アクセスレベル保安装置及び保安システム
アクセスレベルでの保安装置及び保安システムが開示される。アクセスレベルでの保安遮断装置は、多層分析部と、プロセッサと、を備える。多層分析部は、スイッチファブリックを通じて入力されるパケットデータのヘッダを統計的方法で分析し、その分析結果を出力する。プロセッサは、多層分析部の分析結果に応答して、パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、1次保安ルールフィルターに基づいて、スイッチファブリックを制御する遮断命令を出力し、パケットデータを伝送するIPアドレスを確認して外部に出力し、遮断するIP情報を有するIP管理命令に応答して、遮断命令を出力する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセスレベルでのネットワーク保安装置及び保安システムに係り、より詳細には、インターネットを通じてアクセスされるものではない、ノート型パソコン、パーソナルコンピュータ等におけるアクセスレベルでのパケットデータの特性と類型とをリアルタイムで統計的に分析して有害トラフィックを遮断し、またネットワークを通じて接続された多様なユーザのIP(インターネットプロトコル)を管理することができるアクセスレベル保安装置及びそれを含む保安システムに関する。
【背景技術】
【0002】
現代社会は、インターネットの発達につれて、いつでもどこでもインターネットを通じて多様なウイルスにさらされている。特に、有線ネットワークを構築して使う会社、学校、団体など、多様な組職では、一つのネットワークウイルスがネットワーク全体を一瞬に無力化し、これによる被害は、有害ウイルスの発見、遮断、そして、ネットワークが正常に復旧されるまでインターネットだけではなく、内部ネットワークを使えないという致命的で長期間の被害を与える結果をもたらす。
【0003】
最近、ウイルスは、ネットワークが発達する以前のウイルスと異なって、一つのコンピュータを無力化させることよりはネットワーク全体を占領して複数台のコンピュータを無力化させることが特徴である。したがって、このようなネットワークウイルスの危険、脅威、事故などを遮断、対応、予防するための多様なネットワーク保安装置が登場しており、多くのネットワーク管理者及びネットワークサービス提供者は、このようなネットワーク保安装置の導入を積極的に検討している状況である。
【0004】
図1は、保安機能を含む一般的なネットワーク構成を説明するブロック図である。
図1を参照すると、保安機能を含む一般的なネットワークは、インターネット10と端末機50との間にルーター20、防火壁30、バックボーンスイッチ40を備える。防火壁(ファイアーウォール)30によってインターネット10を通じて流入されるデータのうち、有害なデータがフィルタリングされる。
【0005】
このように、一般的なネットワーク保安装置は、インターネットと接続されるゲートウェイで外部からの侵入を探知し及び遮断する。すなわち、図1で、インターネット10とルーター30とを通じて侵入する有害データの遮断に集中している。
【0006】
このようなネットワーク保安装置は、インターネットのような外部ネットワークから内部ネットワーク資源を保護することができるが、内部ユーザあるいは訪問者が移動型保存装置(例えば、フラッシュメモリ、ノート型パソコン)などを用いて端末機50にアクセスしネットワークにアクセスしてウイルスを伝播させる場合には、このようなアクセスを効率的に阻むことができない。
【0007】
また、既存に知られたウイルスではない新種または変種ウイルスが端末機50から侵入したら、既存の保安装置は、新種または変種ウイルスの形態を把握できる資料がないために、ネットワーク全体の保安が脆弱になるという問題がある。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明が解決しようとする技術的課題は、内部ユーザあるいは訪問者のコンピュータなどが接続されるアクセスレベルでの有害トラフィックをリアルタイムで分析及び遮断し、アクセスレベルでのIPの効率的な管理が可能なアクセスレベル保安装置を提供することである。
【0009】
本発明が解決しようとする他の技術的課題は、内部ユーザあるいは訪問者のコンピュータなどが接続されるアクセスレベルでの有害トラフィックをリアルタイムで分析及び遮断し、アクセスレベルでのIPの効率的な管理が可能なアクセスレベル保安システムを提供することである。
【課題を解決するための手段】
【0010】
前記技術的課題を解決するための本発明の一側面によるアクセスレベル保安装置は、多層分析部と、プロセッサと、を備える。
【0011】
多層分析部は、スイッチファブリックを通じて入力されるパケットデータのヘッダを統計的方法で分析し、その分析結果を出力する。
【0012】
プロセッサは、前記多層分析部の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいて、前記スイッチファブリックを制御する遮断命令を出力し、前記パケットデータを伝送するIP(Internet Protocol)アドレスを確認して外部に出力し、遮断するIP情報を有するIP管理命令に応答して、前記遮断命令を出力する。
前記多層分析部は、前記パケットデータのヘッダを第4レイヤレベルL4まで分析することができる。前記統計的方法では、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス(source address)、プロトコル(protocol)タイプ、ソースIP、デスティネーションIP、ソースサービスポート(source service port)、デスティネーションサービスポート(destination service port)を分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認することができる。前記多層分析部は、ASIC(Application Specific Integrated Circuit)で形成されうる。
【0013】
前記プロセッサは、前記1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量(packet quantity)及びパケットの連続性(packet continuity)を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて、前記遮断命令を出力することができる。
【0014】
アクセスレベル保安装置は、前記1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリをさらに備えうる。
【0015】
前記スイッチファブリックは、前記1次保安ルールフィルター、2次保安ルールフィルター及び前記IP管理命令に基づいて発生する、遮断するIPを有する前記遮断命令に応答して、前記遮断するIPを遮断することができる。
【0016】
前記プロセッサは、ARP(Address Resolution Protocol)トラップを用いて、前記パケットデータを伝送するIPアドレスとMACアドレスとを確認して外部に出力することができる。
【0017】
前記IP管理命令は、外部の管理者によって作られたIP管理政策によって遮断及び許容するIPアドレスが定めることができる。
【0018】
前記技術的課題を解決するための本発明の他の側面による保安システムは、アクセスレベル保安装置と、ネットワーク管理部と、を備える。
【0019】
アクセスレベル保安装置は、入力されるパケットデータのヘッダを統計的方法で分析して有害トラフィックを遮断し、IP管理ポリシーによって、前記パケットデータを伝送するIPアドレスを遮断する。
【0020】
ネットワーク管理部は、前記IP管理ポリシーを保存し、前記IP管理ポリシーに応答して、遮断するIP情報を有するIP管理命令を出力し、前記アクセスレベル保安装置から出力される有害トラフィックについての情報を保存する。
【0021】
前記アクセスレベル保安装置は、スイッチファブリックを通じて入力される前記パケットデータのヘッダを前記統計的方法で分析し、その分析結果を出力する多層分析部と、前記多層分析部の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいて、前記スイッチファブリックを制御する遮断命令を出力し、前記パケットデータを伝送するIPアドレスを確認して、前記ネットワーク管理部に出力し、前記IP管理命令に応答して、前記遮断命令を出力するプロセッサと、を備える。
【0022】
前記多層分析部は、前記パケットデータのヘッダを第4レイヤレベルL4まで分析することができる。前記統計的方法では、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス、プロトコルタイプ、ソースIP、デスティネーションIP、ソースサービスポート、デスティネーションサービスポートを分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認することができる。
【0023】
前記多層分析部は、ASIC(Application Specific Integrated Circuit)で形成されうる。前記プロセッサは、前記1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量及びパケットの連続性を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて、前記遮断命令を出力することができる。
【0024】
前記アクセスレベル保安装置は、前記1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリをさらに備えうる。
【0025】
前記スイッチファブリックは、前記1次保安ルールフィルター、2次保安ルールフィルター及び前記IP管理命令に基づいて発生する、遮断するIPを有する前記遮断命令に応答して、前記遮断するIPを遮断することができる。
【0026】
前記プロセッサは、ARP(Address Resolution Protocol)トラップを用いて、前記パケットデータを伝送するIPアドレスとMACアドレスとを確認して、前記ネットワーク管理部に出力することができる。
【0027】
前記ネットワーク管理部は、前記プロセッサから前記IPアドレスとMACアドレスとを受信して、前記スイッチファブリックに接続されたポートのデータベースを生成し、前記IP管理ポリシーに応答して、前記データベースのポートのうち、有害なパケットデータを伝送するポートを遮断するための前記IP管理命令を出力することができる。前記IP管理ポリシーは、外部の管理者によって遮断及び許容するIPアドレスを定めうる。
【発明の効果】
【0028】
本発明によれば、ネットワークのアクセスレベルで発生しうる、分かっているあるいは変形された有害トラフィックを、保安装置を含む保安システムを用いて統計的方法で探知及び遮断できる。また、モジュール化された多層分析部を使用することによって、パケットデータを非常に早い時間内に分析及び遮断することができる。
【0029】
また、管理者が、ネットワークのIPをアクセスレベルで効率的に管理し、ネットワーク管理部に伝送されるパケットについての情報を通じて内部ネットワークの細部的な現況をリアルタイムで把握することができる。
【図面の簡単な説明】
【0030】
【図1】保安機能を含む一般的なネットワーク構成を説明するブロック図である。
【図2】本発明によるアクセスレベル保安装置を含む保安システムを含むネットワーク構成を説明するブロック図である。
【図3】図2の保安システム及びアクセスレベル保安装置の構成を説明するブロック図である。
【図4】X軸をソースIPとし、Y軸をソースサービスポートとして入力されるパケットデータを分析した結果を示す図である。
【図5】2次保安ルールフィルターを生成する過程を説明する図である。
【図6】図5に形成された集団が如何なるウイルスパターンに対応するかを説明する表である。
【発明を実施するための形態】
【0031】
本発明と本発明の動作上の利点及び本発明の実施によって達成される目的を十分に理解するためには、本発明の望ましい実施形態を例示する添付図面及び図面に記載の内容を参照しなければならない。
【0032】
以下、添付図面を参照して、本発明の望ましい実施形態を説明する。
【0033】
図2は、本発明によるアクセスレベル装置を含む保安システムを含むネットワーク構成を説明するブロック図である。
【0034】
図2を参照すると、本発明の実施形態によるアクセスレベルでの有害トラフィック遮断が可能な保安システム200は、ネットワーク上でバックボーンスイッチ40と端末機50との間に設けられる。バックボーンスイッチ40と端末機50との間で保安システム200は、端末機50側から流入されるパケットデータをリアルタイムで分析して有害データを遮断すると同時に、端末機50側に接続された複数のIPを確認して、IP管理ポリシーによってIP資源を効率的に管理する。
【0035】
ここで、端末機50は、パーソナルコンピュータ、ノート型パソコン、USBメモリのように多様な装置のうち一つであり得る。また、アクセスレベルとは、インターネットに接続されるゲートウェイの外部から侵入するものではなく、ネットワーク上で内部ユーザのように端末機50側に接続されてネットワークに侵入する場合を意味する。バックボーンスイッチ40の前端の構造は、図1と同一であるので、説明を省略する。
【0036】
図2には、ネットワークの系統図に一つの保安システム200のみ示されているが、これは、説明の便宜のためのものであり、保安システム200は、複数個設けられることがあり、また保安システム200に接続される端末機も複数個であり得る。
【0037】
図3は、図2の保安システム及びアクセスレベル保安装置の構成を説明するブロック図である。
【0038】
以下、図2及び図3を参照して、保安システムの動作が詳しく説明される。
【0039】
保安システム200は、アクセスレベル保安装置210及びネットワーク管理部250を備える。
【0040】
アクセスレベル保安装置210は、入力されるパケットデータのヘッダを統計的方法で分析して有害トラフィックを遮断し、IP管理ポリシーによって、前記パケットデータを伝送するIPアドレスを遮断する。
【0041】
ネットワーク管理部250は、IP管理ポリシーを保存し、前記IP管理ポリシーに応答して、遮断するIP情報を有するIP管理命令IPCTRLを出力し、アクセスレベル保安装置210から出力される有害トラフィックについての情報を保存する。
【0042】
図3を参照して、アクセスレベル保安装置210についてさらに説明する。
【0043】
アクセスレベル保安装置210は、スイッチファブリック305、多層分析部310及びプロセッサ320を備える。また、メモリ330をさらに備えることができる。
【0044】
スイッチファブリック305は、端末機50−1、50−2、50−nがネットワークにアクセスする時、端末機50−1、50−2、50−nと接続されるスイッチである。端末機50−1、50−2、50−nは、物理プロトコルPHYを通じてスイッチファブリック305と接続されるが、図3ではPHYは省略する。スイッチファブリック305は、それぞれの端末機50−1、50−2、50−nから入力されるパケットデータを遮断することができる。
【0045】
多層分析部310は、スイッチファブリック305を通じて入力されるパケットデータのヘッダを統計的方法で分析し、その分析結果を出力する。プロセッサ320は、多層分析部310の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいてスイッチファブリック305を制御する遮断命令BLKを出力する。また、プロセッサ320は、パケットデータを伝送するIPアドレスを確認してネットワーク管理部250に出力し、IP管理命令IPCTRLに応答して遮断命令BLKを出力する。
【0046】
多層分析部310は、スイッチファブリック305を通じて入力されるパケットデータをリアルタイムで統計的方法を用いて分析し、その分析結果を出力する。ここで、多層分析部310は、ASIC(Application Specific Integrated Circuit)で形成される。すなわち、パケットデータを分析する多層分析部310は、ハードウェアで作られることで、ソフトウェアを用いてパケットデータを分析するよりは迅速にパケットデータの分析が可能である。
【0047】
多層分析部310は、パケットデータのヘッダを第4レイヤレベルL4まで分析する。ここで、多層分析部310が利用する統計的方法は、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス、プロトコルタイプ、ソースIP、デスティネーションIP、ソースサービスポート、デスティネーションサービスポートを分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認するというものである。
【0048】
パケットデータのヘッダの第4レイヤレベルL4まで存在する前記要素(ソースアドレス、プロトコルタイプ、ソースIP、デスティネーションIP、ソースサービスポート、デスティネーションサービスポート)をパケットデータごとに抽出し、前記要素のそれぞれの変化を観察して、その変化が正常なパケットデータと類似しているか/異なるかを分析して、その分析結果がプロセッサ320に出力される。
【0049】
プロセッサ320は、多層分析部310の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいてスイッチファブリック305を制御する遮断命令BLKを出力する。
【0050】
図4は、X軸をソースIPとし、Y軸をソースサービスポートとして入力されるパケットデータを分析した結果を示す図である。
【0051】
図4によって、ネットワークを攻撃するウイルスパターンを確認することができる。ウイルスパターンのうち、DoS(Denial of Service)は、ソースIPは固定された状態でソースサービスポートが変化されるパターンを有する。
【0052】
図4で、ソースIPは、固定された状態でソースサービスポートが非常に早く変化される領域410を確認し、多層分析部310から出力される分析結果から、前記領域410に含まれるパケットデータは、有害トラフィックと見なされる。
ウイルスパターンのうち、DDoS(Distributed Denial of Service)は、ソースIPが変化されるか(spoofed)によって二つに分類されうる。変化されるDDoSは、ソースサービスポートの約90%以上が変化を見せ、普通のDDoSは、ソースIPの約40%以上が変化される。
【0053】
図4で、変化されるDDoS領域420と普通のDDoS領域430とを確認し、多層分析部310から出力される分析結果から、前記領域420、430に含まれるパケットデータは、有害トラフィックと見なされる。
【0054】
ウイルスパターンのうち、Worm Attackは、ソースIPとソースサービスポートの約80%以上が変化を見せる。図4で、変化されるWorm Attack領域440を確認し、多層分析部310から出力される分析結果から、前記領域440に含まれるパケットデータは、有害トラフィックと見なされる。
【0055】
プロセッサ320は、このように有害トラフィックと見なされたパケットデータ要素を使用して、パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成する。そしてプロセッサ320は、1次保安ルールフィルターに基づいて、前記有害トラフィックと見なされたパケットデータ要素を遮断するために、スイッチファブリック305に遮断命令BLKを出力する。遮断命令BLKは、遮断するIP情報を有している。スイッチファブリック305は、遮断命令BLKに応答して有害なパケットデータ要素が入力されるIPポートを遮断する。IPポートの遮断は、プログラムによったものではなく、スイッチファブリック305によって有害なIPが発見されたポートが直接遮断されるハードウェア的な方法によって行われるので、ソフトウェア的にIPポートを遮断するよりは遥かに迅速かつ正確に遮断することができる。
【0056】
図4には、X軸をソースIPとし、Y軸をソースサービスポートとして入力されるパケットデータを分析した結果を示してしているが、入力されるパケットデータを分析した結果を示すためにX軸とY軸とは多様に変形され、プロセッサ320は、そのような動作を行う。
【0057】
前記のように生成された1次保安ルールフィルターは、一般的なウイルスパターンを有するパケットデータの検出に良い性能を見せる。しかし、検出エラー率を低めて変形されたウイルスパターンも検出するために、プロセッサ320は1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量及びパケットの連続性を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて遮断命令BLKを出力する。
【0058】
パケットの流入時間は、パケットの量とパケットの連続性とを分析するための基本的なパラメータとして作用する。
【0059】
図5は、2次保安ルールフィルターを生成する過程を説明する図である。
【0060】
図6は、図5に形成された集団が如何なるウイルスパターンに対応するかを説明する表である。
【0061】
図5に示すように、パケットの流入時間、パケットの量及びパケットの連続性を互いに関連づけて3次元軸で表示する時、1次保安ルールフィルターを生成させたパケットデータを分析して、図5に示すような集団が見えるならば、プロセッサ320は、集団に属したパケットデータを有害トラフィックと容易に見なすことができる。なぜならば、普通のトラフィックでは、図5に示すような集団が表われないためである。
【0062】
図6に示されたように、ウイルスパターンのうち、DoS(Denial of Service)は、パケットの流入時間は短く、パケット量は多く、パケットの連続性は非常に高い特徴を有する。ここで、パケットの流入時間の長短、パケット量の多少及びパケットの連続性の高低の基準は、本発明の実施形態による保安システムを設計する設計者によって設計されて、あらかじめ保安システムに設定される。設計基準は、保安システムが適用されるネットワーク環境によって多様に定義されうる。図6に開示された短い、長い、低い、高いの概念は、図5を理解しやすいように表示した一つの説明例である。したがって、このような特徴を有した集団が形成されれば(図5参照)、この集団に属するパケットデータは、DoSパターンを有するウイルスである可能性が非常に高い。
【0063】
このように生成された2次保安ルールフィルターに基づいて、プロセッサ320は、遮断命令BLKをスイッチファブリック305に出力し、スイッチファブリック305は、遮断命令BLKが指示するポートを遮断する。
【0064】
アクセスレベル保安装置210は、1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリ330をさらに備える。メモリ330に保存された1次保安ルールフィルターと2次保安ルールフィルターは、多層分析部310の動作時、既存に検索された有害トラフィックの資料として利用されることによって、多層分析部310の動作をさらに早くできる。また、メモリ330に保存された1次保安ルールフィルターと2次保安ルールフィルターは、ネットワーク管理部250に伝達されてネットワーク管理部250に保存されることによって、管理者の利用資料として利用されることもある。
【0065】
プロセッサ320は、ARP(Address Resolution Protocol)トラップを用いて、前記パケットデータを伝送するIPアドレスIPAとMACアドレスMACAとを確認して、ネットワーク管理部250に出力する。
【0066】
ARPトラップを利用すれば、スイッチファブリック305に接続される端末機50−1、50−2、50−nのIPアドレスIPAとMACアドレスMACAとを把握することができるので、その把握されたIPアドレスIPAとMACアドレスMACAとをネットワーク管理部250に伝送することによって、ネットワーク管理部250が、スイッチファブリック305に接続されたIPを管理できるようにする。
【0067】
ネットワーク管理部250は、プロセッサ320からIPアドレスIPAとMACアドレスMACAとを受信して、スイッチファブリック305に接続されたポートのデータベースを生成する。そして、IP管理ポリシーに応答してデータベースのポートのうち、有害なパケットデータを伝送するポートを遮断するためのIP管理命令IPCTRLを出力する。IP管理ポリシーは、外部の管理者によってあらかじめ遮断及び許容するIPアドレスが定められたデータベースである。または、IP管理ポリシーは、管理者がリアルタイムでスイッチファブリック305に接続されたIPアドレスIPAとMACアドレスMACAとに関する情報を観察しながら、有害なトラフィックを伝送すると判断されるポートやその他の遮断する必要があるポートを変更することによって、IP管理を効率的かつ多様に行わせうる。
【0068】
プロセッサ320は、IP管理命令IPCTRLに応答して遮断命令BLKを発生することによって、不要なポートを遮断することができる。従来、特定IPアドレスを遮断する場合、プログラム的に遮断する方法を利用したが、本発明の実施形態による保安システムは、IP管理ポリシーによってスイッチファブリック305に遮断命令BLKを伝送して、スイッチファブリック305が不要なIPが発見されたポートをハードウェア的に遮断させることによって、非常に迅速にIP管理を行うことができる。
【0069】
以上、本発明の望ましい実施形態について詳しく記述したが、当業者ならば、特許請求の範囲に定義された本発明の精神及び範囲に外れずに、本発明を多様に変形または変更して実施できるということが分かる。したがって、本発明のこれからの実施形態の変更は、本発明の技術を外れることができない。
【産業上の利用可能性】
【0070】
本発明は、ネットワーク保安分野に利用されうる。
【技術分野】
【0001】
本発明は、アクセスレベルでのネットワーク保安装置及び保安システムに係り、より詳細には、インターネットを通じてアクセスされるものではない、ノート型パソコン、パーソナルコンピュータ等におけるアクセスレベルでのパケットデータの特性と類型とをリアルタイムで統計的に分析して有害トラフィックを遮断し、またネットワークを通じて接続された多様なユーザのIP(インターネットプロトコル)を管理することができるアクセスレベル保安装置及びそれを含む保安システムに関する。
【背景技術】
【0002】
現代社会は、インターネットの発達につれて、いつでもどこでもインターネットを通じて多様なウイルスにさらされている。特に、有線ネットワークを構築して使う会社、学校、団体など、多様な組職では、一つのネットワークウイルスがネットワーク全体を一瞬に無力化し、これによる被害は、有害ウイルスの発見、遮断、そして、ネットワークが正常に復旧されるまでインターネットだけではなく、内部ネットワークを使えないという致命的で長期間の被害を与える結果をもたらす。
【0003】
最近、ウイルスは、ネットワークが発達する以前のウイルスと異なって、一つのコンピュータを無力化させることよりはネットワーク全体を占領して複数台のコンピュータを無力化させることが特徴である。したがって、このようなネットワークウイルスの危険、脅威、事故などを遮断、対応、予防するための多様なネットワーク保安装置が登場しており、多くのネットワーク管理者及びネットワークサービス提供者は、このようなネットワーク保安装置の導入を積極的に検討している状況である。
【0004】
図1は、保安機能を含む一般的なネットワーク構成を説明するブロック図である。
図1を参照すると、保安機能を含む一般的なネットワークは、インターネット10と端末機50との間にルーター20、防火壁30、バックボーンスイッチ40を備える。防火壁(ファイアーウォール)30によってインターネット10を通じて流入されるデータのうち、有害なデータがフィルタリングされる。
【0005】
このように、一般的なネットワーク保安装置は、インターネットと接続されるゲートウェイで外部からの侵入を探知し及び遮断する。すなわち、図1で、インターネット10とルーター30とを通じて侵入する有害データの遮断に集中している。
【0006】
このようなネットワーク保安装置は、インターネットのような外部ネットワークから内部ネットワーク資源を保護することができるが、内部ユーザあるいは訪問者が移動型保存装置(例えば、フラッシュメモリ、ノート型パソコン)などを用いて端末機50にアクセスしネットワークにアクセスしてウイルスを伝播させる場合には、このようなアクセスを効率的に阻むことができない。
【0007】
また、既存に知られたウイルスではない新種または変種ウイルスが端末機50から侵入したら、既存の保安装置は、新種または変種ウイルスの形態を把握できる資料がないために、ネットワーク全体の保安が脆弱になるという問題がある。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明が解決しようとする技術的課題は、内部ユーザあるいは訪問者のコンピュータなどが接続されるアクセスレベルでの有害トラフィックをリアルタイムで分析及び遮断し、アクセスレベルでのIPの効率的な管理が可能なアクセスレベル保安装置を提供することである。
【0009】
本発明が解決しようとする他の技術的課題は、内部ユーザあるいは訪問者のコンピュータなどが接続されるアクセスレベルでの有害トラフィックをリアルタイムで分析及び遮断し、アクセスレベルでのIPの効率的な管理が可能なアクセスレベル保安システムを提供することである。
【課題を解決するための手段】
【0010】
前記技術的課題を解決するための本発明の一側面によるアクセスレベル保安装置は、多層分析部と、プロセッサと、を備える。
【0011】
多層分析部は、スイッチファブリックを通じて入力されるパケットデータのヘッダを統計的方法で分析し、その分析結果を出力する。
【0012】
プロセッサは、前記多層分析部の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいて、前記スイッチファブリックを制御する遮断命令を出力し、前記パケットデータを伝送するIP(Internet Protocol)アドレスを確認して外部に出力し、遮断するIP情報を有するIP管理命令に応答して、前記遮断命令を出力する。
前記多層分析部は、前記パケットデータのヘッダを第4レイヤレベルL4まで分析することができる。前記統計的方法では、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス(source address)、プロトコル(protocol)タイプ、ソースIP、デスティネーションIP、ソースサービスポート(source service port)、デスティネーションサービスポート(destination service port)を分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認することができる。前記多層分析部は、ASIC(Application Specific Integrated Circuit)で形成されうる。
【0013】
前記プロセッサは、前記1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量(packet quantity)及びパケットの連続性(packet continuity)を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて、前記遮断命令を出力することができる。
【0014】
アクセスレベル保安装置は、前記1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリをさらに備えうる。
【0015】
前記スイッチファブリックは、前記1次保安ルールフィルター、2次保安ルールフィルター及び前記IP管理命令に基づいて発生する、遮断するIPを有する前記遮断命令に応答して、前記遮断するIPを遮断することができる。
【0016】
前記プロセッサは、ARP(Address Resolution Protocol)トラップを用いて、前記パケットデータを伝送するIPアドレスとMACアドレスとを確認して外部に出力することができる。
【0017】
前記IP管理命令は、外部の管理者によって作られたIP管理政策によって遮断及び許容するIPアドレスが定めることができる。
【0018】
前記技術的課題を解決するための本発明の他の側面による保安システムは、アクセスレベル保安装置と、ネットワーク管理部と、を備える。
【0019】
アクセスレベル保安装置は、入力されるパケットデータのヘッダを統計的方法で分析して有害トラフィックを遮断し、IP管理ポリシーによって、前記パケットデータを伝送するIPアドレスを遮断する。
【0020】
ネットワーク管理部は、前記IP管理ポリシーを保存し、前記IP管理ポリシーに応答して、遮断するIP情報を有するIP管理命令を出力し、前記アクセスレベル保安装置から出力される有害トラフィックについての情報を保存する。
【0021】
前記アクセスレベル保安装置は、スイッチファブリックを通じて入力される前記パケットデータのヘッダを前記統計的方法で分析し、その分析結果を出力する多層分析部と、前記多層分析部の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいて、前記スイッチファブリックを制御する遮断命令を出力し、前記パケットデータを伝送するIPアドレスを確認して、前記ネットワーク管理部に出力し、前記IP管理命令に応答して、前記遮断命令を出力するプロセッサと、を備える。
【0022】
前記多層分析部は、前記パケットデータのヘッダを第4レイヤレベルL4まで分析することができる。前記統計的方法では、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス、プロトコルタイプ、ソースIP、デスティネーションIP、ソースサービスポート、デスティネーションサービスポートを分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認することができる。
【0023】
前記多層分析部は、ASIC(Application Specific Integrated Circuit)で形成されうる。前記プロセッサは、前記1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量及びパケットの連続性を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて、前記遮断命令を出力することができる。
【0024】
前記アクセスレベル保安装置は、前記1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリをさらに備えうる。
【0025】
前記スイッチファブリックは、前記1次保安ルールフィルター、2次保安ルールフィルター及び前記IP管理命令に基づいて発生する、遮断するIPを有する前記遮断命令に応答して、前記遮断するIPを遮断することができる。
【0026】
前記プロセッサは、ARP(Address Resolution Protocol)トラップを用いて、前記パケットデータを伝送するIPアドレスとMACアドレスとを確認して、前記ネットワーク管理部に出力することができる。
【0027】
前記ネットワーク管理部は、前記プロセッサから前記IPアドレスとMACアドレスとを受信して、前記スイッチファブリックに接続されたポートのデータベースを生成し、前記IP管理ポリシーに応答して、前記データベースのポートのうち、有害なパケットデータを伝送するポートを遮断するための前記IP管理命令を出力することができる。前記IP管理ポリシーは、外部の管理者によって遮断及び許容するIPアドレスを定めうる。
【発明の効果】
【0028】
本発明によれば、ネットワークのアクセスレベルで発生しうる、分かっているあるいは変形された有害トラフィックを、保安装置を含む保安システムを用いて統計的方法で探知及び遮断できる。また、モジュール化された多層分析部を使用することによって、パケットデータを非常に早い時間内に分析及び遮断することができる。
【0029】
また、管理者が、ネットワークのIPをアクセスレベルで効率的に管理し、ネットワーク管理部に伝送されるパケットについての情報を通じて内部ネットワークの細部的な現況をリアルタイムで把握することができる。
【図面の簡単な説明】
【0030】
【図1】保安機能を含む一般的なネットワーク構成を説明するブロック図である。
【図2】本発明によるアクセスレベル保安装置を含む保安システムを含むネットワーク構成を説明するブロック図である。
【図3】図2の保安システム及びアクセスレベル保安装置の構成を説明するブロック図である。
【図4】X軸をソースIPとし、Y軸をソースサービスポートとして入力されるパケットデータを分析した結果を示す図である。
【図5】2次保安ルールフィルターを生成する過程を説明する図である。
【図6】図5に形成された集団が如何なるウイルスパターンに対応するかを説明する表である。
【発明を実施するための形態】
【0031】
本発明と本発明の動作上の利点及び本発明の実施によって達成される目的を十分に理解するためには、本発明の望ましい実施形態を例示する添付図面及び図面に記載の内容を参照しなければならない。
【0032】
以下、添付図面を参照して、本発明の望ましい実施形態を説明する。
【0033】
図2は、本発明によるアクセスレベル装置を含む保安システムを含むネットワーク構成を説明するブロック図である。
【0034】
図2を参照すると、本発明の実施形態によるアクセスレベルでの有害トラフィック遮断が可能な保安システム200は、ネットワーク上でバックボーンスイッチ40と端末機50との間に設けられる。バックボーンスイッチ40と端末機50との間で保安システム200は、端末機50側から流入されるパケットデータをリアルタイムで分析して有害データを遮断すると同時に、端末機50側に接続された複数のIPを確認して、IP管理ポリシーによってIP資源を効率的に管理する。
【0035】
ここで、端末機50は、パーソナルコンピュータ、ノート型パソコン、USBメモリのように多様な装置のうち一つであり得る。また、アクセスレベルとは、インターネットに接続されるゲートウェイの外部から侵入するものではなく、ネットワーク上で内部ユーザのように端末機50側に接続されてネットワークに侵入する場合を意味する。バックボーンスイッチ40の前端の構造は、図1と同一であるので、説明を省略する。
【0036】
図2には、ネットワークの系統図に一つの保安システム200のみ示されているが、これは、説明の便宜のためのものであり、保安システム200は、複数個設けられることがあり、また保安システム200に接続される端末機も複数個であり得る。
【0037】
図3は、図2の保安システム及びアクセスレベル保安装置の構成を説明するブロック図である。
【0038】
以下、図2及び図3を参照して、保安システムの動作が詳しく説明される。
【0039】
保安システム200は、アクセスレベル保安装置210及びネットワーク管理部250を備える。
【0040】
アクセスレベル保安装置210は、入力されるパケットデータのヘッダを統計的方法で分析して有害トラフィックを遮断し、IP管理ポリシーによって、前記パケットデータを伝送するIPアドレスを遮断する。
【0041】
ネットワーク管理部250は、IP管理ポリシーを保存し、前記IP管理ポリシーに応答して、遮断するIP情報を有するIP管理命令IPCTRLを出力し、アクセスレベル保安装置210から出力される有害トラフィックについての情報を保存する。
【0042】
図3を参照して、アクセスレベル保安装置210についてさらに説明する。
【0043】
アクセスレベル保安装置210は、スイッチファブリック305、多層分析部310及びプロセッサ320を備える。また、メモリ330をさらに備えることができる。
【0044】
スイッチファブリック305は、端末機50−1、50−2、50−nがネットワークにアクセスする時、端末機50−1、50−2、50−nと接続されるスイッチである。端末機50−1、50−2、50−nは、物理プロトコルPHYを通じてスイッチファブリック305と接続されるが、図3ではPHYは省略する。スイッチファブリック305は、それぞれの端末機50−1、50−2、50−nから入力されるパケットデータを遮断することができる。
【0045】
多層分析部310は、スイッチファブリック305を通じて入力されるパケットデータのヘッダを統計的方法で分析し、その分析結果を出力する。プロセッサ320は、多層分析部310の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいてスイッチファブリック305を制御する遮断命令BLKを出力する。また、プロセッサ320は、パケットデータを伝送するIPアドレスを確認してネットワーク管理部250に出力し、IP管理命令IPCTRLに応答して遮断命令BLKを出力する。
【0046】
多層分析部310は、スイッチファブリック305を通じて入力されるパケットデータをリアルタイムで統計的方法を用いて分析し、その分析結果を出力する。ここで、多層分析部310は、ASIC(Application Specific Integrated Circuit)で形成される。すなわち、パケットデータを分析する多層分析部310は、ハードウェアで作られることで、ソフトウェアを用いてパケットデータを分析するよりは迅速にパケットデータの分析が可能である。
【0047】
多層分析部310は、パケットデータのヘッダを第4レイヤレベルL4まで分析する。ここで、多層分析部310が利用する統計的方法は、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス、プロトコルタイプ、ソースIP、デスティネーションIP、ソースサービスポート、デスティネーションサービスポートを分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認するというものである。
【0048】
パケットデータのヘッダの第4レイヤレベルL4まで存在する前記要素(ソースアドレス、プロトコルタイプ、ソースIP、デスティネーションIP、ソースサービスポート、デスティネーションサービスポート)をパケットデータごとに抽出し、前記要素のそれぞれの変化を観察して、その変化が正常なパケットデータと類似しているか/異なるかを分析して、その分析結果がプロセッサ320に出力される。
【0049】
プロセッサ320は、多層分析部310の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいてスイッチファブリック305を制御する遮断命令BLKを出力する。
【0050】
図4は、X軸をソースIPとし、Y軸をソースサービスポートとして入力されるパケットデータを分析した結果を示す図である。
【0051】
図4によって、ネットワークを攻撃するウイルスパターンを確認することができる。ウイルスパターンのうち、DoS(Denial of Service)は、ソースIPは固定された状態でソースサービスポートが変化されるパターンを有する。
【0052】
図4で、ソースIPは、固定された状態でソースサービスポートが非常に早く変化される領域410を確認し、多層分析部310から出力される分析結果から、前記領域410に含まれるパケットデータは、有害トラフィックと見なされる。
ウイルスパターンのうち、DDoS(Distributed Denial of Service)は、ソースIPが変化されるか(spoofed)によって二つに分類されうる。変化されるDDoSは、ソースサービスポートの約90%以上が変化を見せ、普通のDDoSは、ソースIPの約40%以上が変化される。
【0053】
図4で、変化されるDDoS領域420と普通のDDoS領域430とを確認し、多層分析部310から出力される分析結果から、前記領域420、430に含まれるパケットデータは、有害トラフィックと見なされる。
【0054】
ウイルスパターンのうち、Worm Attackは、ソースIPとソースサービスポートの約80%以上が変化を見せる。図4で、変化されるWorm Attack領域440を確認し、多層分析部310から出力される分析結果から、前記領域440に含まれるパケットデータは、有害トラフィックと見なされる。
【0055】
プロセッサ320は、このように有害トラフィックと見なされたパケットデータ要素を使用して、パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成する。そしてプロセッサ320は、1次保安ルールフィルターに基づいて、前記有害トラフィックと見なされたパケットデータ要素を遮断するために、スイッチファブリック305に遮断命令BLKを出力する。遮断命令BLKは、遮断するIP情報を有している。スイッチファブリック305は、遮断命令BLKに応答して有害なパケットデータ要素が入力されるIPポートを遮断する。IPポートの遮断は、プログラムによったものではなく、スイッチファブリック305によって有害なIPが発見されたポートが直接遮断されるハードウェア的な方法によって行われるので、ソフトウェア的にIPポートを遮断するよりは遥かに迅速かつ正確に遮断することができる。
【0056】
図4には、X軸をソースIPとし、Y軸をソースサービスポートとして入力されるパケットデータを分析した結果を示してしているが、入力されるパケットデータを分析した結果を示すためにX軸とY軸とは多様に変形され、プロセッサ320は、そのような動作を行う。
【0057】
前記のように生成された1次保安ルールフィルターは、一般的なウイルスパターンを有するパケットデータの検出に良い性能を見せる。しかし、検出エラー率を低めて変形されたウイルスパターンも検出するために、プロセッサ320は1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量及びパケットの連続性を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて遮断命令BLKを出力する。
【0058】
パケットの流入時間は、パケットの量とパケットの連続性とを分析するための基本的なパラメータとして作用する。
【0059】
図5は、2次保安ルールフィルターを生成する過程を説明する図である。
【0060】
図6は、図5に形成された集団が如何なるウイルスパターンに対応するかを説明する表である。
【0061】
図5に示すように、パケットの流入時間、パケットの量及びパケットの連続性を互いに関連づけて3次元軸で表示する時、1次保安ルールフィルターを生成させたパケットデータを分析して、図5に示すような集団が見えるならば、プロセッサ320は、集団に属したパケットデータを有害トラフィックと容易に見なすことができる。なぜならば、普通のトラフィックでは、図5に示すような集団が表われないためである。
【0062】
図6に示されたように、ウイルスパターンのうち、DoS(Denial of Service)は、パケットの流入時間は短く、パケット量は多く、パケットの連続性は非常に高い特徴を有する。ここで、パケットの流入時間の長短、パケット量の多少及びパケットの連続性の高低の基準は、本発明の実施形態による保安システムを設計する設計者によって設計されて、あらかじめ保安システムに設定される。設計基準は、保安システムが適用されるネットワーク環境によって多様に定義されうる。図6に開示された短い、長い、低い、高いの概念は、図5を理解しやすいように表示した一つの説明例である。したがって、このような特徴を有した集団が形成されれば(図5参照)、この集団に属するパケットデータは、DoSパターンを有するウイルスである可能性が非常に高い。
【0063】
このように生成された2次保安ルールフィルターに基づいて、プロセッサ320は、遮断命令BLKをスイッチファブリック305に出力し、スイッチファブリック305は、遮断命令BLKが指示するポートを遮断する。
【0064】
アクセスレベル保安装置210は、1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリ330をさらに備える。メモリ330に保存された1次保安ルールフィルターと2次保安ルールフィルターは、多層分析部310の動作時、既存に検索された有害トラフィックの資料として利用されることによって、多層分析部310の動作をさらに早くできる。また、メモリ330に保存された1次保安ルールフィルターと2次保安ルールフィルターは、ネットワーク管理部250に伝達されてネットワーク管理部250に保存されることによって、管理者の利用資料として利用されることもある。
【0065】
プロセッサ320は、ARP(Address Resolution Protocol)トラップを用いて、前記パケットデータを伝送するIPアドレスIPAとMACアドレスMACAとを確認して、ネットワーク管理部250に出力する。
【0066】
ARPトラップを利用すれば、スイッチファブリック305に接続される端末機50−1、50−2、50−nのIPアドレスIPAとMACアドレスMACAとを把握することができるので、その把握されたIPアドレスIPAとMACアドレスMACAとをネットワーク管理部250に伝送することによって、ネットワーク管理部250が、スイッチファブリック305に接続されたIPを管理できるようにする。
【0067】
ネットワーク管理部250は、プロセッサ320からIPアドレスIPAとMACアドレスMACAとを受信して、スイッチファブリック305に接続されたポートのデータベースを生成する。そして、IP管理ポリシーに応答してデータベースのポートのうち、有害なパケットデータを伝送するポートを遮断するためのIP管理命令IPCTRLを出力する。IP管理ポリシーは、外部の管理者によってあらかじめ遮断及び許容するIPアドレスが定められたデータベースである。または、IP管理ポリシーは、管理者がリアルタイムでスイッチファブリック305に接続されたIPアドレスIPAとMACアドレスMACAとに関する情報を観察しながら、有害なトラフィックを伝送すると判断されるポートやその他の遮断する必要があるポートを変更することによって、IP管理を効率的かつ多様に行わせうる。
【0068】
プロセッサ320は、IP管理命令IPCTRLに応答して遮断命令BLKを発生することによって、不要なポートを遮断することができる。従来、特定IPアドレスを遮断する場合、プログラム的に遮断する方法を利用したが、本発明の実施形態による保安システムは、IP管理ポリシーによってスイッチファブリック305に遮断命令BLKを伝送して、スイッチファブリック305が不要なIPが発見されたポートをハードウェア的に遮断させることによって、非常に迅速にIP管理を行うことができる。
【0069】
以上、本発明の望ましい実施形態について詳しく記述したが、当業者ならば、特許請求の範囲に定義された本発明の精神及び範囲に外れずに、本発明を多様に変形または変更して実施できるということが分かる。したがって、本発明のこれからの実施形態の変更は、本発明の技術を外れることができない。
【産業上の利用可能性】
【0070】
本発明は、ネットワーク保安分野に利用されうる。
【特許請求の範囲】
【請求項1】
スイッチファブリックを通じて入力されるパケットデータのヘッダを統計的方法で分析し、その分析結果を出力する多層分析部と、
前記多層分析部の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいて、前記スイッチファブリックを制御する遮断命令を出力し、前記パケットデータを伝送するIPアドレスを確認して外部に出力し、遮断するIP情報を有するIP管理命令に応答して、前記遮断命令を出力するプロセッサと、
を備えるアクセスレベル保安装置。
【請求項2】
前記多層分析部は、前記パケットデータのヘッダを第4レイヤレベルL4まで分析する請求項1に記載のアクセスレベル保安装置。
【請求項3】
前記統計的方法では、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス、プロトコルタイプ、ソースIP、デスティネーションIP、ソースサービスポート、デスティネーションサービスポートを分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認することを特徴とする請求項1に記載のアクセスレベル保安装置。
【請求項4】
前記多層分析部は、ASICで形成されている請求項1に記載のアクセスレベル保安装置。
【請求項5】
前記プロセッサは、前記1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量及びパケットの連続性を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて、前記遮断命令を出力する請求項1に記載のアクセスレベル保安装置。
【請求項6】
前記1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリをさらに備える請求項5に記載のアクセスレベル保安装置。
【請求項7】
前記スイッチファブリックは、前記1次保安ルールフィルター、2次保安ルールフィルター及び前記IP管理命令に基づいて発生する、遮断するIPを有する前記遮断命令に応答して、前記遮断するIPを遮断する請求項5に記載のアクセスレベルでの保安装置。
【請求項8】
前記プロセッサは、ARPトラップを用いて、前記パケットデータを伝送するIPアドレスとMACアドレスとを確認して外部に出力する請求項1に記載のアクセスレベル保安装置。
【請求項9】
前記IP管理命令は、外部の管理者によって作られたIP管理ポリシーによって遮断及び許容するIPアドレスを定める請求項1に記載のアクセスレベル保安装置。
【請求項10】
入力されるパケットデータのヘッダを統計的方法で分析して有害トラフィックを遮断し、IP管理ポリシーによって、前記パケットデータを伝送するIPアドレスを遮断するアクセスレベル保安装置と、
前記IP管理ポリシーを保存し、前記IP管理ポリシーに応答して、遮断するIP情報を有するIP管理命令を出力し、前記アクセスレベル保安装置から出力される有害トラフィックについての情報を保存するネットワーク管理部と、
を備える保安システム。
【請求項11】
前記アクセスレベル保安装置は、
スイッチファブリックを通じて入力される前記パケットデータのヘッダを前記統計的方法で分析し、その分析結果を出力する多層分析部と、
前記多層分析部の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいて、前記スイッチファブリックを制御する遮断命令を出力し、前記パケットデータを伝送するIPアドレスを確認して、前記ネットワーク管理部に出力し、前記IP管理命令に応答して、前記遮断命令を出力するプロセッサと、
を備える請求項10に記載の保安システム。
【請求項12】
前記多層分析部は、前記パケットデータのヘッダを第4レイヤレベルL4まで分析する請求項11に記載の保安システム。
【請求項13】
前記統計的方法では、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス、プロトコルタイプ、ソースIP、デスティネーションIP、ソースサービスポート、デスティネーションサービスポートを分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認する請求項11に記載の保安システム。
【請求項14】
前記多層分析部は、ASICで形成されている請求項11に記載の保安システム。
【請求項15】
前記プロセッサは、前記1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量及びパケットの連続性を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて、前記遮断命令を出力する請求項11に記載の保安システム。
【請求項16】
前記アクセスレベル保安装置は、前記1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリをさらに備える請求項15に記載の保安システム。
【請求項17】
前記スイッチファブリックは、前記1次保安ルールフィルター、2次保安ルールフィルター及び前記IP管理命令に基づいて発生する、遮断するIPを有する前記遮断命令に応答して、前記遮断するIPを遮断する請求項15に記載の保安システム。
【請求項18】
前記プロセッサは、ARPトラップを用いて、前記パケットデータを伝送するIPアドレスとMACアドレスとを確認して、前記ネットワーク管理部に出力する請求項11に記載の保安システム。
【請求項19】
前記ネットワーク管理部は、前記プロセッサから前記IPアドレスとMACアドレスとを受信して、前記スイッチファブリックに接続されたポートのデータベースを生成し、前記IP管理ポリシーに応答して、前記データベースのポートのうち、有害なパケットデータを伝送するポートを遮断するための前記IP管理命令を出力する請求項18に記載の保安システム。
【請求項20】
前記IP管理ポリシーは、外部の管理者によって遮断及び許容するIPアドレスが定められる請求項19記載の保安システム。
【請求項1】
スイッチファブリックを通じて入力されるパケットデータのヘッダを統計的方法で分析し、その分析結果を出力する多層分析部と、
前記多層分析部の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいて、前記スイッチファブリックを制御する遮断命令を出力し、前記パケットデータを伝送するIPアドレスを確認して外部に出力し、遮断するIP情報を有するIP管理命令に応答して、前記遮断命令を出力するプロセッサと、
を備えるアクセスレベル保安装置。
【請求項2】
前記多層分析部は、前記パケットデータのヘッダを第4レイヤレベルL4まで分析する請求項1に記載のアクセスレベル保安装置。
【請求項3】
前記統計的方法では、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス、プロトコルタイプ、ソースIP、デスティネーションIP、ソースサービスポート、デスティネーションサービスポートを分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認することを特徴とする請求項1に記載のアクセスレベル保安装置。
【請求項4】
前記多層分析部は、ASICで形成されている請求項1に記載のアクセスレベル保安装置。
【請求項5】
前記プロセッサは、前記1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量及びパケットの連続性を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて、前記遮断命令を出力する請求項1に記載のアクセスレベル保安装置。
【請求項6】
前記1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリをさらに備える請求項5に記載のアクセスレベル保安装置。
【請求項7】
前記スイッチファブリックは、前記1次保安ルールフィルター、2次保安ルールフィルター及び前記IP管理命令に基づいて発生する、遮断するIPを有する前記遮断命令に応答して、前記遮断するIPを遮断する請求項5に記載のアクセスレベルでの保安装置。
【請求項8】
前記プロセッサは、ARPトラップを用いて、前記パケットデータを伝送するIPアドレスとMACアドレスとを確認して外部に出力する請求項1に記載のアクセスレベル保安装置。
【請求項9】
前記IP管理命令は、外部の管理者によって作られたIP管理ポリシーによって遮断及び許容するIPアドレスを定める請求項1に記載のアクセスレベル保安装置。
【請求項10】
入力されるパケットデータのヘッダを統計的方法で分析して有害トラフィックを遮断し、IP管理ポリシーによって、前記パケットデータを伝送するIPアドレスを遮断するアクセスレベル保安装置と、
前記IP管理ポリシーを保存し、前記IP管理ポリシーに応答して、遮断するIP情報を有するIP管理命令を出力し、前記アクセスレベル保安装置から出力される有害トラフィックについての情報を保存するネットワーク管理部と、
を備える保安システム。
【請求項11】
前記アクセスレベル保安装置は、
スイッチファブリックを通じて入力される前記パケットデータのヘッダを前記統計的方法で分析し、その分析結果を出力する多層分析部と、
前記多層分析部の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいて、前記スイッチファブリックを制御する遮断命令を出力し、前記パケットデータを伝送するIPアドレスを確認して、前記ネットワーク管理部に出力し、前記IP管理命令に応答して、前記遮断命令を出力するプロセッサと、
を備える請求項10に記載の保安システム。
【請求項12】
前記多層分析部は、前記パケットデータのヘッダを第4レイヤレベルL4まで分析する請求項11に記載の保安システム。
【請求項13】
前記統計的方法では、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス、プロトコルタイプ、ソースIP、デスティネーションIP、ソースサービスポート、デスティネーションサービスポートを分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認する請求項11に記載の保安システム。
【請求項14】
前記多層分析部は、ASICで形成されている請求項11に記載の保安システム。
【請求項15】
前記プロセッサは、前記1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量及びパケットの連続性を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて、前記遮断命令を出力する請求項11に記載の保安システム。
【請求項16】
前記アクセスレベル保安装置は、前記1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリをさらに備える請求項15に記載の保安システム。
【請求項17】
前記スイッチファブリックは、前記1次保安ルールフィルター、2次保安ルールフィルター及び前記IP管理命令に基づいて発生する、遮断するIPを有する前記遮断命令に応答して、前記遮断するIPを遮断する請求項15に記載の保安システム。
【請求項18】
前記プロセッサは、ARPトラップを用いて、前記パケットデータを伝送するIPアドレスとMACアドレスとを確認して、前記ネットワーク管理部に出力する請求項11に記載の保安システム。
【請求項19】
前記ネットワーク管理部は、前記プロセッサから前記IPアドレスとMACアドレスとを受信して、前記スイッチファブリックに接続されたポートのデータベースを生成し、前記IP管理ポリシーに応答して、前記データベースのポートのうち、有害なパケットデータを伝送するポートを遮断するための前記IP管理命令を出力する請求項18に記載の保安システム。
【請求項20】
前記IP管理ポリシーは、外部の管理者によって遮断及び許容するIPアドレスが定められる請求項19記載の保安システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公表番号】特表2011−523822(P2011−523822A)
【公表日】平成23年8月18日(2011.8.18)
【国際特許分類】
【出願番号】特願2011−511487(P2011−511487)
【出願日】平成20年6月5日(2008.6.5)
【国際出願番号】PCT/KR2008/003150
【国際公開番号】WO2009/145379
【国際公開日】平成21年12月3日(2009.12.3)
【出願人】(510312972)ハンドリームネット カンパニー リミテッド (1)
【Fターム(参考)】
【公表日】平成23年8月18日(2011.8.18)
【国際特許分類】
【出願日】平成20年6月5日(2008.6.5)
【国際出願番号】PCT/KR2008/003150
【国際公開番号】WO2009/145379
【国際公開日】平成21年12月3日(2009.12.3)
【出願人】(510312972)ハンドリームネット カンパニー リミテッド (1)
【Fターム(参考)】
[ Back to top ]