JP4581104B2 - Network security system - Google Patents
Network security system Download PDFInfo
- Publication number
- JP4581104B2 JP4581104B2 JP2003091481A JP2003091481A JP4581104B2 JP 4581104 B2 JP4581104 B2 JP 4581104B2 JP 2003091481 A JP2003091481 A JP 2003091481A JP 2003091481 A JP2003091481 A JP 2003091481A JP 4581104 B2 JP4581104 B2 JP 4581104B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- packet
- rule
- network
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークセキュリティシステムにかかり、特に、外部ネットワークから防御対象ネットワークへの不正なデータのアクセスを抑制するネットワークセキュリティシステムに関する。また、ネットワークセキュリティ管理方法に関する。
【0002】
【従来の技術】
近年、インターネットが急速に普及し、我々の生活環境として欠くことのできない存在になっている。そして、その利用は様々な分野にて行われ、例えば、電子メールのやり取り、ウェブサイトを開設することによる情報の提供、さらには、ネットワーク上のウェブサーバを用いてオンラインショップサイトを開設して当該サイトにて商品を販売するといったオンラインショッピング、なども普及している。このように、我々の生活に欠かせない存在となっていることと、オンラインショッピングの際にはクレジットカード番号の送受信などもネットワークを介して行うため、情報通信ネットワークのセキュリティ管理は非常に重要な位置付けとなっている。
【0003】
また、ネットワーク上のコンピュータに対する他人へのなりすましや、サーバ内のデータの改竄などの不正アクセスや、サーバの機能を無力化させる攻撃、さらには、悪質なコンピュータウイルスのばらまきなど、種々の不正行為による被害が絶えない。特に、近年では、ADSLやCATVネットワークを経由してインターネットに常時接続される環境が充実してきていることから、一般ユーザの端末でさえもネットワーク上に接続された状態になっているケースが目立ち、かかる一般ユーザはセキュリティに関する注意力が低いため、不正行為の標的となってしまう可能性が高い。
【0004】
従って、上述したような不正行為に対する防御策として、種々のセキュリティシステムが開発されている。
【0005】
ネットワークセキュリティ技術の一つとして、ファイアウォール技術がある。
ファイアウォールは、インターネットなどの信頼できないネットワークからの攻撃や、不正アクセスから組織内部のネットワーク(防御対象ネットワーク)を保護するためのシステムである。ファイアウォールの目的としては、必要な通信のみを通過させ、不要な通信を遮断することであり、通常内部のネットワークから外部はアクセスできるが、外部から内部(防御対象)のネットワークにアクセスができないような制御が一般的である。
【0006】
具体的な実現方式として、パケットレベルでアプリケーションの使用するポートを制御するパケットフィルタリング、およびアプリケーション(プロキシによる代理応答)で内外のネットワークを通信するアプリケーションゲートウェイ方式がある。まず、パケットフィルタリングについて、図11(a)のブロック図を参照して説明する。
【0007】
図11(a)に示すように、パケットフィルタリングを用いたファイアウォールの構築においては、外部ネットワークNo(インターネット)、内部ネットワークNi(LAN内)の各出入口に、ルータR101,R102をそれぞれ備える。そして、各ルータR101,R102間に、WWWサーバD101やメールサーバD102などの各サーバD103,D104などからなる非武装地帯D100(DeMilitarized Zone:以下、DMZと言う)が、上記外部、内部ネットワークから分離された状態で備えられている。ここで、DMZ(D100)では、上述したサーバの他、インターネット上で公開されるサービスと外部ネットワークと外部ネットワークが通信する際に使用されるプロキシサーバD104などが運用される。パケットフィルタリングではこれらのネットワークへのアクセスをルータのフィルタリング機能を用いて制限することでファイアウォール機能を提供する。
【0008】
ここで、外部ネットワークNoと接続されたルータR101(外部接続ルータ)は、DMZ以外へのアクセスを目的としたパケットを破棄する。当然、外部ネットワークと内部ネットワークが通信する際には直接通信することはできないので内部ネットワークの安全が確保される。また、同様に内部ネットワークNiと接続されたルータR102(内部接続ルータ)は、DMZ以外からのパケットを破棄する。そして、外部ネットワークNoはDMZで公開されているサービスにのみアクセスできるようになっているため、外部ネットワーク上の端末では、内部ネットワークにアクセスすることが困難となる。
【0009】
逆に、内部ネットワークNiと接続されたルータR102は、DMZ以外へのアクセスを目的としたパケットを破棄する。内部ネットワークNiが外部ネットワークNoのサーバなどにアクセスしたい場合には、DMZ(D100)内のプロキシサーバD104を経由する必要がある。プロキシサーバでは外部ネットワークへのアクセス要求があった場合に送信元IPと宛先IPを保持して、外部ネットワークと代理で通信を行う。この際ルータR101ではDMZ以外からのパケットは破棄する。なお、内部ネットワークNiは、DMZにはアクセス可能である。
【0010】
次に、アプリケーションゲートウェイ方式を説明する。ファイアウォールにおけるゲートウェイとは、内部ネットワークNiのホストから特定のアプリケーションを外部と接続させるために用いられるものである。しかし、結果的にはフィルタリングと同じ効用を示している。つまり、外部ネットワークNoから内部ネットワークNiのホストへ直接アクセスすることはできない。このとき、内部ネットワークNiから外部ネットワークNoへの接続にアプリケーションゲートウェイ(プロキシ)を用いるが、認められたサービスやホスト以外の利用を認めない、という制御が可能である。
【0011】
そして、パケットフィルタリングがネットワーク層とトランスポート層によってパケットを管理するのに対して、アプリケーションゲートウェイを用いる方法ではさらに上位のアプリケーションレベルでの監視が可能であり、ルータで行ってきたパケットフィルタリングのみでは得られない高度なファイアウォールの構築が可能である。アプリケーションゲートウェイの機能としては、各層のプロトコルにおけるパケットの通過制限、プロキシサーバ機能、アクセスログ収集機能、キャッシュ機能などがある。
【0012】
アプリケーションゲートウェイ方式にてセキュリティシステムを構築した例を、図11(b)に示す。なお、この図に示すファイアウォールFW100は、図11(a)に示す外部接続ルータR101と内部接続ルータR102とをまとめて図示したものである。そして、矢印にてデータの流れを示すが、まず、矢印A101に示すように、外部ネットワークNoからのデータを、所定のルールに則って送信されたデータのみをDMZ(D100)に通過させる。例えば、HTTPやSMTPなどの所定のプロトコルに則ったデータである。そして、これらのデータは、DMZ(D100)から再度ファイアウォールFW100を経て、内部ネットワークNiである社内ネットワーク内に伝送される(矢印A102,A103)。
【0013】
このとき、DMZ(D100)内の各サーバD111〜D113に対応して、内部(社内)ネットワークNiには各サーバや端末Ni101〜106が備えられていて、それぞれのサーバや端末が取り扱うプロトコルに則ったデータのみが伝送されることとなる(矢印A103参照)。また、上記データの流れとは逆に、社内ネットワークNiの社内メールサーバなどからは、ファイアウォール、メール中継サーバ、再度ファイアウォールを介して、インターネットNo上に伝送される(矢印A102,A105参照)。以上のことから、インターネットNoからファイアウォールFW100に登録されていないプロトコルによるデータは、社内ネットワークNiに伝送されることはなく(矢印A106参照)、不正アクセスなどを抑制することができる。逆に、社内ネットワークNiからのHTTPプロトコルなどによるデータは、ファイアウォールFW100を通過して、インターネットNo上に伝送される(矢印A107参照)。
【0014】
また、ファイアウォール技術の他にセキュリティシステムとして、不正アクセス監視システム、あるいは、侵入検知システム(以下、IDS(IntrusionDetection System)と呼ぶ)が開発されている。これは、ネットワークを流れるパケットを監視して、不正アクセスと思われるパケットを発見したときにアラームを表示するとともに、当該通信記録を収集し保存するという仕組みのものである。なお、ツールによっては、アラームを表示すると同時に当該セッションを切断したり、ファイアウォールやルータのルールを変更するなどの機能を持っている。IDSのタイプには、ネットワーク型監視(ネットワーク上のパケットを監視)とホスト型監視(ホストサーバのI/Oパケットを監視)がある。
【0015】
IDSの基本的な構成を、図12(a)を参照して説明する。まず、IDSとなる機器H100は、外部ネットワークNoと内部ネットワークNiとの間に備えられており、外部ネットワークNoから伝送されたパケットP100を監視する。例えば、送信元及び受信先のIPアドレスを監視して、あらかじめ記憶部に記憶しておいた不正データのルールベースH101と照合し、当該ルールと一致しない場合には、内部ネットワークNiにパケットP100を通過させる。一方、一致する場合には、不正アクセスとして、ログ記録を取ったり(符号H102参照)、管理者に通知したり(符号H103参照)、セッションの切断、さらには、オペレータによるルールの変更を行う。
【0016】
そして、IDSの具体的な使用例を図12(b)に示す。この図に示すネットワークシステムでは、上述同様にルータR101,R102からなるファイアウォールFW100に加えて、その間のDMZ(D100)内を監視するネットワーク型IDS(H110)を備えている。また、DMZ(D100)内の各サーバに、ホスト型IDS(H111〜H113)をも備えている。このようにすることで、まず、ファイアウォールFW100によって認可された送信元受信先IPアドレス、ポート番号、許可プロトコルの制限を行い、DMZ(D100)内を流れるパケットをある程度絞り込む。そして、DMZ(D100)内を流れるパケットをネットワーク型IDS(H110)で監視すると共に、ホスト型IDS(H111〜H113)では、DMZ上の各端末(サーバ)を直接監視している。これは攻撃対象となりやすくセキュリティ的にも比較的開放されているDMZ上の各種サーバを重点的に監視し、不正侵入によって受けた被害に迅速に対応するためである。このセキュリティモデルにより、それぞれのセキュリティシステムを単体で利用するよりも遥に高いセキュリティ強度が保証される。
【0017】
さらに、上述したネットワークセキュリティに関するシステム以外にも、非特許文献1に示すネットワークダイナミックディフェンス手法が開示されている。
この非特許文献1に示すシステムは、図13に示すように、A−IDS(Autonomous Intrusion Detection System:自律的侵入検知システム)と呼ばれ、防御したいネットワーク内(DMZ(D100))の全ての端末H120〜H123が別の端末によって監視される相互監視形態をとるのが特徴である。そのため端末が如何なる攻撃を受けても、攻撃を受けていない別の端末で侵入の検知と対応を管理者の介入なしに自律的に行うことが可能である。
【0018】
具体的には、各端末はA−IDS監視ネットワークのトポロジに従って監視対象の端末とデータ交換を行い、監視対象の端末が正常に動作しているか、すなわち不正侵入を受けていないかを監視する。そのため従来のIDSとは異なり、A−IDSは端末が停止状態に追いやられても検知が可能である。A−IDSは監視しているA−IDSに対して定期的に生存確認信号(SYN)を送信する。生存確認信号を受信したA−IDSは即座に生存応答信号(ACK)を返信する。
もし、一定時間内に生存応答信号が戻ってこなければ、監視先の端末が致命的な攻撃によって停止状態に追い込まれたということである。この際A−IDS監視ネットワークを自律的に再構築という動作を行う。
【0019】
【非特許文献1】
柳川小次郎,稲吉基悦,向殿政男,自律分散概念に基づく不正侵入検知システム,第12回インテリジェント・システム・シンポジウム,pp.345−348,2002
【0020】
【発明が解決しようとする課題】
しかしながら、上述した各従来技術によるセキュリティシステムであっても、以下のような不都合が生じる。
【0021】
まず、上述したファイアウォールは、外部ネットワークNoと内部ネットワークNiとの間の通信を制御するシステムであり、外部からの不正アクセスを遮断することが可能であるが、ごく簡単なルールを設けて通信の許可、不許可を決めているので、このルールの想定外のアクセスを制限することは難しいことではない。従って未知の手法による侵入の試みに対しては何の対策もなされていないとも考えられる。
【0022】
例えば、ファイアウォールのパケットフィルタリングでは、パケットのヘッダ部分を解析する。ここには、そのパケットの通信元と通信先のIPアドレス、ポート番号が示されているため、あらかじめ特定の通信元、通信先のIPアドレス、ポート番号のパケットについてルールを設定し、これとのマッチングによりパケットの通過、非通過を決定している。すると、かかる場合には、パケットの内容にはまったく関知していないこととなる。このような場合、一般向けに公開しているウェブサーバへのIPアドレスと正しいポート番号(通常80)に向けてアクセスがあった場合、そのパケットの内容に関わらず通信は許可されてしまう。そのためウェブサーバへのリクエスト内容が不適切な攻撃を防ぐことはできない、という問題が生じる。
【0023】
一方で、アプリケーションゲートウェイではパケットの中身を検査するので、内部ネットワークと外部ネットワークをつなぐ場所にあるファイアウォールを通過するデータ量は膨大であり、処理負荷が非常に大きく、処理の遅延により通信速度の低下という問題が生じる。さらには、内部ネットワークNiからの不正利用やHTTP,SMTPといったファイアウォールで許可されたプロトコルに付随したウイルスについても、ファイアウォールでは防ぐことができない、という問題が生じる。
【0024】
また、IDSについて言えば、ルール記述の複雑さ、煩わしさが問題点として挙げられる。セキュリティの強化を行うにはファイアウォール同様にルールの追加、変更を行わなければならない。すなわち、IDSのルールは、デフォルト許可スタンスで記述されているため新種の攻撃が発見されるたびに管理者が手動でルール追加、変更を行わなければならず、ファイアウォールと比較してこれらの作業は多大な負担をもたらす。同時に過去の実績(パターンマッチ)をもとに判断しているため、未知の攻撃に対しては無力であるという問題が生じる。そして、仮に未知の攻撃によってシステムが攻撃されるような事態が発生しても、発見から防御までのタイムラグが発生する。
【0025】
さらに、IDSではネットワーク上に存在する多種多様なパケットを扱っているという性質上、不正パケットの誤検出と検出漏れの問題が生じる。ルールの数が増えればそれだけセキュリティ強度が増すが、その分、誤検出も増え、セキュリティ管理者の煩わしさが増大し、その逆ならば検出漏れが増えセキュリティ強度が下がってしまうというトレードオフの問題がある。
【0026】
また、A−IDSでは、新種の攻撃に対するルール追加、変更によるシステム管理者への負担の軽減、新種の攻撃に対する検知から防御対策のタイムラグの短縮、及び致命的な攻撃による通信不能状態でのシステムの自律的な対処、という問題に対するソリューションを提供している。しかし、やはり、A−IDSにおいても、現在のところ不正侵入に対する検知対象が監視端末への致命的な攻撃のみとされている。すなわち、監視端末の停止を伴う攻撃を不正侵入と定義し、それを前提として提案されている。このため情報の改竄や、ウイルスによるシステムダウンを伴わない未知の攻撃(異常検知)には対処できないといった問題がある。これは同時に、A−IDSで検知したということは、実際に不正アクセスが成功した後で既に被害を受けているという事を意味する。また複数の端末が同時にシステムダウンされ、監視元端末と監視先端末が同時に通信不能になるような場合も同様に対処不能である。
【0027】
以上のように、従来例におけるネットワークセキュリティシステムでは、既知の不正データの侵入などに対する不正な攻撃には対応可能であるものの、未知の不正な攻撃に対しては、事後的な対処ができるに留まり、事前の対処が不可能であるという問題が生じる。
【0028】
【発明の目的】
本発明は、上記従来例の有する不都合を改善し、特に、ネットワークシステムに対する未知の攻撃に有効に対処することのできるネットワークセキュリティシステムを提供すること、をその目的とする。
【0029】
【課題を解決するための手段】
そこで、本発明では、上記目的を達成するため、外部ネットワークと防御対象ネットワーク間を伝送するデータを監視するファイヤウォール手段を備えたネットワークセキュリティシステムであって、前記ファイヤウォール手段に、前記いずれのネットワークにも属さない仮想試験端末を接続し、前記ファイヤウォール手段が、予め登録された振分ルールに基づいて前記外部ネットワークから前記防御対象ネットワーク内の一の端末に送信されたデータを当該防御対象ネットワークの前記一の端末或いは前記仮想試験端末に振り分けて転送するデータ振分機能と、前記仮想試験端末から返送された実行済データを前記防御対象ネットワーク内の前記一の端末に転送する実行済データ転送機能とを備えた構成とした。
更に、本発明では、前記仮想試験端末を前記防御対象ネットワーク内の各端末と同等のアプリケーション環境に設定すると共に、この仮想試験端末が、前記ファイヤウォール手段から転送されたデータを実行する仮実行機能と、仮実行されたデータのうち予め設定された基準に基づいて正常に実行されたと判断された実行済データを前記ファイヤウォール手段に返送する正常実行データ返送機能とを備えている。
更に、本発明に係るネットワークセキュリティシステムでは、前記ファイヤウォール手段が実行する前記振分ルールを、前記送信されてきたデータが信頼できるアドレスやポート番号を備えている場合に前記防御対象ネットワークへの通過を許可する通過許可ルールと、この通過許可ルールに一致しないデータに対して適用し該データが前記仮想試験端末で実行可能なサービス或いはアプリケーションに対応したパケットパターンを備えたものであるか否かを調べて対応していないデータを破棄するためのTPC実行対応ルールと、このTPC実行対応ルールに対応したパケットパターンを有するデータに対して適用し予め登録されている不正パケットか否かを調べて不正であると判断されたデータを破棄しその通過を禁止するためのTPC転送禁止ルールとした。
そして、前述したファイヤウォール手段は、この振分ルールの各内容を順次通過したデータを未知のパケットとして前記防御対象ネットワーク内の各端末と同等のアプリケーション環境を備えた前記仮想試験端末へ転送する構成とした。
【0030】
このような構成にすることにより、まず、外部ネットワークから防御対象ネットワーク内の所定の端末に送信されたデータが、外部ネットワークと防御対象ネットワークとの間に備えられたファイアウォール手段に受信される。そして、ファイアウォール手段では、送信データの送信先やデータ形式などが抽出され、あらかじめファイアウォール手段に記憶された振分ルールと比較される。比較の結果、防御対象ネットワーク内の端末に送信してよいと判断される場合には、ファイアウォール手段は送信データを防御対象ネットワークに通過させ、そうでない場合には、仮想試験端末に転送する。また、防御対象ネットワーク内の端末とほぼ同一環境の仮想試験端末にて送信データが仮実行されるため、正常であると判断されたデータが実際に防御対象ネットワーク内の端末に送信されて当該端末にて実行されても、異常作動することが有効に抑制される。従って、防御対象ネットワーク内に転送されるデータの信頼性の向上を図ることができる。
【0031】
仮想試験端末では、ファイアウォール手段からの送信データを実行し、あらかじめ記憶されている正常実行であるか否かの基準に適合するか否かを調べる。正常実行であると判断された場合には、当該送信データをファイアウォール手段を介して防御対象ネットワーク内の端末に送信する。一方、正常実行でない場合には、かかる送信データは防御対象ネットワークには送信しないこととなる。
【0032】
従って、あらかじめファイアウォール手段に登録されていない未知の送信データは、仮想試験端末に転送されて当該仮想試験端末にて実行され、正常実行されるものであると判断されたデータのみが防御対象ネットワークに通過されることとなるため、外部からの不正なアクセスを抑制し、未知の攻撃に対する被害を抑制することができ、ネットワークセキュリティの強化を図ることができる。
【0033】
更に、上記ネットワークセキュリティシステムでは、前記仮想試験端末が、前記仮実行機能にて実行したデータに基づいて、前記ファイヤウォール手段に登録された振分ルールに追加する新たな振分ルールデータを生成すると共に当該生成した新たな振分ルールデータを前記ファイヤウォール手段に送信する振分ルール生成部を備え、前記ファイヤウォール手段が、前記仮想試験端末から受信した新たな振分ルールデータを既に登録されている前記振分ルールに新たに登録する振分ルール登録部を備えた構成とした。
そして、前記仮想試験端末の振分ルール生成部が、前記仮想試験端末の仮実行機能の実行によって得られる実行結果が正常実行である場合にはかかる場合のパケットルールを前記通過許可ルールに追加するように生成し、前記実行結果が不正常実行である場合にはかかる場合のパケットルールを前記TPC転送禁止ルールに追加するように生成する構成とした。
【0034】
これにより、仮想試験端末では、仮実行の結果、安全であると判断されたデータを識別するルール、あるいは、逆に危険であると判断されたデータを識別するルールが生成されて、かかるルールがファイアウォールに登録されることとなる。すると、次回からは、ファイアウォール手段にて、通過を許可するルールに登録されたデータは仮想試験端末にて仮実行されることなく防御対象ネットワークに通過され、一方、危険なデータとして識別されたルールに合致するデータは仮想試験端末で仮実行するまでもなく危険なデータであるから、当該仮想試験端末に転送することなくファイアウォール手段にて破棄する。従って、仮想試験端末にて仮実行するデータ量の減少を図ることができ、当該仮想試験端末の処理負担を軽減することができる。
【0035】
また、仮想試験端末は、防御対象ネットワーク内の所定の端末に所定のサービスを提供するサーバであることとしてもよい。これにより、例えば、防御対象ネットワーク内の端末に対してプロキシサーバやメールサーバとして作動するサーバが、仮想試験端末としての機能を果たすこととなる。すると、外部ネットワークから防御対象ネットワーク内の端末にデータが送信される際には、かかるデータは必ず上記サーバに蓄積されるが、この際に、かかるサーバ内で仮実行が行われて、データの安全性がチェックされる。従って、種々のサービスサーバの有効活用を図ることができ、セキュリティの強化を図りつつ、種々のデータに対応した仮想試験サーバを独立して備える必要がないため、運用コストの削減をも図ることができる。
【0037】
また、このネットワークセキュリティシステムにあっては、外部ネットワークと前記ファイヤウォール手段との間に、他のファイヤウォール手段を備えると共に、当該他のファイヤウォール手段が、前記外部ネットワークから前記防御ネットワークの一の端末に送信されたデータの内、SMTP対応パケット及び当該SMTP対応パケット以外の特定のパケットのみを通過させるようにその通過ルールを設定し、前記ファイヤウォール手段では、前記通過許可ルールとして、前記SMTP対応パケット以外の特定のパケットのみを通過させると共に前記SMTP対応パケットのみを前記仮想試験端末に転送するように設定する構成としてもよい。
さらには、前記ファイヤウォール手段と前記仮想試験端末との間に存在するパケットを監視する不正アクセス監視端末を備えると共に、この不正アクセス監視端末が、予め定められた基準に基づいて不正アクセスパケットを検出して当該不正アクセスパケットに関する情報を前記ファイヤウォール手段への登録用として記憶する不正パケット検出機能を備えた構成としてもよい。
【0038】
これにより、外部ネットワークからの送信データは、ファイアウォール手段に送信される前および後に、他のファイアウォール手段やIDSによりチェックを受けることとなる。従って、事前に不正データの振り分けが行われるため、ファイアウォール手段によって振り分けるパケットを絞ることができ、当該ファイアウォール手段の振分負担の軽減を図ることができる。
【0039】
(削除)
【0040】
(削除)
【0041】
【発明の実施の形態】
〈第1の実施形態〉
以下、本発明の第1の実施形態を、図1乃至図6を参照して説明する。図1は、本発明であるネットワークセキュリティシステムの構成を示すブロック図であり、図2は、機能ブロック図である。図3は、システムにおけるデータの流れを示す説明図である。図4乃至図6は、システムの動作を示すフローチャートである。
【0042】
(構成)
本発明であるネットワークセキュリティシステムは、図1に示すように、外部ネットワーク1と防御対象ネットワーク2間を伝送するデータを監視するファイアウォール手段3を備えると共に、このファイアウォール手段3に、上記外部ネットワーク1、防御対象ネットワーク2のいずれにも属さない仮想試験端末4を接続して備えている。
【0043】
そして、上記ファイアウォール手段3と仮想試験端末4とが、後述するような機能を備えていることにより、外部ネットワーク1から防御対象ネットワーク2内の端末に送信されるデータの安全性をチェックし、安全性の高いデータのみを防御対象ネットワーク2内に通過させて、セキュリティの強化を図るというシステムである。以下、これを詳述する。
【0044】
(外部ネットワーク)
外部ネットワーク1は、電話回線などを用いて世界中に広がったネットワーク環境であるインターネットである。このインターネット上には、不特定多数のコンピュータが接続されていて、例えば、ウェブサイトを開設するウェブサーバや、電子メールのやり取りを行う個人の端末などが接続されている。従って、これらの間には、多種多様なデータが伝送している。なお、外部ネットワーク1は、上記インターネット網に限定されず、後述する防御対象ネットワーク2に対して外部と位置づけられるネットワークを指すものである。また、インターネットを構築する回線は、電話回線であることに限定されず、光ファイバーやCATV網を用いたものであってもよい。
【0045】
ここで、外部ネットワーク1と防御対象ネットワーク2との間には、ファイアウォール手段3が接続されていることを上述したが、ファイアウォール手段3と外部ネットワーク1との間には、さらに、外部ネットワーク1からの伝送データを防御対象ネットワーク2へと効率よく導くルータ5が備えられている。このルータ5は、例えば、外部ネットワーク1からのデータが、防御対象ネットワーク2内の端末へのものである場合にのみ、通過を許可するよう作動する。但し、かかるルータ5は、備えられていなくてもよい。
【0046】
(防御対象ネットワーク)
防御対象ネットワーク2は、外部ネットワーク1であるインターネット上からの不正アクセスや不正データの受信といった攻撃から防御する対象となる端末が存在するネットワーク網である。例えば、会社内のLANであったり、単に、個人の端末が存在するいわゆる内部ネットワークでもある。また、防御対象ネットワーク2は、このような一般ユーザの端末が存在するいわゆる内部ネットワークに限定されず、従来技術の説明時に図11(a)を参照して開示した、非武装地帯D100内のメールサーバD102などが対象となることもある。なお、以下本実施形態では、防御対象ネットワーク2が各ユーザ端末が接続された所定の社内LANである場合を想定して内部ネットワーク2と呼び、説明する。
【0047】
内部ネットワーク2内には、複数の端末21〜23が存在しており、相互に接続されていてLANを形成している。これらの端末21〜23が防御対象の端末であるが、以下に示す例では、特に、符号21の端末を防護対象として説明する。
【0048】
(ファイアウォール手段)
ファイアウォール手段3は、その基本構成は、一般的なファイアウォール機器と同一である。すなわち、所定の演算処理能力を有するCPUと、所定の記憶容量を有する記憶装置とを備えた、サーバ型のファイアウォール機器である。従って、その基本的な動作は従来のものと同様であって、内部ネットワーク(防御対象ネットワーク)2に対するデータの出入口に備えられ、当該内部ネットワーク2に出入りするパケットパターンの分析を行い、内部ネットワークへの転送をフィルタリングするというものである。
【0049】
但し、本実施形態におけるファイアウォール手段3は、以下の点で従来例のものと異なる。それを、以下に詳述する。なお、このファイアウォール手段3を、上述したルータ5と区別するために、内部ファイアウォール3と呼ぶ。
【0050】
内部ファイアウォール3の構成を、図2を参照して説明する。図2は、本発明の構成を示す機能ブロック図である。この図に示すように、内部ファイアウォール3には、まず、振分ルール記憶部31が備えられている。この記憶部31は、上述したハードディスクなどの記憶装置に、当該内部ファイアウォール3がフィルタリングするパケットの振分ルールに関するデータが記憶されたものである。
【0051】
ここで、振分ルールについて説明する。本実施形態における振分ルールは、主に2つのルールベースからなり、具体的には、通過許可ルール、TPC転送禁止ルール、からなる。
【0052】
そして、通過許可ルールは、従来におけるファイアウォール機器と同様に、外部ネットワーク1から内部ネットワーク2に通過を許可するパケットルールを記述したものである。すなわち、デフォルト状態すなわちルールが何も記述されていない場合には、いかなるパケットをも通過禁止となる。この通過許可ルールとしては、具体的には、送信元・送信先のIPアドレスやポート番号、データのプロトコルタイプ、データに含まれる文字列、などである。従って、信頼できる送信元のIPアドレスを記述しておくことで、かかるパケットデータは防御ネットワークである内部ネットワーク2内への通過が許され、逆に、未知のパケットが内部ネットワーク2内に送信されることはない。
【0053】
また、TPC転送禁止ルールは、後述する仮想試験端末4への転送を禁止するパケットルールを記述したものである。すなわち、デフォルト状態すなわちルールが何も記述されていない場合には、総てのパケットが仮想試験端末4に転送されることとなる。この転送禁止ルールは、上記通過許可ルールと同様に、送信元・送信先のIPアドレスやポート番号、データのプロトコルタイプ、データに含まれる文字列、などである。従って、過去に不正であると判断されたパケットに関するデータを転送禁止ルールとして記述しておくことで、そのようなパケットを仮想試験端末4に転送することなく、後述するように内部ファイアウォール3で破棄することができる。そして、未知のパケットを仮想試験端末4に転送することができる。
【0054】
なお、本実施形態では、振分ルールとして上述した2つのルールのみならず、TPC実行対応ルールも含まれている。このTPC実行対応ルールは、後述するように仮想試験端末4が仮実行可能なサービス、あるいは、アプリケーションに対応したパケットを識別するルールを記述したものである。すなわち、かかるルールに記述されていないパケットを仮想試験端末4に転送しても、当該仮想試験端末4で仮実行することが不可能であるため、そのようなパケットを、転送前に内部ファイアウォールで振り分けるというものである。
【0055】
次に、内部ファイアウォール3が有する機能について説明する。なお、以下に説明する機能は、各機能処理を実現するプログラムがCPUに組み込まれることによって当該CPUが各機能として作動する。これを、模式的に図2に示す。
【0056】
内部ファイアウォール3は、外部ネットワーク1から内部ネットワーク(防御対象ネットワーク)2内の所定の端末21〜23に送信されたデータを受信する外部データ受信機能(送受信部32)と、この受信したデータをあらかじめ振分ルール記憶部31に登録された上記振分ルールに基づいて内部ネットワーク2内の所定の端末21〜23あるいは仮想試験端末4に振り分けて転送するデータ振分機能(データ振分部33及び送受信部34)と、仮想試験端末4から返送された実行済データを内部ネットワーク2内の所定の端末21〜23に転送する実行済データ転送機能(送受信部34)と、さらには、仮想試験端末4から受信した後述する新たな振分ルールデータを既に登録されている振分ルールに新たに登録する振分ルール登録機能(振分ルール登録部35)と、を備えている。なお、上記送受信部32,34は、機器としては同一のネットワーク接続機器にて構成されており、当該機器を通過する送受信データが各機能毎に取り扱われることとなる。上記機能を構成する各部について詳述する。
【0057】
まず、外部ネットワーク1と接続されている送受信部32は、受信したデータをデータ振分部32に転送する。データ振分機能は、データ振分部33と送受信部34にて構成されており、データ振分部33では、上述したように振分ルール記憶部31内の振分ルールに基づいて、パケットが通過許可ルールに一致する場合には、内部ネットワーク2に当該パケットを通過させる。それ以外のパケットは、TPC実行対応ルールと対比して一致しない場合には仮想試験端末4にて仮実行が不可能なので、かかるパケットを破棄する。そして、TPC実行対応ルールに一致するパケットは、TPC転送禁止ルールと対比して一致する場合には破棄し、一致しない場合には未知のパケットであるため、仮想試験端末4に転送する。このとき、内部ネットワーク2あるいは仮想試験端末4に転送されるパケットは、送受信部34を介してそれぞれに送信される。
【0058】
また、振分ルール登録部35は、仮想試験端末4から新たな振分ルールデータが送受信部34を介して送信されてくると、当該新たな振分ルールデータが対応する振分ルール記憶部31内の各ルールを更新登録する。例えば、TPC転送禁止ルールに追加する新たな送信元IPアドレスが新たな振り分けルールデータとして送信された場合には、TPC転送禁止ルールに当該IPアドレスを追加登録することとなる。なお、以上の各機能(各部)による処理内容は、動作説明時に詳述する。
【0059】
(仮想試験端末)
仮想試験端末4(TestPC:以下、TPCとも言う)は、内部ファイアウォール3に接続された記憶装置、演算装置(CPU)を備えたサーバコンピュータであり、外部ネットワーク1及び内部ネットワーク(防御対象ネットワーク)2のいずれにも属さない端末である。
【0060】
この仮想試験端末4のシステム環境は、防御対象である内部ネットワーク2内に存在する端末21〜23とほぼ同一の環境に設定されている。具体的には、内部ネットワーク2内の端末21〜23と同等のアプリケーション環境が用意されている。なお、端末21〜23毎に設定の細部が異なるが、特に、重要な端末(例えば、符号21の端末)と同一の環境設定としておくとよい。このように、内部ネットワーク2内の端末と同一環境に設定しているのは、後述するように、仮想試験端末4が未知のアクセスに対して防御ネットワーク上の端末の代わりに動作実行を代行するからである。以下、構成を詳述する。
【0061】
まず、仮想試験端末4のハードディスクなどの記憶装置には、不正実行定義記憶部41が形成されていて、後述するように仮想試験端末4が内部ファイアウォール3から送信されたデータを仮実行した結果、不正実行されたと判断するための基準となるルールが記憶されている。不正実行の定義は、例えば、仮想試験端末4上の監視対象プロセスが正常に終了しない、レジストリが改竄される、ファイルが改竄される、新規に不明なファイルが作成される、さらには、予想外のパケット送信が行われる、などを表すデータである。但し、かかる定義データは、上記のものに限定されず、防御対象である内部ネットワーク2の端末21〜23により異なる。
【0062】
また、仮想試験端末4には、以下に示す機能が備えられている。なお、以下に説明する機能は、各機能処理を実現するプログラムがCPUに組み込まれることによって当該CPUが各機能として作動する。これを、模式的に図2に示す。
【0063】
仮想試験端末4は、内部ファイアウォール3から転送されたデータを実行する仮実行機能(仮実行部42)と、仮実行されたデータのうち上述した不正実行定義に基づいて正常に実行されたと判断された実行済データを内部ファイアウォール3に返送する正常実行データ返送機能(仮実行部42及び送受信部43)と、さらには、仮実行部42にて実行したデータに基づいて内部ファイアウォール3に登録された振分ルールに追加する新たな振分ルールデータを生成すると共に当該データを内部ファイアウォール3に送信する振分ルール生成機能(振分ルール生成部44及び送受信部43)と、を備えている。
【0064】
上記各機能として作動する各部を詳述すると、まず、送受信部43は、内部ファイアウォール3から転送された未知のパケットを受信して、仮実行部42に送る。また、仮実行部42にて正常に実行されたデータや、振分ルール生成部44にて生成された新たな振分ルールデータを、内部ファイアウォールに返送する。
【0065】
また、仮実行部42は、内部ファイアウォール3から送信された未知のパケットを実際に実行する。そして、実行した際に、当該端末4上の起こる状態を不正実行定義記憶部41内のデータと比較して、かかる定義データに該当しない場合には、実行結果が正常であったと判断して、そのパケットを上記送受信部43を介して内部ファイアウォール3に返送する。この際に、内部ファイアウォールの防御ネットワークへの通過許可ルールとして追加するよう振分ルールにルール作成指令を出す。一方、監視対象プロセスが正常に終了しない、レジストリが改竄される、ファイルが改竄される、新規に不明なファイルが作成されるといった状態が起こり、かかる状態が不正実行定義に該当して不正実行である場合には、かかるパケットを破棄して、TPC転送禁止ルールにこのパケットルールを記述するよう、新たな振分ルールを生成するよう指示を出す。また、かかる場合には、その後、仮想試験端末4の環境を試験実行前の環境に復元する。
【0066】
そして、振分ルール生成部44は、上述したように、仮実行部42からの指示に応じて、すなわち、仮実行部42での実行結果に応じて、内部ファイアウォール3の振分ルール記憶部31に記憶されている振分ルールを更新する新たなルールデータを生成する。具体的には、仮実行部42にて正常実行である場合には、かかるパケットルールを、通過許可ルールに追加するよう生成し、逆に不正実行である場合には、TPC転送禁止ルールに追加するよう生成する。そして、生成した更新対象となる新たな振分ルールデータを、送受信部43を介して内部ファイアウォール3に送信する。
【0067】
また、図示していないが、仮想試験端末4には、自己修復機能が備えられている。この自己修復機能は、あらかじめ自己のシステム環境設定に関するデータを記憶しておき、上述したように、不正実行が行われたと判断されたときに、システム環境設定を参照して、不正実行前のシステム環境に復元する。あるいは、試験実行時には、レジストリやプロセスを常に監視している状態にあるので、かかる不正なレジストリ等の変更が検出されたときに、当該レジストリやプロセスを破棄し、システム環境の復元を行う。なお、このようなシステム環境を修復する処理は、自己の端末にて実行されることに限定されない。仮想試験端末4には、当該端末4の修復処理を行う他の端末が接続されていてもよい。
【0068】
(動作)
次に、本発明の動作を、図3のデータの流れを説明する図と、図4乃至図6のフローチャートを参照して説明する。なお、かかる動作説明では、内部ネットワーク2内の符号21に示す端末が、外部ネットワーク1上からデータを要求している場合を例示し、かかる場合に、外部ネットワーク1上からのパケットデータPがどのように伝送するかについて説明する。そしてこれに伴い、仮想試験端末4は、端末21のシステム環境に適応したものとなっている。また、主に、図4と図6は、内部ファイアウォール3の動作を、図5は仮想試験端末4の動作を示すものである。
【0069】
まず、図3に示すように、外部ネットワーク1上からの所定のパケットデータPがルータ5を通過し、内部ファイアウォール3に送信される(矢印A1、ステップS1)。そして、内部ファイアウォール3は、受信したパケットデータPを振分ルール記憶部31に記憶されている通過許可ルールと比較する(ステップS2:第1の工程)。
【0070】
ここで、パケットデータPのパケットパターン、例えば、パケットデータPのヘッダ部分に含まれる情報が、通過許可ルールと一致していれば(ステップS2で肯定判断)、正常なパケットとして内部ファイアウォール3を通過し、内部ネットワーク2内の端末21に送信される(矢印A2、ステップS6)。そして、要求先の端末21では、このパケットを受信して適切な処理を行う。一方、パケットパターンが通過許可ルールと一致しない場合には(ステップS2で否定判断)、続いて、パケットパターンを振分ルール記憶部31に記憶されているTPC実行対応ルールと比較する(ステップS3)。すなわち、このパケットが、仮想試験端末4が試験実行しているサービス及びアプリケーションに対応している否かを調べる。
【0071】
そして、パケットパターンがTPC実行対応ルールと一致していない場合には(ステップS3にて否定判断)、パケットPが仮想試験端末4で試験実行できないこととなる。すなわち、当該仮想試験端末4はパケットPの送信先である端末21と同一の環境となっているから、当該パケットPは端末21に送信されるべきものでないことがわかり、不正なパケットとして破棄される(矢印A3、ステップS3、S7:第2の工程)。
一方、パケットパターンがTPC実行対応ルールと一致している場合には(ステップS3にて肯定判断)、続いて、パケットパターンを振分ルール記憶部31に記憶されているTPC転送禁止ルールと比較する(ステップS4)。すなわち、パケットデータPが、あらかじめ不正パケットであるとして登録されていないかどうか、ということを調べる。
【0072】
そして、パケットパターンがTPC転送禁止ルールと一致している場合には(ステップS4にて肯定判断)、かかるパケットPは不正パケットであることが確認されたので破棄される(矢印A3、ステップS4、ステップS7:第3の工程)。一方、パケットパターンがTPC転送禁止ルールと一致していない場合には(ステップS4にて否定判断)、未知のパケットとして仮想試験端末4に転送する(矢印A4、ステップS5、図4の符号Aを介して図5に進む)。
【0073】
このように、これまでの動作を換言すると、内部ファイアウォール3があらかじめ登録された振分ルールに基づいて外部ネットワーク1から内部ネットワーク2内の所定の端末21に送信されたデータを当該内部ネットワーク2内の所定の端末あるいは仮想試験端末4に振り分けて転送する、という動作となっている(データ振分工程)。
【0074】
続いて、未知のパケットPを受信した仮想試験端末4は、受信したパケットPを仮実行(試験実行)する(ステップS11、仮実行工程)。このとき、仮想試験端末4は、不正実行定義記憶部41に記憶されているデータに基づいて、試験実行による動作が正常実行であるか否かを調べる(ステップS12)。例えば、仮想試験端末4上の監視対象プロセスが正常に終了しない、レジストリが改竄される、ファイルが改竄される、新規に不明なファイルが作成される、といった状態が起こらない場合には、正常実行であると判断し、そうでない場合には、異常実行であるとしてパケットPを不正パケットとする。
【0075】
正常実行された場合には(ステップS12にて肯定判断)、かかるパケットのパケットパターンを内部ファイアウォール3の通過許可ルールに追加すべく、更新する通過許可ルールを生成し(ステップS13)、当該生成したルールを内部ファイアウォール3に送信する(矢印A6、ステップS15)。また、これとほぼ同時に、正常に作動することを確認したパケットPを、内部ネットワーク2内の端末21に送信すべく、内部ファイアウォール3に返送する(矢印A5、ステップS14、正常実行データ返送工程)。
【0076】
一方、仮想試験端末4にて、正常実行されなかった場合には(ステップS12にて否定判断)、かかるパケットPは不正パケットであるので、当該パケットのパケットパターンを内部ファイアウォール3のTPC転送禁止ルールに追加すべく、更新するTPC転送禁止ルールを生成し(ステップS16)、当該生成したルールを内部ファイアウォール3に送信する(矢印A6、ステップS15)。また、これとほぼ同時に、正常に実行されなかったパケットPを破棄し(ステップS17)、仮想試験端末4のシステム環境を、試験実行前の環境に復元する(ステップS18)。
【0077】
続いて、図5の符号Bから図6に進む。仮装試験端末4にて正常に実行されたパケットPが内部ファイアウォール3にて受信されると(ステップS21にて肯定判断)、当該パケットPの送信対象である端末21にパケットPが転送される(矢印A5、ステップS22、実行済データ転送工程)。また、仮想試験端末4にて生成された新たな追加ルールデータが内部ファイアウォール3にて受信されると(矢印A6、ステップS23にて肯定判断)、当該内部ファイアウォール3では、各ルールの更新登録が行われる(ステップS24)。
【0078】
このようにすることにより、あらかじめ内部ファイアウォール3に登録されていない未知の送信データは、仮想試験端末4に転送されて当該仮想試験端末4にて試験実行されるため、正常実行されるものであると判断されたデータのみが内部ネットワークに通過されることとなる。このため、外部からの不正なデータのアクセスを抑制することができ、未知の攻撃に対する被害を抑制することができる。
【0079】
また、仮想試験端末4では、仮実行の結果、安全であると判断されたデータを識別するルール、あるいは、逆に危険であると判断されたデータを識別するルールが生成されて、かかるルールがファイアウォールに登録されることとなる。すると、次回からは、内部ファイアウォール3にて、通過を許可するルールに登録されたデータは仮想試験端末4にて仮実行されることなく内部ネットワーク2に通過され、一方、危険なデータとして識別されたルールに合致するデータは仮想試験端末4で仮実行するまでもなく危険なデータであるから、当該仮想試験端末に転送することなく内部ファイアウォール3にて破棄される。従って、仮想試験端末4にて仮実行するデータ量の減少を図ることができ、当該仮想試験端末の処理負担を軽減することができる。
【0080】
ここで、仮に、仮想試験端末4が試験実行したことにより、未知の攻撃(例えば、アプリケーションのセキュリティホールを突くなど)などにより、システムダウンに追い込まれた状態になったとしても、内部ファイアウォール3に記述されている通過許可ルールによって、許可されたパケットのみが内部ネットワーク2に通過することとなる。このような場合であっても、未知のデータを内部ネットワーク2に通過することなく、セキュリティが確保される。すなわち、いわゆるフェールソフト(縮退運転)構造となっている。
【0081】
一方、仮に、内部ファイアウォール3がシステムダウンに追い込まれたとしても、以後に送信されてきたパケットは内部ファイアウォールを通過することができず、外部からの不正パケットは内部ネットワーク2に到達することができない。すなわち、いわゆるフェールセーフ構造となっている。従って、かかる場合にも、ネットワークセキュリティが確保される。
【0082】
〈第2の実施形態〉
次に、本発明の第2の実施形態について、図7乃至図8を参照して説明する。
図7は、ネットワークセキュリティシステムの第2の実施形態における構成を示すブロック図であり、図8は、仮想試験端末の構成を示す機能ブロック図である。
【0083】
(構成)
本実施形態におけるシステムは、特に電子メールに添付されたウイルスをチェックするよう作動する。具体的には、仮想試験端末140が、防御対象ネットワーク120内のメールサーバ121に送信される電子メールを展開して、当該電子メールにファイルが添付されている場合には当該ファイルを実行し、正常に実行されたものをメールサーバ121に送信する、というものである。従って、本実施形態は上記第1の実施形態の具体的な運用例であって、その各構成は、第1の実施形態とほぼ同様である。但し、以下の点で異なる。
【0084】
まず、仮想試験端末140の仮実行機能(図2の仮実行部に相当する機能)は、後述する内部ファイアウォール130から転送されたパケットデータPである電子メールを展開すると共に、当該電子メールに添付されているファイルを実行する。例えば、添付されているファイルが文書データなどであれば、所定のアプリケーションで開き、実行ファイルであれば実行する。そして、電子メールを展開したり、添付ファイルを実行したときに、不正処理が行われないかどうかを、不正実行定義記憶部に記憶されている不正実行定義データに基づいて調べる。このとき、不正実行定義データには、例えば、不正実行の定義として、レジストリの変更、ハードディスクへの書き込み、予測外のパケット送信、などを表すデータが記述されていて、かかる動作が行われないか否かを監視する。
【0085】
そして、不正実行された場合には、かかるパケットを破棄し、パケットルールをTPC転送禁止ルールに登録するデータを生成したり、仮想試験端末140自身のシステム環境を修復処理する。また、正常実行された場合には、当該パケットPである電子メールを防御対象ネットワーク120内のメールサーバ121に送信する。
【0086】
このように、本実施形態においては、仮想実行端末140が外部ネットワーク110から送信された電子メールを受信するSMTPサーバとして稼働するものである。すなわち、仮想試験端末140は、試験実行して電子メールに添付されたウイルスデータを監視するサーバとして機能すると共に、防御対象ネットワーク120内のメールサーバ121に対して電子メールを転送するというサービスを提供するSMTPサーバである。
【0087】
なお、本実施形態における防御対象ネットワーク120は、上記第1の実施形態において開示した一般ユーザなどの端末が接続されたいわゆる内部ネットワーク2とは異なり、従来例では非武装地帯として説明したネットワークである。このようなネットワーク120内に送信されるデータに対しても、本発明では有効に対処することができる。
【0088】
また、仮想試験端末140の具体的な構成は、図8に示すようになっており、動作説明時に詳述する。
【0089】
そして、上記仮想試験端末140の構成に伴い、内部ファイアウォール130は、上述同様に、振分ルールに基づいて外部ネットワーク110からのパケットデータPを防御対象ネットワーク120側に通過させたり、仮想試験端末140に転送するが、振分ルールが上述のものと異なる。具体的には、通過許可ルールには、SMTPに即したパケットを通過させないよう、かかる記述はされておらず、それ以外のメールサーバ121に通過させてよいパケットルールが記述されている。また、TPC転送禁止ルールには、悪質なウイルスデータに関するパケットルールが記述されていて、かかるウイルスデータを含む電子メールは内部ファイアウォール130にて破棄されるようになっている。
【0090】
(動作)
次に、図7乃至図8のデータの流れを参照して、システムの動作を説明する。
まず、外部ネットワーク110から防御対象ネットワーク120上のメールサーバ121宛てのメールが、ルータ150を介して内部ファイアウォールに到達すると、通過許可ルールとの比較により、SMTP以外の通過許可パケットはメールサーバ121に通過される(矢印A11)。一方、SMTP対応パケットは、仮想試験端末140に転送される(矢印A12)。
【0091】
ここで、あらかじめルータ150にもパケットフィルタリング機能を備えておき、SMTP対応パケットや、特定のパケットルールのみを防御対象ネットワーク側(メールサーバ121側)に通過させるように設定しておいてもよい。そして、内部ファイアウォール130の通過許可ルールにはSMTP対応パケットルール以外の上記特定のパケットルールのみを記述し、当該特定のパケットルールのパケットデータのみをメールサーバ121に通過させ、SMTP対応パケットは仮想試験端末140に転送するようにしてもよい。このように、ルータ150を他のファイアウォール手段として備え、当該ルータの振分ルールが内部ファイアウォール130の振分ルールと異なる設定としておくことにより、内部ファイアウォール3にて振り分けるパケットの数を軽減することができる。
【0092】
続いて、内部ファイアウォール130から送信されたSMTP対応パケットは、仮想試験端末140の通信デバイス141、OS143を通過して、SMTPサーバ145に到達し(矢印A21)、さらに、テストデーモン147(Test・Daemon)が受け取る(矢印A22)。テストデーモン147は、対応するメールアプリケーション146を起動して(矢印A23)、このメールを実行する(矢印A24)。なお、どのようなメールアプリケーションを利用するかは、メールサーバ121の運用環境によって異なる。
【0093】
このとき、テストデーモン147は、レジストリ、プロセス、ファイルの更新状況を確認して、レジストリの改竄、不明なファイルの追加、さらには、外部に勝手にメールが送信される、などの不正処理が行われていないか監視する(矢印A25)。そして、実行した結果、不正な状況が確認されていなければ、本来のメール送信先の端末、本実施形態の場合にはメールサーバ121に、このパケットにかかるメールを、内部ファイアウォール130を介して送信する(矢印A13,A26)。
【0094】
このように、本システムを電子メールに添付されうるウイルス検索に用いることにより、メールを実際に対応アプリケーション上で実行し、その動向を確かめているため、従来より行われているパターンマッチングによるウイルススキャンでは、既知のウイルスしか発見することができないが、本システムでは、監視対象に作用するウイルスであれば未知のウイルス、新種のウイルスをも検知し、対応することができる。従って、防御対象ネットワーク120上のメールサーバが受信した電子メールの安全性の向上を図ることができ、個々のユーザに送信される電子メールの安全性も向上する。
【0095】
〈第3の実施形態〉
次に、本発明の第3の実施形態について、図9乃至図10を参照して説明する。図9は、ネットワークセキュリティシステムの第3の実施形態における構成を示すブロック図であり、図10は、仮想試験端末の構成を示す機能ブロック図である。
【0096】
(構成)
本実施形態におけるシステムは、特に、Webブラウジングを行う際に、当該HTMLファイルに組み込まれたウイルスをチェックするよう作動する。具体的には、仮想試験端末240が、防御対象ネットワーク220内のWebページを要求したクライアント端末221に送信されるHTTP対応パケットを実行し、正常に実行されたものをクライアント端末221に送信する、というものである。従って、本実施形態は上記第1の実施形態の具体的な運用例であって、その各構成は、第1の実施形態とほぼ同様である。但し、以下の点で異なる。
【0097】
なお、本実施形態では、防御対象ネットワーク230が第1の実施形態のものと同様に、一般ユーザの端末が接続されたいわゆる内部ネットワーク220である。
【0098】
まず、仮想試験端末240の仮実行機能(図2の仮実行部に相当する機能)は、後述する内部ファイアウォール230から転送されたパケットデータPであるHTTP対応パケットをWebブラウザ上で実行する。そして、実行したときに、不正処理が行われないかどうかを、不正実行定義記憶部に記憶されている不正実行定義データに基づいて調べる。このとき、不正実行定義データには、例えば、不正実行の定義として、レジストリの変更、ハードディスクへの書き込み、予測外のパケット送信、などを表すデータが記述されていて、かかる動作が行われないか否かを監視する。
【0099】
そして、不正実行された場合には、かかるパケットを破棄し、パケットルールをTPC転送禁止ルールに登録するデータを生成したり、仮想試験端末140自身のシステム環境を修復処理する。また、正常実行された場合には、当該パケットPであるHTTPパケットを内部ネットワーク220内の端末221に送信する。
【0100】
このように、本実施形態においては、仮想実行端末240が外部ネットワーク1から送信されたHTMLデータなどを中継するプロキシサーバとして稼働するものである。すなわち、仮想試験端末240は、試験実行してHTMLファイルに添付されたウイルスデータを監視すると共に、内部ネットワーク220内のクライアント端末221に対してHTMLファイルを転送するというサービスを提供するプロキシサーバである。
【0101】
なお、仮想試験端末240の具体的な構成は、図10に示すようになっており、動作説明時に詳述する。
【0102】
そして、上記仮想試験端末240の構成に伴い、内部ファイアウォール230は、上述同様に、振分ルールに基づいて外部ネットワーク210からのパケットデータPを内部ネットワーク側に通過させたり、仮想試験端末240に転送するが、振分ルールが上述のものと異なる。具体的には、通過許可ルールには、HTTPに即したパケットを通過させないよう、かかる記述はされておらず、それ以外の内部ネットワーク221内に通過させてよいパケットルールが記述されている。また、TPC転送禁止ルールには、悪質なウイルスデータに関するパケットルールが記述されていて、かかるウイルスデータを含むHTTPファイルは内部ファイアウォール230にて破棄されるようになっている。
【0103】
(動作)
次に、図9乃至図10のデータの流れを参照して、システムの動作を説明する。まず、外部ネットワーク210と内部ネットワーク220上のクライアント端末221との通信は、内部ファイアウォール230を介して行われるが、上述同様に、外部ネットワーク210から送信されたデータは、内部ファイアウォール230にて通過許可ルールと比較され、通過許可パケットは内部ネットワーク220内に通過される(矢印A31)。このとき、本実施形態では、HTTP対応パケットは、仮想試験端末240に転送されるよう、通過許可ルールが設定されている。なお、内部ネットワーク220から外部ネットワーク210に向かって送信されるデータも、通過許可されているパケットのみが通過することができる。
【0104】
そして、内部ネットワーク220上のクライアント端末221が、外部ネットワーク210上のWebサーバ(図示せず)に対するHTTPリクエストを行うと、当該リクエストが内部ファイアウォール230を介して仮想試験端末240に送信される(矢印A32)。仮想試験端末240は、このHTTPリクエストを通信デバイス241を介してテストデーモン247が受け取り(矢印A41,A42)、クライアント端末221のブラウザの代わりにプロキシとして、外部ネットワーク210上のWebサーバに対してHTTPリクエストを発行する(矢印A46,A33)。
【0105】
すると、かかるHTTPリクエストに対するWebサーバからのHTTPレスポンス(例えば、HTMLファイル)は、内部ファイアウォール230の通過許可ルールに基づいて、仮想試験端末240に送信される(矢印A34)。そして、かかるHTTPレスポンスを、テストデーモン247が受け取る(矢印A41,A42)。テストデーモンは、対応するWebブラウザ246を起動して(矢印A43)、このHTTPレスポンスであるHTMLファイルなどを実行する(矢印A24)。なお、どのようなWebブラウザ246を利用するかは、クライアント端末221の運用環境によって異なる。
【0106】
このとき、テストデーモン247は、レジストリ、プロセス、ファイルの更新状況を確認して、レジストリの改竄、不明なファイルの追加、さらには、外部に勝手にメールが送信される、などの不正処理が行われていないか監視する矢印A45)。そして、実行した結果、不正な状況が確認されていなければ、本来のHTTP要求元であるクライアント端末221に、このパケットにかかるHTTPレスポンスを、内部ファイアウォール230を介して送信する(矢印A35,A46)。一方、不正な状況が確認された場合には、そのHTTPレスポンスは破棄され、要求元のクライアント端末221にはその旨を伝えるメッセージなどが送信される。その後、仮想試験端末240は、実行前の環境に復元される。
【0107】
このようにすることにより、安全性が判断しがたいWebサイトであっても、要求に対して送信されるHTMLファイルなどが仮想試験端末にて実行されて、正常実行された当該HTMLファイルのみがクライアント端末に送信され、不正であると判断されたHTMLファイルなどは破棄されるため、不正データの侵入を抑制することができる共に、Webサイトの閲覧に対する危険性が軽減される。
【0108】
〈第4の実施形態〉
次に、本発明の第4の実施形態について説明する。本実施形態においては、上記実施形態において説明したネットワークセキュリティシステムの構成に、従来例において説明したIDS技術を組み込んだ構成となっている。
【0109】
具体的な構成としては、図1に示す内部ファイアウォール3と仮想試験端末4との間に存在するパケットを監視する不正アクセス監視端末(図示せず)を備えている。そして、この不正アクセス監視端末は、あらかじめ定められた基準に基づいて不正アクセスパケットを検出して当該パケットに関する情報を記憶する不正パケット検出機能や、記憶した不正アクセスパケットに関する情報を管理者に通知する不正パケット情報通知機能、を備えている。そして、上述したIDS技術と同様に、不正パケットが侵入したことのログを取ったり、かかるパケットに関するデータを管理者に通知することによって、かかるパケットルールがファイアウォールに登録されて、当該パケットを事前に排除することができる。
【0110】
特に、IDSを用いることにより、仮想試験端末の対象外となるパケット、すなわち、仮想試験端末にて実行不可能なパケットについても、分析が行われるため、不正なパケットをネットワークから有効に排除することができ、さらなるセキュリティの強化を図ることができる。
【0111】
なお、かかる構成に、上記第2の実施形態において説明したルータ150と同様に作用するルータ、具体的には、内部ファイアウォール3に通過させるパケットデータを事前にフィルタリングする別のファイアウォールであって、内部ファイアウォールと異なる通過許可ルールを備えたものを備えてもよい。これにより、内部ファイアウォールに到達するパケットは、既にあるルールにてフィルタリングされてその数が絞られているので、当該内部ファイアウォールにて振り分け処理するデータ数の減少を図ることができ、セキュリティの強化をも図ることができる。
【0112】
【発明の効果】
本発明は、以上のように構成され機能するので、これによると、予めファイアウォール手段に登録されていない未知の送信データは、仮想試験端末に転送されて当該仮想試験端末にて実行されるが、更に、その前にファイアウォール手段で3重にわたってフィルタリングを行うので、正常実行されるものと判断されたデータのみが防御対象ネットワークに通過されることとなるため、外部からの不正なアクセスを抑制し、未知の攻撃に対する被害を抑制することができ、ネットワークセキュリティの強化を図ることができる。
【0113】
又、仮実行の結果、安全であると判断されたデータを識別するルール、或いは逆に危険であると判断されたデータを識別するルールを生成して、ファイアウォールに登録することにより、自動的に通過を許可するルールや、仮想試験端末にて実行を禁止するルールを更新することができ、仮想試験端末にて仮実行するデータ量の減少を図ることができ、当該仮想試験端末の処理負担を軽減することができる。
更に、本発明では、前述した仮想試験端末が試験実行したことにより、未知の攻撃などによりシステムダウンに追い込まれた状態になったとしても、ファイアウォール手段に記述されている通過許可ルールによって許可されたパケットのみが前述した内部のネットワークに通過することができ、一方、未知のデータは内部のネットワークに通過することなく、これによってセキュリティが確保されるという、いわゆるフエールソフト(縮退運転)構造が維持されるという他に類例のない優れたネットワークセキュリティシステムを提供することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態における構成を示すブロック図である。
【図2】本発明の第1の実施形態における構成を示す機能ブロック図である。
【図3】本発明であるシステムにおけるデータの流れを示す説明図である。
【図4】第1の実施形態における動作を示すフローチャートである。
【図5】第1の実施形態における動作を示すフローチャートであり、図4の続きを示すものである。
【図6】第1の実施形態における動作を示すフローチャートであり、図5の続きを示すものである。
【図7】本発明の第2の実施形態における構成を示すと共に、データの流れを示す説明図である。
【図8】図7に開示した第2の実施形態における仮想試験端末の構成を示す機能ブロック図である。
【図9】本発明の第3の実施形態における構成を示すと共に、データの流れを示す説明図である。
【図10】図9に開示した第3の実施形態における仮想試験端末の構成を示す機能ブロック図である。
【図11】図11(a),(b)は、従来におけるネットワークセキュリティシステムの概要を説明する説明図である。
【図12】図12(a),(b)は、従来におけるネットワークセキュリティシステムの概要を説明する説明図である。
【図13】従来におけるネットワークセキュリティシステムの概要を説明する説明図である。
【符号の説明】
1 外部ネットワーク(インターネット)
2 防御対象ネットワーク(内部ネットワーク)
3 ファイアウォール手段(内部ファイアウォール)
4 仮想試験端末
5 ルータ
21〜23 端末(防御対象ネットワーク内)
31 振分ルール記憶部
33 データ振分部
35 振分ルール登録部
41 不正実行定義記憶部
42 仮実行部
44 振分ルール生成部
P パケットデータ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a network security system, and more particularly to a network security system that suppresses unauthorized data access from an external network to a protection target network. The present invention also relates to a network security management method.
[0002]
[Prior art]
In recent years, the Internet has spread rapidly and has become an indispensable part of our living environment. And the use is performed in various fields, for example, exchange of e-mails, provision of information by opening a website, and further opening an online shop site using a web server on the network. Online shopping such as selling products on the site is also popular. In this way, security management of information and communication networks is extremely important because it is an indispensable part of our lives and credit card numbers are sent and received via online networks when shopping online. It is positioned.
[0003]
In addition, there are various illegal actions such as impersonation of others on a computer on the network, unauthorized access such as falsification of data in the server, attacks that neutralize server functions, and the spread of malicious computer viruses. The damage is constant. In particular, in recent years, the environment for constant connection to the Internet via ADSL and CATV networks has been enhanced.thingTherefore, even a general user's terminal is conspicuously connected to the network, and such a general user has a low level of attention regarding security, and is likely to be a target of fraud.
[0004]
Therefore, various security systems have been developed as a defense against fraud as described above.
[0005]
One network security technology is firewall technology.
A firewall is a system for protecting an internal network (a network to be protected) from attacks from untrusted networks such as the Internet and unauthorized access. The purpose of the firewall is to allow only necessary communication to pass and block unnecessary communication. Normally, external access is possible from the internal network, but internal (defendable) network cannot be accessed from the outside. Control is common.
[0006]
Specific implementation methods include packet filtering for controlling a port used by an application at a packet level, and an application gateway method for communicating an internal and external network with an application (proxy response by proxy). First, packet filtering will be described with reference to the block diagram of FIG.
[0007]
As shown in FIG. 11A, in the construction of a firewall using packet filtering, routers R101 and R102 are respectively provided at the entrances and exits of the external network No (Internet) and the internal network Ni (inside the LAN). A demilitarized zone D100 (hereinafter referred to as DMZ) composed of the servers D103 and D104 such as the WWW server D101 and the mail server D102 is separated from the external and internal networks between the routers R101 and R102. It is prepared in the state. Here, in the DMZ (D100), in addition to the above-described server, a service published on the Internet, a proxy server D104 used when the external network communicates with the external network, and the like are operated. Packet filtering provides a firewall function by restricting access to these networks using a router filtering function.
[0008]
Here, the router R101 (external connection router) connected to the external network No discards a packet intended for access to other than the DMZ. Of course, when the external network and the internal network communicate with each other, direct communication cannot be performed, so that the safety of the internal network is ensured. Similarly, the router R102 (internal connection router) connected to the internal network Ni discards packets from other than the DMZ. Since the external network No. can only access services published in the DMZ, it is difficult for terminals on the external network to access the internal network.
[0009]
Conversely, the router R102 connected to the internal network Ni discards a packet intended for access to other than the DMZ. When the internal network Ni wants to access a server or the like of the external network No, it is necessary to go through the proxy server D104 in the DMZ (D100). When there is an access request to the external network, the proxy server holds the source IP and the destination IP and communicates with the external network by proxy. At this time, the router R101 discards packets from other than the DMZ. Note that the internal network Ni can access the DMZ.
[0010]
Next, the application gateway method will be described. The gateway in the firewall is used to connect a specific application from the host of the internal network Ni to the outside. However, the result shows the same utility as filtering. That is, it is impossible to directly access the host of the internal network Ni from the external network No. At this time, an application gateway (proxy) is used for connection from the internal network Ni to the external network No. However, it is possible to control such that use other than authorized services and hosts is not permitted.
[0011]
While packet filtering manages packets at the network layer and transport layer, the method using an application gateway allows monitoring at a higher application level, and can be obtained only by packet filtering performed by a router. It is possible to build an advanced firewall that cannot be used. The functions of the application gateway include a packet passage restriction, a proxy server function, an access log collection function, a cache function, etc. in each layer protocol.
[0012]
An example in which a security system is constructed by the application gateway method is shown in FIG. Note that the firewall FW100 shown in this figure collectively shows the external connection router R101 and the internal connection router R102 shown in FIG. The flow of data is indicated by an arrow. First, as indicated by an arrow A101, only data transmitted according to a predetermined rule is passed through the DMZ (D100) from the external network No. For example, the data conforms to a predetermined protocol such as HTTP or SMTP. These data are transmitted again from the DMZ (D100) through the firewall FW100 to the internal network, which is the internal network Ni (arrows A102 and A103).
[0013]
At this time, corresponding to the servers D111 to D113 in the DMZ (D100), the internal (in-house) network Ni is provided with the servers and terminals Ni101 to 106, and conforms to the protocol handled by each server and terminal. Only transmitted data (arrows)A103reference). Contrary to the above data flow, the data is transmitted from the in-house mail server of the in-house network Ni to the Internet No. via the firewall, the mail relay server, and the firewall again (see arrows A102 and A105). From the above, data according to a protocol that is not registered in the
[0014]
In addition to firewall technology, unauthorized access monitoring systems or intrusion detection systems (hereinafter referred to as IDS (Intrusion Detection System)) have been developed as security systems. This is to monitor packets flowing through the network, display an alarm when a packet that seems to be unauthorized access is found, and collect and store the communication record.NoIt is a thing of the mechanism. Some tools have functions such as displaying an alarm and disconnecting the session at the same time or changing the rules of the firewall or router. There are two types of IDS: network type monitoring (monitoring packets on the network) and host type monitoring (monitoring host server I / O packets).
[0015]
The basic configuration of IDS will be described with reference to FIG. First, the device H100 to be IDS is, OutsideThe packet P100 is provided between the local network No and the internal network Ni, and monitors the packet P100 transmitted from the external network No. For example, the senderas well asRecipientofThe IP address is monitored and compared with the rule base H101 of illegal data stored in the storage unit in advance. If the IP address is not matched, the packet P100 is passed through the internal network Ni. On the other hand, if they match, the log is recorded as unauthorized access (see symbol H102), the administrator is notified (see symbol H103), the session is disconnected, and the rule is changed by the operator.
[0016]
A specific use example of IDS is shown in FIG. The network system shown in this figure includes a network type IDS (H110) for monitoring the inside of the DMZ (D100) between them in addition to the firewall FW100 comprising routers R101 and R102 as described above. Each server in the DMZ (D100) is also provided with a host type IDS (H111 to H113). In this way, first, the source / destination IP address, port number, and permitted protocol authorized by the firewall FW100 are restricted, and the packets flowing in the DMZ (D100) are narrowed down to some extent. The packets flowing in the DMZ (D100) are monitored by the network type IDS (H110), and the terminals (servers) on the DMZ are directly monitored by the host type IDS (H111 to H113). This is because various servers on the DMZ that are likely to be attack targets and are relatively open in terms of security are intensively monitored, and the damage caused by unauthorized intrusion can be dealt with quickly. This security model guarantees much higher security strength than using each security system alone.
[0017]
In addition to the network security system described above, a network dynamic defense method disclosed in Non-Patent Document 1 is disclosed.
As shown in FIG. 13, the system shown in Non-Patent Document 1 is called A-IDS (Autonomous Intrusion Detection System), and all terminals in the network (DMZ (D100)) to be protected. It is a feature that H120 to H123 take a mutual monitoring form in which they are monitored by different terminals. Therefore, no matter what kind of attack the terminal is subjected to, it is possible to detect and respond to intrusions autonomously without the intervention of an administrator at another terminal that is not under attack.
[0018]
Specifically, each terminal exchanges data with the monitoring target terminal in accordance with the topology of the A-IDS monitoring network, and monitors whether the monitoring target terminal is operating normally, that is, whether it has received unauthorized intrusion. Therefore, unlike the conventional IDS, the A-IDS can be detected even if the terminal is driven to a stopped state. The A-IDS periodically transmits a survival confirmation signal (SYN) to the monitored A-IDS. The A-IDS that has received the survival confirmation signal immediately returns a survival response signal (ACK).
If the survival response signal does not return within a certain time, it means that the monitoring destination terminal has been put into a stopped state due to a fatal attack. At this time, an operation of autonomously reconstructing the A-IDS monitoring network is performed.
[0019]
[Non-Patent Document 1]
Kojiro Yanagawa, Motoaki Inayoshi, Masao Mukaidon, Unauthorized Intrusion Detection System Based on Autonomous Distributed Concept, 12th Intelligent System Symposium, pp. 345-348, 2002
[0020]
[Problems to be solved by the invention]
However, the following inconveniences occur even in the security systems according to the conventional techniques described above.
[0021]
First, the firewall described above is a system that controls communication between the external network No and the internal network Ni, and can block unauthorized access from the outside. Since permission and disapproval are decided, it is not difficult to restrict the unexpected access of this rule. Therefore, it is considered that no countermeasures have been taken against intrusion attempts by unknown methods.
[0022]
For example, in packet filtering of a firewall, the header part of a packet is analyzed. Here, since the IP address and port number of the communication source and communication destination of the packet are shown, a rule is set in advance for the packet of the specific communication source, communication destination IP address and port number. Passing / non-passing of packets is determined by matching. In such a case, the contents of the packet are not known at all. In such a case, if there is an access to an IP address and a correct port number (usually 80) to a web server that is open to the public, communication is permitted regardless of the contents of the packet. Therefore, there arises a problem that the request content to the web server cannot prevent an inappropriate attack.
[0023]
On the other hand, since the application gateway inspects the contents of the packet, the amount of data passing through the firewall in the location connecting the internal network and the external network is enormous, processing load is very large, and communication speed decreases due to processing delay The problem arises. Furthermore, there is a problem that the firewall cannot prevent the virus associated with the illegal use from the internal network Ni and the protocol permitted by the firewall such as HTTP and SMTP.
[0024]
Also, regarding IDS, the complexity and annoyance of rule description can be cited as problems. To enhance security, rules must be added and changed in the same way as firewalls. In other words, since the IDS rules are described in the default permission stance, the administrator has to manually add and change rules every time a new type of attack is discovered. It brings a great burden. At the same time, since the judgment is made based on the past results (pattern match), there arises a problem that it is ineffective against an unknown attack. Even if the system is attacked by an unknown attack, a time lag from discovery to defense occurs.
[0025]
Furthermore, due to the nature that IDS handles a wide variety of packets existing on the network, there are problems of false detection and detection omission of illegal packets. As the number of rules increases, the security strength increases accordingly, but the number of false detections increases accordingly, increasing the troublesomeness of the security administrator, and vice versa, the trade-off problem that the detection omission increases and the security strength decreases. There is.
[0026]
Also, in A-IDS, rules for new types of attacks are added, the burden on system administrators is reduced by changes, the time lag of defense measures from detection of new types of attacks is shortened, and a system in a state where communication is impossible due to fatal attacks Provides solutions to the problem of autonomous coping. However, also in A-IDS, at present, only a fatal attack to a monitoring terminal is detected as a detection target for unauthorized intrusion. That is, an attack involving the stop of a monitoring terminal is defined as an unauthorized intrusion and is proposed on the assumption. For this reason, there is a problem that an unknown attack (abnormality detection) that does not involve falsification of information or a system down due to a virus cannot be dealt with. At the same time, detection by A-IDS means that damage has already occurred after successful unauthorized access. Similarly, when a plurality of terminals are shut down at the same time and the monitoring source terminal and the monitoring destination terminal cannot communicate with each other at the same time, it is impossible to cope with the problem.
[0027]
As described above, the network security system in the conventional example can cope with an illegal attack against the intrusion of known illegal data, but can only cope with an unknown illegal attack after the fact. The problem arises that it is impossible to cope in advance.
[0028]
OBJECT OF THE INVENTION
The present invention improves the disadvantages of the above-described conventional example, and in particular, a network security system that can effectively cope with an unknown attack on the network system.TheThe purpose is to provide.
[0029]
[Means for Solving the Problems]
Therefore, in order to achieve the above object, the present invention provides a network security system including a firewall unit for monitoring data transmitted between an external network and a protection target network, and the firewall unit includes any one of the networks. A virtual test terminal that does not belong to the network, and the firewall means transmits data transmitted from the external network to one terminal in the defense target network based on a pre-registered distribution rule. A data distribution function for distributing and transferring to the one terminal or the virtual test terminal, and executed data transfer for transferring the executed data returned from the virtual test terminal to the one terminal in the protection target network It was set as the structure provided with the function.
Further, in the present invention, the virtual test terminal is set to an application environment equivalent to each terminal in the protection target network, and the virtual test terminal executes the data transferred from the firewall means. And a normal execution data return function for returning the executed data determined to have been normally executed based on a preset criterion among the temporarily executed data to the firewall means.
Further, in the network security system according to the present invention, the distribution rule executed by the firewall means is passed to the protection target network when the transmitted data has a reliable address and port number. And whether or not the data has a packet pattern corresponding to a service or application that can be executed on the virtual test terminal and is applied to data that does not match the pass permission rule. For discarding unsupported dataTPC execution support rulesAnd thisTPC execution support rulesIs applied to data having a packet pattern corresponding to, and whether or not it is a pre-registered illegal packet is checked to discard data judged to be illegal and prohibit its passageTPC transfer prohibition ruleIt was.
The firewall means described above is configured to transfer data that sequentially passes through the contents of the distribution rule to the virtual test terminal having an application environment equivalent to each terminal in the protection target network as an unknown packet. It was.
[0030]
With such a configuration, first, data transmitted from an external network to a predetermined terminal in the protection target network is received by a firewall unit provided between the external network and the protection target network. In the firewall means, the transmission destination, data format, etc. of the transmission data are extracted and compared with the sorting rules stored in the firewall means in advance. As a result of the comparison, if it is determined that the data can be transmitted to a terminal in the protection target network, the firewall means passes the transmission data to the protection target network, and otherwise transfers it to the virtual test terminal.In addition, since transmission data is provisionally executed in a virtual test terminal in almost the same environment as a terminal in the protection target network, the data determined to be normal is actually transmitted to the terminal in the protection target network and the terminal Even if it is executed at, abnormal operation is effectively suppressed. Therefore, it is possible to improve the reliability of data transferred in the defense target network.
[0031]
In the virtual test terminal, the transmission data from the firewall means is executed, and it is checked whether or not it conforms to the standard of whether or not normal execution is stored in advance. If it is determined that the execution is normal, the transmission data is transmitted to the terminal in the protection target network via the firewall means. On the other hand, when the execution is not normal, such transmission data is not transmitted to the defense target network.
[0032]
Therefore, unknown transmission data that is not registered in the firewall means in advance is transferred to the virtual test terminal and executed by the virtual test terminal, and only data that is determined to be normally executed is transferred to the protection target network. Therefore, unauthorized access from the outside can be suppressed, damage to unknown attacks can be suppressed, and network security can be strengthened.
[0033]
Furthermore, in the network security system,The virtual test terminal isSaidBased on the data executed by the temporary execution function, new distribution rule data to be added to the distribution rule registered in the firewall means is generated andNew distribution rule generatedA distribution rule generator for transmitting data to the firewall means;SaidThe firewall means has already registered the new distribution rule data received from the virtual test terminalSaidIt has a distribution rule registration part to newly register to distribution rulesThe configuration was as follows.
Then, the distribution rule generation unit of the virtual test terminal adds a packet rule in such a case to the passage permission rule when the execution result obtained by executing the temporary execution function of the virtual test terminal is normal execution. And when the execution result is an abnormal execution, a packet rule in such a case is generated to be added to the TPC transfer prohibition rule.It was.
[0034]
As a result, the virtual test terminal generates a rule for identifying data determined to be safe as a result of provisional execution, or a rule for identifying data determined to be dangerous. It will be registered in the firewall. Then, from the next time, the data registered in the rule that allows passage by the firewall means will be passed to the protected network without being temporarily executed by the virtual test terminal, while the rule identified as dangerous data Since the data matching the above is dangerous data without being temporarily executed by the virtual test terminal, it is discarded by the firewall means without being transferred to the virtual test terminal. Accordingly, it is possible to reduce the amount of data temporarily executed by the virtual test terminal, and to reduce the processing load on the virtual test terminal.
[0035]
The virtual test terminal may be a server that provides a predetermined service to a predetermined terminal in the protection target network. Thereby, for example, a server that operates as a proxy server or a mail server for a terminal in the network to be protected functions as a virtual test terminal. Then, when data is transmitted from an external network to a terminal in the protection target network, such data is always stored in the server. At this time, provisional execution is performed in the server, Safety is checked. Accordingly, various service servers can be effectively used, and it is not necessary to provide virtual test servers that support various data independently while enhancing security, thereby reducing operational costs. it can.
[0037]
Further, in this network security system, other firewall means is provided between the external network and the firewall means, and the other firewall means is connected to one of the defense networks from the external network. In the data transmitted to the terminal, the pass rule is set so as to pass only the SMTP compatible packet and a specific packet other than the SMTP compatible packet, and the firewall means uses the SMTP compatible as the pass permission rule. A configuration may be adopted in which only a specific packet other than a packet is allowed to pass and only the SMTP compatible packet is transferred to the virtual test terminal.Yes.
Furthermore, an unauthorized access monitoring terminal for monitoring a packet existing between the firewall means and the virtual test terminal is provided, and the unauthorized access monitoring terminal detects an unauthorized access packet based on a predetermined criterion. Then, a configuration may be provided with an illegal packet detection function for storing information related to the unauthorized access packet for registration in the firewall means.
[0038]
As a result, transmission data from the external network is transmitted to the firewall means.Before and afterThe check is received by other firewall means or IDS. Therefore, since illegal data is distributed in advance, packets distributed by the firewall unit can be narrowed down, and the distribution burden of the firewall unit can be reduced.
[0039]
(Delete)
[0040]
(Delete)
[0041]
DETAILED DESCRIPTION OF THE INVENTION
<First Embodiment>
Hereinafter, a first embodiment of the present invention will be described with reference to FIGS. 1 to 6. FIG. 1 is a block diagram showing a configuration of a network security system according to the present invention, and FIG. 2 is a functional block diagram. FIG. 3 is an explanatory diagram showing the flow of data in the system. 4 to 6 are flowcharts showing the operation of the system.
[0042]
(Constitution)
As shown in FIG. 1, the network security system according to the present invention includes firewall means 3 for monitoring data transmitted between the external network 1 and the
[0043]
And since the said firewall means 3 and the
[0044]
(External network)
The external network 1 is the Internet, which is a network environment spread around the world using a telephone line or the like. On the Internet, an unspecified number of computers are connected. For example, a web server for establishing a website and a personal terminal for exchanging electronic mail are connected. Therefore, a wide variety of data is transmitted between them. The external network 1 is not limited to the Internet network described above, and refers to a network that is positioned outside the
[0045]
Here, it has been described above that the firewall means 3 is connected between the external network 1 and the
[0046]
(Protected network)
The
[0047]
A plurality of
[0048]
(Firewall means)
The basic configuration of the
[0049]
However,This embodimentThe firewall means 3 is different from the conventional one in the following points. This will be described in detail below. This firewall means 3 is called an
[0050]
The configuration of the
[0051]
Here, the distribution rule will be described. The distribution rule in this embodiment is mainly composed of two rule bases, specifically, a passage permission rule and a TPC transfer prohibition rule.
[0052]
The passage permission rule describes a packet rule that permits passage from the external network 1 to the
[0053]
The TPC transfer prohibition rule describes a packet rule that prohibits transfer to the
[0054]
In the present embodiment, not only the two rules described above as the distribution rule but also a TPC execution correspondence rule is included. The TPC execution correspondence rule describes a rule for identifying a packet corresponding to a service or application that can be temporarily executed by the
[0055]
Next, functions of the
[0056]
The
[0057]
First, the transmission /
[0058]
Further, when new distribution rule data is transmitted from the
[0059]
(Virtual test terminal)
The virtual test terminal 4 (TestPC: hereinafter also referred to as TPC) is a storage device or a computing device (CPU) connected to the internal firewall 3.ThePreparationTasaIt is a terminal computer that does not belong to either the external network 1 or the internal network (defense target network) 2.
[0060]
The system environment of the
[0061]
First, a storage device such as a hard disk of the
[0062]
The
[0063]
The
[0064]
The parts that operate as the above functions will be described in detail. First, the transmission /
[0065]
Further, the
[0066]
Then, as described above, the distribution
[0067]
Although not shown, the
[0068]
(Operation)
Next, the operation of the present invention will be described with reference to the diagram for explaining the data flow in FIG. 3 and the flowcharts in FIGS. In this description of operation, a case where the terminal indicated by
[0069]
First, as shown in FIG. 3, predetermined packet data P from the external network 1 passes through the
[0070]
Here, if the packet pattern of the packet data P, for example, information included in the header portion of the packet data P matches the passage permission rule (affirmative determination in step S2), the packet passes through the
[0071]
If the packet pattern does not match the TPC execution correspondence rule (No in step S3), the packet P cannot be executed in the
On the other hand, when the packet pattern matches the TPC execution correspondence rule (Yes in step S3), the packet pattern is subsequently compared with the TPC transfer prohibition rule stored in the distribution
[0072]
If the packet pattern matches the TPC transfer prohibition rule (affirmative determination in step S4), it is confirmed that the packet P is an illegal packet and is discarded (arrow A3,Step S4,Step S7: Third step). On the other hand, if the packet pattern does not match the TPC transfer prohibition rule (No in step S4), it is transferred to the
[0073]
In this way, in other words, the operation so far is performed by transmitting data transmitted from the external network 1 to the
[0074]
Subsequently, the
[0075]
If it is normally executed (Yes in step S12), a pass permission rule to be updated is generated to add the packet pattern of the packet to the pass permission rule of the internal firewall 3 (step S13). The rule is transmitted to the internal firewall 3 (arrow A6, step S15). At almost the same time, the packet P confirmed to operate normally is returned to the
[0076]
On the other hand, if the
[0077]
Subsequently, the process proceeds from FIG. When the packet P successfully executed by the fancy
[0078]
By doing so, unknown transmission data that is not registered in the
[0079]
The
[0080]
Here, even if the
[0081]
On the other hand, even if the
[0082]
<Second Embodiment>
Next, a second embodiment of the present invention will be described with reference to FIGS.
FIG. 7 is a block diagram showing a configuration in the second embodiment of the network security system, and FIG. 8 is a functional block diagram showing a configuration of the virtual test terminal.
[0083]
(Constitution)
The system in this embodiment operates specifically to check for viruses attached to emails. Specifically, the
[0084]
First, virtual test terminal140The temporary execution function (function corresponding to the temporary execution unit in FIG. 2) expands an electronic mail that is packet data P transferred from an
[0085]
If the packet is illegally executed, the packet is discarded, data for registering the packet rule in the TPC transfer prohibition rule is generated, or the system environment of the
[0086]
Thus, in this embodiment, the virtual execution terminal140Is an external network110It operates as an SMTP server that receives e-mails sent from. In other words, the
[0087]
Note that the defense target network 120 in this embodiment is a network described as a demilitarized zone in the conventional example, unlike the so-called
[0088]
The specific configuration of the
[0089]
Then, along with the configuration of the
[0090]
(Operation)
Next, the operation of the system will be described with reference to the data flow of FIGS.
First, when mail addressed to the mail server 121 on the protection target network 120 from the external network 110 reaches the internal firewall via the
[0091]
Here, the
[0092]
Subsequently, the SMTP compatible packet transmitted from the
[0093]
At this time, the
[0094]
In this way, by using this system for virus detection that can be attached to e-mails, e-mails are actually executed on compatible applications and their trends are being checked. In this system, only known viruses can be found, but this system can detect and respond to unknown viruses and new types of viruses as long as they act on the monitoring target. Therefore, it is possible to improve the safety of the email received by the mail server on the protection target network 120, and the safety of the email transmitted to each user is also improved.
[0095]
<Third Embodiment>
Next, a third embodiment of the present invention will be described with reference to FIGS. FIG. 9 is a block diagram showing a configuration in the third embodiment of the network security system, and FIG. 10 is a functional block diagram showing a configuration of the virtual test terminal.
[0096]
(Constitution)
The system in the present embodiment operates to check for viruses incorporated in the HTML file, particularly when performing web browsing. Specifically, the
[0097]
In the present embodiment, the
[0098]
First, the provisional execution function of the virtual test terminal 240 (function corresponding to the provisional execution unit in FIG. 2) executes an HTTP-compatible packet, which is packet data P transferred from the
[0099]
If the packet is illegally executed, the packet is discarded, data for registering the packet rule in the TPC transfer prohibition rule is generated, or the system environment of the
[0100]
Thus, in the present embodiment, the
[0101]
The specific configuration of the
[0102]
Then, with the configuration of the
[0103]
(Operation)
Next, the operation of the system will be described with reference to the data flow of FIGS. First, communication between the external network 210 and the
[0104]
Then, when the
[0105]
Then, an HTTP response (for example, an HTML file) from the Web server in response to the HTTP request is transmitted to the
[0106]
At this time, the
[0107]
By doing so, even if the website is difficult to determine the safety, the HTML file transmitted in response to the request is executed by the virtual test terminal, and only the HTML file that has been normally executed is stored. Since an HTML file or the like transmitted to the client terminal and determined to be illegal is discarded, intrusion of illegal data can be suppressed and the risk of browsing a Web site is reduced.
[0108]
<Fourth Embodiment>
Next, a fourth embodiment of the present invention will be described. In this embodiment, the IDS technology described in the conventional example is incorporated into the configuration of the network security system described in the above embodiment.
[0109]
As a specific configuration, an unauthorized access monitoring terminal (not shown) for monitoring a packet existing between the
[0110]
In particular, by using IDS, packets that are not subject to the virtual test terminal, that is, packets that cannot be executed by the virtual test terminal are analyzed, so that illegal packets are effectively excluded from the network. Can be further strengthened.
[0111]
In this configuration, a router that operates in the same manner as the
[0112]
【The invention's effect】
Since the present invention is configured and functions as described above, according to this, unknown transmission data not previously registered in the firewall means is transferred to the virtual test terminal and executed by the virtual test terminal. In addition, since the filtering is performed three times by the firewall means before that, it is executed normally.NotoSince only the determined data is passed through the protection target network, unauthorized access from the outside can be suppressed, damage to unknown attacks can be suppressed, and network security can be enhanced.
[0113]
or,As a result of provisional execution, a rule for identifying data that is determined to be safe or a rule for identifying data that is determined to be dangerous is generated and registered in the firewall to automatically pass the data. Rules that are allowed or rules that are prohibited from being executed on the virtual test terminal can be updated, the amount of data temporarily executed on the virtual test terminal can be reduced, and the processing load on the virtual test terminal can be reduced. be able to.
Furthermore, in the present invention, even if the virtual test terminal described above executes a test and is forced into a system down due to an unknown attack or the like, it is permitted by the passage permission rule described in the firewall means. Only the packet can pass through the internal network mentioned above, while the unknown data does not pass through the internal network, so that the security is ensured, so that the so-called fale soft (degenerate operation) structure is maintained. It is possible to provide an unparalleled excellent network security system.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration in a first embodiment of the present invention.
FIG. 2 is a functional block diagram showing a configuration in the first embodiment of the present invention.
FIG. 3 is an explanatory diagram showing a data flow in the system according to the present invention.
FIG. 4 is a flowchart showing an operation in the first embodiment.
FIG. 5 is a flowchart showing an operation in the first embodiment, showing a continuation of FIG. 4;
FIG. 6 is a flowchart showing an operation in the first embodiment, and shows a continuation of FIG. 5;
FIG. 7 is an explanatory diagram showing a data flow as well as a configuration in a second embodiment of the present invention.
FIG. 8 is a functional block diagram showing a configuration of a virtual test terminal in the second embodiment disclosed in FIG. 7;
FIG. 9 is an explanatory diagram showing a configuration of a third embodiment of the present invention and a data flow.
FIG. 10 is a functional block diagram showing a configuration of a virtual test terminal in the third embodiment disclosed in FIG. 9;
FIGS. 11A and 11B are explanatory diagrams for explaining the outline of a conventional network security system. FIG.
FIGS. 12A and 12B are explanatory diagrams for explaining the outline of a conventional network security system.
FIG. 13 is an explanatory diagram for explaining an overview of a conventional network security system.
[Explanation of symbols]
1 External network (Internet)
2 Defense network (internal network)
3 Firewall means (internal firewall)
4 virtual test terminals
5 routers
21-23 terminals (within the network to be protected)
31 Distribution rule storage unit
33 Data distribution part
35 Distribution Rule Registration Department
41 Unauthorized execution definition storage
42 Temporary execution part
44 Distribution rule generator
P packet data
Claims (3)
前記ファイヤウォール手段に、前記いずれのネットワークにも属さない仮想試験端末を接続し、
前記ファイヤウォール手段が、予め登録された振分ルールに基づいて前記外部ネットワークから前記防御対象ネットワーク内の一の端末に送信されたデータを当該防御対象ネットワークの前記一の端末或いは前記仮想試験端末に振り分けて転送するデータ振分機能と、前記仮想試験端末から返送された実行済データを前記防御対象ネットワーク内の前記一の端末に転送する実行済データ転送機能とを備えた構成とし、
前記仮想試験端末を前記防御対象ネットワーク内の各端末と同等のアプリケーション環境に設定すると共に、
当該仮想試験端末が、前記ファイヤウォール手段から転送されるデータを実行する仮実行機能と、仮実行されたデータのうち予め設定された基準に基づいて正常に実行されたと判断された実行済データを前記ファイヤウォール手段に返送する正常実行データ返送機能とを備え、
前記ファイヤウォール手段が実行する前記振分ルールを、
前記送信されてきたデータが信頼できるアドレスやポート番号を備えている場合に前記防御対象ネットワークへの通過を許可する通過許可ルールと、この通過許可ルールに一致しないデータに対して適用し該データが前記仮想試験端末で実行可能なサービス或いはアプリケーションに対応したパケットパターンを備えたものであるか否かを調べて対応していないデータを破棄するためのTPC実行対応ルールと、このTPC実行対応ルールに対応したパケットパターンを有するデータに対して適用し予め登録されている不正パケットか否かを調べて不正であると判断されたデータを破棄しその通過を禁止するためのTPC転送禁止ルールとすると共に、
前記ファイヤウォール手段は、この振分ルールの各内容を順次通過したデータを未知のパケットとして前記防御対象ネットワーク内の各端末と同等のアプリケーション環境の前記仮想試験端末へ転送する機能を備えた構成とし、
前記仮想試験端末が、前記仮実行機能にて実行したデータに基づいて、前記ファイヤウォール手段に登録された前記振分ルールに追加する新たな振分ルールデータを生成すると共に当該生成した新たな振分ルールデータを前記ファイヤウォール手段に送信する振分ルール生成部を備え、
前記ファイヤウォール手段が、前記仮想試験端末から受信した前記新たな振分ルールデータを既に登録されている前記振分ルールに新たに登録する振分ルール登録部を備え、
前記仮想試験端末の振分ルール生成部が、
前記仮想試験端末の仮実行機能の実行によって得られる実行結果が正常実行である場合にはかかる場合のパケットルールを前記通過許可ルールに追加するように生成し、前記実行結果が不正常実行である場合にはかかる場合のパケットルールを前記TPC転送禁止ルールに追加するように生成することを特徴としたネットワークセキュリティシステム。A network security system comprising a firewall means for monitoring data transmitted between an external network and a protected network,
A virtual test terminal that does not belong to any of the networks is connected to the firewall means,
The firewall means transmits data transmitted from the external network to one terminal in the protection target network based on a pre-registered distribution rule to the one terminal or the virtual test terminal in the protection target network. A configuration including a data distribution function for distributing and transferring, and an executed data transfer function for transferring the executed data returned from the virtual test terminal to the one terminal in the protection target network,
While setting the virtual test terminal to an application environment equivalent to each terminal in the defense target network,
The virtual test terminal, the temporary execution function for executing data that is transferred from the firewall device, the Executed data determined to have been executed successfully on the basis of a preset reference of the temporary run data A normal execution data return function for returning to the firewall means,
The distribution rule executed by the firewall means is
When the transmitted data has a reliable address or port number, it is applied to a passage permission rule that allows passage to the defense target network and data that does not match the passage permission rule. A TPC execution correspondence rule for checking whether or not a packet pattern corresponding to a service or application executable on the virtual test terminal is provided and discarding the unsupported data, and the TPC execution correspondence rule A TPC transfer prohibition rule is applied to data having a corresponding packet pattern to check whether it is an illegal packet registered in advance and discard data judged to be illegal and prohibit its passage. ,
The firewall means is configured to have a function of transferring data sequentially passing through the contents of the distribution rule as unknown packets to the virtual test terminal in an application environment equivalent to each terminal in the defense target network. ,
Based on the data executed by the temporary execution function, the virtual test terminal generates new distribution rule data to be added to the distribution rule registered in the firewall means, and generates the generated new distribution rule data. A distribution rule generator for transmitting the distribution rule data to the firewall means;
The firewall means includes a distribution rule registration unit for newly registering the new distribution rule data received from the virtual test terminal in the already registered distribution rule,
The distribution rule generation unit of the virtual test terminal is
When the execution result obtained by executing the temporary execution function of the virtual test terminal is normal execution, a packet rule in such a case is generated to be added to the passage permission rule, and the execution result is abnormal execution In this case, a network security system is generated so that a packet rule in such a case is added to the TPC transfer prohibition rule.
前記外部ネットワークと前記ファイヤウォール手段との間に、他のファイヤウォール手段を備え、
前記他のファイヤウォール手段が、前記外部ネットワークから前記防御ネットワークの一の端末に送信されたデータの内、SMTP対応パケット及び当該SMTP対応パケット以外の特定のパケットのみを通過させるようにその通過ルールを設定し、
前記ファイヤウォール手段では、前記通過許可ルールとして、前記SMTP対応パケット以外の特定のパケットのみを通過させると共に前記SMTP対応パケットのみを前記仮想試験端末に転送するように設定したことを特徴とするネットワークセキュリティシステム。The network security system according to claim 1,
Between the external network and the firewall means, another firewall means is provided,
The other firewall means sets a passing rule so that only the specific packet other than the SMTP compatible packet and the SMTP compatible packet among the data transmitted from the external network to one terminal of the defense network is allowed to pass. Set,
In the firewall means, the passage permission rule is set so that only a specific packet other than the SMTP compatible packet is allowed to pass and only the SMTP compatible packet is transferred to the virtual test terminal. system.
前記ファイヤウォール手段と前記仮想試験端末との間に存在するパケットを監視する不正アクセス監視端末を備え、
前記不正アクセス監視端末が、予め定められた基準に基づいて不正アクセスパケットを検出して当該不正アクセスパケットに関する情報を前記ファイヤウォール手段への登録用として記憶する不正パケット検出機能を備えたことを特徴とするネットワークセキュリティシステム。The network security system according to claim 2,
An unauthorized access monitoring terminal for monitoring packets existing between the firewall means and the virtual test terminal;
The unauthorized access monitoring terminal includes an unauthorized packet detection function for detecting an unauthorized access packet based on a predetermined criterion and storing information related to the unauthorized access packet for registration in the firewall means. Network security system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003091481A JP4581104B2 (en) | 2003-03-28 | 2003-03-28 | Network security system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003091481A JP4581104B2 (en) | 2003-03-28 | 2003-03-28 | Network security system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004302538A JP2004302538A (en) | 2004-10-28 |
| JP4581104B2 true JP4581104B2 (en) | 2010-11-17 |
Family
ID=33404843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003091481A Expired - Fee Related JP4581104B2 (en) | 2003-03-28 | 2003-03-28 | Network security system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4581104B2 (en) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4276105B2 (en) * | 2004-02-23 | 2009-06-10 | アルゼ株式会社 | E-mail system |
| JP4602158B2 (en) * | 2005-05-25 | 2010-12-22 | 三菱電機株式会社 | Server equipment protection system |
| US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
| US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
| JP5308196B2 (en) * | 2009-03-06 | 2013-10-09 | ヤフー株式会社 | Server and program |
| JP5739182B2 (en) | 2011-02-04 | 2015-06-24 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Control system, method and program |
| JP5731223B2 (en) | 2011-02-14 | 2015-06-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Abnormality detection device, monitoring control system, abnormality detection method, program, and recording medium |
| JP5689333B2 (en) | 2011-02-15 | 2015-03-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Abnormality detection system, abnormality detection device, abnormality detection method, program, and recording medium |
| US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US8695096B1 (en) | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
| CN104205727B (en) | 2012-01-27 | 2019-08-30 | 诺基亚通信公司 | Session termination in mobile packet core network |
| JP2013236687A (en) * | 2012-05-11 | 2013-11-28 | We Are Engineering Kk | Computer game |
| JP6359260B2 (en) * | 2013-10-24 | 2018-07-18 | 株式会社リンク | Information processing system and firewall device for realizing a secure credit card system in a cloud environment |
| JP6821311B2 (en) * | 2016-03-11 | 2021-01-27 | Necプラットフォームズ株式会社 | Relay device, communication system, relay method and relay program |
| JP2016154389A (en) * | 2016-05-18 | 2016-08-25 | ノキア ソリューションズ アンド ネットワークス オサケユキチュア | Session termination in mobile packet core network |
| DE112017005360T5 (en) * | 2016-10-24 | 2019-07-25 | Panasonic Intellectual Property Management Co., Ltd. | PRODUCT MANUFACTURING SYSTEM, MALWARE DETECTION SYSTEM, PRODUCT MANUFACTURING METHOD AND MALWARE DETECTION METHOD |
| JP6948007B2 (en) * | 2017-08-07 | 2021-10-13 | サクサ株式会社 | Security monitoring system, security monitoring device, verification device, security monitoring program and verification program |
| CN110336793B (en) * | 2019-06-10 | 2022-08-23 | 平安科技(深圳)有限公司 | Intranet access method and related device |
| JP7068514B2 (en) * | 2021-01-05 | 2022-05-16 | Necプラットフォームズ株式会社 | Received data judgment method, communication device, and program |
| CN112769860B (en) * | 2021-01-25 | 2022-10-18 | 中国人民解放军92493部队参谋部 | Threat management and control system and method for bypass setting |
| CN117097573B (en) * | 2023-10-19 | 2024-01-30 | 深圳竹云科技股份有限公司 | Firewall dynamic access control method and device under zero-trust security system |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11167537A (en) * | 1997-09-12 | 1999-06-22 | Lucent Technol Inc | Fire wall service supply method |
| JP2000354034A (en) * | 1999-06-10 | 2000-12-19 | Yoshimi Baba | Business: hacker monitoring chamber |
| JP2002314614A (en) * | 2001-04-10 | 2002-10-25 | Nippon Telegraph & Telephone East Corp | System and method for relaying e-mail |
| JP2002335246A (en) * | 2001-05-10 | 2002-11-22 | Nippon Telegr & Teleph Corp <Ntt> | Method and device for examining network base invasion, program for network base invasion examination and recording medium therefor |
| JP2003067269A (en) * | 2001-08-30 | 2003-03-07 | Mitsubishi Electric Corp | Device and method for detecting unauthorized access |
-
2003
- 2003-03-28 JP JP2003091481A patent/JP4581104B2/en not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11167537A (en) * | 1997-09-12 | 1999-06-22 | Lucent Technol Inc | Fire wall service supply method |
| JP2000354034A (en) * | 1999-06-10 | 2000-12-19 | Yoshimi Baba | Business: hacker monitoring chamber |
| JP2002314614A (en) * | 2001-04-10 | 2002-10-25 | Nippon Telegraph & Telephone East Corp | System and method for relaying e-mail |
| JP2002335246A (en) * | 2001-05-10 | 2002-11-22 | Nippon Telegr & Teleph Corp <Ntt> | Method and device for examining network base invasion, program for network base invasion examination and recording medium therefor |
| JP2003067269A (en) * | 2001-08-30 | 2003-03-07 | Mitsubishi Electric Corp | Device and method for detecting unauthorized access |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004302538A (en) | 2004-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4581104B2 (en) | Network security system | |
| JP4911018B2 (en) | Filtering apparatus, filtering method, and program causing computer to execute the method | |
| US7756981B2 (en) | Systems and methods for remote rogue protocol enforcement | |
| EP2555486B1 (en) | Multi-method gateway-based network security systems and methods | |
| CN101496025B (en) | System and method for providing network security to mobile devices | |
| CN101802837B (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
| KR100604604B1 (en) | Method for securing system using server security solution and network security solution, and security system implementing the same | |
| US7793094B2 (en) | HTTP cookie protection by a network security device | |
| US7039950B2 (en) | System and method for network quality of service protection on security breach detection | |
| WO2008151321A2 (en) | Systems, methods, and media for enforcing a security policy in a network including a plurality of components | |
| JP2006506853A (en) | Active network defense system and method | |
| JP2002342279A (en) | Filtering device, filtering method and program for making computer execute the method | |
| CN101675423A (en) | System and method for providing data and device security between external and host devices | |
| CN103858383B (en) | Authentication sharing in a firewall cluster | |
| US7594268B1 (en) | Preventing network discovery of a system services configuration | |
| EP1742438A1 (en) | Network device for secure packet dispatching via port isolation | |
| JP2000354034A (en) | Business: hacker monitoring chamber | |
| JP2006501527A (en) | Method, data carrier, computer system, and computer program for identifying and defending attacks against server systems of network service providers and operators | |
| Cisco | Security Technologies | |
| Mavrommatis | Confronting and intrusion detection techniques of cyber-attacks in wired and wireless communication networks | |
| JP2003186763A (en) | Detection and prevention method of breaking into computer system | |
| JP2004078602A (en) | Data processor | |
| JP2006201951A (en) | Network defence system, network defence method, monitoring manager and program | |
| Fleming et al. | Network intrusion and detection: An evaluation of snort | |
| Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060327 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080704 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080826 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081027 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090428 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090629 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100406 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100513 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100803 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100809 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130910 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |