JPWO2005050935A1 - 侵入検知装置およびその方法 - Google Patents

侵入検知装置およびその方法 Download PDF

Info

Publication number
JPWO2005050935A1
JPWO2005050935A1 JP2005515551A JP2005515551A JPWO2005050935A1 JP WO2005050935 A1 JPWO2005050935 A1 JP WO2005050935A1 JP 2005515551 A JP2005515551 A JP 2005515551A JP 2005515551 A JP2005515551 A JP 2005515551A JP WO2005050935 A1 JPWO2005050935 A1 JP WO2005050935A1
Authority
JP
Japan
Prior art keywords
packet
unauthorized access
data segment
intrusion detection
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Abandoned
Application number
JP2005515551A
Other languages
English (en)
Inventor
規充 永嶋
規充 永嶋
哲男 貞包
哲男 貞包
忍 後沢
忍 後沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2005050935A1 publication Critical patent/JPWO2005050935A1/ja
Abandoned legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

他の情報端末から送信される前後のパケットの組み立てが必要なTCP/IPパケットの不正アクセス解析において、パケットを効率よく保持しながら、TCP/IPの不正アクセス検知の精度を上げることが可能な侵入検知装置を得ること。 外部ネットワークからのパケットがTCPによる通信である場合に、パケット中に含まれるデータセグメントのコピーをセッション情報と関連付けして一時的に保留し、セッション情報と同一のデータセグメントをペイロードサイズ以上受信すると、同一のセッション情報を有するデータセグメントを組み立てるデータセグメント組立部(11)と、受信したデータセグメントまたは組み立てたデータセグメントを解析し、不正アクセスが含まれている場合には最後に受信したデータセグメントが含まれるパケットを廃棄する不正アクセス解析部(6)とを備える。

Description

この発明は、インターネットなどの外部ネットワークと接続され、相互に通信を行うネットワークにおけるデータの安全性を高めることが可能な侵入検知装置およびその方法に関するものである。
近年、複数台のコンピュータからなるLANなどのネットワークが相互に接続されたインターネットのような大規模なネットワークが発達し、このネットワークを用いて多数の利用者が様々な情報を得ることが可能になってきている。しかし、このような大規模ネットワークに接続されるネットワークにおいては、悪意の行為者によって不正アクセスがなされる危険性を有している。そのため、この不正アクセスに対する装置として従来までに種々の装置が提案されている。
特許文献1に記載のパケット転送装置は、異なるネットワークセグメントに接続されるパケット受信部およびパケット送出部と、受信したパケットに識別子を付加するパケット識別子付加機構と、識別子を付加されたパケットを一時的に保留するパケット保留キューと、複数のパケットが必要なパケットの解析時に参照される送出済みのパケットを保持する送出済みパケット保持機構と、受信したパケットが不正アクセスに関わるパケットか否かを判定するパケット解析機構とを有している。
そして、このようなパケット転送装置において、パケット受信部で受信され、パケット識別子付加機構によって識別子が付加された受信パケットは、パケット保留キューに格納され、パケット解析機構に渡されると同時に送出済みパケット保持機構に保持されている。パケット解析機構は、受信パケットと送出済みパケット保持機構に保持されている該受信パケット以前に送出したパケットを参照して受信パケットが不正アクセスに関わるパケットであるかを判定し、不正アクセスに関わるパケットであれば廃棄し、そうでない場合は転送している。送出済みパケット保持機構に保持されるパケットは、格納してから一定期間経過した後に廃棄するか、あるいは予め指定した特定のデータ量を超えた分を到着順に廃棄している。
特許文献2に記載の侵入検知装置は、受信したパケットが不正であるか否かを判断するために、一定時間に一定以上の個数のパケットを検知したか否かを分析している。
特開2002−63084号公報 特開2002−73433号公報
インターネット上で一般的に使われているTCP/IPプロトコルでは、たとえばコネクション確立時や切断時にやりとりされるパケットやデータが相手に届かなかったことを伝えるメッセージのようにユーザデータ以外の制御用パケットが送受信される。そのため、ユーザデータ以外の制御用パケットの量も多量にのぼる。
しかし、上記前者の従来技術においては、受信したパケットは送出済みパケット保持機構において一定期間が過ぎるまでまたは特定のデータ量を超えるまで保持されるため、制御用パケットが増えると保持できるユーザデータのパケット数が少なくなり、送出済みのパケットを参照した不正アクセス検知の精度が下がってしまうという問題点があった。また、余分なデータを保持していることにより、送出済みのパケットを参照する場合に、関連するパケットを検索する時間が増大し、侵入検知のオーバヘッドが大きくなってしまうという問題点もあった。
また、上記後者の従来技術においては、一定時間に一定以上の個数のパケットを検知した場合に受信したパケットが不正であると判断することはできるが、これによって不正アクセス検知の精度を上げることはできないといった問題があった。
この発明は、上記に鑑みてなされたもので、他の情報端末から送信される前後のパケットの組み立てが必要なTCP/IPパケットの不正アクセス解析において、パケットを効率よく保持しながら、パケットの組み立てを必要とするTCP/IPの不正アクセス検知の精度を上げることが可能な侵入検知装置およびその方法を得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、ネットワークに接続された機器への不正侵入を検知するために、前記ネットワークと外部ネットワークとの間に設けられる侵入検知装置において、前記外部ネットワークから受信したパケット中に含まれるデータセグメントのコピーを、前記パケットに含まれる所定のセッション情報と関連付けして一時的に保留するとともに、前記セッション情報と同一のデータセグメントを所定のサイズであるペイロードサイズ以上受信すると、同一のセッション情報を有するデータセグメントを組み立てるデータセグメント組立手段と、前記受信したパケット中に含まれるデータセグメントまたは組み立てたデータセグメントに不正アクセスが含まれているか否かを解析し、不正アクセスが含まれている場合には前記ペイロードサイズに達した時に受信したデータセグメントが含まれるパケットを廃棄し、正常なパケットのみを前記ネットワークに接続された機器に対して送信する不正アクセス解析手段と、を備えることを特徴とする。
この発明によれば、外部ネットワークから受信したパケット中に含まれるデータセグメントのコピーを保持し、データセグメントのコピーの組み立て後の合計サイズがペイロードサイズより大きくなった時点で保持しておいたパケットを取り出して組み立て、受信したパケット中に含まれるデータセグメントまたは組み立てたデータセグメントに不正アクセスが含まれているか否かを解析した後保持していたパケットを廃棄するようにしたので、パケットを効率よく保持することができる。
この発明によれば、パケットを効率よく保持することができるので、パケット保持溢れによる受信データ廃棄を防ぐことができ、パケットの組み立てを必要とする不正アクセス検知の精度を上げることが可能になるという効果を奏する。
図1は、この発明による侵入検知装置の実施の形態1の構成を示すブロック図である。 図2は、この発明による侵入検知装置が組み込まれたシステムの構成を示すブロック図である。 図3は、不正アクセス解析方法のパターンマッチングに用いるコードの一例を示す図である。 図4は、パケットの合計サイズがペイロードサイズを超えているか否かの判断方法を説明するための図である。 図5は、実施の形態1にかかる侵入検知方法の処理手順を示すフローチャートである。 図6は、この発明による侵入検知装置の実施の形態2の構成を示すブロック図である。 図7は、パケットに保留ペイロードを付加する方法を説明するための図である。 図8は、実施の形態2にかかる侵入検知方法の処理手順を示すフローチャートである。 図9は、この発明による侵入検知装置の実施の形態3の構成を示すブロック図である。 図10は、この発明による侵入検知装置の実施の形態4の構成を示すブロック図である。 図11は、実施の形態4にかかる侵入検知方法の処理手順を示すフローチャートである。 図12は、この発明による侵入検知装置の実施の形態5の構成を示すブロック図である。
符号の説明
1 侵入検知装置
2 受信制御部
3 送信制御部
4 プロトコル判定部
5 リアセンブルデータ保留部
6,6 不正アクセス解析部
7,7 対策部
10,10 セグメント処理部
11 セグメント組立部
12 ペイロードサイズ判断部
13,13 セグメント保持部
14 改行コード判断部
15 ペイロード保留部
20 ネットワーク
21〜23 端末
30 インターネット
51,52 保留ペイロード
60 フィルタ部
110 処理振分部
120,120 侵入検知処理部
130 検知対象検索部
以下に添付図面を参照して、この発明にかかる侵入検知装置およびその方法の好適な実施の形態を詳細に説明する。
実施の形態1.
図1は、この発明にかかる侵入検知装置の実施の形態1の構成を示すブロック図であり、図2は、この侵入検知装置が使用されるネットワークシステムの構成を示すブロック図である。侵入検知装置1は、他のパーソナルコンピュータなどの端末C23が接続されているインターネット30と、このインターネット30に接続されるLAN(Local Area Network)などのネットワーク20との間に、図2に示されるように接続される。ここで、ネットワーク20には端末A21と端末B22が接続されているものとする。ここで、ネットワーク20内の端末A21や端末B22は、情報の送受信が可能な機器であり、例えば、パーソナルコンピュータなどの情報端末を挙げることができる。なお、図2では、ネットワーク20に2台の端末21,22が接続されている場合を例示するものであり、2台に限られるものではない。
侵入検知装置1は、インターネット30などのネットワーク20から見て外部に接続された端末C23などからパケットを受信する受信制御部2、ネットワーク20内の端末A21や端末B22などにパケットを送信する送信制御部3、受信したパケットの宛先やプロトコルを判定するプロトコル判定部4、IPフラグメント化されているパケットを保持するリアセンブルデータ保留部5、受信したパケットのプロトコルがTCP(Transmission Control Protocol)の場合にデータセグメントに所定の処理を施すセグメント処理部10、受信したパケットに不正アクセスが含まれるか否かを判別する不正アクセス解析部6、および不正アクセス解析部6が異常を検出した際に所定の対処を実施する対策部7を有する。ここで、データセグメントとは、TCPを使用した通信において相手に送信するデータのことをいい、特に、TCPヘッダを除いたデータの部分を意味するものである。
プロトコル判定部4は、受信制御部2、リアセンブルデータ保留部5、セグメント処理部10と接続され、セグメント処理部10は、プロトコル判定部4、不正アクセス解析部6、送信制御部3と接続されている。また、対策部7は不正アクセス解析部6および送信制御部3と接続されている。
受信制御部2は、インターネット30に接続された外部の端末C23からパケットを受信し、送信制御部3は、受信したパケットをネットワーク20内の所定の端末21,22に送信する。そのため、図2では、侵入検知装置1のインターネット30側は受信制御部2と接続され、侵入検知装置1のネットワーク20側は送信制御部3と接続される。
プロトコル判定部4は、IPフラグメントされた複数のパケットを組み立てる機能のほかに、受信したまたは組み立てたパケットのヘッダを解析して宛先や送信元アドレス、プロトコルを判定する機能を有する。プロトコルの判定は、具体的には、たとえばIPv4のパケットの場合、ヘッダには後続のデータ部でどのような上位プロトコルが用いられているかを示すプロトコルタイプが格納される8ビットの領域である「プロトコルタイプ」と、パケットの宛先IPアドレスが格納される32ビットの領域である「宛先アドレス」、パケットの送信元IPアドレスが格納される32ビットの領域である「送信元アドレス」があるので、これらの領域を解析することによって、上記パケットの宛先やプロトコルを判定することが可能となる。
また、プロトコル判定部4のパケット組み立て機能は、上述したプロトコルの判定と同様にそのヘッダを解析することによって受信したパケットがIPフラグメントされているか否かを判定し、IPフラグメントされている場合に、パケットの組み立てを行うものである。具体的には、たとえばIPv4のパケットの場合、ヘッダには、パケットをIPフラグメントしたときの識別子であり、またIPフラグメントされたパケットを元に戻すときに利用される16ビットの「ID」を解析することによってパケットがIPフラグメントされているか否かを判定することができる。そして、パケットがIPフラグメントされている場合にはパケットのヘッダのIPフラグメントに関して、IPフラグメントの禁止やフラグメントの途中か最後を示す3ビットの「フラグ」やフラグメントが元のパケットのどの位置にあったかを示す「フラグメントオフセット」を参照しながら、これらのパケットを先頭から組み立てる。なお、特許請求の範囲におけるプロトコル判定手段とパケット組立手段は、このプロトコル判定部4に相当する。
リアセンブルデータ保留部5は、受信したパケットがIPフラグメントされていた場合に、すべてのパケットが到着するまでの間パケットを保持する機能を有する。すべてのパケットが到着すると、これらのパケットは、プロトコル判定部4に渡される。
セグメント処理部10は、プロトコル判定部4から送られるパケットを保持するセグメント保持部13、セグメント保持部13において保持されているパケットの合計サイズを確認して合計サイズがペイロードサイズを超えているか否かの判断を行うペイロードサイズ判断部12、受信したパケットのプロトコルがTCPの場合にデータセグメントを組み立てるセグメント組立部11、データセグメント内に改行コードが含まれているか否かを判断する改行コード判断部14を有する。
セグメント組立部11は、他の端末C23などからTCPを利用して受信したパケットを組み立てる機能を有する。TCPでは、通信相手に送信するデータのことをセグメント(この明細書では、データセグメントという)というが、たとえば、3文字のコマンド“ls改行”というデータセグメントを送信する場合には、“l”、“s”、“改行”のように分割して送信する場合も考えられる。これらのデータを処理する受信端末は分割されたデータセグメントを組み立てて順番を正しく整えることによって、コマンドを正しく認識することが可能となるが、侵入検知装置1も不正アクセスの有無を解析するためには、分割されたデータセグメントを受信端末と同様に組み立てて、コマンドを正しく認識する必要がある。そのためこのセグメント組立部11によるTCPを利用して受信した場合のパケットを組み立てる機能が必要となる。
このセグメント組立部11では、パケットの宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号からセッションを識別し、このセッションを構成するデータセグメントが分割されて送信される場合には、同一のセッション情報を有するパケット(データセグメント)を組み立てる。
セグメント保持部13は、プロトコル判定部4から送られるパケットを組み立てた場合の合計サイズ(データセグメントの合計サイズ)がペイロードサイズを超えるまでの間パケットを保持する機能を有する。ここで、ペイロードサイズとは不正アクセスの検索を実行するか否かを判断する際に基準となるサイズであり、ペイロードサイズ判断部12において予め設定しておくものである。
セグメント保持部13は、保持しているパケットとプロトコル判定部4から新たに送られてきたパケットを組み立てた場合の合計サイズが、所定のペイロードサイズより小さいと判断された場合であって改行コード判断部14においてパケット内に改行コードがないと判断された場合に、プロトコル判定部4から新たに送られてきたパケットのコピーを新たに保持する。
このとき、パケットの組み立て後の合計サイズがペイロードサイズを越えていなければ、セグメント保持部13に新たに送られてきたパケットのオリジナルを指定された宛先アドレスの端末に向けて送信する。
また、プロトコル判定部4から送られるパケットを組み立てた場合の合計サイズがペイロードサイズを超えるまでの間であっても、改行コード判断部14においてパケット内に改行コードがあると判断された場合は、これまでセグメント保持部13において保持しているパケットと改行コードを含むパケットのコピーがセグメント組立部11で組み立てられる。そして、セグメント保持部13はプロトコル判定部4から新たに送られてきた改行コードを含むパケットのオリジナルのみを残し(保持し)、それまでに保持していたパケットを消去する。
一方、パケットの組み立て後の合計サイズがペイロードサイズを越えていれば、セグメント保持部13に新たに送られてきたパケットのオリジナルを指定された宛先アドレスの端末に向けて送信せず、プロトコル判定部4から新たに送られてきたパケットのオリジナルを新たに保持する。そして、保持しているパケットとプロトコル判定部4から新たに送られてきたパケットのコピーをセグメント組立部11に送る。この後、セグメント保持部13は、プロトコル判定部4から新たに送られてきたパケットのオリジナルのみを残し(保持し)、それまでに保持していたパケットを消去する。
なお、保持されるデータセグメントは、パケットの宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号からなるセッション情報と関連付けされることによって管理されるものとする。
ペイロードサイズ判断部12は、セグメント保持部13において保持されているパケットとプロトコル判定部4から新たに送られてきたパケットの合計サイズを確認して合計サイズがペイロードサイズを超えているか否かの判断を行う機能を有する。
ペイロードサイズを例えば460バイトと設定した場合、セグメント保持部13において保持されているパケットとプロトコル判定部4から新たに送られてきたパケットの合計サイズが460バイト以上であれば、これらのパケットを組み立てた後、不正アクセス解析部6において不正アクセスの検索を実行する。一方、セグメント保持部13において保持されているパケットとプロトコル判定部4から新たに送られてきたパケットの合計サイズが460バイトより小さい場合は、改行コード判断部14における判断結果に基づいて不正アクセス解析部6で不正アクセスの検索を実行するか否かが決定される。なお、パケットの合計サイズはデータセグメントが組み立てられた後の合計サイズを計算することによって求めるものとする。
改行コード判断部14は、パケット内に改行コードが含まれているか否かを判断する機能を有する。改行コードは、端末C23でのデータの入力が完了した後、このデータ内のコマンドを実行させる場合に端末C23から送信されてくる。コマンドに不正アクセスが含まれている場合には、端末A21や端末B22等のデータの送信先端末(宛先端末)上で不正アクセスが実行される可能性がある。このため、セグメント保持部13において保持されているパケットとプロトコル判定部4から新たに送られてきたパケットの合計サイズがペイロードサイズを超えていない場合であってパケット内に改行コードが含まれている場合は、侵入検知装置1の不正アクセス解析部6においてパケット内に不正アクセスが含まれているか否かの解析を行う。
不正アクセス解析部6は、受信したパケットに不正アクセスが含まれるか否かを判別し、不正アクセスであると判別された場合にはパケットを廃棄する機能を有する。受信したパケットに不正アクセスが含まれているか否かの判断は、要求元のアドレスやパケット内のデータやコマンド、アクセスの頻度などによって判断する。また、受信したパケットに不正アクセスが含まれているか否かの判断は、例えば、パケット内に所定の文字列やコードが含まれるか否かを検知するパターンマッチングを行うことによって判断してもよい。なお、パケットの廃棄は、プロトコル判定部4から新たに送られ、セグメント保持部13で保持しておいたパケットのオリジナルを消去することによって行う。
対策部7は、不正アクセス解析部6が異常を検出した際に対処を実施する機能を有する。対処として、たとえば、受信したパケットに不正アクセスが検出された場合に、ネットワーク管理者に対して不正アクセスがされた旨の電子メールを送信したりすることができる。なお、ネットワーク管理者に対して不正アクセスがされた旨の通知は、携帯電話やポケットベルによって行ってもよい。
図3は、パターンマッチングの一例を示している。この図3では、宛先ポート番号=80(HTTP)の場合に、TCPデータとして“cmd.exe?/”という文字列がパケット中に含まれている場合には、不正アクセスであると判断するものである。このような不正アクセスで用いられるパターンを登録することによって、不正アクセス解析部6による不正アクセスの判別が可能となる。なお、上述した不正アクセスか否かの判断は一例であり、従来知られている不正アクセスの検出方法を不正アクセス解析部6に実行させることができる。
図4は、セグメント保持部において保持されているパケットとプロトコル判定部4から新たに送られてきたパケットの合計サイズがペイロードサイズを超えているか否かの判断方法の一例を説明するための図である。図4においては、ペイロードサイズが460バイトであり、パケットの組み立て後(データセグメント)のサイズが100バイトのパケットP1,P2,P3,P4,P5を組み立てている状態を示している。ここでは、パケットを正しく組み立てた場合のパケットの順番は先頭から順にパケットP1,P2,P3,P4,P5であるものとし、パケットP1〜P5は、いずれも改行コードを含んでいないものとする。ここでは、説明の便宜上パケットP1,P2,P3,P4,P5の順で、セグメント保持部13に送られてくるものとする。
受信制御部2によって受信されたパケットP1は、プロトコル判定部4を介してセグメント処理部10に送られる。セグメント保持部13によって保持されているパケットはなく、セグメント保持部13において保持されているパケットとプロトコル判定部4から新たに送られてきたパケットP1の組み立て後の合計サイズはペイロードサイズの460バイトより小さい。つまり、プロトコル判定部4から送られてきたパケットP1を組み立てたとしても組み立て後のパケットの合計サイズは100バイトであり、ペイロードサイズの460バイトより小さい。
このため、ペイロードサイズ判断部12は、セグメント保持部13において保持されているパケットとプロトコル判定部4から新たに送られてきたパケットの合計サイズはペイロードサイズより小さいと判断する。この後、改行コード判断部14によってパケットP1に改行コードが含まれるか否かの判断が行われる。ここでは、パケットP1に改行コードがないためパケットP1のコピーがセグメント保持部13によって保持され、パケットP1のオリジナルは送信制御部3からヘッダに格納されている宛先アドレスの端末へと送信される。
つぎに、受信制御部2によって受信されたパケットP2は、プロトコル判定部4を介してセグメント処理部10に送られる。セグメント保持部13によって保持されているパケットP1は100バイトであり、プロトコル判定部4から新たに送られてきたパケットP2は100バイトである。このため、セグメント保持部13において保持されているパケットP1とプロトコル判定部4から新たに送られてきたパケットP2の組み立て後の合計サイズは200バイトであり、ペイロードサイズの460バイトより小さい。
このため、ペイロードサイズ判断部12は、セグメント保持部13において保持されているパケットとプロトコル判定部4から新たに送られてきたパケットの合計サイズはペイロードサイズより小さいと判断する。この後、改行コード判断部14によってパケットP1に改行コードが含まれるか否かの判断が行われる。ここでは、パケットP2に改行コードがないため、パケットP2のコピーがセグメント保持部13によって新たに保持される。以降、パケットP3,P4も同様の処理が行われ、図4に示すようにパケットP1〜P4が順にセグメント保持部13に保持される。
つぎに、受信制御部2によって受信されたパケットP5は、プロトコル判定部4を介してセグメント処理部10に送られる。セグメント保持部13によって保持されているパケットP1〜P4の合計サイズは400バイトであり、プロトコル判定部4から新たに送られてきたパケットP5は100バイトである。このため、セグメント保持部13において保持されているパケットP1〜P4とプロトコル判定部4から新たに送られてきたパケットP5の組み立て後の合計サイズは500バイトであり、ペイロードサイズの460バイトより大きい。
このため、ペイロードサイズ判断部12は、セグメント保持部13において保持されているパケットとプロトコル判定部4から新たに送られてきたパケットの合計サイズはペイロードサイズより大きいと判断する。そして、セグメント保持部13においているパケットP1〜P4とパケットP5のコピーがセグメント組立部11に送られる。この時、セグメント保持部13ではパケットP1〜P4を消去し、パケットP5のオリジナルのみを保持しておく。この後、不正アクセス解析部6において、不正アクセスが検知されなければ、パケットP5のオリジナルをセグメント組立部か11から送信制御部3に送り、不正アクセスが検知された場合はパケットP5を廃棄する。
つぎに、このような侵入検知装置1の侵入検知方法について、図5のフローチャートを参照しながら説明する。なお、以下の説明では、侵入検知装置1は、図2に示されるようにシステムに組み込まれているものとし、ネットワーク20の外の端末C23がネットワーク20内の端末A21または端末B22に対してアクセスする場合を例に挙げる。
ネットワーク20の外部の端末、たとえば端末C23が、ネットワーク20内の端末21,22に対してアクセスすると、このアクセス時に端末C23からネットワーク20内の端末21,22にパケットが送信される。侵入検知装置1は、このネットワーク20内の端末21,22へのパケット(データ)を受信制御部2から受信する(ステップS10)。
受信制御部2は受信したパケットをプロトコル判定部4に渡し、プロトコル判定部4はパケットのヘッダを読み取り、IPフラグメントされているか否かを判定する(ステップS20)。パケットがIPフラグメントされていると判定された場合(ステップS20でYesの場合)には、プロトコル判定部4は、リアセンブルデータ保留部5を参照して、IPフラグメントされたパケットがすべて到着しリアセンブルが完了したか、すなわち受信したパケットがIPフラグメントされた最後のパケットであるか否かを判定する(ステップS30)。
IPフラグメントされたパケットがすべて到着していない場合(ステップS30でNoの場合)には、受信したパケットのコピーをリアセンブルデータ保留部5に保持し(ステップS40)、受信したパケットのオリジナルをセグメント処理部10におくる。そして、後述するように不正アクセス解析部6で不正アクセスがないと判断された場合は、このオリジナルのパケットを送信制御部3から送信する(ステップS45)。この後、再びステップS10の処理から実行される。なお、プロトコル判定部4において、受信したパケットのヘッダを検出し、最後のデータセグメントを含んだパケットであると判断されたパケットは、ステップS45では送信制御部3から送信しないこととする。
一方、ステップS30で、受信したパケットがIPフラグメントされた最後のパケットである場合(ステップS30でYesの場合)には、リアセンブルデータ保留部5から保持されたIPフラグメントされたすべてのパケットを取り出し、先頭から順にパケットを組み立てる(ステップS50)。このとき、パケットが組み立てられると、リアセンブルデータ保留部5に保持されていたデータは消去される。
その後、またはステップS20でプロトコル判定部4によって受信したパケットがIPフラグメントされていないと判定された場合(ステップS20でNoの場合)には、プロトコル判定部4は、受信したパケットまたは受信して組み立てられたパケットのプロトコル種別が、TCPであるか否かを判定する(ステップS60)。
パケットのプロトコル種別がTCPである場合(ステップS60でTCPの場合)には、セグメント保持部13は、パケットから宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号を読み込み、これらの組合せからセッションを識別する(ステップS70)。
次に、ペイロードサイズ判断部12は、セグメント保持部13において既に保持されているパケットとプロトコル判定部4から新たに送られてきたパケットの組み立て後の合計サイズを確認して合計サイズがペイロードサイズを超えているか否かの判断を行う(ステップS80)。
セグメント保持部13において既に保持されているパケットとプロトコル判定部4から新たに送られてきたパケットの組み立て後の合計サイズがペイロードサイズより小さい場合(ステップS80でNoの場合)には、パケット内に改行コードが含まれているか否かの判断を改行コード判断部14によって行う(ステップS90)。
パケット内に改行コードが含まれていない場合(ステップS90でNoの場合)には、プロトコル判定部4から新たに送られてきたパケットをコピーしてセグメント保持部13に保持し(ステップS95)、コピー元のオリジナルのパケットを送信制御部3からヘッダに格納されている宛先アドレスの端末へと送信し(ステップS100)、再びステップS10からの処理を実行する。
一方、ステップS90でパケット内に改行コードが含まれている場合(ステップS90でYesの場合)や、ステップS80でセグメント保持部13において既に保持されているパケットとプロトコル判定部4から新たに送られてきたパケットの合計サイズがペイロードサイズを超えている場合(ステップS80でYesの場合)には、セグメント組立部11は、プロトコル判定部4から新たに送られてきたパケットとセグメント保持部13で保持していたパケットを取り出して、分割されたデータセグメントを組み立てる(ステップS110)。このとき、データセグメントが組み立てられると、セグメント組立部11に組み立てられたデータセグメントと同一のセッション情報によって管理される。そして、新たに送られてきたパケットのみをセグメント保持部13で保持し、セグメント保持部13で保持されていたその他のパケットは消去される。
その後、または、ステップS60でパケットのプロトコル種別がICMP(Internet Control Message Protocol)やUDP(User Datagram Protocol)などのTCPでないと判定された場合(ステップS60でTCP以外の場合)には、不正アクセス解析部6に、組み立てられたデータセグメントまたはTCP以外のパケットが渡される。不正アクセス解析部6は、パケットまたは組み立てられたデータセグメントに不正アクセスが含まれるか否かを、パターンマッチング等などの不正アクセス解析方法を用いて解析する(ステップS120)。
パケットまたは組み立てられたデータセグメントに不正アクセスが含まれる場合(ステップS120でYesの場合)であって、プロトコル種別がTCP以外の場合には受信したパケットを廃棄し、プロトコル種別がTCPである場合にはパケットを廃棄する(ステップS140)。そして、対策部7は、ネットワーク管理者宛てに不正アクセスがされた旨の電子メールを送付して、異常を通知する(ステップS150)。一方、ステップS120でパケットまたは組み立てられたデータセグメントに不正アクセスが含まれていない場合(ステップS120でNoの場合)には、セグメント保持部13で保持しておいた不正アクセス解析の直前に送られてきたパケットを送信制御部3から送信する(ステップS130)。そして、ステップS10に戻り、再び外部からネットワーク20内にアクセスされるデータについての監視を行う。
なお、この実施の形態1ではペイロードサイズを超えないデータに対して改行コードの有無を判断しているが、受信したパケットのTCPヘッド内にURG(Urgent)ビットがあるか否かを判断するようにしてもよい。
この実施の形態1によれば、外部ネットワークから受信したパケット中に含まれるデータセグメントのコピーをセグメント保持部13が保持し、保持しておいたパケットとプロトコル判定部4から新たに送られてきたパケットの組み立て後の合計サイズがペイロードサイズより大きくなった時点で保持しておいたパケットを取り出して組み立て、受信したパケット中に含まれるデータセグメントまたは組み立てたデータセグメントに不正アクセスが含まれているか否かを解析した後保持していたパケットを廃棄するようにしたので、パケットを効率よく保持することができ、セグメント保持部13内のパケット保持溢れによる受信データ廃棄を防ぐことができるため、パケットの組み立てを必要とするTCP/IPの不正アクセス検知の精度を上げることが可能となる。また、セグメント保持部13の情報を宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号からなるセッション情報と関連付けることによって、TCPデータセグメントを組み立てる際のオーバヘッドを減らすことが可能となり、その結果、高速処理が可能となるという効果を有する。
実施の形態2.
図6は、この発明にかかる侵入検知装置の実施の形態2の構成を示すブロック図である。この侵入検知装置1は、上述した実施の形態1の図1において、セグメント処理部10にペイロード保留部15を設けることを特徴とする。このペイロード保留部15は、不正アクセスの解析を行ったパケットの前後に接続されるペイロード(パケット)がある場合に、このペイロードを後述する保留ペイロード51,52として保持しておく機能を有する。なお、以下の説明では、上述した実施の形態1と同一の構成要素には同一の符号を付してその説明を省略している。
図7は、パケットに保留ペイロードを付加する方法を説明するための図である。パケットP11〜P15は既に組み立てられて不正アクセスの解析が終了し、パケットP16,P17は既に組み立てられ、これから不正アクセスの解析を行う状態を示している。また、パケットP15とパケットP16は互いに接続されるパケットであるものとする。なお、パケットP11,P12,P13,P14,P15,P16,P17は、パケットの組み立て後(データセグメント)のサイズがいずれも300バイトであり、改行コードを含んでいないものとする。
例えば、不正アクセスがパケットP15とパケットP16にまたがっている場合、パケットP15とパケットP16を別々に不正アクセス解析すると、不正アクセスを検知することができない。しかし、パケットP16の不正アクセス解析を行う際、パケットP16をパケットP15に付加しておけば、不正アクセスを検知することが可能となる。
このため、本実施の形態2においては、不正アクセスの解析を行った後のパケットであっても、このパケットがこれから不正アクセス解析を行うパケットと接続される場合は、不正アクセスの解析を行った後のパケットを所定サイズ分だけ保留ペイロード51,52として保持しておく。なお、不正アクセスの解析を行ったパケットにおいて不正アクセスが検知された場合は、このパケットを廃棄するため保留ペイロード51,52を保持する必要はない。
パケットP11〜P15が組み立てられて不正アクセス解析が行われ、不正アクセスがないと判断されると、不正アクセス解析の行われたパケットP11〜P15の前後に接続されるパケットがあるか否かを確認する。ここでは、不正アクセス解析の行われたパケッP11〜P15の前後に接続されるパケットがあるため、パケットP11〜P15の先頭の200バイトと最後尾の200バイトを保留ペイロード51,52として保持する。
パケットP16はパケットP15に接続されるものであるため、この後不正アクセス解析が行われるパケットP15,P16に保留ペイロード52を付加する。そして、ペイロード2が付加されたパケットP16,P17の不正アクセス解析を行う。これによって、不正アクセスが複数のパケット間をまたがるような場合であっても、不正アクセスを検知することが可能となる。
なお、保留ペイロード51は、パケットP11の前に接続されるパケットP10(図示せず)がある場合であって、パケットP11〜P15がパケットP10より先に送られて組み立てられ、パケットP10の不正アクセス解析がまだ行われていない場合に保持しておく。そして、パケットP10を含むパケットの不正アクセス解析を行う際に保留ペイロード51を付加して不正アクセス解析を行う。また、保留ペイロード51,52のサイズは200バイトに限られず、侵入検知装置1の使用者によって任意に設定可能とする。
つぎに、このような侵入検知装置1の侵入検知方法について、図8のフローチャートを参照しながら説明する。図8は、この実施の形態2に係る侵入検知装置の侵入検知方法を示すフローチャートである。ステップS10〜ステップS110までは、実施の形態1で示した図5と同様の処理が行われる。すなわち、侵入検知装置1は、このネットワーク20内の端末21,22へのパケット(データ)を受信制御部2から受信し、リアセンブルデータ保留部5から保持されたIPフラグメントされたすべてのパケットを取り出し、先頭から順にパケットを組み立てる(ステップS10〜ステップS50)。
その後、組み立てられたパケット等のプロトコル種別が、TCPであるか否かを判定し、パケット内に改行コードが含まれている場合や、セグメント保持部13において既に保持されているパケットとプロトコル判定部4から新たに送られてきたパケットの合計サイズがペイロードサイズを超えている場合には、セグメント組立部11は、プロトコル判定部4から新たに送られてきたパケットとセグメント保持部13で保持していたパケットを取り出して、分割されたデータセグメントを組み立てる(ステップS60〜ステップS110)。
セグメント組立部11において、分割されたデータセグメントが組み立てられた後(ステップS110)、ペイロード保留部15に保留ペイロード51,52が保持されているかを確認する(ステップS200)。ペイロード保留部15に保留ペイロード51,52がある場合は(ステップS200でYesの場合)、セグメント組立部11において組み立てられたデータセグメントに保留ペイロード51または保留ペイロード52を付加する(ステップS210)。
その後、または、ステップS200で保留ペイロード51,52が保持されていない場合(ステップS200でNoの場合)、不正アクセス解析部6に、組み立てられたデータセグメントまたはTCP以外のパケットが渡される。不正アクセス解析部6は、パケットまたは組み立てられたデータセグメントに不正アクセスが含まれるか否かを、パターンマッチング等などの不正アクセス解析方法を用いて解析する(ステップS220)。
パケットまたは組み立てられたデータセグメントに不正アクセスが含まれる場合(ステップS220でYesの場合)であって、プロトコル種別がTCP以外の場合には受信したパケットを廃棄し、プロトコル種別がTCPである場合にはパケットを廃棄する(ステップS260)。そして、対策部7は、ネットワーク管理者宛てに不正アクセスがされた旨の電子メールを送付して、異常を通知する(ステップS270)。
一方、ステップS220でパケットまたは組み立てられたデータセグメントに不正アクセスが含まれていない場合(ステップS220でNoの場合)であって、不正アクセス解析の行われたパケットの前後に接続されるパケットがある場合は、不正アクセス解析の行われたパケットの例えば先頭の200バイトや最後尾の200バイトを保留ペイロード51,52として保持する(ステップS230)。
この後、ステップS210で付加した保留ペイロード51,52をペイロード保留部15から消去する(ステップS240)。セグメント保持部13で保持しておいた不正アクセス解析の直前に送られてきたパケットを送信制御部3から送信する(ステップS250)。そして、ステップS10に戻り、再び外部からネットワーク20内にアクセスされるデータについての監視を行う。なお、ステップS230で保持した保留ペイロード51,52が所定期間付加されずに残っている場合は削除してもよい。
この実施の形態2によれば、不正アクセスの解析を行った後のパケットであっても、このパケットがこれから不正アクセス解析を行うパケットと接続される場合は、不正アクセスの解析を行った後のパケットを所定サイズ分だけ保留ペイロード51,52として保持するようにしたので、不正アクセスが複数のパケットにまたがっている場合であっても、不正アクセスを検知することが可能となり、パケットの組み立てを必要とするTCP/IPの不正アクセス検知の精度を上げることが可能となる。
実施の形態3.
図9は、この発明にかかる侵入検知装置の実施の形態2の構成を示すブロック図である。この侵入検知装置1は、上述した実施の形態1の図1において、受信制御部2とプロトコル判定部4との間にフィルタ部60を設けることを特徴とする。このフィルタ部60は、不正アクセスのパケットを送信した端末の送信元アドレスを含むアドレス情報を登録し、受信制御部2によって受信されたパケットの送信元アドレスが登録されたアドレス情報と一致した場合にそのパケットを廃棄する機能を有する。なお、不正アクセスのパケットを送信した端末のアドレス情報は、過去に不正アクセスの解析を行った結果に基づいて対策部7から通知されるアドレス情報によって登録される。なお、以下の説明では、上述した実施の形態1と同一の構成要素には同一の符号を付してその説明を省略している。
このように、フィルタ部60を設けることによって、実施の形態1では不正アクセス検出時に対策部7からネットワーク20の管理者宛てに電子メールを送信しているが、同じ発信元端末による2回目以降の不正アクセスに対しては、図5のフローチャートのステップS20以降を実行する必要がなくなり、侵入検知装置1にかかる負荷を減らすことが可能となる。なお、この実施の形態3に係る侵入検知装置1に、実施の形態2の図6に示されるようにペイロード保留部15を設けるようにしてもよい。
この実施の形態3に係る侵入検知装置1に、実施の形態2の図6に示すペイロード保留部15を設けた場合は、不正アクセスが複数のパケットにまたがっている場合であっても、不正アクセスを検知することが可能となり、パケットの組み立てを必要とするTCP/IPの不正アクセス検知の精度を上げることが可能となる。
この実施の形態3によれば、過去に不正アクセスを行った端末のアドレス情報を登録するように構成したので、不正アクセスを送信した端末からのパケットをすぐに廃棄することができる。このため、リアセンブルデータ保留部5やセグメント保持部13といった侵入検知装置1内部のリソースを使用しないので、他の端末C23からのパケット処理に対して内部リソースを使用することが可能となるため、パケットを効率よく保持し、パケットの組み立てを必要とするTCP/IPの不正アクセス検知の精度を上げることが可能となる。
実施の形態4.
図10は、この発明にかかる侵入検知装置の実施の形態4の構成を示すブロック図である。この侵入検知装置1は、上述した実施の形態1の図1において、処理振分部110と複数の侵入検知処理部120が追加された構成を有している。以下の説明では、上述した実施の形態1と同一の構成要素には同一の符号を付してその説明を省略している。
侵入検知処理部120は、セグメント処理部10、不正アクセス解析部6および対策部7が一つの単位となって構成される侵入検知処理部12(nは自然数)が、複数存在することによって構成される。これらのそれぞれの侵入検知処理部120は、上述した実施の形態1におけるセグメント処理部10、不正アクセス解析部6および対策部7と同じ機能を有する。
また、処理振分部110は、侵入検知装置1が受信したパケットに対する不正アクセスの解析処理を行う侵入検知処理部120のうち可動状況の低い侵入検知処理部120に処理を振り分ける機能を有する。稼動状況の低い侵入検知処理部120の求める方法として、たとえば、複数存在する不正アクセス解析部6の処理パケット数などが低いものを、稼動状況の低い侵入検知処理部120と求めることができる。なお、処理振分部110は、プロトコルがTCPによる通信プロトコルである場合には、受信したパケットの宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号から識別されるセッションが同一のデータは同じ侵入検知処理部120にデータを振り分ける。
つぎに、この侵入検知装置1の侵入検知方法について、図11のフローチャートを参照しながら説明する。図11は、この実施の形態4に係る侵入検知装置の侵入検知方法を示すフローチャートである。ステップS10〜ステップS60までは、実施の形態1で示した図5と同様の処理が行われる。すなわち、端末C23からのパケットを受信制御部2で受信し、この受信したパケットまたは受信したパケットがIPフラグメントされている場合には組み立てられたパケットのヘッダを参照してプロトコル判定部4はプロトコル種別を判定する。
パケットのプロトコル種別がTCPである場合(ステップS60でTCPの場合)には、処理振分部110はパケットから宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号を読み込み、これらの組合せからセッションを識別し(ステップS70)、複数ある侵入検知処理部120のうち稼動状況の低い侵入検知処理部120にパケットを振り分ける(ステップS75)。
なお、処理振分部110は、パケットに格納されている宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号の組合せからセッションを識別し、このセッションと振り分け先の侵入検知処理部120との組合せを記憶しているので、同じセッションを有するパケットを受信した場合には、処理振分部110は、該パケットを前回振り分けた侵入検知処理部120と同じ侵入検知処理部120に振り分けることが可能となる。
この後、ステップS80〜ステップS100までは、実施の形態1で示した図5と同様の処理が行われる。すなわちセグメント保持部13において既に保持されているパケットとプロトコル判定部4から新たに送られてきたパケットの組み立て後の合計サイズを確認して合計サイズがペイロードサイズを超えているか否かの判断を行い(ステップS80)、合計サイズがペイロードサイズより小さい場合には、パケット内に改行コードが含まれているか否かの判断を行う(ステップS90)。
パケット内に改行コードが含まれていない場合(ステップS90でNoの場合)には、プロトコル判定部4から新たに送られてきたパケットをコピーしてセグメント保持部13に保持し(ステップS95)、コピー元のオリジナルのパケットを送信制御部3からヘッダに格納されている宛先アドレスの端末へと送信(ステップS100)する。
ステップS90でパケット内に改行コードが含まれている場合(ステップS90でYesの場合)や、ステップS80でセグメント保持部13において既に保持されているパケットとプロトコル判定部4から新たに送られてきたパケットの合計サイズがペイロードサイズを超えている場合(ステップS80でYesの場合)には、セグメント組立部11は、プロトコル判定部4から新たに送られてきたパケットとセグメント保持部13で保持していたパケットを取り出して、分割されたデータセグメントを組み立てる(ステップS110)。このとき、データセグメントが組み立てられると、セグメント組立部11に組み立てられたデータセグメントと同一のセッション情報によって管理され、セグメント保持部13で保持されていた新たに送られてきたパケット以外のパケットは消去される。
ステップS60で、プロトコル種別がICMPやUDPなどTCP以外のプロトコルである場合(ステップS60でTCP以外の場合)には、処理振分部110で複数ある侵入検知処理部120のうち稼動状況の低い侵入検知処理部120にパケットを振り分け(ステップS115)、振り分けられたパケットは、その中の不正アクセス解析部6に渡される。
不正アクセス解析部6は、パケットまたは組み立てられたデータセグメントに不正アクセスが含まれるか否かを、パターンマッチング等などの不正アクセス解析方法を用いて解析する(ステップS120)。
この後、ステップS130〜ステップS150までは、実施の形態1で示した図5と同様の処理が行われる。すなわちパケットまたは組み立てられたデータセグメントに不正アクセスが含まれていない場合には、セグメント保持部13で保持しておいた不正アクセス解析の直前に送られてきたパケットを送信制御部3から送信する(ステップS130)。
一方、パケットまたは組み立てられたデータセグメントに不正アクセスが含まれる場合であって、プロトコル種別がTCP以外の場合には受信したパケットを廃棄し、プロトコル種別がTCPである場合にはパケットを廃棄する(ステップS140)。そして、対策部7は、ネットワーク管理者宛てに不正アクセスがされた旨の電子メールを送付して、異常を通知する(ステップS150)。
この実施の形態4によれば、セグメント処理部10、不正アクセス解析部6および対策部7からなる侵入検知処理部120を複数有する構成とすることによって、複数のパケットを同時に処理できるため、不正アクセスを高速に検知することができるという効果を有する。
なお、この実施の形態4に係る侵入検知装置1に、実施の形態2の図6に示されるようにペイロード保留部15を設けるようにしてもよい。ペイロード保留部15を設けることによって、不正アクセスが複数のパケットにまたがっている場合であっても、不正アクセスを検知することが可能となり、パケットの組み立てを必要とするTCP/IPの不正アクセス検知の精度を上げることが可能となる。
なお、上述した説明では、不正アクセス検出時に対策部7から電子メールを送信する構成としているが、実施の形態3の図9に示されるようにフィルタ部60を設けるようにしてもよい。この場合には、不正アクセスが含まれるパケットを送信した端末の情報を対策部7からフィルタ部60に通知して登録しておくことによって、パケット受信時にフィルタ部60において受信したパケットのアドレスが登録されているアドレス情報と一致する場合に、該パケットを廃棄することが可能となり、リアセンブルデータ保留部5や侵入検知処理部120のセグメント保持部13のリソースを有効に使用することが可能となる。したがって、パケットの組み立てを必要とするTCP/IPの不正アクセス検知の精度をさらに上げることが可能となる。
さらに、この実施の形態4に係る侵入検知装置1に、実施の形態2の図6に示されるペイロード保留部15と実施の形態3の図9に示すフィルタ部60の両方を設けるようにしてもよい。
実施の形態5.
図12は、この発明にかかる侵入検知装置の実施の形態5の構成を示すブロック図である。この侵入検知装置1は、図1の侵入検知装置1の受信制御部2とプロトコル判定部4との間に、検知対象検索部130が設けられていることを特徴とする。以下の説明では、上述した実施の形態1の図1と同一の構成要素についてはその同一の符号を付して、その説明を省略している。
検知対象検索部130には、不正アクセス検知対象として、たとえば、宛先アドレスやアプリケーション種別などを含む検知対象情報が登録されている。そして、検知対象検索部130は、受信制御部2から渡されたパケットに対して、そのアドレスとアプリケーション種別が登録された宛先アドレスとアプリケーション種別と一致するか否かを確認し、一致した場合に該パケットを不正アクセス検知であるとして不正アクセス処理を実行する機能を有する。
たとえば、不正アクセス検知対象の検知対象情報として、宛先アドレス「端末A」、アプリケーション種別「WWW」が検知対象検索部130に登録されているものとする。受信制御部2において、受信したパケットのアドレスとアプリケーション種別が登録されている検知対象情報と一致した場合には上述した実施の形態1で説明した不正アクセス検知を実行するが、たとえば端末C23から端末B22宛てのパケットのように登録されている検知対象情報と一致しない場合には、不正アクセスの検知対象外として受信したパケットを送信制御部3から送信する。
この実施の形態5によれば、検知対象外のパケットをすぐに送信することによって、リアセンブルデータ保留部5やセグメント保持部13といった侵入検知装置1内部のリソースを使用しないので、検知対象のパケット処理に内部リソースが使用できるため、パケットを効率よく保持し、パケットの組み立てを必要とするTCP/IPの不正アクセス検知の精度を上げることが可能となる。
なお、この実施の形態5に係る侵入検知装置1に、実施の形態2の図6に示すペイロード保留部15、実施の形態3の図9に示すフィルタ部60、実施の形態4の図10に示す処理振分部110と複数の侵入検知処理部120、のうちのいずれかまたは全てを設けるようにしてもよい。
この実施の形態5に係る侵入検知装置1に、実施の形態2の図6に示されるようにペイロード保留部15を設けるようにしてもよい。ペイロード保留部15を設けることによって、不正アクセスが複数のパケットにまたがっている場合であっても、不正アクセスを検知することが可能となり、パケットの組み立てを必要とするTCP/IPの不正アクセス検知の精度を上げることが可能となる。
この実施の形態5に係る侵入検知装置1に、実施の形態3の図9に示すフィルタ部60を設けた場合は、パケットの組み立てを必要とするTCP/IPの不正アクセス検知の精度をさらに上げることが可能となる。
この実施の形態5に係る侵入検知装置1に、実施の形態4の図10に示す処理振分部110と複数の侵入検知処理部120を設けた場合は、複数のパケットを同時に処理できるため、不正アクセスを高速に検知することができる。
以上のように、本発明にかかる侵入検知装置およびその方法は、他の情報端末から送信される前後のパケットの組み立てが必要なTCP/IPパケットの不正アクセス解析に適している。

Claims (20)

  1. ネットワークに接続された機器への不正侵入を検知するために、前記ネットワークと外部ネットワークとの間に設けられる侵入検知装置において、
    前記外部ネットワークから受信したパケット中に含まれるデータセグメントのコピーを、前記パケットに含まれる所定のセッション情報と関連付けして一時的に保留するとともに、前記セッション情報と同一のデータセグメントを所定のサイズであるペイロードサイズ以上受信すると、同一のセッション情報を有するデータセグメントを組み立てるデータセグメント組立手段と、
    前記受信したパケット中に含まれるデータセグメントまたは組み立てたデータセグメントに不正アクセスが含まれているか否かを解析し、不正アクセスが含まれている場合には前記ペイロードサイズに達した時に受信したデータセグメントが含まれるパケットを廃棄し、正常なパケットのみを前記ネットワークに接続された機器に対して送信する不正アクセス解析手段と、
    を備えることを特徴とする侵入検知装置。
  2. 前記不正アクセス解析手段によって、前記パケット中に含まれるデータセグメントまたは組み立てたデータセグメントに不正アクセスが含まれていないと判断された場合に、前記正常なパケットの先頭部および/または最後尾の所定サイズのデータを保持するデータ保留部を、さらに備え、
    前記データセグメント組立手段は、前記データ保留部で保持しておいたデータを前記同一のセッション情報を有するデータセグメントに接続させて組み立てることを特徴とする請求項1に記載の侵入検知装置。
  3. 前記受信パケットのプロトコル種別を解析し、所定プロトコルのパケットを抽出して前記データセグメント組立手段に対して出力するプロトコル判定手段を、さらに備えることを特徴とする請求項1に記載の侵入検知装置。
  4. 前記受信パケットのプロトコル種別を解析し、所定プロトコルのパケットを抽出して前記データセグメント組立手段に対して出力するプロトコル判定手段を、さらに備えることを特徴とする請求項2に記載の侵入検知装置。
  5. 前記データセグメント組立手段は、前記パケットの宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号から識別されるセッション情報に基づいて、データセグメント組み立て処理を行うことを特徴とする請求項1に記載の侵入検知装置。
  6. 前記データセグメント組立手段は、前記パケットの宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号から識別されるセッション情報に基づいて、データセグメント組み立て処理を行うことを特徴とする請求項2に記載の侵入検知装置。
  7. 前記データセグメント組立手段は、前記パケットの宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号から識別されるセッション情報に基づいて、データセグメント組み立て処理を行うことを特徴とする請求項3に記載の侵入検知装置。
  8. 前記プロトコル判定手段によって、前記パケットがIPフラグメントされていると判定された場合に、該パケットを一時的に保留するリアセンブルデータ保留手段と、
    前記IPフラグメントされたパケットのうち最後のパケットを受信すると、前記リアセンブルデータ保留手段から前記パケットを取り出してIPフラグメントされたパケットを組み立てるパケット組立手段と、
    をさらに備え、
    前記不正アクセス解析手段は、前記受信したまたは組み立てたパケットに不正アクセスが含まれているか否かを解析し、不正アクセスが含まれている場合にはパケットを廃棄し、正常なパケットのみを前記ネットワークに接続された機器に対して送信する機能をさらに備えることを特徴とする請求項1に記載の侵入検知装置。
  9. 前記データセグメント組立手段および前記不正アクセス解析手段の組合せからなる侵入検知処理手段が複数設けられ、
    前記侵入検知処理手段の稼動状況に応じて、外部ネットワークから受信したTCPによる通信のパケットに含まれるデータセグメントをいずれかの侵入検知処理手段に振り分ける処理振分手段をさらに備えることを特徴とする請求項1に記載の侵入検知装置。
  10. 前記処理振分手段は、同一のセッション情報を有するデータセグメントを同一の侵入検知処理手段に振り分ける機能をさらに備えることを特徴とする請求項9に記載の侵入検知装置。
  11. 外部ネットワークから受信したパケットが、検知対象とする機器のアドレスとアプリケーション種別を含む検知対象情報と一致する場合に、前記受信したパケットを前記プロトコル判定手段に渡す検知対象検索手段をさらに備えることを特徴とする請求項1に記載の侵入検知装置。
  12. 前記不正アクセス解析手段によって不正アクセスと判断されたパケットの送信元アドレスを含むアドレス情報を登録し、該送信元アドレスと一致する送信元アドレスを有するパケットを受信した場合に、前記パケットを廃棄するフィルタ手段をさらに備えることを特徴とする請求項1に記載の侵入検知装置。
  13. 前記不正アクセス解析手段によって前記パケットに不正アクセスが含まれると判断された場合には、前記ネットワーク管理者に対して異常を通知する対策手段をさらに備えることを特徴とする請求項1に記載の侵入検知装置。
  14. ネットワークに接続された機器への不正侵入を検知する侵入検知方法であって、
    外部ネットワークから受信したパケット中に含まれるデータセグメントのコピーを、前記パケットに含まれる所定のセッション情報と関連付けして一時的に保留するデータセグメント保留工程と、
    前記セッション情報と同一のデータセグメントを所定のサイズであるペイロードサイズ以上受信すると、前記一時的に保留されたデータセグメントのコピーを用いてデータセグメントを組み立てるデータセグメント組立工程と、
    この組み立てられたデータセグメントに不正アクセスが含まれているか否かを解析し、不正アクセスが含まれている場合には前記ペイロードサイズに達した時に受信したデータセグメントが含まれるパケットを廃棄し、正常なパケットのみを前記ネットワークに接続された機器に対して送信する不正アクセス解析工程と、
    を含むことを特徴とする侵入検知方法。
  15. 前記不正アクセス解析工程において前記組み立てられたデータセグメントに不正アクセスが含まれていないと判断された場合に、前記正常なパケットの先頭部および/または最後尾の所定サイズのデータを保持するデータ保留工程を、さらに含み、
    前記データセグメント組立工程は、前記データ保留工程で保持しておいたデータを前記同一のセッション情報を有するデータセグメントに接続させて組み立てることを特徴とする請求項14に記載の侵入検知方法。
  16. 前記受信パケットのプロトコル種別を解析し、所定プロトコルのパケットの場合に、前記データセグメント保留工程または前記不正アクセス解析工程を実行するプロトコル判定工程を、さらに含むことを特徴とする請求項14に記載の侵入検知方法。
  17. 外部ネットワークから受信したパケットがIPフラグメントされている場合に、IPフラグメントされているすべてのパケットを受信するまで一時的に保留するリアセンブルデータ保留工程と、
    前記IPフラグメントされている最後のパケットを受信すると、前記一時的に保留されたパケットを用いてパケットを組み立てるパケット組立工程と、
    を含み、
    前記不正アクセス解析工程は、前記パケットがTCPによる通信プロトコルを利用するものでない場合に、前記組み立てられたパケットに不正アクセスが含まれているか否かを解析し、不正アクセスが含まれている場合には前記パケットを廃棄し、正常なパケットのみを前記ネットワークに接続された機器に対して送信する処理をさらに行うことを特徴とする請求項14に記載の侵入検知方法。
  18. 前記データセグメント組立工程および前記不正アクセス解析工程において、前記データセグメントの組み立ておよび該組み立てられたデータセグメントに不正アクセスが含まれているか否かの解析を同時に2以上実行可能な場合に、前記データセグメントを振り分ける処理振分工程をさらに含むことを特徴とする請求項14に記載の侵入検知方法。
  19. 前記外部ネットワークから受信したパケットが、検知対象とする機器のアドレスとアプリケーション種別を含む検知対象情報と一致する場合にのみ前記パケットについて不正アクセス解析を行うことを特徴とする請求項14に記載の侵入検知方法。
  20. 前記不正アクセス解析工程によって、不正アクセスと判断されたパケットの送信元アドレスを登録し、該送信元アドレスと一致する送信元アドレスを有するパケットを受信した場合に、該パケットを廃棄することを特徴とする請求項14に記載の侵入検知方法。
JP2005515551A 2003-11-21 2004-09-30 侵入検知装置およびその方法 Abandoned JPWO2005050935A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2003391900 2003-11-21
JP2003391900 2003-11-21
PCT/JP2004/014370 WO2005050935A1 (ja) 2003-11-21 2004-09-30 侵入検知装置およびその方法

Publications (1)

Publication Number Publication Date
JPWO2005050935A1 true JPWO2005050935A1 (ja) 2007-12-06

Family

ID=34616428

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005515551A Abandoned JPWO2005050935A1 (ja) 2003-11-21 2004-09-30 侵入検知装置およびその方法

Country Status (2)

Country Link
JP (1) JPWO2005050935A1 (ja)
WO (1) WO2005050935A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7486673B2 (en) * 2005-08-29 2009-02-03 Connect Technologies Corporation Method and system for reassembling packets prior to searching
JP5473406B2 (ja) * 2008-07-18 2014-04-16 キヤノン株式会社 ネットワーク処理装置及びその処理方法
EP2202937B1 (en) * 2008-12-24 2011-11-30 Mitsubishi Electric R&D Centre Europe B.V. Partial reassembly for pattern matching
JP6011167B2 (ja) 2012-09-03 2016-10-19 ブラザー工業株式会社 通信中継プログラム、及び、通信中継装置
JP6167502B2 (ja) * 2012-10-31 2017-07-26 ブラザー工業株式会社 通信中継プログラム、通信中継装置、及び、画像処理装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10242976A (ja) * 1997-02-25 1998-09-11 Fujitsu Ltd Atm交換機の通信監視制御方式
JP2945938B2 (ja) * 1997-03-11 1999-09-06 科学技術庁航空宇宙技術研究所長 ネットワーク不正解析方法及びこれを利用したネットワーク不正解析装置並びにネットワーク不正解析プログラムを記録したコンピュータ読み取り可能な記録媒体
JP2000330897A (ja) * 1999-05-17 2000-11-30 Nec Corp ファイアウォール負荷分散システム、ファイアウォール負荷分散方法および記録媒体
US6363489B1 (en) * 1999-11-29 2002-03-26 Forescout Technologies Inc. Method for automatic intrusion detection and deflection in a network
JP2002124996A (ja) * 2000-10-13 2002-04-26 Yoshimi Baba 高速パケット取得エンジン・セキュリティ
JP4598308B2 (ja) * 2001-05-31 2010-12-15 トレンドマイクロ株式会社 データ通信システム及びデータ通信方法
JP3581345B2 (ja) * 2001-12-13 2004-10-27 株式会社東芝 パケット転送装置およびパケット転送方法
JP2003223375A (ja) * 2002-01-30 2003-08-08 Toshiba Corp 不正アクセス検知装置および不正アクセス検知方法

Also Published As

Publication number Publication date
WO2005050935A1 (ja) 2005-06-02

Similar Documents

Publication Publication Date Title
JP3954385B2 (ja) 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法
EP1393496B1 (en) System and methods for providing differentiated services within a network communication system
US9009830B2 (en) Inline intrusion detection
US8149705B2 (en) Packet communications unit
US7107609B2 (en) Stateful packet forwarding in a firewall cluster
JP4743894B2 (ja) データ・パケットを伝送しながらセキュリティを改良するための方法及び装置
US7685287B2 (en) Method and system for layering an infinite request/reply data stream on finite, unidirectional, time-limited transports
US9356844B2 (en) Efficient application recognition in network traffic
JP4290198B2 (ja) 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法
US20070022468A1 (en) Packet transmission equipment and packet transmission system
US9015330B2 (en) Intercepting file transfers in multi-node topologies
US7130266B2 (en) Handling of data packets
CN1839591B (zh) 用于丢弃缓冲器中对应于同一分组的所有段的方法
US7990861B1 (en) Session-based sequence checking
JP3581345B2 (ja) パケット転送装置およびパケット転送方法
US10721250B2 (en) Automatic tunnels routing loop attack defense
JPWO2005050935A1 (ja) 侵入検知装置およびその方法
JP4027213B2 (ja) 侵入検知装置およびその方法
CN116015889A (zh) 数据流转发方法、装置、网络设备及存储介质
CN105791239A (zh) 一种tcp中间人处理方法
US8276204B2 (en) Relay device and relay method
EP1564960B1 (en) System and methods for providing differentiated services within a network communication system
JP2007074087A (ja) DDoS攻撃に対する不正アクセス検知システム及びプログラム
JP4384951B2 (ja) アクセスポイント管理装置およびアクセスポイントのソフトウェアバージョンアップ方法
US20060034269A1 (en) Action list for a split media access and control layer communications system

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090224

A762 Written abandonment of application

Free format text: JAPANESE INTERMEDIATE CODE: A762

Effective date: 20090330