WO2005050935A1 - 侵入検知装置およびその方法 - Google Patents

Abstract

　他の情報端末から送信される前後のパケットの組み立てが必要なＴＣＰ／ＩＰパケットの不正アクセス解析において、パケットを効率よく保持しながら、ＴＣＰ／ＩＰの不正アクセス検知の精度を上げることが可能な侵入検知装置を得ること。 　外部ネットワークからのパケットがＴＣＰによる通信である場合に、パケット中に含まれるデータセグメントのコピーをセッション情報と関連付けして一時的に保留し、セッション情報と同一のデータセグメントをペイロードサイズ以上受信すると、同一のセッション情報を有するデータセグメントを組み立てるデータセグメント組立部(１１)と、受信したデータセグメントまたは組み立てたデータセグメントを解析し、不正アクセスが含まれている場合には最後に受信したデータセグメントが含まれるパケットを廃棄する不正アクセス解析部(６)とを備える。

Description

明 細 書

侵入検知装置およびその方法

技術分野

[0001] この発明は、インターネットなどの外部ネットワークと接続され、相互に通信を行うネ ットワークにおけるデータの安全性を高めることが可能な侵入検知装置およびその方 法に関するものである。

背景技術

[0002] 近年、複数台のコンピュータ力もなる LANなどのネットワークが相互に接続されたィ ンターネットのような大規模なネットワークが発達し、このネットワークを用いて多数の 利用者が様々な情報を得ることが可能になってきている。しかし、このような大規模ネ ットワークに接続されるネットワークにおいては、悪意の行為者によって不正アクセス がなされる危険性を有している。そのため、この不正アクセスに対する装置として従来 までに種々の装置が提案されて 、る。

[0003] 特許文献 1に記載のパケット転送装置は、異なるネットワークセグメントに接続される パケット受信部およびパケット送出部と、受信したパケットに識別子を付加するバケツ ト識別子付加機構と、識別子を付加されたパケットを一時的に保留するパケット保留 キューと、複数のパケットが必要なパケットの解析時に参照される送出済みのパケット を保持する送出済みパケット保持機構と、受信したパケットが不正アクセスに関わる パケットか否かを判定するパケット解析機構とを有している。

[0004] そして、このようなパケット転送装置において、パケット受信部で受信され、パケット 識別子付加機構によって識別子が付加された受信パケットは、パケット保留キューに 格納され、パケット解析機構に渡されると同時に送出済みパケット保持機構に保持さ れている。パケット解析機構は、受信パケットと送出済みパケット保持機構に保持され ている該受信パケット以前に送出したパケットを参照して受信パケットが不正アクセス に関わるパケットであるかを判定し、不正アクセスに関わるパケットであれば廃棄し、 そうでない場合は転送している。送出済みパケット保持機構に保持されるパケットは、 格納してから一定期間経過した後に廃棄する力 あるいは予め指定した特定のデー タ量を超えた分を到着順に廃棄して ヽる。

[0005] 特許文献 2に記載の侵入検知装置は、受信したパケットが不正である力否かを判 断するために、一定時間に一定以上の個数のパケットを検知したか否かを分析して いる。

[0006] 特許文献 1：特開 2002— 63084号公報

特許文献 2：特開 2002— 73433号公報

発明の開示

発明が解決しょうとする課題

[0007] インターネット上で一般的に使われている TCPZIPプロトコルでは、たとえばコネク シヨン確立時や切断時にやりとりされるパケットやデータが相手に届かな力つたことを 伝えるメッセージのようにユーザデータ以外の制御用パケットが送受信される。その ため、ユーザデータ以外の制御用パケットの量も多量にのぼる。

[0008] しかし、上記前者の従来技術においては、受信したパケットは送出済みパケット保 持機構において一定期間が過ぎるまでまたは特定のデータ量を超えるまで保持され るため、制御用パケットが増えると保持できるユーザデータのパケット数が少なくなり、 送出済みのパケットを参照した不正アクセス検知の精度が下がってしまうという問題 点があった。また、余分なデータを保持していることにより、送出済みのパケットを参 照する場合に、関連するパケットを検索する時間が増大し、侵入検知のオーバヘッド が大きくなつてしまうという問題点もあった。

[0009] また、上記後者の従来技術においては、一定時間に一定以上の個数のパケットを 検知した場合に受信したパケットが不正であると判断することはできる力 これによつ て不正アクセス検知の精度を上げることはできないといった問題があった。

[0010] この発明は、上記に鑑みてなされたもので、他の情報端末から送信される前後のパ ケットの組み立てが必要な TCP/IPパケットの不正アクセス解析にお!、て、パケット を効率よく保持しながら、パケットの組み立てを必要とする TCP/IPの不正アクセス 検知の精度を上げることが可能な侵入検知装置およびその方法を得ることを目的と する。

課題を解決するための手段 [0011] 上述した課題を解決し、 目的を達成するために、本発明は、ネットワークに接続され た機器への不正侵入を検知するために、前記ネットワークと外部ネットワークとの間に 設けられる侵入検知装置において、前記外部ネットワーク力 受信したパケット中に 含まれるデータセグメントのコピーを、前記パケットに含まれる所定のセッション情報と 関連付けして一時的に保留するとともに、前記セッション情報と同一のデータセグメン トを所定のサイズであるペイロードサイズ以上受信すると、同一のセッション情報を有 するデータセグメントを組み立てるデータセグメント組立手段と、前記受信したバケツ ト中に含まれるデータセグメントまたは組み立てたデータセグメントに不正アクセスが 含まれて 、るか否かを解析し、不正アクセスが含まれて 、る場合には前記ペイロード サイズに達した時に受信したデータセグメントが含まれるパケットを廃棄し、正常なパ ケットのみを前記ネットワークに接続された機器に対して送信する不正アクセス解析 手段と、を備えることを特徴とする。

[0012] この発明によれば、外部ネットワーク力 受信したパケット中に含まれるデータセグメ ントのコピーを保持し、データセグメントのコピーの組み立て後の合計サイズがペイ口 ードサイズより大きくなつた時点で保持してぉ 、たパケットを取り出して糸且み立て、受 信したパケット中に含まれるデータセグメントまたは組み立てたデータセグメントに不 正アクセスが含まれて 、るか否かを解析した後保持して!/、たパケットを廃棄するように したので、パケットを効率よく保持することができる。

発明の効果

[0013] この発明によれば、パケットを効率よく保持することができるので、パケット保持溢れ による受信データ廃棄を防ぐことができ、パケットの組み立てを必要とする不正ァクセ ス検知の精度を上げることが可能になるという効果を奏する。

図面の簡単な説明

[0014] [図 1]図 1は、この発明による侵入検知装置の実施の形態 1の構成を示すブロック図 である。

[図 2]図 2は、この発明による侵入検知装置が組み込まれたシステムの構成を示すブ ロック図である。

[図 3]図 3は、不正アクセス解析方法のパターンマッチングに用いるコードの一例を示 す図である。

[図 4]図 4は、パケットの合計サイズがペイロードサイズを超えているか否かの判断方 法を説明するための図である。

[図 5]図 5は、実施の形態 1にかかる侵入検知方法の処理手順を示すフローチャート である。

[図 6]図 6は、この発明による侵入検知装置の実施の形態 2の構成を示すブロック図 である。

[図 7]図 7は、パケットに保留ペイロードを付加する方法を説明するための図である。

[図 8]図 8は、実施の形態 2にかかる侵入検知方法の処理手順を示すフローチャート である。

[図 9]図 9は、この発明による侵入検知装置の実施の形態 3の構成を示- である。

[図 10]図 10は、この発明による侵入検知装置の実施の形態 4の構成を示- 図である。

[図 11]図 11は、実施の形態 4にカゝかる侵入検知方法の処理手順を示すフローチヤ一 トである。

[図 12]図 12は、この発明による侵入検知装置の実施の形態 5の構成を示- 図である。

符号の説明

1 侵入検知装置

2 受信制御部

3 送信制御部

4 プロトコル判定部

5 リアセンブルデータ保留部

6, 6 不正アクセス解析部

7, 7 対策部

10, 10 セグメント処理部

11 セグメント組立部 12 ペイロードサイズ判断部

13, 13_n セグメント保持部

14 改行コード判断部

15 ペイロード保留部

20 ネットワーク

21— 23 端末

30 インターネット

51, 52 保留ペイロード

60 フイノレタ咅

110 処理振分部

120, 120 侵入検知処理部

130 検知対象検索部

発明を実施するための最良の形態

[0016] 以下に添付図面を参照して、この発明にかかる侵入検知装置およびその方法の好 適な実施の形態を詳細に説明する。

[0017] 実施の形態 1.

図 1は、この発明にかかる侵入検知装置の実施の形態 1の構成を示すブロック図で あり、図 2は、この侵入検知装置が使用されるネットワークシステムの構成を示すプロ ック図である。侵入検知装置 1は、他のパーソナルコンピュータなどの端末 C23が接 続されて!、るインターネット 30と、このインターネット 30に接続される LAN (Local Area Network)などのネットワーク 20との間に、図 2に示されるように接続される。ここ で、ネットワーク 20には端末 A21と端末 B22が接続されているものとする。ここで、ネ ットワーク 20内の端末 A21や端末 B22は、情報の送受信が可能な機器であり、例え ば、パーソナルコンピュータなどの情報端末を挙げることができる。なお、図 2では、 ネットワーク 20に 2台の端末 21, 22が接続されている場合を例示するものであり、 2 台に限られるものではない。

[0018] 侵入検知装置 1は、インターネット 30などのネットワーク 20から見て外部に接続され た端末 C23など力もパケットを受信する受信制御部 2、ネットワーク 20内の端末 A21 や端末 B22などにパケットを送信する送信制御部 3、受信したパケットの宛先ゃプロト コルを判定するプロトコル判定部 4、 IPフラグメント化されて ヽるパケットを保持するリ アセンブルデータ保留部 5、受信したパケットのプロトコルが TCP (Transmission Control Protocol)の場合にデータセグメントに所定の処理を施すセグメント処理部 1 0、受信したパケットに不正アクセスが含まれるか否かを判別する不正アクセス解析部 6、および不正アクセス解析部 6が異常を検出した際に所定の対処を実施する対策 部 7を有する。ここで、データセグメントとは、 TCPを使用した通信において相手に送 信するデータのことをいい、特に、 TCPヘッダを除いたデータの部分を意味するもの である。

[0019] プロトコル判定部 4は、受信制御部 2、リアセンブルデータ保留部 5、セグメント処理 部 10と接続され、セグメント処理部 10は、プロトコル判定部 4、不正アクセス解析部 6 、送信制御部 3と接続されている。また、対策部 7は不正アクセス解析部 6および送信 制御部 3と接続されている。

[0020] 受信制御部 2は、インターネット 30に接続された外部の端末 C23からパケットを受 信し、送信制御部 3は、受信したパケットをネットワーク 20内の所定の端末 21, 22に 送信する。そのため、図 2では、侵入検知装置 1のインターネット 30側は受信制御部 2と接続され、侵入検知装置 1のネットワーク 20側は送信制御部 3と接続される。

[0021] プロトコル判定部 4は、 IPフラグメントされた複数のパケットを組み立てる機能のほか に、受信したまたは組み立てたパケットのヘッダを解析して宛先や送信元アドレス、 プロトコルを判定する機能を有する。プロトコルの判定は、具体的には、たとえば IPv

4のパケットの場合、ヘッダには後続のデータ部でどのような上位プロトコルが用いら れて 、るかを示すプロトコルタイプが格納される 8ビットの領域である「プロトコルタイ プ」と、パケットの宛先 IPアドレスが格納される 32ビットの領域である「宛先アドレス」、 パケットの送信元 IPアドレスが格納される 32ビットの領域である「送信元アドレス」があ るので、これらの領域を解析することによって、上記パケットの宛先やプロトコルを判 定することが可能となる。

[0022] また、プロトコル判定部 4のパケット組み立て機能は、上述したプロトコルの判定と同 様にそのヘッダを解析することによって受信したパケットが IPフラグメントされているか 否かを判定し、 IPフラグメントされている場合に、パケットの組み立てを行うものである 。具体的には、たとえば IPv4のパケットの場合、ヘッダには、パケットを IPフラグメント したときの識別子であり、また IPフラグメントされたパケットを元に戻すときに利用され る 16ビットの「ID」を解析することによってパケットが IPフラグメントされているか否かを 判定することができる。そして、パケットが IPフラグメントされている場合にはパケットの ヘッダの IPフラグメントに関して、 IPフラグメントの禁止やフラグメントの途中か最後を 示す 3ビットの「フラグ」やフラグメントが元のパケットのどの位置にあつたかを示す「フ ラグメントオフセット」を参照しながら、これらのパケットを先頭力も組み立てる。なお、 特許請求の範囲におけるプロトコル判定手段とパケット組立手段は、このプロトコル 判定部 4に相当する。

[0023] リアセンブルデータ保留部 5は、受信したパケットが IPフラグメントされていた場合に 、すべてのパケットが到着するまでの間パケットを保持する機能を有する。すべての パケットが到着すると、これらのパケットは、プロトコル判定部 4に渡される。

[0024] セグメント処理部 10は、プロトコル判定部 4から送られるパケットを保持するセグメン ト保持部 13、セグメント保持部 13にお 、て保持されて 、るパケットの合計サイズを確 認して合計サイズがペイロードサイズを超えているカゝ否かの判断を行うペイロードサイ ズ判断部 12、受信したパケットのプロトコルが TCPの場合にデータセグメントを組み 立てるセグメント組立部 11、データセグメント内に改行コードが含まれて 、るか否かを 判断する改行コード判断部 14を有する。

[0025] セグメント組立部 11は、他の端末 C23などから TCPを利用して受信したパケットを 組み立てる機能を有する。 TCPでは、通信相手に送信するデータのことをセグメント（ この明細書では、データセグメントという）というが、たとえば、 3文字のコマンド" Is改行 "というデータセグメントを送信する場合には、 "1"、 "s"、 "改行"のように分割して送信 する場合も考えられる。これらのデータを処理する受信端末は分割されたデータセグ メントを組み立てて順番を正しく整えることによって、コマンドを正しく認識することが 可能となる力 侵入検知装置 1も不正アクセスの有無を解析するためには、分割され たデータセグメントを受信端末と同様に組み立てて、コマンドを正しく認識する必要が ある。そのためこのセグメント組立部 11による TCPを利用して受信した場合のバケツ トを組み立てる機能が必要となる。

[0026] このセグメント組立部 11では、パケットの宛先アドレス、送信元アドレス、宛先ポート 番号および送信元ポート番号力 セッションを識別し、このセッションを構成するデー タセグメントが分割されて送信される場合には、同一のセッション情報を有するバケツ ト（データセグメント）を組み立てる。

[0027] セグメント保持部 13は、プロトコル判定部 4から送られるパケットを組み立てた場合 の合計サイズ (データセグメントの合計サイズ）がペイロードサイズを超えるまでの間 パケットを保持する機能を有する。ここで、ペイロードサイズとは不正アクセスの検索 を実行するカゝ否かを判断する際に基準となるサイズであり、ペイロードサイズ判断部 1 2において予め設定しておくものである。

[0028] セグメント保持部 13は、保持しているパケットとプロトコル判定部 4から新たに送られ てきたパケットを組み立てた場合の合計サイズが、所定のペイロードサイズより小さ!/ヽ と判断された場合であって改行コード判断部 14においてパケット内に改行コードがな V、と判断された場合に、プロトコル判定部 4から新たに送られてきたパケットのコピー を新たに保持する。

[0029] このとき、パケットの組み立て後の合計サイズがペイロードサイズを越えていなけれ ば、セグメント保持部 13に新たに送られてきたパケットのオリジナルを指定された宛 先アドレスの端末に向けて送信する。

[0030] また、プロトコル判定部 4から送られるパケットを組み立てた場合の合計サイズがぺ ィロードサイズを超えるまでの間であっても、改行コード判断部 14においてパケット内 に改行コードがあると判断された場合は、これまでセグメント保持部 13において保持 して!/、るパケットと改行コードを含むパケットのコピーがセグメント組立部 11で組み立 てられる。そして、セグメント保持部 13はプロトコル判定部 4から新たに送られてきた 改行コードを含むパケットのオリジナルのみを残し (保持し）、それまでに保持してい たパケットを消去する。

[0031] 一方、パケットの組み立て後の合計サイズがペイロードサイズを越えて 、れば、セグ メント保持部 13に新たに送られてきたパケットのオリジナルを指定された宛先アドレス の端末に向けて送信せず、プロトコル判定部 4から新たに送られてきたパケットのオリ ジナルを新たに保持する。そして、保持しているパケットとプロトコル判定部 4から新た に送られてきたパケットのコピーをセグメント組立部 11に送る。この後、セグメント保持 部 13は、プロトコル判定部 4から新たに送られてきたパケットのオリジナルのみを残し (保持し)、それまでに保持していたパケットを消去する。

[0032] なお、保持されるデータセグメントは、パケットの宛先アドレス、送信元アドレス、宛 先ポート番号および送信元ポート番号力 なるセッション情報と関連付けされることに よって管理されるものとする。

[0033] ペイロードサイズ判断部 12は、セグメント保持部 13において保持されているバケツ トとプロトコル判定部 4から新たに送られてきたパケットの合計サイズを確認して合計 サイズがペイロードサイズを超えているカゝ否かの判断を行う機能を有する。

[0034] ペイロードサイズを例えば 460バイトと設定した場合、セグメント保持部 13において 保持されているパケットとプロトコル判定部 4から新たに送られてきたパケットの合計 サイズ力 60バイト以上であれば、これらのパケットを組み立てた後、不正アクセス解 析部 6において不正アクセスの検索を実行する。一方、セグメント保持部 13において 保持されているパケットとプロトコル判定部 4から新たに送られてきたパケットの合計 サイズが 460バイトより小さい場合は、改行コード判断部 14における判断結果に基づ V、て不正アクセス解析部 6で不正アクセスの検索を実行する力否かが決定される。な お、パケットの合計サイズはデータセグメントが組み立てられた後の合計サイズを計 算することによって求めるものとする。

[0035] 改行コード判断部 14は、パケット内に改行コードが含まれているか否かを判断する 機能を有する。改行コードは、端末 C23でのデータの入力が完了した後、このデータ 内のコマンドを実行させる場合に端末 C23から送信されてくる。コマンドに不正ァクセ スが含まれて!/、る場合には、端末 A21や端末 B22等のデータの送信先端末 (宛先 端末)上で不正アクセスが実行される可能性がある。このため、セグメント保持部 13に お!、て保持されて!、るパケットとプロトコル判定部 4から新たに送られてきたパケットの 合計サイズがペイロードサイズを超えて ヽな 、場合であってパケット内に改行コード が含まれている場合は、侵入検知装置 1の不正アクセス解析部 6においてパケット内 に不正アクセスが含まれて 、る力否かの解析を行う。 [0036] 不正アクセス解析部 6は、受信したパケットに不正アクセスが含まれるか否かを判別 し、不正アクセスであると判別された場合にはパケットを廃棄する機能を有する。受信 したパケットに不正アクセスが含まれているか否かの判断は、要求元のアドレスゃパ ケット内のデータやコマンド、アクセスの頻度などによって判断する。また、受信した パケットに不正アクセスが含まれている力否かの判断は、例えば、パケット内に所定 の文字列やコードが含まれるか否かを検知するパターンマッチングを行うことによって 判断してもよい。なお、パケットの廃棄は、プロトコル判定部 4から新たに送られ、セグ メント保持部 13で保持しておいたパケットのオリジナルを消去することによって行う。

[0037] 対策部 7は、不正アクセス解析部 6が異常を検出した際に対処を実施する機能を有 する。対処として、たとえば、受信したパケットに不正アクセスが検出された場合に、 ネットワーク管理者に対して不正アクセスがされた旨の電子メールを送信したりするこ とができる。なお、ネットワーク管理者に対して不正アクセスがされた旨の通知は、携 帯電話やポケットベルによって行ってもょ 、。

[0038] 図 3は、パターンマッチングの一例を示している。この図 3では、宛先ポート番号 =8 0 (HTTP)の場合に、 TCPデータとして" cmd. exe？ Z"という文字列がパケット中 に含まれている場合には、不正アクセスであると判断するものである。このような不正 アクセスで用いられるパターンを登録することによって、不正アクセス解析部 6による 不正アクセスの判別が可能となる。なお、上述した不正アクセス力否かの判断は一例 であり、従来知られている不正アクセスの検出方法を不正アクセス解析部 6に実行さ せることができる。

[0039] 図 4は、セグメント保持部において保持されているパケットとプロトコル判定部 4から 新たに送られてきたパケットの合計サイズがペイロードサイズを超えている力否かの 判断方法の一例を説明するための図である。図 4においては、ペイロードサイズ力 6 0バイトであり、パケットの組み立て後（データセグメント）のサイズが 100バイトのパケ ット PI, P2, P3, P4, P5を組み立てている状態を示している。ここでは、パケットを正 しく組み立てた場合のパケットの順番は先頭力 順にパケット PI, P2, P3, P4, P5 であるものとし、パケット P1— P5は、いずれも改行コードを含んでいないものとする。 ここでは、説明の便宜上パケット PI, P2, P3, P4, P5の順で、セグメント保持部 13 に送られてくるものとする。

[0040] 受信制御部 2によって受信されたパケット P1は、プロトコル判定部 4を介してセグメ ント処理部 10に送られる。セグメント保持部 13によって保持されているパケットはなく 、セグメント保持部 13において保持されているパケットとプロトコル判定部 4から新た に送られてきたパケット P1の組み立て後の合計サイズはペイロードサイズの 460バイ トより小さい。つまり、プロトコル判定部 4から送られてきたパケット P1を組み立てたとし ても組み立て後のパケットの合計サイズは 100バイトであり、ペイロードサイズの 460 ノイトより小さい。

[0041] このため、ペイロードサイズ判断部 12は、セグメント保持部 13において保持されて いるパケットとプロトコル判定部 4から新たに送られてきたパケットの合計サイズはペイ ロードサイズより小さいと判断する。この後、改行コード判断部 14によってパケット P1 に改行コードが含まれるか否かの判断が行われる。ここでは、パケット P1に改行コー ドがないためパケット P1のコピーがセグメント保持部 13によって保持され、パケット P1 のオリジナルは送信制御部 3からヘッダに格納されている宛先アドレスの端末へと送 信される。

[0042] つぎに、受信制御部 2によって受信されたパケット P2は、プロトコル判定部 4を介し てセグメント処理部 10に送られる。セグメント保持部 13によって保持されて ヽるバケツ ト P1は 100バイトであり、プロトコル判定部 4力も新たに送られてきたパケット P2は 10 0バイトである。このため、セグメント保持部 13において保持されているパケット P1と プロトコル判定部 4から新たに送られてきたパケット P2の組み立て後の合計サイズは 200ノイトであり、ペイロードサイズの 460バイトより小さい。

[0043] このため、ペイロードサイズ判断部 12は、セグメント保持部 13において保持されて いるパケットとプロトコル判定部 4から新たに送られてきたパケットの合計サイズはペイ ロードサイズより小さいと判断する。この後、改行コード判断部 14によってパケット P1 に改行コードが含まれるか否かの判断が行われる。ここでは、パケット P2に改行コー ドがないため、パケット P2のコピーがセグメント保持部 13によって新たに保持される。 以降、パケット P3, P4も同様の処理が行われ、図 4に示すようにパケット P1— P4が 順にセグメント保持部 13に保持される。 [0044] つぎに、受信制御部 2によって受信されたパケット P5は、プロトコル判定部 4を介し てセグメント処理部 10に送られる。セグメント保持部 13によって保持されて ヽるバケツ ト P1— P4の合計サイズは 400バイトであり、プロトコル判定部 4力 新たに送られてき たパケット P5は 100バイトである。このため、セグメント保持部 13において保持されて いるパケット P1— P4とプロトコル判定部 4力も新たに送られてきたパケット P5の組み 立て後の合計サイズは 500バイトであり、ペイロードサイズの 460バイトより大きい。

[0045] このため、ペイロードサイズ判断部 12は、セグメント保持部 13において保持されて いるパケットとプロトコル判定部 4から新たに送られてきたパケットの合計サイズはペイ ロードサイズより大きいと判断する。そして、セグメント保持部 13においているパケット P1— P4とパケット P5のコピーがセグメント組立部 11に送られる。この時、セグメント保 持部 13ではパケット P1— P4を消去し、パケット P5のオリジナルのみを保持しておく。 この後、不正アクセス解析部 6において、不正アクセスが検知されなければ、パケット P5のオリジナルをセグメント組立部か 11から送信制御部 3に送り、不正アクセスが検 知された場合はパケット P5を廃棄する。

[0046] つぎに、このような侵入検知装置 1の侵入検知方法について、図 5のフローチャート を参照しながら説明する。なお、以下の説明では、侵入検知装置 1は、図 2に示され るようにシステムに組み込まれているものとし、ネットワーク 20の外の端末 C23がネッ トワーク 20内の端末 A21または端末 B22に対してアクセスする場合を例に挙げる。

[0047] ネットワーク 20の外部の端末、たとえば端末 C23が、ネットワーク 20内の端末 21, 2 2に対してアクセスすると、このアクセス時に端末 C23からネットワーク 20内の端末 21 , 22にパケットが送信される。侵入検知装置 1は、このネットワーク 20内の端末 21, 2 2へのパケット (データ）を受信制御部 2から受信する (ステップ S 10)。

[0048] 受信制御部 2は受信したパケットをプロトコル判定部 4に渡し、プロトコル判定部 4は パケットのヘッダを読み取り、 IPフラグメントされている力否かを判定する（ステップ S2 0)。パケットが IPフラグメントされて 、ると判定された場合 (ステップ S 20で Yesの場合 )には、プロトコル判定部 4は、リアセンブルデータ保留部 5を参照して、 IPフラグメント されたパケットがすべて到着しリアセンブルが完了した力、すなわち受信したパケット が IPフラグメントされた最後のパケットである力否かを判定する (ステップ S30)。 [0049] IPフラグメントされたパケットがすべて到着して!/、な!/、場合 (ステップ S30で Noの場 合）には、受信したパケットのコピーをリアセンブルデータ保留部 5に保持し (ステップ S40)、受信したパケットのオリジナルをセグメント処理部 10におくる。そして、後述す るように不正アクセス解析部 6で不正アクセスがな 、と判断された場合は、このオリジ ナルのパケットを送信制御部 3から送信する（ステップ S45)。この後、再びステップ S 10の処理から実行される。なお、プロトコル判定部 4において、受信したパケットのへ ッダを検出し、最後のデータセグメントを含んだパケットであると判断されたパケットは 、ステップ S45では送信制御部 3から送信しな 、こととする。

[0050] 一方、ステップ S30で、受信したパケットが IPフラグメントされた最後のパケットであ る場合 (ステップ S 30で Yesの場合）には、リアセンブルデータ保留部 5から保持され た IPフラグメントされたすベてのパケットを取り出し、先頭力 順にパケットを組み立て る（ステップ S50)。このとき、パケットが組み立てられると、リアセンブルデータ保留部 5に保持されていたデータは消去される。

[0051] その後、またはステップ S 20でプロトコル判定部 4によって受信したパケットが IPフラ グメントされていないと判定された場合 (ステップ S20で Noの場合）には、プロトコル 判定部 4は、受信したパケットまたは受信して組み立てられたパケットのプロトコル種 別が、 TCPであるか否かを判定する（ステップ S60)。

[0052] パケットのプロトコル種別が TCPである場合 (ステップ S60で TCPの場合）には、セ グメント保持部 13は、パケットから宛先アドレス、送信元アドレス、宛先ポート番号およ び送信元ポート番号を読み込み、これらの組合せ力もセッションを識別する (ステップ S70)。

[0053] 次に、ペイロードサイズ判断部 12は、セグメント保持部 13において既に保持されて いるパケットとプロトコル判定部 4から新たに送られてきたパケットの組み立て後の合 計サイズを確認して合計サイズがペイロードサイズを超えて 、る力否かの判断を行う（ ステップ S80)。

[0054] セグメント保持部 13において既に保持されているパケットとプロトコル判定部 4から 新たに送られてきたパケットの組み立て後の合計サイズがペイロードサイズより小さい 場合 (ステップ S80で Noの場合）には、パケット内に改行コードが含まれている力否 かの判断を改行コード判断部 14によって行う（ステップ S90)。

[0055] パケット内に改行コードが含まれていない場合 (ステップ S90で Noの場合）には、プ ロトコル判定部 4から新たに送られてきたパケットをコピーしてセグメント保持部 13に 保持し (ステップ S95)、コピー元のオリジナルのパケットを送信制御部 3からヘッダに 格納されている宛先アドレスの端末へと送信し (ステップ S 100)、再びステップ S 10か らの処理を実行する。

[0056] 一方、ステップ S90でパケット内に改行コードが含まれている場合 (ステップ S90で Yesの場合）や、ステップ S80でセグメント保持部 13にお!/、て既に保持されて!、るパ ケットとプロトコル判定部 4から新たに送られてきたパケットの合計サイズがペイロード サイズを超えている場合 (ステップ S80で Yesの場合）には、セグメント組立部 11は、 プロトコル判定部 4から新たに送られてきたパケットとセグメント保持部 13で保持して いたパケットを取り出して、分割されたデータセグメントを組み立てる (ステップ S110) 。このとき、データセグメントが組み立てられると、セグメント組立部 11に組み立てられ たデータセグメントと同一のセッション情報によって管理される。そして、新たに送られ てきたパケットのみをセグメント保持部 13で保持し、セグメント保持部 13で保持されて いたその他のパケットは消去される。

[0057] その後、または、ステップ S60でパケットのプロトコル種別が ICMP (Internet

Control Message Protocol)や UDP (User Datagram Protocol)などの TCPでない と判定された場合 (ステップ S60で TCP以外の場合）には、不正アクセス解析部 6に、 組み立てられたデータセグメントまたは TCP以外のパケットが渡される。不正アクセス 解析部 6は、パケットまたは組み立てられたデータセグメントに不正アクセスが含まれ る力否かを、ノターンマッチング等などの不正アクセス解析方法を用いて解析する（ ステップ S 120)。

[0058] パケットまたは組み立てられたデータセグメントに不正アクセスが含まれる場合 (ステ ップ S 120で Yesの場合）であって、プロトコル種別が TCP以外の場合には受信した パケットを廃棄し、プロトコル種別が TCPである場合にはパケットを廃棄する (ステップ S140)。そして、対策部 7は、ネットワーク管理者宛てに不正アクセスがされた旨の電 子メールを送付して、異常を通知する（ステップ S 150)。一方、ステップ S 120でパケ ットまたは組み立てられたデータセグメントに不正アクセスが含まれて ヽな 、場合 (ス テツプ S 120で Noの場合）には、セグメント保持部 13で保持しておいた不正アクセス 解析の直前に送られてきたパケットを送信制御部 3から送信する (ステップ S130)。そ して、ステップ S10に戻り、再び外部力 ネットワーク 20内にアクセスされるデータに ついての監視を行う。

[0059] なお、この実施の形態 1ではペイロードサイズを超えないデータに対して改行コード の有無を判断して 、るが、受信したパケットの TCPヘッド内に URG (Urgent)ビット があるカゝ否かを判断するようにしてもょ ヽ。

[0060] この実施の形態 1によれば、外部ネットワーク力 受信したパケット中に含まれるデ ータセグメントのコピーをセグメント保持部 13が保持し、保持しておいたパケットとプロ トコル判定部 4から新たに送られてきたパケットの組み立て後の合計サイズがペイ口 ードサイズより大きくなつた時点で保持してぉ 、たパケットを取り出して糸且み立て、受 信したパケット中に含まれるデータセグメントまたは組み立てたデータセグメントに不 正アクセスが含まれて 、るか否かを解析した後保持して!/、たパケットを廃棄するように したので、パケットを効率よく保持することができ、セグメント保持部 13内のパケット保 持溢れによる受信データ廃棄を防ぐことができるため、パケットの組み立てを必要と する TCP/IPの不正アクセス検知の精度を上げることが可能となる。また、セグメント 保持部 13の情報を宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポ ート番号力 なるセッション情報と関連付けることによって、 TCPデータセグメントを組 み立てる際のオーバヘッドを減らすことが可能となり、その結果、高速処理が可能と なるという効果を有する。

[0061] 実施の形態 2.

図 6は、この発明にかかる侵入検知装置の実施の形態 2の構成を示すブロック図で ある。この侵入検知装置 1は、上述した実施の形態 1の図 1において、セグメント処理 部 10にペイロード保留部 15を設けることを特徴とする。このペイロード保留部 15は、 不正アクセスの解析を行ったパケットの前後に接続されるペイロード (パケット）がある 場合に、このペイロードを後述する保留ペイロード 51, 52として保持しておく機能を 有する。なお、以下の説明では、上述した実施の形態 1と同一の構成要素には同一 の符号を付してその説明を省略している。

[0062] 図 7は、パケットに保留ペイロードを付加する方法を説明するための図である。パケ ット P11— P15は既に組み立てられて不正アクセスの解析が終了し、パケット P16, P 17は既に組み立てられ、これから不正アクセスの解析を行う状態を示している。また 、パケット P15とパケット P16は互いに接続されるパケットであるものとする。なお、ノ ケット Pl l, P12, P13, P14, P15, P16, P17は、パケットの組み立て後（データセ グメント）のサイズが!/、ずれも 300バイトであり、改行コードを含んで 、な 、ものとする

[0063] 例えば、不正アクセスがパケット P15とパケット P16にまたがつている場合、パケット P15とパケット P16を別々に不正アクセス解析すると、不正アクセスを検知することが できない。し力し、パケット P16の不正アクセス解析を行う際、パケット P16をパケット P 15に付加しておけば、不正アクセスを検知することが可能となる。

[0064] このため、本実施の形態 2においては、不正アクセスの解析を行った後のパケットで あっても、このパケットがこれから不正アクセス解析を行うパケットと接続される場合は 、不正アクセスの解析を行った後のパケットを所定サイズ分だけ保留ペイロード 51, 5 2として保持しておく。なお、不正アクセスの解析を行ったパケットにおいて不正ァク セスが検知された場合は、このパケットを廃棄するため保留ペイロード 51, 52を保持 する必要はない。

[0065] パケット P11— P15が組み立てられて不正アクセス解析が行われ、不正アクセスが ないと判断されると、不正アクセス解析の行われたパケット P11— P15の前後に接続 されるパケットがあるか否かを確認する。ここでは、不正アクセス解析の行われたパケ ッ P11— P15の前後に接続されるパケットがあるため、パケット P11— P15の先頭の 2 00バイトと最後尾の 200バイトを保留ペイロード 51, 52として保持する。

[0066] パケット P16はパケット P15に接続されるものであるため、この後不正アクセス解析 が行われるパケット P15, P16に保留ペイロード 52を付カ卩する。そして、ペイロード 2 が付加されたパケット P16, P 17の不正アクセス解析を行う。これによつて、不正ァク セスが複数のパケット間をまたがるような場合であっても、不正アクセスを検知すること が可能となる。 [0067] なお、保留ペイロード 51は、パケット P11の前に接続されるパケット P10 (図示せず )がある場合であって、パケット P11— P15がパケット P10より先に送られて組み立て られ、パケット P10の不正アクセス解析がまだ行われていない場合に保持しておく。 そして、パケット P10を含むパケットの不正アクセス解析を行う際に保留ペイロード 51 を付加して不正アクセス解析を行う。また、保留ペイロード 51, 52のサイズは 200バ イトに限られず、侵入検知装置 1の使用者によって任意に設定可能とする。

[0068] つぎに、このような侵入検知装置 1の侵入検知方法について、図 8のフローチャート を参照しながら説明する。図 8は、この実施の形態 2に係る侵入検知装置の侵入検知 方法を示すフローチャートである。ステップ S 10—ステップ S 110までは、実施の形態 1で示した図 5と同様の処理が行われる。すなわち、侵入検知装置 1は、このネットヮ ーク 20内の端末 21, 22へのパケット (データ）を受信制御部 2から受信し、リアセンブ ルデータ保留部 5から保持された IPフラグメントされたすベてのパケットを取り出し、 先頭力も順にパケットを組み立てる（ステップ S 10—ステップ S50)。

[0069] その後、組み立てられたパケット等のプロトコル種別が、 TCPである力否かを判定し 、パケット内に改行コードが含まれている場合や、セグメント保持部 13において既に 保持されているパケットとプロトコル判定部 4から新たに送られてきたパケットの合計 サイズがペイロードサイズを超えている場合には、セグメント組立部 11は、プロトコル 判定部 4から新たに送られてきたパケットとセグメント保持部 13で保持していたバケツ トを取り出して、分割されたデータセグメントを組み立てる（ステップ S60—ステップ S1 10)。

[0070] セグメント組立部 11にお 、て、分割されたデータセグメントが組み立てられた後（ス テツプ S 110)、ペイロード保留部 15に保留ペイロード 51, 52が保持されているかを 確認する（ステップ S 200)。ペイロード保留部 15に保留ペイロード 51, 52がある場合 は（ステップ S200で Yesの場合）、セグメント組立部 11にお!/、て組み立てられたデー タセグメントに保留ペイロード 51または保留ペイロード 52を付カ卩する（ステップ S210

) o

[0071] その後、または、ステップ S200で保留ペイロード 51, 52が保持されていない場合（ ステップ S200で Noの場合）、不正アクセス解析部 6に、組み立てられたデータセグメ ントまたは TCP以外のパケットが渡される。不正アクセス解析部 6は、パケットまたは 組み立てられたデータセグメントに不正アクセスが含まれる力否かを、パターンマッチ ング等などの不正アクセス解析方法を用いて解析する (ステップ S 220)。

[0072] パケットまたは組み立てられたデータセグメントに不正アクセスが含まれる場合 (ステ ップ S 220で Yesの場合）であって、プロトコル種別が TCP以外の場合には受信した パケットを廃棄し、プロトコル種別が TCPである場合にはパケットを廃棄する (ステップ S260)。そして、対策部 7は、ネットワーク管理者宛てに不正アクセスがされた旨の電 子メールを送付して、異常を通知する (ステップ S270)。

[0073] 一方、ステップ S220でパケットまたは組み立てられたデータセグメントに不正ァクセ スが含まれて 、な 、場合 (ステップ S220で Noの場合）であって、不正アクセス解析 の行われたパケットの前後に接続されるパケットがある場合は、不正アクセス解析の 行われたパケットの例えば先頭の 200バイトや最後尾の 200バイトを保留ペイロード 5 1, 52として保持する（ステップ S230)。

[0074] この後、ステップ S210で付カ卩した保留ペイロード 51, 52をペイロード保留部 15か ら消去する (ステップ S 240)。セグメント保持部 13で保持してぉ 、た不正アクセス解 祈の直前に送られてきたパケットを送信制御部 3から送信する (ステップ S250)。そし て、ステップ S10に戻り、再び外部力 ネットワーク 20内にアクセスされるデータにつ いての監視を行う。なお、ステップ S230で保持した保留ペイロード 51, 52が所定期 間付加されずに残って 、る場合は削除してもよ 、。

[0075] この実施の形態 2によれば、不正アクセスの解析を行った後のパケットであっても、 このパケットがこれから不正アクセス解析を行うパケットと接続される場合は、不正ァク セスの解析を行った後のパケットを所定サイズ分だけ保留ペイロード 51, 52として保 持するようにしたので、不正アクセスが複数のパケットにまたがって 、る場合であって も、不正アクセスを検知することが可能となり、パケットの組み立てを必要とする TCP

ZIPの不正アクセス検知の精度を上げることが可能となる。

[0076] 実施の形態 3.

図 9は、この発明にかかる侵入検知装置の実施の形態 2の構成を示すブロック図で ある。この侵入検知装置 1は、上述した実施の形態 1の図 1において、受信制御部 2と プロトコル判定部 4との間にフィルタ部 60を設けることを特徴とする。このフィルタ部 6 0は、不正アクセスのパケットを送信した端末の送信元アドレスを含むアドレス情報を 登録し、受信制御部 2によって受信されたパケットの送信元アドレスが登録されたアド レス情報と一致した場合にそのパケットを廃棄する機能を有する。なお、不正アクセス のパケットを送信した端末のアドレス情報は、過去に不正アクセスの解析を行った結 果に基づいて対策部 7から通知されるアドレス情報によって登録される。なお、以下 の説明では、上述した実施の形態 1と同一の構成要素には同一の符号を付してその 説明を省略している。

[0077] このように、フィルタ部 60を設けることによって、実施の形態 1では不正アクセス検出 時に対策部 7からネットワーク 20の管理者宛てに電子メールを送信している力 同じ 発信元端末による 2回目以降の不正アクセスに対しては、図 5のフローチャートのステ ップ S20以降を実行する必要がなくなり、侵入検知装置 1にかかる負荷を減らすこと が可能となる。なお、この実施の形態 3に係る侵入検知装置 1に、実施の形態 2の図 6に示されるようにペイロード保留部 15を設けるようにしてもょ 、。

[0078] この実施の形態 3に係る侵入検知装置 1に、実施の形態 2の図 6に示すペイロード 保留部 15を設けた場合は、不正アクセスが複数のパケットにまたがつている場合で あっても、不正アクセスを検知することが可能となり、パケットの組み立てを必要とする TCP/IPの不正アクセス検知の精度を上げることが可能となる。

[0079] この実施の形態 3によれば、過去に不正アクセスを行った端末のアドレス情報を登 録するように構成したので、不正アクセスを送信した端末力 のパケットをすぐに廃棄 することができる。このため、リアセンブルデータ保留部 5やセグメント保持部 13といつ た侵入検知装置 1内部のリソースを使用しないので、他の端末 C23からのパケット処 理に対して内部リソースを使用することが可能となるため、パケットを効率よく保持し、 パケットの組み立てを必要とする TCP/IPの不正アクセス検知の精度を上げることが 可能となる。

[0080] 実施の形態 4.

図 10は、この発明にかかる侵入検知装置の実施の形態 4の構成を示すブロック図 である。この侵入検知装置 1は、上述した実施の形態 1の図 1において、処理振分部 110と複数の侵入検知処理部 120が追加された構成を有している。以下の説明では 、上述した実施の形態 1と同一の構成要素には同一の符号を付してその説明を省略 している。

[0081] 侵入検知処理部 120は、セグメント処理部 10、不正アクセス解析部 6および対策 部 7がーつの単位となって構成される侵入検知処理部 12 (nは自然数）が、複数存 在することによって構成される。これらのそれぞれの侵入検知処理部 120は、上述し た実施の形態 1におけるセグメント処理部 10、不正アクセス解析部 6および対策部 7 と同じ機能を有する。

[0082] また、処理振分部 110は、侵入検知装置 1が受信したパケットに対する不正ァクセ スの解析処理を行う侵入検知処理部 120のうち可動状況の低!ヽ侵入検知処理部 1 20に処理を振り分ける機能を有する。稼動状況の低い侵入検知処理部 120の求め る方法として、たとえば、複数存在する不正アクセス解析部 6の処理パケット数などが 低いものを、稼動状況の低い侵入検知処理部 120と求めることができる。なお、処理 振分部 110は、プロトコルが TCPによる通信プロトコルである場合には、受信したパ ケットの宛先アドレス、送信元アドレス、宛先ポート番号および送信元ポート番号から 識別されるセッションが同一のデータは同じ侵入検知処理部 120にデータを振り分 ける。

[0083] つぎに、この侵入検知装置 1の侵入検知方法について、図 11のフローチャートを参 照しながら説明する。図 11は、この実施の形態 4に係る侵入検知装置の侵入検知方 法を示すフローチャートである。ステップ S10—ステップ S60までは、実施の形態 1で 示した図 5と同様の処理が行われる。すなわち、端末 C23からのパケットを受信制御 部 2で受信し、この受信したパケットまたは受信したパケットが IPフラグメントされて!/ヽ る場合には組み立てられたパケットのヘッダを参照してプロトコル判定部 4はプロトコ ル種別を判定する。

[0084] パケットのプロトコル種別が TCPである場合 (ステップ S60で TCPの場合）には、処 理振分部 110はパケットから宛先アドレス、送信元アドレス、宛先ポート番号および送 信元ポート番号を読み込み、これらの組合せ力もセッションを識別し (ステップ S 70)、 複数ある侵入検知処理部 120のうち稼動状況の低い侵入検知処理部 120にバケツ トを振り分ける (ステップ S75)。

[0085] なお、処理振分部 110は、パケットに格納されている宛先アドレス、送信元アドレス 、宛先ポート番号および送信元ポート番号の組合せからセッションを識別し、このセッ シヨンと振り分け先の侵入検知処理部 120との組合せを記憶しているので、同じセッ シヨンを有するパケットを受信した場合には、処理振分部 110は、該パケットを前回振 り分けた侵入検知処理部 120と同じ侵入検知処理部 120に振り分けることが可能と なる。

[0086] この後、ステップ S80—ステップ S100までは、実施の形態 1で示した図 5と同様の 処理が行われる。すなわちセグメント保持部 13にお ヽて既に保持されて 、るパケット とプロトコル判定部 4から新たに送られてきたパケットの組み立て後の合計サイズを確 認して合計サイズがペイロードサイズを超えて 、る力否かの判断を行 ヽ (ステップ S8 0)、合計サイズがペイロードサイズより小さい場合には、パケット内に改行コードが含 まれて!/、るか否かの判断を行う（ステップ S90)。

[0087] パケット内に改行コードが含まれていない場合 (ステップ S90で Noの場合）には、プ ロトコル判定部 4から新たに送られてきたパケットをコピーしてセグメント保持部 13に 保持し (ステップ S95)、コピー元のオリジナルのパケットを送信制御部 3からヘッダに 格納されて ヽる宛先アドレスの端末へと送信 (ステップ S 100)する。

[0088] ステップ S90でパケット内に改行コードが含まれている場合 (ステップ S90で Yesの 場合)や、ステップ S80でセグメント保持部 13にお ヽて既に保持されて 、るパケットと プロトコル判定部 4から新たに送られてきたパケットの合計サイズがペイロードサイズ を超えている場合 (ステップ S80で Yesの場合）には、セグメント組立部 11は、プロトコ ル判定部 4から新たに送られてきたパケットとセグメント保持部 13で保持していたパケ ットを取り出して、分割されたデータセグメントを組み立てる (ステップ S 110)。このとき 、データセグメントが組み立てられると、セグメント組立部 11に組み立てられたデータ セグメントと同一のセッション情報によって管理され、セグメント保持部 13で保持され ていた新たに送られてきたパケット以外のパケットは消去される。

[0089] ステップ S60で、プロトコル種別が ICMPや UDPなど TCP以外のプロトコルである 場合 (ステップ S60で TCP以外の場合）には、処理振分部 110で複数ある侵入検知 処理部 120_nのうち稼動状況の低い侵入検知処理部 120_nにパケットを振り分け (ステ ップ S115)、振り分けられたパケットは、その中の不正アクセス解析部 6_nに渡される。

[0090] 不正アクセス解析部 6は、パケットまたは組み立てられたデータセグメントに不正ァ クセスが含まれる力否かを、パターンマッチング等などの不正アクセス解析方法を用 V、て解析する（ステップ S 120)。

[0091] この後、ステップ S 130—ステップ S 150までは、実施の形態 1で示した図 5と同様の 処理が行われる。すなわちパケットまたは組み立てられたデータセグメントに不正ァク セスが含まれて ヽな 、場合には、セグメント保持部 13で保持してぉ 、た不正アクセス 解析の直前に送られてきたパケットを送信制御部 3から送信する (ステップ S130)。

[0092] 一方、パケットまたは組み立てられたデータセグメントに不正アクセスが含まれる場 合であって、プロトコル種別が TCP以外の場合には受信したパケットを廃棄し、プロト コル種別が TCPである場合にはパケットを廃棄する (ステップ S140)。そして、対策 部 7は、ネットワーク管理者宛てに不正アクセスがされた旨の電子メールを送付して、 異常を通知する (ステップ S 150)。

[0093] この実施の形態 4によれば、セグメント処理部 10、不正アクセス解析部 6および対 策部 7からなる侵入検知処理部 120を複数有する構成とすることによって、複数の パケットを同時に処理できるため、不正アクセスを高速に検知することができるという 効果を有する。

[0094] なお、この実施の形態 4に係る侵入検知装置 1に、実施の形態 2の図 6に示されるよ うにペイロード保留部 15を設けるようにしてもょ ヽ。ペイロード保留部 15を設けること によって、不正アクセスが複数のパケットにまたがつている場合であっても、不正ァク セスを検知することが可能となり、パケットの組み立てを必要とする TCP/IPの不正 アクセス検知の精度を上げることが可能となる。

[0095] なお、上述した説明では、不正アクセス検出時に対策部 7から電子メールを送信す る構成としている力 実施の形態 3の図 9に示されるようにフィルタ部 60を設けるように してもよい。この場合には、不正アクセスが含まれるパケットを送信した端末の情報を 対策部 7力もフィルタ部 60に通知して登録しておくことによって、パケット受信時にフ ィルタ部 60において受信したパケットのアドレスが登録されているアドレス情報と一致 する場合に、該パケットを廃棄することが可能となり、リアセンブルデータ保留部 5や 侵入検知処理部 120のセグメント保持部 13のリソースを有効に使用することが可能 となる。したがって、パケットの組み立てを必要とする TCP/IPの不正アクセス検知 の精度をさらに上げることが可能となる。

[0096] さらに、この実施の形態 4に係る侵入検知装置 1に、実施の形態 2の図 6に示される ペイロード保留部 15と実施の形態 3の図 9に示すフィルタ部 60の両方を設けるように してちよい。

[0097] 実施の形態 5.

図 12は、この発明にかかる侵入検知装置の実施の形態 5の構成を示すブロック図 である。この侵入検知装置 1は、図 1の侵入検知装置 1の受信制御部 2とプロトコル判 定部 4との間に、検知対象検索部 130が設けられていることを特徴とする。以下の説 明では、上述した実施の形態 1の図 1と同一の構成要素についてはその同一の符号 を付して、その説明を省略している。

[0098] 検知対象検索部 130には、不正アクセス検知対象として、たとえば、宛先アドレスや アプリケーション種別などを含む検知対象情報が登録されている。そして、検知対象 検索部 130は、受信制御部 2から渡されたパケットに対して、そのアドレスとアプリケ ーシヨン種別が登録された宛先アドレスとアプリケーション種別と一致するか否かを確 認し、一致した場合に該パケットを不正アクセス検知であるとして不正アクセス処理を 実行する機能を有する。

[0099] たとえば、不正アクセス検知対象の検知対象情報として、宛先アドレス「端末 A」、ァ プリケーシヨン種別「WWW」が検知対象検索部 130に登録されているものとする。受 信制御部 2において、受信したパケットのアドレスとアプリケーション種別が登録され ている検知対象情報と一致した場合には上述した実施の形態 1で説明した不正ァク セス検知を実行する力 たとえば端末 C23から端末 B22宛てのパケットのように登録 されて!/ヽる検知対象情報と一致しな ヽ場合には、不正アクセスの検知対象外として 受信したパケットを送信制御部 3から送信する。

[0100] この実施の形態 5によれば、検知対象外のパケットをすぐに送信することによって、 リアセンブルデータ保留部 5やセグメント保持部 13といった侵入検知装置 1内部のリ ソースを使用しないので、検知対象のパケット処理に内部リソースが使用できるため、 パケットを効率よく保持し、パケットの組み立てを必要とする TCPZIPの不正アクセス 検知の精度を上げることが可能となる。

[0101] なお、この実施の形態 5に係る侵入検知装置 1に、実施の形態 2の図 6に示すペイ ロード保留部 15、実施の形態 3の図 9に示すフィルタ部 60、実施の形態 4の図 10に 示す処理振分部 110と複数の侵入検知処理部 120、のうちの ヽずれかまたは全てを 設けるようにしてもよい。

[0102] この実施の形態 5に係る侵入検知装置 1に、実施の形態 2の図 6に示されるようにべ ィロード保留部 15を設けるようにしてもょ ヽ。ペイロード保留部 15を設けることによつ て、不正アクセスが複数のパケットにまたがつている場合であっても、不正アクセスを 検知することが可能となり、パケットの組み立てを必要とする TCPZIPの不正ァクセ ス検知の精度を上げることが可能となる。

[0103] この実施の形態 5に係る侵入検知装置 1に、実施の形態 3の図 9に示すフィルタ部 6 0を設けた場合は、パケットの組み立てを必要とする TCP/IPの不正アクセス検知の 精度をさらに上げることが可能となる。

[0104] この実施の形態 5に係る侵入検知装置 1に、実施の形態 4の図 10に示す処理振分 部 110と複数の侵入検知処理部 120を設けた場合は、複数のパケットを同時に処理 できるため、不正アクセスを高速に検知することができる。

産業上の利用可能性

[0105] 以上のように、本発明に力かる侵入検知装置およびその方法は、他の情報端末か ら送信される前後のパケットの組み立てが必要な TCP/IPパケットの不正アクセス解 祈に適している。

Claims

請求の範囲

[1] ネットワークに接続された機器への不正侵入を検知するために、前記ネットワークと 外部ネットワークとの間に設けられる侵入検知装置において、

前記外部ネットワーク力 受信したパケット中に含まれるデータセグメントのコピーを 、前記パケットに含まれる所定のセッション情報と関連付けして一時的に保留するとと もに、前記セッション情報と同一のデータセグメントを所定のサイズであるペイロード サイズ以上受信すると、同一のセッション情報を有するデータセグメントを^ aみ立てる データセグメント組立手段と、

前記受信したパケット中に含まれるデータセグメントまたは組み立てたデータセグメ ントに不正アクセスが含まれて 、る力否かを解析し、不正アクセスが含まれて 、る場 合には前記ペイロードサイズに達した時に受信したデータセグメントが含まれるバケツ トを廃棄し、正常なパケットのみを前記ネットワークに接続された機器に対して送信す る不正アクセス解析手段と、

を備えることを特徴とする侵入検知装置。

[2] 前記不正アクセス解析手段によって、前記パケット中に含まれるデータセグメントま たは組み立てたデータセグメントに不正アクセスが含まれて 、な 、と判断された場合 に、前記正常なパケットの先頭部および Zまたは最後尾の所定サイズのデータを保 持するデータ保留部を、さらに備え、

前記データセグメント組立手段は、前記データ保留部で保持してぉ 、たデータを前 記同一のセッション情報を有するデータセグメントに接続させて組み立てることを特徴 とする請求項 1に記載の侵入検知装置。

[3] 前記受信パケットのプロトコル種別を解析し、所定プロトコルのパケットを抽出して前 記データセグメント組立手段に対して出力するプロトコル判定手段を、さらに備えるこ とを特徴とする請求項 1に記載の侵入検知装置。

[4] 前記受信パケットのプロトコル種別を解析し、所定プロトコルのパケットを抽出して前 記データセグメント組立手段に対して出力するプロトコル判定手段を、さらに備えるこ とを特徴とする請求項 2に記載の侵入検知装置。

[5] 前記データセグメント組立手段は、前記パケットの宛先アドレス、送信元アドレス、 宛先ポート番号および送信元ポート番号から識別されるセッション情報に基づいて、 データセグメント組み立て処理を行うことを特徴とする請求項 1に記載の侵入検知装 置。

[6] 前記データセグメント組立手段は、前記パケットの宛先アドレス、送信元アドレス、 宛先ポート番号および送信元ポート番号から識別されるセッション情報に基づいて、 データセグメント組み立て処理を行うことを特徴とする請求項 2に記載の侵入検知装 置。

[7] 前記データセグメント組立手段は、前記パケットの宛先アドレス、送信元アドレス、 宛先ポート番号および送信元ポート番号から識別されるセッション情報に基づいて、 データセグメント組み立て処理を行うことを特徴とする請求項 3に記載の侵入検知装 置。

[8] 前記プロトコル判定手段によって、前記パケットが IPフラグメントされていると判定さ れた場合に、該パケットを一時的に保留するリアセンブルデータ保留手段と、 前記 IPフラグメントされたパケットのうち最後のパケットを受信すると、前記リアセン ブルデータ保留手段力 前記パケットを取り出して IPフラグメントされたパケットを組 み立てるパケット組立手段と、

をさらに備え、

前記不正アクセス解析手段は、前記受信したまたは組み立てたパケットに不正ァク セスが含まれて 、るか否かを解析し、不正アクセスが含まれて 、る場合にはパケット を廃棄し、正常なパケットのみを前記ネットワークに接続された機器に対して送信す る機能をさらに備えることを特徴とする請求項 1に記載の侵入検知装置。

[9] 前記データセグメント組立手段および前記不正アクセス解析手段の組合せからなる 侵入検知処理手段が複数設けられ、

前記侵入検知処理手段の稼動状況に応じて、外部ネットワークカゝら受信した TCP による通信のパケットに含まれるデータセグメントをいずれかの侵入検知処理手段に 振り分ける処理振分手段をさらに備えることを特徴とする請求項 1に記載の侵入検知

[10] 前記処理振分手段は、同一のセッション情報を有するデータセグメントを同一の侵 入検知処理手段に振り分ける機能をさらに備えることを特徴とする請求項 9に記載の 侵入検知装置。

[11] 外部ネットワークから受信したパケットが、検知対象とする機器のアドレスとアプリケ ーシヨン種別を含む検知対象情報と一致する場合に、前記受信したパケットを前記 プロトコル判定手段に渡す検知対象検索手段をさらに備えることを特徴とする請求項

1に記載の侵入検知装置。

[12] 前記不正アクセス解析手段によって不正アクセスと判断されたパケットの送信元ァ ドレスを含むアドレス情報を登録し、該送信元アドレスと一致する送信元アドレスを有 するパケットを受信した場合に、前記パケットを廃棄するフィルタ手段をさらに備える ことを特徴とする請求項 1に記載の侵入検知装置。

[13] 前記不正アクセス解析手段によって前記パケットに不正アクセスが含まれると判断 された場合には、前記ネットワーク管理者に対して異常を通知する対策手段をさらに 備えることを特徴とする請求項 1に記載の侵入検知装置。

[14] ネットワークに接続された機器への不正侵入を検知する侵入検知方法であって、 外部ネットワーク力も受信したパケット中に含まれるデータセグメントのコピーを、前 記パケットに含まれる所定のセッション情報と関連付けして一時的に保留するデータ セグメント保留工程と、

前記セッション情報と同一のデータセグメントを所定のサイズであるペイロードサイ ズ以上受信すると、前記一時的に保留されたデータセグメントのコピーを用いてデー タセグメントを組み立てるデータセグメント組立工程と、

この組み立てられたデータセグメントに不正アクセスが含まれている力否かを解析し

、不正アクセスが含まれて 、る場合には前記ペイロードサイズに達した時に受信した データセグメントが含まれるパケットを廃棄し、正常なパケットのみを前記ネットワーク に接続された機器に対して送信する不正アクセス解析工程と、

を含むことを特徴とする侵入検知方法。

[15] 前記不正アクセス解析工程にお!、て前記組み立てられたデータセグメントに不正 アクセスが含まれて 、な 、と判断された場合に、前記正常なパケットの先頭部および

Zまたは最後尾の所定サイズのデータを保持するデータ保留工程を、さらに含み、 前記データセグメント組立工程は、前記データ保留工程で保持してぉ ヽたデータを 前記同一のセッション情報を有するデータセグメントに接続させて組み立てることを特 徴とする請求項 14に記載の侵入検知方法。

[16] 前記受信パケットのプロトコル種別を解析し、所定プロトコルのパケットの場合に、 前記データセグメント保留工程または前記不正アクセス解析工程を実行するプロトコ ル判定工程を、さらに含むことを特徴とする請求項 14に記載の侵入検知方法。

[17] 外部ネットワーク力も受信したパケットが IPフラグメントされている場合に、 IPフラグメ ントされているすべてのパケットを受信するまで一時的に保留するリアセンブルデー タ保留工程と、

前記 IPフラグメントされている最後のパケットを受信すると、前記一時的に保留され たパケットを用いてパケットを組み立てるパケット組立工程と、

を含み、

前記不正アクセス解析工程は、前記パケットが TCPによる通信プロトコルを利用す るものでない場合に、前記組み立てられたパケットに不正アクセスが含まれているか 否かを解析し、不正アクセスが含まれている場合には前記パケットを廃棄し、正常な パケットのみを前記ネットワークに接続された機器に対して送信する処理をさらに行う ことを特徴とする請求項 14に記載の侵入検知方法。

[18] 前記データセグメント組立工程および前記不正アクセス解析工程において、前記 データセグメントの組み立ておよび該組み立てられたデータセグメントに不正ァクセ スが含まれている力否かの解析を同時に 2以上実行可能な場合に、前記データセグ メントを振り分ける処理振分工程をさらに含むことを特徴とする請求項 14に記載の侵 入検知方法。

[19] 前記外部ネットワーク力も受信したパケットが、検知対象とする機器のアドレスとアブ リケーシヨン種別を含む検知対象情報と一致する場合にのみ前記パケットについて 不正アクセス解析を行うことを特徴とする請求項 14に記載の侵入検知方法。

[20] 前記不正アクセス解析工程によって、不正アクセスと判断されたパケットの送信元ァ ドレスを登録し、該送信元アドレスと一致する送信元アドレスを有するパケットを受信 した場合に、該パケットを廃棄することを特徴とする請求項 14に記載の侵入検知方

OL£nO/tOOZd£/∑Jd 63 SC60S0/S00Z OAV