JP4863310B2 - Ip衛星通信システムおよび不正パケット侵入防御方法 - Google Patents

Ip衛星通信システムおよび不正パケット侵入防御方法 Download PDF

Info

Publication number
JP4863310B2
JP4863310B2 JP2008294991A JP2008294991A JP4863310B2 JP 4863310 B2 JP4863310 B2 JP 4863310B2 JP 2008294991 A JP2008294991 A JP 2008294991A JP 2008294991 A JP2008294991 A JP 2008294991A JP 4863310 B2 JP4863310 B2 JP 4863310B2
Authority
JP
Japan
Prior art keywords
packet
arp
processing unit
address
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008294991A
Other languages
English (en)
Other versions
JP2010124158A (ja
Inventor
健一 星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Engineering Ltd
Original Assignee
NEC Engineering Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Engineering Ltd filed Critical NEC Engineering Ltd
Priority to JP2008294991A priority Critical patent/JP4863310B2/ja
Publication of JP2010124158A publication Critical patent/JP2010124158A/ja
Application granted granted Critical
Publication of JP4863310B2 publication Critical patent/JP4863310B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、IP衛星通信システムおよび不正パケット侵入防御方法、特に、地上局間で通信衛星を利用してIPパケットをATMセルにより通信するIP衛星通信システムおよび不正パケット侵入防御方法に関する。
通信ネットワークを外部ネットワークと接続する場合、不正アクセスに対する対策として、外部との接続経路にファイアウォールやプロキシサーバ等を配備して一元化し、通信を管理・制御する措置が採られることが多い。しかし、これらの措置では不十分であり、通常、不正アクセスを企てる者は、様々な攻撃手法で対象の脆弱性を探り、内部情報へのアクセス権や管理情報を手に入れようとする。
ところで、これらの手法は一般化されており、大抵は「ある種の類似性」をもっているため、これを攻撃の予備段階として検知するIDS(Intrusion Detection System)と呼ばれる侵入検知システムが知られている。IDSには、通信内容を積極的に検査し、不正アクセスの疑いがあると思われるものについては、直ちにネットワークの管理者へ攻撃の事実を通知するネットワーク型IDS(NIDS:Network Intrusion Detection System)と、サーバマシンにソフトウェアとして組み込まれ、対象のサーバに異常が発生していないかを監視し、異常が確認された際には、NIDSと同様に通知を行なうホスト型IDS(HIDS:Host Intrusion Detection System)とがある(例えば、非特許文献1参照)。
NIDSはハブ(HUB)等のミラーリングポートに接続しているため、他ネットワーク宛の不正IPパケットをも傍受して検出できるが、不正なIPパケットを検知したとしても、不正なIPパケットが宛先まで流れてしまうことを完全に防ぐことはできない。一方、HIDSは、コピーされたIPパケットではなく実IPパケットをフィルタリングするため、確実に不正IPパケットを検出できるが、自ネットワーク宛の不正IPパケットしか検出できない。
ファイアウォール機能とIDS機能とを併せ持ち、IPパケットのヘッダ情報に基づくファイアウォール機能を通過したIPパケットに対して、IDS機能にてIPパケットのペイロード情報に基づいて、攻撃となるIPパケットを遮断する一方、攻撃とならないIPパケットを通過させる「侵入検知・防御装置及びプログラム」が公知である(例えば、特許文献1参照)。この技術は、NIDSのような傍受型ではなく、HIDSに属するフィルタ型を採用しているので、攻撃パケットの侵入を検知したとしても、その通知が管理者に届く頃には内部ネットワークに攻撃となるIPパケットが侵入してしまっているという事象を防ぐことができる。
また、ルータとして機能する中継装置と、パケットフィルタリング装置として機能する防御装置とから成る「ネットワーク攻撃防御システム」が知られている(例えば、特許文献2参照)。IDSはネットワークにおける攻撃を検出した際に、攻撃に関する詳細情報である「攻撃情報」を防御装置に通知する。防御装置はこの攻撃情報に基づいて攻撃パケットの属性を表すシグネチャを生成し、生成したシグネチャを含んだパケット転送指示を中継装置に通知する。中継装置はシグネチャに該当するパケットを抽出し、防御装置に転送する。防御装置は転送されたパケットのフィルタリングを行ない、フィルタリング後のパケットを中継装置を介してネットワークに中継させる。
http://ja.wikipedia.org/wiki/ 特開2003− 99339号公報(第2頁、図1) 特開2007−129482号公報(第10頁−第11頁、図1)
しかしながら、上述した特許文献2記載の技術では、IDSはフィルタ型であるため、攻撃となるIPパケットをヘッダ情報に基づいて即座に遮断できるが、その前に、IPパケットのヘッダ情報に基づく攻撃となるIPパケットの遮断を行なうファイアウォール機能を設ける必要があるという問題点がある。
また、特許文献2記載の技術におけるシグネチャは、「例えば、TCP/IPに準拠したパケットであれば、IPヘッダ部を構成するデータ長、生存時間、送信元アドレスなどの値や、TCP部を構成するポート番号などの各項目に設定されている値が所定値であるか、あるいは所定範囲内に含まれるかを表す情報」と記載されている。従って、IPパケットのペイロードに係わるものでないため、IPデータをフィルタリング対象とするものではない。また、中継装置がフィルタリングするわけではないため、IDSが攻撃を検出してから、そのパケットのフィルタリングが実行されるまでに時間差が生じるので万全な対策とはいえない。
本発明の目的は、ユーザ端末が意識をせず、全ての不正なIPパケットを検知し、IP通信衛星に無駄なトラフックを流さず、セキュアなIP衛星通信システムおよび不正パケット侵入防御方法を提供することにある。
請求項1記載のIP衛星通信システムは、IP通信衛星を経由して地上局の間でIPパケットの通信を行うIP衛星通信システムにおいて、地上局内の各端末とMODEMの間に配備された中継装置が、地上局内の各送信元端末からのIPパケットについて、ARP要求を受信し、予め設定されたIPアドレスに対応するMACアドレスの対応表を参照しARP応答を作成して返信することにより、送信先端末に代わってARP要求に対するアドレス解決を行なうと共に、プロトコル,宛先情報およびペイロードによりフィルタリングを行なうことを特徴とする。
請求項2記載のIP衛星通信システムは、IP通信衛星を経由して地上局の間でIPパケットの通信を行うIP衛星通信システムにおいて、地上局内の各端末とMODEMの間に配備されたターミナルアダプタが、地上局内の各送信元端末からのIPパケットを受信し、プロトコルの識別を行なってARPおよびIP以外のIPパケットは廃棄するプロトコル識別処理部と、各送信元端末からのARP要求を受信し、予め設定されたIPアドレスに対応するMACアドレスの対応表を参照してARP応答を作成して返信し、送信先端末に代わってアドレス解決を行うと共にARP要求以外のIPパケットは廃棄するアドレス解決処理部と、各送信元端末からのIPパケットを取得し、予め設定されたIPパケットの宛先情報と衛星の論理回線の対応表を参照してIPパケットの送信先を決定すると共に対応表に定義されていないIPパケットは廃棄するConnection識別処理部と、予め設定された不正なIPパケットのパターン情報であるシグネチャを参照し、該当するペイロードのIPパケットを検出し破棄するシグネチャパターン比較処理部を備えたことを特徴とする。
請求項3記載のIP衛星通信システムは、上記の対応表はプロトコル,送信元IPアドレス,送信元ポート番号,送信先IPアドレスおよび送信先ポート番号の組合せで定まるConnection番号を表示することを特徴とする。
請求項4記載のIP衛星通信システムは、上記のシグネチャはシグネチャパターン表に予め保存されていることを特徴とする。
請求項5記載の不正パケット侵入防御方法は、請求項2〜4記載のIP衛星通信システムにおける不正パケット侵入防御方法であって、地上局内の各送信元端末からのIPパケットを受信し、プロトコルの識別を行なってARPおよびIP以外のIPパケットは廃棄する第1手順と、識別されたIPパケットがARPである場合は、予め設定されたIPアドレスに対応するMACアドレスの対応表を参照してARP応答を作成して返信し、送信先端末に代わってアドレス解決を行うと共にARP要求以外のIPパケットは廃棄する第2手順と、識別され且つ第2手順経過後のIPパケットについて、予め設定されたIPパケットの宛先情報と衛星の論理回線の対応表を参照してIPパケットの送信先を決定する共に前記対応表に定義されていないIPパケットは廃棄する第3手順と、第3手順経過後のIPパケットについて、予め設定された不正なIPパケットのパターン情報であるシグネチャを参照し、該当するペイロードのIPパケットを検出し破棄する第4手順を有することを特徴とする。
本発明では、地上局内の各端末とMODEMの間に配備されたターミナルアダプタ等の中継装置が不正なIPパケットのフィルタリングを行なう構成としたため、コピーされたIPパケットではない実データ全てについてNIDSとHIDSの特長を活かせることとなり、全ての不正なIPパケットを検知しセキュアなIP衛星通信を実現することができるという効果を有する。
ここに、中継装置においてアドレス解決を行なうので、地上局内の各送信元端末から他の地上局宛に送信されるIPパケットも全てフィルタリングの対象となる。また、フィルタリングは、プロトコルおよび宛先情報の他にペイロードについても行なうので、よりセキュアとなる。更に、このようなフィルタリングにより、IP通信衛星に無駄なトラフックを流さないという効果も得られる。
次に、発明を実施するための最良の形態について図面を参照して詳細に説明する。
図1に示す一般的なIP衛星通信システムは、IP通信衛星1と複数の地上局2から成り、それぞれの地上局2はMODEM(モデム)3とTA(ターミナルアダプタ)4とユーザ端末5とハブ(HUB)6とから構成されている。
図1において、地上局21のユーザ端末5から送信されたIPパケットは、TA4でMODEM3とのインタフェース形式であるMPEG-TSパケットに変換されてMODEM3に送信される。MODEM3はMPEG-TSパケットをATMセルに変換し、ATMセルヘッダにVPI/VCIを付加してIP通信衛星1へ送信する。IP通信衛星1はセル交換を行い、ATMセルを宛先地上局22へ送信する。ATMセルを受信した地上局22は、MODEM3でATMセルをMPEG-TSパケットに復元し、TA4に送信する。TA4は、MPEG-TSパケットからIPパケットを復元し、地上局22内のユーザ端末5に送信する。
図2は本発明のIP衛星通信システムの中枢部であるTA4の構成を示す。TA4は、ユーザ端末5とのインタフェースであるEthernet(登録商標)インタフェース10、IPパケットのプロトコル識別を行うプロトコル識別処理部11、ユーザ端末5のアドレス解決を行うアドレス解決処理部12、アドレス解決に使用するIPアドレスとMACアドレスの対応表であるIPアドレス→MACアドレス対応表13、衛星通信のConnection識別を行うConnection識別処理部14、Connection識別に使用するMAC/IP→Connection対応表15、不正なIPパケットを検知するシグネチャパターン比較処理部16、不正なデータパターンを意味するシグネチャパターンを表示するシグネチャパターン表17、MODEM3のインタフェース形式であるMPEG-TS形式にIPパケットを変換するIP→MPEG-TS変換処理部18、MPEG-TSからIPパケットの復元を行うMPEG-TS→IP復号処理部19およびMODEM3とのインタフェース部であるMODEM Bus インタフェース20から成る。
これらの構成要素はそれぞれ概略次のように動作する。プロトコル識別処理部11は、Ethernet(登録商標)インタフェース10を介してユーザ端末5との間でIPパケットを授受し、そのプロトコルのタイプを識別する。タイプがIPとARPのみ有効とし、他のタイプのIPパケットはここで破棄する。タイプがARPの場合はIPパケットをアドレス解決処理部12に、タイプがIPの場合はIPパケットをConnection識別処理部14に出力する。
アドレス解決処理部12は、ユーザ端末5が、宛先となる他の地上局2内のユーザ端末5のMACアドレスを取得する行為であるアドレス解決を行う。そのために、IPパケットのヘッダから抽出した送信先IPアドレスに対応するMACアドレスをIPアドレス→MACアドレス対応表13から検索する。アドレス解決処理部12は、検索したMACアドレスからARP応答を作成し、Ethernet(登録商標)インタフェース10を介してARP要求元のユーザ端末5へ返信する。この結果、ユーザ端末5は宛先となるユーザ端末5のMACアドレスを使ってIP通信が可能になる。
Connection識別処理部14は、IPパケットのヘッダから抽出した、送信元IPアドレス、送信先IPアドレス、プロトコル、送信元ポート番号および送信先ポート番号により、MAC/IP→Connection対応表15を参照してConnectionを判断する。Connectionが見つからなかったIPパケットは破棄される。Connectionとは、衛星を介した地上局2間のIP通信における論理回線を意味する。Connectionが見つかった場合、Connection識別処理部14はIPパケットをシグネチャパターン比較処理部16に出力する。
シグネチャパターン比較処理部16は、Connectionが決定されたIPパケットのペイロードをシグネチャパターン表17中のシグネチャパターン(以後、シグネチャパターン17と記す)と比較し、不正なIPパケットは破棄する。正常と判断されたIPパケットはIP→MPEG-TS変換処理部18に出力する。IP→MPEG-TS変換処理部18は、IPパケットをMODEM3とのインタフェース形式であるMPEG-TSパケットに変換し、MODEM Busインタフェース20を介してMODEM3に出力する。MPEG-TS→IP復号処理部19は、MODEM3が受信したMPEG-TSパケットをMODEM Busインタフェース20を介して入力してIPパケットに復元し、復元されたIPパケットはEthernet(登録商標)インタフェース10を介してユーザ端末5へ送信される。
次に、地上局2のユーザ端末5からIPパケットをIP通信衛星1へ向けて送信する場合について、図2および図5,6,8のフローチャートを参照しながら説明する。IPアドレス→MACアドレス対応表13,MAC/IP→Connection対応表15およびシグネチャパターン表17それぞれは、全ての地上局2のTA4に該当する内容が事前に登録され保存している必要がある。IPパケットフォーマットを図3に、ARPパケットフォーマットを図4に示す。なお、ARPパケットとは、IPパケットのプロトコルがARPであるIPパケットをいう。
図5はプロトコル識別処理部11による処理を示す。TA4はプロミスキャスモードで動作し、TA4が接続されているハブ6のポートに入ってくる全てのIPパケットを受信するよう動作する。ユーザ端末5から送信されたIPパケットをTA4のEthernet(登録商標)インタフェース10経由で受信した(図5のステップA1)プロトコル識別処理部11はIPパケットのプロトコルを識別する(ステップA2)。MACヘッダのタイプフィールドを確認し、0x0806であればARPでありARPパケット処理(ステップA3)へ移行し、0x0800であればIPでありIPパケット処理(ステップA4)へ移行する。なお、タイプがARPとIP以外のIPパケットは破棄する(ステップA5)。
ARPパケット処理(ステップA3)の詳細を図6に示す。先ず、ARPパケットのサイズが正しいか確認する(図6のステップB1)。サイズが正常でなければ、ARPパケットを破棄する(ステップB2)。次に、ARPパケットフォーマットのOperationフィールドを確認し(ステップB3)、要求を意味する0x0001でなければ、ARPパケットを破棄する(ステップB2)。要求(0x0001)ならARPパケットの送信先IPアドレスフィールドのIPアドレスでIPアドレス→MACアドレス対応表18を検索し、ARPパケットの送信先IPアドレスフィールドのIPアドレスに対応する送信先MACアドレスを決定する(ステップB4、B5)。
決定したMACアドレスから応答のARPパケットを作成し、ARP要求送信元のユーザ端末5へ返信する(ステップB6)。ARPパケットを送信したユーザ端末5は、TA4が作成したARP応答パケットを受信することで、送信先IPアドレスのユーザ端末5のMACアドレスを知ることができる。
TA4はこのような動作をすることによって、自地上局2内のユーザ端末5のアドレス解決を行うことができ、TA4が接続されているハブ6のポートに他の地上局2宛のIPパケットを入力させることができる。
即ち、図7に示すようにユーザ端末51からARP要求パケットが発生した場合を考える。ARP要求パケットはブロードキャストで送信され、ハブ6にユーザ端末5と共に接続されているユーザ端末52およびTA4で受信される。ユーザ端末52のIPアドレスは、ARP要求パケットの宛先IPアドレスと当然に異なるので、ユーザ端末52で受信されたARP要求パケットはユーザ端末52において破棄される。TA4では上述のようにしてARP応答パケットを作成し、ユーザ端末51に返信する。その後、ARP要求パケットにおける送信先IPアドレス宛のIPパケットはTA4が接続されたポートに流れるようになる。また、TA4のIPアドレス→MACアドレス対応表18に正しく登録されていないユーザ端末5への通信を禁止させることができる(ステップB2)。
次に、IPパケット処理(ステップA5)の詳細を図8に示す。Connection識別処理部14では、先ず、IPパケットのサイズチェックを行う(図8のステップC1)。サイズが正常でなければIPパケットを破棄する(ステップC2)。次に、MAC/IP→Connection対応表15内に定義された送信元IP、送信先IP、プロトコル、送信元ポート番号、送信先ポート番号の組とIPパケットを比較し、Connectionを決定する(ステップC3、C4)。表内の全ての条件に一致しなかったIPパケットは、対応するConnectionがないとみなされここで破棄される(ステップC2)。
ARPパケットではなく、タイプがIPのIPパケットの場合には、上述のようにConnection識別処理を行う。ConnectionとはIP通信衛星1を介した地上局2間のIP通信における論理回線を意味し、IPパケットの送信先IPアドレスや送信先ポート番号等と宛先の地上局2を結びつける。図9はその概念図を示す。図9において、送信先IPアドレスが192.168.0.60の場合はConnection1であって地上局Aと地上局Bを結びつける論理回線、送信先ポート番号が32768の場合はConnection2であって地上局Aと地上局Cを結びつける論理回線となる。
次に、TA4では、不正なパケットを検出するために、シグネチャパターン比較処理部16にてIPパケットのペイロードとシグネチャパターン17を比較して、不正なIPパケットかどうか検査を行う(ステップC5、C6)。通常、不正なIPパケットを検出する際には、NIDS等をスイッチングハブ6のミラーリングポートに接続し、コピーされたIPパケットの監視を行う。図10はこのような例を示す。図10に示す構成の場合、NIDSはミラーリングポートに接続しているため、不正なIPパケットを検知したとしても、不正なIPパケットが別のポートから宛先まで流れてしまうことを完全に防ぐことはできない。
本IP衛星通信システムではこのような事象を解決するためにアドレス解決を行うTA4にHIDS機能を組み込んだ図11の構成で不正パケットの検知を行う。この構成の場合、TA4は他の地上局2にあるユーザ端末5の代わりにアドレス解決を行っているため、NIDSのように自分宛ではないIPパケットも受信し、IPパケットのペイロードとシグネチャパターンの比較を行うことができる。また、HIDSのように実際の(傍受するものではない)IPパケットを受信し検査を行うので、不正なIPパケットと判断すれば、確実に衛星への不正IPパケットの流出を止めることができる。図7の構成も同様である。
更に、この時点ではMAC層のチェック、IP層およびUDP/TCP層でのチェックがなされ、この時点でMAC層、IP層、UDP/TCP層に異常及び不正があると思われるIPパケットは破棄されているので(ステップA5,ステップC2)、ペイロードの比較回数は抑えられる。
正常と判断されたIPパケットは、MODEM3とのインタフェース形式であるMPEG-TS形式に変換され(ステップC7)、MODEM Busインタフェース部20からMODEM3に送信される(ステップC8)。IP通信衛星1は、ATMセルのATMセルヘッダのVPI/VCIにてセル交換を行っている。MODEM3は、TA4で判断したConnectionを受け、そのConnectionに対応するVPI/VCIを付加する。なお、Connectionは、Connection識別処理部14からシグネチャパターン比較処理部16、IP→MPEG-TS変換処理部18およびMODEM Busインタフェース部20を経由してMODEM3へ送信される。
一方、IP通信衛星1からMPEG-TSを受信した場合の動作を図12のフローチャートで説明する。MODEM Busインタフェース20でMPEG-TSを受信すると(図12のステップD1)、MPEG-TS→IP復号処理部19にてMPEG-TSからIPパケットを復元する(ステップD2)。MPEG-TSから復元されたIPパケットは、Ethernetインタフェース部10を介してユーザ端末5へ送信される(ステップD3)。
次に、TA4の主要部であるプロトコル識別処理部11、アドレス解決処理部12、IPアドレス→MACアドレス対応表13、Connection識別処理部14、MAC/IP→Connection対応表15およびシグネチャパターン比較処理部16の詳細について説明する。
図13はプロトコル識別処理部11の構成図を示す。プロトコル識別処理部11に入力されたIPパケットは、IPパケットバッファ111にバッファリングされる。バッファリングされたIPパケットは、MACヘッダ抽出処理部112に順次入力され、IPパケットのMACヘッダ部が抽出される。抽出されたMACヘッダは、MACヘッダタイプチェック処理部113に入力され、MACヘッダにあるタイプとMACヘッダ−タイプリスト114にあるタイプ(IP[0x0800]、ARP[0x0806])の値で検索される。タイプがIPとARPのみ有効とし、他のタイプのIPパケットはここで破棄され、衛星通信上に無駄なトラフィックは発生させない。ARPパケットと判断された場合は、アドレス解決処理部12に入力される。
アドレス解決処理部12の構成図を図14に示す。図14において、ARPパケットバッファ121にバッファリングされたARPパケットは、ARPチェック処理部122に順次入力されARPパケットのチェックが行われる。チェックは、パケットサイズとARPパケットのOperationフィールドが要求を意味する0x0001となっているかである。チェック結果が正常なARPパケットは、送信先IP抽出処理部123に入力される。送信先IP抽出処理部123では、送信先IPアドレスが抽出され、対応表検索処理部124に入力される。対応表検索処理部124では、送信先IPアドレスをIPアドレス→MACアドレス対応表13内で検索し、送信先IPアドレスに対応したMACアドレスを決定する。IPアドレス→MACアドレス対応表13の例を図15に示す。
IPアドレスが見つからなかった場合は、そのARPパケットは破棄される。見つかったIPアドレスに対応するMACアドレスから、ARP応答作成処理部125にてARP応答を作成してARP要求先に返信する。ARP要求を送信したユーザ端末5は、TA4が作成したARP応答パケットを受信することで、送信先IPアドレスに対応したMACアドレスを知ることができ、IP通信が可能になる。またTA4は他の地上局2の宛先ユーザ端末5の代わりにアドレス解決を行うことで、自分宛でないIPパケットも受信し、後段の処理を行うことができる。プロトコル識別処理部11にてIPプロトコルのパケットと判断された場合、Connection識別処理部14にてMAC/IP→Connection対応表15を参照し、どの衛星通信のConnectionか識別される。
Connection識別処理部14の構成図を図16に示す。IPパケットバッファ141にバッファリングされたIPパケットは、IPパケットチェック処理部142に入力されIPパケットのサイズのチェックが行われる。チェック結果が正常なIPパケットは、IPヘッダ抽出処理部143に入力され、IPヘッダが抽出される。抽出されたIPヘッダに対し、送信元IP検索処理部145では送信元IP、送信先IP検索処理部146では送信先IP、プロトコル検索処理部147ではプロトコルの項目の検索が行われる。この検索はMAC/IP→Connection対応表15を参照して行い、参照結果はIPヘッダ抽出処理部143に与えられる。
またUDP/TCPヘッダ抽出処理144ではIPヘッダのプロトコルフィールドから判断したプロトコルに基づき、UDPプロトコルかTCPプロトコルのIPパケットか判断し、そのプロトコルのヘッダを抽出する。抽出したUDPもしくはTCPヘッダに対し、送信元ポート番号検索処理部148では送信元ポート番号、送信先ポート番号検索処理部149では送信先ポート番号の検索が行われる。この検索もMAC/IP→Connection対応表15を参照して行い、参照結果はUDP/TCPヘッダ抽出処理144に与えられる。
図17にMAC/IP→Connection対応表15の例を示す。表の中で「−」は、比較対象とならないことを示す。上記の各部145〜149はIPパケットをMAC/IP→Connection対応表15の上から下へとそれぞれの項目を比較して検索結果を得る。Connection識別処理部14は各検索結果によりConnectionを決定する。図17において、例えば送信元IPアドレスが192.168.1.1のIPパケットは、Connection 1のIPパケットと判断される。プロトコルがUDP、送信元ポート番号が520のものは、Connection 3と判断される。表の一番下まで比較し、該当するConnectionが見つからなかった場合、そのIPパケットは破棄される。またConnection 5のように全て「−」と設定した場合は、デフォルトのConnectionとして扱われ、Connection 1から4までに該当しなかったIPパケットは、全てConnection 5のIPパケットと判断される。
Connectionが決定したIPパケットは、シグネチャパターン比較処理部16にてシグネチャパターン17と比較される。シグネチャパターン比較処理部16の構成図を図18に示す。IPパケットバッファ161にバッファリングされたIPパケットは、ペイロード抽出処理部162に入力され、IPパケットのペイロードが抽出される。抽出されたペイロードはパターン比較処理部163に入力され、シグネチャパターン17と比較される。シグネチャパターン17と一致したIPパケットは、不正なIPパケットとみなされ、シグネチャパターン比較処理部16にて破棄される。
ここで、シグネチャパターン17と比較されるIPパケットは、TA4宛ではなく他の地上局2にあるユーザ端末5宛である。TA4はアドレス解決処理部12で他の地上局2の宛先ユーザ端末5のアドレス解決を行っているため、NIDSのように自分宛ではないIPパケットを受信し、シグネチャパターン17と比較することができ、またハブ6のミラーリングポートから取得したコピーされたIPパケットではなく、HIDSのように実IPパケットを対象として比較処理を行うことができる。
更に、Connectionが決定したこの位置でシグネチャパターン17とIPパケットのペイロードを比較することにより、不正なIPパケットは排除される。この場合、プロトコル識別処理部11ではIPパケットのMAC層のチェック(ステップA5)、Connection識別処理部14ではIPパケットのIP層及びUDP/TCP層でのチェック(ステップC2)がなされ、この時点でMAC層、IP層、UDP/TCP層に異常及び不正と思われるIPパケットは破棄されており、ペイロードの比較回数を抑えることができる。
正常と判断されたIPパケットは、IP→MPEG-TS変換処理部18にてMODEM3とのインタフェース形式であるMPEG-TSに変換され、MODEM Busインタフェース20を介してMODEM3に送信される。MPEG-TSのデータの中には、Connection識別処理部14で決定したConnectionの番号が含まれており、MODEM3においてConnectionの識別が可能となっている。
一方、MODEM3からMPEG-TSのデータを受信した場合、MODEM Busインタフェース20で受信され、MPEG-TS→IP復号処理部19でIPパケットに復元され、Ethernetインタフェース10でユーザ端末5に送信される。
以上に詳述したように、本発明では、アドレス解決をTA4で行い、HIDS機能をTA4に実装する構成のため、IP通信衛星1を介して他の地上局2に送信されるIPパケットをTA4にて受信できる。また、ハブ6等のミラーリングポートから取得したコピーされたIPパケットではなく、実IPパケットに対して、必要最小限のIPパケットのペイロードとシグネチャパターンの比較を行うことができ、不正なIPパケットを確実に検知し破棄することができる。
なお、これまでは図1に示したように1つのTA4を用いたネットワークについて説明してきたが、複数のTA4を用いてネットワークを構成し、相互にIPアドレス→MACアドレス対応表13を交換するようにしてもよい。
本発明が適用される一般的なIP衛星通信システムを示す構成図 本発明のIP衛星通信システムの中枢部であるTA4の構成を示すブロック図 IPパケットフォーマットを示す図 ARPパケットフォーマットを示す図 IPパケット送信のプロトコル識別処理を示すフローチャート IPパケット送信のARPパケット処理を示すフローチャート 本発明におけるアドレス解決を図るためのTAとユーザ端末との接続図 IPパケット処理を示すフローチャート 本発明におけるConnectionの概念図 NIDSによるIPパケットの監視を行なう従来における接続図 HIDSによるIPパケットの監視を行なう本発明における接続図 IPパケット受信処理を示すフローチャート プロトコル識別処理部の詳細を示すブロック図 アドレス解決処理部の詳細を示すブロック図 IPアドレス→MACアドレス対応表の内容を例示する図 Connection識別処理部の詳細を示すブロック図 MAC/IP→Connection対応表の内容を例示する図 シグネチャパターン比較処理部の詳細を示すブロック図
符号の説明
1 IP通信衛星
2 地上局
3 MODEM
4 TA
5 ユーザ端末
10 Ethernet(登録商標)インタフェース
11 プロトコル識別処理部
12 アドレス解決処理部
13 IPアドレス→MACアドレス対応表
14 Connection識別処理部
15 MAC/IP→Connection対応表
16 シグネチャパターン比較処理部
17 シグネチャパターン表
18 IP→MPEG-TS変換処理部
19 MPEG-TS→IP変換処理部
20 MODEM Bus インタフェース
111 IPパケットバッファ
112 MACヘッダ抽出処理部
113 MACヘッダタイプチェック処理部
114 MACヘッダ−タイプ一覧表
121 ARPパケットバッファ
122 ARPチェック処理部
123 送信先IP抽出処理部
124 対応表検索処理部
125 ARP応答作成処理部
141 IPパケットバッファ
142 IPパケットチェック処理部
143 IPヘッダ抽出処理部
144 UDP/TCPヘッダ抽出処理部
145 送信元IP検索処理部
146 送信先IP検索処理部
147 プロトコル検索処理部
148 送信元ポート番号検索処理部
149 送信先ポート番号検索処理部
161 IPパケットバッファ
162 ペイロード抽出処理部
163 パターン比較処理部

Claims (5)

  1. IP通信衛星を経由して地上局の間でIPパケットの通信を行うIP衛星通信システムにおいて、
    前記地上局内の各端末とMODEMの間に配備された中継装置が、前記地上局内の各送信元端末からのIPパケットについて、ARP要求を受信し、予め設定されたIPアドレスに対応するMACアドレスの対応表を参照しARP応答を作成して返信することにより、送信先端末に代わってARP要求に対するアドレス解決を行なうと共に、プロトコル,宛先情報およびペイロードによりフィルタリングを行なうことを特徴とするIP衛星通信システム。
  2. IP通信衛星を経由して地上局の間でIPパケットの通信を行うIP衛星通信システムにおいて、前記地上局内の各端末とMODEMの間に配備されたターミナルアダプタが、
    前記地上局内の各送信元端末からのIPパケットを受信し、プロトコルの識別を行なってARPおよびIP以外のIPパケットは廃棄するプロトコル識別処理部と、
    前記各送信元端末からのARP要求を受信し、予め設定されたIPアドレスに対応するMACアドレスの対応表を参照してARP応答を作成して返信し、送信先端末に代わってアドレス解決を行うと共にARP要求以外のIPパケットは廃棄するアドレス解決処理部と、
    前記各送信元端末からのIPパケットを取得し、予め設定されたIPパケットの宛先情報と衛星の論理回線の対応表を参照してIPパケットの送信先を決定すると共に前記対応表に定義されていないIPパケットは廃棄するConnection識別処理部と、
    予め設定された不正なIPパケットのパターン情報であるシグネチャを参照し、該当するペイロードのIPパケットを検出し破棄するシグネチャパターン比較処理部を備えたことを特徴とするIP衛星通信システム。
  3. 前記対応表はプロトコル,送信元IPアドレス,送信元ポート番号,送信先IPアドレスおよび送信先ポート番号の組合せで定まるConnection番号を表示することを特徴とする請求項2記載のIP衛星通信システム。
  4. 前記シグネチャはシグネチャパターン表に予め保存されていることを特徴とする請求項2,3記載のIP衛星通信システム。
  5. 請求項2〜4記載のIP衛星通信システムにおける不正パケット侵入防御方法であって、
    前記地上局内の各送信元端末からのIPパケットを受信し、プロトコルの識別を行なってARPおよびIP以外のIPパケットは廃棄する第1手順と、
    前記識別されたIPパケットがARPである場合は、予め設定されたIPアドレスに対応するMACアドレスの対応表を参照してARP応答を作成して返信し、送信先端末に代わってアドレス解決を行うと共にARP要求以外のIPパケットは廃棄する第2手順と、
    前記識別され且つ前記第2手順経過後のIPパケットについて、予め設定されたIPパケットの宛先情報と衛星の論理回線の対応表を参照してIPパケットの送信先を決定する共に前記対応表に定義されていないIPパケットは廃棄する第3手順と、
    前記第3手順経過後のIPパケットについて、予め設定された不正なIPパケットのパターン情報であるシグネチャを参照し、該当するペイロードのIPパケットを検出し破棄する第4手順を有することを特徴とする不正パケット侵入防御方法。
JP2008294991A 2008-11-18 2008-11-18 Ip衛星通信システムおよび不正パケット侵入防御方法 Expired - Fee Related JP4863310B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008294991A JP4863310B2 (ja) 2008-11-18 2008-11-18 Ip衛星通信システムおよび不正パケット侵入防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008294991A JP4863310B2 (ja) 2008-11-18 2008-11-18 Ip衛星通信システムおよび不正パケット侵入防御方法

Publications (2)

Publication Number Publication Date
JP2010124158A JP2010124158A (ja) 2010-06-03
JP4863310B2 true JP4863310B2 (ja) 2012-01-25

Family

ID=42325107

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008294991A Expired - Fee Related JP4863310B2 (ja) 2008-11-18 2008-11-18 Ip衛星通信システムおよび不正パケット侵入防御方法

Country Status (1)

Country Link
JP (1) JP4863310B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113132993B (zh) * 2021-04-23 2023-03-24 杭州网银互联科技股份有限公司 应用在无线局域网中的数据窃取识别系统及其使用方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003258835A (ja) * 2002-02-28 2003-09-12 Matsushita Electric Ind Co Ltd アドレス割り当て装置及びアドレス割り当て方法
JP2004104709A (ja) * 2002-09-12 2004-04-02 Furukawa Electric Co Ltd:The アクセスネットワークシステム
JP2006094417A (ja) * 2004-09-27 2006-04-06 Nec Corp 加入者回線収容装置およびパケットフィルタリング方法
JP2006236080A (ja) * 2005-02-25 2006-09-07 Nippon Telegr & Teleph Corp <Ntt> 不正アクセス検知装置および方法
JP2006243878A (ja) * 2005-03-01 2006-09-14 Matsushita Electric Ind Co Ltd 不正アクセス検知システム
JP2007129482A (ja) * 2005-11-02 2007-05-24 Nippon Telegr & Teleph Corp <Ntt> ネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラム

Also Published As

Publication number Publication date
JP2010124158A (ja) 2010-06-03

Similar Documents

Publication Publication Date Title
US7757285B2 (en) Intrusion detection and prevention system
EP3823244B1 (en) High availability for network security devices
US8045550B2 (en) Packet tunneling
US9118716B2 (en) Computer system, controller and network monitoring method
CN101136922B (zh) 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统
US20080250496A1 (en) Frame Relay Device
US7555774B2 (en) Inline intrusion detection using a single physical port
US20080060067A1 (en) Ip management Method and Apparatus for Protecting/Blocking Specific Ip Address or Specific Device on Network
US11777971B2 (en) Bind shell attack detection
US20110247068A1 (en) Method And Apparatus For Enhanced Security In A Data Communications Network
US20050180421A1 (en) Source address-fabricated packet detection unit, source address-fabricated packet detection method, and source address-fabricated packet detection program
US20070166051A1 (en) Repeater, repeating method, repeating program, and network attack defending system
CN113132385B (zh) 一种防止网关arp欺骗的方法及装置
WO2012014509A1 (ja) 不正アクセス遮断制御方法
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
US20210014253A1 (en) Device and method for intrusion detection in a communications network
JP4863310B2 (ja) Ip衛星通信システムおよび不正パケット侵入防御方法
KR100765340B1 (ko) 가상의 인라인 네트워크 보안방법
CN114584352B (zh) 多网络互联的网络违规外联检测方法、装置及系统
CN107395643B (zh) 一种基于扫描探针行为的源ip保护方法
JP2006099590A (ja) アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
JP4641848B2 (ja) 不正アクセス探索方法及び装置
US11533327B2 (en) Method and device for intrusion detection in a computer network
US11729188B2 (en) Method and device for intrusion detection in a computer network
JP2004096246A (ja) データ伝送方法、データ伝送システム及びデータ伝送装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100804

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110901

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110905

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110926

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111012

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111102

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141118

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees