説明

侵入検知システム及び通信装置

【課題】少ないリソースで無駄なく、頻繁に発生する不正アクセスに対する不正アクセスを検出することができる侵入検知システムを提供する。
【解決手段】管理サーバ101は、各不正アクセス検知部104の中のログ収集部106からログを収集し、不正アクセスの多い順に集計し、ログを順位付けする。不正アクセス検知部104は、管理サーバ101から順位付けされたログを取得し、順位の高い不正アクセスが自らの不正アクセス検知部では検知されていない場合、不正アクセスに対応するシグネチャがシグネチャ管理部108に存在するか否かを問い合わせ、シグネチャが無い場合は更新する。順位の低い不正アクセスや、ログに無い不正アクセスに関しては、不正アクセスに対応するシグネチャが存在するか否かをシグネチャ管理部108に問い合わせ、シグネチャがある場合はシグネチャを一定時間保持しておき、一定時間経過後、シグネチャ管理部108から削除する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正アクセス検知システム技術の中でも、特に不正アクセスを検出するためのシグネチャの作成方法に関し、複数の不正アクセス検知システムで頻繁に発生する不正アクセスに対するシグネチャのみを共通にもつことを可能にすることで、無駄なく効率的に不正アクセスを検知する侵入検知システム、及びそれを構成する通信装置に関するものである。
【背景技術】
【0002】
近年、インターネットなどのネットワークの普及にともない、ADSL(非対称デジタル加入者線)やFTTH(光ファイバ)といったインターネットの常時接続環境の企業、または家庭への導入が盛んになってきている。これにともない、家庭などにおいて利用される電化製品の多くが、ネットワーク接続のためのインタフェースを持ち、ネットワーク接続が可能となってきている(以下、ネットワークに接続可能な電化製品をネット家電と記す)。
【0003】
企業や家庭において、内部でLAN環境を構成した際、内部のネットワークに、ネット家電やパソコンなどの機器が接続される(以下、内部ネットワークと記す)。これらの機器はネットワークに接続されることで、新たなサービスを提供することができる。例えば、インターネット等の外部に接続可能な回線(以下、外部ネットワークと記す)と内部ネットワークが接続されることで、宅外ネットワークに接続されるパソコンから、宅内ネットワークに接続されるビデオデッキに対して録画予約の指示を行ったり、エアコンのスイッチを切り替えたりすることも可能である。そのためには、宅内ネットワークに複数存在するネット家電やパソコンなどの機器を集線する機能を持ち、宅内ネットワークと宅外ネットワークとを中継するゲートウェイが必要となる。
【0004】
しかし、宅内ネットワークが宅外ネットワークに常時接続されることで、宅内に接続された機器は、不正アクセスなどを受ける可能性がでてくる。不正アクセス行為とは、外部ネットワークから行う不正な攻撃のことであり、不正侵入や、サービス不能攻撃(DDoS Attack)、システムの脆弱性を狙った攻撃などを行うことである。
【0005】
そこで、宅外ネットワークから宅内ネットワークに対して行われる不正アクセスを検出し、防止するために、侵入検知システム(Intrusion Detection System)や、侵入防御システム(Intrusion Protection System)などの機能をゲートウェイへ導入する必要がある。
【0006】
侵入検知システムによって不正アクセスを検出する方法としては、パターンデータ(以下、シグネチャと記載)を用いて、不正アクセスを検出するシグネチャ型が一般的である。シグネチャとは、不正アクセスに使われるパケットの内部に存在する特徴的なパターンのことを言う。シグネチャ型侵入検知システムは、過去に不正アクセスとして発見された攻撃のパターンをシグネチャとして記憶しており、侵入して来たパケットを解析する際に、侵入して来たパケットとパターンデータとを比較することで、不正アクセスか否かを判断することである。つまり、侵入検知システムでは、TCP層よりも上位層における不正アクセスを検知する。TCPパケットのペイロードに不正なデータ(コンピュータに不正な動作をさせるプログラムなど)が含まれているかどうかを検知する。TCP層やIP層において不正アクセスを検知する機能としては、従来のファイアウォールにおけるパケットフィルタリングがある。
【0007】
近年のインターネット利用人口の増加にともなって、悪意のある利用者の不正アクセス攻撃も増加しているため、侵入検知システムのニーズは非常に高まっている。不正アクセス攻撃が増加することで、侵入検知システムは膨大の種類のシグネチャを持つ必要があり、また、新たな不正アクセスに対応するため、侵入検知システムの製造元などから提供されるシグネチャを侵入検知システムの管理者が日々更新する必要がある。
【0008】
侵入検知システムの高精度化、分散管理手法を図った方法として、特許文献1の公報に開示されている技術がある。この公報に開示された侵入検知システムによると、ある端末(仮に端末Aとする)で収集した動作の履歴(ログ)を他の端末に送信し、各端末は、そのログを診断し、予め決められた閾値以上の端末が、そのログから不正アクセスを検知した(不正アクセスと判断した)場合、各端末は不正アクセスを受けている端末との通信を中止することが可能である。端末Aで不正アクセスを検知できなくても、他の複数の端末でも共同で不正アクセスを検知するため、端末Aで検知できなかった不正アクセスを他の端末で補うことが可能である。
【特許文献1】特開平9−128336号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
侵入検知システムを家庭やSOHOにおけるネットワークへ導入する場合、少ないリソースで導入でき、かつ、頻繁に発生する不正アクセスは検知できなければならない。しかしながら、前記従来の構成では、シグネチャ自体は、各侵入検知システムで膨大な量を持たなければならないため、無駄が多く、リソースも大きいため家庭やSOHOにおけるネットワークへ導入するには不向きである。また、最新のシグネチャは常に管理者が更新しなければならないが、管理者が更新を怠ったか、ネットワーク上のトラブルなどにより、侵入検知システムの製造元などから、シグネチャが提供されず、更新できていない場合もありうるため、頻繁に行われる、特に新規に発見された不正アクセスが検知できていないことがある。
【0010】
本発明は、前記従来の課題を解決するもので、ネットワーク上に存在する管理サーバが、各通信装置で検知された不正アクセスに関するログを収集し、発生頻度により順位付けした結果(ログ)を各通信装置に通知する。通信装置は、管理サーバから受信したログを解析し、自身の不正アクセス検知部では検知して無く、その他の多くの不正アクセス検知部では検知しているような不正アクセスを発見した場合、自身にその不正アクセスに対応するシグネチャが無いためであると仮定し、シグネチャが無い場合は、他の通信端末からシグネチャを受信する。また、発生頻度が低くなってしまった不正アクセスに対するパターンデータは、一定時間保持しておき、一定時間経過後、削除するため、無駄なく効率的に不正アクセスを検知することが可能となり、少ないリソースでシグネチャを持つことが可能である。また、最新のシグネチャを更新し損なっていた場合も、最新のシグネチャのうち、頻繁に行われる不正アクセスに関してのシグネチャを常に保持しておくことが可能である。
【課題を解決するための手段】
【0011】
上記の課題を解決するために、本発明の請求項1記載の発明は、ネットワーク上の不正アクセスを、不正アクセスの特徴を示したシグネチャに基づいて検出する侵入検知システムであって、前記ネットワーク上の不正アクセスに関するログを収集し、不正アクセスの多い順に順位付けしたログ情報を作成すると共に、前記シグネチャをデータベースとして保持する管理部を有する管理サーバと、前記順位付けしたログ情報を前記管理部から収集するログ収集部と、前記順位付けしたログ情報を解析し、前記順位付けしたログ情報において順位の高い不正アクセスを検知したかどうかを判定するログ解析部と、前記シグネチャを記憶するシグネチャ管理部と、前記ログ解析部において、前記順位付けしたログ情報において順位の高い不正アクセスを検知しなかった場合、前記順位の高い不正アクセスに対応するシグネチャを前記管理部から取得し、前記シグネチャ管理部に格納するシグネチャ更新部を有する1つ以上の通信装置とで構成されることを特徴とするものである。
【0012】
また、本発明の請求項2記載の発明は、請求項1記載の侵入検知システムにおいて、前記管理部は、前記シグネチャ更新部から要求された前記順位の高い不正アクセスに対応するシグネチャを保持していない場合、前記ネットワーク上の他の通信装置から前記順位の高い不正アクセスに対応するシグネチャを取得し、前記シグネチャ更新部に提供することを特徴とするものである。
【0013】
また、本発明の請求項3記載の発明は、請求項1記載の侵入検知システムにおいて、前記シグネチャ更新部は、前記順位付けしたログ情報において順位の低い不正アクセスに対応するシグネチャを所定の条件を満たした場合に削除することを特徴とするものである。
【0014】
また、本発明の請求項4記載の発明は、請求項1記載の侵入検知システムにおいて、前記通信装置は、前記不正アクセスを検知した場合、前記不正アクセスを検知したことを示すアラートをユーザに通知すると共に、必要に応じて前記検知した不正アクセスを遮断するようにファイアウォールを設定するアラート発生部を更に有することを特徴とするものである。
【0015】
また、本発明の請求項5記載の発明は、ネットワーク上の不正アクセスを、不正アクセスの特徴を示したシグネチャに基づいて検出する通信装置であって、前記ネットワーク上の不正アクセスに関するログを、不正アクセスの多い順に順位付けしたログ情報を収集するログ収集部と、前記順位付けしたログ情報を解析し、前記順位付けしたログ情報において順位の高い不正アクセスを検知したかどうかを判定するログ解析部と、前記シグネチャを記憶するシグネチャ管理部と、前記ログ解析部において、前記順位付けしたログ情報において順位の高い不正アクセスを検知しなかった場合、前記順位の高い不正アクセスに対応するシグネチャを取得し、前記シグネチャ管理部に格納するシグネチャ更新部を備えることを特徴とするものである。
【0016】
また、本発明の請求項6記載の発明は、ネットワーク上の不正アクセスを、不正アクセスの特徴を示したシグネチャに基づいて検出する侵入検知システムであって、前記ネットワーク上の不正アクセスに関するログを収集し、不正アクセスの多い順に順位付けしたログ情報を作成すると共に、前記シグネチャをデータベースとして保持する管理部と、前記順位付けしたログ情報を前記管理部から収集するログ収集部と、前記順位付けしたログ情報を解析し、前記順位付けしたログ情報において順位の高い不正アクセスを検知したかどうかを判定するログ解析部と、前記シグネチャを記憶するシグネチャ管理部と、前記ログ解析部において、前記順位付けしたログ情報において順位の高い不正アクセスを検知しなかった場合、前記順位の高い不正アクセスに対応するシグネチャを前記管理部から取得し、前記シグネチャ管理部に格納するシグネチャ更新部とを有する第1の通信装置と、前記ログ収集部と、前記ログ解析部と、前記シグネチャ管理部と、前記シグネチャ更新部とを有する1つ以上の第2の通信装置により構成されることを特徴とするものである。
【0017】
また、本発明の請求項7記載の発明は、ネットワーク上の不正アクセスを、不正アクセスの特徴を示したシグネチャに基づいて検出する通信装置であって、前記ネットワーク上の不正アクセスに関するログを収集し、不正アクセスの多い順に順位付けしたログ情報を作成すると共に、前記シグネチャをデータベースとして保持する管理部と、前記ネットワーク上の不正アクセスに関するログを、不正アクセスの多い順に順位付けしたログ情報を収集するログ収集部と、前記順位付けしたログ情報を解析し、前記順位付けしたログ情報において順位の高い不正アクセスを検知したかどうかを判定するログ解析部と、前記シグネチャを記憶するシグネチャ管理部と、前記ログ解析部において、前記順位付けしたログ情報において順位の高い不正アクセスを検知しなかった場合、前記順位の高い不正アクセスに対応するシグネチャを取得し、前記シグネチャ管理部に格納するシグネチャ更新部を備えることを特徴とするものである。
【発明の効果】
【0018】
本発明において、管理サーバが、ネットワーク上の複数の通信装置が検知した不正アクセスに関するログを収集し、ログの情報から不正アクセスの多い順に順位付けし、各侵入検知システムが管理サーバから取得したログ情報から自身の侵入検知システムで頻繁に検知される不正アクセスに関するシグネチャの有無を確認し、無い場合、追加することで、頻繁に検知される不正アクセスに関する共通のシグネチャを複数の通信装置で持つことができる。また、ログの情報から発生頻度が低くなってしまった不正アクセスに対するシグネチャは、削除しあうことで、無駄なく効率的に不正アクセスを検知することが可能となり、少ないリソースでシグネチャを持つことができる。更に、侵入検知システムの製造元からのシグネチャを更新し損なっていたとしても、複数の通信装置の連携により、最新のシグネチャの中でも頻繁に行われる不正アクセスに対するもののみ持つことができる。
【発明を実施するための最良の形態】
【0019】
以下本発明の実施の形態について、図面を参照しながら説明する。
【0020】
(実施の形態1)
図1は、本発明の実施の形態1における侵入検知システムの概要構成を示すブロック図である。
【0021】
図1において、インターネットなどの第1のネットワークには、管理サーバ101が存在する。家庭内、SOHO内などの第2のネットワークには、ホームゲートウェイ(以下、HGW)102が設置される。ホームゲートウェイの中にはファイアウォール103と不正アクセス検知部104が設置され、第1のネットワークから第2のネットワークへの不正アクセスを監視する。不正アクセス検知部104は、HGW102を流れるパケットを解析するパケット解析部105、不正アクセスに関する履歴(ログ)を管理するログ収集部106、ログ収集部106のログを解析するログ解析部107、不正アクセスを検知するためのパターンファイル(シグネチャ)を保持するシグネチャ管理部108、シグネチャ管理部108のシグネチャを更新するシグネチャ更新部109、パケット解析部105によって不正アクセスが検知された際に、アラートを発生するアラート発生部110で構成される。また、HGW102にはユーザ端末111が接続される。なお、図1では第1のネットワーク上に3つのHGWが接続され、それぞれに不正アクセス検知部が設置された場合であるが、第1のネットワーク上に接続される不正アクセス検知部を持つHGWは、2つ以下であっても、4つ以上であっても構わない。
【0022】
管理サーバ101に関して、主な役割は、ネットワーク上に存在する複数のHGWの不正アクセス検知部で保持している不正アクセスに関するログを収集し、収集したログから頻繁に発生した不正アクセスを集計し、検知した不正アクセスの多い順に順位付けすることである。また、管理サーバ101はシグネチャを不正アクセス検知部104に送信する機能ももつ。前者については図2で、後者については図6〜8で述べる。シグネチャとログのフォーマットの一例については図4で述べる。
【0023】
図2は、管理サーバ101がネットワーク上の複数の不正アクセス検知部で保持している不正アクセスに関するログを収集し、収集したログから頻繁に発生した不正アクセスを集計し、検知した不正アクセスの多い順に順位付けする際の動作の一例について示したフローチャートである。管理サーバ101は、事前にネットワーク上の複数の不正アクセス検知部104を実装したHGWの位置を示す位置情報リストを持つ。位置情報リストは図3のフォーマットに従う。位置情報リストは、IPアドレスとホームゲートウェイの名前を対にして羅列したファイルである。管理サーバ101は、位置情報リストの先頭に記載の位置に存在するHGWの不正アクセス検知部104に対して問い合わせ(ステップS201)、応答があった場合は、問い合わせ先の不正アクセス検知部104のログ収集部106からログを収集する(ステップS202、203)。応答が無い場合は、位置情報リストの次に記載の位置に存在するHGWの不正アクセス検知部へ問い合わせる(ステップS202、204)。位置情報リストの最後まで問い合わせ終わるまで繰り返し(ステップS205、206)、問い合わせが終わった場合、管理サーバ101が収集したログをもとに不正アクセスの検知数の多い順に順位付けする(ステップS205、207)。順位付けしたログのフォーマットの一例については、以下の図5の説明で述べる。
【0024】
図4に、シグネチャとログのフォーマットの一例とその具体例を示す。情報401は、シグネチャのフォーマットの一例である。シグネチャは、番号(不正アクセスごとに連番を振っておく)、不正アクセス名、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、キーワード(パケットに含まれる不正アクセスを特徴付けるキーワードなど)で構成される。情報402は、シグネチャの一例であり、1番目の不正アクセスは、“ABCD Overflow”である。この不正アクセスは、送信元IPアドレス、宛先IPアドレスは任意、送信元ポート番号がHTTPサーバのポート番号(HTTP_SERVER)、宛先ポート番号が43番であるパケットで、パケットのペイロード内に“/abcd/hsdw.pif”が含まれるパケットであることを特徴として持っている。情報403は、ログのフォーマットである。ログは、番号(情報401のシグネチャの番号と対応)、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、不正アクセス名で構成される。情報404は、ログの一例であり、先頭のログは、シグネチャの中の12番目に該当する不正アクセスであり、送信元IPアドレス135.184.12.12、送信元ポート番号3182から、宛先IPアドレス133.15.32.31、宛先ポート番号80への不正アクセスで、“FFFF Request”という名前の不正アクセスである。
【0025】
図5に、順位付けしたログのフォーマットの一例とその具体例を示す。情報501は、順位付けしたログのフォーマットの一例であり、順位(検知数の多い順に順位付けした数値)、検知数(その不正アクセスを検知したHGWの数、ログから検出された数など)、番号(図4の情報401のシグネチャの番号と対応)、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、不正アクセス名で構成される。情報502は、順位付けしたログの一例であり、1位の不正アクセスは、検知数が22、シグネチャの中の2番目に該当する不正アクセスで、送信元IPアドレス133.138.122.100、送信元ポート番号1449から、宛先IPアドレス133.15.32.31、宛先ポート番号80への“OPQ Attack”という名前の不正アクセスである。
【0026】
図6は、管理サーバがシグネチャの登録されたデータベースを保持する場合における、各不正アクセス検知部104と管理サーバ101の連携により、シグネチャ管理部108のシグネチャを追加更新する手順を示したフローチャートである。管理サーバ101が不正アクセス検知部104のログ収集部106へ順位付けしたログを送信すると(ステップS601)、ログ解析部107は、順位付けしたログから、順位の上位(上位を具体的に何位と定義するかはユーザに依存、デフォルトの順位を定義しておくことも可能)の不正アクセスが自らの不正アクセス検知部104で検知されているか否かを自らで検知したログと、順位付けしたログとを比較することで解析し、検知されている場合は、追加更新しないで終了する(ステップS602)。検知されていない場合は、シグネチャ更新部109が順位の上位の不正アクセスに対するシグネチャがあるかシグネチャ管理部108に問い合わせる(ステップS603)。シグネチャがある場合は、追加更新しないで終了し(ステップS604)、シグネチャが無い場合は、シグネチャ更新部109が順位付けしたログの中の番号に該当するシグネチャを管理サーバ101に問い合わせ、シグネチャを取得し、シグネチャ管理部108を追加更新する(ステップS605)。
【0027】
図7は、図6のステップS605において、シグネチャ更新部109が管理サーバ101にシグネチャの取得を要求した際の、管理サーバ101の動作を示したフローチャートである。シグネチャ更新部109が管理サーバ101に対してシグネチャの取得を要求すると(ステップS701)、管理サーバ101は、データベースに要求されたシグネチャが存在するか否かを検索し、データベースにシグネチャが存在しない場合は(ステップS702)、位置情報リストよりネットワーク上の他の不正アクセス検知部に問い合わせ、シグネチャを取得し(ステップS703)、シグネチャをシグネチャ更新部109に送信する(ステップS704)。データベースにシグネチャが存在する場合は、シグネチャをシグネチャ更新部109に送信する(ステップS704)。
【0028】
図8は、管理サーバ101がデータベースを保持しない場合における、各不正アクセス検知部104と管理サーバ101の連携により、シグネチャ管理部108のシグネチャを追加更新する手順を示したフローチャートである。管理サーバ101が不正アクセス検知部104のログ収集部106へ順位付けされたログを送信すると(ステップS801)、ログ解析部107は、順位付けしたログから、順位の上位の不正アクセスが自らの不正アクセス検知部104で検知されているか否かを解析し、検知されている場合は、追加更新しないで終了する(ステップ802)。検知されていない場合は、シグネチャ更新部109が順位の上位の不正アクセスに対するシグネチャがあるかシグネチャ管理部108に問い合わせる(ステップS803)。シグネチャがある場合は、追加更新しないで終了し(ステップS804)、シグネチャが無い場合は、シグネチャ更新部109が順位付けしたログの中の番号に該当するシグネチャを管理サーバ101に問い合わせ(ステップS805)、管理サーバ101が位置情報リストよりネットワーク上の他のHGWの不正アクセス検知部に問い合わせ、シグネチャを取得し、要求元のシグネチャ更新部109に送信する(ステップS806)。シグネチャ更新部109は、シグネチャ管理部108のシグネチャを追加更新する(ステップS807)。
【0029】
図9は、各不正アクセス検知部104と管理サーバ101の連携により、シグネチャ管理部108のシグネチャを削除更新する手順を示したフローチャートである。管理サーバ101が不正アクセス検知部104のログ収集部106へ順位付けしたログを送信すると(ステップS901)、ログ解析部107は、順位付けしたログから、ログに記載されていないか、あるいは、順位の下位(下位を具体的に何位と定義するかはユーザに依存、デフォルトの順位を定義しておくことも可能)の不正アクセスに対するシグネチャがあるか否かシグネチャ更新部109に問い合わせる(ステップS902)。シグネチャ更新部109は、シグネチャ管理部108を検索し、シグネチャがある場合、図10に示す低頻度シグネチャの該当する不正アクセスを1カウントする(ステップS903、S904)。シグネチャが無い場合、削除更新しないで終了する(ステップS902)。図10に低頻度シグネチャのフォーマットを示す。情報1001は、低頻度シグネチャのフォーマットであり、不正アクセス名、順位、カウント数で構成される。情報1002は、低頻度シグネチャの一例であり、番号1は、“ABCD Attack”という不正アクセスであり、3回カウントされたことを示している。カウントが一定数(具体的なカウント数はユーザが定義、デフォルトのカウント数を定義しておくことも可能)に達した場合、該当するパターンデータを削除する。
【0030】
図11は、パケット解析部105により不正アクセスが検知された際の、アラート発生部110の処理について示したフローチャートである。パケット解析部105が不正アクセスを検知すると(ステップS1101)、不正アクセスを遮断するポリシーであった場合は、ユーザに対してアラートを発信し、ファイアウォール103に対して検出された不正アクセスを遮断するためのパケットフィルタリングの設定を行う(ステップS1102、1103)。不正アクセスを遮断しないポリシーであった場合は、ユーザに対してアラートを発信する(ステップS1104)。ポリシーは予めユーザが定義しておく。
【0031】
このように、侵入検知システムにおいて不正アクセスを検出した結果、特定のIPアドレスから不正アクセスが行われていることが検知できれば、そのIPアドレスからのアクセスはブロックするようにパケットフィルタリングの設定を変更することも出来る。つまり、侵入検知システムにおける検知結果をパケットフィルタリングに反映させてセキュリティを高めることも可能である。侵入検知システムは、従来の家庭用ルータにおいてパケットフィルタリングのみが実装されていた場合と比べて、セキュリティを高めることが出来る。
【0032】
(実施の形態2)
図12は、本発明の実施の形態2における侵入検知システムの概要構成を示すブロック図である。
【0033】
図12において、家庭内、SOHO内などの第2のネットワークには、ホームゲートウェイ(以下、HGW)1201が設置される。管理サーバは存在しない。ホームゲートウェイの中にはファイアウォール1202と不正アクセス検知部1203が設置され、第1のネットワークから第2のネットワークへの不正アクセスを監視する。不正アクセス検知部1203は、HGW1201を流れるパケットを解析するパケット解析部1204、不正アクセスに関する履歴(ログ)を管理するログ収集部1205、ログ収集部1205のログを解析するログ解析部1206、不正アクセスを検知するためのパターンデータ(シグネチャ)を保持するシグネチャ管理部1207、シグネチャ管理部1207のシグネチャを更新するシグネチャ更新部1208、パケット解析部1204によって不正アクセスが検知された際に、アラートを発生するアラート発生部1209、ログ管理部1210で構成される。ログ管理部1210の役割は、実施の形態1の管理サーバと同様であり、ネットワーク上に存在する複数のHGWの不正アクセス検知部で保持している不正アクセスに関するログを収集し、収集したログから頻繁に発生した不正アクセスを集計し、検知した不正アクセスの多い順に順位付けすることである。また、HGW1201にはユーザ端末1211が接続される。なお、図12では第1のネットワーク上に3つのHGWが接続され、それぞれに不正アクセス検知部が設置された場合であるが、第1のネットワーク上に接続される不正アクセス検知部を持つHGWは、2つ以下であっても、4つ以上であっても構わない。ただし、ログ管理部1210を持つ不正アクセス検知部1203は第1のネットワーク上に1つのみである。
【0034】
図13に、ログの収集方法の一例を示す。ログ収集部1205は、図3に示す管理情報リストを事前に保持しておく。位置情報リストの先頭は、ログ管理部1210を持つ不正アクセス検知部1203であり、ログ管理部1210は、リストの2番目のHGWの不正アクセス検知部1203に自らのログ情報を転送する(ステップS1301)。位置情報リストの2番目のHGWと通信できない場合は、位置情報リストを1つ飛ばして、位置情報リストの3番目のHGWの不正アクセス検知部1203へ転送する(ステップS1302、1303)。通信できる場合は、位置情報リストの2番目のHGWの不正アクセス検知部1203におけるログ収集部1205が位置情報リストの1番目のHGWの不正アクセス検知部1203から受信したログを加えて、位置情報リストの次のHGWの不正アクセス検知部1203に転送する(ステップS1304)。位置情報リストが一巡するまで転送し、一巡し、再びログ管理部1210を持つ不正アクセス検知部1203に戻ってきた場合、処理を終了する(ステップS1305)。一巡していない場合は、一巡するまで位置情報リストの次の不正アクセス検知部1203へ転送する(ステップS1305、1306)。
【0035】
図14は、不正アクセス検知部1203が、シグネチャ管理部1207のシグネチャを追加更新する手順を示したフローチャートである。ログ管理部1210が不正アクセス検知部1203のログ収集部1205へ順位付けされたログを送信すると(ステップS1401)、ログ解析部1206は、順位付けしたログから、順位の上位の不正アクセスが自らの侵入検知システムで検知されているか否かを解析し、検知されている場合は、追加更新しないで終了する(ステップS1402)。検知されていない場合は、シグネチャ更新部1208が順位の上位の不正アクセスに対するシグネチャがあるかシグネチャ管理部1207に問い合わせる(ステップS1403)。シグネチャがある場合は、追加更新しないで終了し(ステップS1404)、シグネチャが無い場合は、シグネチャ更新部1207が順位付けしたログの中の番号に該当するシグネチャを位置情報リストの先頭から順に問い合わせ(ステップS1405)、シグネチャを取得し、要求元のシグネチャ更新部1208に送信し、シグネチャ更新部1208は、シグネチャ管理部1207のシグネチャを追加更新する(ステップS1405)。
【0036】
以上説明したように、本発明の第2の実施形態によれば、ログ管理部1210が管理サーバの機能を有することにより、第1の実施形態のように管理サーバ101を別途設置する必要が無くなるという効果が得られる。
【産業上の利用可能性】
【0037】
本発明の侵入検知システムは、無駄なく頻繁に発生する不正アクセスに関するパターンデータのみを持つことが可能であるため、家庭内ネットワークなどの比較的リソースの少ない環境に適用できる。
【図面の簡単な説明】
【0038】
【図1】本発明の実施の形態1における侵入検知システムの概要構成を示すブロック図
【図2】管理サーバがログを収集し、不正アクセスの多い順に順位付けする際のフローチャート
【図3】位置情報リストのフォーマットを示す図
【図4】シグネチャとログのフォーマットの一例を示す図
【図5】順位付けしたログのフォーマットの一例を示す図
【図6】管理サーバでシグネチャの登録されたデータベースを保持する場合における、シグネチャ管理部のシグネチャを追加更新するフローチャート
【図7】シグネチャ更新部が管理サーバにシグネチャの取得を要求した際の管理サーバの動作を示すフローチャート
【図8】管理サーバがシグネチャを管理するデータベースを保持しない場合における、シグネチャ管理部のシグネチャを追加更新するフローチャート
【図9】シグネチャ管理部のシグネチャを削除更新するフローチャート
【図10】低頻度シグネチャのフォーマットを示す図
【図11】アラート発生部の詳細動作を示すフローチャート
【図12】本発明の実施の形態2における侵入検知システムの概要構成を示すブロック図
【図13】ログの収集方法のフローチャート
【図14】シグネチャ管理部のシグネチャを追加更新するフローチャート
【符号の説明】
【0039】
101 管理サーバ
102 ホームゲートウェイ
103 ファイアウォール
104 不正アクセス検知部
105 パケット解析部
106 ログ収集部
107 ログ解析部
108 シグネチャ管理部
109 シグネチャ更新部
110 アラート発生部
111 ユーザ
1201 ホームゲートウェイ
1202 ファイアウォール
1203 不正アクセス検知部
1204 パケット解析部
1205 ログ収集部
1206 ログ解析部
1207 シグネチャ管理部
1208 シグネチャ更新部
1209 アラート発生部
1210 ログ管理部
1211 ユーザ端末
【特許請求の範囲】
【請求項1】
ネットワーク上の不正アクセスを、不正アクセスの特徴を示したシグネチャに基づいて検出する侵入検知システムであって、
前記ネットワーク上の不正アクセスに関するログを収集し、不正アクセスの多い順に順位付けしたログ情報を作成すると共に、前記シグネチャをデータベースとして保持する管理部を有する管理サーバと、
前記順位付けしたログ情報を前記管理部から収集するログ収集部と、
前記順位付けしたログ情報を解析し、前記順位付けしたログ情報において順位の高い不正アクセスを検知したかどうかを判定するログ解析部と、
前記シグネチャを記憶するシグネチャ管理部と、
前記ログ解析部において、前記順位付けしたログ情報において順位の高い不正アクセスを検知しなかった場合、前記順位の高い不正アクセスに対応するシグネチャを前記管理部から取得し、前記シグネチャ管理部に格納するシグネチャ更新部を有する1つ以上の通信装置
とで構成されることを特徴とする侵入検知システム。
【請求項2】
前記管理部は、前記シグネチャ更新部から要求された前記順位の高い不正アクセスに対応するシグネチャを保持していない場合、前記ネットワーク上の他の通信装置から前記順位の高い不正アクセスに対応するシグネチャを取得し、前記シグネチャ更新部に提供することを特徴とする請求項1記載の侵入検知システム。
【請求項3】
前記シグネチャ更新部は、前記順位付けしたログ情報において順位の低い不正アクセスに対応するシグネチャを所定の条件を満たした場合に削除することを特徴とする請求項1記載の侵入検知システム。
【請求項4】
前記通信装置は、前記不正アクセスを検知した場合、前記不正アクセスを検知したことを示すアラートをユーザに通知すると共に、必要に応じて前記検知した不正アクセスを遮断するようにファイアウォールを設定するアラート発生部を更に有することを特徴とする請求項1記載の侵入検知システム。
【請求項5】
ネットワーク上の不正アクセスを、不正アクセスの特徴を示したシグネチャに基づいて検出する通信装置であって、
前記ネットワーク上の不正アクセスに関するログを、不正アクセスの多い順に順位付けしたログ情報を収集するログ収集部と、
前記順位付けしたログ情報を解析し、前記順位付けしたログ情報において順位の高い不正アクセスを検知したかどうかを判定するログ解析部と、
前記シグネチャを記憶するシグネチャ管理部と、
前記ログ解析部において、前記順位付けしたログ情報において順位の高い不正アクセスを検知しなかった場合、前記順位の高い不正アクセスに対応するシグネチャを取得し、前記シグネチャ管理部に格納するシグネチャ更新部
を備えることを特徴とする通信装置。
【請求項6】
ネットワーク上の不正アクセスを、不正アクセスの特徴を示したシグネチャに基づいて検出する侵入検知システムであって、
前記ネットワーク上の不正アクセスに関するログを収集し、不正アクセスの多い順に順位付けしたログ情報を作成すると共に、前記シグネチャをデータベースとして保持する管理部と、
前記順位付けしたログ情報を前記管理部から収集するログ収集部と、
前記順位付けしたログ情報を解析し、前記順位付けしたログ情報において順位の高い不正アクセスを検知したかどうかを判定するログ解析部と、
前記シグネチャを記憶するシグネチャ管理部と、
前記ログ解析部において、前記順位付けしたログ情報において順位の高い不正アクセスを検知しなかった場合、前記順位の高い不正アクセスに対応するシグネチャを前記管理部から取得し、前記シグネチャ管理部に格納するシグネチャ更新部
とを有する第1の通信装置と、
前記ログ収集部と、前記ログ解析部と、前記シグネチャ管理部と、前記シグネチャ更新部とを有する1つ以上の第2の通信装置
により構成されることを特徴とする侵入検知システム。
【請求項7】
ネットワーク上の不正アクセスを、不正アクセスの特徴を示したシグネチャに基づいて検出する通信装置であって、
前記ネットワーク上の不正アクセスに関するログを収集し、不正アクセスの多い順に順位付けしたログ情報を作成すると共に、前記シグネチャをデータベースとして保持する管理部と、
前記ネットワーク上の不正アクセスに関するログを、不正アクセスの多い順に順位付けしたログ情報を収集するログ収集部と、
前記順位付けしたログ情報を解析し、前記順位付けしたログ情報において順位の高い不正アクセスを検知したかどうかを判定するログ解析部と、
前記シグネチャを記憶するシグネチャ管理部と、
前記ログ解析部において、前記順位付けしたログ情報において順位の高い不正アクセスを検知しなかった場合、前記順位の高い不正アクセスに対応するシグネチャを取得し、前記シグネチャ管理部に格納するシグネチャ更新部
を備えることを特徴とする通信装置。
【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図11】
image rotate

【図12】
image rotate

【図13】
image rotate

【図14】
image rotate

【公開番号】特開2006−67279(P2006−67279A)
【公開日】平成18年3月9日(2006.3.9)
【国際特許分類】
【出願番号】特願2004−248039(P2004−248039)
【出願日】平成16年8月27日(2004.8.27)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】

[ Back to top ]