JP3689079B2 - Packet transfer device and information notification method when detecting unauthorized access of packet transfer device - Google Patents
Packet transfer device and information notification method when detecting unauthorized access of packet transfer device Download PDFInfo
- Publication number
- JP3689079B2 JP3689079B2 JP2002307124A JP2002307124A JP3689079B2 JP 3689079 B2 JP3689079 B2 JP 3689079B2 JP 2002307124 A JP2002307124 A JP 2002307124A JP 2002307124 A JP2002307124 A JP 2002307124A JP 3689079 B2 JP3689079 B2 JP 3689079B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- unauthorized access
- determined
- access history
- detailed information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークセグメント間でパケットを転送するパケット転送装置、およびパケット転送装置の不正アクセス検知時に於ける情報通知方法に関する。
【0002】
【従来の技術】
複数のネットワークセグメントに接続され、ネットワークセグメント間でパケットを転送するパケット転送装置に於いて、パケット転送装置が不正アクセスに関わるパケットを検知した場合の管理者への通知方法として、不正アクセスを検知する度に管理者に通知を行なうという方法、不正アクセスを検知した際に管理者に一度だけ通知を行なうという方法、不正アクセスの種類毎に一度だけ通知を行なう方法等が考えられる。
【0003】
しかしながら、不正アクセスを検知する度に管理者に通知を行なう方法は、例えば同一送信者から同一の不正アクセス方法で不正アクセスを大量に受けた場合、管理者に大量の通知が届いてしまうことから、管理者が本来必要とする情報を容易に把握できないという問題がある。
【0004】
また、管理者に一度だけ通知を行なう方法は、同一の不正アクセス方法で複数の送信先から不正アクセスがあった場合であっても、管理者への通知が一度しか行なわれないことから、管理者が不正アクセスの情報(実態)を正確に把握できないという問題がある。
【0005】
また、管理者に、不正アクセスの種類毎に一度だけ通知を行なう方法は、パケット転送装置の複数の転送先に同一のアクセス方法で不正アクセスがあった場合であっても、管理者への通知が一度しか行なわれないことから、管理者が不正アクセスの情報(実態)を正確に把握できないという問題がある。
【0006】
【発明が解決しようとする課題】
上述したように従来では、パケット転送装置に於いて不正アクセスに関わるパケットを検知した場合の管理者への通知機能に於いて、管理者が不正アクセスの実態を容易にかつ正確に把握できる有効な通知機能が存在しなかった。
【0007】
本発明は上記実情に鑑みなされたもので、不正アクセスに関わるパケットを検知した場合に、その不正アクセスの実態を管理者が効率よく正確に把握できるパケット転送装置およびパケット転送装置の不正アクセス検知時に於ける情報通知方法を提供することを目的とする。
【0008】
【課題を解決するための手段】
本発明は、パケット転送装置の不正アクセス検知機構に於いて、不正アクセスに関わるパケットを検知した際の管理者への通知に際し、通知する情報の有用性を判定し、有用な情報のみを管理者に通知する処理を介在したことを特徴とする。
【0009】
即ち、本発明は、ネットワークセグメント間で転送されるパケットが不正アクセスに関わるパケットであるか否かを判定するパケット解析手段と、前記パケット解析手段で不正アクセスに関わるパケットであると判定されたパケットを破棄するパケット通過処理手段と、前記パケット解析手段で不正アクセスに関わるパケットであると判定されたパケットの存在及び詳細情報を不正アクセス履歴として記録する不正アクセス履歴記録手段とを具備したパケット転送装置に於いて、前記パケット解析手段に、前記ネットワークセグメント間で転送されるパケットが不正アクセスに関わるパケットであることを判定した際、前記不正アクセス履歴記録手段に記録された不正アクセス履歴を参照して、前記不正アクセスに関わるパケットであると判定したパケットの送信元が、過去に存在する不正パケットの送信元であるか否かを判定する判定手段と、前記判定手段が過去に存在しない不正パケットの送信元であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び前記不正アクセスに関わるパケットの詳細情報を外部の機器に通知する通知手段とを具備したことを特徴とする。
【0010】
また、本発明は、ネットワークセグメント間で転送されるパケットが不正アクセスに関わるパケットであるか否かを判定するパケット解析手段と、前記パケット解析手段で不正アクセスに関わるパケットであると判定されたパケットを破棄するパケット通過処理手段と、前記パケット解析手段で不正アクセスに関わるパケットであると判定されたパケットの存在及び詳細情報を不正アクセス履歴として記録する不正アクセス履歴記録手段とを具備したパケット転送装置に於いて、前記パケット解析手段に、前記ネットワークセグメント間で転送されるパケットが不正アクセスに関わるパケットであることを判定した際、前記不正アクセス履歴記録手段に記録された不正アクセス履歴を参照して、前記不正アクセスに関わるパケットであると判定したパケットの送信先が、過去に存在する不正パケットの送信先であるか否かを判定する判定手段と、前記判定手段が過去に存在しない不正パケットの送信先であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び前記不正アクセスに関わるパケットの詳細情報を外部の機器に通知する通知手段とを具備したことを特徴とする。
【0011】
また、本発明は、前記パケット転送装置に於いて、前記判定手段は、前記不正アクセス履歴記録手段に記録された、過去の一定時間内の不正アクセス履歴を参照して判定を行うことを特徴とする。
【0012】
また、本発明は、前記パケット転送装置に於いて、前記判定手段は、前記不正アクセス履歴記録手段に記録された不正アクセス履歴から、設定された任意のタイミング以降の不正アクセス履歴を参照して判定を行うことを特徴とする。
【0013】
また、本発明は、前記パケット転送装置に於いて、前記パケット解析手段は、前記通知手段による通知が成功しない際に、該当する不正アクセスに関わるパケットの存在及び詳細情報を、以降に前記判定手段が参照する不正アクセス履歴から除外する制御手段を具備したことを特徴とする。
【0014】
また、本発明は、前記パケット転送装置に於いて、前記パケット解析手段は、前記通知手段が不正アクセスに関わるパケットの存在及び詳細情報を外部の機器に通知する際、当該通知の対象となる詳細情報をもとに通知先となる外部の機器を決定する手段を具備したことを特徴とする。
【0015】
また、本発明は、パケット転送装置の不正アクセス検知時に於ける情報通知方法に於いて、ネットワークセグメントの間で転送されるパケットが不正アクセスに関わるパケットであるか否かを判定し、不正アクセスに関わるパケットであると判定した際に、当該パケットを破棄するステップと、前記不正アクセスに関わるパケットであると判定したパケットの存在及び当該パケットの詳細情報を不正アクセス履歴として記録するステップと、前記不正アクセスに関わるパケットであると判定したパケットについて、前記記録した不正アクセス履歴のすべて若しくは一部を参照して、過去の不正アクセス履歴に存在しない不正パケットの送信元であるか否かを判定し、過去の不正アクセス履歴に存在しない不正パケットの送信元であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び当該パケットの詳細情報を外部の機器に通知するステップとを具備したことを特徴とする。
【0016】
また、本発明は、パケット転送装置の不正アクセス検知時に於ける情報通知方法に於いて、ネットワークセグメントの間で転送されるパケットが不正アクセスに関わるパケットであるか否かを判定し、不正アクセスに関わるパケットであると判定した際に、当該パケットを破棄するステップと、前記不正アクセスに関わるパケットであると判定したパケットの存在及び当該パケットの詳細情報を不正アクセス履歴として記録するステップと、前記不正アクセスに関わるパケットであると判定したパケットについて、前記記録した不正アクセス履歴のすべて若しくは一部を参照して、過去の不正アクセス履歴に存在しない不正パケットの送信先であるか否かを判定し、過去の不正アクセス履歴に存在しない不正パケットの送信先であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び当該パケットの詳細情報を外部の機器に通知するステップとを具備したことを特徴とする。
【0017】
【発明の実施の形態】
以下、図面を参照して本発明の実施形態を説明する。
【0018】
図1は本発明に係るパケット転送装置を用いたネットワークシステムの構成を示すブロック図である。
【0019】
図1に於いて、パケット転送装置10は、複数のクライアント計算機が接続されたネットワークセグメント(クライアント側のネットワークセグメント)100と、複数のサーバ計算機20,20,…が接続されたネットワークセグメント(サーバ側のネットワークセグメント)200との間に接続され、クライアント側のネットワークセグメント100とサーバ側のネットワークセグメント200との間の通信時に於いて、パケットを転送する機能をもつ。
【0020】
図2は上記パケット転送装置10の構成を示すブロック図である。
【0021】
パケット転送装置10には、図2に示すように、それぞれ異なるネットワークセグメントを接続対象とした2つのパケット送受信部11,12と、不正アクセスに関わるパケットを検知するパケット解析機構13とが設けられる。
【0022】
パケット転送装置10に於いて、パケット送受信部11は、クライアント側のネットワークセグメント100に接続され、パケット送受信部12は、サーバ側のネットワークセグメント200に接続される。
【0023】
パケット送受信部11は、クライアント側のネットワークセグメント100からパケットを受信すると、その受信したパケットをパケット解析機構13に送出する。
【0024】
パケット解析機構13は、パケット送受信部11で受信したパケットが不正アクセスに関わるパケットであるか否かを判定し、不正アクセスに関わるパケットでなければ、そのパケットをパケット送受信部12に渡す。パケット送受信部12はパケット解析機構13を介して受けたパケットをサーバ側のネットワークセグメント200へ送出する。
【0025】
また、パケット解析機構13に於いて、パケット送受信部11で受信したパケットが不正アクセスに関わるパケットであると判定した際は、そのパケットをパケット送受信部12に渡さずに廃棄して、不正アクセスに関わるパケットであると判定したパケットの通過を防ぐ。
【0026】
パケット送受信部12は、サーバ側のネットワークセグメント200からパケットを受信すると、その受信したパケットをパケット送受信部11に渡す。パケット送受信部11はパケット送受信部12より受けたパケットをクライアント側のネットワークセグメント100へ送出する。
【0027】
図3は上記図2に示したパケット解析機構13の構成要素を示すブロック図である。
【0028】
パケット解析機構13には、図3に示すように、パケット解析処理部131、パケット通過処理部132、不正アクセス履歴保持部133、不正アクセス情報通知部134等が設けられる。この図3に示す各構成要素はソフトウェアにより実現されるもので、ここでは、不正アクセス履歴保持部133が不正アクセス履歴を記録する記録部を有し、この記録部上でパケット解析処理部131の指示に従い不正アクセス履歴を記録し更新し管理する処理機能をもつものとする。
【0029】
パケット解析処理部131は、パケット送受信部11が受信したパケットのデータを解析し、不正アクセスに関わるパケットであるか否かを判定する。不正アクセスに関わるパケットであると判定した場合は、その旨をパケット通過処理部132、不正アクセス履歴保持部133、及び不正アクセス情報通知部134に通知する処理機能をもつ。更に、その不正アクセスに関わるパケットの存在及び詳細情報(不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等)を不正アクセス履歴として不正アクセス履歴保持部133に通知するとともに、不正アクセス履歴保持部133を参照して、上記不正アクセスに関わるパケットの検知情報を所定の外部監視機器(指定計算機)に通知すべきか否かを判定し、情報通知をすべきであると判定した場合は、その旨を不正アクセス情報通知部134に通知する処理機能をもつ。
【0030】
パケット通過処理部132は、パケット送受信部11が受信したパケットについて、パケット解析処理部131に問い合わせ、その問い合わせた結果に従い、受信したパケットを転送するか否か(パケット送受信部12に渡すか否か)を制御するパケット転送制御処理機能をもつ。
【0031】
不正アクセス履歴保持部133は、パケット解析処理部131が不正アクセスに関わるパケットであると判定した場合に、そのパケットの受信時刻や送信元、送信先等の詳細情報を不正アクセス履歴として記録する機能をもつ。
【0032】
不正アクセス情報通知部134は、パケット解析処理部131が情報通知すべきと判定した場合に、不正アクセス履歴保持部133で保持する不正アクセスに関わる詳細情報(不正アクセスの情報)を監視を行う所定の計算機に通知する機能をもつ。
【0033】
図4は上記不正アクセス履歴保持部133に記録された不正アクセス履歴の一例を示す図である。
【0034】
パケット解析処理部131は、パケット送受信部11で受信したパケットについて、不正アクセスに関わるパケットであると判定した場合、不正アクセス履歴保持部133に、不正アクセス履歴として、上記不正アクセスに関わるパケットの受信日時、及び送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を通知する。不正アクセス履歴保持部133は上記通知を受けると、上記不正アクセスに関わるパケットの受信日時、及び送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴として記録し管理する。尚、図4に示す不正アクセス履歴の記録例では、上記詳細情報に対応して、後述する識別子1及び識別子2が記録される。
【0035】
図5乃至図7はそれぞれ本発明の第1実施形態に於けるパケット解析機構13の処理手順を示すフローチャートである。このうち、図5はパケット転送時の不正アクセス検知処理手順を示すフローチャート、図6は不正アクセス検知時の不正アクセス履歴参照処理手順を示すフローチャート、図7は不正アクセス検知時の情報通知処理手順を示すフローチャートである。
【0036】
図8及び図9はそれぞれ本発明の第2実施形態に於けるパケット解析機構13の処理手順を示すフローチャートである。このうち、図8は不正アクセス検知時の不正アクセス履歴参照処理手順を示すフローチャート、図9は不正アクセス検知時の情報通知処理手順を示すフローチャートである。尚、この第2実施形態に於いて、パケット転送時の不正アクセス検知処理手順については、図5に示す第1実施形態の不正アクセス検知処理手順と同様であるので同図を援用する。
【0037】
図10及び図11はそれぞれ本発明の第3実施形態に於けるパケット解析機構13の処理手順を示すフローチャートである。このうち、図10は不正アクセス履歴に識別子1を付加する処理手順を示すフローチャート、図11は不正アクセス検知時の不正アクセス履歴参照処理手順を示すフローチャートである。
【0038】
図12及び図13はそれぞれ本発明の第4実施形態に於けるパケット解析機構13の処理手順を示すフローチャートである。このうち、図12は不正アクセス履歴に識別子1を付加する処理手順を示すフローチャート、図13は不正アクセス検知時の不正アクセス履歴参照処理手順を示すフローチャートである。
【0039】
図14及び図15はそれぞれ本発明の第5実施形態に於けるパケット解析機構13の処理手順を示すフローチャートである。このうち、図14は不正アクセス監視を行う指定計算機への情報通知エラー時の処理手順を示すフローチャート、図15は不正アクセス検知時の不正アクセス履歴参照処理手順を示すフローチャートである。
【0040】
図16は本発明の第6実施形態に於ける不正アクセス情報通知先計算機一覧の構成例を示す図である。図17は本発明の第6実施形態に於ける不正アクセス情報をもとにした通知先振り分け処理の手順を示すフローチャートである。
【0041】
ここで、上記各図を参照して本発明の第1乃至第6実施形態に於ける不正アクセス検知時の情報通知処理動作を説明する。
【0042】
先ず、図1乃至図7を参照して本発明の第1実施形態に於ける不正アクセス検知時の情報通知処理動作について説明する。この第1実施形態では、パケット転送装置10のパケット送受信部11で受信した不正アクセスに関わるパケットであると判定したパケットについて、そのパケットの送信元が、過去の不正アクセス履歴に存在しない不正パケットの送信元であるか否かを判定し、過去の不正アクセス履歴に存在しない不正パケットの送信元であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び詳細情報を外部の機器に通知する機能を実現している。
【0043】
パケット転送装置10は、パケット転送時に於いて、図5に示すような不正アクセス検知処理を実行する。
【0044】
パケット転送装置10に於いて、パケット送受信部11がクライアント側のネットワークセグメント100からパケットを受信すると、パケット解析機構13のパケット通過処理部132は、当該受信パケットが不正アクセスに関わるパケットであるか否かをパケット解析処理部131に問い合わせる(図5ステップS101)。
【0045】
パケット解析処理部131は、パケット送受信部11が受信したパケットのデータを解析し、不正アクセスに関わるパケットであるか否かを判定して(図5ステップS102,S103)、その判定結果をパケット通過処理部132に通知する(図5ステップS104,S106)。
【0046】
ここで、パケット通過処理部132は、パケット解析処理部131から不正アクセスに関わるパケットである旨の判定結果を受けると(図5ステップS103Yes)、その判定結果に従い上記受信した不正アクセスに関わるパケットを通過させずに廃棄する(図5ステップS105)。
【0047】
また、パケット解析処理部131から不正アクセスに関わるパケットでない旨の判定結果を受けると(図5ステップS103 No)、その判定結果に従い上記受信したパケットを通過させてパケット送受信部12に渡す(図5ステップS107)。パケット送受信部12はパケット解析機構13を介して受けたパケットをサーバ側のネットワークセグメント200へ送出する。
【0048】
上記したパケット転送装置10のパケット転送処理に於いて、パケット解析機構13が不正アクセスに関わるパケットを検知した際、図6に示すような不正アクセス履歴参照処理を実行する。
【0049】
クライアント側ネットワークセグメント100から、サーバ側ネットワークセグメント200へのパケット転送時に於いて、パケット解析処理部131は、パケット送受信部11で受信したパケットについて、不正アクセスに関わるパケットであると判定すると(図6ステップS201)、その不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴保持部133に通知する(図6ステップS202)。
【0050】
不正アクセス履歴保持部133はパケット解析処理部131から上記通知を受けると、上記不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴として記録し管理する(図6ステップS203)。
【0051】
上記パケット解析処理部131は、上記不正アクセス履歴保持部133に記録された不正アクセス履歴を参照して、その不正アクセスに関わるパケットであると判定したパケットの送信元が、過去に存在する不正パケットの送信元であるか否か(受信した不正アクセスに関わるパケットの送信元と同一送信元の不正アクセスが過去にあったか否か)を判定する(図6ステップS204)。
【0052】
即ち、パケット解析処理部131は、不正アクセス履歴保持部133に記録された不正アクセス履歴を参照して、上記不正アクセスに関わるパケットの情報を所定の外部監視機器(指定計算機)に通知すべきか否かを判定する。
【0053】
ここで、パケット解析処理部131は、不正アクセスに関わるパケットであると判定したパケットの送信元が、過去の不正アクセスに関わるパケットに存在しないことを確認すると、即ち情報通知をする不正アクセスであることを判定すると(図7ステップS205 Yes)、その判定結果を不正アクセス情報通知部134に通知する(図7ステップS206)。
【0054】
不正アクセス情報通知部134は、パケット解析処理部131から、情報通知をする旨の判定結果を受けると、上記不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報(不正アクセスの情報)を所定の外部監視機器(指定計算機)に通知する(図7ステップS207)。
【0055】
また、パケット解析処理部131は、不正アクセスに関わるパケットであると判定したパケットの送信元が、過去の不正アクセスに関わるパケットに存在することを確認すると、即ち情報通知をする不正アクセスでないことを判定すると(図7ステップS205 No)、上記不正アクセスに関わるパケットの情報通知を行わず(図7ステップS208)、この情報通知処理を終了する。
【0056】
これにより、パケット転送装置10が不正アクセスを検知した場合、過去に不正アクセスを受けたことがないパケットの送信元ならば、指定の計算機に、パケットの受信時刻や、送信元、送信先等の詳細情報を通知することが可能となる。つまり、不正アクセスに関わるパケットの送信元が、過去に受けた不正アクセスに関わるパケットの送信元と同じであれば、情報通知を行なわない。
【0057】
次に、図1乃至図5と、図8及び図9を参照して本発明の第2実施形態に於ける不正アクセス検知時の情報通知処理動作について説明する。この第2実施形態では、パケット転送装置10のパケット送受信部11で受信した不正アクセスに関わるパケットであると判定したパケットについて、そのパケットの送信先が、過去の不正アクセス履歴に存在しない不正パケットの送信先であるか否かを判定し、過去の不正アクセス履歴に存在しない不正パケットの送信先であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び詳細情報を外部の機器に通知する機能を実現している。
【0058】
パケット転送装置10は、パケット転送時に於いて、図5に示すような不正アクセス検知処理を実行する。この処理については上記した第1実施形態に於いて既に説明しているので、ここではその説明を省略する。
【0059】
上記したパケット転送装置10のパケット転送処理に於いて、パケット解析機構13が不正アクセスに関わるパケットを検知した際、図8に示すような不正アクセス履歴参照処理を実行する。
【0060】
クライアント側ネットワークセグメント100から、サーバ側ネットワークセグメント200へのパケット転送時に於いて、パケット解析処理部131は、パケット送受信部11で受信したパケットについて、不正アクセスに関わるパケットであると判定すると(図8ステップS301)、その不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴保持部133に通知する(図8ステップS302)。
【0061】
不正アクセス履歴保持部133はパケット解析処理部131から上記通知を受けると、上記不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴として記録し管理する(図8ステップS303)。
【0062】
上記パケット解析処理部131は、不正アクセス履歴保持部133に記録された不正アクセス履歴を参照して、その不正アクセスに関わるパケットであると判定したパケットの送信先が、過去に存在する不正パケットの送信先であるか否か(受信した不正アクセスに関わるパケットの送信先と同一送信先の不正アクセスが過去にあったか否か)を判定する(図8ステップS304)。
【0063】
即ち、パケット解析処理部131は、不正アクセス履歴保持部133に記録された不正アクセス履歴を参照して、上記不正アクセスに関わるパケットの情報を所定の外部監視機器(指定計算機)に通知すべきか否かを判定する。
【0064】
ここで、パケット解析処理部131は、不正アクセスに関わるパケットであると判定したパケットの送信先が、過去の不正アクセスに関わるパケットに存在しないことを確認すると、即ち情報通知をする不正アクセスであることを判定すると(図9ステップS305 Yes)、その判定結果を不正アクセス情報通知部134に通知する(図9ステップS306)。
【0065】
不正アクセス情報通知部134は、パケット解析処理部131から、情報通知をする旨の判定結果を受けると、上記不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報(不正アクセスの情報)を所定の外部監視機器(指定計算機)に通知する(図9ステップS307)。
【0066】
また、パケット解析処理部131は、不正アクセスに関わるパケットであると判定したパケットの送信先が、過去の不正アクセスに関わるパケットに存在することを確認すると、即ち情報通知をする不正アクセスでないことを判定すると(図9ステップS305 No)、上記不正アクセスに関わるパケットの情報通知を行わず(図9ステップS308)、この情報通知処理を終了する。
【0067】
これにより、パケット転送装置10が不正アクセスを検知した場合、過去に不正アクセスを受けたことがないパケットの送信先ならば、指定の計算機に、パケットの受信時刻や、送信元、送信先等の詳細情報を通知することが可能となる。つまり、不正アクセスに関わるパケットの送信先が、過去に受けた不正アクセスに関わるパケットの送信先と同じであれば、情報通知を行なわない。
【0068】
次に、図1乃至図4と、図10及び図11を参照して本発明の第3実施形態に於ける不正アクセス検知時の情報通知処理動作について説明する。この第3実施形態では、パケット転送装置10に設けられたパケット解析機構13が、不正アクセス履歴保持部133に記録された、過去の一定時間内の不正アクセス履歴を参照して情報通知すべき不正アクセスであるか否かの判定を行う処理機能を実現している。即ち、現在からx日以内、x時間以内等、過去の一定時間内を監視の対象として、情報通知すべき不正アクセスであるか否かの判定を行う処理機能を実現している。
【0069】
パケット転送装置10のパケット解析機構13に於いて、不正アクセス履歴保持部133は、予め設定した一定時間の経過毎に(図10ステップS401)、記録した不正アクセス履歴を参照して(図10ステップS402)、識別子1が付いていない不正アクセス情報に、識別子1を付加する(図10ステップS403)。即ち、図4に示す不正アクセス履歴の識別子1の記録部に、xx時間経過毎に、過去に記録した不正アクセス履歴に対して識別子1を付加する。
【0070】
その後、クライアント側ネットワークセグメント100から、サーバ側ネットワークセグメント200へのパケット転送時に於いて、パケット解析処理部131は、パケット送受信部11で受信したパケットについて、不正アクセスに関わるパケットであると判定すると(図11ステップS404)、その不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴保持部133に通知する(図11ステップS405)。
【0071】
不正アクセス履歴保持部133はパケット解析処理部131より受けた、不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴として記録し管理する(図11ステップS406)。
【0072】
上記パケット解析処理部131は、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、識別子1が付加されていない不正アクセス履歴のみを参照して、情報通知すべき不正アクセスであるか否かを判定する(図11ステップS407)。
【0073】
即ち、この第3実施形態を上記した第1実施形態に適用した場合は、パケット解析処理部131が、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、識別子1が付加されていない不正アクセス履歴のみを参照して、過去に同じ送信元の不正アクセスがあったか否かを判定し、過去に同じ送信元の不正アクセスが存在しない場合に、不正アクセス情報通知部134に情報通知を指示する。
【0074】
また、この第3実施形態を上記した第2実施形態に適用した場合は、パケット解析処理部131が、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、識別子1が付加されていない不正アクセス履歴のみを参照して、過去に同じ送信先の不正アクセスがあったか否かを判定し、過去に同じ送信先の不正アクセスが存在しない場合に、不正アクセス情報通知部134に情報通知を指示する。
【0075】
これにより、不正アクセスに関わるパケットを検知した場合、予め設定した一定時間内に検知した不正アクセス履歴のみを参照し、情報通知すべき不正アクセスか否かを判定することが可能となる。
【0076】
次に、図1乃至図4と、図12及び図13を参照して本発明の第4実施形態に於ける不正アクセス検知時の情報通知処理動作について説明する。この第4実施形態では、パケット転送装置10に設けられたパケット解析機構13が、不正アクセス履歴保持部133に記録された不正アクセス履歴から、設定された任意のタイミング以降の不正アクセス履歴のみを参照して情報通知すべき不正アクセスであるか否かの判定を行う処理機能を実現している。即ち、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、例えば任意の操作指示時点以降の不正アクセス履歴のみを参照して、情報通知すべき不正アクセスであるか否かの判定を行う処理機能を実現している。
【0077】
パケット転送装置10のパケット解析機構13に於いて、不正アクセス情報通知部134は、任意のタイミングで、不正アクセス履歴に識別子1を付加する要求を受け付けると(図12ステップS501)、記録した不正アクセス履歴を参照して(図12ステップS502)、識別子1が付いていない不正アクセス情報に対して、識別子1を付加する(図12ステップS503)。
【0078】
その後、クライアント側ネットワークセグメント100から、サーバ側ネットワークセグメント200へのパケット転送時に於いて、パケット解析処理部131は、パケット送受信部11で受信したパケットについて、不正アクセスに関わるパケットであると判定すると(図13ステップS601)、その不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴保持部133に通知する(図13ステップS602)。
【0079】
不正アクセス履歴保持部133は、パケット解析処理部131より受けた、不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴として記録し管理する(図13ステップS603)。
【0080】
上記パケット解析処理部131は、不正アクセス履歴保持部133に記録された不正アクセス履歴を参照して、識別子1が付加されていない、上記操作指示された任意のタイミング以降の不正アクセス履歴のみを参照して、情報通知すべき不正アクセスであるか否かを判定する(図13ステップS604)。
【0081】
即ち、この第4実施形態を上記した第1実施形態に適用した場合は、パケット解析処理部131が、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、上記操作指示された任意のタイミング以降の、識別子1が付加されていない不正アクセス履歴のみを参照して、過去に同じ送信元の不正アクセスがあったか否かを判定し、過去に同じ送信元の不正アクセスが存在しない場合に、不正アクセス情報通知部134に情報通知を指示する。
【0082】
また、この第3実施形態を上記した第2実施形態に適用した場合は、パケット解析処理部131が、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、上記操作指示された任意のタイミング以降の、識別子1が付加されていない不正アクセス履歴のみを参照して、過去に同じ送信先の不正アクセスがあったか否かを判定し、過去に同じ送信先の不正アクセスが存在しない場合に、不正アクセス情報通知部134に情報通知を指示する。
【0083】
これにより、不正アクセスに関わるパケットを検知した場合、上記操作指示された任意のタイミング以降に於ける若しくは設定されたタイミング以降に於ける不正アクセス履歴のみを参照して、情報通知すべき不正アクセスか否かを判定することが可能となる。
【0084】
次に、図1乃至図4と、図14及び図15を参照して本発明の第5実施形態に於ける不正アクセス検知時の情報通知処理動作について説明する。この第5実施形態では、上記した不正アクセス情報通知部134による情報通知が成功しなかった場合に、その不正アクセスに関わる不正アクセスの情報を、以降の判定に参照する不正アクセス履歴から除外する機能を実現している。
【0085】
不正アクセス情報通知部134が、指定の計算機に不正アクセスに関わるパケットの受信時刻や送信元、送信先等の詳細情報を通知した際(図14ステップS701)に、その通知がエラーとなった場合(図14ステップS702 Yes)、不正アクセス情報通知部134は、そのエラーをパケット解析処理部131を介して不正アクセス履歴保持部133に通知する(図14ステップS703)。また、不正アクセス情報通知部134は、上記不正アクセスの情報が正常に通知された際は、上記エラー通知を行わず(図14ステップS705)、このエラー処理を終了する。
【0086】
不正アクセス履歴保持部133はパケット解析処理部131を介して上記エラー通知を受けると、記録した不正アクセス履歴を参照し、エラーした不正アクセスの情報に識別子2を付加する(図14ステップS704)。
【0087】
その後、クライアント側ネットワークセグメント100から、サーバ側ネットワークセグメント200へのパケット転送時に於いて、パケット解析処理部131は、パケット送受信部11で受信したパケットについて、不正アクセスに関わるパケットであると判定すると(図15ステップS706)、その不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴保持部133に通知する(図15ステップS707)。
【0088】
不正アクセス履歴保持部133はパケット解析処理部131より受けた、不正アクセスに関わるパケットの受信日時、及び、送信元ネットワークアドレス、送信先ネットワークアドレス、不正アクセスの種類等の詳細情報を不正アクセス履歴として記録し管理する(図15ステップS708)。
【0089】
上記パケット解析処理部131は、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、識別子2が付加されていない不正アクセス履歴のみを参照して、情報通知すべき不正アクセスであるか否かを判定する(図15ステップS709)。
【0090】
即ち、この第5実施形態を上記した第1実施形態に適用した場合は、パケット解析処理部131が、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、識別子2が付加されていない不正アクセス履歴のみを参照して(情報通知の受信時にエラーのあった不正アクセス履歴を除外して)、過去に同じ送信元の不正アクセスがあったか否かを判定し、過去に同じ送信元の不正アクセスが存在しない場合に、不正アクセス情報通知部134に情報通知を指示する。
【0091】
また、この第3実施形態を上記した第2実施形態に適用した場合は、パケット解析処理部131が、不正アクセス履歴保持部133に記録された不正アクセス履歴のうち、識別子2が付加されていない不正アクセス履歴のみを参照して、過去に同じ送信先の不正アクセスがあったか否かを判定し、過去に同じ送信先の不正アクセスが存在しない場合に、不正アクセス情報通知部134に情報通知を指示する。
【0092】
これにより、不正アクセスを検知した場合の指定計算機への情報通知がエラーになった場合、次回以降の不正アクセス検知時には、情報通知がエラーになった場合の不正アクセス履歴を参照しないようにすることが可能となる。
【0093】
次に、図1乃至図4と、図16及び図17を参照して本発明の第6実施形態に於ける不正アクセス検知時の情報通知処理動作について説明する。この第6実施形態では、不正アクセス情報通知部134が情報通知を行う際に、その通知を行う情報をもとに、通知先(送信先)の計算機を決定する(振り分ける)機能を実現している。
【0094】
この第6実施形態に於いては、図16に示すような不正アクセス情報の通知先となる計算機の一覧情報が予め設定され、この計算機一覧を参照して不正アクセス情報の通知先計算機が決定される。この図16に示す不正アクセス情報通知先計算機一覧135には、送信元、送信先等の詳細情報、不正アクセスの種類、情報通知先計算機のネットワークアドレス等が予め設定され、不正アクセスに関わるパケットの受信時刻や、送信元、送信先等の詳細情報をもとに、それぞれの記述内容をパラメータにして、不正情報通知先の計算機を指定可能にしている。
【0095】
不正アクセス情報通知部134は、パケット解析処理部131から情報通知の指示に従い、図16に示す不正アクセス情報通知計算機一覧135を参照して、指定の計算機に不正アクセスの情報を通知する。
【0096】
クライアント側ネットワークセグメント100から、サーバ側ネットワークセグメント200へのパケット転送時に於いて、パケット解析処理部131は、パケット送受信部11で受信したパケットについて、不正アクセスに関わるパケットであると判定すると、その旨を不正アクセス情報通知部134に通知する(図17ステップS801)。不正アクセス情報通知部134はパケット解析処理部131から上記通知を受けると、図16に示す不正アクセス情報通知計算機一覧を参照して(図17ステップS802)、通知先計算機を決定し(図17ステップS803)、不正アクセス情報通知計算機一覧よりネットワークアドレスを取得して、その指定計算機に不正アクセスの情報を通知する(図17ステップS804)。
【0097】
これにより、パケット転送装置10が不正アクセスを検知した場合、不正アクセス情報の種類により、情報通知先の計算機を振り分けることが可能となる。
【0098】
【発明の効果】
以上詳記したように本発明によれば、不正アクセスに関わるパケットを検知した場合に、その不正アクセスの実態を管理者が効率よく正確に把握できるパケット転送装置およびパケット転送装置の不正アクセス検知時に於ける情報通知方法が提供できる。
【図面の簡単な説明】
【図1】本発明の第1乃至第6実施形態に於けるパケット転送装置を用いたネットワークシステムの構成を示すブロック図。
【図2】上記各実施形態に於けるパケット転送装置の構成を示すブロック図。
【図3】上記各実施形態に於けるパケット解析機構の構成要素を示すブロック図。
【図4】上記各実施形態に於ける不正アクセス履歴保持部に記録された不正アクセス履歴の一例を示す図。
【図5】本発明の第1実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図6】本発明の第1実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図7】本発明の第2実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図8】本発明の第2実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図9】本発明の第2実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図10】本発明の第3実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図11】本発明の第3実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図12】本発明の第4実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図13】本発明の第4実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図14】本発明の第5実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図15】本発明の第5実施形態に於けるパケット解析機構の処理手順を示すフローチャート。
【図16】本発明の第6実施形態に於ける不正アクセス情報通知先計算機一覧の構成例を示す図。
【図17】本発明の第6実施形態に於ける通知先振り分け処理の手順を示すフローチャート。
【符号の説明】
10…パケット転送装置
11…パケット送受信部
12…パケット送受信部
13…パケット解析機構
20…サーバ
100…クライアント側のネットワークセグメント
131…パケット解析処理部
132…パケット通過処理部
133…不正アクセス履歴保持部
134…不正アクセス情報通知部
135…不正アクセス情報通知計算機一覧
200…サーバ側のネットワークセグメント[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a packet transfer apparatus for transferring a packet between network segments, and an information notification method when detecting unauthorized access of the packet transfer apparatus.
[0002]
[Prior art]
In a packet transfer device that is connected to multiple network segments and transfers packets between network segments, the packet transfer device detects unauthorized access as a method for notifying the administrator when a packet related to unauthorized access is detected. There are a method of notifying the administrator every time, a method of notifying the administrator only once when unauthorized access is detected, a method of notifying only once for each type of unauthorized access, and the like.
[0003]
However, the method of notifying the administrator every time unauthorized access is detected is that, for example, if a large amount of unauthorized access is received from the same sender using the same unauthorized access method, a large amount of notifications will reach the administrator. There is a problem that the information that the administrator originally needs cannot be easily grasped.
[0004]
In addition, the method of notifying the administrator only once is that the administrator is notified only once even if there is unauthorized access from multiple destinations using the same unauthorized access method. There is a problem that a person cannot accurately grasp information (actual state) of unauthorized access.
[0005]
In addition, the method of notifying the administrator only once for each type of unauthorized access is to notify the administrator even if multiple access destinations of the packet transfer device have been accessed illegally using the same access method. Since this is performed only once, there is a problem that the administrator cannot accurately grasp information (actual state) of unauthorized access.
[0006]
[Problems to be solved by the invention]
As described above, conventionally, in the packet transfer device, when the packet related to unauthorized access is detected, the administrator can easily and accurately grasp the actual state of unauthorized access in the notification function to the administrator. There was no notification function.
[0007]
The present invention has been made in view of the above circumstances. When a packet related to unauthorized access is detected, a packet transfer device that enables an administrator to efficiently and accurately grasp the actual state of unauthorized access is detected. The purpose of this is to provide a method of information notification.
[0008]
[Means for Solving the Problems]
The present invention determines the usefulness of information to be notified when an unauthorized access detection mechanism of a packet transfer apparatus detects a packet related to unauthorized access, and determines only useful information. It is characterized in that a process of notifying is interposed.
[0009]
That is, the present invention provides packet analysis means for determining whether or not a packet transferred between network segments is a packet related to unauthorized access, and a packet determined by the packet analysis means to be a packet related to unauthorized access. A packet passage processing means for discarding the packet, and a packet determined to be a packet related to unauthorized access by the packet analysis means In the packet transfer device comprising the unauthorized access history recording means for recording the existence and detailed information as unauthorized access history, the packet transferred to the packet analysis means is a packet related to unauthorized access. When it is determined that there is a packet that is determined to be a packet related to the unauthorized access by referring to the unauthorized access history recorded in the unauthorized access history recording unit, A determination unit that determines whether the packet is an original, and the presence of a packet that is determined to be a packet related to the unauthorized access when the determination unit determines that the packet is a transmission source of an unauthorized packet that does not exist in the past, and Of packets related to the unauthorized access And a notification means for notifying the external device of the detailed information.
[0010]
The present invention also provides packet analysis means for determining whether or not a packet transferred between network segments is a packet related to unauthorized access, and a packet determined by the packet analysis means to be a packet related to unauthorized access. A packet passage processing means for discarding the packet, and a packet determined to be a packet related to unauthorized access by the packet analysis means In the packet transfer device comprising the unauthorized access history recording means for recording the existence and detailed information as unauthorized access history, the packet transferred to the packet analysis means is a packet related to unauthorized access. When it is determined that the packet is determined to be a packet related to unauthorized access by referring to the unauthorized access history recorded in the unauthorized access history recording means, A determination unit that determines whether the packet is a destination, and the presence of a packet that is determined to be a packet related to the unauthorized access when the determination unit determines that the packet is a transmission destination of an unauthorized packet that does not exist in the past, and Of packets related to the unauthorized access And a notification means for notifying the external device of the detailed information.
[0011]
Further, the present invention is characterized in that, in the packet transfer apparatus, the determination unit makes a determination with reference to an unauthorized access history within a predetermined past time recorded in the unauthorized access history recording unit. To do.
[0012]
Further, the present invention provides the packet transfer apparatus, wherein the determination means makes a determination with reference to an unauthorized access history after an arbitrary set timing from an unauthorized access history recorded in the unauthorized access history recording means. It is characterized by performing.
[0013]
Further, in the packet transfer device according to the present invention, when the notification by the notifying means is not successful, the packet analyzing means indicates the existence and detailed information of the packet related to the unauthorized access, and subsequently determines the determining means. It is characterized by comprising control means for excluding from the unauthorized access history referenced by.
[0014]
Further, in the packet transfer apparatus according to the present invention, when the notification unit notifies the external device of the presence and detailed information of the packet related to unauthorized access, the details to be notified It is characterized by comprising means for determining an external device to be notified based on information.
[0015]
Further, according to the present invention, in an information notification method when detecting unauthorized access of a packet transfer device, it is determined whether or not a packet transferred between network segments is a packet related to unauthorized access, and unauthorized access is made. When it is determined that the packet is related, the packet The presence of a packet determined to be a packet related to the unauthorized access and the packet The step of recording the detailed information as an unauthorized access history and the packet determined to be a packet related to the unauthorized access are not present in the past unauthorized access history by referring to all or a part of the recorded unauthorized access history. The presence of a packet that is determined to be a packet related to unauthorized access when it is determined whether the packet is a sender of an unauthorized packet and determined to be a sender of an unauthorized packet that does not exist in the past unauthorized access history, and Of the packet And a step of notifying detailed information to an external device.
[0016]
Further, according to the present invention, in an information notification method when detecting unauthorized access of a packet transfer device, it is determined whether or not a packet transferred between network segments is a packet related to unauthorized access, and unauthorized access is made. When it is determined that the packet is related, the packet The presence of a packet determined to be a packet related to the unauthorized access and the packet The step of recording the detailed information as an unauthorized access history and the packet determined to be a packet related to the unauthorized access are not present in the past unauthorized access history by referring to all or a part of the recorded unauthorized access history. It is determined whether or not it is a transmission destination of an unauthorized packet, and when it is determined that the transmission destination is an unauthorized packet that does not exist in the past unauthorized access history, the presence of a packet that is determined to be a packet related to the unauthorized access and Of the packet And a step of notifying detailed information to an external device.
[0017]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0018]
FIG. 1 is a block diagram showing a configuration of a network system using a packet transfer apparatus according to the present invention.
[0019]
1, a
[0020]
FIG. 2 is a block diagram showing a configuration of the
[0021]
As shown in FIG. 2, the
[0022]
In the
[0023]
When receiving a packet from the
[0024]
The
[0025]
When the
[0026]
When receiving a packet from the server-
[0027]
FIG. 3 is a block diagram showing components of the
[0028]
As shown in FIG. 3, the
[0029]
The packet
[0030]
The packet
[0031]
When the packet
[0032]
When the packet
[0033]
FIG. 4 is a diagram showing an example of the unauthorized access history recorded in the unauthorized access
[0034]
When the packet
[0035]
5 to 7 are flowcharts showing the processing procedure of the
[0036]
8 and 9 are flowcharts showing the processing procedure of the
[0037]
10 and 11 are flowcharts showing the processing procedure of the
[0038]
12 and 13 are flowcharts showing the processing procedure of the
[0039]
14 and 15 are flowcharts showing the processing procedure of the
[0040]
FIG. 16 is a diagram showing a configuration example of the unauthorized access information notification destination computer list in the sixth embodiment of the present invention. FIG. 17 is a flowchart showing a procedure of notification destination distribution processing based on unauthorized access information in the sixth embodiment of the present invention.
[0041]
Here, the information notification processing operation at the time of detecting unauthorized access according to the first to sixth embodiments of the present invention will be described with reference to the respective drawings.
[0042]
First, the information notification processing operation at the time of detecting unauthorized access in the first embodiment of the present invention will be described with reference to FIGS. In the first embodiment, for a packet that is determined to be a packet related to unauthorized access received by the packet transmitting / receiving
[0043]
The
[0044]
In the
[0045]
The packet
[0046]
When the packet
[0047]
When receiving a determination result indicating that the packet is not related to unauthorized access from the packet analysis processing unit 131 (No in step S103 in FIG. 5), the received packet is passed according to the determination result and passed to the packet transmitting / receiving unit 12 (FIG. 5). Step S107). The packet transmission /
[0048]
In the packet transfer process of the
[0049]
When a packet is transferred from the client-
[0050]
Upon receiving the notification from the packet
[0051]
The packet
[0052]
That is, the packet
[0053]
Here, the packet
[0054]
When the unauthorized access
[0055]
In addition, the packet
[0056]
As a result, when the
[0057]
Next, the information notification processing operation at the time of detecting unauthorized access in the second embodiment of the present invention will be described with reference to FIGS. 1 to 5 and FIGS. In the second embodiment, for a packet determined to be a packet related to unauthorized access received by the packet transmitting / receiving
[0058]
The
[0059]
In the packet transfer process of the
[0060]
At the time of packet transfer from the client-
[0061]
Upon receiving the notification from the packet
[0062]
The packet
[0063]
That is, the packet
[0064]
Here, the packet
[0065]
When the unauthorized access
[0066]
Further, the packet
[0067]
As a result, when the
[0068]
Next, the information notification processing operation at the time of detecting unauthorized access in the third embodiment of the present invention will be described with reference to FIGS. In this third embodiment, the
[0069]
In the
[0070]
Thereafter, when a packet is transferred from the client-
[0071]
The unauthorized access
[0072]
The packet
[0073]
That is, when this third embodiment is applied to the first embodiment described above, the packet
[0074]
Further, when the third embodiment is applied to the second embodiment described above, the packet
[0075]
As a result, when a packet related to unauthorized access is detected, it is possible to refer to only the unauthorized access history detected within a predetermined period of time and determine whether the unauthorized access should be notified of information.
[0076]
Next, the information notification processing operation at the time of unauthorized access detection in the fourth embodiment of the present invention will be described with reference to FIGS. 1 to 4 and FIGS. In the fourth embodiment, the
[0077]
In the
[0078]
Thereafter, when a packet is transferred from the client-
[0079]
The unauthorized access
[0080]
The packet
[0081]
In other words, when the fourth embodiment is applied to the first embodiment described above, the packet
[0082]
In addition, when this third embodiment is applied to the second embodiment described above, the packet
[0083]
As a result, when a packet related to unauthorized access is detected, whether or not unauthorized access should be notified by referring to only unauthorized access history at any time after the specified timing of the operation or after the set timing. It becomes possible to determine whether or not.
[0084]
Next, the information notification processing operation at the time of detecting unauthorized access in the fifth embodiment of the present invention will be described with reference to FIGS. 1 to 4 and FIGS. In the fifth embodiment, when the information notification by the unauthorized access
[0085]
When the unauthorized access
[0086]
When the unauthorized access
[0087]
Thereafter, when a packet is transferred from the client-
[0088]
The unauthorized access
[0089]
The packet
[0090]
That is, when this fifth embodiment is applied to the first embodiment described above, the packet
[0091]
Further, when the third embodiment is applied to the second embodiment described above, the packet
[0092]
As a result, if unauthorized information is detected and information notification to the specified computer fails, the unauthorized access history when the information notification results in an error will not be referenced when the unauthorized access is detected next time. Is possible.
[0093]
Next, the information notification processing operation at the time of detecting unauthorized access in the sixth embodiment of the present invention will be described with reference to FIGS. In the sixth embodiment, when the unauthorized access
[0094]
In the sixth embodiment, the list information of computers to be notified of unauthorized access information as shown in FIG. 16 is set in advance, and the notified computer of unauthorized access information is determined with reference to this computer list. The In the unauthorized access information notification
[0095]
The unauthorized access
[0096]
At the time of packet transfer from the client
[0097]
As a result, when the
[0098]
【The invention's effect】
As described above in detail, according to the present invention, when a packet related to unauthorized access is detected, the administrator can efficiently and accurately grasp the actual state of unauthorized access when detecting unauthorized access of the packet transfer device. Information notification method can be provided.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a network system using a packet transfer apparatus according to first to sixth embodiments of the present invention.
FIG. 2 is a block diagram showing a configuration of a packet transfer apparatus in each of the embodiments.
FIG. 3 is a block diagram showing components of a packet analysis mechanism in each of the embodiments.
FIG. 4 is a diagram showing an example of an unauthorized access history recorded in an unauthorized access history holding unit in each of the embodiments.
FIG. 5 is a flowchart showing a processing procedure of a packet analysis mechanism in the first embodiment of the present invention.
FIG. 6 is a flowchart showing a processing procedure of a packet analysis mechanism in the first embodiment of the present invention.
FIG. 7 is a flowchart showing a processing procedure of a packet analysis mechanism in the second embodiment of the invention.
FIG. 8 is a flowchart showing a processing procedure of a packet analysis mechanism in the second embodiment of the invention.
FIG. 9 is a flowchart showing a processing procedure of a packet analysis mechanism in the second embodiment of the invention.
FIG. 10 is a flowchart showing a processing procedure of a packet analysis mechanism in the third embodiment of the invention.
FIG. 11 is a flowchart showing a processing procedure of a packet analysis mechanism in the third embodiment of the present invention.
FIG. 12 is a flowchart showing a processing procedure of a packet analysis mechanism in the fourth embodiment of the invention.
FIG. 13 is a flowchart showing a processing procedure of a packet analysis mechanism in the fourth embodiment of the invention.
FIG. 14 is a flowchart showing a processing procedure of a packet analysis mechanism in the fifth embodiment of the invention.
FIG. 15 is a flowchart showing a processing procedure of a packet analysis mechanism in a fifth embodiment of the invention.
FIG. 16 is a diagram showing a configuration example of an unauthorized access information notification destination computer list in the sixth embodiment of the present invention;
FIG. 17 is a flowchart showing the procedure of a notification destination distribution process in the sixth embodiment of the present invention.
[Explanation of symbols]
10: Packet transfer device
11: Packet transmission / reception unit
12: Packet transmission / reception unit
13 ... Packet analysis mechanism
20 ... Server
100: Network segment on the client side
131 ... Packet analysis processing unit
132: Packet passage processing unit
133: Unauthorized access history holding unit
134: Unauthorized access information notification section
135 ... List of unauthorized access information notification computers
200: Network segment on the server side
Claims (11)
前記パケット解析手段に、
前記ネットワークセグメント間で転送されるパケットが不正アクセスに関わるパケットであることを判定した際、前記不正アクセス履歴記録手段に記録された不正アクセス履歴を参照して、前記不正アクセスに関わるパケットであると判定したパケットの送信元が、過去に存在する不正パケットの送信元であるか否かを判定する判定手段と、
前記判定手段が過去に存在しない不正パケットの送信元であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び前記不正アクセスに関わるパケットの詳細情報を外部の機器に通知する通知手段と
を具備したことを特徴とするパケット転送装置。Packet analysis means for determining whether or not a packet transferred between network segments is a packet related to unauthorized access, and packet passing processing for discarding a packet determined to be a packet related to unauthorized access by the packet analysis means A packet transfer apparatus comprising: and an unauthorized access history recording unit that records presence information and detailed information of a packet determined to be a packet related to unauthorized access by the packet analyzing unit as unauthorized access history;
In the packet analysis means,
When it is determined that a packet transferred between the network segments is a packet related to unauthorized access, referring to the unauthorized access history recorded in the unauthorized access history recording means, Determining means for determining whether or not the determined transmission source of the packet is a transmission source of an illegal packet that exists in the past;
When the determination unit determines that the transmission source is an unauthorized packet that does not exist in the past, the presence of the packet determined to be a packet related to the unauthorized access and the detailed information of the packet related to the unauthorized access are transmitted to an external device. A packet transfer apparatus comprising notification means for notification.
前記パケット解析手段に、
前記ネットワークセグメント間で転送されるパケットが不正アクセスに関わるパケットであることを判定した際、前記不正アクセス履歴記録手段に記録された不正アクセス履歴を参照して、前記不正アクセスに関わるパケットであると判定したパケットの送信先が、過去に存在する不正パケットの送信先であるか否かを判定する判定手段と、
前記判定手段が過去に存在しない不正パケットの送信先であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び前記不正アクセスに関わるパケットの詳細情報を外部の機器に通知する通知手段と
を具備したことを特徴とするパケット転送装置。Packet analysis means for determining whether or not a packet transferred between network segments is a packet related to unauthorized access, and packet passing processing for discarding a packet determined to be a packet related to unauthorized access by the packet analysis means A packet transfer apparatus comprising: and an unauthorized access history recording unit that records presence information and detailed information of a packet determined to be a packet related to unauthorized access by the packet analyzing unit as unauthorized access history;
In the packet analysis means,
When it is determined that a packet transferred between the network segments is a packet related to unauthorized access, referring to the unauthorized access history recorded in the unauthorized access history recording means, Determining means for determining whether or not the determined transmission destination of the packet is a transmission destination of an illegal packet existing in the past;
When the determination unit determines that the packet is a transmission destination of an illegal packet that does not exist in the past, the presence of the packet determined to be a packet related to the unauthorized access and the detailed information of the packet related to the unauthorized access are transmitted to an external device. A packet transfer apparatus comprising notification means for notification.
前記不正アクセスに関わるパケットであると判定したパケットの存在及び当該パケットの詳細情報を不正アクセス履歴として記録するステップと、
前記不正アクセスに関わるパケットであると判定したパケットについて、前記記録した不正アクセス履歴のすべて若しくは一部を参照して、過去の不正アクセス履歴に存在しない不正パケットの送信元であるか否かを判定し、過去の不正アクセス履歴に存在しない不正パケットの送信元であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び当該パケットの詳細情報を外部の機器に通知するステップと
を具備したことを特徴とするパケット転送装置の不正アクセス検知時に於ける情報通知方法。Determining whether a packet transferred between network segments is a packet related to unauthorized access, and determining that the packet is related to unauthorized access ; discarding the packet ; and
Recording the presence of a packet determined to be a packet related to the unauthorized access and detailed information of the packet as an unauthorized access history; and
For the packet determined to be related to the unauthorized access, refer to all or a part of the recorded unauthorized access history to determine whether the packet is a sender of an unauthorized packet that does not exist in the past unauthorized access history. When it is determined that the packet is a transmission source of an illegal packet that does not exist in the past unauthorized access history, the presence of the packet determined to be a packet related to the unauthorized access and detailed information of the packet are notified to an external device. And a step of notifying a packet transfer apparatus when an unauthorized access is detected by the packet transfer apparatus.
前記不正アクセスに関わるパケットであると判定したパケットの存在及び当該パケットの詳細情報を不正アクセス履歴として記録するステップと、
前記不正アクセスに関わるパケットであると判定したパケットについて、前記記録した不正アクセス履歴のすべて若しくは一部を参照して、過去の不正アクセス履歴に存在しない不正パケットの送信先であるか否かを判定し、過去の不正アクセス履歴に存在しない不正パケットの送信先であると判定した際に、前記不正アクセスに関わるパケットであると判定したパケットの存在及び当該パケットの詳細情報を外部の機器に通知するステップと
を具備したことを特徴とするパケット転送装置の不正アクセス検知時に於ける情報通知方法。Determining whether a packet transferred between network segments is a packet related to unauthorized access, and determining that the packet is related to unauthorized access ; discarding the packet ; and
Recording the presence of a packet determined to be a packet related to the unauthorized access and detailed information of the packet as an unauthorized access history; and
For packets determined to be packets related to unauthorized access, refer to all or a part of the recorded unauthorized access history to determine whether the packet is a destination for unauthorized packets that do not exist in the past unauthorized access history. When it is determined that the packet is a transmission destination of an unauthorized packet that does not exist in the past unauthorized access history, the presence of the packet determined to be a packet related to the unauthorized access and detailed information of the packet are notified to an external device. And a step of notifying a packet transfer apparatus when an unauthorized access is detected by the packet transfer apparatus.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002307124A JP3689079B2 (en) | 2002-10-22 | 2002-10-22 | Packet transfer device and information notification method when detecting unauthorized access of packet transfer device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002307124A JP3689079B2 (en) | 2002-10-22 | 2002-10-22 | Packet transfer device and information notification method when detecting unauthorized access of packet transfer device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004146931A JP2004146931A (en) | 2004-05-20 |
| JP3689079B2 true JP3689079B2 (en) | 2005-08-31 |
Family
ID=32453674
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002307124A Expired - Fee Related JP3689079B2 (en) | 2002-10-22 | 2002-10-22 | Packet transfer device and information notification method when detecting unauthorized access of packet transfer device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3689079B2 (en) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007028268A (en) * | 2005-07-19 | 2007-02-01 | Kddi Corp | Base station, system, and method for limiting band allocation of terminal transmitting illegal packet |
| EP1868321B1 (en) * | 2006-06-12 | 2016-01-20 | Mitsubishi Denki Kabushiki Kaisha | In-line content analysis of a TCP segment stream |
| JP2010226177A (en) * | 2009-03-19 | 2010-10-07 | Toshiba Corp | Packet transfer device, and program to be executed by the device |
| JP5792654B2 (en) * | 2012-02-15 | 2015-10-14 | 株式会社日立製作所 | Security monitoring system and security monitoring method |
| JP2018157368A (en) * | 2017-03-17 | 2018-10-04 | 株式会社構造計画研究所 | Detection information distribution system |
-
2002
- 2002-10-22 JP JP2002307124A patent/JP3689079B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004146931A (en) | 2004-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10044882B2 (en) | Agent device, image-forming-device management system, image-forming-device management method, image-forming-device management program, and storage medium | |
| CN102739411B (en) | The service of proof is provided | |
| US7555558B1 (en) | Method and system for fault-tolerant transfer of files across a network | |
| US20080034098A1 (en) | Communication mediating apparatus for mediating communication over network | |
| JP2007219608A (en) | Load balancing processing program and load balancing device | |
| EP3313022B1 (en) | Resending method and device for hypertext transfer request, and client | |
| CA2640696C (en) | Storing and retrieving user context data | |
| US20060077976A1 (en) | Apparatus and method for printing data using a server message block protocol | |
| JP3689079B2 (en) | Packet transfer device and information notification method when detecting unauthorized access of packet transfer device | |
| JP4000803B2 (en) | Device status monitoring apparatus, device status monitoring method, and medium storing device status monitoring program | |
| JP2004005418A (en) | Agent device, image forming device management system, method and program thereof and recording medium | |
| JP2003323360A (en) | Agent device, image forming device management system, image forming device management method, image forming device management program and recording medium | |
| CN105991370A (en) | UDP (user datagram protocol) channel detection method and UDP (user datagram protocol) channel detection device | |
| JP2007041926A (en) | User terminal discrimination method | |
| JP7234726B2 (en) | Communication device, communication system, and program | |
| US10819614B2 (en) | Network monitoring apparatus and network monitoring method | |
| JP6989457B2 (en) | External information receiving / distributing device, data transmission method, and program | |
| JP2005157822A (en) | Communication control device, application server, communication control method, and program | |
| JP5396974B2 (en) | COMMUNICATION SYSTEM, COMMUNICATION DEVICE, AND COMMUNICATION MANAGEMENT METHOD | |
| WO2018121353A1 (en) | Method of testing data channel, test server, and test system | |
| JP5738042B2 (en) | Gateway device, information processing device, processing method, and program | |
| JP5842657B2 (en) | Call control device | |
| JP5986695B2 (en) | Information processing apparatus, processing method, and program | |
| JP5893787B2 (en) | Information processing apparatus, processing method, and program | |
| KR100607962B1 (en) | Method of sharing user information for a plurality of network printers and network printer capable of sharing user information |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050201 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050208 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050411 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050531 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050609 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090617 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100617 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100617 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110617 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |