JP2009005122A - 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム - Google Patents

不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム Download PDF

Info

Publication number
JP2009005122A
JP2009005122A JP2007164607A JP2007164607A JP2009005122A JP 2009005122 A JP2009005122 A JP 2009005122A JP 2007164607 A JP2007164607 A JP 2007164607A JP 2007164607 A JP2007164607 A JP 2007164607A JP 2009005122 A JP2009005122 A JP 2009005122A
Authority
JP
Japan
Prior art keywords
rule
upstream
security strength
security
rules
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007164607A
Other languages
English (en)
Inventor
Yukiko Ito
由起子 伊藤
Koji Kubota
幸司 久保田
Hiroyasu Terasawa
弘泰 寺澤
Kiyomi Doi
清美 土居
Tomoko Ishihara
智子 石原
Hiroyuki Kyoda
浩之 京田
Akiyoshi Inoue
彰良 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Original Assignee
Panasonic Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp filed Critical Panasonic Corp
Priority to JP2007164607A priority Critical patent/JP2009005122A/ja
Publication of JP2009005122A publication Critical patent/JP2009005122A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】クライアント機器等、並列処理による負荷分散ができない機器を含めて、リソースが限られた環境においても、自機器のセキュリティレベルを保つこと。
【解決手段】単数または複数の上流機器のセキュリティ強度の情報を問い合わせるセキュリティ強度問い合わせ手段101と、機器で送受信するパケットが、前記機器内部または前記上流機器で検査されなければならないルール全体を管理する全体ルール管理手段103と、前記上流機器のセキュリティ強度の情報を問い合わせた結果、送信されたセキュリティ強度情報をもとに、検査を省略するルール、運用中に参照するルールを決定する運用ルール決定手段104と、運用中に参照するとしたルールを参照して、不正アクセスの検知を実行する不正アクセス検知手段105を備える。
【選択図】図1

Description

本発明は通信ネットワーク上の機器やシステムに対する不正アクセスに対処する技術に関するものである。
インターネットの普及に伴い、Webアクセスや、電子メールをはじめとした、ネットワークを利用したサービスがますます増加しつつある。しかしながら、その一方で、ネットワークを介した不正アクセスやvirus感染により、サービスの正常運用が妨げられる危険も頻繁に生じており、その対策が必要となってきている。
ファイアウォールや侵入検知システム(IDS:Intrusion Detection System)をネットワークに設置するなどといった対策がその代表的なものである。IDSでは、一般に、攻撃検出対象の攻撃パターンを記述した「シグネチャ」とよばれるルールに照らし合わせて攻撃を検出する方法が用いられている。しかしながら、セキュリティレベルを保つために、不正アクセス検知ルールを多く設定し、不正アクセス検知を行う必要がある。このため、不正アクセス検知処理の負荷が大きくなるという課題があった。
こういった課題に対し、特許文献1においては、パケット収集分析装置に、パケットを判別するルールを設定する。それぞれの装置に設定するルールはそれぞれ排他的な内容とし、且つネットワークを流れるパケットは設定されたルールの何れか1つに必ずマッチするように設定する。このようにして、パケットは必ずパケット収集分析装置の何れか1台で収集分析されるように構成している。
また、特許文献2においては、通信相手や、通信に対応するアプリケーションに応じて、通信相手側との直接の通信経路と、通信セキュリティをチェックする装置2を経由する通信経路とのいずれかを選択する装置1を備える。また通信パケットに経路選択用のマーキングを行う装置3を備え、装置1がそのマーキングの内容に応じて経路選択を行っている。
特開2004−64694号公報 特開2006−180280号公報
しかしながら、前記従来の特許文献1の構成では、検査処理を分担、複数機器で並列に検査することで負荷分散を行う方式であり、並列に動作する複数の機器を必要とする。1つ1つのパケットについては、いずれか1つの機器で検査が行われ、検査項目はネットワークの状況によらず決められている。
また、特許文献2の構成では、先行技術は、検査処理を複数の機器で分担するために、パケットの経路選択を行っている。経路選択機能と、複数の検査機器をもつシステムで適用する負荷分散方法であり、通信パケットにマーキングするという特別な処理を必要とする。
本発明は、クライアント機器等、並列処理による負荷分散ができない機器を含めて、リソースが限られた環境においても、自機器のセキュリティレベルを保つために、不正アクセス検知ルールを多く設定し、不正アクセス検知を行う必要がある。このため、不正アクセス検知処理の負荷が大きくなるという課題を解決するものである。
前記従来の課題を解決するために、本発明の不正アクセス検知装置は、単数または複数の上流機器のセキュリティ強度の情報を問い合わせるセキュリティ強度問い合わせ手段と、機器で送受信するパケットが、機器内部または上流機器で検査されなければならないルール全体を管理する全体ルール管理手段と、上流機器のセキュリティ強度の情報を問い合わせた結果、送信されたセキュリティ強度情報をもとに、検査を省略するルール、運用中に参照するルールを決定する運用ルール決定手段と、運用中に参照するとしたルールを参照して、不正アクセスの検知を実行する不正アクセス検知手段を備える。
本発明の不正アクセス検知装置によれば、機器が、機器が、セキュリティ強度問い合わせ手段を持つことにより、上流機器の状況に応じて自身のルールを自律的に変更することができ、上流機器で検査しているルールを機器で重複して検査することを回避できる。結果として機器で検査するルールが必要最小限となり、検査処理の負荷を最小限に抑えることが可能となる。すなわち、セキュリティレベルが低い環境では、セキュリティ対策のためにアプリの機能・性能は制限されるが、セキュリティを守られた環境では、機器を高性能、高機能にできる。
以下本発明の実施の形態について、図面を参照しながら説明する。
(実施の形態1)
図1は、本発明の実施の形態1における不正アクセス検知装置の機能構成図である。また、図2は、不正アクセス検知装置が適用される機器が複数接続されているネットワーク構成例である。
図2において、201〜203は、不正アクセス検知装置が適用される機器を示す。機器201〜203に存在する204〜206は不正アクセス検知装置を示す。207は機器201〜203に接続されている上流機器を示し、208は不特定な機器が接続される外部ネットワークを示す。209はある程度限定された機器が接続される内部ネットワークを示す。210は内部ネットワークのセキュリティ機能を管理するセキュリティ管理装置を示す。セキュリティ管理装置210は、図2では、上流機器207と切り離して記述したが、上流機器207の内部の1機能として存在する場合も、図2のように独立した装置として存在する場合もある。外部ネットワーク208と内部ネットワーク209の間の通信は、上流機器207を介して行われる。機器201〜203など、複数の機器が内部ネットワークに接続されている。上流機器207では、上流機器207を通過するパケットが不正アクセスに関連するものかどうかを検査し、内部ネットワークのセキュリティ強度を保つ。また、セキュリティ管理装置210は、上流機器207のセキュリティ強度を管理し、機器201〜203からの問い合わせに応じて上流機器207のセキュリティ強度情報を送信する。機器201〜203には、図1で示した不正アクセス検知装置204〜206があり、機器201〜203のセキュリティ強度を保つ。図1において、101はセキュリティ強度問い合わせ手段を示す。102は機器201〜203で必ず検査しなければならないルールを管理する必須ルール管理手段を示す。103は、機器201〜203としてセキュリティ強度を保つために必要なルール全体を管理する全体ルール管理手段を示す。全体ルール管理手段で管理されているルールについては、機器201〜203内部または上流機器で検査されなければならない。104は、機器201〜203で実際に検査するルールを決定する運用ルール決定手段を示す。105は、運用ルールを参照して、不正アクセス検知を行う不正アクセス検知手段を示す。
不正アクセス検知装置204〜206とセキュリティ管理装置210の動作について、以下、図1〜図7を用いて説明する。
図3は運用ルール決定手段104の動作を示す。運用ルール決定手段104では、セキュリティ強度問い合わせ手段101を介して、セキュリティ管理装置210に上流機器207のセキュリティ強度の問い合わせを行う(図3のステップS301)。上流機器のセキュリティ強度を受信すると(同図ステップS302)、全体ルール管理手段103で管理している全ルールから、セキュリティ強度に対応するルールを省き、運用候補ルールを作成する(同図ステップS303)。そして、運用候補ルールに必須ルール管理手段102で管理している必須ルールを加え、運用ルールを作成する(同図ステップS304)。最後に、不正アクセス検知手段が作成した運用ルールを用いて不正アクセス検知処理を開始する様指示を行う(同図ステップS305)。
図4はセキュリティ管理装置210の機能構成図である。401は、セキュリティ強度情報とこれに対応するルールのリストを管理するセキュリティ強度管理手段であり、402は、上流機器がもつルールのリストから、セキュリティ強度を決定し、機器におけるセキュリティ強度問い合わせ手段101からのセキュリティ強度問い合わせに応じて指定された上流機器のセキュリティ強度情報を送信するセキュリティ強度送信手段である。
図5は本発明の実施の形態におけるセキュリティ強度管理手段401で管理するルールの内容、ポリシーとセキュリティ強度の対応表のイメージを示した表である。セキュリティ強度管理手段401では、セキュリティ強度毎に対応するルールのリストを上流機器207で参照される順に管理している。図5に示したルールのいくつかが上流機器207に設定されていることとなる。たとえば、上流機器207がセキュリティ強度1の場合には、ルール番号1〜24が設定されており、パケットが上流機器207を通過するときに、ルール番号1、2、3と設定されているルールの上から順番に参照され、パケットが条件に一致しているかどうか検査される。
上流機器207がセキュリティ強度2の場合には、ルール番号1〜19が設定されており、上流機器207がセキュリティ強度3の場合には、ルール番号1〜7が設定されており、パケットが上流機器207を通過するときに、ルール番号1、2、3と設定されているルールの上から順番に参照され、パケットが条件に一致しているかどうか検査される。
上流機器207がセキュリティ強度4の場合には、通過するパケットについて検査は行われない。
セキュリティ強度送信手段402では、上流機器207がもつルールのリストを、上流機器207に問い合わせるなどしてあらかじめ入手し、入手した上流機器207のルールのリストを、セキュリティ強度管理手段401で管理している情報と比較し、上流機器207のセキュリティ強度を決定する。セキュリティ強度管理手段401で管理しているセキュリティ強度に、該当するルールのリストが存在しない場合には、新たなセキュリティ強度を生成し、生成したセキュリティ強度とルールのリストの対応表を追加して管理する。
ルールには、たとえば、ルール番号1の様に、送信元、あて先IPアドレスを同じに設定したパケットをターゲットへ送信する攻撃のパターンのパケットを検出するLand Attack、ルール番号2の様に、送信元IPアドレスを詐称したパケットをターゲットへ送信する攻撃のパターンのパケットを検出するIP Spoofing、ルール番号3の様に、送信元IPアドレスを詐称したICMPパケットをブロードキャストアドレスへ送信する攻撃のパターンのパケットを検出するSmurf Attack、ルール番号4の様に、IPパケットの最初のフラグメンテーションに、長さ0のパケットを送信する攻撃のパターンのパケットを検出するIP with Zero length、ルール番号5の様に、コントロールビットに何も設定が無いTCPパケットを送信する攻撃のパターンのパケットを検出するTCP NULL、ルール番号6の様に、コントロールビットにFINが設定され、ACKは設定されないパケットを送信する攻撃のパターンのパケットを検出するTCP FIN not ACK、ルール番号7の様に、コントロールビットが全て設定されたTCPパケットを送信する攻撃のパターンのパケットを検出するTCP Xmasといったものがあり、方向でしめされたパケット、この場合には、外部ネットワーク208から内部ネットワーク209に入力されるパケットについて、ルールに一致するかどうか検査を行い、ルールに一致するパケットが検出された場合には、ポリシーに設定された処理、ここでは、破棄する処理を行う。
さらに、ルールとしては、ルール番号8〜ルール番号13のように、送信元のIPアドレス、ポート番号、宛先のIPアドレス、ポート番号、プロトコルのいずれか、またはすべてを指定するものがあり、指定した条件に一致するパケットが到着した場合には、ポリシーに設定された処理、ここでは許可し、ルール15以下について検査を続行する処理をおこなう。ここでは、たとえば、内部ネットワーク209に存在する機器201〜203のIPアドレスと、ユーザアプリケーションで使用されているサービスのポート番号、プロトコルを指定したルールが設定されているというように、指定される。
ルール番号8〜ルール番号13に一致しなかったパケットのみが、ルール番号14を参照し、ルール番号14では、ポリシーとして、破棄が設定されており、一致しなかったパケットすべてが破棄される。
また、別の種類のルールとしては、ルール番号15〜ルール番号19の様にプロトコル、TCPプロトコルのコントロールビット、閾値、検知時間などを指定するものがあり、指定した条件に一致するパケットが到着した場合には、内部でもつカウンタのカウントアップを行い、検知時間毎の到着パケット数がカウントされ、カウンタ値が閾値に達した場合には、ユーザアプリケーションなどに通知を行うものもある。
ここでは、ユーザアプリケーションが運用されているときに送受信する可能性のあるパケットの流量を閾値として定め、これをこえたときに異常と判断する様に、それぞれのパラメータが設定されるというように、指定される。
さらにまた、特定のサービス、たとえばルール番号20、21の様にWebサービス、ルール番号23、24の様にSMTPサービスというように、特定のサービスに使用されるパケットに限定して、パケットのペイロードの情報が特定の指定されたパターンに一致するかどうかを検査するためのルールもある。
ペイロードの情報が、不正アクセスのパターンであるかどうかの判断のために、指定される。
不正アクセスのパターンの可能性はあるが、誤検知の可能性を含む場合には、パケットの廃棄処理は行わず、ユーザアプリケーションへ通知を行い、ログとして記録する様にポリシーを指定できる。
セキュリティ管理装置210では、以上に説明した様なルールのリストと、セキュリティ強度の対応管理と、上流機器207のセキュリティ強度の管理を行っており、セキュリティ強度問い合わせ手段101からの問い合わせに応じて、上流機器207のセキュリティ強度の情報を送信する。
図6は、セキュリティ強度問い合わせ手段101がセキュリティ管理装置210に対して、上流機器のセキュリティ強度の問い合わせを行う場合のメッセージの例である。図6において、601はメッセージ全体を示す。602は宛先が格納されている領域、603は送信元が格納されている領域、604はメッセージ識別子が格納されている領域を示す。宛先は、セキュリティ管理装置宛に届く様に設定され、送信元には機器201または、機器202または機器203のアドレスが設定され、メッセージ識別子により、セキュリティ強度の問い合わせメッセージであることを識別する。
図7は、セキュリティ強度問い合わせ手段101がセキュリティ管理装置210に対して、上流機器のセキュリティ強度の問い合わせを行った結果として送信されるセキュリティ強度情報通知メッセージの例である。図7において、701はメッセージ全体を示す。702は宛先が格納されている領域、703は送信元が格納されている領域、704はメッセージ識別子が格納されている領域そして705はセキュリティ強度情報が格納されている領域を示す。宛先は、セキュリティ強度の問い合わせを行った機器201〜203のセキュリティ強度問い合わせ手段101に届く様に設定され、メッセージ識別子により、セキュリティ強度情報の通知メッセージであることを識別する。そして、メッセージに格納されたセキュリティ強度情報により、上流機器207のセキュリティ強度情報を得る。
図8は、不正アクセス検知装置204〜206が管理している全体ルールと運用ルールおよびそのポリシーを管理する情報のイメージを示した表である。
機器201〜203に内部ネットワーク209から到着する入力パケットあるいは、機器201〜203が他の機器や、上流機器207、セキュリティ管理装置210や、外部ネットワーク208に接続された機器に送信する出力パケットについて、ルール番号1、2、3と設定されているルールの上から順番に参照され、パケットが条件に一致しているかどうか検査される。
ルールの内容、ポリシーの内容としては、図9に示した様な入力パケットに対するルール、ポリシー、図10に示した様な出力パケットに対するルール・ポリシーを例としたものが設定され、機器が外部ネットワークに直接接続されたときに必要とされると想定されるルールが全体ルールとして管理される。
図9で示したルールの内容、ポリシーの内容については、一般的には、セキュリティ強度管理手段401で管理しているルールの内容とは、必ずしも一致しないが、ここでは、図5の説明を行ったものと同じものを例としてあげている。
図10で示したルールの内容について以下に説明する。
ルール番号101はICMPパケットをブロードキャストアドレスへ送信する攻撃のパターンのパケットを検出するSmurf Attack、ルール番号102は、コントロールビットに何も設定が無いTCPパケットを送信する攻撃のパターンのパケットを検出するTCP NULL、ルール番号103は、コントロールビットにFINが設定され、ACKは設定されないパケットを送信する攻撃のパターンのパケットを検出するTCP FIN not ACK、ルール番号104は、コントロールビットが全て設定されたTCPパケットを送信する攻撃のパターンのパケットを検出するTCP Xmasで、機器から出力されるパケットについて、ルールに一致するかどうか検査を行い、ルールに一致するパケットが検出された場合には、ポリシーに設定された処理、ここでは、破棄する処理を行う。
そして、ルール番号105〜ルール番号110は、送信元のIPアドレス、ポート番号、宛先のIPアドレス、ポート番号、プロトコルのいずれか、またはすべてを指定するものであり、指定した条件に一致するパケットが出力される場合には、ポリシーに設定された処理、ここでは許可し、ルール112以下について検査を続行する処理をおこなう。ルール番号105〜ルール番号110に一致しなかったパケットのみが、ルール番号111を参照し、ルール番号111では、ポリシーとして、破棄が設定されており、一致しなかったパケットすべてが破棄される。たとえば、内部ネットワーク209に存在する機器201のIPアドレスと、ユーザアプリケーションで使用されているサービスのポート番号、プロトコルを指定したルールが設定される。
それから、ルール番号112〜ルール番号116は、プロトコル、TCPプロトコルのコントロールビット、閾値、検知時間などを指定するものであり、指定した条件に一致するパケットが出力される場合には、内部でもつカウンタのカウントアップを行い、検知時間毎の到着パケット数がカウントされ、カウンタ値が閾値に達した場合には、ユーザアプリケーションなどに通知を行うものである。
以上、全体ルール管理手段103では、図9、図10で示したようなルールをはじめとしたルールで、機器にとって必要とされるルールが、全体ルールとして管理されている。機器にとって必要とされるルールは、機器がサポートするユーザアプリケーションの種類や、機器がもつリソース、外部ネットワークの危険度合いによって決定される。
全体ルールは、図5では、表のルール番号1から28すべてである。必須ルール管理手段102では、その中で、必須ルールとして該当するものが管理されている。必須ルールは、上位機器のセキュリティ強度によらず参照されなければならないとするルールである。表では、ルール番号2、12、19、20が必須ルールとなっている。必須ルールは、内部ネットワークの機器からの通信に起因する脅威を防ぐ目的として、機器が最低限検査しなければならないルールである。また、運用ルール決定手段104では、上流機器のセキュリティ強度に対応する、上流機器で検査しているルールを管理している。たとえば、セキュリティ強度1の上流機器では、ルール番号1、2、3、4、5、26、27、28に該当するルールが検査されている。セキュリティ強度2の上流機器では、ルール番号1〜10および21に該当するルールが検査されている。セキュリティ強度3の上流機器では、ルール番号1〜14および21に該当するルールが検査されている。セキュリティ強度4の上流機器では、機器が監査すべきルールに該当する検査は行っていない。
以上の様な上流機器204のセキュリティ強度と、上流機器204が検査するルールの内容の対応情報については、あらかじめ、セキュリティ管理装置210などから送信されるなどして保持している。
図8では、運用ルール決定手段104が決定した、上流機器がセキュリティ強度2のときの運用ルールが示されている。運用ルールは、全体ルールから上位機器が検査しているルールを省き、必須ルールを加えたものである。ここでは、ルール番号2、11〜20、22〜28が運用ルールとなっている。これらのルールについて、2、11〜20、22〜28と上から順にルールを参照して到着パケットの検査を行い、マッチしたルールのポリシーに対応する処理を行う。
運用ルールの具体的な例としては、図9のルール番号1〜7、図10のルール番号101〜104にみられる様なプロトコル仕様に反したパケットによる不正アクセスについて、上流機器204で検知をサポートしている場合で、必須ルールがない場合には、機器201〜203では、これ以外のルールすなわち図9のルール番号8〜24および図10のルール番号105〜116を運用ルールとし、検査を行う。
他の例として、上流機器204で入力側ルール、すなわち図9のルールすべてを管理している場合で、必須ルールがない場合には、機器201〜203では、これ以外、すなわち図10で示した出力側ルールを運用ルールとし、検査を行う。
また、別の例として、トランスポート層以下のプロトコルに関するルールに該当する図9のルール番号1〜19および、図10の出力側ルール101〜111について、上流機器204で検知をサポートしている場合で、必須ルールがない場合には、機器201〜203では、これ以外のルールすなわち図9のルール番号20〜24、図10のルール番号112〜116を運用ルールとし、検査を行う。
さらに、別の例として、ポリシーが破棄または許可となっている図9のルール番号1〜14、図10のルール番号101〜111について、上流機器204で検知をサポートしている場合で、必須ルールがない場合には、機器201〜203では、これ以外のルールすなわちポリシーが通知である図9のルール番号15〜24、図10のルール番号112〜116を運用ルールとし、検査を行う。
以上に述べたように、セキュリティ管理装置210に上流機器207のセキュリティ強度の問い合わせを行い、運用ルールを決定する処理はたとえば、機器201が接続される際に行われ、接続環境に応じた運用ルールで不正アクセス検知処理を行うことができる。
セキュリティ管理装置210に対するセキュリティ強度の問い合わせは、定期的に行うなどすることができ、これによって、上流機器のセキュリティ強度が変更された場合にも自立的に追随可能な運用ルールとできる。
たとえば、機器201が、機器接続時にセキュリティ管理装置210に上流機器207のセキュリティ強度の問い合わせを行い、上流機器207のセキュリティ強度を受信する。そのセキュリティ強度が図5の4であるときには、上流機器207で検査されているルールはない。そこで、全体ルールとして管理されているルールすべてを運用ルールとして検査する。図11に、上位機器207がセキュリティ強度4のときの運用ルールの例を示した。その後、機器201は、定期的にセキュリティ強度の問い合わせを行う。上流機器207のファームウェアがバージョンアップされたり、セキュリティ設定の変更がなされたり、上流機器207が別のものと置き換えられたりなどして、上流機器207のセキュリティ強度が図5の1に変更された場合には、この定期的問い合わせにより受信した上位機器207のセキュリティ強度が1となる。そのときには、図12に上位機器207が図5のセキュリティ強度1のときの運用ルールの例を示したが、全ルールから、上流機器検査ルールを除くルールを運用ルールと変更を行い、機器201において入力パケットおよび出力パケットの検査を実施する。
(実施の形態2)
図13は、本発明の実施の形態2における不正アクセス検知装置が適用される機器が接続されているネットワーク構成例である。
図13において、1301〜1305は、不正アクセス検知装置が適用される機器を示す。機器1301〜1305には、図2の機器201〜203と同様に、不正アクセス検知装置がある。1306は、機器1301〜機器1303の上流機器である、上流機器2を示す。1307は、機器1304〜機器1305の上流機器である、上流機器3を示す。また、1308は、上流機器2(1306)および上流機器3(1307)が接続されている、さらに上流の上流機器1を示す。1309は、上流機器2(1306)および上流機器3(1307)と上流機器1(1308)が接続されているネットワークのセキュリティ機能を管理するセキュリティ管理装置1を示す。1310は、機器1301〜機器1303が接続されているネットワークのセキュリティ機能を管理するセキュリティ管理装置2を示す。1311は、機器1304〜機器1305が接続されているネットワークのセキュリティ機能を管理するセキュリティ管理装置3を示す。
図13では、機器1301〜機器1303の上流に接続されている上流機器2(1306)の上流に上流機器1(1308)というように、上流機器が多段に接続されており、機器1301〜機器1303と、上流機器1(1308)の上流にある機器と通信を行う際に、上流機器1(1308)、上流機器2(1306)および機器1301〜機器1303でそれぞれ通信されるパケットについて不正アクセス検知処理を行う。
このような場合、セキュリティ管理装置2(1310)は、機器1301におけるセキュリティ強度問い合わせ手段101からのセキュリティ強度問い合わせに応じて、上流機器2(1306)及びその上流の上流機器1(1308)を併せて実現できているセキュリティ強度情報を送信する。送信されたセキュリティ強度情報を用いて、機器1301における運用ルールを決定し、不正アクセス検知処理を行う。
また、上流機器2(1306)においても、図1に示す様な不正アクセス検知装置を保持し、上流機器1(1308)に接続されているセキュリティ管理装置1(1309)により、上流機器2(1306)に対し、上流機器1(1308)でのセキュリティ強度情報を送信し、これをもとに、上流機器2での運用ルールを決定し、不正アクセス検知処理を行う。これは、また、上流機器1(1308)の上流にさらに上流機器が存在する場合も同様である。
以上の様な多段接続構成の場合も、実施の形態1に示した例と同様に、ルール、ポリシー、セキュリティ強度情報、上流機器のセキュリティ強度をセキュリティ管理装置1(1309)、セキュリティ管理装置2(1310)、セキュリティ管理装置3(1311)で管理し、ルール、ポリシー、全体ルール、必須ルール、運用ルールを不正アクセス検知装置で管理しており、上流機器のセキュリティ強度情報を用いて運用ルールを決定し、不正アクセス検知処理をおこなうことができる。
また、図13では、セキュリティ管理装置1(1309)は上流機器1(1308)と切り離して記述したが、上流機器1(1308)の1機能として存在する場合も含む。同様に、セキュリティ管理装置2(1310)は上流機器2(1306)の1機能として、セキュリティ管理装置3(1311)は上流機器3(1307)の1機能として存在する場合も含む。
以上、本発明の実施の形態について説明したが、上記で説明したルールの内容、ポリシーはあくまでも一例であり、これに限定されない。たとえば、パケットサイズを限定した条件のものや、ICMPパケットのタイプを指定した条件のものなど、様々なルールが想定される。ルールとして設定例を挙げた不正アクセスのパターンについても、例以外に様々なものが存在し、これについては限定しない。ポリシーとしても、ログに記録など実施の形態で示したポリシー以外に様々なポリシーが想定される。
また、上流機器207で検査しているルールで、機器201〜203における全体ルールに含まれないルールの種類が存在する場合も考えられうる。
上流機器207で検査しているルールの種類と、機器201での運用ルールの分担については、あくまでも例をあげたにすぎず、これについては限定しない。
セキュリティ強度管理手段401では、上流機器207がもつルールのリストを、上流機器207に問い合わせるなどしてあらかじめ入手し、入手した上流機器207のルールのリストを、セキュリティ強度管理手段401で管理している情報と比較し、上流機器207のセキュリティ強度を決定するとしたが、上流機器207からセキュリティ強度の情報そのものが送信される場合もあり、上流機器207のセキュリティ強度を得る方法については限定しない。
運用ルール決定手段104では、上流機器207のセキュリティ強度と、上流機器207が検査するルールの内容の対応情報については、あらかじめ、セキュリティ管理装置210などから送信されるなどして保持していると記述したが、セキュリティ管理装置210から送信される場合に限定されない。あらかじめ機器自身が保持している場合もあり、また、セキュリティ強度情報がルール情報とポリシー情報そのものである場合もあり、上記実施例に限定されない。
図6、図7で示したメッセージのフォーマットはあくまでも一例であり、実施の形態で説明した項目が含まれたメッセージであれば、各項目の記載順序などはこれに限定されない。
かかる構成によれば、上流機器のセキュリティ強度の情報を問い合わせるセキュリティ強度問い合わせ手段と、機器で送受信するパケットが、機器内部または上流機器で検査されなければならないルール全体を管理する全体ルール管理手段と、上流機器のセキュリティ強度の情報を問い合わせた結果、送信されたセキュリティ強度情報をもとに、検査を省略するルール、運用中に参照するルールを決定する運用ルール決定手段を備えることにより、上流機器の状況に応じて自身のルールを変更することができ、上流機器で検査しているルールを機器で重複して検査することを回避できる。結果として機器で検査するルールが必要最小限となり、検査処理の負荷を最小限に抑えることが可能となる。
本発明の不正アクセス検知システムは、通信ネットワーク上の機器で、クライアント機器等、並列処理による負荷分散ができない機器を含めて、リソースが限られた機器において有効である。
本発明の実施の形態1における不正アクセス検知装置204の機能構成図 本発明の実施の形態1における不正アクセス検知装置が適用される機器が接続されているネットワーク構成例を示す図 本発明の実施の形態1における運用ルール決定手段104の動作を示す図 本発明の実施の形態1におけるセキュリティ管理装置210の機能構成図 本発明の実施の形態1におけるセキュリティ強度管理手段401で管理するルールの内容、ポリシーとセキュリティ強度の対応表を示す図 本発明の実施の形態1におけるセキュリティ強度問い合わせ手段101がセキュリティ管理装置210に対して、上流機器のセキュリティ強度の問い合わせを行う場合のメッセージの例を示す図 本発明の実施の形態1におけるセキュリティ強度問い合わせ手段101がセキュリティ管理装置210に対して、上流機器のセキュリティ強度の問い合わせを行った結果として送信されるセキュリティ強度情報通知メッセージの例を示す図 本発明の実施の形態1における全体ルール管理手段103で管理する全体ルールと運用ルール決定手段104が決定する運用ルールの管理の例を示す図 本発明の実施の形態1における入力パケットの検査に用いるルールの例を示す図 本発明の実施の形態1における出力パケットの検査に用いるルールの例を示す図 本発明の実施の形態1における上位機器207が図5のセキュリティ強度4のときの運用ルールの例を示す図 本発明の実施の形態1における上位機器207が図5のセキュリティ強度1のときの運用ルールの例を示す図 本発明の実施の形態2における不正アクセス検知装置が適用される機器および上流機器が多段で接続されているネットワーク構成例を示す図
符号の説明
101 セキュリティ強度問い合わせ手段
102 必須ルール管理手段
103 全体ルール管理手段
104 運用ルール決定手段
105 不正アクセス検知手段
201〜203 機器
204〜206 不正アクセス検知装置
207 上流機器
208 外部ネットワーク
209 内部ネットワーク
210 セキュリティ管理装置
401 セキュリティ強度管理手段
402 セキュリティ強度送信手段
601 メッセージ全体
602 宛先が格納されている領域
603 送信元が格納されている領域
604 メッセージ識別子が格納されている領域
701 メッセージ全体
702 宛先が格納されている領域
703 送信元が格納されている領域
704 メッセージ識別子が格納されている領域
705 セキュリティ強度情報が格納されている領域
1301〜1305 機器
1306 上流機器2
1307 上流機器3
1308 上流機器1
1309 セキュリティ管理装置1
1310 セキュリティ管理装置2
1311 セキュリティ管理装置3

Claims (10)

  1. 単数または複数の上流機器と、機器とが接続され、前記機器は前記上流機器を介した通信を行うネットワークにおいて、
    前記上流機器のセキュリティ強度の情報を問い合わせるセキュリティ強度問い合わせ手段と、前記機器で送受信するパケットが、前記機器内部または前記上流機器で検査されなければならないルール全体を管理する全体ルール管理手段と、前記上流機器のセキュリティ強度の情報を問い合わせた結果、送信されたセキュリティ強度情報をもとに、検査を省略するルール、運用中に参照するルールを決定する運用ルール決定手段と、運用中に参照するとしたルールを参照して、不正アクセスの検知を実行する不正アクセス検知手段を備えたことを特徴とする前記機器における不正アクセス検知装置。
  2. 前記上流機器では不正アクセスのパターンの破棄ルールが設定されており、前記機器では、前記上流機器のセキュリティ強度情報を受信すると、不正アクセスのパターンの破棄ルールは設定せず、使用している条件のパケットの通過ルールまたは、到着パケットが特定の条件をみたした場合の通知ルールを運用ルールとして設定し、不正アクセスの検知を実行することを特徴とする請求項1に記載の不正アクセス検知装置。
  3. 前記上流機器では前記機器への入力パケットに関するルールが設定されており、前記機器では、前記上流機器のセキュリティ強度情報を受信すると、機器からの出力パケットに関するルールを運用ルールとして設定し、不正アクセスの検知を実行することを特徴とする請求項1に記載の不正アクセス検知装置。
  4. 前記上流機器では、所定のレイヤに関するルールが設定されており、前記機器では、前記上流機器のセキュリティ強度情報を受信すると、前記上流機器で設定されていないレイヤのルールを運用ルールとして設定し、不正アクセスの検知を実行することを特徴とする請求項1に記載の不正アクセス検知装置。
  5. 前記上流機器では、ルールに記載された条件に一致したときに行われる処理を示すポリシーで、所定のポリシーに関するルールが設定されており、前記機器では、前記上流機器のセキュリティ強度情報を受信すると、前記上流機器で設定されていないポリシーのルールを運用ルールとして設定し、不正アクセスの検知を実行することを特徴とする請求項1に記載の不正アクセス検知装置。
  6. 前記機器では、必ず検査しなければならない必須ルールを管理する必須ルール管理手段を設けることを特徴とする請求項1に記載の不正アクセス検知装置。
  7. 前記機器は、前記セキュリティ管理装置に、受信したセキュリティ強度に対応するルールの情報を問い合わせ、前記上流機器でチェックされているルールを特定することを特徴とする請求項1記載の不正アクセス検知装置。
  8. 前記セキュリティ強度の情報は、ルールの情報であることを特徴とする請求項1に記載の不正アクセス検知装置。
  9. 単数または複数の上流機器と、機器と、セキュリティ管理装置が接続され、前記機器は前記上流機器を介した通信を行うネットワークにおいて、
    セキュリティ強度情報とこれに対応するルールの情報を管理するセキュリティ強度管理手段と、前記上流機器がもつルールの情報から、セキュリティ強度を決定し、前記機器からのセキュリティ強度問い合わせに応じて指定された前記上流機器のセキュリティ強度情報を前記機器に送信するセキュリティ強度送信手段を備えたことを特徴とするセキュリティ管理装置。
  10. 単数または複数の上流機器と、機器と、セキュリティ管理装置が接続され、前記機器は前記上流機器を介した通信を行うネットワークにおいて、
    前記セキュリティ管理装置は、セキュリティ強度情報とこれに対応するルールのリストを管理し、上流機器がもつルールの情報から、セキュリティ強度を決定し、機器からのセキュリティ強度問い合わせに応じてセキュリティ強度の情報を送信し、
    前記機器は、セキュリティ管理装置に前記上流機器のセキュリティ強度の問い合わせをし、
    通知されたセキュリティ強度の情報に基づき、検査を省略するルール、運用中に参照するルールを決定することを特徴とする不正アクセス検知システム。
JP2007164607A 2007-06-22 2007-06-22 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム Pending JP2009005122A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007164607A JP2009005122A (ja) 2007-06-22 2007-06-22 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007164607A JP2009005122A (ja) 2007-06-22 2007-06-22 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム

Publications (1)

Publication Number Publication Date
JP2009005122A true JP2009005122A (ja) 2009-01-08

Family

ID=40321019

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007164607A Pending JP2009005122A (ja) 2007-06-22 2007-06-22 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム

Country Status (1)

Country Link
JP (1) JP2009005122A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011188071A (ja) * 2010-03-05 2011-09-22 Nec Corp 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム
JP2012080504A (ja) * 2010-10-06 2012-04-19 Canon Inc 画像形成装置、画像形成装置の制御方法、及びプログラム
JP2016506115A (ja) * 2012-11-27 2016-02-25 シマンテック コーポレーションSymantec Corporation ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのシステム及び方法
WO2021111687A1 (ja) * 2019-12-02 2021-06-10 株式会社日立製作所 制御機器ネットワーク用ルール管理装置および制御機器ネットワーク用ルール管理方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011188071A (ja) * 2010-03-05 2011-09-22 Nec Corp 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム
JP2012080504A (ja) * 2010-10-06 2012-04-19 Canon Inc 画像形成装置、画像形成装置の制御方法、及びプログラム
JP2016506115A (ja) * 2012-11-27 2016-02-25 シマンテック コーポレーションSymantec Corporation ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのシステム及び方法
WO2021111687A1 (ja) * 2019-12-02 2021-06-10 株式会社日立製作所 制御機器ネットワーク用ルール管理装置および制御機器ネットワーク用ルール管理方法

Similar Documents

Publication Publication Date Title
US9392002B2 (en) System and method of providing virus protection at a gateway
US10187422B2 (en) Mitigation of computer network attacks
US7937761B1 (en) Differential threat detection processing
EP2612488B1 (en) Detecting botnets
US7703138B2 (en) Use of application signature to identify trusted traffic
US7835348B2 (en) Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
US7564837B2 (en) Recording medium recording a network shutdown control program, and network shutdown device
US20070022468A1 (en) Packet transmission equipment and packet transmission system
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
JP2010532633A (ja) ネットワークスイッチにおけるポートリダイレクトのための方法及びメカニズム
US20070166051A1 (en) Repeater, repeating method, repeating program, and network attack defending system
JP2006350561A (ja) 攻撃検出装置
EP2845349B1 (en) Network access apparatus having a control module and a network access module
JP2017204721A (ja) セキュリティシステム
US20050259657A1 (en) Using address ranges to detect malicious activity
JP2009005122A (ja) 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
CN1983955A (zh) 对非法报文的监控方法及监控系统
JP7060800B2 (ja) 感染拡大攻撃検知システム及び方法、並びに、プログラム
JP2014036408A (ja) 通信装置、通信システム、通信方法、および、通信プログラム
JP2008011008A (ja) 不正アクセス防止システム
JP6476530B2 (ja) 情報処理装置、方法およびプログラム
JP2006325091A (ja) ネットワーク攻撃防御システム
WO2019035313A1 (ja) 不正侵入防止装置、不正侵入防止方法、およびプログラム
KR20070073293A (ko) 다중 포트를 지원하는 침입 방지 시스템 및 그 침입 방지 방법
US20230129367A1 (en) Method of analysing anomalous network traffic