JP4361714B2 - ネットワーク中継装置 - Google Patents
ネットワーク中継装置 Download PDFInfo
- Publication number
- JP4361714B2 JP4361714B2 JP2002159290A JP2002159290A JP4361714B2 JP 4361714 B2 JP4361714 B2 JP 4361714B2 JP 2002159290 A JP2002159290 A JP 2002159290A JP 2002159290 A JP2002159290 A JP 2002159290A JP 4361714 B2 JP4361714 B2 JP 4361714B2
- Authority
- JP
- Japan
- Prior art keywords
- analysis
- packet data
- unit
- processing unit
- intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims description 24
- 230000008569 process Effects 0.000 claims description 23
- 238000009825 accumulation Methods 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 claims description 10
- 238000010586 diagram Methods 0.000 description 7
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000001771 impaired effect Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
【発明の属する技術分野】
本発明はネットワーク中継装置に関し、特に、外部ネットワークと内部ネットワークとをルーティングするルータにおいて不正な侵入データを検出することが可能なネットワーク中継装置に関する。
【0002】
【従来の技術】
インターネットなどの外部ネットワークと内部ネットワークとを接続する場合には、該当する送信先にデータ送信するために経路選択を行ってルーティング処理を実行するネットワーク中継装置が用いられる。
【0003】
このような中継装置を介して外部ネットワークと内部ネットワークとが接続されているような場合には、外部ネットワークから内部ネットワークに対する不正侵入を防止するためのシステムが必要となる。
【0004】
外部ネットワークからの不正侵入を防止するシステムとして、外部ネットワークからアクセスできる外部バリアセグメントと、内部ネットワークを構成するサーバや端末が接続される内部セグメントとの間に位置し、外部から到着する不正なパケットデータを識別して内部セグメントへの侵入を阻止するファイアウォール装置がある。ファイアウォールの機能としては、たとえば、TCP/IPパケットの送信元アドレスと、宛先アドレスと、ポート番号とをチェックして、予め登録されたポート番号以外のポート番号を伴うパケットの通過を拒否するように構成することができる。
【0005】
また、外部ネットワークからの不正侵入を防止するために、ネットワーク上を流れるパケットのトラフィックを監視し、予め用意されている不正アクセスに特徴的なトラフィックパターンと比較し、該当するトラフィックが検知された場合にアラートの表示やコネクションの切断などの処理を行うような監視ツールを構成することが考えられる。
【0006】
【発明が解決しようとする課題】
前述したような外部ネットワークからの不正侵入を防止するシステムは、企業向けに構成される場合が多く、外部ネットワークから送信されてくるパケットデータをリアルタイムで監視し、不正侵入をいち早く検知して防止することを目的としている。このため、外部ネットワークと内部ネットワークとの間のルーティング処理を行うルータなどのネットワーク中継装置において、このような不正侵入を防止する機能を持たせる場合には、ルーティング能力を犠牲にしても不正侵入の検知を優先させるようにしている。
【0007】
一般家庭においてもインターネットへの常時接続環境が普及してきており、企業だけでなく一般家庭においても外部ネットワークからの不正侵入を防止するシステムが必要になってきている。前述したような企業向けの不正侵入防止システムを一般家庭に設定されるルータに用いた場合には、処理能力的にオーバースペックなものになってしまうためコストパフォーマンスの点で問題がある。また、一般家庭においては企業において必要とするような不正侵入防止に対する高機能を必要としないため、全てのパケットデータに対してリアルタイムに不正侵入の解析を行ってルーティング処理機能を低下させても、より以上の不正侵入防止の効果を上げることができるとは考えにくい。
【0008】
本発明の目的は、ルーティング処理を行うネットワーク中継装置において、ルーティング処理の能力を低下させることなく、効率的に不正侵入の有無を解析可能なネットワーク中継装置を提供することにある。
【0009】
【課題を解決するための手段】
本発明に係るネットワーク中継装置は、ネットワークから受信したパケットデータをその制御情報に基づいて経路選択を行い該当する送信先へのルーティング処理を実行するルーティング処理部を含む中央処理ユニットと、ルーティング処理部によるルーティング処理と併行して、ルーティング処理されるパケットデータを所定の蓄積手段に蓄積する蓄積処理部と、蓄積手段に蓄積されたパケットデータが不正な侵入データであるか否かの解析を開始する解析開始タイミングを設定し、この解析タイミングに基づいてパケットデータが不正な侵入データであるか否かを判別するための不正侵入解析手段に対して蓄積手段に蓄積されたパケットデータの解析を開始させる解析開始処理手段とを備える。
【0010】
ここで、蓄積処理部は不正侵入解析手段による解析が必要なパケットデータに対して解析フラグを設定して蓄積手段に蓄積し、不正侵入解析手段は解析フラグが設定されたパケットデータのみ解析を行うように構成できる。
【0011】
また、中央処理ユニットが不正侵入解析手段を含み、解析開始処理手段は中央処理ユニットの稼働率が所定値以下になったときに解析開始タイミングを設定するように構成できる。
【0012】
さらに、解析開始処理手段が解析開始タイミングに関する指示入力を受け付ける受付手段を備え、受付手段により受け付けた指示入力に基づいて解析開始タイミングを設定するように構成できる。
【0013】
解析開始処理手段が、ルーティング処理部に接続される端末の状態情報を取得し、各端末の状態情報に基づいて解析開始タイミングを設定するように構成できる。
【0014】
また、ルーティング処理部に接続される端末のうちの少なくとも1つが不正侵入解析手段を備え、解析開始処理手段は解析開始タイミングに応じて蓄積手段に蓄積されたパケットデータをカプセル化して不正侵入解析手段を有する端末に送信するように構成できる。
【0015】
さらに、蓄積処理部がハードディスクインターフェイスを備え、蓄積手段としてハードディスクドライブを内蔵するように構成できる。
【0016】
このとき、蓄積処理部がパケットデータを圧縮して蓄積手段に蓄積するように構成でき、パケットデータを暗号化して蓄積手段に蓄積するように構成することも可能である。
【0017】
また、本発明に係るネットワーク中継装置は、ネットワークから受信したパケットデータをその制御情報に基づいて経路選択を行い該当する送信先へのルーティング処理を実行するルーティング処理部および受信したパケットデータが不正な侵入データであるか否かの解析を行う不正侵入解析部を含む中央処理ユニットと、特定のアドレスに対するパケットデータを不正侵入解析部による解析が不要であると判断しこの特定のアドレスに対するパケットデータに解析不要フラグを設定し、不正侵入解析部による解析を一定時間中断させる解析中断処理手段とを備える構成とすることができる。
【0018】
【発明の実施の形態】
〔概略構成〕
本発明に係るネットワーク中継装置の概略構成を図1に基づいて説明する。
【0019】
ここでは、ネットワークインターフェイス3により受信したパケットデータをその制御情報に基づいて経路選択して該当する送信先へのルーティング処理を実行するルーティング処理部1と、ルーティング処理部1によるルーティング処理と併行してパケットデータを蓄積手段4に蓄積する蓄積処理部2と、蓄積手段4内に蓄積されたパケットデータを不正侵入解析手段5に解析させる解析開始タイミングを設定する解析開始処理手段6とを備える構成である。
【0020】
このネットワーク中継装置は、インターネットなどの外部ネットワーク(WAN)と内部ネットワーク(LAN)とを結合して、それぞれのネットワーク内を流れるパケットデータをその送信先に送信するための経路選択を行うように構成できる。したがって、ネットワークインターフェイス3は、それぞれ異なるネットワークに接続される複数のネットワークインターフェイスで構成される。
【0021】
また、このネットワーク中継装置は、マイクロプロセッサで構成される中央処理ユニット(CPU)を備えており、このCPU内の1機能としてルーティング処理部1が実現されるように構成できる。
【0022】
蓄積手段4は、たとえば、このネットワーク中継装置に内蔵されるハードディスクドライブで構成することができる。この場合、蓄積処理部2は、ネットワークインターフェイス3を通過するパケットデータを蓄積手段4に格納するためのハードディスクインターフェイスで構成することができる。
【0023】
不正侵入解析手段5は、CPUの1機能として構成することができる。この場合、解析開始処理手段6は、CPUの空き時間を検出して不正侵入解析手段5による解析処理を開始させるように構成できる。
【0024】
〔第1実施形態〕
本発明の第1実施形態について、図2に基づいて説明する。
【0025】
この第1実施形態では、ネットワーク中継装置としてインターネットなどの外部ネットワークとLANなどの内部ネットワークとの間でパケットデータの中継を行うルータ10を構成する。
【0026】
ルータ10は、外部ネットワークおよび内部ネットワークを流れるパケットデータのルーティング処理およびその他の処理を実行するためのCPU111を備えている。このCPU111は、ルーティング処理を実行するルーティング機能部112と、パケットデータが不正侵入によるものか否かを判定するための解析機能部113と、CPU111の空き時間を判定する空き時間判定部114を含んでいる。
【0027】
ルーティング機能部112は、CPU111がルーティング処理を行うためのアプリケーションを実行することにより実現されるものであり、インターネットなどの外部ネットワークに接続されるWAN-IF131と、LANなどの内部ネットワークに接続されるLAN-IF132とを流れるパケットデータの中継を行うために、各パケットデータの送信先アドレスに基づいて経路選択を行ってルーティング処理を行う。
【0028】
WAN-IF131およびLAN-IF132は、ルーティング処理のためにルーティング機能部112にパケットデータを送出するとともに、このパケットデータを蓄積するためにHDD-IF121にパケットデータを送出する。HDD-IF121は、このルータ10に内蔵されるハードディスクドライブ(HDD)141にデータを格納したりHDD141に格納されているデータを読み出すためのインターフェイスであり、たとえば、ATA、SCSIなどのデータ転送方式に対応するインターフェイスで構成される。WAN-IF131およびLAN-IF132を介してルーティング処理部112に入力されるパケットデータは、HDD-IF121に送出され、逐次HDD141に格納される。
【0029】
解析機能部113は、CPU111が不正侵入解析処理を行うためのアプリケーションを実行することにより実現されるものであり、HDD-IF121によりHDD141から読み出されるパケットデータを予め用意されている不正アクセスに特徴的なトラフィックパターンと比較し、不正侵入が行われたか否かの不正侵入の解析を実行する。
【0030】
空き時間判定部114は、たとえば、CPU111の稼働率を判定するアプリケーションから稼働率を現在のCPU111の稼働率情報を取得し、この稼働率情報が所定値以下である場合に、CPU111の空き時間であると判定して解析機能部113による不正侵入解析処理を実行させるように構成できる。
【0031】
このように構成した本発明の第1実施形態では、CPU111に構成されるルーティング機能部112により外部ネットワークおよび内部ネットワークを流れるパケットデータを対応する送信先アドレスにルーティング処理するとともに、HDD-IF121を介して各パケットデータをHDD141に格納しているため、ルーティング処理に用いられるハードウェア資源を不正侵入解析処理に割く必要がなく、処理能力を落とすことなくルーティング処理を実行させることができる。
【0032】
また、空き時間判定部114によりCPU111の空き時間を判定して、空き時間であると判断した場合にHDD141内に蓄積されたパケットデータを読み出して、ルーティング処理されたパケットデータに不正侵入がなかったかどうかの解析処理を行っているため、リアルタイムでの不正侵入解析処理を行う場合に比してセキュリティ信頼度は落ちるものの、不正侵入に対して迅速に対応することが可能となる。
【0033】
〈解析フラグ〉
HDD-IF121は、WAN-IF131およびLAN-IF132を通過してきたパケットデータをHDD141に蓄積する際に、そのパケットデータに対して解析フラグを付加して蓄積するように構成できる。
【0034】
この場合、CPU111では、解析フラグが付加されたパケットデータについてのみ解析機能部113による不正侵入解析処理を実行するように構成できる。
【0035】
このように構成した場合には、図3に示すように、WAN-IF131およびLAN-IF132からのパケットデータを全て蓄積インターフェイス201を介してCPU111に送受信するように構成する。この場合、蓄積インターフェイス201は、HDD141との間でデータ転送が可能なハードディスクインターフェイスを備えるものとする。
【0036】
蓄積インターフェイス201は、通過するパケットデータのうちHDD141に蓄積するパケットデータについて、解析フラグを付加してHDD141に格納するものであり、たとえば、WAN-IF131から受け取ったパケットデータについてのみ解析フラグを付加するように構成することが可能である。
【0037】
CPU111では、蓄積インターフェイス201から受け取るパケットデータのうち、解析フラグが付加されたものについてだけ解析機能部113による不正侵入解析処理を実行し、それ以外のものについてはルーティング機能部112によるルーティング処理を実行するように構成できる。
【0038】
このように構成することにより、CPU111の入出力用のピン数を削減することが可能となり、配線数を削減し、結線作業を軽減することができる。
【0039】
また、WAN-IF131を介して受信するパケットデータについてのみ解析フラグを付加することにより、LAN-IF132を介して内部ネットワークから外部ネットワークに送出されるパケットデータについての不正侵入解析処理を省略することができ、CPU111の負担を軽減できる。
【0040】
さらに、解析機能部113は、リアルタイムで不正侵入解析処理を実行するプログラムと、HDD141に一旦蓄積されたパケットデータの不正侵入解析処理を実行するプログラムとを同一のアプリケーションで実現することが可能となり、リソースを節約できメンテナンス性の向上を図ることも可能となる。
【0041】
〈空き時間検出〉
このルータ10には、不正侵入解析処理を開始することをユーザが指示するための開始ボタンを設けることが可能である。この場合、ユーザが開始ボタンを操作することにより解析開始指示を行うことで、空き時間判定部114はこの指示信号を受け付けて解析機能部113に不正侵入解析処理の開始を指示する。解析機能部113は、蓄積インターフェイス201を介してHDD141に蓄積されたパケットデータを読み出して不正侵入解析処理を実行する。
【0042】
また、ユーザがLAN-IF132を介して送信してくるパケットデータが所定のデータである場合に、空き時間判定部114が不正侵入解析処理を開始するタイミングを判定するように構成できる。たとえば、ルータ10に設定されているWebページに解析開始ボタンを設定しておき、ユーザがこの解析開始ボタンを操作した場合に、蓄積インターフェイス201を介して空き時間判定部114が解析開始指示信号を受信し、解析機能部113に不正侵入解析処理を開始させるように構成できる。
【0043】
さらに、空き時間判定部114が内部にスケジューラを内蔵し、予め設定される解析開始時刻になると、解析機能部113に不正侵入開始処理を実行させるように構成できる。スケジューラに設定される解析開始時刻は、ユーザが設定できるように構成することが可能であり、ルーティング処理が少ないと見なされる時刻を解析開始時刻のデフォルト値として設定しておくことも可能である。
【0044】
このように構成することにより、空き時間判定部114の構成が簡単な構成で実現することが可能となり、ユーザの利便性を損なうおそれがなくなる。
【0045】
さらに、図4に示すように、LAN-IF132に接続されている各端末の状態情報を取得して管理する端末ステータス取得部151を備える構成とすることができる。この端末ステータス取得部151は、LAN-IF132を介してルータ10に接続されている端末に対して、一定時間毎にパケットデータを送信し、これに対する応答がなければその端末がアクティブな状態でないとしてこの状態情報を所定の領域に格納するように構成される。たとえば、ルータ10に接続されている各端末に対して、DHCP(Dynamic Host Configuration Protocol)によりIPアドレスが割り当てられている場合に、ルータ10がDHCPで割り当てた各IPアドレスに対して所定時間毎にPING(Packet INternet Groper)によりICMP(Internet Control Message Protocol)などのプロトコルによるパケットデータを送信する。このパケットデータに対して各端末からの応答がない場合、空き時間判定部114は、このルータ10を介して外部ネットワーク側にアクセスを行う端末がないと判断して、解析機能部113に対する不正侵入解析処理の実行開始を指示する。
【0046】
このように構成することにより、DHCPによりIPアドレスが割り当てられている端末だけについてその状態を調べて、各端末の状態に応じて不正侵入解析処理を実行するように構成できる。
【0047】
〔第2実施形態〕
本発明の第2実施形態について、図5に基づいて説明する。
【0048】
ルータ10は、ルーティング処理を実行するためのルーティング機能部112を含むCPU111と、インターネットなどの外部ネットワークに接続されるWAN-IF131と、LANなどの内部ネットワークに接続されるLAN-IF132と、WAN-IF131およびLAN-IF132を介して送受信するパケットデータをルーティング機能部112に送信する蓄積インターフェイス201とを備えている。
【0049】
ルーティング機能部112は、第1実施形態と同様に、外部ネットワークおよび内部ネットワークを流れるパケットデータの中継を行うために、各パケットデータの送信先アドレスに基づいて経路選択を行ってルーティング処理を行う。
【0050】
WAN-IF131およびLAN-IF132は、ルーティング処理のために蓄積インターフェイス201を介してルーティング機能部112にパケットデータを送出する。
【0051】
蓄積インターフェイス201は、WAN-IF131、LAN-IF132とルーティング機能部112との間のパケットデータの受け渡しを行うとともに、このパケットデータを一旦アセンブルしてアドレスの書き換えなどのカプセル化処理をした後フラグメンテーション化し、ルータ10に接続されている侵入解析用端末301に送信する。
【0052】
侵入解析用端末301は、不正侵入解析用のアプリケーションを搭載した通常のパーソナルコンピュータで構成され、ルータ10内のネットワークインターフェイス133を介して蓄積インターフェイス201と接続される。ネットワークインターフェイス133は、LAN-IF132と共用することも可能であり、ルータ10と侵入解析要端末301との間のデータ転送のみを行うインターフェイスで構成することも可能である。
【0053】
侵入解析用端末301は、ルータ10の蓄積インターフェイス201から送信されてくるパケットデータの不正侵入解析処理を実行し、その解析結果をルータ10に送出する。侵入解析用端末301は、送信されてくるパケットデータについて逐次不正侵入解析処理を実行するように構成することも可能であり、また、送信されてくるパケットデータをハードディスクなどに蓄積しておいて、所定の解析開始タイミングに基づいて不正侵入解析処理を開始するように構成することも可能である。解析開始タイミングは、▲1▼侵入解析端末のオペレータが所定のボタンを操作する、▲2▼ユーザまたはルータ10からの所定のパケットデータを受信する、▲3▼内部スケジューラに設定された開始タイミングを使用する、その他のトリガーを想定することが可能である。
【0054】
このように構成した場合には、不正侵入解析処理を実行するための解析機能部をルータ10のCPU111から分離することで、CPU111が利用できるリソースが増えるため、ルーティング機能部112の処理能力を損なわれることがない。また、ルーティング機能部112においてルーティング処理が行われたパケットデータの不正侵入解析処理を、専用の侵入解析用端末301で詳細に行うことが可能であり、種々の攻撃パターンに対応して不正侵入を検知することが可能となる。
【0055】
〔第3実施形態〕
本発明の第3実施形態を図6に基づいて説明する。
【0056】
ルータ10は、CPU111と、WAN-IF131、LAN-IF132および仲介IF202を含んでいる。CPU111は、ルーティング処理を実行するためのルーティング機能部112と、ルーティング機能部112でルーティング処理するパケットデータの不正侵入解析処理を行う解析機能部113を含んでいる。また、インターネットなどの外部ネットワークに接続されるWAN-IF131と、LANなどの内部ネットワークに接続されるLAN-IF132とは、WAN-IF131およびLAN-IF132を介して送受信するパケットデータをCPU111と送受信する仲介インターフェイス202に接続されている。
【0057】
ルーティング機能部112は、第1実施形態と同様に、外部ネットワークおよび内部ネットワークを流れるパケットデータの中継を行うために、各パケットデータの送信先アドレスに基づいて経路選択を行ってルーティング処理を行う。
【0058】
また、解析機能部113は、ルーティング機能部112でルーティング処理されるパケットデータの不正侵入解析処理をリアルタイムで実行するために、不正解析処理用のアプリケーションを実行するものである。
【0059】
仲介インターフェイス202は、WAN-IF131およびLAN-IF132を介して送受信するパケットデータを、各ネットワークインターフェイスとCPU111との間で仲介するものである。また、仲介インターフェイス202は、所定パケットデータを受信することにより、CPU111に対して解析機能部113による不正侵入解析処理を中断する旨の中断信号を送信するように構成される。
【0060】
たとえば、LAN-IF132からのパケットデータ中に、特定のアドレスに対するパケットデータがあった場合には、仲介インターフェイス202は、このパケットデータに中断フラグを付加してCPU111に送信する。CPU111では、中断フラグが付加されたパケットデータを受信してから一定時間が経過するまで、解析機能部113による不正解析処理を中断するように構成する。
【0061】
このように構成することにより、ユーザが高速処理を希望するパケットデータについて、解析機能部113によるリアルタイムでの不正侵入解析処理を中断して処理速度を高速化することができる。
【0062】
なお、仲介インターフェイス202にHDDインターフェイス機能を持たせて、解析機能部113における不正侵入解析処理の中断中におけるパケットデータをHDDに蓄積し、CPU111の空き時間に不正侵入解析処理を実行させるように構成することも可能である。さらに、仲介インターフェイス202がネットワークインターフェイスを介して侵入解析用端末に接続される構成とし、不正侵入解析処理の中断中におけるパケットデータを侵入解析用端末に送信して不正侵入解析処理を実行させるように構成することも可能である。
【0063】
〔第4実施形態〕
本発明の第4実施形態を図7に基づいて説明する。
【0064】
ルータ10は、ルーティング処理を実行するためのルーティング機能部112を含むCPU111と、インターネットなどの外部ネットワークに接続されるWAN-IF131と、LANなどの内部ネットワークに接続されるLAN-IF132と、WAN-IF131およびLAN-IF132を介して送受信するパケットデータをルーティング機能部112に送信する蓄積インターフェイス201とを備えている。
【0065】
ルーティング機能部112は、外部ネットワークおよび内部ネットワークを流れるパケットデータの中継を行うために、各パケットデータの送信先アドレスに基づいて経路選択を行ってルーティング処理を行う。
【0066】
WAN-IF131およびLAN-IF132は、ルーティング処理のために蓄積インターフェイス201を介してルーティング機能部112にパケットデータを送出する。
【0067】
蓄積インターフェイス201は、WAN-IF131、LAN-IF132とルーティング機能部112との間のパケットデータの受け渡しを行うとともに、このパケットデータをHDD141に蓄積する。HDD141に蓄積されるパケットデータは、ペイロードを除いたものとすることができ、圧縮および/または暗号化したものとすることができる。
【0068】
空き時間判定部114は、前述の実施形態に記載したように、ユーザのボタン操作、ユーザから送信されてくる所定のパケットデータ、スケジューラに予め設定された時刻、接続されている端末の状態情報などに基づいて解析開始タイミングを判定し、蓄積インターフェイス201に開始タイミング信号を送信する。
【0069】
蓄積インターフェイス201は、LAN-IF132またはその他のネットワークインターフェイスを介して侵入解析用端末301に接続されており、空き時間判定部114からの開始タイミング信号を受信することにより、HDD141に蓄積されているパケットデータを読み出して、一旦アセンブルしカプセル化した後、フラグメンテーション化して侵入解析用端末301に送信すように構成される。
【0070】
侵入解析用端末301は、不正侵入解析用のアプリケーションを搭載した通常のパーソナルコンピュータで構成され、蓄積インターフェイス201から送信されてきたパケットデータの不正侵入解析処理を実行し、その解析結果をルータ10側に送信する。
【0071】
このような構成にした場合、CPU111の空き時間を判定して蓄積されたパケットデータを侵入解析用端末301に転送して、この侵入解析用端末301に不正侵入解析処理を実行させているため、CPU111として低スペックのものを採用してもルーティング処理の能力を損なうことがない。
【0072】
<付記>
(付記1)
ネットワークから受信したパケットデータをその制御情報に基づいて経路選択を行い該当する送信先へのルーティング処理を実行するルーティング処理部を含む中央処理ユニットと、
前記ルーティング処理部によるルーティング処理と併行して、ルーティング処理されるパケットデータを所定の蓄積手段に蓄積する蓄積処理部と、
前記蓄積手段に蓄積されたパケットデータが不正な侵入データであるか否かの解析を開始する解析開始タイミングを設定し、この解析開始タイミングに基づいてパケットデータが不正な侵入データであるか否かを判別するための不正侵入解析手段に対して前記蓄積手段に蓄積されたパケットデータの解析を開始させる解析開始処理手段と、
を備えるネットワーク中継装置。
(付記2)
前記蓄積処理部は前記不正侵入解析手段による解析が必要なパケットデータに対して解析フラグを設定して前記蓄積手段に蓄積し、前記不正侵入解析手段は前記解析フラグが設定されたパケットデータのみ解析を行う、付記1に記載のネットワーク中継装置。
(付記3)
前記中央処理ユニットが前記不正侵入解析手段を含み、前記解析開始処理手段は前記中央処理ユニットの稼働率が所定値以下になったときに解析開始タイミングを設定する、付記1または2に記載のネットワーク中継装置。
(付記4)
前記解析開始処理手段は、解析開始タイミングに関する指示入力を受け付ける受付手段を備え、前記受付手段により受け付けた指示入力に基づいて解析開始タイミングを設定する、付記1または2に記載のネットワーク中継装置。
(付記5)
前記解析開始処理手段は、前記ルーティング処理部に接続される端末の状態情報を取得し、各端末の状態情報に基づいて前記解析開始タイミングを設定する、付記1または2に記載のネットワーク中継装置。
(付記6)
前記ルーティング処理部に接続される端末のうちの少なくとも1つが前記不正侵入解析手段を備え、前記解析開始処理手段は解析開始タイミングに応じて前記蓄積手段に蓄積されたパケットデータをカプセル化して前記不正侵入解析手段を有する端末に送信する、付記1に記載のネットワーク中継装置。
(付記7)
前記蓄積処理部はハードディスクインターフェイスを備え、前記蓄積手段としてハードディスクドライブを内蔵する、付記1〜6のいずれかに記載のネットワーク中継装置。
(付記8)
前記蓄積処理部は、前記パケットデータを圧縮して前記蓄積手段に蓄積する、付記7に記載のネットワーク中継装置。
(付記9)
前記蓄積処理部は、前記パケットデータを暗号化して前記蓄積手段に蓄積する、付記7に記載のネットワーク中継装置。
(付記10)
ネットワークから受信したパケットデータをその制御情報に基づいて経路選択を行い該当する送信先へのルーティング処理を実行するルーティング処理部および受信したパケットデータが不正な侵入データであるか否かの解析を行う不正侵入解析部を含む中央処理ユニットと、
前記不正侵入解析部による解析が不要であるパケットデータに解析不要フラグを設定し、前記不正侵入解析部による解析を一定時間中断させる解析中断処理手段と、
を備えるネットワーク中継装置。
【0073】
【発明の効果】
本発明によれば、ルーティング処理の能力を低下させることなく、効率的に不正侵入の有無を解析可能なネットワーク中継装置を提供することができる。
【図面の簡単な説明】
【図1】本発明の概略構成を示すブロック図。
【図2】第1実施形態の制御ブロック図。
【図3】その変形例の制御ブロック図。
【図4】その変形例の制御ブロック図。
【図5】第2実施形態の制御ブロック図。
【図6】第3実施形態の制御ブロック図。
【図7】第4実施形態の制御ブロック図。
Claims (4)
- ネットワークから受信したパケットデータをその制御情報に基づいて経路選択を行い該当する送信先へのルーティング処理を実行するルーティング処理部を含む中央処理ユニットと、
前記ルーティング処理部によるルーティング処理と併行して、ルーティング処理されるパケットデータを所定の蓄積手段に蓄積する蓄積処理部と、
前記蓄積手段に蓄積されたパケットデータが不正な侵入データであるか否かの解析を開始する解析開始タイミングを設定し、この解析開始タイミングに基づいてパケットデータが不正な侵入データであるか否かを判別するための不正侵入解析手段に対して前記蓄積手段に蓄積されたパケットデータの解析を開始させる解析開始処理手段と、
を備えるネットワーク中継装置。 - 前記蓄積処理部は前記不正侵入解析手段による解析が必要なパケットデータに対して解析フラグを設定して前記蓄積手段に蓄積し、前記不正侵入解析手段は前記解析フラグが設定されたパケットデータのみ解析を行う、請求項1に記載のネットワーク中継装置。
- 前記中央処理ユニットが前記不正侵入解析手段を含み、前記解析開始処理手段は前記中央処理ユニットの稼働率が所定値以下になったときに解析開始タイミングを設定する、請求項1または2に記載のネットワーク中継装置。
- ネットワークから受信したパケットデータをその制御情報に基づいて経路選択を行い該当する送信先へのルーティング処理を実行するルーティング処理部および受信したパケットデータが不正な侵入データであるか否かの解析を行う不正侵入解析部を含む中央処理ユニットと、
特定のアドレスに対するパケットデータを前記不正侵入解析部による解析が不要であると判断しこの特定のアドレスに対するパケットデータに解析不要フラグを設定し、前記不正侵入解析部による解析を一定時間中断させる解析中断処理手段と、
を備えるネットワーク中継装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002159290A JP4361714B2 (ja) | 2002-05-31 | 2002-05-31 | ネットワーク中継装置 |
US10/284,117 US7385980B2 (en) | 2002-05-31 | 2002-10-31 | Network relay device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002159290A JP4361714B2 (ja) | 2002-05-31 | 2002-05-31 | ネットワーク中継装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004007170A JP2004007170A (ja) | 2004-01-08 |
JP4361714B2 true JP4361714B2 (ja) | 2009-11-11 |
Family
ID=29561573
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002159290A Expired - Fee Related JP4361714B2 (ja) | 2002-05-31 | 2002-05-31 | ネットワーク中継装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7385980B2 (ja) |
JP (1) | JP4361714B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7467202B2 (en) * | 2003-09-10 | 2008-12-16 | Fidelis Security Systems | High-performance network content analysis platform |
US8130768B1 (en) * | 2005-07-14 | 2012-03-06 | Avaya Inc. | Enhanced gateway for routing between networks |
US20070153796A1 (en) * | 2005-12-30 | 2007-07-05 | Intel Corporation | Packet processing utilizing cached metadata to support forwarding and non-forwarding operations on parallel paths |
WO2009066349A1 (ja) * | 2007-11-19 | 2009-05-28 | Duaxes Corporation | 通信制御装置及び通信制御方法 |
EP3703418A3 (en) | 2011-06-24 | 2020-11-18 | Vodafone IP Licensing limited | Telecommunication networks |
US10979334B1 (en) * | 2015-10-02 | 2021-04-13 | MyDigitalShield, Inc. | Systems and methods for monitoring network traffic |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07146788A (ja) | 1993-11-22 | 1995-06-06 | Fujitsu Ltd | ウイルス診断機構の作成システムと作成方法並びにウイルス診断機構と診断方法 |
US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
JP3926898B2 (ja) | 1997-10-16 | 2007-06-06 | 株式会社バッファロー | 集線装置、集線装置のエラー通知方法および集線装置のためのエラー通知プログラムを記録したコンピュータ読み取り可能な記録媒体 |
JP2000216830A (ja) | 1999-01-22 | 2000-08-04 | Hitachi Ltd | 多段ファイアウォ―ルシステム |
US6510523B1 (en) * | 1999-02-22 | 2003-01-21 | Sun Microsystems Inc. | Method and system for providing limited access privileges with an untrusted terminal |
JP2000354034A (ja) | 1999-06-10 | 2000-12-19 | Yoshimi Baba | 事業:ハッカー監視室 |
JP2001203761A (ja) | 2000-01-20 | 2001-07-27 | Dainippon Printing Co Ltd | 中継装置、および同装置を備えたネットワークシステム |
JP3448254B2 (ja) | 2000-02-02 | 2003-09-22 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 |
JP2002027012A (ja) | 2000-07-03 | 2002-01-25 | Fujitsu Ltd | ネットワーク接続装置 |
JP2002101115A (ja) | 2000-09-26 | 2002-04-05 | Matsushita Electric Works Ltd | ネットワーク接続装置 |
US6944154B2 (en) * | 2000-12-06 | 2005-09-13 | International Business Machines Corporation | System and method for remultiplexing of a filtered transport stream with new content in real-time |
US7533409B2 (en) * | 2001-03-22 | 2009-05-12 | Corente, Inc. | Methods and systems for firewalling virtual private networks |
KR100398281B1 (ko) * | 2001-04-17 | 2003-09-19 | 시큐아이닷컴 주식회사 | 패킷 차단방식 방화벽 시스템에서의 고속 정책 판별 방법 |
US7512980B2 (en) * | 2001-11-30 | 2009-03-31 | Lancope, Inc. | Packet sampling flow-based detection of network intrusions |
US7062048B2 (en) * | 2003-01-27 | 2006-06-13 | Wegener Communications, Inc. | Apparatus and method for single encryption with multiple authorization of distributed content data |
-
2002
- 2002-05-31 JP JP2002159290A patent/JP4361714B2/ja not_active Expired - Fee Related
- 2002-10-31 US US10/284,117 patent/US7385980B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20030223419A1 (en) | 2003-12-04 |
US7385980B2 (en) | 2008-06-10 |
JP2004007170A (ja) | 2004-01-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7031267B2 (en) | PLD-based packet filtering methods with PLD configuration data update of filtering rules | |
US20020083331A1 (en) | Methods and systems using PLD-based network communication protocols | |
US20020080784A1 (en) | Methods and systems using PLD-based network communication protocols | |
CN109479013B (zh) | 计算机网络中的业务的日志记录 | |
US9060013B2 (en) | Network system, network relay method, and network relay device | |
CN104601570A (zh) | 一种基于旁路监听和软件抓包技术的网络安全监控方法 | |
EP1906591A2 (en) | Method, device and system for detecting layer 2 loop | |
CN113890816A (zh) | 网络健康状态分析方法、装置、计算机设备和存储介质 | |
JP4361714B2 (ja) | ネットワーク中継装置 | |
US9225650B2 (en) | Network system, gateway, and packet delivery method | |
JP3859490B2 (ja) | 通信路のスイッチ接続制御システム | |
JP4020835B2 (ja) | ネットワーク監視装置 | |
CN112671662A (zh) | 数据流加速方法、电子设备和存储介质 | |
JP3892322B2 (ja) | 不正アクセス経路解析システム及び不正アクセス経路解析方法 | |
JP2006050442A (ja) | トラヒック監視方法及びシステム | |
JP2004200773A (ja) | プロトコル不具合自動検出方法、及び、プロトコル不具合自動検出装置 | |
CN112134845A (zh) | 一种抗拒绝服务系统 | |
KR20040003977A (ko) | 아이피 충돌 검출/차단 시스템 및 그 방법 | |
JP3725140B2 (ja) | パケット転送装置およびパケット転送方法 | |
CN113098904B (zh) | 网络设备的通信方法及装置 | |
US11637739B2 (en) | Direct memory access (DMA) engine for diagnostic data | |
CN115118473B (zh) | 数据处理方法、装置、设备及存储介质 | |
Qadeer et al. | Bottleneck analysis and traffic congestion avoidance | |
Zhang et al. | An Introduction to Data Capturing | |
JP2003318984A (ja) | Pdu観測方法、コネクションレス型データ通信装置、およびpdu観測装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040624 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060117 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060131 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070313 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070514 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070605 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20080929 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080930 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090813 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4361714 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120821 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120821 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130821 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |