面を参照して説明する。 Next, the configuration of the first exemplary embodiment of the present invention will be described with reference to the drawings.
図1を参照すると、本実施の形態におけるネットワーク防御システムは、ファイアウォール10、サーバ内にある検知システム20、インターネットのようなネットワーク100を介して、自身が管理しているファイアウォールなどのネットワーク機器を監視する監視マネージャ30とから構成されている。ネットワーク100は、任意のネットワークであってよく、例えば、光ファイバ、インターネット、公衆回線、LAN(Local Area Network)、ADSL(Asymmetric Digital Subscriber Line)等であってもよい。なお、通信方法は、有線であっても、無線であってもよい。
Referring to FIG. 1, the network defense system according to the present embodiment monitors a network device such as a firewall managed by itself through a
図2を参照すると、ファイアウォール10は、検知システム20からの検知情報受信部11と、受信データの認証を行う認証部12、受信した検知情報の解析を行う検知情報解析部13、検知情報解析部で解析された情報を監視マネージャ30に送信する検知情報送信部14、パケットフィルタリング等、いわゆるファイアウォールの機能を制御するファイアウォール制御部15、監視マネージャ30からの情報を受信するマネージャ情報受信部16を備えている。
Referring to FIG. 2, the
検知システム20は、ネットワークを介した攻撃や、不正アクセス、許可しない振る舞いを行うプログラムを検知する不正アクセス検知部21、不正アクセス検知部21が検知した情報を通知フォーマットに変更したり、その他自IPアドレス等検知情報として必要な情報を管理したり、送信先を決定する機能を持つ通知制御部22、通知制御部22で作成した検知情報を送信する検知情報送信部23を備えている。
The
監視マネージャ30は、キーボード等からの入力を受け付ける入力インタフェース31、ファイアウォール10や他のネットワーク機器から検知情報を受信する受信部32、受信した検知情報の解析や、どのネットワークを監視しているか等の管理を行う検知情報制御部33、防御対策を行うネットワーク機器の情報や、実際に防御設定を行うのか、または通知のみなのかといったレベル等を管理する管理テーブル34、受信した情報の認証を行う認証部35、検知情報制御部33で作成された防御設定情報、あるいは検知連絡情報を、元の検知情報の送信元であるファイアウォール10以外のファイアウォール10に送信する送信部36を備えている。
The
次に、図2〜4を参照して、本実施の形態における、ネットワーク防御処理のフローを詳細に説明する。 Next, with reference to FIGS. 2-4, the flow of the network defense process in this Embodiment is demonstrated in detail.
図3を参照すると、まず、はじめに、監視マネージャ30に、入力インタフェース31を介して監視するネットワークの情報を登録しておく(ステップA00)。これは、ファイアウォール10のIPアドレスや、ファイアウォール10の属するネットワークの管理者のメールアドレス、設定変更をするか、通知のみかのレベル情報等である。登録するネットワーク情報は、複数でもかまわない。ここでの監視マネージャ30は、例えば、監視サービスを行う事業者を想定し、異なる企業、グループのネットワークやサーバや、ファイアウォールで区切られた複数のネットワークを監視するものとする。入力インタフェースは、例えば、キーボードからの入力、あるいは他の記憶媒体からの読み込みであり、具体的な手段はここでは特定しない。
Referring to FIG. 3, first, network information to be monitored is registered in the
次に、検知システムが、不正アクセスを検知し(ステップA10)、検知情報を作成する(ステップ20)。不正アクセスの検知の手段は、例えば、特開2004−304752等がある。ここでは、具体的な検知手段については言及しない。検知情報としては、例えば、「改ざんが行われた」とか、「アクセス禁止のファイルにアクセスした」といった、不正の内容や、不正が行われた時刻、アクセス元のIPアドレスといったものが考えられる。 Next, the detection system detects unauthorized access (step A10) and creates detection information (step 20). As a means for detecting unauthorized access, there is, for example, JP-A-2004-304752. Here, specific detection means will not be mentioned. The detection information may be, for example, illegal contents such as “Falsification has been performed” or “Access to an access-prohibited file”, the time when the fraud was performed, and the IP address of the access source.
次に、作成した検知情報をファイアウォール10に通知する(ステップA30)。ファイアウォール10は、検知システム20から検知情報を受信すると、その情報が正規のものかの認証を行う(ステップA40、A50)。ここでの認証方式は特に特定しない。認証がNGであったら終了する。
Next, the created detection information is notified to the firewall 10 (step A30). When the
一方、認証がOKだったら、検知情報解析部13で検知情報の解析を行う(ステップA60)。ここでは、検知情報に含まれているIPアドレス等の情報を抜き出し、次のステップへ備える。解析が完了したら、例えば、検知情報から抜き出したIPアドレスをファイアウォール制御部15に通知する(ステップA70)。ファイアウォール制御部は、いわゆる通常のファイアウォール機能のことを指し、ここで通知された送信元IPアドレスからのアクセスは許可しないといった設定をすることが可能である。また、検知情報解析部13は、検知情報送信部14を経由して、監視マネージャ30に検知情報を送信する(ステップA80)。
On the other hand, if the authentication is OK, the detection information analysis unit 13 analyzes the detection information (step A60). Here, information such as the IP address included in the detection information is extracted and prepared for the next step. When the analysis is completed, for example, the firewall control unit 15 is notified of the IP address extracted from the detection information (step A70). The firewall control unit refers to a so-called normal firewall function, and can be set such that access from the notified source IP address is not permitted. Moreover, the detection information analysis part 13 transmits detection information to the
監視マネージャ30は、ファイアウォール10から検知情報を受信すると、その情報が正規のものかの認証部35で認証を行う(ステップA90、A100)。ここでの認証方式は特に特定しない。認証がNGであったら終了する。
When the
一方、認証がOKだったら、検知情報制御部33で検知情報の解析を行う(ステップA110)。検知情報制御部は、ステップA00で生成した管理テーブルを管理している。受信した検知情報を元に、不正アクセスの送信元IPアドレス等の情報を元に、ファイアウォール10の設定情報を自動で作成し、管理テーブルに従って防御設定、検知情報を最初に検知情報を送信してきた以外の監視下にあるファイアウォール10に自動で送信する。このとき、防御設定不要なファイアウォールには、検知情報のみを通知してもよい。また、同時に各ネットワーク、ファイアウォール10の管理者に対してメールを送信し、不正が行われる可能性があることや、ファイアウォールの設定を変更したといったことを通知することもできる。
On the other hand, if the authentication is OK, the detection information control unit 33 analyzes the detection information (step A110). The detection information control unit manages the management table generated in step A00. Based on the received detection information, the setting information of the
次に、図4を参照して、ファイアウォール10´が監視マネージャ30から防御設定情報、検知情報を受信した際の動作を説明する。
Next, with reference to FIG. 4, an operation when the
まず、監視マネージャ30は、防御設定、検知情報をファイアウォール10´に送信する(ステップB10)。
First, the
ファイアウォール10´は、監視マネージャ30から防御設定、検知情報を受信すると、その情報が正規のものかの認証を行う(ステップB20、B30)。ここでの認証方式は特に特定しない。認証がNGであったら終了する。
When the
一方、認証がOKだったら、検知情報解析部13で検知情報の解析を行う(ステップB40)。ここでは、不正アクセス元IPアドレスからのアクセスは拒否するといった防御設定をファイアウォール制御部15に通知して、パケットフィルタリング等のファイアウォールの設定を自動で行う。 On the other hand, if the authentication is OK, the detection information analysis unit 13 analyzes the detection information (step B40). Here, the firewall controller 15 is notified of a defense setting that denies access from the unauthorized access source IP address, and the firewall setting such as packet filtering is automatically performed.
上記のように、本実施の形態によれば、ファイアウォール10の側から見て、全く関係の無いところで発生した攻撃や不正アクセスに関して、ほぼ瞬時に情報が届き、同様の不正に対して未然に対策をとることができることにある。その理由は、検知システムが検知した情報をすぐに監視マネージャに送り、さらに監視マネージャが自分の管理下にあるネットワークに必要な情報を送り、さらに情報を受け取ったファイアウォール10がその情報を元に設定を変更し、防御対策を行うからである。
As described above, according to the present embodiment, as viewed from the side of the
また、最初に不正が検知されてから他のネットワークのファイアウォールの設定を変更するまでの時間を短縮することができる。その理由は、不正の検知から他のネットワークのファイアウォール10に防御設定が行われるまですべて自動化され、従来のように検知情報を各管理者に連絡し、さらに管理者が手動で設定を変更するといった作業の必要がないからである。
In addition, it is possible to shorten the time from when the fraud is first detected until the firewall setting of another network is changed. The reason for this is that everything is automated from detection of fraud until the
また、ネットワーク単位での広い不正防御が瞬時に行われる。その理由は、監視マネージャ30が、管理下にある複数のファイアウォール10に情報を送ることで、ファイアウォール10で不正をブロックすることができるからである。つまり、ファイアウォールの内側にあるネットワーク(LAN)内のサーバ等は守られることを意味する。たとえば、図1において、ネットワークAで発生した不正の情報を監視マネージャ30に通知することで、ネットワークB、ネットワークCのファイアウォール10に検知情報が送られ、結果として、ネットワークB、ネットワークC内のサーバが守られる。
In addition, a wide range of fraud protection on a network basis is instantly performed. This is because the
従来までの技術では、検知システムが不正を防御して、自ネットワーク(例えば、図1のネットワークA)のファイアウォールに通知し、自動的に防御をするまでだったので、連動して他のネットワーク(例えば、図1のネットワークB、ネットワークC)を防御することはできなかった。 In the conventional technology, the detection system prevented fraud, notified the firewall of its own network (for example, network A in FIG. 1), and automatically defended. For example, network B and network C) in FIG. 1 could not be protected.
さらに、本発明は、例えば、監視サービスといった形態の事業を念頭においたものであり、監視マネージャは、監視サービス提供事業者が保有し、監視契約している顧客のネットワークにファイアウォールと検知システムを置く。 Furthermore, the present invention is intended for a business in the form of a monitoring service, for example, and the monitoring manager places a firewall and a detection system in a network of customers owned by the monitoring service provider and contracted for monitoring. .
検知システムが不正を検知した後、ファイアウォール経由、もしくは検知システムから直接監視マネージャへ詳細な情報を送るものであり、さらに、監視マネージャは、収集した不正に関する情報と、自身が保有している管理テーブルとを照らしあわせて初めて管理配下にあるファイアウォール、あるいは検知システムに不正情報およびアクセス制御設定情報を送信する。これは、例えば、顧客側が勝手に(自動的に)ファイアウォールのアクセス設定を変更してほしくない場合がある場合にも対応できるようにするためである。 After the detection system detects fraud, it sends detailed information via the firewall or directly from the detection system to the monitoring manager. The monitoring manager also collects information on fraud and the management table it owns For the first time, unauthorized information and access control setting information are sent to a firewall or detection system under management. This is because, for example, it is possible to cope with a case where the customer side does not want (automatically) to change the firewall access settings.
また、ビジネスの観点からは、監視サービスを提供する側として、不正なアクセスがある可能性があるというアラート情報を通知するだけの場合と、自動でファイアウォールの設定を変更し、攻撃を受ける前に対策を取れる場合とで料金に差をつけることで、ビジネスモデルを構築することも可能であるという利点がある。 Also, from a business perspective, the monitoring service provider can only notify alert information that there is a possibility of unauthorized access, and can automatically change the firewall settings before being attacked. There is an advantage that it is possible to build a business model by making a difference in the charge when the measure can be taken.
また、ファイアウォール同士を直接連携させる場合、新たに連携させたいファイアウォールを追加する場合には、現在稼動しているすべてのファイアウォールに新たな連携情報を登録しなければならず、非常に運用管理に手間がかかるが、監視マネージャで一括管理していれば、監視マネージャの管理テーブル情報1箇所に追加するだけで必要を情報は新たに追加したファイアウォールや検知システムに送ることができ、手間が大幅に削減される。 Also, when directly linking firewalls, or adding a new firewall that you want to link, you must register new link information on all currently running firewalls. However, if the monitoring manager is managing all at once, it is possible to send the necessary information to the newly added firewall and detection system just by adding it to the monitoring manager management table information. Is done.
次に、本発明の第2の実施の形態について図面を参照して説明する。 Next, a second embodiment of the present invention will be described with reference to the drawings.
本実施の形態におけるネットワーク防御システムは、上述の第1の実施の形態と基本的な構成は同様であるので、重複する説明は省略する。 Since the basic configuration of the network defense system according to the present embodiment is the same as that of the first embodiment described above, redundant description is omitted.
図5を参照すると、図2に示されたファイアウォール10の、マネージャからの受信部16が検知システム40にある点で上述の第1の実施の形態と異なる。例えば、Webサーバといった外部(インターネット)に公開しているサーバである場合には、監視マネージャから直接検知情報を検知システムに送信することが可能である。したがって、監視マネージャ30からの検知情報を一旦検知システムで受信し、認証を行った後で、自らが不正を検知したときと同様に、ファイアウォール10に検知情報を通知し、ファイアウォールの設定を自動的に変更する。
Referring to FIG. 5, the
次に、図6を参照して、本実施の形態における、ネットワーク防御処理のフローを詳細に説明する。 Next, with reference to FIG. 6, the flow of the network defense process in this Embodiment is demonstrated in detail.
検知システムで不正アクセスを検知してから、監視マネージャ30が検知情報を送信するステップ(ステップA120)までは上述の第1の実施の形態と同様である。
The steps from the detection of unauthorized access by the detection system to the step (step A120) in which the
監視マネージャ30は、防御設定、検知情報を検知システム40に送信する(ステップC10)。
The
検知システム40は、監視マネージャ30から防御設定、検知情報を受信すると、その情報が正規のものかの認証を行う(ステップC20、C30)。ここでの認証方式は特に特定しない。認証がNGであったら終了する。
Upon receiving the defense setting and detection information from the
一方、認証がOKだったら、通知制御部42で検知情報の解析を行う(ステップC40)。 On the other hand, if the authentication is OK, the notification control unit 42 analyzes the detection information (step C40).
次に、作成した検知情報を自ネットワークにあるファイアウォール10に通知する(ステップC50)。以降、ファイアウォール10の動作(ステップC60〜ステップC90)は、上述の第1の実施の形態のステップB20〜ステップB50と同様である。
Next, the created detection information is notified to the
次に、本発明の第3の実施の形態について図面を参照して説明する。 Next, a third embodiment of the present invention will be described with reference to the drawings.
本実施の形態におけるネットワーク防御システムは、上述の第1の実施の形態と基本的な構成は同様であるので、重複する説明は省略する。 Since the basic configuration of the network defense system according to the present embodiment is the same as that of the first embodiment described above, redundant description is omitted.
図7を参照すると、検知システム20が検知情報を通知する相手がルータあるという点で上述の第1の実施の形態と異なる。
Referring to FIG. 7, the
次に、本発明の第4の実施の形態について図面を参照して説明する。 Next, a fourth embodiment of the present invention will be described with reference to the drawings.
本実施の形態におけるネットワーク防御システムは、上述の第1の実施の形態と基本的な構成は同様であるので、重複する説明は省略する。 Since the basic configuration of the network defense system according to the present embodiment is the same as that of the first embodiment described above, redundant description is omitted.
図8を参照すると、監視マネージャAが検知情報を受け取った後、自身の監視下にあるファイアウォール10だけでなく、他の監視マネージャBにも検知情報を送信(転送)する点で上述の第1の実施の形態と異なる。
Referring to FIG. 8, after the monitoring manager A receives the detection information, the above-mentioned first information is transmitted (transferred) not only to the
本実施の形態によれば、ある監視マネージャ監視下だけでなく、同様の構成をとっている他の監視マネージャの監視下にあるファイアウォール10にも検知情報を通知することができ、不正対策を事前に講じることが可能な範囲を広げることができる。
According to the present embodiment, detection information can be notified not only to the monitoring of a certain monitoring manager but also to the
ここで、監視マネージャ30での他の監視マネージャとの検知情報の送受信は、図2の受信部32と送信部36を利用することができる。
Here, the
なお、上述する各実施の形態は、本発明の好適な実施の形態であり、本発明の要旨を逸脱しない範囲内において種々変更実施が可能である。例えば、上記の実施の形態におけるファイアウォール10、検知システム20および監視マネージャ30の機能を実現するためのプログラムを各装置に読込ませて実行することにより本システムの機能を実現する処理を行ってもよい。さらに、そのプログラムは、コンピュータ読み取り可能な記録媒体であるCD−ROMまたは光磁気ディスク等を介して、または伝送媒体であるインターネット、電話回線等を介して伝送波により他のコンピュータシステムに伝送されてもよい。
Each of the above-described embodiments is a preferred embodiment of the present invention, and various modifications can be made without departing from the scope of the present invention. For example, the processing for realizing the functions of the present system may be performed by causing each device to read and execute a program for realizing the functions of the
上述する各実施の形態は、ファイアウォール10と、検知システム20と、監視マネージャ30が別個の装置として接続されているシステム構成について説明したが、各機能が1つのコンピュータシステムとして実現されている構成や機能毎に複数のサーバ装置等が追加された構成にも適用可能であることはもちろんである。
In each of the above-described embodiments, the system configuration in which the
10 ファイアウォール
20 検知システム
30 監視マネージャ
100 ネットワーク
10
Claims (8)
前記検知システムは、不正情報を検知し、検知情報を作成する不正情報検知手段を備え、
前記ファイアウォールは、前記検知情報を解析する検知情報解析手段を備え、
前記監視マネージャは、受け取った前記検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開する送信手段を備えることを特徴とするネットワーク防御システム。 A network defense system including a detection system, a firewall, and a monitoring manager connected to these via a network,
The detection system includes fraud information detecting means for detecting fraud information and creating detection information,
The firewall includes detection information analysis means for analyzing the detection information,
The network protection system according to claim 1, wherein the monitoring manager includes a transmission unit that expands unauthorized information to a network device in another network monitored by the own device based on the received detection information.
前記検知システムが、不正情報検知手段によって不正情報を検知し、検知情報を作成するステップを有し、
前記ファイアウォールが、検知情報解析手段によって前記検知情報を解析するステップを有し、
前記監視マネージャが、送信手段によって受け取った前記検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開するステップを有することを特徴とするネットワーク防御方法。 A network defense method using a detection system, a firewall, and a monitoring manager connected to these via a network,
The detection system includes a step of detecting fraud information by fraud information detection means and creating detection information;
The firewall includes a step of analyzing the detection information by detection information analysis means;
A network defense method, comprising: a step in which the monitoring manager deploys unauthorized information to a network device in another network monitored by the own device based on the detection information received by the transmission unit.
ファイアウォールに、検知情報解析手段によって前記検知情報を解析するステップを実行させ、
監視マネージャに、ネットワークを介して送信手段によって受け取った前記検知情報に基づいて、自機が監視する他のネットワークにあるネットワーク機器に不正情報を展開するステップを実行させることを特徴とするプログラム。 Let the detection system detect unauthorized information by unauthorized information detection means, and execute a step of creating detected information,
Causing the firewall to execute a step of analyzing the detection information by detection information analysis means;
A program that causes a monitoring manager to execute a step of deploying unauthorized information to a network device in another network monitored by the own device based on the detection information received by the transmission unit via the network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005011719A JP2006201951A (en) | 2005-01-19 | 2005-01-19 | Network defence system, network defence method, monitoring manager and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005011719A JP2006201951A (en) | 2005-01-19 | 2005-01-19 | Network defence system, network defence method, monitoring manager and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006201951A true JP2006201951A (en) | 2006-08-03 |
Family
ID=36959908
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005011719A Pending JP2006201951A (en) | 2005-01-19 | 2005-01-19 | Network defence system, network defence method, monitoring manager and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006201951A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011097527A (en) * | 2009-11-02 | 2011-05-12 | Konica Minolta Business Technologies Inc | Communication system and device, method and program for controlling communication |
JP2015029207A (en) * | 2013-07-30 | 2015-02-12 | 日本電信電話株式会社 | Control device, communication system, and communication control method |
-
2005
- 2005-01-19 JP JP2005011719A patent/JP2006201951A/en active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011097527A (en) * | 2009-11-02 | 2011-05-12 | Konica Minolta Business Technologies Inc | Communication system and device, method and program for controlling communication |
JP2015029207A (en) * | 2013-07-30 | 2015-02-12 | 日本電信電話株式会社 | Control device, communication system, and communication control method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4480422B2 (en) | Unauthorized access prevention method, apparatus, system, and program | |
EP1905197B1 (en) | System and method for detecting abnormal traffic based on early notification | |
US9497212B2 (en) | Detecting malicious resources in a network based upon active client reputation monitoring | |
US7093294B2 (en) | System and method for detecting and controlling a drone implanted in a network attached device such as a computer | |
US20050108557A1 (en) | Systems and methods for detecting and preventing unauthorized access to networked devices | |
US20150207809A1 (en) | System and method for generating and refining cyber threat intelligence data | |
CN109995794B (en) | Safety protection system, method, equipment and storage medium | |
JP2005517349A (en) | Network security system and method based on multi-method gateway | |
JP4581104B2 (en) | Network security system | |
JP2005341217A (en) | Device, method, and program for unauthorized access detection and distributed detection device against unserviceable attack | |
EP1616258A2 (en) | System and method for network quality of service protection on security breach detection | |
JP2006243878A (en) | Unauthorized access detection system | |
JP3609382B2 (en) | Distributed denial of service attack prevention method, gate device, communication device, and program | |
JP3966231B2 (en) | Network system, unauthorized access control method and program | |
JP5153779B2 (en) | Method and apparatus for overriding unwanted traffic accusations in one or more packet networks | |
JP2000354034A (en) | Business: hacker monitoring chamber | |
SOX | This White Paper | |
CA2747584C (en) | System and method for generating and refining cyber threat intelligence data | |
JP4328679B2 (en) | Computer network operation monitoring method, apparatus, and program | |
JP2006201951A (en) | Network defence system, network defence method, monitoring manager and program | |
JP2006295232A (en) | Security monitoring apparatus, and security monitoring method and program | |
JP3609381B2 (en) | Distributed denial of service attack prevention method, gate device, communication device, and program | |
Bendiab et al. | IoT Security Frameworks and Countermeasures | |
JP2005318037A (en) | Unauthorized use monitoring system, unauthorized use monitoring/alarming apparatus, and unauthorized use monitoring method | |
Harale et al. | Network based intrusion detection and prevention systems: Attack classification, methodologies and tools |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080716 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080722 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081202 |