JP2007049352A - Intrusion detector - Google Patents
Intrusion detector Download PDFInfo
- Publication number
- JP2007049352A JP2007049352A JP2005230757A JP2005230757A JP2007049352A JP 2007049352 A JP2007049352 A JP 2007049352A JP 2005230757 A JP2005230757 A JP 2005230757A JP 2005230757 A JP2005230757 A JP 2005230757A JP 2007049352 A JP2007049352 A JP 2007049352A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- signature
- inspection
- unit
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
この発明は、ネットワーク管理システムにおいて計算機ネットワークへの侵入などの不正アクセスに対する侵入を検知し、不正侵入したパケットは廃棄する侵入検知装置に関するものである。 The present invention relates to an intrusion detection apparatus that detects an intrusion for unauthorized access such as an intrusion into a computer network in a network management system and discards an unauthorized intrusion packet.
従来のネットワーク侵入検知システムでは、侵入検知装置ですべてのシグネチャを用いてパケットを検査するのではなく、管理装置から渡されたネットワークの構成情報をもとに、必要なシグネチャだけを用いて検査を行っていた(例えば、特許文献1)。 In a conventional network intrusion detection system, an intrusion detection device does not inspect packets using all signatures, but only inspects necessary signatures based on network configuration information passed from the management device. (For example, Patent Document 1).
従来のネットワーク侵入検知システムは、事前に管理装置が侵入検知装置を含むネットワークの構成情報を把握しておく必要があるという問題点があった。また、侵入検知装置を別のネットワークに繋ぎ換えた場合に、管理装置でネットワークの構成情報を変更し侵入検知装置に知らせてやる必要があるという問題点があった。
この発明は上記のような問題点を解決するためになされたもので、管理装置はネットワークの構成を知らなくても、侵入検知装置だけで自動的に必要なシグネチャを判断し、さらに侵入検知装置が別のネットワークへ変更したことを自動的に検知することを目的とする。
The conventional network intrusion detection system has a problem that the management device needs to grasp the configuration information of the network including the intrusion detection device in advance. Further, when the intrusion detection apparatus is connected to another network, there is a problem that the management apparatus needs to change the network configuration information and notify the intrusion detection apparatus.
The present invention has been made to solve the above-described problems, and the management device can automatically determine a necessary signature using only the intrusion detection device without knowing the network configuration, and can further detect the intrusion detection device. The purpose is to automatically detect that the network has changed to another network.
この発明に係る侵入検知装置は、
ネットワークからパケットを送受信するパケット送受信部、
ネットワークに接続された管理装置からのシグネチャを受信し保存するシグネチャDB部、
シグネチャDB部のシグネチャからネットワークに接続された保護すべきサーバを特定し、そのサーバ宛に検査パケットの送信依頼信号を出力するシグネチャ最適化部、
シグネチャ最適化部からの送信依頼信号を受信し、検査パケットをパケット送受信部を通して指定されたサーバ宛に送る検査パケット処理部を備え、
検査パケット処理部はサーバから戻ってきた検査パケットから経路上に他の侵入検知装置があるかないかを確認し、他の侵入検知装置ある場合には、検査パケットに他の侵入検知装置があることを示す識別子を付け、
シグネチャ最適化部は、他の侵入検知装置がサーバとの途中にある場合には、該当シグネチャを無効にし、ない場合には、有効にしてシグネチャを最適化し、
この最適化されたシグネチャを登録する最適化シグネチャDB部と、
パケット送受信部から受信したパケットを受け取り、最適化シグネチャDB部に登録されているシグネチャを用いてパケットの不正侵入検査を実施し、検査がOKである場合にはパケット送受信部からパケットを送信し、検査がNGの場合にはパケットを廃棄する検知エンジン部を更に備える。
Intrusion detection device according to the present invention,
A packet transceiver for transmitting and receiving packets from the network,
Signature DB part that receives and stores signatures from management devices connected to the network,
A signature optimization unit that identifies a server to be protected connected to the network from the signature of the signature DB unit, and outputs a request to send a test packet to the server,
An inspection packet processing unit that receives a transmission request signal from the signature optimization unit and sends an inspection packet to a designated server through the packet transmission / reception unit;
The inspection packet processing unit checks whether there is another intrusion detection device on the route from the inspection packet returned from the server, and if there is another intrusion detection device, that there is another intrusion detection device in the inspection packet. With an identifier indicating
If another intrusion detection device is in the middle of the server, the signature optimization unit invalidates the corresponding signature, and if not, activates and optimizes the signature.
An optimized signature DB section for registering the optimized signature;
Receives the packet received from the packet transceiver unit, conducts an intrusion inspection of the packet using the signature registered in the optimization signature DB unit, and if the inspection is OK, transmits the packet from the packet transceiver unit, When the inspection is NG, a detection engine unit for discarding the packet is further provided.
この発明に係る侵入検知装置では、検査パケットで侵入検知装置と保護すべきサーバの経路上に他の侵入検知装置がないかを確認することにより、管理装置ではなく各侵入検知装置だけでシグネチャの最適化が実現でき、管理コストを軽減することができる。 また、シグネチャの最適化によって検知エンジン部で冗長なシグネチャの検査を実施されることがなくなるので、侵入検知装置の処理負荷の軽減を実現できる。さらに、侵入検知装置の処理負荷が減ることによりパケットの遅延が少なくなり、ユーザが端末からサーバ宛にパケットを送る処理をした場合の操作性が向上する。 In the intrusion detection device according to the present invention, by checking whether there is any other intrusion detection device on the path between the intrusion detection device and the server to be protected by the inspection packet, the signature of only the intrusion detection device, not the management device. Optimization can be realized and management costs can be reduced. In addition, since the signature engine is not subjected to redundant signature inspection in the detection engine unit, the processing load of the intrusion detection device can be reduced. Further, the processing load of the intrusion detection device is reduced, so that the delay of the packet is reduced, and the operability when the user performs processing for sending the packet from the terminal to the server is improved.
またさらに、冗長な検索を行われなくなるため、侵入検知装置で検査結果がNGだった場合でも管理装置に送信されるアラート(警告)情報が少なくなりネットワークの負荷軽減になり、また管理者が重要なアラートを見つけやすくなるため管理者の負荷軽減も実現できる。 Furthermore, since redundant searches are not performed, even if the intrusion detection device has a test result of NG, the alert (warning) information sent to the management device is reduced, reducing the load on the network, and the administrator is important. It is possible to reduce the burden on the administrator because it is easy to find the alert.
実施の形態1.
まず始めにこの発明の侵入検知装置が適用されるネットワークの構成を図2により説明する。
図2において、管理装置203と侵入検知装置A201と侵入検知装置B202がルータ207を通して接続されている。サーバB205も同様にルータ207により管理装置203と侵入検知装置A201と侵入検知装置B202に接続されている。侵入検知装置B202にはサーバA204が接続され、さらに侵入検知装置A201の先にはルータ208で端末206が接続されている。
First, the configuration of a network to which the intrusion detection apparatus of the present invention is applied will be described with reference to FIG.
In FIG. 2, a
次に、この発明の侵入検知装置(侵入検知装置A201及び侵入検知装置B202)の構成について図1の構成図を基に説明する。
図1において、パケット送受信部A101とパケット送受信部B102は外部からパケットを送受信し、パケットの宛先と種別により管理通信部103、検査パケット処理部105、検知エンジン部107などの各部で定められた処理をし、外部にパケットを送信する。管理通信部103は、管理装置203から送られる図3に示すシグネチャ301を、パケット送受信部A101またはパケット送受信部B102を通して受信し、そのシグネチャ301をシグネチャDB部104に格納する。シグネチャDB部104は、管理装置203から送られたシグネチャ301を保存する。
Next, the configuration of the intrusion detection device (intrusion detection device A201 and intrusion detection device B202) of the present invention will be described based on the configuration diagram of FIG.
In FIG. 1, a packet transmission / reception unit A101 and a packet transmission / reception unit B102 transmit and receive packets from the outside, and processing determined by each unit such as the
検査パケット処理部105は、パケット送受信部A101とパケット送受信部B102からの検査パケットを指定したサーバへ送り、戻ってきた検査パケットの内容から経路上に他の侵入検知装置があるか無いかを判断する。シグネチャ最適化部106は、シグネチャDB部104から保護すべきサーバを特定し、そのサーバ宛に検査パケットの送信を検査パケット処理部105に依頼し、別な侵入検知装置がサーバとの間にあった場合には、該当シグネチャを無効にし、途中に別な侵入検知装置が無かった場合には、有効にして最適化したシグネチャを最適化シグネチャDB部108に登録する。検知エンジン部107はパケット送受信部A101またはパケット送受信部B102から受信したパケットを受け取り、最適化シグネチャDB部108に格納されているシグネチャを用いてパケットの検査を実施し、検査がOKである場合には受信した側でないパケット送受信部A101またはパケット送受信部B102にパケットを送信し、検査結果がNGの場合には、パケットを廃棄する。最適化シグネチャDB部108は検知エンジン107で参照される最適化されたシグネチャを格納する。
The inspection
次に動作について説明する。
管理装置203から定期的に侵入検知装置A201と侵入検知装置B202宛に図3に示されるシグネチャ301がルータ207により分配され配布される。
侵入検知装置A201では、管理装置203からのシグネチャ301をパケット送受信部B102及び管理通信部103を通してシグネチャDB104に格納する。侵入検知装置B202でも同様に、管理装置203からのシグネチャ301をパケット送受信部A101から管理通信部103を通してシグネチャDB104に格納する。
Next, the operation will be described.
The
Intrusion
次に各侵入検知装置で検査パケットの送信を行い隣接する侵入検知装置を調査する。侵入検知装置A201では、シグネチャ最適化部106がシグネチャDB部104のシグネチャ301を参照して、保護すべきサーバA204とサーバB205を特定する。シグネチャ最適化部106はサーバA204に対して検査パケットを送信するように検査パケット処理部105に依頼する。検査パケット処理部105はICMP(Internet Control Message Protocol)エコーリクエストパケットをサーバA204宛にパケット送受信部B102を通して送信する。図4の401に示すように、このときICMPエコーリクエストパケットのデータ部の先頭に検査パケット固有の識別子と最後尾に各侵入検知装置固有の識別子を付加する。
Next, each intrusion detection device transmits an inspection packet to investigate adjacent intrusion detection devices. In the intrusion detection device A201, the
ICMPエコーリクエストパケットはルータ207を通り、侵入検知装置B202のパケット送受信部A101に入る。パケット送受信部A101では、ICMPエコーリクエストパケットのデータ部の先頭を参照し、検査パケット固有の識別子から検査パケットであることを確認し、検査パケット処理部105にパケットを送る。検査パケット処理部105では、図4の402に示すようにICMPエコーリクエストパケットのデータ部の最後尾に侵入検知装置B202の固有の識別子を付加して、パケット送受信部B102へ送る。
The ICMP echo request packet passes through the
侵入検知装置B202でデータ部の最後尾に侵入検知装置B202の固有の識別子が付加されたICMPエコーリクエストパケットは、侵入検知装置B202のパケット送受信部B102から送信されサーバA204に受信される。サーバA204で受信されたICMPエコーリクエストパケットは、今度は受信したパケットとデータ部が同じである侵入検知装置A201宛のICMPエコーリプライパケットがサーバA204から送信される。侵入検知装置B202では、ICMPエコーリプライパケットをパケット送受信部B102で受信し、データ部の先頭の識別子により検査パケットであること認識するが、宛先が侵入検知装置B202宛てではないので、そのままパケット送受信部A101を通してパケットを送信する。 The ICMP echo request packet in which the unique identifier of the intrusion detection device B202 is added to the end of the data part in the intrusion detection device B202 is transmitted from the packet transmitting / receiving unit B102 of the intrusion detection device B202 and received by the server A204. The ICMP echo request packet received by the server A204 is transmitted from the server A204 this time with an ICMP echo reply packet addressed to the intrusion detection apparatus A201 having the same data portion as the received packet. In the intrusion detection device B202, the ICMP echo reply packet is received by the packet transmission / reception unit B102, and the packet identifier is recognized as the inspection packet by the identifier at the head of the data portion, but the destination is not addressed to the intrusion detection device B202. A packet is transmitted through A101.
侵入検知装置B202から送信されたICMPエコーリプライパケットはルータ207を通して、侵入検知装置A201に送られる。侵入検知装置A201のパケット送受信部B102では、データ部の先頭の識別子と宛先より自分が送信した検査パケットだと認識し、検査パケット処理部105にICMPエコーリプライパケットを送る。検査パケット処理部105では、ICMPエコーリプライパケットの最後尾の識別子により自己の侵入検知装置A201とサーバA204との経路の間に侵入検知装置B202があることを認識し、シグネチャ最適化部106に経路上に別の侵入検知装置有りの検査結果を返す。シグネチャ最適化部106では、自己の侵入検知装置A201とサーバA204との経路上に別の侵入検知装置があるためシグネチャDB部104のサーバA204宛のシグネチャを無効にし最適化シグネチャDB108に登録しない。
The ICMP echo reply packet transmitted from the intrusion detection device B202 is sent to the intrusion detection device A201 through the
シグネチャ最適化部106は、シグネチャDB部104から次の保護するサーバB205をみつけ、自己の侵入検知装置A201とサーバB205との経路途中に別の侵入検知装置があるかないかを調べるために、上記と同様にしてサーバB205宛に検査パケットの送信を検査パケット処理部105に依頼する。
The
検査パケット処理部105は、上記と同様にデータ部の先頭に検査パケット固有の識別子と最後尾に侵入検知装置A201固有の識別子を持つICMPエコーリクエストのパケットを、パケット送受信部B102を通してサーバB205宛に送る。
ICMPエコーリクエストパケットはルータ207を通して、サーバB205で受信されて、受信したパケットとデータ部が同じである侵入検知装置A201宛のICMPエコーリプライパケットがサーバB205から送信される。
The inspection
The ICMP echo request packet is received by the
ICMPエコーリプライパケットはルータ207を通して、侵入検知装置A201に送られる。侵入検知装置A201のパケット送受信部B102で受信されたICMPエコーリプライパケットは、データ部の先頭の識別子と宛先より自分が送信した検査パケットだと認識し、検査パケット処理部105にICMPエコーリプライパケットを送る。検査パケット処理部105では、ICMPエコーリプライパケットの最後尾の識別子よりサーバB205との経路の間に他の侵入検知装置がないことを認識し、シグネチャ最適化部106に経路上に別の侵入検知装置無しの検査結果を返す。シグネチャ最適化部106では、サーバB205との経路上に別の侵入検知装置がないためシグネチャDB部104のサーバB205宛のシグネチャを最適化シグネチャDB部108に登録する。
このようにして、侵入検知装置A101では、最適化シグネチャDB部108にサーバB205宛のシグネチャだけ登録されることになる。
The ICMP echo reply packet is sent to the intrusion detection apparatus A201 through the
In this way, the intrusion detection apparatus A101 registers only the signature addressed to the server B205 in the optimized
侵入検知装置B202においても、同様にサーバA204とサーバB205宛に検査パケットを送って、経路上に他の侵入検知装置がないかを調べ、両方ともないことを確認し、最適化シグネチャDB部108にサーバA204宛とサーバB205宛のシグネチャを登録する。
端末206からサーバA204宛てにパケットが送信された場合、ルータ208を通して、侵入検知装置A201にパケットが送られる。侵入検知装置A201のパケット送受信部A101が、そのパケットを受信し、検査パケットでないことを確認して、検知エンジン部107に送る。検知エンジン部107では最適化シグネチャDB部108を参照して、条件に一致するサーバA204宛のシグネチャがないので、そのままパケット送受信部B102から、そのパケットを送信する。
Similarly, intrusion detection apparatus B202 also sends inspection packets to server A204 and server B205 to check whether there is any other intrusion detection apparatus on the route, and confirms that both are not present. The signatures addressed to
When a packet is transmitted from the terminal 206 to the
侵入検知装置A201から送信されたパケットはルータ207を通して、侵入検知装置B202に送られる。侵入検知装置B202のパケット送受信部A101では、受信したパケットが検査パケットでないことを確認して、検知エンジン部107にパケットを送る。今度は、最適化シグネチャDB部108に条件が一致するサーバA204宛のシグネチャが登録されているので、そのシグネチャを用いてパケットの検査(パケットが不正に侵入されたものであるか否かの確認)を行う。検査結果がOKの場合には、パケット送受信部B102を通して、パケットをサーバA204に送る。検査結果がNGの場合には、パケットを廃棄する。
The packet transmitted from the intrusion detection device A201 is sent to the intrusion detection device B202 through the
以上のように、この発明では検査パケットで侵入検知装置と保護すべきサーバ上の経路上に他の侵入検知装置がないかを確認することにより、管理装置ではなく各侵入検知装置だけでシグネチャの最適化が実現でき、管理コストを軽減することができる。
また、シグネチャの最適化によって検知エンジン部で冗長なシグネチャの検査を実施されることがなくなるので、侵入検知装置の処理負荷の軽減を実現できる。さらに、侵入検知装置の処理負荷が減ることによりパケットの遅延が少なくなり、ユーザが端末からサーバ宛にパケットを送る処理をした場合の操作性が向上する。
As described above, according to the present invention, by checking whether there is any other intrusion detection device on the path on the server to be protected with the intrusion detection device by using the inspection packet, the signature of only the intrusion detection device, not the management device. Optimization can be realized and management costs can be reduced.
In addition, since the signature engine is not subjected to redundant signature inspection in the detection engine unit, the processing load of the intrusion detection device can be reduced. Further, the processing load of the intrusion detection device is reduced, so that the delay of the packet is reduced, and the operability when the user performs the process of sending the packet from the terminal to the server is improved.
冗長な検索を行われなくなるため、侵入検知装置で検査結果がNGだった場合でも管理装置に送信されるアラート(警告)情報が少なくなりネットワークの負荷軽減になり、また管理者が重要なアラートを見つけやすくなるため管理者の負荷軽減も実現できる。 Since redundant searches are not performed, even if the inspection result is NG on the intrusion detection device, the alert (warning) information sent to the management device will be reduced, reducing the load on the network, and the administrator will receive an important alert. Because it becomes easier to find, the burden on the administrator can be reduced.
実施の形態2.
以上の実施の形態1では、定期的に検査パケットを送ってシグネチャの最適化を実施するようにしたものであるが、次にネットワークへの接続において、侵入検知装置の配置を変更した場合に、すぐにそれを検知して検査パケットを送信する実施の形態を示す。
この実施の形態において侵入検知装置201,202の構成及びネットワークの構成は、図1に示す実施の形態1の構成図及び図2に示す実施の形態1のネットワークの構成図と同様である。なお、パケット送受信部101、102では、ネットワークケーブルの抜き差しによるネットワークのリンク情報を検知し、リンクが切れて再びリンクが上がった場合に、検査パケット処理部105を通してシグネチャ最適化部106にネットワークの接続が変更したことを通知する。シグネチャ最適化部106はこの通知を契機に検査パケットの送信を検査パケット処理部105に再度依頼する処理がそれぞれ追加されている。
In the first embodiment, the inspection packet is periodically sent to optimize the signature. Next, when the arrangement of the intrusion detection device is changed in the connection to the network, An embodiment will be described in which an inspection packet is transmitted immediately after it is detected.
In this embodiment, the configurations of the
次に動作について説明する。
侵入検知装置A201と侵入検知装置B202でシグネチャの最適化を実施する部分は、実施の形態1の動作を同様である。次に図2のネットワーク構成から図5のネットワーク構成に侵入検知装置A101のネットワークへの接続を変更した場合について説明する。
侵入検知装置A101のネットワーク送受信部A101でネットワークへ接続するケーブルの抜き差しを検知して、検査パケット処理部105を通してシグネチャ最適化部106にネットワークの接続が変更したことを通知する。シグネチャ最適化部106はこの通知を契機に検査パケットの送信を検査パケット処理部105に依頼する。以降、シグネチャの最適化を実施の形態1と同様に行う。
Next, the operation will be described.
The parts of the intrusion detection device A201 and the intrusion detection device B202 that perform signature optimization are the same as those in the first embodiment. Next, the case where the connection of the intrusion detection apparatus A101 to the network is changed from the network configuration of FIG. 2 to the network configuration of FIG.
The network transmission / reception unit A101 of the intrusion detection apparatus A101 detects the connection / disconnection of the cable connected to the network, and notifies the
以上のように、ネットワークの構成の変更を侵入検知装置だけですばやく認識してシグネチャの最適化を実施することにより、シグネチャの最適化の実施が遅れて検査すべきパケットが検査されない可能性が少なくなり、安全性が向上する。 As described above, by quickly recognizing a change in the network configuration only by an intrusion detection device and performing signature optimization, there is less possibility that a packet to be inspected will not be inspected due to a delay in signature optimization. And safety is improved.
実施の形態3.
以上の実施の形態1、2では、検査パケットを侵入検知装置から送ってシグネチャの最適化を実施するようにしたものであるが、シグネチャの最適化は実施せずに検査したパケットに検査済みの識別子を付けることにより冗長なパケットの検査を行わないようにする実施の形態を以下に示す。
Embodiment 3 FIG.
In the first and second embodiments described above, the inspection packet is sent from the intrusion detection device and the signature is optimized. However, the optimization is not performed on the packet that has been inspected. An embodiment in which redundant packets are not inspected by attaching an identifier will be described below.
図6はこの実施の形態の侵入検知装置を示す構成図である。
図6において、パケット送受信部A601とパケット送受信部B602は外部からパケットを送受信し、パケットの宛先と種別により管理通信部603、パケット検査済みチェック部605で定められた処理をし、外部にパケットを送信する。管理通信部603は、管理装置203から送られるシグネチャを、パケット送受信部A601またはパケット送受信部B602を通して受信し、そのシグネチャをシグネチャDB部604に格納する。シグネチャDB部604は、管理装置203から送られ、管理通信部603を介して受信したシグネチャを保存する。パケット検査済チェック部605では、パケット送受信部A601またはパケット送受信部B602から渡されたパケットの内容を解析して既に検査済みのパケットであった場合には、渡された側とは逆のパケット送受信部を通してパケットを送信し、まだ未検査のパケットであった場合には、検知エンジン部606での検査を依頼する。検知エンジン部606はパケット検査済チェック部605から渡されたパケットと条件が一致するシグネチャをシグネチャDB部604から取り出して、パケットの検査を実施し、検査がOKである場合には受信した側でないパケット送受信部A601またはパケット送受信部B602にパケットを送信し、検査結果がNGの場合には、パケットを廃棄する。
FIG. 6 is a block diagram showing the intrusion detection device of this embodiment.
In FIG. 6, a packet transmission / reception unit A601 and a packet transmission / reception unit B602 transmit / receive a packet from the outside, perform processing determined by the
図2はこの実施の形態のネットワークを示す構成図であり、実施の形態1と同様であるが、侵入検知装置A201と侵入検知装置B202の内部構成が図1に示す実施の形態1と異なり図6に示すように構成されている。 FIG. 2 is a block diagram showing the network of this embodiment, which is the same as that of the first embodiment, but is different from the first embodiment shown in FIG. 1 in the internal configuration of the intrusion detection device A201 and the intrusion detection device B202. 6 is configured.
次に動作について説明する。
管理装置203から侵入検知装置A201と侵入検知装置B202宛に図3に示すシグネチャ301を配布する。侵入検知装置A201では、パケット送受信部B602から管理通信部603を通してシグネチャ301をシグネチャDB部604に格納する。侵入検知装置B202でも同様に、パケット送受信部A601から管理通信部603を通してシグネチャ301をシグネチャDB部604に格納する。
Next, the operation will be described.
The
端末206からサーバA204にアクセスしたとする。端末206からのパケットがルータ208を通して侵入検知装置A201に入る。侵入検知装置A201のパケット送受信部A601よりパケットを受信する。このパケットは管理装置203からのシグネチャ配布のパケットでないのでパケット検査済チェック部605に送られる。パケット検査済チェック部605は、パケットのヘッダの内容を調べて検査済のチェックがなされているか調べる。例えば、特定のVLAN(Virtual Local Area Network)タグが設定されていたり、TOS(Type of Service)フィールドに特定の値が設定されていたり、特定のIP(Internet Protocol)エンカプセル化を行われているか調べる。この場合には、パケット検査済のチェックがされていないので、検知エンジン部606にパケットを送り不正侵入か否かの検査を依頼する。検知エンジン部606では、シグネチャDB部604から条件が一致するパケットを取り出し、パケットの不正侵入検査を実施する。パケットの検査の結果OKの場合には、受信した側と逆のパケット送受信部B602からパケットを送信する。
Assume that the terminal 206 accesses the
次にルータ207を通してパケットが侵入検知装置B202に送られる。侵入検知装置B202では、パケット送受信部A601からパケットを受信する。このパケットは管理装置203からのシグネチャ配布のパケットでないのでパケット検査済チェック部605に送られる。パケット検査済チェック部605は、パケットのヘッダの内容を調べて検査済のチェックがなされているか調べる。この場合には、侵入検知装置A201でパケット検査済のチェックが実施されているので、パケット検査済チェック部605でのチェック済という結果になり、パケットを検査する必要がなくなるので、受信した側と逆のパケット送受信部B602を通してパケットを送信する。サーバA204ではパケットを受信して、必要があれば受信したパケットをネットワークドライバで検査済のチェックをはずしてアプリケーションへ送る。
Next, the packet is sent to the intrusion
以上のように、侵入検知装置で検査したパケットにチェック済を入れることによって、管理装置なしで、冗長なパケット検査がなくなり低管理コストになる。さらに冗長なパケット検査がなくなることにより侵入検知装置の処理負荷の軽減になり、パケットの遅延も少なくなる。
また、サーバのネットワークドライバで検査済のパケットしか受信しないとすることで、未検査のパケットがサーバで処理されることを防ぐことができセキュリティが向上する。
ネットワークの構成が変化しても、シグネチャを最適化する必要がないので侵入検知装置のシグネチャ管理のコストを軽減できる。
As described above, by putting a check on a packet inspected by an intrusion detection device, redundant packet inspection is eliminated without a management device, resulting in a low management cost. Furthermore, the elimination of redundant packet inspection reduces the processing load on the intrusion detection device and reduces packet delay.
In addition, since only the packets that have been inspected by the network driver of the server are received, it is possible to prevent uninspected packets from being processed by the server, and security is improved.
Even if the network configuration changes, it is not necessary to optimize the signature, so that the cost of signature management of the intrusion detection device can be reduced.
この発明は、ネットワーク管理システムにおいて計算機ネットワークへの侵入などの不正アクセスに対する侵入を検知する侵入検知装置に適用され、侵入検知装置の処理負荷の軽減を実現でき、ユーザの操作性向上図れ、さらには管理コストの軽減、管理者の負荷軽減をも実現できる。 The present invention is applied to an intrusion detection apparatus that detects an intrusion for unauthorized access such as an intrusion into a computer network in a network management system, can reduce the processing load of the intrusion detection apparatus, and can improve user operability. It is possible to reduce the management cost and the burden on the administrator.
101、601;パケット送受信部A、102、602;パケット送受信部B、103、603;管理通信部、104、604;シグネチャDB部、105;検査パケット処理部、106;シグネチャ最適化部、107、606;検知エンジン部、108;最適化シグネチャDB部、201;侵入検知装置A、202;侵入検知装置B、203;管理装置、204;サーバA、205;サーバB、206;端末、207;ルータ、208;ルータ、301;シグネチャ、605;パケット検査済みチェック部。
101, 601; Packet transmission / reception unit A, 102, 602; Packet transmission / reception unit B, 103, 603; Management communication unit, 104, 604; Signature DB unit, 105; Inspection packet processing unit, 106; Signature optimization unit, 107, 606;
Claims (3)
ネットワークに接続された管理装置からのシグネチャを受信し保存するシグネチャDB部、
シグネチャDB部のシグネチャからネットワークに接続された保護すべきサーバを特定し、そのサーバ宛に検査パケットの送信依頼信号を出力するシグネチャ最適化部、
シグネチャ最適化部からの送信依頼信号を受信し、検査パケットをパケット送受信部を通して指定されたサーバ宛に送る検査パケット処理部を備え、
検査パケット処理部はサーバから戻ってきた検査パケットから経路上に他の侵入検知装置があるかないかを確認し、他の侵入検知装置ある場合には、検査パケットに他の侵入検知装置があることを示す識別子を付け、
シグネチャ最適化部は、他の侵入検知装置がサーバとの途中にある場合には、該当シグネチャを無効にし、ない場合には、有効にしてシグネチャを最適化し、
この最適化されたシグネチャを登録する最適化シグネチャDB部と、
パケット送受信部から受信したパケットを受け取り、最適化シグネチャDB部に登録されているシグネチャを用いてパケットの不正侵入検査を実施し、検査がOKである場合にはパケット送受信部からパケットを送信し、検査がNGの場合にはパケットを廃棄する検知エンジン部を更に備えた侵入検知装置。 A packet transceiver for transmitting and receiving packets from the network,
Signature DB part that receives and stores signatures from management devices connected to the network,
A signature optimization unit that identifies a server to be protected connected to the network from the signature of the signature DB unit, and outputs a request to send a test packet to the server,
An inspection packet processing unit that receives a transmission request signal from the signature optimization unit and sends an inspection packet to a designated server through the packet transmission / reception unit;
The inspection packet processing unit checks whether there is another intrusion detection device on the route from the inspection packet returned from the server, and if there is another intrusion detection device, there is another intrusion detection device in the inspection packet. With an identifier indicating
If another intrusion detection device is in the middle of the server, the signature optimization unit invalidates the corresponding signature, and if not, activates and optimizes the signature.
An optimized signature DB section for registering the optimized signature;
Receives a packet received from the packet transceiver unit, performs an intrusion inspection of the packet using the signature registered in the optimization signature DB unit, and if the inspection is OK, transmits the packet from the packet transceiver unit, An intrusion detection device further comprising a detection engine unit that discards the packet when the inspection is NG.
シグネチャ最適化部はこの通知により検査パケット処理部に再度検査パケット送信依頼することを特徴とする請求項1記載の侵入検知装置。 In the packet transmission / reception unit, when the link information of the network is detected by connecting / disconnecting the network cable and the link is disconnected and the link is connected again, the signature optimization unit is notified of the connection change,
The intrusion detection apparatus according to claim 1, wherein the signature optimization unit requests the inspection packet processing unit to transmit the inspection packet again by the notification.
ネットワークに接続された管理装置からのシグネチャを受信し保存するシグネチャDB部、
パケット送受信部から受け取る自己の装置を管理するため以外のパケットが検査済みのチェックを有するか否かを調べ、検査済みの場合にはパケットをパケット送受信部から送信し、検査済みでない場合には、検知エンジン部に送るパケット検査済みチェック部を備え、
検知エンジン部はパケット検査済みチェック部から送られたパケットの不正侵入検査をシグネチャDB部に登録されているシグネチャを用いて実施し、検査がOKである場合にはパケット送受信部からパケットを送信し、検査がNGの場合にはパケットを廃棄する構成にされた侵入検知装置。 A packet transceiver for transmitting and receiving packets from the network,
Signature DB part that receives and stores signatures from management devices connected to the network,
Check whether or not a packet other than for managing its own device received from the packet transmitting / receiving unit has an inspected check. Provided with a packet inspection check part to be sent to the detection engine part,
The detection engine unit performs an intrusion inspection of the packet sent from the packet inspection check unit using the signature registered in the signature DB unit, and if the inspection is OK, transmits the packet from the packet transmission / reception unit. Intrusion detection device configured to discard packets if inspection is NG.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005230757A JP2007049352A (en) | 2005-08-09 | 2005-08-09 | Intrusion detector |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005230757A JP2007049352A (en) | 2005-08-09 | 2005-08-09 | Intrusion detector |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007049352A true JP2007049352A (en) | 2007-02-22 |
Family
ID=37851829
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005230757A Pending JP2007049352A (en) | 2005-08-09 | 2005-08-09 | Intrusion detector |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007049352A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100927230B1 (en) | 2007-12-17 | 2009-11-16 | 한국전자통신연구원 | Signature Optimizer and Method |
-
2005
- 2005-08-09 JP JP2005230757A patent/JP2007049352A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100927230B1 (en) | 2007-12-17 | 2009-11-16 | 한국전자통신연구원 | Signature Optimizer and Method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20110252469A1 (en) | System for preventing normal user being blocked in network address translation (nat) based web service and method for controlling the same | |
US9444821B2 (en) | Management server, communication cutoff device and information processing system | |
US7876676B2 (en) | Network monitoring system and method capable of reducing processing load on network monitoring apparatus | |
US20070022468A1 (en) | Packet transmission equipment and packet transmission system | |
US20080060067A1 (en) | Ip management Method and Apparatus for Protecting/Blocking Specific Ip Address or Specific Device on Network | |
JP2008271339A (en) | Security gateway system, method and program thereof | |
US20200067956A1 (en) | Detection of manipulations in a can network by checking can identifiers | |
CN104424438A (en) | Anti-virus file detection method, anti-virus file detection device and network equipment | |
JP4259183B2 (en) | Information processing system, information processing apparatus, program, and method for detecting communication abnormality in communication network | |
CN105897909B (en) | The WEB service monitoring method of server protection equipment in bypass mode | |
JP7024069B2 (en) | How to detect attacks on vehicle control equipment | |
CN1983955A (en) | Method and system for monitoring illegal message | |
US9298175B2 (en) | Method for detecting abnormal traffic on control system protocol | |
JP2007049352A (en) | Intrusion detector | |
JP2012138727A (en) | Information processing device, address overlap handling method, and address overlap handling program | |
JP2004248185A (en) | System for protecting network-based distributed denial of service attack and communication device | |
JP5267893B2 (en) | Network monitoring system, network monitoring method, and network monitoring program | |
US20090100487A1 (en) | Mitigating subscriber side attacks in a cable network | |
WO2021106446A1 (en) | Detection device, vehicle, detection method, and detection program | |
JP2009005122A (en) | Illegal access detection apparatus, and security management device and illegal access detection system using the device | |
JP2003348113A (en) | Switch and lan | |
US10616094B2 (en) | Redirecting flow control packets | |
US8660143B2 (en) | Data packet interception system | |
JP5420465B2 (en) | Communication monitoring apparatus, method and program | |
JP4319585B2 (en) | Damage prevention system, packet transfer apparatus, packet collection and analysis apparatus, and program |