JP2018157368A - Detection information distribution system - Google Patents
Detection information distribution system Download PDFInfo
- Publication number
- JP2018157368A JP2018157368A JP2017052405A JP2017052405A JP2018157368A JP 2018157368 A JP2018157368 A JP 2018157368A JP 2017052405 A JP2017052405 A JP 2017052405A JP 2017052405 A JP2017052405 A JP 2017052405A JP 2018157368 A JP2018157368 A JP 2018157368A
- Authority
- JP
- Japan
- Prior art keywords
- detection information
- detection
- unit
- packet
- distribution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、検知情報を配信する検知情報配信部と、不正パケットを検知する不正パケット検知部とを備える検知情報配信システムに関する。 The present invention relates to a detection information distribution system including a detection information distribution unit that distributes detection information and an illegal packet detection unit that detects illegal packets.
ネットワークを流れるパケットを監視し、システムへの不正侵入を検知する侵入検知システム(IDS:Intrusion Detection System)が知られている(特許文献1参照)。 An intrusion detection system (IDS: Intrusion Detection System) that monitors packets flowing through a network and detects unauthorized intrusion into the system is known (see Patent Document 1).
特許文献1の侵入検知システムでは、ネットワークを流れるパケットを、スイッチ装置を介してIDS装置が検知し、検知結果に基づいて、スイッチ装置がネートワークを流れるパケットを制御している。 In the intrusion detection system of Patent Document 1, an IDS device detects a packet flowing through a network via a switch device, and the switch device controls a packet flowing through a network based on a detection result.
しかしながら、特許文献1に示されるような侵入検知システムでは、通常、検知結果はシステム管理者に通知され、その後、端末の使用者に通知されるために、情報伝達に時間を要し、システムからの情報漏洩が発生するおそれがある。 However, in an intrusion detection system such as that disclosed in Patent Document 1, the detection result is normally notified to the system administrator and then to the user of the terminal. Information leakage may occur.
また、端末の使用者に検知結果を通知する場合には、使用者、端末の識別子として、メールアドレスやIPアドレスの取得が必要であるが、これら情報が一元管理されていないことが多く、管理者の負担が大きい。 In addition, in order to notify the user of the terminal of the detection result, it is necessary to obtain an e-mail address or an IP address as an identifier of the user and the terminal. However, such information is often not managed in a unified manner. The burden on the person is great.
本発明は、上記の課題を考慮してなされたものであって、簡便にシステムへの不正侵入の検知情報を配信し、また、管理者の負担を軽減できる検知情報配信システムを提供することを目的とする。 The present invention has been made in consideration of the above problems, and provides a detection information distribution system that can easily distribute detection information of unauthorized intrusion into the system and reduce the burden on the administrator. Objective.
本発明に係る検知情報配信システムは、検知情報を端末に配信する検知情報配信部と、不正パケットを検知する不正パケット検知部とを備え、前記不正パケット検知部は、不正パケットを検知した場合に前記検知情報配信部に検知情報を送信し、前記検知情報配信部は、受信した前記検知情報と配信データベース部とを照合し、前記照合結果に基づいて、前記検知情報を前記端末に配信することを特徴とする。 A detection information distribution system according to the present invention includes a detection information distribution unit that distributes detection information to a terminal, and an illegal packet detection unit that detects an illegal packet. When the illegal packet detection unit detects an illegal packet, The detection information is transmitted to the detection information distribution unit, and the detection information distribution unit collates the received detection information with a distribution database unit, and distributes the detection information to the terminal based on the collation result. It is characterized by.
前記検知情報配信システムにおいて、前記不正パケット検知部は、受信したパケットから不正検知又は異常検知の少なくとも一方を検知した場合に、前記不正パケットを検知したとすることを特徴とする。 In the detection information distribution system, the illegal packet detection unit detects the illegal packet when detecting at least one of illegal detection and abnormality detection from the received packet.
前記検知情報配信システムにおいて、前記配信データベース部は、前記検知情報の配信先が記憶される配信先テーブルを有し、前記検知情報配信部は、前記検知情報と前記配信先テーブルと照合し、前記照合結果に基づいて、前記検知情報を前記端末に配信することを特徴とする。 In the detection information distribution system, the distribution database unit includes a distribution destination table in which a distribution destination of the detection information is stored, and the detection information distribution unit collates the detection information with the distribution destination table, The detection information is distributed to the terminal based on a collation result.
前記検知情報配信システムにおいて、前記不正パケット検知部は、前記不正パケット検知部と異なる他の不正パケット検知部から不正パケットを検知した旨を受信した場合に、前記不正パケットを検知したとし、前記他の不正パケット検知部は、未使用のIPアドレスに対して、パケットが送信された場合に、前記不正パケットを検知したとすることを特徴とする。 In the detection information distribution system, the illegal packet detection unit detects that the illegal packet has been detected when the fact that an illegal packet has been detected from another illegal packet detection unit different from the illegal packet detection unit, and the other The illegal packet detection unit detects the illegal packet when a packet is transmitted to an unused IP address.
本発明の検知情報配信システムでは、検知情報を端末に配信する検知情報配信部と、不正パケットを検知する不正パケット検知部とを備え、前記不正パケット検知部は、不正パケットを検知した場合に前記検知情報配信部に検知情報を送信し、前記検知情報配信部は、受信した前記検知情報と配信データベース部とを照合し、前記照合結果に基づいて、前記検知情報を前記端末に配信することにより、簡便にシステムへの不正侵入の検知情報を配信できる。 The detection information distribution system of the present invention includes a detection information distribution unit that distributes detection information to a terminal, and an illegal packet detection unit that detects an illegal packet. When the illegal packet detection unit detects an illegal packet, By transmitting detection information to a detection information distribution unit, the detection information distribution unit collates the received detection information with a distribution database unit, and distributes the detection information to the terminal based on the collation result. The detection information of unauthorized intrusion to the system can be distributed easily.
また、前記検知情報配信システムにおいて、前記不正パケット検知部は、前記不正パケット検知部と異なる他の不正パケット検知部から不正パケットを検知した旨を受信した場合に、前記不正パケットを検知したとし、前記他の不正パケット検知部は、未使用のIPアドレスに対して、パケットが送信された場合に、前記不正パケットを検知したとすることにより、ダークネットに対するパケットの送信に対して、検知情報を端末に配信することができる。 Further, in the detection information distribution system, when the illegal packet detection unit detects that the illegal packet is detected from another illegal packet detection unit different from the illegal packet detection unit, The other illegal packet detection unit detects detection of the illegal packet when a packet is transmitted to an unused IP address. Can be distributed to terminals.
以下、本発明の実施形態について図面を参照して説明する。図1は、本発明の実施形態に係る検知情報配信システム10の説明図であり、図2は、検知情報配信部100の説明図であり、図3Aは、検知情報テーブル108の説明図であり、図3Bは、配信先テーブル110の説明図であり、図4は、不正パケット検知部200の説明図である。
Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is an explanatory diagram of a detection
<検知情報配信システム10の構成の説明>
検知情報配信部100は、端末20a〜20c(以下、適宜総称して「端末20」という)、L2スイッチ30、ファイアウォール40、端末60、70a、70b、検知情報配信部100及び不正パケット検知部200を備える。端末20、不正パケット検知部200は、公衆回線50を介して端末60、端末70a、70b(以下、適宜総称して「端末70」という)と通信可能である。端末20、60、70は、通信機能を有する端末である。
<Description of Configuration of Detection
The detection
L2スイッチ30は、ネットワークの中継機器である。また、ファイアウォール40は、端末20、不正パケット検知部200と端末60、70との通信に関するファイアーフォールである。公衆回線50は、例えば、インターネット等で構成される。
The
検知情報配信部100は、配信制御部102、配信通信部104及び配信データベース部106を備え、これらがバス112を介して相互に接続される。
The detection
配信制御部102は、CPU、ROM、RAMを備え、検知情報配信部100の全体の制御を行う制御部である。配信通信部104は、端末20、70及び不正パケット検知部200と通信する通信部である。
The
配信データベース部106は、検知情報テーブル108及び配信先テーブル110を備える。検知情報テーブル108には、不正パケット検知部200で検知される検知情報と、検知情報に応じて検知情報の識別子として付与されるトピック名が記憶される。図3Aでは、検知情報D1〜D4に対応して、この順番にトピック名がT1、T2、T2、T3と記憶されている。ここで、D2とD3は、同種類の検知情報であることからトピック名として、同一のD2が付与されている。
The
配信先テーブル110は、端末20、70が配信を希望するトピックの登録(subscribe)に関するテーブルである。具体的には、配信先テーブル110には、トピック名と、トピックに対して配信を希望する端末20、70の配信希望の有無が記憶されている。図3Bでは、トピックT1に対して、端末20a、20b、70a、70bが配信を希望し、登録されている。同様に、トピックT2に対して、端末20b、20c、70a、70bが配信を希望し、トピックT3に対して、端末20a、70a、70bが配信を希望し、登録されている。なお、図3Bでは、端末20、70のトピックの配信希望を○で表している。
The distribution destination table 110 is a table related to the topic subscription that the
不正パケット検知部200は、検知制御部202、検知通信部204及び検知データベース部206を備え、これらがバス212を介して相互に接続される。
The illegal
検知制御部202は、CPU、ROM、RAMを備え、不正パケット検知部200の全体の制御を行う制御部である。検知通信部204は、L2スイッチ30及び検知情報配信部100と通信する通信部である。
The
検知データベース部206は、不正検知テーブル208及び異常検知テーブル210を備える。不正検知テーブル208には、検知制御部202が、不正検知(シグネチャ検知:Signature detection)をするためのパケットパターンが記憶されている。具体的には、パケットから不正検知を検知するために、不正行為や異常状態の特徴情報であるシグネチャのパケットパターンが記憶されている。また、異常検知テーブル210には、検知制御部202が、異常検知(アノマリ検知:Anomaly detection)をするための基準情報が記憶されている。具体的には、パケットから異常検知を検知するために、正常状態におけるプロトコルの仕様、通信トラフィック、アプリケーションの動作等の基準となる基準情報が記憶されている。
The
<検知情報配信システム10の動作の説明>
次に、検知情報配信システム10の動作について、図5を用いて説明する。図5は、本発明の実施形態に係る検知情報配信システム10の処理手順の説明図である。
<Description of Operation of Detection
Next, operation | movement of the detection
まず、第三者の端末60からL2スイッチ30に接続する端末20にパケットが送信されたとする。
First, it is assumed that a packet is transmitted from a
L2スイッチ30は、受信したパケットを複製して、不正パケット検知部200に複製したパケットを送信する。不正パケット検知部200では、検知通信部204を介して、検知制御部202がパケットを受信する(ステップS1)。
The
検知制御部202は、受信したパケットを検知データベース部206が備える不正検知テーブル208、異常検知テーブル210に基づいて検知する(ステップS2)。検知制御部202は、受信したパケットを不正検知テーブル208に基づいた不正検知、又は受信したパケットを異常検知テーブル210に基づいた異常検知の少なくとも一方を検知した場合には、受信したパケットを不正パケットと判断する。検知制御部202は、検知情報として、検知情報D1を検知したとする。
The
検知制御部202は、不正パケットを検知した場合には、不正パケットの受信時刻、不正パケットの不正検知、異常検知を検知情報として、検知通信部204を介して、検知情報配信部100に送信(publish)する(ステップS3)。
When detecting the illegal packet, the
配信制御部102は、配信通信部104を介して受信した検知情報である検知情報D1と、検知情報テーブル108に記憶されている検知情報とを照合して、トピック名を特定する(ステップS4)。かかる場合には、配信制御部102は、受信した検知情報D1に対して、検知情報テーブル108から検知情報D1に対応するトピックT1を特定する。
The
配信制御部102は、特定したトピック名と、配信先テーブル110に記憶されているトピック名とを照合し、配信を希望する端末を特定する(ステップS5)。具体的には、配信制御部102は、配信先テーブル110からトピックT1の配信を希望する端末20a、20b、端末70a、70bを特定する。
The
配信制御部102は、配信通信部104を介して、検知情報を端末に配信する(ステップS6)。具体的には、配信制御部102は、配信通信部104を介して、検知情報D1を端末20a、20b、端末70a、70bに配信する。
The
端末20a、20b、70a、70bは、検知情報配信部100から送信されてきた検知情報を受信する(ステップS7)。
The
検知情報配信システム10は、検知情報を端末20、70配信する検知情報配信部100と、不正パケットを検知する不正パケット検知部200とを備え、前記不正パケット検知部200は、不正パケットを検知した場合に前記検知情報配信部100に検知情報を送信し、前記検知情報配信部100は、受信した前記検知情報と配信データベース部106とを照合し、前記照合結果に基づいて、前記検知情報を端末20に配信することにより、簡便にシステムへの不正侵入の検知情報を配信し、また、管理者の負担を軽減できる。
The detection
検知情報配信システム10において、前記不正パケット検知部200は、受信したパケットから不正検知又は異常検知の少なくとも一方を検知した場合に、前記不正パケットを検知したとする。
In the detection
検知情報配信システム10において、前記配信データベース部106は、前記検知情報の配信先が記憶される配信先テーブル110を有し、前記検知情報配信部100は、前記検知情報と前記配信先テーブル110と照合し、前記照合結果に基づいて、前記検知情報を前記端末20に配信する。
In the detection
<検知情報配信システム10Aの構成及び動作の説明>
次に、本発明の実施形態の変形例について図面を参照して説明する。図6は、本発明の実施形態の変形例に係る検知情報配信システム10Aの説明図である。なお、検知情報配信システム10の構成要素と同一の機能を有する構成要素には、同一の参照符号を付し、詳細な説明は省略する。
<Description of Configuration and Operation of Detection
Next, a modification of the embodiment of the present invention will be described with reference to the drawings. FIG. 6 is an explanatory diagram of a detection
検知情報配信システム10Aは、検知情報配信システム10に対して、ネットワーク300A内に端末20d、不正パケット検知部200Aを備える。端末20dは、端末20と同様な端末である。また、不正パケット検知部200Aは、不正パケット検知部200と同様の機能を有し、さらに、ネットワーク300A内のいわゆるダークネットへのパケットの送信を検知する機能を有する。ここで、ダークネットとは、ネートワーク内で未使用IPアドレスの空間をいう。
The detection
また、検知情報配信システム10Aにおいて、端末20、L2スイッチ30、ファイアウォール40、端末70b、検知情報配信部100及び不正パケット検知部200は、同一のネットワーク300に属するとする。
Further, in the detection
検知情報配信システム10Aの動作は、基本的には検知情報配信システム10のステップS1〜S7と同様である。まず、ステップS1において、不正パケット検知部200Aはパケットを受信する。
The operation of the detection
次に、ステップS1において、不正パケット検知部200Aは、受信したパケットを検知する。ここで、受信したパケットは、ネットワーク300内の端末20aから送信されたとする。また、端末20aは、マルウェア等に感染して、ネットワーク300Aのダークネットに対して、パケットを送信しているとする。
Next, in step S1, the illegal
ステップS3において、不正パケット検知部200Aは、ダークネットに対して送信されたパケットは、不正パケットであると判断し、その旨を検知情報配信部100に送信する。以下の処理は、ステップS4〜S7は、検知情報配信システム10と同様である。結果として、検知情報が、トピックの配信を希望していた端末20、70に配信される。
In step S <b> 3, the illegal
検知情報配信システム10において、前記不正パケット検知部200は、前記不正パケット検知部200と異なる他の不正パケット検知部200から不正パケットを検知した旨を受信した場合に、前記不正パケットを検知したとし、前記他の不正パケット検知部200は、未使用のIPアドレスに対して、パケットが送信された場合に、前記不正パケットを検知したとすることにより、ダークネットに対するパケットの送信に対して、検知情報を端末20、70に配信することができる。
In the detection
なお、本発明は、上述の実施形態に限らず、本発明の要旨を逸脱することなく、種々の構成を採り得ることはもちろんである。 It should be noted that the present invention is not limited to the above-described embodiment, and various configurations can be adopted without departing from the gist of the present invention.
例えば、上述の実施形態では、ステップS1においては、組織外の端末60から公衆回線50を介して送信されたパケットを受信しているが、不正パケット検知部200で受信されるパケットは、これに限定されるものではない。例えば、同一の組織内のネットワークに属する端末20から送信されるパケットであってもよい。
For example, in the above-described embodiment, a packet transmitted from the terminal 60 outside the organization via the
また、検知情報配信システム10、10Aにおいては、ファイアウォール40の設置場所は、組織内のネットワーク内外のいずれでもよい。
In the detection
10、10A…検知情報配信システム
20、60、70…端末
30…L2スイッチ
40…ファイアウォール
50…公衆回線
100…検知情報配信部
102…配信制御部
104…配信通信部
106…配信データベース部
108…検知情報テーブル
110…配信先テーブル
112、212…バス
200…不正パケット検知部
202…検知制御部
204…検知通信部
206…検知データベース部
208…不正検知テーブル
210…異常検知テーブル
300、300A…ネットワーク
DESCRIPTION OF
Claims (4)
不正パケットを検知する不正パケット検知部とを備え、
前記不正パケット検知部は、不正パケットを検知した場合に前記検知情報配信部に検知情報を送信し、
前記検知情報配信部は、受信した前記検知情報と配信データベース部とを照合し、前記照合結果に基づいて、前記検知情報を前記端末に配信する
ことを特徴とする検知情報配信システム。 A detection information distribution unit for distributing detection information to the terminal;
An illegal packet detector for detecting illegal packets,
The illegal packet detection unit transmits detection information to the detection information distribution unit when an illegal packet is detected,
The detection information distribution unit collates the received detection information with a distribution database unit, and distributes the detection information to the terminal based on the comparison result.
前記不正パケット検知部は、受信したパケットから不正検知又は異常検知の少なくとも一方を検知した場合に、前記不正パケットを検知したとすることを特徴とする検知情報配信システム。 In the detection information distribution system according to claim 1,
The detection information distribution system, wherein the illegal packet detection unit detects the illegal packet when detecting at least one of illegal detection and abnormality detection from the received packet.
前記配信データベース部は、前記検知情報の配信先が記憶される配信先テーブルを有し、
前記検知情報配信部は、前記検知情報と前記配信先テーブルと照合し、前記照合結果に基づいて、前記検知情報を前記端末に配信する
ことを特徴とする検知情報配信システム。 In the detection information distribution system according to claim 1 or 2,
The distribution database unit has a distribution destination table in which distribution destinations of the detection information are stored,
The detection information distribution unit compares the detection information with the distribution destination table, and distributes the detection information to the terminal based on the comparison result.
前記不正パケット検知部は、前記不正パケット検知部と異なる他の不正パケット検知部から不正パケットを検知した旨を受信した場合に、前記不正パケットを検知したとし、
前記他の不正パケット検知部は、未使用のIPアドレスに対して、パケットが送信された場合に、前記不正パケットを検知したとする
ことを特徴とする検知情報配信システム。 In the detection information delivery system according to any one of claims 1 to 3,
When the illegal packet detection unit detects that the illegal packet is detected from another illegal packet detection unit different from the illegal packet detection unit,
The other illegal packet detection unit detects the illegal packet when a packet is transmitted to an unused IP address.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017052405A JP2018157368A (en) | 2017-03-17 | 2017-03-17 | Detection information distribution system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017052405A JP2018157368A (en) | 2017-03-17 | 2017-03-17 | Detection information distribution system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2018157368A true JP2018157368A (en) | 2018-10-04 |
Family
ID=63716826
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017052405A Pending JP2018157368A (en) | 2017-03-17 | 2017-03-17 | Detection information distribution system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2018157368A (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004146931A (en) * | 2002-10-22 | 2004-05-20 | Toshiba Corp | Packet transfer apparatus and information notice method at illegitimate access detection by the packet transfer apparatus |
JP2006067279A (en) * | 2004-08-27 | 2006-03-09 | Matsushita Electric Ind Co Ltd | Intrusion detection system and communication equipment |
JP2010161488A (en) * | 2009-01-06 | 2010-07-22 | National Institute Of Information & Communication Technology | Network monitoring system and method therefor |
-
2017
- 2017-03-17 JP JP2017052405A patent/JP2018157368A/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004146931A (en) * | 2002-10-22 | 2004-05-20 | Toshiba Corp | Packet transfer apparatus and information notice method at illegitimate access detection by the packet transfer apparatus |
JP2006067279A (en) * | 2004-08-27 | 2006-03-09 | Matsushita Electric Ind Co Ltd | Intrusion detection system and communication equipment |
JP2010161488A (en) * | 2009-01-06 | 2010-07-22 | National Institute Of Information & Communication Technology | Network monitoring system and method therefor |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10135829B2 (en) | System and method for secure machine-to-machine communications | |
AU2009276580B2 (en) | Network architecture for secure data communications | |
JPWO2007116605A1 (en) | Communication terminal device, rule distribution device, and program | |
US10904265B2 (en) | System, method and computer readable medium for message authentication to subscribers of an internet service provider | |
CN110995873A (en) | Gateway service interface discovery method, system, electronic device and storage medium | |
EP2654242B1 (en) | Device management method and apparatus | |
US9590935B2 (en) | Cross-carrier device identification and policy application | |
CN108667601A (en) | A kind of method, apparatus and equipment of transmission data | |
CN106254338A (en) | Message detecting method and device | |
KR101453334B1 (en) | Network information processing system, network information processing apparatus, and information processing method | |
CA3152253A1 (en) | Network cyber-security platform | |
KR101088867B1 (en) | Network switch and security notification method therein | |
EP1993245A1 (en) | A system and method for realizing message service | |
JP2018157368A (en) | Detection information distribution system | |
JP6476530B2 (en) | Information processing apparatus, method, and program | |
CN104426792A (en) | Scheduler support ability query method, scheduler support ability notification method and scheduler support ability query device | |
US20100263019A1 (en) | Secure exchange of messages | |
US20130318605A1 (en) | System for detecting rogue network protocol service providers | |
EP2424292B1 (en) | Method and system with improved disaster recovery capability | |
JP2007274086A (en) | Access control method and access control system | |
US20060098656A1 (en) | Access multiplexer system for performing a stateless auto-configuration process | |
KR20100078586A (en) | Subscriber profile repository system and method for having proxy function in mobile communication system | |
KR20060080779A (en) | A method for alarm acknowledgement status management between agent and many network management systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200227 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201112 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201120 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20210513 |