JP3725139B2 - パケット転送装置およびパケット転送方法 - Google Patents
パケット転送装置およびパケット転送方法 Download PDFInfo
- Publication number
- JP3725139B2 JP3725139B2 JP2003171283A JP2003171283A JP3725139B2 JP 3725139 B2 JP3725139 B2 JP 3725139B2 JP 2003171283 A JP2003171283 A JP 2003171283A JP 2003171283 A JP2003171283 A JP 2003171283A JP 3725139 B2 JP3725139 B2 JP 3725139B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- received
- identifier
- network segment
- holding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【発明の属する技術分野】
本発明は、複数のネットワークセグメント相互の間でパケットを転送するパケット転送装置、およびパケット転送方法に関する。
【0002】
【従来の技術】
従来、複数のネットワークセグメント相互の間に接続されて、これらセグメント間でパケットを転送するパケット転送装置に於いて、不正アクセスを防止するための、パケットを転送するか否の判断は、利用者がネットワーク若しくは他の設定手段を用いて設定した、宛先/送信元のネットワークアドレスやサービス番号等により行っていた。
【0003】
この際の従来のパケット転送装置に於ける不正アクセス防止手段を図22乃至図24を参照して説明する。従来のパケット転送装置の構成例を図22に示している。ここでは、パケット転送装置01の構成要素として、送信元となる一方のネットワークセグメントからのパケットを受信するパケット受信部02、パケット受信部02で受信したパケットをフィルタリング(選定)制御するパケットフィルタ部03、パケットフィルタ部03を通過したパケットを送出先となる他方のネットワークセグメントに送出するパケット送出部04、不正アクセスを防止するための宛先/送信元のネットワークアドレスやサービス番号等を設定するルール設定部05、ルール設定部05で設定されたアドレス等の情報を保持しパケットフィルタ部03が参照するルール保持部06等が設けられる。
【0004】
上記構成によるパケット転送装置01を含むネットワークシステムの一構成例を図23に示し、パケット転送装置01のルール保持部06に格納される内容例を図24に示している。
【0005】
利用者は、ネットワークを介し、ルール設定部05の機能を用いて、ルール保持部06に、宛先/送信元ネットワークアドレス、サービス番号、転送を許可するか否かの識別情報等を予め設定しておく。
【0006】
ここでは上記図22に示す構成のパケット転送装置01を用いて上記図23に示すようなネットワークシステムが構築され、利用者がルール設定部05の機能を用いて図24に示すような設定内容(ルール)が予めルール保持部06に保持しているものとする。
【0007】
その状態で、例えば、ネットワークアドレスとして、[192.168.1.12]を持つホストから、[192.168.0.31]を持つホストのHTTPサービスを利用しようとするパケットがパケット受信部02で受信されたとする。
【0008】
この受信パケットは、パケットフィルタ部03に送られる。
【0009】
パケットフィルタ部03では、ルール保持部06に格納された、予め利用者が設定した図24に示すようなルールを参照する。
【0010】
ここでパケットフィルタ部03は、図24に示すルールを参照して、ネットワークアドレスとして、[192.168.1.12]を持つホストから、[192.168.0.31]を持つホストのHTTPサービスを利用するアクセスは許可されていることを判断し、上記パケットをパケット送出部04に送出する。そして、パケット送出部04からネットワークアドレスとして、[192.168.0.31]のアドレスを持つホストへ転送され、通信が完了する。
【0011】
また、例えば、ネットワークアドレスとして、[192.168.1.13]を持つホストから、[192.168.0.31]を持つホストのHTTPサービスを利用しようとするパケットがパケット受信部02で受信されたとすると、その受信パケットは、パケットフィルタ部03に送られる。
【0012】
パケットフィルタ部03では、ルール保持部06に格納された、利用者が予め設定した図24に示すルールを参照する。
【0013】
ここでパケットフィルタ部03は、図24に示すルールを参照すると、ネットワークアドレスとして、[192.168.1.13]を持つホストから、[192.168.0.31]を持つホストのHTTPサービスを利用するアクセスは不許可とされていることを判断する。したがって、このパケットはパケットフィルタ部03によって不正アクセスと判断し破棄され、パケット送出部04からは上記受信したパケットが送出されないこととなる。
【0014】
他の宛先/送信元/サービスの各パケットに関しても、上記同様に、図24に示すルール保持部06の内容(ルール)に従って、送出/破棄が行なわれる。
【0015】
上述した従来のパケット転送装置に於ける不正アクセス防止手段には、宛先/送信元のMAC(Media Access Control)アドレスや、さらに上位のプロトコルの宛先/送信元アドレスやサービス番号等によって、パケットを転送するか否かを判断するだけでは、転送するように設定されたアドレスやサービス番号を用いた不正アクセスは防止できず、不正アクセスに関わるパケットを通過させないという目的には、不十分であるという問題があった。
【0016】
例えば、宛先/送信元MACアドレスや、さらに上位のプロトコルの宛先/送信元アドレスやサービス番号等がすべて正しく設定されていたとしても、その設定された送信元を介して(経由して)不正アクセスと見做されるデータをもつパケットが転送され、当該パケットで搬送されたデータにより、受信側システムのアプリケーション等が侵害されてしまうという、信頼性の問題があった。
【0017】
また、パケットを転送するか否かの判断を行なうための宛先/送信元MACアドレスや、さらに上位のプロトコルの宛先/送信元アドレスやサービス番号等の設定は、利用者や設置場所毎に異なるため、パケット転送装置の設置に伴って、設定を行なう必要があったが、この設定は、比較的困難であり、しばしば誤った設定がなされ、不正アクセスを許してしまうという問題もあった。
【0018】
また、設定をネットワーク経由で行なうにはIPアドレス等のネットワークアドレスが必要であり、それは、逆に不正アクセスの対象となり得るという問題もあった。
【0019】
また、宛先/送信元MACアドレスや、さらに上位のプロトコルの宛先/送信元アドレスやサービス番号等によって、転送しないと判断するパケットが到着したとしても、それが、必ずしも不正アクセスとは言い切れず、したがって、転送しないと判断するパケットが到着したことを何らかの形で表示したとしても、不正アクセスがなされていることの表示とはならないという問題もあった。
【0020】
【発明が解決しようとする課題】
上述したように、従来のパケット転送装置に於ける不正アクセス防止手段に於いては、宛先/送信元のMACアドレスや、さらに上位のプロトコルの宛先/送信元アドレスやサービス番号等によって、パケットを転送するか否かを判断するだけでは、転送するように設定されたアドレスやサービス番号を用いた不正アクセスは防止できず、不正アクセスに関わるパケットを通過させないという目的には、不十分であるという問題があった。
【0021】
また、パケットを転送するか否かの判断を行なうための宛先/送信元MACアドレスや、さらに上位のプロトコルの宛先/送信元アドレスやサービス番号等の設定は、利用者や設置場所毎に異なるため、パケット転送装置の設置に伴って、設定を行なう必要があったが、この設定は、比較的困難であり、しばしば誤った設定がなされ、不正アクセスを許してしまうという問題もあった。
【0022】
また、設定をネットワーク経由で行なうには、IPアドレス等のネットワークアドレスが必要であり、それは、逆に不正アクセスの対象となり得るという問題もあった。
【0023】
更に、宛先/送信元MACアドレスや、さらに上位のプロトコルの宛先/送信元アドレスやサービス番号等によって、転送しないと判断するパケットが到着したとしても、それが、必ずしも不正アクセスとは言い切れず、したがって、転送しないと判断するパケットが到着したことを何らかの形で表示したとしても、不正アクセスがなされていることの表示とはならないという問題もあった。
【0024】
このように、従来のパケット転送装置に於いては、不正アクセス防止に関して、信頼性の面で種々の問題があるとともに、利用者にかかる作業負担が大きいという問題があった。
【0025】
本発明は上記実情に鑑みなされたもので、利用者に大きな作業負担をかけることなく、信頼性の高い不正アクセスの防止機能を実現できるパケット転送装置、及びパケット転送方法を提供することを目的とする。
【0026】
また本発明は、送信元より転送されたパケット(受信パケット)の内容を送出して不正アクセスに関わるパケットでないことを判定する機能をもつことで、不正アクセスに関わるパケットの転送を確実に防止することのできる、信頼性の高い不正アクセスの防止機能が実現できるパケット転送装置、及びパケット転送方法を提供することを目的とする。
【0027】
また本発明は、宛先/送信元MACアドレスや、上位のプロトコルの宛先/送信元アドレスや、サービス番号等によって、受信パケットを転送するか否かを判断するだけでは防止できない不正アクセスに関わるパケットを通過させないパケット転送機構、パケットを転送するか否かの判断を行なうための設定を利用者が行なうことなく不正アクセスに関わるパケットを通過させないパケット転送機構、自身が不正アクセスの対象となることを防ぐことのできるパケット転送機構、不正アクセスが為されていることを表示可能なパケット転送機構、等を容易に実現することのできるパケット転送装置、及びパケット転送方法を提供することを目的とする。
【0028】
【課題を解決するための手段】
本発明は、少なくとも第1及び第2のネットワークセグメントに接続され、前記第1及び第2のネットワークセグメント間で転送されるパケットを監視するパケット転送装置であって、予め設定された条件に基づいて、前記第1のネットワークセグメントを介して受信した受信パケットに前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを解析するパケット解析手段と、前記パケット解析手段によって前記受信パケットが前記誤動作させる要因を含む不正パケットであると判定した際に、当該不正パケットを破棄し、正常なパケットであると判定した前記受信パケットのみを前記第2のネットワークセグメントに送出するパケット送出手段と、前記パケット解析手段によって正常なパケットであると判定され前記パケット送出手段により前記第2のネットワークセグメントに送出された送出済みパケットを保持する送出済みパケット保持手段とを設け、前記パケット解析手段は、前記受信パケットの解析時に、前記送出済みパケット保持手段に保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを解析することを特徴とする。
【0029】
また、本発明は、少なくとも第1及び第2のネットワークセグメントに接続され、前記第1及び第2のネットワークセグメント間で転送されるパケットを監視するパケット転送装置であって、前記第1のネットワークセグメントからのパケットを受信するパケット受信手段と、前記パケット受信手段で受信した受信パケットに識別子を付加する識別子付加手段と、前記識別子が付加された前記受信パケットを一時保留するパケット保留キューと、予め設定された条件に基づいて、前記パケット受信手段で受信した受信パケットに前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含む不正パケットであるか否かを判定し、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定した場合に、当該受信パケットの識別子を出力するパケット解析手段と、前記パケット解析手段より出力された前記識別子を受信し、前記パケット保留キューから受信した前記識別子を持つ受信パケットを取り出し、前記第2のネットワークセグメントへ送出するパケット送出手段と、前記パケット解析手段によって、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定され前記パケット送出手段により前記第2のネットワークセグメントに送出された送出済みパケットを保持する送出済みパケット保持手段とを設け、前記パケット解析手段は、前記受信パケットの解析時に、前記送出済みパケット保持手段に保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを解析することを特徴とする。
【0030】
また、本発明は、少なくとも3つ以上のネットワークセグメントに接続され、複数の前記ネットワークセグメント間で転送されるパケットを監視するパケット転送装置であって、前記ネットワークセグメントからのパケットを受信するパケット受信手段と、前記パケット受信手段で受信した受信パケットに識別子を付加する識別子付加手段と、前記識別子が付加された前記受信パケットを一時保留するパケット保留キューと、予め設定された条件に基づいて、前記パケット受信手段で受信した受信パケットに前記ネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含む不正パケットであるか否かを判定し、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定した場合に、当該受信パケットの識別子を出力するパケット解析手段と、前記パケット解析手段より出力された前記識別子を受信し、前記パケット保留キューから受信した前記識別子を持つ受信パケットを取り出し、当該受信パケットに含まれる宛先MACアドレスから送出すべきネットワークセグメントを判定する送出セグメント判定手段と、前記送出セグメント判定手段によって判定されたネットワークセグメントへ前記パケット保留キューから取り出した前記受信パケットを送出する1つ又は複数の送出手段と、前記パケット解析手段によって、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定され前記パケット送出手段により送出された送出済みパケットを保持する送出済みパケット保持手段とを設け、前記パケット解析手段は、前記受信パケットの解析時に、前記送出済みパケット保持手段に保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを解析することを特徴とする。
【0031】
また、本発明は、少なくとも3つ以上のネットワークセグメントに接続され、複数の前記ネットワークセグメント間で転送されるパケットを監視するパケット転送装置であって、前記ネットワークセグメントからのパケットを受信する受信手段と、前記受信手段で受信した受信パケットに識別子を付加する識別子付加手段と、前記識別子が付加された前記受信パケットを送出先のネットワークセグメント毎に一時保留する複数のパケット保留キューと、前記識別子が付加された前記受信パケットに含まれる宛先MACアドレスから前記受信パケットの送出先ネットワークセグメントを判定し、当該ネットワークセグメントに対応する前記パケット保留キューに前記識別子が付加されたパケットを格納する送出セグメント判定手段と、予め設定された条件に基づいて、前記パケット受信手段が受信した受信パケットに前記ネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含む不正パケットであるか否かを判定し、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定した場合に、当該受信パケットの識別子を出力するパケット解析手段と、前記パケット保留キューに対応して設けられる複数の送出手段であって、前記パケット解析手段より出力された前記識別子を受信し、前記識別子を持つ受信パケットを保留している前記パケット保留キューから当該受信パケットを取り出し、対応付けられた前記ネットワークセグメントへ送出する送出手段と、前記パケット解析手段によって、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定され前記パケット送出手段により送出された送出済みパケットを保持する送出済みパケット保持手段とを設け、前記パケット解析手段は、前記受信パケットの解析時に、前記送出済みパケット保持手段に保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記送出先のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを解析することを特徴とする。
【0046】
また、本発明は、少なくとも第1及び第2のネットワークセグメントに接続され、前記第1及び第2のネットワークセグメント間で転送されるパケットを監視するパケット転送方法において、予め設定された条件に基づいて、前記第1のネットワークセグメントを介して受信した受信パケットに前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを判定するステップと、前記受信パケットが前記誤動作させる要因を含む不正パケットであると判定した際に、当該不正パケットを破棄し、正常なパケットであると判定した前記受信パケットを前記第2のネットワークセグメントに送出するステップと、正常なパケットであると判定され前記第2のネットワークセグメントに送出された送出済みパケットを保持するステップとを具備し、前記判定ステップは前記保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを判定することを特徴とする。
【0047】
また、本発明は、少なくとも第1及び第2のネットワークセグメントに接続され、前記第1及び第2のネットワークセグメント間で転送されるパケットを監視するパケット転送方法において、前記第1のネットワークセグメントからのパケットを受信するステップと、前記受信した受信パケットに識別子を付加するステップと、前記識別子が付加された前記受信パケットを一時保留するステップと、予め設定された条件に基づいて、前記受信した受信パケットに前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含む不正パケットであるか否かを判定し、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定した場合に、当該受信パケットの識別子を出力する解析ステップと、前記出力された前記識別子を受信し、前記一時保留されている前記受信パケットの中から受信した前記識別子を持つ受信パケットを取り出し、前記第2のネットワークセグメントへ送出するステップと、正常なパケットであると判定され前記第2のネットワークセグメントに送出された送出済みパケットを保持するステップとを具備し、前記解析ステップは前記保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを判定することを特徴とする。
【0048】
また、本発明は、少なくとも3つ以上のネットワークセグメントに接続され、複数の前記ネットワークセグメント間で転送されるパケットを監視するパケット転送方法であって、前記ネットワークセグメントの一つからパケットを受信するステップと、前記受信した受信パケットに識別子を付加するステップと、前記識別子が付加された前記受信パケットを一時保留するステップと、予め設定された条件に基づいて、前記受信した受信パケットに前記ネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含む不正パケットであるか否かを判定し、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定した場合に、当該受信パケットの識別子を出力する解析ステップと、前記出力された識別子を受信し、前記一時保留されている前記受信パケットの中から受信した前記識別子を持つ前記受信パケットを取り出し、当該受信パケットに含まれる宛先MACアドレスから送出すべきネットワークセグメントを判定する送出セグメント判定ステップと、前記判定された送出すべきネットワークセグメントへ前記取り出した受信パケット送出するステップと、正常なパケットであると判定され前記送出された送出済みパケットを保持するステップとを具備し、前記解析ステップは前記保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記受信パケットを送出すべきネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを判定することを特徴とする。
【0049】
また、本発明は、少なくとも3つ以上のネットワークセグメントに接続され、複数の前記ネットワークセグメント間で転送されるパケットを監視するパケット転送方法であって、前記ネットワークセグメントの一つからパケットを受信するステップと、前記受信した受信パケットに識別子を付加するステップと、前記識別子が付加された前記受信パケットに含まれる宛先MACアドレスから当該受信パケットの送出先ネットワークセグメントを判定し、この判定に従って前記送出先のネットワークセグメント毎に設けられた一時保留キューに前記識別子が付加された前記受信パケットを格納するステップと、予め設定された条件に基づいて、前記受信した受信パケットに前記ネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含む不正パケットであるか否かを判定し、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定した場合に、当該受信パケットの識別子を出力する解析ステップと、前記解析ステップより出力された前記識別子を受信し、前記識別子を持つ受信パケットを保留している前記パケット保留キューから当該受信パケットを取り出し、対応付けられた前記ネットワークセグメントへ送出するステップと、正常なパケットであると判定され前記送出された送出済みパケットを保持するステップとを具備し、前記解析ステップは前記保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記送出先ネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを判定することを特徴とする。
【0050】
上記したような不正アクセスに関わるパケットを排除する機能をもつことにより、複数のネットワークセグメントに接続され、セグメント相互の間でパケットを転送するパケット転送装置に於いて、宛先/送信元MACアドレスや、さらに上位のプロトコルの宛先/送信元アドレスやサービス番号等によってパケットを転送するか否かを判断するだけでは防止できない、不正アクセスに関わるパケットを通過させないパケット転送装置を実現することができる。
【0051】
また、パケットを転送するか否かの判断を行なうための設定を利用者が行なうことなく、不正アクセスに関わるパケットを通過させないパケット転送装置を実現することができる。
【0052】
また、IPアドレス等のネットワークアドレスを全く持たないため、自身が不正アクセスの対象となることを防げる、不正アクセスに関わるパケットを通過させないパケット転送装置を実現することができる。
【0053】
また、不正アクセスが為されていることを表示可能なパケット転送装置を実現することができる。
【0054】
【発明の実施の形態】
以下、図面を参照して本発明の実施形態を説明する。
【0055】
先ず図1を参照して本発明の第1実施形態を説明する。
【0056】
図1は本発明の第1実施形態によるパケット転送装置の要部の構成要素を示すブロック図である。この図1に示す第1実施形態では、パケット転送装置の片方向の転送についてのみ、不正アクセスに関わるパケットの通過を防ぐ機能を備えた構成を例示している。
【0057】
図1に示すパケット転送装置10に於いて、パケット受信部11と、パケット送出部14は、それぞれ異なるネットワークセグメント(セグメントA−セグメントB)相互の間に接続される。ここではパケット受信部11が接続されているネットワークセグメントAから、パケット送出部14が接続されているネットワークセグメントBへパケットを転送する例を示している。
【0058】
パケット受信部11は、ネットワークセグメントA上のパケットを受信する。パケット識別子付加機構12は、受信したパケットに識別子を付加する。パケット保留キュー13は識別子を付加されたパケットを、パケット解析機構15が、不正アクセスに関わるパケットで無いことを判定するまで一時保留する。パケット解析機構15は、受信パケットを送出し、不正アクセスに関わるパケットで無いことを判定したパケットの識別子をパケット送出部14に伝える。パケット送出部14は、パケット解析機構15から伝えられた識別子と同じ識別子が付加されている受信パケットをパケット保留キュー13から取り出し、当該パケットをネットワークセグメントBへ送出する。
【0059】
ここで、上記各図を参照して本発明の第1実施形態に於ける動作を説明する。
【0060】
図1に示すパケット転送装置10に於いて、パケット受信部11はネットワークセグメントAに接続される送信側システム(又は端末、又は装置)から送信されたパケットを順次受信する。
【0061】
パケット識別子付加機構12は、受信されたパケットに、装置内でユニークな識別子を付加する。この際の識別子としては、例えば、1,2,3,4と連番を付してゆく方法がある。また、パケットの到着時刻を用いる方法もある。あるいは、パケットを格納した記憶装置の番地を利用する方法もある。
【0062】
上記パケット識別子付加機構12により識別子が付加されたパケットは、パケット保留キュー13に格納されるとともに、パケット解析機構15に渡される。
【0063】
パケット解析機構15には、予め、不正アクセスに関わるパケットを識別するための判定情報が格納されているデータベース150が設けられる。このデータベース150には、少なくとも過去に受信した不正アクセスに関わるパケットに含まれていた文字列(判定情報)が格納されている。
【0064】
パケット識別子付加機構12から受信パケットを渡されたパケット解析機構15は、当該受信パケットをデータベース150に格納された判定情報に基づいて、不正アクセスに関わるか否かを判定する。データベース150には判定情報として、不正アクセスに関わるパケットに含まれる文字列の一覧が格納されている。パケット解析機構15は、データベース150に格納された文字列一覧に含まれる文字列を受信パケットと逐次比較し、当該文字列一覧に含まれる文字列のいずれかが、受信パケットに含まれていた場合、当該受信パケットが不正アクセスに関わるものであると判定できる。受信パケットが不正アクセスに関わるものでは無いパケットであると判定した場合、パケット解析機構15は、当該受信パケットに付加された識別子をパケット送出部14に伝える。
【0065】
識別子を伝えられたパケット送出部14は、パケット保留キュー13から、当該識別子を持つ受信パケットを取り出し、ネットワークセグメントBを介して受信側システム(又は端末、又は装置)に送出する。
【0066】
パケット解析機構15に於いて、不正アクセスに関わるパケットであると判定された受信パケットは、パケット保留キュー13に残され、明示的な指示あるいは、パケット保留キュー13からの溢れによる等の暗黙的な手段によって破棄される。
【0067】
この一連の動作によって、不正アクセスに関わるパケットを通過させないパケット転送装置を実現することができる。
【0068】
また、パケット解析機構15のデータベース150に格納される、不正アクセスに関わるパケットを識別するための判定情報には、パケットデータの内容に関わるものをも含めることが可能であるため、宛先/送信元MACアドレスや、さらに上位のプロトコルの宛先/送信元アドレスやサービス番号等によって、パケットを転送するか否かを判断するだけでは防止できない不正アクセスに関わるパケットを通過させないパケット転送装置を実現することができる。
【0069】
また、このパケット解析機構15のデータベース150に予め格納される、不正アクセスに関わるパケットを識別するための判定情報は、利用者や設置場所によらず、同一のものを利用可能であるため、利用者がパケットを転送するか否かの判断を行なうための設定を行なうこと無く不正アクセスに関わるパケットを通過させないパケット転送装置を実現することができる。
【0070】
また、このパケット転送装置自身は、その動作を行なう上で、IPアドレス等のネットワークアドレスを全く持つ必要が無いため、自身が不正アクセスの対象となることを防ぎ、不正アクセスに関わるパケットを通過させないパケット転送装置を実現することができる。さらに、パケットデータの内容も、不正アクセスに関わるパケットを識別するための情報として利用することが可能であるため、明らかに不正アクセスに関わるパケットであるものを判定可能となる。例えば、アプリケーションプログラムに対して、規定より異常に長い文字列を送るようなパケットは、明らかに不正アクセスに関わるパケットであると判定できる。また、特定のデータ列が、アプリケーションプログラムやOSの誤動作を引き起こすことが知られている場合、当該データ列を含むパケットは、やはり、明らかに不正アクセスに関わるパケットであると判定できる。これらの、明らかに不正アクセスに関わるパケットであると判定できるパケットであると送出した場合に、利用者に表示することで、不正アクセスが成されていること、あるいは成されたことを表示可能なパケット転送装置を実現することができる。
【0071】
次に図2を参照して本発明の第2実施形態を説明する。
【0072】
図2は本発明の第2実施形態によるパケット転送装置の要部の構成要素を示すブロック図である。
【0073】
この図2に示す第2実施形態では、パケット転送装置の両方向の転送について、不正アクセスに関わるパケットの通過を防ぐ機能を備えた構成を例示している。
【0074】
この図2に示すパケット転送装置20は、ネットワークセグメントAからネットワークセグメントBへの不正アクセスに関わるパケットの通過を防ぐことができるとともに、ネットワークセグメントBからネットワークセグメントAへの不正アクセスに関わるパケットの通過を防ぐことができる。
【0075】
即ち、パケット転送装置20に於いて、パケット受信部21aはネットワークセグメントAより一つのパケットを受信する。
【0076】
パケット識別子付加機構22aは、受信されたパケットに、装置内でユニークな識別子を付加する。
【0077】
上記パケット識別子付加機構22aにより識別子が付加された受信パケットは、パケット保留キュー23aに格納されるとともに、パケット解析機構25aに渡される。パケット解析機構25aのデータベース250aには、予め不正アクセスに関わるパケットを識別するための判定情報が格納されている。
【0078】
パケット識別子付加機構22aからパケットを渡されたパケット解析機構25aは、受信パケットをデータベース250aに格納された判定情報に基づいて解析し、受信パケットが不正アクセスに関わるか否かを判定する。受信パケットが不正アクセスに関わるものでは無いパケットであると判定した場合、パケット解析機構25aは、当該受信パケットに付加された識別子をパケット送出部24bに伝える。この識別子を受信したパケット送出部24bは、パケット保留キュー23aから、当該識別子を持つ受信パケットを取り出し、ネットワークセグメントBに送出する。
【0079】
パケット解析機構25aに於いて、不正アクセスに関わるパケットであると判定された受信パケットは、パケット保留キュー23aに残され、明示的な指示あるいは、パケット保留キュー23aからの溢れによる等の暗黙的な手段によって破棄される。
【0080】
一方、パケット受信部21bはネットワークセグメントBより一つのパケットを受信する。パケット識別子付加機構22bは、受信したパケットに、装置内でユニークな識別子を付加する。
【0081】
上記パケット識別子付加機構22bにより識別子が付加された受信パケットは、パケット保留キュー23bに格納されるとともに、パケット解析機構25bに渡される。パケット解析機構25bのデータベース250bには、予め不正アクセスに関わるパケットを識別するための判定情報が格納されている。
【0082】
パケット識別子付加機構22bから受信パケットを渡されたパケット解析機構25bは、受信パケットをデータベース250bに格納された判定情報に基づいて解析し、受信パケットが不正アクセスに関わるか否かを判定する。受信パケットが不正アクセスに関わるものでは無いパケットであると判定した場合、パケット解析機構25bは、当該受信パケットに付加された識別子をパケット送出部24aに伝える。
【0083】
識別子を伝えられたパケット送出部24aは、パケット保留キュー23bから、当該識別子を持つ受信パケットを取り出し、ネットワークセグメントAに送出する。
【0084】
パケット解析機構25bに於いて、不正アクセスに関わるパケットであると判定された受信パケットは、パケット保留キュー23bに残され、明示的な指示あるいは、パケット保留キュー23bからの溢れによる等の暗黙的な手段によって破棄される。
【0085】
このような動作によって、ネットワークセグメントAからネットワークセグメントBへのパケット転送、およびネットワークセグメントBからネットワークセグメントAへのパケット転送について、その何れに於いても不正アクセスに関わるパケットを通過させないパケット転送装置を実現することができる。
【0086】
次に図3を参照して本発明の第3実施形態を説明する。
【0087】
図3は本発明の第3実施形態によるパケット転送装置の要部の構成要素を示すブロック図である。
【0088】
この図3に示す第3実施形態では、パケット転送装置の片方向の転送について、不正アクセスに関わるパケットの通過を防ぐ機能を備えた構成を例示している。
【0089】
この図3に示すパケット転送装置30は、上記図2に示す第2実施形態の構成の簡素化を図ったもので、ネットワークセグメントAからネットワークセグメントBへの不正アクセスに関わるパケットに関してはその通過を防ぐが、ネットワークセグメントBからネットワークセグメントAへのパケット転送についてはパケットの通過を防げない構成としている。この図3に示す構成のパケット転送装置30は、外部ネットワークとの接続点に設けられるような場合(例えばネットワークセグメントBに接続されるシステムにおいて自己管理が可能な構内等のネットワークシステムであり、ネットワークセグメントAが外界のネットワークシステムであるような場合)に、上記図2に示す第2実施形態に示すパケット転送装置20に比して構成を簡素化できる。
【0090】
パケット転送装置30に於いて、パケット受信部31aはネットワークセグメントAより一つのパケットを受信する。パケット識別子付加機構32は、パケット受信部31aからの受信パケットに対し、装置内でユニークな識別子を付加する。
【0091】
上記パケット識別子付加機構32により識別子が付加された受信パケットは、パケット保留キュー33に格納されるとともに、パケット解析機構35に渡される。パケット解析機構35のデータベース350には、予め不正アクセスに関わるパケットを識別するための判定情報が格納されている。
【0092】
パケット識別子付加機構32から受信パケットを渡されたパケット解析機構35は、受信パケットをデータベース350に格納された識別情報に基づいて解析し、受信パケットが不正アクセスに関わるか否かを判定する。受信パケットが不正アクセスに関わるものでは無いパケットであると判定した場合、パケット解析機構35は、当該受信パケットに付加された識別子をパケット送出部34bに伝える。
【0093】
識別子を伝えられたパケット送出部34bは、パケット保留キュー33から、当該識別子を持つ受信パケットを取り出し、ネットワークセグメントBに送出する。
【0094】
パケット解析機構35に於いて、不正アクセスに関わるパケットであると判定されたパケットは、パケット保留キュー33に残され、明示的な指示あるいは、パケット保留キュー33からの溢れによる等の暗黙的な手段によって破棄される。
【0095】
一方、パケット受信部31bはネットワークセグメントBより一つのパケットを受信すると、当該パケットをそのまま(スルーモードで)パケット送出部34aに渡す。パケット送出部34aは、パケット受信部31bより受けたパケットをネットワークセグメントAに送出する。
【0096】
このような動作によって、ネットワークセグメントAからネットワークセグメントBへのパケット転送については、不正アクセスに関わるパケットを通過させることないよう厳重に管理され、逆方向の転送については不正アクセスに関する防御機能を簡略したパケット転送装置を実現することができる。
【0097】
次に図4、図5を参照して本発明の第4実施形態、および第5実施形態を説明する。
【0098】
図4は、本発明の第4実施形態によるパケット転送装置の要部の構成要素を示すブロック図であり、図5は、本発明の第5実施形態によるパケット転送装置の要部の構成要素を示すブロック図である。
【0099】
この図4および図5に示す各実施形態では、何れに於いても、送出すべきネットワークセグメントを判定できた場合、判定されたネットワークセグメントのみに送出することで、判定されたネットワークセグメント以外のネットワークセグメントのトラフィックを削減することを可能にしている。
【0100】
本発明に係るパケット転送装置が、3つ以上のネットワークセグメント間でパケットを転送する場合、あるネットワークセグメントから受信したパケットを、当該ネットワークセグメント以外の全てのネットワークセグメントに送出する方法がある。また、パケットの宛先MACアドレスから、送出すべきネットワークセグメントを判定し、判定できた場合は、判定されたネットワークセグメントのみに送出することで、判定されたネットワークセグメント以外のネットワークセグメントのトラフィックを削減する方法もある。
【0101】
図4に示す第4実施形態では、各送出セグメントに対して、パケット保留キューを共通としたパケット転送装置40の構成を示している。ここでは、パケット解析機構45により、パケットが不正アクセスに関わるか否かを判定した後に、送出すべきネットワークセグメントを判定する構成としている。
【0102】
上記図4に示す構成のパケット転送装置40に於いて、パケット受信部41により受信され、パケット識別子付加機構42によって識別子が付加された受信パケットは、全ての送出セグメントに共通のパケット保留キュー43に格納される。
【0103】
パケット解析機構45はデータベース450に格納された判定情報に基づき、受信パケットが不正アクセスに関わるか否かを判定し、不正アクセスに関わるパケットでは無いと判定した場合、当該受信パケットの識別子を送出セグメント判定機構46に通知する。
【0104】
パケット解析機構45より識別子を通知された送出セグメント判定機構46は、当該識別子を持つ受信パケットをパケット保留キュー43から取り出し、受信パケットの宛先MACアドレスから、送出すべきネットワークセグメントを識別し、識別できた場合は、判定されたネットワークセグメントに対応する少なくとも一つのパケット送出部(44a〜44nのいずれか)に受信パケットを受け渡す。そして、パケット送出部は識別したネットワークセグメントに受信パケットを送出する。また、ネットワークセグメントが識別できなかった場合は、全てのパケット送出部44a〜44nに受信パケットが送られ、パケット送出部44a〜44nに接続されるネットワークセグメントに受信パケットが送出される。
【0105】
図5に示す第5実施形態では、送出ネットワークセグメントそれぞれに固有のパケット保留キューを設けたパケット転送装置50の構成を示している。ここでは、パケット解析機構55により受信パケットが不正アクセスに関わるか否かを判定する以前に、送出すべきネットワークセグメントを判定する構成としている。
【0106】
図5において、パケット受信部51に受信され、パケット識別子付加機構52によって識別子が付加された受信パケットは、送出セグメント判定機構56およびパケット解析機構55に渡される。
【0107】
送出セグメント判定機構56は、パケット受信部51で受信され、パケット識別子付加機構52によって識別子が付加された受信パケットの宛先MACアドレスから、送出すべきネットワークセグメントを識別し、その識別したネットワークセグメントに対応するパケット保留キュー(53a〜53nのいずれか)に当該受信パケットを格納する。
【0108】
パケット保留キュー53a〜53nは、送出セグメント判定機構56によって格納された受信パケットを、パケット解析機構55によって不正アクセスに関わるパケットで無いことが判定されるまで一時保留する。そして、このパケット保留キュー53a〜53nに対応してパケット送出部54a〜54nがそれぞれ接続されている。
【0109】
パケット解析機構55は、データベース550に格納された判定情報に基づき、受信パケットが不正アクセスに関わるか否かを判定し、受信パケットが不正アクセスに関わるパケットでは無いと判定した場合、当該受信パケットの識別子をパケット送出部54a〜54nに通知する。
【0110】
パケット解析機構55より識別子を通知されたパケット送出部54a〜54nは、当該識別子を持つ受信パケットが対応して接続されているパケット保留キュー53a〜53nに存在するとき、当該受信パケットを取り出し、対応するネットワークセグメントに送出する。
【0111】
また、送出セグメント判定機構56は、送出すべきネットワークセグメントが認識できなかった場合は、受信パケットを全てのパケット保留キュー53a〜53nに格納する。そして、受信パケットがパケット解析機構55より不正アクセスではないと判定され、当該受信パケットの識別子がパケット送出部54a〜54nに通知された時、パケット送出部54a〜54nはパケット保留キュー53a〜53nから受信パケットを取り出し、対応する全てのネットワークセグメントにそのパケットを送出する。
【0112】
このような構成とすることにより、パケット解析機構55で不正アクセスに関わるパケットでは無いと判定されてからパケット送出部(54a〜54n)へ送出されるまでの時間が短縮できる効果がある。
【0113】
そして、上記した第4実施形態、第5実施形態によれば、送出すべきネットワークセグメントを識別できた場合は、識別されたネットワークセグメントのみにパケットの送出を行なうことで、識別されたネットワークセグメント以外のネットワークセグメントのトラフィックを削減することが可能となる。
【0114】
次に、図6乃至図8を参照して本発明の第6実施形態を説明する。
【0115】
図6は、本発明の第6実施形態によるパケット転送装置の要部の構成要素を示すブロック図である。図7および図8は、それぞれ第6実施形態に於ける不正アクセス表示手段の例を示す図である。
【0116】
この図6に示す第6実施形態のパケット転送装置60は、パケット解析機構65が不正アクセスに関わるパケットであるという判定した受信パケットの存在、構造、形式、受信時刻、送信元の少なくともいずれかを含む詳細情報を不正アクセス履歴として記録し表示する機能を備えている。
【0117】
不正アクセス履歴保持機構66は、パケット解析機構65が不正アクセスに関わるパケットであるという判定した受信パケットについて、その存在、および受信時刻、送信元等の詳細情報をパケット解析機構65より取得し、保持する。
【0118】
不正アクセス履歴表示機構67は、不正アクセス履歴保持機構66が保持する不正アクセス履歴を表示するものである。この際の不正アクセス履歴表示機構67の具体例を図7、図8にそれぞれ示している。
【0119】
上記図6に示す構成のパケット転送装置60に於いて、パケット識別子付加機構62は、パケット受信部61で受信された受信パケットに、装置内でユニークな識別子を付加する。
【0120】
上記パケット識別子付加機構62により識別子が付加された受信パケットは、パケット保留キュー63に格納されるとともに、パケット解析機構65に渡される。
【0121】
パケット識別子付加機構62から受信パケットを渡されたパケット解析機構65は、データベース650に格納された判定情報に基づき解析し、当該受信パケットが不正アクセスに関わるか否かを判定する。
【0122】
したがって、パケット解析機構65はパケット受信部61を介して不正アクセスに関わるパケットが受信されると、当該受信パケットが不正アクセスであると判定する。この際、パケット解析機構65は、当該受信パケットの識別子をパケット送出部64へ送出せず、不正アクセスに関わるパケットが受信側ネットワークセグメントに転送されないことは上記した各実施形態と同様である。
【0123】
この第6実施形態に於いては、上記パケット解析機構65が不正アクセスに関わるパケットであると判定した際、不正アクセス履歴保持機構66に不正アクセスの存在、並びに受信時刻や送信元、送信先、不正の種類などの情報を不正アクセス履歴情報として送出する。
【0124】
不正アクセス履歴保持機構66は、上記パケット解析機構65より取得した不正アクセス履歴を保持し、利用者が不正アクセス履歴の消去の作業を行なうまでそれを保持する。
【0125】
不正アクセス履歴表示機構67は、不正アクセス履歴保持機構66に保持されている、不正アクセスに関わるパケットの存在、受信時刻、送信元、送信先、およびパケット解析機構65が判定した不正の種類等の不正アクセス履歴情報の内容を表示する。
【0126】
この際の不正アクセス履歴表示機構67の具体的な構成例としては、図7に示すのように、パケット転送装置60の筐体に設けられた、例えばLED等を用いた不正アクセス表示器67Aを点灯駆動して、不正アクセスの存在を利用者に報知する構成とする。または、図8に示すように、不正アクセスの時刻、送信元、送信先、不正の種類などを例えばLCD等を用いた不正アクセス表示装置67Bに文字表示して、利用者に、不正アクセスの時刻、送信元、送信先、不正の種類などの詳細情報を報知する構成とする。さらに、履歴情報を遡って表示するためのスイッチを備えて、利用者が、不正アクセスの履歴情報を遡って確認できるようにすることもできる。
【0127】
次に、図9乃至図12を参照して本発明の第7実施形態を説明する。
【0128】
図9は、本発明の第7実施形態によるパケット転送装置の要部の構成要素を示すブロック図である。
【0129】
この図9に示す第7実施形態のパケット転送装置70は、複数のパケットが必要なパケットの解析時に参照される送出済みのパケットを保持する送出済みパケット保持機構76を具備したことを特徴とする。
【0130】
送出済みパケット保持機構76は、パケット解析機構75が受信パケットを送出する際に参照されるもので、パケット解析機構75が解析処理した送出済みのパケットを保持する機能をもつ。
【0131】
パケット解析機構75は、パケット受信部71がパケットを受信し、パケット識別子付加機構72が識別子を付加した受信パケットを解析する際に、当該受信パケットに加えて、当該受信パケット以前に送出した送出済みパケットをあわせて参照し、不正アクセスに関わるパケットであるか否かを判定する。
【0132】
上記図9に示す構成のパケット転送装置70に於いて、パケット受信部71で受信され、パケット識別子付加機構72により識別子が付加された受信パケットは、パケット保留キュー73に格納され、パケット解析機構75に渡されると同時に送出済みパケット保持機構76に保持される。
【0133】
パケット解析機構75は、パケット識別子付加機構72から渡された受信パケットを送出する際に、装置内に組み込まれた後述するパケット解析プログラムによる判定情報(他の実施形態と同様にデータベースを参照しても良い)、および送出済みパケット保持機構76に保持されている当該受信パケット以前に送出したパケットを含めて参照(この参照では、過去に正常なパケットと判定したことを示す)し、パケット識別子付加機構72から渡された受信パケットが不正アクセスに関わるパケットであるか否かを判定する。
【0134】
パケット解析機構75は、パケット解析プログラムの解析に基づいて、受信パケットが不正アクセスに関わるパケットであると判定した場合、送出済みパケット保持機構76に保持されている当該受信パケット(不正アクセスのパケット)を破棄する。これにより、以降の解析において、送出したパケットのみを参照することとなり、より正確な解析を可能とする。
【0135】
送出済みパケット保持機構76に、保持されているパケットを、例えば、格納してから一定期間過ぎたら破棄する方法や、宛先毎に予め指定した特定のデータ量を越えたら、越えた分、到着順序に従い破棄する方法などによって、送出済みパケット保持機構76に新しいパケットが格納できなくなることを防ぐ機構が設けられる。
【0136】
また、送出済みパケット保持機構76に、パケット解析機構75からの送出済みパケットの参照が容易となるように、例えば、特定の宛先へのパケットのみを取り出す機能や、パケットに含まれる連番の順にパケットを並び替えて取り出す機能が設けられる。これにより、アプリケーションプログラムやOS等に対してバグを引き起こすことが知られている特定のデータ列が、複数のパケットに跨って送られてきた場合など、受信パケットをそれぞれ別個に判定しては見逃してしまうような不正アクセスに関わるパケットであっても見つけることが可能となる。
【0137】
図10は、上述したパケット解析プログラムを用いたパケット解析機構の構成例を示すブロック図である。ここでは、図9に示す第7実施形態に於けるパケット解析機構75を例にとって示しているが、上述した第1乃至第6の実施形態に示した不正パケット解析用データベースの変わりに、パケット解析機構を適用しても良い。
【0138】
図10に示すパケット転送装置のパケット解析機構75は、実行プログラムの形式で不正アクセスに関わるパケットの判定を行う処理機能が実現される。
【0139】
図10に示すパケット解析機構75に於いて、パケット格納部751は、命令実行機構754からメモリ制御機構753を介してアクセスされる記憶装置であり、パケット識別子付加機構72により識別子が付加された受信パケットや、送出済みパケット保持機構76に保持されている送出済みパケットが格納される。
【0140】
実行命令格納部752は、命令実行機構754が動作するのに必要なパケット解析プログラムを格納する記憶装置である。
【0141】
メモリ制御機構753は、命令実行機構754からのアクセス要求に基づき、パケット格納部751、あるいは実行命令格納部752、あるいはその他の記憶装置と命令実行機構754との間で、格納されたデータを受け渡す機能を持つ。
【0142】
命令実行機構754は、メモリ制御機構753から渡されるパケット解析プログラムに従い、パケット格納部751に格納されたパケットが、不正アクセスに関わるパケットであるか否かを判定するためのパケット解析処理を実行する。
【0143】
この命令実行機構754の実行結果により、受信パケットが不正アクセスに関わるパケットであるか否かが判定される。そして、当該受信パケットが不正アクセスに関わるパケットで無い場合は、当該受信パケットを送出すべく、パケット送出部74(あるいは図4、図5に示す送出セグメント判定機構46,56)に、当該受信パケットの識別子が伝えられる。
【0144】
ここで、図10に示す構成のパケット解析機構75に於ける処理動作を、図9に示すパケット転送装置70を適用した場合を基に説明する。
【0145】
図10に示す構成のパケット解析機構75に於いて、実行命令格納部752には、命令実行機構754が動作するのに必要なパケット解析プログラムが予め格納されている。
【0146】
図9に示すパケット転送装置70に於いて、パケット受信部71で受信されたパケットはパケット識別子機構72によって識別子が付加される。この識別子が付加された受信パケットは、パケット保留キュー73に格納され、またパケット解析機構75に渡されると同時に、送出済みパケット保持機構76にも格納される。パケット解析機構75に渡されたパケットは、パケット格納部751に格納される。
【0147】
パケット格納部751に受信パケットを格納する方法としては、パケット識別子付加機構72、または送出済みパケット保持機構76から受信パケットをコピーしてくる方法。または、パケット識別子付加機構72や送出済みパケット保持機構76と記憶装置(パケット格納部751)を共有する方法等がある。送出済みパケット保持機構76を持つ場合、送出済みパケット保持機構76に保持されている送出済みパケットもパケット格納部751に格納する構成にしてもよい。
【0148】
パケット格納部751へのパケットの格納が完了すると、命令実行機構754の動作が開始される。命令実行機構754は、メモリ制御機構753を介して実行命令格納部752に格納されたパケット解析プログラム(実行プログラム)を先頭から逐次読み出して送出処理を実行する。
【0149】
例えば、パケット格納部751に格納された受信パケットに、不正アクセスに関わるパケットに含まれる文字列が含まれているか否かを解析する場合、実行命令格納部752に格納されたパケット解析プログラムの一部には、不正アクセスに関わるパケットに含まれる文字列の一覧が含まれており、命令実行機構754は、メモリ制御機構753を介して、当該文字列一覧に含まれる文字列と受信パケットを逐次比較して、当該文字列一覧に含まれる文字列のいずれかが受信パケットに含まれていた場合、当該受信パケットが不正アクセスに関わるものであると判定する。
【0150】
また、命令実行機構754は、実行命令格納部752に格納されたパケット解析プログラムに従い、送出済みパケット保持機構76が持つ、例えば特定の宛先への受信パケットのみを取り出す機能や、受信パケットに含まれる連番順にパケットを並び替えて取り出す機能等を利用して、送出済みパケット保持機構76から送出済みのパケットを取り出し、パケット格納部751に格納する機能を持つこともできる。
【0151】
命令実行機構754はパケット解析プログラムの終端まで処理を実行し、受信パケットが不正アクセスに関わるものであるか否かを判定する。
【0152】
このような不正アクセスに関わるパケットの判定機能をもつ構造とすることで、例えば、OSの誤動作を引き起こすことが知られている特定のデータ列として、一部のみ異なる複数のデータ列がある場合、共通する部分の比較は一度で完了することが可能となり、不正アクセスに関わるものであるか否かの判定をより高速に行なうことが可能となる。さらに、命令実行機構754の動作が停止している期間に、実行命令格納部752の実行プログラムを入れ替えると、次のパケットを受信した際に、新しく入れ替えられた実行プログラムにしたがって、解析が開始されることから、パケット解析機構75の不正アクセスの解析手段を更新することも容易となる。
【0153】
図11及び図12のフローチャートは、実行命令格納部752に格納されるパケット解析プログラムを命令実行機構754が実行して、不正アクセスに関わるパケットの判定処理の具体例な処理手順を示す。
【0154】
この図11及び図12に示す判定処理では、上記パケット格納部751に格納された受信パケットについて、先ずヘッダフィールドのオプションや、パラメータの組み合わせがパケット転送先のサーバに誤動作を引き起こすとして予め設定された既知の条件を満たしているか否かが判定される(図11ステップS11)。即ち、受信パケットのヘッダ部から不審な相手からの送信であったり、形式の異なる怪しいパケットであることを見分ける処理を行なう。
【0155】
ここで上記条件を満たしていれば、当該受信パケットは破棄の対象となる(図11ステップS15)。一方、上記条件を満たしていなければ、次に、断片化されたパケットやTPC等、判断に他のパケットの情報も必要となるか否かが判断される(図11ステップS12)。
【0156】
他のパケットを必要としない場合は、次にパケットが搬送しているデータの長さ、あるいはデータが指定しているパラメータの組み合わせが、そのデータを処理するアプリケーションに誤動作を引き起こすとして予め設定された既知の条件を満たしているか否かが判定される(図11ステップS13)。
【0157】
ここで上記条件を満たしていれば当該受信パケットは破棄の対象となる(図11ステップS15)。一方、上記条件を満たしていなければ、当該受信パケットを送出対象パケットとして、パケット送出部74に当該受信パケットの転送指示を行う(図11ステップS14)。
【0158】
また、上記ステップS12に於いて、他のパケットの情報も必要であると判断された際は、断片化されたパケットで、かつ送出済みパケット保持機構76から取り出した他の断片化されたパケットとデータ領域がオーバーラップしている等、サーバに誤動作引き起こすとして予め設定された既知の条件を満たしているか否かが判定される(図12ステップS21)。
【0159】
ここで上記条件を満たしていれば当該受信パケットは破棄の対象となる(図12ステップS26)。一方、上記条件を満たしていなければ、次に、TPCのパケットで、送出済みパケット保持機構76から取り出した同一セッションの他のパケットとデータ領域がオーバーラップしている等、サーバに誤動作引き起こすとして予め設定された既知の条件を満たしているか否かが判定される(図12ステップS22)。
【0160】
ここで上記条件を満たしていれば当該受信パケットは破棄の対象となる(図12ステップS26)。一方、上記条件を満たしていなければ、次に、送出済みパケット保持機構76から必要に応じた数の同一セッションのパケットを取り出し、送出に充分な長さのデータストリームを再構築し(図12ステップS23)、当該TCPデータストリームによって搬送されているデータの長さ、あるいはデータが指定しているパラメータは誤動作を引き起こすとして予め設定された既知の条件を満たしているか否かが判定される(図12ステップS24)。
【0161】
ここで上記条件を満たしていれば当該受信パケットは破棄の対象となる(図12ステップS26)。一方、上記条件を満たしていなければ、パケット送出部74に当該受信パケットの転送指示を行う(図12ステップS25)。
【0162】
このような不正アクセスに関わるパケットの判定処理が、パケット受信部71で受信した各受信パケットについて順次実行される。
【0163】
上記したような不正アクセスに関わるパケットを排除する機能をもつことにより、宛先/送信元MACアドレスや、さらに上位のプロトコルの宛先/送信元アドレスやサービス番号等によってパケットを転送するか否かを判断するだけでは防止できない、不正アクセスに関わるパケットを通過させないパケット転送機構が実現できる。またパケットを転送するか否かの判断を行なうための設定を利用者が行なうことなく不正アクセスに関わるパケットを通過させないパケット転送機構を実現できる。またIPアドレス等のネットワークアドレスを全く持たないため、自身が不正アクセスの対象となることを防げる、不正アクセスに関わるパケットを通過させないパケット転送機構が実現できる。
【0164】
尚、上記した実行命令格納部752に格納される実行プログラム(パケット送出プログラム)は、例えばハードディスク、CD−ROM、半導体メモリ等の各種記憶媒体または記憶装置により提供することも可能である。
【0165】
次に、図13を参照して本発明の第8実施形態を説明する。
【0166】
図13は、本発明の第8実施形態によるパケット転送装置の要部の構成要素を示すブロック図である。
【0167】
この図13に示す第7実施形態のパケット転送装置80は、シリアルインタフェース87を介してパケット解析プログラムを更新する機能を付加したことを特徴とする。
【0168】
図13に示すパケット転送装置80に於いて、パケット解析機構85の実行命令格納部86には、命令実行機構(図10を参照)が動作するための実行プログラムが格納されている。
【0169】
シリアルインタフェース87は、外部からの解析プログラム更新指示を受信する機能を持つ。解析プログラム更新機構88は、シリアルインタフェース87が受信した解析プログラム更新指示に従って、パケット解析機構85に格納された実行プログラムを更新する機能を持つ。更新指示形式識別機構89は、シリアルインタフェース87で受信したデータが、解析プログラム更新指示であるか否かを、当該受信したデータが特定の形式を満たしているか否かによって判定する機能を持つ。
【0170】
上記図13に示すパケット転送装置80の動作を説明する。
【0171】
シリアルインタフェース87を介して受信されたデータは解析プログラム更新機構88に渡される。解析プログラム更新機構88は、更新指示形式識別機構89によって、シリアルインタフェース87から渡されたデータが特定の形式を満たしている解析プログラム更新指示であることを確認すると、当該解析プログラム更新指示に含まれている実行プログラムを取り出す。
【0172】
更に、解析プログラム更新機構88は、パケット解析機構85の命令実行機構が動作中か否かを確認し、動作中の場合は、動作が停止するのを待つ。パケット解析機構85の命令実行機構が停止していることを確認した場合、解析プログラム更新指示に含まれる実行プログラムをパケット解析機構85の実行命令格納部86に格納する。これにより、パケット解析機構85内の不正アクセスを解析する実行プログラムが更新される。
【0173】
次に、図14を参照して本発明の第9実施形態を説明する。
【0174】
図14は、本発明の第9実施形態によるパケット転送装置の要部の構成要素を示すブロック図である。
【0175】
この図14に示す第9実施形態のパケット転送装置90は、ネットワークインタフェース97を介してパケット解析プログラムを更新する機能を付加したことを特徴とする。この第9の実施形態は、図13の実施形態のシリアルインタフェース87がネットワークインタフェース97に置き換わったものであり、その他の構成は図13と同じであるためその説明は省略する。
【0176】
次に、図14に示すパケット転送装置90の動作を説明する。
【0177】
ネットワークインタフェース97を介して受信されたデータは解析プログラム更新機構98に渡される。解析プログラム更新機構98は、更新指示形式識別機構99によって、ネットワークインタフェース97から渡されたデータが特定の形式を満たしている解析プログラム更新指示であることを確認すると、当該解析プログラム更新指示に含まれている実行プログラムを取り出す。
【0178】
更に、解析プログラム更新機構98は、パケット解析機構95の命令実行機構が動作中か否かを確認し、動作中の場合は、動作が停止するのを待つ。パケット解析機構95の命令実行機構が停止していることを確認した場合、解析プログラム更新指示に含まれる実行プログラムをパケット解析機構95の実行命令格納部96に格納する。これにより、パケット解析機構95内の不正アクセスを解析する実行プログラムが更新される。
【0179】
次に、図15を参照して本発明の第10実施形態を説明する。
【0180】
図15は、本発明の第10実施形態によるパケット転送装置の要部の構成要素を示すブロック図である。
【0181】
この図15に示す第10実施形態のパケット転送装置100は、パケットを利用して実行プログラム(パケット解析プログラム)を更新する機能を付加したことを特徴とする。
【0182】
図15に示すパケット転送装置100に於いて、パケット解析機構105の実行命令格納部106には、命令実行機構(図10を参照)が動作するための実行プログラムが格納されている。
【0183】
解析プログラム更新機構107は、パケット受信部101によって受信された解析プログラム更新指示に従って、パケット解析機構105に格納された実行プログラムを更新する機能を持つ。解析プログラム更新機構107内の更新指示形式識別機構108は、入力されたパケットのデータが特定の形式を満たしているか否かによって、受信パケットが解析プログラム更新指示であるか否かを判定する機能を持つ。
【0184】
次に、図15に示すパケット転送装置100の動作を説明する。
【0185】
パケット受信部101で受信されたパケットは、パケット識別子付加機構102に渡されるのと同時に、解析プログラム更新機構107に渡される。解析プログラム更新機構107の更新指示形式識別機構108は、入力された受信パケットが解析プログラム更新指示を示す特定の形式を満たしていることを判定する。特定の形式を満たしている場合、その受信パケットは転送されるべきパケットでは無く、解析プログラム更新指示であると判断する。これにより、解析プログラム更新機構107は当該受信パケットに含まれる実行プログラムを取り出して、パケット解析機構105に送り、実行命令格納部106に格納される。
【0186】
上記した図13乃至図15に示す各実施形態は、何れもパケット解析機構の実行命令格納部に格納される実行プログラムを更新して、最新の不正アクセス解析プログラムが稼動する環境を整えるものであるが、不正な解析プログラム更新指示によって、不正アクセス解析プログラムが不正に更新されてしまい、パケット解析機構が正常に動作しないようにされてしまう可能性がある。
【0187】
これを防ぐために、図16に示すように、更新指示形式識別機構に、電子署名識別機構を備え、解析プログラム更新指示に、電子署名を付加して認証することも可能である。尚、ここでは図15に示す第10実施形態を対象にしているが、図13に示す第8実施形態、図14に示す第9実施形態に於いても同様に適用可能である。
【0188】
図16は、解析プログラム更新機構107の構成を示すブロック図であり、ここでは、解析プログラム更新機構107内に更新指示形式識別機構108と、更新指示形式識別機構108内に電子署名識別機構109を備える構成としている。
【0189】
即ち、更新指示形式識別機構108内の電子署名識別機構109は、シリアルインタフェース(図13)や、ネットワークインタフェース(図14)から受信したデータや、パケット受信部(図15)で受信されたパケットに格納されているデータ中に含まれている電子署名が正当な署名であるか否かを判定する。即ち、解析プログラム更新指示を示すデータが、特定の形式を満たしており、かつ当該データ中に含まれている電子署名が正当な署名である場合に、正当な解析プログラム更新指示であると判定する。
【0190】
解析プログラム更新機構107は、更新指示形式識別機構108が、正当な解析プログラム更新指示であると判定した場合、その解析プログラム更新指示に含まれる不正アクセス解析プログラムをパケット解析機構105に出力する機能を有する。
【0191】
上記の構成において、解析プログラム更新機構107に渡されたデータが、解析プログラム更新指示であることを示す特定の形式を満たしており、かつ、電子署名識別機構109によって当該データ中に含まれている電子署名が正当な署名である場合、解析プログラム更新機構107は正当な解析プログラム更新指示であると判定し、そのデータに含まれる不正アクセス解析プログラムを取り出して、パケット解析機構105に送り、パケット解析機構105は実行命令格納部106に不正アクセス解析プログラムを格納する。これにより、不正な解析プログラム更新指示によって、パケット解析機構が正常に動作しないようにされてしまうことを防げるパケット転送装置を実現することができる。
【0192】
次に、図17を参照して本発明の第11実施形態を説明する。
【0193】
図17は、本発明の第11実施形態によるパケット転送装置の要部の構成要素を示すブロック図である。この第11実施形態のパケット転送装置110は、通信用アドレスを予め設定する機能をもつことを特徴とする。
【0194】
図17に示すパケット転送装置110に於いて、通信用アドレス設定機構114は、シリアルインタフェースやネットワークインタフェース等を介して得られる通信用アドレスを、通信用アドレス保持機構115に設定する機能を持つ。この図17に示す例では、シリアルインタフェース113を介して通信用アドレスを設定する場合を例に示している。
【0195】
通信用アドレス保持機構115は、通信用アドレス設定機構114によって予め設定された通信用アドレスを保持する機能を持つ。
【0196】
通信制御機構112は、パケット解析プログラムの更新に伴う通信や、装置内情報通知機構117がネットワークセグメントに接続される他の装置に対して通知するための通信(以下、これらの通信を特定通信と称する)を制御する装置であり、上記特定通信を行なわないときは、上記通信アドレス宛のパケットは破棄する機能を持つ。また、上記特定通信を行なうときには、上記通信アドレス宛のパケットを受信し、当該パケットに格納された当該特定通信に関わるデータを実行プログラム更新機構116や装置内情報通知機構117へ渡す機能を持つ。また、上記特定通信に関わるデータ通信時に、実行プログラム更新機構116や装置内情報通知機構117が送信するデータに当該通信アドレスを送信元として付加してネットワークセグメントへ送出する機能を持つ。
【0197】
この実施形態のパケット転送装置110には、例えば、図6に示す不正アクセス履歴保持機構66に保持されている不正アクセス履歴や、その他の装置内部の情報を外部に通知するための装置内情報通知機構117を持たせている。装置内情報通知機構117は、装置内部の情報を外部へ通知するのに、シリアルインタフェースや、通知用ネットワークインタフェースを利用する。また、装置内情報通知機構117は、装置内部の情報を外部に通知するのに、パケット転送の対象である、パケット受信部/パケット送出部が接続されたネットワークセグメントを利用することもできるが、その場合、自身が不正アクセスの対象となることを防ぐために通常動作中は持っていない、ネットワークアドレスが必要となる。
【0198】
次に、図17に示すパケット転送装置110の動作を説明する。
【0199】
利用者は、通信用アドレス設定機構114を利用して、通信用アドレス保持機構115に、通信用アドレスを予め設定しておく。図17の構成では、シリアルインタフェース113を介して通信用アドレス設定機構114を利用する場合を示しているが、ネットワークインタフェースを利用したり、解析プログラム更新指示と同様の方法で、転送対象のネットワークセグメントを介して、通信用アドレス設定機構114を利用することも可能である。
【0200】
上記特定通信を行なう場合、通信制御機構112は、ネットワークセグメントからパケット受信部111を介して当該通信アドレス宛のパケットが送信されてきた場合、これを受信し、その受信パケットに含まれる通信に関わるデータを実行プログラム更新機構116や装置内情報通知機構117へ渡す。そして、実行プログラム更新機構116や装置内情報通知機構117は特定通信に関わる送信データを、上記通信アドレス宛によって示される送信元のネットワークセグメントへ送出する。しかしながら、通信を行なわないときは、通信制御機構112が上記通信アドレス宛のパケットを破棄し、自身が不正アクセスの対象となることを防ぐ。
【0201】
次に、図18および図19を参照して本発明の第12実施形態を説明する。
【0202】
図18は、本発明の第12実施形態によるパケット転送装置の要部の構成要素を示すブロック図である。この図18に示す第12実施形態のパケット転送装置120は、パケット横奪部122を持つ構成としたことを特徴とする。
【0203】
図18に示すパケット転送装置120に於いて、通信用アドレス選択機構124は、過去に受信したパケットのネットワークアドレスと受信したネットワークセグメントとの対応を保持するアドレス/セグメント対応表125を持ち、上記特定通信に関わるパケットの送出先ネットワークセグメントとは異なるネットワークセグメントから、過去に受信したパケットの送信元アドレスのうちの任意の1つを通信用アドレスとして選択し、その選択した通信用アドレスを通信用アドレス保持機構126に設定する機能を持つ。
【0204】
この際のアドレス/セグメント対応表125の一例を図19に示している。
【0205】
通信用アドレス保持機構126は、通信用アドレス選択機構124によって設定された通信用アドレスを保持する機能を持つ。
【0206】
パケット横奪部122は、上記特定通信を行なわないときは、通信アドレス宛のパケットをパケット識別子付加機構(図1乃至図6を参照)に渡して、通常の転送処理を行ない、上記特定通信を行なうときは通信アドレス宛のパケットをパケット識別子付加機構に渡さずに横奪する機能を持つ。
【0207】
通信制御機構123は、上記特定通信を制御する機構であり、受信パケットに含まれる通信に関わるデータを実行プログラム更新機構127や、装置内情報通知機構128へ渡す。また、実行プログラム更新機構127や装置内情報通知機構128が送信するデータに、当該通信アドレスを送信元として付加してネットワークセグメントへ送出する機能を持つ。
【0208】
次に、図18に示すパケット転送装置120の動作を説明する。
【0209】
通信用アドレス選択機構124は、内蔵するアドレス/セグメント対応表125を参照して、特定通信に関わるパケットの送出先となるネットワークセグメントから、過去に受信したパケットの送信元アドレスの1つを通信用アドレスとして選択する。
【0210】
ここで、アドレス/セグメント対応表125に保持された、アドレスと受信したネットワークセグメントの対応が、例えば図19に示す内容であるとする。ここで、上記特定通信を行なう相手が、[192.168.7.42]のネットワークアドレスを持っているとすると、上記特定通信に関わるパケットを送出すべきネットワークセグメントはセグメントBであることが判る。
【0211】
したがって、上記特定通信に関わるパケットを送出すべきネットワークセグメント(セグメントB)と異なるネットワークセグメントとはセグメントAであり、通信用アドレスとしては、[192.168.0.21]、あるいは[192.168.3.134]のいずれかを選択すれば良いこととなる。
【0212】
例えば、アドレス/セグメント対応表125の先頭に最も近いセグメントAを選択するとすると、アドレスは[192.168.0.21]となる。この際、もしも、上記特定通信を行なう相手のネットワークアドレスが、アドレス/セグメント対応表125に存在しなかった場合は、各々のネットワークセグメント上のアドレスを任意に選択し、そのアドレスを用いてアドレス設定を行う。このアドレス設定の結果、いずれかのネットワークセグメント上で、アドレス設定の応答パケットを受信できると、アドレス/セグメント対応表125に当該通信を行なう相手のネットワークアドレスとネットワークセグメントが登録されるので、改めて当該ネットワークアドレスを通信用アドレスとして選択する。
【0213】
通信用アドレスをこのように選択することで、当該通信アドレスが指定されている応答パケットがパケット転送装置120のパケット受信部121に送信される。パケット横奪部122は、上記特定通信を行なわないときは、セグメントAの通信アドレス宛のパケットは、パケット識別子付加機構に渡して通常の転送処理を行なう。一方、上記特定通信を行なうときは、セグメントAの通信アドレス宛のパケットを横奪して、当該通信用アドレスの本来の持ち主にパケットが渡らないようにする。
【0214】
パケット横奪部122は、通信制御機構123が送出したパケットに対するネットワークセグメントからの応答パケットのみを横奪することで、当該通信用アドレスの本来の持ち主の通信への影響を最小限にすることも可能である。この場合、当該通信用アドレスの本来の持ち主の通信と区別ができるように、当該通信用アドレスの本来の持ち主が、この実施形態によるパケット転送装置120を経由する通信で用いているポート番号等を保存しておき、当該装置の通信時は、それらと重ならないようにして当該通信用アドレスの本来の持ち主の通信と区別できるようにする等の仕組みを用意する必要がある。このようにすることで、自身への不正アクセスを防ぎつつ、解析プログラムの更新に伴う通信や、装置内情報通知機構が他の装置に対して装置内部の情報を通知するための特定通信が可能となる。
【0215】
上記した図17、若しくは図18に示した各実施形態の構造をもつことによって、解析プログラムの更新に伴う通信や、装置内情報通知機構が他の装置に対して装置内部の情報を通知するための通信、等の特定の通信を行なっているとき以外は、ネットワークアドレスを持たないため、自身への不正アクセスを防げるパケット転送装置を実現することができる。
【0216】
次に、図20および図21を参照して本発明の第13実施形態を説明する。
【0217】
図20は、本発明の第13実施形態によるパケット転送装置の要部の構成要素を示すブロック図である。この図20に示す第13実施形態のパケット転送装置130は、通信開始指示形式識別機構133を具備することを特徴とする。
【0218】
通信開始指示形式識別機構133は、パケット受信部131で受信されたパケットが、通信開始指示を示す特定の形式を満たしているデータであることを識別して、通信制御機構134に通信開始を通知する機能を持つ。
【0219】
通信制御機構134は、通信開始指示形式識別機構133からの通信開始の通知を受けると、通信用アドレス保持機構136に保持された通信用アドレス、あるいは通信用アドレス選択機構135が選択した通信用アドレスを用いた通信を開始する機能を持つ。
【0220】
次に、図20に示すパケット転送装置130の動作を説明する。
【0221】
上記した図17および図18に示す各実施形態の構造によって、上記特定通信を行なっているとき以外は、ネットワークアドレスを持たないパケット転送装置を実現した場合、上記実施形態のパケット転送装置から他の装置に対して通信を開始することが可能であるが、他の装置から上記実施形態のパケット転送装置へ対する通信を開始しようとしても、ネットワークアドレスを持たないため、通信が不可能である。そこで、この図20に示す第13実施形態のパケット転送装置130では、他の装置からパケット転送装置130に対する通信を開始することができるようにするため、通信開始指示形式識別機構133を持つ。
【0222】
パケット受信部131で受信されたパケットは、パケット識別子付加機構(図1乃至図6など参照)等に渡されるのと同時に、通信開始指示形式識別機構133にも渡される。通信開始指示形式識別機構133は、受信したパケットの形式が、通信開始指示を示す特定の形式を満たしているか否かを判定する。
【0223】
特定の形式を満たしている場合、受信したパケットは、ネットワークセグメントに送出されるべきパケットでは無く、パケット転送装置130に対する通信開始指示であると判断し、通信制御機構134は通信開始を指示する。この図20に示す例では、通信制御機構134が通信用アドレス選択機構135で選択した通信用アドレスを用いて通信を開始すると想定する。
【0224】
このようにすることで、解析プログラムの更新に伴う通信や、装置内情報通知機構138が他の装置に対して装置内部の情報を通知するための通信、等でなる特定通信を行なっているとき以外は、パケット転送装置130はネットワークアドレスを持たないため、自身への不正アクセスを防ぐことができ、かつ他の装置からパケット転送装置130に対する通信を開始することが可能なパケット転送機能を実現することができる。
【0225】
上記した実施形態に於いては、外部から通信を開始する機能を持つ場合、不正な通信開始指示によって通信を開始され、自身が不正アクセスの対象とされてしまう可能性がある。これを防ぐために、図21に示すように、通信開始指示形式識別機構133に、電子署名識別機構139を備え、通信開始指示に、電子署名を付加して認証することも可能である。
【0226】
図21に示すように、通信開始指示形式識別機構133内には電子署名識別機構139が設けられ、この電子署名識別機構139は通信開始指示のデータ中に含まれている電子署名が正当な署名であるか否かを判定して、電子署名が正当な署名である場合に、当該データは正当な通信開始指示であると判定し、通信制御機構134に通信開始を通知する。
【0227】
通信制御機構134は、通信開始指示形式識別機構133から通信開始の通知を受けると、通信用アドレス保持機構136に保持された通信用アドレス、あるいは通信用アドレス選択機構135が選択した通信用アドレスを用いた通信を開始する。
【0228】
これにより、不正な通信開始指示によって、通信を開始され、自身が不正アクセスの対象とされてしまうことを防げるパケット転送装置を実現することができる。
【0229】
尚、上記した図13乃至図20に示す各実施形態に於いて扱われるパケット解析プログラムは、例えばハードディスク、CD−ROM、半導体メモリ等の各種記憶媒体または記憶装置により装置個々に個別に提供することも可能である。
【0230】
上記したような本発明の実施形態により、宛先/送信元MACアドレスや、さらに上位のプロトコルの宛先/送信元アドレスやサービス番号等によってパケットを転送するか否かを判断するだけでは防止できない、不正アクセスに関わるパケットを通過させないパケット転送装置を実現することができる。また、パケットを転送するか否かの判断を行なうための設定を利用者が行なうことなく、不正アクセスに関わるパケットを通過させないパケット転送装置を実現することができる。また、IPアドレス等のネットワークアドレスを全く持たないため、自身が不正アクセスの対象となることを防げる、不正アクセスに関わるパケットを通過させないパケット転送装置を実現することができる。また、不正アクセスが為されていることを表示可能なパケット転送装置を実現することができる。
【0231】
更に、上記した実施形態の機能を、図22乃至図24を参照して説明した既存の不正アクセス防止機能と組み合わせることで、より信頼性の高い不正アクセスに関わるパケットの転送防止機能を実現することができる。
【0232】
【発明の効果】
以上詳記したように本発明によれば、利用者に大きな作業負担をかけることなく、信頼性の高い不正アクセスの防止機能を実現できる。更に本発明によれば、送信元より転送されたパケットの内容を送出して不正アクセスに関わるパケットでないことを判定する機能をもつことで、不正アクセスに関わるパケットの転送を確実に防止でき、信頼性の高い不正アクセスの防止機能が実現できる。即ち本発明によれば、宛先/送信元MACアドレスや、さらに上位のプロトコルの宛先/送信元アドレスやサービス番号等によってパケットを転送するか否かを判断するだけでは防止できない、不正アクセスに関わるパケットを通過させないパケット転送装置を実現することができる。またパケットを転送するか否かの判断を行なうための設定を利用者が行なうことなく不正アクセスに関わるパケットを通過させないパケット転送装置を実現することができる。またIPアドレス等のネットワークアドレスを全く持たないため、自身が不正アクセスの対象となることを防ぐことのできる、不正アクセスに関わるパケットを通過させないパケット転送装置を実現することができる。更に不正アクセスが為されていることを表示可能なパケット転送装置を実現することができる。
【図面の簡単な説明】
【図1】本発明の第1実施形態によるパケット転送装置の要部の構成要素を示すブロック図。
【図2】本発明の第2実施形態によるパケット転送装置の要部の構成要素を示すブロック図。
【図3】本発明の第3実施形態によるパケット転送装置の要部の構成要素を示すブロック図。
【図4】本発明の第4実施形態によるパケット転送装置の要部の構成要素を示すブロック図。
【図5】本発明の第5実施形態によるパケット転送装置の要部の構成要素を示すブロック図。
【図6】本発明の第6実施形態によるパケット転送装置の要部の構成要素を示すブロック図。
【図7】上記第6実施形態に於ける不正アクセス表示手段の第1の例を示す図。
【図8】上記第6実施形態に於ける不正アクセス表示手段の第2の例を示す図。
【図9】本発明の第7実施形態によるパケット転送装置の要部の構成要素を示すブロック図。
【図10】上記第7実施形態に於けるパケット解析機構の構成例を示すブロック図。
【図11】上記第7実施形態に於ける不正アクセスに関わるパケットの判定処理の処理手順を示すフローチャート。
【図12】上記第7実施形態に於ける不正アクセスに関わるパケットの判定処理の処理手順を示すフローチャート。
【図13】本発明の第8実施形態によるパケット転送装置の要部の構成要素を示すブロック図。
【図14】本発明の第9実施形態によるパケット転送装置の要部の構成要素を示すブロック図。
【図15】本発明の第10実施形態によるパケット転送装置の要部の構成要素を示すブロック図。
【図16】上記第10実施形態に於ける解析プログラム更新機構の構成を示すブロック図。
【図17】本発明の第11実施形態によるパケット転送装置の要部の構成要素を示すブロック図。
【図18】本発明の第12実施形態によるパケット転送装置の要部の構成要素を示すブロック図。
【図19】上記第12実施形態に於けるアドレス/セグメント対応表の構成例を示す図。
【図20】本発明の第13実施形態によるパケット転送装置の要部の構成要素を示すブロック図。
【図21】上記第13実施形態に於ける通信開始識別機構の他の構成例を示すブロック図。
【図22】従来のパケット転送装置の構成を示すブロック図。
【図23】上記図22に示す従来のパケット転送装置のネットワーク構成例を示すブロック図。
【図24】上記図23に示す従来のパケット転送装置のルール保持部に格納される内容例を示す図。
【符号の説明】
10,20,30,40,50,60,70,80,90,100,110,120,130…パケット転送装置
11,21a,21b,31a,31b,41,51,61,71,81,91,101,111,121,131…パケット受信部
12,22a,22b,32,42,52,62,72,82,92,102…パケット識別子付加機構
13,23a,23b,33,43,53a…53n,63,73,83,93,103,…パケット保留キュー
14,24a,24b,34a,34b,44a…44n,54a…54n,64,74,84,94,104,…パケット送出部
15,25a,25b,35,45,55,65,75,85,95,105…パケット解析機構
150,250a,250b,350,450,550,650…不正パケット解析用データベース
46,56…送出セグメント判定機構
66…不正アクセス履歴保持機構
67…不正アクセス履歴表示機構
67A…不正アクセス表示器
67B…不正アクセス表示装置
76…送出済みパケット保持機構
86,96,106…実行命令格納部
87,113…シリアルインタフェース
88,98,107…解析プログラム更新機構
89,99,108…更新指示形式識別機構
97…ネットワークインタフェース
109,139…電子署名識別機構
112,123,134…通信制御機構
114…通信用アドレス設定機構
115,126,136…通信用アドレス保持機構
116,127,137…実行プログラム更新機構
117,128,138…装置内情報通知機構
122,132…パケット横奪部
124,135…通信用アドレス選択機構
125…アドレス/セグメント対応表
133…通信開始指示形式識別機構
751…パケット格納部
752…実行命令格納部
753…メモリ制御機構
754…命令実行機構
Claims (8)
- 少なくとも第1及び第2のネットワークセグメントに接続され、前記第1及び第2のネットワークセグメント間で転送されるパケットを監視するパケット転送装置であって、
予め設定された条件に基づいて、前記第1のネットワークセグメントを介して受信した受信パケットに前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを解析するパケット解析手段と、
前記パケット解析手段によって前記受信パケットが前記誤動作させる要因を含む不正パケットであると判定した際に、当該不正パケットを破棄し、正常なパケットであると判定した前記受信パケットのみを前記第2のネットワークセグメントに送出するパケット送出手段と、
前記パケット解析手段によって正常なパケットであると判定され前記パケット送出手段により前記第2のネットワークセグメントに送出された送出済みパケットを保持する送出済みパケット保持手段とを設け、
前記パケット解析手段は、前記受信パケットの解析時に、前記送出済みパケット保持手段に保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを解析することを特徴とするパケット転送装置。 - 少なくとも第1及び第2のネットワークセグメントに接続され、前記第1及び第2のネットワークセグメント間で転送されるパケットを監視するパケット転送装置であって、
前記第1のネットワークセグメントからのパケットを受信するパケット受信手段と、
前記パケット受信手段で受信した受信パケットに識別子を付加する識別子付加手段と、
前記識別子が付加された前記受信パケットを一時保留するパケット保留キューと、
予め設定された条件に基づいて、前記パケット受信手段で受信した受信パケットに前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含む不正パケットであるか否かを判定し、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定した場合に、当該受信パケットの識別子を出力するパケット解析手段と、
前記パケット解析手段より出力された前記識別子を受信し、前記パケット保留キューから受信した前記識別子を持つ受信パケットを取り出し、前記第2のネットワークセグメントへ送出するパケット送出手段と、
前記パケット解析手段によって、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定され前記パケット送出手段により前記第2のネットワークセグメントに送出された送出済みパケットを保持する送出済みパケット保持手段とを設け、
前記パケット解析手段は、前記受信パケットの解析時に、前記送出済みパケット保持手段に保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを解析することを特徴とするパケット転送装置。 - 少なくとも3つ以上のネットワークセグメントに接続され、複数の前記ネットワークセグメント間で転送されるパケットを監視するパケット転送装置であって、
前記ネットワークセグメントからのパケットを受信するパケット受信手段と、
前記パケット受信手段で受信した受信パケットに識別子を付加する識別子付加手段と、
前記識別子が付加された前記受信パケットを一時保留するパケット保留キューと、
予め設定された条件に基づいて、前記パケット受信手段で受信した受信パケットに前記ネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含む不正パケットであるか否かを判定し、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定した場合に、当該受信パケットの識別子を出力するパケット解析手段と、
前記パケット解析手段より出力された前記識別子を受信し、前記パケット保留キューから受信した前記識別子を持つ受信パケットを取り出し、当該受信パケットに含まれる宛先MACアドレスから送出すべきネットワークセグメントを判定する送出セグメント判定手段と、
前記送出セグメント判定手段によって判定されたネットワークセグメントへ前記パケット保留キューから取り出した前記受信パケットを送出する1つ又は複数の送出手段と、
前記パケット解析手段によって、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定され前記パケット送出手段により送出された送出済みパケットを保持する送出済みパケット保持手段とを設け、
前記パケット解析手段は、前記受信パケットの解析時に、前記送出済みパケット保持手段に保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを解析することを特徴とするパケット転送装置。 - 少なくとも3つ以上のネットワークセグメントに接続され、複数の前記ネットワークセグメント間で転送されるパケットを監視するパケット転送装置であって、
前記ネットワークセグメントからのパケットを受信する受信手段と、
前記受信手段で受信した受信パケットに識別子を付加する識別子付加手段と、
前記識別子が付加された前記受信パケットを送出先のネットワークセグメント毎に一時保留する複数のパケット保留キューと、
前記識別子が付加された前記受信パケットに含まれる宛先MACアドレスから前記受信パケットの送出先ネットワークセグメントを判定し、当該ネットワークセグメントに対応する前記パケット保留キューに前記識別子が付加されたパケットを格納する送出セグメント判定手段と、
予め設定された条件に基づいて、前記パケット受信手段が受信した受信パケットに前記ネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含む不正パケットであるか否かを判定し、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定した場合に、当該受信パケットの識別子を出力するパケット解析手段と、
前記パケット保留キューに対応して設けられる複数の送出手段であって、前記パケット解析手段より出力された前記識別子を受信し、前記識別子を持つ受信パケットを保留している前記パケット保留キューから当該受信パケットを取り出し、対応付けられた前記ネットワークセグメントへ送出する送出手段と、
前記パケット解析手段によって、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定され前記パケット送出手段により送出された送出済みパケットを保持する送出済みパケット保持手段とを設け、
前記パケット解析手段は、前記受信パケットの解析時に、前記送出済みパケット保持手段に保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記送出先のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを解析することを特徴とするパケット転送装置。 - 少なくとも第1及び第2のネットワークセグメントに接続され、前記第1及び第2のネットワークセグメント間で転送されるパケットを監視するパケット転送方法において、
予め設定された条件に基づいて、前記第1のネットワークセグメントを介して受信した受信パケットに前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを判定するステップと、
前記受信パケットが前記誤動作させる要因を含む不正パケットであると判定した際に、当該不正パケットを破棄し、正常なパケットであると判定した前記受信パケットを前記第2のネットワークセグメントに送出するステップと、
正常なパケットであると判定され前記第2のネットワークセグメントに送出された送出済みパケットを保持するステップとを具備し、
前記判定ステップは前記保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを判定することを特徴とするパケット転送方法。 - 少なくとも第1及び第2のネットワークセグメントに接続され、前記第1及び第2のネットワークセグメント間で転送されるパケットを監視するパケット転送方法において、
前記第1のネットワークセグメントからのパケットを受信するステップと、
前記受信した受信パケットに識別子を付加するステップと、
前記識別子が付加された前記受信パケットを一時保留するステップと、
予め設定された条件に基づいて、前記受信した受信パケットに前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含む不正パケットであるか否かを判定し、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定した場合に、当該受信パケットの識別子を出力する解析ステップと、
前記出力された前記識別子を受信し、前記一時保留されている前記受信パケットの中から受信した前記識別子を持つ受信パケットを取り出し、前記第2のネットワークセグメントへ送出するステップと、
正常なパケットであると判定され前記第2のネットワークセグメントに送出された送出済みパケットを保持するステップとを具備し、
前記解析ステップは前記保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記第2のネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを判定することを特徴とするパケット転送方法。 - 少なくとも3つ以上のネットワークセグメントに接続され、複数の前記ネットワークセグメント間で転送されるパケットを監視するパケット転送方法であって、
前記ネットワークセグメントの一つからパケットを受信するステップと、
前記受信した受信パケットに識別子を付加するステップと、
前記識別子が付加された前記受信パケットを一時保留するステップと、
予め設定された条件に基づいて、前記受信した受信パケットに前記ネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含む不正パケットであるか否かを判定し、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定した場合に、当該受信パケットの識別子を出力する解析ステップと、
前記出力された識別子を受信し、前記一時保留されている前記受信パケットの中から受信した前記識別子を持つ前記受信パケットを取り出し、当該受信パケットに含まれる宛先MACアドレスから送出すべきネットワークセグメントを判定する送出セグメント判定ステップと、
前記判定された送出すべきネットワークセグメントへ前記取り出した受信パケット送出するステップと、
正常なパケットであると判定され前記送出された送出済みパケットを保持するステップとを具備し、
前記解析ステップは前記保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記受信パケットを送出すべきネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを判定することを特徴とするパケット転送方法。 - 少なくとも3つ以上のネットワークセグメントに接続され、複数の前記ネットワークセグメント間で転送されるパケットを監視するパケット転送方法であって、
前記ネットワークセグメントの一つからパケットを受信するステップと、
前記受信した受信パケットに識別子を付加するステップと、
前記識別子が付加された前記受信パケットに含まれる宛先MACアドレスから当該受信パケットの送出先ネットワークセグメントを判定し、この判定に従って前記送出先のネットワークセグメント毎に設けられた一時保留キューに前記識別子が付加された前記受信パケットを格納するステップと、
予め設定された条件に基づいて、前記受信した受信パケットに前記ネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含む不正パケットであるか否かを判定し、前記ソフトウェアを誤動作させる要因を含まない正常なパケットであると判定した場合に、当該受信パケットの識別子を出力する解析ステップと、
前記解析ステップより出力された前記識別子を受信し、前記識別子を持つ受信パケットを保留している前記パケット保留キューから当該受信パケットを取り出し、対応付けられた前記ネットワークセグメントへ送出するステップと、
正常なパケットであると判定され前記送出された送出済みパケットを保持するステップとを具備し、
前記解析ステップは前記保持された前記送出済みパケットを参照し、前記受信パケットと前記送出済みパケットとの組合せが前記送出先ネットワークセグメントに接続された装置のソフトウェアを誤動作させる要因を含んでいるか否かを判定することを特徴とするパケット転送方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003171283A JP3725139B2 (ja) | 2003-06-16 | 2003-06-16 | パケット転送装置およびパケット転送方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003171283A JP3725139B2 (ja) | 2003-06-16 | 2003-06-16 | パケット転送装置およびパケット転送方法 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000249724A Division JP2002063084A (ja) | 2000-08-21 | 2000-08-21 | パケット転送装置、パケット転送方法、及びそのプログラムが格納された記憶媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003348169A JP2003348169A (ja) | 2003-12-05 |
JP3725139B2 true JP3725139B2 (ja) | 2005-12-07 |
Family
ID=29774848
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003171283A Expired - Lifetime JP3725139B2 (ja) | 2003-06-16 | 2003-06-16 | パケット転送装置およびパケット転送方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3725139B2 (ja) |
-
2003
- 2003-06-16 JP JP2003171283A patent/JP3725139B2/ja not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2003348169A (ja) | 2003-12-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2002063084A (ja) | パケット転送装置、パケット転送方法、及びそのプログラムが格納された記憶媒体 | |
JP5029701B2 (ja) | 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置 | |
US9954873B2 (en) | Mobile device-based intrusion prevention system | |
US9118716B2 (en) | Computer system, controller and network monitoring method | |
JP4195480B2 (ja) | コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 | |
US7623450B2 (en) | Methods and apparatus for improving security while transmitting a data packet | |
JP4107213B2 (ja) | パケット判定装置 | |
US10951742B1 (en) | Methods, systems, and computer program products for sharing information for detecting at least one time period for a connection | |
JP2020017809A (ja) | 通信装置及び通信システム | |
JP4082613B2 (ja) | 通信サービスを制限するための装置 | |
US20190014081A1 (en) | Apparatus for supporting communication between separate networks and method for the same | |
KR101088084B1 (ko) | 전자상거래 불법 침입 감시 및 차단 방법과 시스템 | |
JP2005193590A (ja) | 印刷装置 | |
JP3725140B2 (ja) | パケット転送装置およびパケット転送方法 | |
KR101692672B1 (ko) | 전송장치 이원화에 의한 tcp/ip 망단절형 단방향 접속 시스템 및 그 방법 | |
JP3725139B2 (ja) | パケット転送装置およびパケット転送方法 | |
JP4029898B2 (ja) | ネットワーク装置 | |
JP7467670B2 (ja) | 特に自動車におけるデータの異常を処理するための方法 | |
JP2008028740A (ja) | 通信制御装置、通信制御方法、及びコンピュータプログラム | |
JP2009169895A (ja) | 情報流出検知方法、情報流出検知装置、情報流出検知システム | |
JP3657569B2 (ja) | パケット処理方法および通信装置 | |
JP4537538B2 (ja) | 不正侵入検知システム | |
KR100457825B1 (ko) | 예경보에 기반한 소프트웨어의 자동 설치 및 패치 관리전문 시스템 및 그 제작 방법과 그 방법에 대한 컴퓨터프로그램을 저장한 기록매체 | |
JP2007174386A (ja) | 不正メール検知システム | |
JP2006165877A (ja) | 通信システム、通信方法および通信プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050315 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050329 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050530 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050913 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050920 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 3725139 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080930 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090930 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090930 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100930 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100930 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110930 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120930 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120930 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130930 Year of fee payment: 8 |
|
EXPY | Cancellation because of completion of term |