JP3893975B2 - Unauthorized intrusion detection apparatus, unauthorized intrusion detection method, and unauthorized intrusion detection program - Google Patents
Unauthorized intrusion detection apparatus, unauthorized intrusion detection method, and unauthorized intrusion detection program Download PDFInfo
- Publication number
- JP3893975B2 JP3893975B2 JP2002000515A JP2002000515A JP3893975B2 JP 3893975 B2 JP3893975 B2 JP 3893975B2 JP 2002000515 A JP2002000515 A JP 2002000515A JP 2002000515 A JP2002000515 A JP 2002000515A JP 3893975 B2 JP3893975 B2 JP 3893975B2
- Authority
- JP
- Japan
- Prior art keywords
- analysis
- packet
- unauthorized
- traffic
- unauthorized access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
この発明は、コンピュータネットワークシステムに関するものであり、特に外部からの不正アクセスを検出してセキュリティを確保する不正アクセス検知装置及び不正アクセス検知方法及び不正アクセス検知プログラムに関するものである。
【0002】
【従来の技術】
図10は例えば、特開2001−94602に示された従来の不正アクセス検知装置であり、パケットの種類ごとに分析処理を分割しようとするものである。図10において、ネットワーク1001を介して送信されてくるパケット1002a〜1002nをパケット取得部1003a〜1003nが取得し、パケット蓄積部1004が一旦全て記録する。次にパケット蓄積部1004は記録した各パケットを所定のアルゴリズムで分析して、パケットを複数の種類に分類し、その種類に対応したパケット分析部1005a〜1005nに送る。パケット分析部1005a〜1005nは、パケットの種類(分類)ごとにある。そして、分類されたパケットは、それぞれ適切な分析部1005a〜1005nにて所定の分析項目に関して分析され、不正なパケットと判定した場合はその特徴を不正アクセスデータベース1006に記録するとともに、判定結果を通知部1007を通じてシステム管理者1008に通知する。このようにすることにより、分析処理を並列化し負荷を分散することにより分析処理を高速に行い、パケット取得部のパケットの取りこぼしを防止しようとするものである。
【0003】
【発明が解決しようとする課題】
以上のように、従来の不正アクセス検知装置ではパケットの種類に応じた複数の分析部が分析処理を実施している。そのため、従来例において処理を高速化しパケットの取りこぼしを防止するためには、マルチタスクOS上での実現が前提となり、またパケット分析部を並列に設ける必要がある。
【0004】
この発明は上記のような問題点を解決するためになされたもので、パケット分析を並列に行わなくても分析処理を高速に実行し、パケットの取りこぼしを防止することを目的とする。
【0005】
【課題を解決するための手段】
この発明に係る不正侵入検知装置は、パケットが流れるネットワークのトラフィックを観測し、観測トラフィック値を出力するトラフィック監視手段とパケットが不正アクセスパケットかどうかの不正アクセス分析を所定の分析項目に関して行うパケット分析手段であって、上記トラフィック監視手段が出力した観測トラフィック値に基づいていずれの分析項目に関して不正アクセス分析を行うかを決定し、上記トラフィック監視手段が観測したパケットについて不正アクセス分析を行うパケット分析手段とを備えたものである。
【0006】
またこの発明に係る不正侵入検知装置は、上記パケット分析手段は、複数の分析項目と、各分析項目に対応し設定または不設定のいずれかの状態である分析フラグからなる分析項目一覧表を有し、上記パケット監視手段が出力した観測トラフィック値と所定の閾値である観測トラフィック閾値との大小関係によって、上記分析項目一覧表における分析フラグの状態によって不正アクセス分析を行う分析項目を決定するかすべての分析項目について不正アクセス分析するかを決定するようにしたものである。
【0007】
またこの発明に係る不正侵入検知装置は、上記パケット分析手段は、上記観測トラフィック値が上記観測トラフィック閾値以上である場合に、上記分析項目一覧表において分析フラグが設定されている分析項目のみについて不正アクセス分析を行うようにしたものである。
【0008】
またこの発明に係る不正侵入検知装置は、優先順位記憶手段をさらに有し、上記パケット分析手段は、それぞれ複数段階の優先順位のいずれか1つを付された複数の分析項目を含む分析項目一覧表を有し、上記観測トラフィック値が上記観測トラフィック閾値以上である場合に、上記優先順位が上記優先順位記憶手段に記憶されている優先順位より高い分析項目について不正アクセス分析を行うようにしたものである。
【0009】
またこの発明に係る不正侵入検知装置は、上記パケット分析手段は、それぞれ異なる値である複数の観測トラフィック閾値を有し、それぞれ複数段階の優先順位のいずれか1つを付された複数の分析項目を含む分析項目一覧表を有し、上記観測トラフィック値と上記複数の観測トラフィック閾値との関係により、いずれの優先順位の分析項目について不正アクセス分析するかを決定するようにしたものである。
【0010】
またこの発明に係る不正侵入検知装置は、上記パケット分析手段は、複数の分析項目と各分析項目が属するカテゴリーと、各カテゴリー毎に対応し設定または不設定のいずれかの状態である分析フラグからなる分析項目一覧表を有し、 上記パケット監視手段が出力した観測トラフィック値と所定の閾値である観測トラフィック閾値との大小関係によって、上記分析項目一覧表における分析フラグの状態によって不正アクセス分析を行う分析項目のカテゴリーを決定するかすべての分析項目について不正アクセス分析するかを決定するようにしたものである。
【0011】
またこの発明に係る不正侵入検知装置は、分析待機バッファをさらに有し、上記パケット監視手段は所定長さのサンプリング期間内に観測したトラフィックを該サンプリング期間終了毎に観測トラフィック値として出力し、上記分析待機バッファは、上記サンプリング期間内に上記パケット監視手段で観測されたパケットを格納し、上記サンプリング期間終了毎に該格納したパケットを上記パケット分析手段に送信するようにしたものである。
【0012】
またこの発明に係る不正侵入検知装置は、フィルタリング情報記憶手段とフィルタリング手段をさらに有し、上記フィルタリング情報記憶手段は、ネットワークを流れるパケットを上記トラフィック監視手段に送信するか否かを決定するためのフィルタリング情報を記憶し、上記フィルタリング手段は、上記フィルタリング情報記憶手段を参照して、上記ネットワークを流れるパケットのヘッダ情報部に上記フィルタリング情報のいずれかが含まれているか否かによって、上記トラフィック監視手段に送信するか否かを決定し、上記パケット監視手段は、上記フィルタリング手段から該パケット監視手段に対してパケットが送信されるトラフィックを観測し、観測トラフィック値を出力し、上記パケット分析手段は、上記トラフィック監視手段が出力した観測トラフィック値に基づいていずれの分析項目に関して不正アクセス分析を行うかを決定し、上記トラフィック監視手段が観測したパケットについて不正アクセス分析を行うようにしたものである。
【0013】
またこの発明に係る不正侵入検知装置は、不正アクセス通知手段と、通知内容記憶手段をさらに有し、上記不正アクセス通知手段は、上記分析手段において不正アクセスパケットが検出された場合、該パケット分析手段の指示により不正検出通知を当該不正検出装置外部に発信し、上記通知内容記憶手段は、上記パケット分析手段によって不正アクセスパケットが検出された時の不正内容を記憶し、上記パケット分析手段は、不正アクセスパケットを検出した場合、該不正アクセスパケットの不正内容である検出不正内容が上記通知内容記憶手段に記憶されているかどうか検証する通知記録検証を行い、検出不正内容と同一の不正内容が上記通知内容記憶手段に記憶されていれば、上記不正通知手段に不正検出通知を発信するよう指示を出さず、検出不正内容と同一の不正内容が上記通知内容記憶手段に記憶されていなければ、該検出不正内容を上記不正内容記憶手段に記憶するとともに上記不正アクセス通知手段に不正検出通知を発信するよう指示を出すようにしたものである。
【0014】
またこの発明に係る不正侵入検知装置は、上記不正内容は不正が検出された分析項目名である。
【0015】
またこの発明に係る不正侵入検知装置は、上記パケット分析手段は、不正アクセスパケットを検出し通知記録検証を行った結果、該不正アクセスパケットの不正内容が上記通知内容記憶手段に記憶されている場合は、上記不正通知手段に不正検出通知を発信するよう指示を出さず、かつ、該不正アクセスパケットの不正内容を上記通知内容記憶手段から削除するようにしたものである。
【0016】
またこの発明に係る不正侵入検知装置は、上記パケット分析手段は、一の不正内容が上記通知内容記憶手段に記憶されてから所定時間経過した場合は、該不正内容を上記通知内容記憶手段から削除するようにしたものである。
【0017】
またこの発明に係る不正侵入検知装置は、上記パケット分析手段は、同一の不正検出内容について所定回数の通知記録検証を行った場合は、該不正検出内容と同一の不正内容を上記通知内容記憶手段から削除するようにしたものである。
【0018】
またこの発明に係る不正侵入検知装置は、上記トラフィック監視手段は、上記ネットワークのトラフィックとして上記ネットワークを流れる単位時間当たりのパケット数を観測し、観測トラフィック値として該観測した単位時間当たりのパケット数を出力し、上記パケット分析手段は、上記ネットワークを流れる単位時間当たりのパケット数の所定値を上記観測トラフィック閾値とするようにしたものである。
【0019】
またこの発明に係る不正侵入検知装置は、上記トラフィック監視手段は、上記ネットワークのトラフィックとして上記ネットワークを流れる単位時間当たりのデータ量を観測し、観測トラフィック値として該観測した上記ネットワークを流れる単位時間当たりのデータ量を出力し、上記パケット分析手段は、上記ネットワークを流れる単位時間当たりのデータ量の所定値を上記観測トラフィック閾値とするようにしたものである。
【0020】
またこの発明に係る不正侵入検知装置は、上記トラフィック監視手段は、上記ネットワークのトラフィックとして上記ネットワークを流れるパケットの時間間隔を観測し、観測トラフィック値として該観測したネットワークを流れるパケットの時間間隔を出力し、上記パケット分析手段は、上記ネットワークを流れる単位時間当たりのパケット数の所定値を上記観測トラフィック閾値とし、ネットワークを流れるパケットの時間間隔が短い程トラフィックが大であるとするようにしたものである。
【0021】
またこの発明に係る不正侵入検知方法は、パケットが流れるネットワークのトラフィックを観測し、観測トラフィック値を出力するトラフィック監視ステップとパケットが不正アクセスパケットかどうかの不正アクセス分析を所定の分析項目に関して行うパケット分析ステップであって、上記トラフィック監視手段が出力した観測トラフィック値に基づいていずれの分析項目に関して不正アクセス分析を行うかを決定し、上記トラフィック監視手段が観測したパケットについて不正アクセス分析を行うパケット分析ステップとを備えたものである。
【0022】
またこの発明に係る不正侵入検知プログラムは、コンピュータに下記の(a)トラフィック監視ステップと(b)パケット分析ステップを実行させるための不正侵入検知プログラムである。
(a)パケットが流れるネットワークのトラフィックを観測し、観測トラフィック値を出力するトラフィック監視ステップ;
(b)パケットが不正アクセスパケットかどうかの不正アクセス分析を所定の分析項目に関して行うパケット分析ステップであって、上記トラフィック監視手段が出力した観測トラフィック値に基づいていずれの分析項目に関して不正アクセス分析を行うかを決定し、上記トラフィック監視手段が観測したパケットについて不正アクセス分析を行うパケット分析ステップ。
【0023】
【発明の実施の形態】
実施の形態1.
実施の形態1を図1、図2を用いて説明する。
図1はこの実施の形態による侵入検知装置を含むシステムの構成図、図2はこの実施の形態による分析項目一覧表の図である。
【0024】
図1において、1は侵入検知装置、2はこの侵入検知装置が接続されたネットワーク、3は上記侵入検知装置1を管理するシステム管理者、4は上記ネットワークを流れるパケット、5は上記ネットワーク2との間でパケット4を送受信する通信手段、6は取得したパケットの量を監視するパケット監視手段、7は受信したパケットが不正であるか否かを判断するパケット分析手段、8は不正なパケットがあった場合システム管理者3に通知する不正アクセス通知手段、9は上記システム管理者3が侵入検知装置1に対して各種設定項目等を入力するための入力手段であり、キーボード、モニタ等からなる。
パケット4は、周知の通りヘッダ情報部とデータ部とからなり、ヘッダ情報部には送信元アドレス、送信先アドレス、プロトコル番号等が記録されている。
【0025】
図2は上記パケット分析手段7が保持する分析項目一覧表11を示す図である。
図2のように分析項目一覧表11は複数の分析項目12と、それに対応し0または1を示す分析フラグ13からなるテーブル形式となっている。
どのような項目を分析項目とするか、及び、どの分析項目の分析フラグを設定するか(1とするか)の設定は入力手段9を介してシステム管理者3が入力することができる。
分析フラグが0または1の状態をそれぞれ不設定、設定と呼ぶ。
【0026】
上記侵入検知装置1の各部は、図示しないCPUにより、図示しない記憶装置に格納された侵入検知プログラムに従って動作する。またパケット監視手段6及びパケット分析手段7は、それぞれ専用のハードウエア、または上記記憶装置に格納されたプログラムと図示しないメモリ等から構成される。分析項目一覧表11は上記記憶装置に格納されている。
【0027】
次に動作について説明する。
まず侵入検知装置1は、通信手段5を通じて外部のネットワーク2からパケット4を受信し、次いでパケット監視手段6により単位時間当たりに受信したパケット数をカウントする。
次にパケット分析手段7は、分析項目一覧表11を参照して、受信したパケット4が不正か否かを分析する。この分析を不正アクセス分析と呼ぶ。
【0028】
分析方法の例について説明する。
分析方法には、大きく分けるとパターンマッチングによるものと、統計的な手法とがある。 最初に、パターンマッチングの例を説明する。
たとえば、分析項目がメールサーバへのバッファオーバーフロー攻撃を示していた場合、パケットが以下のようなパターンになっているか否かを分析する。
TCPヘッダ部
送信先ポート番号=25(SMTPであることを表す)
TCPデータ部
以下のsmtpコマンドの引数が128バイト以上か否かを判断する。
“helo”“mail from:”“rcpt to:”“vrfy”“expn”
次に、統計的手法の例を説明する。
たとえば、分析項目がSYNフラッド攻撃を示していた場合、一定時間内(例えば10秒間)に以下に該当するパケットが一定個数(例えば100個)以上あるかを分析する。
IPヘッダ部の送信先アドレスが共通
TCPヘッダ部のSYNフラグが1、ACKフラグが0
上述の2つの例では、分析項目12は、攻撃を識別するための識別子を想定しており、識別子は、利用者が攻撃ごとに割り振るものであるが、かならずしも識別子でなくてもよい。
パターンマッチングの場合であれば、分析手法(パターンマッチングで分析することを表す情報)、ポート番号、アドレス、文字列といった、パターンマッチングするための情報であってもよい。
統計的手法の場合であれば、カウントするパケットを抽出するための情報(統計的手法で分析することを表す情報と、上述の例であれば、アドレス、SYN及びACKフラグの状態、監視する時間(一定時間)、収集する個数(一定個数))であってもよい。
【0029】
この分析の際、例えばパケット取得数閾値を毎秒100個と予め設定してあったとして、パケット分析手段7はパケット監視手段6から過去1秒間に受信したパケット数(単位時間パケット取得数)を受信し、単位時間パケット取得数が100個未満の場合、パケット分析手段7は分析項目12を全て分析する。以後これを全項目分析と呼ぶ。
一方、過去1秒間に受信したパケットが100個以上であった場合、パケット分析手段7は分析項目一覧表11の全ての分析項目12を分析するのではなく、分析フラグ13が設定されている項目(分析フラグ13が1を示している項目)だけを分析する。以後これを選択的分析と呼ぶ。
上記の説明から明かなように、パケット監視手段6からパケット分析手段7へはパケット4が送られると共に、単位時間パケット取得数が送信される。
上記パケット取得数閾値も入力手段9を介してシステム管理者3が入力することができる。
【0030】
上記パケット監視手段6がこの発明におけるトラフィック監視手段であり、パケット監視手段6がパケット数をカウントする期間をサンプリング期間、サンプリング期間の長さをサンプリング時間と呼ぶ。
また上記単位時間パケット取得数がこの発明における観測トラフィック値、パケット取得数閾値がこの発明における観測トラフィック閾値である。
パケット分析手段7での分析が全項目分析と選択的分析のいずれの状態であるかを分析モードと呼ぶ。
パケット監視手段6が単位時間パケット取得数をカウントし出力するステップがこの発明におけるトラフィック監視ステップ、不正アクセス分析手段がパケット取得数閾値に基づいて分析モードで不正アクセス分析を行うステップがこの発明におけるパケット分析ステップである。
【0031】
上記のように、どのような項目を分析項目とするか、及び、どの分析項目の分析フラグを設定するかの設定は入力手段9を介してシステム管理者3が入力することが可能であり、さらにパケット取得数閾値も入力手段9を介してシステム管理者3が入力することができる。
【0032】
パケット分析手段7での分析の結果、不正なパケットが検知された場合は、パケット分析手段7の指示により不正アクセス通知手段8からシステム管理者3に電子メール等によって通知する。この通知を「不正検出通知」と呼び、この不正なパケットを不正アクセスパケットと呼ぶ。
不正検出通知には、不正アクセスが検出された分析項目を示す「不正検出分析項目」が含まれる。
【0033】
以上のように、ネットワークの負荷が高まり(トラフィックがあがり)予め指定していた閾値(パケット取得数閾値)を超えた場合、予め指定していた特定の分析項目だけを分析する。これによりにより1パケット当たりの分析時間を短縮することが可能となり、パケットの取りこぼしを防止し、全パケットに対して何かしらの分析をすることができる。そして分析がリアルタイムに実施可能となる。
この結果、取りこぼしたパケットに不正なパケットが含まれていたために、不正アクセスを検知できないという問題を解決できる。
【0034】
なお上記の説明では、サンプリング時間を1秒とし、この間のパケット取得数から単位時間パケット取得数(パケット取得数/秒)を算出していたが、サンプリング時間はこれに限らず、
単位時間パケット取得数=サンプリング時間内のパケット取得数/サンプリング時間
から単位時間パケット取得数を算出すればよく、例えばサンプリング時間を短くすれば木目の細かい分析項目数の調整が行える。
【0035】
また上記の説明では、各設定項目(分析項目、分析フラグ、パケット取得数閾値等)をシステム管理者3が入力するとしたが、予め固定値が設定されていてもよい。この場合はシステム管理者3が設定項目を入力する必要がなく、操作が簡便になる。
また上記設定項目のうち固定値のものと、システム管理者3が設定可能なものとが混在してもよい。
またパケット監視手段6のサンプリング時間もシステム管理者3によって入力可能としてもよい。
【0036】
また以上の説明では、パケットの単位時間当たり受信量(単位時間パケット取得数)が予め指定した閾値(パケット取得数閾値)を超えた場合の分析項目について、分析項目一覧表11の分析フラグ13を0、1として分析するかしないかの2通りの状態を設定したが、2通りの状態に限らなくてもよい。
実行環境や攻撃されたときの影響度、重要度等を考慮して、図3のように各分析項目に例えば1、2、3、4、5のような複数段階の優先順位14を設定し、単位時間パケット取得数がパケット取得数閾値を超えた場合には例えば優先順位が3以下(3、2、1)、すなわち優先順位が3より高い分析項目だけを分析するというように設定してもよい。また優先順位が3以上の分析項目だけを分析するというように設定してもよい。
この場合、各分析項目の優先順位の設定はシステム管理者3が入力手段9を通して行う。
また、優先順位がいくつ以下(または以上)の分析項目を分析するのかという設定もシステム管理者3が入力手段9を通して行い、パケット分析手段7内の図示しない優先順位記憶手段に記憶しておき、パケット分析手段7が参照する。
【0037】
また以上の説明では、各々の分析項目12に対して分析フラグ13または優先順位14が設定されている例を説明したが、図4のように分析項目12をプログラムに関する分析項目、プロトコルに関する分析項目、影響度に関する分析項目等のカテゴリー15に分類し、カテゴリー毎に分析フラグ13を設定してもよい。
各分析項目のカテゴリーと分析フラグは予め固定であってもよいし、一方または双方をシステム管理者3が入力手段9から入力してもよい。
【0038】
また以上の説明では、パケット受信量の閾値(パケット取得数閾値)は1つだけであったが、複数あってもかまわない。
例えば、パケット取得数閾値(パケット取得数/秒)をX1、X2、X3、X4(X1<X2<X3<X4)の4種類設定し、これらに図3の分析項目一覧表の優先順位1〜5を対応付け、単位時間パケット取得数がX1未満なら優先順位1〜5、すなわちすべての分析項目を分析し、X1以上X2未満であれば優先順位1〜4の分析項目、X2以上X3未満であれば優先順位1〜3の分析項目、X3以上X4未満であれば優先順位1〜2の分析項目、X4以上であれば優先順位1の分析項目というふうにすれば、ネットワーク負荷に応じて可能な限り多くの分析項目を分析できるように設定できる。
これらの複数のパケット取得数閾値は上記優先順位の設定と同時にシステム管理者3が入力手段9から行ってもよいし、予め固定であってもよい。
【0039】
また以上の説明ではパケット監視手段6がパケットをカウントするとしたが、通信手段5がパケットをカウントし、パケット監視手段6が定期的(時間間隔Tは限定しない)に受信パケット数をチェックして、
単位時間パケット取得数=受信パケット数/時間間隔T
から単位時間パケット取得数に換算してパケット分析手段7に送信してもよい。この場合、パケット監視手段6は、チェックの結果によらず、チェック完了毎にカウントを初期化しておく。
【0040】
また、閾値に関して、上述ではパケット数で実施したが、処理したデータサイズも閾値に反映してもよい。例えば、受信パケット数ではなく、受信したパケットのサイズをカウントし、単位時間当たりの受信データのサイズの合計(例えばビット/秒)を閾値として設定してもよい。
また、パケット数と受信サイズの両方を閾値としてよい。その場合、両方を満たすかまたはどちらか一方を満たすというように組み合わせてもよい。もちろん、パケット数、データサイズに対して前述の複数のパケット取得数閾値X1、X2、X3、X4のように複数保持し、それらを組み合わせて木目細かい閾値を設定してもよい。
【0041】
また上記の説明ではパケット取得数閾値は単位時間あたりの受信パケット数またはデータサイズであったが、全項目分析か選択的分析かを決定する閾値を1つづつのパケットの時間間隔により決定してもよい。
例えば閾値を1/100秒として、パケットの時間間隔がこの閾値(パケット間隔閾値)を超えた場合(時間間隔が長い場合)は全項目分析、パケットの時間間隔がパケット間隔閾値以下(時間間隔が短い場合)の場合は選択的分析としてもよい。そのためには、パケット監視手段6に1つづつのパケットの時間間隔を測るタイマーを含むパケット間隔測定手段(図示せず)を備える。
こうすることにより、パケットを1個受信する毎に不正アクセス分析のモードを切り替えることが可能になり、パケットの取りこぼしが防止できる。
【0042】
実施の形態2.
実施の形態2を図5を用いて説明する。
実施の形態1では、パケット監視手段6によってあるサンプリング期間中にカウントされたパケットはそのままパケット分析手段7に送信されるので、そのパケットは1つ前のサンプリング期間の単位時間パケット取得数によって決定される分析モードで分析される。従ってトラフィックがあがり、単位時間パケット取得数がパケット取得数閾値以下からパケット取得数閾値以上になった場合には、一時的にパケット取得数閾値以上のパケットを全項目分析のモードで分析することがあり、パケットの取りこぼしが発生する可能性がある。
この実施の形態ではパケット分析手段で分析を受ける前にパケットを一時的にバッファに蓄え、パケットの取りこぼしを防止する例を説明する。
【0043】
図5において、実施の形態1と同一または相当部分には同一符号を付して説明を省略する。また各部の動作は下記の説明以外は実施の形態1と同様である。
図5の21はパケット監視手段6でカウントされたパケットをパケット分析手段7に送信する前に一次的に蓄積するメモリからなる分析待機バッファである。この分析待機バッファ21は、ネットワーク2の最大トラフィック時の1秒(この実施の形態でのパケット監視手段6のサンプリング時間)分のパケットを格納できる容量を持つ。
【0044】
パケット監視手段6はサンプリング期間の開始時点から、そのサンプリング期間にカウントしたパケット4を順次分析待機バッファ21に蓄積する。
このサンプリング期間の終了時点で、パケット分析手段7はパケット監視手段6から単位時間パケット取得数を受信し、この単位時間パケット取得数がパケット取得数閾値を超えているか否かによって分析モードを決定するとともに、分析待機バッファ21から順次パケットを読出し分析を行う。
図5において、パケット監視手段6からパケット分析手段7に直接接続されている矢印は、パケット監視手段6から送信される単位時間パケット取得数の情報であり、分析対象パケットはパケット監視手段6→分析待機バッファ21→パケット分析手段7の順に送られる。
【0045】
この実施の形態においても、実施の形態1と同様にどのような項目を分析項目とするか、及び、どの分析項目の分析フラグを設定するかの設定は入力手段9を介してシステム管理者3が入力することが可能であり、さらにパケット取得数閾値も入力手段9を介してシステム管理者3が入力することができる。
この入力の際、各設定項目(分析項目、分析フラグ、パケット取得数閾値)とパケット分析手段7の処理能力は、下記(1)(2)の条件を満たす必要がある。
(1)パケット分析手段7は、パケット取得数閾値(上記例では毎秒100個)までの単位時間当たりパケット数であれば、全パケットについて全分析項目の分析をするだけの処理速度を有する。
(2)パケット分析手段7は、このネットワーク2の最大トラフィック時の全パケットについて、分析フラグ13が設定されている分析項目12すべての分析をするだけの処理速度を有する。
【0046】
上記(1)(2)の条件を満足しない場合はパケットの取りこぼしが起きる可能性がある。従って、パケット分析手段7はシステム管理者3による各設定項目の入力の際に、上記(1)(2)の条件を満足するかどうかを演算し、いずれかの条件を満足しない場合は入力手段9を通してシステム管理者3に警告を発する。この警告を受けたシステム管理者3は、警告が出なくなるまで、対話形式によりいずれかの設定項目を変更する。
上記の演算には各処理項目に要する処理時間を用いることもある。
【0047】
このように分析待機バッファ21を用いれば、分析モードを決定するためにパケット監視手段6でカウントされた各パケットが、そのパケットがカウントされて決定された分析モードで分析されることになるので、パケット分析手段7がトラフィックの変動に確実に対応でき、パケットの取りこぼしを防止できる。
また各パケット4が分析待機バッファ21に一次的に格納されるので、処理のログを残すことも可能になる。
【0048】
なお上記の説明では、分析待機バッファ21は、ネットワーク2が最大トラフィックとなったときの1秒分、すなわちサンプリング時間分の容量を持つと説明したが、サンプリング時間を短縮することにより、分析待機バッファ2の容量は小さくすることができる。ただし、サンプリング時間を短縮すると、パケット分析手段7における分析モードの見直し(分析モードの変更または変更しなくてもよいことの確認)の頻度が高くなるので、分析待機バッファ21の容量とサンプリング時間は相互に勘案して決定する必要がある。
また、以上の説明ではバッファ21はメモリとしたが、ディスク装置等、情報を蓄積するものであれば、他のものでもよい。
【0049】
実施の形態3.
実施の形態3を図6、図7を用いて説明する。
上記実施の形態1、2は分析項目を絞り込むことによりパケットの取りこぼしを防止するものであったが、ここでは分析対象とするパケットを絞りこむことによりパケットの取りこぼしを防止する例を説明する。
【0050】
図6において、実施の形態1と同一または相当部分には同一符号を付して説明を省略する。また各部の動作は下記の説明以外は実施の形態1と同様である。
31は通信手段5が獲得したパケットに対してフィルタリング動作を行うフィルタリング手段、32はフィルタリング情報記憶手段であって上記フィルタリング手段31がフィルタリング動作を行う際に参照する図7のフィルタリング情報テーブル33を格納している。
フィルタリング情報テーブル33は、図7のように各パケットの送信元アドレス、送信先アドレス、プロトコル(ARP/IP/ICMP/UDP/TCPその他)、送信元ポート番号(udp.tcp)、送信先ポート番号(udp.tcp)等のフィルタリング情報35が、各フィルタリング情報35のカテゴリーであるフィルタリング情報カテゴリー34毎に分類されてが対応している。
フィルタリング情報35はパケット4のヘッダ情報部に含まれるものである。
このフィルタリング情報テーブル33は不正アクセス分析を行う必要のあるパケットを抽出するための条件を設定するものであり、入力手段9を通してシステム管理者3が入力することが可能である。
【0051】
フィルタリング手段31は通信手段5が獲得したパケット4に関してその送信元アドレス、送信先アドレス、プロトコル等を検出し、フィルタリング情報テーブル23を参照してフィルタリング情報35のいずれかと一致すればパケット監視手段6に送信する。
以後の動作は実施の形態1と同様であり、単位時間パケット取得数によってパケット分析手段7での分析モードが決定され不正アクセス分析が行われる。
【0052】
以上のように、フィルタリング手段31を設け、フィルタリング情報に一致するパケットのみについて不正アクセス分析を行うので、ネットワークのトラフィックがさらに高くなっても不正アクセス分析が必要なパケットを取りこぼすことを防止できる。
【0053】
また以上の説明ではフィルタリング手段31は、フィルタリング情報35のいずれかに一致すれば不正アクセス分析を行う例を説明したが、例えば送信元アドレスと送信先アドレスのように複数のフィルタリング情報カテゴリーを指定し、指定されたフィルタリング情報カテゴリーすべてに対して一致するフィルタリング情報があるパケットのみを不正アクセス分析の対象としてもよい。指定するフィルタリング情報カテゴリーは1つでもよい。このフィルタリング情報カテゴリーの指定はシステム管理者3が入力手段9により行うことができる。
これによりネットワークのトラフィックがさらに高くなっても不正アクセス分析が必要なパケットを取りこぼすことを防止できる。
【0054】
また以上の説明では、フィルタリング情報に一致するものを分析対象としたが、反対にフィルタリング情報に一致しないパケットを分析対象としてもよいし、一致するものとしないものを組み合わせてもよい。
【0055】
実施形態4.
実施の形態4を図8、図9を用いて説明する。
図8は、この実施の形態による侵入検知装置を含むシステムの構成図である。
以上の実施の形態1〜3では、受信したパケットの負荷により、分析を対象とする分析項目またはパケットを絞り込み、パケットの取りこぼしを防止する例を説明した。しかし、例えばこの侵入検知装置1がCPUが一つで実装されている場合、分析項目やパケットを絞り込んでも、特定の不正アクセスを繰り返し受けると、不正アクセスがあったことを表す行為(メール・警報による通知、独自プロトコルによる通信、ログファイルへの記録等)が負荷となり、本来の処理(パケット取得、分析)を実施できずパケットの取りこぼしが発生することがある。
この実施の形態では、特定の不正アクセスを何度も受けた場合のパケット取りこぼし防止の例を示す。
【0056】
図8において、実施の形態1の図1と同一または相当部分には同一符号を付して説明を省略する。また各部の動作は下記の説明以外は実施の形態1と同様である。
図8において、41はパケット分析手段7の不正アクセス分析の結果、不正アクセス通知手段8からシステム管理者3に通知された内容を記憶しておく、メモリからなる通知内容記憶手段であって、図9に示すような不正アクセス記録42を記憶している。
この不正アクセス記録42は過去の不正アクセスにそれぞれ番号を付した不正アクセス番号43と各不正アクセスの不正内容44がどの分析項目に関するものであるかを対応付けて記憶している。
【0057】
動作を説明する。
実施の形態1と同様にパケット分析手段7は不正アクセスがあったと判断した場合、不正アクセス通知手段8を介してシステム管理者3に通知する。この通知(不正検出通知)には不正アクセスが検出された分析項目を示す「不正検出分析項目」が含まれるが、この時、通知内容記憶手段41が、この不正検出分析項目を記憶しておく。
この記憶の際には、図9の不正アクセス記録42に、これまでの最大の不正アクセス番号+1の不正アクセス番号を付して、不正検出分析項目(例えば分析項目A、B等)を不正内容44として記憶する。
【0058】
この後パケット分析手段7は再度不正アクセスがあったと判断した場合、通知内容記憶手段41を参照し、その不正アクセスの内容(検出不正内容)が不正アクセス記録42に記憶されているいずれかの不正内容と一致しているかどうか(例えば分析項目が一致しているかどうか)を検証し、一致する分析項目があれば、不正アクセス通知手段8にシステム管理者3への通知の指示は行わない。同時にこの不正内容およびこれと対応する不正アクセス番号Pを不正アクセス記録42から削除し、Pを超える不正アクセスの番号を1つづつ繰り上げる。これを不正アクセス記録削除と呼ぶ。
一致する分析項目がない場合は不正アクセス通知手段8によってシステム管理者3に不正アクセスが検出されたことを通知するとともに、通知内容記憶手段41に新たに通知内容を記憶する。これを不正アクセス記録登録と呼ぶ。
パケット分析手段7が通知内容記憶手段41を参照し、不正アクセス記録42を検証することを通知記録検証と呼ぶ。
【0059】
以上のようにすることで、特定の不正アクセスが繰り返される場合、1度の不正アクセスの次の不正アクセスについては不正アクセスのシステム管理者への通知処理を省略することが可能となり、CPU処理を軽減し、パケットの取得処理及び分析処理にまわすことができる。
【0060】
なお、上記の説明では不正アクセス記録42には不正アクセスを複数記録する例を示したが、1つの不正アクセスのみを記録するようにしてもよく、この場合は不正アクセス番号は不要であり、不正内容のみを記憶すればよい。
【0061】
また、上記の例では、同一の不正アクセスに関する通知処理を一度しか省略できないが、新たに不正アクセス記録42に不正アクセスを記録する際に、不正内容44に不正アクセスが行われた時刻を記録し、同一の不正アクセスについては一定時間T1内(経過時間)に繰り返され場合は通知せずに、この一定時間T1を超えた場合のみを通知するようにしてもよい。最初の不正アクセスから上記一定時間T1(所定時間)を経過した不正アクセスについては、不正アクセス記録削除を行う。
上記一定時間T1を不正アクセス通知停止時間とよぶ。
【0062】
また、不正アクセスが何回行われたかの回数を利用してもよい。このためには同一の不正アクセスが繰り返された場合、不正内容44に不正アクセスが行われた回数を記録し、この回数が一定数Q以下の場合は通知を行わないようにしてもよい。回数が一定数Q(所定回数)を超えた場合は不正アクセス記録削除を行う。
この一定数Qを不正アクセス通知停止回数と呼ぶ.
【0063】
上記不正アクセス通知停止時間T1及び不正アクセス停止通知回数Qはシステム管理者3が入力手段9からパケット分析手段7に入力することができる。
このように通知内容によって通知を行うタイミング及び回数の変更等を行うことにより、木目細かく通知処理を実行したり停止することが可能となる。
【0064】
また上記の不正アクセス通知停止時間T1や不正アクセス停止通知回数Qは、分析項目によって決定し、分析項目毎に一定でなくてもよい。
【0065】
また上記説明では不正アクセス記録削除はパケット分析手段7が行うとしたが、通知内容記憶手段41が行ってもよい。この場合、上記不正アクセス通知停止時間T1及び不正アクセス停止通知回数Qはシステム管理者3が入力手段9から通知内容記憶手段41に入力するようにしてもよい。
【0066】
また、パケットの取りこぼし防止をより確実にするために、不正アクセス通知手段8、通知内容記憶手段41を別CPUで管理することにより処理を分散してもよい。
【0067】
【発明の効果】
以上のようにこの発明によれば、ネットワークのトラフィックによっていずれの分析項目に関して不正アクセス分析を行うかを決定するので、不正なパケットを取りこぼすことがないという効果がある。
【0068】
またこの発明によれば、分析待機バッファを設けたので、パケット分析手段がトラフィックの変動に確実に対応できるという効果がある。
【0069】
またこの発明によれば、パケットをフィルタリング手段により絞り込むので、取りこぼしを防止できるという効果がある。
【0070】
またこの発明によれば、特定の不正アクセスが繰り返された場合にもCPU処理を軽減することが可能になるという効果がある。
【図面の簡単な説明】
【図1】 この発明の実施の形態1による侵入検知装置を含むシステムの構成図。
【図2】 この発明の実施の形態1による分析項目一覧表の図。
【図3】 この発明の実施の形態1の他の実施の形態による分析項目一覧表の図。
【図4】 この発明の実施の形態1の他の実施の形態による分析項目一覧表の図。
【図5】 この発明の実施の形態2による侵入検知装置を含むシステムの構成図。
【図6】 この発明の実施の形態3による侵入検知装置を含むシステムの構成図。
【図7】 この発明の実施の形態3によるフィルタリング情報テーブルの図。
【図8】 この発明の実施の形態4によるフィルタリング情報テーブルの図。
【図9】 この発明の実施の形態4による不正アクセス記録の図。
【図10】 従来の侵入検知システムの構成図。
【符号の説明】
1 侵入検知装置、 2 ネットワーク、 3 システム管理者、 4 パケット、 5 通信手段、 6 パケット監視手段、 7 パケット分析手段、 8 不正アクセス通知手段、 9 入力、 4 パケット、 11 分析項目一覧表、 12 分析項目、 13 分析フラグ、 14 優先順位、 15 カテゴリー、21 分析待機バッファ、 31 フィルタリング手段、 32 フィルタリング情報記憶手段、 33 フィルタリング情報テーブル、 フィルタリング情報カテゴリー、 35 フィルタリング情報、 41 通知内容記憶手段、 42 不正アクセス記録、 43 不正アクセス番号、 44 不正内容44、 1001 ネットワーク、 1002a〜1002n パケット、 1003a〜1003n パケット取得部、 1004 パケット蓄積部、 1005a〜1005n パケット分析部、 1006 不正アクセスデータベース、 1007 通知部、 1008 システム管理者[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a computer network system, and more particularly, to an unauthorized access detection device, an unauthorized access detection method, and an unauthorized access detection program that detect unauthorized access from the outside to ensure security.
[0002]
[Prior art]
FIG. 10 shows, for example, a conventional unauthorized access detection apparatus disclosed in Japanese Patent Laid-Open No. 2001-94602, which attempts to divide analysis processing for each packet type. In FIG. 10, packet acquisition units 1003a to 1003n acquire packets 1002a to 1002n transmitted via the network 1001, and the
[0003]
[Problems to be solved by the invention]
As described above, in the conventional unauthorized access detection apparatus, a plurality of analysis units corresponding to the type of packet perform analysis processing. Therefore, in order to speed up the processing and prevent packet dropping in the conventional example, it is premised to be realized on a multitasking OS, and it is necessary to provide a packet analysis unit in parallel.
[0004]
The present invention has been made to solve the above-described problems, and it is an object of the present invention to execute analysis processing at high speed without performing packet analysis in parallel and prevent packet loss.
[0005]
[Means for Solving the Problems]
The unauthorized intrusion detection apparatus according to the present invention monitors traffic on a network through which a packet flows, outputs a traffic monitoring value, and packet analysis for performing unauthorized access analysis on whether a packet is an unauthorized access packet with respect to a predetermined analysis item Packet analysis means for determining which analysis item is subjected to unauthorized access analysis based on the observed traffic value output by the traffic monitoring means and performing unauthorized access analysis on a packet observed by the traffic monitoring means It is equipped with.
[0006]
Further, in the unauthorized intrusion detection apparatus according to the present invention, the packet analysis means has an analysis item list including a plurality of analysis items and an analysis flag corresponding to each analysis item and being set or not set. Whether or not to determine the analysis item for performing the unauthorized access analysis according to the state of the analysis flag in the analysis item list according to the magnitude relationship between the observation traffic value output by the packet monitoring means and the observation traffic threshold which is a predetermined threshold. This is to decide whether to analyze unauthorized access for these analysis items.
[0007]
The unauthorized intrusion detection apparatus according to the present invention may be configured such that the packet analysis means illegally only analyzes items for which an analysis flag is set in the analysis item list when the observed traffic value is equal to or greater than the observed traffic threshold. Access analysis is performed.
[0008]
The unauthorized intrusion detection apparatus according to the present invention further includes priority order storage means, and the packet analysis means includes an analysis item list including a plurality of analysis items each assigned one of a plurality of priorities. A table, and when the observed traffic value is equal to or greater than the observed traffic threshold, the unauthorized access analysis is performed for the analysis item having the priority higher than the priority stored in the priority storage means. It is.
[0009]
In the unauthorized intrusion detection apparatus according to the present invention, the packet analysis means includes a plurality of analysis items each having a plurality of observation traffic thresholds each having a different value, each assigned one of a plurality of priority levels. The priority analysis items are determined based on the relationship between the observed traffic values and the plurality of observed traffic thresholds.
[0010]
Further, the unauthorized intrusion detection apparatus according to the present invention is characterized in that the packet analysis means includes a plurality of analysis items, a category to which each analysis item belongs, and an analysis flag corresponding to each category and in a set or non-set state. Analyzing unauthorized access according to the state of the analysis flag in the analysis item list according to the magnitude relationship between the observed traffic value output by the packet monitoring means and the observation traffic threshold value which is a predetermined threshold value The analysis item category is determined, or whether to analyze unauthorized access for all analysis items is determined.
[0011]
The unauthorized intrusion detection apparatus according to the present invention further includes an analysis standby buffer, and the packet monitoring unit outputs traffic observed within a sampling period of a predetermined length as an observed traffic value at the end of the sampling period, The analysis standby buffer stores packets observed by the packet monitoring means within the sampling period, and transmits the stored packets to the packet analysis means every time the sampling period ends.
[0012]
The unauthorized intrusion detection apparatus according to the present invention further includes filtering information storage means and filtering means, and the filtering information storage means determines whether or not to transmit a packet flowing through the network to the traffic monitoring means. Filtering information is stored, and the filtering means refers to the filtering information storage means, and the traffic monitoring means depends on whether or not any of the filtering information is included in a header information part of a packet flowing through the network. The packet monitoring means observes traffic transmitted from the filtering means to the packet monitoring means, outputs an observed traffic value, and the packet analyzing means comprises: The above traffic monitor There determines whether to perform an unauthorized access analysis for any analysis item based on observations traffic value output, in which to perform an unauthorized access analysis of packets which the traffic monitoring means has observed.
[0013]
The unauthorized intrusion detection apparatus according to the present invention further includes unauthorized access notification means and notification content storage means, and the unauthorized access notification means detects the unauthorized access packet when the analysis means detects the packet analysis means. In response to the instruction, the fraud detection notification is transmitted to the outside of the fraud detection device, the notification content storage means stores the fraud content when an illegal access packet is detected by the packet analysis means, and the packet analysis means When an access packet is detected, notification record verification is performed to verify whether or not the detected illegal content that is the illegal content of the unauthorized access packet is stored in the notification content storage means, and the same illegal content as the detected illegal content is notified. If stored in the content storage means, an instruction to send a fraud detection notification to the fraud notification means is issued. If the same unauthorized content as the detected unauthorized content is not stored in the notification content storage means, the detected unauthorized content is stored in the unauthorized content storage means and an instruction to send an unauthorized detection notification to the unauthorized access notification means It is a thing to give out.
[0014]
In the unauthorized intrusion detection apparatus according to the present invention, the unauthorized content is the name of an analysis item in which the unauthorized activity is detected.
[0015]
Further, in the unauthorized intrusion detection apparatus according to the present invention, when the packet analysis unit detects unauthorized access packets and performs notification record verification, the unauthorized content of the unauthorized access packet is stored in the notification content storage unit. Does not give an instruction to send the fraud detection notification to the fraud notification means, and deletes the fraudulent content of the fraudulent access packet from the notification content storage means.
[0016]
In the unauthorized intrusion detection apparatus according to the present invention, the packet analysis unit deletes the unauthorized content from the notified content storage unit when a predetermined time has elapsed since the unauthorized content was stored in the notified content storage unit. It is what you do.
[0017]
In addition, in the unauthorized intrusion detection apparatus according to the present invention, when the packet analysis unit performs a predetermined number of notification record verifications on the same unauthorized detection content, the unauthorized content identical to the unauthorized detection content is stored in the notification content storage unit. It is to be deleted from.
[0018]
Further, in the unauthorized intrusion detection apparatus according to the present invention, the traffic monitoring means observes the number of packets per unit time flowing through the network as traffic of the network, and uses the observed number of packets per unit time as an observed traffic value. The packet analyzing means outputs a predetermined value of the number of packets per unit time flowing through the network as the observation traffic threshold.
[0019]
Further, in the unauthorized intrusion detection apparatus according to the present invention, the traffic monitoring means observes a data amount per unit time flowing through the network as traffic of the network, and per unit time flowing through the observed network as an observed traffic value. The packet analysis means outputs a predetermined value of the data amount per unit time flowing through the network as the observation traffic threshold value.
[0020]
In the unauthorized intrusion detection apparatus according to the present invention, the traffic monitoring means observes a time interval of packets flowing through the network as traffic of the network, and outputs a time interval of packets flowing through the observed network as an observed traffic value. The packet analysis means uses a predetermined value of the number of packets per unit time flowing through the network as the observation traffic threshold, and the traffic is larger as the time interval of packets flowing through the network is shorter. is there.
[0021]
The unauthorized intrusion detection method according to the present invention also includes a traffic monitoring step for observing network traffic through which a packet flows and outputting an observed traffic value, and an unauthorized access analysis for determining whether the packet is an unauthorized access packet. A packet analysis for determining an analysis item for unauthorized access analysis based on the observed traffic value output by the traffic monitoring means, and performing an unauthorized access analysis for the packet observed by the traffic monitoring means in the analysis step And a step.
[0022]
The unauthorized intrusion detection program according to the present invention is an unauthorized intrusion detection program for causing a computer to execute the following (a) traffic monitoring step and (b) packet analysis step.
(A) a traffic monitoring step of observing network traffic through which packets flow and outputting observed traffic values;
(B) A packet analysis step for performing unauthorized access analysis on whether a packet is an unauthorized access packet with respect to a predetermined analysis item, and performing unauthorized access analysis with respect to any analysis item based on the observed traffic value output by the traffic monitoring means. A packet analysis step of deciding whether or not to perform the unauthorized access analysis on the packet observed by the traffic monitoring means.
[0023]
DETAILED DESCRIPTION OF THE INVENTION
The first embodiment will be described with reference to FIGS.
FIG. 1 is a configuration diagram of a system including an intrusion detection device according to this embodiment, and FIG. 2 is a diagram of an analysis item list according to this embodiment.
[0024]
In FIG. 1, 1 is an intrusion detection device, 2 is a network to which the intrusion detection device is connected, 3 is a system administrator who manages the
As is well known, the
[0025]
FIG. 2 is a diagram showing an analysis item list 11 held by the packet analysis means 7.
As shown in FIG. 2, the analysis item list 11 has a table format including a plurality of
The
The state where the analysis flag is 0 or 1 is referred to as unset or set, respectively.
[0026]
Each unit of the
[0027]
Next, the operation will be described.
First, the
Next, the packet analysis means 7 refers to the analysis item list 11 and analyzes whether or not the received
[0028]
An example of an analysis method will be described.
There are two types of analysis methods: pattern matching and statistical methods. First, an example of pattern matching will be described.
For example, when the analysis item indicates a buffer overflow attack on the mail server, it is analyzed whether or not the packet has the following pattern.
TCP header
Destination port number = 25 (represents SMTP)
TCP data section
Determine whether the argument of the following smtp command is 128 bytes or more.
“Helo” “mail from:” “rcpt to:” “vrfy” “expn”
Next, an example of a statistical method will be described.
For example, when the analysis item indicates a SYN flood attack, it is analyzed whether there are a certain number (for example, 100) or more of the following packets within a certain time (for example, 10 seconds).
Common destination address in IP header
TCP header SYN flag is 1, ACK flag is 0
In the above-described two examples, the
In the case of pattern matching, information for pattern matching such as an analysis method (information indicating that analysis is performed by pattern matching), a port number, an address, and a character string may be used.
In the case of a statistical method, information for extracting packets to be counted (information indicating that analysis is performed by a statistical method, and in the above example, the state of an address, SYN and ACK flags, and a monitoring time (A certain time), or the number to be collected (a certain number).
[0029]
At the time of this analysis, for example, the packet acquisition number threshold is set to 100 per second in advance, and the packet analysis unit 7 receives the number of packets (unit time packet acquisition number) received from the
On the other hand, when the number of packets received in the past one second is 100 or more, the packet analysis means 7 does not analyze all the
As is clear from the above description, the packet monitoring means 6 sends the
The
[0030]
The packet monitoring means 6 is the traffic monitoring means in the present invention. The period in which the packet monitoring means 6 counts the number of packets is called a sampling period, and the length of the sampling period is called a sampling time.
The unit time packet acquisition number is the observed traffic value in the present invention, and the packet acquisition number threshold is the observed traffic threshold in the present invention.
Whether the analysis by the packet analysis means 7 is in an all-item analysis or a selective analysis is called an analysis mode.
The step of the packet monitoring means 6 counting and outputting the number of packet acquisitions per unit time is the traffic monitoring step in this invention, and the step of unauthorized access analysis means performing unauthorized access analysis in the analysis mode based on the packet acquisition number threshold value is the packet in this invention. It is an analysis step.
[0031]
As described above, the setting of which item is the analysis item and which analysis flag of the analysis item is set can be input by the
[0032]
If an illegal packet is detected as a result of analysis by the packet analysis means 7, the unauthorized access notification means 8 notifies the
The fraud detection notification includes “fraud detection analysis item” indicating an analysis item in which unauthorized access is detected.
[0033]
As described above, when the network load increases (traffic increases) and exceeds a predetermined threshold (packet acquisition number threshold), only a specific analysis item specified in advance is analyzed. As a result, the analysis time per packet can be shortened, packet loss can be prevented, and any packet can be analyzed. Analysis can be performed in real time.
As a result, it is possible to solve the problem that unauthorized access cannot be detected because an unauthorized packet is included in the missed packet.
[0034]
In the above description, the sampling time is 1 second, and the unit time packet acquisition number (packet acquisition number / second) is calculated from the number of packet acquisitions during this period. However, the sampling time is not limited to this,
Number of packet acquisitions per unit time = number of packets acquired within sampling time / sampling time
For example, if the sampling time is shortened, the number of detailed analysis items can be adjusted.
[0035]
In the above description, the
Of the setting items, a fixed value and a setting that can be set by the
Further, the sampling time of the packet monitoring means 6 may be input by the
[0036]
In the above description, the
In consideration of the execution environment, the degree of impact and importance when attacked, etc., a plurality of priority levels 14 such as 1, 2, 3, 4, 5 are set for each analysis item as shown in FIG. When the number of packet acquisitions per unit time exceeds the packet acquisition number threshold, for example, the priority is set to 3 or less (3, 2, 1), that is, only analysis items with a priority higher than 3 are analyzed. Also good. Alternatively, it may be set such that only analysis items having a priority order of 3 or higher are analyzed.
In this case, the priority order of each analysis item is set by the
In addition, the
[0037]
In the above description, an example in which the
The category and analysis flag of each analysis item may be fixed in advance, or one or both may be input from the input unit 9 by the
[0038]
In the above description, the threshold for the amount of received packets (packet acquisition number threshold) is only one, but there may be a plurality.
For example, four thresholds (X1 <X2 <X3 <X4) of X1, X2, X3, and X4 (X1 <X2 <X3 <X4) are set as packet acquisition count thresholds (packet acquisition count / second). If the number of packet acquisitions per unit time is less than X1,
The plurality of packet acquisition number thresholds may be set by the
[0039]
In the above description, the
Number of packet acquisitions per unit time = number of received packets / time interval T
May be converted into a unit time packet acquisition number and transmitted to the packet analysis means 7. In this case, the
[0040]
Further, regarding the threshold value, the number of packets is described above, but the processed data size may be reflected in the threshold value. For example, instead of the number of received packets, the size of received packets may be counted, and the total size of received data per unit time (for example, bits / second) may be set as a threshold value.
Further, both the number of packets and the reception size may be set as threshold values. In that case, you may combine so that both may be satisfy | filled or either one may be satisfy | filled. Of course, a plurality of packet acquisition number threshold values X1, X2, X3, and X4 described above may be held for the number of packets and the data size, and a fine threshold value may be set by combining them.
[0041]
In the above description, the packet acquisition number threshold is the number of received packets or data size per unit time. However, the threshold for determining whether to analyze all items or to selectively analyze can be determined by the time interval of each packet. Good.
For example, if the threshold is 1/100 second and the packet time interval exceeds this threshold (packet interval threshold) (when the time interval is long), all items are analyzed, and the packet time interval is less than or equal to the packet interval threshold (the time interval is In the case of a short case), a selective analysis may be performed. For this purpose, the packet monitoring means 6 is provided with packet interval measuring means (not shown) including a timer for measuring the time interval of each packet.
By doing so, it is possible to switch the unauthorized access analysis mode every time one packet is received, thereby preventing packet loss.
[0042]
The second embodiment will be described with reference to FIG.
In the first embodiment, the packets counted during a certain sampling period by the packet monitoring means 6 are transmitted as they are to the packet analysis means 7, so that the packets are determined by the number of unit time packet acquisitions in the previous sampling period. Analysis is performed in the analysis mode. Therefore, when the traffic increases and the number of packet acquisitions per unit time becomes less than the packet acquisition number threshold or more than the packet acquisition number threshold, the packets exceeding the packet acquisition number threshold can be temporarily analyzed in the all item analysis mode. Yes, there is a possibility of packet loss.
In this embodiment, an example will be described in which packets are temporarily stored in a buffer before being analyzed by the packet analysis means to prevent packet loss.
[0043]
In FIG. 5, the same or corresponding parts as those in the first embodiment are denoted by the same reference numerals and description thereof is omitted. The operation of each part is the same as in the first embodiment except for the following description.
Reference numeral 21 in FIG. 5 denotes an analysis standby buffer comprising a memory that temporarily accumulates the packets counted by the packet monitoring means 6 before sending them to the packet analysis means 7. This analysis standby buffer 21 has a capacity capable of storing packets for one second (the sampling time of the packet monitoring means 6 in this embodiment) at the time of maximum traffic of the
[0044]
The
At the end of this sampling period, the packet analysis means 7 receives the unit time packet acquisition number from the packet monitoring means 6, and determines the analysis mode depending on whether this unit time packet acquisition number exceeds the packet acquisition number threshold. At the same time, the packets are sequentially read from the analysis standby buffer 21 and analyzed.
In FIG. 5, the arrow directly connected from the packet monitoring means 6 to the packet analysis means 7 is information on the number of packets acquired per unit time transmitted from the packet monitoring means 6, and the analysis target packet is the packet monitoring means 6 → analysis. The packets are sent in the order of the standby buffer 21 → packet analysis means 7.
[0045]
Also in this embodiment, as in the first embodiment, what items are set as analysis items and which analysis items are set as analysis flags are set via the input means 9 by the
At the time of this input, each setting item (analysis item, analysis flag, packet acquisition number threshold) and the processing capability of the packet analysis means 7 must satisfy the following conditions (1) and (2).
(1) The packet analysis means 7 has a processing speed sufficient to analyze all analysis items for all packets as long as it is the number of packets per unit time up to a packet acquisition number threshold (100 in the above example).
(2) The packet analysis means 7 has a processing speed sufficient to analyze all the
[0046]
If the above conditions (1) and (2) are not satisfied, there is a possibility that packets will be missed. Accordingly, the packet analysis means 7 calculates whether or not the conditions (1) and (2) are satisfied when the
In the above calculation, the processing time required for each processing item may be used.
[0047]
If the analysis standby buffer 21 is used in this way, each packet counted by the packet monitoring means 6 to determine the analysis mode is analyzed in the analysis mode determined by counting the packets. The packet analysis means 7 can reliably cope with traffic fluctuations and prevent packet loss.
In addition, since each
[0048]
In the above description, the analysis standby buffer 21 has been described as having a capacity for one second when the
In the above description, the buffer 21 is a memory. However, any other device may be used as long as it stores information, such as a disk device.
[0049]
A third embodiment will be described with reference to FIGS.
In
[0050]
In FIG. 6, the same or corresponding parts as those in the first embodiment are denoted by the same reference numerals and description thereof is omitted. The operation of each part is the same as in the first embodiment except for the following description.
31 is a filtering means for performing a filtering operation on the packet acquired by the communication means 5, 32 is a filtering information storage means, and stores the filtering information table 33 of FIG. 7 which is referred to when the filtering means 31 performs the filtering operation. is doing.
As shown in FIG. 7, the filtering information table 33 includes the source address, destination address, protocol (ARP / IP / ICMP / UDP / TCP, etc.), source port number (udp.tcp), and destination port number of each packet. The filtering
The filtering
This filtering information table 33 sets conditions for extracting packets that need to be subjected to unauthorized access analysis, and can be input by the
[0051]
The filtering unit 31 detects the transmission source address, transmission destination address, protocol, etc. of the
The subsequent operation is the same as that of the first embodiment, and the analysis mode in the packet analysis means 7 is determined by the number of packet acquisitions per unit time, and unauthorized access analysis is performed.
[0052]
As described above, since the filtering unit 31 is provided and the unauthorized access analysis is performed only on the packet that matches the filtering information, it is possible to prevent the packet that needs the unauthorized access analysis from being missed even if the network traffic further increases.
[0053]
In the above description, the filtering unit 31 performs an unauthorized access analysis if it matches any of the filtering
As a result, even if the traffic on the network further increases, it is possible to prevent a packet that requires unauthorized access analysis from being missed.
[0054]
In the above description, a packet that matches the filtering information is set as the analysis target. Conversely, a packet that does not match the filtering information may be set as the analysis target, or a packet that does not match the filtering information may be combined.
[0055]
The fourth embodiment will be described with reference to FIGS.
FIG. 8 is a configuration diagram of a system including an intrusion detection device according to this embodiment.
In the first to third embodiments described above, the example in which the analysis items or packets targeted for analysis are narrowed down according to the received packet load to prevent packet loss is described. However, for example, when this
In this embodiment, an example of packet loss prevention when a specific unauthorized access is received many times is shown.
[0056]
In FIG. 8, the same or corresponding parts as those in FIG. The operation of each part is the same as in the first embodiment except for the following description.
In FIG. 8, reference numeral 41 denotes a notification content storage means comprising a memory for storing the contents notified to the
This unauthorized access record 42 stores an unauthorized access number 43 obtained by assigning a number to each past unauthorized access and an analysis item to which the unauthorized content 44 of each unauthorized access relates.
[0057]
The operation will be described.
As in the first embodiment, when the packet analysis means 7 determines that there has been unauthorized access, it notifies the
In this storage, the unauthorized access record 42 in FIG. 9 is assigned the unauthorized access number of the largest unauthorized access number + 1 so far, and the unauthorized detection analysis item (for example, analysis items A, B, etc.) is unauthorized. 44 is stored.
[0058]
Thereafter, when the packet analysis unit 7 determines that there has been unauthorized access again, the packet analysis unit 7 refers to the notification content storage unit 41, and any unauthorized activity whose content of unauthorized access (detected unauthorized content) is stored in the unauthorized access record 42. Whether the contents match (for example, whether the analysis items match) is verified, and if there is a matching analysis item, the unauthorized access notification means 8 is not instructed to notify the
If there is no matching analysis item, the unauthorized access notification means 8 notifies the
The packet analysis unit 7 referring to the notification content storage unit 41 and verifying the unauthorized access record 42 is called notification record verification.
[0059]
As described above, when specific unauthorized access is repeated, it is possible to omit the process of notifying the system administrator of unauthorized access for unauthorized access next to unauthorized access once. And can be used for packet acquisition processing and analysis processing.
[0060]
In the above description, an example in which a plurality of unauthorized accesses are recorded in the unauthorized access record 42 is shown. However, only one unauthorized access may be recorded. In this case, an unauthorized access number is not necessary, Only the contents need to be stored.
[0061]
In the above example, the notification process regarding the same unauthorized access can be omitted only once, but when unauthorized access is newly recorded in the unauthorized access record 42, the time when the unauthorized access was made is recorded in the unauthorized content 44. The same unauthorized access may not be notified when repeated within a certain time T1 (elapsed time), but may be notified only when the certain time T1 is exceeded. Unauthorized access records are deleted for unauthorized access that has passed the predetermined time T1 (predetermined time) from the first unauthorized access.
The fixed time T1 is referred to as unauthorized access notification stop time.
[0062]
In addition, the number of times of unauthorized access may be used. For this purpose, when the same unauthorized access is repeated, the number of times of unauthorized access is recorded in the unauthorized content 44, and when this number is less than a certain number Q, notification may not be performed. When the number of times exceeds a certain number Q (predetermined number), the unauthorized access record is deleted.
This fixed number Q is called the unauthorized access notification stop count.
[0063]
The
In this way, by changing the timing and number of times of notification depending on the notification contents, it becomes possible to execute or stop the notification process in detail.
[0064]
Further, the unauthorized access notification stop time T1 and the unauthorized access stop notification count Q are determined according to the analysis item, and may not be constant for each analysis item.
[0065]
In the above description, the unauthorized access record deletion is performed by the packet analysis unit 7, but the notification content storage unit 41 may perform the deletion. In this case, the
[0066]
Further, in order to more reliably prevent the packet from being dropped, the processing may be distributed by managing the unauthorized access notification means 8 and the notification content storage means 41 by different CPUs.
[0067]
【The invention's effect】
As described above, according to the present invention, which analysis item is to be subjected to unauthorized access analysis is determined according to network traffic, so that there is an effect that unauthorized packets are not missed.
[0068]
Further, according to the present invention, since the analysis standby buffer is provided, there is an effect that the packet analysis means can surely cope with the traffic fluctuation.
[0069]
In addition, according to the present invention, since packets are narrowed down by the filtering means, there is an effect that it is possible to prevent missing.
[0070]
In addition, according to the present invention, it is possible to reduce the CPU processing even when specific unauthorized access is repeated.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of a system including an intrusion detection device according to
FIG. 2 is a diagram of an analysis item list according to the first embodiment of the present invention.
FIG. 3 is a diagram of an analysis item list according to another embodiment of the first embodiment of the present invention.
FIG. 4 is a diagram of an analysis item list according to another embodiment of the first embodiment of the present invention.
FIG. 5 is a block diagram of a system including an intrusion detection device according to
FIG. 6 is a block diagram of a system including an intrusion detection device according to
FIG. 7 is a diagram of a filtering information table according to the third embodiment of the present invention.
FIG. 8 is a diagram of a filtering information table according to the fourth embodiment of the present invention.
FIG. 9 is a diagram of unauthorized access recording according to
FIG. 10 is a configuration diagram of a conventional intrusion detection system.
[Explanation of symbols]
1 intrusion detection device, 2 network, 3 system administrator, 4 packets, 5 communication means, 6 packet monitoring means, 7 packet analysis means, 8 unauthorized access notification means, 9 input, 4 packets, 11 analysis item list, 12 analysis Item, 13 analysis flag, 14 priority, 15 category, 21 analysis standby buffer, 31 filtering means, 32 filtering information storage means, 33 filtering information table, filtering information category, 35 filtering information, 41 notification content storage means, 42 unauthorized access Record, 43 unauthorized access number, 44 unauthorized content 44, 1001 network, 1002a to 1002n packet, 1003a to 1003n packet acquisition unit, 1004 packet storage unit, 1005a to 1005n packet Door analysis unit, 1006 unauthorized access database, 1007 notification unit, 1008 a system administrator
Claims (18)
パケットが不正アクセスパケットかどうかの不正アクセス分析を所定の分析項目に関して行うパケット分析手段であって、上記トラフィック監視手段が出力した観測トラフィック値に基づいていずれの分析項目に関して不正アクセス分析を行うかを決定し、上記トラフィック監視手段が観測したパケットについて不正アクセス分析を行うパケット分析手段
とを備えたことを特徴とする不正侵入検知装置。Traffic monitoring means for observing network traffic through which packets flow and outputting observed traffic values;
Packet analysis means for performing unauthorized access analysis on whether a packet is an unauthorized access packet with respect to a predetermined analysis item, and for which analysis item to perform unauthorized access analysis based on the observed traffic value output by the traffic monitoring means An unauthorized intrusion detection apparatus comprising: a packet analysis unit that performs an unauthorized access analysis on a packet determined and observed by the traffic monitoring unit.
複数の分析項目と、各分析項目に対応し設定または不設定のいずれかの状態である分析フラグからなる分析項目一覧表を有し、
上記パケット監視手段が出力した観測トラフィック値と所定の閾値である観測トラフィック閾値との大小関係によって、上記分析項目一覧表における分析フラグの状態によって不正アクセス分析を行う分析項目を決定するかすべての分析項目について不正アクセス分析するかを決定する
ことを特徴とする請求項1に記載の不正侵入検知装置。The packet analysis means includes
It has an analysis item list consisting of a plurality of analysis items and an analysis flag corresponding to each analysis item and being set or not set.
Depending on the magnitude relationship between the observed traffic value output by the packet monitoring means and the observed traffic threshold value, which is a predetermined threshold value, analysis items to be subjected to unauthorized access analysis are determined according to the status of the analysis flag in the analysis item list or all analysis The unauthorized intrusion detection apparatus according to claim 1, wherein the unauthorized access analysis apparatus determines whether to perform unauthorized access analysis for an item.
上記観測トラフィック値が上記観測トラフィック閾値以上である場合に、上記分析項目一覧表において分析フラグが設定されている分析項目のみについて不正アクセス分析を行う
ことを特徴とする請求項2に記載の不正侵入検知装置。The packet analysis means includes
The unauthorized intrusion according to claim 2, wherein when the observed traffic value is equal to or greater than the observed traffic threshold value, the unauthorized access analysis is performed only for the analysis item for which the analysis flag is set in the analysis item list. Detection device.
上記パケット分析手段は、
それぞれ複数段階の優先順位のいずれか1つを付された複数の分析項目を含む分析項目一覧表を有し、
上記観測トラフィック値が上記観測トラフィック閾値以上である場合に、上記優先順位が上記優先順位記憶手段に記憶されている優先順位より高い分析項目について不正アクセス分析を行う
ことを特徴とする請求項1に記載の不正侵入検知装置。Further comprising priority storage means;
The packet analysis means includes
An analysis item list including a plurality of analysis items each assigned one of a plurality of priority levels,
The unauthorized access analysis is performed on an analysis item whose priority is higher than the priority stored in the priority storage means when the observed traffic value is equal to or greater than the observation traffic threshold. The described unauthorized intrusion detection device.
それぞれ異なる値である複数の観測トラフィック閾値を有し、
それぞれ複数段階の優先順位のいずれか1つを付された複数の分析項目を含む分析項目一覧表を有し、
上記観測トラフィック値と上記複数の観測トラフィック閾値との関係により、いずれの優先順位の分析項目について不正アクセス分析するかを決定する請求項1に記載の不正侵入検知装置。The packet analysis means includes
Have multiple observed traffic thresholds, each with a different value,
An analysis item list including a plurality of analysis items each assigned one of a plurality of priority levels,
The unauthorized intrusion detection apparatus according to claim 1, wherein an unauthorized access analysis is determined for an analysis item of which priority order based on a relationship between the observed traffic value and the plurality of observed traffic thresholds.
複数の分析項目と各分析項目が属するカテゴリーと、各カテゴリー毎に対応し設定または不設定のいずれかの状態である分析フラグからなる分析項目一覧表を有し、
上記パケット監視手段が出力した観測トラフィック値と所定の閾値である観測トラフィック閾値との大小関係によって、上記分析項目一覧表における分析フラグの状態によって不正アクセス分析を行う分析項目のカテゴリーを決定するかすべての分析項目について不正アクセス分析するかを決定する
ことを特徴とする請求項1に記載の不正侵入検知装置。The packet analysis means includes
It has an analysis item list consisting of a plurality of analysis items, categories to which each analysis item belongs, and analysis flags corresponding to each category, which are either set or not set,
Whether or not to determine the category of the analysis item for performing unauthorized access analysis according to the state of the analysis flag in the analysis item list according to the magnitude relationship between the observation traffic value output by the packet monitoring means and the observation traffic threshold which is a predetermined threshold The unauthorized intrusion detection apparatus according to claim 1, wherein the unauthorized access analysis is determined for the analysis item.
上記パケット監視手段は所定長さのサンプリング期間内に観測したトラフィックを該サンプリング期間終了毎に観測トラフィック値として出力し、
上記分析待機バッファは、上記サンプリング期間内に上記パケット監視手段で観測されたパケットを格納し、上記サンプリング期間終了毎に該格納したパケットを上記パケット分析手段に送信する
ことを特徴とする請求項1から請求項6のいずれかに記載の不正侵入検知装置。An analysis waiting buffer;
The packet monitoring means outputs traffic observed within a sampling period of a predetermined length as an observed traffic value every time the sampling period ends,
2. The analysis waiting buffer stores a packet observed by the packet monitoring means within the sampling period, and transmits the stored packet to the packet analysis means every time the sampling period ends. The unauthorized intrusion detection device according to claim 6.
上記フィルタリング情報記憶手段は、
ネットワークを流れるパケットを上記トラフィック監視手段に送信するか否かを決定するためのフィルタリング情報を記憶し、
上記フィルタリング手段は、
上記フィルタリング情報記憶手段を参照して、上記ネットワークを流れるパケットのヘッダ情報部に上記フィルタリング情報のいずれかが含まれているか否かによって、上記トラフィック監視手段に送信するか否かを決定し、
上記パケット監視手段は、
上記フィルタリング手段から該パケット監視手段に対してパケットが送信されるトラフィックを観測し、観測トラフィック値を出力し、
上記パケット分析手段は、
上記トラフィック監視手段が出力した観測トラフィック値に基づいていずれの分析項目に関して不正アクセス分析を行うかを決定し、上記トラフィック監視手段が観測したパケットについて不正アクセス分析を行うことを特徴とする請求項1に記載の不正侵入検知装置。Further comprising filtering information storage means and filtering means,
The filtering information storage means includes
Storing filtering information for determining whether or not to transmit a packet flowing through the network to the traffic monitoring means;
The filtering means is
Referring to the filtering information storage means, determine whether to send to the traffic monitoring means, depending on whether any of the filtering information is included in the header information portion of the packet flowing through the network,
The packet monitoring means includes
Observe traffic in which packets are transmitted from the filtering means to the packet monitoring means, and output an observed traffic value.
The packet analysis means includes
2. The analysis method according to claim 1, further comprising: deciding which analysis item to perform unauthorized access analysis based on an observed traffic value output by the traffic monitoring unit, and performing an unauthorized access analysis on a packet observed by the traffic monitoring unit. The intrusion detection device described in 1.
不正アクセス通知手段と、通知内容記憶手段をさらに有し、
上記不正アクセス通知手段は、
上記分析手段において不正アクセスパケットが検出された場合、該パケット分析手段の指示により不正検出通知を当該不正検出装置外部に発信し、
上記通知内容記憶手段は、上記パケット分析手段によって不正アクセスパケットが検出された時の不正内容を記憶し、
上記パケット分析手段は、不正アクセスパケットを検出した場合、該不正アクセスパケットの不正内容である検出不正内容が上記通知内容記憶手段に記憶されているかどうか検証する通知記録検証を行い、検出不正内容と同一の不正内容が上記通知内容記憶手段に記憶されていれば、上記不正通知手段に不正検出通知を発信するよう指示を出さず、検出不正内容と同一の不正内容が上記通知内容記憶手段に記憶されていなければ、該検出不正内容を上記不正内容記憶手段に記憶するとともに上記不正アクセス通知手段に不正検出通知を発信するよう指示を出すことを特徴とする不正侵入検知装置。In the unauthorized intrusion detection device according to any one of claims 1 to 8,
It further comprises unauthorized access notification means and notification content storage means,
The unauthorized access notification means
When a fraudulent access packet is detected in the analysis means, a fraud detection notification is transmitted outside the fraud detection apparatus according to an instruction of the packet analysis means,
The notification content storage means stores unauthorized contents when an unauthorized access packet is detected by the packet analysis means,
When the packet analysis unit detects an unauthorized access packet, the packet analysis unit performs notification record verification to verify whether the detected unauthorized content that is the unauthorized content of the unauthorized access packet is stored in the notification content storage unit, If the same fraud content is stored in the notification content storage means, the fraud notification means is not instructed to send a fraud detection notification, and the same fraud content as the detected fraud content is stored in the notification content storage means. If not, the unauthorized intrusion detection apparatus stores the detected unauthorized content in the unauthorized content storage unit and issues an instruction to transmit the unauthorized detection notification to the unauthorized access notification unit.
請求項9に記載の不正侵入検知装置。The unauthorized intrusion detection apparatus according to claim 9, wherein the unauthorized content is an analysis item name in which the unauthorized activity is detected.
不正アクセスパケットを検出し通知記録検証を行った結果、該不正アクセスパケットの不正内容が上記通知内容記憶手段に記憶されている場合は、上記不正通知手段に不正検出通知を発信するよう指示を出さず、かつ、該不正アクセスパケットの不正内容を上記通知内容記憶手段から削除する
ことを特徴とする請求項9または請求項10に記載の不正侵入検知装置。The packet analysis means includes
As a result of detecting the unauthorized access packet and verifying the notification record, if the unauthorized content of the unauthorized access packet is stored in the notification content storage means, an instruction to send an unauthorized detection notification to the unauthorized notification means is issued. The unauthorized intrusion detection apparatus according to claim 9 or 10, wherein the unauthorized content of the unauthorized access packet is deleted from the notification content storage means.
一の不正内容が上記通知内容記憶手段に記憶されてから所定時間経過した場合は、該不正内容を上記通知内容記憶手段から削除する
ことを特徴とする請求項9から請求項11のいずれか1項に記載の不正侵入検知装置。The packet analysis means includes
12. The unauthorized content is deleted from the notification content storage unit when a predetermined time has elapsed since the one unauthorized content was stored in the notification content storage unit. The unauthorized intrusion detection device according to the item.
同一の不正検出内容について所定回数の通知記録検証を行った場合は、該不正検出内容と同一の不正内容を上記通知内容記憶手段から削除する
ことを特徴とする請求項9から請求項11のいずれか1項に記載の不正侵入検知装置。The packet analysis means includes
12. Any one of claims 9 to 11, wherein when the same fraud detection content is verified a predetermined number of times, the same fraud content as the fraud detection content is deleted from the notification content storage means. The unauthorized intrusion detection apparatus according to claim 1.
上記パケット分析手段は、
上記ネットワークを流れる単位時間当たりのパケット数の所定値を上記観測トラフィック閾値とする
ことを特徴とする請求項1から請求項13のいずれか1項に記載の不正侵入検知装置。The traffic monitoring means observes the number of packets per unit time flowing through the network as traffic of the network, and outputs the observed number of packets per unit time as an observed traffic value,
The packet analysis means includes
The unauthorized intrusion detection apparatus according to any one of claims 1 to 13, wherein a predetermined value of the number of packets per unit time flowing through the network is set as the observation traffic threshold value.
上記パケット分析手段は、
上記ネットワークを流れる単位時間当たりのデータ量の所定値を上記観測トラフィック閾値とする
ことを特徴とする請求1から請求項13のいずれか1項に記載の不正侵入検知装置。The traffic monitoring means observes the amount of data per unit time flowing through the network as traffic of the network, and outputs the amount of data per unit time flowing through the network as the observed traffic value,
The packet analysis means includes
The unauthorized intrusion detection apparatus according to any one of claims 1 to 13, wherein a predetermined value of a data amount per unit time flowing through the network is set as the observation traffic threshold value.
上記ネットワークのトラフィックとして上記ネットワークを流れるパケットの時間間隔を観測し、観測トラフィック値として該観測したネットワークを流れるパケットの時間間隔を出力し、
上記パケット分析手段は、
上記ネットワークを流れる単位時間当たりのパケット数の所定値を上記観測トラフィック閾値とし、
ネットワークを流れるパケットの時間間隔が短い程トラフィックが大であるとする
ことを特徴とする請求項1から請求項13のいずれか1項に記載の不正侵入検知装置。The traffic monitoring means is
Observe the time interval of packets flowing through the network as traffic of the network, and output the time interval of packets flowing through the observed network as an observed traffic value,
The packet analysis means includes
A predetermined value of the number of packets per unit time flowing through the network is set as the observation traffic threshold,
The unauthorized intrusion detection apparatus according to any one of claims 1 to 13, wherein the traffic is larger as the time interval of packets flowing through the network is shorter.
パケットが不正アクセスパケットかどうかの不正アクセス分析を所定の分析項目に関して行うパケット分析ステップであって、上記トラフィック監視手段が出力した観測トラフィック値に基づいていずれの分析項目に関して不正アクセス分析を行うかを決定し、上記トラフィック監視手段が観測したパケットについて不正アクセス分析を行うパケット分析ステップ
とを備えたことを特徴とする不正侵入検知方法。A traffic monitoring step of observing network traffic in which packets flow and outputting an observed traffic value; and a packet analysis step of performing unauthorized access analysis on whether or not the packet is an unauthorized access packet with respect to a predetermined analysis item, wherein the traffic monitoring means includes A packet analysis step for determining which analysis item should be subjected to unauthorized access analysis based on the output observed traffic value and performing an unauthorized access analysis on the packet observed by the traffic monitoring means; Intrusion detection method.
(a)パケットが流れるネットワークのトラフィックを観測し、観測トラフィック値を出力するトラフィック監視ステップ;
(b)パケットが不正アクセスパケットかどうかの不正アクセス分析を所定の分析項目に関して行うパケット分析ステップであって、上記トラフィック監視手段が出力した観測トラフィック値に基づいていずれの分析項目に関して不正アクセス分析を行うかを決定し、上記トラフィック監視手段が観測したパケットについて不正アクセス分析を行うパケット分析ステップ。An unauthorized intrusion detection program for causing a computer to execute the following (a) traffic monitoring step and (b) packet analysis step.
(A) a traffic monitoring step of observing network traffic through which packets flow and outputting observed traffic values;
(B) A packet analysis step for performing unauthorized access analysis on whether a packet is an unauthorized access packet with respect to a predetermined analysis item, and performing unauthorized access analysis with respect to any analysis item based on the observed traffic value output by the traffic monitoring means. A packet analysis step of deciding whether or not to perform the unauthorized access analysis on the packet observed by the traffic monitoring means.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002000515A JP3893975B2 (en) | 2002-01-07 | 2002-01-07 | Unauthorized intrusion detection apparatus, unauthorized intrusion detection method, and unauthorized intrusion detection program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002000515A JP3893975B2 (en) | 2002-01-07 | 2002-01-07 | Unauthorized intrusion detection apparatus, unauthorized intrusion detection method, and unauthorized intrusion detection program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003204358A JP2003204358A (en) | 2003-07-18 |
| JP3893975B2 true JP3893975B2 (en) | 2007-03-14 |
Family
ID=27640880
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002000515A Expired - Fee Related JP3893975B2 (en) | 2002-01-07 | 2002-01-07 | Unauthorized intrusion detection apparatus, unauthorized intrusion detection method, and unauthorized intrusion detection program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3893975B2 (en) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1317855C (en) * | 2003-09-16 | 2007-05-23 | 联想(北京)有限公司 | Invasion detecting system and its invasion detecting method |
| ES2423491T3 (en) * | 2003-11-12 | 2013-09-20 | The Trustees Of Columbia University In The City Of New York | Apparatus, procedure and means for detecting a payload anomaly using the distribution in normal data n-grams |
| JP4074266B2 (en) | 2004-05-26 | 2008-04-09 | 株式会社東芝 | Packet filtering device and packet filtering program |
| JP2006080582A (en) * | 2004-09-07 | 2006-03-23 | Kddi Corp | Method and apparatus of restricting harmful traffic |
| JP4190508B2 (en) * | 2005-02-23 | 2008-12-03 | 日本電信電話株式会社 | Network control system and network control method |
| JP4522912B2 (en) * | 2005-06-10 | 2010-08-11 | Kddi株式会社 | Traffic measuring device, traffic measuring method and computer program |
| JP4545647B2 (en) * | 2005-06-17 | 2010-09-15 | 富士通株式会社 | Attack detection / protection system |
| US7484146B2 (en) * | 2006-06-06 | 2009-01-27 | Litepoint Corp. | Method for capturing multiple data packets in a data signal for analysis |
| KR101535529B1 (en) * | 2013-12-27 | 2015-07-09 | 호서대학교 산학협력단 | Method for collecting the suspicious file and trace information to analysis the ATP attack |
| JP6599819B2 (en) * | 2016-06-02 | 2019-10-30 | アラクサラネットワークス株式会社 | Packet relay device |
| JP7110063B2 (en) * | 2018-10-31 | 2022-08-01 | 株式会社日立ソリューションズ | LOG ANALYSIS SUPPORT SYSTEM AND LOG ANALYSIS SUPPORT METHOD |
| JP7172909B2 (en) * | 2019-08-01 | 2022-11-16 | 株式会社デンソー | electronic controller |
| JP7067796B2 (en) * | 2019-09-03 | 2022-05-16 | Necプラットフォームズ株式会社 | Packet transfer device, packet transfer method, and packet transfer program |
-
2002
- 2002-01-07 JP JP2002000515A patent/JP3893975B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003204358A (en) | 2003-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3893975B2 (en) | Unauthorized intrusion detection apparatus, unauthorized intrusion detection method, and unauthorized intrusion detection program | |
| US8601065B2 (en) | Method and apparatus for preventing outgoing spam e-mails by monitoring client interactions | |
| JP3947146B2 (en) | Routing loop detection program and routing loop detection method | |
| US8650646B2 (en) | System and method for optimization of security traffic monitoring | |
| CN109831461A (en) | A kind of distributed denial of service ddos attack defence method and device | |
| US20040111531A1 (en) | Method and system for reducing the rate of infection of a communications network by a software worm | |
| US20100034109A1 (en) | Communication data statistical apparatus, communication data statistical method, and computer program product | |
| CN101465855B (en) | Method and system for filtrating synchronous extensive aggression | |
| JP3957712B2 (en) | Communication monitoring system | |
| JP2006279930A (en) | Method and device for detecting and blocking unauthorized access | |
| KR101602189B1 (en) | traffic analysis and network monitoring system by packet capturing of 10-giga bit data | |
| KR20090006838A (en) | Malicious attack detection system and an associated method of use | |
| WO2016002915A1 (en) | Attack detection device, attack detection method, and attack detection program | |
| CN110519251A (en) | A kind of attack detection method and device | |
| CN113055335B (en) | Method, device, network system and storage medium for detecting communication abnormality | |
| CN112671759A (en) | DNS tunnel detection method and device based on multi-dimensional analysis | |
| CN109657463A (en) | A kind of defence method and device of message flood attack | |
| JP2005184792A (en) | Band control device, band control method, and program | |
| CN106034131A (en) | Business compliance detecting method and system based on Flow analysis | |
| CN110266726A (en) | A kind of method and device identifying DDOS attack data flow | |
| CN110838949B (en) | Network traffic log recording method and device | |
| JP5328131B2 (en) | Method and device for managing allocation of memory blocks, data transmission network system, computer readable medium, and computer program | |
| Dubendorfer et al. | A framework for real-time worm attack detection and backbone monitoring | |
| CN114500065A (en) | Attack detection method based on EGD protocol | |
| CN106576072B (en) | Information processing unit and information processing method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20040706 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041224 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060525 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20061121 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20061204 |
|
| LAPS | Cancellation because of no payment of annual fees |