WO2006046659A1

WO2006046659A1 - 通信路のデータ量監視制御システム

Info

Publication number: WO2006046659A1
Application number: PCT/JP2005/019817
Authority: WO
Inventors: Sonoi Oho; Hirokazu Hoshino
Original assignee: Ionos Co., Ltd.
Priority date: 2004-10-27
Filing date: 2005-10-27
Publication date: 2006-05-04
Also published as: EP1811731A1; JP2006128954A

Abstract

大量のデータが送りつけられる内部ネットワークへの攻撃に対して有効な通信路のデータ量監視制御システムを提供することを目的とし、内部ネットワークと外部ネットワークとの間を転送されるデータ量を計測し、スイッチ制御ユニットに対してスイッチ動作の指示信号を出力する診断検査用中継器と、前記スイッチ制御ユニットの指示信号によって、内部ネットワークと外部ネットワークとの間のスイッチを排他制御するようにした。

Description

明細書

通信路のデータ量監視制御システム

技術分野

[0001] 本発明は、ネットワークにおけるセキュリティ、特に大量のデータが外部ネットワーク力内部ネットワークに送りつけられる異常なデータや大量なデータに対して有効なセキュリティ技術に関する。

背景技術

[0002] ネットワークを介して進入するウィルスから内部システムを保護する先行技術として、特開平 10— 207839号（特許文献 1)が知られている。

かかる先行技術では、通信回線を介して得られたデータからなるファイルを読み書きできるメモリ内に格納し、このメモリに格納したファイル内にウィルスが存在する時又はその可能性があると判断したときに、ファイルを格納しているメモリの電源をオフするようにすると共に、メモリのデータ入力側および出力側にスィッチを設けて、このスィツチが同時にオンにならなレ、ようにしてレ、る。

特許文献 1 :特開平 10— 207839号公報

発明の開示

発明が解決しょうとする課題

[0003] 前記先行技術では、入力側スィッチがオンでかつ出力側スィッチがオフのときにデータを取り込む。そして、入力側スィッチをオフにして、ウィルス検査を行った後に、出力側スィッチをオンにしてデータ転送を行っていた。

[0004] このように、スィッチ操作が煩雑になるために、それぞれの状態で異常動作が発生すると、その異常動作への対策を講じなければならず、セキュリティがそれだけ低下してしまう。具体的には、たとえば両スィッチが共にオフ状態となったときに動作が停止してしまった場合には、力、かるセキュリティ装置が外部ネットワークと内部ネットヮークとの間に介在されていることを鑑みれば、アクセス先の応答が無くなってネットヮーク自体が麻痺した状態を解消する手段を失ってしまう可能性があった。

[0005] さらに、前記先行技術はウィルスに対してのセキュリティのみに着目されたものであるため、 DoS攻撃等の大量のデータが内部ネットワークに対して送りつけられるような場面は想定していないため、データそのものが異常でない限りはセキュリティ装置を通過してしまう可能性があった。

[0006] より具体的に説明すると、ただ単に DoS攻撃を受け，内部ネットワークのホスト端末がダウンしてしまうだけなら，速やかにホスト端末を再起動すれば，サービスは継続運用できるし，トラフィックを麻痺させているなら，別の回線に切り替えることで円滑なサービスを提供できる。

[0007] しかし、このホスト端末のシステムダウンによる再起動が危険性を増大させている可能性を無視することはできない。

たとえば、このホスト端末のシステムダウンがハッカーがターゲットホストに侵入するために仕組まれたシステムダウン攻撃であることを否定できなレ、。

[0008] つまり、多数の踏み台（第三者の端末を経由）を利用し内部ネットワークに対する DoS攻撃を仕掛け，セキュリティホールを悪用しバッファオーバーランによって，再起動するときにルート権限で侵入できるアカウントを作成する（バックドアを仕掛ける）。その後にバッファオーバーフローでシステムダウンさせられると，再起動するしか復旧の手が無い。これに対して通常のシステム管理者では、ネットワークを接続したままの状態で再起動を行うことになる。そのときに、前述のように、ホスト端末に対してルート権限で侵入できるアカウントが生成されているために、このアカウントを用いて外部からホスト端末への進入が可能となるわけである。

[0009] そのため、そのホスト端末が，大事なデータを保有しているファイルサーバである場合には、情報漏えいは，覚悟しなければいけないことになる。

このようなことを考えると，いかにシステムダウンさせられることが危険か容易に理解できる。

[0010] 本発明は、このような点に鑑みてなされたものであり、大量のデータが送りつけられる内部ネットワークへの攻撃に対してきわめて有効な通信路のデータ量監視制御システムを提供することを技術的課題とする。

課題を解決するための手段

[0011] 前記課題を解決するために、本発明では、以下の手段を採用した。すなわち、本発明は、外部ネットワークと内部ネットワークとの間に介在される通信路のデータ量監視制御装置であって、外部ネットワークに接続され、パケットデータを一時格納するバッファを有する外部側中継器と、内部ネットワークに接続され、バケツトデータを一時格納するバッファを有する内部側中継器と、転送されるデータ量を計測し、スィッチ制御ユニットに対してスィッチ動作の指示信号を出力する診断検査用中継器と、

前記スィッチ制御ユニットの指示信号によって、前記内部側中継器と診断検査用中継器との接続 Z開放、および前記診断検査用中継器と外部側中継器との開放 Z接続を排他的に行う第 1のスィッチと、同じく前記スィッチ制御ユニットの指示信号によつて、前記診断検査用中継器と前記内部側中継器との開放 Z接続、および前記外部側中継器と前記診断検査用中継器との接続 Z開放を排他的に行う第 2のスィッチとからなる通信路のデータ量監視制御システムとしたものである。

発明の効果

[0012] 本発明によれば、内部ネットワークに対して大量のデータを送りつける攻撃に対してきわめて有効なセキュリティシステムを構築することができる。

図面の簡単な説明

[0013] [図 1]本発明のデータ量監視制御システムの概略図

[図 2]本発明のデータ量監視制御システムの動作概念を示す説明図

[図 3]実施形態のデータ監視制御システムのシステム構成図

[図 4]実施形態のデータ監視制御システムの詳細なハードウェア構成図

[図 5]実施形態のスィッチの動作概念を示す説明図

[図 6]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（1)

[図 7]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（2)

[図 8]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（3)

[図 9]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（4)

[図 10]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（5)

[図 11]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（6)

[図 12]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（7) [図 13]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（8)

[図 14]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（9)

[図 15]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（10) [図 16]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（11) [図 17]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（12) [図 18]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（13) [図 19]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（14) [図 20]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（15) [図 21]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（16) [図 22]実施形態のパケットデータとスィッチの動作手順を段階的に示す図（17) 発明を実施するための最良の形態

[0014] 次に、本システムを図を用いて説明する。

本スィッチシステムは、図 1の概念図に示すように、内部側中継器と、制御用中継器と、外部側中継器とを有している。

[0015] そして、内部側中継器と制御用中継器の間の内外方向通信路上にはスィッチ（1) が、制御用中継器と外部側中継器との間にはスィッチ（2)がそれぞれ設けられているまた、制御用中継器と内部側中継器の外内方向通信路上にはスィッチ（3)が、外部側中継器と制御用中継器との間にはスィッチ (4)がそれぞれ設けられてレ、る。

[0016] 図 2は、制御用中継器の内部構成を模式的に示したものである。

制御用中継器は、同図に示すように、診断検査ユニットを備えた診断検査用中継器と、スィッチ制御ユニットとスィッチ機構ユニットとを備えたスイッチングユニットとで構成されている。

[0017] 本実施形態では、 3中継器排他接続方式として、診断検查用中継器を中心にスィツチングユニット内のスィッチ機構を制御して、外部ネットワークと内部ネットワークの通信路を排他接続させて、どちらか一方が繋がって，他方は繋がっていない状態を常に保持することによって，内部に侵入を許さない，あるいは，外部に情報を漏らさない仕組みとなっている。 [0018] 診断検査ユニットは、ブレーカー方式して，パケット量を診断検査の基準対象とするたとえば、内部ネットワークに接続されているホスト端末のリソースを失なわさせるようなパケットが大量に進入してきた場合、ホスト端末のリソースを損ねる可能性が認められる秒単位あたりのパケット量 (ブレークポイントと呼ぶ）を適時，判断基準値として設定し、そのブレークポイントを超えるパケットが一定時間内に持続された場合，診断検查ユニットは、スィッチ制御ユニットを介してスィッチ機構ユニットに対してスィッチ切り替えを停止させる信号を出力して、内部ネットワーク一外部ネットワーク間の通信を切断する。

[0019] また、セキュリティホールを突いて特定の論理通信路に対し，過剰な量の通信が発生した場合，その特定論理通信路の通常平均通信量を判断基準とし，差分を見て許容量を超えたとき，診断検查ユニットは、スィッチ制御ユニットを介してスィッチ機構ュニットに対してスィッチ切り替えを停止させる信号を出力して、内部ネットワーク一外部ネットワーク間の通信を切断する。

[0020] 図 3は、本システムのハードウェア構成を概略的に示した図、図 4は、さらに詳細な説明図である。

図 4において、 SRAMは内部側中継器と外部側中継器とに設けられており、内部側中継器内の SRAM— INおよび外部側中継器内の SRAM— OUTにはそれぞれ内向用領域および外向用領域が設けられている。内向用領域は NICからのデータを受け取るための記憶領域で、外向用領域は NICに対して送り出すデータを記憶する領域として機能している。

[0021] 概念的には、これらの記憶領域と NICと力 S、それぞれ一方通行の道で結ばれていると考えればよい。

シーソー SW部は、それぞれシーソーとして動作する SW1， SW2により構成される。ここで、シーソーというのは動作を分かり易くするための表現であって、正確には排他制御を意味する。ここで、排他制御とは、一方がオンのときには必ず他方がオフになるような関係の制御を意味するものである。

[0022] 図 4に示すように、 SW1には SW1_1， SW1-2が、また SW2には SW2-1, SW2-2が両端にそれぞれ設けられており、 SW1-1は内部ネットワークの NIC— IN力ら PCIブリツジの SDRAM— INの通信路を、 SW1-2は PCIブリッジの SDRAM— OUTから NIC— OU Tの通信路をそれぞれ接続/開放または開放/接続するようになっている。この SW 1-1と SW1-2は排他制御の関係にあり、 SW1-1が通信路を接続しているときには SW 1-2は開放状態となっており、 SW1-1が通信路を開放しているときには SW1-2は接続状態となっている。

[0023] 一方、 SW2-1は NIC_INから PCIブリッジの SDRAM_INの通信路を、 SW2-2は PCI ブリッジの SDRAM_OUT力 NIC_OUTの通信路をそれぞれ接続 Z開放または開放/接続するようになっている。そしてこの SW2-1と SW2-2も排他制御の関係にあり、 SW2-1が通信路を接続しているときには SW2-2は開放状態となっており、 SW2-1 が通信路を開放しているときには SW2-2は接続状態となっている。

[0024] ところで SW1， SW2は、図 4に示す状態、すなわち SW1では SW1-1がオン、 SW2 では SW2-2がオンの状態がそれぞれデフォルト状態になっている。しかしこれ力あるタイミング (タイミングについては後で説明する）でシーソー動作することになる。たとえば SW1は、この動作タイミングに合わせて逆の状態（SW1-1がオフ、 SW1-2がォンの状態）に切り替わり、またデフォルト状態に戻る。 SW2も同様に、ある動作タイミングに合わせてシーソー動作する。なお、当然ながら SW1 , SW2は互いに独立に動作するようになっている。

[0025] 次に、データの流れについて説明する。ここで、図の（1)から（9)までの丸付き数字は、 NIC— INに入力したデータ（フレームデータ）が NIC— OUTに出力されるまでの伝送過程を段階的に示すものである。以下、この番号に沿って説明する。

(1) NIC_INに接続されたネットワーク（たとえば LAN)力データが入力する。ここで、入力データは NIC_INのバッファ（図示せず）に一度格納される。

(2)前記データは、 PCTバスを経て SRAM_INの内向用領域に格納される。

(3)前記データは、 swi-iから ραバスを通り、 ραバスブリッジ用のワークメモリ（SD

RAM_IN)に一旦格納される。ここでは SW1がデフォルト状態になっているので、 SR AM_INを出たデータはそのまま SDRAM_INに到達する。

(4)次に SDRAM INから出力されたデータは、ローカルバスを経由してメインメモリに格納される。 CPUはここに格納されたデータを監視し、パケット流量などを検出する

(5)メインメモリから送出されたデータは、ローカルバスを経由して SDRAM— OUTに格納される。

(6) SDRAM_OUTから送出されたデータは、バスを通り、 SW1-2を経て SRAM_ OUTの外向用領域に格納される。ここで図 5は上記（6)でのデータの流れを示す説明図である。同図に示すように、 SDRAM_〇UTからデータが出力されるタイミングに合わせて、それまでデフォルト状態にあった SW1が逆の状態に切り替わり、 SW1-2 がオン状態となる。これにより、上記データはそのまま SRAM_〇UTに到達することが可能になる。その後データ力 RAM_OUTに到達すると、上記で切り替わった SW1 が再びデフォルトに戻り、 SW1-2はオフになる。

(7)データが ραバスを通って NIC_OUTに到達し、 (1)と同様に NIC_OUTのバッファに一度格納される。ただし、送信側ではデータをフルにバッファしない。ここで用意されるバッファは、たとえば、 128バイトの FIFO (First In Frist Out)メモリで構成されている。

(8)次にデータは、 NIC— OUTに接続されたネットワーク（たとえば WAN)に出力される。以上のようにして、 NIC— INに入力したデータが SW1の排他動作により NIC— OU Tに出力される。なお、上記と逆の流れの場合は、 SW2が排他動作する。

図 6〜図 22は、本実施形態によるパケットデータの動きとスィッチ SW1, SW2の動作を段階的に示したものである。

まず、内部ネットワークより上りパケットデータが NIC— INに到達し、 NIC— INより接続状態となっている SW1の SW1-1を通過して SWサーバ（診断検查用中継器）に到達する（図 6〜図 10)。このとき、 SWサーバは上りパケットデータを検証し、検証結果が OKであればスィッチ制御ユニットに対して、スィッチ機構ユニットに対して SW1の S Wト 1を開放し、 SWト 2を接続状態とするような切り替え信号を出力する（図 12)。そして、切り替えられて接続状態となった SW1の SW1-2を経由して上りパケットデータは、 NIC_〇UTを経て外部ネットワークに送出される（図 13〜17)。

これと並行して、外部ネットワークから下りパケットデータが NIC OUTを経由して接続状態の SW2-2を経由して SWサーバ（診断検査用中継器）に到達する（図 8〜図 1 1)。

[0027] そして、 SWサーバは、下りパケットデータを検証して、検証結果が OKであればスィツチ制御ユニットに対して、スィッチ機構ユニットに対して SW2の SW2-2を開放し、 S W2-1を接続状態とするような切り替え信号を出力する（図 14〜： 17)。そして、切り替えられて接続状態となった SW2-1を経由して下りパケットデータは、 NIC_INを経て内部ネットワークに送出される（図 18〜22)。なお、図 16に示したタイミングで SW1が、図 21に示したタイミングで SW2がそれぞれ元の状態に切り替わる。

[0028] このように、本実施形態では、通信路に介在させ、一方側の通信路との接続と、他方の通信路との接続とを排他的に選択する通信路のスィッチ接続制御装置とすることにより、目的別に分散した端末およびシステムに、 3中継器排他接続方式のスイツチング技術を用い異常なデータや大量なデータの通信を防ぐセキュリティシステムを実現すること力 Sできる。そしてこのように 3中継器排他接続方式のスイッチング技術により、物理的に外部ネットワークと内部ネットワークとを目的に応じたアクセス要求の制御信号によって切り離すため、不正行為から確実にデータや端末を守ることが可能となる。

産業上の利用可能性

[0029] 本発明は、通信路を介して大量なデータが送りつけられるネットワーク攻撃に対するセキュリティ技術に利用することができる。

Claims

請求の範囲

外部ネットワークと内部ネットワークとの間に介在される通信路のデータ量監視制御装置であって、

外部ネットワークに接続され、パケットデータを一時格納するバッファを有する外部側中継器と、

内部ネットワークに接続され、パケットデータを一時格納するバッファを有する内部側中継器と、

転送されるデータ量を計測し、スィッチ制御ユニットに対してスィッチ動作の指示信号を出力する診断検査用中継器と、

前記スィッチ制御ユニットの指示信号によって、前記内部側中継器と診断検査用中継器との接続/開放、および前記診断検査用中継器と外部側中継器との開放/接続を排他的に行う第 1のスィッチと、

同じく前記スィッチ制御ユニットの指示信号によって、前記診断検査用中継器と前記内部側中継器との開放/接続、および前記外部側中継器と前記診断検査用中継器との接続/開放を排他的に行う第 2のスィッチとからなる通信路のデータ量監視制卸システム。