JP2007142664A - Firewall device - Google Patents

Firewall device Download PDF

Info

Publication number
JP2007142664A
JP2007142664A JP2005331943A JP2005331943A JP2007142664A JP 2007142664 A JP2007142664 A JP 2007142664A JP 2005331943 A JP2005331943 A JP 2005331943A JP 2005331943 A JP2005331943 A JP 2005331943A JP 2007142664 A JP2007142664 A JP 2007142664A
Authority
JP
Japan
Prior art keywords
packet
address
packets
www port
www
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005331943A
Other languages
Japanese (ja)
Other versions
JP4662150B2 (en
Inventor
Shunsuke Baba
俊輔 馬場
Kazuya Suzuki
和也 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2005331943A priority Critical patent/JP4662150B2/en
Publication of JP2007142664A publication Critical patent/JP2007142664A/en
Application granted granted Critical
Publication of JP4662150B2 publication Critical patent/JP4662150B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To easily set a device for reduced wasteful traffic. <P>SOLUTION: A firewall device comprises a first communication means for communicating with a network; a second communication means for communicating with equipment to be attacked, a memory means; and a calculation control means which acquires an originator IP address of the packet that has been received by the first communication means and determined to be of unnatural access, to shut off the transfer of the packet from that IP address to the equipment for a specified period, while the packets are classified and information is recorded in the memory means. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、ネットワークに接続されたネットワーク機器をDDos攻撃(Distributed Denial of Service attacks:以下、単にDDosと呼ぶ。)等から防御するファイアウォール装置に関し、特に装置の設定が容易で無駄なトラフィックの低減が可能なファイアウォール装置に関する。   The present invention relates to a firewall device that protects a network device connected to a network from a DDos attack (hereinafter simply referred to as “DDos”) and the like, and in particular, it is easy to set up the device and reduce wasteful traffic. It relates to possible firewall devices.

従来のネットワークに接続されたネットワーク機器をDDos攻撃等から防御するファイアウォール装置に関連する先行技術文献としては次のようなものがある。   Prior art documents related to a firewall device that protects network devices connected to a conventional network from a DDos attack include the following.

特開2003−273936号公報JP 2003-273936 A 特開2004−054488号公報JP 2004-054488 A 特開2005−215935号公報JP 2005-215935 A

また、Webサーバ等のサーバへのDDos攻撃としては、TCP(Transmission Control Protocol)で接続を確立する際の手順において最後のACK(ACKnowledgement)パケットを受信するまでサーバ側が応答待ち状態になることを悪用したSYNフラッド攻撃、ひたすらリロードを繰り返す攻撃、アップロード用のフォーム等にデータをPOSTメッソドを用いて送り続ける攻撃等が存在する。   Also, as a DDos attack to a server such as a Web server, it is abused that the server side waits for a response until the last ACK (ACKnowledgement) packet is received in the procedure for establishing a connection by TCP (Transmission Control Protocol) There are SYN flood attacks, attacks that repeatedly reload, attacks that continue to send data to the upload form using the POST method, and the like.

図4はこのような攻撃を防御するファイアウォール装置が設置されたネットワークシステムの一例を示す構成ブロック図である。図4において1はネットワーク上の不正アクセス等を検知する侵入検知装置(IDS:Intrusion Detection System)、2は通信の制限を行うファイアウォール装置、3は攻撃対象となるWebサーバ等のサーバ、100はインターネット等の汎用のネットワーク、101は外部ネットワークと内部ネットワークとの間に位置するDMZ(DeMilitarized Zone)に設置されたネットワークである。   FIG. 4 is a configuration block diagram showing an example of a network system in which a firewall device that prevents such an attack is installed. In FIG. 4, 1 is an intrusion detection system (IDS: Intrusion Detection System) that detects unauthorized access on the network, 2 is a firewall device that restricts communication, 3 is a server such as a Web server to be attacked, and 100 is the Internet. A general-purpose network 101, etc., is a network installed in a DMZ (DeMilitarized Zone) located between an external network and an internal network.

侵入検知装置1はネットワーク100に相互に接続され、侵入検知装置1の出力はファイアウォール装置2に接続される。ファイアウォール装置2の一方の通信入出力端はネットワーク100に相互に接続され、ファイアウォール装置2の他方の通信入出力端はネットワーク101に相互に接続される。また、サーバ3はネットワーク101に相互に接続される。   The intrusion detection device 1 is connected to the network 100 and the output of the intrusion detection device 1 is connected to the firewall device 2. One communication input / output terminal of the firewall apparatus 2 is mutually connected to the network 100, and the other communication input / output terminal of the firewall apparatus 2 is mutually connected to the network 101. The servers 3 are connected to the network 101.

ここで、図4に示す従来例の動作を説明する。図4に示す従来例は侵入検知装置1とファアウォール装置2とが連携する構成である。   Here, the operation of the conventional example shown in FIG. 4 will be described. The conventional example shown in FIG. 4 has a configuration in which the intrusion detection device 1 and the firewall device 2 cooperate.

侵入検知装置1はネットワーク100上を伝播してサーバ3に送信される攻撃パケットの有無を監視し、もし、侵入検知装置1が攻撃パケットを検知した場合、攻撃パケットの送信元のIP(Internet Protocol)アドレスをファイアウォール装置2に通知する。   The intrusion detection device 1 monitors the presence or absence of an attack packet transmitted on the network 100 and transmitted to the server 3. If the intrusion detection device 1 detects an attack packet, the IP (Internet Protocol) of the attack packet source is detected. ) Notify the firewall device 2 of the address.

このように、侵入検知装置1から攻撃パケットの送信元のIPアドレスの通知を受けたファイアウォール装置2は、当該IPアドレスを有するパケットのサーバ3への転送を遮断して、当該パケットがネットワーク101に接続されているサーバ3へ伝播しないように制御する。   In this way, the firewall device 2 that has received the notification of the IP address of the attack packet transmission source from the intrusion detection device 1 blocks the transfer of the packet having the IP address to the server 3, and the packet is transmitted to the network 101. Control is performed so as not to propagate to the connected server 3.

この結果、侵入検知装置1で攻撃パケットを監視し、攻撃パケットを検知した場合には、ファイアウォール装置2で検知された攻撃パケットと同一のIPアドレスを有するパケットのサーバ3への転送を遮断することにより、サーバ3に対する攻撃パケットを防御することが可能になる。   As a result, the intrusion detection device 1 monitors the attack packet, and when an attack packet is detected, the forwarding of the packet having the same IP address as the attack packet detected by the firewall device 2 to the server 3 is blocked. This makes it possible to defend against attack packets against the server 3.

また、図5はファイアウォール装置が設置されたネットワークシステムの他の一例を示す構成ブロック図である。図5において4は通信の制限を行うファイアウォール装置、5は特定サーバの代理として特定サーバへの通信を中継するリバースプロキシサーバ、6は攻撃対象となるWebサーバ等のサーバ、100aはインターネット等の汎用のネットワーク、101aは外部ネットワークと内部ネットワークとの間に位置するDMZに設置されたネットワークである。   FIG. 5 is a configuration block diagram showing another example of the network system in which the firewall device is installed. In FIG. 5, 4 is a firewall device that restricts communication, 5 is a reverse proxy server that relays communication to a specific server as a proxy for the specific server, 6 is a server such as a Web server to be attacked, and 100a is a general-purpose device such as the Internet. The network 101a is a network installed in the DMZ located between the external network and the internal network.

ファイアウォール装置4の一方の通信入出力端はネットワーク100aに相互に接続され、ファイアウォール装置4の他方の通信入出力端はネットワーク101aに相互に接続される。また、リバースプロキシサーバ5はネットワーク101aに相互に接続され、リバースプロキシサーバ5にはサーバ6が相互に接続される。   One communication input / output end of the firewall device 4 is connected to the network 100a, and the other communication input / output end of the firewall device 4 is connected to the network 101a. The reverse proxy server 5 is connected to the network 101a, and the reverse proxy server 5 is connected to the server 6.

ここで、図5に示す従来例の動作を説明する。図5に示す従来例ではリバースプロキシサーバ5がサーバ6の代理としてサーバ6への通信を中継する構成となっている。   Here, the operation of the conventional example shown in FIG. 5 will be described. In the conventional example shown in FIG. 5, the reverse proxy server 5 is configured to relay communication to the server 6 as a proxy for the server 6.

ネットワーク100a上を伝播するパケットはファイアウォール装置4を通過し、ネットワーク101aを介してリバースプロキシサーバ5に一旦蓄積される。この時、クライアント(図示せず。)との間で、接続が一旦確立される。   Packets that propagate on the network 100a pass through the firewall device 4 and are temporarily stored in the reverse proxy server 5 via the network 101a. At this time, a connection is once established with a client (not shown).

そして、リバースプロキシサーバ5は蓄積されているパケットの内容を検査して正常なパケットのみをサーバ6に転送して、クライアント(図示せず。)との間で接続を確立させる。   Then, the reverse proxy server 5 inspects the contents of the stored packets, transfers only normal packets to the server 6, and establishes a connection with the client (not shown).

この結果、リバースプロキシサーバ5が送信されてきたパケットを一旦蓄積し、蓄積されたパケットの内容を検査して、正常なパケットのみをサーバ6に転送することにより、サーバ6に対する攻撃パケットを防御することが可能になる。   As a result, the reverse proxy server 5 temporarily accumulates transmitted packets, inspects the contents of the accumulated packets, and forwards only normal packets to the server 6 to prevent attack packets against the server 6. It becomes possible.

しかし、図4に示す従来例では侵入検知装置1でどのようなパケットを攻撃パケットとして検知するかの設定や、攻撃パケットを検知した場合の動作を行うファームウェアの設定等の様々な設定作業が必要であるものの、当該設定作業には熟練を要するため、設定作業が煩雑であると言った問題点があった。   However, the conventional example shown in FIG. 4 requires various setting operations such as setting what packet is detected as an attack packet by the intrusion detection apparatus 1 and setting the firmware for performing the operation when the attack packet is detected. However, since the setting work requires skill, there is a problem that the setting work is complicated.

また、誤った設定作業を行った場合には、正常パケットの誤検知や攻撃パケットの不検知等が生じてしまい正常に機能しないといった問題点があった。   In addition, when an incorrect setting operation is performed, there is a problem that a normal packet is erroneously detected, an attack packet is not detected, and the like, and thus does not function normally.

また、図5に示す従来例ではリバースプロキシサーバ5が、送信されてきたパケットを一旦蓄積するので、蓄積されるパケットの容量がリバースプロキシサーバ5の記憶容量を超過した場合には動作できなくなってしまうと言った問題点があった。   In the conventional example shown in FIG. 5, the reverse proxy server 5 temporarily accumulates transmitted packets, and therefore cannot operate when the capacity of the accumulated packets exceeds the storage capacity of the reverse proxy server 5. There was a problem that said.

また、パケットを一旦蓄積する際に、クライアント(図示せず。)との間で接続を一旦確立するので、正常パケットのみならず、攻撃パケットに対しても接続確立(無駄なトラフィック)に伴う通信料金が発生してしまうと言った問題点があった。
従って本発明が解決しようとする課題は、装置の設定が容易で無駄なトラフィックの低減が可能なファイアウォール装置を実現することにある。 In addition, since the connection is once established with the client (not shown) when the packet is temporarily stored, not only the normal packet but also the communication associated with the establishment of the connection (waste traffic) for the attack packet. There was a problem saying that there would be a charge.
Therefore, the problem to be solved by the present invention is to realize a firewall device that can be easily set up and can reduce useless traffic.

このような課題を達成するために、本発明のうち請求項1記載の発明は、
ファイアウォール装置において、
ネットワークとの間で通信を行う第1の通信手段と、攻撃対象となる機器との間で通信を行う第2の通信手段と、記憶手段と、前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットの前記機器へ転送を遮断すると共に前記パケットを分類して情報を前記記憶手段に記録する演算制御手段とを備えたことにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。 In order to achieve such a problem, the invention according to claim 1 of the present invention is:
In the firewall device,
The first communication means that communicates with the network, the second communication means that communicates with the attack target device, the storage means, and the unnatural received by the first communication means An arithmetic control unit that acquires a source IP address of a packet determined to be accessed, blocks transfer of the packet from the IP address to the device for a certain period, classifies the packet, and records information in the storage unit; By providing the device, it is easy to set up the apparatus, and it is possible to reduce useless traffic.

請求項2記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、WWWポートへのパケット、且つ、データパケットに分類されたパケットのデータ量を計測すると共に当該データ量を前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。 The invention according to claim 2
In the firewall device according to claim 1,
The arithmetic control means is
Obtaining a transmission source IP address of a packet received by the first communication means and determined to be unnatural access, blocking transfer of the packet from the IP address to the server for a certain period, and determining that it is unnatural access The packet is classified into a packet to the WWW port, a packet from the WWW port, or any other packet, and a packet to the WWW port and a packet from the WWW port are classified into data packets or HTTP reply packets. In addition, by measuring the data amount of the packets to the WWW port and the packets classified as data packets, and recording the data amount in the storage means, it is easy to set up the device and reduce unnecessary traffic. become.

請求項3記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、WWWポートへのパケットに分類されたパケットの送信元IPアドレスを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。 The invention described in claim 3
In the firewall device according to claim 1,
The arithmetic control means is
Obtaining a transmission source IP address of a packet received by the first communication means and determined to be unnatural access, blocking transfer of the packet from the IP address to the server for a certain period, and determining that it is unnatural access The packet is classified into a packet to the WWW port, a packet from the WWW port, or any other packet, and a packet to the WWW port and a packet from the WWW port are classified into data packets or HTTP reply packets. By recording the transmission source IP address of the packet classified as a packet to the WWW port in the storage unit, it is possible to easily set the apparatus and reduce useless traffic.

請求項4記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、WWWポートからのパケット、且つ、HTTPリプライパケットに分類されたパケットの応答コードを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。 The invention according to claim 4
In the firewall device according to claim 1,
The arithmetic control means is
Obtaining a transmission source IP address of a packet received by the first communication means and determined to be unnatural access, blocking transfer of the packet from the IP address to the server for a certain period, and determining that it is unnatural access The packet is classified into a packet to the WWW port, a packet from the WWW port, or any other packet, and a packet to the WWW port and a packet from the WWW port are classified into data packets or HTTP reply packets. Then, by recording the response code of the packet from the WWW port and the packet classified as the HTTP reply packet in the storage means, it is possible to easily set the apparatus and reduce unnecessary traffic.

請求項5記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、WWWポートへのパケット、且つ、HTTPリプライパケットに分類されたパケットのメソッドを判定して当該メソッドを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。 The invention according to claim 5
In the firewall device according to claim 1,
The arithmetic control means is
Obtaining a transmission source IP address of a packet received by the first communication means and determined to be unnatural access, blocking transfer of the packet from the IP address to the server for a certain period, and determining that it is unnatural access The packet is classified into a packet to the WWW port, a packet from the WWW port, or any other packet, and a packet to the WWW port and a packet from the WWW port are classified into data packets or HTTP reply packets. In addition, by determining the method of the packet to the WWW port and the packet classified as the HTTP reply packet and recording the method in the storage unit, it is possible to easily set the apparatus and reduce unnecessary traffic. Become.

請求項6記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、WWWポートへのパケット、且つ、HTTPリプライパケットに分類されたパケットのバージョンを判定して当該バージョンを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。 The invention described in claim 6
In the firewall device according to claim 1,
The arithmetic control means is
Obtaining a transmission source IP address of a packet received by the first communication means and determined to be unnatural access, blocking transfer of the packet from the IP address to the server for a certain period, and determining that it is unnatural access The packet is classified into a packet to the WWW port, a packet from the WWW port, or any other packet, and a packet to the WWW port and a packet from the WWW port are classified into data packets or HTTP reply packets. By determining the version of the packet sent to the WWW port and the packet classified as the HTTP reply packet and recording the version in the storage unit, it is possible to easily set the apparatus and reduce unnecessary traffic. Become.

請求項7記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、WWWポートへのパケット、且つ、HTTPリプライパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算して当該SUM値を前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。 The invention described in claim 7
In the firewall device according to claim 1,
The arithmetic control means is
Obtaining a transmission source IP address of a packet received by the first communication means and determined to be unnatural access, blocking transfer of the packet from the IP address to the server for a certain period, and determining that it is unnatural access The packet is classified into a packet to the WWW port, a packet from the WWW port, or any other packet, and a packet to the WWW port and a packet from the WWW port are classified into data packets or HTTP reply packets. Then, the SUM value of the ASCII character of the URL targeted by the packet to the WWW port and the packet classified as the HTTP reply packet is calculated, and the SUM value is recorded in the storage unit, so that the setting of the device can be performed. Easy and useless traffic can be reduced.

請求項8記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、WWWポートへのパケット、且つ、HTTPリプライパケットに分類されたパケットのメソッド及びバージョンを判定し、WWWポートへのパケット、且つ、HTTPリプライパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算し、前記メソッド、前記バージョン及び前記SUM値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元IPアドレスに対応付けて前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。 The invention described in claim 8
In the firewall device according to claim 1,
The arithmetic control means is
Obtaining a transmission source IP address of a packet received by the first communication means and determined to be unnatural access, blocking transfer of the packet from the IP address to the server for a certain period, and determining that it is unnatural access The packet is classified into a packet to the WWW port, a packet from the WWW port, or any other packet, and a packet to the WWW port and a packet from the WWW port are classified into data packets or HTTP reply packets. The method determines the method and version of the packet to the WWW port and the packet classified as the HTTP reply packet, and the ASCII character of the URL targeted by the packet to the WWW port and the packet classified as the HTTP reply packet. SUM value of the method, the method, By applying a hash function to the version and the SUM value, a hash value is generated and recorded in the storage means in association with the corresponding transmission source IP address, so that it is easy to set up the apparatus and reduce unnecessary traffic. become.

請求項9記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、WWWポートへのパケット、且つ、データパケットに分類されたパケットのデータ量を計測すると共に当該データ量を前記記憶手段に記録し、WWWポートへのパケットに分類されたパケットの送信元IPアドレスを前記記憶手段に記録し、WWWポートからのパケット、且つ、HTTPリプライパケットに分類されたパケットの応答コードを前記記憶手段に記録し、WWWポートへのパケット、且つ、HTTPリプライパケットに分類されたパケットのメソッド及びバージョンを判定し、WWWポートへのパケット、且つ、HTTPリプライパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算し、前記メソッド、前記バージョン及び前記SUM値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元IPアドレスに対応付けて前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。 The invention according to claim 9
In the firewall device according to claim 1,
The arithmetic control means is
Obtaining a transmission source IP address of a packet received by the first communication means and determined to be unnatural access, blocking transfer of the packet from the IP address to the server for a certain period, and determining that it is unnatural access The packet is classified into a packet to the WWW port, a packet from the WWW port, or any other packet, and a packet to the WWW port and a packet from the WWW port are classified into data packets or HTTP reply packets. And measuring the data amount of the packet to the WWW port and the packet classified as the data packet, recording the data amount in the storage means, and the source IP address of the packet classified as the packet to the WWW port Is stored in the storage means, the packet from the WWW port, and the HTTP reply A response code of the packet classified as a packet is recorded in the storage means, a method and a version of the packet classified as a packet to the WWW port and a packet classified as an HTTP reply packet are determined, a packet to the WWW port, and A packet classified as an HTTP reply packet calculates the SUM value of the ASCII character of the URL targeted, and generates a hash value by applying a hash function to the method, the version, and the SUM value, and the corresponding source IP By recording in the storage means in association with the address, it is easy to set up the apparatus and reduce unnecessary traffic.

請求項10記載の発明は、
請求項1乃至請求項9のいずれかに記載の発明であるファイアウォール装置において、
前記演算制御手段が、
特定のIPアドレスからPOSTメソッド以外のメソッドで同じURLに対して繰り返しアクセスする場合、不自然なアクセスであると判断することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。 The invention according to claim 10 provides:
In the firewall device according to any one of claims 1 to 9,
The arithmetic control means is
When the same URL is repeatedly accessed from a specific IP address using a method other than the POST method, it is possible to reduce the wasteful traffic by setting the device easily by determining that the access is unnatural.

請求項11記載の発明は、
請求項1乃至請求項9のいずれかに記載の発明であるファイアウォール装置において、
前記演算制御手段が、
特定のIPアドレスからPOSTメソッドで同じURLに大量のデータを送信する場合、不自然なアクセスであると判断することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。 The invention according to claim 11
In the firewall device according to any one of claims 1 to 9,
The arithmetic control means is
When a large amount of data is transmitted from the specific IP address to the same URL by the POST method, it is possible to reduce the wasteful traffic because it is easy to set the apparatus by determining that the access is unnatural.

請求項12記載の発明は、
請求項1乃至請求項9のいずれかに記載の発明であるファイアウォール装置において、
前記演算制御手段が、
特定のIPアドレスから適当なURLに大量のアクセスを行う場合、不自然なアクセスであると判断することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。 The invention according to claim 12
In the firewall device according to any one of claims 1 to 9,
The arithmetic control means is
When a large number of accesses are made from a specific IP address to an appropriate URL, it is determined that the access is unnatural, so that the setting of the apparatus is easy and wasteful traffic can be reduced.

本発明によれば次のような効果がある。
請求項1,2,3,4,5,6,7,8,9,10,11及び請求項12の発明によれば、ファイアウォール装置(具体的には、演算制御手段)が、不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送をフィルタリング(遮断)すると共に、不自然なアクセスと判断されたパケットを適宜分類して情報を記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。 The present invention has the following effects.
According to the first, second, third, fourth, fifth, sixth, seventh, eighth, ninth, tenth, eleventh and twelfth aspects, the firewall device (specifically, the arithmetic control means) is unnatural. Obtain the source IP address of the packet determined to be accessed and filter (block) the transfer of the packet from the IP address to the server for a certain period of time, and classify the packet determined to be unnatural access as appropriate By recording information, it is easy to set up the apparatus and reduce unnecessary traffic.

以下本発明を図面を用いて詳細に説明する。図1は本発明に係るファイアウォール装置が設置されたネットワークシステムの一実施例を示す構成ブロック図である。   Hereinafter, the present invention will be described in detail with reference to the drawings. FIG. 1 is a configuration block diagram showing an embodiment of a network system in which a firewall apparatus according to the present invention is installed.

図1において7は通信の制限を行うファイアウォール装置、8は攻撃対象となる機器であるWebサーバ等のサーバ、100bはインターネット等の汎用のネットワークである。ファイアウォール装置7の一方の通信入出力端はネットワーク100bに相互に接続され、ファイアウォール装置7の他方の通信入出力端はサーバ8が相互に接続される。   In FIG. 1, 7 is a firewall device that restricts communication, 8 is a server such as a Web server that is an attack target device, and 100b is a general-purpose network such as the Internet. One communication input / output terminal of the firewall device 7 is connected to the network 100b, and the other communication input / output terminal of the firewall device 7 is connected to the server 8.

また、図2はファイアウォール装置7の具体例を示す構成ブロック図である。図2において9はネットワーク101bとの間で通信を行う通信手段、10はCPU(Central Processing Unit)等のファイアウォール装置全体を制御する演算制御手段、11はRAM(Random Access Memory)、フラッシュメモリ、ハードディスク等の記憶手段、12はサーバ8との間で通信を行う通信手段である。   FIG. 2 is a configuration block diagram showing a specific example of the firewall device 7. In FIG. 2, 9 is a communication means for communicating with the network 101b, 10 is an arithmetic control means for controlling the entire firewall device such as a CPU (Central Processing Unit), 11 is a RAM (Random Access Memory), a flash memory, a hard disk Reference numeral 12 denotes a communication means for performing communication with the server 8.

また、9,10,11及び12はファイアウォール装置50を構成している。さらに、記憶手段11にはファイアウォール装置50全体を制御するためのプログラムが格納されている。   In addition, 9, 10, 11 and 12 constitute a firewall device 50. Further, the storage unit 11 stores a program for controlling the firewall device 50 as a whole.

通信手段9の通信入出力端はネットワーク101b(図示せず。)と相互に接続され、通信手段9の入出力は演算制御手段10に相互に接続される。また、通信手段12の通信入出力端はサーバ8の通信手段(図示せず。)と相互に接続され、通信手段12の入出力は演算制御手段10に相互に接続される。また、記憶手段11も演算制御手段10に相互に接続される。   The communication input / output terminals of the communication means 9 are mutually connected to a network 101b (not shown), and the input / output of the communication means 9 is mutually connected to the arithmetic control means 10. The communication input / output terminal of the communication unit 12 is connected to a communication unit (not shown) of the server 8, and the input / output of the communication unit 12 is connected to the arithmetic control unit 10. The storage means 11 is also connected to the arithmetic control means 10.

ここで、図1及び図2に示す実施例の動作を図3を用いて説明する。図3はファイアウォール装置50を構成する演算制御手段10の動作を説明するフロー図である。   The operation of the embodiment shown in FIGS. 1 and 2 will be described with reference to FIG. FIG. 3 is a flowchart for explaining the operation of the arithmetic control means 10 constituting the firewall device 50.

図3中”S001”において演算制御手段10は、通信手段9において受信されネットワーク100bからサーバ8への通信を監視して、サーバ8に対して不自然なアクセスがあったか否かを判断する。例えば、具体的には不自然なアクセスとは下記に示すような3つのパターンを想定する。
(1)特定のIPアドレスからPOSTメソッド以外のメソッドで同じURL(Uniform Resource Locator)やURI(Uniform Resource Identifier)等(以下、単にURLとして表記する。)に対して繰り返しアクセスする。
(2)特定のIPアドレスからPOSTメソッドで同じURLに大量のデータを送信する。
(3)特定のIPアドレスから適当なURLに大量のアクセスを行う。 In “S001” in FIG. 3, the arithmetic control unit 10 monitors communication from the network 100b to the server 8 received by the communication unit 9, and determines whether or not there is an unnatural access to the server 8. For example, specifically, unnatural access assumes the following three patterns.
(1) The same URL (Uniform Resource Locator), URI (Uniform Resource Identifier), etc. (hereinafter simply referred to as URL) are repeatedly accessed from a specific IP address by a method other than the POST method.
(2) A large amount of data is transmitted from a specific IP address to the same URL by the POST method.
(3) Access a large number of URLs from a specific IP address.

図3中”S001”においてサーバ8に対して不自然なアクセスがあったと判断した場合には、図3中”S002”において演算制御手段10は、不自然なアクセスと判断されたパケットの送信元IPアドレスを取得し、演算制御手段10は一定期間当該IPアドレスからのパケットのサーバ8への転送をフィルタリング(遮断)する。   When it is determined that there is an unnatural access to the server 8 in “S001” in FIG. 3, the operation control means 10 transmits the source of the packet that is determined to be unnatural access in “S002” in FIG. The IP address is acquired, and the arithmetic control unit 10 filters (blocks) the transfer of packets from the IP address to the server 8 for a certain period.

そして、図3中”S003”において演算制御手段10は、不自然なアクセスと判断されたパケットの種類を分類する。具体的には、演算制御手段10は、不自然なアクセスと判断されたパケットを”WWW(World Wide Web)ポートへのパケット”、”WWWポートからのパケット”、或いは、”それ以外のパケット”に分類する。   Then, in “S003” in FIG. 3, the arithmetic control unit 10 classifies the type of packet determined to be unnatural access. Specifically, the arithmetic control unit 10 determines that a packet determined to be unnatural access is “a packet to a WWW (World Wide Web) port”, “a packet from a WWW port”, or “other packet”. Classify into:

さらに、演算制御手段10は、先に分類された”WWWポートへのパケット”と、”WWWポートからのパケット”を”データパケット”、或いは、”HTTP(HyperText Transfer Protocol)リプライパケット”に分類する。   Further, the arithmetic control unit 10 classifies the previously classified “packets to the WWW port” and “packets from the WWW port” into “data packets” or “HTTP (HyperText Transfer Protocol) reply packets”. .

図3中”S004”において演算制御手段10は、”WWWポートへのパケット”且つ”データパケット”に分類されたパケットのデータ量を計測すると共に当該データ量を記憶手段11に記録する。   In “S004” in FIG. 3, the arithmetic control unit 10 measures the data amount of the packet classified as “packet to WWW port” and “data packet” and records the data amount in the storage unit 11.

図3中”S005”において演算制御手段10は、”WWWポートへのパケット”に分類されたパケットの送信元IPアドレスを記憶手段11に記録し、”WWWポートからのパケット”且つ”HTTPリプライパケット”に分類されたパケットの応答コードを記憶手段11に記録する。   In “S005” in FIG. 3, the arithmetic control unit 10 records the transmission source IP address of the packet classified as “packet to WWW port” in the storage unit 11, “packet from WWW port” and “HTTP reply packet”. The response code of the packet classified as “” is recorded in the storage means 11.

図3中”S006”において演算制御手段10は。”WWWポートへのパケット”且つ”HTTPリプライパケット”に分類されたパケットのメソッド及びバージョンを判定する。   In “S006” in FIG. The method and version of the packet classified as “packet to WWW port” and “HTTP reply packet” are determined.

例えば、演算制御手段10は、”WWWポートへのパケット”且つ”HTTPリプライパケット”に分類されたパケットが”POSTメソッド”、”GETメソッド”、”HEADメソッド”、或いは、”その他のメソッド”であるか等を判定する。   For example, the arithmetic control unit 10 determines that a packet classified as “packet to WWW port” and “HTTP reply packet” is “POST method”, “GET method”, “HEAD method”, or “other method”. Determine if there is any.

また、例えば、演算制御手段10は、”WWWポートへのパケット”且つ”HTTPリプライパケット”に分類されたパケットが”HTTP0.9”、”HTTP1.0”、”HTTP1.1”、或いは、”その他のバージョン”であるか等を判定する。   In addition, for example, the arithmetic control unit 10 determines that packets classified as “packet to WWW port” and “HTTP reply packet” are “HTTP 0.9”, “HTTP 1.0”, “HTTP 1.1”, or “ It is determined whether it is “other version”.

図3中”S007”において演算制御手段10は、”WWWポートへのパケット”且つ”HTTPリプライパケット”に分類されたパケットがターゲットとするURLのアスキー文字列のSUM値を演算する。   In “S007” in FIG. 3, the arithmetic control means 10 calculates the SUM value of the ASCII character string of the URL targeted by the packet classified as “packet to WWW port” and “HTTP reply packet”.

最後に、図3中”S008”において演算制御手段10は、”WWWポートへのパケット”且つ”HTTPリプライパケット”に分類されたパケットの判定されたメソッド、バージョン及びSUM値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元IPアドレスに対応付けて記憶手段11に記録する。   Finally, in “S008” in FIG. 3, the arithmetic control means 10 applies a hash function to the determined method, version, and SUM value of the packets classified as “packet to WWW port” and “HTTP reply packet”. A hash value is generated and recorded in the storage unit 11 in association with the corresponding transmission source IP address.

ここで、ハッシュ関数とは、原文から固定長の疑似乱数(ハッシュ値)を生成する関数であって、このハッシュ関数は不可逆な一方向関数を含むために生成されたハッシュ値から元の原文を再現することはできない。また、同じハッシュ値となる異なるデータを作成することは極めて困難である。   Here, the hash function is a function that generates a fixed-length pseudo-random number (hash value) from the original text, and since this hash function includes an irreversible one-way function, the original text is generated from the generated hash value. It cannot be reproduced. Also, it is extremely difficult to create different data with the same hash value.

このように、メソッド、バージョン及びSUM値等の複数の情報をハッシュ値として記録しておくことにより、記憶手段11の記憶容量を節約することが可能になる。また、新たに取得したパケットのメソッド、バージョン及びSUM値等の複数の情報から生成されたハッシュ値が記憶手段11に記憶されているハッシュ値と一致すれば同一のパケットであると判断することができる。   As described above, by recording a plurality of pieces of information such as the method, version, and SUM value as hash values, the storage capacity of the storage unit 11 can be saved. Further, if the hash value generated from a plurality of pieces of information such as the method, version, and SUM value of the newly acquired packet matches the hash value stored in the storage means 11, it can be determined that they are the same packet. it can.

すなわち、ファイアウォール装置50(具体的には、演算制御手段10)は、不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバ8への転送をフィルタリング(遮断)すると共に、不自然なアクセスと判断されたパケットを適宜分類して情報を記録する。   That is, the firewall device 50 (specifically, the arithmetic control unit 10) acquires the transmission source IP address of the packet determined to be unnatural access and transfers the packet from the IP address to the server 8 for a certain period. Are filtered (blocked), and packets classified as unnatural access are appropriately classified and information is recorded.

このように記憶された情報は必要に応じてISP(Internet Service Provider)の情報収集サーバ等にアップロードして提供することができ、攻撃パケットの対応に活用することが可能になる。   Information stored in this manner can be uploaded and provided to an information collection server or the like of an ISP (Internet Service Provider) as needed, and can be used for dealing with attack packets.

また、リバースプロキシサーバを用いないので、パケットを一旦蓄積する際に、クライアントとの間で接続を一旦確立する必要性はなく無駄なトラフィックを低減することができる。   Also, since no reverse proxy server is used, there is no need to once establish a connection with the client when packets are temporarily stored, and wasteful traffic can be reduced.

この結果、ファイアウォール装置50(具体的には、演算制御手段10)が、不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバ8への転送をフィルタリング(遮断)すると共に、不自然なアクセスと判断されたパケットを適宜分類して情報を記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。   As a result, the firewall device 50 (specifically, the arithmetic control unit 10) acquires the transmission source IP address of the packet determined to be unnatural access, and sends the packet from the IP address to the server 8 for a certain period. By filtering (blocking) forwarding and appropriately classifying packets determined to be unnatural access and recording information, it is easy to set up the apparatus and reduce unnecessary traffic.

なお、図1に示す実施例の説明に際しては、分類されたパケットの判定されたメソッド、バージョン及びSUM値にハッシュ関数を適用してハッシュ値を生成する旨記載されているが、メソッド、バージョン及びSUM値それぞれにハッシュ関数を適用してハッシュ値を生成しても構わない。   In the description of the embodiment shown in FIG. 1, it is described that a hash value is generated by applying a hash function to the determined method, version, and SUM value of the classified packet. A hash value may be generated by applying a hash function to each SUM value.

また、記憶手段11の記憶容量に余裕があれば、ハッシュ値に変換することなく、そのまま情報を記録しておいても構わない。   Further, if the storage capacity of the storage unit 11 is sufficient, the information may be recorded as it is without being converted into a hash value.

また、図1に示す実施例の説明では、記憶手段11に記憶する情報としてはデータ量、送信元IPアドレス、応答コード、ハッシュ値(具体的には、メソッド、バージョン及びSUM値)が例示されているが、勿論、これに限定される訳ではなく、データ量、送信元IPアドレス、応答コード、或いは、ハッシュ値のうち少なくとも一つを記憶手段11に記録するものであっても構わない。   In the description of the embodiment shown in FIG. 1, information stored in the storage unit 11 is exemplified by a data amount, a transmission source IP address, a response code, and a hash value (specifically, a method, a version, and a SUM value). However, it is of course not limited to this, and at least one of the data amount, the transmission source IP address, the response code, or the hash value may be recorded in the storage unit 11.

本発明に係るファイアウォール装置が設置されたネットワークシステムの一実施例を示す構成ブロック図である。1 is a configuration block diagram showing an embodiment of a network system in which a firewall device according to the present invention is installed. ファイアウォール装置の具体例を示す構成ブロック図である。It is a block diagram showing a specific example of a firewall device. ファイアウォール装置を構成する演算制御手段の動作を説明するフロー図である。It is a flowchart explaining operation | movement of the calculation control means which comprises a firewall apparatus. ファイアウォール装置が設置されたネットワークシステムの一例を示す構成ブロック図である。1 is a configuration block diagram illustrating an example of a network system in which a firewall device is installed. ファイアウォール装置が設置されたネットワークシステムの他の一例を示す構成ブロック図である。It is a configuration block diagram showing another example of a network system in which a firewall device is installed.

符号の説明Explanation of symbols

1 侵入検知装置
2,4,7,50 ファイアウォール装置
3,6,8 サーバ
5 リバースプロキシサーバ
9,12 通信手段
10 演算制御手段
11 記憶手段
100,100a,100b,101,101a ネットワーク
DESCRIPTION OF SYMBOLS 1 Intrusion detection apparatus 2, 4, 7, 50 Firewall apparatus 3, 6, 8 Server 5 Reverse proxy server 9,12 Communication means 10 Arithmetic control means 11 Storage means 100,100a, 100b, 101,101a Network

Claims (12)

ファイアウォール装置において、
ネットワークとの間で通信を行う第1の通信手段と、
攻撃対象となる機器との間で通信を行う第2の通信手段と、
記憶手段と、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットの前記機器へ転送を遮断すると共に前記パケットを分類して情報を前記記憶手段に記録する演算制御手段と
を備えたことを特徴とするファイアウォール装置。 In the firewall device,
A first communication means for communicating with a network;
A second communication means for communicating with an attack target device;
Storage means;
Obtain a source IP address of a packet received by the first communication means and determined to be unnatural access, and block transfer of the packet from the IP address to the device for a certain period and classify the packet A firewall apparatus, comprising: an arithmetic control unit that records information in the storage unit. 前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、
WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、
WWWポートへのパケット、且つ、データパケットに分類されたパケットのデータ量を計測すると共に当該データ量を前記記憶手段に記録することを特徴とする
請求項1記載のファイアウォール装置。 The arithmetic control means is
Acquiring a source IP address of a packet received by the first communication means and determined to be unnatural access, and blocking transfer of the packet from the IP address to the server for a certain period;
Classifying the packet determined to be unnatural access into a packet to the WWW port, a packet from the WWW port, or any other packet;
Classify packets to the WWW port and packets from the WWW port into data packets or HTTP reply packets,
2. The firewall apparatus according to claim 1, wherein the amount of data of a packet to a WWW port and a packet classified as a data packet is measured and the amount of data is recorded in the storage unit. 前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、
WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、
WWWポートへのパケットに分類されたパケットの送信元IPアドレスを前記記憶手段に記録することを特徴とする
請求項1記載のファイアウォール装置。 The arithmetic control means is
Acquiring a source IP address of a packet received by the first communication means and determined to be unnatural access, and blocking transfer of the packet from the IP address to the server for a certain period;
Classifying the packet determined to be unnatural access into a packet to the WWW port, a packet from the WWW port, or any other packet;
Classify packets to the WWW port and packets from the WWW port into data packets or HTTP reply packets,
2. The firewall apparatus according to claim 1, wherein a source IP address of a packet classified as a packet to a WWW port is recorded in the storage unit. 前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、
WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、
WWWポートからのパケット、且つ、HTTPリプライパケットに分類されたパケットの応答コードを前記記憶手段に記録することを特徴とする
請求項1記載のファイアウォール装置。 The arithmetic control means is
Acquiring a source IP address of a packet received by the first communication means and determined to be unnatural access, and blocking transfer of the packet from the IP address to the server for a certain period;
Classifying the packet determined to be unnatural access into a packet to the WWW port, a packet from the WWW port, or any other packet;
Classify packets to the WWW port and packets from the WWW port into data packets or HTTP reply packets,
2. The firewall apparatus according to claim 1, wherein a response code of a packet classified as an HTTP reply packet and a packet from a WWW port is recorded in the storage unit. 前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、
WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、
WWWポートへのパケット、且つ、HTTPリプライパケットに分類されたパケットのメソッドを判定して当該メソッドを前記記憶手段に記録することを特徴とする
請求項1記載のファイアウォール装置。 The arithmetic control means is
Acquiring a source IP address of a packet received by the first communication means and determined to be unnatural access, and blocking transfer of the packet from the IP address to the server for a certain period;
Classifying the packet determined to be unnatural access into a packet to the WWW port, a packet from the WWW port, or any other packet;
Classify packets to the WWW port and packets from the WWW port into data packets or HTTP reply packets,
2. The firewall apparatus according to claim 1, wherein a method of a packet to a WWW port and a packet classified as an HTTP reply packet is determined and the method is recorded in the storage unit. 前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、
WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、
WWWポートへのパケット、且つ、HTTPリプライパケットに分類されたパケットのバージョンを判定して当該バージョンを前記記憶手段に記録することを特徴とする
請求項1記載のファイアウォール装置。 The arithmetic control means is
Acquiring a source IP address of a packet received by the first communication means and determined to be unnatural access, and blocking transfer of the packet from the IP address to the server for a certain period;
Classifying the packet determined to be unnatural access into a packet to the WWW port, a packet from the WWW port, or any other packet;
Classify packets to the WWW port and packets from the WWW port into data packets or HTTP reply packets,
2. The firewall apparatus according to claim 1, wherein a version of a packet to a WWW port and a packet classified as an HTTP reply packet is determined, and the version is recorded in the storage unit. 前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、
WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、
WWWポートへのパケット、且つ、HTTPリプライパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算して当該SUM値を前記記憶手段に記録することを特徴とする
請求項1記載のファイアウォール装置。 The arithmetic control means is
Acquiring a source IP address of a packet received by the first communication means and determined to be unnatural access, and blocking transfer of the packet from the IP address to the server for a certain period;
Classifying the packet determined to be unnatural access into a packet to the WWW port, a packet from the WWW port, or any other packet;
Classify packets to the WWW port and packets from the WWW port into data packets or HTTP reply packets,
2. The SUM value of an ASCII character of a URL targeted by a packet to a WWW port and a packet classified as an HTTP reply packet is calculated, and the SUM value is recorded in the storage means. Firewall equipment. 前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、
WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、
WWWポートへのパケット、且つ、HTTPリプライパケットに分類されたパケットのメソッド及びバージョンを判定し、
WWWポートへのパケット、且つ、HTTPリプライパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算し、
前記メソッド、前記バージョン及び前記SUM値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元IPアドレスに対応付けて前記記憶手段に記録することを特徴とする
請求項1記載のファイアウォール装置。 The arithmetic control means is
Acquiring a source IP address of a packet received by the first communication means and determined to be unnatural access, and blocking transfer of the packet from the IP address to the server for a certain period;
Classifying the packet determined to be unnatural access into a packet to the WWW port, a packet from the WWW port, or any other packet;
Classify packets to the WWW port and packets from the WWW port into data packets or HTTP reply packets,
Determine the method and version of the packet to the WWW port and the packet classified as an HTTP reply packet,
The SUM value of the ASCII character of the URL targeted by the packet to the WWW port and the packet classified as the HTTP reply packet is calculated,
The firewall apparatus according to claim 1, wherein a hash value is generated by applying a hash function to the method, the version, and the SUM value, and is recorded in the storage unit in association with a corresponding source IP address. . 前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、
WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリプライパケットに分類し、
WWWポートへのパケット、且つ、データパケットに分類されたパケットのデータ量を計測すると共に当該データ量を前記記憶手段に記録し、
WWWポートへのパケットに分類されたパケットの送信元IPアドレスを前記記憶手段に記録し、
WWWポートからのパケット、且つ、HTTPリプライパケットに分類されたパケットの応答コードを前記記憶手段に記録し、
WWWポートへのパケット、且つ、HTTPリプライパケットに分類されたパケットのメソッド及びバージョンを判定し、
WWWポートへのパケット、且つ、HTTPリプライパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算し、
前記メソッド、前記バージョン及び前記SUM値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元IPアドレスに対応付けて前記記憶手段に記録することを特徴とする
請求項1記載のファイアウォール装置。 The arithmetic control means is
Acquiring a source IP address of a packet received by the first communication means and determined to be unnatural access, and blocking transfer of the packet from the IP address to the server for a certain period;
Classifying the packet determined to be unnatural access into a packet to the WWW port, a packet from the WWW port, or any other packet;
Classify packets to the WWW port and packets from the WWW port into data packets or HTTP reply packets,
Measuring the data amount of the packet to the WWW port and the packet classified as the data packet and recording the data amount in the storage means;
Record the source IP address of the packet classified as a packet to the WWW port in the storage means,
Record the response code of the packet from the WWW port and the packet classified as the HTTP reply packet in the storage means,
Determine the method and version of the packet to the WWW port and the packet classified as an HTTP reply packet,
The SUM value of the ASCII character of the URL targeted by the packet to the WWW port and the packet classified as the HTTP reply packet is calculated,
The firewall apparatus according to claim 1, wherein a hash value is generated by applying a hash function to the method, the version, and the SUM value, and is recorded in the storage unit in association with a corresponding source IP address. . 前記演算制御手段が、
特定のIPアドレスからPOSTメソッド以外のメソッドで同じURLに対して繰り返しアクセスする場合、不自然なアクセスであると判断することを特徴とする
請求項1乃至請求項9のいずれかに記載のファイアウォール装置。 The arithmetic control means is
10. The firewall apparatus according to claim 1, wherein when the same URL is repeatedly accessed from a specific IP address by a method other than the POST method, it is determined that the access is unnatural. . 前記演算制御手段が、
特定のIPアドレスからPOSTメソッドで同じURLに大量のデータを送信する場合、不自然なアクセスであると判断することを特徴とする
請求項1乃至請求項9のいずれかに記載のファイアウォール装置。 The arithmetic control means is
The firewall apparatus according to any one of claims 1 to 9, wherein when a large amount of data is transmitted from a specific IP address to the same URL by the POST method, it is determined that the access is unnatural. 前記演算制御手段が、
特定のIPアドレスから適当なURLに大量のアクセスを行う場合、不自然なアクセスであると判断することを特徴とする
請求項1乃至請求項9のいずれかに記載のファイアウォール装置。
The arithmetic control means is
The firewall apparatus according to any one of claims 1 to 9, wherein when a large amount of access is made from a specific IP address to an appropriate URL, it is determined that the access is unnatural.
JP2005331943A 2005-11-16 2005-11-16 Firewall device Expired - Fee Related JP4662150B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005331943A JP4662150B2 (en) 2005-11-16 2005-11-16 Firewall device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005331943A JP4662150B2 (en) 2005-11-16 2005-11-16 Firewall device

Publications (2)

Publication Number Publication Date
JP2007142664A true JP2007142664A (en) 2007-06-07
JP4662150B2 JP4662150B2 (en) 2011-03-30

Family

ID=38205025

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005331943A Expired - Fee Related JP4662150B2 (en) 2005-11-16 2005-11-16 Firewall device

Country Status (1)

Country Link
JP (1) JP4662150B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011101192A (en) * 2009-11-05 2011-05-19 Nippon Telegr & Teleph Corp <Ntt> Transmission apparatus and method
JP2012507065A (en) * 2008-09-11 2012-03-22 アリババ・グループ・ホールディング・リミテッド Request processing in a distributed environment.

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003330887A (en) * 2002-05-15 2003-11-21 Nippon Telegr & Teleph Corp <Ntt> Illegal access warning device, server device, and illegal access warning program
JP2005044277A (en) * 2003-07-25 2005-02-17 Fuji Xerox Co Ltd Unauthorized communication detection device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003330887A (en) * 2002-05-15 2003-11-21 Nippon Telegr & Teleph Corp <Ntt> Illegal access warning device, server device, and illegal access warning program
JP2005044277A (en) * 2003-07-25 2005-02-17 Fuji Xerox Co Ltd Unauthorized communication detection device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012507065A (en) * 2008-09-11 2012-03-22 アリババ・グループ・ホールディング・リミテッド Request processing in a distributed environment.
JP2011101192A (en) * 2009-11-05 2011-05-19 Nippon Telegr & Teleph Corp <Ntt> Transmission apparatus and method

Also Published As

Publication number Publication date
JP4662150B2 (en) 2011-03-30

Similar Documents

Publication Publication Date Title
US11075885B2 (en) Methods and systems for API deception environment and API traffic control and security
US8295188B2 (en) VoIP security
US7636305B1 (en) Method and apparatus for monitoring network traffic
US8793390B2 (en) Systems and methods for protocol detection in a proxy
US20180159825A1 (en) Network host provided security system for local networks
US7646728B2 (en) Network monitoring and intellectual property protection device, system and method
US8117657B1 (en) Detection and mitigation of rapidly propagating threats from P2P, IRC and gaming
Spognardi et al. A methodology for P2P file-sharing traffic detection
US20070300304A1 (en) SIP washing machine
US7746792B2 (en) Method, detection device and server device for evaluation of an incoming communication to a communication device
US10243983B2 (en) System and method for using simulators in network security and useful in IoT security
US8490173B2 (en) Unauthorized communication detection method
KR101281160B1 (en) Intrusion Prevention System using extract of HTTP request information and Method URL cutoff using the same
JP4602158B2 (en) Server equipment protection system
JP2007267151A (en) Apparatus, method and program for detecting abnormal traffic
JP4662150B2 (en) Firewall device
JP4322179B2 (en) Denial of service attack prevention method and system
US10630717B2 (en) Mitigation of WebRTC attacks using a network edge system
EP2860911B1 (en) Method and device for classifying encrypted data flows between at least one web client and at least one web server
Basicevic et al. The value of flow size distribution in entropy‐based detection of DoS attacks
Yarımtepe et al. Distributed Denial of Service Prevention Techniques
JP2007102747A (en) Packet detector, message detection program, shutdown program of unauthorized e-mail
JP2005215935A (en) Firewall
KR101231801B1 (en) Method and apparatus for protecting application layer in network
JP4710889B2 (en) Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080916

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100715

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100913

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101209

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101222

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140114

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees