JP4649080B2 - ネットワーク侵入検知システム、装置及びプログラム - Google Patents

ネットワーク侵入検知システム、装置及びプログラム Download PDF

Info

Publication number
JP4649080B2
JP4649080B2 JP2001282089A JP2001282089A JP4649080B2 JP 4649080 B2 JP4649080 B2 JP 4649080B2 JP 2001282089 A JP2001282089 A JP 2001282089A JP 2001282089 A JP2001282089 A JP 2001282089A JP 4649080 B2 JP4649080 B2 JP 4649080B2
Authority
JP
Japan
Prior art keywords
intrusion detection
computer
configuration information
network
rule information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001282089A
Other languages
English (en)
Other versions
JP2003092603A (ja
Inventor
竜也 山田
智昭 森尻
敏明 才所
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2001282089A priority Critical patent/JP4649080B2/ja
Publication of JP2003092603A publication Critical patent/JP2003092603A/ja
Application granted granted Critical
Publication of JP4649080B2 publication Critical patent/JP4649080B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワーク上に接続された計算機への侵入を検知及び阻止するためのネットワーク侵入検知システム、装置及びプログラムに関する。
【0002】
【従来の技術】
一般に、ネットワーク経由での侵入の予兆・行為を検知する技術として、ネットワーク侵入検知システム(NIDS;Network Intrusion Detection System)が知られている。
【0003】
図8は係るネットワーク侵入検知システムの概略構成を示す模式図である。このネットワーク侵入検知システムは、イベント分析部1を有する侵入検知装置2がデータベース3及び対策マネージャ(図示せず)に接続されている。
【0004】
侵入検知装置2は、初期動作として、監視対象のリンクを流れる全てのパケットPを補足し、各パケットPが含む断片を再構成し、各パケットP同士の関連を侵入検知のイベントソースとして収集し、イベントソースをイベント分析部1に入力する。
【0005】
イベント分析部1は、このイベントソースに関し、データベース3内の全ての侵入パターンを参照し、侵入か否かを判定する。なお、データベース3は、全ての侵入パターンに関して判定用の署名やルールセット(例、許容ログイン回数、許容ログイン時間)などを知識ベースとして格納されている。
【0006】
また、イベント分析部1は、侵入と判定すると、侵入通知Ntを対策マネージャに送出する。対策マネージャは、侵入通知を受けると、警報を出力する。
【0007】
【発明が解決しようとする課題】
しかしながら以上のようなネットワーク侵入検知システムは、全ての侵入パターンを参照して侵入か否かを判定する構成から、必然的に、記憶領域と処理能力とを大量に消費するものとなる。
【0008】
例えば、リンク上を流れるパケットPの種類は、リンク上のホスト計算機が提供中のサービスや実行中のプログラムに依存する。これに伴い、データベース3は、各サービスや各プログラム毎に、侵入検知のためのルールセットを保持するので、大量の記憶領域が必要となる。
【0009】
また、複雑な構成のパケットの場合、侵入検知装置2は、パケットを自己の理解可能な形式に変換するが、この際に、自己の計算機の処理能力を大量に消費してしまう。
【0010】
なお、計算機の処理能力を大量に消費すると、パケット取得や侵入判定を取りこぼすといった不確実な処理の可能性が生じると共に、侵入判定処理を全体として低速化させてしまう。
【0011】
本発明は上記実情を考慮してなされたもので、記憶領域の消費量を低減でき、ハードウェア資源をより有効に利用し得るネットワーク侵入検知システム、装置及びプログラムを提供することを目的とする。
【0012】
また、本発明の他の目的は、処理能力の消費量を低減でき、高速且つ確実な侵入検知を実現し得るネットワーク侵入検知システム、装置及びプログラムを提供することにある。
【0013】
【課題を解決するための手段】
第1の発明は、監視対象ネットワークを流れるパケットのうち、前記監視対象ネットワークに接続された計算機に不正に侵入する不正パケットを検知するための侵入検知装置の公開鍵及び秘密鍵を用いるネットワーク侵入検知システムであって、予め計算機の複数種類の構成情報に対応して用意された全ての侵入検知ルール情報が記憶される第1のルール情報記憶手段と、前記監視対象ネットワークに接続された計算機の構成情報を前記公開鍵により暗号化して送信する構成情報送信手段と、前記侵入検知装置から読出/書込処理され、前記第1のルール情報記憶手段内の全ての侵入検知ルール情報のうち、前記構成情報送信手段により暗号化されて送信された構成情報を前記秘密鍵により復号して得られた構成情報に対応する侵入検知ルール情報が記憶される第2のルール情報記憶手段と、前記侵入検知装置に設けられ、前記第2のルール情報記憶手段を参照して前記不正パケットの検知処理を実行する不正パケット検知手段と、を備え、前記計算機の構成情報としては、当該計算機の監視対象のポート及びプログラムを示す内容を有するネットワーク侵入検知システムである。
【0014】
このように、不正パケットの検知処理時に参照する第2のルール情報記憶手段には、全ての侵入検知ルール情報のうち、監視対象ネットワークに接続された計算機の構成情報に対応する侵入検知ルール情報が記憶されるので、記憶領域の消費量を低減でき、ハードウェア資源をより有効に利用することができる。
【0015】
また、不正パケットの検知処理時には、全ての侵入検知ルール情報のうち、監視対象ネットワークに接続された計算機の構成情報に対応する侵入検知ルール情報を参照するので、処理能力の消費量を低減でき、高速且つ確実な侵入検知を実現させることができる。
【0016】
第2の発明は、監視対象ネットワークを流れるパケットのうち、前記監視対象ネットワークに接続された計算機に不正に侵入する不正パケットを検知するための侵入検知装置の公開鍵及び秘密鍵を用いるネットワーク侵入検知システムに関し、予め計算機の複数種類の構成情報に対応して用意された全ての侵入検知ルール情報を管理するマネージャ装置に接続された前記侵入検知装置であって、前記マネージャ装置に管理される全ての侵入検知ルール情報のうち、前記監視対象ネットワークに接続された計算機から前記公開鍵により暗号化されて送信された構成情報を前記秘密鍵により復号して得られた構成情報に対応する侵入検知ルール情報を登録するルール情報登録手段と、前記ルール情報登録手段の登録内容に基づいて、前記不正パケットの検知処理を実行する不正パケット検知手段と、を備え、前記計算機の構成情報としては、当該計算機の監視対象のポート及びプログラムを示す内容を有する侵入検知装置である。
【0017】
このように、侵入検知装置の構成を規定したので、第1の発明と同様の作用を容易且つ確実に奏することができる。
【0018】
第3の発明は、監視対象ネットワークを流れるパケットのうち、前記監視対象ネットワークに接続された計算機に不正に侵入する不正パケットを検知するための侵入検知装置の公開鍵及び秘密鍵を用いるネットワーク侵入検知システムに関し、予め計算機の複数種類の構成情報に対応して用意された全ての侵入検知ルール情報が記憶される第1のルール情報記憶手段と、前記監視対象ネットワークに接続された計算機から前記公開鍵により暗号化されて送信された構成情報を前記秘密鍵により復号して得られた構成情報に対応する侵入検知ルール情報に基づいて前記不正パケットの検知処理を実行する前記侵入検知装置とに接続されたマネージャ装置であって、前記監視対象ネットワークに接続された計算機の構成情報を前記侵入検知装置から受信すると、前記第1のルール情報記憶手段を参照して前記受信した構成情報に対応する侵入検知ルール情報を前記侵入検知装置に送信するルール情報送信手段を備え、前記計算機の構成情報としては、当該計算機の監視対象のポート及びプログラムを示す内容を有するマネージャ装置である。
【0019】
このように、マネージャ装置の構成を規定したので、第1の発明と同様の作用を容易且つ確実に奏することができる。
【0020】
第4の発明は、第2の発明の侵入検知装置を備えたネットワーク侵入検知システムに関し、前記計算機に用いられる計算機用プログラムであって、前記計算機のコンピュータを、前記監視対象ネットワークに対して前記計算機の構成が追加又は変更されるとき、当該追加又は変更に関する構成情報を前記公開鍵により暗号化して送信する構成情報送信手段、として機能させるための計算機用プログラムである。
【0021】
このように、計算機用プログラムの構成を規定したので、第1の発明と同様の作用を容易且つ確実に奏することができる。
【0022】
なお、第1の発明は「システム」と表現され、第2,第3の発明は「装置」と表現され、第4の発明は「プログラム」と表現されたが、これに限らず、それぞれ他の表現を用いて表してもよい。例えば、第1の発明は「装置」、「方法」又は「プログラム」と表現してもよく、第2,第3の発明は「方法」又は「プログラム」と表現してもよい。同様に、第4の発明は「装置」又は「方法」として表現してもよい。
【0023】
【発明の実施の形態】
以下、本発明の一実施形態について図面を参照しながら説明する。
図1は本発明の一実施形態に係るネットワーク侵入検知システムの構成を示す模式図である。このネットワーク侵入検知システムは、監視対象ネットワーク10に接続されたホスト計算機11,12に対応する種類のパケットのみを検査するものであり、一方向ルータ21、侵入検知装置22、侵入検知データベース23、マネージャ装置24、統合ルールデータベース25及び更新用ネットワーク26を備えている。なお、監視対象ネットワーク10は、他のルータ13を介してインターネット14に接続された形態(インターネット14経由で侵入される形態)を想定するが、この形態には限定されない。
【0024】
ここで、各ホスト計算機11,12は、通常の処理機能の他、構成スキャナ11x,12xというプログラムが予めインストールされている。
【0025】
構成スキャナ11x、12xは、監視対象ネットワーク10経由でマネージャ装置24と秘密鍵を共有する機能と、マネージャ装置24から監視対象ネットワーク10経由で送信された暗号化された侵入検知装置22の公開鍵を当該秘密鍵で復号する機能と、常にバックグラウンド処理として自己のホスト計算機11,12に侵入検知に関わる構成の変更がされたか否かを検査し、変更に係る構成情報を侵入検知装置22の公開鍵で暗号化して監視対象ネットワーク10にブロードキャスト(同報通信)する機能とを実現させるためのものである。
【0026】
ここで、共有される秘密鍵の暗号方式は共通鍵暗号であるが、アルゴリズムは任意である。また、侵入検知装置22の公開鍵に係る公開鍵暗号方式は、サービス不能攻撃に対抗するために暗号化の速度よりも復号の速度の方が速いことが必要である。この公開鍵は、ホスト計算機11,12内の耐タンパー性メモリ(図示せず)に格納されるが、耐タンパ性を持たないメモリに格納してもよい。
【0027】
構成情報は、ホスト計算機11,12の監視対象のポートやプログラム等を示す内容を有し、この内容に応じて侵入検知のルールセットを選択可能とする性質をもつ。
【0028】
一方向ルータ21は、監視対象ネットワーク10上のパケットを侵入検知装置22に転送するが、侵入検知装置22のパケットを監視対象ネットワーク10には転送しないという一方向の転送機能をもっている。
【0029】
この一方向の転送機能は、監視対象ネットワーク10側から侵入検知装置による侵入検知処理を隠蔽する性質をもつ。例えば、監視対象ネットワーク10側からのARP(Address Resolution Protocol)要求などに侵入検知装置22が応答しても、一方向転送機能により、応答の転送が阻止されるので、見かけ上、侵入検知装置22が存在しないことになる。これは、侵入検知装置への攻撃を生じさせない観点から、非常に重要な事項である。
【0030】
侵入検知装置22は、具体的には図2に示すように、前述したイベント分析部1の他、ネットワーク侵入検知システムを効率的に運用するための構成管理サーバ22xが付加されている。
【0031】
構成管理サーバ22xは、全ルールセットのうち、各ホスト計算機11,12の構成に対応したルールセットRのみを侵入検知データベース23に登録するためのプログラムが予めインストールされたサーバである。
【0032】
具体的には、構成管理サーバ22xは、自装置22の秘密鍵を用い、各ホスト計算機から暗号化送信されて一方向ルータ21を通過した構成情報Dを復号する機能と、復号した構成情報Dのうち、新規な部分を侵入検知データベース23に登録する機能と、新しい構成情報Dを更新用ネットワーク26経由でマネージャ装置24に送信する機能と、折り返し、マネージャ装置24から更新用ネットワーク26経由で受信した新ルールセットRを侵入検知データベース23に登録する機能と、新ルールセットRの登録の後、侵入検知データベース23全体として新しいルールセットRのみを更新する機能とを実現するためのプログラムが予めインストールされている。
【0033】
但し、構成管理サーバ22xは、プログラムによるソフトウェア構成のみで実現する場合に限らず、ハードウェア構成及び/又はソフトウェア構成により実現してもよい。
【0034】
侵入検知データベース23は、前述同様にイベント分析部1から読出処理される他、構成管理サーバ22xから読出/書込処理され、統合ルールデータベース25の記憶内容のうち、監視対象ネットワーク10上の各ホスト計算機11,12毎の構成情報と、各構成情報に対応しつつ重複を避けて編集されたルールセットと、がサブセットとして記憶されたものである。
【0035】
マネージャ装置24は、統合ルールデータベース25内の全ルールセットのうち、侵入検知装置23から更新用ネットワーク26経由で受ける構成情報に対応したルールセットを読出し、このルールセットを侵入検知装置22に送信する旨のプログラムが予めインストールされたサーバである。
【0036】
また、マネージャ装置24は、監視対象ネットワーク10上のホスト計算機11,12と秘密鍵を共有する機能と、この秘密鍵を用いて侵入検知装置22の公開鍵をホスト計算機11,12に送信する機能とを実現させるためのプログラムが予めインストールされたサーバでもある。
【0037】
但し、マネージャ装置24は、プログラムによるソフトウェア構成のみで実現する場合に限らず、ハードウェア構成及び/又はソフトウェア構成により実現してもよい。
【0038】
統合ルールデータベース25は、マネージャ装置24に管理され、ホスト計算機11,12の存在の有無に関わらず、ホスト計算機の種々の構成情報に対応した侵入検知用の全てのルールセットを保持している。
【0039】
更新用ネットワーク26は、侵入検知装置22とマネージャ装置24との間の通信のみに使用されるものであり、インターネット14や監視対象ネットワーク10といった外部のネットワークから隠蔽されている。
【0040】
次に、以上のように構成されたネットワーク侵入検知システムの動作を図3〜図7を参照しながら「ホスト計算機の追加時」及び「ホスト計算機の変更時」の順に説明する。
【0041】
(ホスト計算機の追加時)
いま、監視対象ネットワーク10は、図3に初期状態を示すように、ホスト計算機が接続されていない。このため、侵入検知データベース23では、構成情報DやルールセットRが初期状態(空)のままである。
【0042】
次に、図4に示すように、構成スキャナ11xを有するホスト計算機11が監視対象ネットワーク10に接続されたとする(時刻t0)。
【0043】
ホスト計算機11は、マネージャ装置24と秘密鍵を共有する。次に、ホスト計算機11は、この秘密鍵を用いてマネージャ装置24と通信をし、この監視対象ネットワーク10に対する侵入検知装置22の公開鍵を受取る。
【0044】
構成スキャナ11xは、ホスト計算機11上で実行されているプログラムや開いているポートの構成を走査し、構成情報Dを作成する(時刻t1)。
【0045】
ホスト計算機11は、構成情報Dを侵入検知装置22の公開鍵で暗号化して監視対象ネットワーク10上にブロードキャストする(時刻t2)。
【0046】
監視対象ネットワーク10上の構成情報Dは、一方向ルータ21を通過して侵入検知装置22に受信される。
【0047】
侵入検知装置22では、構成管理サーバ22xが、受信した構成情報Dを自己の秘密鍵で復号し、正常に復号されたら構成情報Dを受理する(時刻t3)。復号に失敗したら、受信した構成情報を破棄する。
【0048】
また、構成管理サーバ22xは、図5に示すように、受理した新しい構成情報を侵入検知データベース23内の既存の構成情報と比較し、新しい構成情報のうちの新規な部分である新構成Dnew(既存の構成情報に無い部分)を侵入検知データベース23に追加更新する(時刻t4)。但し、ホスト計算機11の追加時は、既存の構成情報が無いので、新しい構成情報Dの全体が新構成Dnewとして追加更新される。
【0049】
次に、構成管理サーバ22xは、新しい構成情報Dに対応する新ルールセットRnewを取得するため、新しい構成情報Dを更新用ネットワーク26経由でマネージャ装置24に転送する(時刻t5)。
【0050】
マネージャ装置24は、受信した構成情報Dに基づいて、統合ルールデータベース25から対応する新ルールセットRnewを取得し(時刻t6)、得られた新ルールセットRnewを更新用ネットワーク26を経由して送信元の侵入検知装置23に返信する(時刻t7)。
【0051】
侵入検知装置22では、構成管理サーバ22xが、この新ルールセットRnewを侵入検知データベース23に登録する(時刻t8)。
【0052】
その後、構成管理サーバ22xは、新ルールセットRnewと既存のルールセットを統合して新しいルールセットRを作成し、この新しいルールセットRを侵入検知データベース23に追加更新する。但し、ホスト計算機11の追加時は、既存のルールセットが無いので、新ルールセットRnewの全体がルールセットRとして追加更新される。
【0053】
これにより、侵入検知装置22のイベント分析部1は、監視対象ネットワーク10に接続されたホスト計算機11に関するルールセットRのみを参照可能となる。以下、イベント分析部1は、侵入検知データベース23内のルールセットRを用い、監視対象ネットワーク10上を流れるパケットを監視する。
【0054】
これによって、侵入検知データベース23は、監視対象ネットワーク10上に無いホスト計算機のルールセットを格納せずに済むため、記憶領域の消費量を大幅に低減させることができる。
【0055】
また、侵入検知装置22は、監視対象ネットワーク10上のホスト計算機11に対応する種類のパケットのみを監視するので、従来とは異なり、無関係で複雑なパケットの侵入判定処理の間に必要なパケットを取りこぼすといった不確実な処理の可能性が無くなり、効率的に監視を行うことができる。
【0056】
(ホスト計算機の変更時)
いま、監視対象ネットワーク10は、図1に示すように、1台以上のホスト計算機11,12が接続されているとする。なお、各ホスト計算機11,12は、前述同様の追加時に暗号アルゴリズムや鍵の共有が完了しているものである。
【0057】
次に、図6に示すように、あるホスト計算機11の構成が変更されたとする(時刻t11)。構成の変更としては、例えば、サーバプログラムの起動や、新しいクライアントプログラムのインストール完了、などがある。
【0058】
このとき、構成スキャナ11xは、構成の変更を検知して構成情報202を作成し(時刻t12)、前述同様に、構成情報を暗号化してブロードキャストする(時刻t13)。
【0059】
侵入検知装置22の構成管理サーバ22xは、前述同様に、構成情報を復号し、正常に復号されたときのみ構成情報を受理する(時刻t14)。
また前述同様に、構成管理サーバ22xは、図7に示すように、受理した新しい構成情報Dを侵入検知データベース内の既存の構成情報Dと比較し、新しい構成情報Dのうちの新構成Dnewを侵入検知データベース23に追加更新する(時刻t15)。
【0060】
次に、構成管理サーバ22xは、新構成Dnewと不変構成Dconstとを合せたものを新しい構成情報D’とし、前述同様に、新しい構成情報D’を更新用ネットワーク26経由でマネージャ装置24に送信する(時刻t16)。ここで、不変構成Dconstは、新規の構成情報Dnewと既存の構成情報Dとで同一の内容を意味している。
【0061】
また構成管理サーバ22xは、折り返し、対応する新ルールセットRnewをマネージャ装置24から受信すると(時刻t17〜t18)、この新ルールセットRnewを侵入検知データベース23に登録する(時刻t19)。
【0062】
しかる後、構成管理サーバ22xは、新ルールセットRnewと既存のルールセットRを統合して新しいルールセットR’を作成し、この新しいルールセットR’を侵入検知データベース23に更新する。
【0063】
さらに、構成管理サーバ22xは、不要となった旧ルールセットRoldを破棄する(時刻t20)。また、構成管理サーバ22xは、旧構成Doldを破棄し(時刻t21)、新構成Dnewと不変構成Dconstを統合したものをホスト計算機11の新しい構成情報D”として侵入検知データベース23に登録する。ここで、旧構成Doldは、新規の構成情報Dnewには無くて既存の構成情報Dには含まれる内容を意味している。なお、前述した追加時は、全てが新構成Dnewであり、不変構成Dconst及び旧構成Doldが無い場合に相当する。
【0064】
これにより、監視対象ネットワーク10上のホスト計算機11,12の最新の構成情報に対応したルールセットR’のみが侵入検知データベース23に登録される。従って、ホスト計算機11,12に対応しない無関係なパケットを検査せずに済むので、侵入検知処理を高速化でき、さらに、不要な旧ルールセットRoldを破棄するので侵入検知データベース23の記憶領域の消費量を低減できる。
【0065】
上述したように本実施形態によれば、侵入検知データベース23には、全てのルールセットのうち、監視対象ネットワークに接続されたホスト計算機11,12の構成情報に対応するルールセットが記憶されるので、記憶領域の消費量を低減でき、ハードウェア資源をより有効に利用することができる。
【0066】
また、不正パケットの検知処理時には、全てのルールセットのうち、監視対象ネットワークに接続されたホスト計算機11,12の構成情報に対応するルールセットを参照するので、処理能力の消費量を低減でき、高速且つ確実な侵入検知を実現させることができる。
【0067】
次に、本実施形態の効果について補足的に説明する。
本発明者の考察によれば、ホスト計算機が受理するパケットの種類は、そのホスト計算機が提供中のサービスや実行中のプログラムに依存するので、ネットワーク上を流れることのできる全てのパケットの種類よりも遥かに少ない場合が一般的である。
【0068】
すなわち、(ホスト計算機が受理するパケットの種類)<<(全てのパケットの種類)の関係がある。ここで、本実施形態によれば、記憶領域の消費量を(ホスト計算機が受理するパケットの種類)/(全てのパケットの種類)の比率で示すように、顕著に低減することができる。
【0069】
また、従来は、監視対象ネットワークを通過する全てのパケット、すなわち、ホスト計算機では利用されないパケットについても検査しており、無駄な処理を行なっている。
【0070】
特に、従来は、検査の不要なパケットが複雑な構成の場合、侵入検知システムが理解できる形式に変換する際に、計算機の処理能力を大量に無駄に消費している。ここで、本実施形態によれば、検査の不要なパケットを無視するので、検査の不要なパケットが複雑な構成の場合における計算機の処理能力の浪費(大量の無駄な消費)を阻止することができる。
【0071】
なお、上記各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0072】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0073】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行しても良い。
【0074】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0075】
また、記憶媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0076】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0077】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0078】
なお、本願発明は、上記各実施形態に限定されるものでなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。また、各実施形態は可能な限り適宜組み合わせて実施してもよく、その場合、組み合わされた効果が得られる。さらに、上記各実施形態には種々の段階の発明が含まれており、開示される複数の構成用件における適宜な組み合わせにより種々の発明が抽出され得る。例えば実施形態に示される全構成要件から幾つかの構成要件が省略されることで発明が抽出された場合には、その抽出された発明を実施する場合には省略部分が周知慣用技術で適宜補われるものである。
【0079】
その他、本発明はその要旨を逸脱しない範囲で種々変形して実施できる。
【0080】
【発明の効果】
以上説明したように本発明によれば、記憶領域の消費量を低減でき、ハードウェア資源をより有効に利用できる。また、処理能力の消費量を低減でき、高速且つ確実な侵入検知を実現できる。
【図面の簡単な説明】
【図1】本発明の一実施形態に係るネットワーク侵入検知システムの構成を示す模式図
【図2】同実施形態における侵入検知装置の構成を説明するための模式図
【図3】同実施形態における動作を説明するための模式図
【図4】同実施形態における動作を説明するための模式図
【図5】同実施形態における動作を説明するための模式図
【図6】同実施形態における動作を説明するための模式図
【図7】同実施形態における動作を説明するための模式図
【図8】従来のネットワーク侵入検知システムの概略構成を示す模式図
【符号の説明】
1…イベント分析部
監視対象ネットワーク10
ホスト計算機11,12
11x,12x…構成スキャナ
ルータ13
インターネット14
一方向ルータ21
侵入検知装置22
22x…構成管理サーバ
侵入検知データベース23
マネージャ装置24
統合ルールデータベース25
更新用ネットワーク26
D…構成情報
R…ルールセット

Claims (6)

  1. 監視対象ネットワークを流れるパケットのうち、前記監視対象ネットワークに接続された計算機に不正に侵入する不正パケットを検知するための侵入検知装置の公開鍵及び秘密鍵を用いるネットワーク侵入検知システムであって、
    予め計算機の複数種類の構成情報に対応して用意された全ての侵入検知ルール情報が記憶される第1のルール情報記憶手段と、
    前記監視対象ネットワークに接続された計算機の構成情報を前記公開鍵により暗号化して送信する構成情報送信手段と、
    前記侵入検知装置から読出/書込処理され、前記第1のルール情報記憶手段内の全ての侵入検知ルール情報のうち、前記構成情報送信手段により暗号化されて送信された構成情報を前記秘密鍵により復号して得られた構成情報に対応する侵入検知ルール情報が記憶される第2のルール情報記憶手段と、
    前記侵入検知装置に設けられ、前記第2のルール情報記憶手段を参照して前記不正パケットの検知処理を実行する不正パケット検知手段と、
    を備え
    前記計算機の構成情報は、当該計算機の監視対象のポート及びプログラムを示す内容を有することを特徴とするネットワーク侵入検知システム。
  2. 監視対象ネットワークを流れるパケットのうち、前記監視対象ネットワークに接続された計算機に不正に侵入する不正パケットを検知するための侵入検知装置の公開鍵及び秘密鍵を用いるネットワーク侵入検知システムに関し、予め計算機の複数種類の構成情報に対応して用意された全ての侵入検知ルール情報を管理するマネージャ装置に接続された前記侵入検知装置であって、
    前記マネージャ装置に管理される全ての侵入検知ルール情報のうち、前記監視対象ネットワークに接続された計算機から前記公開鍵により暗号化されて送信された構成情報を前記秘密鍵により復号して得られた構成情報に対応する侵入検知ルール情報を登録するルール情報登録手段と、
    前記ルール情報登録手段の登録内容に基づいて、前記不正パケットの検知処理を実行する不正パケット検知手段と、
    を備え
    前記計算機の構成情報は、当該計算機の監視対象のポート及びプログラムを示す内容を有することを特徴とする侵入検知装置。
  3. 請求項2に記載の侵入検知装置を備えたネットワーク侵入検知システムに関し、前記計算機に用いられる計算機用プログラムであって、
    前記計算機のコンピュータを、
    前記監視対象ネットワークに対して前記計算機の構成が追加又は変更されるとき、当該追加又は変更に関する構成情報を前記公開鍵により暗号化して送信する構成情報送信手段、
    として機能させるための計算機用プログラム。
  4. 監視対象ネットワークを流れるパケットのうち、前記監視対象ネットワークに接続された計算機に不正に侵入する不正パケットを検知するための侵入検知装置の公開鍵及び秘密鍵を用いるネットワーク侵入検知システムに関し、予め計算機の複数種類の構成情報に対応して用意された全ての侵入検知ルール情報が記憶される第1のルール情報記憶手段と、前記監視対象ネットワークに接続された計算機から前記公開鍵により暗号化されて送信された構成情報を前記秘密鍵により復号して得られた構成情報に対応する侵入検知ルール情報に基づいて前記不正パケットの検知処理を実行する前記侵入検知装置とに接続されたマネージャ装置であって、
    前記監視対象ネットワークに接続された計算機の構成情報を前記侵入検知装置から受信すると、前記第1のルール情報記憶手段を参照して前記受信した構成情報に対応する侵入検知ルール情報を前記侵入検知装置に送信するルール情報送信手段を備え
    前記計算機の構成情報は、当該計算機の監視対象のポート及びプログラムを示す内容を有することを特徴とするマネージャ装置。
  5. 監視対象ネットワークを流れるパケットのうち、前記監視対象ネットワークに接続された計算機に不正に侵入する不正パケットを検知するための侵入検知装置の公開鍵及び秘密鍵を用いるネットワーク侵入検知システムに関し、予め計算機の複数種類の構成情報に対応して用意された全ての侵入検知ルール情報を管理するマネージャ装置に接続された前記侵入検知装置に用いられる侵入検知装置用プログラムであって、
    前記侵入検知装置のコンピュータを、
    前記マネージャ装置に管理される全ての侵入検知ルール情報のうち、前記監視対象ネットワークに接続された計算機から前記公開鍵により暗号化されて送信された構成情報を前記秘密鍵により復号して得られた構成情報に対応する侵入検知ルール情報を登録するルール情報登録手段、
    前記ルール情報登録手段の登録内容に基づいて、前記不正パケットの検知処理を実行する不正パケット検知手段、
    として機能させ
    前記計算機の構成情報は、当該計算機の監視対象のポート及びプログラムを示す内容を有するための侵入検知装置用プログラム。
  6. 監視対象ネットワークを流れるパケットのうち、前記監視対象ネットワークに接続された計算機に不正に侵入する不正パケットを検知するための侵入検知装置の公開鍵及び秘密鍵を用いるネットワーク侵入検知システムに関し、予め計算機の複数種類の構成情報に対応して用意された全ての侵入検知ルール情報が記憶される第1のルール情報記憶手段と、前記監視対象ネットワークに接続された計算機から前記公開鍵により暗号化されて送信された構成情報を前記秘密鍵により復号して得られた構成情報に対応する侵入検知ルール情報に基づいて前記不正パケットの検知処理を実行する侵入検知装置とに接続されたマネージャ装置に用いられるマネージャ装置用プログラムであって、
    前記マネージャ装置のコンピュータを、
    前記監視対象ネットワークに接続された計算機の構成情報を前記侵入検知装置から受信すると、前記第1のルール情報記憶手段を参照して前記受信した構成情報に対応する侵入検知ルール情報を前記侵入検知装置に送信するルール情報送信手段、
    として機能させ
    前記計算機の構成情報は、当該計算機の監視対象のポート及びプログラムを示す内容を有するためのマネージャ装置用プログラム。
JP2001282089A 2001-09-17 2001-09-17 ネットワーク侵入検知システム、装置及びプログラム Expired - Fee Related JP4649080B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001282089A JP4649080B2 (ja) 2001-09-17 2001-09-17 ネットワーク侵入検知システム、装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001282089A JP4649080B2 (ja) 2001-09-17 2001-09-17 ネットワーク侵入検知システム、装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2003092603A JP2003092603A (ja) 2003-03-28
JP4649080B2 true JP4649080B2 (ja) 2011-03-09

Family

ID=19105788

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001282089A Expired - Fee Related JP4649080B2 (ja) 2001-09-17 2001-09-17 ネットワーク侵入検知システム、装置及びプログラム

Country Status (1)

Country Link
JP (1) JP4649080B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11991206B2 (en) 2018-05-22 2024-05-21 Mitsubishi Electric Corporation Installation location selection assistance apparatus, installation location selection assistance method, and computer readable medium

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1317855C (zh) * 2003-09-16 2007-05-23 联想(北京)有限公司 一种入侵检测系统及其入侵检测方法
CN1333552C (zh) * 2005-03-23 2007-08-22 北京首信科技有限公司 基于机器学习的用户行为异常的检测方法
JP2010033100A (ja) * 2006-10-26 2010-02-12 Nec Corp 通信装置およびネットワークへの不正侵入検知装置
WO2020136837A1 (ja) 2018-12-27 2020-07-02 三菱電機株式会社 アタックツリー生成装置、アタックツリー生成方法およびアタックツリー生成プログラム
CN111491002B (zh) * 2019-01-29 2023-12-05 杭州海康威视系统技术有限公司 设备巡检方法、装置、被巡检设备、巡检服务器及系统
JP7065356B2 (ja) 2019-11-11 2022-05-12 パナソニックIpマネジメント株式会社 情報処理装置、情報処理方法、およびプログラム
JP6924294B1 (ja) * 2020-03-02 2021-08-25 パシフィックコンサルタンツ株式会社 制御システム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08116334A (ja) * 1994-10-14 1996-05-07 Fujitsu Ltd 複数のlanで構成するネットワークにおける監視・障害解析方法及び装置
JP2000261483A (ja) * 1999-03-09 2000-09-22 Hitachi Ltd ネットワーク監視システム
JP2001273211A (ja) * 2000-02-15 2001-10-05 Hewlett Packard Co <Hp> ファイヤウォール内部の装置を外部から制御する方法及び装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08116334A (ja) * 1994-10-14 1996-05-07 Fujitsu Ltd 複数のlanで構成するネットワークにおける監視・障害解析方法及び装置
JP2000261483A (ja) * 1999-03-09 2000-09-22 Hitachi Ltd ネットワーク監視システム
JP2001273211A (ja) * 2000-02-15 2001-10-05 Hewlett Packard Co <Hp> ファイヤウォール内部の装置を外部から制御する方法及び装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11991206B2 (en) 2018-05-22 2024-05-21 Mitsubishi Electric Corporation Installation location selection assistance apparatus, installation location selection assistance method, and computer readable medium

Also Published As

Publication number Publication date
JP2003092603A (ja) 2003-03-28

Similar Documents

Publication Publication Date Title
US11075955B2 (en) Methods and systems for use in authorizing access to a networked resource
US8705348B2 (en) Use of metadata for time based anti-replay
US6115816A (en) Optimized security functionality in an electronic system
US7886365B2 (en) Content-log analyzing system and data-communication controlling device
JP4579969B2 (ja) ネットワーク・ドメインのネットワークエンドポイントにおける組込みエージェントの間で暗号化キーを共有するための方法、装置及びコンピュータプログラム製品
US7617541B2 (en) Method and/or system to authorize access to stored data
US6751728B1 (en) System and method of transmitting encrypted packets through a network access point
US6192477B1 (en) Methods, software, and apparatus for secure communication over a computer network
US8336108B2 (en) Method and system for collaboration involving enterprise nodes
US8392700B2 (en) Apparatus and system for asymmetric security
US20090049307A1 (en) System and Method for Providing a Multifunction Computer Security USB Token Device
US7926090B2 (en) Separate secure networks over a non-secure network
US20110060915A1 (en) Managing Encryption of Data
US20020069370A1 (en) System and method for tracking and preventing illegal distribution of proprietary material over computer networks
US7281269B1 (en) Methods, data structures, and systems to remotely validate a message
US20050138402A1 (en) Methods and apparatus for hierarchical system validation
US6944762B1 (en) System and method for encrypting data messages
KR960012819A (ko) 컴퓨터 네트워크들 사이에 데이터 패킷의 서명없는 전송 및 수신을 위한 시스템
JP3180054B2 (ja) ネットワーク・セキュリティ・システム
JP2007028014A (ja) デジタル署名プログラム、デジタル署名システム、デジタル署名方法、署名検証方法
CN101366242A (zh) 分区通信系统
CN113162943B (zh) 一种防火墙策略动态管理的方法、系统
JP4649080B2 (ja) ネットワーク侵入検知システム、装置及びプログラム
US7216226B2 (en) Unique and secure identification of a networked computing node
CN115801442A (zh) 一种加密流量的检测方法、安全系统及代理模块

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080408

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100412

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100823

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101116

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101213

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131217

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131217

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees