JP2007208861A - 不正アクセス監視装置及びパケット中継装置 - Google Patents
不正アクセス監視装置及びパケット中継装置 Download PDFInfo
- Publication number
- JP2007208861A JP2007208861A JP2006027853A JP2006027853A JP2007208861A JP 2007208861 A JP2007208861 A JP 2007208861A JP 2006027853 A JP2006027853 A JP 2006027853A JP 2006027853 A JP2006027853 A JP 2006027853A JP 2007208861 A JP2007208861 A JP 2007208861A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- signature
- address
- worm
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 ウィルス、ワームを防御することを目的とした不正アクセス監視装置は、アプリケーションレベルでパケットのパターンマッチングを行うため、処理に多大な時間を要する。
ところで、個々のウィルス、ワームの出現には、地域や時間によって特徴がある。例えば、ある任意の時間において、A国ではBワームの攻撃が活発だが、Cワームはそれほどでもなく、D国ではCワームは活発だが、Bワームは活動していない、という状況がある。また、ある日時になるとA国からB国に対してDoS攻撃が来る、という状況もある。従って、全パケットに一様のパターンマッチングを適用すると、無駄な検索処理が多く発生する。
【解決手段】各シグネチャに、送信元IPアドレスと出現頻度とを格納するフィールドを設ける。送信元IPアドレス毎にシグネチャのリストを作成し、その順番は出現頻度の降順とする。
【選択図】 図4
ところで、個々のウィルス、ワームの出現には、地域や時間によって特徴がある。例えば、ある任意の時間において、A国ではBワームの攻撃が活発だが、Cワームはそれほどでもなく、D国ではCワームは活発だが、Bワームは活動していない、という状況がある。また、ある日時になるとA国からB国に対してDoS攻撃が来る、という状況もある。従って、全パケットに一様のパターンマッチングを適用すると、無駄な検索処理が多く発生する。
【解決手段】各シグネチャに、送信元IPアドレスと出現頻度とを格納するフィールドを設ける。送信元IPアドレス毎にシグネチャのリストを作成し、その順番は出現頻度の降順とする。
【選択図】 図4
Description
本発明は、シグネチャによるパターンマッチングの可能な不正アクセス検知装置において、送信元IPアドレスに応じて使用するシグネチャの順番を変更でき、且つそのシグネチャを動的に変更できることを特徴とする不正アクセス検知装置に関する。
現在、DoS(Denial of Service)攻撃やウィルス、ワームなどによって企業のネットワークをサービス停止に追い込む、或いは情報をハッキングする事件が多発している。企業においては、自社網のセキュリティ確保に対する意識が高まりつつあり、FW(Firewall)やIDS(Intrusion Detection System)装置を導入、或いはルータにパケットフィルタリングの設定を施すなどして企業網の防衛を図っている。
FWとは、組織内のコンピュータへ外部から侵入されることを防ぐ、或いは組織内のコンピュータが危険性のあるウェブサイトへアクセスすることを防ぐことを目的とした装置である。
IDSとは、通信回線を流れるパケットを分析し、不正侵入を検知した場合、管理者に通報する装置である。不正侵入を検知する方法としては、不正アクセスの際にしばしば用いられる手段をパターン化(シグネチャ)して記憶しておき、実際に流れてくるパケットとシグネチャとを比較することによって、不正でないか判断する方法等が取られている。IDSで受信した各パケットにどのようなシグネチャをパターンマッチングするかは、受信パケットのプロトコルで選定する。つまり、受信パケットのプロトコルがIPであるか、ICMPであるか、TCPか、それともUDPかで、適用するシグネチャの範囲を絞った上で、パケットと一つ一つのシグネチャとを線形にパターンマッチングしていく。
またパケットフィルタリングとは、フロー毎に、パケットの行動をパケット中継装置で指定する技術である。フローとは、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号等の組み合わせである。例えば、パケットフィルタリングの条件として、送信元IPアドレスが10.0.0.0/24、宛先IPアドレスが20.0.0.0/24、送信元ポート番号が2000、宛先ポート番号が80のパケットは廃棄する、といった設定ができ、実際に該当するパケットがパケット中継装置に到達すると、そのパケットは上記のフロー条件に合致し、廃棄される。この技術を用いてアプリケーションの脆弱性(セキュリティホール)を突くバッファオーバーフロー攻撃を防ぐことが可能である。例えば、2003年1月、主に北米で増殖したSQL Slammerは、UDPポート1434を使用するので、フロー条件として送信元IPアドレス:any、宛先IPアドレス:any、送信元ポート番号:any、宛先ポート番号:1434とルータに設定すれば、SQL Slammerのパケットは全てルータで廃棄され、遮断することができる。
パケット中継装置に設定するパケットフィルタリングのルールは、受信パケットの送信元IPアドレス毎、或いは受信ネットワークインターフェース毎に設定が可能である。送信元IPアドレス、或いは受信ネットワークインターフェースで適用するパケットフィルタリングルールが分かると、そのフィルタリングルールを上から順に線形に比べていき、該当するか否かチェックする。
L7解析装置は、アプリケーションレベルでパケットのパターンマッチングを行うため、処理に多大な時間を要する。現在、パケット中継装置のスループットが最大10Gbpsであるのに対して、L7解析装置のスループットは最大でも200Mbps程度である。
ところで、個々のウィルス、ワームは、地域や時間によって出現する傾向が異なる。例えば、ある任意の時間において、A国ではBワームの攻撃が活発だがCワームはそれほどでもなく、その一方で、D国ではCワームは活発だがBワームは活動していないと言った状況がある。また、ある日時になると決まってA国からB国に対してDoS攻撃が来る、と言った状況もある。例として2003年8月、あるHTTPサーバでは、E地域を送信元とした大量のNimdaがログに記録されるとともに、F、G、H国を送信元とした大量のCode Redが記録されていた。また、2004年9月には、I国内のあるHTTPサーバに対して毎秒15,000回のリクエストが断続的に1週間継続するDDoS攻撃があった。更に、そのHTTPサーバのIPアドレスを送信元IPアドレスとして詐称したパケットを不特定多数のサーバに送信し、その結果大量のレスポンスをそのHTTPサーバに殺到させる攻撃も発生し、社会問題となった。このように、攻撃には、場所、時間によって特徴があるため、全パケットを一様にパターンマッチングすることは必ずしも必要でなく、また非効率でもある。
また、明らかに正常なパケットに対して、上記のように全シグネチャとパターンマッチングさせて行くことは、スループットの低下を招く恐れがあり、同様に非効率である。
不正アクセス検知装置でパターンマッチングに用いるシグネチャの適用順を、送信元IPアドレス毎に違える。また、各シグネチャには、そのシグネチャにヒットするウィルス、ワームの出現頻度を格納するフィールドを設け、出現頻度の多い順にシグネチャの検索順をソートできるようにする。
同様に、パケット中継装置でパケットフィルタリングに用いるルールに、そのルールによって廃棄されるパケットの出現頻度を格納するフィールドを設け、出現頻度の多い順にフィルタの検索順をソートできるようにする。
例えば、先に述べた、あるHTTPサーバでの2003年8月の被害をより高速に防ぐには、送信元IPアドレスがE地域の場合はNimda対策のシグネチャが検索の上位に来るようにし、送信元IPアドレスがF、G、H国の場合はCode Red対策のシグネチャが検索の上位に来るようにする。
例えば、先に述べた、あるHTTPサーバでの2003年8月の被害をより高速に防ぐには、送信元IPアドレスがE地域の場合はNimda対策のシグネチャが検索の上位に来るようにし、送信元IPアドレスがF、G、H国の場合はCode Red対策のシグネチャが検索の上位に来るようにする。
また、シグネチャとのパターンマッチング処理の前に、パターンマッチングさせるか否かの絞り込み処理を盛り込む。そして、絞込みに残ったパケットのみパターンマッチング処理へ進ませることにし、絞込みに残らなかったパケットはパターンマッチング処理を省略する。
例えば、パケット転送の機能を持った不正監視装置において、“送信元IPアドレスが40.40.0.0/16、宛先ポートが80のパケットは、パターンマッチングをせずに通過を許可する”と設定しておく。或いは、“送信元IPアドレスが40.40.0.0/16、宛先ポートが80のパケットは、10パケットに1つの割合でパターンマッチングをさせる”と設定しておく。これにより、その設定に該当するパケットは、シグネチャとのパターンマッチング処理を完全に、或いは大幅に省略できるため、正常パケット転送に対するスループットの低下は避けられる。
ワーム、ウィルスの対策として、パケットの送信元によってシグネチャの検索の順番を違えることにより、不正パケット検出の効率化を図ることができる。不正パケット1の多い地域では、そのパケットを廃棄するフィルタルールが検索の上位に来ているため、高速にパケット処理が終わる。一方、不正パケット1の少ない地域では、そのパケットを廃棄するフィルタルールは検索の下位に位置するため、余分な検索をすることなくパケットを処理できる。
また、出現頻度によるシグネチャのソートにより、シグネチャの検索順が柔軟に変更可能である。
図2は、本実施例における不正アクセス監視装置を示す。不正アクセス監視装置には、図3に示すシグネチャリストが存在する。シグネチャリストは、図3に示すTCPリストや、その他UDPリスト、IPリスト、ICMPリストの4つから構成され、受信パケットのプロトコルによって、まず使用するリストを選択する。TCPリストを使用すると決めると、次に、パケット内のソースIPアドレス、ディスティネーションIPアドレス、ディスティネーションポート番号、データの中身(コンテンツ)を参照し、シグネチャとパターンマッチングする。パターンマッチングは、不正アクセス監視装置内の、シグネチャ検索エンジン部にて行う。シグネチャ検索エンジン部でのパターンマッチングの結果、任意のシグネチャとパターンが合致した場合、アラートをアウトプット格納部に格納する。任意のシグネチャとパターンが合致しなかった場合、同様のパターンマッチングを次のシグネチャに対して行う。管理者は、アウトプット格納部に格納されたデータを参照することにより、不正アクセスがあったかどうか判断する。
本発明の不正アクセス監視装置では、シグネチャリストに、送信元IPアドレス毎にシグネチャの順番を変更したリストを設ける。そのリストは図4のようになる。このとき、各シグネチャに対して、図5のように送信元IPアドレス毎にそのシグネチャと合致するパケットの出現頻度を記録し、その値の降順にシグネチャを整列させることによって、上記を実現することにする。
図4の場合、デフォルトではパターンマッチングをシグネチャ1、2、3、4と線形に行っていくが、受信パケットの送信元IPアドレスが10.10.0.0/16の範囲内であった場合には、シグネチャ4、3、2、1とパターンマッチングしていく。同様に、送信元IPアドレスが20.20.0.0/16の範囲内であった場合には、シグネチャ2、4、1、3とパターンマッチングしていく。
実際に、パケットが図2の不正アクセス監視装置に到達したときの動作を示す。受信パケットは、通常図13に示す構成となる。ヘッダ部とデータ部の2つに大きく分かれ、ヘッダ部には、送信元MACアドレス、宛先MACアドレス、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号などが格納される。データ部には、アプリケーション層で解釈されるデータが格納される。このパケットを図2内の回線インターフェースにて受信すると、不正アクセス監視装置は、そのパケットをパケット転送部を介してパケット処理部へ転送する。パケット処理部内のシグネチャ検索エンジンに到達すると、シグネチャリストにある各シグネチャと受信パケットとのパターンマッチングを行う。パターンマッチングの結果、任意のシグネチャとパターンが合致した場合、アラートをアウトプット格納部に格納する。管理者の設定により、アラートの上がったパケットは廃棄すると予め設定がなされている場合、そのパケットは廃棄する。アウトプット格納部に格納されたアラートは、管理者が遠隔から参照可能であり、これにより不正アクセスがあったかどうかの判断も可能である。一方で、パターンマッチングの結果、どのシグネチャともパターンが合致しなかった場合、そのパケットの処理は以下の2通りである。該不正アクセス監視装置が単にモニタリングのみの機能を提供する場合、そのパケットは廃棄される。該不正アクセス監視装置が、パケット中継装置の間に設置され、パケット中継の機能も提供する場合、パケットはパケット転送部へ転送される。パケット転送部に転送されたパケットは、宛先IPアドレスから送信インターフェースが決定し、次のパケット中継装置へ転送される。
例として、図1の不正アクセス監視装置25において、A国から発信された送信元IPアドレスが10.10.0.1、宛先IPアドレスが30.30.0.3、プロトコルがTCP、送信元ポート番号が2000、宛先ポート番号が80、データ部に“good evening”と言う文字列が含まれていたパケットを受信した場合について説明する。この場合、プロトコルがTCPであるので、図4のシグネチャリストとパターンマッチングすることになる。そして、送信元IPアドレスが10.10.0.1であるため、デフォルトの順番にパターンマッチングするのではなく、ソースIPアドレス:10.10.0.0/16と記されたリストに従ってパターンマッチングする。初めにシグネチャ4とパターンマッチングするが、“good afternoon”と言う文字列は含まれていないため、次のシグネチャとのパターンマッチングに移行する。次に、シグネチャ3とパターンマッチングすると、“good evening”の文字列が合致するため、アラートをアラート格納部に格納する。不正アクセス監視装置に、アラートを発したパケットは廃棄との設定がなされておれば、該パケットは廃棄される。以上により、上記不正パケットは、デフォルトの順番でパターンマッチングしていくよりも、早い段階で廃棄される。
同様に、B国から発信された送信元IPアドレスが20.20.0.2、宛先IPアドレスが30.30.0.4、プロトコルがTCP、送信元ポート番号が3000、宛先ポート番号が80、データ部に“bonjour”と言う文字列が含まれていたパケットを受信した場合、ソースIPアドレス:20.20.0.0/16と記されたリストに従ってパターンマッチングすることになる。初めにシグネチャ2とパターンマッチングするが、“hello”と言う文字列は含まれていないため、次のシグネチャとのパターンマッチングに移行する。以下、シグネチャ4、1、3と同じようにパターンマッチングするが、どのシグネチャとも合致しないので、正常なパケットと認識され、アラートは発しない。不正アクセス監視装置が図1のように設置され、パケット中継の機能も提供している場合、該正常パケットはパケット転送部へ転送される。パケット転送部に転送されたパケットは、宛先IPアドレス30.30.0.4から送信インターフェースが決定し、回線インターフェースを介して次のパケット中継装置へ転送される。
明らかに正常なパケットである場合、上記のように全てのシグネチャとパターンマッチングさせて行くと、よりスループットの低下を招く恐れがある。ここでそれを解決する手段を示す。不正パターンを記したシグネチャとのパターンマッチングをする前に、シグネチャとパターンマッチングをさせるか否かのパケットの絞り込みを行う。絞込みに残ったパケットのみパターンマッチング処理へ進ませ、絞込みに残らなかったパケットはパターンマッチング処理を省略して転送させてしまう。例えば、送信元IPアドレスが40.40.0.0/16、宛先ポートが80のパケットは、パターンマッチングをせずに通過を許可する、と設定しておけば、その設定に該当するパケットは、図4に示すシグネチャとのパターンマッチングをせずに装置を通過することとなり、スループットの低下を避けられる。
なお、図5に示す、送信元IPアドレス毎に記す出現頻度の値は、遠隔地に設置したシグネチャ管理サーバ24から配布可能である。配布の間隔を一日程度に設定すれば、時間に応じて柔軟にシグネチャの順番を変更可能である。
以上により、ウィルス・ワームが現れる頻度の高い地域からのパケットに対しては、そのウィルス・ワーム対策のシグネチャとのパターンマッチングを、検索の上位で行うため、処理に要する時間を短縮できる。
以上により、ウィルス・ワームが現れる頻度の高い地域からのパケットに対しては、そのウィルス・ワーム対策のシグネチャとのパターンマッチングを、検索の上位で行うため、処理に要する時間を短縮できる。
図7は、本実施例におけるパケット中継装置を示す。パケット中継装置には、図8に示すウィルス・ワーム対策テーブルを保持させる。ウィルス・ワーム対策テーブルには、ウィルス・ワームを防ぐことを目的としたフィルタリングルールと、そのフィルタリングルールが適用された頻度を送信元IPアドレスごとに記してある。適用頻度の値の大きいものほど、ウィルス・ワームの出現確率が高いことを示す。図8の場合、“宛先ポート番号1434宛てのパケットは廃棄”のルールの適用頻度は、送信元IPアドレスが10.10.10.0/16の範囲に含まれる場合、5の値であり、その他の場合、15である。同様に、“宛先ポート番号80宛てのパケットは廃棄”のルールの適用頻度は、送信元IPアドレスが20.20.20.0/16の範囲に含まれる場合、10であり、10.10.10.0/16の範囲に含まれる場合、30である。それぞれのフィルタリングルールに対する、送信元IPアドレスと適用頻度の値は、管理者がパケット中継装置に直接に設定することも可能であるが、遠隔に存在するフィルタ管理サーバから情報を配布することによっての更新も可能である。これにより、時間に応じて柔軟に値を変更可能である。
パケット中継装置には、図7に示すように、ワーム対策テーブルと別にフローエントリテーブルが存在する。フローエントリテーブルを図10に示す。フローエントリテーブルには、フロー毎のフィルタリングルールが管理者によって設定されている。フローエントリテーブルは、送信元IPアドレス、或いはネットワークインターフェース毎に管理されている。図10の場合、送信元IPアドレス毎にフローエントリが設定されている。実際に、送信元IPアドレスが10.10.0.0/16のパケットを受信すると、まず1番目のフィルタリングルールに合致するかチェックする。宛先IPアドレス、送信元ポート番号、宛先ポート番号が1番目のフィルタと同じであれば、そのパケットは廃棄する。合致しなかった場合は、2番目に記されたフィルタリングルールと合致するか否かチェックする。合致した場合は廃棄し、合致しなかった場合は、所望の宛先へ転送する。本発明のパケット中継装置では、このフローエントリテーブルと先に述べたウィルス・ワーム対策テーブルとを融合させ、新たなフィルタリングテーブルを作成する。
まず、図8のウィルス・ワーム対策テーブルを、送信元IPアドレスをキーとして適用頻度の高い順番に整列させる。図9となる。次に、図9を、図7内に記したワーム対策テーブル読み取り部にて読み出し、送信元IPアドレスを引数として送信元IPアドレス判定部に渡す。送信元IPアドレス判定部では、図10のフローエントリテーブルを読み出し、ワーム対策テーブルから受け取った引数に連なるエントリを図10のテーブルの該当箇所に挿入する。その際、図9の送信元IPアドレスと図10の送信元IPアドレスとが完全に一致するとは限らないため、図12のアルゴリズムにてテーブルを合成する。合成したテーブルは図11となる。合成した図11のテーブルは、パケットを受信する度に参照され、該パケットが合致するか否かのチェックに使用される。
ところで、フローエントリテーブル上のフィルタは管理者が意識的に設定を施したものであり、ウィルス・ワーム対策テーブル上のフィルタよりも一般的に優先度が高い。従って、図11に示すように、フローエントリテーブル上のフィルタは、ウィルス・ワーム対策テーブル上のフィルタよりも検索の上位に据え置かれる。これにより、明らかに正常なパケットとウィルス・ワーム対策用のフィルタとの照合処理を省略できる。例えば、送信元IPアドレスが10.10.0.0/16、宛先IPアドレスが60.60.60.0/24、宛先ポート番号が456は転送、とフローエントリテーブルに設定しておけば、そのエントリに該当するパケットは、その後のウィルス・ワーム対策用のフィルタとの照合をせずに装置を通過することになり、スループットの低下を避けられる。
実際にパケット中継装置でパケットを受信した時の動作を、以下に示す。パケットは、図7における回線インターフェースにて受信する。ここで、受信するパケットの構成を述べる。パケットの構成は、図13に示すように、ヘッダ部とデータ部の2つに大きく分かれ、ヘッダ部には、送信元MACアドレス、宛先MACアドレス、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号などが格納される。データ部には、アプリケーション層で解釈されるデータが格納される。このパケットを受信すると、該パケットは、パケット転送部11を介してパケット処理部へ転送される。パケット処理部内のフロー識別部でパケットを受信すると、先に述べた図11のテーブルを参照し、合致するフローエントリがあるか否かチェックする。合致するエントリが存在した場合、エントリに記されたアクションをとる。廃棄と記されている場合は、パケットを廃棄する。転送と記されている場合は、パケットをパケット転送部へ転送し、宛先IPアドレスによって送信インターフェースを決定し、次のパケット中継装置へ送信する。
例として、図6のパケット中継装置22において、A国から発信された送信元IPアドレスが10.10.0.1、宛先IPアドレスが30.30.0.3、送信元ポート番号が2000、宛先ポート番号が80のパケットを受信した場合について説明する。パケットがパケット処理部内のフロー識別部に送られると、フロー識別部は図11のフローエントリテーブルを検索する。1番目のフローエントリから順に検索すると、3番目のフローエントリと合致する。エントリのアクションの項には廃棄と記されており、該パケットは、廃棄される。以上により、出現頻度の高い不正パケットは、検索の早い段階で廃棄される。
同様に、B国から発信された送信元IPアドレスが20.20.0.2、宛先IPアドレスが30.30.0.3、送信元ポート番号が3000、宛先ポート番号が4000のパケットを受信した場合について説明する。パケットがパケット処理部内のフロー識別部に送られると、フロー識別部は図11のフローエントリテーブルを検索する。1番目のフローエントリから順に検索するが、どのフィルタとも合致せず、正常なパケットとしてパケット転送部へ転送される。パケット転送部に転送されたパケットは、宛先IPアドレス60.60.0.6から送信インターフェースが決定し、回線インターフェースを介して次のパケット中継装置へ転送される。
なお、図8に示す、送信元IPアドレス毎に記す適用頻度の値は、遠隔地に設置したフィルタ管理サーバから配布可能である。配布の間隔を一日程度に設定しておけば、時間に応じて柔軟にフィルタの順番を変更可能である。
以上により、ウィルス・ワームが現れる頻度の高い地域からのパケットに対しては、そのウィルス・ワーム対策のフィルタが検索の初期の段階でヒットするため、処理に要する時間を短縮できる。
以上により、ウィルス・ワームが現れる頻度の高い地域からのパケットに対しては、そのウィルス・ワーム対策のフィルタが検索の初期の段階でヒットするため、処理に要する時間を短縮できる。
11−12 他国網
13 自国網
14 自社網イントラネット
21−22 パケット中継装置
23 ユーザ
24 シグネチャ管理サーバ
25 不正アクセス監視装置
26 フィルタ管理サーバ
31 不正アクセス監視装置
32 管理端末
33 パケット中継装置
41−42 回線インターフェース
43 パケット転送部
44 パケット処理部
51 シグネチャ検索エンジン
52 シグネチャリスト
53 アウトプット格納部
54 フロー識別部
55 フローエントリテーブル
56 送信元IPアドレス判定部
57 ワーム対策テーブル読み取り部
58 ワーム対策テーブル
61 シグネチャ
71 IPパケット。
13 自国網
14 自社網イントラネット
21−22 パケット中継装置
23 ユーザ
24 シグネチャ管理サーバ
25 不正アクセス監視装置
26 フィルタ管理サーバ
31 不正アクセス監視装置
32 管理端末
33 パケット中継装置
41−42 回線インターフェース
43 パケット転送部
44 パケット処理部
51 シグネチャ検索エンジン
52 シグネチャリスト
53 アウトプット格納部
54 フロー識別部
55 フローエントリテーブル
56 送信元IPアドレス判定部
57 ワーム対策テーブル読み取り部
58 ワーム対策テーブル
61 シグネチャ
71 IPパケット。
Claims (8)
- 複数のパケット中継装置を備えたネットワークに接続された不正アクセス監視装置であって、回線インターフェースとパケット転送部とパケット処理部とを備え、
上記パケット処理部は、シグネチャ検索エンジンと、各シグネチャに対する送信元ごとの出現頻度を記したシグネチャリストとを有することを特徴とする不正アクセス監視装置。 - 複数のパケット中継装置を備えたネットワークに接続されたパケット中継装置であって、回線インターフェースとパケット転送部とパケット処理部とを備え、
上記パケット処理部は、フロー識別部と、各フローに対するアクションを記したフローエントリテーブルと、該フロー識別部で検出されたウィルスまたはワームに対する送信元ごとの出現頻度を記したワーム対策テーブルとを有することを特徴とするパケット中継装置。 - 複数のパケット中継装置を備えたネットワークに接続された不正アクセス監視装置であって、回線インターフェースとパケット転送部とパケット処理部とを備え、
上記パケット処理部は、シグネチャ検索エンジンと、各シグネチャに対する送信元ごとのカウンタを記したシグネチャリストとを有することを特徴とする不正アクセス監視装置。 - 複数のパケット中継装置を備えたネットワークに接続されたパケット中継装置であって、回線インターフェースとパケット転送部とパケット処理部とを備え、
上記パケット処理部は、フロー識別部と、各フローに対するアクションを記したフローエントリテーブルと、該フロー識別部で検出されたウィルスまたはワームに対する送信元ごとのカウンタを記したワーム対策テーブルとを有することを特徴とするパケット中継装置。 - 請求項1記載の不正アクセス監視装置であって、
上記ネットワーク内のサーバと接続されており、該サーバは、上記各シグネチャに対する送信元ごとの出現頻度を記したシグネチャリストを有し、
該不正アクセス監視装置は、該サーバからシグネチャリストを取得し、該取得したシグネチャリストに基づいて該不正アクセス監視装置内のシグネチャリストを更新することを特徴とする不正アクセス監視装置。 - 請求項2記載のパケット中継装置であって、
上記ネットワーク内のサーバと接続されており、該サーバは、上記ウィルスまたはワームに対する送信元ごとの出現頻度を記したワーム対策テーブルを有し、
該パケット中継装置は、該サーバからワーム対策テーブルを取得し、該取得したワーム対策テーブルに基づいて該パケット中継装置内のワーム対策テーブルを更新することを特徴とするパケット中継装置。 - 請求項3記載の不正アクセス監視装置であって、
上記ネットワーク内のサーバと接続されており、該サーバは、上記各シグネチャに対する送信元ごとのカウンタを記したシグネチャリストを有し、
該不正アクセス監視装置は、該サーバからシグネチャリストを取得し、該取得したシグネチャリストに基づいて該不正アクセス監視装置内のシグネチャリストを更新することを特徴とする不正アクセス監視装置。 - 請求項4記載のパケット中継装置であって、上記ネットワーク内のサーバと接続されており、該サーバは、上記ウィルスまたはワームに対する送信元ごとのカウンタを記したワーム対策テーブルを有し、
該パケット中継装置は、該サーバからワーム対策テーブルを取得し、該取得したワーム対策テーブルに基づいて該パケット中継装置のワーム対策テーブルを更新することを特徴とするパケット中継装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006027853A JP4774307B2 (ja) | 2006-02-06 | 2006-02-06 | 不正アクセス監視装置及びパケット中継装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006027853A JP4774307B2 (ja) | 2006-02-06 | 2006-02-06 | 不正アクセス監視装置及びパケット中継装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007208861A true JP2007208861A (ja) | 2007-08-16 |
| JP4774307B2 JP4774307B2 (ja) | 2011-09-14 |
Family
ID=38487881
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006027853A Expired - Fee Related JP4774307B2 (ja) | 2006-02-06 | 2006-02-06 | 不正アクセス監視装置及びパケット中継装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4774307B2 (ja) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009088936A (ja) * | 2007-09-28 | 2009-04-23 | Oki Electric Ind Co Ltd | ネットワーク監視装置及びネットワーク監視方法 |
| JP2010092235A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| JP2010092236A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| JP2013513895A (ja) * | 2009-12-15 | 2013-04-22 | マイクロン テクノロジー, インク. | 適応型コンテンツ・インスペクション |
| JP2014036369A (ja) * | 2012-08-09 | 2014-02-24 | Nippon Telegr & Teleph Corp <Ntt> | パケット処理装置およびパケット処理方法 |
| US9979697B2 (en) | 2015-05-15 | 2018-05-22 | Mitsubishi Electric Corporation | Packet filtering apparatus and packet filtering method |
| US10931686B1 (en) | 2017-02-01 | 2021-02-23 | Cequence Security, Inc. | Detection of automated requests using session identifiers |
| US10931713B1 (en) | 2016-02-17 | 2021-02-23 | Cequence Security, Inc. | Passive detection of genuine web browsers based on security parameters |
| US11381629B2 (en) | 2015-03-18 | 2022-07-05 | Cequence Security, Inc. | Passive detection of forged web browsers |
| US11418520B2 (en) | 2015-06-15 | 2022-08-16 | Cequence Security, Inc. | Passive security analysis with inline active security device |
| US11455389B2 (en) | 2017-05-19 | 2022-09-27 | Fujitsu Limited | Evaluation method, information processing apparatus, and storage medium |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101865921B1 (ko) * | 2011-09-28 | 2018-06-11 | 한국전력공사 | 트래픽 감시 장치 및 방법, 그리고 암호화 통신 시스템 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0832643A (ja) * | 1994-07-13 | 1996-02-02 | Hitachi Cable Ltd | マルチプロトコル中継装置 |
| JPH11167487A (ja) * | 1997-12-02 | 1999-06-22 | Fujitsu Ltd | ウィルスチェックネットワーク、ウィルスチェック装置、クライアント端末及びウィルス情報管理局 |
| JP2000174805A (ja) * | 1998-12-04 | 2000-06-23 | Nec Corp | テーブル検索システム及びルータ |
| JP2002124996A (ja) * | 2000-10-13 | 2002-04-26 | Yoshimi Baba | 高速パケット取得エンジン・セキュリティ |
| JP2005005820A (ja) * | 2003-06-10 | 2005-01-06 | Hitachi Ltd | フィルタリング装置に対するフィルタ設定情報管理方法 |
| JP2005051588A (ja) * | 2003-07-30 | 2005-02-24 | Matsushita Electric Ind Co Ltd | 自動フィルタリング方法、および機器 |
| JP2005157650A (ja) * | 2003-11-25 | 2005-06-16 | Matsushita Electric Ind Co Ltd | 不正アクセス検知システム |
-
2006
- 2006-02-06 JP JP2006027853A patent/JP4774307B2/ja not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0832643A (ja) * | 1994-07-13 | 1996-02-02 | Hitachi Cable Ltd | マルチプロトコル中継装置 |
| JPH11167487A (ja) * | 1997-12-02 | 1999-06-22 | Fujitsu Ltd | ウィルスチェックネットワーク、ウィルスチェック装置、クライアント端末及びウィルス情報管理局 |
| JP2000174805A (ja) * | 1998-12-04 | 2000-06-23 | Nec Corp | テーブル検索システム及びルータ |
| JP2002124996A (ja) * | 2000-10-13 | 2002-04-26 | Yoshimi Baba | 高速パケット取得エンジン・セキュリティ |
| JP2005005820A (ja) * | 2003-06-10 | 2005-01-06 | Hitachi Ltd | フィルタリング装置に対するフィルタ設定情報管理方法 |
| JP2005051588A (ja) * | 2003-07-30 | 2005-02-24 | Matsushita Electric Ind Co Ltd | 自動フィルタリング方法、および機器 |
| JP2005157650A (ja) * | 2003-11-25 | 2005-06-16 | Matsushita Electric Ind Co Ltd | 不正アクセス検知システム |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009088936A (ja) * | 2007-09-28 | 2009-04-23 | Oki Electric Ind Co Ltd | ネットワーク監視装置及びネットワーク監視方法 |
| JP4556981B2 (ja) * | 2007-09-28 | 2010-10-06 | 沖電気工業株式会社 | ネットワーク監視装置及びネットワーク監視方法 |
| JP2010092235A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| JP2010092236A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| US9684867B2 (en) | 2009-12-15 | 2017-06-20 | Micron Technology, Inc. | Adaptive content inspection |
| JP2013513895A (ja) * | 2009-12-15 | 2013-04-22 | マイクロン テクノロジー, インク. | 適応型コンテンツ・インスペクション |
| US10235627B2 (en) | 2009-12-15 | 2019-03-19 | Micron Technology, Inc. | Adaptive content inspection |
| JP2014036369A (ja) * | 2012-08-09 | 2014-02-24 | Nippon Telegr & Teleph Corp <Ntt> | パケット処理装置およびパケット処理方法 |
| US11381629B2 (en) | 2015-03-18 | 2022-07-05 | Cequence Security, Inc. | Passive detection of forged web browsers |
| US9979697B2 (en) | 2015-05-15 | 2018-05-22 | Mitsubishi Electric Corporation | Packet filtering apparatus and packet filtering method |
| US11418520B2 (en) | 2015-06-15 | 2022-08-16 | Cequence Security, Inc. | Passive security analysis with inline active security device |
| US10931713B1 (en) | 2016-02-17 | 2021-02-23 | Cequence Security, Inc. | Passive detection of genuine web browsers based on security parameters |
| US10931686B1 (en) | 2017-02-01 | 2021-02-23 | Cequence Security, Inc. | Detection of automated requests using session identifiers |
| US11455389B2 (en) | 2017-05-19 | 2022-09-27 | Fujitsu Limited | Evaluation method, information processing apparatus, and storage medium |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4774307B2 (ja) | 2011-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4774307B2 (ja) | 不正アクセス監視装置及びパケット中継装置 | |
| US9001661B2 (en) | Packet classification in a network security device | |
| KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
| US7832009B2 (en) | Techniques for preventing attacks on computer systems and networks | |
| US7617533B1 (en) | Self-quarantining network | |
| US7225468B2 (en) | Methods and apparatus for computer network security using intrusion detection and prevention | |
| EP2432188B1 (en) | Systems and methods for processing data flows | |
| US8296842B2 (en) | Detecting public network attacks using signatures and fast content analysis | |
| US20130067560A1 (en) | Multi-method gateway-based network security systems and methods | |
| US20120240185A1 (en) | Systems and methods for processing data flows | |
| JP4768020B2 (ja) | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
| Bulajoul et al. | Network intrusion detection systems in high-speed traffic in computer networks | |
| JP2004304752A (ja) | 攻撃防御システムおよび攻撃防御方法 | |
| KR20110089179A (ko) | 네트워크 침입 방지 | |
| US8006303B1 (en) | System, method and program product for intrusion protection of a network | |
| WO2016085412A1 (en) | Systems and methods for intercepting, filtering and blocking content from internet in real-time | |
| JP2003099339A (ja) | 侵入検知・防御装置及びプログラム | |
| Singh | Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis | |
| RU183015U1 (ru) | Средство обнаружения вторжений | |
| Mohammed et al. | Fast automated signature generation for polymorphic worms using double-honeynet | |
| Erlacher | Efficient intrusion detection in high-speed networks. | |
| CN115622754A (zh) | 一种检测并防止mqtt漏洞的方法、系统和装置 | |
| Schaeffer | A Brief Discussion of Network Denial of Service Attacks | |
| Kopps | Anomalous Payload Based Worm and Attack Detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081107 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081107 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100722 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100727 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100921 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101026 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101224 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110125 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110411 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110411 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20110506 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110531 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110627 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140701 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |