JP4537538B2 - 不正侵入検知システム - Google Patents

不正侵入検知システム Download PDF

Info

Publication number
JP4537538B2
JP4537538B2 JP2000170727A JP2000170727A JP4537538B2 JP 4537538 B2 JP4537538 B2 JP 4537538B2 JP 2000170727 A JP2000170727 A JP 2000170727A JP 2000170727 A JP2000170727 A JP 2000170727A JP 4537538 B2 JP4537538 B2 JP 4537538B2
Authority
JP
Japan
Prior art keywords
packet
rule
address
detection
unauthorized intrusion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2000170727A
Other languages
English (en)
Other versions
JP2001350678A (ja
Inventor
信博 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2000170727A priority Critical patent/JP4537538B2/ja
Publication of JP2001350678A publication Critical patent/JP2001350678A/ja
Application granted granted Critical
Publication of JP4537538B2 publication Critical patent/JP4537538B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は、ネットワーク上を流れるパケットを入手して動作する不正侵入検知システムの設定方法に関する。
【0002】
【従来の技術】
図17は、例えばコンピュータ・セキュリティ・シンポジウム’99にて発表された「パケット監視によるネットワーク侵入検出システムの実装と評価」に代表されるような従来の侵入検知システムである。
【0003】
ネットワーク5は、WWWサーバ1、MAILサーバ2、正常マシン3、不正マシン4などを接続している。ネットワーク5上には、データ転送の為にパケット6が流れている。
【0004】
そのため、不正侵入検知システムは、通信手段7、IPアドレステーブル10、IPアドレステーブル設定手段11、WWWサーバ用不正侵入判定ルール12、MAILサーバ用不正侵入判定ルール13、不正侵入判定ルールテーブル15、不正侵入判定ルールテーブル設定手段16、パケット情報取得手段17、IPアドレステーブル取得手段18、不正侵入判定ルールテーブル取得手段19、不正侵入判定ルール実行手段20、対策実行手段22を備えている。
【0005】
通信手段7は、ネットワーク5とパケット6のやりとりを行う。
【0006】
IPアドレステーブル10は、マシン名8とIPアドレス9の関係をまとめたIPアドレスリストを記述している。尚、マシン名8は、WWWサーバ1、MAILサーバ2、正常マシン3や不正マシン4などを識別する。また、IPアドレス9は、WWWサーバ1やMAILサーバ2や正常マシン3や不正マシン4などが送受するパケット6の中に含まれるIPアドレスである。
【0007】
IPアドレステーブル設定手段11は、IPアドレステーブル10を設定する。
【0008】
WWWサーバ用不正侵入判定ルール12は、パケット6の情報をもとにWWWサーバに対する不正侵入を判定するルールである。
【0009】
MAILサーバ用不正侵入判定ルール13は、パケット6の情報をもとにMAILサーバに対する不正侵入を判定するルールである。
【0010】
不正侵入判定ルールテーブル15は、マシン名8と不正侵入判定ルール名14の関係をまとめた不正侵入判定ルールリストを記述している。尚、不正侵入判定ルール名14は、WWWサーバ用不正侵入判定ルール12やMAILサーバ用不正侵入判定ルール13などを識別するルール名である。
【0011】
不正侵入判定ルールテーブル設定手段16は、不正侵入判定ルールテーブル15を設定する。
【0012】
パケット情報取得手段17は、通信手段7からパケット6を取得する。
【0013】
IPアドレステーブル取得手段18は、IPアドレステーブル10からIPアドレスリストを取得する。
【0014】
不正侵入判定ルールテーブル取得手段19は、不正侵入判定ルールテーブル15から不正侵入判定ルールリストを取得する。
【0015】
不正侵入判定ルール実行手段20は、IPアドレスリストから、パケット6から取り出したIPアドレス9に対応するマシン名8を特定し、不正侵入判定ルールテーブルリストからそのマシン名8に対応する不正侵入判定ルールを特定し、その不正侵入判定ルールを実行する。
【0016】
対策実行手段22は、不正侵入判定ルール実行手段20の結果に応じて、アラーム出力などの制御を行なう。これにより、不正侵入判定ルール実行結果が不正侵入と判定されたときにアラームが出力する。
【0017】
このような従来の侵入検知システムにおいては、パケット情報取得手段17により通信手段7から得られたパケット6を利用し、IPアドレステーブル設定手段11によってユーザーから設定されたIPアドレステーブル10と、不正侵入判定ルールテーブル設定手段16によってユーザーから設定された不正侵入判定ルールテーブル15に基づき、不正侵入判定ルール実行手段20が該当する不正侵入判定ルールを呼び出して侵入検知を行う。
【0018】
従来の侵入検知システムにおいては、ユーザーが手作業によりIPアドレステーブル10と不正侵入判定ルールテーブル15を設定していた為、煩雑であるという欠点があった。
【0019】
また、マシンが追加された場合にユーザが再設定しなくてはならないという欠点があった。
【0020】
また、マシン上で新たなサーバが実行されるようになった場合にユーザが再設定しなくてはならないという欠点があった。
【0021】
また、設定時にユーザが操作ミスを犯して意図しない設定のまま実行されるという問題もあった。
【0022】
【発明が解決しようとする課題】
本発明は、上記した従来技術の欠点を除くためになされたものであって、IPアドレステーブルと不正侵入判定ルールテーブルの設定変更を自動的に行うものである。
【0023】
また、マシンが追加された場合に自動的にIPアドレステーブルを変更する。
【0024】
また、そのマシン上で稼働しているサーバを自動的に判定し、不正侵入判定ルールテーブルを変更する。
【0025】
また、マシン上で新たなサービスが稼働した場合に自動的に不正侵入判定ルールテーブルを変更する。
【0026】
【課題を解決するための手段】
この発明に係る不正侵入検知システムは、ネットワークを介してマシンに接続し、マシンに対する不正侵入を検知する不正侵入検知システムであって、以下の要素を有することを特徴とする。
(1)ネットワークに接続するマシンの識別情報と、マシンのIPアドレスとを対応つけて記憶するIPアドレステーブル、
(2)ネットワークに接続するマシンの識別情報と、マシンに対する不正侵入を判定する不正侵入判定ルールの識別情報とを対応付けて記憶する不正侵入判定ルールテーブル、
(3)ネットワークを介してパケットの送受信を行なう通信手段、
(4)通信手段からパケットを取得し、取得したパケットに含まれるIPアドレスを取り出すパケット情報取得手段、
(5)IPアドレステーブルから、パケット情報取得手段により取り出したIPアドレスと一致するIPアドレスに対応するマシンの識別情報を選択し、
不正侵入判定ルールテーブルから、選択したマシンの識別情報と一致する識別情報に対応する不正侵入判定ルールの識別情報を選択し、
選択した識別情報で識別される不正侵入判定ルールに従って、不正侵入を判定する不正侵入判定ルール実行手段、
(6)通信手段からパケットを取得し、
取得したパケットに含まれるIPアドレスを取り出し、
取り出したIPアドレスで特定されるマシンに対して接続し、
接続したマシン上で動作しているサーバの種類を取得し、
取得したサーバの種類に適した不正侵入判定ルールを選択し、
接続したマシンの識別情報を生成する検出ルール実行手段、
(7)検出ルール実行手段により生成したマシンの識別情報と、取り出したIPアドレスとを対応つけて、IPアドレステーブルに記憶させるIPアドレステーブル変更手段、
(8)検出ルール実行手段により生成したマシンの識別情報と、選択した不正侵入判定ルールの識別情報とを対応付けて、不正侵入判定ルールテーブルに記憶させる不正侵入判定ルールテーブル変更手段。
【0027】
また、不正侵入検知システムは、更に、サーバの種類と、そのサーバの種類に適した不正侵入判定ルールの識別情報とを対応つけて記憶する検出ルールテーブルを有し、
検出ルール実行手段は、検出ルールテーブルで、サーバの種類に対応つけられる不正侵入判定ルールの識別情報を出力することを特徴とする。
【0028】
また、不正侵入検知システムは、更に、IPアドレステーブルに、検出ルール実行手段により取り出したIPアドレスと一致するIPアドレスが記憶されているかを検査するIPアドレス設定済検査手段を有し、
IPアドレステーブル変更手段は、IPアドレス設定済検査手段により、一致するIPアドレスが記憶されていないと判断した場合に、検出ルール実行手段により生成したマシンの識別情報と、取り出したIPアドレスとを対応つけて、IPアドレステーブルに記憶させることを特徴とする。
【0029】
また、不正侵入検知システムは、更に、不正侵入判定ルールテーブルに、検出ルール実行手段により選択した不正侵入判定ルールの識別情報と一致する識別情報が記憶されているかを検査する不正侵入判定ルール設定済検査手段を有し、
不正侵入判定ルールテーブル変更手段は、不正侵入判定ルール設定済検査手段により、一致する不正侵入判定ルールの識別情報が記憶されていないと判断した場合に、検出ルール実行手段により生成したマシンの識別情報と、選択した不正侵入判定ルールの識別情報とを対応付けて、不正侵入判定ルールテーブルに記憶させることを特徴とする。
【0030】
また、不正侵入検知システムは、更に、IPアドレステーブルから、マシンの識別情報と、マシンのIPアドレスとを取得するIPアドレステーブル再取得手段と、
不正侵入判定ルールテーブルから、IPアドレステーブル再取得手段により取得したマシンの識別情報と一致する識別情報に対応する不正侵入判定ルールの識別情報を取得する不正侵入判定ルールテーブル再取得手段と、
検出ルール実行手段に、IPアドレステーブル再取得手段により取得したIPアドレスで特定されるマシンに接続させ、接続したマシン上で動作しているサーバの種類を取得させる検出ルール再実行手段とを有し、
不正侵入判定ルールテーブル変更手段は、不正侵入判定ルールテーブル再取得手段により取得した不正侵入判定ルールの識別情報により識別される不正侵入識別ルールが適するサーバの種類と、ルール実行手段により取得したサーバの種類とが一致しない場合に、
不正侵入判定ルールテーブルから、不正侵入判定ルールテーブル再取得手段により取得した不正侵入判定ルールの識別情報を削除することを特徴とする。
【0031】
また、不正侵入検知システムは、更に、IPアドレステーブルから、マシンの識別情報と、マシンのIPアドレスとを取得するIPアドレステーブル再取得手段と、
検出ルール実行手段に、IPアドレステーブル再取得手段により取得したIPアドレスで特定されるマシンに接続させる検出ルール再実行手段とを有し、
IPアドレステーブル変更手段は、検出ルール実行手段による接続ができない場合に、IPアドレステーブルから、IPアドレステーブル再取得手段により取得したマシンの識別情報と、マシンのIPアドレスとを削除し、
不正侵入判定ルールテーブル変更手段は、IPアドレステーブル再取得手段により取得したマシンの識別情報と、その識別情報に対応する不正侵入判定ルールの識別情報とを削除することを特徴とする。
【0032】
また、不正侵入検知システムは、更に、不正侵入判定ルール手段により不正侵入があったことを判定した場合に、対策としてアラームを出力する対策実行手段と、
対策実行手段により出力されたアラームを検知するアラーム検出手段と、
アラーム検出手段によりアラームを検出した場合に、検出ルール再実行手段を起動する再検出指定手段とを有することを特徴とする。
【0033】
また、不正侵入検知システムは、更に、検出ルールテーブルを暗号化する検出ルールテーブル暗号設定手段と、
暗号化した検出ルールテーブルを復号する検出ルールテーブル復号取得手段と、
IPアドレステーブルを暗号化するIPアドレステーブル暗号設定手段と、
暗号化したIPアドレステーブルを復号するIPアドレステーブル復号取得手段と、
不正侵入判定ルールテーブルを暗号化する不正侵入判定ルールテーブル暗号設定手段と、
暗号化した不正侵入判定ルールテーブルを復号する不正侵入判定ルールテーブル復号取得手段とを有することを特徴とする。
【0034】
また、不正侵入検知システムは、更に、検出ルールテーブルと、IPアドレステーブルと、不正侵入判定テーブルとの変更履歴を生成するテーブル変更保存手段と、
テーブル変更保存手段により生成した変更履歴を格納する履歴テーブルとを有することを特徴とする。
【0035】
また、不正侵入検知システムは、更に、通信手段からパケットを取得して保存するパケット保存手段と、
パケット保存手段に保存したパケット出力するパケット再生手段とを有し、
検出ルール実行手段は、パケット再生手段により出力されるパケットを取得することを特徴とする。
【0036】
また、不正侵入検知システムは、更に、パケット再生手段がパケットを出力するスケジュールを記憶する再生スケジュール記憶部と、
再生スケジュール記憶部に記憶するスケジュールに従って、パケット再生手段へパケットの出力を指示する指定日時パケット再生指示手段とを有することを特徴とする。
【0037】
また、不正侵入検知システムは、更に、システムの負荷状況を取得する負荷取得手段と、
負荷取得手段により取得した負荷状況が、所定の負荷よりも小さいと判断した場合に、パケット再生手段へパケットの出力を指示する低負荷時パケット再生指示手段とを有することを特徴とする。
【0038】
また、不正侵入検知システムは、更に、パケット保存手段からパケットの流通量を取得するパケット流通量取得手段と、
パケット流通量取得手段により取得したパケットの流通量が、所定の流通量よりも少ないと判断した場合に、パケット再生手段へパケットの出力を指示する低ネットワーク負荷時パケット再生指示手段とを有することを特徴とする。
【0039】
【発明の実施の形態】
実施の形態1.
以下本発明を図面に示す実施例に基づいて説明する。
図1は、実施の形態1における侵入検知システムを示す図である。
ネットワーク5は、WWWサーバ1、MAILサーバ2、正常マシン3、不正マシン4などを接続している。ネットワーク5上には、データ転送の為にパケット6が流れている。
【0040】
そのため、不正侵入検知システムは、通信手段7、IPアドレステーブル10、IPアドレステーブル設定手段11、WWWサーバ用不正侵入判定ルール12、MAILサーバ用不正侵入判定ルール13、不正侵入判定ルールテーブル15、不正侵入判定ルールテーブル設定手段16、パケット情報取得手段17、IPアドレステーブル取得手段18、不正侵入判定ルールテーブル取得手段19、不正侵入判定ルール実行手段20、対策実行手段22、パケット情報取得・送出手段23、WWWサーバ用検出ルール24、MAILサーバ用検出ルール25、検出ルールテーブル28、検出ルールテーブル設定手段29、検出ルールテーブル取得手段30、検出ルール実行手段31、IPアドレステーブル変更手段32、不正侵入判定ルールテーブル変更手段33を備える。
【0041】
通信手段7は、ネットワーク5とパケット6のやりとりを行う。
【0042】
IPアドレステーブル10は、マシン名8とIPアドレス9の関係をまとめたIPアドレスリストを記述している。図2は、IPアドレステーブルの構成を示す図である。尚、マシン名8は、WWWサーバ1、MAILサーバ2、正常マシン3や不正マシン4などを識別する。また、IPアドレス9は、WWWサーバ1やMAILサーバ2や正常マシン3や不正マシン4などが送受するパケット6の中に含まれるIPアドレスである。
【0043】
IPアドレステーブル設定手段11は、IPアドレステーブル10を設定する。
【0044】
WWWサーバ用不正侵入判定ルール12は、パケット6の情報をもとにWWWサーバに対する不正侵入を判定するルールである。
【0045】
MAILサーバ用不正侵入判定ルール13は、パケット6の情報をもとにMAILサーバに対する不正侵入を判定するルールである。
【0046】
不正侵入判定ルールテーブル15は、マシン名8と不正侵入判定ルール名14の関係をまとめた不正侵入判定ルールリストを記述している。図3は、ルールテーブルの構成を示す図である。尚、不正侵入判定ルール名14は、WWWサーバ用不正侵入判定ルール12やMAILサーバ用不正侵入判定ルール13などを識別するルール名である。
【0047】
不正侵入判定ルールテーブル設定手段16は、不正侵入判定ルールテーブル15を設定する。
【0048】
パケット情報取得手段17は、通信手段7からパケット6を取得する。
【0049】
IPアドレステーブル取得手段18は、IPアドレステーブル10からIPアドレスリストを取得する。
【0050】
不正侵入判定ルールテーブル取得手段19は、不正侵入判定ルールテーブル15から不正侵入判定ルールリストを取得する。
【0051】
不正侵入判定ルール実行手段20は、IPアドレスリストから、パケット6から取り出したIPアドレス9に対応するマシン名8を特定し、不正侵入判定ルールテーブルリストからそのマシン名8に対応する不正侵入判定ルールを特定し、その不正侵入判定ルールを実行する。
【0052】
対策実行手段22は、不正侵入判定ルール実行手段20の結果に応じて、アラーム出力などの制御を行なう。これにより、不正侵入判定ルール実行結果が不正侵入と判定されたときにアラーム21が出力する。
【0053】
パケット情報取得・送出手段23は、通信手段7からパケット6を取得または送出する。
【0054】
WWWサーバ用検出ルール24は、パケット6の情報をもとにWWWサーバ1かどうかの検出を行うルールである。
【0055】
MAILサーバ用検出ルール25は、パケット6の情報をもとにMAILサーバ2かどうかの検出を行うルールである。
【0056】
検出ルールテーブル28は、種類26と検出ルール27とルール名14の関係をまとめた検出ルールリストを記述している。図4は、検出ルールリストの構成を示す図である。尚、種類26は、マシンがWWWサーバ1かMAILサーバ2かなどを識別する。
【0057】
検出ルールテーブル設定手段29は、検出ルールテーブル28を設定する。
【0058】
検出ルールテーブル取得手段30は、検出ルールテーブル28から検出ルールリストを取り出す。
【0059】
検出ルール実行手段31は、パケット6と検出ルールリストから検出ルール27を実行し、検出ルール27からの要求に応じてパケット情報取得・送出手段23とパケット6のやりとりを行い、検出結果を得る。いずれかのサーバを検出するまで、検出ルールリストにあるすべての検出ルールを実行する。
【0060】
IPアドレステーブル変更手段32は、検出結果を元にIPアドレステーブル10を変更する。
【0061】
不正侵入判定ルールテーブル変更手段33は、検出結果を元に不正侵入判定ルールテーブル15を変更する。
【0062】
次に、動作について説明する。
IPアドレステーブル設定手段11により、予めユーザはWWWサーバ1やMAILサーバ2や正常マシン3や不正マシン4などを識別するマシン名8とIPアドレス9の関係をまとめたIPアドレスリストを記述したIPアドレステーブル10を設定しておくことができる。
【0063】
また、不正侵入判定ルールテーブル設定手段16により、予めユーザはマシン名8とWWWサーバ用不正侵入判定ルール12やMAILサーバ用不正侵入判定ルール13などを識別するルール名14の関係をまとめたルールリストを記述した不正侵入判定ルールテーブル15を設定しておくことができる。
【0064】
そして、ユーザは、検出ルールテーブル設定手段29により、マシンがWWWサーバ1かMAILサーバ2かなどを識別する為の種類26と、WWWサーバ用検出ルール24又はMAILサーバ用検出ルール25の検出ルール27と、WWWサーバ用不正侵入判定ルール12やMAILサーバ用不正侵入判定ルール13などを識別するルール名14を検出ルールテーブル28に設定しておく。
【0065】
不正侵入検知システムは、通信手段7によりそのネットワーク5上でデータをのせて流れるパケット6を入手する。
【0066】
次に、パケット情報取得・送出手段23により、通信手段7からパケット6を取得する。
【0067】
次に、検出ルールテーブル取得手段30により、検出ルールテーブル28から検出ルールリストを全て取り出す。
【0068】
次に、検出ルール実行手段31により、パケット6と検出ルールリストから検出ルール27を実行し、検出ルール27からの要求に応じてパケット情報取得・送出手段23とパケット6のやりとりを行い、検出結果を得る。この際に、パケット6は、パケット情報取得・送出手段23と通信手段7を介し、ネットワーク5を経由して対象となるマシンと通信される。
【0069】
図5は、WWWサーバ用検出ルールの処理の流れである。
S501により、検出ルール実行手段31から実行されたWWWサーバ用検出ルール24の処理が開始される。
【0070】
S502により、パケット6の中のIPアドレスを取得する。
【0071】
S503により、パケット6の中のIPアドレスに対して、PORT番号80の接続要求を送り、検出ルール実行手段31からパケット情報取得・送出手段23を経て通信手段7により実際のパケット6をネットワーク5に送出する。尚、PORT番号80は、WWWサーバのポート番号である。但し、ポート番号を指定せずに、1から順に確認する方法も考えられる。
【0072】
S504により、接続結果を確認する。接続成功の場合は、S505を実行する。接続失敗の場合は、S509へ移る。
【0073】
S505により、同一のIPアドレス及びポート番号に対して改行コードを2個送出し、検出ルール実行手段31からパケット情報取得・送出手段23を経て通信手段7により実際のパケット6をネットワーク5に送出する。
【0074】
S506により、ネットワークから取得したパケットを通信手段ならびにパケット情報取得・送出手段、更に検出ルール実行手段を経由してリプライとして受信する。
【0075】
S507により、リプライの先頭文字が“HTTP/1.0”から始まっているかどうかを比較する。一致した場合は、S508を実行する。不一致の場合は、S509へ移る。
【0076】
S508により、相手がWWWサーバであると判定する。尚、HTTPプロトコルにより、WWWサーバがこのように動作することが定義されている。また、“HTTP/1.1”から始まっている場合にも、同様に判定することができる。
【0077】
S509により、一連の処理を終了する。
【0078】
尚、MAILサーバの場合には、PORT番号は、25番となり、HELO testのリプライの先頭文字が”250”から始まっていることにより判定することができる。
【0079】
検出結果、新しいIPアドレス9が発見され、更にサーバが検出された場合には、IPアドレステーブル変更手段32によりIPアドレス9と、新たに生成したマシン名8をIPアドレステーブル10に追加する。
また、不正侵入判定ルールテーブル変更手段33により、マシン名8とルール名14を不正侵入判定ルールテーブル15に追加する。
【0080】
次に、パケット情報取得手段17により、通信手段7からパケット6を取得する。この際、通信手段7は自らがネットワーク5に送信したパケット6は渡さずに破棄する。
【0081】
次に、IPアドレステーブル取得手段18により、IPアドレステーブル10からパケット6の中に含まれるIPアドレス9に対応するIPアドレスリストを取得する。
【0082】
次に、不正侵入判定ルールテーブル取得手段19により、不正侵入判定ルールテーブル15からIPアドレスリストに含まれるマシン名8に対応するルールテーブルリストを取得する。
【0083】
次に、不正侵入判定ルール実行手段20により、ルールテーブルリストからルール名14を取得して実行する。実行結果が不正侵入と判定されたときは、対策実行手段22によりアラーム21を出力する。
【0084】
従って、自動的に更新されたIPアドレステーブル10と不正侵入判定ルールテーブル15を用いて侵入検知が実行されることとなる。
【0085】
実施の形態2.
図6は、実施の形態2における侵入検知システムを示す図である。
本実施の形態における侵入検知システムは、前述の侵入検知システムの構成に加えて、IPアドレス設定済検査手段43を備えている。
【0086】
IPアドレス設定済検査手段43は、検出ルール実行手段31から与えられたIPアドレス9がIPアドレステーブル10に既に設定されているかどうかを検査して結果を検出ルール実行手段31に渡す。
【0087】
動作について説明する。
検出ルール実行手段31により検出結果を得る処理までは、実施の形態1における動作と同様である。
【0088】
検出結果、新しいIPが発見され、更にサーバが検出された場合には、IPアドレス9を検出ルール実行手段31からIPアドレス設定済検査手段43に渡し、IPアドレス設定済検査手段43により、IPアドレステーブル10に既に設定されているかどうかを検査する。そして、検査結果を検出ルール実行手段31に渡す。
【0089】
IPアドレス9が未登録の場合は、IPアドレステーブル変更手段32により、IPアドレス9と新たに生成したマシン名をIPアドレステーブル10に追加する。また、不正侵入判定ルールテーブル変更手段33により、マシン名とルール名を不正侵入判定ルールテーブル15に追加する。
【0090】
これ以降の動作は、実施の形態1における動作と同様である。
【0091】
本実施の形態では、IPアドレステーブル10にIPアドレス9が重複して設定されることがないので、IPアドレステーブル10が最適な状態に保たれる。
【0092】
実施の形態3.
図7は、実施の形態3における侵入検知システムを示す図である。
本実施の形態における侵入検知システムは、前述の侵入検知システムの構成に加えて、不正侵入判定ルール設定済検査手段44を備えている。
【0093】
不正侵入判定ルール設定済検査手段44は、検出ルール実行手段31から与えられたマシン名8とルール名14のペアであるルールリストが不正侵入判定ルールテーブル15に既に設定されているかどうかを検査して結果を検出ルール実行手段31に渡す。
【0094】
動作について説明する。
検出ルール実行手段31により検出結果を得る処理までは、実施の形態1における動作と同様である。
【0095】
検出結果、新しいIPが発見され、更にサーバが検出された場合には、マシン名8とルール名14を検出ルール実行手段31から不正侵入判定ルール設定済検査手段44に渡し、不正侵入判定ルール設定済検査手段44により、不正侵入判定ルールテーブル15に既に設定されているかどうかを検査する。そして、検査結果を検出ルール実行手段31に渡す。
【0096】
ルールリストが未登録の場合は、IPアドレステーブル変更手段32により、IPアドレス9と新たに生成したマシン名をIPアドレステーブル10に追加する。また、不正侵入判定ルールテーブル変更手段33によりマシン名とルール名を不正侵入判定ルールテーブル15に追加する。
【0097】
これ以降の動作は、実施の形態1における動作と同様である。
【0098】
本実施の形態では、不正侵入判定ルールテーブル15にマシン名8とルール名14のペアであるルールリストが重複して設定されることがないので、不正侵入判定ルールテーブル15が最適な状態に保たれる。
【0099】
実施の形態4.
図8は、実施の形態4における侵入検知システムを示す図である。
本実施の形態における侵入検知システムは、前述の侵入検知システムの構成に加えて、IPアドレステーブル再取得手段45、不正侵入判定ルールテーブル再取得手段46、検出ルール再実行手段47、再検出指定手段48を備えている。
【0100】
IPアドレステーブル再取得手段45は、IPアドレステーブル10からIPアドレスリストを再取得する。
【0101】
不正侵入判定ルールテーブル再取得手段46は、不正侵入判定ルールテーブル15からルールリストを再取得する。
【0102】
検出ルール再実行手段47は、IPアドレステーブル再取得手段45より与えられるIPアドレスリストと、不正侵入判定ルールテーブル再取得手段46より与えられるルールリストと、検出ルールテーブル取得手段30より得られる検出ルールリストを用いて、検出ルール実行手段31に再実行させる。
【0103】
再検出指定手段48は、検出ルール再実行手段47に実行を指示する。
【0104】
動作について説明する。
ユーザは、任意の時点で再検出指定手段48により検出ルール再実行手段47に実行を指示することができる。
【0105】
IPアドレステーブル再取得手段45は、IPアドレステーブル10からIPアドレスリストを再取得し、不正侵入判定ルールテーブル再取得手段46は、不正侵入判定ルールテーブル15からルールリストを再取得し、更に、検出ルールテーブル取得手段30は、検出ルールリストを取得する。
【0106】
検出ルール再実行手段47は、ルールリスト中のルール名14に対応する検出ルールリスト中の検出ルール27と、ルールリスト中のマシン名8に対応するIPアドレステーブル10中のIPアドレス9を取得し、これを検出ルール実行手段31に渡して再実行させる。
【0107】
次に、検出ルール実行手段31により、検出ルール27を実行し、検出ルール27からの要求に応じてパケット情報取得・送出手段23とパケット6のやりとりを行い検出結果を得る。
【0108】
この際にパケット6は、パケット情報取得・送出手段23と通信手段7を介し、ネットワーク5を経由して対象となるマシンと通信される。
【0109】
検出結果、サーバが検出されなかった場合には、不正侵入判定ルールテーブル変更手段33によりマシン名8とルール名14を不正侵入判定ルールテーブル15から削除する。また、IPアドレス9が検出されなかった場合には、IPアドレステーブル変更手段32によりIPアドレス9とマシン名8をIPアドレステーブル10から削除し、不正侵入判定ルールテーブル変更手段33によりマシン名8とルール名14を不正侵入判定ルールテーブル15から削除する。
【0110】
次に、パケット情報取得手段17により、通信手段7からパケット6を取得する。
この際、通信手段7は自らがネットワーク5に送信したパケット6は渡さずに破棄する。
【0111】
次に、IPアドレステーブル取得手段18により、IPアドレステーブル10からパケット6の中に含まれるIPアドレス9に対応するIPアドレスリストを取得する。
【0112】
次に、不正侵入判定ルールテーブル取得手段19により、不正侵入判定ルールテーブル15からIPアドレスリストに含まれるマシン名8に対応するルールテーブルリストを取得する。
【0113】
次に、不正侵入判定ルール実行手段20によりルールテーブルリストからルール名14を取得して実行する。実行結果が不正侵入と判定された時は対策実行手段22によりアラーム21を出力する。
【0114】
従って、再検出の指定のみで自動的に更新されたIPアドレステーブル10と不正侵入判定ルールテーブル15を用いて侵入検知が実行されることとなる。
【0115】
実施の形態5.
図9は、実施の形態5における侵入検知システムを示す図である。
本実施の形態における侵入検知システムは、前述の侵入検知システムの構成に加えて、再検出指定手段48、アラーム検出手段49を備えている。
【0116】
アラーム検出手段49は、アラーム21の出力を検出して、再検出指定手段48に再検出を指示する。
【0117】
本実施の形態では、ユーザが再検出指定手段48を操作して検出ルール再実行手段47に再実行を指示するかわりに、アラーム検出手段49によりアラーム21の発生を検出し、再検出指定手段48に再実行を自動的に指示する。
【0118】
従って、何らかの異常が発生または設定の更新が必要と考えられる場合に、迅速に対応することが可能となる。
【0119】
実施の形態6.
図10は、実施の形態6における侵入検知システムを示す図である。
本実施の形態における侵入検知システムは、前述の侵入検知システムの構成に加えて、設定時パスワード入力手段51、起動時パスワード入力手段52、実行時パスワード保存手段53、暗号済検出ルールテーブル54、検出ルールテーブル暗号設定手段55、検出ルールテーブル復号取得手段56、暗号済IPアドレステーブル57、IPアドレステーブル暗号設定手段58、IPアドレステーブル復号取得手段59、IPアドレステーブル暗号変更手段60、暗号済不正侵入判定ルールテーブル61、不正侵入判定ルールテーブル暗号設定手段62、不正侵入判定ルールテーブル復号取得手段63、不正侵入判定ルールテーブル暗号変更手段64を備えている。
【0120】
本実施の形態におけるパスワード50は、管理者しか知り得ぬパスワードである。
【0121】
設定時パスワード入力手段51は、設定時にパスワード50を入力する。
【0122】
起動時パスワード入力手段52は、起動時にパスワード50を入力する。
【0123】
実行時パスワード保存手段53は、起動時パスワード入力手段52により入力されたパスワード50を実行時にのみ保存する。
【0124】
暗号済検出ルールテーブル54は、パスワード50により暗号化された検出ルールリストを格納する。
【0125】
検出ルールテーブル暗号設定手段55は、パスワード50により暗号化して暗号済検出ルールテーブル54を設定する。
【0126】
検出ルールテーブル復号取得手段56は、暗号済検出ルールテーブル54よりパスワード50にて復号した検出ルールリストを取得する。
【0127】
暗号済IPアドレステーブル57は、パスワード50により暗号化されたIPアドレスリストを格納する。
【0128】
IPアドレステーブル暗号設定手段58は、パスワード50により暗号化して暗号済IPアドレステーブル57を設定する。
【0129】
IPアドレステーブル復号取得手段59は、暗号済IPアドレステーブル57よりパスワード50にて復号したIPアドレスリストを取得する。
【0130】
IPアドレステーブル暗号変更手段60は、パスワード50により復号し再度暗号化して暗号済IPアドレステーブル57を変更する。
【0131】
暗号済不正侵入判定ルールテーブル61は、パスワード50により暗号化されたルールリストを格納する。
【0132】
不正侵入判定ルールテーブル暗号設定手段62は、パスワード50により暗号化して暗号済不正侵入判定ルールテーブル61を設定する。
【0133】
不正侵入判定ルールテーブル復号取得手段63は、暗号済不正侵入判定ルールテーブル61よりパスワード50にて復号したルールリストを取得する。
【0134】
不正侵入判定ルールテーブル暗号変更手段64は、パスワード50により復号し、再度暗号化して暗号済不正侵入判定ルールテーブル61を変更する。
【0135】
動作について説明する。
システム起動時に、管理者は、管理者しか知り得ぬパスワード50を、起動時パスワード入力手段52により入力し、実行時パスワード保存手段53により実行中のみ保存する。
【0136】
暗号済検出ルールテーブル54には、パスワード50により暗号化された検出ルールリストが格納される。暗号済検出ルールテーブル54を設定する場合には、検出ルールテーブル暗号設定手段55によりパスワード50にて暗号化する。暗号済検出ルールテーブル54により検出ルールリストを取得する場合には、検出ルールテーブル復号取得手段56によりパスワード50にて復号する。
【0137】
暗号済IPアドレステーブル57には、パスワード50により暗号化されたIPアドレスリストが格納される。暗号済IPアドレステーブル57を設定する場合には、IPアドレステーブル暗号設定手段58によりパスワード50にて暗号化する。暗号済IPアドレステーブル57よりIPアドレスリストを取得する場合には、IPアドレステーブル復号取得手段59によりパスワード50にて復号する。暗号済IPアドレステーブル57を変更する場合には、IPアドレステーブル暗号変更手段60によりパスワード50にて復号し再度暗号化する。
【0138】
暗号済不正侵入判定ルールテーブル61には、パスワード50により暗号化されたルールリストが格納される。暗号済不正侵入判定ルールテーブル61を設定する場合には、不正侵入判定ルールテーブル暗号設定手段62によりパスワード50にて暗号化する。暗号済不正侵入判定ルールテーブル61よりルールリストを取得する場合には、不正侵入判定ルールテーブル復号取得手段63によりパスワード50にて復号する。暗号済不正侵入判定ルールテーブル61を変更する場合には、不正侵入判定ルールテーブル暗号変更手段64によりパスワード50にて復号し再度暗号化する。
【0139】
この他の動作は、実施の形態1と同様である。
【0140】
従って、管理者と当侵入検知システム以外の者により、設定情報が改ざんされることを防止できる。
【0141】
実施の形態7.
図11は、実施の形態7における侵入検知システムを示す図である。
本実施の形態における侵入検知システムは、前述の侵入検知システムの構成に加えて、検出ルールテーブル28及びIPアドレステーブル10及び検出ルールテーブル28の変更履歴を格納する履歴テーブル65と、検出ルールテーブル28及びIPアドレステーブル10及び検出ルールテーブル28の変更履歴を履歴テーブル65に格納するテーブル変更保存手段66を備えている。
【0142】
また、図12は、この発明における履歴テーブルの構成の一例である。
【0143】
本実施の形態では、検出ルールテーブル設定手段により、検出ルールテーブルを設定する際の履歴をテーブル変更保存手段により履歴テーブルに保存する。不正侵入判定ルールテーブル設定手段により、ルールテーブルを設定する際の履歴をテーブル変更保存手段により履歴テーブルに保存する。不正侵入判定ルールテーブル変更手段により、ルールテーブルを変更する際の履歴をテーブル変更保存手段により履歴テーブルに保存する。IPアドレステーブル設定手段により、IPアドレステーブルを設定する際の履歴をテーブル変更保存手段により履歴テーブルに保存する。IPアドレス不正侵入判定ルールテーブル変更手段により、IPアドレスルールテーブルを変更する際の履歴をテーブル変更保存手段により履歴テーブルに保存する。
【0144】
この他の動作は、実施の形態1と同様である。
【0145】
従って、ユーザによる設定変更および当侵入検知システムによる設定変更を後で確認することが可能となり管理負荷の低減と利便性が向上する。
【0146】
実施の形態8.
図13は、実施の形態8における侵入検知システムを示す図である。
本実施の形態における侵入検知システムは、前述の侵入検知システムの構成に加えて、通信手段7より得られるパケット6を保存しておくパケット保存手段67と、パケット保存手段67に保存されているパケット6を再生するパケット再生手段68と、パケット再生手段68にパケット6の再生を指示するパケット再生指示手段69を備えている。
尚、ここで再生するとは、保存されているパケットを通信手段によりネットワークへ送出することである。
【0147】
動作について説明する。
本実施の形態では、パケット保存手段67により、通信手段7より得られるパケット6を保存し、パケット再生手段68により、パケット保存手段67に保存されているパケット6を再生する。ユーザーは、パケット再生指示手段69により、パケット再生手段68にパケット6の再生を指示する。
【0148】
この他の動作は、実施の形態1と同様である。
【0149】
従って、ユーザーの指定した時に、それまで保存しておいたパケット6の情報をもとに設定更新を実行させることができるので、企業等においては、ネットワーク5の混雑する昼間はパケット6を保存しておき、適当な時に設定更新作業を実施させることが可能である。
【0150】
実施の形態9.
図14は、実施の形態9における侵入検知システムを示す図である。
本実施の形態における侵入検知システムは、実施の形態8の侵入検知システムの構成に加えて、現在の日時を取得する日時取得手段70と、パケット再生指示を出す日時を記述した再生スケジュール71と、現在の日時と再生スケジュール71を比較して指定された日時にパケット再生指示を出す指定日時パケット再生指示手段72を備えている。
【0151】
動作について説明する。
本実施の形態では、指定日時パケット再生指示手段72が、日時取得手段70により現在の日時を取得し、再生スケジュール71に記述されたパケット再生指示を出す日時と比較して、指定された日時にパケット再生指示をパケット再生手段68に出す。
【0152】
この他の動作は、実施の形態8と同様である。
【0153】
従って、深夜等の利用者の少ない時間帯に設定更新作業を自動で実施させることが可能である。また、定期的に設定更新作業を実施させることも可能である。
【0154】
実施の形態10.
図15は、実施の形態10における侵入検知システムを示す図である。
本実施の形態における侵入検知システムは、実施の形態8の侵入検知システムの構成に加えて、システムの負荷状況を取得する負荷取得手段73と、パケット再生指示を出すことのできる負荷情報を記述した再生可能負荷情報74と、現在の負荷情報と再生可能負荷情報とを比較して可能な負荷状況であればパケット再生指示を出す低負荷時パケット再生指示手段75を備えている。
【0155】
動作について説明する。
低負荷時パケット再生指示手段75が、負荷取得手段73によりシステムの負荷状況を取得し、再生可能負荷情報74に記述されたパケット再生指示を出すことのできる負荷情報と比較して、可能な負荷状況であればパケット再生指示をパケット再生手段68に出す。
【0156】
この他の動作は、実施の形態8と同様である。なお、負荷取得手段73は一定時間プログラムをループでまわし、その実行回数をカウントするなどの方法により実現される。
【0157】
従って、システムの負荷の軽い時間帯に設定更新作業を自動で実施させることが可能であり、侵入検知機能のスループットを下げることが防げる。
【0158】
実施の形態11.
図16は、実施の形態11における侵入検知システムを示す図である。
本実施の形態における侵入検知システムは、実施の形態8の侵入検知システムの構成に加えて、パケット保存手段67からパケット6の流通量を取得するパケット流通量取得手段76と、パケット再生指示を出すことのできるパケット流通量を記述した再生可能流通量情報77と、現在のパケット流通量と再生可能流通量情報77とを比較して可能な流通量であればパケット再生指示を出す低ネットワーク負荷時パケット再生指示手段78を備えている。
【0159】
動作について説明する。
低ネットワーク負荷時パケット再生指示手段78が、パケット流通量取得手段76によりパケット6の流通量を取得し、再生可能流通量情報77に記述されたパケット再生指示を出すことのできるパケット流通量と比較して、可能な流通量であればパケット再生指示をパケット再生手段68に出す。
【0160】
この他の動作は、実施の形態8と同様である。
【0161】
従って、ネットワークの負荷の軽い時間帯に設定更新作業を自動で実施させることが可能であり、ネットワークに繋がれた他の機器への影響を減らすことが可能である。
【0162】
尚、上記の説明では、ネットワークにWWWサーバやMAILサーバがある場合について述べたが、その他のサーバに利用することも出来る。
【0163】
【発明の効果】
本発明においては、自動的に更新されたIPアドレステーブル10と不正侵入判定ルールテーブル15を用いて侵入検知が実行されることとなる。
【0164】
また、この発明は、IPアドレステーブル10にIPアドレス9が重複して設定されることがないので、IPアドレステーブル10が最適な状態に保たれる。
【0165】
また、この発明は、不正侵入判定ルールテーブル15にマシン名8とルール名14のペアであるルールリストが重複して設定されることがないので、不正侵入判定ルールテーブル15が最適な状態に保たれる。
【0166】
また、この発明は、再検出の指定のみで自動的に更新されたIPアドレステーブル10と不正侵入判定ルールテーブル15を用いて侵入検知が実行されることとなる。
【0167】
また、この発明は、何らかの異常が発生または設定の更新が必要と考えられる場合に、迅速に対応することが可能となる。
【0168】
また、この発明は、管理者と当侵入検知システム以外の者により、設定情報が改ざんされることを防止できる。
【0169】
また、この発明は、ユーザによる設定変更および当侵入検知システムによる設定変更を後で確認することが可能となり管理負荷の低減と利便性が向上する。
【0170】
また、この発明は、ユーザーの指定した時に、それまで保存しておいたパケット6の情報をもとに設定更新を実行させることができるので、企業等においては、ネットワーク5の混雑する昼間はパケット6を保存しておき、適当な時に設定更新作業を実施させることが可能である。
【0171】
また、この発明は、深夜等の利用者の少ない時間帯に設定更新作業を自動で実施させることが可能である。また、定期的に設定更新作業を実施させることも可能である。
【0172】
また、この発明は、システムの負荷の軽い時間帯に設定更新作業を自動で実施させることが可能であり、侵入検知機能のスループットを下げることが防げる。
【0173】
また、この発明は、ネットワークの負荷の軽い時間帯に設定更新作業を自動で実施させることが可能であり、ネットワークに繋がれた他の機器への影響を減らすことが可能である。
【図面の簡単な説明】
【図1】 実施の形態1における侵入検知システムを示す図である。
【図2】 IPアドレステーブルの構成を示す図である。
【図3】 ルールテーブルの構成を示す図である。
【図4】 検出ルールリストの構成を示す図である。
【図5】 WWWサーバ用検出ルールの処理の流れを示す図である。
【図6】 実施の形態2における侵入検知システムを示す図である。
【図7】 実施の形態3における侵入検知システムを示す図である。
【図8】 実施の形態4における侵入検知システムを示す図である。
【図9】 実施の形態5における侵入検知システムを示す図である。
【図10】 実施の形態6における侵入検知システムを示す図である。
【図11】 実施の形態7における侵入検知システムを示す図である。
【図12】 この発明における履歴テーブルの構成の一例を示す図である。
【図13】 実施の形態8における侵入検知システムを示す図である。
【図14】 実施の形態9における侵入検知システムを示す図である。
【図15】 実施の形態10における侵入検知システムを示す図である。
【図16】 実施の形態11における侵入検知システムを示す図である。
【図17】 従来の侵入検知システムを示す図である。
【符号の説明】
1 WWWサーバ、2 MAILサーバ、3 正常マシン、4 不正マシン、5 ネットワーク、6 パケット、7 通信手段、8 マシン名、9 IPアドレス、10 IPアドレステーブル、11 IPアドレステーブル設定手段、12 WWWサーバ用不正侵入判定ルール、13 MAILサーバ用不正侵入判定ルール、14 不正侵入判定ルール名、15 不正侵入判定ルールテーブル、16 不正侵入判定ルールテーブル設定手段、17 パケット情報取得手段、18IPアドレステーブル取得手段、19 不正侵入判定ルールテーブル取得手段、20 不正侵入判定ルール実行手段、21 アラーム、22 対策実行手段、23 パケット情報取得・送出手段、24 WWWサーバ用検出ルール、25 MAILサーバ用検出ルール、26 種類、27 検出ルール、28 検出ルールテーブル、29 検出ルールテーブル設定手段、30 検出ルールテーブル取得手段、31 検出ルール実行手段、32 IPアドレステーブル変更手段、33 不正侵入判定ルールテーブル変更手段、43 IPアドレス設定済検査手段、44 不正侵入判定ルール設定済検査手段、45 IPアドレステーブル再取得手段、46 不正侵入判定ルールテーブル再取得手段、47 検出ルール再実行手段、48 再検出指定手段、49 アラーム検出手段、51 設定時パスワード入力手段、52 起動時パスワード入力手段、53 実行時パスワード保存手段、54 暗号済検出ルールテーブル、55 検出ルールテーブル暗号設定手段、56 検出ルールテーブル復号取得手段、57 暗号済IPアドレステーブル、58 IPアドレステーブル暗号設定手段、59 IPアドレステーブル復号取得手段、60 IPアドレステーブル暗号変更手段、61 暗号済不正侵入判定ルールテーブル、62 不正侵入判定ルールテーブル暗号設定手段、63 不正侵入判定ルールテーブル復号取得手段、64 不正侵入判定ルールテーブル暗号変更手段、65 履歴テーブル、66 テーブル変更保存手段、67 パケット保存手段、68 パケット再生手段、69 パケット再生指示手段、70 日時取得手段、71 再生スケジュール、72 指定日時パケット再生指示手段、73 負荷取得手段、74 再生可能負荷情報、75 低負荷時パケット再生指示手段、76 パケット流通量取得手段、77 再生可能流通量情報、78 低ネットワーク負荷時パケット再生指示手段。

Claims (3)

  1. 所定の種類のサービスを実行するサーバを特定するアドレスを含むパケットをネットワークを介して送受信する通信手段と、
    上記通信手段により受信されたパケットを取得して保存するパケット保存手段と、
    上記パケット保存手段に保存されたパケットを出力させる再生指示を入力し、パケット出力指示を出力するパケット再生指示手段と、
    上記パケット再生指示手段によりパケット出力指示が出力された場合、上記パケット保存手段に保存されたパケットを出力するパケット再生手段と、
    上記パケット再生手段により出力されたパケットを入力し、入力したパケットに含まれたアドレスにより当該パケットを出力したサーバを特定し、特定したサーバが実行するサービスの種類を所定の検出ルールにより判定し、サーバが不正に上記ネットワークに接続したものであるか否かを判定する複数の不正侵入判定ルールの中から上記所定の検出ルールにより判定したサービスの種類に対応する不正侵入判定ルールを決定する検出ルール実行手段と、
    上記検出ルール実行手段が決定した不正侵入判定ルールを上記特定したサーバに対して実行し、当該サーバが不正に上記ネットワークに接続したものであるか否かを判定し、判定した結果を出力する不正侵入判定ルール実行手段と
    を備えたことを特徴とする不正侵入検知システム。
  2. 上記不正侵入検知システムは、更に
    上記パケット保存手段からパケットを出力する日時を表す日時情報を記憶する再生スケジュール記憶部と、
    上記再生スケジュール記憶部に記憶された日時情報を入力し、当該日時情報が表す日時が現在の日時と一致することを判断した場合、上記パケット再生手段へ上記パケット出力指示を出力する指定日時パケット再生指示手段と
    を備えたことを特徴とする請求項記載の不正侵入検知システム。
  3. 不正侵入検知システムは、更に
    システムの負荷状況を取得する負荷取得手段と、
    上記パケット保存手段からパケットを出力することができる負荷状況を表す負荷情報を記憶する再生可能負荷情報記憶部と、
    上記負荷取得手段により取得された負荷状況を入力し、当該負荷状況が上記再生可能負荷情報記憶部に記憶された負荷情報が表す負荷状況よりも小さいことを判断した場合、上記パケット再生手段へ上記パケット出力指示を出力する低負荷時パケット再生指示手段と
    を備えたことを特徴とする請求項記載の不正侵入検知システム。
JP2000170727A 2000-06-07 2000-06-07 不正侵入検知システム Expired - Lifetime JP4537538B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000170727A JP4537538B2 (ja) 2000-06-07 2000-06-07 不正侵入検知システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000170727A JP4537538B2 (ja) 2000-06-07 2000-06-07 不正侵入検知システム

Publications (2)

Publication Number Publication Date
JP2001350678A JP2001350678A (ja) 2001-12-21
JP4537538B2 true JP4537538B2 (ja) 2010-09-01

Family

ID=18673396

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000170727A Expired - Lifetime JP4537538B2 (ja) 2000-06-07 2000-06-07 不正侵入検知システム

Country Status (1)

Country Link
JP (1) JP4537538B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
JP2007282104A (ja) * 2006-04-11 2007-10-25 Hitachi Electronics Service Co Ltd パケット保存装置
US20100273546A1 (en) * 2007-01-04 2010-10-28 Playtech Software Limited Method and apparatus for detecting collusions in online games

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0397330A (ja) * 1989-09-11 1991-04-23 Hitachi Ltd ネツトワーク障害診断方式
JP2921488B2 (ja) * 1996-06-10 1999-07-19 日本電気株式会社 監視制御装置
JPH10224351A (ja) * 1997-02-05 1998-08-21 Hitachi Electron Service Co Ltd ネットワーク管理支援装置、および、ネットワーク管理方法、ならびに、それに用いるプログラムを記憶した記憶媒体
JP2000324104A (ja) * 1999-05-10 2000-11-24 Matsushita Electric Works Ltd バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム

Also Published As

Publication number Publication date
JP2001350678A (ja) 2001-12-21

Similar Documents

Publication Publication Date Title
Frolov et al. The use of TLS in Censorship Circumvention.
KR100414238B1 (ko) 안전네트워크프로토콜시스템및방법
CN1174302C (zh) 用于软件代理和代理活动的验证的系统和方法
KR100750001B1 (ko) 기기 인증 시스템
JP4507623B2 (ja) ネットワーク接続システム
CN110719203B (zh) 智能家居设备的操作控制方法、装置、设备及存储介质
CN109347700B (zh) 一种测试方法、装置、电子设备和存储介质
JP2009087035A (ja) 暗号クライアント装置、暗号パッケージ配信システム、暗号コンテナ配信システム、暗号管理サーバ装置、ソフトウェアモジュール管理装置、ソフトウェアモジュール管理プログラム
JP4459890B2 (ja) 情報処理装置、インシデント対応装置の制御方法、及びプログラム
JP2009048251A (ja) 機器データ管理システム
JP2001203761A (ja) 中継装置、および同装置を備えたネットワークシステム
KR101088084B1 (ko) 전자상거래 불법 침입 감시 및 차단 방법과 시스템
JP2006094258A (ja) 端末装置、そのポリシー強制方法およびそのプログラム
JP4537538B2 (ja) 不正侵入検知システム
CN107026828A (zh) 一种基于互联网缓存的防盗链方法及互联网缓存
CN109587134B (zh) 接口总线的安全认证的方法、装置、设备和介质
CN113014545B (zh) 一种数据处理方法、装置、计算机设备及存储介质
CN111211958B (zh) 用于提供vpn服务的方法及装置、区块链网络及节点设备
JP2005167793A (ja) 送信情報管理システム及び送信情報管理プログラム
JP2008225847A (ja) セッション制御システム及びセッション制御方法
JP7396483B2 (ja) パケット収集システム、パケット統合解析装置、パケット収集方法、及びプログラム
JP2016021621A (ja) 通信システム及び通信方法
CN112231724B (zh) 一种公众号数据处理方法、装置、服务器及存储介质
WO2016158908A1 (ja) ネットワーク通信方法及びネットワーク通信システム
JP2002199024A (ja) 不正アクセス監視方法および内部通信ネットワーク

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20040517

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20041018

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070406

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100126

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100310

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100615

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100618

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130625

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4537538

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term