JP2007049352A - Intrusion detector - Google Patents

Intrusion detector Download PDF

Info

Publication number
JP2007049352A
JP2007049352A JP2005230757A JP2005230757A JP2007049352A JP 2007049352 A JP2007049352 A JP 2007049352A JP 2005230757 A JP2005230757 A JP 2005230757A JP 2005230757 A JP2005230757 A JP 2005230757A JP 2007049352 A JP2007049352 A JP 2007049352A
Authority
JP
Japan
Prior art keywords
packet
signature
inspection
unit
intrusion detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005230757A
Other languages
Japanese (ja)
Inventor
Tetsuo Sadakane
哲男 貞包
Yasuhisa Tokiniwa
康久 時庭
Shinobu Atozawa
忍 後沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2005230757A priority Critical patent/JP2007049352A/en
Publication of JP2007049352A publication Critical patent/JP2007049352A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an intrusion detector capable of automatically determining a necessary signature only by itself and a management apparatus automatically detecting a change of the intrusion detector to another network even when the management apparatus does not know the constitution of networks. <P>SOLUTION: A signature optimizing part requests the transmission of an inspection packet to an inspection packet processing part for transmitting the inspection packet to a protection server specified from a signature sent from the management apparatus, the inspection packet processing part confirms whether another intrusion detector exists on a route or not from the inspection packet returned from the server, and when the other intrusion detector exists, attaches an identifier expressing the existence of the other intrusion detector to the inspection packet. The signature optimizing part invalidates the signature when the other intrusion detector exists, but when the other intrusion detector does not exist, validates and optimizes the signature and registers the optimized signature in an optimized signature DB part. A detection engine part inspects illegal intrusion about a packet received from a packet transmitting/receiving part by the signature registered in the optimized signature DB part and transmits the packet from the packet transmitting/receiving part when the signature is OK, but when the packet is NG, rejects the packet. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

この発明は、ネットワーク管理システムにおいて計算機ネットワークへの侵入などの不正アクセスに対する侵入を検知し、不正侵入したパケットは廃棄する侵入検知装置に関するものである。   The present invention relates to an intrusion detection apparatus that detects an intrusion for unauthorized access such as an intrusion into a computer network in a network management system and discards an unauthorized intrusion packet.

従来のネットワーク侵入検知システムでは、侵入検知装置ですべてのシグネチャを用いてパケットを検査するのではなく、管理装置から渡されたネットワークの構成情報をもとに、必要なシグネチャだけを用いて検査を行っていた(例えば、特許文献1)。   In a conventional network intrusion detection system, an intrusion detection device does not inspect packets using all signatures, but only inspects necessary signatures based on network configuration information passed from the management device. (For example, Patent Document 1).

特開2003-92603号公報Japanese Patent Laid-Open No. 2003-92603

従来のネットワーク侵入検知システムは、事前に管理装置が侵入検知装置を含むネットワークの構成情報を把握しておく必要があるという問題点があった。また、侵入検知装置を別のネットワークに繋ぎ換えた場合に、管理装置でネットワークの構成情報を変更し侵入検知装置に知らせてやる必要があるという問題点があった。
この発明は上記のような問題点を解決するためになされたもので、管理装置はネットワークの構成を知らなくても、侵入検知装置だけで自動的に必要なシグネチャを判断し、さらに侵入検知装置が別のネットワークへ変更したことを自動的に検知することを目的とする。 The conventional network intrusion detection system has a problem that the management device needs to grasp the configuration information of the network including the intrusion detection device in advance. Further, when the intrusion detection apparatus is connected to another network, there is a problem that the management apparatus needs to change the network configuration information and notify the intrusion detection apparatus.
The present invention has been made to solve the above-described problems, and the management device can automatically determine a necessary signature using only the intrusion detection device without knowing the network configuration, and can further detect the intrusion detection device. The purpose is to automatically detect that the network has changed to another network.

この発明に係る侵入検知装置は、
ネットワークからパケットを送受信するパケット送受信部、
ネットワークに接続された管理装置からのシグネチャを受信し保存するシグネチャDB部、
シグネチャDB部のシグネチャからネットワークに接続された保護すべきサーバを特定し、そのサーバ宛に検査パケットの送信依頼信号を出力するシグネチャ最適化部、
シグネチャ最適化部からの送信依頼信号を受信し、検査パケットをパケット送受信部を通して指定されたサーバ宛に送る検査パケット処理部を備え、
検査パケット処理部はサーバから戻ってきた検査パケットから経路上に他の侵入検知装置があるかないかを確認し、他の侵入検知装置ある場合には、検査パケットに他の侵入検知装置があることを示す識別子を付け、
シグネチャ最適化部は、他の侵入検知装置がサーバとの途中にある場合には、該当シグネチャを無効にし、ない場合には、有効にしてシグネチャを最適化し、
この最適化されたシグネチャを登録する最適化シグネチャDB部と、
パケット送受信部から受信したパケットを受け取り、最適化シグネチャDB部に登録されているシグネチャを用いてパケットの不正侵入検査を実施し、検査がOKである場合にはパケット送受信部からパケットを送信し、検査がNGの場合にはパケットを廃棄する検知エンジン部を更に備える。 Intrusion detection device according to the present invention,
A packet transceiver for transmitting and receiving packets from the network,
Signature DB part that receives and stores signatures from management devices connected to the network,
A signature optimization unit that identifies a server to be protected connected to the network from the signature of the signature DB unit, and outputs a request to send a test packet to the server,
An inspection packet processing unit that receives a transmission request signal from the signature optimization unit and sends an inspection packet to a designated server through the packet transmission / reception unit;
The inspection packet processing unit checks whether there is another intrusion detection device on the route from the inspection packet returned from the server, and if there is another intrusion detection device, that there is another intrusion detection device in the inspection packet. With an identifier indicating
If another intrusion detection device is in the middle of the server, the signature optimization unit invalidates the corresponding signature, and if not, activates and optimizes the signature.
An optimized signature DB section for registering the optimized signature;
Receives the packet received from the packet transceiver unit, conducts an intrusion inspection of the packet using the signature registered in the optimization signature DB unit, and if the inspection is OK, transmits the packet from the packet transceiver unit, When the inspection is NG, a detection engine unit for discarding the packet is further provided.

この発明に係る侵入検知装置では、検査パケットで侵入検知装置と保護すべきサーバの経路上に他の侵入検知装置がないかを確認することにより、管理装置ではなく各侵入検知装置だけでシグネチャの最適化が実現でき、管理コストを軽減することができる。 また、シグネチャの最適化によって検知エンジン部で冗長なシグネチャの検査を実施されることがなくなるので、侵入検知装置の処理負荷の軽減を実現できる。さらに、侵入検知装置の処理負荷が減ることによりパケットの遅延が少なくなり、ユーザが端末からサーバ宛にパケットを送る処理をした場合の操作性が向上する。   In the intrusion detection device according to the present invention, by checking whether there is any other intrusion detection device on the path between the intrusion detection device and the server to be protected by the inspection packet, the signature of only the intrusion detection device, not the management device. Optimization can be realized and management costs can be reduced. In addition, since the signature engine is not subjected to redundant signature inspection in the detection engine unit, the processing load of the intrusion detection device can be reduced. Further, the processing load of the intrusion detection device is reduced, so that the delay of the packet is reduced, and the operability when the user performs processing for sending the packet from the terminal to the server is improved.

またさらに、冗長な検索を行われなくなるため、侵入検知装置で検査結果がNGだった場合でも管理装置に送信されるアラート(警告)情報が少なくなりネットワークの負荷軽減になり、また管理者が重要なアラートを見つけやすくなるため管理者の負荷軽減も実現できる。   Furthermore, since redundant searches are not performed, even if the intrusion detection device has a test result of NG, the alert (warning) information sent to the management device is reduced, reducing the load on the network, and the administrator is important. It is possible to reduce the burden on the administrator because it is easy to find the alert.

実施の形態1.
まず始めにこの発明の侵入検知装置が適用されるネットワークの構成を図2により説明する。
図2において、管理装置203と侵入検知装置A201と侵入検知装置B202がルータ207を通して接続されている。サーバB205も同様にルータ207により管理装置203と侵入検知装置A201と侵入検知装置B202に接続されている。侵入検知装置B202にはサーバA204が接続され、さらに侵入検知装置A201の先にはルータ208で端末206が接続されている。 Embodiment 1 FIG.
First, the configuration of a network to which the intrusion detection apparatus of the present invention is applied will be described with reference to FIG.
In FIG. 2, a management device 203, an intrusion detection device A 201, and an intrusion detection device B 202 are connected through a router 207. Similarly, the server B 205 is connected to the management device 203, the intrusion detection device A 201, and the intrusion detection device B 202 by the router 207. A server A 204 is connected to the intrusion detection device B 202, and a terminal 206 is connected to the tip of the intrusion detection device A 201 through a router 208.

次に、この発明の侵入検知装置(侵入検知装置A201及び侵入検知装置B202)の構成について図1の構成図を基に説明する。
図1において、パケット送受信部A101とパケット送受信部B102は外部からパケットを送受信し、パケットの宛先と種別により管理通信部103、検査パケット処理部105、検知エンジン部107などの各部で定められた処理をし、外部にパケットを送信する。管理通信部103は、管理装置203から送られる図3に示すシグネチャ301を、パケット送受信部A101またはパケット送受信部B102を通して受信し、そのシグネチャ301をシグネチャDB部104に格納する。シグネチャDB部104は、管理装置203から送られたシグネチャ301を保存する。 Next, the configuration of the intrusion detection device (intrusion detection device A201 and intrusion detection device B202) of the present invention will be described based on the configuration diagram of FIG.
In FIG. 1, a packet transmission / reception unit A101 and a packet transmission / reception unit B102 transmit and receive packets from the outside, and processing determined by each unit such as the management communication unit 103, the inspection packet processing unit 105, and the detection engine unit 107 according to the destination and type of the packet And send the packet to the outside. The management communication unit 103 receives the signature 301 shown in FIG. 3 sent from the management device 203 through the packet transmission / reception unit A 101 or the packet transmission / reception unit B 102, and stores the signature 301 in the signature DB unit 104. The signature DB unit 104 stores the signature 301 sent from the management device 203.

検査パケット処理部105は、パケット送受信部A101とパケット送受信部B102からの検査パケットを指定したサーバへ送り、戻ってきた検査パケットの内容から経路上に他の侵入検知装置があるか無いかを判断する。シグネチャ最適化部106は、シグネチャDB部104から保護すべきサーバを特定し、そのサーバ宛に検査パケットの送信を検査パケット処理部105に依頼し、別な侵入検知装置がサーバとの間にあった場合には、該当シグネチャを無効にし、途中に別な侵入検知装置が無かった場合には、有効にして最適化したシグネチャを最適化シグネチャDB部108に登録する。検知エンジン部107はパケット送受信部A101またはパケット送受信部B102から受信したパケットを受け取り、最適化シグネチャDB部108に格納されているシグネチャを用いてパケットの検査を実施し、検査がOKである場合には受信した側でないパケット送受信部A101またはパケット送受信部B102にパケットを送信し、検査結果がNGの場合には、パケットを廃棄する。最適化シグネチャDB部108は検知エンジン107で参照される最適化されたシグネチャを格納する。   The inspection packet processing unit 105 sends the inspection packets from the packet transmission / reception unit A101 and the packet transmission / reception unit B102 to the designated server, and determines whether there is another intrusion detection device on the route from the contents of the inspection packet that has returned. To do. The signature optimizing unit 106 identifies a server to be protected from the signature DB unit 104, requests the inspection packet processing unit 105 to transmit an inspection packet to the server, and another intrusion detection apparatus exists between the servers. If the corresponding signature is invalidated and there is no other intrusion detection device in the middle, the signature that is validated and optimized is registered in the optimized signature DB unit 108. The detection engine unit 107 receives a packet received from the packet transmission / reception unit A101 or the packet transmission / reception unit B102, inspects the packet using the signature stored in the optimization signature DB unit 108, and when the inspection is OK Transmits the packet to the packet transmitting / receiving unit A101 or the packet transmitting / receiving unit B102 which is not the receiving side, and discards the packet when the inspection result is NG. The optimized signature DB unit 108 stores an optimized signature that is referenced by the detection engine 107.

次に動作について説明する。
管理装置203から定期的に侵入検知装置A201と侵入検知装置B202宛に図3に示されるシグネチャ301がルータ207により分配され配布される。
侵入検知装置A201では、管理装置203からのシグネチャ301をパケット送受信部B102及び管理通信部103を通してシグネチャDB104に格納する。侵入検知装置B202でも同様に、管理装置203からのシグネチャ301をパケット送受信部A101から管理通信部103を通してシグネチャDB104に格納する。 Next, the operation will be described.
The signature 301 shown in FIG. 3 is periodically distributed and distributed from the management device 203 to the intrusion detection device A201 and the intrusion detection device B202.
Intrusion detection device A 201 stores signature 301 from management device 203 in signature DB 104 through packet transmission / reception unit B 102 and management communication unit 103. Similarly, the intrusion detection apparatus B 202 stores the signature 301 from the management apparatus 203 in the signature DB 104 from the packet transmission / reception unit A 101 through the management communication unit 103.

次に各侵入検知装置で検査パケットの送信を行い隣接する侵入検知装置を調査する。侵入検知装置A201では、シグネチャ最適化部106がシグネチャDB部104のシグネチャ301を参照して、保護すべきサーバA204とサーバB205を特定する。シグネチャ最適化部106はサーバA204に対して検査パケットを送信するように検査パケット処理部105に依頼する。検査パケット処理部105はICMP(Internet Control Message Protocol)エコーリクエストパケットをサーバA204宛にパケット送受信部B102を通して送信する。図4の401に示すように、このときICMPエコーリクエストパケットのデータ部の先頭に検査パケット固有の識別子と最後尾に各侵入検知装置固有の識別子を付加する。   Next, each intrusion detection device transmits an inspection packet to investigate adjacent intrusion detection devices. In the intrusion detection device A201, the signature optimizing unit 106 refers to the signature 301 of the signature DB unit 104, and identifies the server A204 and the server B205 to be protected. The signature optimization unit 106 requests the inspection packet processing unit 105 to transmit the inspection packet to the server A 204. The inspection packet processing unit 105 transmits an ICMP (Internet Control Message Protocol) echo request packet to the server A 204 through the packet transmission / reception unit B102. As indicated by 401 in FIG. 4, at this time, an identifier unique to the inspection packet is added to the head of the data portion of the ICMP echo request packet, and an identifier unique to each intrusion detection device is added to the tail.

ICMPエコーリクエストパケットはルータ207を通り、侵入検知装置B202のパケット送受信部A101に入る。パケット送受信部A101では、ICMPエコーリクエストパケットのデータ部の先頭を参照し、検査パケット固有の識別子から検査パケットであることを確認し、検査パケット処理部105にパケットを送る。検査パケット処理部105では、図4の402に示すようにICMPエコーリクエストパケットのデータ部の最後尾に侵入検知装置B202の固有の識別子を付加して、パケット送受信部B102へ送る。   The ICMP echo request packet passes through the router 207 and enters the packet transmission / reception unit A101 of the intrusion detection apparatus B202. The packet transmitting / receiving unit A101 refers to the head of the data part of the ICMP echo request packet, confirms that the packet is a test packet from the identifier unique to the test packet, and sends the packet to the test packet processing unit 105. The inspection packet processing unit 105 adds a unique identifier of the intrusion detection device B202 to the end of the data portion of the ICMP echo request packet as shown by 402 in FIG. 4 and sends the packet to the packet transmission / reception unit B102.

侵入検知装置B202でデータ部の最後尾に侵入検知装置B202の固有の識別子が付加されたICMPエコーリクエストパケットは、侵入検知装置B202のパケット送受信部B102から送信されサーバA204に受信される。サーバA204で受信されたICMPエコーリクエストパケットは、今度は受信したパケットとデータ部が同じである侵入検知装置A201宛のICMPエコーリプライパケットがサーバA204から送信される。侵入検知装置B202では、ICMPエコーリプライパケットをパケット送受信部B102で受信し、データ部の先頭の識別子により検査パケットであること認識するが、宛先が侵入検知装置B202宛てではないので、そのままパケット送受信部A101を通してパケットを送信する。   The ICMP echo request packet in which the unique identifier of the intrusion detection device B202 is added to the end of the data part in the intrusion detection device B202 is transmitted from the packet transmitting / receiving unit B102 of the intrusion detection device B202 and received by the server A204. The ICMP echo request packet received by the server A204 is transmitted from the server A204 this time with an ICMP echo reply packet addressed to the intrusion detection apparatus A201 having the same data portion as the received packet. In the intrusion detection device B202, the ICMP echo reply packet is received by the packet transmission / reception unit B102, and the packet identifier is recognized as the inspection packet by the identifier at the head of the data portion, but the destination is not addressed to the intrusion detection device B202. A packet is transmitted through A101.

侵入検知装置B202から送信されたICMPエコーリプライパケットはルータ207を通して、侵入検知装置A201に送られる。侵入検知装置A201のパケット送受信部B102では、データ部の先頭の識別子と宛先より自分が送信した検査パケットだと認識し、検査パケット処理部105にICMPエコーリプライパケットを送る。検査パケット処理部105では、ICMPエコーリプライパケットの最後尾の識別子により自己の侵入検知装置A201とサーバA204との経路の間に侵入検知装置B202があることを認識し、シグネチャ最適化部106に経路上に別の侵入検知装置有りの検査結果を返す。シグネチャ最適化部106では、自己の侵入検知装置A201とサーバA204との経路上に別の侵入検知装置があるためシグネチャDB部104のサーバA204宛のシグネチャを無効にし最適化シグネチャDB108に登録しない。   The ICMP echo reply packet transmitted from the intrusion detection device B202 is sent to the intrusion detection device A201 through the router 207. The packet transmission / reception unit B102 of the intrusion detection apparatus A201 recognizes that it is an inspection packet transmitted by itself from the identifier at the head of the data portion and the destination, and sends an ICMP echo reply packet to the inspection packet processing unit 105. The inspection packet processing unit 105 recognizes that there is an intrusion detection device B202 between the routes of its own intrusion detection device A201 and the server A204 by the last identifier of the ICMP echo reply packet, and routes it to the signature optimization unit 106. Returns the inspection result with another intrusion detection device above. The signature optimization unit 106 invalidates the signature addressed to the server A 204 of the signature DB unit 104 and does not register it in the optimization signature DB 108 because there is another intrusion detection device on the path between its own intrusion detection device A 201 and server A 204.

シグネチャ最適化部106は、シグネチャDB部104から次の保護するサーバB205をみつけ、自己の侵入検知装置A201とサーバB205との経路途中に別の侵入検知装置があるかないかを調べるために、上記と同様にしてサーバB205宛に検査パケットの送信を検査パケット処理部105に依頼する。   The signature optimization unit 106 finds the next server B 205 to be protected from the signature DB unit 104, and checks whether there is another intrusion detection device in the middle of the path between the own intrusion detection device A 201 and the server B 205. In the same manner as described above, the inspection packet processing unit 105 is requested to transmit the inspection packet to the server B 205.

検査パケット処理部105は、上記と同様にデータ部の先頭に検査パケット固有の識別子と最後尾に侵入検知装置A201固有の識別子を持つICMPエコーリクエストのパケットを、パケット送受信部B102を通してサーバB205宛に送る。
ICMPエコーリクエストパケットはルータ207を通して、サーバB205で受信されて、受信したパケットとデータ部が同じである侵入検知装置A201宛のICMPエコーリプライパケットがサーバB205から送信される。 The inspection packet processing unit 105 sends an ICMP echo request packet having an identifier unique to the inspection packet at the beginning of the data portion and an identifier unique to the intrusion detection device A201 to the server B205 through the packet transmitting / receiving unit B102, as described above. send.
The ICMP echo request packet is received by the server B 205 through the router 207, and an ICMP echo reply packet addressed to the intrusion detection device A 201 having the same data portion as the received packet is transmitted from the server B 205.

ICMPエコーリプライパケットはルータ207を通して、侵入検知装置A201に送られる。侵入検知装置A201のパケット送受信部B102で受信されたICMPエコーリプライパケットは、データ部の先頭の識別子と宛先より自分が送信した検査パケットだと認識し、検査パケット処理部105にICMPエコーリプライパケットを送る。検査パケット処理部105では、ICMPエコーリプライパケットの最後尾の識別子よりサーバB205との経路の間に他の侵入検知装置がないことを認識し、シグネチャ最適化部106に経路上に別の侵入検知装置無しの検査結果を返す。シグネチャ最適化部106では、サーバB205との経路上に別の侵入検知装置がないためシグネチャDB部104のサーバB205宛のシグネチャを最適化シグネチャDB部108に登録する。
このようにして、侵入検知装置A101では、最適化シグネチャDB部108にサーバB205宛のシグネチャだけ登録されることになる。 The ICMP echo reply packet is sent to the intrusion detection apparatus A201 through the router 207. The ICMP echo reply packet received by the packet transmission / reception unit B102 of the intrusion detection apparatus A201 is recognized as an inspection packet transmitted from the head identifier of the data part and the destination, and the inspection packet processing unit 105 transmits the ICMP echo reply packet. send. The inspection packet processing unit 105 recognizes that there is no other intrusion detection device between the route to the server B 205 from the last identifier of the ICMP echo reply packet, and the signature optimization unit 106 detects another intrusion on the route. Returns the inspection result without equipment. The signature optimization unit 106 registers the signature addressed to the server B 205 of the signature DB unit 104 in the optimization signature DB unit 108 because there is no other intrusion detection device on the path to the server B 205.
In this way, the intrusion detection apparatus A101 registers only the signature addressed to the server B205 in the optimized signature DB unit 108.

侵入検知装置B202においても、同様にサーバA204とサーバB205宛に検査パケットを送って、経路上に他の侵入検知装置がないかを調べ、両方ともないことを確認し、最適化シグネチャDB部108にサーバA204宛とサーバB205宛のシグネチャを登録する。
端末206からサーバA204宛てにパケットが送信された場合、ルータ208を通して、侵入検知装置A201にパケットが送られる。侵入検知装置A201のパケット送受信部A101が、そのパケットを受信し、検査パケットでないことを確認して、検知エンジン部107に送る。検知エンジン部107では最適化シグネチャDB部108を参照して、条件に一致するサーバA204宛のシグネチャがないので、そのままパケット送受信部B102から、そのパケットを送信する。 Similarly, intrusion detection apparatus B202 also sends inspection packets to server A204 and server B205 to check whether there is any other intrusion detection apparatus on the route, and confirms that both are not present. The signatures addressed to server A 204 and server B 205 are registered.
When a packet is transmitted from the terminal 206 to the server A 204, the packet is transmitted to the intrusion detection device A 201 through the router 208. The packet transmission / reception unit A101 of the intrusion detection apparatus A201 receives the packet, confirms that it is not an inspection packet, and sends it to the detection engine unit 107. The detection engine unit 107 refers to the optimized signature DB unit 108, and since there is no signature addressed to the server A 204 that matches the condition, the packet is directly transmitted from the packet transmitting / receiving unit B102.

侵入検知装置A201から送信されたパケットはルータ207を通して、侵入検知装置B202に送られる。侵入検知装置B202のパケット送受信部A101では、受信したパケットが検査パケットでないことを確認して、検知エンジン部107にパケットを送る。今度は、最適化シグネチャDB部108に条件が一致するサーバA204宛のシグネチャが登録されているので、そのシグネチャを用いてパケットの検査(パケットが不正に侵入されたものであるか否かの確認)を行う。検査結果がOKの場合には、パケット送受信部B102を通して、パケットをサーバA204に送る。検査結果がNGの場合には、パケットを廃棄する。   The packet transmitted from the intrusion detection device A201 is sent to the intrusion detection device B202 through the router 207. The packet transmission / reception unit A101 of the intrusion detection device B202 confirms that the received packet is not an inspection packet, and sends the packet to the detection engine unit 107. This time, since the signature for the server A 204 that matches the conditions is registered in the optimization signature DB unit 108, the packet is inspected by using the signature (confirmation of whether the packet is illegally intruded or not). )I do. If the inspection result is OK, the packet is sent to the server A 204 through the packet transmitting / receiving unit B102. If the inspection result is NG, the packet is discarded.

以上のように、この発明では検査パケットで侵入検知装置と保護すべきサーバ上の経路上に他の侵入検知装置がないかを確認することにより、管理装置ではなく各侵入検知装置だけでシグネチャの最適化が実現でき、管理コストを軽減することができる。
また、シグネチャの最適化によって検知エンジン部で冗長なシグネチャの検査を実施されることがなくなるので、侵入検知装置の処理負荷の軽減を実現できる。さらに、侵入検知装置の処理負荷が減ることによりパケットの遅延が少なくなり、ユーザが端末からサーバ宛にパケットを送る処理をした場合の操作性が向上する。 As described above, according to the present invention, by checking whether there is any other intrusion detection device on the path on the server to be protected with the intrusion detection device by using the inspection packet, the signature of only the intrusion detection device, not the management device. Optimization can be realized and management costs can be reduced.
In addition, since the signature engine is not subjected to redundant signature inspection in the detection engine unit, the processing load of the intrusion detection device can be reduced. Further, the processing load of the intrusion detection device is reduced, so that the delay of the packet is reduced, and the operability when the user performs the process of sending the packet from the terminal to the server is improved.

冗長な検索を行われなくなるため、侵入検知装置で検査結果がNGだった場合でも管理装置に送信されるアラート(警告)情報が少なくなりネットワークの負荷軽減になり、また管理者が重要なアラートを見つけやすくなるため管理者の負荷軽減も実現できる。   Since redundant searches are not performed, even if the inspection result is NG on the intrusion detection device, the alert (warning) information sent to the management device will be reduced, reducing the load on the network, and the administrator will receive an important alert. Because it becomes easier to find, the burden on the administrator can be reduced.

実施の形態2.
以上の実施の形態1では、定期的に検査パケットを送ってシグネチャの最適化を実施するようにしたものであるが、次にネットワークへの接続において、侵入検知装置の配置を変更した場合に、すぐにそれを検知して検査パケットを送信する実施の形態を示す。
この実施の形態において侵入検知装置201,202の構成及びネットワークの構成は、図1に示す実施の形態1の構成図及び図2に示す実施の形態1のネットワークの構成図と同様である。なお、パケット送受信部101、102では、ネットワークケーブルの抜き差しによるネットワークのリンク情報を検知し、リンクが切れて再びリンクが上がった場合に、検査パケット処理部105を通してシグネチャ最適化部106にネットワークの接続が変更したことを通知する。シグネチャ最適化部106はこの通知を契機に検査パケットの送信を検査パケット処理部105に再度依頼する処理がそれぞれ追加されている。 Embodiment 2. FIG.
In the first embodiment, the inspection packet is periodically sent to optimize the signature. Next, when the arrangement of the intrusion detection device is changed in the connection to the network, An embodiment will be described in which an inspection packet is transmitted immediately after it is detected.
In this embodiment, the configurations of the intrusion detection apparatuses 201 and 202 and the network configuration are the same as the configuration diagram of the first embodiment shown in FIG. 1 and the network configuration diagram of the first embodiment shown in FIG. The packet transmission / reception units 101 and 102 detect network link information by connecting / disconnecting network cables, and when the link is disconnected and the link is up again, the network connection to the signature optimization unit 106 is made through the inspection packet processing unit 105. Notify that has changed. In response to this notification, the signature optimization unit 106 is additionally provided with processing for requesting the inspection packet processing unit 105 to transmit the inspection packet again.

次に動作について説明する。
侵入検知装置A201と侵入検知装置B202でシグネチャの最適化を実施する部分は、実施の形態1の動作を同様である。次に図2のネットワーク構成から図5のネットワーク構成に侵入検知装置A101のネットワークへの接続を変更した場合について説明する。
侵入検知装置A101のネットワーク送受信部A101でネットワークへ接続するケーブルの抜き差しを検知して、検査パケット処理部105を通してシグネチャ最適化部106にネットワークの接続が変更したことを通知する。シグネチャ最適化部106はこの通知を契機に検査パケットの送信を検査パケット処理部105に依頼する。以降、シグネチャの最適化を実施の形態1と同様に行う。 Next, the operation will be described.
The parts of the intrusion detection device A201 and the intrusion detection device B202 that perform signature optimization are the same as those in the first embodiment. Next, the case where the connection of the intrusion detection apparatus A101 to the network is changed from the network configuration of FIG. 2 to the network configuration of FIG.
The network transmission / reception unit A101 of the intrusion detection apparatus A101 detects the connection / disconnection of the cable connected to the network, and notifies the signature optimization unit 106 through the inspection packet processing unit 105 that the network connection has been changed. In response to this notification, the signature optimization unit 106 requests the inspection packet processing unit 105 to transmit an inspection packet. Thereafter, signature optimization is performed in the same manner as in the first embodiment.

以上のように、ネットワークの構成の変更を侵入検知装置だけですばやく認識してシグネチャの最適化を実施することにより、シグネチャの最適化の実施が遅れて検査すべきパケットが検査されない可能性が少なくなり、安全性が向上する。   As described above, by quickly recognizing a change in the network configuration only by an intrusion detection device and performing signature optimization, there is less possibility that a packet to be inspected will not be inspected due to a delay in signature optimization. And safety is improved.

実施の形態3.
以上の実施の形態1、2では、検査パケットを侵入検知装置から送ってシグネチャの最適化を実施するようにしたものであるが、シグネチャの最適化は実施せずに検査したパケットに検査済みの識別子を付けることにより冗長なパケットの検査を行わないようにする実施の形態を以下に示す。 Embodiment 3 FIG.
In the first and second embodiments described above, the inspection packet is sent from the intrusion detection device and the signature is optimized. However, the optimization is not performed on the packet that has been inspected. An embodiment in which redundant packets are not inspected by attaching an identifier will be described below.

図6はこの実施の形態の侵入検知装置を示す構成図である。
図6において、パケット送受信部A601とパケット送受信部B602は外部からパケットを送受信し、パケットの宛先と種別により管理通信部603、パケット検査済みチェック部605で定められた処理をし、外部にパケットを送信する。管理通信部603は、管理装置203から送られるシグネチャを、パケット送受信部A601またはパケット送受信部B602を通して受信し、そのシグネチャをシグネチャDB部604に格納する。シグネチャDB部604は、管理装置203から送られ、管理通信部603を介して受信したシグネチャを保存する。パケット検査済チェック部605では、パケット送受信部A601またはパケット送受信部B602から渡されたパケットの内容を解析して既に検査済みのパケットであった場合には、渡された側とは逆のパケット送受信部を通してパケットを送信し、まだ未検査のパケットであった場合には、検知エンジン部606での検査を依頼する。検知エンジン部606はパケット検査済チェック部605から渡されたパケットと条件が一致するシグネチャをシグネチャDB部604から取り出して、パケットの検査を実施し、検査がOKである場合には受信した側でないパケット送受信部A601またはパケット送受信部B602にパケットを送信し、検査結果がNGの場合には、パケットを廃棄する。 FIG. 6 is a block diagram showing the intrusion detection device of this embodiment.
In FIG. 6, a packet transmission / reception unit A601 and a packet transmission / reception unit B602 transmit / receive a packet from the outside, perform processing determined by the management communication unit 603 and the packet-inspected check unit 605 according to the destination and type of the packet, and send the packet to the outside Send. The management communication unit 603 receives the signature transmitted from the management device 203 through the packet transmission / reception unit A601 or the packet transmission / reception unit B602, and stores the signature in the signature DB unit 604. The signature DB unit 604 stores a signature sent from the management device 203 and received via the management communication unit 603. The packet inspection completed check unit 605 analyzes the contents of the packet delivered from the packet transmission / reception unit A601 or the packet transmission / reception unit B602, and if the packet has already been inspected, the packet transmission / reception opposite to the delivered side is performed. If the packet is not yet inspected, the inspection engine unit 606 requests inspection. The detection engine unit 606 extracts from the signature DB unit 604 a signature whose condition matches that of the packet passed from the packet inspection completed check unit 605, performs packet inspection, and if the inspection is OK, it is not the receiving side. The packet is transmitted to the packet transmission / reception unit A601 or the packet transmission / reception unit B602. If the inspection result is NG, the packet is discarded.

図2はこの実施の形態のネットワークを示す構成図であり、実施の形態1と同様であるが、侵入検知装置A201と侵入検知装置B202の内部構成が図1に示す実施の形態1と異なり図6に示すように構成されている。   FIG. 2 is a block diagram showing the network of this embodiment, which is the same as that of the first embodiment, but is different from the first embodiment shown in FIG. 1 in the internal configuration of the intrusion detection device A201 and the intrusion detection device B202. 6 is configured.

次に動作について説明する。
管理装置203から侵入検知装置A201と侵入検知装置B202宛に図3に示すシグネチャ301を配布する。侵入検知装置A201では、パケット送受信部B602から管理通信部603を通してシグネチャ301をシグネチャDB部604に格納する。侵入検知装置B202でも同様に、パケット送受信部A601から管理通信部603を通してシグネチャ301をシグネチャDB部604に格納する。 Next, the operation will be described.
The signature 301 shown in FIG. 3 is distributed from the management device 203 to the intrusion detection device A201 and the intrusion detection device B202. Intrusion detection apparatus A 201 stores signature 301 in signature DB section 604 from packet transmission / reception section B 602 through management communication section 603. Similarly, the intrusion detection apparatus B202 stores the signature 301 in the signature DB unit 604 from the packet transmitting / receiving unit A601 through the management communication unit 603.

端末206からサーバA204にアクセスしたとする。端末206からのパケットがルータ208を通して侵入検知装置A201に入る。侵入検知装置A201のパケット送受信部A601よりパケットを受信する。このパケットは管理装置203からのシグネチャ配布のパケットでないのでパケット検査済チェック部605に送られる。パケット検査済チェック部605は、パケットのヘッダの内容を調べて検査済のチェックがなされているか調べる。例えば、特定のVLAN(Virtual Local Area Network)タグが設定されていたり、TOS(Type of Service)フィールドに特定の値が設定されていたり、特定のIP(Internet Protocol)エンカプセル化を行われているか調べる。この場合には、パケット検査済のチェックがされていないので、検知エンジン部606にパケットを送り不正侵入か否かの検査を依頼する。検知エンジン部606では、シグネチャDB部604から条件が一致するパケットを取り出し、パケットの不正侵入検査を実施する。パケットの検査の結果OKの場合には、受信した側と逆のパケット送受信部B602からパケットを送信する。   Assume that the terminal 206 accesses the server A 204. A packet from the terminal 206 enters the intrusion detection device A 201 through the router 208. A packet is received from the packet transmitting / receiving unit A601 of the intrusion detection device A201. Since this packet is not a signature distribution packet from the management apparatus 203, it is sent to the packet inspection completed check unit 605. The packet inspected check unit 605 checks the contents of the packet header to check whether the inspected check has been performed. For example, whether a specific VLAN (Virtual Local Area Network) tag is set, a specific value is set in a TOS (Type of Service) field, or a specific IP (Internet Protocol) encapsulation is performed Investigate. In this case, since the packet inspection has not been checked, a packet is sent to the detection engine unit 606 to request an inspection as to whether or not it is an unauthorized intrusion. The detection engine unit 606 takes out a packet with matching conditions from the signature DB unit 604 and performs an unauthorized intrusion inspection of the packet. If the packet check result is OK, the packet is transmitted from the packet transmitting / receiving unit B602 opposite to the receiving side.

次にルータ207を通してパケットが侵入検知装置B202に送られる。侵入検知装置B202では、パケット送受信部A601からパケットを受信する。このパケットは管理装置203からのシグネチャ配布のパケットでないのでパケット検査済チェック部605に送られる。パケット検査済チェック部605は、パケットのヘッダの内容を調べて検査済のチェックがなされているか調べる。この場合には、侵入検知装置A201でパケット検査済のチェックが実施されているので、パケット検査済チェック部605でのチェック済という結果になり、パケットを検査する必要がなくなるので、受信した側と逆のパケット送受信部B602を通してパケットを送信する。サーバA204ではパケットを受信して、必要があれば受信したパケットをネットワークドライバで検査済のチェックをはずしてアプリケーションへ送る。   Next, the packet is sent to the intrusion detection device B 202 through the router 207. Intrusion detection apparatus B202 receives a packet from packet transmitting / receiving unit A601. Since this packet is not a signature distribution packet from the management apparatus 203, it is sent to the packet inspection completed check unit 605. The packet inspected check unit 605 checks the contents of the packet header to check whether the inspected check has been performed. In this case, since the packet inspected check is performed by the intrusion detection apparatus A201, the result is that the packet has been checked by the packet inspected check unit 605, and there is no need to inspect the packet. The packet is transmitted through the reverse packet transmitting / receiving unit B602. The server A 204 receives the packet, and if necessary, removes the checked packet from the network driver and sends it to the application.

以上のように、侵入検知装置で検査したパケットにチェック済を入れることによって、管理装置なしで、冗長なパケット検査がなくなり低管理コストになる。さらに冗長なパケット検査がなくなることにより侵入検知装置の処理負荷の軽減になり、パケットの遅延も少なくなる。
また、サーバのネットワークドライバで検査済のパケットしか受信しないとすることで、未検査のパケットがサーバで処理されることを防ぐことができセキュリティが向上する。
ネットワークの構成が変化しても、シグネチャを最適化する必要がないので侵入検知装置のシグネチャ管理のコストを軽減できる。 As described above, by putting a check on a packet inspected by an intrusion detection device, redundant packet inspection is eliminated without a management device, resulting in a low management cost. Furthermore, the elimination of redundant packet inspection reduces the processing load on the intrusion detection device and reduces packet delay.
In addition, since only the packets that have been inspected by the network driver of the server are received, it is possible to prevent uninspected packets from being processed by the server, and security is improved.
Even if the network configuration changes, it is not necessary to optimize the signature, so that the cost of signature management of the intrusion detection device can be reduced.

この発明は、ネットワーク管理システムにおいて計算機ネットワークへの侵入などの不正アクセスに対する侵入を検知する侵入検知装置に適用され、侵入検知装置の処理負荷の軽減を実現でき、ユーザの操作性向上図れ、さらには管理コストの軽減、管理者の負荷軽減をも実現できる。   The present invention is applied to an intrusion detection apparatus that detects an intrusion for unauthorized access such as an intrusion into a computer network in a network management system, can reduce the processing load of the intrusion detection apparatus, and can improve user operability. It is possible to reduce the management cost and the burden on the administrator.

この発明の実施の形態1における侵入検知装置の構成図である。It is a block diagram of the intrusion detection apparatus in Embodiment 1 of this invention. この発明の侵入検知装置が適用されるネットワークの構成図である。1 is a configuration diagram of a network to which an intrusion detection device according to the present invention is applied. FIG. 実施の形態1におけるシグネチャの説明図である。4 is an explanatory diagram of a signature in Embodiment 1. FIG. ICMPエコーリクエストパケットの説明図である。It is explanatory drawing of an ICMP echo request packet. 侵入検知装置のネットワークへの接続変更後の構成図である。It is a block diagram after the connection change to the network of an intrusion detection apparatus. この実施の形態3の侵入検知装置を示す構成図である。It is a block diagram which shows the intrusion detection apparatus of this Embodiment 3.

符号の説明Explanation of symbols

101、601;パケット送受信部A、102、602;パケット送受信部B、103、603;管理通信部、104、604;シグネチャDB部、105;検査パケット処理部、106;シグネチャ最適化部、107、606;検知エンジン部、108;最適化シグネチャDB部、201;侵入検知装置A、202;侵入検知装置B、203;管理装置、204;サーバA、205;サーバB、206;端末、207;ルータ、208;ルータ、301;シグネチャ、605;パケット検査済みチェック部。   101, 601; Packet transmission / reception unit A, 102, 602; Packet transmission / reception unit B, 103, 603; Management communication unit, 104, 604; Signature DB unit, 105; Inspection packet processing unit, 106; Signature optimization unit, 107, 606; Detection engine unit 108; Optimization signature DB unit 201; Intrusion detection device A 202; Intrusion detection device B 203; Management device 204 204 Server A 205 205 Server B 206 206 Terminal 207 Router 208; Router 301; Signature 605; Checked packet check unit.

Claims (3)

ネットワークからパケットを送受信するパケット送受信部、
ネットワークに接続された管理装置からのシグネチャを受信し保存するシグネチャDB部、
シグネチャDB部のシグネチャからネットワークに接続された保護すべきサーバを特定し、そのサーバ宛に検査パケットの送信依頼信号を出力するシグネチャ最適化部、
シグネチャ最適化部からの送信依頼信号を受信し、検査パケットをパケット送受信部を通して指定されたサーバ宛に送る検査パケット処理部を備え、
検査パケット処理部はサーバから戻ってきた検査パケットから経路上に他の侵入検知装置があるかないかを確認し、他の侵入検知装置ある場合には、検査パケットに他の侵入検知装置があることを示す識別子を付け、
シグネチャ最適化部は、他の侵入検知装置がサーバとの途中にある場合には、該当シグネチャを無効にし、ない場合には、有効にしてシグネチャを最適化し、
この最適化されたシグネチャを登録する最適化シグネチャDB部と、
パケット送受信部から受信したパケットを受け取り、最適化シグネチャDB部に登録されているシグネチャを用いてパケットの不正侵入検査を実施し、検査がOKである場合にはパケット送受信部からパケットを送信し、検査がNGの場合にはパケットを廃棄する検知エンジン部を更に備えた侵入検知装置。 A packet transceiver for transmitting and receiving packets from the network,
Signature DB part that receives and stores signatures from management devices connected to the network,
A signature optimization unit that identifies a server to be protected connected to the network from the signature of the signature DB unit, and outputs a request to send a test packet to the server,
An inspection packet processing unit that receives a transmission request signal from the signature optimization unit and sends an inspection packet to a designated server through the packet transmission / reception unit;
The inspection packet processing unit checks whether there is another intrusion detection device on the route from the inspection packet returned from the server, and if there is another intrusion detection device, there is another intrusion detection device in the inspection packet. With an identifier indicating
If another intrusion detection device is in the middle of the server, the signature optimization unit invalidates the corresponding signature, and if not, activates and optimizes the signature.
An optimized signature DB section for registering the optimized signature;
Receives a packet received from the packet transceiver unit, performs an intrusion inspection of the packet using the signature registered in the optimization signature DB unit, and if the inspection is OK, transmits the packet from the packet transceiver unit, An intrusion detection device further comprising a detection engine unit that discards the packet when the inspection is NG. 前記パケット送受信部において、ネットワークケーブルの抜き差しによるネットワークのリンク情報を検知し、リンクが切断されて再度リンクが接続された場合に、シグネチャ最適化部に接続変更を通知し、
シグネチャ最適化部はこの通知により検査パケット処理部に再度検査パケット送信依頼することを特徴とする請求項1記載の侵入検知装置。 In the packet transmission / reception unit, when the link information of the network is detected by connecting / disconnecting the network cable and the link is disconnected and the link is connected again, the signature optimization unit is notified of the connection change,
The intrusion detection apparatus according to claim 1, wherein the signature optimization unit requests the inspection packet processing unit to transmit the inspection packet again by the notification. ネットワークからパケットを送受信するパケット送受信部、
ネットワークに接続された管理装置からのシグネチャを受信し保存するシグネチャDB部、
パケット送受信部から受け取る自己の装置を管理するため以外のパケットが検査済みのチェックを有するか否かを調べ、検査済みの場合にはパケットをパケット送受信部から送信し、検査済みでない場合には、検知エンジン部に送るパケット検査済みチェック部を備え、
検知エンジン部はパケット検査済みチェック部から送られたパケットの不正侵入検査をシグネチャDB部に登録されているシグネチャを用いて実施し、検査がOKである場合にはパケット送受信部からパケットを送信し、検査がNGの場合にはパケットを廃棄する構成にされた侵入検知装置。 A packet transceiver for transmitting and receiving packets from the network,
Signature DB part that receives and stores signatures from management devices connected to the network,
Check whether or not a packet other than for managing its own device received from the packet transmitting / receiving unit has an inspected check. Provided with a packet inspection check part to be sent to the detection engine part,
The detection engine unit performs an intrusion inspection of the packet sent from the packet inspection check unit using the signature registered in the signature DB unit, and if the inspection is OK, transmits the packet from the packet transmission / reception unit. Intrusion detection device configured to discard packets if inspection is NG.
JP2005230757A 2005-08-09 2005-08-09 Intrusion detector Pending JP2007049352A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005230757A JP2007049352A (en) 2005-08-09 2005-08-09 Intrusion detector

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005230757A JP2007049352A (en) 2005-08-09 2005-08-09 Intrusion detector

Publications (1)

Publication Number Publication Date
JP2007049352A true JP2007049352A (en) 2007-02-22

Family

ID=37851829

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005230757A Pending JP2007049352A (en) 2005-08-09 2005-08-09 Intrusion detector

Country Status (1)

Country Link
JP (1) JP2007049352A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100927230B1 (en) 2007-12-17 2009-11-16 한국전자통신연구원 Signature Optimizer and Method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100927230B1 (en) 2007-12-17 2009-11-16 한국전자통신연구원 Signature Optimizer and Method

Similar Documents

Publication Publication Date Title
US20110252469A1 (en) System for preventing normal user being blocked in network address translation (nat) based web service and method for controlling the same
US9444821B2 (en) Management server, communication cutoff device and information processing system
US7876676B2 (en) Network monitoring system and method capable of reducing processing load on network monitoring apparatus
US20070022468A1 (en) Packet transmission equipment and packet transmission system
US20080060067A1 (en) Ip management Method and Apparatus for Protecting/Blocking Specific Ip Address or Specific Device on Network
JP2008271339A (en) Security gateway system, method and program thereof
US20200067956A1 (en) Detection of manipulations in a can network by checking can identifiers
CN104424438A (en) Anti-virus file detection method, anti-virus file detection device and network equipment
JP4259183B2 (en) Information processing system, information processing apparatus, program, and method for detecting communication abnormality in communication network
CN105897909B (en) The WEB service monitoring method of server protection equipment in bypass mode
JP7024069B2 (en) How to detect attacks on vehicle control equipment
CN1983955A (en) Method and system for monitoring illegal message
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
JP2007049352A (en) Intrusion detector
JP2012138727A (en) Information processing device, address overlap handling method, and address overlap handling program
JP2004248185A (en) System for protecting network-based distributed denial of service attack and communication device
JP5267893B2 (en) Network monitoring system, network monitoring method, and network monitoring program
US20090100487A1 (en) Mitigating subscriber side attacks in a cable network
WO2021106446A1 (en) Detection device, vehicle, detection method, and detection program
JP2009005122A (en) Illegal access detection apparatus, and security management device and illegal access detection system using the device
JP2003348113A (en) Switch and lan
US10616094B2 (en) Redirecting flow control packets
US8660143B2 (en) Data packet interception system
JP5420465B2 (en) Communication monitoring apparatus, method and program
JP4319585B2 (en) Damage prevention system, packet transfer apparatus, packet collection and analysis apparatus, and program