JP3495030B2 - Intrusion data countermeasure processing device, intrusion data countermeasure processing method, and intrusion data countermeasure processing system - Google Patents
Intrusion data countermeasure processing device, intrusion data countermeasure processing method, and intrusion data countermeasure processing systemInfo
- Publication number
- JP3495030B2 JP3495030B2 JP2002033284A JP2002033284A JP3495030B2 JP 3495030 B2 JP3495030 B2 JP 3495030B2 JP 2002033284 A JP2002033284 A JP 2002033284A JP 2002033284 A JP2002033284 A JP 2002033284A JP 3495030 B2 JP3495030 B2 JP 3495030B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- unauthorized intrusion
- processing
- response
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】[0001]
【発明の属する技術分野】この発明は、コンピュータネ
ットワークのセキュリティサポート契約者に対し、不正
侵入を検知した契約者のネットワーク機器からの情報に
より、不正侵入者をおとりサーバに誘導する手段を提供
する管理システムに関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention provides a management for providing security support contractors for a computer network with means for guiding an intruder to a decoy server by using information from the network device of the contractor who has detected the intrusion. It is about the system.
【0002】[0002]
【従来の技術】従来のネットワークシステムでは、不正
侵入検知機能を備えたネットワーク構成機器や管理装置
によって、企業などの組織単位で独自にセキュリティ対
策を施すのが主流であった。例えば、特開2000−9
0031によれば、ルータ間にネットワーク不正解析シ
ステムを設け、通信に不正を検出すると、通信当事者間
の通信を傍受する方式、特開2000−47987で
は、不正アクセスを検知した場合、正規データベースと
は別に用意した擬似データベースへの誘導を行い、正規
データの流出を防ぐ方式、特開平6−6347では、セ
キュリティ管理装置を設け、不正アクセスを検知したネ
ットワーク構成機器が管理装置に不正アクセス報告を通
知し、管理装置にてセキュリティを集中管理する方式が
ある。これらは、すべて企業などネットワークを運営す
る顧客がシステムを導入し、顧客自ら管理する方式であ
る。2. Description of the Related Art In a conventional network system, it has been a mainstream that individual security measures are taken in each organizational unit such as a company by means of a network constituent device having a function of detecting unauthorized access and a management device. For example, JP 2000-9
According to 0031, a network fraud analysis system is provided between routers, and when fraud is detected in communication, the communication between the communicating parties is intercepted. A method of guiding a separately prepared pseudo database to prevent the leakage of legitimate data. In Japanese Patent Laid-Open No. 6-6347, a security management device is provided, and a network component device that detects unauthorized access notifies the management device of an unauthorized access report. There is a method of centrally managing security with a management device. These are all methods in which a customer operating a network, such as a company, introduces the system and manages the customer himself.
【0003】[0003]
【発明が解決しようとする課題】しかしながら、従来の
ネットワークシステムでは、組織の規模が小さい場合、
ネットワーク管理者の確保や管理ノウハウの教育が難し
いという問題があった。また、専任のネットワーク管理
者の確保が可能な場合でも、ネットワーク管理者の責任
のもと、すべてネットワーク機器や管理システムを管理
していたため、ネットワーク機器の設定、変更、保守に
多大な労力が必要であった。また、ネットワーク構成の
変更や新しい不正侵入の手法に対応するための新規導入
およびバージョンアップのコストも大きく、迅速に対応
できていなかった。例えば、特開2000−47987
や特開平6−6347では、不正アクセス検出後の対処
方法は管理者の采配に委ねられており、特開2000−
47987では、擬似データベースへ侵入者を誘導する
対策が取られているものの、ネットワークを運営してい
る組織で擬似データベースの設置を行わなければならな
い。However, in the conventional network system, when the scale of the organization is small,
There was a problem that it was difficult to secure network managers and educate management know-how. Even if it is possible to secure a dedicated network administrator, all network equipment and management systems were managed under the responsibility of the network administrator, so a great deal of effort is required for setting, changing, and maintaining network equipment. Met. In addition, the cost of new installation and version upgrades to cope with changes in network configuration and new fraudulent intrusion methods has been high, and it has not been possible to respond swiftly. For example, JP 2000-47987 A
In JP-A-6-6347, the coping method after the unauthorized access is detected is left to the management of the administrator.
In 47987, although measures are taken to guide an intruder to the pseudo database, the organization operating the network must install the pseudo database.
【0004】この発明は、上記のような問題点を解決す
るためになされたもので、ネットワーク利用者もしくは
管理者に代わって、不正侵入の防御や対処を行う集中管
理システムを提供することを目的とする。The present invention has been made to solve the above problems, and an object of the present invention is to provide a centralized management system for preventing and coping with illegal intrusion on behalf of a network user or an administrator. And
【0005】このような集中管理システムを利用するサ
ービス利用者側は、おとりサーバ(擬似サーバ)の設置
やログ解析、応答パケットの作成といった対処を専門の
サービス業者に委託することによって、ネットワーク管
理のコストを軽減することができるという利点がある。
また、サービス提供者側は、サービス利用者のネットワ
ーク機器の状況を遠隔地から常時把握することができる
ため、サービス利用者のところに、出向かずとも迅速な
対応が可能となる。A service user who uses such a centralized management system entrusts a specialized service provider with the task of installing a decoy server (pseudo server), analyzing a log, and creating a response packet, thereby performing network management. There is an advantage that the cost can be reduced.
Further, since the service provider side can always grasp the status of the network equipment of the service user from a remote location, it is possible to promptly deal with the service user without going to the service user.
【0006】[0006]
【課題を解決するための手段】本発明に係る不正侵入デ
ータ対策処理装置は、所定の内部通信ネットワーク外に
配置され、前記内部通信ネットワークに不正に侵入する
目的で前記内部通信ネットワーク外に配置されたいずれ
かのデータ通信装置より送信された不正侵入データを受
信し、受信した前記不正侵入データに対する対策処理を
行うことを特徴とする。An illegal intrusion data countermeasure processing device according to the present invention is arranged outside a predetermined internal communication network, and is arranged outside the internal communication network for the purpose of illegally entering the internal communication network. The illegal intrusion data transmitted from any one of the data communication devices is received, and a countermeasure process is performed on the received illegal intrusion data.
【0007】前記不正侵入データ対策処理装置は、前記
内部通信ネットワーク内に配置されたデータ通信装置と
前記内部通信ネットワーク外に配置されたデータ通信装
置との間のデータ通信の中継を行うととともに前記不正
侵入データを検知する不正侵入データ検知装置に接続さ
れ、前記不正侵入データ検知装置より前記不正侵入デー
タを受信することを特徴とする。The unauthorized intrusion data countermeasure processing device relays data communication between a data communication device arranged inside the internal communication network and a data communication device arranged outside the internal communication network, and It is characterized in that it is connected to an unauthorized intrusion data detection device for detecting unauthorized intrusion data and receives the unauthorized intrusion data from the unauthorized intrusion data detection device.
【0008】前記不正侵入データ対策処理装置は、前記
不正侵入データ検知装置より、前記不正侵入データを受
信するデータ受信部と、前記データ受信部により受信さ
れた前記不正侵入データを解析するデータ解析部と、前
記データ解析部による解析結果に基づき、前記不正侵入
データに対する応答データを生成する応答データ生成部
と、前記応答データ生成部により生成された前記応答デ
ータを前記不正侵入データ検知装置に対して送信するデ
ータ送信部とを有することを特徴とする。The unauthorized intrusion data countermeasure processing device includes a data receiving unit that receives the unauthorized intrusion data from the unauthorized intrusion data detection device, and a data analysis unit that analyzes the unauthorized intrusion data received by the data receiving unit. And a response data generation unit that generates response data for the unauthorized intrusion data based on an analysis result by the data analysis unit, and the response data generated by the response data generation unit to the unauthorized intrusion data detection device. And a data transmission unit for transmitting.
【0009】前記データ受信部は、前記不正侵入データ
検知装置より、前記不正侵入データ検知装置によりカプ
セル処理された不正侵入データを受信し、前記不正侵入
データ対策処理装置は、更に、前記データ受信部により
受信されたカプセル処理された不正侵入データのカプセ
ル処理を解除して不正侵入データを抽出するとともに、
前記応答データに対してカプセル処理を行うカプセル処
理部を有し、前記データ送信部は、前記カプセル処理部
によりカプセル処理された応答データを前記不正侵入デ
ータ検知装置に対して送信することを特徴とする。The data receiving unit receives from the unauthorized intrusion data detection device the unauthorized intrusion data encapsulated by the unauthorized intrusion data detection device, and the unauthorized intrusion data countermeasure processing device further includes the data reception unit. Unencapsulates the intruder data that has been encapsulated and received by
The data transmission unit transmits the response data encapsulated by the capsule processing unit to the unauthorized intrusion data detection device. To do.
【0010】前記応答データ生成部は、前記内部通信ネ
ットワーク内に配置された特定のデータ通信装置が前記
不正侵入データを受信した場合に、前記特定のデータ通
信装置が前記不正侵入データに対して生成する応答デー
タと同じ内容の応答データを生成することを特徴とす
る。The response data generation unit generates the specific data communication device for the unauthorized intrusion data when the specific data communication device arranged in the internal communication network receives the unauthorized access data. The response data having the same content as the response data to be generated is generated.
【0011】前記データ受信部は、前記不正侵入データ
検知装置より、前記不正侵入データ検知装置の通信履歴
を示す通信履歴情報を受信し、前記データ解析部は、前
記データ受信部により受信された前記通信履歴情報を解
析し、前記通信履歴情報の解析結果に基づき前記内部通
信ネットワーク外に配置された所定のデータ通信装置か
ら送信されるデータを不正侵入データに指定する不正侵
入データ指定情報を生成し、前記データ送信部は、前記
データ解析部により生成された前記不正侵入データ指定
情報を前記不正侵入データ検知装置に送信することを特
徴とする。The data receiving unit receives communication history information indicating a communication history of the unauthorized intrusion data detecting device from the unauthorized intrusion data detecting device, and the data analyzing unit receives the communication history information received by the data receiving unit. The communication history information is analyzed, and based on the analysis result of the communication history information, the unauthorized transmission data designation information for designating the data transmitted from the predetermined data communication device arranged outside the internal communication network as the unauthorized access data is generated. The data transmission unit transmits the unauthorized intrusion data designation information generated by the data analysis unit to the unauthorized intrusion data detection device.
【0012】前記データ受信部は、前記不正侵入データ
検知装置より、データ認証に用いる認証情報が添付され
た不正侵入データを受信し、前記カプセル処理部は、前
記認証情報を用いて前記不正侵入データのデータ認証を
行うことを特徴とする。The data receiving unit receives from the illegal intrusion data detection device unauthorized intrusion data attached with authentication information used for data authentication, and the capsule processing unit uses the authentication information to obtain the unauthorized intrusion data. It is characterized by performing the data authentication of.
【0013】前記カプセル処理部は、前記応答データの
データ認証に用いる認証情報を前記応答データに添付
し、前記データ送信部は、前記カプセル処理部により認
証情報が添付された応答データを前記不正侵入データ検
知装置に送信することを特徴とする。The capsule processing unit attaches authentication information used for data authentication of the response data to the response data, and the data transmitting unit attaches the response data to which the authentication information is attached by the capsule processing unit to the unauthorized intrusion. It is characterized in that it is transmitted to a data detection device.
【0014】本発明に係る不正侵入データ対策処理方法
は、所定の内部通信ネットワーク外において、前記内部
通信ネットワークに不正に侵入する目的で前記内部通信
ネットワーク外に配置されたいずれかのデータ通信装置
より送信された不正侵入データを受信し、受信した前記
不正侵入データに対する対策処理を行うことを特徴とす
る。The illegal intrusion data countermeasure processing method according to the present invention is provided by any one of data communication devices arranged outside the internal communication network for the purpose of illegally invading the internal communication network outside the predetermined internal communication network. It is characterized in that the transmitted illegal intrusion data is received and a countermeasure process is performed on the received illegal intrusion data.
【0015】前記不正侵入データ対策処理方法は、前記
内部通信ネットワーク内に配置されたデータ通信装置と
前記内部通信ネットワーク外に配置されたデータ通信装
置との間のデータ通信の中継を行うととともに前記不正
侵入データを検知する不正侵入データ検知装置と通信を
行い、前記不正侵入データ検知装置より前記不正侵入デ
ータを受信することを特徴とする。In the illegal intrusion data countermeasure processing method, the data communication is relayed between the data communication device arranged in the internal communication network and the data communication device arranged outside the internal communication network, and It is characterized by communicating with an unauthorized intrusion data detection device that detects unauthorized intrusion data and receiving the unauthorized intrusion data from the unauthorized intrusion data detection device.
【0016】前記不正侵入データ対策処理方法は、前記
不正侵入データ検知装置より、前記不正侵入データを受
信するデータ受信ステップと、前記データ受信ステップ
により受信された前記不正侵入データを解析するデータ
解析ステップと、前記データ解析ステップによる解析結
果に基づき、前記不正侵入データに対する応答データを
生成する応答データ生成ステップと、前記応答データ生
成ステップにより生成された前記応答データを前記不正
侵入データ検知装置に対して送信するデータ送信ステッ
プとを有することを特徴とする。In the illegal intrusion data countermeasure processing method, the illegal intrusion data detection device receives a data for receiving the illegal intrusion data, and a data analyzing step for analyzing the illegal intrusion data received in the data receiving step. And a response data generation step of generating response data for the unauthorized intrusion data based on the analysis result of the data analysis step, and the response data generated by the response data generation step to the unauthorized intrusion data detection device. And a data transmission step of transmitting.
【0017】前記応答データ生成ステップは、前記内部
通信ネットワーク内に配置された特定のデータ通信装置
が前記不正侵入データを受信した場合に、前記特定のデ
ータ通信装置が前記不正侵入データに対して生成する応
答データと同じ内容の応答データを生成することを特徴
とする。In the response data generating step, when a specific data communication device arranged in the internal communication network receives the unauthorized access data, the specific data communication device generates the unauthorized access data. The response data having the same content as the response data to be generated is generated.
【0018】本発明に係る不正侵入データ対策処理シス
テムは、所定の内部通信ネットワークに不正に侵入する
目的で送信された不正侵入データに対する対策処理を行
う不正侵入データ対策処理システムであって、前記内部
通信ネットワーク内に配置され、前記内部通信ネットワ
ーク外のデータ通信装置より送信された不正侵入データ
を検知する不正侵入データ検知装置と、前記内部通信ネ
ットワーク外に配置され、前記不正侵入データ検知装置
より前記不正侵入データを受信し、受信した前記不正侵
入データに対する対策処理を行う不正侵入データ対策処
理装置とを有することを特徴とする。An unauthorized intrusion data countermeasure processing system according to the present invention is an unauthorized intrusion data countermeasure processing system for performing countermeasure processing against unauthorized intrusion data transmitted for the purpose of illegally intruding into a predetermined internal communication network. An unauthorized intrusion data detection device that is disposed in a communication network and that detects unauthorized intrusion data transmitted from a data communication device outside the internal communication network; and an unauthorized intrusion data detection device that is disposed outside the internal communication network and is operated by the unauthorized intrusion data detection device. An unauthorized intrusion data countermeasure processing device that receives unauthorized intrusion data and performs a countermeasure process on the received unauthorized intrusion data.
【0019】前記不正侵入データ対策処理装置は、前記
不正侵入データに対する応答データを生成し、生成した
前記応答データを前記不正侵入データ検知装置を介して
前記不正侵入データの送信元に対して送信することを特
徴とする。The unauthorized intrusion data countermeasure processing device generates response data for the unauthorized intrusion data, and transmits the generated response data to the source of the unauthorized intrusion data via the unauthorized intrusion data detection device. It is characterized by
【0020】前記不正侵入データ検知装置は、前記内部
通信ネットワーク外に配置され、処理要求に基づき所定
の処理を行う処理装置と通信可能であり、前記不正侵入
データ対策処理装置は、前記処理装置への処理要求を含
む処理要求データを生成し、生成した前記処理要求デー
タを前記不正侵入データ検知装置を介して前記処理装置
に対して送信し、前記処理装置からの応答である処理応
答データを前記不正侵入データ検知装置を介して受信す
ることを特徴とする。The unauthorized intrusion data detection device is arranged outside the internal communication network and can communicate with a processing device that performs a predetermined process based on a processing request. Processing request data including the processing request, transmitting the generated processing request data to the processing apparatus via the unauthorized intrusion data detection apparatus, and processing response data that is a response from the processing apparatus It is characterized in that it is received via an unauthorized intrusion data detection device.
【0021】前記不正侵入データ検知装置は、前記不正
侵入データ対策処理装置より前記処理要求データを受信
し、受信した前記処理要求データに所定の判別情報を含
ませ、前記判別情報が含まれた処理要求データを前記処
理装置に対して送信し、前記処理装置より処理応答デー
タを受信した場合に、受信した処理応答データを分析し
て前記処理応答データに前記判別情報が含まれているか
否かを判断し、前記判別情報が含まれていた場合に、前
記処理応答データを前記処理要求データに対する応答と
して前記不正侵入データ対策処理装置に対して送信する
ことを特徴とする。The unauthorized intrusion data detection device receives the processing request data from the unauthorized intrusion data countermeasure processing device, includes predetermined determination information in the received processing request data, and performs processing including the determination information. When the request data is transmitted to the processing device and the processing response data is received from the processing device, the received processing response data is analyzed to determine whether or not the determination information is included in the processing response data. It is characterized in that the processing response data is transmitted to the unauthorized intrusion data countermeasure processing device as a response to the processing request data when the determination information is included.
【0022】前記不正侵入データ検知装置は、送信元ポ
ート番号として第一のポート番号が示された処理要求デ
ータを前記不正侵入データ対策処理装置より受信し、前
記判別情報として前記送信元ポート番号を前記第一のポ
ート番号から第二のポート番号に変更し、前記送信元ポ
ート番号として前記第二のポート番号が示された処理要
求データを前記処理装置に対して送信し、前記処理装置
より処理応答データを受信した場合に、前記処理応答デ
ータに送信先ポート番号として前記第二のポート番号が
示されているか否かを判断し、前記送信先ポート番号と
して前記第二のポート番号が示されている場合に、前記
送信先ポート番号を前記第二のポート番号から前記第一
のポート番号に変更し、前記送信先ポート番号として前
記第一のポート番号が示された処理応答データを前記不
正侵入データ対策処理装置に対して送信することを特徴
とする。The unauthorized intrusion data detection device receives the processing request data in which the first port number is indicated as the transmission source port number from the unauthorized intrusion data countermeasure processing device, and uses the transmission source port number as the discrimination information. The first port number is changed to a second port number, and processing request data in which the second port number is indicated as the transmission source port number is transmitted to the processing device, and processing is performed by the processing device. When the response data is received, it is determined whether or not the second port number is indicated as the destination port number in the processing response data, and the second port number is indicated as the destination port number. The destination port number is changed from the second port number to the first port number, and the first port number is used as the destination port number. And transmitting to the illegal access data countermeasure processor processes response data is shown.
【0023】前記不正侵入データ検知装置は、送信元ア
ドレスとして第一のアドレスが示された処理要求データ
を前記不正侵入データ対策処理装置より受信し、前記判
別情報として前記送信元アドレスを前記第一のアドレス
から第二のアドレスに変更し、前記送信元アドレスとし
て前記第二のアドレスが示された処理要求データを前記
処理装置に対して送信し、前記処理装置より処理応答デ
ータを受信した場合に、前記処理応答データに送信先ア
ドレスとして前記第二のアドレスが示されているか否か
を判断し、前記送信先アドレスとして前記第二のアドレ
スが示されている場合に、前記送信先アドレスを前記第
二のアドレスから前記第一のアドレスに変更し、前記送
信先アドレスとして前記第一のアドレスが示された処理
応答データを前記不正侵入データ対策処理装置に対して
送信することを特徴とする。The illegal intrusion data detection device receives the processing request data in which the first address is indicated as the source address from the illegal intrusion data countermeasure processing device, and the source address is the first information as the discrimination information. When the processing request data in which the second address is indicated as the source address is transmitted to the processing device and the processing response data is received from the processing device, , Determining whether or not the second address is indicated as the destination address in the processing response data, and when the second address is indicated as the destination address, the destination address The processing response data in which the first address is indicated as the destination address is changed from the second address to the first address. And transmitting to the primary intrusion data protection processor.
【0024】前記不正侵入データ検知装置は、前記処理
装置としてDNS(DomainName Serve
r)サーバと通信可能であり、前記不正侵入データ対策
処理装置は、前記処理要求データを前記不正侵入データ
検知装置を介して前記DNSサーバに対して送信し、前
記DNSサーバからの応答である処理応答データを前記
不正侵入データ検知装置を介して受信することを特徴と
する。The unauthorized intrusion data detection device uses a DNS (Domain Name Server) as the processing device.
r) Communication with a server is possible, and the unauthorized intrusion data countermeasure processing device transmits the processing request data to the DNS server via the unauthorized intrusion data detection device, and is a response from the DNS server. The response data is received via the unauthorized intrusion data detection device.
【0025】[0025]
【発明の実施の形態】実施の形態1.図1は、この発明
に係る不正侵入データ対策処理装置を含むネットワーク
システムの全体構成図である。図1において、1は不正
侵入対策サービスを実施する管理代行業者のデータセン
タであり、11はデータセンタ内に設置された管理シス
テム、12は、顧客情報を格納する顧客データベース、
13は、不正侵入者を誘導し、情報を取得するためのお
とりサーバ、14は、不正侵入情報を解析する際に用い
られる知識ベースである。2はインターネット、3は不
正侵入対策サービスのサービス契約者が使用しているネ
ットワーク機器、4はサービス契約者が使用する一般端
末、5はサービス契約者が保持している不正侵入者の攻
撃対象となる攻撃対象サーバ、6は不正侵入者の端末で
ある。ここで、管理システム11及びおとりサーバ13
は、不正侵入データ対策処理装置として機能し、ネット
ワーク機器3は、不正侵入データ検知装置として機能す
る。また、ネットワーク機器3、一般端末4、攻撃対象
サーバ5は、同一の内部通信ネットワークに属する。BEST MODE FOR CARRYING OUT THE INVENTION Embodiment 1. FIG. 1 is an overall configuration diagram of a network system including an unauthorized intrusion data countermeasure processing device according to the present invention. In FIG. 1, 1 is a data center of a management agent that implements an intrusion prevention service, 11 is a management system installed in the data center, 12 is a customer database that stores customer information,
Reference numeral 13 is a decoy server for guiding an illegal intruder and acquiring information, and reference numeral 14 is a knowledge base used when analyzing illegal intrusion information. 2 is the Internet, 3 is a network device used by the service contractor of the intrusion prevention service, 4 is a general terminal used by the service contractor, and 5 is an attack target of the intruder held by the service contractor. The attack target server 6 is a terminal of an unauthorized intruder. Here, the management system 11 and the decoy server 13
Functions as an unauthorized intrusion data countermeasure processing device, and the network device 3 functions as an unauthorized intrusion data detection device. Further, the network device 3, the general terminal 4, and the attack target server 5 belong to the same internal communication network.
【0026】また、図2は、ネットワーク機器3の機能
ブロック図を示している。ネットワーク機器3は、デー
タの受信および送信を行うデータ収集/送出部31と、
一般的な通信か管理システム11からのおとりサーバへ
の誘導パケット(応答パケット)かを判別する識別情報
判別部32と、不正侵入パケットを検出する不正侵入検
出部33と、不正侵入パケットもしくはログデータを管
理システム11に転送するためにエンカプセル処理を施
したり、管理システム11から送られた応答パケットの
デカプセル処理を行うパケットカプセル処理部34と、
ネットワーク機器3を通過したデータを記録するログ取
得部35から構成されている。FIG. 2 is a functional block diagram of the network device 3. The network device 3 includes a data collection / transmission unit 31 that receives and transmits data,
An identification information discriminating unit 32 for discriminating general communication or a guide packet (response packet) from the management system 11 to the decoy server, an illegal intrusion detecting unit 33 for detecting an illegal intrusion packet, an illegal intrusion packet or log data. Packet encapsulation processing unit 34 that performs encapsulation processing for transferring the packet to the management system 11 and decapsulation processing of the response packet sent from the management system 11.
The log acquisition unit 35 records data that has passed through the network device 3.
【0027】また、図3は、管理システムの機能ブロッ
ク図を示している。管理システム11は、データの受信
および送信を行うデータ受信/送信部111、受信した
パケットが契約者からのものかを照会する顧客照会部1
12、ネットワーク機器3から入手したデータの種別を
判別するデータ種別判別部113、ネットワーク機器3
から転送された、エンカプセルされた侵入パケットもし
くはログデータのデカプセル処理とネットワーク機器3
へ送信する応答パケット(応答データ)のエンカプセル
処理を行うパケットカプセル処理部114、入手したロ
グデータおよび侵入パケットを解析する不正データ解析
部115から構成される。また、データセンタ1には、
この他、管理システム11と情報をやりとりする顧客デ
ータベース12、おとりサーバ13、知識ベース14が
ある。なお、おとりサーバ13は、不正侵入パケットに
対する応答データ(応答パケット)を生成する応答デー
タ生成部として機能する。FIG. 3 is a functional block diagram of the management system. The management system 11 includes a data reception / transmission unit 111 that receives and transmits data, and a customer inquiry unit 1 that inquires whether the received packet is from a contractor.
12, a data type determination unit 113 that determines the type of data obtained from the network device 3, the network device 3
Decapsulation of the encapsulation packet or log data transferred from the network and the network device 3
A packet encapsulation processing unit 114 that performs encapsulation processing of a response packet (response data) to be transmitted to an unauthorized packet data analysis unit 115 that analyzes the acquired log data and intrusion packet. In addition, in the data center 1,
In addition to these, there are a customer database 12 for exchanging information with the management system 11, a decoy server 13, and a knowledge base 14. The decoy server 13 functions as a response data generation unit that generates response data (response packet) to the unauthorized intrusion packet.
【0028】図4にネットワーク機器3、管理システム
11が送受信する通信パケットの構成について示す。パ
ケットP1は、不正侵入パケットである。パケットP1
は、不正侵入者端末6から送信され、ネットワーク機器
3により受信される。パケットP2は、パケットP1を
エンカプセル化したパケットで、識別情報を含む不正侵
入パケットの情報を転送する。パケットP2は、ネット
ワーク機器3から管理システム11へ送信される。パケ
ットP3は、エンカプセル化された応答パケットで、識
別情報を含む不正侵入者に対する応答パケット情報を転
送する。パケットP3は、管理システム11からネット
ワーク機器3へ送信される。パケットP4は、パケット
P3をデカプセル化したパケットで、攻撃対象サーバ5
からの応答を模擬したおとりサーバ13からの応答パケ
ットである。パケットP4には、攻撃対象サーバ5が応
答する内容と同じ情報が格納されており、本来そのまま
ではインターネット上には送出できないが、パケットP
3に示すようにエンカプセル化することによってネット
ワーク機器3への転送を可能にしている。FIG. 4 shows the structure of communication packets transmitted and received by the network device 3 and the management system 11. The packet P1 is an unauthorized intrusion packet. Packet P1
Is transmitted from the unauthorized intruder terminal 6 and received by the network device 3. The packet P2 is a packet obtained by encapsulating the packet P1 and transfers the information of the unauthorized intrusion packet including the identification information. The packet P2 is transmitted from the network device 3 to the management system 11. The packet P3 is an encapsulation response packet, and transfers response packet information for an unauthorized intruder including identification information. The packet P3 is transmitted from the management system 11 to the network device 3. The packet P4 is a packet obtained by decapsulating the packet P3, and the attack target server 5
Is a response packet from the decoy server 13 simulating a response from. The packet P4 stores the same information as the content to which the attack target server 5 responds, and although it cannot be sent to the Internet as it is, the packet P4
By encapsulating as shown in FIG. 3, transfer to the network device 3 is enabled.
【0029】次にネットワークシステム全体の動きにつ
いて説明する。図5は、不正侵入者が内部通信ネットワ
ークに不正侵入した場合の対策処理の流れを示す。ま
ず、ある不正侵入者端末6がある契約者のネットワーク
(内部通信ネットワーク)内に設置されたサーバ(攻撃
対象サーバ)5に不正侵入しようして、不正侵入パケッ
トP1を送信したとする(ステップ101)。これに対
して、ネットワーク機器3において、不正侵入パケット
P1を検出する。不正侵入パケットP1を検出したネッ
トワーク機器3は、不正侵入パケットP1(侵入パケッ
ト情報)をエンカプセル化してパケットP2を生成し、
パケットP2をデータセンタ1に転送する(ステップ1
02)。これによりネットワーク機器3は、不正侵入パ
ケットP1による攻撃対象サーバ5への不正侵入を防ぐ
ことができる。次に、データセンタ1の管理システム1
1では、ネットワーク機器3からパケットP2を受信
し、受信したパケットP2を解析し、攻撃対象サーバ5
からの応答に見せかけた、おとりサーバ13からの応答
パケットP4をエンカプセル化してパケットP3を生成
し、パケットP3をネットワーク機器3に送り返す(ス
テップ103)。次に、ネットワーク機器3は、管理シ
ステム11よりパケットP3を受信し、受信したパケッ
トP3をデカプセル化して応答パケットP4を取りだ
し、不正侵入者端末6に対して応答パケットP4を送信
する(ステップ104)。不正侵入者は、応答パケット
P4を攻撃対象サーバ5からの応答だと思い込み、おと
りサーバ13に侵入を開始する。不正侵入者端末6とお
とりサーバ13との交信は、毎回ステップ101〜ステ
ップ104の手順により行なわれる。おとりサーバ13
でのログ解析により不正侵入のより詳細な手口が明らか
になる。Next, the operation of the entire network system will be described. FIG. 5 shows a flow of countermeasure processing when an illegal intruder illegally invades the internal communication network. First, it is assumed that an unauthorized intruder terminal 6 attempts to illegally invade a server (attack target server) 5 installed in a contractor's network (internal communication network) and transmits an unauthorized intrusion packet P1 (step 101). ). On the other hand, the network device 3 detects the unauthorized intrusion packet P1. The network device 3 that has detected the unauthorized access packet P1 encapsulates the unauthorized access packet P1 (intrusion packet information) to generate a packet P2,
Transfer the packet P2 to the data center 1 (step 1
02). As a result, the network device 3 can prevent unauthorized access to the attack target server 5 by the unauthorized access packet P1. Next, the management system 1 of the data center 1
In 1, the packet P2 is received from the network device 3, the received packet P2 is analyzed, and the attack target server 5
The response packet P4 from the decoy server 13, which appears to be a response from, is generated to generate a packet P3, and the packet P3 is sent back to the network device 3 (step 103). Next, the network device 3 receives the packet P3 from the management system 11, decapsulates the received packet P3, extracts the response packet P4, and transmits the response packet P4 to the unauthorized intruder terminal 6 (step 104). . The unauthorized intruder thinks that the response packet P4 is a response from the attack target server 5 and starts invading the decoy server 13. The communication between the unauthorized intruder terminal 6 and the decoy server 13 is performed by the procedure of steps 101 to 104 every time. Decoy server 13
Log analysis at will reveal more detailed methods of unauthorized intrusion.
【0030】次にネットワーク機器3の動作について説
明する。図6に、ネットワーク機器3における通信パケ
ットの処理についてフローチャートを示す。まず、ネッ
トワーク機器3はデータ収集/送出部31より、通信パ
ケットを受信すると(ステップ301)、識別情報判別
部32で、そのパケットが管理システム11からのエン
カプセル化された応答パケットP3なのか、単なる中継
パケットなのかを受信パケットの識別情報により判別す
る(ステップ302)。この結果、エンカプセル化され
た応答パケットP3である場合、パケットカプセル処理
部34で、エンカプセル化された応答パケットP3のデ
カプセル処理を行い(ステップ303)、不正侵入者端
末6への応答パケットP4として不正侵入者端末6に送
信する(ステップ306)。一方、単なる中継パケット
である場合、不正侵入検出部33で、不正侵入パケット
P1かどうかのチェックを行う(ステップ304)。こ
こで、不正侵入パケットP1であると判断された場合
は、不正侵入パケットP1を管理システム11に転送す
るため、パケットカプセル処理部34で不正侵入パケッ
トP1をエンカプセルしてパケットP2とし(ステップ
305)、エンカプセル化した不正侵入パケットP2を
データ収集/送出部31から管理システム11に送信す
る(ステップ306)。ステップ304の不正侵入チェ
ックにより、正常パケットと判断された場合は、そのま
まデータ収集/送出部31から送信先にパケットを中継
する(ステップ306)。Next, the operation of the network device 3 will be described. FIG. 6 shows a flowchart of processing a communication packet in the network device 3. First, when the network device 3 receives a communication packet from the data collection / transmission unit 31 (step 301), the identification information determination unit 32 determines whether the packet is the encapsulation response packet P3 from the management system 11. It is determined whether the packet is a mere relay packet based on the identification information of the received packet (step 302). As a result, in the case of the encapsulation response packet P3, the packet encapsulation processing unit 34 decapsulates the encapsulation response packet P3 (step 303), and the response packet P4 to the unauthorized intruder terminal 6 is obtained. Is transmitted to the unauthorized intruder terminal 6 (step 306). On the other hand, if the packet is a mere relay packet, the unauthorized intrusion detection unit 33 checks whether it is the unauthorized intrusion packet P1 (step 304). Here, if it is determined that the packet is an unauthorized intrusion packet P1, the unauthorized intrusion packet P1 is transferred to the management system 11. Therefore, the packet encapsulation processing unit 34 encapsulates the unauthorized intrusion packet P1 into a packet P2 (step 305). ), The encapsulating unauthorized intrusion packet P2 is transmitted from the data collection / transmission unit 31 to the management system 11 (step 306). If the packet is determined to be a normal packet by the unauthorized access check in step 304, the packet is relayed from the data collection / transmission unit 31 to the destination (step 306).
【0031】次に管理システム11の動作について説明
する。図7に、管理システム11における契約者のネッ
トワーク機器3からの受信パケットに対する処理の流れ
を示す。まず、管理システム11は、データ受信/送信
部111より、通信パケットを受信すると顧客照会部1
12で顧客データベース12を参照し、契約者からのパ
ケットであるかどうかを照合する。この照合に成功しな
かったパケットは、不正データとして廃棄するか、管理
システムの別タスクで処理する(本発明の範囲外)。受
信パケットの照合に成功した場合、データ種別判別部1
13により、ネットワーク機器3から送信されたパケッ
トのデータが不正侵入パケットを転送したもの(パケッ
トP2)であるか否かを判別する。次に、受信したパケ
ットP2は、ネットワーク機器3によってエンカプセル
されているため、このパケットP2をパケットカプセル
処理部114で、デカプセル処理する。Next, the operation of the management system 11 will be described. FIG. 7 shows a processing flow for a packet received from the contractor's network device 3 in the management system 11. First, when the management system 11 receives a communication packet from the data receiving / transmitting unit 111, the customer inquiry unit 1
The customer database 12 is referred to at 12 to check whether the packet is from the contractor. The packet that is not successfully verified is discarded as invalid data or is processed by another task of the management system (outside the scope of the present invention). If the matching of the received packet is successful, the data type determination unit 1
Based on 13, it is determined whether or not the packet data transmitted from the network device 3 is the unauthorized intrusion packet transferred (packet P2). Next, since the received packet P2 is encapsulated by the network device 3, the packet P2 is decapsulated by the packet encapsulation processing unit 114.
【0032】次に、パケットカプセル処理部114でデ
カプセル処理された不正侵入パケットP1は、不正デー
タ解析部115に渡され、不正データ解析部115は、
知識ベース14を参照しながら、抽出された不正侵入パ
ケットP1の解析を行う。知識ベース14には、この解
析結果が反映され、今後の解析のための参考事例として
追加される。不正データ解析部115は、解析結果をお
とりサーバ13に通知し、おとりサーバ13から応答パ
ケットP4を受け取る。応答パケットP4は、不正侵入
パケットP1が、攻撃対象サーバ5に受信されたとした
場合に、不正侵入パケットに対する攻撃対象サーバ5か
らの応答と同様の情報を有するパケットである。この応
答パケットP4を攻撃対象サーバ5からネットワーク機
器3経由で送信されたパケットに見せかけるため、パケ
ットカプセル処理部114でエンカプセルしてパケット
P3とした後、データ受信/送信部111からネットワ
ーク機器3に対してパケットP3を送信する。この後、
ネットワーク機器3では、前述したように、パケットP
3をデカプセル処理して、応答パケットP4を抽出し、
抽出した応答パケットP4を不正侵入者端末6へ送信す
る。Next, the illegal intrusion packet P1 decapsulated by the packet encapsulation processing unit 114 is passed to the illegal data analysis unit 115, and the illegal data analysis unit 115
The extracted unauthorized intrusion packet P1 is analyzed with reference to the knowledge base 14. The knowledge base 14 reflects this analysis result and is added as a reference case for future analysis. The invalid data analysis unit 115 notifies the decoy server 13 of the analysis result and receives the response packet P4 from the decoy server 13. The response packet P4 is a packet having the same information as the response from the attack target server 5 to the unauthorized intrusion packet when the unauthorized access packet P1 is received by the attack target server 5. In order to make this response packet P4 look like a packet transmitted from the attack target server 5 via the network device 3, the packet encapsulation processing unit 114 encapsulates the packet P3, and then the data receiving / transmitting unit 111 transmits it to the network device 3. A packet P3 is transmitted to the packet. After this,
In the network device 3, as described above, the packet P
3 is decapsulated, the response packet P4 is extracted,
The extracted response packet P4 is transmitted to the unauthorized intruder terminal 6.
【0033】以上のように、ネットワーク機器3で検出
した不正侵入パケットをネットワーク機器3自身で対処
するのではなく、管理システム11に転送することによ
って応答パケットを獲得し、不正侵入者を代行業者のデ
ータセンタ内に設置されたおとりサーバに誘導するよう
にしているので、顧客のネットワークとは独立した侵入
対処サービスを実現することができる。As described above, the unauthorized intrusion packet detected by the network device 3 is not dealt with by the network device 3 itself, but is transferred to the management system 11 to obtain the response packet, and the unauthorized intruder is transferred to the agent. Since the decoy server is guided to the decoy server installed in the data center, an intrusion countermeasure service independent of the customer's network can be realized.
【0034】実施の形態2.以上の実施の形態1では、
不正侵入者端末からの不正侵入パケットをネットワーク
機器3からデータセンタ1へ転送するようにしたもので
あるが、次に、不正侵入パケットの早期発見のためネッ
トワーク機器3のログ情報をデータセンタ1へ転送する
実施の形態を示す。図8は、このような場合のネットワ
ークシステム全体の動きを示したものである。Embodiment 2. In the first embodiment described above,
The unauthorized intrusion packet from the unauthorized intruder terminal is transferred from the network device 3 to the data center 1. Next, the log information of the network device 3 is transferred to the data center 1 for early detection of the unauthorized intruder packet. The embodiment which transfers is shown. FIG. 8 shows the movement of the entire network system in such a case.
【0035】図において、ステップ101〜ステップ1
04は、実施の形態1において説明したものと同様であ
り、本実施の形態においては、ステップ105及びステ
ップ106について説明する。ネットワーク機器3は、
ログ取得部35(図2)により、常に外部からアクセス
情報を記録している。このログ情報(通信履歴情報)を
エンカプセル化し、管理システム11からの命令もしく
はネットワーク機器3自身の定期的なトリガにより管理
システム11にパケットP5として転送する(ステップ
105)。ここで、パケットP5の構成を図9に示す。
パケットP5は、ログ情報をエンカプセル化したパケッ
トで、ネットワーク機器のログ情報を管理システムに転
送するパケットである。。次に、管理システム11で
は、パケットカプセル処理部114がパケットP5をデ
カプセル化し、不正データ解析部115がログ情報を解
析する。ここで、問題のあった場合、即ち、不正侵入パ
ケットの疑いのあるパケットが発見された場合は、ネッ
トワーク機器3における不正侵入検出部33の設定情報
を更新するため、管理システム11は新しい侵入検出設
定情報をネットワーク機器3に送信する(ステップ10
6)。ここで、侵入検出設定情報とは、ネットワーク機
器3に対して不正侵入パケットの疑いがあるパケットを
通知し、不正侵入パケットの疑いのあるパケットを送信
した端末より以後送信されたパケットを不正侵入パケッ
トとして取り扱うようにネットワーク機器3に対して指
示する情報である。即ち、侵入検出設定情報は、不正侵
入データ指定情報に相当する。また、侵入検出設定情報
は、不正データ解析部115により生成される。以降、
不正侵入の疑いのある送信元からのアクセスは、ネット
ワーク機器3の不正侵入検出部33にて不正侵入パケッ
トと判断される。例えば、端末6からのアクセスログを
管理システム11が不正と判断した場合、端末6からの
アクセスを拒否する設定情報をネットワーク機器3に送
信する。この結果、ネットワーク機器3は、端末6から
のアクセス(ステップ101)を不正侵入パケットとし
て検出し、端末6からのパケット(P1:不正侵入パケ
ット)をエンカプセル化した後(P2)、管理システム
11に転送する(ステップ102)。以降の処理手段
は、実施の形態1と同様である。In the figure, step 101 to step 1
04 is the same as that described in the first embodiment, and in this embodiment, step 105 and step 106 will be described. The network device 3
Access information is always recorded from outside by the log acquisition unit 35 (FIG. 2). This log information (communication history information) is encapsulated and transferred to the management system 11 as a packet P5 by a command from the management system 11 or a periodic trigger of the network device 3 itself (step 105). Here, the structure of the packet P5 is shown in FIG.
The packet P5 is a packet in which the log information is encapsulated and is a packet for transferring the log information of the network device to the management system. . Next, in the management system 11, the packet encapsulation processing unit 114 decapsulates the packet P5, and the invalid data analysis unit 115 analyzes the log information. Here, if there is a problem, that is, if a packet suspected of being an unauthorized intrusion packet is found, the management system 11 updates the setting information of the unauthorized intrusion detection unit 33 in the network device 3, so that the management system 11 detects a new intrusion. The setting information is transmitted to the network device 3 (step 10)
6). Here, the intrusion detection setting information refers to a packet that is suspected of being an unauthorized intrusion packet to the network device 3, and is a packet that is transmitted from a terminal that has transmitted a packet that is suspected of being an unauthorized intrusion packet. This is information for instructing the network device 3 to handle as. That is, the intrusion detection setting information corresponds to unauthorized intrusion data designation information. Further, the intrusion detection setting information is generated by the illegal data analysis unit 115. Or later,
An access from a sender suspected of unauthorized intrusion is determined as an unauthorized intrusion packet by the unauthorized access detection unit 33 of the network device 3. For example, when the management system 11 determines that the access log from the terminal 6 is invalid, the setting information for denying the access from the terminal 6 is transmitted to the network device 3. As a result, the network device 3 detects the access from the terminal 6 (step 101) as an unauthorized intrusion packet, encapsulates the packet (P1: unauthorized intrusion packet) from the terminal 6 (P2), and then the management system 11 (Step 102). Subsequent processing means are the same as those in the first embodiment.
【0036】本形態に関するネットワーク機器3および
管理システム11の振舞いは、実施の形態1にほぼ等し
い。ただし、管理システム11において、図6に示すデ
ータ種別判別部113は、受信データに含まれる識別情
報から、ネットワーク機器3からの受信パケットがエン
カプセル化された不正侵入パケットP2ではなく、ログ
情報パケットP5であることを判別する。そして、不正
データ解析部115において、ログ情報パケットP5の
解析を行う。また、管理システム11では、不正データ
解析部115は、不正侵入パケットの疑いがあるパケッ
トを発見した場合、新しい侵入設定検出情報を生成し、
データ受信/送信部111は、生成された新しい侵入設
定検出情報をネットワーク機器3に送信する。The behaviors of the network device 3 and the management system 11 according to this embodiment are almost the same as those of the first embodiment. However, in the management system 11, the data type determination unit 113 illustrated in FIG. 6 does not use the identification information included in the received data as the log information packet, not the unauthorized intrusion packet P2 in which the received packet from the network device 3 is encapsulated. It is determined that it is P5. Then, the unauthorized data analysis unit 115 analyzes the log information packet P5. Further, in the management system 11, when the illegal data analysis unit 115 finds a packet suspected of being an illegal intrusion packet, it generates new intrusion setting detection information,
The data reception / transmission unit 111 transmits the generated new intrusion setting detection information to the network device 3.
【0037】以上のように、ネットワーク機器3のログ
情報を管理システム11に転送することによって集中的
な解析を依頼し、その結果、応答パケットを獲得し、不
正侵入者を代行業者のデータセンタ内に設置されたおと
りサーバに誘導するようにしているので、顧客のネット
ワークとは独立した侵入対処サービスを実現することが
できる他、直接の攻撃ではなくとも不正侵入のおそれの
あるパケットの侵入を防止することにより、不正侵入の
早期発見につながる。As described above, the log information of the network device 3 is transferred to the management system 11 to request a centralized analysis, and as a result, a response packet is acquired and an unauthorized intruder is stored in the agent's data center. Since it is directed to the decoy server installed in, it is possible to realize an intrusion countermeasure service that is independent of the customer's network, and prevent the intrusion of packets that may be illegal intrusion even if it is not a direct attack. Doing so will lead to early detection of unauthorized intrusion.
【0038】実施の形態3.以上の実施の形態1および
2では、転送するパケットをエンカプセル化し、識別情
報により、転送するデータ内容を判別している。次に、
本実施の形態において、管理システム11およびネット
ワーク機器3にて送受信するパケットに認証情報を付加
する場合について示す。Embodiment 3. In the first and second embodiments described above, the packet to be transferred is encapsulated, and the content of the data to be transferred is determined by the identification information. next,
In the present embodiment, a case will be described where authentication information is added to packets transmitted and received by the management system 11 and the network device 3.
【0039】図10において、パケットP2を例に認証
情報を付加したパケットP2Hを示す。パケットP2H
では、識別情報以降のデータを入力値とするハッシュ等
の認証情報を識別情報の前に付加している。ネットワー
ク機器3における認証情報の付加および認証情報チェッ
クは、パケットカプセル処理部34のエンカプセル/デ
カプセル処理で行う。管理システム11における認証情
報の付加および認証情報チェックは、パケットカプセル
処理部114のエンカプセル/デカプセル処理で行う。
なお、上記の例では、パケットP2に認証情報が付加さ
れたパケットP2Hを説明したが、同様な構成によりパ
ケットP3に認証情報が付加されたパケットP3Hの送
受信も行うことができる。FIG. 10 shows a packet P2H to which authentication information is added, taking the packet P2 as an example. Packet P2H
Then, authentication information such as a hash having data after the identification information as an input value is added before the identification information. The addition of the authentication information and the authentication information check in the network device 3 are performed by the encapsulation / decapsulation process of the packet encapsulation processing unit 34. The addition of the authentication information and the authentication information check in the management system 11 are performed by the encapsulation / decapsulation process of the packet capsule processing unit 114.
Although the packet P2H in which the authentication information is added to the packet P2 has been described in the above example, the packet P3H in which the authentication information is added to the packet P3 can be transmitted / received by the similar configuration.
【0040】以上のように、通信パケットに認証情報を
追加することによって、管理システムとネットワーク機
器との間の通信のセキュリティを向上させる効果があ
る。As described above, adding the authentication information to the communication packet has the effect of improving the security of communication between the management system and the network device.
【0041】なお、以上の実施の形態1〜実施の形態3
では、本発明に係る不正侵入データ対策処理装置につい
て説明してきたが、同様の処理手順により本発明に係る
不正侵入データ対策処理方法を実現することもできる。Incidentally, the above-mentioned first to third embodiments.
Although the illegal intrusion data countermeasure processing device according to the present invention has been described above, the illegal intrusion data countermeasure processing method according to the present invention can be realized by the same processing procedure.
【0042】実施の形態4.以上の実施の形態1、2、
3では、単一のデータセンタを前提にしたセキュリティ
サービスの形態を説明した。次に、複数のデータセンタ
との連携を可能にするシステムの形態について示す。デ
ータセンター間で情報をやりとりするため、外部サーバ
として少なくともDNS(Domain Name S
ystem)サーバの設置が必要となる。Fourth Embodiment Embodiments 1 and 2 above
In Section 3, the form of the security service assuming a single data center is explained. Next, a form of a system that enables cooperation with a plurality of data centers will be described. As an external server, at least DNS (Domain Name S) is used to exchange information between data centers.
It is necessary to install a server.
【0043】図11は、他のデータセンタとの連携を可
能とするセキュリティシステムの全体構成図である。図
11において、1は不正侵入対策サービスを実施する管
理代行業者のデータセンタ1、11はデータセンタ1内
に設置された管理システム、13は、データセンタ1の
おとりサーバ、15は、他のデータセンターの宛先IP
アドレスを調べるためのDNSサーバ、20はデータセ
ンタ1とは別のデータセンタ2、21はデータセンタ2
内に設置された管理システム、23は、データセンタ2
のおとりサーバ、2はインターネット、3はサービス契
約者が使用しているネットワーク機器、4はサービス契
約者が使用する一般端末、5はサービス契約者が保持し
ている内部サーバ、6は不正侵入者の端末である。な
お、図11においても、管理システム11及びおとりサ
ーバ13は、不正侵入データ対策処理装置として機能
し、ネットワーク機器3は、不正侵入データ検知装置と
して機能する。また、ネットワーク機器3、一般端末
4、攻撃対象サーバ5は、同一の内部通信ネットワーク
に属する。また、DNSサーバ15は、処理装置に相当
する。FIG. 11 is an overall configuration diagram of a security system capable of cooperating with another data center. In FIG. 11, 1 is a data center 1 of a management agent that implements an unauthorized intrusion prevention service, 11 is a management system installed in the data center 1, 13 is a decoy server of the data center 1, and 15 is other data. Destination IP of the center
DNS server for checking addresses, 20 is a data center 2 different from the data center 1, and 21 is a data center 2
The management system installed in the system, 23 is the data center 2
Decoy server, 2 is the Internet, 3 is a network device used by a service contractor, 4 is a general terminal used by the service contractor, 5 is an internal server held by the service contractor, and 6 is an intruder. Is the terminal of. Also in FIG. 11, the management system 11 and the decoy server 13 function as an unauthorized intrusion data countermeasure processing device, and the network device 3 functions as an unauthorized intrusion data detection device. Further, the network device 3, the general terminal 4, and the attack target server 5 belong to the same internal communication network. The DNS server 15 corresponds to a processing device.
【0044】図5に示すとおり、本システムの前提とし
て、データセンタ側では、おとりサーバ13からのパケ
ットはサーバ5を模倣するため、すべて管理システム1
1によってエンカプセル処理され、ネットワーク機器3
でデカプセル処理を行った後、インターネットに送出さ
れる。As shown in FIG. 5, on the premise of this system, on the data center side, since the packet from the decoy server 13 imitates the server 5, all the management system 1
Encapsulated by 1 and network device 3
After decapsulation processing, it is sent to the Internet.
【0045】図12に、本形態において、ネットワーク
機器3、管理システム11が送受信するDNS処理に関
する通信パケットの構成について示す。パケットP11
は、DNSサーバへの問い合わせパケットである。パケ
ットP11は、おとりサーバ13から送信され、管理シ
ステム11により受信される。パケットP12は、パケ
ットP11をエンカプセル処理したパケットで、識別情
報を含むDNSへの問い合わせパケットの情報を転送す
る。パケットP12は、管理システム11からネットワ
ーク機器3へ送信される。なお、パケットP12は処理
要求データに相当する。パケットP13は、パケットP
12をデカプセル処理したパケットで、デカプセル処理
後に送信元ポート番号をおとりサーバ用のポート番号に
変更したものである。パケットP13は、ネットワーク
機器3からDNSサーバ15へ送信される。なお、変更
した送信元ポート番号は、判別情報に相当する。パケッ
トP14は、DNSサーバからの応答パケットで、DN
Sサーバ15から送信され、ネットワーク機器3により
受信される。パケットP14のみの情報では、本来送信
先に指定するおとりサーバ13と内部サーバ5の区別が
難しいが、パケットP13で送信元ポート番号をおとり
サーバ用に変更しているため、ネットワーク機器3でお
とりサーバ13への応答であることを判別できる。な
お、パケットP14は、処理応答データに相当する。パ
ケットP15は、パケットP14をエンカプセル処理し
たパケットで、送信先ポート番号がパケットP13で変
更したおとりサーバを示す場合、転送データに含まれる
送信先ポート番号を変更前のおとりサーバが指定したオ
リジナル番号に変更し、識別情報を含む応答パケット情
報を転送する。パケットP15は、ネットワーク機器3
から管理システム11へ送信される。パケットP16
は、パケットP15をデカプセル処理したパケットで、
おとりサーバからの問い合わせパケットP11に対する
応答として、管理システム11からおとりサーバ13に
返送される。FIG. 12 shows the structure of a communication packet relating to the DNS processing transmitted and received by the network device 3 and the management system 11 in this embodiment. Packet P11
Is a query packet to the DNS server. The packet P11 is transmitted from the decoy server 13 and received by the management system 11. The packet P12 is a packet obtained by encapsulating the packet P11, and transfers the information of the inquiry packet to the DNS including the identification information. The packet P12 is transmitted from the management system 11 to the network device 3. The packet P12 corresponds to the processing request data. Packet P13 is packet P
12 is a decapsulated packet in which the source port number is changed to the decoy server port number after the decapsulation process. The packet P13 is transmitted from the network device 3 to the DNS server 15. The changed source port number corresponds to the discrimination information. The packet P14 is a response packet from the DNS server
It is transmitted from the S server 15 and received by the network device 3. It is difficult to distinguish between the decoy server 13 originally designated as the destination and the internal server 5 by using only the information of the packet P14, but since the source port number is changed in the packet P13 for the decoy server, the decoy server of the network device 3 is used. It can be determined that it is a response to 13. The packet P14 corresponds to the processing response data. The packet P15 is a packet obtained by encapsulating the packet P14, and when the transmission destination port number indicates the decoy server changed in the packet P13, the transmission port number included in the transfer data is the original number designated by the decoy server before the change. And transfer the response packet information including the identification information. The packet P15 is the network device 3
To the management system 11. Packet P16
Is a packet obtained by decapsulating the packet P15,
As a response to the inquiry packet P11 from the decoy server, it is returned from the management system 11 to the decoy server 13.
【0046】次にシステム全体の動きについて説明す
る。図13は、セキュリティシステムが他のデータセン
タの所在を調べるためにDNSサーバとのパケットの流
れを示したものである。データセンタ1とデータセンタ
2の間で、例えば、おとりサーバのログ情報など管理デ
ータをやりとりする場合、データセンタ1のおとりサー
バ13がDNSサーバ15にデータセンタ2のIPアド
レスを問い合わせる(201)。おとりサーバ13の問
い合わせは管理システム11でエンカプセル処理され、
ネットワーク機器3に到達する(202)。ネットワー
ク機器3では、受信したパケットの識別情報により管理
システムからのパケットであると判別する。また、デカ
プセル処理の後、データの内容からDNSへの問い合わ
せであることも判定する。一方で、DNSサーバ15を
含む一般的な外部端末からは、おとりサーバ13が内部
サーバ5とIPアドレス等を同様の環境に設定している
ため、おとりサーバ13と内部サーバ5は同じサーバと
して見える。従って、おとりサーバ13からの問い合わ
せに対するDNSサーバ15の応答パケットは、そのま
まだと内部サーバ5におとりサーバ13と混在したパケ
ットが返送されるか、応答に失敗することが考えられ
る。そこで、ネットワーク機器3では、DNSサーバに
転送する際(203)、内部サーバ5と区別するため、
管理システム11を経由したおとりサーバ13のパケッ
トのTCP/UDP送信元ポート番号をおとりサーバ用
に定義した番号に変更し、おとりサーバが設定したオリ
ジナルのポート番号を記憶する。DNSサーバでは内部
サーバ5のパケットと判断して、DNS処理を行い応答
を返す(204)。通常、問い合わせパケットの送信元
ポート番号は変更されないので、ネットワーク機器3に
返された応答パケットの宛先ポート番号はネットワーク
機器3で変更されたままの番号になっている。ネットワ
ーク機器3では、宛先ポート番号を見ておとりサーバ用
に定義した番号である場合、おとりサーバが指定したオ
リジナルのポート番号に変更する。宛先ポート番号が他
のポート番号である場合は、変更は必要ない。この後、
再びエンカプセル処理して、管理システム11に送信す
る(205)。管理システム11では、受信したネット
ワーク機器からのパケットをデカプセル処理することに
よって、DNSサーバからの応答パケットを認識するこ
とができる(206)。これによって、データセンタ1
はデータセンタ2の所在情報(管理システム21やおと
りサーバ23のIPアドレス)を得て、管理データを送
信することができる(207)。Next, the operation of the entire system will be described. FIG. 13 shows a packet flow with the DNS server for the security system to check the whereabouts of another data center. When exchanging management data such as log information of the decoy server between the data center 1 and the data center 2, the decoy server 13 of the data center 1 queries the DNS server 15 for the IP address of the data center 2 (201). Inquiries from the decoy server 13 are encapsulated by the management system 11,
The network device 3 is reached (202). The network device 3 determines that the packet is from the management system based on the identification information of the received packet. After the decapsulation processing, it is also determined from the content of the data that the inquiry is to the DNS. On the other hand, from a general external terminal including the DNS server 15, since the decoy server 13 sets the IP address and the like in the same environment as the decoy server 13, the decoy server 13 and the internal server 5 appear as the same server. . Therefore, if the response packet of the DNS server 15 to the inquiry from the decoy server 13 is left as it is, a packet mixed with the decoy server 13 may be returned to the internal server 5 or the response may fail. Therefore, the network device 3 distinguishes it from the internal server 5 when transferring it to the DNS server (203).
The TCP / UDP transmission source port number of the packet of the decoy server 13 via the management system 11 is changed to the number defined for the decoy server, and the original port number set by the decoy server is stored. The DNS server determines that the packet is from the internal server 5, performs DNS processing, and returns a response (204). Normally, the transmission source port number of the inquiry packet is not changed, so the destination port number of the response packet returned to the network device 3 is the number that has been changed by the network device 3. In the network device 3, if the destination port number is the number defined for the decoy server, it is changed to the original port number specified by the decoy server. If the destination port number is another port number, no change is necessary. After this,
The encapsulation process is performed again and the data is transmitted to the management system 11 (205). The management system 11 can recognize the response packet from the DNS server by decapsulating the received packet from the network device (206). As a result, the data center 1
Can obtain the location information of the data center 2 (IP addresses of the management system 21 and the decoy server 23) and transmit the management data (207).
【0047】以上のように、通信パケットのTCP/U
DPのポート番号を変更することによって、DNSサー
バにおとりサーバの存在を意識させることなく、DNS
サーバとおとりサーバの通信を実現することができる。
これにより、データセンタ間の連携を可能にする一つの
手段として、DNSサーバを参照して他データセンタの
IPアドレスを調べることができる。本形態は、ポート
番号が固定的な通信アプリケーションであれば、DNS
サーバ以外の外部サーバにも応用できる。また、実施の
形態3や図10に示したように、エンカプセル処理した
パケットに認証情報を追加することによって、より安全
性の高いシステムにすることが可能である。As described above, TCP / U of the communication packet
By changing the DP port number, the DNS server does not need to be aware of the existence of the decoy server.
Communication between the server and the decoy server can be realized.
As a result, as one means for enabling cooperation between data centers, it is possible to refer to the DNS server and check the IP addresses of other data centers. In this embodiment, if the communication application has a fixed port number, the DNS
It can also be applied to external servers other than servers. Further, as shown in the third embodiment and FIG. 10, by adding the authentication information to the packet subjected to the encapsulation process, it is possible to make a system with higher security.
【0048】実施の形態5.実施の形態4では、パケッ
トのポート番号を変更することによって、外部サーバ
(DNSサーバ)との通信処理を実現し、複数のデータ
センタとの連携を可能にするシステムの形態について示
した。次に、同様の目的において、パケットのIPアド
レスを変更することによって、データセンタ間で情報を
やりとりするため、外部サーバ(DNSサーバ)との通
信処理を実現するシステムの形態について示す。Embodiment 5. In the fourth embodiment, the form of the system that realizes the communication processing with the external server (DNS server) by changing the port number of the packet and enables the cooperation with the plurality of data centers has been described. Next, for the same purpose, a form of a system for realizing communication processing with an external server (DNS server) for exchanging information between data centers by changing the IP address of a packet will be shown.
【0049】図14に、本形態において、ネットワーク
機器3、管理システム11が送受信するDNS処理に関
する通信パケットの構成について示す。パケットP21
は、DNSサーバへの問い合わせパケットである。パケ
ットP21は、おとりサーバ13から送信され、管理シ
ステム11により受信される。パケットP22は、パケ
ットP21をエンカプセル処理したパケットで、識別情
報を含むDNSへの問い合わせパケットの情報を転送す
る。パケットP22は、管理システム11からネットワ
ーク機器3へ送信される。パケットP22は、処理要求
データに相当する。パケットP23は、パケットP22
をデカプセル処理したパケットで、デカプセル処理後に
送信元アドレスをおとりサーバのオリジナルIPアドレ
スから、おとりサーバ用の別のIPアドレスに変更した
ものである。パケットP23は、ネットワーク機器3か
らDNSサーバ15へ送信される。なお、変更した送信
元アドレスは、判別情報に相当する。パケットP24
は、DNSサーバからの応答パケットで、DNSサーバ
15から送信され、ネットワーク機器3により受信され
る。パケットP24のみの情報では、本来、送信先に指
定するおとりサーバ13と内部サーバ5の区別が難しい
が、パケットP23で送信元IPアドレスをおとりサー
バ用に変更しているため、ネットワーク機器3でおとり
サーバ13への応答であることを判別できる。なお、パ
ケットP24は、処理応答データに相当する。パケット
P25は、パケットP24をエンカプセル処理したパケ
ットで、送信先IPアドレスがパケットP24で変更し
たおとりサーバ用に設定したアドレスを示す場合、転送
データに含まれる送信先IPアドレスをおとりサーバの
オリジナルIPアドレスに戻し、識別情報を含む応答パ
ケット情報を転送する。パケットP25は、ネットワー
ク機器3から管理システム11へ送信される。パケット
P26は、パケットP25をデカプセル処理したパケッ
トで、おとりサーバからの問い合わせパケットP21に
対する応答として、管理システム11からおとりサーバ
13に返送される。FIG. 14 shows the structure of a communication packet relating to the DNS processing transmitted and received by the network device 3 and the management system 11 in this embodiment. Packet P21
Is a query packet to the DNS server. The packet P21 is transmitted from the decoy server 13 and received by the management system 11. The packet P22 is a packet obtained by encapsulating the packet P21, and transfers the information of the inquiry packet to the DNS including the identification information. The packet P22 is transmitted from the management system 11 to the network device 3. The packet P22 corresponds to the processing request data. The packet P23 is the packet P22
Is a decapsulated packet in which the source address is changed from the original IP address of the decoy server to another IP address for the decoy server after the decapsulation process. The packet P23 is transmitted from the network device 3 to the DNS server 15. The changed source address corresponds to the discrimination information. Packet P24
Is a response packet from the DNS server, transmitted from the DNS server 15 and received by the network device 3. Originally, it is difficult to distinguish the decoy server 13 designated as the destination and the internal server 5 from the information of only the packet P24, but since the source IP address is changed in the packet P23 for the decoy server, the decoy server 3 It can be determined that the response is to the server 13. The packet P24 corresponds to the processing response data. The packet P25 is a packet obtained by encapsulating the packet P24, and when the destination IP address indicates the address set for the decoy server changed in the packet P24, the destination IP address included in the transfer data is the original IP of the decoy server. It returns to the address and transfers the response packet information including the identification information. The packet P25 is transmitted from the network device 3 to the management system 11. The packet P26 is a packet obtained by decapsulating the packet P25, and is returned from the management system 11 to the decoy server 13 as a response to the inquiry packet P21 from the decoy server.
【0050】次にシステム全体の動きについて説明す
る。図15は、本実施の形態におけるセキュリティシス
テムが他のデータセンタの所在を調べるためにDNSサ
ーバとのパケットの流れを示したものであるが、送信す
るパケットの内容以外は、図13と同様である。また、
システムの動きについても、201、202は、実施の
形態4で図13に示した内容と同様である。ネットワー
ク機器3がパケットを受信した以降の処理が実施の形態
4と異なる。ネットワーク機器3では、DNSサーバに
転送する際(203)、内部サーバ5と区別するため、
管理システム11を経由したおとりサーバ13のパケッ
トの送信元IPアドレスをおとりサーバ用の別IPアド
レスに変更し、オリジナルのおとりサーバのIPアドレ
スを記憶する。DNSサーバでは変更されたIPアドレ
スを持つサーバからの問い合わせとして、DNS処理を
行い応答を返す(204)。DNSサーバからの応答を
受信したネットワーク機器3では、送信先がおとりサー
バ用IPアドレス(変更後の別のIPアドレス)になっ
ている場合、記憶しているオリジナルのおとりサーバの
IPアドレスに戻す。宛先IPアドレスが他のIPアド
レスである場合は、変更は必要ない。再びエンカプセル
処理して、管理システム11に送信する(205)。管
理システム11では、受信したネットワーク機器からの
パケットをデカプセル処理をすることによって、DNS
サーバからの応答パケットを認識することができる(2
06)。これによって、データセンタ1はデータセンタ
2の所在情報(管理システム21やおとりサーバ23の
IPアドレス)を得て、管理データを送信することがで
きる(207)。Next, the operation of the entire system will be described. FIG. 15 shows a packet flow with the DNS server in order to check the whereabouts of another data center by the security system according to the present embodiment. However, except for the contents of the packet to be transmitted, it is the same as FIG. is there. Also,
Regarding the operation of the system, 201 and 202 are the same as the contents shown in FIG. 13 in the fourth embodiment. The process after the network device 3 receives the packet is different from that of the fourth embodiment. The network device 3 distinguishes it from the internal server 5 when transferring it to the DNS server (203).
The source IP address of the packet of the decoy server 13 via the management system 11 is changed to another IP address for the decoy server, and the IP address of the original decoy server is stored. The DNS server performs DNS processing as an inquiry from the server having the changed IP address and returns a response (204). In the network device 3 that has received the response from the DNS server, when the destination is the IP address for the decoy server (another IP address after the change), the network device 3 restores the stored IP address of the original decoy server. No change is required if the destination IP address is another IP address. The encapsulation process is performed again and the data is transmitted to the management system 11 (205). The management system 11 de-capsulates the received packet from the network device, thereby
A response packet from the server can be recognized (2
06). As a result, the data center 1 can obtain the location information of the data center 2 (IP addresses of the management system 21 and the decoy server 23) and transmit the management data (207).
【0051】以上のように、通信パケットのIPアドレ
スを変更することによって、DNSサーバにおとりサー
バの存在を意識させることなく、DNSサーバとおとり
サーバの通信を実現することができる。これにより、デ
ータセンタ間の連携を可能にする一つの手段として、D
NSサーバを参照して他データセンタのIPアドレスを
調べることができる。本形態は、通信アプリケーション
のポート番号に制約がなく、DNSサーバ以外の外部サ
ーバにも応用できる。また、実施の形態3や図10に示
したように、エンカプセル処理したパケットに認証情報
を追加することによって、より安全性の高いシステムに
することが可能である。As described above, by changing the IP address of the communication packet, it is possible to realize the communication between the DNS server and the decoy server without making the DNS server aware of the existence of the decoy server. In this way, D can be used as one means to enable cooperation between data centers.
The IP address of another data center can be checked by referring to the NS server. This embodiment has no restriction on the port number of the communication application and can be applied to an external server other than the DNS server. Further, as shown in the third embodiment and FIG. 10, by adding the authentication information to the packet subjected to the encapsulation process, it is possible to make a system with higher security.
【0052】ここで、以上にて説明してきた実施の形態
1〜5の特徴を示すと以下のようになる。実施の形態1
は、コンピュータネットワークシステムにおける不正侵
入対策に関して、サポート契約者のネットワークセキュ
リティ集中管理サービスを提供する。集中管理サービス
の一つとして、不正侵入者をサポート提供者のおとりサ
ーバに誘導する。サービス利用者のネットワーク機器
は、不正侵入を検出すると、不正侵入パケットをサービ
ス提供者のデータセンタ内の管理システムに制御情報を
施し(エンカプセル処理)、転送する。データセンタに
は、管理システム、擬似サーバ(ここではおとりサーバ
と呼ぶ)等が設置されている。おとりサーバは、不正侵
入者の標的となっていたサービス利用者の攻撃対象サー
バに見せかけて誘導するためのもので、攻撃対象サーバ
と同じ応答を返す。管理システムでは、転送された不正
侵入パケットの制御情報を解いて(デカプセル処理)解
析する。また、おとりサーバからの応答をエンカプセル
し、ネットワーク機器に転送する。管理システムからの
応答パケットを受信したネットワーク機器は、応答パケ
ットをデカプセルし、送出する。不正侵入者はこの応答
パケットを攻撃対象サーバとの応答だと思い込むが、ネ
ットワーク機器を介して、データセンタのおとりサーバ
とやりとりしていることとなり、おとりサーバに誘導さ
れる。The features of the first to fifth embodiments described above are as follows. Embodiment 1
Provides a network security centralized management service for support contractors regarding countermeasures against intrusion in computer network systems. As one of the centralized management services, it guides an intruder to the decoy server of the support provider. When the network device of the service user detects an illegal intrusion, the network device of the service user applies the control information (encapsulation process) to the management system in the data center of the service provider and transfers it. A management system, a pseudo server (herein called a decoy server), etc. are installed in the data center. The decoy server is intended to guide the attack target server of the service user who has been the target of the intruder, and returns the same response as the attack target server. The management system analyzes (decapsulates) the control information of the transferred unauthorized intrusion packet and analyzes it. It also encapsulates the response from the decoy server and transfers it to the network device. Upon receiving the response packet from the management system, the network device decapsulates the response packet and sends it out. The unauthorized intruder thinks that this response packet is a response to the attack target server, but since it is interacting with the decoy server of the data center via the network device, it is guided to the decoy server.
【0053】実施の形態2は、コンピュータネットワー
クシステムにおける不正侵入対策に関して、サポート契
約者のネットワークセキュリティ集中管理サービスを提
供する。集中管理サービスの一つとして、不正侵入者を
サポート提供者のおとりサーバに誘導する。サービス利
用者のネットワーク機器は、定期的にログ情報をエンカ
プセル化して、サービス提供者に転送する。データセン
タの管理システムでは、ログ情報を解析し、不正が認め
られた場合、管理システムからの通知によりネットワー
ク機器の不正侵入検出の設定情報を更新することを特徴
とする。The second embodiment provides a network security centralized management service of a support contractor regarding countermeasures against unauthorized intrusion in a computer network system. As one of the centralized management services, it guides an intruder to the decoy server of the support provider. The network device of the service user periodically encapsulates the log information and transfers it to the service provider. The management system of the data center is characterized by analyzing the log information and updating the setting information for detecting the intrusion of the network device by the notification from the management system when the injustice is recognized.
【0054】実施の形態3は、集中管理サービスが送受
信するパケットに関して、認証情報の負荷または暗号化
により、セキュリティ強度を向上させることを特徴とす
る。The third embodiment is characterized in that the security strength of the packet transmitted and received by the centralized management service is improved by the load or encryption of the authentication information.
【0055】実施の形態4は、通信パケットのプロトコ
ルヘッダ情報である、通信パケットのポート番号を中継
時に変更することによって、ネットワーク利用者にはお
とりサーバの存在を意識させることなく、おとりサーバ
と同一の環境に設定された内部サーバによる通信とおと
りサーバによる通信を区別し、インターネット(外部ネ
ットワーク)に設置されたDNSサーバとおとりサーバ
との通信を実現することを特徴とする。In the fourth embodiment, the port number of the communication packet, which is the protocol header information of the communication packet, is changed at the time of relaying so that the network user does not have to be aware of the existence of the decoy server and the same as the decoy server. It is characterized in that the communication by the internal server and the communication by the decoy server set in the environment are distinguished and the communication between the DNS server and the decoy server installed on the Internet (external network) is realized.
【0056】実施の形態5は、通信パケットのプロトコ
ルヘッダ情報である、通信パケットのIPアドレスを中
継時に変更することによって、ネットワーク利用者には
おとりサーバの存在を意識させることなく、おとりサー
バと同一の環境に設定された内部サーバによる通信とお
とりサーバによる通信を区別し、インターネット(外部
ネットワーク)に設置されたDNSサーバとおとりサー
バとの通信を実現することを特徴とする。In the fifth embodiment, by changing the IP address of the communication packet, which is the protocol header information of the communication packet, at the time of relaying, the network user is made aware of the existence of the decoy server and is the same as the decoy server. It is characterized in that the communication by the internal server and the communication by the decoy server set in the environment are distinguished and the communication between the DNS server and the decoy server installed on the Internet (external network) is realized.
【0057】[0057]
【発明の効果】本発明によれば、不正侵入データ検知装
置で検出した不正侵入データを不正侵入データ検知装置
自身で対処するのではなく、不正侵入者を内部通信ネッ
トワーク外の不正侵入データ対策処理装置に誘導するよ
うにしているので、内部通信のネットワークとは独立し
た侵入対処サービスを実現することができる。According to the present invention, the unauthorized intrusion data detected by the unauthorized intrusion data detecting device is not dealt with by the unauthorized intrusion data detecting device itself, but the unauthorized intruder is treated against the unauthorized intrusion data outside the internal communication network. Since the device is guided to the device, an intrusion countermeasure service independent of the internal communication network can be realized.
【0058】また、本発明によれば、直接の攻撃ではな
くとも不正侵入のおそれのあるデータの侵入を防止する
ことにより、不正侵入に対する有効な対策を行うことが
できる。Further, according to the present invention, it is possible to take an effective countermeasure against unauthorized intrusion by preventing intrusion of data which may be unauthorized intrusion even if it is not a direct attack.
【0059】また、本発明によれば、不正侵入データに
認証情報を追加することによって、不正侵入データ対策
処理装置と不正侵入データ検知装置との間の通信のセキ
ュリティを向上させる効果がある。Further, according to the present invention, by adding the authentication information to the unauthorized access data, there is an effect that the security of communication between the unauthorized access data countermeasure processing device and the unauthorized access data detection device is improved.
【0060】また、本発明によれば、不正侵入データ対
策処理装置からの処理要求データは不正侵入データ検知
装置を介して処理装置に送信され、処理装置からの処理
応答データは不正侵入データ検知装置を介して不正侵入
データ対策処理装置に送信されるため、処理装置に不正
侵入データ対策処理装置の存在を意識させることなく、
不正侵入データ対策処理装置と処理装置との間の通信を
実現することができる。Further, according to the present invention, the processing request data from the unauthorized intrusion data countermeasure processing device is transmitted to the processing device via the unauthorized intrusion data detection device, and the processing response data from the processing device is the unauthorized intrusion data detection device. Since it is transmitted to the unauthorized intrusion data countermeasure processing device through the, without making the processing device aware of the presence of the unauthorized intrusion data countermeasure processing device,
Communication between the unauthorized intrusion data countermeasure processing device and the processing device can be realized.
【図1】 ネットワークシステムの全体構成を示す図。FIG. 1 is a diagram showing an overall configuration of a network system.
【図2】 ネットワーク機器の機能ブロックを示す図。FIG. 2 is a diagram showing functional blocks of a network device.
【図3】 データセンタの機能ブロックを示す図。FIG. 3 is a diagram showing functional blocks of a data center.
【図4】 通信パケットP1〜P4の構成を示す図。FIG. 4 is a diagram showing a configuration of communication packets P1 to P4.
【図5】 実施の形態1における不正侵入パケット対策
処理の手順を示す図。FIG. 5 is a diagram showing a procedure of unauthorized intrusion packet countermeasure processing according to the first embodiment.
【図6】 ネットワーク機器の処理フローを示す図。FIG. 6 is a diagram showing a processing flow of a network device.
【図7】 データセンタの処理フローを示す図。FIG. 7 is a diagram showing a processing flow of a data center.
【図8】 実施の形態2における不正侵入パケット対策
処理の手順を示す図。FIG. 8 is a diagram showing a procedure of an unauthorized intrusion packet countermeasure process according to the second embodiment.
【図9】 通信パケットP5の構成を示す図。FIG. 9 is a diagram showing the configuration of a communication packet P5.
【図10】 通信パケットP2Hの構成を示す図。FIG. 10 is a diagram showing a configuration of a communication packet P2H.
【図11】 実施の形態4及び5におけるネットワーク
システムの全体構成を示す図。FIG. 11 is a diagram showing an overall configuration of a network system according to the fourth and fifth embodiments.
【図12】 通信パケットP11〜P16の構成を示す
図。FIG. 12 is a diagram showing a configuration of communication packets P11 to P16.
【図13】 実施の形態4におけるデータセンタ、DN
Sサーバ間のパケットの流れを示す図。FIG. 13 is a data center and DN in the fourth embodiment.
The figure which shows the flow of the packet between S servers.
【図14】 通信パケットP21〜P26の構成を示す
図。FIG. 14 is a diagram showing a configuration of communication packets P21 to P26.
【図15】 実施の形態5におけるデータセンタ、DN
Sサーバ間のパケットの流れを示す図。FIG. 15 is a data center and DN according to the fifth embodiment.
The figure which shows the flow of the packet between S servers.
1 データセンタ、2 インターネット、3 ネットワ
ーク機器、4 一般端末、5 攻撃対象サーバ、6 不
正侵入者端末、11 管理システム、12 顧客データ
ベース、13 おとりサーバ、14 知識ベース、15
DNSサーバ、20 データセンタ、21 管理シス
テム、23 おとりサーバ。1 data center, 2 internet, 3 network equipment, 4 general terminal, 5 attack target server, 6 unauthorized intruder terminal, 11 management system, 12 customer database, 13 decoy server, 14 knowledge base, 15
DNS server, 20 data center, 21 management system, 23 decoy server.
フロントページの続き (56)参考文献 特開2000−261483(JP,A) 特開 平9−214556(JP,A) 特開 平9−214543(JP,A) 不正アクセス検知システム導入による 最新のセキュリティ対策〜NetRan gerによるエマージェンシー・,日経 情報ストラテジー,1998年 1月24日, 第7巻 第1号,p.230−231 川崎慎介,斉藤栄太郎,プロに任せる セキュリティ対策 アウトソーシングの 実用度を探る,日経コミュニケーショ ン,日本,日経BP社,1999年 9月20 日,第302号,p.94−111 (58)調査した分野(Int.Cl.7,DB名) G06F 13/00 H04L 12/00 Continuation of the front page (56) Reference JP 2000-261483 (JP, A) JP 9-214556 (JP, A) JP 9-214543 (JP, A) Latest security by introducing unauthorized access detection system Countermeasures-Emergency by NetRanger, Nikkei Information Strategy, January 24, 1998, Vol. 7, No. 1, p. 230-231 Shinsuke Kawasaki, Eitaro Saito, Security Measures for Professionals Exploring the Practicality of Outsourcing, Nikkei Communication, Japan, Nikkei BP, September 20, 1999, No. 302, p. 94-111 (58) Fields investigated (Int.Cl. 7 , DB name) G06F 13/00 H04L 12/00
Claims (17)
ネットワークに接続され、 前記内部通信ネットワークに不正に侵入する目的で前記
内部通信ネットワーク外に配置されたいずれかのデータ
通信装置から前記内部通信ネットワークに対して送信さ
れた不正侵入データを前記内部通信ネットワークよりイ
ンターネットを介して受信し、受信した前記不正侵入デ
ータに対する応答データを生成するとともに、前記内部
通信ネットワークから前記不正侵入データの送信元のデ
ータ通信装置に対して応答データを送信させるための識
別情報を応答データに付加し、識別情報が付加された応
答データをインターネットを介して前記内部通信ネット
ワークに送信し、応答データに付加された識別情報に基
づいて前記内部通信ネットワークから前記不正侵入デー
タの送信元のデータ通信装置に対して前記応答データを
送信させることを特徴とする不正侵入データ対策処理装
置。1. A data communication device connected to a predetermined internal communication network via the Internet and arranged outside the internal communication network for the purpose of illegally entering the internal communication network, to the internal communication network. with the intrusion data transmitted for and received via the Internet from the internal communication network, to generate the response data to the illegal access data received, the internal
From the communication network, the source of the unauthorized intrusion data
Knowledge for sending response data to the data communication device.
Response information with additional information added to the response data
The answer data is transmitted to the internal communication network via the Internet, and based on the identification information added to the response data.
Then , the unauthorized intrusion data countermeasure processing device is characterized in that the response data is transmitted from the internal communication network to the data communication device that is the sender of the unauthorized intrusion data.
置と前記内部通信ネットワーク外に配置されたデータ通
信装置との間のデータ通信の中継を行うとともに前記不
正侵入データを検知するために前記内部通信ネットワー
ク内に配置された不正侵入データ検知装置にインターネ
ットを介して接続され、 インターネットを介して前記不正侵入データ検知装置よ
り前記不正侵入データを受信し、 受信した前記不正侵入データに対する応答データを生成
し、 生成した応答データをインターネットを介して前記不正
侵入データ検知装置に対して送信し、前記不正侵入デー
タ検知装置から前記不正侵入データの送信元のデータ通
信装置に対して前記応答データを送信させることを特徴
とする請求項1に記載の不正侵入データ対策処理装置。2. The unauthorized intrusion data countermeasure processing device relays data communication between a data communication device arranged inside the internal communication network and a data communication device arranged outside the internal communication network. Connected to the unauthorized intrusion data detection device arranged in the internal communication network to detect the unauthorized intrusion data via the Internet, and receives the unauthorized intrusion data from the unauthorized intrusion data detection device via the Internet, Response data for the received unauthorized intrusion data is generated, the generated response data is transmitted to the unauthorized intrusion data detection device via the Internet, and the source data of the unauthorized intrusion data is transmitted from the unauthorized intrusion data detection device. A method for transmitting the response data to a communication device. Intrusion data protection processing apparatus according to 1.
を受信するデータ受信部と、 前記データ受信部により受信された前記不正侵入データ
を解析するデータ解析部と、 前記データ解析部による解析結果に基づき、前記不正侵
入データに対する応答データを生成する応答データ生成
部と、 前記応答データ生成部により生成された前記応答データ
を前記不正侵入データ検知装置に対して送信し、前記不
正侵入データ検知装置から前記不正侵入データの送信元
のデータ通信装置に対して前記応答データを送信させる
データ送信部とを有することを特徴とする請求項2に記
載の不正侵入データ対策処理装置。3. The unauthorized intrusion data countermeasure processing device, a data receiving unit that receives the unauthorized intrusion data from the unauthorized intrusion data detection device, and data that analyzes the unauthorized intrusion data received by the data receiving unit. An analysis unit, a response data generation unit that generates response data for the unauthorized intrusion data based on an analysis result by the data analysis unit, and the response data generated by the response data generation unit to the unauthorized intrusion data detection device. The illegal transmission according to claim 2, further comprising: a data transmission unit that transmits the response data to the data communication device that is the transmission source of the unauthorized intrusion data from the unauthorized intrusion data detection device. Intrusion data countermeasure processing device.
検知装置によりカプセル処理された不正侵入データを受
信し、 前記不正侵入データ対策処理装置は、更に、 前記データ受信部により受信されたカプセル処理された
不正侵入データのカプセル処理を解除して不正侵入デー
タを抽出するとともに、不正侵入データに対する応答デ
ータに対してカプセル処理を行うカプセル処理部を有
し、 前記データ送信部は、 前記カプセル処理部によりカプセル処理された応答デー
タを前記不正侵入データ検知装置に対して送信し、前記
不正侵入データ検知装置から前記不正侵入データの送信
元のデータ通信装置に対してカプセル処理が解除された
後の応答データを送信させることを特徴とする請求項3
に記載の不正侵入データ対策処理装置。4. The data receiving unit receives from the unauthorized intrusion data detection device the unauthorized intrusion data encapsulated by the unauthorized intrusion data detection device, and the unauthorized intrusion data countermeasure processing device further comprises: The encapsulation processing is performed on the encapsulation-processed unauthorized intrusion data received by the receiving unit to extract the unauthorized intrusion data, and the encapsulation processing unit performs encapsulation processing on the response data to the unauthorized intrusion data. The transmitting unit transmits the response data encapsulated by the encapsulation processing unit to the unauthorized intrusion data detection device, and encapsulates the unauthorized intrusion data detection device with respect to the data communication device that is the source of the unauthorized intrusion data. The response data after the processing is released is transmitted.
Unauthorized intrusion data countermeasure processing device described in.
通信装置が前記不正侵入データを受信した場合に、前記
特定のデータ通信装置が前記不正侵入データに対して生
成する応答データと同じ内容の応答データを生成するこ
とを特徴とする請求項3に記載の不正侵入データ対策処
理装置。5. The response data generation unit is configured such that, when a specific data communication device arranged in the internal communication network receives the unauthorized access data, the specific data communication device responds to the unauthorized access data. 4. The unauthorized intrusion data countermeasure processing device according to claim 3, wherein the response data having the same content as the response data generated as described above is generated.
検知装置の通信履歴を示す通信履歴情報を受信し、 前記データ解析部は、 前記データ受信部により受信された前記通信履歴情報を
解析し、前記通信履歴情報の解析結果に基づき前記内部
通信ネットワーク外に配置された所定のデータ通信装置
から送信されるデータを不正侵入データに指定する不正
侵入データ指定情報を生成し、 前記データ送信部は、 前記データ解析部により生成された前記不正侵入データ
指定情報を前記不正侵入データ検知装置に送信すること
を特徴とする請求項3に記載の不正侵入データ対策処理
装置。6. The data reception unit receives communication history information indicating a communication history of the unauthorized intrusion data detection device from the unauthorized intrusion data detection device, and the data analysis unit is received by the data reception unit. Unauthorized intrusion data designation information for designating data transmitted from a predetermined data communication device arranged outside the internal communication network as unauthorized intrusion data by analyzing the communication history information The unauthorized access data countermeasure processing device according to claim 3, wherein the unauthorized access data countermeasure processing device generates, and the data transmission unit transmits the unauthorized access data designation information generated by the data analysis unit to the unauthorized access data detection device. .
認証情報が添付された不正侵入データを受信し、 前記カプセル処理部は、前記認証情報を用いて前記不正
侵入データのデータ認証を行うことを特徴とする請求項
4に記載の不正侵入データ対策処理装置。7. The data receiving unit receives from the unauthorized intrusion data detection device unauthorized intrusion data attached with authentication information used for data authentication, and the capsule processing unit uses the authentication information to perform the unauthorized access. 5. The unauthorized intrusion data countermeasure processing device according to claim 4, wherein data authentication of intrusion data is performed.
答データに添付し、 前記データ送信部は、 前記カプセル処理部により認証情報が添付された応答デ
ータを前記不正侵入データ検知装置に送信することを特
徴とする請求項7に記載の不正侵入データ対策処理装
置。8. The encapsulation processing unit attaches authentication information used for data authentication of the response data to the response data, and the data transmission unit attaches the response data to which the authentication information is attached by the encapsulation processing unit. 8. The unauthorized intrusion data countermeasure processing device according to claim 7, which is transmitted to an unauthorized intrusion data detection device.
ネットワークと通信可能であり、 前記内部通信ネットワークに不正に侵入する目的で前記
内部通信ネットワーク外に配置されたいずれかのデータ
通信装置から前記内部通信ネットワークに対して送信さ
れた不正侵入データを前記内部通信ネットワークよりイ
ンターネットを介して受信し、受信した前記不正侵入デ
ータに対する応答データを生成するとともに、前記内部
通信ネットワークから前記不正侵入データの送信元のデ
ータ通信装置に対して応答データを送信させるための識
別情報を応答データに付加し、識別情報が付加された応
答データをインターネットを介して前記内部通信ネット
ワークに送信し、応答データに付加された識別情報に基
づいて前記内部通信ネットワークから前記不正侵入デー
タの送信元のデータ通信装置に対して前記応答データを
送信させることを特徴とする不正侵入データ対策処理方
法。9. An internal communication is possible from any data communication device which is capable of communicating with a predetermined internal communication network via the Internet and is arranged outside the internal communication network for the purpose of illegally intruding into the internal communication network. The unauthorized intrusion data transmitted to the network is received from the internal communication network via the Internet, and the response data to the received unauthorized intrusion data is generated , and the internal
From the communication network, the source of the unauthorized intrusion data
Knowledge for sending response data to the data communication device.
Response information with additional information added to the response data
The answer data is transmitted to the internal communication network via the Internet, and based on the identification information added to the response data.
Then, the response data is processed from the internal communication network to the data communication device which is the sender of the unauthorized intrusion data.
置と前記内部通信ネットワーク外に配置されたデータ通
信装置との間のデータ通信の中継を行うとともに前記不
正侵入データを検知するために前記内部通信ネットワー
ク内に配置された不正侵入データ検知装置とインターネ
ットを介して通信可能であり、 インターネットを介して前記不正侵入データ検知装置よ
り前記不正侵入データを受信し、 受信した前記不正侵入データに対する応答データを生成
し、 生成した応答データをインターネットを介して前記不正
侵入データ検知装置に対して送信し、前記不正侵入デー
タ検知装置から前記不正侵入データの送信元のデータ通
信装置に対して前記応答データを送信させることを特徴
とする請求項9に記載の不正侵入データ対策処理方法。10. The illegal intrusion data countermeasure processing method relays data communication between a data communication device arranged inside the internal communication network and a data communication device arranged outside the internal communication network. It is possible to communicate via the Internet with an unauthorized intrusion data detection device arranged in the internal communication network to detect the unauthorized intrusion data, and receive the unauthorized intrusion data from the unauthorized intrusion data detection device via the Internet. Then, the response data to the received unauthorized intrusion data is generated, the generated response data is transmitted to the unauthorized intrusion data detection device via the Internet, and the unauthorized intrusion data detection device transmits the unauthorized intrusion data from the source. The response data is transmitted to the data communication device of Intrusion data protection method according to claim 9 that.
を受信するデータ受信ステップと、 前記データ受信ステップにより受信された前記不正侵入
データを解析するデータ解析ステップと、 前記データ解析ステップによる解析結果に基づき、前記
不正侵入データに対する応答データを生成する応答デー
タ生成ステップと、 前記応答データ生成ステップにより生成された前記応答
データを前記不正侵入データ検知装置に対して送信し、
前記不正侵入データ検知装置から前記不正侵入データの
送信元のデータ通信装置に対して前記応答データを送信
させるデータ送信ステップとを有することを特徴とする
請求項10に記載の不正侵入データ対策処理方法。11. The illegal intrusion data countermeasure processing method includes a data receiving step of receiving the illegal intrusion data from the illegal intrusion data detection device, and data for analyzing the illegal intrusion data received in the data receiving step. An analysis step, a response data generation step of generating response data for the unauthorized intrusion data based on the analysis result of the data analysis step, and the response data generated by the response data generation step to the unauthorized intrusion data detection device. Sent to
11. The unauthorized intrusion data countermeasure processing method according to claim 10, further comprising a data transmission step of transmitting the response data from the unauthorized intrusion data detection device to a data communication device that is a sender of the unauthorized intrusion data. .
通信装置が前記不正侵入データを受信した場合に、前記
特定のデータ通信装置が前記不正侵入データに対して生
成する応答データと同じ内容の応答データを生成するこ
とを特徴とする請求項11に記載の不正侵入データ対策
処理方法。12. The response data generating step comprises: when a specific data communication device arranged in the internal communication network receives the unauthorized access data, the specific data communication device responds to the unauthorized access data. The unauthorized intrusion data countermeasure processing method according to claim 11, wherein the response data having the same content as the response data to be generated is generated.
侵入する目的で送信された不正侵入データに対する対策
処理を行う不正侵入データ対策処理システムであって、 前記内部通信ネットワーク内に配置され、 前記内部通信ネットワーク外のデータ通信装置より送信
された不正侵入データを検知する不正侵入データ検知装
置と、 前記内部通信ネットワーク外に配置され、インターネッ
トを介して前記不正侵入データ検知装置に接続され、 インターネットを介して前記不正侵入データ検知装置よ
り前記不正侵入データを受信し、受信した前記不正侵入
データに対する応答データを生成するとともに、前記不
正侵入データ検知装置から前記不正侵入データの送信元
のデータ通信装置に対して応答データを送信させるため
の識別情報を応答データに付加し、識別情報が付加され
た応答データをインターネットを介して前記不正侵入デ
ータ検知装置に送信し、応答データに含まれた送信先情
報に基づいて前記不正侵入データ検知装置から前記不正
侵入データの送信元のデータ通信装置に対して前記応答
データを送信させる不正侵入データ対策処理装置とを有
することを特徴とする不正侵入データ対策処理システ
ム。13. An unauthorized intrusion data countermeasure processing system for performing countermeasure processing against unauthorized intrusion data transmitted for the purpose of illegally intruding into a predetermined internal communication network, the system being arranged in the internal communication network, An unauthorized intrusion data detection device that detects unauthorized intrusion data transmitted from a data communication device outside the network, and is arranged outside the internal communication network and is connected to the unauthorized intrusion data detection device through the Internet and is connected through the Internet. The unauthorized intrusion data is received from the unauthorized intrusion data detection device, response data for the received unauthorized intrusion data is generated , and
Source of the unauthorized intrusion data from the original intrusion data detection device
To send response data to another data communication device
Identification information is added to the response data, and the identification information is added.
And the response data is transmitted to the illegal access data detection device via the Internet, the destination information included in the response data
An unauthorized intrusion data countermeasure processing device for transmitting the response data from the unauthorized intrusion data detection device to the data communication device that is the sender of the unauthorized intrusion data based on a report. system.
づき所定の処理を行う処理装置と通信可能であり、 前記不正侵入データ対策処理装置は、 前記処理装置への処理要求を含む処理要求データを生成
するとともに、前記不正侵入データ検知装置から前記処
理装置に対して処理要求データを送信させるための識別
情報を処理要求データに付加し、識別情報が付加された
処理要求データを前記不正侵入データ検知装置に送信
し、 前記不正侵入データ検知装置は、 前記不正侵入データ対策処理装置より処理要求データを
受信した場合に、受信した処理要求データを分析して処
理要求データに前記識別情報が付加されているか否かを
判断し、前記識別情報が付加されていた場合に、受信し
た処理要求データに所定の判別情報を含ませ、前記判別
情報が含まれた処理要求データを前記処理装置に対して
送信し、 前記処理装置より処理応答データを受信した場合に、受
信した処理応答データを分析して処理応答データに前記
判別情報が含まれているか否かを判断し、前記判別情報
が含まれていた場合に、前記処理応答データを前記処理
要求データに対する応答として前記不正侵入データ対策
処理装置に対して送信することを特徴とする請求項13
に記載の不正侵入データ対策処理システム 。14. The intrusion data detection device is arranged outside the internal communication network, and is capable of communicating with a processing device that performs a predetermined process based on a processing request. Generate processing request data including processing requests to the device
The unauthorized intrusion data detection device
Identification for sending processing request data to the processing device
Information was added to the processing request data, and identification information was added
Send processing request data to the unauthorized intrusion data detection device
Then, the unauthorized intrusion data detection device receives processing request data from the unauthorized intrusion data countermeasure processing device.
When received, the received processing request data is analyzed and processed.
Whether the identification information is added to the processing request data
Judge, if the identification information is added,
Including the predetermined discrimination information in the processing request data
Processing request data including information to the processing device
If the processing response data is received from the processing device
The received processing response data is analyzed and the processing response data is
It is determined whether the discrimination information is included, and the discrimination information
Is included, the processing response data is processed as described above.
Measures against the unauthorized intrusion data as a response to the requested data
14. The data is transmitted to the processing device.
Unauthorized intrusion data countermeasure processing system described in .
処理装置としてDNS(Domain Name Sy
stem)サーバと通信可能であり、 前記不正侵入データ対策処理装置は、 前記処理要求データを前記不正侵入データ検知装置を介
して前記DNSサーバに対して送信し、 前記DNSサーバからの応答である処理応答データを前
記不正侵入データ検知装置を介して受信することを特徴
とする請求項14に記載の不正侵入データ対策処理シス
テム。15. The unauthorized intrusion data detection device includes a DNS (Domain Name Sy) as the processing device.
The unauthorized intrusion data countermeasure processing device transmits the processing request data to the DNS server via the unauthorized intrusion data detection device, and is a response from the DNS server. 15. The unauthorized intrusion data countermeasure processing system according to claim 14 , wherein response data is received via the unauthorized intrusion data detection device.
侵入する目的で送信された不正侵入データに対する対策
処理を行う不正侵入データ対策処理システムであって、 前記内部通信ネットワーク内に配置され、 前記内部通信ネットワーク外のデータ通信装置より送信
された不正侵入データを検知する不正侵入データ検知装
置と、 前記内部通信ネットワーク外に配置され、インターネッ
トを介して前記不正侵入データ検知装置に接続され、 インターネットを介して前記不正侵入データ検知装置よ
り前記不正侵入データを受信し、受信した前記不正侵入
データに対する対策処理を行う不正侵入データ対策処理
装置とを有し、 前記不正侵入データ検知装置は、 前記内部通信ネットワーク外に配置され、処理要求に基
づき所定の処理を行う処理装置と通信可能であり、 前記不正侵入データ対策処理装置は、 前記処理装置への処理要求を含み、送信元ポート番号と
して第一のポート番号が示された処理要求データを生成
し、生成した前記処理要求データを前記不正侵入データ
検知装置を介して前記処理装置に対して送信し、 前記処理装置からの応答である処理応答データを前記不
正侵入データ検知装置を介して受信し、 前記不正侵入データ検知装置は、 送信元ポート番号として第一のポート番号が示された処
理要求データを前記不正侵入データ対策処理装置より受
信し、受信した前記処理要求データの送信元ポート番号
を前記第一のポート番号から第二のポート番号に変更
し、送信元ポート番号として前記第二のポート番号が示
された処理要求データを前記処理装置に対して送信し、 前記処理装置より前記処理応答データを受信した場合
に、前記処理応答データに送信先ポート番号として前記
第二のポート番号が示されているか否かを判断し、送信
先ポート番号として前記第二のポート番号が示されてい
る場合に、送信先ポート番号を前記第二のポート番号か
ら前記第一のポート番号に変更し、送信先ポート番号と
して前記第一のポート番号が示された処理応答データを
前記不正侵入データ対策処理装置に対して送信すること
を特徴とするデータ対策処理システム。16. A fraudulent intrusion data countermeasure processing system which performs countermeasure processing against fraudulent intrusion data transmitted for the purpose of illegally intruding into a predetermined internal communication network, the system being arranged in the internal communication network, An unauthorized intrusion data detection device that detects unauthorized intrusion data transmitted from a data communication device outside the network, and is arranged outside the internal communication network and is connected to the unauthorized intrusion data detection device through the Internet and is connected through the Internet. An unauthorized intrusion data countermeasure processing device for receiving the unauthorized intrusion data from the unauthorized intrusion data detection device and performing a countermeasure process for the received unauthorized intrusion data, wherein the unauthorized intrusion data detection device is outside the internal communication network. Which is arranged in the and performs predetermined processing based on processing request The unauthorized intrusion data countermeasure processing device includes a processing request to the processing device, generates processing request data in which a first port number is indicated as a transmission source port number, and the generated processing Request data is transmitted to the processing device via the unauthorized intrusion data detection device, processing response data which is a response from the processing device is received via the unauthorized intrusion data detection device, and the unauthorized intrusion data detection is performed. The device receives the processing request data in which the first port number is shown as the transmission source port number from the unauthorized intrusion data countermeasure processing device, and the transmission source port number of the received processing request data is the first port number. To a second port number, and the processing request data in which the second port number is indicated as the transmission source port number is transmitted to the processing device. When the processing response data is received from the processing device, it is determined whether or not the second port number is indicated as the destination port number in the processing response data, and the second port is designated as the destination port number. When the number is indicated, the destination port number is changed from the second port number to the first port number, and the processing response data in which the first port number is indicated as the destination port number is displayed. A data countermeasure processing system, which transmits to the illegal intrusion data countermeasure processing device.
侵入する目的で送信された不正侵入データに対する対策
処理を行う不正侵入データ対策処理システムであって、 前記内部通信ネットワーク内に配置され、 前記内部通信ネットワーク外のデータ通信装置より送信
された不正侵入データを検知する不正侵入データ検知装
置と、 前記内部通信ネットワーク外に配置され、インターネッ
トを介して前記不正侵入データ検知装置に接続され、 インターネットを介して前記不正侵入データ検知装置よ
り前記不正侵入データを受信し、受信した前記不正侵入
データに対する対策処理を行う不正侵入データ対策処理
装置とを有し、 前記不正侵入データ検知装置は、 前記内部通信ネットワーク外に配置され、処理要求に基
づき所定の処理を行う処理装置と通信可能であり、 前記不正侵入データ対策処理装置は、 前記処理装置への処理要求を含み、送信元アドレスとし
て第一のアドレスが示された処理要求データを生成し、
生成した前記処理要求データを前記不正侵入データ検知
装置を介して前記処理装置に対して送信し、 前記処理装置からの応答である処理応答データを前記不
正侵入データ検知装置を介して受信し、 前記不正侵入データ検知装置は、 送信元アドレスとして第一のアドレスが示された処理要
求データを前記不正侵入データ対策処理装置より受信
し、受信した前記処理要求データの送信元アドレスを前
記第一のアドレスから第二のアドレスに変更し、送信元
アドレスとして前記第二のアドレスが示された処理要求
データを前記処理装置に対して送信し、 前記処理装置より前記処理応答データを受信した場合
に、前記処理応答データに送信先アドレスとして前記第
二のアドレスが示されているか否かを判断し、送信先ア
ドレスとして前記第二のアドレスが示されている場合
に、送信先アドレスを前記第二のアドレスから前記第一
のアドレスに変更し、送信先アドレスとして前記第一の
アドレスが示された処理応答データを前記不正侵入デー
タ対策処理装置に対して送信することを特徴とするデー
タ対策処理システム。17. An unauthorized intrusion data countermeasure processing system for performing countermeasure processing against unauthorized intrusion data transmitted for the purpose of illegally intruding into a predetermined internal communication network, the system being arranged in the internal communication network, An unauthorized intrusion data detection device that detects unauthorized intrusion data transmitted from a data communication device outside the network, and is arranged outside the internal communication network and is connected to the unauthorized intrusion data detection device through the Internet and is connected through the Internet. An unauthorized intrusion data countermeasure processing device for receiving the unauthorized intrusion data from the unauthorized intrusion data detection device and performing a countermeasure process for the received unauthorized intrusion data, wherein the unauthorized intrusion data detection device is outside the internal communication network. Which is arranged in the and performs predetermined processing based on processing request The unauthorized intrusion data countermeasure processing device includes a processing request to the processing device, and generates processing request data in which the first address is indicated as a source address,
The generated processing request data is transmitted to the processing device via the unauthorized intrusion data detection device, and processing response data, which is a response from the processing device, is received via the unauthorized intrusion data detection device, The unauthorized intrusion data detection device receives, from the unauthorized intrusion data countermeasure processing device, processing request data indicating a first address as a source address, and the source address of the received processing request data is the first address. From the second address as a source address, the processing request data indicating the second address is transmitted to the processing device, and when the processing response data is received from the processing device, It is determined whether or not the second address is indicated as the destination address in the processing response data, and the second address is designated as the destination address. When the reply is indicated, the transmission destination address is changed from the second address to the first address, and the processing response data in which the first address is indicated as the transmission destination address is treated as the unauthorized intrusion data countermeasure. A data countermeasure processing system characterized by transmitting to a processing device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002033284A JP3495030B2 (en) | 2001-02-14 | 2002-02-12 | Intrusion data countermeasure processing device, intrusion data countermeasure processing method, and intrusion data countermeasure processing system |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001-36436 | 2001-02-14 | ||
| JP2001036436 | 2001-02-14 | ||
| JP2002033284A JP3495030B2 (en) | 2001-02-14 | 2002-02-12 | Intrusion data countermeasure processing device, intrusion data countermeasure processing method, and intrusion data countermeasure processing system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002318739A JP2002318739A (en) | 2002-10-31 |
| JP3495030B2 true JP3495030B2 (en) | 2004-02-09 |
Family
ID=26609352
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002033284A Expired - Fee Related JP3495030B2 (en) | 2001-02-14 | 2002-02-12 | Intrusion data countermeasure processing device, intrusion data countermeasure processing method, and intrusion data countermeasure processing system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3495030B2 (en) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004206683A (en) * | 2002-12-11 | 2004-07-22 | Nihon Intelligence Corp | System management device, method and program, management server system and its control process, insurance method, security program, security management method, computer, and server computer |
| JP4082613B2 (en) | 2004-09-06 | 2008-04-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Device for restricting communication services |
| US7552230B2 (en) * | 2005-06-15 | 2009-06-23 | International Business Machines Corporation | Method and apparatus for reducing spam on peer-to-peer networks |
| JP4160992B2 (en) | 2006-11-30 | 2008-10-08 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Simulation system, computer apparatus, simulation method, and program |
| JP4780413B2 (en) | 2007-01-12 | 2011-09-28 | 横河電機株式会社 | Unauthorized access information collection system |
| JP5090408B2 (en) | 2009-07-22 | 2012-12-05 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Method and apparatus for dynamically controlling destination of transmission data in network communication |
| JP6690644B2 (en) * | 2015-05-27 | 2020-04-28 | 日本電気株式会社 | Security system, security method, and recording medium storing program |
| JP6738013B2 (en) * | 2016-06-23 | 2020-08-12 | 富士通株式会社 | Attack content analysis program, attack content analysis method, and attack content analysis device |
| JP7135980B2 (en) * | 2019-04-09 | 2022-09-13 | 日本電信電話株式会社 | REGISTRATION SYSTEM, REGISTRATION METHOD AND REGISTRATION PROGRAM |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3688830B2 (en) * | 1995-11-30 | 2005-08-31 | 株式会社東芝 | Packet transfer method and packet processing apparatus |
| JPH09214543A (en) * | 1996-02-05 | 1997-08-15 | Toshiba Corp | Communication path control method and communication path controller |
| JP3618245B2 (en) * | 1999-03-09 | 2005-02-09 | 株式会社日立製作所 | Network monitoring system |
-
2002
- 2002-02-12 JP JP2002033284A patent/JP3495030B2/en not_active Expired - Fee Related
Non-Patent Citations (2)
| Title |
|---|
| 不正アクセス検知システム導入による最新のセキュリティ対策〜NetRangerによるエマージェンシー・,日経情報ストラテジー,1998年 1月24日,第7巻 第1号,p.230−231 |
| 川崎慎介,斉藤栄太郎,プロに任せるセキュリティ対策 アウトソーシングの実用度を探る,日経コミュニケーション,日本,日経BP社,1999年 9月20日,第302号,p.94−111 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002318739A (en) | 2002-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110445770B (en) | Network attack source positioning and protecting method, electronic equipment and computer storage medium | |
| CN101009607B (en) | Systems and methods for detecting and preventing flooding attacks in a network environment | |
| KR100628325B1 (en) | Intrusion detection sensor detecting attacks against wireless network and system and method for detecting wireless network intrusion | |
| US7370354B2 (en) | Method of remotely managing a firewall | |
| US20040103314A1 (en) | System and method for network intrusion prevention | |
| US20080028073A1 (en) | Method, a Device, and a System for Protecting a Server Against Denial of DNS Service Attacks | |
| US20050144441A1 (en) | Presence validation to assist in protecting against Denial of Service (DOS) attacks | |
| JP2003527793A (en) | Method for automatic intrusion detection and deflection in a network | |
| US7360250B2 (en) | Illegal access data handling apparatus and method for handling illegal access data | |
| JPH09269930A (en) | Method and device for preventing virus of network system | |
| CN101529862A (en) | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis | |
| JP2000261483A (en) | Network monitoring system | |
| US20060156400A1 (en) | System and method for preventing unauthorized access to computer devices | |
| CN111314381A (en) | Safety isolation gateway | |
| CN106888184A (en) | Mobile terminal payment class application security method of payment and device | |
| CN111988289B (en) | EPA industrial control network security test system and method | |
| JP3495030B2 (en) | Intrusion data countermeasure processing device, intrusion data countermeasure processing method, and intrusion data countermeasure processing system | |
| US8195952B2 (en) | System and method of facilitating the identification of a computer on a network | |
| KR101088084B1 (en) | Method and system for monitoring and cutting off illegal electronic-commerce transaction | |
| JP3790486B2 (en) | Packet relay device, packet relay system, and story guidance system | |
| US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
| EP4167524A1 (en) | Local network device connection control | |
| KR102308800B1 (en) | method for protecting personal information leaked by phising | |
| US20170085577A1 (en) | Computer method for maintaining a hack trap | |
| JP3609381B2 (en) | Distributed denial of service attack prevention method, gate device, communication device, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20031111 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071121 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081121 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081121 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091121 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091121 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101121 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111121 Year of fee payment: 8 |
|
| LAPS | Cancellation because of no payment of annual fees |