JP2001313640A - Method and system for deciding access type in communication network and recording medium - Google Patents

Method and system for deciding access type in communication network and recording medium

Info

Publication number
JP2001313640A
JP2001313640A JP2000133494A JP2000133494A JP2001313640A JP 2001313640 A JP2001313640 A JP 2001313640A JP 2000133494 A JP2000133494 A JP 2000133494A JP 2000133494 A JP2000133494 A JP 2000133494A JP 2001313640 A JP2001313640 A JP 2001313640A
Authority
JP
Japan
Prior art keywords
access
transmission information
communication system
condition
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000133494A
Other languages
Japanese (ja)
Inventor
Tatsuya Baba
達也 馬場
Masateru Yamaoka
正輝 山岡
Katsutoshi Kokubo
勝敏 小久保
Yoshiyuki Matsuda
栄之 松田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2000133494A priority Critical patent/JP2001313640A/en
Publication of JP2001313640A publication Critical patent/JP2001313640A/en
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an illegal access detection system capable of detecting illegal accesses of various patterns including an unknown method. SOLUTION: The latest access policy of a site to be a management object is acquired from a management server 20 and held. Packets addressed to the site are acquired among packets circulated in a network, and packets suitable for the access policy and packets unsuitable for the access policy are sorted amount the acquired packets. When a packet unsuitable for the policy is selected, the packet is specified as a packet having possibility of being an illegal access and notified to the management server 20 in order to change an access condition for removing an access based on the specified packet.

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【発明の属する技術分野】本発明は、イーサネット(登
録商標)やインターネットのような通信ネットワークに
おいて発生する不正アクセスを検知する手法に係り、よ
り詳しくはアクセス先に於いて固有となる正常アクセス
の条件を定めた条件情報をもとに、未知のパターンの不
正アクセスも検知することができるようにする方法及び
それを実現するためのシステム技術に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a technique for detecting an unauthorized access occurring in a communication network such as Ethernet (registered trademark) or the Internet, and more particularly to a condition of a normal access which is unique at an access destination. The present invention relates to a method for detecting an unauthorized access of an unknown pattern on the basis of condition information that defines the above, and a system technology for realizing the method.

【0002】[0002]

【従来の技術】多数の者がアクセス可能な通信ネットワ
ークに接続されている通信システム又は内部ネットワー
ク等によって構築される通信システムグループ(以下、
便宜上、これらを総称して「サイト」と称する)に対し
て当該通信ネットワーク経由で不正に行われるアクセス
(以下、「不正アクセス」)を検知する手法として、従
来、以下の3つの方式が知られている。2. Description of the Related Art A communication system connected to a communication network accessible to a large number of people or a communication system group constructed by an internal network (hereinafter referred to as a communication system group).
For the sake of convenience, the following three methods are conventionally known as a method for detecting an unauthorized access (hereinafter, referred to as “illegal access”) to these via a communication network for these (collectively referred to as “sites”). ing.

【0003】第1の方式は、既存の不正アクセスの特徴
パターン(以下、「シグネチャ」と称する。)、例え
ば、通信プロトコルの種類、パケットの大きさ、そのパ
ケットのデータ部に含まれている文字列等の組み合わせ
を予め検知対象となる不正アクセスの数だけ保持してお
き、所定の検知システムが、ネットワーク上を流れるパ
ケットを捕獲してアクセス内容を監視し、そのアクセス
の内容がシグネチャと一致した場合に、不正アクセスが
発生したとして、そのアクセスの内容と発信源の情報と
を管理者等に知らせる方式である。この方式を採用する
既存のソフトウエアとしては、アメリカ合衆国Cisco Sy
stems, Inc社の「Cisco Secure IntrusionDetection Sy
stem」(同社の商標),アメリカ合衆国Internet Secur
ity Systems, Inc社の「RealSecure」(同社の商標)等
がある。In the first method, a characteristic pattern of an existing unauthorized access (hereinafter referred to as "signature"), for example, the type of communication protocol, the size of a packet, and the characters included in the data portion of the packet A combination of columns and the like is held in advance for the number of unauthorized accesses to be detected, and a predetermined detection system captures packets flowing on the network and monitors the access content, and the content of the access matches the signature. In this case, it is a method of notifying an administrator or the like of the contents of the access and the information of the transmission source, assuming that unauthorized access has occurred. Existing software that employs this method includes Cisco Sy in the United States.
stems, Inc.'s Cisco Secure Intrusion Detection Sy
stem "(trademark of the company), United States Internet Secur
and "RealSecure" (trademark) of ity Systems, Inc.

【0004】第2の方式は、通信ネットワークのユーザ
毎のアクションパターンデータを使用するもので、その
詳細は、下記文献に示されている。 (1)H.S.Javits and A.Valdes.The SRI IDES Statist
ical Anomaly Detector.In Proceedings of the IEEE S
ymposium on Security and Privacy,May 1991 (2)岡本他,なりすましに対する不正侵入検知システ
ム(IDS‐M),信学技報OFS99‐15,AI99‐27,pp.39
‐46,July 1999 この方式は、要するに、ログインしているユーザ毎に、
所定の検知システムが、対象システム内でのアクション
パターンデータ、例えばコマンドの種類、順序、使い方
等の統計データを長期的に収集することで、平均的な通
常アクセスのパターン、すなわち、プロファイルをその
統計から生成し、そのプロファイルから大きく離れた行
動をした場合に、正規ユーザになりすました不正アクセ
スが発生したとして警告を発する方式である。The second method uses action pattern data for each user of a communication network, and details thereof are disclosed in the following literature. (1) HSJavits and A.Valdes.The SRI IDES Statist
ical Anomaly Detector.In Proceedings of the IEEE S
ymposium on Security and Privacy, May 1991 (2) Okamoto et al., Intrusion Detection System for Impersonation (IDS-M), IEICE OFS99-15, AI99-27, pp. 39
-46, July 1999 This method basically means that every logged-in user
The predetermined detection system collects the action pattern data in the target system, for example, statistical data such as the type, order, and usage of commands, for example, over a long period of time. This is a method of issuing a warning when an unauthorized access has been made by impersonating a legitimate user when an action is generated that deviates greatly from the profile.

【0005】第3の方式は、利用サービスやアクセス先
機器毎のアクセスパターンデータを使用するもので、そ
の詳細は、下記文献に示されている。 (3)P.A Porras and P.G Neumann. EMERALD:Event mo
nitoring enabling responses to anomalous live dist
urbances. In Proceeding of the 20th NationalInform
ation Systems Security Conference. pp.353-365.Oct.
1997 この方式では、所定の検知システムが、利用プロトコル
やアクセス先アドレス毎にアクセスの内容、手順等の統
計を長期的に収集することで、第2方式と同様、プロフ
ァイル(但し、この場合のプロファイルは、アクセスパ
ターンデータとなる)を生成する。そして、生成したプ
ロファイルから大きく離れたアクセスが発生した場合に
不正アクセスが発生したとして警告を発する。[0005] The third method uses the access pattern data for each service or access destination device, the details of which are disclosed in the following literature. (3) PA Porras and PG Neumann. EMERALD: Event mo
nitoring enabling responses to anomalous live dist
urbances.In Proceeding of the 20th NationalInform
ation Systems Security Conference.pp.353-365.Oct.
1997 In this method, similar to the second method, a predetermined detection system collects statistics such as access contents and procedures for each usage protocol and access destination address over a long period of time. Becomes access pattern data). Then, when an access far away from the generated profile occurs, a warning is issued that an unauthorized access has occurred.

【0006】[0006]

【発明が解決しようとしている課題】しかしながら、従
来の各方式には、以下のような問題点があった。第1の
方式では、予め登録されているシグネチャに対応する不
正アクセスのみが検知対象であるため、未知の手法の不
正アクセスを検知することができない。また、新しい手
法のシグネチャの作成と登録までの間に、その新しい手
法による不正アクセスが自由に行われる可能性が高く、
不正アクセスを行う者(「攻撃者」)が攻撃対象のシス
テムの管理者に気づかれずに行われる不正アクセスの範
囲が広がる可能性がある。However, the conventional systems have the following problems. In the first method, since only an unauthorized access corresponding to a signature registered in advance is a detection target, an unauthorized access by an unknown technique cannot be detected. In addition, there is a high possibility that unauthorized access by the new method will be freely performed between the creation and registration of the signature of the new method,
There is a possibility that the range of unauthorized access performed by a person who performs unauthorized access (“attacker”) without being noticed by the administrator of the attacked system may increase.

【0007】第2及び第3の方式では、攻撃者が、検知
システムに警告されない程度に通常アクセスパターンか
ら少し逸脱したアクセスを継続して行っていくことで、
検知システムの統計を狂わせ、その結果、検知システム
において異常であると判断するための基準を攻撃者の都
合の良いようにずらしていくことが可能である。つま
り、攻撃者は、最終的に自分が行おうとする不正アクセ
スを検知システムの通常アクセスの範囲内に収めてしま
うことが可能となる。そうすると、検知システムは、も
はやそのアクセスを不正アクセスであると判断すること
ができなくなる。また、通常アクセスパターンからどの
程度逸脱したら不正アクセスとして検知するのか、その
判断の基準が非常に曖昧となり、検知結果に確信が持て
なくなる。さらに、不特定多数のユーザの利用を許可す
るようなサービス、例えばインターネットにおけるWWW
(world wide web)、電子メール、DNS(domain name s
ervice)等の場合には、ユーザ毎のプロファイルは作成
できないし、実際のアクセスの統計を長時間取らなけれ
ばならないため、導入後すぐに利用することが困難であ
る。[0007] In the second and third methods, the attacker continuously performs access slightly deviating from the normal access pattern so that the detection system does not warn the user.
It is possible to change the statistic of the detection system so that the criterion for determining that the detection system is abnormal is shifted for the convenience of the attacker. In other words, the attacker can finally limit the unauthorized access he or she intends to perform within the range of the normal access of the detection system. Then, the detection system can no longer determine that the access is an unauthorized access. In addition, the standard for determining how much deviation from the normal access pattern is detected as an unauthorized access becomes very vague, and the detection result becomes uncertain. Furthermore, services that allow the use of an unspecified number of users, such as the WWW on the Internet
(World wide web), email, DNS (domain name s
In the case of ervice, etc., it is difficult to create a profile for each user, and it is necessary to collect actual access statistics for a long time, so that it is difficult to use the profile immediately after installation.

【0008】本発明は、上記の問題点に鑑み、未知の手
法を含めた広範囲のアクセス種別を判定することがで
き、且つ判定の基準を攻撃者に操作されることがない新
たな仕組みを提供することを主たる課題とする。[0008] In view of the above problems, the present invention provides a new mechanism that can determine a wide range of access types including unknown methods, and that does not allow the attacker to operate the determination criterion. Is the main task.

【0009】[0009]

【課題を解決するための手段】上記の課題を解決するた
め、本発明では、上記のシグネチャを登録しておくとい
う既存の不正アクセス検知方法では、未知の手法に対応
できないことや頻繁なアップデートの必要性があること
から、逆に、シグネチャではなく、正常アクセスのため
の条件に適合するかどうかで不正アクセスの蓋然性の有
無を判定する新たな手法を採用する。ここでいう「正常
アクセス」とは、実際のアクセスの統計から得られる通
常のアクセスとは類似するものの、本質的な相違があ
る。通常のアクセスには正常アクセスに加えて、怪しい
アクセスも含まれる。これに対して、正常アクセスは、
実際のアクセスからではなく、予め定められたアクセス
条件に基づくものであって、運用時にそれが変更される
ことはない。そのアクセス条件が変更されるのは、通信
ネットワークの構成が変更された場合のみである。この
ため、上記の従来技術のように、運用中に攻撃者に変更
されるおそれもない。「正常なアクセスのための条件」
は、例えば、(1)アクセスに使用されるプロトコルの
仕様に準拠しているかどうか、(2)管理対象となる通
信システム又は通信システムグループのアクセスポリシ
ー(例えばあるホストを保持する組織がそのホストに対
して許可したアクセス条件を定めた情報。実際にはアク
セスを制限するための条件が記述される。送信元アドレ
ス/宛先アドレス/利用プロトコル(ポート番号)/こ
れら組合せは、その一例となる)に準拠しているかどう
か、(3)プロトコルポリシー(プロトコルで使用され
ているコマンドやURL等の内容、データの長さ)に準
拠しているかどうか、(4)単位時間あたりのアクセス
の回数が、上記のアクセスポリシーに記述されているア
クセスの許容頻度以内であるかどうか、という観点から
決定する。その後、各チェックの結果を予め学習された
ニューラルネットワークに入力し、危険度を定量化す
る。この危険度が一定値以上であれば、発信源の追跡手
段で追跡を行うことになる。この追跡手段については、
例えば本願出願人による特開2000−124952号
公報に記載された技術を用いることができる。なお、
(2)における「通信システムグループ」とは、LAN
等の内部ネットワークによってグループ化された通信シ
ステムをいう。According to the present invention, in order to solve the above-mentioned problems, the existing unauthorized access detection method of registering the above-mentioned signature cannot cope with an unknown method or frequently updates. Because of the necessity, on the contrary, a new method of determining the possibility of unauthorized access based on whether the condition for normal access is met, instead of the signature, is adopted. “Normal access” here is similar to normal access obtained from actual access statistics, but has an essential difference. Normal access includes suspicious access in addition to normal access. In contrast, normal access
This is based not on actual access but on a predetermined access condition, and is not changed during operation. The access condition is changed only when the configuration of the communication network is changed. For this reason, there is no possibility of being changed to an attacker during operation as in the above-described conventional technology. "Conditions for successful access"
For example, (1) whether the protocol conforms to the specification of the protocol used for access, (2) the access policy of the communication system or the communication system group to be managed (for example, when an organization holding a certain host Information that defines the access conditions permitted for the device.In practice, conditions for restricting access are described.The source address / destination address / usage protocol (port number) / combination of these is an example) (3) whether the protocol policy (contents of commands and URLs used in the protocol, data length) are compliant, (4) the number of accesses per unit time, Is determined from the viewpoint of whether the access frequency is within the allowable frequency of the access described in the access policy. Thereafter, the result of each check is input to a neural network that has been learned in advance, and the degree of risk is quantified. If the degree of risk is equal to or more than a certain value, the tracking is performed by the tracking means of the transmission source. For this tracking method,
For example, a technique described in Japanese Patent Application Laid-Open No. 2000-124952 by the present applicant can be used. In addition,
"Communication system group" in (2) means LAN
Etc. refers to communication systems grouped by an internal network.

【0010】上記の思想を具現化した本発明の方法は、
通信ネットワークを介して外部から行われるアクセスを
正常アクセスとして受容するためのプロトコル仕様及び
/又はアクセスポリシーを、対象となる通信システム又
は通信システムグループ毎に定めておき、前記通信ネッ
トワークを流通する伝送情報の中から前記通信システム
又は通信システムグループ宛の伝送情報を捕獲するとと
もに、捕獲した伝送情報の中から前記プロトコル仕様及
び/又はアクセスポリシーに適合しない伝送情報を不正
アクセスの蓋然性がある伝送情報として特定する過程を
含む、通信ネットワークにおけるアクセス種別を判定す
る方法である。[0010] The method of the present invention, which embodies the above-described concept, comprises:
A protocol specification and / or an access policy for accepting an access made from the outside through a communication network as a normal access is determined for each target communication system or communication system group, and transmission information flowing through the communication network is determined. From among the transmission information addressed to the communication system or the communication system group, and specifying transmission information that does not conform to the protocol specification and / or access policy from the captured transmission information as transmission information having a possibility of unauthorized access. A method of determining an access type in a communication network, including the step of performing

【0011】本発明は、また、上記アクセス種別を判定
する方法の実施に適したシステムを提供する。 このシ
ステムは、通信ネットワークに存在する通信システム又
は通信システムグループのアクセス管理を行う管理サー
バ(20)と、この管理サーバ(20)によるアクセス
管理の補助処理を行う不正アクセス検知システム(1
0)とを含んで構成される。便宜上、後述する実施の形
態に対応する参照符号を付して、その構成を具体的に説
明する。管理サーバ(20)は、前記通信ネットワーク
を介して外部から行われるアクセスを正常アクセスとし
て受容するための伝送情報の特徴条件を定めた条件情報
を管理対象となる通信システム又は通信システムグルー
プ毎に更新自在に登録する条件情報登録手段21,DB
22)と、各通信システム又は通信システムグループに
対するアクセス許可条件の変更を行う条件変更手段(2
2,DB23)とを有するものである。また、不正アク
セス検知システム(10)は、前記管理サーバの条件情
報登録手段から最新の前記条件情報を取得する条件情報
取得手段(11)と、前記通信ネットワークを流通する
伝送情報の中から管理対象となる通信システム又は通信
システムグループ宛の伝送情報を捕獲する伝送情報捕獲
手段(12)と、捕獲した伝送情報の中から前記取得し
た条件情報に適合する第1伝送情報と適合しない第2伝
送情報とを選別する伝送情報選別手段(13,14,1
5)と、前記第2伝送情報が選別されたときに当該第2
伝送情報に基づくアクセスを排除するためのアクセス条
件の変更を前記条件変更手段に促す通知手段(16)と
を具備するものである。The present invention also provides a system suitable for implementing the method for determining the access type. This system includes a management server (20) for performing access management of a communication system or a communication system group existing in a communication network, and an unauthorized access detection system (1) for performing auxiliary processing of access management by the management server (20).
0). For convenience, reference numerals corresponding to the embodiments described below are assigned, and the configuration is specifically described. The management server (20) updates condition information defining characteristic conditions of transmission information for accepting an access made from the outside via the communication network as normal access for each communication system or communication system group to be managed. Condition information registration means 21 for freely registering, DB
22) and condition changing means (2) for changing an access permission condition for each communication system or communication system group.
2, DB23). Further, the unauthorized access detection system (10) includes a condition information acquisition unit (11) for acquiring the latest condition information from the condition information registration unit of the management server, and a management target from among transmission information flowing through the communication network. Transmission information capturing means (12) for capturing transmission information destined for a communication system or a communication system group to be transmitted; and second transmission information that does not match the first transmission information matching the acquired condition information from the captured transmission information. Transmission information selecting means (13, 14, 1) for selecting
5) when the second transmission information is selected,
And notifying means (16) for urging the condition changing means to change an access condition for eliminating an access based on the transmission information.

【0012】上記の不正アクセス検知システム(10)
は、以下のような構成も可能である。すなわち、通信ネ
ットワークを介して外部から行われるアクセスを正常ア
クセスとして受容するための伝送情報の特徴条件を定め
た条件情報を対象となる通信システム又は通信システム
グループ毎に更新自在に保持する条件情報保持手段(D
B11,DB12)と、前記通信ネットワークを流通す
る伝送情報の中から管理対象となる通信システム又は通
信システムグループ宛の伝送情報を捕獲する伝送情報捕
獲手段(12)と、捕獲した伝送情報の中から最新の前
記条件情報に適合する第1伝送情報と適合しない第2伝
送情報とを選別する伝送情報選別手段(13,14,1
5)とを具備し、第2伝送情報を不正アクセスの蓋然性
がある伝送情報として扱う構成。The above unauthorized access detection system (10)
The following configuration is also possible. That is, condition information holding that condition information defining characteristic conditions of transmission information for accepting an access made from the outside via a communication network as normal access is freely updated for each target communication system or communication system group. Means (D
B11, DB12), transmission information capturing means (12) for capturing transmission information addressed to a communication system or a communication system group to be managed from transmission information flowing through the communication network, Transmission information selection means (13, 14, 1) for selecting first transmission information conforming to the latest condition information and second transmission information not conforming to the latest condition information.
5), wherein the second transmission information is handled as transmission information having a probability of unauthorized access.

【0013】外部から行われるアクセスを正常アクセス
として受容するための伝送情報の特徴条件を定めた条件
情報を管理対象となる通信システム又は通信システムグ
ループ毎に更新自在に登録してなる条件情報登録手段
(21,DB22)と、各通信システム又は通信システ
ムグループに対するアクセス条件の変更を行う条件変更
手段(22,DB23)とを有する通信ネットワークに
接続され、前記条件情報登録手段から最新の前記条件情
報を取得する条件情報取得手段(11)と、前記通信ネ
ットワークを流通する伝送情報の中から前記取得した条
件情報に対応する通信システム又は通信システムグルー
プ宛の伝送情報を捕獲する伝送情報捕獲手段(12)
と、捕獲した伝送情報の中から前記取得した条件情報に
適合する第1伝送情報と適合しない第2伝送情報とを選
別する伝送情報選別手段(13,14,15)と、前記
第2伝送情報が選別されたときに当該第2伝送情報に基
づくアクセスを排除するためのアクセス条件の変更を前
記条件変更手段に促す通知手段(16)とを具備し、第
2伝送情報を不正アクセスの蓋然性がある伝送情報とし
て扱う構成。Condition information registration means for registering condition information defining characteristic conditions of transmission information for accepting an access made from the outside as normal access for each communication system or communication system group to be managed, in an updatable manner; (21, DB22) and a communication network having condition changing means (22, DB23) for changing access conditions for each communication system or communication system group, and the latest condition information is sent from the condition information registration means. Condition information acquiring means (11) for acquiring, and transmission information capturing means (12) for acquiring transmission information addressed to the communication system or the communication system group corresponding to the acquired condition information from transmission information flowing through the communication network.
Transmission information selection means (13, 14, 15) for selecting, from the captured transmission information, first transmission information that conforms to the acquired condition information and second transmission information that does not conform to the acquired condition information; and the second transmission information. Notification means (16) for urging the condition changing means to change an access condition for eliminating access based on the second transmission information when the second transmission information is selected. A configuration that treats it as certain transmission information.

【0014】本発明は、また、上記のアクセス種別を判
定する方法を汎用のコンピュータで実施する上で好適と
なる記録媒体を提供する。この記録媒体は、外部から行
われるアクセスを正常アクセスとして受容するための伝
送情報の特徴条件を定めた条件情報を管理対象となる通
信システム又は通信システムグループ毎に更新自在に登
録してなる条件情報登録手段と、各通信システム又は通
信システムグループに対するアクセス条件の変更を行う
条件変更手段とを有する通信ネットワークに接続される
通信機能付きコンピュータに下記の処理を実行させるた
めのプログラムコードが記録された、コンピュータ読み
取り可能な記録媒体である。 (1)前記条件情報登録手段から最新の前記条件情報を
取得する処理、(2)前記通信ネットワークを流通する
伝送情報の中から前記取得した条件情報に対応する通信
システム又は通信システムグループ宛の伝送情報を捕獲
する処理、(3)捕獲した伝送情報の中から前記取得し
た条件情報に適合する第1伝送情報と適合しない第2伝
送情報とを選別する処理、(4)前記第2伝送情報が選
別されたときに当該第2伝送情報に基づくアクセスを排
除するためのアクセス条件の変更を前記条件変更手段に
促す処理。The present invention also provides a recording medium that is suitable for executing the above-described method of determining an access type by a general-purpose computer. This recording medium is provided with condition information in which condition information defining characteristic conditions of transmission information for accepting external access as normal access is renewably registered for each communication system or communication system group to be managed. A program code for causing a computer with a communication function connected to a communication network having a registration unit and a condition changing unit for changing an access condition to each communication system or communication system group to execute the following processing is recorded. It is a computer-readable recording medium. (1) a process of acquiring the latest condition information from the condition information registration unit; (2) transmission to a communication system or a communication system group corresponding to the acquired condition information from transmission information flowing through the communication network. A process of capturing information; (3) a process of selecting, from the captured transmission information, first transmission information that conforms to the acquired condition information and second transmission information that does not conform to the acquired condition information; A process for prompting the condition changing means to change an access condition for eliminating an access based on the second transmission information when selected.

【0015】[0015]

【発明の実施の形態】以下、図面を参照して本発明の実
施の形態を説明する。図1は、本発明が適用されるネッ
トワークシステムの全体構成図である。このネットワー
クシステムには、インターネットα、ISDN及び電話網の
公衆通信網β、内部ネットワークγが相互通信可能な形
態で接続されている。内部ネットワークγには、管理対
象となる通信システム又は通信システムグループ(LA
N等によってグループ化された通信システム群:以下、
この実施形態では、「サイト」と称する)が接続されて
いる。T1は、攻撃者が操作する端末すなわち不正アク
セス発信源である。内部ネットワークγには、通常、そ
の前段にファイヤーウォール等のセキュリティ機構が設
けられている。Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is an overall configuration diagram of a network system to which the present invention is applied. This network system is connected to the Internet α, an ISDN, a public communication network β of a telephone network, and an internal network γ so that they can communicate with each other. The internal network γ includes a communication system or a communication system group (LA) to be managed.
Communication systems grouped by N, etc .:
In this embodiment, a “site” is connected. T1 is a terminal operated by the attacker, that is, an unauthorized access transmission source. The internal network γ is usually provided with a security mechanism such as a firewall at the preceding stage.

【0016】ネットワークシステムには、さらに、複数
の不正アクセス検知システム10と、管理サーバ20
と、認証局30とが接続されている。管理サーバ20
は、サイトのアクセス管理を行うものであり、不正アク
セス検知システム10は、管理サーバ20によるアクセ
ス管理の補助処理を行うものである。認証局30は、求
めに応じて、認証された電子証明書を発行するものであ
る。この電子証明書は、後述するアクセスポリシーをや
り取りして良い相手かどうかの認証を利用される。The network system further includes a plurality of unauthorized access detection systems 10 and a management server 20.
And the certificate authority 30 are connected. Management server 20
Performs access management of a site, and the unauthorized access detection system 10 performs auxiliary processing of access management by the management server 20. The certificate authority 30 issues an authenticated electronic certificate upon request. This electronic certificate is used for authentication as to whether or not it is possible to exchange an access policy described later.

【0017】<不正アクセス検知システムの構成>不正
アクセス検知システム10は、プロトコルの仕様やサイ
ト毎のアクセスポリシーに基づく正常アクセスのための
条件情報と実際のアクセス内容とを比較していくことに
よって、正常アクセスではない、不正アクセスの蓋然性
があるものを検知する。まず、この不正アクセス検知シ
ステム10の構成について説明する。<Configuration of Unauthorized Access Detection System> The unauthorized access detection system 10 compares condition information for normal access based on protocol specifications and access policies for each site with actual access contents. Detects unauthorized access that is not normal access and is likely to be unauthorized. First, the configuration of the unauthorized access detection system 10 will be described.

【0018】不正アクセス検知システム10は、通信機
能付きのコンピュータによって実現されるもので、その
構成は図2に示されるとおりである。すなわち、プロト
コル仕様データベースDB11、アクセスポリシーデー
タベースDB12、アラーム通知先データベースDB1
3、ネットワークインタフェースINT1のほか、所定
のプログラムコードを読み取って実行することにより形
成されるアクセスポリシー取得モジュール11と、パケ
ット捕獲モジュール12と、パケット選別モジュール1
3と、プロトコル仕様違反検知モジュール14と、アク
セスポリシー違反検知モジュール15と、通知モジュー
ル16と、これらのモジュールを統括的に制御する(補
完処理を含む)主制御部CON1を具備するものであ
る。上記のプログラムコードは、通常は、図示しない上
記コンピュータの外部記録装置(ハードディスク等)に
記録され、当該コンピュータのCPUが適宜読み出して
実行されるようになっているが、コンピュータ読み取り
可能な可搬性の記録媒体に記録される形態や、プログラ
ムサーバを介して上記外部記録装置に記録されるもので
あっても良い。The unauthorized access detection system 10 is realized by a computer having a communication function, and its configuration is as shown in FIG. That is, the protocol specification database DB11, the access policy database DB12, the alarm notification destination database DB1
3. In addition to the network interface INT1, an access policy acquisition module 11, a packet capture module 12, and a packet selection module 1, which are formed by reading and executing a predetermined program code.
3, a protocol specification violation detection module 14, an access policy violation detection module 15, a notification module 16, and a main control unit CON1 that controls these modules (including a supplementary process). The above-mentioned program code is usually recorded on an external recording device (hard disk or the like) of the computer (not shown), and is read and executed by the CPU of the computer as appropriate. The information may be recorded on a recording medium or recorded on the external recording device via a program server.

【0019】ネットワークインタフェース14は、管理
サーバ20との間の通信を制御したり、ネットワークシ
ステムを流通する伝送情報、ここではパケットを取得す
る機能を有するものである。このネットワークインタフ
ェース14には、自己宛のMAC(Media Access Contro
l)アドレスを持つパケットのみを捕獲するモードと、
自己宛のMACアドレス以外の宛先を持つパケットも含
めてネットワークシステムを流通するすべてのパケット
を取得するモードの二つが用意されている。この実施形
態では、後者のモードを利用する。The network interface 14 has a function of controlling communication with the management server 20 and acquiring transmission information circulating in the network system, in this case, a packet. The network interface 14 has a MAC (Media Access Control) addressed to itself.
l) a mode that only captures packets with addresses,
Two modes are provided for acquiring all packets flowing through the network system, including packets having destinations other than the MAC address addressed to the own device. In this embodiment, the latter mode is used.

【0020】アクセスポリシー取得モジュール11は、
管理サーバ20からアクセスポリシーを取得するもので
ある。具体的には、FTP(File Transfer Protocol)
プロトコル等によるファイル転送機能を利用して管理サ
ーバ20から管理対象となるサイトのアクセスポリシー
をネットワーク経由で取得し、これをアクセスポリシー
データベースDB12に保持しておく。なお、管理サー
バ20上のアクセスポリシーが変更された場合は、管理
サーバ20から新しいアクセスポリシーが送付されるよ
うになっている。The access policy acquisition module 11
The access policy is acquired from the management server 20. Specifically, FTP (File Transfer Protocol)
An access policy of a site to be managed is acquired from the management server 20 via the network using a file transfer function based on a protocol or the like, and the acquired access policy is stored in the access policy database DB12. When the access policy on the management server 20 is changed, a new access policy is sent from the management server 20.

【0021】パケット捕獲モジュール12は、ネットワ
ークシステムを流通するパケットを捕獲(キャプチャリ
ング)するものである。パケット選別モジュール13
は、管理対象となるサイトへのパケットを選別(パケッ
トフィルタリング)するものである。具体的には、管理
対象となるサイトのIPアドレスを登録しておき、その
IPアドレスを宛先IPアドレスとして持つパケットの
みを、捕獲されたパケットの中から選別する。The packet capture module 12 captures a packet flowing through the network system. Packet sorting module 13
Is to sort (packet filtering) packets to a site to be managed. Specifically, the IP address of the site to be managed is registered, and only the packets having the IP address as the destination IP address are selected from the captured packets.

【0022】プロトコル仕様違反検知モジュール14
は、プロトコル仕様に違反しているアクセスかどうかを
予め登録されているプロトコル(IP、TCP、UDP、ICMP、
HTTP、FTP、SMTP、DNS、TELNET等)毎に判定するもので
ある。具体的には、パケット選別モジュール13で選別
されたパケットに対し、そのパケットで使用されている
各プロトコルが仕様どおりに正しく使用されているかど
うか、各プロトコルのヘッダの長さ、フィールドの構
造、各フィールドの値、データの長さ、データの内容等
が仕様で規定されている範囲であるか、各フィールドの
値に矛盾がないかどうかをプロトコル毎に判定する。正
しく使用されていないアクセスは、不正アクセスの蓋然
性があると判定する。このプロトコル仕様判定は、プロ
トコル層別に行われ、まず、はじめにIPヘッダ、そし
て、トランスポート層ヘッダ(TCP、UDP、ICMP)、最後
にアプリケーション層(HTTP、SMTP、DNS等)の内容が
判定対象となる。Protocol specification violation detection module 14
Is a protocol that has been registered in advance (IP, TCP, UDP, ICMP,
The determination is made for each of HTTP, FTP, SMTP, DNS, TELNET, etc.). Specifically, with respect to the packet selected by the packet selection module 13, whether each protocol used in the packet is used correctly as specified, the length of the header of each protocol, the structure of the field, It is determined for each protocol whether the value of the field, the length of the data, the content of the data, etc. are within the range specified in the specification, and whether there is any inconsistency in the value of each field. An access that is not used correctly is determined to be likely to be an unauthorized access. This protocol specification determination is performed for each protocol layer. First, the contents of the IP header, the transport layer header (TCP, UDP, ICMP), and finally the contents of the application layer (HTTP, SMTP, DNS, etc.) are determined. Become.

【0023】アクセスポリシー違反検知モジュール15
は、サイトのアクセスポリシーに違反しているアクセス
を検知するものである。ここでは、アクセスポリシーの
一例として、アクセスポリシーデータベースDB12に
保持されている、許可する送信元アドレス、宛先アドレ
ス、利用プロトコル(ポート番号)の組み合わせと一致
するパケットを選別する。この選別は、パケットのIPヘ
ッダの送信元アドレス、宛先アドレス、プロトコルの各
フィールドを調べることによって行う。不一致であった
場合は、不正アクセスの蓋然性があると判定する。一致
した場合には、引き続き、そのアクセスのアプリケーシ
ョン層プロトコルの内容に含まれるサイト特有のパラメ
ータ、例えばHTTPの場合はURL、SMTPの場合はコマンド
名や電子メールアドレス等やデータの長さ等がアクセス
ポリシーによって許可されている内容であるかどうかを
プロトコル毎にチェックする。許可されていないパラメ
ータをもつアクセスについては、不正アクセスの蓋然性
があると判定する。Access policy violation detection module 15
Is to detect accesses that violate the access policy of the site. Here, as an example of the access policy, a packet that matches a combination of a permitted source address, destination address, and usage protocol (port number) stored in the access policy database DB12 is selected. This selection is performed by examining the source address, destination address, and protocol fields of the IP header of the packet. If they do not match, it is determined that there is a probability of unauthorized access. If there is a match, the site-specific parameters included in the contents of the application layer protocol for the access, such as the URL for HTTP, the command name, e-mail address, etc., and the length of data for SMTP, are accessed. Check whether the content is permitted by the policy for each protocol. It is determined that there is a possibility of an unauthorized access for an access having a parameter that is not permitted.

【0024】通知モジュール16は、不正アクセスの蓋
然性があると判定されたときに、その旨を表示したり、
関係者に通知したりするものである。具体的には、対象
となるアクセスがプロコトルの仕様に違反している場
合、またはアクセスポリシーに違反している場合に、画
面に警告分やアイコンとして表示したり、管理者宛にメ
ールを送信したり、管理者のページャ(ポケベル)や携
帯電話に通知したりする。アラーム通知先データベース
DB13には、この通知の際に取るべきアクション(メ
ールの発信、ポケベルの発信、画面上への表示等)とそ
の通知先(メールの宛先、ポケベルの番号等)が予め登
録されている。When it is determined that there is a possibility of unauthorized access, the notification module 16 displays the fact,
It informs related parties. Specifically, if the target access violates the protocol specifications, or violates the access policy, it will be displayed as a warning or icon on the screen, or an e-mail will be sent to the administrator. Or notify the administrator's pager (pager) or mobile phone. In the alarm notification destination database DB13, actions to be taken at the time of this notification (transmission of an e-mail, transmission of a pager, display on a screen, etc.) and notification destinations thereof (e-mail destination, pager number, etc.) are registered in advance. ing.

【0025】<管理システムの構成>次に、管理サーバ
20の構成について説明する。管理サーバ20もまた、
通信機能付きのコンピュータによって実現されるもの
で、その要部構成は図3に示されるとおりである。すな
わち、サーバとしての本来の機能のほか、ネットワーク
構成情報データベースDB21、登録情報データベース
DB22、アクセス条件データベースDB23及びネッ
トワークインタフェースINT2のほか、所定のプログ
ラムコードを読み取って実行することにより形成される
登録情報管理モジュール21と、アクション管理モジュ
ール22と、これらのモジュールの機能を統括的に制御
する(補完処理を含む)主制御部CON2を具備する。
プログラムコードは、通常は、図示しない上記コンピュ
ータの外部記録装置(ハードディスク等)に記録され、
当該コンピュータのCPUが適宜読み出して実行される
ようになっているが、コンピュータ読み取り可能な可搬
性の記録媒体に記録される形態や、プログラムサーバを
介して上記外部記録装置に記録されるものであっても良
い。<Configuration of Management System> Next, the configuration of the management server 20 will be described. The management server 20 also
It is realized by a computer having a communication function, and its main configuration is as shown in FIG. That is, in addition to the original function of the server, in addition to the network configuration information database DB21, the registration information database DB22, the access condition database DB23, and the network interface INT2, registration information management formed by reading and executing a predetermined program code. A module 21, an action management module 22, and a main control unit CON <b> 2 that comprehensively controls the functions of these modules (including supplementary processing) are provided.
The program code is usually recorded on an external recording device (such as a hard disk) of the computer (not shown),
The CPU of the computer is read and executed as appropriate, but may be recorded on a computer-readable portable recording medium or recorded on the external recording device via a program server. May be.

【0026】ネットワーク構成情報データベースDB2
1は、管理対象となるネットワークシステム全体の構成
情報を蓄積するものである。この構成情報は、アクセス
ポリシーやプロトコル仕様(以下、「アクセスポリシー
等」)を配布したり、アクション条件を変更する際に参
照される。Network configuration information database DB2
1 stores configuration information of the entire network system to be managed. This configuration information is referred to when distributing an access policy or protocol specification (hereinafter, “access policy or the like”) or changing an action condition.

【0027】ネットワークインタフェースINT2は、
主として、不正アクセス検知10、認証局30及び内部
ネットワークγの前段に設けられるファイアウォール等
との通信制御を行う。登録情報管理モジュール21は、
新規ホストからのアクセスポリシーやプロトコル仕様、
あるいは、新規不正アクセス検知システム10からのア
ドレスと電子証明書(必要に応じて)の登録を受け付
け、これらを登録情報データベース21に保持するとと
もに、求めに応じてあるいは自律的に、アクセスポリシ
ー等を不正アクセス検知システム10に配布するもので
ある。アクセスポリシー等が変更された場合には、変更
された内容を配布する。配布は、FTP(File Transfe
r Protocol)プロトコル等によるファイル転送機能を利
用し、ネットワーク経由で行う。その際、アクセスポリ
シー等が攻撃者に取得されないようにするため、これを
共通鍵暗号方式等によって暗号化し、認証された電子証
明書を添付する。アクセスポリシー等を配布するタイミ
ングは、不正アクセス検知システム10が新たに設置さ
れた場合またはアクセスポリシー等が管理者によって変
更された場合である。The network interface INT2 is
Mainly, it performs communication control with the unauthorized access detection 10, the certificate authority 30, and a firewall or the like provided in the preceding stage of the internal network γ. The registration information management module 21
Access policy from new host, protocol specification,
Alternatively, the registration of the address and the electronic certificate (if necessary) from the new unauthorized access detection system 10 is received, and these are stored in the registration information database 21, and the access policy and the like are automatically or automatically requested or requested. It is distributed to the unauthorized access detection system 10. When the access policy is changed, the changed contents are distributed. Distribution is FTP (File Transfe
r Protocol) It uses a file transfer function based on a protocol or the like, and is performed via a network. At this time, in order to prevent an attacker from acquiring an access policy or the like, the access policy or the like is encrypted by a common key encryption method or the like, and an authenticated electronic certificate is attached. The timing of distributing the access policy or the like is when the unauthorized access detection system 10 is newly installed or when the access policy or the like is changed by the administrator.

【0028】アクション管理モジュール22は、不正ア
クセス検知システム10から不正アクセスの蓋然性があ
るアクセスを検知した旨の通知を受けた場合に、後続の
アクションをとるための条件(管理者へのアラームの送
信方法等)や対象となるサイトへのアクセス条件(アク
ション条件)を変更するものである。サイトへのアクセ
ス条件としては、例えば、ファイアーウォールの設定変
更、コネクションの切断、発信源の追跡指示等が挙げら
れる。When the action management module 22 receives a notification from the unauthorized access detection system 10 that an access with a probability of unauthorized access has been detected, a condition for taking a subsequent action (transmission of an alarm to the administrator) Method, etc.) and access conditions (action conditions) to the target site. The conditions for accessing the site include, for example, a change in the setting of the firewall, a disconnection of the connection, an instruction to track the transmission source, and the like.

【0029】より具体的には、不正アクセス検知システ
ム10からの通知内容と、そのアクセス内容のサマリ
(宛先IPアドレス、利用プロトコル、送信元IPアドレス
等)とをアクション条件データベースDB23に保持し
ておき、必要に応じて、管理者が現在のアクション条件
をブラウザ等のインタフェースから変更できるようにす
る。変更された後は、同様の通知結果(プロトコル仕様
判定の結果とアクセスポリシー判定の結果を並べたも
の)となる不正アクセスについては、その変更後のアク
ション条件が適用される。不正アクセス検知システム1
0からの通知結果が同様となるアクセスについては、た
とえ攻撃に使用するプログラム等の手法が異なっていて
も同様の結果を引き起こすものと予想されるため、未知
の不正アクセスでも、既知の不正アクセスのチェック結
果パターンと同じであれば、その被害の度合を予測する
ことができ、適切なアクションを行うことが可能とな
る。More specifically, the contents of the notification from the unauthorized access detection system 10 and the summary of the access contents (destination IP address, use protocol, transmission source IP address, etc.) are stored in the action condition database DB23. If necessary, the administrator can change the current action condition from an interface such as a browser. After the change, for an unauthorized access having a similar notification result (a result of judging the result of the protocol specification judgment and the result of the access policy judgment), the action condition after the change is applied. Unauthorized access detection system 1
It is expected that the same result will be obtained even if the method of the program used for the attack is different, so that even if the unknown unauthorized access is used, the known unauthorized access If it is the same as the check result pattern, the degree of the damage can be predicted, and an appropriate action can be taken.

【0030】<アクセスの種別判定方法>次に、上記の
不正アクセス検知システム10及び管理サーバ20を用
いてアクセスの種別を判定する方法の実施形態を説明す
る。本実施形態の方法では、不正アクセス検知システム
10が図1のネットワークシステムにおけるパケットの
流通形態のセンサとして機能するので、不正アクセス検
知システム10における処理手順(主制御部CON1の
統括的な制御に基づく各種モジュールの実行による処
理)を中心に説明する。図4はその全体処理手順図、図
5〜図9は具体的な内容説明図である。<Method of Determining Access Type> Next, an embodiment of a method of determining the type of access using the unauthorized access detection system 10 and the management server 20 will be described. In the method of the present embodiment, since the unauthorized access detection system 10 functions as a sensor of the packet distribution mode in the network system of FIG. 1, the processing procedure in the unauthorized access detection system 10 (based on the overall control of the main control unit CON1). The description mainly focuses on processing by execution of various modules. FIG. 4 is an overall processing procedure diagram, and FIGS. 5 to 9 are diagrams for explaining specific contents.

【0031】まず、本実施形態において不正アクセスの
蓋然性が高いとして検知されるアクセスの概念を図5の
例により明らかにする。図5は、外部にその存在を知ら
しめていない内部ホストM1、SMTPアクセスのみを受容
するメールサーバM2、URLを公開しているWWWサーバM
3をそれぞれ管理対象サイトとする場合の例である。こ
の場合、内部ホストM1へのアクセスL1はすべて検知
される。メールサーバM2へのアクセスL2について
は、正常なSMTPアクセスは検知されないが、SMTPアクセ
ス以外、許可していないSMTPコマンドによるアクセス、
正しくない形式のメールはすべて検知される。WWWサー
バM3のアクセスL3については、公開しているURLに
よる正常なWWWアクセスは検知されないが、それ以外の
アクセスは、すべて検知される。First, the concept of access detected as having a high probability of unauthorized access in the present embodiment will be clarified with reference to the example of FIG. FIG. 5 shows an internal host M1 that does not inform its existence to the outside, a mail server M2 that accepts only SMTP access, and a WWW server M that publishes a URL.
3 is an example of a case where each of them is a management target site. In this case, all accesses L1 to the internal host M1 are detected. Regarding the access L2 to the mail server M2, normal SMTP access is not detected, but access using unauthorized SMTP commands other than SMTP access,
Any malformed mail will be detected. As for the access L3 of the WWW server M3, normal WWW access by the published URL is not detected, but all other accesses are detected.

【0032】図4を参照し、上記のようなアクセスの種
別を判定できるようにするため、不正アクセス検知シス
テム10は、管理サーバ20から管理対象となるサイト
のアクセスポリシー及びプロトコル仕様のデータをダウ
ンロードして保持しておく(ステップS101)。既に
保持してあるデータが変更された場合はそれらを更新す
る。図6は、保持されているデータの内容例を示した図
である。Referring to FIG. 4, in order to be able to determine the type of access as described above, the unauthorized access detection system 10 downloads the access policy and protocol specification data of the site to be managed from the management server 20. And hold it (step S101). If the data already stored is changed, update them. FIG. 6 is a diagram illustrating an example of the content of the held data.

【0033】図6の上段は、「a.b.c.d」という「宛先
アドレス」を持つサイトに対するインターネットα上の
「すべて」の「送信元アドレス」を持つ端末からの「ht
tp/tcp」プロトコル仕様によるアクセスについては、
これを正常アクセスとして扱うべきことを意味してい
る。同様に、「a.b.c.e」という「宛先アドレス」を持
つ端末に対するインターネットα上の「すべて」の「送
信元アドレス」を持つ端末からの「smtp/tcp」プロト
コル仕様によるアクセスも正常アクセスとして扱われ
る。「プロトコル特有の条件」もプロトコル仕様の範囲
であり、ここでは許可するプロトコル別の条件を指定す
る。例えばWWW(HTTP)の場合は、閲覧を許可するディ
レクトリ/ファイルとURLの最大長を指定する。但し、
これらのプロトコルとそれに対応する指定項目は、予め
管理サーバ20に登録しておく必要がある。図6の例で
は、WWWサービス(プロトコルがHTTPの場合)では、
「公開するファイル」と使用するURLの「最大文字長」
を指定することができ、ルートディレクトリの下の「/
Index.html」ファイル、「/whatsnew/*」、「/pro
ducts/*」、「/profile/*」(*は任意の文字列を
示す。)のディレクトリ配下のすべてのファイルへのア
クセスを許可することを示している。その他、「プロト
コル特有の条件」では、社内で「使用するメールアドレ
ス」や使用を「許可するコマンド」等を指定させること
もできる。The upper part of FIG. 6 shows “ht” from a terminal having “all” “source addresses” on the Internet α for a site having a “destination address” of “abcd”.
For access using the “tp / tcp” protocol specification,
This means that this should be treated as normal access. Similarly, an access to a terminal having a “destination address” of “abce” from a terminal having “all” “source addresses” on the Internet α by the “smtp / tcp” protocol specification is also treated as a normal access. “Protocol-specific conditions” are also within the scope of the protocol specification, and here specify the conditions for each permitted protocol. For example, in the case of WWW (HTTP), the directory / file and the maximum length of the URL that are permitted to browse are specified. However,
These protocols and the corresponding specification items need to be registered in the management server 20 in advance. In the example of FIG. 6, in the WWW service (when the protocol is HTTP),
"File to be published" and "Maximum character length" of URL used
Can be specified, and "/" under the root directory
Index. html "file," / whatsnew / * "," / pro
ducts / * "and" / profile / * "(* indicates an arbitrary character string) indicates that access to all files under the directory is permitted. In addition, in the “protocol-specific conditions”, a “mail address to be used”, a “permitted command”, and the like can be designated in the company.

【0034】図4に戻り、アクセスポリシー等をダウン
ロードした不正アクセス検知システム10は、ネットワ
ークシステム上を流通するパケットを常時監視し、管理
対象となるサイト宛のパケットがあった場合はそれを捕
獲する(ステップS102)。これは、流通するパケッ
トのヘッダ情報等を参照することによって行う。その
後、捕獲したパケットに対して、プロトコル仕様チェッ
ク及びアクセスポリシーチェックを行う(ステップS1
03)。Returning to FIG. 4, the unauthorized access detection system 10, which has downloaded the access policy and the like, constantly monitors the packets circulating on the network system and captures any packets addressed to the site to be managed. (Step S102). This is performed by referring to header information or the like of a circulating packet. Thereafter, a protocol specification check and an access policy check are performed on the captured packet (step S1).
03).

【0035】図7は、プロトコル仕様チェックの概念の
一例を示した図である。プロトコル仕様チェックは、プ
ロトコル仕様データベースDB11に保持されているIP
ヘッダ、トランスポート層ヘッダ、アプリケーション層
というようにプロトコル層別の一致性をみることで行
う。図7には、HTTPプロトコル仕様の場合の例が示され
ている。HTTPプロトコル仕様のもとでは、IPヘッダ、TC
Pヘッダ、HTTPヘッダ、HTTPデータの順にチェックされ
る。チェック内容は、パケットにおけるIPヘッダの各フ
ィールドの値が正しい範囲に収まっているかどうか、IP
ヘッダのIPパケット全体長フィールドの値とIPヘッダ長
フィールドの値に矛盾がないかどうか(IPパケット全体
長はヘッダ長よりも長くなくてはならない。)等であ
る。否定的であった場合は、違反するパケットとする。
TCPヘッダもIPヘッダと同様の内容となる。その後、HTT
Pヘッダの各フィールドのフォーマットが仕様通りに記
述されているか、HTTPデータのフォーマットが仕様通り
に記述されているかどうかのチェックが続く。HTTPプロ
トコルの仕様は、標準規格であるRFC1945やRFC2068に記
述されているので、これを参考にすることができる。例
えば、HTTPのリクエストのデータ部には、以下の形式の
内容が含まれることになっている。なお、実際には“GE
T”以外にも“POST”等があるが、ここでは省略する。 GET“Request‐URL”HTTP/1.1(バージョン1.1の場
合) GET“Request‐URL”HTTP/1.0(バージョン1.0の場
合) GET“Request‐URL” このとき、“Request‐URL”というパラメータには、サ
ーバへ要求するURLが挿入される。この段階では、この
ようなサイト特有の内容まではチェックせずに、その他
の部分が仕様に合っているかどうかをチェックする。仕
様にあっていない場合(“HTTP/1.0”や“HTTP/1.1”
以外の文字列が存在している等)、この時点で、不正ア
クセスの蓋然性があると判定する。FIG. 7 is a diagram showing an example of the concept of the protocol specification check. The protocol specification check is performed using the IP held in the protocol specification database DB11.
This is done by checking the consistency of each protocol layer such as the header, the transport layer header, and the application layer. FIG. 7 shows an example of the case of the HTTP protocol specification. Under the HTTP protocol specification, IP header, TC
P header, HTTP header, and HTTP data are checked in this order. Check items include whether the value of each field of the IP header in the packet is within the correct range,
Whether the value of the IP packet total length field of the header is consistent with the value of the IP header length field (the total length of the IP packet must be longer than the header length) and the like. If the result is negative, the packet is violated.
The TCP header has the same contents as the IP header. Then HTT
Checks are continued to determine whether the format of each field in the P header is described as specified, and whether the HTTP data format is described as specified. The specifications of the HTTP protocol are described in RFC1945 and RFC2068, which are standards, and can be referred to. For example, the data part of the HTTP request includes the content in the following format. Actually, "GE
Other than “T”, there is “POST” etc., but omitted here GET “Request-URL” HTTP / 1.1 (for version 1.1) GET “Request-URL” HTTP / 1.0 (for version 1.0) GET ” Request-URL ”At this time, the URL requested to the server is inserted into the parameter“ Request-URL. ”At this stage, without checking the site-specific contents, the other parts are specified Check whether it conforms to the specifications. If it does not meet the specifications (“HTTP / 1.0” or “HTTP / 1.1”
At this point, it is determined that there is a possibility of unauthorized access.

【0036】一方、アクセスポリシーチェックでは、パ
ケット中の「宛先アドレス/送信元アドレス/利用プロ
トコル(=TCP及びUDPのポートの番号)」の内容を、ア
クセスポリシーデータベースDB12に登録されてい
る、当該サイトで許可するアクセスポリシーの内容と比
較し、一致していなければ違反するパケットであると判
定する。先ほどの仕様のチェックでは行わなかった"Req
uest-URL"の内容のチェックは、ここでアクセスポリシ
ーチェックとして行う。なお、プロトコル仕様チェック
とアクセスポリシーチェックでは、少しでも不一致があ
れば違反するパケットと判定するが、特定部分の不一致
については、これを不問とする扱いも可能である。な
お、プロトコル仕様チェックとアクセスポリシーチェッ
クについては、両方を判定するのが好ましいが、必要に
応じて、いずれか一方のみを判定するようにしても良
い。On the other hand, in the access policy check, the contents of “destination address / source address / usage protocol (= TCP and UDP port numbers)” in the packet are registered in the access policy database DB12 for the relevant site. Is compared with the contents of the access policy permitted, and if they do not match, the packet is determined to be a violating packet. "Req which was not performed in the previous specification check
The content of "uest-URL" is checked here as an access policy check. In the protocol specification check and the access policy check, if there is any inconsistency, it is determined that the packet is a violation. It is preferable to determine both the protocol specification check and the access policy check, but if necessary, only one of them may be determined.

【0037】以上の各チェックの結果、違反しないパケ
ットであれば、正常アクセスであることを意味するの
で、それが流通することに対して何らの処理を行わない
(ステップS104:No)。一方、違反するパケット
は、実際に不正アクセスによるものかどうかを問わず、
不正アクセスの蓋然性があると判定する(ステップS1
04:Yes)。このチェック結果は、図示しないジャー
ナル管理機構に、チェック履歴として記録しておく。こ
のチェック履歴の一例を示したのが図9である。図9
(a)は、プロトコル仕様チェックの結果、同(b)
は、アクセスポリシーチェックの結果の履歴である。As a result of each of the above checks, if the packet does not violate, it means that the access is normal, and no processing is performed for the distribution of the packet (step S104: No). On the other hand, the offending packet, whether or not it actually came from unauthorized access,
It is determined that there is a possibility of unauthorized access (step S1)
04: Yes). The check result is recorded as a check history in a journal management mechanism (not shown). FIG. 9 shows an example of this check history. FIG.
(A) shows the result of the protocol specification check, and (b)
Is a history of access policy check results.

【0038】違反したパケットであった場合は、当該パ
ケットに関する情報(送信元アドレス等)を特定すると
ともに(ステップS105)、アラーム通知先データデ
ースDB13を参照して、通知手段及び通知内容を特定
し(ステップS106)、通知処理を実行する(ステッ
プS107)。If the packet is a violating packet, information (such as a source address) relating to the packet is specified (step S105), and a notification unit and a notification content are specified by referring to the alarm notification destination data database DB13. (Step S106), a notification process is executed (step S107).

【0039】アラーム通知先データデースDB13に
は、図8に示される内容例が登録されているので、該当
する「通知先」に、該当する「通知内容」で不正アクセ
スの蓋然性があるパケットを検知した旨を通知する。こ
れにより、通知された側では、該当するアクセスに対す
る注意が喚起されるので、不正アクセス回避のためのア
クションをとることができるようになる。通知先が管理
サーバ20である場合には、アクション管理モジュール
22によって、以後のアクションをアクション条件デー
タベースDB23の登録内容に従って自動実行させるこ
とができる。Since the content example shown in FIG. 8 is registered in the alarm notification destination data database 13, a packet having a probability of unauthorized access in the corresponding "notification content" is detected in the corresponding "notification destination". Notify that Thereby, the notified side is alerted to the corresponding access, so that an action for avoiding unauthorized access can be taken. When the notification destination is the management server 20, the action management module 22 can automatically execute the subsequent actions according to the registered contents of the action condition database DB23.

【0040】このように、本実施形態の方法によれば、
未知の手法を含む広範囲の不正アクセスを検知できるよ
うになる利点がある。また、従来のように統計的方式を
採用して不正アクセスかどうかを判定するものではない
ので、その基準が攻撃者に操作されることもなく、安定
的な運用が可能になる。さらに、ユーザ毎のプロファイ
ルを扱わないので、不特定多数のユーザがアクセスする
通信ネットワーク環境にも柔軟に対応することができ
る。さらに、アクセス中の実際のパケットを用いて不正
アクセスの蓋然性の有無をリアルタイムで検知している
ため、その後の対策、例えば発信源の追跡やファイアー
ウォールの条件変更による防御等が迅速になる利点もあ
る。As described above, according to the method of the present embodiment,
There is an advantage that a wide range of unauthorized access including an unknown method can be detected. Further, since it is not to judge whether or not an unauthorized access is performed by adopting a statistical method as in the related art, a stable operation can be performed without the criterion being operated by an attacker. Further, since a profile for each user is not handled, it is possible to flexibly cope with a communication network environment accessed by an unspecified number of users. Furthermore, since the possibility of unauthorized access is detected in real time using the actual packets being accessed, there is an advantage that subsequent measures, such as tracking the source of transmission and changing the firewall conditions, can be used quickly. is there.

【0041】なお、本実施形態では、直接的には触れて
いないが、プロトコル仕様やアクセスポリシーのほか、
上述のプロトコルポリシーや、単位時間あたりのアクセ
スの回数がアクセスポリシーに記述されているアクセス
の許容頻度以内であるかどうかも、必要に応じて考慮す
るようにしても良い。Although not directly described in this embodiment, in addition to the protocol specifications and the access policy,
Whether or not the number of accesses per unit time is within the allowable frequency of access described in the access policy may be considered as necessary.

【0042】[0042]

【発明の効果】以上の説明から明らかなように、本発明
の方法によれば、未知の手法を含めた広範囲のアクセス
種別を判定することができ、且つ判定の基準を攻撃者に
操作されることがないという、特有の効果を奏する。ま
た、本発明のシステムによれば、通信ネットワーク経由
で行われる広範囲な不正アクセスを検知し、それを回避
するためのアクションを迅速にとれるようになるとい
う、効果を奏する。As is apparent from the above description, according to the method of the present invention, a wide range of access types including unknown methods can be determined, and the determination criteria are manipulated by an attacker. There is no special effect. Further, according to the system of the present invention, there is an effect that a wide range of unauthorized access performed via a communication network can be detected and an action for avoiding it can be promptly taken.

【図面の簡単な説明】[Brief description of the drawings]

【図1】本発明が適用されるネットワークシステムの全
体構成図。FIG. 1 is an overall configuration diagram of a network system to which the present invention is applied.

【図2】不正アクセス検知システムの機能構成図。FIG. 2 is a functional configuration diagram of an unauthorized access detection system.

【図3】管理サーバの機能構成図。FIG. 3 is a functional configuration diagram of a management server.

【図4】不正アクセス検知システムの手順説明図。FIG. 4 is an explanatory diagram of a procedure of an unauthorized access detection system.

【図5】本実施形態において違反とされるアクセスの概
念を示した図。FIG. 5 is a view showing the concept of an access which is regarded as a violation in the embodiment.

【図6】アクセスポリシー及びプロトコル仕様の例を示
した図。FIG. 6 is a diagram showing an example of an access policy and a protocol specification.

【図7】プロトコル仕様チェックの概念を示した図。FIG. 7 is a view showing the concept of a protocol specification check.

【図8】アラーム通知先データベースの内容例を示した
図。FIG. 8 is a diagram showing an example of the contents of an alarm notification destination database.

【図9】(a)はプロトコル仕様チェックの結果、
(b)はアクセスポリシーチェックの結果の一例を示し
た図。FIG. 9A shows the result of a protocol specification check.
FIG. 4B is a diagram illustrating an example of a result of an access policy check.

【符号の説明】[Explanation of symbols]

10 不正アクセス検知システム 11 アクセスポリシー取得モジュール 12 パケット捕獲モジュール 13 パケット選別モジュール 14 プロトコル仕様違反検知モジュール 15 アクセスポリシー違反検知モジュール 16 通知モジュール 20 管理サーバ 21 登録情報管理モジュール 22 アクション管理モジュール DB11 プロトコル仕様データベース DB12 アクセスポリシーデータベース DB13 アラーム通知先データベース DB21 ネットワーク構成情報データベース DB22 登録情報データベース DB23 アクション条件データベース INT1,INT2 ネットワークインタフェース CON1,CON2 主制御部 30 認証局 T1 不正アクセス発信源 α インターネット β ISDN/電話網 γ 内部ネットワーク Reference Signs List 10 Unauthorized access detection system 11 Access policy acquisition module 12 Packet capture module 13 Packet selection module 14 Protocol specification violation detection module 15 Access policy violation detection module 16 Notification module 20 Management server 21 Registration information management module 22 Action management module DB11 Protocol specification database DB12 Access policy database DB13 Alarm notification destination database DB21 Network configuration information database DB22 Registration information database DB23 Action condition database INT1, INT2 Network interface CON1, CON2 Main control unit 30 Certificate authority T1 Unauthorized access source α Internet β ISDN / telephone network γ Internal network

───────────────────────────────────────────────────── フロントページの続き (72)発明者 小久保 勝敏 東京都江東区豊洲三丁目3番3号 株式会 社エヌ・ティ・ティ・データ内 (72)発明者 松田 栄之 東京都江東区豊洲三丁目3番3号 株式会 社エヌ・ティ・ティ・データ内 Fターム(参考) 5B089 GA11 GA21 GB02 HA03 HA06 HA10 JA22 JA31 JB22 KA17 KB04 KB06 KB13 5K030 GA15 HB16 HB18 HC01 KA04 KA13 LA08 LB02 LD19 LD20 9A001 CC06 JJ14 JJ25 LL03  ──────────────────────────────────────────────────続 き Continuing on the front page (72) Katsutoshi Kokubo, Inventor, NTT Data Corp., 3-3-1, Toyosu, Koto-ku, Tokyo (72) Inventor Hideyuki Matsuda 3-Chome, Toyosu, Koto-ku, Tokyo No.3-3 F-term in NTT Data Corporation (reference) 5B089 GA11 GA21 GB02 HA03 HA06 HA10 JA22 JA31 JB22 KA17 KB04 KB06 KB13 5K030 GA15 HB16 HB18 HC01 KA04 KA13 LA08 LB02 LD19 LD20 9A001 CC06 JJ14 JJ25 LL

Claims (5)

【特許請求の範囲】[Claims] 【請求項1】 通信ネットワークを介して外部から行わ
れるアクセスを正常アクセスとして受容するためのプロ
トコル仕様及び/又はアクセスポリシーを、対象となる
通信システム又は通信システムグループ毎に定めてお
き、前記通信ネットワークを流通する伝送情報の中から
前記通信システム又は通信システムグループ宛の伝送情
報を捕獲するとともに、捕獲した伝送情報の中から前記
プロトコル仕様及び/又はアクセスポリシーに適合しな
い伝送情報を不正アクセスの蓋然性がある伝送情報とし
て特定する過程を含む、 通信ネットワークにおけるアクセス種別を判定する方
法。A protocol specification and / or an access policy for accepting an access made from the outside via a communication network as a normal access are determined for each target communication system or communication system group. The transmission information destined for the communication system or the communication system group is captured from the transmission information circulating through the communication system, and the transmission information that does not conform to the protocol specification and / or the access policy is captured from the captured transmission information. A method for determining an access type in a communication network, including a step of specifying as transmission information. 【請求項2】 通信ネットワークに存在する通信システ
ム又は通信システムグループのアクセス管理を行う管理
サーバと、この管理サーバによるアクセス管理の補助処
理を行う不正アクセス検知システムとを含み、 前記管理サーバは、 前記通信ネットワークを介して外部から行われるアクセ
スを正常アクセスとして受容するための伝送情報の特徴
条件を定めた条件情報を管理対象となる通信システム又
は通信システムグループ毎に更新自在に登録する条件情
報登録手段と、 各通信システム又は通信システムグループに対するアク
セス許可条件の変更を行う条件変更手段とを有するもの
であり、 前記不正アクセス検知システムは、 前記管理サーバの条件情報登録手段から最新の前記条件
情報を取得する条件情報取得手段と、 前記通信ネットワークを流通する伝送情報の中から管理
対象となる通信システム又は通信システムグループ宛の
伝送情報を捕獲する伝送情報捕獲手段と、 捕獲した伝送情報の中から前記取得した条件情報に適合
する第1伝送情報と適合しない第2伝送情報とを選別す
る伝送情報選別手段と、 前記第2伝送情報が選別されたときに当該第2伝送情報
に基づくアクセスを排除するためのアクセス条件の変更
を前記条件変更手段に促す通知手段とを具備するもので
ある、 通信ネットワークにおけるアクセス種別を判定するシス
テム。2. A management server which performs access management of a communication system or a communication system group existing in a communication network, and an unauthorized access detection system which performs an auxiliary process of access management by the management server, wherein the management server comprises: Condition information registration means for registering condition information defining characteristic conditions of transmission information for accepting an access made from the outside through a communication network as normal access, in an updatable manner for each communication system or communication system group to be managed. And condition changing means for changing an access permission condition for each communication system or communication system group. The unauthorized access detection system acquires the latest condition information from condition information registration means of the management server. Condition information acquiring means for performing communication, and the communication network Transmission information capturing means for capturing transmission information destined for a communication system or a communication system group to be managed from transmission information flowing through a network, and a first information matching the acquired condition information from the captured transmission information. Transmission information selection means for selecting the second transmission information that does not match the transmission information, and changing the access condition for eliminating access based on the second transmission information when the second transmission information is selected. A system for determining an access type in a communication network, comprising: a notifying unit that prompts a changing unit. 【請求項3】 通信ネットワークを介して外部から行わ
れるアクセスを正常アクセスとして受容するための伝送
情報の特徴条件を定めた条件情報を対象となる通信シス
テム又は通信システムグループ毎に更新自在に保持する
条件情報保持手段と、 前記通信ネットワークを流通する伝送情報の中から前記
通信システム又は通信システムグループ宛の伝送情報を
捕獲する伝送情報捕獲手段と、 捕獲した伝送情報の中から最新の前記条件情報に適合す
る第1伝送情報と適合しない第2伝送情報とを選別する
伝送情報選別手段とを具備し、 前記第2伝送情報を不正アクセスの蓋然性がある伝送情
報として扱うことを特徴とする、不正アクセス検知シス
テム。3. Condition information defining characteristic conditions of transmission information for accepting an access made from the outside via a communication network as a normal access is freely updated and maintained for each target communication system or communication system group. Condition information holding means, transmission information capturing means for capturing transmission information addressed to the communication system or the communication system group from transmission information flowing through the communication network, and the latest condition information from the captured transmission information. Transmission information selection means for selecting compatible first transmission information and incompatible second transmission information, wherein the second transmission information is treated as transmission information having a probability of unauthorized access, Detection system. 【請求項4】 外部から行われるアクセスを正常アクセ
スとして受容するための伝送情報の特徴条件を定めた条
件情報を管理対象となる通信システム又は通信システム
グループ毎に更新自在に登録してなる条件情報登録手段
と、各通信システム又は通信システムグループに対する
アクセス条件の変更を行う条件変更手段とを有する通信
ネットワークに接続され、 前記条件情報登録手段から最新の前記条件情報を取得す
る条件情報取得手段と、 前記通信ネットワークを流通する伝送情報の中から前記
取得した条件情報に対応する通信システム又は通信シス
テムグループ宛の伝送情報を捕獲する伝送情報捕獲手段
と、 捕獲した伝送情報の中から前記取得した条件情報に適合
する第1伝送情報と適合しない第2伝送情報とを選別す
る伝送情報選別手段と、 前記第2伝送情報が選別されたときに当該第2伝送情報
に基づくアクセスを排除するためのアクセス条件の変更
を前記条件変更手段に促す通知手段とを具備し、 前記第2伝送情報を不正アクセスの蓋然性がある伝送情
報として扱うことを特徴とする、不正アクセス検知シス
テム。4. Condition information in which condition information defining characteristic conditions of transmission information for accepting an external access as a normal access is renewably registered for each communication system or communication system group to be managed. A registration means, connected to a communication network having condition changing means for changing an access condition for each communication system or communication system group, condition information obtaining means for obtaining the latest condition information from the condition information registration means, Transmission information capturing means for capturing transmission information destined for a communication system or a communication system group corresponding to the acquired condition information from transmission information flowing through the communication network; and the acquired condition information from the captured transmission information. Transmission information selector for selecting the first transmission information conforming to the above and the second transmission information not conforming to the above And a notifying unit for prompting the condition changing unit to change an access condition for eliminating access based on the second transmission information when the second transmission information is selected, the second transmission information comprising: An unauthorized access detection system characterized in that an unauthorized access is handled as transmission information with a probability of unauthorized access. 【請求項5】 外部から行われるアクセスを正常アクセ
スとして受容するための伝送情報の特徴条件を定めた条
件情報を管理対象となる通信システム又は通信システム
グループ毎に更新自在に登録してなる条件情報登録手段
と、各通信システム又は通信システムグループに対する
アクセス条件の変更を行う条件変更手段とを有する通信
ネットワークに接続される通信機能付きコンピュータ
に、 前記条件情報登録手段から最新の前記条件情報を取得す
る処理と、 前記通信ネットワークを流通する伝送情報の中から前記
取得した条件情報に対応する通信システム又は通信シス
テムグループ宛の伝送情報を捕獲する処理と、捕獲した
伝送情報の中から前記取得した条件情報に適合する第1
伝送情報と適合しない第2伝送情報とを選別する処理
と、 前記第2伝送情報が選別されたときに当該第2伝送情報
に基づくアクセスを排除するためのアクセス条件の変更
を前記条件変更手段に促す処理とを実行させるためのプ
ログラムコードが記録された、 コンピュータ読み取り可能な記録媒体。5. Condition information in which condition information defining characteristic conditions of transmission information for accepting an access made from outside as normal access is renewably registered for each communication system or communication system group to be managed. A computer with a communication function connected to a communication network having a registration unit and a condition changing unit for changing an access condition for each communication system or communication system group, acquiring the latest condition information from the condition information registration unit. Processing, capturing the transmission information addressed to the communication system or the communication system group corresponding to the acquired condition information from the transmission information flowing through the communication network, and acquiring the condition information from the captured transmission information The first that fits
Processing for selecting the second transmission information that does not match the transmission information, and changing the access condition for eliminating access based on the second transmission information when the second transmission information is selected, to the condition changing unit. A computer-readable recording medium in which a program code for executing a prompting process is recorded.
JP2000133494A 2000-05-02 2000-05-02 Method and system for deciding access type in communication network and recording medium Pending JP2001313640A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000133494A JP2001313640A (en) 2000-05-02 2000-05-02 Method and system for deciding access type in communication network and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000133494A JP2001313640A (en) 2000-05-02 2000-05-02 Method and system for deciding access type in communication network and recording medium

Publications (1)

Publication Number Publication Date
JP2001313640A true JP2001313640A (en) 2001-11-09

Family

ID=18641981

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000133494A Pending JP2001313640A (en) 2000-05-02 2000-05-02 Method and system for deciding access type in communication network and recording medium

Country Status (1)

Country Link
JP (1) JP2001313640A (en)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003309607A (en) * 2002-04-17 2003-10-31 Ntt Data Corp Anti-profiling apparatus and its program
JP2004030286A (en) * 2002-06-26 2004-01-29 Ntt Data Corp Intrusion detection system and intrusion detection program
KR100432166B1 (en) * 2001-12-26 2004-05-17 한국전자통신연구원 Apparatus for transmission message for the transmission of security policy for global intrusion detection system and method for processing transmission of security policy
JP2004229092A (en) * 2003-01-24 2004-08-12 Toshiba Corp Server computer protecting device, and method and program for analyzing data request of the device
JP2005018745A (en) * 2003-06-23 2005-01-20 Microsoft Corp Advanced spam detection technique
KR100502079B1 (en) * 2003-08-27 2005-07-25 한국전자통신연구원 Alert traffic control approach for security management system in wide area network
JP2007122749A (en) * 2002-06-28 2007-05-17 Oki Electric Ind Co Ltd Warning system, illegal access track method, illegal access detection system, security management method and attack protection method
US7404205B2 (en) 2003-06-03 2008-07-22 Hewlett-Packard Development Company, L.P. System for controlling client-server connection requests
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US7660794B2 (en) 2003-06-03 2010-02-09 Hewlett-Packard Development Company, L.P. Method and program product for reducing database walk frequency while repetitively accessing a firewall connection and rule database
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
JP2011040064A (en) * 2003-11-12 2011-02-24 Trustees Of Columbia Univ In The City Of New York Device, method and medium for detecting abnormal payload by using n gram distribution of normal data
US7950053B2 (en) 2004-10-12 2011-05-24 Panasonic Corporation Firewall system and firewall control method
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
JP2013522936A (en) * 2010-01-21 2013-06-13 アリババ・グループ・ホールディング・リミテッド Block malicious access

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08172433A (en) * 1994-12-16 1996-07-02 Fujitsu Ltd Security management system for network
JPH1051480A (en) * 1996-07-31 1998-02-20 Chokosoku Network Computer Gijutsu Kenkyusho:Kk Protocol processing system for gateway equipment
JPH10504168A (en) * 1995-06-15 1998-04-14 チェックポイント・ソフトウェア・テクノロジーズ・リミテッド Method and system for inspecting and selectively modifying data packets for security of communication in a computer network and method of operating the system
JPH10271154A (en) * 1997-03-21 1998-10-09 Nec Eng Ltd Illegal access prevention method and system
JPH11168511A (en) * 1997-09-12 1999-06-22 Lucent Technol Inc Packet authentication method
JP2001514832A (en) * 1997-03-11 2001-09-11 シーケル・テクノロジー・コーポレーション Method and apparatus for managing internetwork and intra-network activities

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08172433A (en) * 1994-12-16 1996-07-02 Fujitsu Ltd Security management system for network
JPH10504168A (en) * 1995-06-15 1998-04-14 チェックポイント・ソフトウェア・テクノロジーズ・リミテッド Method and system for inspecting and selectively modifying data packets for security of communication in a computer network and method of operating the system
JPH1051480A (en) * 1996-07-31 1998-02-20 Chokosoku Network Computer Gijutsu Kenkyusho:Kk Protocol processing system for gateway equipment
JP2001514832A (en) * 1997-03-11 2001-09-11 シーケル・テクノロジー・コーポレーション Method and apparatus for managing internetwork and intra-network activities
JPH10271154A (en) * 1997-03-21 1998-10-09 Nec Eng Ltd Illegal access prevention method and system
JPH11168511A (en) * 1997-09-12 1999-06-22 Lucent Technol Inc Packet authentication method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
白橋 明弘: "セキュリティポリシーの決定とファイアウォールの選択", SOFTWARE DESIGN, vol. 第86号, CSND199700842011, 18 December 1997 (1997-12-18), pages 104 - 111, ISSN: 0000760936 *

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100432166B1 (en) * 2001-12-26 2004-05-17 한국전자통신연구원 Apparatus for transmission message for the transmission of security policy for global intrusion detection system and method for processing transmission of security policy
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US8326961B2 (en) 2002-02-08 2012-12-04 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8631113B2 (en) 2002-02-08 2014-01-14 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US9100364B2 (en) 2002-02-08 2015-08-04 Juniper Networks, Inc. Intelligent integrated network security device
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US8332948B2 (en) 2002-02-08 2012-12-11 Juniper Networks, Inc. Intelligent integrated network security device
US8959197B2 (en) 2002-02-08 2015-02-17 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8635695B2 (en) 2002-02-08 2014-01-21 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US9094372B2 (en) 2002-02-08 2015-07-28 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US8726016B2 (en) 2002-02-08 2014-05-13 Juniper Networks, Inc. Intelligent integrated network security device
JP2003309607A (en) * 2002-04-17 2003-10-31 Ntt Data Corp Anti-profiling apparatus and its program
JP2004030286A (en) * 2002-06-26 2004-01-29 Ntt Data Corp Intrusion detection system and intrusion detection program
JP2007122749A (en) * 2002-06-28 2007-05-17 Oki Electric Ind Co Ltd Warning system, illegal access track method, illegal access detection system, security management method and attack protection method
JP2004229092A (en) * 2003-01-24 2004-08-12 Toshiba Corp Server computer protecting device, and method and program for analyzing data request of the device
US7404205B2 (en) 2003-06-03 2008-07-22 Hewlett-Packard Development Company, L.P. System for controlling client-server connection requests
US7660794B2 (en) 2003-06-03 2010-02-09 Hewlett-Packard Development Company, L.P. Method and program product for reducing database walk frequency while repetitively accessing a firewall connection and rule database
US8533270B2 (en) 2003-06-23 2013-09-10 Microsoft Corporation Advanced spam detection techniques
JP4546761B2 (en) * 2003-06-23 2010-09-15 マイクロソフト コーポレーション Advanced spam detection techniques
JP2005018745A (en) * 2003-06-23 2005-01-20 Microsoft Corp Advanced spam detection technique
US9305079B2 (en) 2003-06-23 2016-04-05 Microsoft Technology Licensing, Llc Advanced spam detection techniques
KR100502079B1 (en) * 2003-08-27 2005-07-25 한국전자통신연구원 Alert traffic control approach for security management system in wide area network
JP2011040064A (en) * 2003-11-12 2011-02-24 Trustees Of Columbia Univ In The City Of New York Device, method and medium for detecting abnormal payload by using n gram distribution of normal data
US7950053B2 (en) 2004-10-12 2011-05-24 Panasonic Corporation Firewall system and firewall control method
JP2013522936A (en) * 2010-01-21 2013-06-13 アリババ・グループ・ホールディング・リミテッド Block malicious access

Similar Documents

Publication Publication Date Title
US20210105304A1 (en) Network asset lifecycle management
KR100502068B1 (en) Security engine management apparatus and method in network nodes
CN101802837B (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
US10320787B2 (en) System and method of facilitating the identification of a computer on a network
KR101010302B1 (en) Security management system and method of irc and http botnet
JP4742144B2 (en) Method and computer program for identifying a device attempting to penetrate a TCP / IP protocol based network
US7234168B2 (en) Hierarchy-based method and apparatus for detecting attacks on a computer system
US7346922B2 (en) Proactive network security system to protect against hackers
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
EP1956463A2 (en) Method and apparatus for providing network security based on device security status
US20050043548A1 (en) Automated monitoring and control system for networked communications
US20110154492A1 (en) Malicious traffic isolation system and method using botnet information
JP2014519751A (en) Using DNS communication to filter domain names
JP2005517349A (en) Network security system and method based on multi-method gateway
WO2003030001A1 (en) Anti-virus policy enforcement system and method
JP2001313640A (en) Method and system for deciding access type in communication network and recording medium
JP2002342279A (en) Filtering device, filtering method and program for making computer execute the method
CN112565203B (en) Centralized management platform
JP2008141352A (en) Network security system
JP5393286B2 (en) Access control system, access control apparatus and access control method
JP2003186763A (en) Detection and prevention method of breaking into computer system
KR20050095147A (en) Hacking defense apparatus and method with hacking type scenario
KR100470918B1 (en) Elusion prevention system and method for firewall censorship on the network
KR102174507B1 (en) A appratus and method for auto setting firewall of the gateway in network
JP2003114876A (en) Network monitoring system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041125

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060727

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060808

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20061205