JP4201263B2 - 侵入検知システムおよび記録媒体 - Google Patents

侵入検知システムおよび記録媒体 Download PDF

Info

Publication number
JP4201263B2
JP4201263B2 JP2003366420A JP2003366420A JP4201263B2 JP 4201263 B2 JP4201263 B2 JP 4201263B2 JP 2003366420 A JP2003366420 A JP 2003366420A JP 2003366420 A JP2003366420 A JP 2003366420A JP 4201263 B2 JP4201263 B2 JP 4201263B2
Authority
JP
Japan
Prior art keywords
intrusion detection
detection device
signature
network
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003366420A
Other languages
English (en)
Other versions
JP2005130399A (ja
Inventor
孝雄 倉橋
久 茨木
享邦 西田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003366420A priority Critical patent/JP4201263B2/ja
Publication of JP2005130399A publication Critical patent/JP2005130399A/ja
Application granted granted Critical
Publication of JP4201263B2 publication Critical patent/JP4201263B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、外部ネットワークからの不正なアクセスを防止する装置および方法に係り、特に、下位侵入検知装置の連係動作機能を用いることによって、外部ネットワークからの不正なアクセスを防止する侵入検知システム、侵入検知方法および記録媒体に関する。
図7は、従来の下位侵入検知装置500を示す図である。
従来の下位侵入検知装置500は、インターネットや外部で構築された外部ネットワーク10と、侵入検知装置70と、監視対象である内部ネットワーク80とを有する。
侵入検知装置70は、外部ネットワーク10から内部ネットワーク80への通信、内部ネットワーク80から外部ネットワーク10への通信、内部ネットワーク80同士の通信を監視することが可能な位置に設置されている侵入検知装置である。
上記従来の侵入検知システム500において、外部ネットワーク10と、監視対象である内部ネットワーク80との間に、侵入検知装置70が単体で設置され、管理者があらゆる外部からの不正な攻撃を検知し、管理者の過去の経験等に基づいて、誤検知であるか、不正アクセスであるかを見極める(たとえば、特許文献1参照)。
さらに、侵入検知装置70は、シグネチャという攻撃パターンと、監視対象ネットワークである内部ネットワーク80上に流れるパケットとを、1つ1つ照らし合わせることによって、不正アクセスであるか否かを監視する。
つまり、従来の侵入検知システム500において、侵入検知装置70は、シグネチャ(ネットワーク上で過去に行われた犯罪を分析し、攻撃や不正なアクセスと見なせる要素を抽出した攻撃パターン)と、監視対象とするネットワーク上に流れてきた通信パケットとを照らし合わせ、不正な通信であるか否かを判断する。
侵入検知装置70には、上記シグネチャが、侵入検知装置70内のデータベース上に複数個存在する。侵入検知装置70は、シグネチャデータベース内のシグネチャと、1つ1つの通信パケットとを順番に照らし合わせ、通信パケットとデータベース内のシグネチャの1つとが一致した場合、そのネットワーク上を流れてきた通信パケットを不正な通信と見なす。
特開2002−328896号公報
上記従来例において、侵入検知装置70に接続されている内部ネットワーク80が攻撃を受けると、内部ネットワーク80から外部に対して、2次被害となる攻撃をすることがある。この内部から外部に対する防御手段を、侵入検知装置70が持っていないという問題がある。
つまり、上記従来例は、外部ネットワークからの不正な通信を監視するネットワークにおいて、2次被害を受けるという問題がある。
本発明は、外部ネットワークからの不正な通信を監視するネットワークにおいて、2次被害を受けない侵入検知システム、侵入検知方法および記録媒体を提供することを目的とするものである。
本発明は、上位ネットワークと複数の下位ネットワークとで構成されるネットワークに接続され、外部ネットワークからの不正な通信を監視する侵入検知システムであって、上記外部ネットワークと上記上位ネットワークとの間に設けられる上位侵入検知装置と、上記上位ネットワークとそれぞれの下位ネットワークとの間に設けられる複数の下位侵入検知装置とで構成され、
上記上位侵入検知装置は、所定の下位侵入検知装置から、攻撃による障害を起こした場合に得たデータと攻撃を検知したときに使用したシグネチャとを受け取る手段と、上記受け取ったデータとシグネチャとを、上記所定の下位侵入検知装置を除く上記下位侵入検知装置に知らせる手段とを備え、
上記下位侵入検知装置は、シグネチャを下位侵入検知装置間で分割して保持する手段と、攻撃による障害を起こした場合に得たデータと、上記攻撃を検知したときに使用したシグネチャとを、上記上位侵入検知装置に知らせる手段と、他の下位侵入検知装置で攻撃による障害を起こした場合のデータとシグネチャとを、上記上位侵入検知装置から受け取り、受け取ったシグネチャを上記保持する手段に登録する手段とを備えることを特徴とする侵入検知システムである
本発明によれば、外部ネットワークからの不正な通信を監視するネットワークにおいて、2次被害を受けないという効果を奏する。
発明を実施するための最良の形態は、以下の実施例である。
図1は、本発明の実施例1である侵入検知システム100を示す図である。
侵入検知システム100は、外部ネットワーク10と、上位侵入検知装置20と、上位ネットワーク30と、下位侵入検知装置41、42、43と、下位ネットワーク(監視対象ネットワーク)51、52、53とを有する。
上位侵入検知装置20は、外部ネットワーク10と上位ネットワーク30との間に設けられている上位侵入検知装置であり、所定の上記下位侵入検知装置(たとえば、下位侵入検知装置42)が障害を起こした場合、下位侵入検知装置42以外の下位侵入検知装置41、43に、上記障害が起こったことを知らせ、すなわち、上記障害が起こった場合に得たデータと、上記攻撃を検知したときに使用したシグネチャとを知らせ、上記データと上記シグネチャとを知った上記下位侵入検知装置が、攻撃に対して事前の対策を練る。
つまり、上位侵入検知装置20は、下位侵入検知装置が検知を行い、下位ネットワークを利用できなくなったときに、シグネチャを補完する機能をもつ侵入検知装置である。
下位侵入検知装置41、42、43は、上位ネットワーク20と下位ネットワーク51、52、53との間に設けられている侵入検知装置であって、不正な通信によって、下位侵入検知装置41、42、43が故障または攻撃による障害を起こしたことを検知し、上記故障または攻撃による障害を起こしたことを、上位侵入検知装置20に知らせる侵入検知装置である。
下位ネットワーク51、52、53は、それぞれ、下位侵入検知装置41、42、43の監視対象となる下位ネットワークである。
図2は、侵入検知システム100における下位侵入検知装置41、42、43、44、45の挙動を説明する図である。
図3は、シグネチャと呼ばれる攻撃を検知するための材料を記述したデータを示す図である。
シグネチャが全部で50個あるとすると、下位侵入検知装置41、42、43、44、45は、それぞれ、データベースDB1、DB2、DB3、DB4、DB5を有する。
侵入検知システム100では、50個のシグネチャを、下位侵入検知装置41、42、43、44、45のそれぞれの内部に設けられているデータベースDB1、DB2、DB3、DB4、DB5に分割して格納する。
侵入検知システム100において、5個の下位侵入検知装置41〜45のそれぞれに、10個ずつシグネチャを格納している。下位侵入検知装置41〜45の上位ネットワーク上に存在する上位侵入検知装置20の内部に、それぞれ設けられているデータベース21は、下位侵入検知装置41〜45の指示によって、侵入検知の代理を行う。
たとえば、シグネチャSG11〜SG20を格納した下位侵入検知装置42が攻撃された場合、攻撃された影響から、下位侵入検知装置42をネットワーク上から切り離す。
上位ネットワーク上に存在する上位侵入検知装置20の内部に設けられているデータベース2は、データベースDB3の指示によって、他の下位侵入検知装置に対してシグネチャを配布するものとする。
図4は、実施例1において、侵入検知を行った後に、他の下位侵入検知装置へ配布する手順を示すフローチャートである。
たとえば、図2に示す侵入検知システム100において、シグネチャSG11〜20を格納した下位侵入検知装置42が攻撃され、この攻撃に対して検知を行い、シグネチャSG15が検知できたとする。この場合、下位侵入検知装置42は、上位ネットワーク30上に設けられている上位侵入検知装置20に、検知したという検知情報と検知したシグネチャとを、通知し、この通知された検知情報と検知したシグネチャとを、上位侵入検知装置20内のデータベース21に格納する。上位侵入検知装置20は、下位侵入検知装置42が検知した情報をログ22として取ると同時に、シグネチャ18をデータベース21に格納する。このデータベース格納と同時に、上位侵入検知装置20は、他の下位侵入検知装置41、43、44、45に、最新検知情報として通知する。
他の下位侵入検知装置41、43、44、45は、最新のシグネチャが自らのデータベースに格納されていることを確認し、もし格納されていなければ、上位侵入検知装置20からシグネチャを取得し、各下位侵入検知装置内のデータベースヘ登録する。
また、各下位侵入検知装置内のデータベースにおいて格納スペースが存在しない場合は、図5に示すデータベース構造を利用して、古いシグネチャを削除することによって、格納スペースを作成する。
格納されるシグネチャを、3つのカテゴリ(区画)に分類する。
図5は、上記実施例におけるシグネチャデータベースDB1の構成を示す図である。
なお、シグネチャデータベースDB2〜DB5は、シグネチャデータベースDB1と同様である。
シグネチャデータベースDB1は、IS(Indispensable Signature)61と、NS(New Signature)62と、OS(Old Signature)63という3つの区画を有する。
IS(Indispensable Signature)61は、管理者権限を取得する攻撃や、ネットワーク機器としてその攻撃の被害に合うと致命的になる攻撃に対するシグネチャを格納する区画である。
NS(New Signature)62は、上記ネットワーク30上に接続されている下位侵入検知装置41〜45が検知した最新のシグネチャを格納する区画である。このように、最新のシグネチャを随時更新することによって、2次被害を未然に防ぐことができる。
OS(Old Signature)63は、侵入検知システム100の処理能力で可能なシグネチャ数から、IS61のシグネチャ数とNS62のシグネチャ数とを引いた数だけ、シグネチャを取得し、格納する区画である。つまり、OS63は、NS62の中で一番古いものを格納する区画である。
各区画61、62、63は、侵入検知システム100の処理能力によって格納できるシグネチヤの数を変更することができる。ただし、格納できるシグネチャの数を決定できる優先度は、IS61が最も高く、OS63が最も低い。
たとえば、侵入検知システム100の処理能力として、シグネチャを全部で100個、格納することができ、管理者権限等に対する攻撃等の必ず検知しなければならない必須のシグネチャが30個であるとすると、IS61は、必須のシグネチャであるので、30個を格納する。現在ネットワーク上で攻撃を受けている流行の攻撃が、10種類ある場合、最新シグネチャが10個、格納され、OS63には、残りの60個のシグネチャを格納する。
ただし、必須のシグネチャが増加すれば、これを優先し、追加する。この場合、OS63の格納領域を減少させる。
次に、侵入検知システム100、全体機能として、低リソース(シグネチャを少なく抑えた状態)で、相互間の通信によって状況に応じて行うセキュリティ対策について説明する。
図6は、侵入検知システム100において、全体機能として、低リソース(シグネチャを少なく抑えた状態)で、相互間の通信によって状況に応じて行うセキュリティ対策の説明図である。
図6に示すネットワーク環境において、攻撃者が監視対象ネットワーク上の下位侵入検知装置43aに、破線で示すように、攻撃91を与えると、シグネチャSG5によって、下位侵入検知装置43aが、その攻撃を検知したとする。このときに、侵入検知装置20は、監視対象ネットワークである下位ネットワーク51、52、53に、検知情報とその検知を行ったシグネチャSG5とを通知する。
検知情報を受けた下位侵入検知装置41aと下位侵入検知装置42aとは、その検知情報に付属しているシグネチャSG5を、最新情報を格納するNS62へ追加する。このときに、下位侵入検知装置41aの処理量について、シグネチャ数が限度を超えた場合、最新のシグネチャSG5は、NS62へ格納され、シグネチャSG5の格納以前にあった古いシグネチャS2は、OS63に移動する。OS63に格納されていたシグネチャSG6が、更新履歴の中で最も古いとすると、シグネチャSG6は廃棄される。
侵入検知システム100によれば、上記相互間通信によって、最新の情報を常に持ちつつ、全体として、全てのシグネチャをカバーすることができる。
ところで、従来の下位侵入検知装置は、シグネチャ(ネットワーク上で過去に行われた犯罪を分析し、攻撃や不正なアクセスと見なせる要素を抽出した攻撃パターン)と、監視対象であるネットワーク上に流れてきた通信パケットとを、照らし合わせ、不正な通信であるか否かを判断する。従来の下位侵入検知装置において、上記シグネチャが下位侵入検知装置内のデータベース上に複数個、存在する。下位侵入検知装置は、シグネチャデータベース内のシグネチャと、1つ1つの通信パケットとを順番に照らし合わせ、通信パケットと、データベース内のシグネチャの1つとが一致した場合、そのネットワーク上を流れてきた通信パケットが不正な通信であると見なす。
監視対象であるネットワーク上に流れてきた通信パケットと、複数個のシグネチャとを照らし合わせるという下位侵入検知装置内の動作が、リソース不足の原因の1つであり、そこで、複数個存在しているシグネチャの数を減らすことによって、少ないリソースで動作させることができる。しかし、攻撃パターンであるこのシグネチャを減らすことは、従来不正な通信と見なしていた通信パケットを正常な通信であると判断する可能性がある。たとえば、従来1000個のシグネチャと照らし合わせる下位侵入検知装置は、1000種類の攻撃パケットを監視対象ネットワークヘ通信したときに、1000種類の攻撃があったことを検出できるが、一方、400個のシグネチャと照らし合わせる下位侵入検知装置は、400種類の攻撃があったことは検出するが、残りの600種類の攻撃は、不正な通信であるにも関わらず、正常な通信であると判断し、検出しなくなる。このことによって監視対象としているネットワークは、600種類の攻撃が蔓延するネットワークとなってしまう。
ところが、上記実施例1では、複数の下位侵入検知装置41〜45と上位侵入検知装置20とを利用し、データの並列化によって、低リソースで全種類の攻撃パターンに対応し、最新の攻撃に即座に対応することができる。
上記実施例において、下位侵入検知装置41、42、43、44、45は、攻撃の一部しか検知することができない。そして、図2に示す場合、下位侵入検知装置42に、15という攻撃がされたときに、15という攻撃が現在のトレンドとなる攻撃であると想定し、他の下位侵入検知装置41、43、44、45へブラックリスト(障害が起こった場合に得たデータと、上記攻撃を検知したときに使用したシグネチャ)を配ることによって、2次被害を防ぐことができる。
なお、上記実施例を、プログラムの発明として把握することができる。つまり、上記実施例は、外部ネットワークからの不正な通信を監視する侵入検知プログラムにおいて、上位ネットワークと下位ネットワークとの間に設けられている下位侵入検知装置が、不正な通信によって、故障または攻撃による障害を起こしたことを検知する障害検知手順と、上記下位侵入検知装置が上記障害を起こした場合、上記障害が起こった場合に得たデータと、上記攻撃を検知したときに使用したシグネチャとを、上記上位侵入検知装置に知らせる第1の障害発生通知手順と、所定の上記下位侵入検知装置が障害を起こした場合、上記所定の下位侵入検知装置以外の上記下位侵入検知装置に、上記障害が起こった場合に得たデータと、上記攻撃を検知したときに使用したシグネチャとを、上記上位侵入検知装置が知らせる第2の障害発生通知手順とをコンピュータに実施させるプログラムの例である。
また、上記プログラムを、FD、CD、DVD、HD、半導体メモリ等の記録媒体に記録するようにしてもよい。
本発明の実施例1である侵入検知システム100を示す図である。 侵入検知システム100における下位侵入検知装置41、42、43、44、45の挙動を説明する図である。 シグネチャと呼ばれる攻撃を検知するための材料を記述したデータを示す図である。 実施例1において、侵入検知を行った後に、他の下位侵入検知装置へ配布する手順を示すフローチャートである。 上記実施例におけるシグネチャデータベースDB1の構成図である。 侵入検知システム100において、全体機能として、低リソースで、相互間の通信によって状況に応じて行うセキュリティ対策の説明図である。 従来の下位侵入検知装置500を示す図である。
符号の説明
10…外部ネットワーク、
20…上位侵入検知装置、
21…データベース、
22…ログデータベース、
30…上位ネットワーク、
41〜45…下位侵入検知装置、
51〜53…下位ネットワーク、
61…IS(Indispensable Signature)、
62…NS(New Signature)、
63…OS(Old Signature)。

Claims (2)

  1. 上位ネットワークと複数の下位ネットワークとで構成されるネットワークに接続され、外部ネットワークからの不正な通信を監視する侵入検知システムであって、
    記外部ネットワークと上記上位ネットワークとの間に設けられる上位侵入検知装置と、上記上位ネットワークとそれぞれの下位ネットワークとの間に設けられる複数の下位侵入検知装置とで構成され、
    上記上位侵入検知装置は、
    所定の下位侵入検知装置から、攻撃による障害を起こした場合に得たデータと攻撃を検知したときに使用したシグネチャとを受け取る手段と;
    上記受け取ったデータとシグネチャとを、上記所定の下位侵入検知装置を除く上記下位侵入検知装置に知らせる手段と;
    を備え、
    上記下位侵入検知装置は、
    シグネチャを下位侵入検知装置間で分割して保持する手段と;
    撃による障害を起こした場合に得たデータと、上記攻撃を検知したときに使用したシグネチャとを、上記上位侵入検知装置に知らせる手段と;
    他の下位侵入検知装置で攻撃による障害を起こした場合のデータとシグネチャとを、上記上位侵入検知装置から受け取り、受け取ったシグネチャを上記保持する手段に登録する手段と;
    備えることを特徴とする侵入検知システム。
  2. 請求項1に記載の侵入検知システムを構成する各手段としてコンピュータを機能させるプログラムを記録したコンピュータ読取可能な記録媒体。
JP2003366420A 2003-10-27 2003-10-27 侵入検知システムおよび記録媒体 Expired - Fee Related JP4201263B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003366420A JP4201263B2 (ja) 2003-10-27 2003-10-27 侵入検知システムおよび記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003366420A JP4201263B2 (ja) 2003-10-27 2003-10-27 侵入検知システムおよび記録媒体

Publications (2)

Publication Number Publication Date
JP2005130399A JP2005130399A (ja) 2005-05-19
JP4201263B2 true JP4201263B2 (ja) 2008-12-24

Family

ID=34644768

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003366420A Expired - Fee Related JP4201263B2 (ja) 2003-10-27 2003-10-27 侵入検知システムおよび記録媒体

Country Status (1)

Country Link
JP (1) JP4201263B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100450012C (zh) * 2005-07-15 2009-01-07 复旦大学 一种基于移动代理的入侵检测系统和方法
US8489534B2 (en) * 2009-12-15 2013-07-16 Paul D. Dlugosch Adaptive content inspection

Also Published As

Publication number Publication date
JP2005130399A (ja) 2005-05-19

Similar Documents

Publication Publication Date Title
US9088618B1 (en) System and methods for ensuring fault tolerance of antivirus protection realized in a virtual environment
US11374964B1 (en) Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints
US20100257599A1 (en) Dynamic authenticated perimeter defense
US20020188870A1 (en) Intrusion tolerant server system
US20040111638A1 (en) Rule-based network survivability framework
US20080060074A1 (en) Intrusion detection system, intrusion detection method, and communication apparatus using the same
EP3416083B1 (en) System and method of detecting anomalous events
WO2005114955A1 (en) Systems and methods of computer security
JP2011175639A (ja) ネットワークにおけるセキュリティ保全のための方法及びシステム
JP2006119754A (ja) ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
JP2009031859A (ja) 情報収集システムおよび情報収集方法
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
US20160239230A1 (en) Storage system and method for controlling storage system
JP7296470B2 (ja) 分析装置及び分析方法
CN108429746B (zh) 一种面向云租户的隐私数据保护方法及系统
CN116633694B (zh) 一种基于多模异构组件的web防御方法与系统
JP4201263B2 (ja) 侵入検知システムおよび記録媒体
KR101723623B1 (ko) 악성 코드 탐지 시스템 및 방법
JP4668596B2 (ja) 通信端末、サーバ装置及び監視システム
JP4330066B2 (ja) 侵入検知システム、侵入検知方法および記録媒体
USRE45381E1 (en) Network correction security system and method
WO2021144978A1 (ja) 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム
Farhaoui et al. Creating a Complete Model of an Intrusion Detection System effective on the LAN
WO2020109252A1 (en) Test system and method for data analytics
US11909577B2 (en) Method and system for detecting failure-causing client with failure handling edge server grouping

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060405

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080110

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080118

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080317

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081003

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081003

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111017

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111017

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121017

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121017

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131017

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees