ネットワークにおける侵入検知装置及び侵入検知方法
【課題】 必要に応じて差等的に侵入検知を適用することが可能な侵入検知装置及びその方法を提供する。
【解決手段】 受信したパケットについて侵入検知のためのパターンマッチングを実行する機能を備え、パターンマッチングを実行するか否かを制御信号に基づいて決定するための侵入検知システム100と、受信したパケットがパターンマッチングを要請するパケットであるか否かを判定し、該判断結果に基づいて該当パケットについてのパターンマッチングを実行するか否かを示す情報を含む上記制御信号を生成して侵入検知システムに送信する交換装置120とを有する。
【解決手段】 受信したパケットについて侵入検知のためのパターンマッチングを実行する機能を備え、パターンマッチングを実行するか否かを制御信号に基づいて決定するための侵入検知システム100と、受信したパケットがパターンマッチングを要請するパケットであるか否かを判定し、該判断結果に基づいて該当パケットについてのパターンマッチングを実行するか否かを示す情報を含む上記制御信号を生成して侵入検知システムに送信する交換装置120とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークセキュリティのための侵入検知システム(IDS:Intrusion DetectionSystem)に関し、より詳しくは、受信したパケットに対して差等的に侵入検知を適用した侵入検知装置及びその方法に関する。
【背景技術】
【0002】
近年、データ及び通信のセキュリティは、ネットワークにおいて重要となっている。侵入検知(探知)システムは、ネットワークセキュリティのために使用される装置の一種であり、この侵入検知システムは、攻撃を感知し、可能であれば当該攻撃が追跡できるように動作するモニタリングシステムであり、そして、この侵入検知システムは、ネットワークやシステムを調査及び監視して必要な手段(措置)を講じるシステムでもある。例えば、侵入遮断システム(i.e.,firewall、防火壁)がロックされているドアであれば、侵入検知システムは、その部屋に設置され、侵入又は攻撃に関する動きを感知する感知装置といえる。そして、この侵入検知システムは、特定種類の攻撃をチェックする方式、非正常的なトラフィックを発見する方式など多様な方式がある。以下、図1及び図2を参照して、侵入検知システムを適用したネットワークセキュリティーシステムについて説明する。
【0003】
図1は、IDSのようなセキュリティ装置(侵入検知システム)、侵入遮断装置(侵入遮断システム、i.e.,firewall)及びVoIP機能を有する押しボタン式電話若しくは構内交換機のような交換装置を含むネットワーク構成図である。
【0004】
図1のネットワークは、侵入検知システム100と、侵入遮断システム110と、交換装置(スイッチング装置)120とを含むように構成されている。
【0005】
侵入検知システム100は、多様な攻撃パターンデータを保存し、受信したパケットと保存された攻撃パターンデータとを比較するパターンマッチング(pattern matching)により、受信した該当パケットが攻撃パケットであるか否かを判定する。侵入遮断システム110は、予め定義された方策(policy)に応じてネットワーク接続のためのポートをオープン/クローズ(開放/閉鎖)する機能を実行する。図1に示すように、侵入検知システム100を使用するネットワークでは、侵入遮断システム110は、侵入検知システム100の制御によってポートの接続及び遮断を制御することが可能である。
【0006】
交換装置120は、受信したパケットに含まれた情報に応じて、各パケットを要求された位置に送信するスイッチング機能を実行する。
【0007】
そして、侵入検知システム100、侵入遮断システム110及び交換装置120は、図2に示すように、統合して1つの装置又はシステムとして構成することが可能である。
【0008】
図2は、セキュリティ装置(侵入検知システム及び侵入遮断システム)と交換装置が統合された統合交換装置のネットワーク構成図である。
【0009】
図2の統合交換装置(SME system)200は、受信したパケットについてのパターンマッチングを実行し、その結果、該当パケットが正常なパケットではない攻撃パケットと判定すると、該当パケットを遮断するセキュリティ機能及び正常なパケットについてのスイッチング機能を実行する。そして、図2の侵入検知部210、侵入遮断部220及び交換部230は、統合交換装置200に含まれ、当該統合交換装置200において、上述のようなセキュリティ機能及び交換機能を実行する機能モジュールとなっている。即ち、侵入検知部210は、多様な攻撃パターンデータを保存し、受信するパケットを保存された攻撃パターンデータと比較するパターンマッチング(pattern matching)により、受信した該当パケットが攻撃パケットであるか否かを判定する。そして、侵入遮断部220は、予め定義された方策(policy)に応じてネットワーク接続のためのポートをオープン/クローズし、交換部230は、受信されたパケットに含まれる情報に基づいて各パケットを要求された位置に送信する交換機能を実行する。
【0010】
一方、ネットワークでは、VoIP(Voice Over Internet Protocol)などの実時間(リアルタイム)処理が要請されるパケット伝送も行っている。実時間処理を要請するパケットについては、伝送遅延を短くしなければならない。しかしながら、侵入検知システム100または侵入検知部210は、侵入検知パケットのPatten/Byteマッチング方法を使用し、予め保存されている多数のパターンデータと受信したパケットとを比較(照合)して攻撃パケットの侵入を検出するので、伝送遅延が発生してしまう。したがって、VoIPなどの実時間処理が要請されるパケットは、侵入検知システム100または侵入検知部210による伝送遅延のために、QoS(Quality of Service)が低下してしまう課題があった。また、当該システムは、侵入検知システム100または侵入検知部210のパターンマッチング処理により増加するシステム負荷(Load)のために、性能が低下する課題もあった。
【0011】
即ち、従来は、すべてのパケットについて一律に侵入検知のためのパターンマッチングを実行するため、パターンマッチングの実行による性能低下に対して、好適に対応する方法がなかった。
【発明の開示】
【発明が解決しようとする課題】
【0012】
本発明は、上述したような従来技術の問題点を解決するためになされたもので、その目的は、受信したパケットについて侵入検知を実行するか否かを判定することが可能な差等的な侵入検知装置及びその方法を提供することにある。
【0013】
本発明の他の目的は、パケット処理速度の増加を通じてパケットの実時間処理を可能とする差等的な侵入検知装置及びその方法を提供することにある。
【0014】
また、本発明の他の目的は、公知のポートを用いずに、パケットについての侵入検知を実行するか否かを判定することが可能な差等的な侵入検知装置及びその方法を提供することにある。
【課題を解決するための手段】
【0015】
上記課題を解決するための本発明の1つの側面としての侵入検知装置は、侵入検知システムが設けられたネットワーク上の差等的な侵入検知のための装置であって、受信したパケットについて侵入検知のためのパターンマッチングを実行する機能を備え、パターンマッチングを実行する否かを制御信号によって決定するための侵入検知システムと、受信したパケットがパターンマッチングを要請するパケットであるか否かを判定し、該判断結果に基づいて該当パケットについてのパターンマッチングを実行するか否かを指示する情報を含む上記制御信号を生成して侵入検知システムに送信する交換装置とを有することを特徴とする。
【0016】
また、本発明の他の側面としての侵入検知方法は、ネットワーク上の侵入検知のための方法であって、パケットを受信する第1の過程と、受信したパケットがパターンマッチングの実行を要請するパケットであるか否かを判定する第2の過程と、該判定の結果、パターンマッチングの実行を要請するパケットについてはパターンマッチングを実行し、パターンマッチングの実行を要請しないパケットについてはパターンマッチングを実行しない第3の過程とを有することを特徴とする。
【発明の効果】
【0017】
本発明によれば、侵入検知システムを含むネットワーク上のパケットの特性に応じて侵入検知によるパターンマッチングを適用するか否かを判定し、該判定結果に基づいて差等的に侵入検知を実行することによりパケットの処理速度を増加させることが可能になる。このため、システムのQoSを向上させることが可能になる。
【0018】
また、本発明によれば、VoIPパケットなどの実時間処理を要請するパケットの処理速度を増加させることが可能になる。
【0019】
また、本発明によれば、データアプリケーション(Data Application)の中でよく知られたポート(Well-Known Port)を使用しないパケット伝送に対する侵入検知に効果的に適用可能になる。そして、動的に変化するIPとポートについて差等的に侵入検知を実行することが可能になる。
【発明を実施するための最良の形態】
【0020】
以下、本発明の好適な実施形態について添付図面を参照しながら詳細に説明する。下記の説明において、本発明の要旨のみを明瞭にするために、公知の機能や構成についての詳細な説明は適宜省略する。
【0021】
以下に説明する本発明は、IP及びポート情報を使用して実現することが可能である。即ち、本発明では、特定ポートを介して実時間(リアルタイム)処理を要請するパケットの受信が開始されたと判定すると、この特定ポートを介して受信されるその後のパケットについては、侵入検知機能を遮断する。そして、この特定ポートを介した実時間処理を要請するパケットの受信が終了したと判定すると、該特定ポートを介して受信するパケットについての侵入検知機能の遮断を解除する。
【0022】
また、本発明では、受信するパケットが実時間処理を要請するパケットであるか否かを、交換装置で判定する。そして、当該交換装置は、実時間処理を要請するパケットが受信されたと判定すると、そのパケットが受信されるポート番号と侵入検知機能を遮断するか否かを指示するための情報とを含む制御信号を侵入検知システムに送信する。侵入検知システムは、交換装置からその制御信号を受信すると、指示するポートを介して受信されるパケットについてのパターンマッチングを実行するか否かを、その制御信号に含まれる指示情報に基づいて決定(判定)することができる。交換装置は、その特定ポートを介した実時間処理を要請する全てのパケットの受信が完了したと判定すると、ポート情報と侵入検知機能を遮断するか否かを指示するための情報とを含む制御信号を再度侵入検知システムに送信する。
【0023】
上述のように、本発明は、呼単位、即ち、一つの呼の開始から終了までを単位として侵入検知機能を遮断するか否かを交換装置が決定する。すなわち、本発明では、交換装置が、侵入検知システムを介して受信した一つの呼の一番目のパケットについて実時間処理を要請するパケットであるか否かを判定する。したがって、すべての呼の最初のパケット(1番目のパケット)は、侵入検知機能によるパターンマッチングによって攻撃パケットであるか否かが判定されたパケットとなる。ここで、受信したパケットが呼の一番目のパケットであるか否かの判定は、パケットが有する情報を参照することで行うことができる。
【0024】
以下、添付図面を参照して本発明の実施形態について詳細に説明する。なお、以下の実施形態では、本発明がIPパケットについて適用される実施の形態について説明している。また、実時間処理を要請するパケットの一例としてVoIPを使用して説明している。
【0025】
(第1の実施形態)
本発明の第1の実施形態は、図2に示した統合交換装置200を含むネットワークに適用でき、図1に示すような、侵入検知システム100、侵入遮断システム110及び交換装置120が独立的に存在するネットワークにも適用可能である。まず、図2の統合交換装置200を含むネットワークに本発明を適用した第1の実施形態について説明する。
【0026】
図3は、図2の統合交換装置200の構成ブロック図であり、侵入検知部210及び交換部230の構成を示すブロック図である。
【0027】
図3の侵入検知部210は、多様な攻撃パターンデータを保存し、受信したパケットを保存された攻撃パターンデータと比較するパターンマッチング(pattern matching)により、該当パケットが攻撃パケットであるか否かを判定する。侵入検知部210は、IP/ポートチェックモジュール300と、攻撃確認モジュール302と、LogEntryモジュール304とを備えている。
【0028】
本実施形態のIP/ポートチェックモジュール300は、交換部230と連動して交換部230から提供された動的(Dynamic)IP/ポート情報と受信したIPパケットとを比較して、侵入検知機能を実行する。即ち、受信したパケットについてのパターンマッチングを適用するか否かを決定するモジュールである。IP/ポートチェックモジュール300は、交換部230から提供された情報に基づいて該当受信パケットについてパターンマッチングを適用するか否かを指示する情報を含む制御信号を生成し、攻撃確認モジュール302に出力する。攻撃確認モジュール302は、IP/ポートチェックモジュール300から受信した該制御信号が、パターンマッチングの不適用を指示すものである場合には、該当パケットについてのパターンマッチングを省略する。
【0029】
攻撃確認モジュール302は、ネットワーク(例えば、IPネットワーク)を介して受信したパケットについて、Patten/Byteマッチング(パターンマッチング)方法を使用して、当該受信したIPパケットが正常なパケットであるか否かを判定するモジュールである。本実施形態のパターンマッチングは、受信したパケットとLogEntryモジュール304に保存されたIPパターン/バイト情報(攻撃パターンデータ)とを比較し、一致するパターンが存在するか否かを判定する過程を意味する。攻撃確認モジュール302は、このパターンマッチングの結果、受信したパケットと一致するパターン情報が存在すれば、受信したパケットを正常なパケットではない、すなわち、攻撃パケットと判定する。本実施形態において、攻撃確認モジュール302は、IP/ポートチェックモジュール300が出力する信号の受信に伴い、当該信号の指示に応じて受信した該当パケットについてのパターンマッチングを実行するか否かを決定している。
【0030】
Log entryモジュール304は、侵入検知IP Patten/Byte情報を保存するデータベースである。
【0031】
図3の侵入遮断部220は、予め定義された方策(policy)によってネットワーク接続のためのポートをオープン/クローズする。また、侵入遮断部220は、侵入検知部210の制御によりパケット伝送を遮断(ポートをクローズするための制御信号を侵入遮断部220に送信し、パケット伝送を遮断)することも可能である。
【0032】
図3の交換部230は、受信したパケットに含まれた情報に基づいて、各パケットを要請された宛先に送信する交換機能を実行する。本実施形態の交換部230は、受信したパケットの種類を示す信号を生成して出力する機能をさらに含んでいる。交換部230は、VoIPシグナリング処理(Signaling)モジュール310と、VoIP媒体処理(Media)モジュール312と、交換処理(K/P Legacy局選/内線処理)モジュール314とを含んでいる。
【0033】
VoIPシグナリング処理モジュール310は、VoIP呼(呼接続、呼設定等)のためのシグナリング処理を実行する。VoIPシグナリング処理モジュール310は、受信したパケットのヘッダー情報から該当パケットの種類を判定することができる。VoIP媒体処理モジュール312は、VoIP呼のための媒体トランスコーディング(Transcoding)処理を担っている。交換処理モジュール314は、各パケットについての交換機能を実行する。
【0034】
特に、本実施形態の交換部230は、受信したパケットが実時間処理を要請するパケットであるVoIPパケットと判定すると、これを通知するための信号を生成し、侵入検知部210のIP/ポートチェックモジュール300に提供(送信)する。したがって、侵入検知部210がパケット種類に応じて差等的にIDS(侵入検知)を適用することができる。一般的に、一つの呼は、開始から終了まで同一ポートを介して受信される。即ち、VoIPパケットを受信したポートは、該当パケットを含む呼が終了するまでVoIPパケットを受信すると考えることができる。したがって、交換部230は、VoIPパケットを受信した場合に、該当VoIPパケットについてのIP/ポート情報を、侵入検知部210に提供して侵入検知部210が該当ポートを介して受信したVoIPパケットについてのパターンマッチングを省略する差等的な侵入検知を適用することができる。また、交換部230は、VoIP呼と判定された1つの呼が終了する場合に、これを通知する信号を侵入検知部210に提供することにより、該当ポートを介して受信するパケットについてのパターンマッチングの遮断を終了させ、そのポートを介して受信する以後のパケットについてのパターンマッチングが実行されるように制御する。即ち、交換部230は、任意のポートを介して受信したパケットについてのパターンマッチングの遮断の開始と終了を通知する信号を生成して侵入検知部210に提供する。この信号は、VoIPパケットが受信されるポートについてのIP情報、ポート情報及びパターンマッチングを遮断するか否かを指示する情報を含む制御信号として構成することができる。
【0035】
また、この信号は、交換部230のVoIPシグナリング処理モジュール310で生成され、侵入検知部210のIP/ポートチェックモジュール300に提供される。これは、VoIPシグナリング処理モジュール310が、VoIPのIP/ポート情報を確認することができるからである。即ち、VoIPシグナリング処理モジュール310は、受信したパケットが、実時間処理を要請するVoIPパケットであるか否かを確認(照合)し、該当パケットがVoIPパケットであると判定すると、該当パケットのIP/ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングの遮断を指示する情報を含む制御信号を生成し、侵入検知部210のIP/ポートチェックモジュール300に提供する。そして、VoIPシグナリング処理モジュール310は、該当呼の最後のパケットを受信すると、該当IP/ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングの遮断の終了を指示する情報(パターンマッチングの再実行を指示する情報)を含む制御信号を生成してIP/ポートチェックモジュール300に提供する。
【0036】
なお、本実施形態では、侵入検知部210と交換部230は、統合交換装置200を構成するモジュールなので、交換部230は、プロセッサ間通信(IPC:Inter Processor Communication)を使用して、VoIPパケットについてのパターンマッチングの遮断を指示する情報を含む制御信号を侵入検知部210に提供することが可能である。
【0037】
次に、本実施形態の差等的な侵入検知の処理フローを、図5、図6を参照して詳細に説明する。
【0038】
図5は、図3のネットワークで侵入検知部210と交換部230との間で行われる信号の交換を示すフローチャートである。
【0039】
図5は、本実施形態と直接関連するIP/ポートチェックモジュール300と、攻撃確認モジュール302と、VoIPシグナリング処理モジュール310との間の信号の遷移のみを示している。
【0040】
図5の(1)は、VoIP呼のためのVoIPシグナリングIPの処理過程であり、本実施形態では、VoIPシグナリング信号500が使用される。VoIPシグナリング処理モジュール310は、攻撃確認モジュール302、IP/ポートチェックモジュール300及びネットワーク(例えば、IPネットワーク)を介して、該当VoIP呼の相手とVoIPシグナリング過程を実行する。そして、この処理過程において、VoIPシグナリング信号500が使用される。VoIPシグナリング処理モジュール310は、公知のポート(例えば、H.323 TCP 1719、1720Port、SIP UDP 5060Port)を使用して、初めてシグナリング(Signaling)を開始する。VoIPシグナリング処理モジュール310は、図5の(1)のVoIPシグナリング過程を介して該当パケットのIP/ポート情報を得ることができる。一方、侵入検知部210は、IP/ポートをチェックする際に、上述の一般的な公知のポートに対しては、侵入検知(パターンマッチング処理等)を実行するか否かを選択することが可能である。なお、一般的には、上記公知のポートに対して侵入検知が実行するケースが多い。
【0041】
図5の(2)は、該当パケットについてのパターンマッチングを遮断するか否かを指示する過程である。VoIPシグナリング処理モジュール310は、該当パケットが実時間処理を要請するパケットであるか否か、即ち、パターンマッチングの遮断を要請するパケットであるか否かを判定し、パターンマッチングを遮断するか否かを指示する信号であるVoIP媒体情報信号(VoIP Media Info(IP/Port))502を生成し、IP/ポートチェックモジュール300に送信する。このVoIP媒体情報信号502は、パターンマッチングを遮断するか否かを指示する信号と、図5の(1)のVoIPシグナリング過程を介して得た該当パケットのIP/ポート情報とを含んでいる。
【0042】
図5の(3)は、パターンマッチングが遮断されたパケットの伝送過程である。パターンマッチングが遮断されたパケット(VoIP媒体ストリーム信号:VoIP Media Stream)504は、攻撃確認モジュール302によるパターンマッチング過程を経ずに、VoIPシグナリング処理モジュール310に伝送される。
【0043】
図5の(4)は、パターンマッチングが遮断されている呼についてのパターンマッチングの遮断終了を指示する過程である。VoIPシグナリング処理部310は、VoIP呼の最後のパケットを受信すると、該当パケットのIP/ポート情報及び該当パケットについてのパターンマッチングの遮断終了を指示する情報を含むVoIP媒体情報信号(VoIP Media Info(IP/Port))506信号をIP/ポートチェックモジュール300に送信する。
【0044】
図5の(2)と(3)のVoIP媒体情報信号502、506は、プロセッサ間通信を通じて伝送できる。
【0045】
本実施形態では、このような過程を経ることで、動的に変化するVoIPIP/ポート情報に応じた差等的な侵入検知を実行することができ、VoIPの音質(Voice Quality)を向上させつつ、システム負荷を軽減させることが可能となる。したがって、システムの性能を向上させることが可能となる。
【0046】
図6は、本実施形態の差等的な侵入検知方法を説明するためのフローチャートである。
【0047】
図6のステップS600において、本実施形態の侵入検知装置は、ネットワークからパケットを受信する。ステップS602では、侵入検知装置(交換部230)は、受信したパケットが実時間処理を要請するパケットであるか否かを判定する。
【0048】
ステップS602の判定の結果、受信したパケットが実時間処理を要請するパケット(ステップS602のYES)、即ち、パターンマッチングを要請しないパケットであれば、侵入検知装置は、ステップ604での該当パケットについてのパターンマッチングを実行しない(パターンマッチングを遮断する制御信号が交換部230から侵入検知部210に送出され、それ以後に受信したパケットについてのパターンマッチングを適用しない)。
【0049】
一方、ステップS602の判定の結果、受信したパケットが実時間処理を要請しないパケット(ステップS602のNO)、即ち、パターンマッチングを要請するパケットである場合には、侵入検知装置は、該当パケットについてのパターンマッチングを実行する。
【0050】
(第2の実施形態)
次に、侵入検知システム、侵入遮断システム及び交換装置が統合されないで独立的に存在するネットワークに、本発明の差等的な侵入検知システムを適用した第2の実施形態について詳細に説明する。
【0051】
図4は、図1に示したように、侵入遮断システム及び交換装置が統合されずに各々が独立的に存在するネットワークにおける本実施形態の侵入検知システム及び交換装置の構成を示す図である。
【0052】
図4の侵入検知システム100は、多様な攻撃パターンデータを保存し、受信したパケットと保存された攻撃パターンデータとを比較するパターンマッチングを介して該当パケットが攻撃パケットであるか否かを判定する侵入検知を実行する。侵入検知システム100は、IP/ポートチェック部400と、攻撃確認モジュール402と、Logentry 部404とを備えている。
【0053】
IP/ポートチェック部400は、交換装置(例えば、押しボタン式電話や構内交換機(PBX)等であって、インターネット等のネットワークにおいてはルータ等)120から提供された動的IP/ポート情報に基づいて受信したパケットについてのパターンマッチングを実行するか否かを決定する。IP/ポートチェック部400は、交換装置120から提供されたこれらの情報に基づいて該当受信パケットについてパターンマッチングを適用するか否かを指示する制御信号を生成して、攻撃確認モジュール402に出力する。
【0054】
攻撃確認モジュール402は、受信したIPパケットが、攻撃パケットであるか否かを判定するためのパターンマッチングを実行する。本実施形態の攻撃確認モジュール402は、IP/ポートチェック部400からの制御信号により、該当パケットについてパターンマッチングを実行するか否かを決定する。
【0055】
Log entry 部404は、侵入検知のためのIPパターン情報を保存するデータベース等のデータ格納手段である。
【0056】
侵入遮断システム110は、予め定義された方策(policy)に応じてネットワーク接続のためのポートをオープン/クローズする機能を実行する。
【0057】
そして、交換装置120は、受信したパケットに含まれた情報に基づいて該当パケットについての交換機能を実行し、受信したパケットの種類を示す信号を生成して侵入検知システム100に送信する。交換装置120は、VoIPシグナリング処理部410と、VoIP媒体処理部412と、交換処理部414とを備えている。
【0058】
VoIPシグナリング処理部410は、VoIP呼のためのシグナリング処理を実行する。VoIPシグナリング処理部410は、受信したパケットのヘッダー情報から該当パケットの種類を判定する。VoIP媒体処理部412は、VoIP呼のための媒体トランスコーディング処理を担っている。交換処理部414は、各パケットについての交換機能を実行する。
【0059】
本実施形態の交換装置120は、受信したパケットが実時間処理を要請するパケットであるVoIPパケットと判定した場合に、これを通知する信号を生成して侵入検知システム100のIP/ポートチェック部400に提供する。したがって、本実施形態の侵入検知システム100は、パケット種類に応じて差等的に侵入検知(IDS)を適用することができる。一般的に、一つの呼は、開始から終了まで同一ポートを介して受信されるので、本実施形態による差等的な侵入検知は、ポート情報を用いて行うことが可能となる。
【0060】
交換装置120は、VoIPパケットを受信すると、該当VoIPパケットについてのIP/ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングの遮断指示を含む制御信号を侵入検知システム100に送信し、パターンマッチングが遮断されたVoIP呼が終了する際に、該当パケットのIP/ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングの遮断終了の指示を含む信号を制御信号として侵入検知システム100に送信する。
【0061】
この信号は、受信したパケットのIP/ポート情報などを確認する交換装置120のVoIPシグナリング処理部410にて生成され、侵入検知システム100のIP/ポートチェック部400に送信される。即ち、VoIPシグナリング処理部410は、受信したパケットが実時間処理を要請するVoIPパケットであるか否かを確認し、該当パケットがVoIPパケットであると判定すると、該当パケットのIP/ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングの遮断を指示する情報を含む制御信号を生成し、侵入検知システム100のIP/ポートチェック部400に送信する。そして、VoIPシグナリング処理部410は、該当パケットを介して該当呼の最後のパケットを受信すると、該当IP/ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングの遮遮断終了を指示する情報を含む制御信号を生成し、IP/ポートチェック部400に送信する。
【0062】
なお、本実施形態では、侵入検知システム100及び交換装置120が、互いに独立的に存在するので、上述の第1の実施形態とは異なり、交換装置120と侵入検知システム100の間の信号伝送においてIPCを使用して実行することができない。したがって、本実施形態では、交換装置120から侵入検知システム100に送信される信号は、該当パケットのIP/ポート情報及びパターンマッチングを遮断するか否かを指示する情報の以外に、当該信号の宛先が侵入検知システム100であることを指し示す情報をさらに含むように構成する。
【0063】
なお、本実施形態における、図4のIP/ポートチェック部400、攻撃確認モジュール402及びVoIPシグナリング処理部410の間の信号交換は、上述の第1の実施形態の図5に示した処理遷移と同様であるため、説明を省略する。ただし、本実施形態では、IP/ポートチェック部400及びVoIPシグナリング処理部410の間において、上述のようにプロセッサ間通信を用いることができない。そこで、VoIPシグナリング処理部410は、VoIP媒体情報信号を生成する際に、IP/ポート情報及びパターンマッチングを遮断するか否かを指示する情報を含む信号の以外に、IP/ポートチェック部400が該当信号の宛先であるか否かを示す情報を含むように構成している。
【0064】
以上、上記第1及び第2の実施形態では、受信したパケットを、実時間処理を要請するパケットと実時間処理を要請しないパケットに区分し、侵入検知のためのパターンマッチングを実行するか否かを決定しているが、それ以外の他の区分基準によってパターンマッチングを実行するか否かを決定するように構成することも可能である。即ち、受信するパケットをパターンマッチングの実行が必要なパケットと不必要なパケットに区分できるすべての場合に適用することが可能である。
【図面の簡単な説明】
【0065】
【図1】侵入検知システムや侵入遮断システムなどのセキュリティ装置と、VoIP機能を備える交換装置を含む、ネットワーク構成図である。
【図2】セキュリティ装置と交換装置が統合された形態の統合交換装置を含むネットワーク構成図である。
【図3】本発明の第1の実施形態における、図2に示された統合交換装置の侵入検知部及び交換部の構成を示す図である。
【図4】本発明の第2の実施形態における、図1に示された侵入検知システム及び交換装置の構成を示す図である。
【図5】本発明の第1の実施形態における、図3に示されたネットワークにおいて侵入検知部と交換部との間で行われる信号の交換を示すフローチャートである。
【図6】本発明の第1の実施形態における、侵入検知の処理遷移を説明するためのフローチャートである。
【符号の説明】
【0066】
100 侵入検知システム
110 侵入遮断システム
120 交換装置
200 統合交換装置
210 侵入検知部
220 侵入遮断部
230 交換部
300 IP/ポートチェックモジュール
302 攻撃確認モジュール
304 Log Entry
310 VoIPシグナリング処理モジュール
312 VoIP媒体処理モジュール
314 交換処理モジュール
400 IP/ポートチェック部
402 攻撃確認モジュール
404 Log Entry
410 VoIPシグナリング処理部
412 VoIP媒体処理部
414 交換処理部
500 VoIPシグナリング信号
502、506 VoIP媒体情報信号
504 VoIP媒体ストリーム信号
【技術分野】
【0001】
本発明は、ネットワークセキュリティのための侵入検知システム(IDS:Intrusion DetectionSystem)に関し、より詳しくは、受信したパケットに対して差等的に侵入検知を適用した侵入検知装置及びその方法に関する。
【背景技術】
【0002】
近年、データ及び通信のセキュリティは、ネットワークにおいて重要となっている。侵入検知(探知)システムは、ネットワークセキュリティのために使用される装置の一種であり、この侵入検知システムは、攻撃を感知し、可能であれば当該攻撃が追跡できるように動作するモニタリングシステムであり、そして、この侵入検知システムは、ネットワークやシステムを調査及び監視して必要な手段(措置)を講じるシステムでもある。例えば、侵入遮断システム(i.e.,firewall、防火壁)がロックされているドアであれば、侵入検知システムは、その部屋に設置され、侵入又は攻撃に関する動きを感知する感知装置といえる。そして、この侵入検知システムは、特定種類の攻撃をチェックする方式、非正常的なトラフィックを発見する方式など多様な方式がある。以下、図1及び図2を参照して、侵入検知システムを適用したネットワークセキュリティーシステムについて説明する。
【0003】
図1は、IDSのようなセキュリティ装置(侵入検知システム)、侵入遮断装置(侵入遮断システム、i.e.,firewall)及びVoIP機能を有する押しボタン式電話若しくは構内交換機のような交換装置を含むネットワーク構成図である。
【0004】
図1のネットワークは、侵入検知システム100と、侵入遮断システム110と、交換装置(スイッチング装置)120とを含むように構成されている。
【0005】
侵入検知システム100は、多様な攻撃パターンデータを保存し、受信したパケットと保存された攻撃パターンデータとを比較するパターンマッチング(pattern matching)により、受信した該当パケットが攻撃パケットであるか否かを判定する。侵入遮断システム110は、予め定義された方策(policy)に応じてネットワーク接続のためのポートをオープン/クローズ(開放/閉鎖)する機能を実行する。図1に示すように、侵入検知システム100を使用するネットワークでは、侵入遮断システム110は、侵入検知システム100の制御によってポートの接続及び遮断を制御することが可能である。
【0006】
交換装置120は、受信したパケットに含まれた情報に応じて、各パケットを要求された位置に送信するスイッチング機能を実行する。
【0007】
そして、侵入検知システム100、侵入遮断システム110及び交換装置120は、図2に示すように、統合して1つの装置又はシステムとして構成することが可能である。
【0008】
図2は、セキュリティ装置(侵入検知システム及び侵入遮断システム)と交換装置が統合された統合交換装置のネットワーク構成図である。
【0009】
図2の統合交換装置(SME system)200は、受信したパケットについてのパターンマッチングを実行し、その結果、該当パケットが正常なパケットではない攻撃パケットと判定すると、該当パケットを遮断するセキュリティ機能及び正常なパケットについてのスイッチング機能を実行する。そして、図2の侵入検知部210、侵入遮断部220及び交換部230は、統合交換装置200に含まれ、当該統合交換装置200において、上述のようなセキュリティ機能及び交換機能を実行する機能モジュールとなっている。即ち、侵入検知部210は、多様な攻撃パターンデータを保存し、受信するパケットを保存された攻撃パターンデータと比較するパターンマッチング(pattern matching)により、受信した該当パケットが攻撃パケットであるか否かを判定する。そして、侵入遮断部220は、予め定義された方策(policy)に応じてネットワーク接続のためのポートをオープン/クローズし、交換部230は、受信されたパケットに含まれる情報に基づいて各パケットを要求された位置に送信する交換機能を実行する。
【0010】
一方、ネットワークでは、VoIP(Voice Over Internet Protocol)などの実時間(リアルタイム)処理が要請されるパケット伝送も行っている。実時間処理を要請するパケットについては、伝送遅延を短くしなければならない。しかしながら、侵入検知システム100または侵入検知部210は、侵入検知パケットのPatten/Byteマッチング方法を使用し、予め保存されている多数のパターンデータと受信したパケットとを比較(照合)して攻撃パケットの侵入を検出するので、伝送遅延が発生してしまう。したがって、VoIPなどの実時間処理が要請されるパケットは、侵入検知システム100または侵入検知部210による伝送遅延のために、QoS(Quality of Service)が低下してしまう課題があった。また、当該システムは、侵入検知システム100または侵入検知部210のパターンマッチング処理により増加するシステム負荷(Load)のために、性能が低下する課題もあった。
【0011】
即ち、従来は、すべてのパケットについて一律に侵入検知のためのパターンマッチングを実行するため、パターンマッチングの実行による性能低下に対して、好適に対応する方法がなかった。
【発明の開示】
【発明が解決しようとする課題】
【0012】
本発明は、上述したような従来技術の問題点を解決するためになされたもので、その目的は、受信したパケットについて侵入検知を実行するか否かを判定することが可能な差等的な侵入検知装置及びその方法を提供することにある。
【0013】
本発明の他の目的は、パケット処理速度の増加を通じてパケットの実時間処理を可能とする差等的な侵入検知装置及びその方法を提供することにある。
【0014】
また、本発明の他の目的は、公知のポートを用いずに、パケットについての侵入検知を実行するか否かを判定することが可能な差等的な侵入検知装置及びその方法を提供することにある。
【課題を解決するための手段】
【0015】
上記課題を解決するための本発明の1つの側面としての侵入検知装置は、侵入検知システムが設けられたネットワーク上の差等的な侵入検知のための装置であって、受信したパケットについて侵入検知のためのパターンマッチングを実行する機能を備え、パターンマッチングを実行する否かを制御信号によって決定するための侵入検知システムと、受信したパケットがパターンマッチングを要請するパケットであるか否かを判定し、該判断結果に基づいて該当パケットについてのパターンマッチングを実行するか否かを指示する情報を含む上記制御信号を生成して侵入検知システムに送信する交換装置とを有することを特徴とする。
【0016】
また、本発明の他の側面としての侵入検知方法は、ネットワーク上の侵入検知のための方法であって、パケットを受信する第1の過程と、受信したパケットがパターンマッチングの実行を要請するパケットであるか否かを判定する第2の過程と、該判定の結果、パターンマッチングの実行を要請するパケットについてはパターンマッチングを実行し、パターンマッチングの実行を要請しないパケットについてはパターンマッチングを実行しない第3の過程とを有することを特徴とする。
【発明の効果】
【0017】
本発明によれば、侵入検知システムを含むネットワーク上のパケットの特性に応じて侵入検知によるパターンマッチングを適用するか否かを判定し、該判定結果に基づいて差等的に侵入検知を実行することによりパケットの処理速度を増加させることが可能になる。このため、システムのQoSを向上させることが可能になる。
【0018】
また、本発明によれば、VoIPパケットなどの実時間処理を要請するパケットの処理速度を増加させることが可能になる。
【0019】
また、本発明によれば、データアプリケーション(Data Application)の中でよく知られたポート(Well-Known Port)を使用しないパケット伝送に対する侵入検知に効果的に適用可能になる。そして、動的に変化するIPとポートについて差等的に侵入検知を実行することが可能になる。
【発明を実施するための最良の形態】
【0020】
以下、本発明の好適な実施形態について添付図面を参照しながら詳細に説明する。下記の説明において、本発明の要旨のみを明瞭にするために、公知の機能や構成についての詳細な説明は適宜省略する。
【0021】
以下に説明する本発明は、IP及びポート情報を使用して実現することが可能である。即ち、本発明では、特定ポートを介して実時間(リアルタイム)処理を要請するパケットの受信が開始されたと判定すると、この特定ポートを介して受信されるその後のパケットについては、侵入検知機能を遮断する。そして、この特定ポートを介した実時間処理を要請するパケットの受信が終了したと判定すると、該特定ポートを介して受信するパケットについての侵入検知機能の遮断を解除する。
【0022】
また、本発明では、受信するパケットが実時間処理を要請するパケットであるか否かを、交換装置で判定する。そして、当該交換装置は、実時間処理を要請するパケットが受信されたと判定すると、そのパケットが受信されるポート番号と侵入検知機能を遮断するか否かを指示するための情報とを含む制御信号を侵入検知システムに送信する。侵入検知システムは、交換装置からその制御信号を受信すると、指示するポートを介して受信されるパケットについてのパターンマッチングを実行するか否かを、その制御信号に含まれる指示情報に基づいて決定(判定)することができる。交換装置は、その特定ポートを介した実時間処理を要請する全てのパケットの受信が完了したと判定すると、ポート情報と侵入検知機能を遮断するか否かを指示するための情報とを含む制御信号を再度侵入検知システムに送信する。
【0023】
上述のように、本発明は、呼単位、即ち、一つの呼の開始から終了までを単位として侵入検知機能を遮断するか否かを交換装置が決定する。すなわち、本発明では、交換装置が、侵入検知システムを介して受信した一つの呼の一番目のパケットについて実時間処理を要請するパケットであるか否かを判定する。したがって、すべての呼の最初のパケット(1番目のパケット)は、侵入検知機能によるパターンマッチングによって攻撃パケットであるか否かが判定されたパケットとなる。ここで、受信したパケットが呼の一番目のパケットであるか否かの判定は、パケットが有する情報を参照することで行うことができる。
【0024】
以下、添付図面を参照して本発明の実施形態について詳細に説明する。なお、以下の実施形態では、本発明がIPパケットについて適用される実施の形態について説明している。また、実時間処理を要請するパケットの一例としてVoIPを使用して説明している。
【0025】
(第1の実施形態)
本発明の第1の実施形態は、図2に示した統合交換装置200を含むネットワークに適用でき、図1に示すような、侵入検知システム100、侵入遮断システム110及び交換装置120が独立的に存在するネットワークにも適用可能である。まず、図2の統合交換装置200を含むネットワークに本発明を適用した第1の実施形態について説明する。
【0026】
図3は、図2の統合交換装置200の構成ブロック図であり、侵入検知部210及び交換部230の構成を示すブロック図である。
【0027】
図3の侵入検知部210は、多様な攻撃パターンデータを保存し、受信したパケットを保存された攻撃パターンデータと比較するパターンマッチング(pattern matching)により、該当パケットが攻撃パケットであるか否かを判定する。侵入検知部210は、IP/ポートチェックモジュール300と、攻撃確認モジュール302と、LogEntryモジュール304とを備えている。
【0028】
本実施形態のIP/ポートチェックモジュール300は、交換部230と連動して交換部230から提供された動的(Dynamic)IP/ポート情報と受信したIPパケットとを比較して、侵入検知機能を実行する。即ち、受信したパケットについてのパターンマッチングを適用するか否かを決定するモジュールである。IP/ポートチェックモジュール300は、交換部230から提供された情報に基づいて該当受信パケットについてパターンマッチングを適用するか否かを指示する情報を含む制御信号を生成し、攻撃確認モジュール302に出力する。攻撃確認モジュール302は、IP/ポートチェックモジュール300から受信した該制御信号が、パターンマッチングの不適用を指示すものである場合には、該当パケットについてのパターンマッチングを省略する。
【0029】
攻撃確認モジュール302は、ネットワーク(例えば、IPネットワーク)を介して受信したパケットについて、Patten/Byteマッチング(パターンマッチング)方法を使用して、当該受信したIPパケットが正常なパケットであるか否かを判定するモジュールである。本実施形態のパターンマッチングは、受信したパケットとLogEntryモジュール304に保存されたIPパターン/バイト情報(攻撃パターンデータ)とを比較し、一致するパターンが存在するか否かを判定する過程を意味する。攻撃確認モジュール302は、このパターンマッチングの結果、受信したパケットと一致するパターン情報が存在すれば、受信したパケットを正常なパケットではない、すなわち、攻撃パケットと判定する。本実施形態において、攻撃確認モジュール302は、IP/ポートチェックモジュール300が出力する信号の受信に伴い、当該信号の指示に応じて受信した該当パケットについてのパターンマッチングを実行するか否かを決定している。
【0030】
Log entryモジュール304は、侵入検知IP Patten/Byte情報を保存するデータベースである。
【0031】
図3の侵入遮断部220は、予め定義された方策(policy)によってネットワーク接続のためのポートをオープン/クローズする。また、侵入遮断部220は、侵入検知部210の制御によりパケット伝送を遮断(ポートをクローズするための制御信号を侵入遮断部220に送信し、パケット伝送を遮断)することも可能である。
【0032】
図3の交換部230は、受信したパケットに含まれた情報に基づいて、各パケットを要請された宛先に送信する交換機能を実行する。本実施形態の交換部230は、受信したパケットの種類を示す信号を生成して出力する機能をさらに含んでいる。交換部230は、VoIPシグナリング処理(Signaling)モジュール310と、VoIP媒体処理(Media)モジュール312と、交換処理(K/P Legacy局選/内線処理)モジュール314とを含んでいる。
【0033】
VoIPシグナリング処理モジュール310は、VoIP呼(呼接続、呼設定等)のためのシグナリング処理を実行する。VoIPシグナリング処理モジュール310は、受信したパケットのヘッダー情報から該当パケットの種類を判定することができる。VoIP媒体処理モジュール312は、VoIP呼のための媒体トランスコーディング(Transcoding)処理を担っている。交換処理モジュール314は、各パケットについての交換機能を実行する。
【0034】
特に、本実施形態の交換部230は、受信したパケットが実時間処理を要請するパケットであるVoIPパケットと判定すると、これを通知するための信号を生成し、侵入検知部210のIP/ポートチェックモジュール300に提供(送信)する。したがって、侵入検知部210がパケット種類に応じて差等的にIDS(侵入検知)を適用することができる。一般的に、一つの呼は、開始から終了まで同一ポートを介して受信される。即ち、VoIPパケットを受信したポートは、該当パケットを含む呼が終了するまでVoIPパケットを受信すると考えることができる。したがって、交換部230は、VoIPパケットを受信した場合に、該当VoIPパケットについてのIP/ポート情報を、侵入検知部210に提供して侵入検知部210が該当ポートを介して受信したVoIPパケットについてのパターンマッチングを省略する差等的な侵入検知を適用することができる。また、交換部230は、VoIP呼と判定された1つの呼が終了する場合に、これを通知する信号を侵入検知部210に提供することにより、該当ポートを介して受信するパケットについてのパターンマッチングの遮断を終了させ、そのポートを介して受信する以後のパケットについてのパターンマッチングが実行されるように制御する。即ち、交換部230は、任意のポートを介して受信したパケットについてのパターンマッチングの遮断の開始と終了を通知する信号を生成して侵入検知部210に提供する。この信号は、VoIPパケットが受信されるポートについてのIP情報、ポート情報及びパターンマッチングを遮断するか否かを指示する情報を含む制御信号として構成することができる。
【0035】
また、この信号は、交換部230のVoIPシグナリング処理モジュール310で生成され、侵入検知部210のIP/ポートチェックモジュール300に提供される。これは、VoIPシグナリング処理モジュール310が、VoIPのIP/ポート情報を確認することができるからである。即ち、VoIPシグナリング処理モジュール310は、受信したパケットが、実時間処理を要請するVoIPパケットであるか否かを確認(照合)し、該当パケットがVoIPパケットであると判定すると、該当パケットのIP/ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングの遮断を指示する情報を含む制御信号を生成し、侵入検知部210のIP/ポートチェックモジュール300に提供する。そして、VoIPシグナリング処理モジュール310は、該当呼の最後のパケットを受信すると、該当IP/ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングの遮断の終了を指示する情報(パターンマッチングの再実行を指示する情報)を含む制御信号を生成してIP/ポートチェックモジュール300に提供する。
【0036】
なお、本実施形態では、侵入検知部210と交換部230は、統合交換装置200を構成するモジュールなので、交換部230は、プロセッサ間通信(IPC:Inter Processor Communication)を使用して、VoIPパケットについてのパターンマッチングの遮断を指示する情報を含む制御信号を侵入検知部210に提供することが可能である。
【0037】
次に、本実施形態の差等的な侵入検知の処理フローを、図5、図6を参照して詳細に説明する。
【0038】
図5は、図3のネットワークで侵入検知部210と交換部230との間で行われる信号の交換を示すフローチャートである。
【0039】
図5は、本実施形態と直接関連するIP/ポートチェックモジュール300と、攻撃確認モジュール302と、VoIPシグナリング処理モジュール310との間の信号の遷移のみを示している。
【0040】
図5の(1)は、VoIP呼のためのVoIPシグナリングIPの処理過程であり、本実施形態では、VoIPシグナリング信号500が使用される。VoIPシグナリング処理モジュール310は、攻撃確認モジュール302、IP/ポートチェックモジュール300及びネットワーク(例えば、IPネットワーク)を介して、該当VoIP呼の相手とVoIPシグナリング過程を実行する。そして、この処理過程において、VoIPシグナリング信号500が使用される。VoIPシグナリング処理モジュール310は、公知のポート(例えば、H.323 TCP 1719、1720Port、SIP UDP 5060Port)を使用して、初めてシグナリング(Signaling)を開始する。VoIPシグナリング処理モジュール310は、図5の(1)のVoIPシグナリング過程を介して該当パケットのIP/ポート情報を得ることができる。一方、侵入検知部210は、IP/ポートをチェックする際に、上述の一般的な公知のポートに対しては、侵入検知(パターンマッチング処理等)を実行するか否かを選択することが可能である。なお、一般的には、上記公知のポートに対して侵入検知が実行するケースが多い。
【0041】
図5の(2)は、該当パケットについてのパターンマッチングを遮断するか否かを指示する過程である。VoIPシグナリング処理モジュール310は、該当パケットが実時間処理を要請するパケットであるか否か、即ち、パターンマッチングの遮断を要請するパケットであるか否かを判定し、パターンマッチングを遮断するか否かを指示する信号であるVoIP媒体情報信号(VoIP Media Info(IP/Port))502を生成し、IP/ポートチェックモジュール300に送信する。このVoIP媒体情報信号502は、パターンマッチングを遮断するか否かを指示する信号と、図5の(1)のVoIPシグナリング過程を介して得た該当パケットのIP/ポート情報とを含んでいる。
【0042】
図5の(3)は、パターンマッチングが遮断されたパケットの伝送過程である。パターンマッチングが遮断されたパケット(VoIP媒体ストリーム信号:VoIP Media Stream)504は、攻撃確認モジュール302によるパターンマッチング過程を経ずに、VoIPシグナリング処理モジュール310に伝送される。
【0043】
図5の(4)は、パターンマッチングが遮断されている呼についてのパターンマッチングの遮断終了を指示する過程である。VoIPシグナリング処理部310は、VoIP呼の最後のパケットを受信すると、該当パケットのIP/ポート情報及び該当パケットについてのパターンマッチングの遮断終了を指示する情報を含むVoIP媒体情報信号(VoIP Media Info(IP/Port))506信号をIP/ポートチェックモジュール300に送信する。
【0044】
図5の(2)と(3)のVoIP媒体情報信号502、506は、プロセッサ間通信を通じて伝送できる。
【0045】
本実施形態では、このような過程を経ることで、動的に変化するVoIPIP/ポート情報に応じた差等的な侵入検知を実行することができ、VoIPの音質(Voice Quality)を向上させつつ、システム負荷を軽減させることが可能となる。したがって、システムの性能を向上させることが可能となる。
【0046】
図6は、本実施形態の差等的な侵入検知方法を説明するためのフローチャートである。
【0047】
図6のステップS600において、本実施形態の侵入検知装置は、ネットワークからパケットを受信する。ステップS602では、侵入検知装置(交換部230)は、受信したパケットが実時間処理を要請するパケットであるか否かを判定する。
【0048】
ステップS602の判定の結果、受信したパケットが実時間処理を要請するパケット(ステップS602のYES)、即ち、パターンマッチングを要請しないパケットであれば、侵入検知装置は、ステップ604での該当パケットについてのパターンマッチングを実行しない(パターンマッチングを遮断する制御信号が交換部230から侵入検知部210に送出され、それ以後に受信したパケットについてのパターンマッチングを適用しない)。
【0049】
一方、ステップS602の判定の結果、受信したパケットが実時間処理を要請しないパケット(ステップS602のNO)、即ち、パターンマッチングを要請するパケットである場合には、侵入検知装置は、該当パケットについてのパターンマッチングを実行する。
【0050】
(第2の実施形態)
次に、侵入検知システム、侵入遮断システム及び交換装置が統合されないで独立的に存在するネットワークに、本発明の差等的な侵入検知システムを適用した第2の実施形態について詳細に説明する。
【0051】
図4は、図1に示したように、侵入遮断システム及び交換装置が統合されずに各々が独立的に存在するネットワークにおける本実施形態の侵入検知システム及び交換装置の構成を示す図である。
【0052】
図4の侵入検知システム100は、多様な攻撃パターンデータを保存し、受信したパケットと保存された攻撃パターンデータとを比較するパターンマッチングを介して該当パケットが攻撃パケットであるか否かを判定する侵入検知を実行する。侵入検知システム100は、IP/ポートチェック部400と、攻撃確認モジュール402と、Logentry 部404とを備えている。
【0053】
IP/ポートチェック部400は、交換装置(例えば、押しボタン式電話や構内交換機(PBX)等であって、インターネット等のネットワークにおいてはルータ等)120から提供された動的IP/ポート情報に基づいて受信したパケットについてのパターンマッチングを実行するか否かを決定する。IP/ポートチェック部400は、交換装置120から提供されたこれらの情報に基づいて該当受信パケットについてパターンマッチングを適用するか否かを指示する制御信号を生成して、攻撃確認モジュール402に出力する。
【0054】
攻撃確認モジュール402は、受信したIPパケットが、攻撃パケットであるか否かを判定するためのパターンマッチングを実行する。本実施形態の攻撃確認モジュール402は、IP/ポートチェック部400からの制御信号により、該当パケットについてパターンマッチングを実行するか否かを決定する。
【0055】
Log entry 部404は、侵入検知のためのIPパターン情報を保存するデータベース等のデータ格納手段である。
【0056】
侵入遮断システム110は、予め定義された方策(policy)に応じてネットワーク接続のためのポートをオープン/クローズする機能を実行する。
【0057】
そして、交換装置120は、受信したパケットに含まれた情報に基づいて該当パケットについての交換機能を実行し、受信したパケットの種類を示す信号を生成して侵入検知システム100に送信する。交換装置120は、VoIPシグナリング処理部410と、VoIP媒体処理部412と、交換処理部414とを備えている。
【0058】
VoIPシグナリング処理部410は、VoIP呼のためのシグナリング処理を実行する。VoIPシグナリング処理部410は、受信したパケットのヘッダー情報から該当パケットの種類を判定する。VoIP媒体処理部412は、VoIP呼のための媒体トランスコーディング処理を担っている。交換処理部414は、各パケットについての交換機能を実行する。
【0059】
本実施形態の交換装置120は、受信したパケットが実時間処理を要請するパケットであるVoIPパケットと判定した場合に、これを通知する信号を生成して侵入検知システム100のIP/ポートチェック部400に提供する。したがって、本実施形態の侵入検知システム100は、パケット種類に応じて差等的に侵入検知(IDS)を適用することができる。一般的に、一つの呼は、開始から終了まで同一ポートを介して受信されるので、本実施形態による差等的な侵入検知は、ポート情報を用いて行うことが可能となる。
【0060】
交換装置120は、VoIPパケットを受信すると、該当VoIPパケットについてのIP/ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングの遮断指示を含む制御信号を侵入検知システム100に送信し、パターンマッチングが遮断されたVoIP呼が終了する際に、該当パケットのIP/ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングの遮断終了の指示を含む信号を制御信号として侵入検知システム100に送信する。
【0061】
この信号は、受信したパケットのIP/ポート情報などを確認する交換装置120のVoIPシグナリング処理部410にて生成され、侵入検知システム100のIP/ポートチェック部400に送信される。即ち、VoIPシグナリング処理部410は、受信したパケットが実時間処理を要請するVoIPパケットであるか否かを確認し、該当パケットがVoIPパケットであると判定すると、該当パケットのIP/ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングの遮断を指示する情報を含む制御信号を生成し、侵入検知システム100のIP/ポートチェック部400に送信する。そして、VoIPシグナリング処理部410は、該当パケットを介して該当呼の最後のパケットを受信すると、該当IP/ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングの遮遮断終了を指示する情報を含む制御信号を生成し、IP/ポートチェック部400に送信する。
【0062】
なお、本実施形態では、侵入検知システム100及び交換装置120が、互いに独立的に存在するので、上述の第1の実施形態とは異なり、交換装置120と侵入検知システム100の間の信号伝送においてIPCを使用して実行することができない。したがって、本実施形態では、交換装置120から侵入検知システム100に送信される信号は、該当パケットのIP/ポート情報及びパターンマッチングを遮断するか否かを指示する情報の以外に、当該信号の宛先が侵入検知システム100であることを指し示す情報をさらに含むように構成する。
【0063】
なお、本実施形態における、図4のIP/ポートチェック部400、攻撃確認モジュール402及びVoIPシグナリング処理部410の間の信号交換は、上述の第1の実施形態の図5に示した処理遷移と同様であるため、説明を省略する。ただし、本実施形態では、IP/ポートチェック部400及びVoIPシグナリング処理部410の間において、上述のようにプロセッサ間通信を用いることができない。そこで、VoIPシグナリング処理部410は、VoIP媒体情報信号を生成する際に、IP/ポート情報及びパターンマッチングを遮断するか否かを指示する情報を含む信号の以外に、IP/ポートチェック部400が該当信号の宛先であるか否かを示す情報を含むように構成している。
【0064】
以上、上記第1及び第2の実施形態では、受信したパケットを、実時間処理を要請するパケットと実時間処理を要請しないパケットに区分し、侵入検知のためのパターンマッチングを実行するか否かを決定しているが、それ以外の他の区分基準によってパターンマッチングを実行するか否かを決定するように構成することも可能である。即ち、受信するパケットをパターンマッチングの実行が必要なパケットと不必要なパケットに区分できるすべての場合に適用することが可能である。
【図面の簡単な説明】
【0065】
【図1】侵入検知システムや侵入遮断システムなどのセキュリティ装置と、VoIP機能を備える交換装置を含む、ネットワーク構成図である。
【図2】セキュリティ装置と交換装置が統合された形態の統合交換装置を含むネットワーク構成図である。
【図3】本発明の第1の実施形態における、図2に示された統合交換装置の侵入検知部及び交換部の構成を示す図である。
【図4】本発明の第2の実施形態における、図1に示された侵入検知システム及び交換装置の構成を示す図である。
【図5】本発明の第1の実施形態における、図3に示されたネットワークにおいて侵入検知部と交換部との間で行われる信号の交換を示すフローチャートである。
【図6】本発明の第1の実施形態における、侵入検知の処理遷移を説明するためのフローチャートである。
【符号の説明】
【0066】
100 侵入検知システム
110 侵入遮断システム
120 交換装置
200 統合交換装置
210 侵入検知部
220 侵入遮断部
230 交換部
300 IP/ポートチェックモジュール
302 攻撃確認モジュール
304 Log Entry
310 VoIPシグナリング処理モジュール
312 VoIP媒体処理モジュール
314 交換処理モジュール
400 IP/ポートチェック部
402 攻撃確認モジュール
404 Log Entry
410 VoIPシグナリング処理部
412 VoIP媒体処理部
414 交換処理部
500 VoIPシグナリング信号
502、506 VoIP媒体情報信号
504 VoIP媒体ストリーム信号
【特許請求の範囲】
【請求項1】
受信したパケットについて侵入検知のためのパターンマッチングを実行する機能を備え、前記パターンマッチングを実行するか否かを、制御信号に基づいて決定するための侵入検知システムと、
受信したパケットがパターンマッチングの実行を要請するパケットであるか否かを判定し、該判定結果に基づいて該当パケットについてのパターンマッチングを実行するか否かを指示する情報を含む前記制御信号を生成して前記侵入検知システムに送信する交換装置とを有することを特徴とする侵入検知装置。
【請求項2】
前記制御信号は、該当パケットのIP情報、ポート情報及びパターンマッチングを実行するか否かを指示する情報を含むことを特徴とする請求項1に記載の侵入検知装置。
【請求項3】
受信したパケットについて侵入検知のためのパターンマッチングを実行する機能を備え、前記パターンマッチングを実行する否かを、制御信号に基づいて決定するための侵入検知システムと、
受信したパケットが実時間処理を要請するパケットであるか否かを判定し、該判定結果に基づいて該当パケットについてのパターンマッチングを実行するか否かを指示する情報を含む前記制御信号を生成して前記侵入検知システムに送信する交換装置とを有することを特徴とする侵入検知装置。
【請求項4】
前記実時間処理を要請するパケットは、VoIPパケットであることを特徴とする請求項3に記載の侵入検知装置。
【請求項5】
前記制御信号は、該当パケットのIP情報、ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングを実行するか否かを指示する情報を含むことを特徴とする請求項3に記載の侵入検知装置。
【請求項6】
前記交換装置は、受信したパケットが実時間処理を要請するパケットであると判定した場合に、該当パケットのIP情報、ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングの遮断を指示する情報を含む前記制御信号を前記侵入検知システムに出力することを特徴とする請求項3に記載の侵入検知装置。
【請求項7】
前記交換装置は、前記パターンマッチングが遮断されたポートを介した、実時間処理を要請するパケットの受信が終了したと判定した場合に、該当パケットのIP情報、ポート情報及びパターンマッチングの実行を指示する情報を含む前記制御信号を前記侵入検知システムに出力することを特徴とする請求項6に記載の侵入検知装置。
【請求項8】
前記交換装置は、受信したVoIPパケットのIP情報及びポート情報を確認し、前記IP情報、ポート情報及びパターンマッチングを遮断するか否かを指示する情報を含む前記制御信号を生成するVoIPシグナリング処理部を有することを特徴とする請求項3に記載の侵入検知装置。
【請求項9】
受信したパケットについて侵入検知のためのパターンマッチングを実行するための侵入検知部と、
受信したパケットが実時間処理を要請するパケットであるか否かを判定し、前記パケットが実時間処理を要請するパケットと判定した場合に、該当パケットについてのパターンマッチングの遮断を指示する情報を含む制御信号を、プロセッサ間通信を介して前記侵入検知部に送信する交換部とを有することを特徴とする侵入検知装置。
【請求項10】
受信したパケットについて侵入検知のためのパターンマッチングを実行する機能を備え、前記パターンマッチングを実行するか否かを、制御信号によって決定するための侵入検知システムと、
受信したパケットが任意の呼の一番目のパケットであるか否かを判定し、一番目のパケットと判定した場合に、該当パケットについてのパターンマッチングを実行するか否かを指示する情報を含む前記制御信号を前記侵入検知システムに送信する交換装置とを有することを特徴とする侵入検知装置。
【請求項11】
前記制御信号は、少なくとも受信した該当パケットのIP情報、ポート情報及びパターンマッチングを実行するか否かを指示する情報を含むことを特徴とする請求項10に記載の侵入検知装置。
【請求項12】
前記制御信号は、前記侵入検知システムが宛先であることを指示する情報をさらに含むことを特徴とする請求項11に記載の侵入検知装置。
【請求項13】
パケットを受信する第1の過程と、
前記受信したパケットがパターンマッチングの実行を要請するパケットであるか否かを判定する第2の過程と、
該判定結果に基づいて、パターンマッチングの実行を要請するパケットについてはパターンマッチングを実行し、パターンマッチングを要請しないパケットについてはパターンマッチングを実行しない第3の過程とを有することを特徴とする侵入検知方法。
【請求項14】
前記第2の過程における受信したパケットがパターンマッチングの実行を要請するパケットであるか否かの判定は、前記パケットに含まれたIP情報及びポート情報に基づいて行うことを特徴とする請求項13に記載の侵入検知方法。
【請求項15】
前記第2の過程におけるパターンマッチングの実行を要請するパケットであるか否かの判定は、パターンマッチングが遮断されたポートを介して受信したパケットをパターンマッチングの実行を要請しないパケットと判定し、パターンマッチングが遮断されていないポートを介して受信したパケットをパターンマッチングの実行を要請するパケットと判定することにより行うことを特徴とする請求項13に記載の侵入検知方法。
【請求項16】
前記ポートを介したパターンマッチングの実行を要請しないパケットの受信が終了したと判定すると、前記ポートを介して受信する以後のパケットをパターンマッチングの実行を要請するパケットと判定することを特徴とする請求項15に記載の侵入検知方法。
【請求項17】
パケットを受信する第1の過程と、
前記受信したパケットが実時間処理を要請するパケットであるか否かを判定する第2の過程と、
前記第2の過程の前記判定の結果、実時間処理を要請するパケットについては侵入検知のためのパターンマッチングを実行しないで、実時間処理を要請しないパケットについては侵入検知のためのパターンマッチングを実行する第3の過程とを有することを特徴とする侵入検知方法。
【請求項18】
前記実時間処理を要請するパケットは、VoIPパケットであることを特徴とする請求項17に記載の侵入検知方法。
【請求項1】
受信したパケットについて侵入検知のためのパターンマッチングを実行する機能を備え、前記パターンマッチングを実行するか否かを、制御信号に基づいて決定するための侵入検知システムと、
受信したパケットがパターンマッチングの実行を要請するパケットであるか否かを判定し、該判定結果に基づいて該当パケットについてのパターンマッチングを実行するか否かを指示する情報を含む前記制御信号を生成して前記侵入検知システムに送信する交換装置とを有することを特徴とする侵入検知装置。
【請求項2】
前記制御信号は、該当パケットのIP情報、ポート情報及びパターンマッチングを実行するか否かを指示する情報を含むことを特徴とする請求項1に記載の侵入検知装置。
【請求項3】
受信したパケットについて侵入検知のためのパターンマッチングを実行する機能を備え、前記パターンマッチングを実行する否かを、制御信号に基づいて決定するための侵入検知システムと、
受信したパケットが実時間処理を要請するパケットであるか否かを判定し、該判定結果に基づいて該当パケットについてのパターンマッチングを実行するか否かを指示する情報を含む前記制御信号を生成して前記侵入検知システムに送信する交換装置とを有することを特徴とする侵入検知装置。
【請求項4】
前記実時間処理を要請するパケットは、VoIPパケットであることを特徴とする請求項3に記載の侵入検知装置。
【請求項5】
前記制御信号は、該当パケットのIP情報、ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングを実行するか否かを指示する情報を含むことを特徴とする請求項3に記載の侵入検知装置。
【請求項6】
前記交換装置は、受信したパケットが実時間処理を要請するパケットであると判定した場合に、該当パケットのIP情報、ポート情報及び該当ポートを介して受信するパケットについてのパターンマッチングの遮断を指示する情報を含む前記制御信号を前記侵入検知システムに出力することを特徴とする請求項3に記載の侵入検知装置。
【請求項7】
前記交換装置は、前記パターンマッチングが遮断されたポートを介した、実時間処理を要請するパケットの受信が終了したと判定した場合に、該当パケットのIP情報、ポート情報及びパターンマッチングの実行を指示する情報を含む前記制御信号を前記侵入検知システムに出力することを特徴とする請求項6に記載の侵入検知装置。
【請求項8】
前記交換装置は、受信したVoIPパケットのIP情報及びポート情報を確認し、前記IP情報、ポート情報及びパターンマッチングを遮断するか否かを指示する情報を含む前記制御信号を生成するVoIPシグナリング処理部を有することを特徴とする請求項3に記載の侵入検知装置。
【請求項9】
受信したパケットについて侵入検知のためのパターンマッチングを実行するための侵入検知部と、
受信したパケットが実時間処理を要請するパケットであるか否かを判定し、前記パケットが実時間処理を要請するパケットと判定した場合に、該当パケットについてのパターンマッチングの遮断を指示する情報を含む制御信号を、プロセッサ間通信を介して前記侵入検知部に送信する交換部とを有することを特徴とする侵入検知装置。
【請求項10】
受信したパケットについて侵入検知のためのパターンマッチングを実行する機能を備え、前記パターンマッチングを実行するか否かを、制御信号によって決定するための侵入検知システムと、
受信したパケットが任意の呼の一番目のパケットであるか否かを判定し、一番目のパケットと判定した場合に、該当パケットについてのパターンマッチングを実行するか否かを指示する情報を含む前記制御信号を前記侵入検知システムに送信する交換装置とを有することを特徴とする侵入検知装置。
【請求項11】
前記制御信号は、少なくとも受信した該当パケットのIP情報、ポート情報及びパターンマッチングを実行するか否かを指示する情報を含むことを特徴とする請求項10に記載の侵入検知装置。
【請求項12】
前記制御信号は、前記侵入検知システムが宛先であることを指示する情報をさらに含むことを特徴とする請求項11に記載の侵入検知装置。
【請求項13】
パケットを受信する第1の過程と、
前記受信したパケットがパターンマッチングの実行を要請するパケットであるか否かを判定する第2の過程と、
該判定結果に基づいて、パターンマッチングの実行を要請するパケットについてはパターンマッチングを実行し、パターンマッチングを要請しないパケットについてはパターンマッチングを実行しない第3の過程とを有することを特徴とする侵入検知方法。
【請求項14】
前記第2の過程における受信したパケットがパターンマッチングの実行を要請するパケットであるか否かの判定は、前記パケットに含まれたIP情報及びポート情報に基づいて行うことを特徴とする請求項13に記載の侵入検知方法。
【請求項15】
前記第2の過程におけるパターンマッチングの実行を要請するパケットであるか否かの判定は、パターンマッチングが遮断されたポートを介して受信したパケットをパターンマッチングの実行を要請しないパケットと判定し、パターンマッチングが遮断されていないポートを介して受信したパケットをパターンマッチングの実行を要請するパケットと判定することにより行うことを特徴とする請求項13に記載の侵入検知方法。
【請求項16】
前記ポートを介したパターンマッチングの実行を要請しないパケットの受信が終了したと判定すると、前記ポートを介して受信する以後のパケットをパターンマッチングの実行を要請するパケットと判定することを特徴とする請求項15に記載の侵入検知方法。
【請求項17】
パケットを受信する第1の過程と、
前記受信したパケットが実時間処理を要請するパケットであるか否かを判定する第2の過程と、
前記第2の過程の前記判定の結果、実時間処理を要請するパケットについては侵入検知のためのパターンマッチングを実行しないで、実時間処理を要請しないパケットについては侵入検知のためのパターンマッチングを実行する第3の過程とを有することを特徴とする侵入検知方法。
【請求項18】
前記実時間処理を要請するパケットは、VoIPパケットであることを特徴とする請求項17に記載の侵入検知方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2006−121679(P2006−121679A)
【公開日】平成18年5月11日(2006.5.11)
【国際特許分類】
【出願番号】特願2005−293817(P2005−293817)
【出願日】平成17年10月6日(2005.10.6)
【出願人】(390019839)三星電子株式会社 (8,520)
【氏名又は名称原語表記】Samsung Electronics Co.,Ltd.
【住所又は居所原語表記】416,Maetan−dong,Yeongtong−gu,Suwon−si Gyeonggi−do,Republic of Korea
【Fターム(参考)】
【公開日】平成18年5月11日(2006.5.11)
【国際特許分類】
【出願日】平成17年10月6日(2005.10.6)
【出願人】(390019839)三星電子株式会社 (8,520)
【氏名又は名称原語表記】Samsung Electronics Co.,Ltd.
【住所又は居所原語表記】416,Maetan−dong,Yeongtong−gu,Suwon−si Gyeonggi−do,Republic of Korea
【Fターム(参考)】
[ Back to top ]