JP3966231B2 - Network system, unauthorized access control method and program - Google Patents
Network system, unauthorized access control method and program Download PDFInfo
- Publication number
- JP3966231B2 JP3966231B2 JP2003165918A JP2003165918A JP3966231B2 JP 3966231 B2 JP3966231 B2 JP 3966231B2 JP 2003165918 A JP2003165918 A JP 2003165918A JP 2003165918 A JP2003165918 A JP 2003165918A JP 3966231 B2 JP3966231 B2 JP 3966231B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- unauthorized access
- transmission network
- network
- digital information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、複数のデジタル情報伝達ネットワークを接続して広域のネットワークサービスを提供するネットワークシステム技術に係わり、特にデジタルネットワーク間での不正アクセスを効率的に監視・阻止してセキュリティを向上するのに好適なネットワークシステムに関するものである。
【0002】
【従来の技術】
インターネット等のパブリックなIP(Internet Protocol)ネットワークの普及に伴い、ネットワーク経由の不正アクセスによるデータなどの不正盗聴、破壊、改竄などの脅威が常に存在するとともに、ネットワーク、サーバなどに異常負荷をかけて、ネットワーク機器またはサーバシステムなどを事実上動作不能とさせる攻撃などの脅威が急増している。
【0003】
これらの脅威に対処するために、ネットワークを流れるデータの内容あるいは送信元のユーザ権限により、通信を制御するアクセス制御技術が一般に採用されている。
【0004】
この制御技術は、一般に、ファイヤウォールとして知られている機能をルータ等のパケット処理装置に実装することで実現されており、このパケット処理装置は、インターネットなどの外部ネットワークとイントラネットなどの内部ネットワークとの境界に設置され、セキュリティポリシーに従った必要最小限の通信のみを通過させるアクセス制御を行う。
【0005】
アクセス制御を行うためのファイヤウォールの機能は、IPフィルタリングによるIPレベルでのアクセス制御機能、TCP(Transport Control Protocol)レベルでのTCPポート毎のアクセス制御機能、通信の内容に応じてアクセス制御を行うアプリケーションレベルでのアクセス制御機能に大別される。
【0006】
これらの機能を備えた通信システムでは、通信の種別、内容及びその方向により、通信のアクセスを制御することが可能となる。さらに、セキュリティポリシーに基づいたセキュリティ設計により、そのアクセス制御方式を決定するとともにアクセス制御の各種パラメータを規定し、さらにファイヤウォール機能を有するパケット処理装置にパラメータ設定を行うことによって、セキュリティポリシーに従ったネットワーク運用を行うことができる。
【0007】
しかし、上記のファイヤウォール機能では、セキュリティポリシーに従った通信については、ネットワークの通過を許容するため、この通過可能な通信サービスを悪用した不正侵入等の不正アクセスを完全に阻止することは困難である。この問題点を補完するために、一般にIDS(Intrusion Detection System)として知られている不正侵入の検知を目的としたセキュリティ監視装置が採用されている。
【0008】
この監視装置では、ファイヤウォール機能を通過して流れる通信データを全て監視し、不正な通信の有無を常時監視する方式を採用している。例えば、既知の侵入などの不正行為に関するデータをデータベース化し、受信データと予め記憶された不正アクセスパターンとを比較し、一致の検出時にトラヒックシェービングによって不正アクセスのトラヒックを減少させることができる。
【0009】
また、トラヒックシェーピングにより、不正アクセスに用いられるIPパケットのトラヒックを減少させるのではなく、フィルタリングを行いトラヒックを遮断する技術もある。
【0010】
しかし、このような従来のパケット処理装置では、第1,第2の問題点がある。まず、第1の問題点として、不正アクセスのIPパケットに対して受信したパケット処理装置内でトラヒックシェービング、フィルタリング処理を行うため、パケット処理装置の処理負荷が増大するとともに、不正アクセスのIPパケットが帯域を消費する。そのため、不正アクセスから防護できても、端末間での通信品質の劣化を招きやすかった。
【0011】
また、第2の問題点として、これらのパケット処理装置は、不正アクセスから守りたい装置の直前に配置する必要があり、守りたい装置がネットワーク構成的に点在している場合には、それごとにパケット処理装置を複数配置しなければならない。
【0012】
このような問題を解決する従来技術として、例えば、特許文献1〜5に記載の技術がある。
【0013】
特許文献1においては、複数箇所から同時に連携してDoS(Denial of Services)攻撃を行う分散型サービス不能攻撃(DDoS)を、攻撃を受ける側で効率的に防御する技術として、ネットワーク境界に設けられた通信装置に、自通信装置を通過する通信パケットを監視して分散型サービス不能攻撃を検出して、当該分散型サービス不能攻撃の通信パケットを破棄すると共に、攻撃元に近い上位側の通信装置のアドレスを検索する攻撃元検索モジュールプログラムを実装し、この上位側の防御位置の通信装置に対して前記攻撃元検索モジュールプログラムを送信して、さらに、攻撃元に近い上位側の通信装置の候補中から上位側の防御位置とする通信装置を抽出し、この防御位置の通信装置に対して前記攻撃防御モジュールプログラムを送信することで、DoS攻撃者からのトラヒック全てを通過させないようにする技術が記載されている。
【0014】
特許文献2においては、アドレス不定型DoS攻撃を含むDoS攻撃全般の対策をISP(Internet Service Provider)においても容易に実現することを目的として、送信元側において、通信パケットに対して施した安全性確認の度合いに応じて、通信パケットに異なる種類の安全性識別子を付加し、通信パケットの配送経路上で、当該安全性識別子に応じて優先度制御を行うことにより、より高い安全性確認が行われたパケットを優先的に送信先に接続し、その他のパケットは破棄する技術が記載されている。アドレス不定型DoS攻撃は、十分な安全性確認を行っていないパケットを使って行われるため、このようなパケットは優先度が下げられ、帯域で許可された容量を超えた場合に、攻撃に使われるパケットは破棄され、アドレス不定型DoS攻撃は無効となる。
【0015】
特許文献3においては、複数箇所から同時に連携してDoS(Denial of Services)攻撃を行う分散型サービス不能攻撃(DDoS)を防御する技術として、防御側ネットワークにおいて、当該ネットワークの状況を監視して例えば急激にアクセスが増加することに基づき攻撃対象ホストに対する不正アクセス(DDoS攻撃)を検出すると、不正アクセスを実施するホストに所属する攻撃遮断機器に、当該踏み台ホストに対する通信制御を指示する技術が記載されている。
【0016】
特許文献4においては、他のキャリア(他のプロバイダ)のIPネットワークを介して侵入してきた不正者を、境界個所にて検出することで不正者を高速に(短時間に)特定し、遮断することを目的として、各IPネットワークの境界個所に位置する複数の境界中継装置のそれぞれにおいて、伝送されてきたIPパケットが不正侵入の不正パケットである場合、この不正パケットの再侵入を検出するためのフィルタリング情報に基づいて再侵入を検出すると、当該不正パケットを廃棄し、上記フィルタリング情報を他の境界中継装置に配布する技術が記載されている。
【0017】
特許文献5においては、ファイアウォールやIDSといったセキュリティに係るネットワーク機器を導入することや、導入したネットワーク機器を運用するための知識を獲得するという負担をユーザに強いることなく、インターネットからの攻撃を防御することを目的として、ネットワーク運営者側でユーザの指定(例えば送信元の指定、ポート番号の指定など)に基づいて検査対象のデータを区別し、検査対象と指定されたデータは検査サーバに送り、この検査サーバにおいて、攻撃を行うデータか否かを調査し、調査した結果から攻撃を行わないデータ、および、検査対象と指定されなかったデータだけを選択してネットワーク運営者がユーザに提供する技術が記載されている。
【0018】
【特許文献1】
特開2002−164938号公報
【特許文献2】
特開2002−158699号公報
【特許文献3】
特開2002−158660号公報
【特許文献4】
特開2002−185539号公報
【特許文献5】
特開2002−335246号公報
【0019】
これらの従来技術では、ネットワーク境界において、ユーザに負荷をかけることなく不正アクセス防止のためのサービスを提供することができる。しかし、不正アクセスの検出に時間を要してしまい、情報の転送速度が低下する。
【0020】
【発明が解決しようとする課題】
解決しようとする問題点は、従来の技術では、ネットワーク境界において、ユーザに負荷をかけることなく不正アクセス防止のためのサービスを提供することができるが、不正アクセスの検出に時間を要してしまう点である。
【0021】
発明の目的は、これら従来技術の課題を解決し、通信品質を劣化させることなく不正アクセスの検出サービスを提供可能とすることである。
【0022】
【課題を解決するための手段】
上記目的を達成するため、本発明は、デジタル情報伝達ネットワーク間で転送される情報の内、不正アクセスのための情報を検知する際、まず、デジタル情報伝達ネットワーク間で通常の情報転送処理を行う転送処理装置において、情報を簡易検査して不正アクセスの可能性の有無を高速に検出し、この簡易検査で不正アクセス有りと検出した情報のみを詳細検査装置に転送して、この詳細検査装置において、当該情報を精査して不正アクセスの有無を厳格に検出することを特徴とする。
【0023】
【発明の実施の形態】
以下、本発明の実施の形態を、図面により詳細に説明する。
【0024】
図1は、本発明に係わる不正アクセス制御サービス機能を有するネットワークシステムの構成例を示すブロック図であり、図2は、図1におけるネットワークシステムの第1の処理動作例を示すフローチャート、図3は、図1におけるネットワークシステムの第2の処理動作例を示すフローチャートである。
【0025】
図1において、1は本発明に係わる不正アクセス制御サービス機能を有するネットワークシステムであり、情報転送処理装置2A〜2Dと詳細検査装置3を有し、複数のデジタル情報伝送ネットワーク5A〜5Fを接続し、各デジタル情報伝送ネットワーク5A〜5F間の情報を指定された宛先のデジタル情報伝送ネットワーク5A〜5Fに転送する。
【0026】
情報転送処理装置2A〜2Dと詳細検査装置3のそれぞれは、CPU(Central Processing Unit)や主メモリ、表示装置、入力装置、外部記憶装置等を具備したコンピュータ構成からなり、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、各処理部の機能を実行する。
【0027】
例えば、情報転送処理装置2Aにおいて示すように、情報転送処理装置2A〜2Dのそれぞれは、送受信部21、不正アクセス検知部22、不正アクセス推定部23、転送制御部24、通知部25の各処理機能を有し、詳細検査装置3は、送受信部31、第1〜第3の判断部32〜34、および、不正アクセスデータベース6、情報記録装置4を有している。
【0028】
このような構成により本例のネットワークシステム1は、デジタル情報伝達ネットワーク間で転送される情報の内、不正アクセスのための情報を検知する際、まず、デジタル情報伝達ネットワーク5A〜5F間で通常の情報転送処理を行う転送処理装置2A〜2Dにおいて、情報を簡易検査して不正アクセスの可能性の有無を高速に検出し、この簡易検査で不正アクセス有りと検出した情報のみを詳細検査装置3に転送して、この詳細検査装置3において、当該情報を精査して不正アクセスの有無を厳格に検出する。
【0029】
例えば、転送処理装置2A〜2Dは、送受信部21により、デジタル情報伝達ネットワーク5A〜5F間で通常の情報転送処理を行い、不正アクセス検知部22により、受信した情報の内容に基づき当該情報の送信目的が不正アクセスであるか否かを簡易な処理で高速に特定し、また、不正アクセス推定部23により、受信した情報の送信量、受信間隔、送信元情報、送信先情報、および情報の内容の少なくともいずれか1つに基づき当該情報の送信目的が不正アクセスであるか否かを高速に推定する。
【0030】
そして、不正アクセス検知部22で不正アクセスを検出し、あるいは、不正アクセス推定部23で不正アクセスを推定すると、転送制御部24により、当該情報を詳細検査装置3に転送し、その旨を通知部25により詳細検査装置3に通知する。
【0031】
この際、転送処理装置2A〜2Dは、不正アクセスの可能性有りと検出した情報を含め、全ての情報を一旦、通常通りに指定の宛先のデジタル情報伝達ネットワーク5A〜5F宛に転送し、詳細検査装置3における厳格な不正アクセス検出で不正アクセスが検出された場合に、当該情報の以降の転送処理装置2A〜2Dでの転送を中止する構成、あるいは、転送処理装置2A〜2Dで不正アクセスの可能性有りと検出した情報はその時点で通常転送を中止し、詳細検査装置3における厳格な不正アクセス検出での不正アクセス無しの検出結果を待って、当該情報に対する通常転送を開始する構成とする。
【0032】
詳細検査装置3は、転送処理装置2A〜2Dで不正アクセスの可能性有りと検出した情報を送受信部31で受け取り、この情報に対して、第1〜第3の判断部32〜34において精査し、不正アクセスであるか否かを時間をかけて厳格に判断する。
【0033】
例えば、第1の判断部32においては、不正アクセスデータベース6において保持された過去の不正アクセスに関するデータとの比較に基づき、情報転送処理装置2A〜2Dから転送されてきた情報が不正アクセスであるか否かを判断し、また、第2の判断部33においては、情報転送処理装置2A〜2Dから転送されてきた情報の情報量、類似の情報の転送間隔、送信元および送信先のアドレス情報、送信先の端末の種類の少なくともいずれか1つに基づき当該情報が不正アクセスであるか否かを判断し、そして、第3の判断部34においては、不正アクセスデータベース6において保持された過去の情報の転送履歴と現在の転送状態との差に基づき当該情報が不正アクセスであるか否かを判断する。
【0034】
これらの第1〜第3の判断部32〜34のいずれかにより不正アクセスであると判断した場合、詳細検査装置3は、送受信部31により、その判断結果を情報転送処理装置2A〜2Dに通知する。
【0035】
これらの第1〜第3の判断部32〜34のいずれかにより、不正アクセスでないと判断した場合、詳細検査装置3は、送受信部31により、その判断結果を情報転送処理装置2A〜2Dに通知し、当該情報をネットワークシステム1を経由して、指定された宛先デジタル情報伝達ネットワーク5A〜5Fに転送する。
【0036】
尚、詳細検査装置3は判断結果を必ずしも情報転送処理装置2A〜2Dに通知しなくても良い。また、詳細検査装置3にて不正アクセスでないと判断された情報は、詳細検査装置3が、指定された宛先デジタル情報伝達ネットワークに転送しても良いし、詳細検査装置3から通知を受けた情報転送処理装置2A〜2Dが、指定された宛先デジタル情報伝達ネットワークに転送しても良い。
【0037】
このように、転送処理装置2A〜2Dで不正アクセスの可能性有りと検出した情報、および、詳細検査装置3における厳格な不正アクセス検出で不正アクセスとして検出した情報を、情報記録装置4において記録し、この情報記録装置4は、記録した情報が予め定められた条件を満たす場合に当該情報が不正アクセスであることを予め定められた管理用端末に通知する。
【0038】
本例では、ネットワークシステム1は、情報転送処理装置2Aを介してデジタル情報伝達ネットワーク5A,5Bを、情報転送処理装置2Bを介してデジタル情報伝達ネットワーク5Cを、情報転送処理装置2Cを介してデジタル情報伝達ネットワーク5D,5Eを、情報転送処理装置2Dを介してデジタル情報伝達ネットワーク5Fを接続する。詳細検査装置3は、内部に不正アクセスのデータを保持する不正アクセスデータベース6を具備している。
【0039】
以下、情報転送処理装置2A〜2Dを情報転送処理装置2、デジタル情報伝達ネットワーク5A〜5Fをデジタル情報伝達ネットワーク5として、このような構成におけるネットワークシステム1の処理動作を図2,3を用いて説明する。
【0040】
図2に示すように、情報転送処理装置2は、接続するデジタル情報伝達ネットワーク5から転送する情報を受信し(ステップ201)、受信した情報の宛先情報から転送するべき情報転送処理装置2を決定する。
【0041】
この際、情報転送処理装置2は、受信した情報が不正アクセスであるか否かを判断し(ステップ202)、不正アクセスであると判断した場合、もしくは不正アクセスであると通知を受けている場合(ステップ203)、その情報を廃棄して(ステップ204)、その判断結果を詳細検査装置3に通知する(ステップ205)。
【0042】
また、不正アクセスであると判断しなかった場合には(ステップ203)、不正アクセスの推定処理を行う(ステップ206)。
【0043】
この推定結果で不正アクセスの可能性が無い(ステップ207)と判定された情報は通常の転送処理で指定の宛先に転送するが(ステップ208)、不正アクセスの可能性があるとの推定結果であれば(ステップ207)、当該推定結果を詳細検査装置3に通知して当該情報を転送し(ステップ209)、詳細検査装置3での詳細な不正アクセス検出処理結果を待つ(ステップ210)。
【0044】
この際、当該情報を本来転送するべきデジタル情報伝達ネットワーク5側にある情報転送装置2には転送しないようにしても良いし、本来転送するべき情報転送装置2および詳細検査装置3の両者に転送することでも良い。
【0045】
詳細検査装置3での詳細な不正アクセス検出処理結果が不正アクセスでない場合(ステップ211)、通常の情報転送を継続し(ステップ208)、不正アクセスとの検出結果であれば(ステップ211)、当該情報の本来転送するべきデジタル情報伝達ネットワーク5側にある情報転送装置2への転送を中止する(ステップ213)。
【0046】
詳細検査装置3は、図3に示すように、情報転送処理装置2から転送されてきた情報を受信すると(ステップ301,302)、詳細検査装置3内に持つ不正アクセスデータベース6で保持するデータと、受信した情報、およびその情報の付帯情報とを比較して、受信した情報が不正アクセスであるか否かを判断する(ステップ303)。
【0047】
不正アクセスであると判断した場合は(ステップ304)、関連する情報転送処理装置2と情報記録装置4にその結果を通知し(ステップ305)、受信した情報を情報記録装置4に転送し、情報記録装置4において、当該情報および不正アクセスの判断結果を記録し(ステップ306)、ネットワークシステム管理者が参照可能とする。あるいは、予め設定された条件に従い、管理者に通知する。
【0048】
不正アクセスでないと判断した場合は(ステップ304)、関連する情報転送処理装置2と情報記録装置4にその結果を通知し(ステップ307)、受信した情報を本来転送すべきデジタル情報伝達ネットワーク5に接続する情報転送処理装置2に転送する(ステップ308)。
【0049】
この際、当該情報を転送するのは情報転送処理装置2でも良いし、詳細検査装置3でも良い。詳細検査装置3が当該情報を転送する際は、詳細検査装置3は、判断結果を情報転送処理装置2に通知しても良いし、しなくても良い。
【0050】
以上、図1〜図3を用いて説明したように、本例のネットワークシステム1は、複数のデジタル情報伝達ネットワーク5A〜5Fを相互に接続し、これらのデジタル情報伝達ネットワーク5A〜5F間の情報を、指定された宛先デジタル情報伝達ネットワーク5A〜5Fに転送するものであり、デジタル情報伝達ネットワーク5A〜5Fに対してネットワークシステム1の内部の構造を隠蔽し、ネットワークシステム1とデジタル情報伝達ネットワーク5A〜5Fの境界に位置する情報転送処理装置2A〜2Dにおいて、デジタル情報伝達ネットワーク5A〜5Fから送信された不正アクセスを検知し、不正アクセスと検知した情報を、本来意図された以外の宛先に転送し、その転送先に、詳細に不正アクセスを検査および記録する詳細検査装置3を配備する構成とする。
【0051】
あるいは、情報転送処理装置2A〜2Dにおいては、不正アクセスの兆候を検知し、または不正アクセスの通知を受け、不正アクセスの疑いのあるアクセスを詳細検査装置3に転送し、この詳細検査装置3において、そのアクセスが不正アクセスであるか否かを詳細に検査することで、不正アクセスと正規アクセスを区別し、正規アクセスのみを本来意図された宛先に転送し、不正アクセスを本来意図された宛先に転送しないことで、不正アクセスの大量送信等による正規アクセスの妨害を防止する。尚、詳細検査装置3から不正アクセスの終了通知を受けると、情報転送処理装置2A〜2Dは、以降、詳細検査装置3に転送していた当該アクセス(情報)を本来意図された宛先に転送する。
【0052】
このことにより、本例によれば、デジタル情報伝達ネットワーク5A〜5F間での不正アクセスが発生した場合においても、ネットワークシステム1側で不正アクセスを検知、転送、防御、記録することができ、デジタル情報伝達ネットワーク5A〜5F内で提供されるサービスや正規のアクセスが不正アクセスによって影響を受けることなく、通常通り使用することが可能となる。
【0053】
その際、本例では、ネットワークシステム1での不正アクセス検出行程を2段階に分け、まず、容易な処理で高速な不正アクセス検出を行い、ここで不正アクセスとして検出された情報に対してのみ、より細かい処理で厳格に不正アクセス検出を行う構成とし、正規のアクセスに関しては簡易で高速な不正アクセス検出のみを行うので、正規のアクセスの転送効率が向上し、ネットワークサービスの特性・性能の向上と伝送効率の向上を図ることが可能となる。
【0054】
尚、本発明は、図1〜図3を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、詳細検査装置3内に不正アクセスデータベース6および情報記録装置4を設けた構成としているが、不正アクセスデータベース6および情報記録装置4を詳細検査装置3と個別に設けた構成としても良い。
【0055】
また、本例では、情報転送処理装置2A〜2D内に、不正アクセス検知部22と不正アクセス推定部23の双方を設けた構成としているが、少なくともいずれか1つを有する構成としても良い。また、詳細検査装置3内の第1〜第3の判断部32〜34に関しても同様に、少なくともいずれか1つを設けた構成としても良い。
【0056】
また、本例のコンピュータ構成例としては、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
【0057】
【発明の効果】
本発明によれば、デジタル情報伝達ネットワーク間での不正アクセスが発生した場合においてもネットワークシステム側で不正アクセスを検知、転送、防御、記録することにより、デジタル情報伝達ネットワーク内で提供されるサービスや正規のアクセスが不正アクセスによって影響を受けることなく、通常通り使用することが可能となり、さらに、正規のアクセスに関しては簡易で高速な不正アクセス検出のみを行うので、正規のアクセスの転送効率が向上し、ネットワークサービスの特性・性能の向上と伝送効率の向上を図ることが可能となり、不正アクセスから防護すると同時に、通信品質の劣化をなくすことが可能である。
【図面の簡単な説明】
【図1】本発明に係わる不正アクセス制御サービス機能を有するネットワークシステムの構成例を示すブロック図である。
【図2】図1におけるネットワークシステムの第1の処理動作例を示すフローチャートである。
【図3】図1におけるネットワークシステムの第2の処理動作例を示すフローチャートである。
【符号の説明】
1:ネットワークシステム、2A〜2D:情報転送処理装置、3:詳細検査装置、4:情報記録装置、5A〜5F:デジタル情報伝達ネットワーク、6:不正アクセスデータベース、21:送受信部、22:不正アクセス検知部、23:不正アクセス推定部、24:転送制御部、25:通知部、31:送受信部、32〜34:第1〜第3の判断部。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a network system technology that provides a wide area network service by connecting a plurality of digital information transmission networks, and more particularly to improve security by efficiently monitoring and preventing unauthorized access between digital networks. The present invention relates to a suitable network system.
[0002]
[Prior art]
With the spread of public IP (Internet Protocol) networks such as the Internet, threats such as unauthorized eavesdropping, destruction, and tampering of data due to unauthorized access via the network always exist, and an abnormal load is imposed on the network and servers. Threats such as attacks that make network devices or server systems virtually inoperable are rapidly increasing.
[0003]
In order to deal with these threats, an access control technique for controlling communication according to the contents of data flowing through the network or the user authority of the transmission source is generally employed.
[0004]
This control technology is generally realized by implementing a function known as a firewall in a packet processing device such as a router. This packet processing device is connected to an external network such as the Internet and an internal network such as an intranet. It is installed at the boundary of the network and performs access control that allows only the minimum necessary communication according to the security policy.
[0005]
The firewall functions for performing access control include an access control function at the IP level by IP filtering, an access control function for each TCP port at the TCP (Transport Control Protocol) level, and access control according to the contents of communication. Broadly divided into access control functions at the application level.
[0006]
In a communication system having these functions, communication access can be controlled according to the type, content, and direction of communication. In addition, the security design based on the security policy determines the access control method, defines various parameters for access control, and further sets the parameters in the packet processing device that has a firewall function. Network operation can be performed.
[0007]
However, with the firewall function described above, it is difficult to completely prevent unauthorized access such as unauthorized intrusion using this passable communication service because communication through the security policy is allowed to pass through the network. is there. In order to compensate for this problem, a security monitoring device that is generally known as IDS (Intrusion Detection System) and is used to detect unauthorized intrusions is employed.
[0008]
This monitoring apparatus employs a method of monitoring all communication data flowing through the firewall function and constantly monitoring the presence or absence of unauthorized communication. For example, it is possible to create a database of data related to illegal activities such as known intrusions, compare received data with previously stored illegal access patterns, and reduce traffic of unauthorized access by traffic shaving when a match is detected.
[0009]
In addition, there is a technique for blocking traffic by filtering instead of reducing traffic of IP packets used for unauthorized access by traffic shaping.
[0010]
However, such a conventional packet processing apparatus has the first and second problems. First, as a first problem, traffic shaving and filtering processing is performed in the received packet processing device for an illegally accessed IP packet, so that the processing load of the packet processing device increases and the illegally accessed IP packet Consume bandwidth. For this reason, even if it was possible to protect against unauthorized access, communication quality between terminals was likely to deteriorate.
[0011]
In addition, as a second problem, these packet processing devices need to be arranged immediately before the device that is to be protected from unauthorized access. A plurality of packet processing devices must be arranged in the network.
[0012]
As conventional techniques for solving such a problem, there are techniques described in
[0013]
In
[0014]
In Patent Document 2, the security provided to the communication packet on the transmission side for the purpose of easily realizing countermeasures for the DoS attack including the indefinite address type DoS attack even in ISP (Internet Service Provider). Depending on the degree of confirmation, a different type of safety identifier is added to the communication packet, and priority control is performed according to the safety identifier on the delivery route of the communication packet, thereby achieving higher safety confirmation. A technique is described in which a broken packet is preferentially connected to a destination and other packets are discarded. Since address-indefinite DoS attacks are performed using packets that have not been fully secured, such packets are used for attacks when the priority is lowered and the bandwidth exceeds the capacity allowed. The received packet is discarded, and the indefinite address DoS attack becomes invalid.
[0015]
In
[0016]
In
[0017]
Patent Document 5 protects against attacks from the Internet without forcing the user to introduce security-related network devices such as firewalls and IDS and to acquire knowledge for operating the introduced network devices. For this purpose, the network operator distinguishes the data to be inspected based on the user's specification (for example, specification of the transmission source, specification of the port number, etc.), and the data specified as the inspection target is sent to the inspection server, This inspection server investigates whether or not the data is an attack, and the network operator provides to the user by selecting only the data that does not attack and the data that is not designated as the inspection target from the survey results Is described.
[0018]
[Patent Document 1]
JP 2002-164938 A [Patent Document 2]
JP 2002-158699 A [Patent Document 3]
JP 2002-158660 A [Patent Document 4]
JP 2002-185539 A [Patent Document 5]
Japanese Patent Laid-Open No. 2002-335246
These conventional techniques can provide a service for preventing unauthorized access at the network boundary without imposing a load on the user. However, it takes time to detect unauthorized access, and the information transfer speed decreases.
[0020]
[Problems to be solved by the invention]
The problem to be solved is that the conventional technology can provide a service for preventing unauthorized access without imposing a load on the user at the network boundary, but it takes time to detect unauthorized access. Is a point.
[0021]
An object of the present invention is to solve these problems of the prior art and to provide an unauthorized access detection service without deteriorating communication quality.
[0022]
[Means for Solving the Problems]
In order to achieve the above object, the present invention first performs a normal information transfer process between digital information transmission networks when detecting information for unauthorized access among the information transferred between digital information transmission networks. In the transfer processing device, the information is simply inspected to detect the possibility of unauthorized access at high speed, and only the information detected as having unauthorized access in this simple inspection is transferred to the detailed inspection device. The information is scrutinized to strictly detect the presence or absence of unauthorized access.
[0023]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[0024]
FIG. 1 is a block diagram showing a configuration example of a network system having an unauthorized access control service function according to the present invention, FIG. 2 is a flowchart showing a first processing operation example of the network system in FIG. 1, and FIG. FIG. 5 is a flowchart showing a second processing operation example of the network system in FIG. 1. FIG.
[0025]
In FIG. 1,
[0026]
Each of the information
[0027]
For example, as shown in the information
[0028]
With such a configuration, when the
[0029]
For example, the
[0030]
When the unauthorized
[0031]
At this time, the
[0032]
The
[0033]
For example, the
[0034]
When any of these first to
[0035]
When any of these first to
[0036]
The
[0037]
As described above, the
[0038]
In this example, the
[0039]
Hereinafter, the information
[0040]
As shown in FIG. 2, the information transfer processing device 2 receives information to be transferred from the connected digital information transmission network 5 (step 201), and determines the information transfer processing device 2 to be transferred from the destination information of the received information. To do.
[0041]
At this time, the information transfer processing device 2 determines whether or not the received information is unauthorized access (step 202), and when it is determined that it is unauthorized access or when it is notified that it is unauthorized access (Step 203), the information is discarded (Step 204), and the determination result is notified to the detailed inspection apparatus 3 (Step 205).
[0042]
If it is not determined that the access is unauthorized (step 203), an unauthorized access estimation process is performed (step 206).
[0043]
Information determined that there is no possibility of unauthorized access in this estimation result (step 207) is transferred to a specified destination by normal transfer processing (step 208), but the estimation result that there is a possibility of unauthorized access is obtained. If there is (step 207), the
[0044]
At this time, the information may not be transferred to the information transfer device 2 on the side of the digital information transfer network 5 to which the information is to be transferred, or may be transferred to both the information transfer device 2 and the
[0045]
If the detailed unauthorized access detection processing result in the
[0046]
As shown in FIG. 3, when the
[0047]
If it is determined that the access is unauthorized (step 304), the related information transfer processing device 2 and the
[0048]
If it is determined that the access is not unauthorized (step 304), the related information transfer processing device 2 and the
[0049]
At this time, the information transfer processing device 2 or the
[0050]
As described above with reference to FIGS. 1 to 3, the
[0051]
Alternatively, in the information
[0052]
Thus, according to this example, even when an unauthorized access occurs between the digital
[0053]
In this case, in this example, the unauthorized access detection process in the
[0054]
In addition, this invention is not limited to the example demonstrated using FIGS. 1-3, In the range which does not deviate from the summary, various changes are possible. For example, in this example, the
[0055]
In this example, both the unauthorized
[0056]
Further, as a computer configuration example of this example, a computer configuration without a keyboard or an optical disk drive device may be used. In this example, an optical disk is used as a recording medium. However, an FD (Flexible Disk) or the like may be used as a recording medium. As for the program installation, the program may be downloaded and installed via a network via a communication device.
[0057]
【The invention's effect】
According to the present invention, even when unauthorized access occurs between digital information transmission networks, the network system detects, transfers, defends, and records unauthorized access on the digital information transmission network. Regular access can be used as normal without being affected by unauthorized access. In addition, regular access only performs simple and high-speed unauthorized access detection, improving the transfer efficiency of regular access. Therefore, it is possible to improve the characteristics and performance of network services and improve transmission efficiency, thereby protecting against unauthorized access and at the same time eliminating deterioration in communication quality.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration example of a network system having an unauthorized access control service function according to the present invention.
FIG. 2 is a flowchart showing a first processing operation example of the network system in FIG. 1;
FIG. 3 is a flowchart showing a second processing operation example of the network system in FIG. 1;
[Explanation of symbols]
1: Network system, 2A-2D: Information transfer processing device, 3: Detailed inspection device, 4: Information recording device, 5A-5F: Digital information transmission network, 6: Unauthorized access database, 21: Transmitter / receiver, 22: Unauthorized access Detection unit, 23: Unauthorized access estimation unit, 24: Transfer control unit, 25: Notification unit, 31: Transmission / reception unit, 32-34: First to third determination units.
Claims (10)
上記情報を精査して不正アクセスの検知を行う詳細検査手段と、
上記デジタル情報伝達ネットワーク間の情報を、該情報の送信先情報で指定されたデジタル情報伝達ネットワーク宛に転送する際、受信した情報を簡易検査して不正アクセスであるか否か、および、不正アクセスの可能性の有無を判別し、不正アクセスではないと判別した情報は指定されたデジタル情報伝達ネットワーク宛に転送し、不正アクセスであると判別した情報は廃棄し、不正アクセスの可能性有りと判別した情報は、指定されたデジタル情報伝達ネットワーク宛に転送すると共に、上記詳細検査手段に転送する転送処理手段とを有し、
上記詳細検査手段で不正アクセスを検知すると上記転送処理手段による当該情報の指定デジタル情報伝達ネットワーク宛への転送を中止することを特徴とするネットワークシステム。Connecting a plurality of digital information transmission network, the information between any digital information transmission network, a network system for transferring a digital information transmission network for the destination specified in the destination information of the information,
Detailed inspection means that scrutinize the above information and detect unauthorized access;
When transferring information between the digital information transmission networks to the digital information transmission network designated by the destination information of the information, whether the received information is illegally accessed by simple inspection , and unauthorized access The information that is determined not to be unauthorized access is transferred to the specified digital information transmission network, and the information that is determined to be unauthorized access is discarded, and the possibility of unauthorized access is determined. The information is transferred to the designated digital information transmission network , and has a transfer processing means for transferring to the detailed inspection means,
A network system characterized in that when an unauthorized access is detected by the detailed inspection means, the transfer processing means stops transferring the information to a designated digital information transmission network.
上記情報を精査して不正アクセスの検知を行う詳細検査手段と、
上記デジタル情報伝達ネットワーク間の情報を、該情報の送信先情報で指定されたデジタル情報伝達ネットワーク宛に転送する際、受信した情報を簡易検査して不正アクセスであるか否か、および、不正アクセスの可能性の有無を判別し、不正アクセスではないと判別した情報は指定されたデジタル情報伝達ネットワーク宛に転送し、不正アクセスであると判別した情報は廃棄し、不正アクセスの可能性有りと判別した情報は上記詳細検査手段に転送する転送処理手段とを有し、
上記詳細検査手段は、不正アクセスを検知しなければ当該情報を指定デジタル情報伝達ネットワーク宛に転送することを特徴とするネットワークシステム。Connecting a plurality of digital information transmission network, the information between any digital information transmission network, a network system for transferring a digital information transmission network for the destination specified in the destination information of the information,
Detailed inspection means that scrutinize the above information and detect unauthorized access;
When transferring information between the digital information transmission networks to the digital information transmission network designated by the destination information of the information, whether the received information is illegally accessed by simple inspection , and unauthorized access The information that is determined not to be unauthorized access is transferred to the specified digital information transmission network, and the information that is determined to be unauthorized access is discarded, and the possibility of unauthorized access is determined. And the transfer processing means for transferring the information to the detailed inspection means,
The detailed inspection means, a network system, characterized by transferring those the information necessary to detect unauthorized access to the designated digital information transmission network addressed.
上記転送処理手段は、他の転送処理手段からの情報に対しては、全て指定されたデジタル情報伝達ネットワーク宛に転送すると共に、上記簡易検査による不正アクセス有無の判別と上記詳細検査手段への情報転送を行い、該詳細検査手段で不正アクセスを検知すると上記転送処理手段による当該情報の指定デジタル情報伝達ネットワーク宛への転送を中止することを特徴とするネットワークシステム。The network system according to claim 1 or claim 2,
The transfer processing means transfers all the information from the other transfer processing means to the designated digital information transmission network, and determines whether there is unauthorized access by the simple inspection and information to the detailed inspection means. A network system characterized by performing transfer and stopping transfer of the information to a designated digital information transmission network by the transfer processing means when the detailed inspection means detects unauthorized access.
上記転送処理手段で不正アクセスの可能性有りと判別した情報および上記詳細検査手段で不正アクセスと検知した情報を記録すると共に、記録した情報が予め定められた条件を満たす場合に当該情報が不正アクセスであることを予め定められた管理用端末に通知する情報記録手段を有することを特徴とするネットワークシステム。The network system according to any one of claims 1 to 3,
The information that the transfer processing means has determined that there is a possibility of unauthorized access and the information that is detected as unauthorized access by the detailed inspection means are recorded, and if the recorded information satisfies a predetermined condition, the information is illegally accessed. A network system comprising information recording means for notifying a predetermined management terminal of the fact.
上記転送処理手段は、
受信した情報の内容に基づき当該情報の送信目的が不正アクセスであるか否かを特定する検知手段と、
受信した情報の送信量、受信間隔、送信元情報、送信先情報、および情報の内容の少なくともいずれか1つに基づき当該情報の送信目的が不正アクセスであると推定する推定手段の少なくともいずれか1つを有することを特徴とするネットワークシステム。A network system according to any one of claims 1 to 4, wherein
The transfer processing means includes
Detection means for identifying whether or not the purpose of transmitting the information is unauthorized access based on the content of the received information;
At least one of estimation means for estimating that the transmission purpose of the information is unauthorized access based on at least one of the transmission amount, reception interval, transmission source information, transmission destination information, and information content of the received information A network system characterized by having one.
上記詳細検査手段は、
過去の不正アクセスに関するデータを保持し、当該データとの比較に基づき上記転送処理手段から転送されてきた情報が不正アクセスであるか否かを判断する第1の判断手段と、
上記転送処理手段から転送されてきた情報の情報量、類似の情報の転送間隔、送信元および送信先のアドレス情報、送信先の端末の種類の少なくともいずれか1つに基づき当該情報が不正アクセスであるか否かを判断する第2の判断手段と、過去の情報の転送履歴を保持し、保持した転送履歴と現在の転送状態との差に基づき上記転送処理手段から転送されてきた情報が不正アクセスであるか否かを判断する第3の判断手段の少なくともいずれか1つ
を有することを特徴とするネットワークシステム。A network system according to any one of claims 1 to 5,
The detailed inspection means is
First determination means for holding data relating to past unauthorized access and determining whether the information transferred from the transfer processing means is unauthorized access based on comparison with the data;
The information can be illegally accessed based on at least one of the amount of information transferred from the transfer processing means, the transfer interval of similar information, the source and destination address information, and the type of the destination terminal. A second determination means for determining whether or not there is a transfer history of past information, and the information transferred from the transfer processing means based on the difference between the stored transfer history and the current transfer state is illegal at least one of the third determination means for determining whether the access
Network system, comprising a.
上記詳細検査手段は、
過去の不正アクセスに関するデータを保持し、当該データとの比較に基づき上記転送処理手段から転送されてきた情報が不正アクセスであるか否かを判断する第1の判断手段と、
上記転送処理手段から転送されてきた情報の情報量、類似の情報の転送間隔、送信元および送信先のアドレス情報、送信先の端末の種類の少なくともいずれか1つに基づき当該情報が不正アクセスであるか否かを判断する第2の判断手段と、過去の情報の転送履歴を保持し、保持した転送履歴と現在の転送状態との差に基づき上記転送処理手段から転送されてきた情報が不正アクセスであるか否かを判断する第3の判断手段の少なくともいずれか1つと、
上記第1から第3の判断手段の少なくともいずれか1つが、もしくは、各々の組み合わせにより不正アクセスでないと判断した場合に、当該情報をネットワークシステムを経由して指定された宛先デジタル情報伝達ネットワークに転送する手段と
を有することを特徴とするネットワークシステム。The network system according to claim 2 ,
The detailed inspection means is
First determination means for holding data relating to past unauthorized access and determining whether the information transferred from the transfer processing means is unauthorized access based on comparison with the data;
The information can be illegally accessed based on at least one of the amount of information transferred from the transfer processing means, the transfer interval of similar information, the source and destination address information, and the type of the destination terminal. A second determination means for determining whether or not there is a transfer history of past information, and the information transferred from the transfer processing means based on the difference between the stored transfer history and the current transfer state is illegal At least one of third determination means for determining whether or not access; and
The at least one one of the first to third determination means, or, if it is judged not to be the illegal access by each combination, the destination digital information transmission network to a specified person 該情 report via the network system And a network system.
上記デジタル情報伝達ネットワークからの情報を簡易検査して不正アクセスの有無および不正アクセスの可能性の有無を高速に検出するステップと、
上記簡易検査で不正アクセスを検出すると、当該情報を廃棄するステップと、
上記簡易検査で不正アクセスの可能性有を検出すると、当該情報を指定されたデジタル情報伝達ネットワーク宛に転送すると共に、当該情報を精査して不正アクセスの有無を厳格に検出するステップと、
上記精査により不正アクセスを検出すると当該情報の上記指定されたデジタル情報伝達ネットワーク宛への転送を中止するステップと、
を有することを特徴とする不正アクセス制御方法。Connecting a plurality of digital information transmission network, the information between any digital information transmission network, a fraudulent access control method in a network for transferring a digital information transmission network for the destination specified in the destination information of the information,
A step of simply inspecting information from the digital information transmission network to detect the presence of unauthorized access and the possibility of unauthorized access at a high speed;
If unauthorized access is detected in the simple inspection, discarding the information ;
When the possibility of unauthorized access is detected by the simple inspection, the information is forwarded to the designated digital information transmission network, and the information is scrutinized to strictly detect the presence or absence of unauthorized access ;
Stopping unauthorized transfer of the information to the designated digital information transmission network upon detecting unauthorized access by the scrutiny;
An unauthorized access control method comprising:
上記デジタル情報伝達ネットワークからの情報を簡易検査して不正アクセスの有無および不正アクセスの可能性の有無を判別するステップと、
不正アクセス無しおよび不正アクセスの可能性無しと判別した情報を指定された宛先デジタル情報伝達ネットワークに転送するステップと、
不正アクセスと判別した情報を廃棄するステップと、
不正アクセスの可能性有りと判別した情報を所定のアドレス宛に転送するステップと、
上記所定のアドレスに設けられた情報検査手段で上記不正アクセスの可能性有りと判別した情報を受信し該情報を精査して不正アクセスの有無を判別するステップと、
上記詳細検査手段の精査で不正アクセスを検知しなければ当該情報を上記詳細検査手段か ら指定デジタル情報伝達ネットワーク宛に転送するステップと
を有することを特徴とする不正アクセス制御方法。Connecting a plurality of digital information transmission network, the information between any digital information transmission network, a fraudulent access control method in a network for transferring a digital information transmission network for the destination specified in the destination information of the information,
A step of simply inspecting information from the digital information transmission network to determine the presence of unauthorized access and the possibility of unauthorized access ;
Transferring the information determined to have no unauthorized access and the possibility of unauthorized access to a designated destination digital information transmission network;
Discarding information determined to be unauthorized access;
Transferring the information determined to have the possibility of unauthorized access to a predetermined address;
A step of determining the presence or absence of unauthorized access by receiving the information determines that there is a possibility of the unauthorized access information checking means provided in the predetermined address reviewing the information,
Unauthorized access control method characterized by having a <br/> step of transferring unless the information to detect the unauthorized access to the detailed inspection means or we specify digital information transmission network addressed by review of the detailed inspection means.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003165918A JP3966231B2 (en) | 2003-06-11 | 2003-06-11 | Network system, unauthorized access control method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003165918A JP3966231B2 (en) | 2003-06-11 | 2003-06-11 | Network system, unauthorized access control method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005005927A JP2005005927A (en) | 2005-01-06 |
JP3966231B2 true JP3966231B2 (en) | 2007-08-29 |
Family
ID=34092219
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003165918A Expired - Fee Related JP3966231B2 (en) | 2003-06-11 | 2003-06-11 | Network system, unauthorized access control method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3966231B2 (en) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2006043327A1 (en) * | 2004-10-22 | 2008-05-22 | 三菱電機株式会社 | Relay device and network system |
US8060285B2 (en) * | 2006-04-26 | 2011-11-15 | Toyota Motor Engineering & Manufacturing North America, Inc. | System and method of intelligent agent management using an overseer agent for use in vehicle diagnostics |
JP4615504B2 (en) * | 2006-11-29 | 2011-01-19 | アラクサラネットワークス株式会社 | Network relay system and method in network relay system |
JP4992780B2 (en) * | 2008-03-21 | 2012-08-08 | 富士通株式会社 | Communication monitoring device, communication monitoring program, and communication monitoring method |
JP4905395B2 (en) * | 2008-03-21 | 2012-03-28 | 富士通株式会社 | Communication monitoring device, communication monitoring program, and communication monitoring method |
JP5500171B2 (en) * | 2008-10-06 | 2014-05-21 | 日本電気株式会社 | Protecting unsolicited communications against internet protocol multimedia subsystems |
JP5703111B2 (en) * | 2011-04-25 | 2015-04-15 | 株式会社日立製作所 | Communication system and apparatus |
US9088508B1 (en) * | 2014-04-11 | 2015-07-21 | Level 3 Communications, Llc | Incremental application of resources to network traffic flows based on heuristics and business policies |
US10476901B2 (en) | 2014-06-18 | 2019-11-12 | Nippon Telegraph And Telephone Corporation | Network system, control apparatus, communication apparatus, communication control method, and communication control program |
EP3192703B1 (en) | 2014-09-12 | 2019-01-30 | Panasonic Intellectual Property Corporation of America | Vehicle communication device, in-vehicle network system, and vehicle communication method |
-
2003
- 2003-06-11 JP JP2003165918A patent/JP3966231B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005005927A (en) | 2005-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4480422B2 (en) | Unauthorized access prevention method, apparatus, system, and program | |
US9094372B2 (en) | Multi-method gateway-based network security systems and methods | |
US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
KR101045362B1 (en) | Active network defense system and method | |
EP2095604B1 (en) | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis | |
US7039950B2 (en) | System and method for network quality of service protection on security breach detection | |
US7889735B2 (en) | Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs | |
US20060095970A1 (en) | Defending against worm or virus attacks on networks | |
JP2006243878A (en) | Unauthorized access detection system | |
JP2000261483A (en) | Network monitoring system | |
EP1804446B1 (en) | Denial-of-service attack protecting system, method, and program | |
JP2004302538A (en) | Network security system and network security management method | |
JP3966231B2 (en) | Network system, unauthorized access control method and program | |
EP1742438A1 (en) | Network device for secure packet dispatching via port isolation | |
WO2003050644A2 (en) | Protecting against malicious traffic | |
JP4278593B2 (en) | Protection method against application denial of service attack and edge router | |
JP4284248B2 (en) | Application service rejection attack prevention method, system, and program | |
KR101006372B1 (en) | System and method for sifting out the malicious traffic | |
CA2469885C (en) | Protecting against malicious traffic | |
Singh | Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis | |
JP2005134972A (en) | Firewall device | |
JP2004140618A (en) | Packet filter device and illegal access detection device | |
WO2005065023A2 (en) | Internal network security | |
JP4084317B2 (en) | Worm detection method | |
KR100862321B1 (en) | Method and apparatus for detecting and blocking network attack without attack signature |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050712 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070202 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070213 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070413 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070508 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070521 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100608 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110608 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120608 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130608 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |