不正侵入検知システム、不正侵入検知装置および管理装置
【課題】IDS装置の障害によっても、IDS装置が設けられたネットワーク内の全てのパケットが通信不能とならない不正侵入検知システムを得ること。
【解決手段】ネットワークa上を流れるパケットをコピーし、このコピーしたパケットを解析して不正パケットの検知を行なう不正侵入検知装置30と、ネットワークb上を流れるパケットを直接解析して、不正パケットを検知した場合に所定の対処を行う不正侵入対処装置40と、をネットワーク10に配置した不正侵入検知システムであって、不正侵入検知装置30は、不正パケットを検知した場合に、該不正パケットを中継したルータ装置15に対して、不正パケットの宛先と同じ宛先へのパケットを不正侵入対処装置40へ送信するように指示する転送先変更メッセージを送信する不正パケット対処部35を備える。
【解決手段】ネットワークa上を流れるパケットをコピーし、このコピーしたパケットを解析して不正パケットの検知を行なう不正侵入検知装置30と、ネットワークb上を流れるパケットを直接解析して、不正パケットを検知した場合に所定の対処を行う不正侵入対処装置40と、をネットワーク10に配置した不正侵入検知システムであって、不正侵入検知装置30は、不正パケットを検知した場合に、該不正パケットを中継したルータ装置15に対して、不正パケットの宛先と同じ宛先へのパケットを不正侵入対処装置40へ送信するように指示する転送先変更メッセージを送信する不正パケット対処部35を備える。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、公衆ネットワークや共有ネットワークにおいてIDS(Intrusion Detection System)装置またはIDP(Intrusion Detection Protection)装置などの不正侵入検知装置を配置して不正パケットに対する検知および対処を行う不正侵入検知システムに関するものである。また、この不正侵入検知システムで使用される不正侵入検知装置と管理装置にも関するものである。
【背景技術】
【0002】
IDS装置やIDP装置に代表される不正検知技術は、不正なパケットであるか否かの分析をパケット内のデータに基づいて実施しており、シグネチャー処理やログ解析処理などのさまざまな分析処理を用いて不正なパケットを検出し、悪意のあるユーザからの不正パケットを排除するものである。
【0003】
IDS装置には、ネットワーク上を流れるパケットを監視するネットワーク型IDS装置と、ホストに到達したパケットをそのホストが検証するホスト型IDS装置がある。しかし、ホスト型IDS装置の場合には、監視する必要のある全てのホストに導入する必要があり、運用コストがかかってしまうという問題点を有する。これに対して、ネットワーク型IDS装置は、基本的には1つのネットワークに対して1台の装置を導入すればよく、また、ネットワーク上を流れるパケットを基にして分析するために、不正パケットを検出した時点で即座に対応することが可能であり、実際の攻撃からシステムを防御することができる(たとえば、非特許文献1参照)。
【0004】
このようなネットワーク型IDS装置は、ネットワークの通り道に設置するインライン型の形態のものと、ネットワーク上を通過するパケットの監視のみを行うネットワーク型の形態のもの(狭義のネットワーク型IDS装置)とにさらに大別される。狭義のネットワーク型IDS装置では、ネットワーク上の通過パケットをコピーしてパケットをチェックする形態であるため、不正を検知したとしても廃棄などの対処を行うことはできない。一方のインライン型IDS装置は、ファイアウォールのようにネットワークの通り道に設置して、ネットワークを通過するパケットを監視するものであるので、パケットをチェックして異常を検知すると、そのパケットがネットワークに到達する前に自動的にパケットを遮断したり、攻撃を行っているIPアドレスからのパケットを破棄したり、セッションの切断などの対処を行うことができる。
【0005】
【非特許文献1】丸山龍一郎,"[特集]不正浸入対策最前線(後編)〜侵入検知システムでのトータルセキュリティの構築〜",[online],2001年9月15日,2004年11月11日検索,インターネット<URL: http://www.atmarkit.co.jp/fsecurity/special/07ids/ids01c.html>
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、上記従来のインライン型IDS装置では、ネットワークの通り道に設置したIDS装置が全てのパケットを検査し、許可したパケットだけを通すように構成しているために、IDS装置の故障や、IDS装置自体への攻撃などでダウンしてしまった場合には、全てのパケットが通信不能になってしまうという問題点があった。
【0007】
この発明は上記に鑑みてなされたもので、IDS装置の障害によっても、IDS装置が設けられたネットワーク内の全てのパケットが通信不能とならない不正侵入検知システムを得ることを目的とする。また、この不正侵入検知システムで使用される不正侵入検知装置と管理装置を得ることも目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するため、この発明にかかる不正侵入検知システムは、ネットワーク上を流れるパケットをコピーし、このコピーしたパケットを解析して不正パケットの検知を行なう不正侵入検知装置と、ネットワーク上を流れるパケットを直接解析して、不正パケットを検知した場合に所定の対処を行う不正侵入対処装置と、をネットワークに配置した不正侵入検知システムであって、前記不正侵入検知装置は、不正パケットを検知した場合に、該不正パケットを中継したルータ装置に対して、前記不正パケットの宛先と同じ宛先へのパケットを前記不正侵入対処装置へ送信するように指示する転送先変更メッセージを送信する不正パケット対処手段を備えることを特徴とする。
【発明の効果】
【0009】
この発明によれば、不正パケットが検出された場合に、ルータ装置は、不正パケットと同じ宛先のパケットを不正侵入対処装置側へ中継し、それ以外のパケットを不正侵入検知装置側へ中継するので、不正侵入検知装置では不正パケットと同じ宛先以外の宛先のパケットを監視するだけでよく、不正侵入対処装置では不正パケットと同じ宛先のパケットだけを監視すればよいので、不正パケット検出時にかかる負荷を2つの装置間で分散することができるという効果を有する。また、不正侵入検知装置で不正を検査し、不正パケットと同じ宛先へのパケットのみを不正侵入対処装置で処理するため、不正侵入検知装置が故障したとしても、パケットの転送を妨げることはない。また、不正侵入対処装置が故障したとしても、不正パケットの宛先への通信のみが不能になるが、他の正常なパケットは不正侵入検知装置側のネットワークを通るので通信を妨げることはない。さらに、転送先変更メッセージとして標準のICMPパケットを利用することで、ネットワーク上の既存のルータ装置に改造を加えることなく、この発明を適用することができる。
【発明を実施するための最良の形態】
【0010】
以下に添付図面を参照して、この発明にかかる不正侵入検知システム、不正侵入検知装置および管理装置の好適な実施の形態を詳細に説明する。
【0011】
実施の形態1.
図1は、この発明にかかる不正侵入検知システムの実施の形態1の構成の概略を模式的に示す図である。この不正侵入検知システムは、端末装置11を有しルータ装置15に収容されるネットワーク10と、端末装置21を有しルータ装置25に収容されるネットワーク20との間に、通信回線(ネットワーク)aを流れるパケットをコピーして不正パケットの侵入を検知する不正侵入検知装置30と、通信回線(ネットワーク)bを流れるパケットを取り込んで不正パケットの侵入に対する処置を行う不正侵入対処装置40とが配置された構成を有する。ここで、不正侵入検知装置30と不正侵入対処装置40は、ルータ装置15,25間を結ぶ別々の通信回線(ネットワーク)a,bにそれぞれ設けられており、不正侵入対処装置40は、通信回線bの通り道上に設けられる。なお、この明細書において、不正侵入検知装置30とは、ネットワーク型IDS装置などのネットワーク上を流れるパケットをコピーして、コピーしたパケットを解析することによって不正パケットの侵入を検知する装置のことをいい、また、不正侵入対処装置40とは、インライン型IDS装置などのネットワーク上を流れるパケットを取り込んで、そのパケットを解析することによって不正パケットの侵入を検知するとともに不正パケットに対する処置を即座に行う装置のことをいうものとする。
【0012】
ネットワーク10,20は、たとえばイーサネット(登録商標)、IEEE(Institute of Electrical and Electronics Engineers)802.3/802.2標準、IEEE802.3/SNAP(SubNetwork Access Protocol)、イーサネット(登録商標)(PADつき)、SDH(Synchronuos Digital Hierarchy)/SONET(Synchronous Optical NETwork)(PPP(Point to Point Protocol))、フレームリレー、FDDI(Fiber-Distributed Data Interface)、ATM(Asynchronous Transfer Mode)などで構成されるネットワークである。ネットワーク10,20は、自ネットワーク内において各ノード装置間での通信が可能であるとともに、ルータ装置15,25を介して、ユーザネットワーク10内の各ノード装置とユーザネットワーク20内の各ノード装置との間でも通信が可能である。
【0013】
ルータ装置15,25は、所定のレイヤ3ルーティングプロトコルに基づいて、ルーティングテーブルを作成し、そのルーティングテーブルに基づいてパケットを中継する処理を行う。図1では、ルータ装置15はネットワーク10のみを収容し、ルータ装置25はネットワーク20のみを収容しているが、実際には複数のネットワークを収容することができる。ここで、不正パケットが検出されない通常時において、ルータ装置15のルーティングテーブルには、ネットワーク10からネットワーク20へ中継されるパケットのつぎの中継先アドレスであるネクストホップとしてルータ装置25が設定されているものとする。
【0014】
不正侵入検知装置30は、ルータ装置15,25間の通信回線(ネットワーク)a上を流れるパケットが不正パケットであるか否かを検出する装置である。図2は、不正侵入検知装置の構成を模式的に示すブロック図である。この不正侵入検知装置30は、ネットワークに接続される他のノード装置と通信するための通信部31と、ネットワークa上を流れるパケットをモニタするパケットモニタ部32と、不正パケットのパターンを格納する不正パケットパターンデータベース33と、不正パケットパターンデータベース33を参照してモニタされたパケットが不正パケットであるか否かを判定する不正パケット判定部34と、不正パケットと判定された場合に、不正パケットを中継したルータ装置に対して不正パケットの宛先アドレスと同じ宛先アドレスのパケットを不正侵入対処装置40に中継させるための通知を送信する不正パケット対処部35と、を備えて構成される。このような不正侵入検知装置30として、ネットワーク型IDS装置を用いることができる。
【0015】
パケットモニタ部32は、ネットワークa上を流れるパケットをコピーして、コピーしたパケットの情報を不正パケット判定部34に転送する機能を有する。不正パケットパターンデータベース33は、不正パケットの攻撃パターンなどの不正パケットパターン情報を格納している。この不正パケットパターン情報は、過去に攻撃された不正パケットなどを用いて予め作成されるものである。
【0016】
不正パケット判定部34は、パケットモニタ部32から転送されたパケットの情報を分析し、不正パケットパターンデータベース33中の不正パケットパターン情報と一致するか否かを判定する機能を有する。不正パケットパターン情報と一致しない場合には、何も動作を行わない。一方、不正パケットパターン情報と一致する場合には、不正パケットの検出を知らせる不正パケット検出信号を不正パケット対処部35に通知する。
【0017】
不正パケット対処部35は、不正パケット判定部34から不正パケット検出信号を受信すると、不正パケットの宛先へ向かうパケットを不正侵入対処装置40が設置されている通信回線(ネットワーク)b側に中継するように指示する転送先変更メッセージを生成して、不正パケットを中継したルータ装置15に対して送信する機能を有する。転送先変更メッセージとして、たとえばIETF(Internet Engineering Task Force)における標準ドキュメントRFC(Request For Comments)792に規定されているICMP(Internet Control Message Protocol)リダイレクション通知パケットを使用することができる。
【0018】
図3は、IPv4(Internet Protocol version 4)の場合におけるICMPリダイレクション通知パケットの内容を模式的に示す図である。このICMPリダイレクション通知パケット100は、IPヘッダ110とICMPメッセージ120とから構成される。IPヘッダ110は、レイヤ3においてIPを用いてデータの送信を行うために必要な送信元IPアドレス112や宛先アドレス113などの情報を含む。このIPヘッダ110中のプロトコルフィールド111には、使用されるプロトコルである「ICMP」が設定され、宛先アドレス113には不正パケットを中継したルータ装置15のIPアドレスが設定される。
【0019】
ICMPメッセージ120には、IPヘッダ110の宛先アドレス113によって示されるルータ装置15に対して転送先を変更するように指示するための内容が格納される。たとえば、タイプフィールド121には、上記RFC792で定義されている方向転換(Redirect)を示す「5」が設定され、ゲートウェイIPアドレス122には、ルータ装置15,25間を結ぶもう一方の通信回線(ネットワーク)b上に配置される不正侵入対処装置40のIPアドレスが設定され、データ123には不正パケットのデータグラムの一部、具体的にはIPヘッダと先頭64ビット分のデータ、が設定される。なお、ネットワークがIPv6(Internet Protocol version 6)の場合には、NDP(Neighbor Discovery Protocol)で定義された、リダイレクトメッセージを使用する。
【0020】
不正侵入対処装置40は、ルータ装置15,25間の通信回線(ネットワーク)b上を流れるパケットが不正パケットであるか否かを検出する装置である。図4は、不正侵入対処装置の構成を模式的に示すブロック図である。この不正侵入対処装置40は、ネットワークに接続される他のノード装置と通信するための通信部41と、不正パケットのパターンを格納する不正パケットパターンデータベース42と、不正パケットパターンデータベース42を参照してモニタされたパケットが不正パケットであるか否かを判定する不正パケット判定部43と、不正パケット判定部43の判定結果に応じて必要な対処を行う対処部44と、を備えて構成される。このような不正侵入対処装置40として、たとえばインライン型IDS装置を用いることができる。
【0021】
通信部41は、ネットワークb上を流れるパケットを取り込み、そのパケットを不正パケット判定部43に渡すとともに、取り込んだパケットが正常なパケットであった場合に再びネットワークbに送出する機能を有する。不正パケットパターンデータベース42は、図2の不正侵入検知装置30の不正パケットパターンデータベース33と同様に不正パケットパターン情報を予め格納している。
【0022】
不正パケット判定部43は、通信部41から取り込んだパケットを分析し、不正パケットパターンデータベース42中の不正パケットパターン情報と一致するか否かを判定し、その結果を対処部44に出力する機能を有する。
【0023】
対処部44は、不正パケット判定部43によって取り込んだパケットが不正パケットパターン情報と一致しないと判定された場合すなわち正常なパケットであると判定された場合には、そのパケットをパケットの宛先IPアドレスに基づいて、通信部41を介して送信する機能を有する。また、不正パケット判定部43によって取り込んだパケットが不正パケットパターン情報と一致すると判定された場合すなわち不正パケットである場合には、その不正パケットの廃棄や不正フローの帯域制御などの対処を行う機能を有する。
【0024】
ここで、この不正侵入検知システムにおけるパケット中継の動作処理の手順について、図5−1〜図5−2のフローチャートを参照しながら説明する。ここでは、図1において、ネットワーク10からネットワーク20の端末装置21宛てのパケットを中継する場合を例に挙げて説明する。最初に、ルータ装置15は、パケットを受信すると(ステップS11)、ルーティングテーブルを参照してパケットの宛先アドレスに対応するネクストホップであるルータ装置25にパケットを送信する(ステップS12)。なお、このとき、ルータ装置25宛てのパケットのネクストホップとして、ネットワークaを介して接続されるルータ装置25に設定されているものとする。
【0025】
ネットワークa上の不正侵入検知装置30は、ネットワークa上を流れるパケットを通信部31から受信し、パケットモニタ部32でコピーする(ステップS13)。コピー元のパケットはそのままネットワークa上に流され、ルータ装置25は、このパケットを受信し(ステップS14)、パケットの中継処理は終了する。
【0026】
一方、不正侵入検知装置30は、不正パケット判定部34でコピーしたパケットが不正パケットか否かを不正パケットパターンデータベース33を参照して判定する(ステップS15)。判定の結果、不正パケットではない場合(ステップS15でNoの場合)には、不正侵入検知装置30は何もせずにパケットの監視処理が終了する。また、不正パケットである場合(ステップS15でYesの場合)には、不正パケット判定部34は不正パケット検出信号を不正パケット対処部35に通知する。不正パケット検出信号を受け取った不正パケット対処部35は、不正パケットの宛先へ向かうパケットを不正侵入対処装置40へ送信するように、宛先アドレスとして不正パケットの宛先アドレス、ネクストホップアドレスとして不正侵入対処装置のアドレスを含めた転送先変更メッセージを生成し、不正パケットの送信元であるルータ装置15に送信する(ステップS16)。この転送先変更メッセージとして、上述したように図3に示されるICMPリダイレクション通知パケットを用いることができる。これにより、不正侵入検知装置30によるパケットの監視処理が終了する。
【0027】
ルータ装置15は、不正侵入検知装置30から転送先変更メッセージを受信すると(ステップS17)、自ルータ装置のルーティングテーブル中の転送先変更メッセージ中に記載された宛先アドレスに一致するエントリのネクストホップアドレスを、転送先変更メッセージ中で指定されたネクストホップのアドレス(不正侵入対処装置40のアドレス)に変更する(ステップS18)。その後、ルータ装置15がパケットを受信すると(ステップS19)、パケットの宛先が不正パケットの宛先ではない場合(ステップS12)には、宛先へのネクストホップであるルータ装置にパケットが送信され、パケットの宛先が不正パケットと同じである場合には、そのパケットをステップS18で更新したルーティングテーブルに基づいて、ネクストホップである不正侵入対処装置40に送信し、ルータ装置15のパケットの中継処理が終了する。これによって、宛先が不正パケットと同じであるパケットは、ルータ装置15からネットワークbに送出される。
【0028】
ネットワークb上に配置される不正侵入対処装置40の通信部41は、ルータ装置15からのパケットを受信すると(ステップS20)、不正パケット判定部43でそのパケットが不正パケットか否かを不正パケットパターンデータベース42を参照して判定する(ステップS21)。判定の結果、不正パケットではない場合(ステップS21でNoの場合)には、対処部44は、受信したパケットをその宛先に基づいてルータ装置25へと通信部41を介して送信する(ステップS22)。その後、ルータ装置25は上述したステップS14と同じようにパケットを受信して、パケットの中継処理が終了する。また、不正パケットである場合(ステップS21でYesの場合)には、対処部44は受信したパケットを廃棄するなどの処理を行い(ステップS23)、不正侵入検知システムによるパケットの中継処理が終了する。
【0029】
上述した説明において、不正侵入検知装置30と不正侵入対処装置40における不正検知の手法を限定するものではなく、種々の手法を用いることが可能である。
【0030】
この実施の形態1によれば、不正侵入検知装置30と不正侵入対処装置40とを、2つのネットワーク10,20間における異なるネットワーク(通信回線)a,b上に配置し、不正パケットが検出されない通常の場合には2つのネットワーク10,20間でやり取りされるパケットを不正侵入検知装置30が配置されたネットワークa上に流して、不正パケットを検出するとこの不正パケットと同じ宛先のパケットのみを不正侵入対処装置40に送信するようにルータ装置15に指示を与えるようにしたので、不正パケットの対処が確実に行えると共に、不正侵入検知装置30にかかる負荷を抑えることができるという効果を有する。
【0031】
また、不正侵入検知装置30で不正を検査し、不正パケットと同じ宛先へのパケットのみを不正侵入対処装置40で処理するため、不正侵入検知装置30が故障したとしても、全てのパケットの転送が妨げられることはない。逆に、不正侵入対処装置40が故障したとしても、不正なパケットの宛先への通信のみが不能になるが、他の正常なパケットの通信を妨げることはない。さらに、不正侵入検知装置30と不正侵入対処装置40のいずれかがダウンした場合に、ダウンしていないもう一方の経路を使用するように設定することで、通常のパケットの転送を妨げることはなく、しかもそのパケットが不正パケットか否かの監視も行うことができるという効果も有する。
【0032】
実施の形態2.
図6は、この発明にかかる不正侵入検知システムの実施の形態2の構成の概略を模式的に示す図である。この不正侵入検知システムは、実施の形態1の図1において、ネットワーク10は、通信回線(ネットワーク)cと不正侵入対処装置14が挿入配置された通信回線(ネットワーク)dによって接続されるルータ装置12,13を有するとともに、ルータ装置12,13,15,25を管理する管理装置50をさらに備える構成を有する。
【0033】
管理装置50は、ネットワーク10,20のほか不正侵入検知システムが適用されるネットワーク10,20に配置されるルータ装置12,13,15,25を管理する装置であり、各ルータ12,13,15,25間の上下関係を把握し、不正侵入検知装置30からの不正パケット検出メッセージを受信すると、その不正パケット検出メッセージから、不正パケットを中継したルータ装置15の上位のルータ装置12を検索して、その上位のルータ装置12に対して、不正パケットの宛先アドレスと同じアドレスを有するパケットを、不正侵入対処装置14を経由させるように指示する転送先変更メッセージを送信する管理手段を備えている。この転送先変更メッセージとして、たとえば上述した実施の形態1の図3のICMPリダイレクション通知パケット100を使用することができる。
【0034】
また、不正侵入検知装置30は実施の形態1の図2と同様の構成を有するが、不正パケット判定部34によって不正パケットが検出された場合に、不正パケット対処部35が、その不正パケットを中継したルータ装置15に転送先変更メッセージを送信するのではなく、管理装置50に対して不正パケットを検出したことを示す不正パケット検出メッセージを送信する機能を有する。不正パケット検出メッセージには、不正パケットを中継したルータ装置の上位のルータ装置を識別することができる送信元識別情報と、不正パケットの宛先IPアドレスが含まれる。たとえば、送信元識別情報として、不正パケットの送信元IPアドレスや、不正パケットを中継したルータ装置に割り当てられる識別番号などである。なお、ネットワーク10内に配置される不正侵入対処装置14の構成は実施の形態1の図4で説明した不正侵入検知対処装置40と同一である。また、その他の構成要素は、実施の形態1と同一であるので、その詳細な説明を省略している。
【0035】
このような構成の不正侵入検知システムにおけるパケット中継の動作処理も実施の形態1と同様である。ただし、この実施の形態2では、たとえば図6のネットワーク10からネットワーク20の端末装置21宛てに中継されるパケットにおいて、不正侵入検知装置30が、不正パケットを検出した場合に、管理装置50に不正パケット検出メッセージを送信する。不正パケット検出メッセージを受信した管理装置50は、不正パケットを中継したルータ装置15の上位のルータ装置を検索し、この上位ルータ装置、たとえば図6のルータ装置12に対して、検出された不正パケットと同じ宛先に送信されるパケットを不正侵入対処装置へ送るように通知する。この通知を受けたルータ装置12は、ルーティングテーブルの中の不正パケットと同じ宛先を有するネクストホップを不正侵入対処装置14に変更する。これ以降に不正パケットと同じ宛先に送信されるパケットはネットワーク10内の不正侵入対処装置14を経由してルータ装置13、ルータ装置15、ルータ装置25を経て端末装置21へ送信されることになる。このように不正侵入検知装置30と管理装置50とを連携動作させることによって、不正侵入検知装置30によって検出された不正パケットが、上位の不正侵入対処装置40で処理されることになる。
【0036】
なお、上述した説明では、不正侵入検知装置30の不正パケット対処部35は、不正パケットを検出すると管理装置50に不正パケット検出メッセージを送信するようにしているが、実施の形態1で説明したように、その不正パケットを中継したルータ装置15に転送先変更メッセージを送信する機能と、管理装置50に対して不正パケットを検出したことを示す不正パケット検出メッセージを送信する機能を併せ持つ構成としてもよい。
【0037】
また、IPv4ネットワークがIPv6ネットワークでカプセル化されているようなネットワーク構成の場合には、送信元IPv6アドレスが不正パケットの入口と判断できるため、不正侵入検知装置30の不正パケット対処部35は、送信元IPv6アドレスに対して転送先変更メッセージ(リダイレクション通知)を送信する機能を持たせるようにしてもよい。これにより、入口での不正パケットに対する対処が可能となる。
【0038】
この実施の形態2によれば、不正侵入検知装置30が不正パケットを検出した場合に管理装置50は、不正パケットを中継したルータ装置15の上位のルータ装置12に対してパケットを不正侵入対処装置14へ送信する指示を含む転送先変更メッセージを送信するようにしたので、不正パケットに対する処理をより入口に近い場所で処理することが可能になる。これにより、不正パケットによるネットワーク10内のトラフィックの増加を抑えることができ、通信帯域を有効に使用することができる。また、不正パケットを検出した場合における不正侵入対処装置14,40が実行する対処を分散させることができるという効果も有する。
【産業上の利用可能性】
【0039】
以上のように、この発明にかかる不正侵入検知システムは、悪意のある第三者による攻撃からネットワークを守り、しかも安定して外部のネットワークとの通信を行いたいネットワークに有用である。
【図面の簡単な説明】
【0040】
【図1】この発明による不正侵入検知システムの実施の形態1の構成の概略を模式的に示す図である。
【図2】不正侵入検知装置の構成を模式的に示すブロック図である。
【図3】IPv4の場合のICMPリダイレクション通知パケットの内容を模式的に示す図である。
【図4】不正侵入対処装置の構成を模式的に示すブロック図である。
【図5−1】不正侵入検知システムにおけるパケット中継の動作処理の手順を示すフローチャートである(その1)。
【図5−2】不正侵入検知システムにおけるパケット中継の動作処理の手順を示すフローチャートである(その2)。
【図6】この発明による不正侵入検知システムの実施の形態2の構成の概略を模式的に示す図である。
【符号の説明】
【0041】
10,20 ネットワーク
11,21 端末装置
12,13,15,25 ルータ装置
14,40 不正侵入対処装置
30 不正侵入検知装置
31,41 通信部
32 パケットモニタ部
33,42 不正パケットパターンデータベース
34,43 不正パケット判定部
35 不正パケット対処部
44 対処部
50 管理装置
【技術分野】
【0001】
この発明は、公衆ネットワークや共有ネットワークにおいてIDS(Intrusion Detection System)装置またはIDP(Intrusion Detection Protection)装置などの不正侵入検知装置を配置して不正パケットに対する検知および対処を行う不正侵入検知システムに関するものである。また、この不正侵入検知システムで使用される不正侵入検知装置と管理装置にも関するものである。
【背景技術】
【0002】
IDS装置やIDP装置に代表される不正検知技術は、不正なパケットであるか否かの分析をパケット内のデータに基づいて実施しており、シグネチャー処理やログ解析処理などのさまざまな分析処理を用いて不正なパケットを検出し、悪意のあるユーザからの不正パケットを排除するものである。
【0003】
IDS装置には、ネットワーク上を流れるパケットを監視するネットワーク型IDS装置と、ホストに到達したパケットをそのホストが検証するホスト型IDS装置がある。しかし、ホスト型IDS装置の場合には、監視する必要のある全てのホストに導入する必要があり、運用コストがかかってしまうという問題点を有する。これに対して、ネットワーク型IDS装置は、基本的には1つのネットワークに対して1台の装置を導入すればよく、また、ネットワーク上を流れるパケットを基にして分析するために、不正パケットを検出した時点で即座に対応することが可能であり、実際の攻撃からシステムを防御することができる(たとえば、非特許文献1参照)。
【0004】
このようなネットワーク型IDS装置は、ネットワークの通り道に設置するインライン型の形態のものと、ネットワーク上を通過するパケットの監視のみを行うネットワーク型の形態のもの(狭義のネットワーク型IDS装置)とにさらに大別される。狭義のネットワーク型IDS装置では、ネットワーク上の通過パケットをコピーしてパケットをチェックする形態であるため、不正を検知したとしても廃棄などの対処を行うことはできない。一方のインライン型IDS装置は、ファイアウォールのようにネットワークの通り道に設置して、ネットワークを通過するパケットを監視するものであるので、パケットをチェックして異常を検知すると、そのパケットがネットワークに到達する前に自動的にパケットを遮断したり、攻撃を行っているIPアドレスからのパケットを破棄したり、セッションの切断などの対処を行うことができる。
【0005】
【非特許文献1】丸山龍一郎,"[特集]不正浸入対策最前線(後編)〜侵入検知システムでのトータルセキュリティの構築〜",[online],2001年9月15日,2004年11月11日検索,インターネット<URL: http://www.atmarkit.co.jp/fsecurity/special/07ids/ids01c.html>
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、上記従来のインライン型IDS装置では、ネットワークの通り道に設置したIDS装置が全てのパケットを検査し、許可したパケットだけを通すように構成しているために、IDS装置の故障や、IDS装置自体への攻撃などでダウンしてしまった場合には、全てのパケットが通信不能になってしまうという問題点があった。
【0007】
この発明は上記に鑑みてなされたもので、IDS装置の障害によっても、IDS装置が設けられたネットワーク内の全てのパケットが通信不能とならない不正侵入検知システムを得ることを目的とする。また、この不正侵入検知システムで使用される不正侵入検知装置と管理装置を得ることも目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するため、この発明にかかる不正侵入検知システムは、ネットワーク上を流れるパケットをコピーし、このコピーしたパケットを解析して不正パケットの検知を行なう不正侵入検知装置と、ネットワーク上を流れるパケットを直接解析して、不正パケットを検知した場合に所定の対処を行う不正侵入対処装置と、をネットワークに配置した不正侵入検知システムであって、前記不正侵入検知装置は、不正パケットを検知した場合に、該不正パケットを中継したルータ装置に対して、前記不正パケットの宛先と同じ宛先へのパケットを前記不正侵入対処装置へ送信するように指示する転送先変更メッセージを送信する不正パケット対処手段を備えることを特徴とする。
【発明の効果】
【0009】
この発明によれば、不正パケットが検出された場合に、ルータ装置は、不正パケットと同じ宛先のパケットを不正侵入対処装置側へ中継し、それ以外のパケットを不正侵入検知装置側へ中継するので、不正侵入検知装置では不正パケットと同じ宛先以外の宛先のパケットを監視するだけでよく、不正侵入対処装置では不正パケットと同じ宛先のパケットだけを監視すればよいので、不正パケット検出時にかかる負荷を2つの装置間で分散することができるという効果を有する。また、不正侵入検知装置で不正を検査し、不正パケットと同じ宛先へのパケットのみを不正侵入対処装置で処理するため、不正侵入検知装置が故障したとしても、パケットの転送を妨げることはない。また、不正侵入対処装置が故障したとしても、不正パケットの宛先への通信のみが不能になるが、他の正常なパケットは不正侵入検知装置側のネットワークを通るので通信を妨げることはない。さらに、転送先変更メッセージとして標準のICMPパケットを利用することで、ネットワーク上の既存のルータ装置に改造を加えることなく、この発明を適用することができる。
【発明を実施するための最良の形態】
【0010】
以下に添付図面を参照して、この発明にかかる不正侵入検知システム、不正侵入検知装置および管理装置の好適な実施の形態を詳細に説明する。
【0011】
実施の形態1.
図1は、この発明にかかる不正侵入検知システムの実施の形態1の構成の概略を模式的に示す図である。この不正侵入検知システムは、端末装置11を有しルータ装置15に収容されるネットワーク10と、端末装置21を有しルータ装置25に収容されるネットワーク20との間に、通信回線(ネットワーク)aを流れるパケットをコピーして不正パケットの侵入を検知する不正侵入検知装置30と、通信回線(ネットワーク)bを流れるパケットを取り込んで不正パケットの侵入に対する処置を行う不正侵入対処装置40とが配置された構成を有する。ここで、不正侵入検知装置30と不正侵入対処装置40は、ルータ装置15,25間を結ぶ別々の通信回線(ネットワーク)a,bにそれぞれ設けられており、不正侵入対処装置40は、通信回線bの通り道上に設けられる。なお、この明細書において、不正侵入検知装置30とは、ネットワーク型IDS装置などのネットワーク上を流れるパケットをコピーして、コピーしたパケットを解析することによって不正パケットの侵入を検知する装置のことをいい、また、不正侵入対処装置40とは、インライン型IDS装置などのネットワーク上を流れるパケットを取り込んで、そのパケットを解析することによって不正パケットの侵入を検知するとともに不正パケットに対する処置を即座に行う装置のことをいうものとする。
【0012】
ネットワーク10,20は、たとえばイーサネット(登録商標)、IEEE(Institute of Electrical and Electronics Engineers)802.3/802.2標準、IEEE802.3/SNAP(SubNetwork Access Protocol)、イーサネット(登録商標)(PADつき)、SDH(Synchronuos Digital Hierarchy)/SONET(Synchronous Optical NETwork)(PPP(Point to Point Protocol))、フレームリレー、FDDI(Fiber-Distributed Data Interface)、ATM(Asynchronous Transfer Mode)などで構成されるネットワークである。ネットワーク10,20は、自ネットワーク内において各ノード装置間での通信が可能であるとともに、ルータ装置15,25を介して、ユーザネットワーク10内の各ノード装置とユーザネットワーク20内の各ノード装置との間でも通信が可能である。
【0013】
ルータ装置15,25は、所定のレイヤ3ルーティングプロトコルに基づいて、ルーティングテーブルを作成し、そのルーティングテーブルに基づいてパケットを中継する処理を行う。図1では、ルータ装置15はネットワーク10のみを収容し、ルータ装置25はネットワーク20のみを収容しているが、実際には複数のネットワークを収容することができる。ここで、不正パケットが検出されない通常時において、ルータ装置15のルーティングテーブルには、ネットワーク10からネットワーク20へ中継されるパケットのつぎの中継先アドレスであるネクストホップとしてルータ装置25が設定されているものとする。
【0014】
不正侵入検知装置30は、ルータ装置15,25間の通信回線(ネットワーク)a上を流れるパケットが不正パケットであるか否かを検出する装置である。図2は、不正侵入検知装置の構成を模式的に示すブロック図である。この不正侵入検知装置30は、ネットワークに接続される他のノード装置と通信するための通信部31と、ネットワークa上を流れるパケットをモニタするパケットモニタ部32と、不正パケットのパターンを格納する不正パケットパターンデータベース33と、不正パケットパターンデータベース33を参照してモニタされたパケットが不正パケットであるか否かを判定する不正パケット判定部34と、不正パケットと判定された場合に、不正パケットを中継したルータ装置に対して不正パケットの宛先アドレスと同じ宛先アドレスのパケットを不正侵入対処装置40に中継させるための通知を送信する不正パケット対処部35と、を備えて構成される。このような不正侵入検知装置30として、ネットワーク型IDS装置を用いることができる。
【0015】
パケットモニタ部32は、ネットワークa上を流れるパケットをコピーして、コピーしたパケットの情報を不正パケット判定部34に転送する機能を有する。不正パケットパターンデータベース33は、不正パケットの攻撃パターンなどの不正パケットパターン情報を格納している。この不正パケットパターン情報は、過去に攻撃された不正パケットなどを用いて予め作成されるものである。
【0016】
不正パケット判定部34は、パケットモニタ部32から転送されたパケットの情報を分析し、不正パケットパターンデータベース33中の不正パケットパターン情報と一致するか否かを判定する機能を有する。不正パケットパターン情報と一致しない場合には、何も動作を行わない。一方、不正パケットパターン情報と一致する場合には、不正パケットの検出を知らせる不正パケット検出信号を不正パケット対処部35に通知する。
【0017】
不正パケット対処部35は、不正パケット判定部34から不正パケット検出信号を受信すると、不正パケットの宛先へ向かうパケットを不正侵入対処装置40が設置されている通信回線(ネットワーク)b側に中継するように指示する転送先変更メッセージを生成して、不正パケットを中継したルータ装置15に対して送信する機能を有する。転送先変更メッセージとして、たとえばIETF(Internet Engineering Task Force)における標準ドキュメントRFC(Request For Comments)792に規定されているICMP(Internet Control Message Protocol)リダイレクション通知パケットを使用することができる。
【0018】
図3は、IPv4(Internet Protocol version 4)の場合におけるICMPリダイレクション通知パケットの内容を模式的に示す図である。このICMPリダイレクション通知パケット100は、IPヘッダ110とICMPメッセージ120とから構成される。IPヘッダ110は、レイヤ3においてIPを用いてデータの送信を行うために必要な送信元IPアドレス112や宛先アドレス113などの情報を含む。このIPヘッダ110中のプロトコルフィールド111には、使用されるプロトコルである「ICMP」が設定され、宛先アドレス113には不正パケットを中継したルータ装置15のIPアドレスが設定される。
【0019】
ICMPメッセージ120には、IPヘッダ110の宛先アドレス113によって示されるルータ装置15に対して転送先を変更するように指示するための内容が格納される。たとえば、タイプフィールド121には、上記RFC792で定義されている方向転換(Redirect)を示す「5」が設定され、ゲートウェイIPアドレス122には、ルータ装置15,25間を結ぶもう一方の通信回線(ネットワーク)b上に配置される不正侵入対処装置40のIPアドレスが設定され、データ123には不正パケットのデータグラムの一部、具体的にはIPヘッダと先頭64ビット分のデータ、が設定される。なお、ネットワークがIPv6(Internet Protocol version 6)の場合には、NDP(Neighbor Discovery Protocol)で定義された、リダイレクトメッセージを使用する。
【0020】
不正侵入対処装置40は、ルータ装置15,25間の通信回線(ネットワーク)b上を流れるパケットが不正パケットであるか否かを検出する装置である。図4は、不正侵入対処装置の構成を模式的に示すブロック図である。この不正侵入対処装置40は、ネットワークに接続される他のノード装置と通信するための通信部41と、不正パケットのパターンを格納する不正パケットパターンデータベース42と、不正パケットパターンデータベース42を参照してモニタされたパケットが不正パケットであるか否かを判定する不正パケット判定部43と、不正パケット判定部43の判定結果に応じて必要な対処を行う対処部44と、を備えて構成される。このような不正侵入対処装置40として、たとえばインライン型IDS装置を用いることができる。
【0021】
通信部41は、ネットワークb上を流れるパケットを取り込み、そのパケットを不正パケット判定部43に渡すとともに、取り込んだパケットが正常なパケットであった場合に再びネットワークbに送出する機能を有する。不正パケットパターンデータベース42は、図2の不正侵入検知装置30の不正パケットパターンデータベース33と同様に不正パケットパターン情報を予め格納している。
【0022】
不正パケット判定部43は、通信部41から取り込んだパケットを分析し、不正パケットパターンデータベース42中の不正パケットパターン情報と一致するか否かを判定し、その結果を対処部44に出力する機能を有する。
【0023】
対処部44は、不正パケット判定部43によって取り込んだパケットが不正パケットパターン情報と一致しないと判定された場合すなわち正常なパケットであると判定された場合には、そのパケットをパケットの宛先IPアドレスに基づいて、通信部41を介して送信する機能を有する。また、不正パケット判定部43によって取り込んだパケットが不正パケットパターン情報と一致すると判定された場合すなわち不正パケットである場合には、その不正パケットの廃棄や不正フローの帯域制御などの対処を行う機能を有する。
【0024】
ここで、この不正侵入検知システムにおけるパケット中継の動作処理の手順について、図5−1〜図5−2のフローチャートを参照しながら説明する。ここでは、図1において、ネットワーク10からネットワーク20の端末装置21宛てのパケットを中継する場合を例に挙げて説明する。最初に、ルータ装置15は、パケットを受信すると(ステップS11)、ルーティングテーブルを参照してパケットの宛先アドレスに対応するネクストホップであるルータ装置25にパケットを送信する(ステップS12)。なお、このとき、ルータ装置25宛てのパケットのネクストホップとして、ネットワークaを介して接続されるルータ装置25に設定されているものとする。
【0025】
ネットワークa上の不正侵入検知装置30は、ネットワークa上を流れるパケットを通信部31から受信し、パケットモニタ部32でコピーする(ステップS13)。コピー元のパケットはそのままネットワークa上に流され、ルータ装置25は、このパケットを受信し(ステップS14)、パケットの中継処理は終了する。
【0026】
一方、不正侵入検知装置30は、不正パケット判定部34でコピーしたパケットが不正パケットか否かを不正パケットパターンデータベース33を参照して判定する(ステップS15)。判定の結果、不正パケットではない場合(ステップS15でNoの場合)には、不正侵入検知装置30は何もせずにパケットの監視処理が終了する。また、不正パケットである場合(ステップS15でYesの場合)には、不正パケット判定部34は不正パケット検出信号を不正パケット対処部35に通知する。不正パケット検出信号を受け取った不正パケット対処部35は、不正パケットの宛先へ向かうパケットを不正侵入対処装置40へ送信するように、宛先アドレスとして不正パケットの宛先アドレス、ネクストホップアドレスとして不正侵入対処装置のアドレスを含めた転送先変更メッセージを生成し、不正パケットの送信元であるルータ装置15に送信する(ステップS16)。この転送先変更メッセージとして、上述したように図3に示されるICMPリダイレクション通知パケットを用いることができる。これにより、不正侵入検知装置30によるパケットの監視処理が終了する。
【0027】
ルータ装置15は、不正侵入検知装置30から転送先変更メッセージを受信すると(ステップS17)、自ルータ装置のルーティングテーブル中の転送先変更メッセージ中に記載された宛先アドレスに一致するエントリのネクストホップアドレスを、転送先変更メッセージ中で指定されたネクストホップのアドレス(不正侵入対処装置40のアドレス)に変更する(ステップS18)。その後、ルータ装置15がパケットを受信すると(ステップS19)、パケットの宛先が不正パケットの宛先ではない場合(ステップS12)には、宛先へのネクストホップであるルータ装置にパケットが送信され、パケットの宛先が不正パケットと同じである場合には、そのパケットをステップS18で更新したルーティングテーブルに基づいて、ネクストホップである不正侵入対処装置40に送信し、ルータ装置15のパケットの中継処理が終了する。これによって、宛先が不正パケットと同じであるパケットは、ルータ装置15からネットワークbに送出される。
【0028】
ネットワークb上に配置される不正侵入対処装置40の通信部41は、ルータ装置15からのパケットを受信すると(ステップS20)、不正パケット判定部43でそのパケットが不正パケットか否かを不正パケットパターンデータベース42を参照して判定する(ステップS21)。判定の結果、不正パケットではない場合(ステップS21でNoの場合)には、対処部44は、受信したパケットをその宛先に基づいてルータ装置25へと通信部41を介して送信する(ステップS22)。その後、ルータ装置25は上述したステップS14と同じようにパケットを受信して、パケットの中継処理が終了する。また、不正パケットである場合(ステップS21でYesの場合)には、対処部44は受信したパケットを廃棄するなどの処理を行い(ステップS23)、不正侵入検知システムによるパケットの中継処理が終了する。
【0029】
上述した説明において、不正侵入検知装置30と不正侵入対処装置40における不正検知の手法を限定するものではなく、種々の手法を用いることが可能である。
【0030】
この実施の形態1によれば、不正侵入検知装置30と不正侵入対処装置40とを、2つのネットワーク10,20間における異なるネットワーク(通信回線)a,b上に配置し、不正パケットが検出されない通常の場合には2つのネットワーク10,20間でやり取りされるパケットを不正侵入検知装置30が配置されたネットワークa上に流して、不正パケットを検出するとこの不正パケットと同じ宛先のパケットのみを不正侵入対処装置40に送信するようにルータ装置15に指示を与えるようにしたので、不正パケットの対処が確実に行えると共に、不正侵入検知装置30にかかる負荷を抑えることができるという効果を有する。
【0031】
また、不正侵入検知装置30で不正を検査し、不正パケットと同じ宛先へのパケットのみを不正侵入対処装置40で処理するため、不正侵入検知装置30が故障したとしても、全てのパケットの転送が妨げられることはない。逆に、不正侵入対処装置40が故障したとしても、不正なパケットの宛先への通信のみが不能になるが、他の正常なパケットの通信を妨げることはない。さらに、不正侵入検知装置30と不正侵入対処装置40のいずれかがダウンした場合に、ダウンしていないもう一方の経路を使用するように設定することで、通常のパケットの転送を妨げることはなく、しかもそのパケットが不正パケットか否かの監視も行うことができるという効果も有する。
【0032】
実施の形態2.
図6は、この発明にかかる不正侵入検知システムの実施の形態2の構成の概略を模式的に示す図である。この不正侵入検知システムは、実施の形態1の図1において、ネットワーク10は、通信回線(ネットワーク)cと不正侵入対処装置14が挿入配置された通信回線(ネットワーク)dによって接続されるルータ装置12,13を有するとともに、ルータ装置12,13,15,25を管理する管理装置50をさらに備える構成を有する。
【0033】
管理装置50は、ネットワーク10,20のほか不正侵入検知システムが適用されるネットワーク10,20に配置されるルータ装置12,13,15,25を管理する装置であり、各ルータ12,13,15,25間の上下関係を把握し、不正侵入検知装置30からの不正パケット検出メッセージを受信すると、その不正パケット検出メッセージから、不正パケットを中継したルータ装置15の上位のルータ装置12を検索して、その上位のルータ装置12に対して、不正パケットの宛先アドレスと同じアドレスを有するパケットを、不正侵入対処装置14を経由させるように指示する転送先変更メッセージを送信する管理手段を備えている。この転送先変更メッセージとして、たとえば上述した実施の形態1の図3のICMPリダイレクション通知パケット100を使用することができる。
【0034】
また、不正侵入検知装置30は実施の形態1の図2と同様の構成を有するが、不正パケット判定部34によって不正パケットが検出された場合に、不正パケット対処部35が、その不正パケットを中継したルータ装置15に転送先変更メッセージを送信するのではなく、管理装置50に対して不正パケットを検出したことを示す不正パケット検出メッセージを送信する機能を有する。不正パケット検出メッセージには、不正パケットを中継したルータ装置の上位のルータ装置を識別することができる送信元識別情報と、不正パケットの宛先IPアドレスが含まれる。たとえば、送信元識別情報として、不正パケットの送信元IPアドレスや、不正パケットを中継したルータ装置に割り当てられる識別番号などである。なお、ネットワーク10内に配置される不正侵入対処装置14の構成は実施の形態1の図4で説明した不正侵入検知対処装置40と同一である。また、その他の構成要素は、実施の形態1と同一であるので、その詳細な説明を省略している。
【0035】
このような構成の不正侵入検知システムにおけるパケット中継の動作処理も実施の形態1と同様である。ただし、この実施の形態2では、たとえば図6のネットワーク10からネットワーク20の端末装置21宛てに中継されるパケットにおいて、不正侵入検知装置30が、不正パケットを検出した場合に、管理装置50に不正パケット検出メッセージを送信する。不正パケット検出メッセージを受信した管理装置50は、不正パケットを中継したルータ装置15の上位のルータ装置を検索し、この上位ルータ装置、たとえば図6のルータ装置12に対して、検出された不正パケットと同じ宛先に送信されるパケットを不正侵入対処装置へ送るように通知する。この通知を受けたルータ装置12は、ルーティングテーブルの中の不正パケットと同じ宛先を有するネクストホップを不正侵入対処装置14に変更する。これ以降に不正パケットと同じ宛先に送信されるパケットはネットワーク10内の不正侵入対処装置14を経由してルータ装置13、ルータ装置15、ルータ装置25を経て端末装置21へ送信されることになる。このように不正侵入検知装置30と管理装置50とを連携動作させることによって、不正侵入検知装置30によって検出された不正パケットが、上位の不正侵入対処装置40で処理されることになる。
【0036】
なお、上述した説明では、不正侵入検知装置30の不正パケット対処部35は、不正パケットを検出すると管理装置50に不正パケット検出メッセージを送信するようにしているが、実施の形態1で説明したように、その不正パケットを中継したルータ装置15に転送先変更メッセージを送信する機能と、管理装置50に対して不正パケットを検出したことを示す不正パケット検出メッセージを送信する機能を併せ持つ構成としてもよい。
【0037】
また、IPv4ネットワークがIPv6ネットワークでカプセル化されているようなネットワーク構成の場合には、送信元IPv6アドレスが不正パケットの入口と判断できるため、不正侵入検知装置30の不正パケット対処部35は、送信元IPv6アドレスに対して転送先変更メッセージ(リダイレクション通知)を送信する機能を持たせるようにしてもよい。これにより、入口での不正パケットに対する対処が可能となる。
【0038】
この実施の形態2によれば、不正侵入検知装置30が不正パケットを検出した場合に管理装置50は、不正パケットを中継したルータ装置15の上位のルータ装置12に対してパケットを不正侵入対処装置14へ送信する指示を含む転送先変更メッセージを送信するようにしたので、不正パケットに対する処理をより入口に近い場所で処理することが可能になる。これにより、不正パケットによるネットワーク10内のトラフィックの増加を抑えることができ、通信帯域を有効に使用することができる。また、不正パケットを検出した場合における不正侵入対処装置14,40が実行する対処を分散させることができるという効果も有する。
【産業上の利用可能性】
【0039】
以上のように、この発明にかかる不正侵入検知システムは、悪意のある第三者による攻撃からネットワークを守り、しかも安定して外部のネットワークとの通信を行いたいネットワークに有用である。
【図面の簡単な説明】
【0040】
【図1】この発明による不正侵入検知システムの実施の形態1の構成の概略を模式的に示す図である。
【図2】不正侵入検知装置の構成を模式的に示すブロック図である。
【図3】IPv4の場合のICMPリダイレクション通知パケットの内容を模式的に示す図である。
【図4】不正侵入対処装置の構成を模式的に示すブロック図である。
【図5−1】不正侵入検知システムにおけるパケット中継の動作処理の手順を示すフローチャートである(その1)。
【図5−2】不正侵入検知システムにおけるパケット中継の動作処理の手順を示すフローチャートである(その2)。
【図6】この発明による不正侵入検知システムの実施の形態2の構成の概略を模式的に示す図である。
【符号の説明】
【0041】
10,20 ネットワーク
11,21 端末装置
12,13,15,25 ルータ装置
14,40 不正侵入対処装置
30 不正侵入検知装置
31,41 通信部
32 パケットモニタ部
33,42 不正パケットパターンデータベース
34,43 不正パケット判定部
35 不正パケット対処部
44 対処部
50 管理装置
【特許請求の範囲】
【請求項1】
ネットワーク上を流れるパケットをコピーし、このコピーしたパケットを解析して不正パケットの検知を行なう不正侵入検知装置と、
ネットワーク上を流れるパケットを直接解析して、不正パケットを検知した場合に所定の対処を行う不正侵入対処装置と、
をネットワークに配置した不正侵入検知システムであって、
前記不正侵入検知装置は、不正パケットを検知した場合に、該不正パケットを中継したルータ装置に対して、前記不正パケットの宛先と同じ宛先へのパケットを前記不正侵入対処装置へ送信するように指示する転送先変更メッセージを送信する不正パケット対処手段を備えることを特徴とする不正侵入検知システム。
【請求項2】
ネットワーク上を流れるパケットをコピーし、このコピーしたパケットを解析して不正パケットの検知を行なう不正侵入検知装置と、
ネットワーク上を流れるパケットを直接解析して、不正パケットを検知した場合に所定の対処を行う不正侵入対処装置と、
前記ネットワークに配置される複数のルータ装置を管理する管理装置と、
をネットワークに配置した不正侵入検知システムであって、
前記不正侵入検知装置は、不正パケットを検知した場合に、該不正パケットの宛先アドレス情報を含む不正パケット検出通知メッセージを前記管理装置に送信する不正パケット対処手段を備え、
前記管理装置は、前記不正パケット検出通知メッセージに含まれる宛先アドレス情報を有するパケットを前記不正侵入対処装置へ送信するように指示する転送先変更メッセージを前記ネットワークのルータ装置に送信する手段を備えることを特徴とする不正侵入検知システム。
【請求項3】
前記不正侵入検知装置の前記不正パケット対処手段は、不正パケットを検知した場合に、該不正パケットを中継したルータ装置に対して、前記不正パケットの宛先と同じ宛先へのパケットを前記不正侵入対処装置へ送信するように指示する転送先変更メッセージを送信する機能をさらに備えることを特徴とする請求項2に記載の不正侵入検知システム。
【請求項4】
前記ネットワークは、IPv4ネットワークで構成されるユーザネットワークをカプセル化して転送するIPv6ネットワークで構成されるコアネットワークであり、
前記管理装置は、前記不正侵入検知装置から前記不正パケット検出通知メッセージを受信すると、前記ネットワーク内で前記不正パケットの送信元に一番近いルータ装置に対して、前記転送先変更メッセージを送信することを特徴とする請求項2または3に記載の不正侵入検知システム。
【請求項5】
ネットワークへの不正パケットを監視し、不正パケットを検知した場合に所定の対処を行う不正侵入対処装置を有するネットワークに備えられる不正侵入検知装置であって、
不正パケットを検知した場合に、該不正パケットを中継した前記ネットワーク上のルータ装置に対して、前記不正パケットの宛先と同じ宛先へのパケットを前記不正侵入対処装置へ送信するように指示する転送先変更メッセージを送信する不正パケット対処手段を備えることを特徴とする不正侵入検知装置。
【請求項6】
ネットワークへの不正パケットを監視し、不正パケットを検知した場合に所定の対処を行う不正侵入対処装置と、前記ネットワークに配置される複数のルータ装置を管理する管理装置を有するネットワークに備えられる不正侵入検知装置であって、
不正パケットを検知した場合に、該不正パケットの宛先アドレス情報を含む不正パケット検出通知メッセージを前記管理装置に送信する不正パケット対処手段を備えることを特徴とする不正侵入検知装置。
【請求項7】
前記不正パケット対処手段は、不正パケットを検知した場合に、該不正パケットを中継したルータ装置に対して、前記不正パケットの宛先と同じ宛先へのパケットを前記不正侵入対処装置へ送信するように指示する転送先変更メッセージを送信する機能をさらに備えることを特徴とする請求項6に記載の不正侵入検知装置。
【請求項8】
ネットワーク上を流れるパケットをコピーし、このコピーしたパケットを解析して不正パケットの検知を行なう不正侵入検知装置と、ネットワーク上を流れるパケットを直接解析して、不正パケットを検知した場合に所定の対処を行う不正侵入対処装置と、が配置されたネットワークに配置される複数のルータ装置を管理する管理装置であって、
前記不正侵入検知装置から、不正パケットの宛先アドレス情報を含む不正パケット検出通知メッセージを受信すると、該不正パケット検出通知メッセージに含まれる宛先アドレス情報を有するパケットを前記不正侵入対処装置へ送信するように指示する転送先変更メッセージを前記ネットワークのルータ装置に送信する手段を備えることを特徴とする管理装置。
【請求項9】
前記ネットワークは、IPv4ネットワークで構成されるユーザネットワークをカプセル化して転送するIPv6ネットワークで構成されるコアネットワークである場合に、前記不正侵入検知装置から前記不正パケット検出通知メッセージを受信すると、前記ネットワーク内で前記不正パケットの送信元に一番近いルータ装置に対して、前記転送先変更メッセージを送信することを特徴とする請求項8に記載の管理装置。
【請求項1】
ネットワーク上を流れるパケットをコピーし、このコピーしたパケットを解析して不正パケットの検知を行なう不正侵入検知装置と、
ネットワーク上を流れるパケットを直接解析して、不正パケットを検知した場合に所定の対処を行う不正侵入対処装置と、
をネットワークに配置した不正侵入検知システムであって、
前記不正侵入検知装置は、不正パケットを検知した場合に、該不正パケットを中継したルータ装置に対して、前記不正パケットの宛先と同じ宛先へのパケットを前記不正侵入対処装置へ送信するように指示する転送先変更メッセージを送信する不正パケット対処手段を備えることを特徴とする不正侵入検知システム。
【請求項2】
ネットワーク上を流れるパケットをコピーし、このコピーしたパケットを解析して不正パケットの検知を行なう不正侵入検知装置と、
ネットワーク上を流れるパケットを直接解析して、不正パケットを検知した場合に所定の対処を行う不正侵入対処装置と、
前記ネットワークに配置される複数のルータ装置を管理する管理装置と、
をネットワークに配置した不正侵入検知システムであって、
前記不正侵入検知装置は、不正パケットを検知した場合に、該不正パケットの宛先アドレス情報を含む不正パケット検出通知メッセージを前記管理装置に送信する不正パケット対処手段を備え、
前記管理装置は、前記不正パケット検出通知メッセージに含まれる宛先アドレス情報を有するパケットを前記不正侵入対処装置へ送信するように指示する転送先変更メッセージを前記ネットワークのルータ装置に送信する手段を備えることを特徴とする不正侵入検知システム。
【請求項3】
前記不正侵入検知装置の前記不正パケット対処手段は、不正パケットを検知した場合に、該不正パケットを中継したルータ装置に対して、前記不正パケットの宛先と同じ宛先へのパケットを前記不正侵入対処装置へ送信するように指示する転送先変更メッセージを送信する機能をさらに備えることを特徴とする請求項2に記載の不正侵入検知システム。
【請求項4】
前記ネットワークは、IPv4ネットワークで構成されるユーザネットワークをカプセル化して転送するIPv6ネットワークで構成されるコアネットワークであり、
前記管理装置は、前記不正侵入検知装置から前記不正パケット検出通知メッセージを受信すると、前記ネットワーク内で前記不正パケットの送信元に一番近いルータ装置に対して、前記転送先変更メッセージを送信することを特徴とする請求項2または3に記載の不正侵入検知システム。
【請求項5】
ネットワークへの不正パケットを監視し、不正パケットを検知した場合に所定の対処を行う不正侵入対処装置を有するネットワークに備えられる不正侵入検知装置であって、
不正パケットを検知した場合に、該不正パケットを中継した前記ネットワーク上のルータ装置に対して、前記不正パケットの宛先と同じ宛先へのパケットを前記不正侵入対処装置へ送信するように指示する転送先変更メッセージを送信する不正パケット対処手段を備えることを特徴とする不正侵入検知装置。
【請求項6】
ネットワークへの不正パケットを監視し、不正パケットを検知した場合に所定の対処を行う不正侵入対処装置と、前記ネットワークに配置される複数のルータ装置を管理する管理装置を有するネットワークに備えられる不正侵入検知装置であって、
不正パケットを検知した場合に、該不正パケットの宛先アドレス情報を含む不正パケット検出通知メッセージを前記管理装置に送信する不正パケット対処手段を備えることを特徴とする不正侵入検知装置。
【請求項7】
前記不正パケット対処手段は、不正パケットを検知した場合に、該不正パケットを中継したルータ装置に対して、前記不正パケットの宛先と同じ宛先へのパケットを前記不正侵入対処装置へ送信するように指示する転送先変更メッセージを送信する機能をさらに備えることを特徴とする請求項6に記載の不正侵入検知装置。
【請求項8】
ネットワーク上を流れるパケットをコピーし、このコピーしたパケットを解析して不正パケットの検知を行なう不正侵入検知装置と、ネットワーク上を流れるパケットを直接解析して、不正パケットを検知した場合に所定の対処を行う不正侵入対処装置と、が配置されたネットワークに配置される複数のルータ装置を管理する管理装置であって、
前記不正侵入検知装置から、不正パケットの宛先アドレス情報を含む不正パケット検出通知メッセージを受信すると、該不正パケット検出通知メッセージに含まれる宛先アドレス情報を有するパケットを前記不正侵入対処装置へ送信するように指示する転送先変更メッセージを前記ネットワークのルータ装置に送信する手段を備えることを特徴とする管理装置。
【請求項9】
前記ネットワークは、IPv4ネットワークで構成されるユーザネットワークをカプセル化して転送するIPv6ネットワークで構成されるコアネットワークである場合に、前記不正侵入検知装置から前記不正パケット検出通知メッセージを受信すると、前記ネットワーク内で前記不正パケットの送信元に一番近いルータ装置に対して、前記転送先変更メッセージを送信することを特徴とする請求項8に記載の管理装置。
【図1】
【図2】
【図3】
【図4】
【図5−1】
【図5−2】
【図6】
【図2】
【図3】
【図4】
【図5−1】
【図5−2】
【図6】
【公開番号】特開2006−165910(P2006−165910A)
【公開日】平成18年6月22日(2006.6.22)
【国際特許分類】
【出願番号】特願2004−353301(P2004−353301)
【出願日】平成16年12月6日(2004.12.6)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成18年6月22日(2006.6.22)
【国際特許分類】
【出願日】平成16年12月6日(2004.12.6)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]