JP2018157368A - Detection information distribution system - Google Patents

Detection information distribution system Download PDF

Info

Publication number
JP2018157368A
JP2018157368A JP2017052405A JP2017052405A JP2018157368A JP 2018157368 A JP2018157368 A JP 2018157368A JP 2017052405 A JP2017052405 A JP 2017052405A JP 2017052405 A JP2017052405 A JP 2017052405A JP 2018157368 A JP2018157368 A JP 2018157368A
Authority
JP
Japan
Prior art keywords
detection information
detection
unit
packet
distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017052405A
Other languages
Japanese (ja)
Inventor
一郎 嶌田
Ichiro Shimada
一郎 嶌田
敏史 太田
Satoshi Ota
敏史 太田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kozo Keikaku Engineering Inc
Original Assignee
Kozo Keikaku Engineering Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kozo Keikaku Engineering Inc filed Critical Kozo Keikaku Engineering Inc
Priority to JP2017052405A priority Critical patent/JP2018157368A/en
Publication of JP2018157368A publication Critical patent/JP2018157368A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a detection information distribution system capable of simply distributing detection information on illegal intrusion to the system and reducing a burden on a manager.SOLUTION: A detection information distribution system includes: a detection information distribution unit 100 for distributing detection information to a terminal 20; and an unauthorized packet detection unit 200 for detecting an unauthorized packet. The unauthorized packet detection unit 200 transmits the detection information to the detection information distribution unit 100 upon detecting an unauthorized packet, and the detection information distribution unit 100 checks the received detection information with a distribution database unit 106, distributes the detection information to the terminal 20 on the basis of a result of the check, and thereby can simply distribute the detection information on illegal intrusion to the system and reduce a burden on a manager.SELECTED DRAWING: Figure 1

Description

本発明は、検知情報を配信する検知情報配信部と、不正パケットを検知する不正パケット検知部とを備える検知情報配信システムに関する。   The present invention relates to a detection information distribution system including a detection information distribution unit that distributes detection information and an illegal packet detection unit that detects illegal packets.

ネットワークを流れるパケットを監視し、システムへの不正侵入を検知する侵入検知システム(IDS:Intrusion Detection System)が知られている(特許文献1参照)。   An intrusion detection system (IDS: Intrusion Detection System) that monitors packets flowing through a network and detects unauthorized intrusion into the system is known (see Patent Document 1).

特許文献1の侵入検知システムでは、ネットワークを流れるパケットを、スイッチ装置を介してIDS装置が検知し、検知結果に基づいて、スイッチ装置がネートワークを流れるパケットを制御している。   In the intrusion detection system of Patent Document 1, an IDS device detects a packet flowing through a network via a switch device, and the switch device controls a packet flowing through a network based on a detection result.

特開2016−5138号公報Japanese Patent Laid-Open No. 2006-5138

しかしながら、特許文献1に示されるような侵入検知システムでは、通常、検知結果はシステム管理者に通知され、その後、端末の使用者に通知されるために、情報伝達に時間を要し、システムからの情報漏洩が発生するおそれがある。   However, in an intrusion detection system such as that disclosed in Patent Document 1, the detection result is normally notified to the system administrator and then to the user of the terminal. Information leakage may occur.

また、端末の使用者に検知結果を通知する場合には、使用者、端末の識別子として、メールアドレスやIPアドレスの取得が必要であるが、これら情報が一元管理されていないことが多く、管理者の負担が大きい。   In addition, in order to notify the user of the terminal of the detection result, it is necessary to obtain an e-mail address or an IP address as an identifier of the user and the terminal. However, such information is often not managed in a unified manner. The burden on the person is great.

本発明は、上記の課題を考慮してなされたものであって、簡便にシステムへの不正侵入の検知情報を配信し、また、管理者の負担を軽減できる検知情報配信システムを提供することを目的とする。   The present invention has been made in consideration of the above problems, and provides a detection information distribution system that can easily distribute detection information of unauthorized intrusion into the system and reduce the burden on the administrator. Objective.

本発明に係る検知情報配信システムは、検知情報を端末に配信する検知情報配信部と、不正パケットを検知する不正パケット検知部とを備え、前記不正パケット検知部は、不正パケットを検知した場合に前記検知情報配信部に検知情報を送信し、前記検知情報配信部は、受信した前記検知情報と配信データベース部とを照合し、前記照合結果に基づいて、前記検知情報を前記端末に配信することを特徴とする。   A detection information distribution system according to the present invention includes a detection information distribution unit that distributes detection information to a terminal, and an illegal packet detection unit that detects an illegal packet. When the illegal packet detection unit detects an illegal packet, The detection information is transmitted to the detection information distribution unit, and the detection information distribution unit collates the received detection information with a distribution database unit, and distributes the detection information to the terminal based on the collation result. It is characterized by.

前記検知情報配信システムにおいて、前記不正パケット検知部は、受信したパケットから不正検知又は異常検知の少なくとも一方を検知した場合に、前記不正パケットを検知したとすることを特徴とする。   In the detection information distribution system, the illegal packet detection unit detects the illegal packet when detecting at least one of illegal detection and abnormality detection from the received packet.

前記検知情報配信システムにおいて、前記配信データベース部は、前記検知情報の配信先が記憶される配信先テーブルを有し、前記検知情報配信部は、前記検知情報と前記配信先テーブルと照合し、前記照合結果に基づいて、前記検知情報を前記端末に配信することを特徴とする。   In the detection information distribution system, the distribution database unit includes a distribution destination table in which a distribution destination of the detection information is stored, and the detection information distribution unit collates the detection information with the distribution destination table, The detection information is distributed to the terminal based on a collation result.

前記検知情報配信システムにおいて、前記不正パケット検知部は、前記不正パケット検知部と異なる他の不正パケット検知部から不正パケットを検知した旨を受信した場合に、前記不正パケットを検知したとし、前記他の不正パケット検知部は、未使用のIPアドレスに対して、パケットが送信された場合に、前記不正パケットを検知したとすることを特徴とする。   In the detection information distribution system, the illegal packet detection unit detects that the illegal packet has been detected when the fact that an illegal packet has been detected from another illegal packet detection unit different from the illegal packet detection unit, and the other The illegal packet detection unit detects the illegal packet when a packet is transmitted to an unused IP address.

本発明の検知情報配信システムでは、検知情報を端末に配信する検知情報配信部と、不正パケットを検知する不正パケット検知部とを備え、前記不正パケット検知部は、不正パケットを検知した場合に前記検知情報配信部に検知情報を送信し、前記検知情報配信部は、受信した前記検知情報と配信データベース部とを照合し、前記照合結果に基づいて、前記検知情報を前記端末に配信することにより、簡便にシステムへの不正侵入の検知情報を配信できる。   The detection information distribution system of the present invention includes a detection information distribution unit that distributes detection information to a terminal, and an illegal packet detection unit that detects an illegal packet. When the illegal packet detection unit detects an illegal packet, By transmitting detection information to a detection information distribution unit, the detection information distribution unit collates the received detection information with a distribution database unit, and distributes the detection information to the terminal based on the collation result. The detection information of unauthorized intrusion to the system can be distributed easily.

また、前記検知情報配信システムにおいて、前記不正パケット検知部は、前記不正パケット検知部と異なる他の不正パケット検知部から不正パケットを検知した旨を受信した場合に、前記不正パケットを検知したとし、前記他の不正パケット検知部は、未使用のIPアドレスに対して、パケットが送信された場合に、前記不正パケットを検知したとすることにより、ダークネットに対するパケットの送信に対して、検知情報を端末に配信することができる。   Further, in the detection information distribution system, when the illegal packet detection unit detects that the illegal packet is detected from another illegal packet detection unit different from the illegal packet detection unit, The other illegal packet detection unit detects detection of the illegal packet when a packet is transmitted to an unused IP address. Can be distributed to terminals.

本発明の実施形態に係る検知情報配信システムの説明図である。It is explanatory drawing of the detection information delivery system which concerns on embodiment of this invention. 検知情報配信部の説明図であり、It is explanatory drawing of a detection information distribution part, 図3Aは、検知情報テーブルの説明図であり、図3Bは、配信先テーブルの説明図である。FIG. 3A is an explanatory diagram of a detection information table, and FIG. 3B is an explanatory diagram of a distribution destination table. 不正パケット検知部の説明図である。It is explanatory drawing of a malicious packet detection part. 本発明の実施形態に検知情報配信システムの処理手順の説明図である。It is explanatory drawing of the process sequence of a detection information delivery system in embodiment of this invention. 本発明の実施形態の変形例に係る検知情報配信システムの説明図である。It is explanatory drawing of the detection information delivery system which concerns on the modification of embodiment of this invention.

以下、本発明の実施形態について図面を参照して説明する。図1は、本発明の実施形態に係る検知情報配信システム10の説明図であり、図2は、検知情報配信部100の説明図であり、図3Aは、検知情報テーブル108の説明図であり、図3Bは、配信先テーブル110の説明図であり、図4は、不正パケット検知部200の説明図である。   Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is an explanatory diagram of a detection information distribution system 10 according to an embodiment of the present invention, FIG. 2 is an explanatory diagram of a detection information distribution unit 100, and FIG. 3A is an explanatory diagram of a detection information table 108. 3B is an explanatory diagram of the distribution destination table 110, and FIG. 4 is an explanatory diagram of the illegal packet detection unit 200.

<検知情報配信システム10の構成の説明>
検知情報配信部100は、端末20a〜20c(以下、適宜総称して「端末20」という)、L2スイッチ30、ファイアウォール40、端末60、70a、70b、検知情報配信部100及び不正パケット検知部200を備える。端末20、不正パケット検知部200は、公衆回線50を介して端末60、端末70a、70b(以下、適宜総称して「端末70」という)と通信可能である。端末20、60、70は、通信機能を有する端末である。 <Description of Configuration of Detection Information Distribution System 10>
The detection information distribution unit 100 includes terminals 20a to 20c (hereinafter collectively referred to as “terminal 20” as appropriate), L2 switch 30, firewall 40, terminals 60, 70a and 70b, detection information distribution unit 100, and illegal packet detection unit 200. Is provided. The terminal 20 and the illegal packet detection unit 200 can communicate with the terminal 60 and the terminals 70a and 70b (hereinafter, collectively referred to as “terminal 70” as appropriate) through the public line 50. Terminals 20, 60, and 70 are terminals having a communication function.

L2スイッチ30は、ネットワークの中継機器である。また、ファイアウォール40は、端末20、不正パケット検知部200と端末60、70との通信に関するファイアーフォールである。公衆回線50は、例えば、インターネット等で構成される。   The L2 switch 30 is a network relay device. The firewall 40 is a firewall related to communication between the terminal 20, the illegal packet detection unit 200 and the terminals 60 and 70. The public line 50 is composed of, for example, the Internet.

検知情報配信部100は、配信制御部102、配信通信部104及び配信データベース部106を備え、これらがバス112を介して相互に接続される。   The detection information distribution unit 100 includes a distribution control unit 102, a distribution communication unit 104, and a distribution database unit 106, which are connected to each other via a bus 112.

配信制御部102は、CPU、ROM、RAMを備え、検知情報配信部100の全体の制御を行う制御部である。配信通信部104は、端末20、70及び不正パケット検知部200と通信する通信部である。   The distribution control unit 102 includes a CPU, a ROM, and a RAM, and is a control unit that controls the entire detection information distribution unit 100. The distribution communication unit 104 is a communication unit that communicates with the terminals 20 and 70 and the illegal packet detection unit 200.

配信データベース部106は、検知情報テーブル108及び配信先テーブル110を備える。検知情報テーブル108には、不正パケット検知部200で検知される検知情報と、検知情報に応じて検知情報の識別子として付与されるトピック名が記憶される。図3Aでは、検知情報D1〜D4に対応して、この順番にトピック名がT1、T2、T2、T3と記憶されている。ここで、D2とD3は、同種類の検知情報であることからトピック名として、同一のD2が付与されている。   The distribution database unit 106 includes a detection information table 108 and a distribution destination table 110. The detection information table 108 stores detection information detected by the illegal packet detection unit 200 and a topic name given as an identifier of the detection information according to the detection information. In FIG. 3A, topic names T1, T2, T2, and T3 are stored in this order corresponding to the detection information D1 to D4. Here, since D2 and D3 are the same type of detection information, the same D2 is assigned as the topic name.

配信先テーブル110は、端末20、70が配信を希望するトピックの登録(subscribe)に関するテーブルである。具体的には、配信先テーブル110には、トピック名と、トピックに対して配信を希望する端末20、70の配信希望の有無が記憶されている。図3Bでは、トピックT1に対して、端末20a、20b、70a、70bが配信を希望し、登録されている。同様に、トピックT2に対して、端末20b、20c、70a、70bが配信を希望し、トピックT3に対して、端末20a、70a、70bが配信を希望し、登録されている。なお、図3Bでは、端末20、70のトピックの配信希望を○で表している。   The distribution destination table 110 is a table related to the topic subscription that the terminals 20 and 70 desire to distribute. Specifically, the distribution destination table 110 stores topic names and whether or not the terminals 20 and 70 that desire distribution for the topics are requested to distribute. In FIG. 3B, the terminals 20a, 20b, 70a, and 70b are desired to be distributed and registered for the topic T1. Similarly, terminals 20b, 20c, 70a, and 70b desire distribution for topic T2, and terminals 20a, 70a, and 70b desire distribution for topic T3 and are registered. In FIG. 3B, the topic distribution request of the terminals 20 and 70 is indicated by ◯.

不正パケット検知部200は、検知制御部202、検知通信部204及び検知データベース部206を備え、これらがバス212を介して相互に接続される。   The illegal packet detection unit 200 includes a detection control unit 202, a detection communication unit 204, and a detection database unit 206, which are connected to each other via a bus 212.

検知制御部202は、CPU、ROM、RAMを備え、不正パケット検知部200の全体の制御を行う制御部である。検知通信部204は、L2スイッチ30及び検知情報配信部100と通信する通信部である。   The detection control unit 202 includes a CPU, a ROM, and a RAM, and is a control unit that controls the entire illegal packet detection unit 200. The detection communication unit 204 is a communication unit that communicates with the L2 switch 30 and the detection information distribution unit 100.

検知データベース部206は、不正検知テーブル208及び異常検知テーブル210を備える。不正検知テーブル208には、検知制御部202が、不正検知(シグネチャ検知:Signature detection)をするためのパケットパターンが記憶されている。具体的には、パケットから不正検知を検知するために、不正行為や異常状態の特徴情報であるシグネチャのパケットパターンが記憶されている。また、異常検知テーブル210には、検知制御部202が、異常検知(アノマリ検知:Anomaly detection)をするための基準情報が記憶されている。具体的には、パケットから異常検知を検知するために、正常状態におけるプロトコルの仕様、通信トラフィック、アプリケーションの動作等の基準となる基準情報が記憶されている。   The detection database unit 206 includes a fraud detection table 208 and an abnormality detection table 210. The fraud detection table 208 stores packet patterns for the detection control unit 202 to perform fraud detection (signature detection). Specifically, in order to detect fraud detection from a packet, a packet pattern of a signature that is characteristic information of fraudulent activity or abnormal state is stored. In addition, the abnormality detection table 210 stores reference information for the detection control unit 202 to perform abnormality detection (anomaly detection). Specifically, in order to detect anomaly detection from a packet, reference information serving as a reference such as protocol specifications, communication traffic, and application operation in a normal state is stored.

<検知情報配信システム10の動作の説明>
次に、検知情報配信システム10の動作について、図5を用いて説明する。図5は、本発明の実施形態に係る検知情報配信システム10の処理手順の説明図である。 <Description of Operation of Detection Information Distribution System 10>
Next, operation | movement of the detection information delivery system 10 is demonstrated using FIG. FIG. 5 is an explanatory diagram of a processing procedure of the detection information distribution system 10 according to the embodiment of the present invention.

まず、第三者の端末60からL2スイッチ30に接続する端末20にパケットが送信されたとする。   First, it is assumed that a packet is transmitted from a third party terminal 60 to the terminal 20 connected to the L2 switch 30.

L2スイッチ30は、受信したパケットを複製して、不正パケット検知部200に複製したパケットを送信する。不正パケット検知部200では、検知通信部204を介して、検知制御部202がパケットを受信する(ステップS1)。   The L2 switch 30 duplicates the received packet and transmits the duplicated packet to the illegal packet detection unit 200. In the illegal packet detection unit 200, the detection control unit 202 receives the packet via the detection communication unit 204 (step S1).

検知制御部202は、受信したパケットを検知データベース部206が備える不正検知テーブル208、異常検知テーブル210に基づいて検知する(ステップS2)。検知制御部202は、受信したパケットを不正検知テーブル208に基づいた不正検知、又は受信したパケットを異常検知テーブル210に基づいた異常検知の少なくとも一方を検知した場合には、受信したパケットを不正パケットと判断する。検知制御部202は、検知情報として、検知情報D1を検知したとする。   The detection control unit 202 detects the received packet based on the fraud detection table 208 and the abnormality detection table 210 included in the detection database unit 206 (step S2). If the detection control unit 202 detects at least one of fraud detection based on the fraud detection table 208 on the received packet or abnormality detection based on the abnormality detection table 210 on the received packet, the detection control unit 202 Judge. It is assumed that the detection control unit 202 detects the detection information D1 as detection information.

検知制御部202は、不正パケットを検知した場合には、不正パケットの受信時刻、不正パケットの不正検知、異常検知を検知情報として、検知通信部204を介して、検知情報配信部100に送信(publish)する(ステップS3)。   When detecting the illegal packet, the detection control unit 202 transmits the reception time of the illegal packet, the illegal detection of the illegal packet, and the abnormality detection to the detection information distribution unit 100 via the detection communication unit 204 ( publish) (step S3).

配信制御部102は、配信通信部104を介して受信した検知情報である検知情報D1と、検知情報テーブル108に記憶されている検知情報とを照合して、トピック名を特定する(ステップS4)。かかる場合には、配信制御部102は、受信した検知情報D1に対して、検知情報テーブル108から検知情報D1に対応するトピックT1を特定する。   The distribution control unit 102 collates the detection information D1, which is detection information received via the distribution communication unit 104, with the detection information stored in the detection information table 108, and specifies the topic name (step S4). . In such a case, the distribution control unit 102 identifies the topic T1 corresponding to the detection information D1 from the detection information table 108 for the received detection information D1.

配信制御部102は、特定したトピック名と、配信先テーブル110に記憶されているトピック名とを照合し、配信を希望する端末を特定する(ステップS5)。具体的には、配信制御部102は、配信先テーブル110からトピックT1の配信を希望する端末20a、20b、端末70a、70bを特定する。   The distribution control unit 102 collates the identified topic name with the topic name stored in the distribution destination table 110, and identifies a terminal that desires distribution (step S5). Specifically, the distribution control unit 102 specifies the terminals 20a and 20b and the terminals 70a and 70b that desire distribution of the topic T1 from the distribution destination table 110.

配信制御部102は、配信通信部104を介して、検知情報を端末に配信する(ステップS6)。具体的には、配信制御部102は、配信通信部104を介して、検知情報D1を端末20a、20b、端末70a、70bに配信する。   The distribution control unit 102 distributes the detection information to the terminal via the distribution communication unit 104 (step S6). Specifically, the distribution control unit 102 distributes the detection information D1 to the terminals 20a and 20b and the terminals 70a and 70b via the distribution communication unit 104.

端末20a、20b、70a、70bは、検知情報配信部100から送信されてきた検知情報を受信する(ステップS7)。   The terminals 20a, 20b, 70a, and 70b receive the detection information transmitted from the detection information distribution unit 100 (step S7).

検知情報配信システム10は、検知情報を端末20、70配信する検知情報配信部100と、不正パケットを検知する不正パケット検知部200とを備え、前記不正パケット検知部200は、不正パケットを検知した場合に前記検知情報配信部100に検知情報を送信し、前記検知情報配信部100は、受信した前記検知情報と配信データベース部106とを照合し、前記照合結果に基づいて、前記検知情報を端末20に配信することにより、簡便にシステムへの不正侵入の検知情報を配信し、また、管理者の負担を軽減できる。   The detection information distribution system 10 includes a detection information distribution unit 100 that distributes detection information to the terminals 20 and 70, and an illegal packet detection unit 200 that detects an illegal packet. The illegal packet detection unit 200 detects an illegal packet. In this case, the detection information distribution unit 100 transmits detection information to the detection information distribution unit 100. The detection information distribution unit 100 collates the received detection information with the distribution database unit 106, and based on the collation result, detects the detection information. By distributing to 20, the detection information of unauthorized intrusion into the system can be easily distributed, and the burden on the administrator can be reduced.

検知情報配信システム10において、前記不正パケット検知部200は、受信したパケットから不正検知又は異常検知の少なくとも一方を検知した場合に、前記不正パケットを検知したとする。   In the detection information distribution system 10, it is assumed that the illegal packet detection unit 200 detects the illegal packet when detecting at least one of illegal detection and abnormality detection from the received packet.

検知情報配信システム10において、前記配信データベース部106は、前記検知情報の配信先が記憶される配信先テーブル110を有し、前記検知情報配信部100は、前記検知情報と前記配信先テーブル110と照合し、前記照合結果に基づいて、前記検知情報を前記端末20に配信する。   In the detection information distribution system 10, the distribution database unit 106 includes a distribution destination table 110 in which the distribution destination of the detection information is stored. The detection information distribution unit 100 includes the detection information, the distribution destination table 110, and Collation is performed, and the detection information is distributed to the terminal 20 based on the collation result.

<検知情報配信システム10Aの構成及び動作の説明>
次に、本発明の実施形態の変形例について図面を参照して説明する。図6は、本発明の実施形態の変形例に係る検知情報配信システム10Aの説明図である。なお、検知情報配信システム10の構成要素と同一の機能を有する構成要素には、同一の参照符号を付し、詳細な説明は省略する。 <Description of Configuration and Operation of Detection Information Distribution System 10A>
Next, a modification of the embodiment of the present invention will be described with reference to the drawings. FIG. 6 is an explanatory diagram of a detection information distribution system 10A according to a modification of the embodiment of the present invention. Note that components having the same functions as those of the detection information distribution system 10 are denoted by the same reference numerals, and detailed description thereof is omitted.

検知情報配信システム10Aは、検知情報配信システム10に対して、ネットワーク300A内に端末20d、不正パケット検知部200Aを備える。端末20dは、端末20と同様な端末である。また、不正パケット検知部200Aは、不正パケット検知部200と同様の機能を有し、さらに、ネットワーク300A内のいわゆるダークネットへのパケットの送信を検知する機能を有する。ここで、ダークネットとは、ネートワーク内で未使用IPアドレスの空間をいう。   The detection information distribution system 10A is provided with a terminal 20d and an illegal packet detection unit 200A in the network 300A with respect to the detection information distribution system 10. The terminal 20d is a terminal similar to the terminal 20. The illegal packet detection unit 200A has a function similar to that of the illegal packet detection unit 200, and further has a function of detecting transmission of a packet to a so-called dark net in the network 300A. Here, the dark net is a space of an unused IP address in the network.

また、検知情報配信システム10Aにおいて、端末20、L2スイッチ30、ファイアウォール40、端末70b、検知情報配信部100及び不正パケット検知部200は、同一のネットワーク300に属するとする。   Further, in the detection information distribution system 10A, the terminal 20, the L2 switch 30, the firewall 40, the terminal 70b, the detection information distribution unit 100, and the illegal packet detection unit 200 are assumed to belong to the same network 300.

検知情報配信システム10Aの動作は、基本的には検知情報配信システム10のステップS1〜S7と同様である。まず、ステップS1において、不正パケット検知部200Aはパケットを受信する。   The operation of the detection information distribution system 10A is basically the same as steps S1 to S7 of the detection information distribution system 10. First, in step S1, the illegal packet detection unit 200A receives a packet.

次に、ステップS1において、不正パケット検知部200Aは、受信したパケットを検知する。ここで、受信したパケットは、ネットワーク300内の端末20aから送信されたとする。また、端末20aは、マルウェア等に感染して、ネットワーク300Aのダークネットに対して、パケットを送信しているとする。   Next, in step S1, the illegal packet detection unit 200A detects the received packet. Here, it is assumed that the received packet is transmitted from the terminal 20a in the network 300. Further, it is assumed that the terminal 20a is infected with malware or the like and transmits a packet to the dark net of the network 300A.

ステップS3において、不正パケット検知部200Aは、ダークネットに対して送信されたパケットは、不正パケットであると判断し、その旨を検知情報配信部100に送信する。以下の処理は、ステップS4〜S7は、検知情報配信システム10と同様である。結果として、検知情報が、トピックの配信を希望していた端末20、70に配信される。   In step S <b> 3, the illegal packet detection unit 200 </ b> A determines that the packet transmitted to the dark net is an illegal packet, and transmits that fact to the detection information distribution unit 100. In the following processing, steps S4 to S7 are the same as those in the detection information distribution system 10. As a result, the detection information is distributed to the terminals 20 and 70 that wished to distribute the topic.

検知情報配信システム10において、前記不正パケット検知部200は、前記不正パケット検知部200と異なる他の不正パケット検知部200から不正パケットを検知した旨を受信した場合に、前記不正パケットを検知したとし、前記他の不正パケット検知部200は、未使用のIPアドレスに対して、パケットが送信された場合に、前記不正パケットを検知したとすることにより、ダークネットに対するパケットの送信に対して、検知情報を端末20、70に配信することができる。   In the detection information distribution system 10, it is assumed that the illegal packet detection unit 200 detects the illegal packet when it receives information indicating that the illegal packet is detected from another illegal packet detection unit 200 different from the illegal packet detection unit 200. The other illegal packet detection unit 200 detects the packet transmission to the dark net by detecting the illegal packet when the packet is transmitted to an unused IP address. Information can be distributed to the terminals 20, 70.

なお、本発明は、上述の実施形態に限らず、本発明の要旨を逸脱することなく、種々の構成を採り得ることはもちろんである。   It should be noted that the present invention is not limited to the above-described embodiment, and various configurations can be adopted without departing from the gist of the present invention.

例えば、上述の実施形態では、ステップS1においては、組織外の端末60から公衆回線50を介して送信されたパケットを受信しているが、不正パケット検知部200で受信されるパケットは、これに限定されるものではない。例えば、同一の組織内のネットワークに属する端末20から送信されるパケットであってもよい。   For example, in the above-described embodiment, a packet transmitted from the terminal 60 outside the organization via the public line 50 is received in step S1, but the packet received by the illegal packet detection unit 200 is It is not limited. For example, it may be a packet transmitted from a terminal 20 belonging to a network in the same organization.

また、検知情報配信システム10、10Aにおいては、ファイアウォール40の設置場所は、組織内のネットワーク内外のいずれでもよい。   In the detection information distribution systems 10 and 10A, the installation location of the firewall 40 may be either inside or outside the network in the organization.

10、10A…検知情報配信システム
20、60、70…端末
30…L2スイッチ
40…ファイアウォール
50…公衆回線
100…検知情報配信部
102…配信制御部
104…配信通信部
106…配信データベース部
108…検知情報テーブル
110…配信先テーブル
112、212…バス
200…不正パケット検知部
202…検知制御部
204…検知通信部
206…検知データベース部
208…不正検知テーブル
210…異常検知テーブル
300、300A…ネットワーク DESCRIPTION OF SYMBOLS 10, 10A ... Detection information delivery system 20, 60, 70 ... Terminal 30 ... L2 switch 40 ... Firewall 50 ... Public line 100 ... Detection information delivery part 102 ... Delivery control part 104 ... Delivery communication part 106 ... Delivery database part 108 ... Detection Information table 110 ... Destination table 112, 212 ... Bus 200 ... Illegal packet detection unit 202 ... Detection control unit 204 ... Detection communication unit 206 ... Detection database unit 208 ... Illegal detection table 210 ... Abnormality detection table 300, 300A ... Network

Claims (4)

検知情報を端末に配信する検知情報配信部と、
不正パケットを検知する不正パケット検知部とを備え、
前記不正パケット検知部は、不正パケットを検知した場合に前記検知情報配信部に検知情報を送信し、
前記検知情報配信部は、受信した前記検知情報と配信データベース部とを照合し、前記照合結果に基づいて、前記検知情報を前記端末に配信する
ことを特徴とする検知情報配信システム。 A detection information distribution unit for distributing detection information to the terminal;
An illegal packet detector for detecting illegal packets,
The illegal packet detection unit transmits detection information to the detection information distribution unit when an illegal packet is detected,
The detection information distribution unit collates the received detection information with a distribution database unit, and distributes the detection information to the terminal based on the comparison result. 請求項1記載検知情報配信システムにおいて、
前記不正パケット検知部は、受信したパケットから不正検知又は異常検知の少なくとも一方を検知した場合に、前記不正パケットを検知したとすることを特徴とする検知情報配信システム。 In the detection information distribution system according to claim 1,
The detection information distribution system, wherein the illegal packet detection unit detects the illegal packet when detecting at least one of illegal detection and abnormality detection from the received packet. 請求項1又は2記載の検知情報配信システムにおいて、
前記配信データベース部は、前記検知情報の配信先が記憶される配信先テーブルを有し、
前記検知情報配信部は、前記検知情報と前記配信先テーブルと照合し、前記照合結果に基づいて、前記検知情報を前記端末に配信する
ことを特徴とする検知情報配信システム。 In the detection information distribution system according to claim 1 or 2,
The distribution database unit has a distribution destination table in which distribution destinations of the detection information are stored,
The detection information distribution unit compares the detection information with the distribution destination table, and distributes the detection information to the terminal based on the comparison result. 請求項1〜3のいずれか1項に記載の検知情報配信システムにおいて、
前記不正パケット検知部は、前記不正パケット検知部と異なる他の不正パケット検知部から不正パケットを検知した旨を受信した場合に、前記不正パケットを検知したとし、
前記他の不正パケット検知部は、未使用のIPアドレスに対して、パケットが送信された場合に、前記不正パケットを検知したとする
ことを特徴とする検知情報配信システム。 In the detection information delivery system according to any one of claims 1 to 3,
When the illegal packet detection unit detects that the illegal packet is detected from another illegal packet detection unit different from the illegal packet detection unit,
The other illegal packet detection unit detects the illegal packet when a packet is transmitted to an unused IP address.
JP2017052405A 2017-03-17 2017-03-17 Detection information distribution system Pending JP2018157368A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017052405A JP2018157368A (en) 2017-03-17 2017-03-17 Detection information distribution system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017052405A JP2018157368A (en) 2017-03-17 2017-03-17 Detection information distribution system

Publications (1)

Publication Number Publication Date
JP2018157368A true JP2018157368A (en) 2018-10-04

Family

ID=63716826

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017052405A Pending JP2018157368A (en) 2017-03-17 2017-03-17 Detection information distribution system

Country Status (1)

Country Link
JP (1) JP2018157368A (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004146931A (en) * 2002-10-22 2004-05-20 Toshiba Corp Packet transfer apparatus and information notice method at illegitimate access detection by the packet transfer apparatus
JP2006067279A (en) * 2004-08-27 2006-03-09 Matsushita Electric Ind Co Ltd Intrusion detection system and communication equipment
JP2010161488A (en) * 2009-01-06 2010-07-22 National Institute Of Information & Communication Technology Network monitoring system and method therefor

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004146931A (en) * 2002-10-22 2004-05-20 Toshiba Corp Packet transfer apparatus and information notice method at illegitimate access detection by the packet transfer apparatus
JP2006067279A (en) * 2004-08-27 2006-03-09 Matsushita Electric Ind Co Ltd Intrusion detection system and communication equipment
JP2010161488A (en) * 2009-01-06 2010-07-22 National Institute Of Information & Communication Technology Network monitoring system and method therefor

Similar Documents

Publication Publication Date Title
US10135829B2 (en) System and method for secure machine-to-machine communications
AU2009276580B2 (en) Network architecture for secure data communications
JPWO2007116605A1 (en) Communication terminal device, rule distribution device, and program
US10904265B2 (en) System, method and computer readable medium for message authentication to subscribers of an internet service provider
CN110995873A (en) Gateway service interface discovery method, system, electronic device and storage medium
EP2654242B1 (en) Device management method and apparatus
US9590935B2 (en) Cross-carrier device identification and policy application
CN108667601A (en) A kind of method, apparatus and equipment of transmission data
CN106254338A (en) Message detecting method and device
KR101453334B1 (en) Network information processing system, network information processing apparatus, and information processing method
CA3152253A1 (en) Network cyber-security platform
KR101088867B1 (en) Network switch and security notification method therein
EP1993245A1 (en) A system and method for realizing message service
JP2018157368A (en) Detection information distribution system
JP6476530B2 (en) Information processing apparatus, method, and program
CN104426792A (en) Scheduler support ability query method, scheduler support ability notification method and scheduler support ability query device
US20100263019A1 (en) Secure exchange of messages
US20130318605A1 (en) System for detecting rogue network protocol service providers
EP2424292B1 (en) Method and system with improved disaster recovery capability
JP2007274086A (en) Access control method and access control system
US20060098656A1 (en) Access multiplexer system for performing a stateless auto-configuration process
KR20100078586A (en) Subscriber profile repository system and method for having proxy function in mobile communication system
KR20060080779A (en) A method for alarm acknowledgement status management between agent and many network management systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200227

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201120

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20210513