JP2006243878A - Unauthorized access detection system - Google Patents

Unauthorized access detection system Download PDF

Info

Publication number
JP2006243878A
JP2006243878A JP2005055538A JP2005055538A JP2006243878A JP 2006243878 A JP2006243878 A JP 2006243878A JP 2005055538 A JP2005055538 A JP 2005055538A JP 2005055538 A JP2005055538 A JP 2005055538A JP 2006243878 A JP2006243878 A JP 2006243878A
Authority
JP
Japan
Prior art keywords
unauthorized access
countermeasure
signature
unit
unauthorized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005055538A
Other languages
Japanese (ja)
Inventor
Hiroyasu Terasawa
弘泰 寺澤
Koji Kubota
幸司 久保田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2005055538A priority Critical patent/JP2006243878A/en
Publication of JP2006243878A publication Critical patent/JP2006243878A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an unauthorized access detection system capable of early providing or executing, after detection of an unauthorized access, an appropriate processing method according to the content of the unauthorized access. <P>SOLUTION: A signature-with-handling method providing server 101 forms signatures in which attack patterns showing characteristics of unauthorized access are paired with appropriate handling methods after finding out unauthorized accesses, and provides them to end equipment or a router 102. The signatures are formed by an expert who operates the signature-with-handling method providing server 101. In the end equipment or the router 102, an unauthorized access detection/coping part 104 inspects data to be transmitted and received, and detects, upon finding out a packet matched to the signatures, it as unauthorized access. Further, an unauthorized access handling part 107 provides a handling method corresponding to this unauthorized access to an equipment application 108 to execute the handling method. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、不正アクセス検知システム技術の中でも、特に不正アクセスを検出するためのシグネチャの作成方法に関して、シグネチャに不正アクセスの特徴を示す攻撃パターンと不正アクセスが検知された際の適切な対処方法を対にして記録しておき、実際に不正アクセスが検知された際に、管理者に対処方法を提供することで、不正アクセスを検知するたびに管理者が判断してその後の対策を立てる手間を省き、不正アクセスに対する早期対処を可能とする不正アクセス検知システムに関するものである。   The present invention relates to an illegal access detection system technology, and particularly to a signature creation method for detecting unauthorized access, an attack pattern indicating the characteristics of unauthorized access in the signature and an appropriate countermeasure when an unauthorized access is detected. By recording it in pairs and providing a countermeasure to the administrator when an unauthorized access is actually detected, the administrator can make a decision every time an unauthorized access is detected and take subsequent measures. The present invention relates to an unauthorized access detection system that can be omitted and can quickly cope with unauthorized access.

近年、インターネットなどのネットワークの普及にともない、企業や家庭などにおいて、インターネットの常時接続環境の導入が盛んになっている。また、従来は、企業や家庭などにおいて、内部でLAN環境を構成した際(以下、内部ネットワークと記す)、インターネットなどの外部に接続可能な回線(以下、外部ネットワークと記す)と内部ネットワークとを中継するためにゲートウェイやルータを用い、NAT(Network Address Translation)の設定を行うことで、外部ネットワークから内部ネットワーク内の機器へ直接通信出来ないよう制限するケースが一般的であった。しかし、近年では、IPv6(Internet Protocol version 6)や、ピアツーピア接続の普及により、ゲートウェイやルータの設定を行わず、パソコンやネットワーク接続が可能な電化製品など(以下、エンド機器と記す)が直接通信しあう形態も盛んになってきている。   In recent years, with the spread of networks such as the Internet, the introduction of an always-on Internet connection environment has become popular in companies and homes. Conventionally, when a LAN environment is configured internally in a company or home (hereinafter referred to as an internal network), a line (hereinafter referred to as an external network) connectable to the outside such as the Internet is connected to the internal network. In general, a gateway or a router is used for relaying, and NAT (Network Address Translation) is set to restrict direct communication from an external network to a device in the internal network. However, in recent years, with the proliferation of IPv6 (Internet Protocol version 6) and peer-to-peer connections, electrical appliances that can be connected to personal computers and networks (hereinafter referred to as end devices) without direct gateway or router settings are directly communicating. The forms that meet each other are also becoming popular.

しかし、宅外ネットワークに宅内ネットワークが常時接続されることで、宅内ネットワークに接続された機器は、宅外ネットワークから不正アクセスを受ける可能性がある。この場合の不正アクセスとは、外部ネットワークから行う不正な攻撃のことであり、不正侵入や、DDoS(Distributed Denial of Service)攻撃、システムの脆弱性を狙った攻撃などである。また、宅内ネットワークに接続されたエンド機器が外部ネットワークからの不正アクセスを受け、不正侵入されることで、外部ネットワークに対して不正アクセスを行ってしまう可能性がある。この場合の不正アクセスとは、内部ネットワークに接続されたエンド機器が、例として、ウィルスなどに感染したことによって、踏み台になり、外部に対して攻撃を行うことであり、スパムメールの不正中継や、DDoS攻撃を行うケースなどが挙げられる。   However, since the home network is always connected to the outside network, a device connected to the home network may receive unauthorized access from the outside network. The unauthorized access in this case is an unauthorized attack performed from an external network, such as an unauthorized intrusion, a DDoS (Distributed Denial of Service) attack, an attack aimed at system vulnerability. In addition, there is a possibility that an end device connected to the home network receives unauthorized access from the external network and is illegally intruded, thereby making unauthorized access to the external network. Unauthorized access in this case refers to an end device connected to the internal network becoming a stepping stone when it is infected with a virus, for example, and attacking the outside. And a case where a DDoS attack is performed.

そこで、宅外ネットワークから宅内ネットワークに対して行われる不正アクセスを対象として、侵入検知システム(Intrusion Detection System)や、侵入検知・防御システム(Intrusion Detection and Prevention)などがある。前者は、システムやネットワークの資源及び活動を監視し、不正アクセスを検出するシステムである。後者は、前者に加えて、不正アクセスの遮断も行うシステムである。これらのシステムは、主にゲートウェイに広く導入されている。   Therefore, there are an intrusion detection system (Intrusion Detection System), an intrusion detection and prevention system (Intrusion Detection and Prevention), and the like for unauthorized access performed from the outside network to the home network. The former is a system for detecting unauthorized access by monitoring system and network resources and activities. The latter is a system that blocks unauthorized access in addition to the former. These systems are widely deployed mainly in gateways.

侵入検知システム、侵入検知・防御システムが不正アクセスを検出する方法としては、シグネチャを用いて不正アクセスを検出するシグネチャ型が一般的である。シグネチャとは、不正アクセスに使われるパケット内に存在する攻撃のパターンのことである。シグネチャ型では、過去に不正アクセスとして発見された攻撃のパターンをシグネチャとして記憶しており、パケットを受信するたびに、そのパケットとシグネチャとを比較することで、不正アクセスか否かを判断することである。不正アクセスを検知した後の処理としては、侵入検知システムの場合は、不正アクセスの検知を行うだけであるため、管理者によって、不正アクセスの遮断などの対策が施される。侵入検知・防御システムの場合は、不正アクセスのみを自動遮断し、その他の正常な通信は遮断しないという処理を行うものが多い。   As a method of detecting unauthorized access by an intrusion detection system and intrusion detection / protection system, a signature type that detects unauthorized access using a signature is generally used. A signature is an attack pattern that exists in a packet used for unauthorized access. In the signature type, a pattern of attacks discovered as unauthorized access in the past is stored as a signature, and each time a packet is received, it is judged whether it is unauthorized access by comparing the packet with the signature. It is. As processing after detecting unauthorized access, in the case of an intrusion detection system, since only unauthorized access is detected, measures such as blocking unauthorized access are taken by the administrator. Many intrusion detection / prevention systems automatically block only unauthorized access and do not block other normal communications.

不正アクセス検知後の処理の仕方を規定した文献として、特許文献1の公報に開示されている技術がある。この公報に開示された方法によると、機器が受信したIPパケットのヘッダ情報に基づいて、あらかじめ設定されたIPパケットのヘッダ情報と攻撃との関係を示す設定ルールを参照し、攻撃となるIPパケットを遮断する一方、その他のIPパケットを通過させるフィルタの設定を行う。さらに、フィルタを通過したIPパケットのペイロード情報に基づいて、攻撃となるIPパケットを遮断し、その他のIPパケットを通過させることで、攻撃となるIPパケットを受け付けなくすることが可能である。
特開2003−99339号公報 As a document that prescribes how to perform processing after detecting unauthorized access, there is a technique disclosed in the publication of Patent Document 1. According to the method disclosed in this publication, based on the header information of the IP packet received by the device, the preset IP packet header information and the setting rule indicating the relationship between the attack are referred to, and the IP packet that becomes the attack The filter is set to allow other IP packets to pass. Furthermore, based on the payload information of the IP packet that has passed through the filter, it is possible to block the attacking IP packet and allow other IP packets to pass, thereby preventing the attacking IP packet from being accepted.
JP 2003-99339 A

不正アクセスを検知した後の処理としては、不正アクセスによる被害を拡大させないためにも、早期に適切な対処方法を実施する必要がある。しかし、侵入検知システムでは、不正アクセスを検知するだけであるため、不正アクセス検知後の処理は、管理者がその不正アクセスに適した対処方法をその都度検討し、行わなければならないため、早期対処が図れない場合がある。   As processing after detecting unauthorized access, it is necessary to implement appropriate countermeasures at an early stage in order not to increase the damage caused by unauthorized access. However, since the intrusion detection system only detects unauthorized access, the processing after unauthorized access detection must be performed by the administrator after examining the countermeasures appropriate for the unauthorized access. May not be possible.

また、侵入検知・防御システムや前記従来の構成では、不正アクセスの検知後に常に不正アクセスのみの遮断を行うが、不正アクセスの種類によっては、遮断によって他の通信に影響を及ぼすことがあるため、適切な対処方法とは言い難い。遮断によって他の通信に影響を及ぼす不正アクセスの例として、DoS攻撃の一つであるACK SCANが挙げられる。通常、システムが提供するサービスは、外部ネットワークからアクセスされないようにパケットフィルタリングの設定が施され、保護されている。しかし、管理者がパケットフィルタリングの設定を怠ったか、誤った設定をしてしまったことにより、正しく設定されていない場合がある。そこで、攻撃者は標的とした端末に対してTCP ACKパケットを不正に大量に送りつけることで、システムがサービスしているポートの内、フィルタリングの設定がされていないものを検索することができる。攻撃者はフィルタリングの設定がされていないポートに関する情報を取得すると、そのポートを用いてサービスの不正利用を試みる可能性があり危険である。しかし、仮に、ACK SCANを検知した場合、TCP ACKパケットのみを遮断してしまうと、通常のTCPでの通信は、TCP ACKパケットをやりとりすることでコネクションを確立させているため、その他のTCPでの通信も停止してしまい、他の通信に影響を及ぼすことになる。また、不正アクセスのみを遮断していった場合、新たに外部ネットワークとの通信を必要とするサービスを動作させるたびに、管理者が遮断された不正アクセスを全て解析し、正しく通信させることが可能か否か調査する必要がある。例えば、前記のACK SCANを遮断していた場合、新たなサービスの動作の開始を試みても、TCP ACKが破棄されることによって、通信が出来ないため無駄である。   In addition, the intrusion detection / prevention system and the conventional configuration always block only unauthorized access after detecting unauthorized access. However, depending on the type of unauthorized access, blocking may affect other communications. It is hard to say that it is an appropriate coping method. An example of unauthorized access that affects other communications by blocking is ACK SCAN, which is one of DoS attacks. Normally, a service provided by the system is protected by setting packet filtering so that it is not accessed from an external network. However, the administrator may not have set the packet filtering correctly or may have been set incorrectly due to incorrect settings. Therefore, the attacker can search the ports that are not set for filtering among the ports that are serviced by the system by sending a large amount of TCP ACK packets to the target terminal. If an attacker obtains information about a port for which filtering is not set, there is a possibility that the attacker may attempt to use the service illegally using that port. However, if an ACK SCAN is detected and only the TCP ACK packet is blocked, normal TCP communication establishes a connection by exchanging the TCP ACK packet. Will also stop other communications, affecting other communications. In addition, if only unauthorized access is blocked, every time a service that requires communication with an external network is activated, the administrator can analyze all blocked unauthorized access and communicate correctly. It is necessary to investigate whether or not. For example, when the ACK SCAN is cut off, even if an attempt is made to start the operation of a new service, the TCP ACK is discarded and communication cannot be performed, which is useless.

また、上記の全てのシステムは、外部ネットワークから、内部ネットワークへ流れるパケットを調査対象として監視し、検知するが、逆に、エンド機器がウィルスなどに感染することによって、踏み台になり、内部ネットワークから外部ネットワークに対してDDoS攻撃などの不正アクセスを行う場合に関しては検知できない。   In addition, all of the above systems monitor and detect packets flowing from the external network to the internal network, but conversely, the end device becomes a stepping stone when it is infected with a virus. It cannot be detected when unauthorized access such as a DDoS attack is made to an external network.

本発明は、前記従来の課題を解決するもので、シグネチャを作成する際に不正アクセスに使われるパケット内に存在する攻撃のパターンと、その不正アクセスが検知された後の適切な対処方法を対にして記録しておき、不正アクセスを検知した時点で、管理者に不正アクセスの内容に応じた適切な処理方法を提供、実施するものである。例えば、以下のような不正アクセスに対応する対処方法をシグネチャに規定しておく。   The present invention solves the above-described conventional problems by comparing an attack pattern existing in a packet used for unauthorized access when creating a signature and an appropriate countermeasure after the unauthorized access is detected. When an unauthorized access is detected, an appropriate processing method corresponding to the content of unauthorized access is provided to the administrator and implemented. For example, the following measures for dealing with unauthorized access are defined in the signature.

感染した際のダメージが小さく、遮断してもその他の正常な通信に影響を及ぼさない種類の不正アクセスに関しては、管理者に対して検知時にその種類のパケットのみ遮断する要求を発行し、管理者が遮断するか、一定時間後にその種類のパケットのみを遮断する。   With regard to unauthorized access that does not affect other normal communications even if it is blocked, the administrator issues a request to block only that type of packet when detected, and the administrator Or block only that type of packet after a certain period of time.

感染した際のダメージが大きく、遮断するとその他の通信に影響を及ぼす種類の不正アクセスに関しては、管理者に検知時にシステムの停止を要求し、管理者が停止させるか、一定時間後に停止させる。   Regarding the type of unauthorized access that causes significant damage when infected and affects other communications when blocked, the administrator is requested to stop the system at the time of detection, and the administrator stops or stops after a certain time.

不正アクセスを検知した際に、不正アクセスに対応する対処方法も提供されるため、不正アクセスを検知するたびに管理者が判断してその後の対策を立てる必要が無く、不正アクセスに対する早期対処が可能である。また、不正アクセスに応じて遮断の方法を変化させるため、できるだけ正常な通信に影響を与えないで、不正アクセスから保護することが可能であり、新たに通信させたいサービスが発生した際に、遮断されている不正アクセスの内容を解析する必要がない。   When unauthorized access is detected, a countermeasure is also provided to deal with unauthorized access, so there is no need for the administrator to make a decision after each unauthorized access is detected, and early countermeasures can be taken against unauthorized access. It is. In addition, since the blocking method is changed according to unauthorized access, it is possible to protect against unauthorized access without affecting normal communication as much as possible. There is no need to analyze the contents of unauthorized access.

さらに、パケットの流れる方向に関係なくパケットを調査し、不正アクセスを検知するため、エンド機器が不正アクセスにさらされるなどして、踏み台になり、外部ネットワークに対してDDoS攻撃などの不正アクセスを行うような場合も検知することができるため、エンド機器を使用するユーザが気付かないうちに踏み台にされ、外部ネットワークに対して迷惑をかけているような場合も防ぐことが可能である。   Furthermore, regardless of the direction of the packet flow, the packet is investigated and unauthorized access is detected. As a result, the end device is exposed to unauthorized access, which serves as a stepping stone and performs unauthorized access such as DDoS attacks on external networks. Since it is possible to detect such a case, it is possible to prevent a case where the user who uses the end device is stepped on without knowing it and causes trouble to the external network.

前記従来の課題を解決するために、本願の請求項1に係る発明は、不正アクセスの特徴となる攻撃パターンを示すシグネチャに基づいて、ネットワークを流れるパケットから不正アクセスを検出する不正アクセス検知システムであって、不正アクセスが検知された後の適切な対処方法を作成し、前記シグネチャをそれぞれ対応付けて、対処法付きシグネチャを作成する対処法付きシグネチャ提供サーバと、不正アクセス検知・対策部おいては、前記対処法付きシグネチャ提供サーバから提供される前記対処法付きシグネチャを、システムの必要に応じて修正し、管理する対処法付きシグネチャ修正・管理部と、前記ネットワークを流れるパケットを監視し、前記対処法付きシグネチャ修正・管理部により管理された前記対処法付きシグネチャと比較し、不正アクセスであるか否かを判定する不正アクセス検知部と、不正アクセスが検知された際、前記対処法付きシグネチャから前記不正アクセスに対応する対処方法を抽出し、機器アプリケーションに提供する不正アクセス対策部とを備えることを特徴とする。   In order to solve the conventional problem, an invention according to claim 1 of the present application is an unauthorized access detection system that detects unauthorized access from a packet flowing through a network based on a signature indicating an attack pattern that is characteristic of unauthorized access. And an appropriate handling method after an unauthorized access is detected, and a signature providing server with a countermeasure that creates a signature with a countermeasure by associating the signatures with each other, and an unauthorized access detection and countermeasure section. Monitoring a packet flowing through the network, and a signature correcting / managing unit with a countermeasure for correcting and managing the signature with a countermeasure provided from the signature providing server with a countermeasure as required by the system, The signature with the countermeasure managed by the signature correction / management unit with the countermeasure Comparing and detecting an unauthorized access with an unauthorized access detection unit, and when an unauthorized access is detected, a countermeasure corresponding to the unauthorized access is extracted from the signature with the countermeasure and provided to the device application And an unauthorized access countermeasure unit.

また、本願の請求項2に係る発明は、前記対処法付きシグネチャ提供サーバから前記対処法付きシグネチャを受信した際、前記機器アプリケーションに対して、修正が必要であるか否かを問い合わせ、前記機器アプリケーションの判断により必要であれば前記機器アプリケーションの要求に基づいて修正し、管理する対処法付きシグネチャ管理部を有することを特徴とする。   The invention according to claim 2 of the present application, when receiving the signature with a countermeasure from the signature providing server with a countermeasure, inquires about whether or not the device application needs to be corrected, and It has a signature management unit with a countermeasure that corrects and manages based on the request of the device application if necessary based on the judgment of the application.

また、本願の請求項3に係る発明は、不正アクセスが検知された際、前記対処法付きシグネチャから前記不正アクセスに対応する対処方法を前記機器アプリケーションへ提供した後、一定時間経過しても前記機器アプリケーションで前記対処方法が実行されていない場合、自らが前記対処方法を実行する不正アクセス対策部を有することを特徴とする。   In addition, the invention according to claim 3 of the present application provides a coping method corresponding to the unauthorized access from the signature with the coping method to the device application when an unauthorized access is detected. When the coping method is not executed in the device application, the device application includes an unauthorized access countermeasure unit that executes the coping method.

また、本願の請求項4に係る発明は、新たなサービスを開始する際、既に対処方法の施された不正アクセスから、前記新たなサービスを開始するにあたって問題が生じる対処方法を検出し、問題のある対処方法が施されている場合は、対処方法一覧を機器アプリケーションに提供し、場合によっては前記問題が生じる対処方法を解除する不正アクセス対策部を有することを特徴とする。   The invention according to claim 4 of the present application detects a coping method that causes a problem in starting the new service from unauthorized access that has already been dealt with when starting a new service. When a certain coping method is applied, a coping method list is provided to the device application, and an illegal access countermeasure unit for canceling the coping method that causes the problem according to circumstances is provided.

また、本願の請求項5に係る発明は、既に幾つかの不正アクセスが検知され、対処方法が施されている状態において、一定時間ごとに、前記不正アクセスに対応する対処方法が適切であるか否かを検査し、適切でなくなった場合は、前記不正アクセスの内容と、症状を前記対処法付きシグネチャ提供サーバに送信する不正アクセス対策部を有することを特徴とする。   In addition, in the invention according to claim 5 of the present application, in the state where some unauthorized access has already been detected and the countermeasure is applied, is the countermeasure corresponding to the unauthorized access appropriate every certain time? In this case, the information processing apparatus includes an unauthorized access countermeasure unit that transmits contents of the unauthorized access and a symptom to the signature providing server with a countermeasure when it is not appropriate.

また、本願の請求項6に係る発明は、不正アクセスの特徴となる攻撃パターンを示すシグネチャに基づいて、ネットワークを流れるパケットから不正アクセスを検出する不正アクセス検知システムであって、不正アクセス検知・対策部は、不正アクセスが検知された後の適切な対処方法を作成し、前記シグネチャをそれぞれ対応付けて、対処法付きシグネチャを作成する対処法付きシグネチャ作成部と、前記対処法付きシグネチャ作成部から提供される前記対処法付きシグネチャを、システムの必要に応じて修正し、管理する対処法付きシグネチャ修正・管理部と、前記ネットワークを流れるパケットを監視し、前記対処法付きシグネチャ修正・管理部により管理された前記対処法付きシグネチャと比較し、不正アクセスであるか否かを判定する不正アクセス検知部と、不正アクセスが検知された際、前記対処法付きシグネチャから前記不正アクセスに対応する対処方法を抽出し、機器アプリケーションに提供する不正アクセス対策部と備えることを特徴とする。   Further, the invention according to claim 6 of the present application is an unauthorized access detection system for detecting unauthorized access from a packet flowing through a network based on a signature indicating an attack pattern that is a characteristic of unauthorized access. The unit creates an appropriate coping method after the unauthorized access is detected, associates the signatures with each other, creates a coping method with a coping method, and a coping method with the coping method The provided signature with countermeasures is modified and managed according to the needs of the system, and the signature correction / management unit with countermeasures is monitored, and the packet flowing through the network is monitored. Compare with the managed signature with the countermeasure, and determine whether it is unauthorized access And illegal access detection section that, when the unauthorized access is detected, the extracts Action corresponding to the unauthorized access from Solution with signatures, characterized in that it comprises a countermeasures against unauthorized access unit for providing to the device application.

本発明において、シグネチャに不正アクセスに使われる攻撃のパターンと、その不正アクセスが検知された後の適切な対処方法を対にして記録しておき、不正アクセス検知時に、管理者に対処方法を提供することで、不正アクセスを検知するたびに管理者が判断してその後の対策を立てる必要が無く、不正アクセスに対する早期対処が可能となる。また、不正アクセスに応じて遮断の方法を適切に変化させることで、できるだけ正常な通信に影響を与えないで不正アクセスから保護でき、さらに、管理者が新たに通信させたいサービスが発生した際に、遮断されている不正アクセスの内容を解析する必要がなく、管理者の手間を省くことができる。   In the present invention, the attack pattern used for unauthorized access in the signature and the appropriate countermeasure after the unauthorized access is detected are recorded in pairs, and the countermeasure is provided to the administrator when unauthorized access is detected. By doing so, it is not necessary for the administrator to make a determination after each unauthorized access is detected, and it is possible to take early measures against unauthorized access. In addition, by appropriately changing the blocking method according to unauthorized access, it is possible to protect against unauthorized access without affecting normal communication as much as possible, and when a service that an administrator wants to communicate newly occurs Therefore, it is not necessary to analyze the contents of unauthorized access being blocked, and the administrator's trouble can be saved.

以下本発明の実施の形態について、図面を参照しながら説明する。   Embodiments of the present invention will be described below with reference to the drawings.

(実施の形態1)
図1は、本発明の実施の形態1における不正アクセス検知対策システムの概要構成を示すブロック図である。 (Embodiment 1)
FIG. 1 is a block diagram showing a schematic configuration of an unauthorized access detection countermeasure system according to Embodiment 1 of the present invention.

図1において、インターネットなどのネットワークには、対処法付きシグネチャ提供サーバ101、エンド機器やルータ102などが接続されている。対処法付きシグネチャ提供サーバ101は、不正アクセスが発見された後の適切な対処方法を不正アクセスごとに作成し、対処方法と不正アクセスの特徴を示す攻撃パターンを示すシグネチャとを対にした、対処法付きシグネチャを作成する。以下、不正アクセスの特徴を示す攻撃パターンと不正アクセスが検知された後の対処方法との組を羅列したデータを対処法付きシグネチャと記す。対処法付きシグネチャは、主に、対処法付きシグネチャ提供サーバ101を運営する専門家などによって作成され、対処法付きシグネチャ提供サーバ101によって、企業や家庭などのネットワークで用いられるゲートウェイやルータ、エンド機器に提供される。エンド機器やルータ102は、エンド機器やルータ102からネットワークへデータを送信、ネットワークからエンド機器やルータ102がデータを受信するためのデータ送受信部103、不正アクセスを検知し、その後の対処方法を機器アプリケーション108に提供、実施する不正アクセス検知・対策部104、機器アプリケーション108で構成される。不正アクセス検知・対策部104は、対処法付きシグネチャ提供サーバ101から提供された対処法付きシグネチャを管理し、必要に応じてシステムに適した形式にカスタマイズも可能とする対処法付きシグネチャ修正・管理部105と、データ送受信部103を流れるパケットを抽出し、対処法付きシグネチャ修正・管理部105で管理される対処法付きシグネチャを用いて不正アクセスか否かを検査する不正アクセス検知部106と、不正アクセスが検知された際、対処法付きシグネチャの内容をもとに不正アクセスに対応した対策方法を機器アプリケーション108へ提供し、機器アプリケーション108から対処方法の実施の依頼を受けて対策方法を実施する不正アクセス対策部107から構成される。   In FIG. 1, a signature providing server 101 with a countermeasure, an end device, a router 102, and the like are connected to a network such as the Internet. The signature providing server 101 with a countermeasure creates an appropriate countermeasure for each unauthorized access after the unauthorized access is discovered, and pairs the countermeasure with a signature indicating an attack pattern indicating the characteristics of the unauthorized access. Create a legal signature. Hereinafter, data that enumerates pairs of attack patterns indicating the characteristics of unauthorized access and countermeasures after the unauthorized access is detected is referred to as a signature with countermeasures. The signature with a countermeasure is mainly created by an expert who operates the signature providing server 101 with a countermeasure, and the gateway, router, or end device used in a network such as a company or a home by the signature providing server 101 with a countermeasure. Provided to. The end device or router 102 transmits data from the end device or router 102 to the network, the data transmitting / receiving unit 103 for the end device or router 102 to receive data from the network, detecting unauthorized access, The unauthorized access detection / countermeasure unit 104 and the device application 108 are provided and implemented to the application 108. The unauthorized access detection / countermeasure unit 104 manages a signature with a countermeasure provided from the signature providing server 101 with a countermeasure, and corrects and manages the signature with a countermeasure that can be customized to a format suitable for the system as necessary. An unauthorized access detection unit 106 that extracts a packet flowing through the data transmission / reception unit 103 and inspects whether the access is unauthorized using the signature with a countermeasure managed by the signature correction / management unit 105 with a countermeasure; When unauthorized access is detected, a countermeasure method corresponding to unauthorized access is provided to the device application 108 based on the content of the signature with the countermeasure, and the countermeasure method is implemented upon receiving a request for the countermeasure from the device application 108 The unauthorized access countermeasure unit 107 is configured.

図2に、対処法付きシグネチャ提供サーバ101で作成される対処法付きシグネチャの一例を示す。不正アクセス名は、不正アクセスの名前を示す。不正アクセスパターンは、不正アクセスの特徴を示す攻撃のパターンである。受けた際のダメージは、システムが不正アクセスを受けた際の被害の度合いであり、被害が小さいほど低い値となり、大きいほど高い値となる。また、遮断の影響は、不正アクセスのみを遮断した際、その他の通信に与える影響の度合いであり、不正アクセスのみを遮断した場合、その他の通信が遮断前と何ら変わることなく継続できれば低い値となり、不正アクセスを遮断したことが影響し、その他の通信も継続できなくなるような場合は高い値となる。センターへの通知の必要性は、対処法付きシグネチャ提供サーバ101や、プロバイダーなどに通知する必要があるか否かを示す。深刻な不正アクセスである場合や、エンド機器やルータ104自身で対応しきれない不正アクセスである場合などは、センターへの通知は必要であると考えられる。ハニーポットへの誘導は、不正アクセスをおとり用のサーバ(ハニーポット)へ誘導し、不正アクセスを詳細に解析する必要があるか否かを示す。不正アクセスを行った侵入者の身元などの記録や、行動内容などを記録することで、侵入者を訴求する際の証拠を収集する場合や、侵入方法や攻撃手法の研究を行う場合などは、ハニーポットへの誘導の必要があると考えられる。図2の1行目の不正アクセスは、“ABC Attack”という名前であり、“eee.exe“という文字列を含むパケットで構成されている。この不正アクセスを受けた際のダメージは“4”、遮断の影響は“6”であり、合計点数は10である。合計点数と、対処方法との関係の一例は後述の図3に示す。センターへの通知は必要、ハニーポットへの誘導も必要である。   FIG. 2 shows an example of a signature with a countermeasure created by the signature providing server with a countermeasure 101. The unauthorized access name indicates the name of unauthorized access. The unauthorized access pattern is an attack pattern indicating the characteristics of unauthorized access. The damage at the time of receiving is the degree of damage when the system receives unauthorized access, and the lower the damage, the lower the value, and the higher the value. The effect of blocking is the degree of influence on other communications when only unauthorized access is blocked.If only unauthorized access is blocked, the value will be low if other communications can continue without any change. If the unauthorized access is blocked and other communications cannot be continued, the value is high. The necessity of notification to the center indicates whether it is necessary to notify the signature providing server 101 with a countermeasure or the provider. In the case of serious unauthorized access, or in the case of unauthorized access that cannot be handled by the end device or the router 104 itself, notification to the center is considered necessary. The guidance to the honeypot indicates whether or not it is necessary to analyze unauthorized access in detail by guiding unauthorized access to a decoy server (honeypot). For example, if you want to collect evidence when appealing to an intruder by recording the identity of the intruder who gained unauthorized access, recording the behavior, etc., or researching intrusion methods and attack methods, It is considered necessary to guide to the honeypot. The unauthorized access on the first line in FIG. 2 is named “ABC Attack” and includes a packet including a character string “eeee.exe”. The damage upon receiving this unauthorized access is “4”, the effect of blocking is “6”, and the total score is 10. An example of the relationship between the total score and the coping method is shown in FIG. Notification to the center is necessary, and guidance to the honeypot is also necessary.

図3は、図2のそれぞれの対処法付きシグネチャが具体的にどのような対処方法に該当するかを示した一例である。合計点数は、図2の合計点数と対応している。対処方法は、合計点数によって異なる。図2の1行目の不正アクセスである“ABC Attack”の場合は、合計点数が10であるため、対処方法として、システムの停止を行う必要があることになる。図2の2行目の不正アクセスである“DDD Overflow”の場合は、合計点数は5であるため、不正アクセスのみを遮断(一部遮断)すればよい。ただし、合計点数から図3の対処方法を抽出する方法は一例であり、必ずしも合計点数である必要はない。システムの運用形態により、受けた際のダメージのみで対処方法を判断したい場合は、受けた際のダメージに示した値を図3の合計点数に当てはめ、対処方法を決定してもよい。   FIG. 3 is an example showing a specific countermeasure to which each signature with a countermeasure in FIG. 2 corresponds. The total score corresponds to the total score in FIG. The coping method varies depending on the total score. In the case of “ABC Attack”, which is an unauthorized access on the first line in FIG. 2, the total score is 10, so that the system needs to be stopped as a countermeasure. In the case of “DDD Overflow”, which is unauthorized access on the second line in FIG. 2, since the total number is 5, it is only necessary to block (partially block) only unauthorized access. However, the method of extracting the coping method of FIG. 3 from the total score is an example, and the total score is not necessarily required. If it is desired to determine a countermeasure method based only on the damage received when the system is operated, the countermeasure method may be determined by applying the value shown for the damage when the damage is received to the total score shown in FIG.

図4は、エンド機器やルータ102が、対処法付きシグネチャ提供サーバ101から対処法付きシグネチャを受信し、対処法付きシグネチャ修正・管理部105によって管理されるまでの流れを示したフローチャートである。対処法付きシグネチャ提供サーバ101が各エンド機器やルータ102の対処法付きシグネチャ修正・管理部105へ対処法付きシグネチャを送信する(S401)。対処法付きシグネチャ修正・管理部105は、対処法付きシグネチャを受信したことを機器アプリケーション108へ通知する(S402)。機器アプリケーション108は、通知を受けて、対処法付きシグネチャ修正・管理部105へ問い合わせ、対処法付きシグネチャを修正する必要があるか否かを判断する(S403)。システムの都合などにより、修正の必要がある場合は、機器アプリケーション108は、対処法付きシグネチャの修正内容と修正箇所を対処法付きシグネチャ修正・管理部105へ通知し(S404、405)、対処法付きシグネチャ修正・管理部105は、対処法付きシグネチャを修正して保存する(S406)。修正の必要が無い場合は、機器アプリケーション108は対処法付きシグネチャ修正・管理部105へ修正不要であることを通知し(S404、407)、対処法付きシグネチャ修正・管理部105は、対処法付きシグネチャを保存する(S408)。   FIG. 4 is a flowchart illustrating a flow from when the end device or the router 102 receives a signature with a countermeasure from the signature providing server 101 with a countermeasure to being managed by the signature correction / management unit 105 with a countermeasure. The signature providing server 101 with the handling method transmits the signature with the handling method to the signature correcting / managing unit 105 with the handling method of each end device or the router 102 (S401). The signature correcting / managing unit 105 with the handling method notifies the device application 108 that the signature with the handling method has been received (S402). Upon receiving the notification, the device application 108 makes an inquiry to the signature correction / management unit 105 with a countermeasure and determines whether or not the signature with a countermeasure needs to be corrected (S403). If correction is necessary due to the circumstances of the system or the like, the device application 108 notifies the correction / management unit 105 with the corrective signature with corrective action and the correction portion of the corrective signature with the corrective action (S404, 405). The attached signature correction / management unit 105 corrects and saves the signature with the countermeasure (S406). If there is no need for correction, the device application 108 notifies the signature correction / management unit 105 with countermeasures that correction is not required (S404, 407), and the signature correction / management unit 105 with countermeasures includes a countermeasure. The signature is saved (S408).

図5は、データ送受信部103がインターネットから、あるいは、図示しない他のエンド機器やルータから受信したパケットを不正アクセス検知部106が検査する際の処理を示すフローチャートである。不正アクセス検知部106によりデータ送受信部103を流れるパケットを検査する(S501)。その際、対処法付きシグネチャに合致するパケットを検知しなかった場合は、正常なパケットとみなし、パケットは通過する(S502)。検知した場合は、不正アクセス対策部107へ通知し、不正アクセス対策部107が、対処法付きシグネチャに記載された、その不正アクセスに対応した対処方法を抽出し、対処方法を機器アプリケーション108に提供する(S503、504)。不正アクセス対策部107は、機器アプリケーション108から対処方法の実施を依頼された場合は、対処方法を実行する(S505、506)。依頼されて無い場合は、一定時間経過するまで依頼されたか否かを検査し(S507)、一定時間経過した場合は、不正アクセス対策部107によって、対処方法を自動実行する(S507、508)。   FIG. 5 is a flowchart showing processing when the unauthorized access detection unit 106 inspects packets received by the data transmission / reception unit 103 from the Internet or from other end devices or routers (not shown). The unauthorized access detection unit 106 inspects the packet flowing through the data transmission / reception unit 103 (S501). At this time, if a packet that matches the signature with the countermeasure is not detected, it is regarded as a normal packet, and the packet passes (S502). When detected, the unauthorized access countermeasure unit 107 is notified, and the unauthorized access countermeasure unit 107 extracts a countermeasure method corresponding to the unauthorized access described in the signature with the countermeasure method, and provides the countermeasure method to the device application 108. (S503, 504). The unauthorized access countermeasure unit 107 executes the coping method when requested by the device application 108 to implement the coping method (S505, 506). If no request has been made, it is checked whether or not the request has been made until a predetermined time elapses (S507), and if the predetermined time has passed, the countermeasure is automatically executed by the unauthorized access countermeasure unit 107 (S507, 508).

図6に、遮断状況一覧の一例を示す。遮断状況一覧は、実際に検知され、対策方法の施された不正アクセスの一覧を示したリストであり、実際に検知された不正アクセスと図3で示した合計点数と、実際に実施された対処方法などで構成される。1行目の不正アクセスの場合は、“DDD Overflow”という不正アクセスが実際に検知されたことを示しており、合計点数は5であるため、図3より、この不正アクセスのみを遮断(一部遮断)している状態である。   FIG. 6 shows an example of the blocking status list. The blocking status list is a list that shows a list of unauthorized access that has been actually detected and that has been implemented with countermeasures, and the actual detected unauthorized access, the total number of points shown in FIG. 3, and the actual countermeasures implemented. It consists of methods. In the case of unauthorized access in the first line, it indicates that an unauthorized access “DDD Overflow” has actually been detected, and the total score is 5, so that only this unauthorized access is blocked (partially shown in FIG. 3). It is in a state of being blocked.

図7は、機器アプリケーション108が新たにサービスを開始したい場合に関して示したフローチャートである。機器アプリケーション108が不正アクセス対策部107へ問い合わせ(S701)、不正アクセス対策部107が遮断状況一覧から新たにサービスを開始する際に弊害となる不正アクセスが既に検知されているかを検索する(S702)。弊害となる不正アクセスが無かった場合、不正アクセス対策部107が機器アプリケーション108へ弊害となる不正アクセスが検知されてないことを通知し、機器アプリケーション108がサービスを開始する(S703、704)。弊害となる不正アクセスが既に検知されていた場合、不正アクセス対策部107が機器アプリケーション108へ遮断状況一覧を提供する(S703、705)。機器アプリケーション108は遮断状況一覧からサービスを開始するか否かを検討し(S706)、サービスを開始しない場合は、何もしないで終了する(S707、708)。サービスを開始する場合は、機器アプリケーション108が、不正アクセス対策部107へサービスの開始を許可する通知を発行する(S707、709)。不正アクセス対策部107は、弊害となる不正アクセスに関して、その対処方法を解除した後(S710)、機器アプリケーション108がサービスを開始する(S711)。図6に挙げた例の場合では、“HOE Scan”が既に検知されており、全遮断の対処方法が適用されているが、全遮断されていることにより、新たなサービスを開始させても通信できないことになる。よって、“HOE Scan”が弊害となる不正アクセスとなる。ただし、全遮断だけに限らず、その他の対処方法が適用されている不正アクセスであっても弊害となる不正アクセスとみなす場合もある。例えば、開始させたいサービスの内容によっては、一部遮断により、遮断されている種類のパケットを用いて通信することも考えられる。この場合は、一部遮断の不正アクセスであっても弊害となる不正アクセスとみなす。   FIG. 7 is a flowchart showing a case where the device application 108 wants to start a new service. The device application 108 makes an inquiry to the unauthorized access countermeasure unit 107 (S701), and searches whether the unauthorized access countermeasure unit 107 has already been detected from the blocked status list when an unauthorized access that is harmful is already detected (S702). . When there is no harmful unauthorized access, the unauthorized access countermeasure unit 107 notifies the device application 108 that no unauthorized unauthorized access has been detected, and the device application 108 starts a service (S703, 704). In the case where an illegal access that is harmful is already detected, the unauthorized access countermeasure unit 107 provides a block status list to the device application 108 (S703, 705). The device application 108 examines whether or not to start the service from the blocking status list (S706). If the service is not started, the device application 108 ends without doing anything (S707 and 708). When starting the service, the device application 108 issues a notification permitting the start of the service to the unauthorized access countermeasure unit 107 (S707, 709). The unauthorized access countermeasure unit 107 cancels the countermeasure for the harmful unauthorized access (S710), and then the device application 108 starts the service (S711). In the case of the example shown in FIG. 6, “HOE Scan” has already been detected, and the method of dealing with total blocking is applied. However, even if a new service is started due to the total blocking, communication is possible. It will not be possible. Therefore, “HOE Scan” is an unauthorized access that is a harmful effect. However, not only full blocking, but also unauthorized access to which other countermeasures are applied may be regarded as harmful access. For example, depending on the content of the service to be started, it is possible to communicate using a type of blocked packet by partially blocking. In this case, even unauthorized access that is partially blocked is regarded as harmful access that is harmful.

図8は、遮断状況一覧の内容をもとに、既に検知された不正アクセスが適切に対処されているか否かを確認する際のフローチャートである。確認は一定期間ごとに行う。不正アクセス対策部107は、遮断状況一覧の先頭の不正アクセスに対して実施された対処方法に問題が無いか否かを検索する(S801)。不正アクセス対策部107は、問題が無いか否か検査し、問題が無い場合は、遮断状況一覧に次の行が存在するか否かをチェックし、存在する場合は、遮断状況一覧の次の行を検査対象とする(S802、803、804)。次の行が存在しない場合は、終了する(S803)。対処方法に問題があった場合は、不正アクセスの内容、症状を対処法付きシグネチャ提供サーバ101やプロバイダなどのサーバに提供する(S802、805)。例えば、図6で示す不正アクセスが既に検知されている場合、“PQR Attack”は、エンド機器やルータが攻撃を受けても大きな被害を被らないため、対処方法として、アラートを発生させる方法が施されている。しかし、この不正アクセスの亜種などが発生したことにより、エンド機器やルータ102が大きな被害を被るようになった場合、対処方法を変更する必要があるため、その旨と被害内容を対処法付きシグネチャ提供サーバ101やプロバイダなどのサーバに提供する。対処法付きシグネチャ提供サーバ101は、これによっても、新たな対処法付きシグネチャを作成することができる。   FIG. 8 is a flowchart for checking whether or not unauthorized access that has already been detected is appropriately dealt with based on the content of the blocking status list. Confirmation is performed at regular intervals. The unauthorized access countermeasure unit 107 searches whether there is no problem in the countermeasures implemented for the unauthorized access at the head of the blocking status list (S801). The unauthorized access countermeasure unit 107 checks whether or not there is a problem. If there is no problem, the unauthorized access countermeasure unit 107 checks whether or not the next line exists in the blocking status list. A row is an inspection target (S802, 803, 804). If the next line does not exist, the process ends (S803). If there is a problem with the coping method, the contents and symptoms of unauthorized access are provided to the signature providing server with coping method 101 or a server such as a provider (S802, 805). For example, when the unauthorized access shown in FIG. 6 has already been detected, “PQR Attack” does not suffer a great deal of damage even if the end device or router is attacked. It has been subjected. However, if the end device or router 102 suffers significant damage due to the occurrence of this unauthorized access variant, the countermeasure must be changed. It is provided to a server such as a signature providing server 101 or a provider. The signature providing server 101 with a countermeasure can also create a new signature with a countermeasure.

(実施の形態2)
図9は、本発明の実施の形態2における不正アクセス検知対策システムの概要構成を示すブロック図である。 (Embodiment 2)
FIG. 9 is a block diagram showing a schematic configuration of the unauthorized access detection countermeasure system according to Embodiment 2 of the present invention.

図9において、インターネットなどのネットワークには、エンド機器やルータ901が接続される。エンド機器やルータ901は、エンド機器やルータ901からネットワークへデータを送信、ネットワークからエンド機器やルータ901がデータを受信するためのデータ送受信部902、不正アクセスを検知し、その後の対処方法を機器アプリケーション908に提供、実施する不正アクセス検知・対策部903、機器アプリケーション908で構成される。不正アクセス検知・対策部903は、不正アクセスが発見された後の適切な対処方法を不正アクセスごとに作成し、不正アクセスの特徴を示す攻撃パターンを示すシグネチャとを対にした対処法付きシグネチャを作成する対処法付きシグネチャ作成部904と、対処法付きシグネチャ作成部904で作成された対処法付きシグネチャを管理し、必要に応じてシステムに適した形式にカスタマイズも可能とする対処法付きシグネチャ修正・管理部905と、データ送受信部902を流れるパケットを抽出し、対処法付きシグネチャ修正・管理部905で管理される対処法付きシグネチャを用いて不正アクセスか否かを検査する不正アクセス検知部906と、不正アクセスが検知された際、シグネチャの内容をもとに不正アクセスに応じた対策方法を機器アプリケーション908へ提供し、対策方法を実施する不正アクセス対策部907から構成される。   In FIG. 9, an end device and a router 901 are connected to a network such as the Internet. The end device or router 901 transmits data from the end device or router 901 to the network, the data transmission / reception unit 902 for the end device or router 901 to receive data from the network, detects unauthorized access, and the countermeasures thereafter An unauthorized access detection / countermeasure unit 903 and a device application 908 are provided and implemented to the application 908. The unauthorized access detection / countermeasure unit 903 creates an appropriate countermeasure for each unauthorized access after the unauthorized access is discovered, and creates a signature with a countermeasure that is paired with a signature indicating an attack pattern indicating the characteristics of unauthorized access. A signature creation unit 904 with a countermeasure to be created and a signature modification with a countermeasure that manages the signature with a countermeasure created by the signature creation unit 904 with a countermeasure and can be customized to a format suitable for the system as necessary. A management unit 905 and an unauthorized access detection unit 906 that extracts packets flowing through the data transmission / reception unit 902 and inspects whether or not unauthorized access is performed using a signature with a countermeasure managed by the signature correction / management unit 905. And measures to respond to unauthorized access based on the signature contents when unauthorized access is detected Providing to the device application 908, and a countermeasures against unauthorized access unit 907 to implement countermeasures.

実施の形態2は、図1の実施の形態1において、対処法付きシグネチャ提供サーバ101で行う対処法付きシグネチャの作成を、各エンド機器やルータ901の不正アクセス検知・対策部903における対処法付きシグネチャ作成部904が行うこととしたものである。対処法付きシグネチャ作成部904で作成された対処法付きシグネチャは、対処法付きシグネチャ修正・管理部905で管理される。以降、実施の形態2の全ての動作に関しては、実施の形態1における対処法付きシグネチャ提供サーバ101を対処法付きシグネチャ作成部904に置き換えることで、実施の形態1の記載方法と同様となる。   In the second embodiment, in the first embodiment of FIG. 1, a signature with a countermeasure performed by the signature providing server with a countermeasure 101 is created with a countermeasure in the unauthorized access detection / countermeasure unit 903 of each end device or router 901. This is what the signature creation unit 904 performs. The signature with a countermeasure created by the signature creation section with a countermeasure 904 is managed by a signature correction / management section 905 with a countermeasure. Thereafter, all operations in the second embodiment are the same as those described in the first embodiment by replacing the signature providing server 101 with a countermeasure in the first embodiment with a signature creation unit 904 with a countermeasure.

本発明の不正アクセス検出システムは、不正アクセスに使われる攻撃パターンと、不正アクセスが検知された後の適切な対処方法をシグネチャとして記録しておき、不正アクセス検知時に、管理者に対処方法を提供することで、不正アクセスを検知するたびに管理者が判断してその後の対策を立てる必要無く、早急に不正アクセスに対応することができるため、管理者が家庭内の一般ユーザである場合など、ネットワークセキュリティに関する知識が不足している場合や、管理者の手間を省いて迅速に不正アクセスに対応する必要がある場合に利用できる。   The unauthorized access detection system of the present invention records an attack pattern used for unauthorized access and an appropriate countermeasure after the unauthorized access is detected as a signature, and provides a countermeasure to the administrator when unauthorized access is detected. By doing so, it is possible to respond to unauthorized access promptly without the need for the administrator to determine and take subsequent measures each time unauthorized access is detected, such as when the administrator is a general user at home, etc. It can be used when there is a lack of knowledge about network security, or when it is necessary to deal with unauthorized access quickly without the need for an administrator.

本発明の実施の形態1に係る不正アクセス検知システムの概要構成を示すブロック図1 is a block diagram showing a schematic configuration of an unauthorized access detection system according to Embodiment 1 of the present invention. 対処法付きシグネチャの一例を示す図Diagram showing an example of a signature with a countermeasure 対処方法の一例を示す図Diagram showing an example of how to deal with 対処法付きシグネチャ管理サーバから受信した対処法付きシグネチャを対処法付きシグネチャ修正・管理部が修正、管理する際の処理を示すフローチャートFlowchart showing processing when a signature with countermeasure is received from the signature management server with countermeasure and the signature correction / management unit with countermeasure corrects and manages the signature. データ送受信部がインターネットから、あるいは、エンド機器やルータからパケットを受信した際の処理を示すフローチャートFlow chart showing processing when the data transmitting / receiving unit receives a packet from the Internet or from an end device or router 遮断状況一覧の一例を示す図A diagram showing an example of the blocking status list 機器アプリケーションが新たにサービスを開始したい場合に関して示したフローチャートFlowchart showing when a device application wants to start a new service 既検知された不正アクセスが適切に対処されているか否かを確認する際のフローチャートFlowchart for confirming whether or not unauthorized access that has already been detected is being dealt with appropriately 本発明の実施の形態2に係る不正アクセス検知システムの概要構成を示すブロック図The block diagram which shows schematic structure of the unauthorized access detection system which concerns on Embodiment 2 of this invention.

符号の説明Explanation of symbols

101 対処法付きシグネチャ提供サーバ
102 エンド機器やルータ
103 データ送受信部
104 不正アクセス検知・対策部
105 対処法付きシグネチャ修正・管理部
106 不正アクセス検知部
107 不正アクセス対策部
108 機器アプリケーション
901 エンド機器やルータ
902 データ送受信部
903 不正アクセス検知・対策部
904 対処法付きシグネチャ作成部
905 対処法付きシグネチャ修正・管理部
906 不正アクセス検知部
907 不正アクセス対策部
908 機器アプリケーション DESCRIPTION OF SYMBOLS 101 Signature providing server with countermeasure 102 End device and router 103 Data transmission / reception unit 104 Unauthorized access detection / measurement unit 105 Signature correction / management unit with countermeasure 106 Unauthorized access detection unit 107 Unauthorized access countermeasure unit 108 Device application 901 End device and router 902 Data transmission / reception unit 903 Unauthorized access detection / countermeasure unit 904 Signature creation unit with countermeasure 905 Signature modification / management unit with countermeasure 906 Unauthorized access detection unit 907 Unauthorized access countermeasure unit 908 Device application

Claims (6)

不正アクセスの特徴となる攻撃パターンを示すシグネチャに基づいて、ネットワークを流れるパケットから不正アクセスを検出する不正アクセス検知システムであって、
不正アクセスが検知された後の適切な対処方法を作成し、前記シグネチャをそれぞれ対応付けて、対処法付きシグネチャを作成する対処法付きシグネチャ提供サーバと、
不正アクセス検知・対策部は、
前記対処法付きシグネチャ提供サーバから提供される前記対処法付きシグネチャを、システムの必要に応じて修正し、管理する対処法付きシグネチャ修正・管理部と、
前記ネットワークを流れるパケットを監視し、前記対処法付きシグネチャ修正・管理部により管理された前記対処法付きシグネチャと比較し、不正アクセスであるか否かを判定する不正アクセス検知部と、
不正アクセスが検知された際、前記対処法付きシグネチャから前記不正アクセスに対応する対処方法を抽出し、機器アプリケーションに提供する不正アクセス対策部とを備えることを特徴とする不正アクセス検知システム。 An unauthorized access detection system that detects unauthorized access from a packet flowing through a network based on a signature indicating an attack pattern that is characteristic of unauthorized access,
An appropriate coping method after an unauthorized access is detected, a signature providing server with a coping method for creating a coping scheme with a countermeasure by associating the signatures with each other,
The unauthorized access detection and countermeasure department
A signature correcting / managing unit with a countermeasure for correcting and managing the signature with a countermeasure provided from the signature providing server with a countermeasure according to the needs of the system;
An unauthorized access detection unit that monitors packets flowing through the network, compares the signature with a countermeasure managed by the signature correction / management unit with a countermeasure, and determines whether the access is unauthorized;
An unauthorized access detection system comprising: an unauthorized access countermeasure unit that extracts a countermeasure corresponding to the unauthorized access from the signature with the countermeasure and detects the unauthorized access and provides the device application with the countermeasure. 前記対処法付きシグネチャ提供サーバから前記対処法付きシグネチャを受信した際、前記機器アプリケーションに対して、修正が必要であるか否かを問い合わせ、前記機器アプリケーションの判断により必要であれば前記機器アプリケーションの要求に基づいて修正し、管理する対処法付きシグネチャ修正・管理部を有する請求項1記載の不正アクセス検知システム。 When the signature with the countermeasure is received from the signature providing server with the countermeasure, the device application is inquired about whether or not the correction is necessary. The unauthorized access detection system according to claim 1, further comprising: a signature correction / management unit with a countermeasure for correcting and managing based on a request. 不正アクセスが検知された際、前記対処法付きシグネチャから前記不正アクセスに対応する対処方法を前記機器アプリケーションへ提供した後、一定時間経過しても前記機器アプリケーションから前記対処方法の実行を依頼されていない場合、自らが前記対処方法を実行する不正アクセス対策部を有する請求項1記載の不正アクセス検知システム。 When an unauthorized access is detected, a response method corresponding to the unauthorized access is provided from the signature with the countermeasure to the device application, and the device application is requested to execute the countermeasure after a certain period of time. The unauthorized access detection system according to claim 1, further comprising an unauthorized access countermeasure unit that executes the countermeasure when it does not exist. 新たなサービスを開始する際、既に対処方法の施された不正アクセスから、前記新たなサービスを開始するにあたって問題が生じる対処方法を検出し、問題のある対処方法が施されている場合は、対処方法一覧を機器アプリケーションに提供し、場合によっては前記問題が生じる対処方法を解除する不正アクセス対策部を有する請求項1記載の不正アクセス検知システム。 When a new service is started, a countermeasure that causes a problem in starting the new service is detected from unauthorized access that has already been dealt with. If a problematic countermeasure is taken, The unauthorized access detection system according to claim 1, further comprising an unauthorized access countermeasure unit that provides a device list to a device application and cancels a countermeasure that causes the problem in some cases. 既に幾つかの不正アクセスが検知され、対処方法が施されている状態において、一定時間ごとに、前記不正アクセスに対応する対処方法が適切であるか否かを検査し、適切でなくなった場合は、前記不正アクセスの内容と、症状を前記対処法付きシグネチャ提供サーバに送信する不正アクセス対策部を有する請求項1に記載の不正アクセス検知システム。 In a state where some unauthorized access has already been detected and countermeasures are being taken, it is checked at regular intervals whether or not the countermeasures corresponding to the unauthorized access are appropriate. The unauthorized access detection system according to claim 1, further comprising an unauthorized access countermeasure unit that transmits contents and symptoms of the unauthorized access to the signature providing server with a countermeasure. 不正アクセスの特徴となる攻撃パターンを示すシグネチャに基づいて、ネットワークを流れるパケットから不正アクセスを検出する不正アクセス検知システムであって、
不正アクセス検知・対策部は、
不正アクセスが検知された後の適切な対処方法を作成し、前記シグネチャをそれぞれ対応付けて、対処法付きシグネチャを作成する対処法付きシグネチャ作成部と、
前記対処法付きシグネチャ作成部から提供される前記対処法付きシグネチャをシステムの必要に応じて修正し、管理する対処法付きシグネチャ修正・管理部と、
前記ネットワークを流れるパケットを監視し、前記対処法付きシグネチャ修正・管理部により管理された前記対処法付きシグネチャと比較し、不正アクセスであるか否かを判定する不正アクセス検知部と、
不正アクセスが検知された際、前記対処法付きシグネチャから前記不正アクセスに対応する対処方法を抽出し、機器アプリケーションに提供する不正アクセス対策部と備えることを特徴とする不正アクセス検知システム。 An unauthorized access detection system that detects unauthorized access from a packet flowing through a network based on a signature indicating an attack pattern that is characteristic of unauthorized access,
The unauthorized access detection and countermeasure department
An appropriate coping method after unauthorized access is detected, a signature creating unit with a coping method for creating a coping method with a countermeasure by associating the signatures with each other,
A signature correction / management unit with a countermeasure for correcting and managing the signature with a countermeasure provided from the signature creation unit with a countermeasure according to the needs of the system;
An unauthorized access detection unit that monitors packets flowing through the network, compares the signature with a countermeasure managed by the signature correction / management unit with a countermeasure, and determines whether the access is unauthorized;
An unauthorized access detection system comprising: an unauthorized access countermeasure unit that extracts a countermeasure corresponding to the unauthorized access from the signature with the countermeasure and detects the unauthorized access and provides the device application with the countermeasure.
JP2005055538A 2005-03-01 2005-03-01 Unauthorized access detection system Pending JP2006243878A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005055538A JP2006243878A (en) 2005-03-01 2005-03-01 Unauthorized access detection system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005055538A JP2006243878A (en) 2005-03-01 2005-03-01 Unauthorized access detection system

Publications (1)

Publication Number Publication Date
JP2006243878A true JP2006243878A (en) 2006-09-14

Family

ID=37050259

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005055538A Pending JP2006243878A (en) 2005-03-01 2005-03-01 Unauthorized access detection system

Country Status (1)

Country Link
JP (1) JP2006243878A (en)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008084729A1 (en) * 2006-12-28 2008-07-17 Nec Corporation Application linking virus and dns attacking sender detecting device, its method, and program
JP2009232110A (en) * 2008-03-21 2009-10-08 Fujitsu Ltd Communication monitor device, communication monitor program, and communication monitor method
JP2009232111A (en) * 2008-03-21 2009-10-08 Fujitsu Ltd Communication monitor device, communication monitor program, and communication monitor method
JP2010124158A (en) * 2008-11-18 2010-06-03 Nec Engineering Ltd Ip satellite communication system and method of protection against fraudulent packet introduction
WO2012077308A1 (en) * 2010-12-06 2012-06-14 Nec Corporation Communication path verification system, path verification device, communication path verification method, and path verification program
US8331251B2 (en) 2007-01-12 2012-12-11 Yokogawa Electric Corporation Unauthorized access information collection system
JP2013186643A (en) * 2012-03-07 2013-09-19 Fujitsu Ltd Distribution device, distribution processing method and program, information processing device, information processing method and program
JP2013240114A (en) * 2007-04-20 2013-11-28 Neuraliq Inc System and method for analyzing unauthorized intrusion into computer network
JP2015225512A (en) * 2014-05-28 2015-12-14 株式会社日立製作所 Malware feature extraction device, malware feature extraction system, malware feature method, and countermeasure instruction device
JP2016081348A (en) * 2014-10-17 2016-05-16 エヌ・ティ・ティ・コミュニケーションズ株式会社 Information processing system, information processing apparatus, control server, generation server, operation control method, and operation control program
JP2016099857A (en) * 2014-11-25 2016-05-30 株式会社日立システムズ Fraudulent program handling system and fraudulent program handling method
CN115051867A (en) * 2022-06-22 2022-09-13 深信服科技股份有限公司 Detection method and device for illegal external connection behaviors, electronic equipment and medium

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8874723B2 (en) 2006-12-28 2014-10-28 Nec Corporation Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof
WO2008084729A1 (en) * 2006-12-28 2008-07-17 Nec Corporation Application linking virus and dns attacking sender detecting device, its method, and program
US8331251B2 (en) 2007-01-12 2012-12-11 Yokogawa Electric Corporation Unauthorized access information collection system
JP2013240114A (en) * 2007-04-20 2013-11-28 Neuraliq Inc System and method for analyzing unauthorized intrusion into computer network
JP2009232110A (en) * 2008-03-21 2009-10-08 Fujitsu Ltd Communication monitor device, communication monitor program, and communication monitor method
JP2009232111A (en) * 2008-03-21 2009-10-08 Fujitsu Ltd Communication monitor device, communication monitor program, and communication monitor method
JP2010124158A (en) * 2008-11-18 2010-06-03 Nec Engineering Ltd Ip satellite communication system and method of protection against fraudulent packet introduction
WO2012077308A1 (en) * 2010-12-06 2012-06-14 Nec Corporation Communication path verification system, path verification device, communication path verification method, and path verification program
JP2013186643A (en) * 2012-03-07 2013-09-19 Fujitsu Ltd Distribution device, distribution processing method and program, information processing device, information processing method and program
JP2015225512A (en) * 2014-05-28 2015-12-14 株式会社日立製作所 Malware feature extraction device, malware feature extraction system, malware feature method, and countermeasure instruction device
JP2016081348A (en) * 2014-10-17 2016-05-16 エヌ・ティ・ティ・コミュニケーションズ株式会社 Information processing system, information processing apparatus, control server, generation server, operation control method, and operation control program
JP2016099857A (en) * 2014-11-25 2016-05-30 株式会社日立システムズ Fraudulent program handling system and fraudulent program handling method
CN115051867A (en) * 2022-06-22 2022-09-13 深信服科技股份有限公司 Detection method and device for illegal external connection behaviors, electronic equipment and medium
CN115051867B (en) * 2022-06-22 2024-04-09 深信服科技股份有限公司 Illegal external connection behavior detection method and device, electronic equipment and medium

Similar Documents

Publication Publication Date Title
JP2006243878A (en) Unauthorized access detection system
JP4480422B2 (en) Unauthorized access prevention method, apparatus, system, and program
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
EP1895738B1 (en) Intelligent network interface controller
CA2533853C (en) Method and system for detecting unauthorised use of a communication network
EP1817685B1 (en) Intrusion detection in a data center environment
JP4088082B2 (en) Apparatus and program for preventing infection by unknown computer virus
US20060143709A1 (en) Network intrusion prevention
JP2006119754A (en) Network-type virus activity detection program, processing method and system
JP6086423B2 (en) Unauthorized communication detection method by collating observation information of multiple sensors
JP2007521718A (en) System and method for protecting network quality of service against security breach detection
US20170070518A1 (en) Advanced persistent threat identification
JP2009504100A (en) Method of defending against DoS attack by target victim self-identification and control in IP network
JP2004302538A (en) Network security system and network security management method
US20110023088A1 (en) Flow-based dynamic access control system and method
KR101380015B1 (en) Collaborative Protection Method and Apparatus for Distributed Denial of Service
JP4437797B2 (en) System and method for preventing unauthorized connection to network and program thereof
JP4437107B2 (en) Computer system
WO2005117370A2 (en) Using address ranges to detect malicious activity
JP4694578B2 (en) Method and system for protecting a computer network from packet flood
CN112671781A (en) RASP-based firewall system
Singh Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis
JP4014599B2 (en) Source address spoofed packet detection device, source address spoofed packet detection method, source address spoofed packet detection program
JP2008011008A (en) Unauthorized access prevention system
JP2008141352A (en) Network security system