JP4361714B2 - ネットワーク中継装置 - Google Patents

ネットワーク中継装置 Download PDF

Info

Publication number
JP4361714B2
JP4361714B2 JP2002159290A JP2002159290A JP4361714B2 JP 4361714 B2 JP4361714 B2 JP 4361714B2 JP 2002159290 A JP2002159290 A JP 2002159290A JP 2002159290 A JP2002159290 A JP 2002159290A JP 4361714 B2 JP4361714 B2 JP 4361714B2
Authority
JP
Japan
Prior art keywords
analysis
packet data
unit
processing unit
intrusion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002159290A
Other languages
English (en)
Other versions
JP2004007170A (ja
Inventor
孝一 矢崎
俊浩 園田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2002159290A priority Critical patent/JP4361714B2/ja
Priority to US10/284,117 priority patent/US7385980B2/en
Publication of JP2004007170A publication Critical patent/JP2004007170A/ja
Application granted granted Critical
Publication of JP4361714B2 publication Critical patent/JP4361714B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明はネットワーク中継装置に関し、特に、外部ネットワークと内部ネットワークとをルーティングするルータにおいて不正な侵入データを検出することが可能なネットワーク中継装置に関する。
【0002】
【従来の技術】
インターネットなどの外部ネットワークと内部ネットワークとを接続する場合には、該当する送信先にデータ送信するために経路選択を行ってルーティング処理を実行するネットワーク中継装置が用いられる。
【0003】
このような中継装置を介して外部ネットワークと内部ネットワークとが接続されているような場合には、外部ネットワークから内部ネットワークに対する不正侵入を防止するためのシステムが必要となる。
【0004】
外部ネットワークからの不正侵入を防止するシステムとして、外部ネットワークからアクセスできる外部バリアセグメントと、内部ネットワークを構成するサーバや端末が接続される内部セグメントとの間に位置し、外部から到着する不正なパケットデータを識別して内部セグメントへの侵入を阻止するファイアウォール装置がある。ファイアウォールの機能としては、たとえば、TCP/IPパケットの送信元アドレスと、宛先アドレスと、ポート番号とをチェックして、予め登録されたポート番号以外のポート番号を伴うパケットの通過を拒否するように構成することができる。
【0005】
また、外部ネットワークからの不正侵入を防止するために、ネットワーク上を流れるパケットのトラフィックを監視し、予め用意されている不正アクセスに特徴的なトラフィックパターンと比較し、該当するトラフィックが検知された場合にアラートの表示やコネクションの切断などの処理を行うような監視ツールを構成することが考えられる。
【0006】
【発明が解決しようとする課題】
前述したような外部ネットワークからの不正侵入を防止するシステムは、企業向けに構成される場合が多く、外部ネットワークから送信されてくるパケットデータをリアルタイムで監視し、不正侵入をいち早く検知して防止することを目的としている。このため、外部ネットワークと内部ネットワークとの間のルーティング処理を行うルータなどのネットワーク中継装置において、このような不正侵入を防止する機能を持たせる場合には、ルーティング能力を犠牲にしても不正侵入の検知を優先させるようにしている。
【0007】
一般家庭においてもインターネットへの常時接続環境が普及してきており、企業だけでなく一般家庭においても外部ネットワークからの不正侵入を防止するシステムが必要になってきている。前述したような企業向けの不正侵入防止システムを一般家庭に設定されるルータに用いた場合には、処理能力的にオーバースペックなものになってしまうためコストパフォーマンスの点で問題がある。また、一般家庭においては企業において必要とするような不正侵入防止に対する高機能を必要としないため、全てのパケットデータに対してリアルタイムに不正侵入の解析を行ってルーティング処理機能を低下させても、より以上の不正侵入防止の効果を上げることができるとは考えにくい。
【0008】
本発明の目的は、ルーティング処理を行うネットワーク中継装置において、ルーティング処理の能力を低下させることなく、効率的に不正侵入の有無を解析可能なネットワーク中継装置を提供することにある。
【0009】
【課題を解決するための手段】
本発明に係るネットワーク中継装置は、ネットワークから受信したパケットデータをその制御情報に基づいて経路選択を行い該当する送信先へのルーティング処理を実行するルーティング処理部を含む中央処理ユニットと、ルーティング処理部によるルーティング処理と併行して、ルーティング処理されるパケットデータを所定の蓄積手段に蓄積する蓄積処理部と、蓄積手段に蓄積されたパケットデータが不正な侵入データであるか否かの解析を開始する解析開始タイミングを設定し、この解析タイミングに基づいてパケットデータが不正な侵入データであるか否かを判別するための不正侵入解析手段に対して蓄積手段に蓄積されたパケットデータの解析を開始させる解析開始処理手段とを備える。
【0010】
ここで、蓄積処理部は不正侵入解析手段による解析が必要なパケットデータに対して解析フラグを設定して蓄積手段に蓄積し、不正侵入解析手段は解析フラグが設定されたパケットデータのみ解析を行うように構成できる。
【0011】
また、中央処理ユニットが不正侵入解析手段を含み、解析開始処理手段は中央処理ユニットの稼働率が所定値以下になったときに解析開始タイミングを設定するように構成できる。
【0012】
さらに、解析開始処理手段が解析開始タイミングに関する指示入力を受け付ける受付手段を備え、受付手段により受け付けた指示入力に基づいて解析開始タイミングを設定するように構成できる。
【0013】
解析開始処理手段が、ルーティング処理部に接続される端末の状態情報を取得し、各端末の状態情報に基づいて解析開始タイミングを設定するように構成できる。
【0014】
また、ルーティング処理部に接続される端末のうちの少なくとも1つが不正侵入解析手段を備え、解析開始処理手段は解析開始タイミングに応じて蓄積手段に蓄積されたパケットデータをカプセル化して不正侵入解析手段を有する端末に送信するように構成できる。
【0015】
さらに、蓄積処理部がハードディスクインターフェイスを備え、蓄積手段としてハードディスクドライブを内蔵するように構成できる。
【0016】
このとき、蓄積処理部がパケットデータを圧縮して蓄積手段に蓄積するように構成でき、パケットデータを暗号化して蓄積手段に蓄積するように構成することも可能である。
【0017】
また、本発明に係るネットワーク中継装置は、ネットワークから受信したパケットデータをその制御情報に基づいて経路選択を行い該当する送信先へのルーティング処理を実行するルーティング処理部および受信したパケットデータが不正な侵入データであるか否かの解析を行う不正侵入解析部を含む中央処理ユニットと、特定のアドレスに対するパケットデータを不正侵入解析部による解析が不要であると判断しこの特定のアドレスに対するパケットデータに解析不要フラグを設定し、不正侵入解析部による解析を一定時間中断させる解析中断処理手段とを備える構成とすることができる。
【0018】
【発明の実施の形態】
〔概略構成〕
本発明に係るネットワーク中継装置の概略構成を図1に基づいて説明する。
【0019】
ここでは、ネットワークインターフェイス3により受信したパケットデータをその制御情報に基づいて経路選択して該当する送信先へのルーティング処理を実行するルーティング処理部1と、ルーティング処理部1によるルーティング処理と併行してパケットデータを蓄積手段4に蓄積する蓄積処理部2と、蓄積手段4内に蓄積されたパケットデータを不正侵入解析手段5に解析させる解析開始タイミングを設定する解析開始処理手段6とを備える構成である。
【0020】
このネットワーク中継装置は、インターネットなどの外部ネットワーク(WAN)と内部ネットワーク(LAN)とを結合して、それぞれのネットワーク内を流れるパケットデータをその送信先に送信するための経路選択を行うように構成できる。したがって、ネットワークインターフェイス3は、それぞれ異なるネットワークに接続される複数のネットワークインターフェイスで構成される。
【0021】
また、このネットワーク中継装置は、マイクロプロセッサで構成される中央処理ユニット(CPU)を備えており、このCPU内の1機能としてルーティング処理部1が実現されるように構成できる。
【0022】
蓄積手段4は、たとえば、このネットワーク中継装置に内蔵されるハードディスクドライブで構成することができる。この場合、蓄積処理部2は、ネットワークインターフェイス3を通過するパケットデータを蓄積手段4に格納するためのハードディスクインターフェイスで構成することができる。
【0023】
不正侵入解析手段5は、CPUの1機能として構成することができる。この場合、解析開始処理手段6は、CPUの空き時間を検出して不正侵入解析手段5による解析処理を開始させるように構成できる。
【0024】
〔第1実施形態〕
本発明の第1実施形態について、図2に基づいて説明する。
【0025】
この第1実施形態では、ネットワーク中継装置としてインターネットなどの外部ネットワークとLANなどの内部ネットワークとの間でパケットデータの中継を行うルータ10を構成する。
【0026】
ルータ10は、外部ネットワークおよび内部ネットワークを流れるパケットデータのルーティング処理およびその他の処理を実行するためのCPU111を備えている。このCPU111は、ルーティング処理を実行するルーティング機能部112と、パケットデータが不正侵入によるものか否かを判定するための解析機能部113と、CPU111の空き時間を判定する空き時間判定部114を含んでいる。
【0027】
ルーティング機能部112は、CPU111がルーティング処理を行うためのアプリケーションを実行することにより実現されるものであり、インターネットなどの外部ネットワークに接続されるWAN-IF131と、LANなどの内部ネットワークに接続されるLAN-IF132とを流れるパケットデータの中継を行うために、各パケットデータの送信先アドレスに基づいて経路選択を行ってルーティング処理を行う。
【0028】
WAN-IF131およびLAN-IF132は、ルーティング処理のためにルーティング機能部112にパケットデータを送出するとともに、このパケットデータを蓄積するためにHDD-IF121にパケットデータを送出する。HDD-IF121は、このルータ10に内蔵されるハードディスクドライブ(HDD)141にデータを格納したりHDD141に格納されているデータを読み出すためのインターフェイスであり、たとえば、ATA、SCSIなどのデータ転送方式に対応するインターフェイスで構成される。WAN-IF131およびLAN-IF132を介してルーティング処理部112に入力されるパケットデータは、HDD-IF121に送出され、逐次HDD141に格納される。
【0029】
解析機能部113は、CPU111が不正侵入解析処理を行うためのアプリケーションを実行することにより実現されるものであり、HDD-IF121によりHDD141から読み出されるパケットデータを予め用意されている不正アクセスに特徴的なトラフィックパターンと比較し、不正侵入が行われたか否かの不正侵入の解析を実行する。
【0030】
空き時間判定部114は、たとえば、CPU111の稼働率を判定するアプリケーションから稼働率を現在のCPU111の稼働率情報を取得し、この稼働率情報が所定値以下である場合に、CPU111の空き時間であると判定して解析機能部113による不正侵入解析処理を実行させるように構成できる。
【0031】
このように構成した本発明の第1実施形態では、CPU111に構成されるルーティング機能部112により外部ネットワークおよび内部ネットワークを流れるパケットデータを対応する送信先アドレスにルーティング処理するとともに、HDD-IF121を介して各パケットデータをHDD141に格納しているため、ルーティング処理に用いられるハードウェア資源を不正侵入解析処理に割く必要がなく、処理能力を落とすことなくルーティング処理を実行させることができる。
【0032】
また、空き時間判定部114によりCPU111の空き時間を判定して、空き時間であると判断した場合にHDD141内に蓄積されたパケットデータを読み出して、ルーティング処理されたパケットデータに不正侵入がなかったかどうかの解析処理を行っているため、リアルタイムでの不正侵入解析処理を行う場合に比してセキュリティ信頼度は落ちるものの、不正侵入に対して迅速に対応することが可能となる。
【0033】
〈解析フラグ〉
HDD-IF121は、WAN-IF131およびLAN-IF132を通過してきたパケットデータをHDD141に蓄積する際に、そのパケットデータに対して解析フラグを付加して蓄積するように構成できる。
【0034】
この場合、CPU111では、解析フラグが付加されたパケットデータについてのみ解析機能部113による不正侵入解析処理を実行するように構成できる。
【0035】
このように構成した場合には、図3に示すように、WAN-IF131およびLAN-IF132からのパケットデータを全て蓄積インターフェイス201を介してCPU111に送受信するように構成する。この場合、蓄積インターフェイス201は、HDD141との間でデータ転送が可能なハードディスクインターフェイスを備えるものとする。
【0036】
蓄積インターフェイス201は、通過するパケットデータのうちHDD141に蓄積するパケットデータについて、解析フラグを付加してHDD141に格納するものであり、たとえば、WAN-IF131から受け取ったパケットデータについてのみ解析フラグを付加するように構成することが可能である。
【0037】
CPU111では、蓄積インターフェイス201から受け取るパケットデータのうち、解析フラグが付加されたものについてだけ解析機能部113による不正侵入解析処理を実行し、それ以外のものについてはルーティング機能部112によるルーティング処理を実行するように構成できる。
【0038】
このように構成することにより、CPU111の入出力用のピン数を削減することが可能となり、配線数を削減し、結線作業を軽減することができる。
【0039】
また、WAN-IF131を介して受信するパケットデータについてのみ解析フラグを付加することにより、LAN-IF132を介して内部ネットワークから外部ネットワークに送出されるパケットデータについての不正侵入解析処理を省略することができ、CPU111の負担を軽減できる。
【0040】
さらに、解析機能部113は、リアルタイムで不正侵入解析処理を実行するプログラムと、HDD141に一旦蓄積されたパケットデータの不正侵入解析処理を実行するプログラムとを同一のアプリケーションで実現することが可能となり、リソースを節約できメンテナンス性の向上を図ることも可能となる。
【0041】
〈空き時間検出〉
このルータ10には、不正侵入解析処理を開始することをユーザが指示するための開始ボタンを設けることが可能である。この場合、ユーザが開始ボタンを操作することにより解析開始指示を行うことで、空き時間判定部114はこの指示信号を受け付けて解析機能部113に不正侵入解析処理の開始を指示する。解析機能部113は、蓄積インターフェイス201を介してHDD141に蓄積されたパケットデータを読み出して不正侵入解析処理を実行する。
【0042】
また、ユーザがLAN-IF132を介して送信してくるパケットデータが所定のデータである場合に、空き時間判定部114が不正侵入解析処理を開始するタイミングを判定するように構成できる。たとえば、ルータ10に設定されているWebページに解析開始ボタンを設定しておき、ユーザがこの解析開始ボタンを操作した場合に、蓄積インターフェイス201を介して空き時間判定部114が解析開始指示信号を受信し、解析機能部113に不正侵入解析処理を開始させるように構成できる。
【0043】
さらに、空き時間判定部114が内部にスケジューラを内蔵し、予め設定される解析開始時刻になると、解析機能部113に不正侵入開始処理を実行させるように構成できる。スケジューラに設定される解析開始時刻は、ユーザが設定できるように構成することが可能であり、ルーティング処理が少ないと見なされる時刻を解析開始時刻のデフォルト値として設定しておくことも可能である。
【0044】
このように構成することにより、空き時間判定部114の構成が簡単な構成で実現することが可能となり、ユーザの利便性を損なうおそれがなくなる。
【0045】
さらに、図4に示すように、LAN-IF132に接続されている各端末の状態情報を取得して管理する端末ステータス取得部151を備える構成とすることができる。この端末ステータス取得部151は、LAN-IF132を介してルータ10に接続されている端末に対して、一定時間毎にパケットデータを送信し、これに対する応答がなければその端末がアクティブな状態でないとしてこの状態情報を所定の領域に格納するように構成される。たとえば、ルータ10に接続されている各端末に対して、DHCP(Dynamic Host Configuration Protocol)によりIPアドレスが割り当てられている場合に、ルータ10がDHCPで割り当てた各IPアドレスに対して所定時間毎にPING(Packet INternet Groper)によりICMP(Internet Control Message Protocol)などのプロトコルによるパケットデータを送信する。このパケットデータに対して各端末からの応答がない場合、空き時間判定部114は、このルータ10を介して外部ネットワーク側にアクセスを行う端末がないと判断して、解析機能部113に対する不正侵入解析処理の実行開始を指示する。
【0046】
このように構成することにより、DHCPによりIPアドレスが割り当てられている端末だけについてその状態を調べて、各端末の状態に応じて不正侵入解析処理を実行するように構成できる。
【0047】
〔第2実施形態〕
本発明の第2実施形態について、図5に基づいて説明する。
【0048】
ルータ10は、ルーティング処理を実行するためのルーティング機能部112を含むCPU111と、インターネットなどの外部ネットワークに接続されるWAN-IF131と、LANなどの内部ネットワークに接続されるLAN-IF132と、WAN-IF131およびLAN-IF132を介して送受信するパケットデータをルーティング機能部112に送信する蓄積インターフェイス201とを備えている。
【0049】
ルーティング機能部112は、第1実施形態と同様に、外部ネットワークおよび内部ネットワークを流れるパケットデータの中継を行うために、各パケットデータの送信先アドレスに基づいて経路選択を行ってルーティング処理を行う。
【0050】
WAN-IF131およびLAN-IF132は、ルーティング処理のために蓄積インターフェイス201を介してルーティング機能部112にパケットデータを送出する。
【0051】
蓄積インターフェイス201は、WAN-IF131、LAN-IF132とルーティング機能部112との間のパケットデータの受け渡しを行うとともに、このパケットデータを一旦アセンブルしてアドレスの書き換えなどのカプセル化処理をした後フラグメンテーション化し、ルータ10に接続されている侵入解析用端末301に送信する。
【0052】
侵入解析用端末301は、不正侵入解析用のアプリケーションを搭載した通常のパーソナルコンピュータで構成され、ルータ10内のネットワークインターフェイス133を介して蓄積インターフェイス201と接続される。ネットワークインターフェイス133は、LAN-IF132と共用することも可能であり、ルータ10と侵入解析要端末301との間のデータ転送のみを行うインターフェイスで構成することも可能である。
【0053】
侵入解析用端末301は、ルータ10の蓄積インターフェイス201から送信されてくるパケットデータの不正侵入解析処理を実行し、その解析結果をルータ10に送出する。侵入解析用端末301は、送信されてくるパケットデータについて逐次不正侵入解析処理を実行するように構成することも可能であり、また、送信されてくるパケットデータをハードディスクなどに蓄積しておいて、所定の解析開始タイミングに基づいて不正侵入解析処理を開始するように構成することも可能である。解析開始タイミングは、▲1▼侵入解析端末のオペレータが所定のボタンを操作する、▲2▼ユーザまたはルータ10からの所定のパケットデータを受信する、▲3▼内部スケジューラに設定された開始タイミングを使用する、その他のトリガーを想定することが可能である。
【0054】
このように構成した場合には、不正侵入解析処理を実行するための解析機能部をルータ10のCPU111から分離することで、CPU111が利用できるリソースが増えるため、ルーティング機能部112の処理能力を損なわれることがない。また、ルーティング機能部112においてルーティング処理が行われたパケットデータの不正侵入解析処理を、専用の侵入解析用端末301で詳細に行うことが可能であり、種々の攻撃パターンに対応して不正侵入を検知することが可能となる。
【0055】
〔第3実施形態〕
本発明の第3実施形態を図6に基づいて説明する。
【0056】
ルータ10は、CPU111と、WAN-IF131、LAN-IF132および仲介IF202を含んでいる。CPU111は、ルーティング処理を実行するためのルーティング機能部112と、ルーティング機能部112でルーティング処理するパケットデータの不正侵入解析処理を行う解析機能部113を含んでいる。また、インターネットなどの外部ネットワークに接続されるWAN-IF131と、LANなどの内部ネットワークに接続されるLAN-IF132とは、WAN-IF131およびLAN-IF132を介して送受信するパケットデータをCPU111と送受信する仲介インターフェイス202に接続されている。
【0057】
ルーティング機能部112は、第1実施形態と同様に、外部ネットワークおよび内部ネットワークを流れるパケットデータの中継を行うために、各パケットデータの送信先アドレスに基づいて経路選択を行ってルーティング処理を行う。
【0058】
また、解析機能部113は、ルーティング機能部112でルーティング処理されるパケットデータの不正侵入解析処理をリアルタイムで実行するために、不正解析処理用のアプリケーションを実行するものである。
【0059】
仲介インターフェイス202は、WAN-IF131およびLAN-IF132を介して送受信するパケットデータを、各ネットワークインターフェイスとCPU111との間で仲介するものである。また、仲介インターフェイス202は、所定パケットデータを受信することにより、CPU111に対して解析機能部113による不正侵入解析処理を中断する旨の中断信号を送信するように構成される。
【0060】
たとえば、LAN-IF132からのパケットデータ中に、特定のアドレスに対するパケットデータがあった場合には、仲介インターフェイス202は、このパケットデータに中断フラグを付加してCPU111に送信する。CPU111では、中断フラグが付加されたパケットデータを受信してから一定時間が経過するまで、解析機能部113による不正解析処理を中断するように構成する。
【0061】
このように構成することにより、ユーザが高速処理を希望するパケットデータについて、解析機能部113によるリアルタイムでの不正侵入解析処理を中断して処理速度を高速化することができる。
【0062】
なお、仲介インターフェイス202にHDDインターフェイス機能を持たせて、解析機能部113における不正侵入解析処理の中断中におけるパケットデータをHDDに蓄積し、CPU111の空き時間に不正侵入解析処理を実行させるように構成することも可能である。さらに、仲介インターフェイス202がネットワークインターフェイスを介して侵入解析用端末に接続される構成とし、不正侵入解析処理の中断中におけるパケットデータを侵入解析用端末に送信して不正侵入解析処理を実行させるように構成することも可能である。
【0063】
〔第4実施形態〕
本発明の第4実施形態を図7に基づいて説明する。
【0064】
ルータ10は、ルーティング処理を実行するためのルーティング機能部112を含むCPU111と、インターネットなどの外部ネットワークに接続されるWAN-IF131と、LANなどの内部ネットワークに接続されるLAN-IF132と、WAN-IF131およびLAN-IF132を介して送受信するパケットデータをルーティング機能部112に送信する蓄積インターフェイス201とを備えている。
【0065】
ルーティング機能部112は、外部ネットワークおよび内部ネットワークを流れるパケットデータの中継を行うために、各パケットデータの送信先アドレスに基づいて経路選択を行ってルーティング処理を行う。
【0066】
WAN-IF131およびLAN-IF132は、ルーティング処理のために蓄積インターフェイス201を介してルーティング機能部112にパケットデータを送出する。
【0067】
蓄積インターフェイス201は、WAN-IF131、LAN-IF132とルーティング機能部112との間のパケットデータの受け渡しを行うとともに、このパケットデータをHDD141に蓄積する。HDD141に蓄積されるパケットデータは、ペイロードを除いたものとすることができ、圧縮および/または暗号化したものとすることができる。
【0068】
空き時間判定部114は、前述の実施形態に記載したように、ユーザのボタン操作、ユーザから送信されてくる所定のパケットデータ、スケジューラに予め設定された時刻、接続されている端末の状態情報などに基づいて解析開始タイミングを判定し、蓄積インターフェイス201に開始タイミング信号を送信する。
【0069】
蓄積インターフェイス201は、LAN-IF132またはその他のネットワークインターフェイスを介して侵入解析用端末301に接続されており、空き時間判定部114からの開始タイミング信号を受信することにより、HDD141に蓄積されているパケットデータを読み出して、一旦アセンブルしカプセル化した後、フラグメンテーション化して侵入解析用端末301に送信すように構成される。
【0070】
侵入解析用端末301は、不正侵入解析用のアプリケーションを搭載した通常のパーソナルコンピュータで構成され、蓄積インターフェイス201から送信されてきたパケットデータの不正侵入解析処理を実行し、その解析結果をルータ10側に送信する。
【0071】
このような構成にした場合、CPU111の空き時間を判定して蓄積されたパケットデータを侵入解析用端末301に転送して、この侵入解析用端末301に不正侵入解析処理を実行させているため、CPU111として低スペックのものを採用してもルーティング処理の能力を損なうことがない。
【0072】
<付記>
(付記1)
ネットワークから受信したパケットデータをその制御情報に基づいて経路選択を行い該当する送信先へのルーティング処理を実行するルーティング処理部を含む中央処理ユニットと、
前記ルーティング処理部によるルーティング処理と併行して、ルーティング処理されるパケットデータを所定の蓄積手段に蓄積する蓄積処理部と、
前記蓄積手段に蓄積されたパケットデータが不正な侵入データであるか否かの解析を開始する解析開始タイミングを設定し、この解析開始タイミングに基づいてパケットデータが不正な侵入データであるか否かを判別するための不正侵入解析手段に対して前記蓄積手段に蓄積されたパケットデータの解析を開始させる解析開始処理手段と、
を備えるネットワーク中継装置。
(付記2)
前記蓄積処理部は前記不正侵入解析手段による解析が必要なパケットデータに対して解析フラグを設定して前記蓄積手段に蓄積し、前記不正侵入解析手段は前記解析フラグが設定されたパケットデータのみ解析を行う、付記1に記載のネットワーク中継装置。
(付記3)
前記中央処理ユニットが前記不正侵入解析手段を含み、前記解析開始処理手段は前記中央処理ユニットの稼働率が所定値以下になったときに解析開始タイミングを設定する、付記1または2に記載のネットワーク中継装置。
(付記4)
前記解析開始処理手段は、解析開始タイミングに関する指示入力を受け付ける受付手段を備え、前記受付手段により受け付けた指示入力に基づいて解析開始タイミングを設定する、付記1または2に記載のネットワーク中継装置。
(付記5)
前記解析開始処理手段は、前記ルーティング処理部に接続される端末の状態情報を取得し、各端末の状態情報に基づいて前記解析開始タイミングを設定する、付記1または2に記載のネットワーク中継装置。
(付記6)
前記ルーティング処理部に接続される端末のうちの少なくとも1つが前記不正侵入解析手段を備え、前記解析開始処理手段は解析開始タイミングに応じて前記蓄積手段に蓄積されたパケットデータをカプセル化して前記不正侵入解析手段を有する端末に送信する、付記1に記載のネットワーク中継装置。
(付記7)
前記蓄積処理部はハードディスクインターフェイスを備え、前記蓄積手段としてハードディスクドライブを内蔵する、付記1〜6のいずれかに記載のネットワーク中継装置。
(付記8)
前記蓄積処理部は、前記パケットデータを圧縮して前記蓄積手段に蓄積する、付記7に記載のネットワーク中継装置。
(付記9)
前記蓄積処理部は、前記パケットデータを暗号化して前記蓄積手段に蓄積する、付記7に記載のネットワーク中継装置。
(付記10)
ネットワークから受信したパケットデータをその制御情報に基づいて経路選択を行い該当する送信先へのルーティング処理を実行するルーティング処理部および受信したパケットデータが不正な侵入データであるか否かの解析を行う不正侵入解析部を含む中央処理ユニットと、
前記不正侵入解析部による解析が不要であるパケットデータに解析不要フラグを設定し、前記不正侵入解析部による解析を一定時間中断させる解析中断処理手段と、
を備えるネットワーク中継装置。
【0073】
【発明の効果】
本発明によれば、ルーティング処理の能力を低下させることなく、効率的に不正侵入の有無を解析可能なネットワーク中継装置を提供することができる。
【図面の簡単な説明】
【図1】本発明の概略構成を示すブロック図。
【図2】第1実施形態の制御ブロック図。
【図3】その変形例の制御ブロック図。
【図4】その変形例の制御ブロック図。
【図5】第2実施形態の制御ブロック図。
【図6】第3実施形態の制御ブロック図。
【図7】第4実施形態の制御ブロック図。

Claims (4)

  1. ネットワークから受信したパケットデータをその制御情報に基づいて経路選択を行い該当する送信先へのルーティング処理を実行するルーティング処理部を含む中央処理ユニットと、
    前記ルーティング処理部によるルーティング処理と併行して、ルーティング処理されるパケットデータを所定の蓄積手段に蓄積する蓄積処理部と、
    前記蓄積手段に蓄積されたパケットデータが不正な侵入データであるか否かの解析を開始する解析開始タイミングを設定し、この解析開始タイミングに基づいてパケットデータが不正な侵入データであるか否かを判別するための不正侵入解析手段に対して前記蓄積手段に蓄積されたパケットデータの解析を開始させる解析開始処理手段と、
    を備えるネットワーク中継装置。
  2. 前記蓄積処理部は前記不正侵入解析手段による解析が必要なパケットデータに対して解析フラグを設定して前記蓄積手段に蓄積し、前記不正侵入解析手段は前記解析フラグが設定されたパケットデータのみ解析を行う、請求項1に記載のネットワーク中継装置。
  3. 前記中央処理ユニットが前記不正侵入解析手段を含み、前記解析開始処理手段は前記中央処理ユニットの稼働率が所定値以下になったときに解析開始タイミングを設定する、請求項1または2に記載のネットワーク中継装置。
  4. ネットワークから受信したパケットデータをその制御情報に基づいて経路選択を行い該当する送信先へのルーティング処理を実行するルーティング処理部および受信したパケットデータが不正な侵入データであるか否かの解析を行う不正侵入解析部を含む中央処理ユニットと、
    特定のアドレスに対するパケットデータを前記不正侵入解析部による解析が不要であると判断しこの特定のアドレスに対するパケットデータに解析不要フラグを設定し、前記不正侵入解析部による解析を一定時間中断させる解析中断処理手段と、
    を備えるネットワーク中継装置。
JP2002159290A 2002-05-31 2002-05-31 ネットワーク中継装置 Expired - Fee Related JP4361714B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2002159290A JP4361714B2 (ja) 2002-05-31 2002-05-31 ネットワーク中継装置
US10/284,117 US7385980B2 (en) 2002-05-31 2002-10-31 Network relay device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002159290A JP4361714B2 (ja) 2002-05-31 2002-05-31 ネットワーク中継装置

Publications (2)

Publication Number Publication Date
JP2004007170A JP2004007170A (ja) 2004-01-08
JP4361714B2 true JP4361714B2 (ja) 2009-11-11

Family

ID=29561573

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002159290A Expired - Fee Related JP4361714B2 (ja) 2002-05-31 2002-05-31 ネットワーク中継装置

Country Status (2)

Country Link
US (1) US7385980B2 (ja)
JP (1) JP4361714B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7467202B2 (en) * 2003-09-10 2008-12-16 Fidelis Security Systems High-performance network content analysis platform
US8130768B1 (en) * 2005-07-14 2012-03-06 Avaya Inc. Enhanced gateway for routing between networks
US20070153796A1 (en) * 2005-12-30 2007-07-05 Intel Corporation Packet processing utilizing cached metadata to support forwarding and non-forwarding operations on parallel paths
WO2009066349A1 (ja) * 2007-11-19 2009-05-28 Duaxes Corporation 通信制御装置及び通信制御方法
EP3703418A3 (en) 2011-06-24 2020-11-18 Vodafone IP Licensing limited Telecommunication networks
US10979334B1 (en) * 2015-10-02 2021-04-13 MyDigitalShield, Inc. Systems and methods for monitoring network traffic

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07146788A (ja) 1993-11-22 1995-06-06 Fujitsu Ltd ウイルス診断機構の作成システムと作成方法並びにウイルス診断機構と診断方法
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
JP3926898B2 (ja) 1997-10-16 2007-06-06 株式会社バッファロー 集線装置、集線装置のエラー通知方法および集線装置のためのエラー通知プログラムを記録したコンピュータ読み取り可能な記録媒体
JP2000216830A (ja) 1999-01-22 2000-08-04 Hitachi Ltd 多段ファイアウォ―ルシステム
US6510523B1 (en) * 1999-02-22 2003-01-21 Sun Microsystems Inc. Method and system for providing limited access privileges with an untrusted terminal
JP2000354034A (ja) 1999-06-10 2000-12-19 Yoshimi Baba 事業:ハッカー監視室
JP2001203761A (ja) 2000-01-20 2001-07-27 Dainippon Printing Co Ltd 中継装置、および同装置を備えたネットワークシステム
JP3448254B2 (ja) 2000-02-02 2003-09-22 インターナショナル・ビジネス・マシーンズ・コーポレーション アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体
JP2002027012A (ja) 2000-07-03 2002-01-25 Fujitsu Ltd ネットワーク接続装置
JP2002101115A (ja) 2000-09-26 2002-04-05 Matsushita Electric Works Ltd ネットワーク接続装置
US6944154B2 (en) * 2000-12-06 2005-09-13 International Business Machines Corporation System and method for remultiplexing of a filtered transport stream with new content in real-time
US7533409B2 (en) * 2001-03-22 2009-05-12 Corente, Inc. Methods and systems for firewalling virtual private networks
KR100398281B1 (ko) * 2001-04-17 2003-09-19 시큐아이닷컴 주식회사 패킷 차단방식 방화벽 시스템에서의 고속 정책 판별 방법
US7512980B2 (en) * 2001-11-30 2009-03-31 Lancope, Inc. Packet sampling flow-based detection of network intrusions
US7062048B2 (en) * 2003-01-27 2006-06-13 Wegener Communications, Inc. Apparatus and method for single encryption with multiple authorization of distributed content data

Also Published As

Publication number Publication date
US20030223419A1 (en) 2003-12-04
US7385980B2 (en) 2008-06-10
JP2004007170A (ja) 2004-01-08

Similar Documents

Publication Publication Date Title
US7031267B2 (en) PLD-based packet filtering methods with PLD configuration data update of filtering rules
US20020083331A1 (en) Methods and systems using PLD-based network communication protocols
US20020080784A1 (en) Methods and systems using PLD-based network communication protocols
CN109479013B (zh) 计算机网络中的业务的日志记录
US9060013B2 (en) Network system, network relay method, and network relay device
CN104601570A (zh) 一种基于旁路监听和软件抓包技术的网络安全监控方法
EP1906591A2 (en) Method, device and system for detecting layer 2 loop
CN113890816A (zh) 网络健康状态分析方法、装置、计算机设备和存储介质
JP4361714B2 (ja) ネットワーク中継装置
US9225650B2 (en) Network system, gateway, and packet delivery method
JP3859490B2 (ja) 通信路のスイッチ接続制御システム
JP4020835B2 (ja) ネットワーク監視装置
CN112671662A (zh) 数据流加速方法、电子设备和存储介质
JP3892322B2 (ja) 不正アクセス経路解析システム及び不正アクセス経路解析方法
JP2006050442A (ja) トラヒック監視方法及びシステム
JP2004200773A (ja) プロトコル不具合自動検出方法、及び、プロトコル不具合自動検出装置
CN112134845A (zh) 一种抗拒绝服务系统
KR20040003977A (ko) 아이피 충돌 검출/차단 시스템 및 그 방법
JP3725140B2 (ja) パケット転送装置およびパケット転送方法
CN113098904B (zh) 网络设备的通信方法及装置
US11637739B2 (en) Direct memory access (DMA) engine for diagnostic data
CN115118473B (zh) 数据处理方法、装置、设备及存储介质
Qadeer et al. Bottleneck analysis and traffic congestion avoidance
Zhang et al. An Introduction to Data Capturing
JP2003318984A (ja) Pdu観測方法、コネクションレス型データ通信装置、およびpdu観測装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040624

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070313

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070514

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070605

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20080929

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080930

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090813

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4361714

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120821

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120821

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130821

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees