不正アクセス検出装置および不正アクセス検出方法
【課題】不正アクセスに関わるセグメントが複数のパケットから構成される場合でも、漏れなく検出を行い、不正アクセス検出のためのパケット解析を効率的に行うことでデータ転送の性能低下を防ぐことを可能とする。
【解決手段】複数のパケットから構成されるセグメントの不正を検出するために、パケットを組み立てながらパケットの解析を行うとともに、パケットの宛先毎に不正アクセスに関わる不正パターンを準備することで、パケットに応じて解析に使用する不正パターンを変える。
【解決手段】複数のパケットから構成されるセグメントの不正を検出するために、パケットを組み立てながらパケットの解析を行うとともに、パケットの宛先毎に不正アクセスに関わる不正パターンを準備することで、パケットに応じて解析に使用する不正パターンを変える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク上に接続されたクライアントとサーバのデータ通信において、サーバに対する不正アクセスを検出し、サーバへの不正アクセスを防止する不正アクセス検出装置および不正アクセス検出方法に関する。
【背景技術】
【0002】
この種の不正アクセスを検知するための従来のパケット転送装置(例えば、特許文献1参照)を図7に示す。図7において、このパケット転送装置10は、ネットワークセグメントAからのパケットを受信するパケット受信部11と、受信したパケットに対し識別子を付加するパケット識別子付加機構12と、受信したパケットが不正アクセスであるか否かを判定するためのパケット解析プログラムを有し不正アクセスの判定を実行するパケット解析機構15と、パケット解析機構15がパケット解析の際に必要となる送出済パケットを格納する送出済みパケット保持機構16と、パケット解析機構15が不正アクセスであるか否かの判定を行うまで、識別子を付加したパケットを一時保留するパケット保留キュー13と、パケット解析機構15により不正アクセスではないと判定されたパケットをネットワークセグメントBへ送出するパケット送出部14から構成されている。
【0003】
パケット受信部11で受信されたパケットは、パケット識別子付加機構12に送られて固有の識別子が付加される。識別子の付加された受信パケットは、パケット保留キュー13に格納されるとともに、パケット解析機構15および送出済みパケット保持機構16に転送される。
【0004】
パケット解析機構15は、パケット識別子付加機構12から転送されてきた受信パケットに対し、必要に応じてパケット保持機構16に保持している送出済みパケットを参照し、自身で保持している不正アクセス判定のためのパケット解析プログラムに基づいて不正アクセスであるか否かの判定を行う。受信パケットが不正アクセスに関わるものはないと判定した場合、パケット解析機構15は、その受信パケットに付加されている識別子をパケット送出部14に通知する。
【0005】
パケット送出部14は、通知された識別子を持つパケットをパケット保留キュー13から取り出し、ネットワークセグメントBへ送出する。一方、受信パケットが不正アクセスと判定された場合、パケット解析機構15は、送出済みパケット保持機構16に保持されている当該パケットを破棄する。また、送出済みパケット保持機構16は、保持しているパケットを一定時間経過するか、予め指定したデータ量を超えた場合に破棄する。
【0006】
【特許文献1】特開2002−63084号公報(第16〜18頁、第9図)
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、上述した従来の不正アクセス検出技術では、送出済みパケット保持機構で保持されているパケットの廃棄を一定時間経過後、または予め設定したデータ量を超えたらとしているため、パケットの転送量が増大してきた場合、不正アクセスの解析の際に必要となる送出済みパケットが破棄されている可能性があるので、不正アクセスに関わるセグメントが複数のパケットから構成され、不正パターンが複数のパケットに跨るような場合、不正アクセスの検出ができないという第1の問題点がある。
【0008】
また、パケット解析機構が、パケット受信部で受信したパケットに対して、不正アクセス検知のための判定情報のうち、いずれかの判定情報が存在するパケットであるか否かを判定する場合、保持されている全ての判定情報について、受信した全てのパケットと比較を行うことで受信パケットが不正アクセスとなるパケットであるか否かを判定しているため、不正アクセス検出に多大な時間がかかり、データ転送の効率が低下するという第2の問題点がある。
【0009】
本発明の目的は、不正パターンが複数のパケットに跨って存在するセグメントにおいても、不正アクセスを検出可能とする不正アクセス検出装置および不正アクセス検出方法を提供することにある。
【0010】
また、本発明の他の目的は、不正アクセス検出のためのパケット解析に要する処理時間を短縮し、パケットの転送効率を向上させることができる不正アクセス検出装置および不正アクセス検出方法を提供することにある。
【課題を解決するための手段】
【0011】
本発明の不正アクセス検出装置は、第1のネットワークからの受信パケットを第2のネットワークへ送出する際に、複数パケットによって構成されるセグメントに組み立て、不正アクセスに関わるパケットであるか否かを判定するパケット解析手段(図1の5)と、パケット解析手段が受信パケットの解析を行う際に、当該パケットと不正アクセスに関わるパケットが有する固有の不正パターンを比較するが、当該不正パターンを不正アクセスの対象となり得る装置毎に格納する不正パターン保持手段(図1の7)と、パケット解析手段によって受信パケットが不正パターンを含んだパケットであることから不正アクセスであると判定した際に、不正アクセスに関わるパケットを破棄する指示を出し、不正アクセスではないと判定した際には、パケットを第2のネットワークへ送出する指示を出すバッファ制御手段(図1の6)と、バッファ制御手段の指示により受信パケットの処理を行うパケットバッファ手段(図1の4)を有する。
【0012】
また、本発明の不正アクセス検出装置は、第1のネットワークから第2のネットワークへ受信パケットを送出する際、受信パケットが不正アクセスに関わるものであるか否かを判定するのに加えて、第2のネットワークからの受信パケットを第1のネットワークへ送出する際にも当該パケットが不正アクセスに関わるものあるか否かを判定する(図4)。このために、第2のネットワークからの受信パケットを格納しバッファ制御手段の指示により格納したパケットの処理を行う第2のパケットバッファ手段(図4の4B)と、第2のパケットバッファ手段から送られてくる受信パケットが不正アクセスに関わるものであるか否かを判定する第2のパケット解析手段(図4の5B)を備える。
【0013】
また、本発明の不正アクセス検出装置は、第1のネットワークからの受信パケットが不正アクセスに関わるものであるか否かを判定するパケット解析手段(図5の5)において、受信パケットが異なるセッションである場合、受信パケットを連続して取り込み並列的に不正アクセスの解析を行うため、同一セッションのセグメントごとに組み立てる複数のパケット組立手段(図5の511〜51n)と、複数のパケット組立手段毎に不正アクセスに関わるパケットであるか否かを判定する複数の不正パケット検出手段(図5の521〜52n)と、受信パケットのセッション情報を段階的に参照してセッション情報の一部からでも同一パケット組立手段に振り分けるパケット振分手段(図5の53)を有する。
【発明の効果】
【0014】
本発明の第1の効果は、複数のパケットから構成されるセグメントにおいて複数のパケットにまたがって不正パターンが存在する不正アクセスを検出可能である。その理由は、不正アクセス検出の際のパケット解析において、不正アクセス検出がされるかセグメントの組み立てが完了するまでパケットを保持し、パケットに対して不正アクセスであるか否かを判定するためである。
【0015】
第2パケット解析に要する処理を軽減することができパケットを高速に転送できることである。その理由は、受信パケットに対して、パケットの宛先毎に不正アクセスの対象となり得るサーバに関する不正パターンのみ比較を行っているためである。
【発明を実施するための最良の形態】
【0016】
本発明の不正アクセス検出装置は、第1のネットワークと第2のネットワーク間に接続され、第2のネットワーク上に接続されている機器に対する不正アクセスを検出する。このため、不正パターン保持手段と、不正アクセス解析の際に、不正アクセスに関わるパケットが有する特定のパターンを第2のネットワークの接続される機器毎に保持しておき、パケットバッファ手段はネットワークから受信したパケットを保持する。
【0017】
そして、パケット解析手段は、複数の受信パケットによって構成されるセグメントに組み立て、不正パターン保持手段から特定パターンを読み出して当該セグメントが不正アクセスに関するものであるか否かを検出する。この結果、不正アクセスと判定されると、バッファ制御手段は、パケットバッファ手段に当該パケットの破棄を指示し、一方、正常なアクセスと判定されると、バッファ制御手段は、当該パケットの通知を受けパケットバッファ手段に当該パケットの他方のネットワークへの送信を指示する。以下、本発明の実施例について図面を参照して詳細に説明する。
【実施例1】
【0018】
[構成の説明]
図1は本発明の不正アクセス検出装置の実施例1を示すブロック図である。この不正アクセス検出装置1は、ネットワークAへパケットを送信するパケット送信部2Aと、ネットワークAからパケットを受信するパケット受信部3Aと、ネットワークBへパケットを送信するパケット送信部2Bと、ネットワークBからパケットを受信するパケット受信部3Bと、パケット受信部3Aからのパケットを一時的に保持するパケットバッファ4と、ネットワークAからの受信パケットが不正アクセスに関わるか否かを判定するパケット解析部5と、パケット解析部5の不正アクセスの判定結果に基づきパケットバッファ4のパケットを制御するバッファ制御部6と、パケット解析部5が受信パケットに対し不正アクセスの判定を行う際に、受信パケットとの比較に使用する不正パターンを格納するための不正パターン保持部7から構成されている。
【0019】
パケット送信部2Aは、ネットワークBからのパケットをパケット受信部3Bから受けるとネットワークAへ送信し、パケット受信部3Aは、ネットワークBへのパケットをネットワークAから受信するとパケットバッファ4へ転送する。パケット送信部2Bは、ネットワークAからのパケットを不正アクセス判定の後にネットワークBへ送信し、パケット受信部3Bは、ネットワークAへのパケットをネットワークBから受信するとパケット送信部2Aへ転送する。
【0020】
パケットバッファ4は、パケット受信部3Aから送られてくるパケットを受け取ると、パケット解析部5での不正アクセス判定処理が完了するまで保持する。
【0021】
パケット解析部5は、受信したパケットが複数集まってセグメントを構成する場合、セグメントに組み立てる機能部と、不正パターン保持部7で保持されている不正パターンを読み出して、組み立てたセグメントに不正パターンと同一パターンの有無を判断する機能部から構成される。
【0022】
バッファ制御部6は、パケット解析部5からの不正アクセスの検知結果を受けてパケットバッファ4に保持されているパケットをパケットで指定されている宛先に送信するか、破棄するかの制御を行う。また、破棄したパケットがセグメントを構成する一部のパケットであり後にセグメントを構成する残りのパケットが続く場合、パケットバッファ4に送られてくる後続のパケットを破棄する。
【0023】
不正パターン保持部7は、不正アクセスとなるパケットが持つ特定のパターンである不正パターンをパケットの宛先ごとに保持していて、パケット解析部5からパケットの宛先を通知されるとそれに応じた使用すべき不正パターンをパケット解析部5に送る。
【0024】
図2は、パケット解析部5の構成示すブロック図である。図2に示すパケット組立部51は、セグメントが複数のパケットによって構成される場合、受信パケットのヘッダ情報を参照して当該パケットの分割順序に従ってセグメントの組み立てを行う。不正パケット検出部52は、パケット組立部51によって組み立てられたセグメントに対して、不正パターン保持部7からパケットの宛先に応じた不正パターンを読み出して不正アクセスの検出を行う。
【0025】
[動作の説明]
次に、以上のように構成された本不正アクセス検出装置の動作について説明する。いま、パケットがネットワークA上のクライアント(図示省略)からネットワークB上のサーバ(図示省略)へ転送されるとする。即ち、パケット受信部3AがネットワークA上のクライアントから送出されたパケットを受信して、パケット送信部2BがネットワークB上のサーバへ送信するものとする。
【0026】
不正パターン保持部7には、不正アクセス検知の際に受信パケットとの比較に使用される不正パターンをネットワーク上の不正アクセスの対象となるサーバ毎に設定しておく。サーバに実装されるOSやアプリケーションプログラムの種別によって不正アクセスの手段が異なるため、サーバに応じた不正パターンが設定される。
【0027】
パケット受信部3Aは、ネットワークA上のクライアントからネットワークB上のサーバ宛のパケットを受信するとパケットバッファ4へ送る。パケットバッファ4に送られてきたパケットは、不正アクセスの判定が完了し、パケットの処理内容が決まるまで保持される。
【0028】
さらに、パケットバッファ4に保持されたパケットはパケット解析部5へと転送される。転送されたパケットは、パケット解析部5内のパケット組立部51によってヘッダ部の解析が行われ、セグメントが分割されたパケットであるか否かが判定される。パケット組立部51は、当該パケットがセグメントの分割されたパケットであった場合、さらに当該パケットのヘッダ部を解析することにより同一セッションのパケットを収集してセグメントを構成する順序に従って組み立てる。
【0029】
パケット組立部51でパケットの処理が開始されると不正パケット検出部52にその通知がなされ、以後、1つのパケットが処理されるごとに通知がなされる。パケット組立部51でのパケット処理の開始の通知を受けた不正パケット検出部52は、パケットのヘッダ情報から宛先サーバを把握し、不正パターン保持部7より宛先サーバに対応する不正パターンを読み出す。
【0030】
不正パケット検出部52は、読み出した不正パターンをパケット組立部51に保持されているパケットと比較し、不正アクセスであるか否かの判定を行う。セグメントが単一のパケットで構成されている場合、不正パケット検出部52は、パケット組立部51で保持されているパケットに対して即、不正アクセスの判定を行う。一方、セグメントが複数のパケットから構成されている場合、最初のパケットがパケット組立部51に保持された時に不正アクセスの判定が開始され、以後、分割されたパケットが到着してパケット組立部51でセグメントに組み立てられるごとに不正アクセスであるか否かの判定が行われる。
【0031】
不正パケット検出部52は、不正アクセスを検出すると、バッファ制御部6に不正アクセスとなったパケットの情報を通知する。バッファ制御部6は、不正パケット検出部52からの不正アクセス検出の通知により、パケットバッファ4に保持されている対象となるパケットを破棄する。破棄したパケットがセグメントを構成する一部のパケットであり後にセグメントを構成する残りのパケットが続く場合、バッファ制御部6はパケットバッファ4に送られてくる後続のパケットを破棄する。
【0032】
不正パケット検出部52は、不正アクセスを検出しなかった場合、バッファ制御部6に不正アクセスとならなかったパケットの情報を通知する。バッファ制御部6は、不正パケット検出部52からの不正アクセスではないパケットの情報に基づいて、対象となるパケットをパケットバッファ4からパケット送信部2Bへ送出させる。
【0033】
図3は、本不正アクセス検出装置の動作を示すフローチャートである。以下の説明においても、上記説明と同様に、ネットワークA上のクライアントからネットワークB上のサーバへ転送されるパケットにおいて不正アクセスの検知を行う場合を例として説明する。
【0034】
ネットワークA上のクライアントが、ネットワークB上のサーバに対してアクセスする際に、クライアントからサーバ対しパケットが転送される。不正アクセス検出装置1は、このネットワークBのサーバへのパケットをパケット受信部3Aで受信する(図3のステップS1)。パケット受信部3Aは、受信したパケットをパケットバッファ4へ転送し、転送された当該パケットはバッファ制御部6により、先の不正アクセス検出で不正アクセスと判定されたセグメントを構成する後続パケットであるか否かの判定が行われる(ステップS2)。判定の結果、不正アクセスと判断されたセグメントを構成する後続パケットであれば、バッファ制御部6は当該パケットを破棄する(ステップS3)。
【0035】
バッファ制御部6により、パケットバッファ4に送られたパケットが不正アクセスと判定されたセグメントの後続パケットでないと判定されると、当該パケットはパケット解析部51に送られ、パケット解析部51によりパケットのヘッダ情報を解析して、当該パケットが複数のパケットによってセグメントを構成する一部であるか否かを判定する(ステップS4)。
【0036】
パケット解析部51によるパケットの解析で、単独でセグメントを構成するパケットと判定されると、パケットのデータ部のみに対して不正アクセスの検出を行う(ステップS5)。一方、パケット解析部51によるパケットの解析で、当該パケットがセグメントの分割されたものである場合、さらに当該パケットのヘッダを解析してセッションが同一であるか確認し(ステップS6)、セグメントを構成する順序に基づいてセグメントの構成を行う(ステップS7)。
【0037】
パケット組立部51は、組み立てたセグメントにおいてパケットの順序が連続しているか否かを判定する(ステップS8)。判定の結果、パケットが連続していた場合、不正アクセス検出部52により処理中パケットのデータ部の不正アクセスの判定を行い、続けて先着パケットと組み合わせたパケット境界を連続したデータ部と見なして不正アクセスの判定を行う(ステップS9)。パケット順序の連続判定において、連続でないと判定した場合、処理中パケットのデータ部のみ不正アクセスの判定を行う(ステップS10)。
【0038】
不正アクセス検出部52によるパケットの不正アクセスであるか否かの判定の結果(ステップS11)、不正アクセスに関わるパケットであると判定されると、不正アクセス検出部52は当該パケットの情報をバッファ制御部6へ通知し、バッファ制御部6は通知された不正アクセスに関わるパケットの情報を元にパケットバッファ4に格納されている該当パケットを破棄する(ステップS12)。
【0039】
不正アクセス検出部52による受信パケットの不正アクセス判定において、不正アクセスではないと判定された場合、パケット組立部51は複数のパケットから構成されるセグメントの組み立てが完了したか否かの判定を行う(ステップS13)。パケット組立部51によるセグメント組み立ての判定の結果、組み立てが完了したと判定されると、パケット組立部51はバッファ制御部6に当該パケットの情報を通知する。バッファ制御部6は、組み立てが完了したセグメントのパケットの情報に基づいて、パケットバッファ4に格納されている当該パケットをネットワークB上のサーバに向けて送出させる(ステップS14)。
【実施例2】
【0040】
図4は、本発明の不正アクセス検出装置の実施例2を示すブロック図である。図4を参照すると、この不正アクセス検出装置は、図1に示した実施例1の構成との対比により明らかなように、ネットワークA,Bに対応して、パケットバッファ4A,4Bとパケット解析部5A,5Bを設けている点が異なる。パケットバッファ4Aおよびパケットバッファ4Bはパケットバッファ4の構成と同じであり、パケット解析部5Aおよびパケット解析部5Bは、図2に示したパケット解析部5の構成と同じである。
【0041】
パケットバッファ4Aは、ネットワークAからのパケットをパケット受信部3A経由で格納し、パケット解析部5Aへ転送する。また、パケットバッファ4Aは、パケット解析部5Aによる不正アクセス判定の結果、不正アクセスではないと判定されたパケットをパケット送信部2Bへ転送する。
【0042】
パケットバッファ4Bは、ネットワークBからのパケットをパケット受信部3B経由で格納し、パケット解析部5Bへ転送する。また、パケットバッファ4Bは、パケット解析部5Bによる不正アクセス判定の結果、不正アクセスではないと判定されたパケットをパケット送信部2Aへ転送する。
【0043】
ネットワークAからネットワークBへ転送されるパケットが不正アクセスであるか否かの判定の動作は実施例1と同様な動作となる。ネットワークBからネットワークAへ転送されるパケットが不正アクセスであるか否かの判定の動作は、動作に関わる各構成要素の参照番号が異なるだけであって、動作自体は実施例1と同様となる。即ち、ネットワークBからのパケットをパケット受信部3Bが受信し、当該パケットをパケットバッファ4Bへ転送する。パケットバッファ4Bは、送られてきたパケットをパケット解析部5Bによる不正アクセスの判定が完了するまで保持する。
【0044】
パケット解析部5Bは、受信パケットをセグメントに組み立てた後、パケットの宛先に対応した不正パターンを不正パターン保持部7から読み出し、不正アクセスの検出を行う。パケット解析部5Bは、受信パケットに対する不正アクセス検出の結果、不正アクセスではないと判断すると当該パケットの情報をバッファ制御部6へ通知する。バッファ制御部6は、パケット解析部5Bからのパケット情報に基づいて、格納しているパケットをパケット送信部2Aへ転送する。
【0045】
実施例2によれば、接続されたネットワークのどちらの方向に対しても不正アクセスの検出を実行しているため、パケットの転送方向にかかわらず、不正アクセスを検出することが可能である。即ち、ネットワークAから受信したパケットに対する不正アクセスの検出とともに、ネットワークBから受信したパケットに対する不正アクセスの検出も行うことができる。
【実施例3】
【0046】
[構成の説明]
本発明の実施例3は、実施例1におけるパケット解析部5、または実施例2におけるパケット解析部5A,5Bの構成を図5に示すように、図2に代って、複数のパケット組立部511〜51nと複数の不正パケット検出部521〜52nとパケット振分け部53とした点が異なる。
【0047】
パケット振分け部53は、パケットバッファ4から転送されてくるパケットのヘッダ情報を段階的に参照することにより、ヘッダ情報を全て参照しなくてもセッションを識別可能な段階で、当該パケットが既にセグメントに組み立てられたパケットに続くものであれば、同一セッションのセグメントを組み立てているパケット組立部へ振り分け、セグメントを構成する最初のパケットであれば、パケット組立部の処理状況を確認して未処理のパケット組立部にパケットを振り分ける。
【0048】
パケット組立部511〜51n,不正アクセス検出部521〜52nは、セッション1〜nに対応し、それらの機能は、それぞれパケット組立部51,不正アクセス検出部52の機能と同様である。
【0049】
[動作の説明]
次に、実施例3の不正アクセス検出の動作を説明する。ここでは、図4に示した実施例2におけるパケット解析部5A,5Bの構成を図5のとおりとし、またパケットがネットワークA上のクライアントからネットワークB上のサーバへのアクセスにおいて転送される際の不正アクセスの検出について述べる。
【0050】
パケット受信部3Aは、ネットワークAからの転送パケットを受信し、パケットバッファ4Aへ転送する。パケットバッファ4Aは、転送されてきたパケットをパケット解析部5Aでの不正アクセス検出が完了しパケット処理が決定するまで一時的に保持するともに、パケット解析部5Aへ転送する。
【0051】
パケット解析部5A内のパケット振分部53は、パケットバッファ4Aから転送されてきたパケットを解析することによってセッションを把握し、既処理済みパケットと同一セッションのパケット組立部51へ当該パケットを振り分ける。パケット組立部51は、振り分けられたパケットをセグメントに構成し、パケットの宛先を対応する不正アクセス検出部52へ通知する。不正アクセス検出部52は、通知されたパケットの宛先を元に対応する不正パターンを不正パターン保持部7から読み出し、セグメントに組み立てたパケットが連続している場合、処理パケットのデータ部と組み合わせたパケットの境界をデータ部と看做して不正アクセスの検出を行う。
【0052】
セグメントに組み立てたパケットが、既処理済みのパケットと連続しない場合、処理パケットのデータ部のみ不正アクセスの検出を行う。不正アクセス検出部52での不正アクセス検出の結果、不正アクセスと判定された場合、不正アクセス検出部52は、不正アクセスとなったパケットの情報をバッファ制御部6に通知する。バッファ制御部6は、不正アクセス検出部52からの通知されたパケット情報に基づいてパケットバッファ4Aに格納されている当該パケットを破棄する。
【0053】
不正アクセス検出部52によるパケットの不正アクセス判定の結果、不正アクセスではないと判定された場合、不正アクセス検出部52は当該パケットの情報をバッファ制御部6に通知する。バッファ制御部6は、不正アクセス検出部52から通知された不正アクセスではないと判定されたパケットの情報に基づき、パケットバッファ4Aに格納されている当該パケットをパケット送信部2Bへ送出させる。
【0054】
図6は本不正アクセス検出装置の動作を示すフローチャートである。ここでも、パケットがネットワークA上のクライアントからネットワークB上のサーバへ転送される際の不正アクセスの検知を行う場合を例として述べる。
【0055】
ネットワークA上のクライアント(図示省略)が、ネットワークB上のサーバ(図示省略)に対してアクセスする際に、クライアントからサーバ対しパケットが転送される。不正アクセス検出装置1は、このネットワークBのサーバへのパケットをパケット受信部3Aで受信する(図6のステップT1)。パケット受信部3Aは、受信したパケットをパケットバッファ4Aへ転送し、パケットバッファ4Aは、送られてきたパケットをパケット解析部5Aでの不正アクセスの検知が完了しパケットの処理内容が決まるまで保持する(ステップT2〜T6)。ここまでの動作は、実施例1における動作(図3のフローチャートのステップS1〜S6)と同様である。この処理の中で、パケットバッファ4Aに保持されたパケットはパケット解析部5Aへ転送される。
【0056】
パケット解析部5A内のパケット振分け部53は、当該パケットのヘッダを参照してセッションの判定を行い、当該パケットが既にセグメントの組み立てを行っている同一セッションのパケットであれば、同一セグメントを処理しているパケット組立部51へ転送し、当該パケットがセグメント組み立てを開始する最初のパケットであれば、パケット組立部51の動作を確認し、パケット処理が可能なパケット組立部51を選択してパケットバッファ4Aから転送されてくるパケットを振り分ける(ステップT7)。
【0057】
パケット組立部51は、パケット振分け部53から振り分けられたパケットをセグメントに組み立てる(ステップT8)。不正アクセス検出部52は、セグメントの組み立てにおいて、処理パケットの順序が連続しているか否かを判定し(ステップT9)、判定結果に応じて、処理パケットのデータ部のみ不正アクセスの検出対象とするのか(ステップT10)、連続するパケット境界部もデータ部と見做して不正アクセス検出対象とするのかを判断して不正アクセス検出を行う(ステップT11)。
【0058】
不正アクセス検出部52は、セグメントに組み立てたパケットに対して、実施例1と同様に不正アクセスの検出を行い(ステップT12)、不正アクセスと判断されたパケットは破棄する(ステップT13)。即ち、不正アクセス検出部52は、不正アクセスと判定したパケット情報をバッファ制御部6に通知することにより、バッファ制御部6は当該パケットが関わるセグメントを破棄する。また、当該セグメントに後続パケットがある場合、バッファ制御部6は、当該受信パケットを廃棄する。
【0059】
不正アクセス検出部52による受信パケットの不正アクセス判定において、不正アクセスではないと判定された場合、実施例1におけるステップS13と同様にセグメント組み立ての完了判定を行い(ステップT14)、セグメント組み立てが完了していれば、当該パケットの情報をバッファ制御部6へ通知する。バッファ制御部6は、不正アクセス検出部52から通知されたパケット情報に基づき、パケットバッファ4に格納されている当該パケットをネットワークB上の宛先サーバへ転送する(ステップT15)。
【0060】
実施例3によれば、パケット解析部5において、パケットの解析が宛先毎に並列的に行えるので、パケット解析に要する処理時間をいっそう短縮し、パケットの転送効率をより向上させることができる。
【図面の簡単な説明】
【0061】
【図1】本発明の不正アクセス検出装置の実施例1を示すブロック図
【図2】実施例1および実施例2によるパケット解析部の構成を示すブロック図
【図3】実施例1による不正アクセス検出処理を示すフローチャート
【図4】本発明の不正アクセス検出装置の実施例2を示すブロック図
【図5】本発明の不正アクセス検出装置の実施例3を示すブロック図
【図6】実施例3による不正アクセス検出処理を示すフローチャート
【図7】従来のパケット転送装置の構成を示すブロック図
【符号の説明】
【0062】
1 不正アクセス検出装置
2A,2B パケット送信部
3A,3B パケット受信部
4,4A,4B パケットバッファ
5,5A,5B パケット解析部
51,511〜51n パケット組立部
52,521〜52n 不正パケット検出部
53 パケット振分部
6 バッファ制御部
7 不正パターン保持部
【技術分野】
【0001】
本発明は、ネットワーク上に接続されたクライアントとサーバのデータ通信において、サーバに対する不正アクセスを検出し、サーバへの不正アクセスを防止する不正アクセス検出装置および不正アクセス検出方法に関する。
【背景技術】
【0002】
この種の不正アクセスを検知するための従来のパケット転送装置(例えば、特許文献1参照)を図7に示す。図7において、このパケット転送装置10は、ネットワークセグメントAからのパケットを受信するパケット受信部11と、受信したパケットに対し識別子を付加するパケット識別子付加機構12と、受信したパケットが不正アクセスであるか否かを判定するためのパケット解析プログラムを有し不正アクセスの判定を実行するパケット解析機構15と、パケット解析機構15がパケット解析の際に必要となる送出済パケットを格納する送出済みパケット保持機構16と、パケット解析機構15が不正アクセスであるか否かの判定を行うまで、識別子を付加したパケットを一時保留するパケット保留キュー13と、パケット解析機構15により不正アクセスではないと判定されたパケットをネットワークセグメントBへ送出するパケット送出部14から構成されている。
【0003】
パケット受信部11で受信されたパケットは、パケット識別子付加機構12に送られて固有の識別子が付加される。識別子の付加された受信パケットは、パケット保留キュー13に格納されるとともに、パケット解析機構15および送出済みパケット保持機構16に転送される。
【0004】
パケット解析機構15は、パケット識別子付加機構12から転送されてきた受信パケットに対し、必要に応じてパケット保持機構16に保持している送出済みパケットを参照し、自身で保持している不正アクセス判定のためのパケット解析プログラムに基づいて不正アクセスであるか否かの判定を行う。受信パケットが不正アクセスに関わるものはないと判定した場合、パケット解析機構15は、その受信パケットに付加されている識別子をパケット送出部14に通知する。
【0005】
パケット送出部14は、通知された識別子を持つパケットをパケット保留キュー13から取り出し、ネットワークセグメントBへ送出する。一方、受信パケットが不正アクセスと判定された場合、パケット解析機構15は、送出済みパケット保持機構16に保持されている当該パケットを破棄する。また、送出済みパケット保持機構16は、保持しているパケットを一定時間経過するか、予め指定したデータ量を超えた場合に破棄する。
【0006】
【特許文献1】特開2002−63084号公報(第16〜18頁、第9図)
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、上述した従来の不正アクセス検出技術では、送出済みパケット保持機構で保持されているパケットの廃棄を一定時間経過後、または予め設定したデータ量を超えたらとしているため、パケットの転送量が増大してきた場合、不正アクセスの解析の際に必要となる送出済みパケットが破棄されている可能性があるので、不正アクセスに関わるセグメントが複数のパケットから構成され、不正パターンが複数のパケットに跨るような場合、不正アクセスの検出ができないという第1の問題点がある。
【0008】
また、パケット解析機構が、パケット受信部で受信したパケットに対して、不正アクセス検知のための判定情報のうち、いずれかの判定情報が存在するパケットであるか否かを判定する場合、保持されている全ての判定情報について、受信した全てのパケットと比較を行うことで受信パケットが不正アクセスとなるパケットであるか否かを判定しているため、不正アクセス検出に多大な時間がかかり、データ転送の効率が低下するという第2の問題点がある。
【0009】
本発明の目的は、不正パターンが複数のパケットに跨って存在するセグメントにおいても、不正アクセスを検出可能とする不正アクセス検出装置および不正アクセス検出方法を提供することにある。
【0010】
また、本発明の他の目的は、不正アクセス検出のためのパケット解析に要する処理時間を短縮し、パケットの転送効率を向上させることができる不正アクセス検出装置および不正アクセス検出方法を提供することにある。
【課題を解決するための手段】
【0011】
本発明の不正アクセス検出装置は、第1のネットワークからの受信パケットを第2のネットワークへ送出する際に、複数パケットによって構成されるセグメントに組み立て、不正アクセスに関わるパケットであるか否かを判定するパケット解析手段(図1の5)と、パケット解析手段が受信パケットの解析を行う際に、当該パケットと不正アクセスに関わるパケットが有する固有の不正パターンを比較するが、当該不正パターンを不正アクセスの対象となり得る装置毎に格納する不正パターン保持手段(図1の7)と、パケット解析手段によって受信パケットが不正パターンを含んだパケットであることから不正アクセスであると判定した際に、不正アクセスに関わるパケットを破棄する指示を出し、不正アクセスではないと判定した際には、パケットを第2のネットワークへ送出する指示を出すバッファ制御手段(図1の6)と、バッファ制御手段の指示により受信パケットの処理を行うパケットバッファ手段(図1の4)を有する。
【0012】
また、本発明の不正アクセス検出装置は、第1のネットワークから第2のネットワークへ受信パケットを送出する際、受信パケットが不正アクセスに関わるものであるか否かを判定するのに加えて、第2のネットワークからの受信パケットを第1のネットワークへ送出する際にも当該パケットが不正アクセスに関わるものあるか否かを判定する(図4)。このために、第2のネットワークからの受信パケットを格納しバッファ制御手段の指示により格納したパケットの処理を行う第2のパケットバッファ手段(図4の4B)と、第2のパケットバッファ手段から送られてくる受信パケットが不正アクセスに関わるものであるか否かを判定する第2のパケット解析手段(図4の5B)を備える。
【0013】
また、本発明の不正アクセス検出装置は、第1のネットワークからの受信パケットが不正アクセスに関わるものであるか否かを判定するパケット解析手段(図5の5)において、受信パケットが異なるセッションである場合、受信パケットを連続して取り込み並列的に不正アクセスの解析を行うため、同一セッションのセグメントごとに組み立てる複数のパケット組立手段(図5の511〜51n)と、複数のパケット組立手段毎に不正アクセスに関わるパケットであるか否かを判定する複数の不正パケット検出手段(図5の521〜52n)と、受信パケットのセッション情報を段階的に参照してセッション情報の一部からでも同一パケット組立手段に振り分けるパケット振分手段(図5の53)を有する。
【発明の効果】
【0014】
本発明の第1の効果は、複数のパケットから構成されるセグメントにおいて複数のパケットにまたがって不正パターンが存在する不正アクセスを検出可能である。その理由は、不正アクセス検出の際のパケット解析において、不正アクセス検出がされるかセグメントの組み立てが完了するまでパケットを保持し、パケットに対して不正アクセスであるか否かを判定するためである。
【0015】
第2パケット解析に要する処理を軽減することができパケットを高速に転送できることである。その理由は、受信パケットに対して、パケットの宛先毎に不正アクセスの対象となり得るサーバに関する不正パターンのみ比較を行っているためである。
【発明を実施するための最良の形態】
【0016】
本発明の不正アクセス検出装置は、第1のネットワークと第2のネットワーク間に接続され、第2のネットワーク上に接続されている機器に対する不正アクセスを検出する。このため、不正パターン保持手段と、不正アクセス解析の際に、不正アクセスに関わるパケットが有する特定のパターンを第2のネットワークの接続される機器毎に保持しておき、パケットバッファ手段はネットワークから受信したパケットを保持する。
【0017】
そして、パケット解析手段は、複数の受信パケットによって構成されるセグメントに組み立て、不正パターン保持手段から特定パターンを読み出して当該セグメントが不正アクセスに関するものであるか否かを検出する。この結果、不正アクセスと判定されると、バッファ制御手段は、パケットバッファ手段に当該パケットの破棄を指示し、一方、正常なアクセスと判定されると、バッファ制御手段は、当該パケットの通知を受けパケットバッファ手段に当該パケットの他方のネットワークへの送信を指示する。以下、本発明の実施例について図面を参照して詳細に説明する。
【実施例1】
【0018】
[構成の説明]
図1は本発明の不正アクセス検出装置の実施例1を示すブロック図である。この不正アクセス検出装置1は、ネットワークAへパケットを送信するパケット送信部2Aと、ネットワークAからパケットを受信するパケット受信部3Aと、ネットワークBへパケットを送信するパケット送信部2Bと、ネットワークBからパケットを受信するパケット受信部3Bと、パケット受信部3Aからのパケットを一時的に保持するパケットバッファ4と、ネットワークAからの受信パケットが不正アクセスに関わるか否かを判定するパケット解析部5と、パケット解析部5の不正アクセスの判定結果に基づきパケットバッファ4のパケットを制御するバッファ制御部6と、パケット解析部5が受信パケットに対し不正アクセスの判定を行う際に、受信パケットとの比較に使用する不正パターンを格納するための不正パターン保持部7から構成されている。
【0019】
パケット送信部2Aは、ネットワークBからのパケットをパケット受信部3Bから受けるとネットワークAへ送信し、パケット受信部3Aは、ネットワークBへのパケットをネットワークAから受信するとパケットバッファ4へ転送する。パケット送信部2Bは、ネットワークAからのパケットを不正アクセス判定の後にネットワークBへ送信し、パケット受信部3Bは、ネットワークAへのパケットをネットワークBから受信するとパケット送信部2Aへ転送する。
【0020】
パケットバッファ4は、パケット受信部3Aから送られてくるパケットを受け取ると、パケット解析部5での不正アクセス判定処理が完了するまで保持する。
【0021】
パケット解析部5は、受信したパケットが複数集まってセグメントを構成する場合、セグメントに組み立てる機能部と、不正パターン保持部7で保持されている不正パターンを読み出して、組み立てたセグメントに不正パターンと同一パターンの有無を判断する機能部から構成される。
【0022】
バッファ制御部6は、パケット解析部5からの不正アクセスの検知結果を受けてパケットバッファ4に保持されているパケットをパケットで指定されている宛先に送信するか、破棄するかの制御を行う。また、破棄したパケットがセグメントを構成する一部のパケットであり後にセグメントを構成する残りのパケットが続く場合、パケットバッファ4に送られてくる後続のパケットを破棄する。
【0023】
不正パターン保持部7は、不正アクセスとなるパケットが持つ特定のパターンである不正パターンをパケットの宛先ごとに保持していて、パケット解析部5からパケットの宛先を通知されるとそれに応じた使用すべき不正パターンをパケット解析部5に送る。
【0024】
図2は、パケット解析部5の構成示すブロック図である。図2に示すパケット組立部51は、セグメントが複数のパケットによって構成される場合、受信パケットのヘッダ情報を参照して当該パケットの分割順序に従ってセグメントの組み立てを行う。不正パケット検出部52は、パケット組立部51によって組み立てられたセグメントに対して、不正パターン保持部7からパケットの宛先に応じた不正パターンを読み出して不正アクセスの検出を行う。
【0025】
[動作の説明]
次に、以上のように構成された本不正アクセス検出装置の動作について説明する。いま、パケットがネットワークA上のクライアント(図示省略)からネットワークB上のサーバ(図示省略)へ転送されるとする。即ち、パケット受信部3AがネットワークA上のクライアントから送出されたパケットを受信して、パケット送信部2BがネットワークB上のサーバへ送信するものとする。
【0026】
不正パターン保持部7には、不正アクセス検知の際に受信パケットとの比較に使用される不正パターンをネットワーク上の不正アクセスの対象となるサーバ毎に設定しておく。サーバに実装されるOSやアプリケーションプログラムの種別によって不正アクセスの手段が異なるため、サーバに応じた不正パターンが設定される。
【0027】
パケット受信部3Aは、ネットワークA上のクライアントからネットワークB上のサーバ宛のパケットを受信するとパケットバッファ4へ送る。パケットバッファ4に送られてきたパケットは、不正アクセスの判定が完了し、パケットの処理内容が決まるまで保持される。
【0028】
さらに、パケットバッファ4に保持されたパケットはパケット解析部5へと転送される。転送されたパケットは、パケット解析部5内のパケット組立部51によってヘッダ部の解析が行われ、セグメントが分割されたパケットであるか否かが判定される。パケット組立部51は、当該パケットがセグメントの分割されたパケットであった場合、さらに当該パケットのヘッダ部を解析することにより同一セッションのパケットを収集してセグメントを構成する順序に従って組み立てる。
【0029】
パケット組立部51でパケットの処理が開始されると不正パケット検出部52にその通知がなされ、以後、1つのパケットが処理されるごとに通知がなされる。パケット組立部51でのパケット処理の開始の通知を受けた不正パケット検出部52は、パケットのヘッダ情報から宛先サーバを把握し、不正パターン保持部7より宛先サーバに対応する不正パターンを読み出す。
【0030】
不正パケット検出部52は、読み出した不正パターンをパケット組立部51に保持されているパケットと比較し、不正アクセスであるか否かの判定を行う。セグメントが単一のパケットで構成されている場合、不正パケット検出部52は、パケット組立部51で保持されているパケットに対して即、不正アクセスの判定を行う。一方、セグメントが複数のパケットから構成されている場合、最初のパケットがパケット組立部51に保持された時に不正アクセスの判定が開始され、以後、分割されたパケットが到着してパケット組立部51でセグメントに組み立てられるごとに不正アクセスであるか否かの判定が行われる。
【0031】
不正パケット検出部52は、不正アクセスを検出すると、バッファ制御部6に不正アクセスとなったパケットの情報を通知する。バッファ制御部6は、不正パケット検出部52からの不正アクセス検出の通知により、パケットバッファ4に保持されている対象となるパケットを破棄する。破棄したパケットがセグメントを構成する一部のパケットであり後にセグメントを構成する残りのパケットが続く場合、バッファ制御部6はパケットバッファ4に送られてくる後続のパケットを破棄する。
【0032】
不正パケット検出部52は、不正アクセスを検出しなかった場合、バッファ制御部6に不正アクセスとならなかったパケットの情報を通知する。バッファ制御部6は、不正パケット検出部52からの不正アクセスではないパケットの情報に基づいて、対象となるパケットをパケットバッファ4からパケット送信部2Bへ送出させる。
【0033】
図3は、本不正アクセス検出装置の動作を示すフローチャートである。以下の説明においても、上記説明と同様に、ネットワークA上のクライアントからネットワークB上のサーバへ転送されるパケットにおいて不正アクセスの検知を行う場合を例として説明する。
【0034】
ネットワークA上のクライアントが、ネットワークB上のサーバに対してアクセスする際に、クライアントからサーバ対しパケットが転送される。不正アクセス検出装置1は、このネットワークBのサーバへのパケットをパケット受信部3Aで受信する(図3のステップS1)。パケット受信部3Aは、受信したパケットをパケットバッファ4へ転送し、転送された当該パケットはバッファ制御部6により、先の不正アクセス検出で不正アクセスと判定されたセグメントを構成する後続パケットであるか否かの判定が行われる(ステップS2)。判定の結果、不正アクセスと判断されたセグメントを構成する後続パケットであれば、バッファ制御部6は当該パケットを破棄する(ステップS3)。
【0035】
バッファ制御部6により、パケットバッファ4に送られたパケットが不正アクセスと判定されたセグメントの後続パケットでないと判定されると、当該パケットはパケット解析部51に送られ、パケット解析部51によりパケットのヘッダ情報を解析して、当該パケットが複数のパケットによってセグメントを構成する一部であるか否かを判定する(ステップS4)。
【0036】
パケット解析部51によるパケットの解析で、単独でセグメントを構成するパケットと判定されると、パケットのデータ部のみに対して不正アクセスの検出を行う(ステップS5)。一方、パケット解析部51によるパケットの解析で、当該パケットがセグメントの分割されたものである場合、さらに当該パケットのヘッダを解析してセッションが同一であるか確認し(ステップS6)、セグメントを構成する順序に基づいてセグメントの構成を行う(ステップS7)。
【0037】
パケット組立部51は、組み立てたセグメントにおいてパケットの順序が連続しているか否かを判定する(ステップS8)。判定の結果、パケットが連続していた場合、不正アクセス検出部52により処理中パケットのデータ部の不正アクセスの判定を行い、続けて先着パケットと組み合わせたパケット境界を連続したデータ部と見なして不正アクセスの判定を行う(ステップS9)。パケット順序の連続判定において、連続でないと判定した場合、処理中パケットのデータ部のみ不正アクセスの判定を行う(ステップS10)。
【0038】
不正アクセス検出部52によるパケットの不正アクセスであるか否かの判定の結果(ステップS11)、不正アクセスに関わるパケットであると判定されると、不正アクセス検出部52は当該パケットの情報をバッファ制御部6へ通知し、バッファ制御部6は通知された不正アクセスに関わるパケットの情報を元にパケットバッファ4に格納されている該当パケットを破棄する(ステップS12)。
【0039】
不正アクセス検出部52による受信パケットの不正アクセス判定において、不正アクセスではないと判定された場合、パケット組立部51は複数のパケットから構成されるセグメントの組み立てが完了したか否かの判定を行う(ステップS13)。パケット組立部51によるセグメント組み立ての判定の結果、組み立てが完了したと判定されると、パケット組立部51はバッファ制御部6に当該パケットの情報を通知する。バッファ制御部6は、組み立てが完了したセグメントのパケットの情報に基づいて、パケットバッファ4に格納されている当該パケットをネットワークB上のサーバに向けて送出させる(ステップS14)。
【実施例2】
【0040】
図4は、本発明の不正アクセス検出装置の実施例2を示すブロック図である。図4を参照すると、この不正アクセス検出装置は、図1に示した実施例1の構成との対比により明らかなように、ネットワークA,Bに対応して、パケットバッファ4A,4Bとパケット解析部5A,5Bを設けている点が異なる。パケットバッファ4Aおよびパケットバッファ4Bはパケットバッファ4の構成と同じであり、パケット解析部5Aおよびパケット解析部5Bは、図2に示したパケット解析部5の構成と同じである。
【0041】
パケットバッファ4Aは、ネットワークAからのパケットをパケット受信部3A経由で格納し、パケット解析部5Aへ転送する。また、パケットバッファ4Aは、パケット解析部5Aによる不正アクセス判定の結果、不正アクセスではないと判定されたパケットをパケット送信部2Bへ転送する。
【0042】
パケットバッファ4Bは、ネットワークBからのパケットをパケット受信部3B経由で格納し、パケット解析部5Bへ転送する。また、パケットバッファ4Bは、パケット解析部5Bによる不正アクセス判定の結果、不正アクセスではないと判定されたパケットをパケット送信部2Aへ転送する。
【0043】
ネットワークAからネットワークBへ転送されるパケットが不正アクセスであるか否かの判定の動作は実施例1と同様な動作となる。ネットワークBからネットワークAへ転送されるパケットが不正アクセスであるか否かの判定の動作は、動作に関わる各構成要素の参照番号が異なるだけであって、動作自体は実施例1と同様となる。即ち、ネットワークBからのパケットをパケット受信部3Bが受信し、当該パケットをパケットバッファ4Bへ転送する。パケットバッファ4Bは、送られてきたパケットをパケット解析部5Bによる不正アクセスの判定が完了するまで保持する。
【0044】
パケット解析部5Bは、受信パケットをセグメントに組み立てた後、パケットの宛先に対応した不正パターンを不正パターン保持部7から読み出し、不正アクセスの検出を行う。パケット解析部5Bは、受信パケットに対する不正アクセス検出の結果、不正アクセスではないと判断すると当該パケットの情報をバッファ制御部6へ通知する。バッファ制御部6は、パケット解析部5Bからのパケット情報に基づいて、格納しているパケットをパケット送信部2Aへ転送する。
【0045】
実施例2によれば、接続されたネットワークのどちらの方向に対しても不正アクセスの検出を実行しているため、パケットの転送方向にかかわらず、不正アクセスを検出することが可能である。即ち、ネットワークAから受信したパケットに対する不正アクセスの検出とともに、ネットワークBから受信したパケットに対する不正アクセスの検出も行うことができる。
【実施例3】
【0046】
[構成の説明]
本発明の実施例3は、実施例1におけるパケット解析部5、または実施例2におけるパケット解析部5A,5Bの構成を図5に示すように、図2に代って、複数のパケット組立部511〜51nと複数の不正パケット検出部521〜52nとパケット振分け部53とした点が異なる。
【0047】
パケット振分け部53は、パケットバッファ4から転送されてくるパケットのヘッダ情報を段階的に参照することにより、ヘッダ情報を全て参照しなくてもセッションを識別可能な段階で、当該パケットが既にセグメントに組み立てられたパケットに続くものであれば、同一セッションのセグメントを組み立てているパケット組立部へ振り分け、セグメントを構成する最初のパケットであれば、パケット組立部の処理状況を確認して未処理のパケット組立部にパケットを振り分ける。
【0048】
パケット組立部511〜51n,不正アクセス検出部521〜52nは、セッション1〜nに対応し、それらの機能は、それぞれパケット組立部51,不正アクセス検出部52の機能と同様である。
【0049】
[動作の説明]
次に、実施例3の不正アクセス検出の動作を説明する。ここでは、図4に示した実施例2におけるパケット解析部5A,5Bの構成を図5のとおりとし、またパケットがネットワークA上のクライアントからネットワークB上のサーバへのアクセスにおいて転送される際の不正アクセスの検出について述べる。
【0050】
パケット受信部3Aは、ネットワークAからの転送パケットを受信し、パケットバッファ4Aへ転送する。パケットバッファ4Aは、転送されてきたパケットをパケット解析部5Aでの不正アクセス検出が完了しパケット処理が決定するまで一時的に保持するともに、パケット解析部5Aへ転送する。
【0051】
パケット解析部5A内のパケット振分部53は、パケットバッファ4Aから転送されてきたパケットを解析することによってセッションを把握し、既処理済みパケットと同一セッションのパケット組立部51へ当該パケットを振り分ける。パケット組立部51は、振り分けられたパケットをセグメントに構成し、パケットの宛先を対応する不正アクセス検出部52へ通知する。不正アクセス検出部52は、通知されたパケットの宛先を元に対応する不正パターンを不正パターン保持部7から読み出し、セグメントに組み立てたパケットが連続している場合、処理パケットのデータ部と組み合わせたパケットの境界をデータ部と看做して不正アクセスの検出を行う。
【0052】
セグメントに組み立てたパケットが、既処理済みのパケットと連続しない場合、処理パケットのデータ部のみ不正アクセスの検出を行う。不正アクセス検出部52での不正アクセス検出の結果、不正アクセスと判定された場合、不正アクセス検出部52は、不正アクセスとなったパケットの情報をバッファ制御部6に通知する。バッファ制御部6は、不正アクセス検出部52からの通知されたパケット情報に基づいてパケットバッファ4Aに格納されている当該パケットを破棄する。
【0053】
不正アクセス検出部52によるパケットの不正アクセス判定の結果、不正アクセスではないと判定された場合、不正アクセス検出部52は当該パケットの情報をバッファ制御部6に通知する。バッファ制御部6は、不正アクセス検出部52から通知された不正アクセスではないと判定されたパケットの情報に基づき、パケットバッファ4Aに格納されている当該パケットをパケット送信部2Bへ送出させる。
【0054】
図6は本不正アクセス検出装置の動作を示すフローチャートである。ここでも、パケットがネットワークA上のクライアントからネットワークB上のサーバへ転送される際の不正アクセスの検知を行う場合を例として述べる。
【0055】
ネットワークA上のクライアント(図示省略)が、ネットワークB上のサーバ(図示省略)に対してアクセスする際に、クライアントからサーバ対しパケットが転送される。不正アクセス検出装置1は、このネットワークBのサーバへのパケットをパケット受信部3Aで受信する(図6のステップT1)。パケット受信部3Aは、受信したパケットをパケットバッファ4Aへ転送し、パケットバッファ4Aは、送られてきたパケットをパケット解析部5Aでの不正アクセスの検知が完了しパケットの処理内容が決まるまで保持する(ステップT2〜T6)。ここまでの動作は、実施例1における動作(図3のフローチャートのステップS1〜S6)と同様である。この処理の中で、パケットバッファ4Aに保持されたパケットはパケット解析部5Aへ転送される。
【0056】
パケット解析部5A内のパケット振分け部53は、当該パケットのヘッダを参照してセッションの判定を行い、当該パケットが既にセグメントの組み立てを行っている同一セッションのパケットであれば、同一セグメントを処理しているパケット組立部51へ転送し、当該パケットがセグメント組み立てを開始する最初のパケットであれば、パケット組立部51の動作を確認し、パケット処理が可能なパケット組立部51を選択してパケットバッファ4Aから転送されてくるパケットを振り分ける(ステップT7)。
【0057】
パケット組立部51は、パケット振分け部53から振り分けられたパケットをセグメントに組み立てる(ステップT8)。不正アクセス検出部52は、セグメントの組み立てにおいて、処理パケットの順序が連続しているか否かを判定し(ステップT9)、判定結果に応じて、処理パケットのデータ部のみ不正アクセスの検出対象とするのか(ステップT10)、連続するパケット境界部もデータ部と見做して不正アクセス検出対象とするのかを判断して不正アクセス検出を行う(ステップT11)。
【0058】
不正アクセス検出部52は、セグメントに組み立てたパケットに対して、実施例1と同様に不正アクセスの検出を行い(ステップT12)、不正アクセスと判断されたパケットは破棄する(ステップT13)。即ち、不正アクセス検出部52は、不正アクセスと判定したパケット情報をバッファ制御部6に通知することにより、バッファ制御部6は当該パケットが関わるセグメントを破棄する。また、当該セグメントに後続パケットがある場合、バッファ制御部6は、当該受信パケットを廃棄する。
【0059】
不正アクセス検出部52による受信パケットの不正アクセス判定において、不正アクセスではないと判定された場合、実施例1におけるステップS13と同様にセグメント組み立ての完了判定を行い(ステップT14)、セグメント組み立てが完了していれば、当該パケットの情報をバッファ制御部6へ通知する。バッファ制御部6は、不正アクセス検出部52から通知されたパケット情報に基づき、パケットバッファ4に格納されている当該パケットをネットワークB上の宛先サーバへ転送する(ステップT15)。
【0060】
実施例3によれば、パケット解析部5において、パケットの解析が宛先毎に並列的に行えるので、パケット解析に要する処理時間をいっそう短縮し、パケットの転送効率をより向上させることができる。
【図面の簡単な説明】
【0061】
【図1】本発明の不正アクセス検出装置の実施例1を示すブロック図
【図2】実施例1および実施例2によるパケット解析部の構成を示すブロック図
【図3】実施例1による不正アクセス検出処理を示すフローチャート
【図4】本発明の不正アクセス検出装置の実施例2を示すブロック図
【図5】本発明の不正アクセス検出装置の実施例3を示すブロック図
【図6】実施例3による不正アクセス検出処理を示すフローチャート
【図7】従来のパケット転送装置の構成を示すブロック図
【符号の説明】
【0062】
1 不正アクセス検出装置
2A,2B パケット送信部
3A,3B パケット受信部
4,4A,4B パケットバッファ
5,5A,5B パケット解析部
51,511〜51n パケット組立部
52,521〜52n 不正パケット検出部
53 パケット振分部
6 バッファ制御部
7 不正パターン保持部
【特許請求の範囲】
【請求項1】
第1のネットワークと第2のネットワーク間に接続され、第2のネットワーク上に接続されている機器に対する不正アクセスを検出するための不正アクセス検出装置において、
不正アクセス解析の際に、不正アクセスに関わるパケットが有する特定のパターンを第2のネットワークの接続される機器毎に保持する不正パターン保持手段と、
前記ネットワークから受信したパケットを保持するパケットバッファ手段と、
複数の前記受信パケットによって構成されるセグメントに組み立てるパケット組立手段、および前記不正パターン保持手段から特定パターンを読み出して当該セグメントが不正アクセスに関するものであるか否かを検出する不正パケット検出手段から成るパケット解析手段と、
前記パケット解析手段によって不正アクセスと判定されると、当該パケットの通知を受け前記パケットバッファ手段に当該パケットの破棄を指示し、前記パケット解析手段によって正常なアクセスと判定されると、当該パケットの通知を受け前記パケットバッファ手段に当該パケットの他方のネットワークへの送信を指示するバッファ制御手段とを備えたことを特徴する不正アクセス検出装置。
【請求項2】
前記パケット解析手段および前記パケットバッファ手段を前記第1のネットワークと前記第2のネットワーク毎に設けたことを特徴とした請求項1に記載の不正アクセス検出装置。
【請求項3】
前記パケット組立手段と前記不正パケット検出手段を前記機器と1対1対応に設け、また受信パケットのヘッダ情報を段階的に参照してセッションを判別し、セッションを識別可能な段階的で同一セッションを処理するパケット組立手段へ受信パケットを振り分けるパケット振分手段を設けて、前記機器と1対1対応に並列的に不正アクセス検出のパケット処理を行うことを特徴とした請求項1または請求項2に記載の不正アクセス検出装置。
【請求項4】
前記不正パターン保持手段は、前記ネットワーク接続される装置毎に、OSやアプリケーションの種別によって異なる不正アクセスを検出するための不正パターンを格納し、前記パケット解析手段によって前記不正パターン保持手段に格納されたパケットの宛先に応じた不正パターンを使用して不正アクセスの判定を行うことを特徴とする請求項1〜3のいずれかに記載の不正アクセス検出装置。
【請求項5】
前記パケット組立手段は、受信パケットのヘッダ情報を参照することにより、同一セッションのセグメントに組み立てることを特徴とする請求項1〜4のいずれかに記載の不正アクセス検出装置。
【請求項6】
前記パケット解析手段によって複数のパケットから構成されるセグメントが不正アクセスと判定された場合、前記パケットバッファ手段は格納済みの当該パケットを破棄し、後続パケットを格納することなく破棄することを特徴とする請求項1〜5のいずれかに記載の不正アクセス検出装置。
【請求項7】
請求項1記載の不正アクセス検出装置における不正アクセス検出方法であって、
不正アクセスが関わるパケットが有する特定のパターンを第2のネットワークの接続される機器毎に保持する段階と、
第1のネットワークから受信したパケットを保持し複数の前記受信パケットによって構成されるセグメントに組み立てる段階と、
前記特定のパターンにより前記セグメントが不正アクセスに関するものであるか否かを判定する段階と、
不正アクセスと判定されると前記パケットバッファ手段に当該パケットの破棄を指示し、一方不正アクセスではないと判定されると前記パケットバッファ手段に当該パケットの第2のネットワークへの送信を指示する段階を有することを特徴する不正アクセス検出方法。
【請求項1】
第1のネットワークと第2のネットワーク間に接続され、第2のネットワーク上に接続されている機器に対する不正アクセスを検出するための不正アクセス検出装置において、
不正アクセス解析の際に、不正アクセスに関わるパケットが有する特定のパターンを第2のネットワークの接続される機器毎に保持する不正パターン保持手段と、
前記ネットワークから受信したパケットを保持するパケットバッファ手段と、
複数の前記受信パケットによって構成されるセグメントに組み立てるパケット組立手段、および前記不正パターン保持手段から特定パターンを読み出して当該セグメントが不正アクセスに関するものであるか否かを検出する不正パケット検出手段から成るパケット解析手段と、
前記パケット解析手段によって不正アクセスと判定されると、当該パケットの通知を受け前記パケットバッファ手段に当該パケットの破棄を指示し、前記パケット解析手段によって正常なアクセスと判定されると、当該パケットの通知を受け前記パケットバッファ手段に当該パケットの他方のネットワークへの送信を指示するバッファ制御手段とを備えたことを特徴する不正アクセス検出装置。
【請求項2】
前記パケット解析手段および前記パケットバッファ手段を前記第1のネットワークと前記第2のネットワーク毎に設けたことを特徴とした請求項1に記載の不正アクセス検出装置。
【請求項3】
前記パケット組立手段と前記不正パケット検出手段を前記機器と1対1対応に設け、また受信パケットのヘッダ情報を段階的に参照してセッションを判別し、セッションを識別可能な段階的で同一セッションを処理するパケット組立手段へ受信パケットを振り分けるパケット振分手段を設けて、前記機器と1対1対応に並列的に不正アクセス検出のパケット処理を行うことを特徴とした請求項1または請求項2に記載の不正アクセス検出装置。
【請求項4】
前記不正パターン保持手段は、前記ネットワーク接続される装置毎に、OSやアプリケーションの種別によって異なる不正アクセスを検出するための不正パターンを格納し、前記パケット解析手段によって前記不正パターン保持手段に格納されたパケットの宛先に応じた不正パターンを使用して不正アクセスの判定を行うことを特徴とする請求項1〜3のいずれかに記載の不正アクセス検出装置。
【請求項5】
前記パケット組立手段は、受信パケットのヘッダ情報を参照することにより、同一セッションのセグメントに組み立てることを特徴とする請求項1〜4のいずれかに記載の不正アクセス検出装置。
【請求項6】
前記パケット解析手段によって複数のパケットから構成されるセグメントが不正アクセスと判定された場合、前記パケットバッファ手段は格納済みの当該パケットを破棄し、後続パケットを格納することなく破棄することを特徴とする請求項1〜5のいずれかに記載の不正アクセス検出装置。
【請求項7】
請求項1記載の不正アクセス検出装置における不正アクセス検出方法であって、
不正アクセスが関わるパケットが有する特定のパターンを第2のネットワークの接続される機器毎に保持する段階と、
第1のネットワークから受信したパケットを保持し複数の前記受信パケットによって構成されるセグメントに組み立てる段階と、
前記特定のパターンにより前記セグメントが不正アクセスに関するものであるか否かを判定する段階と、
不正アクセスと判定されると前記パケットバッファ手段に当該パケットの破棄を指示し、一方不正アクセスではないと判定されると前記パケットバッファ手段に当該パケットの第2のネットワークへの送信を指示する段階を有することを特徴する不正アクセス検出方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2008−22177(P2008−22177A)
【公開日】平成20年1月31日(2008.1.31)
【国際特許分類】
【出願番号】特願2006−191003(P2006−191003)
【出願日】平成18年7月12日(2006.7.12)
【出願人】(303013763)NECエンジニアリング株式会社 (651)
【Fターム(参考)】
【公開日】平成20年1月31日(2008.1.31)
【国際特許分類】
【出願日】平成18年7月12日(2006.7.12)
【出願人】(303013763)NECエンジニアリング株式会社 (651)
【Fターム(参考)】
[ Back to top ]