JP2010033100A - Communication device and detection device of intrusion to network - Google Patents
Communication device and detection device of intrusion to network Download PDFInfo
- Publication number
- JP2010033100A JP2010033100A JP2006290906A JP2006290906A JP2010033100A JP 2010033100 A JP2010033100 A JP 2010033100A JP 2006290906 A JP2006290906 A JP 2006290906A JP 2006290906 A JP2006290906 A JP 2006290906A JP 2010033100 A JP2010033100 A JP 2010033100A
- Authority
- JP
- Japan
- Prior art keywords
- detection rule
- intrusion detection
- communication
- unauthorized intrusion
- detecting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、ネットワーク不正侵入検知プログラムおよびネットワーク不正侵入検知プログラムを有する装置に関し、特に、ネットワークに接続する装置の内部状態またはネットワーク上の端末などの状態に応じて不正侵入検知プログラムの動作を最適化することが可能な装置に関するものである。 The present invention relates to a network intrusion detection program and a device having a network intrusion detection program, and in particular, optimizes the operation of the intrusion detection program according to the internal state of a device connected to the network or the state of a terminal on the network. The present invention relates to an apparatus capable of performing the above.
Webページ改ざんやDos攻撃(サービス不能攻撃)など、システムへの不正侵入の最初のステップとしてのネットワーク攻撃は増加の一途を辿っている。これらの攻撃は従来のファイアウォールだけでは防御が困難である。 Network attacks as the first step of unauthorized intrusion into the system, such as Web page alteration and Dos attack (denial of service attack), have been increasing. These attacks are difficult to defend with conventional firewalls alone.
このような攻撃に対する対策として、ネットワーク異常を検知しネットワーク管理者に通知するIDS(ネットワーク不正侵入検知装置)がある。侵入口を探る偵察行動や実際の侵入の試みは日常茶飯事となり、ハッキングも増加している現在、IDSはネットワーク管理上は不可欠なものになってきている。 As a countermeasure against such an attack, there is an IDS (Network Intrusion Detection Device) that detects a network abnormality and notifies a network administrator. While reconnaissance behavior and actual invasion attempts to find intrusions have become commonplace and hacking has increased, IDS has become indispensable for network management.
IDSは、通信パケットを不正侵入を検出するためのパターンと照合することによりネットワーク異常を検知するという仕組みとなっている。このパターンを、以後不正侵入検知ルールと呼ぶ。ネットワーク異常が増大すると、不正侵入検知ルールとのマッチングの処理負荷が増大し、装置上のプロセッサ、メモリ資源などハードウェアリソースを大幅に消費するという問題点がある。 IDS has a mechanism of detecting a network abnormality by comparing a communication packet with a pattern for detecting unauthorized intrusion. This pattern is hereinafter referred to as an unauthorized intrusion detection rule. When the network abnormality increases, the processing load for matching with the intrusion detection rule increases, and there is a problem that hardware resources such as processor and memory resources on the apparatus are significantly consumed.
また、サーバ装置などに組み込まれるIDSであっても将来マッチングさせる不正侵入検知ルールが増加すると、想定されたプロセッサ、メモリ資源を超え処理負荷が増大する可能性がある。このため、特に携帯端末、ネットワーク家電機器、センサーデバイスのようなプロセッサ性能、メモリ搭載量などのハードウェアリソースが限られている装置にIDSを搭載する場合、IDSによる処理プロセッサ負荷増大、メモリ消費量増大により、本来機器が行うべき処理性能を悪化させてしまう可能性がある。 Even if an IDS is incorporated in a server device or the like, if the number of unauthorized intrusion detection rules to be matched in the future increases, the processing load may exceed the assumed processor and memory resources. For this reason, especially when an IDS is mounted on a device with limited hardware resources such as processor performance and memory load, such as mobile terminals, network home appliances, and sensor devices, an increase in processor load due to IDS and memory consumption Due to the increase, there is a possibility of deteriorating the processing performance that should be originally performed by the device.
したがって、発生する可能性が低い、あるいは装置、ネットワークにとって害のない不正侵入検知ルールを削除して数を削減し、IDSによる性能低下を最小限にとどめるのが望ましい。 Therefore, it is desirable to reduce the number of unauthorized intrusion detection rules that are unlikely to occur or harm the device or the network to reduce the number and minimize performance degradation due to IDS.
この課題を解決するために本発明より先に出願された技術文献として、特許文献1に記載されたアクセスログに基づいた不正侵入検知ルールの自動生成に関するものがある。
As a technical document filed prior to the present invention in order to solve this problem, there is a technique related to automatic generation of an intrusion detection rule based on an access log described in
この特許文献1は、端末へのネットワーク不正侵入を検知し不正アクセスがあった場合、そのアクセスに対応する異常パケットの検知処理を自動的に追加する端末装置である。このため、事前に多数の不正侵入検知ルールを装置に設定しておく必要がない。
This
また、ネットワークにとって害のない不正侵入検知ルールを削除して数を削減し、IDSによる性能低下を最小限にするための技術文献として、特許文献2に記載されたホスト構成自動検知型IDSシステムがある。
In addition, the host configuration automatic detection type IDS system described in
この特許文献2は、監視対象ホストの構成により、不正侵入検知ルールを削減する機能を持っている。
This
上述の特許文献1に記載の技術では、不正アクセスがあった場合に改めて異常パケットの検知処理を追加するので、初回の不正アクセスに対しては効果がないという問題点がある。
The technique described in
したがって、ネットワーク管理者や端末利用者は不正アクセスの痕跡を知ることができず、侵入された端末を踏み台に新たなセキュリティ問題が発生する危険性がある。 Therefore, the network manager and terminal user cannot know the trace of unauthorized access, and there is a risk that a new security problem will occur using the intruded terminal as a stepping stone.
また、特許文献2に記載の技術では、構成スキャナがスキャンしたデータからIDSのルールセットへの変換する方式については言及されていない。本発明では、このようなセキュリティリスクを回避しつつ、かつIDSによる性能低下を最小限にする方法を提供する。
In the technique described in
従来の第1の問題点は、携帯端末、ネットワーク家電機器、センサーデバイスのようなプロセッサ性能、メモリ搭載量などのハードウェアリソースに制約がある装置においては、IDSの処理により装置の性能が大幅に低下してしまう可能性があるという点である。また、IDSの処理はハードウェアリソースが十分な装置でも負荷処理を大幅に消費するのでネットワーク不正アクセスの種類が増加すると処理しきれなくなる可能性がある。 The first conventional problem is that the performance of the device is greatly improved by the IDS processing in devices such as mobile terminals, network home appliances, and sensor devices that have limited hardware resources such as processor performance and memory capacity. It is a possibility that it may fall. Further, since the IDS processing consumes a large amount of load processing even in an apparatus with sufficient hardware resources, there is a possibility that the processing cannot be completed if the types of network unauthorized access increase.
その理由は、不正侵入検知ルールを多数設定すると、不正侵入検知処理がプロセッサやメモリのリソースを大幅に消費し、本来行いたい処理が行えなくなる可能性があるためである。また、処理効率、応答時間、通信効率の低下も起こる。 The reason is that if a large number of unauthorized intrusion detection rules are set, the unauthorized intrusion detection processing may consume a large amount of processor and memory resources, and the desired processing may not be performed. In addition, processing efficiency, response time, and communication efficiency are reduced.
第2の問題点は、第1の問題点を解決するために不正侵入検知ルールを削減しすぎると、セキュリティリスクが増大するという点である。 The second problem is that if the number of unauthorized intrusion detection rules is reduced too much in order to solve the first problem, the security risk increases.
その理由は、事前に不正侵入検知ルールを設定しておかなければ、この不正侵入検知ルールに対応する最初の攻撃がきたときにこれを防御できないためである。
[発明の目的]
本発明の目的は、通信要求や、アプリケーション状態など端末内部の状態、またはネットワーク上の端末の状態によって不正侵入検知ルールを最適化することでIDSによる処理性能低下を最小限にとどめることである。
The reason is that if an intrusion detection rule is not set in advance, it cannot be prevented when the first attack corresponding to the intrusion detection rule comes.
[Object of invention]
An object of the present invention is to minimize the degradation of processing performance due to IDS by optimizing the intrusion detection rule according to the communication request, the internal state of the terminal such as the application state, or the state of the terminal on the network.
また、従来のアプリケーションに改造を行うと開発コストが掛かるので、従来のアプリケーションは改造を行わずに上記動作を行うことができる手段を提供する。 Further, since the development cost is increased if the conventional application is modified, the conventional application provides means for performing the above operation without modifying the application.
上述の目的を達成するために、本発明による装置は、アプリケーションプログラムの通信要求処理、アプリケーションの起動・終了、外部端末の状態などに応じて、不正侵入検知ルールを装置動作時に変更する機構を設ける。この機構を実現するために端末の内部状態を検出し必要な不正侵入検知ルールを自動的に決定する機構と、必要な不正侵入検知ルールのみ不正侵入検知ルールのマッチング対象とする機構を有することを特徴とするものである。 In order to achieve the above-described object, the apparatus according to the present invention is provided with a mechanism for changing the intrusion detection rule during the operation of the apparatus according to the communication request processing of the application program, the activation / termination of the application, the state of the external terminal, and the like. . To realize this mechanism, it has a mechanism that automatically detects the necessary intrusion detection rules by detecting the internal state of the terminal, and a mechanism for matching only the necessary intrusion detection rules with the intrusion detection rules. It is a feature.
本発明は、必要な不正侵入検知ルールのみを有効化することによって、ネットワークおよび端末の不正侵入検知処理を行う通信装置のハードウェアリソース(プロセッサ、メモリなど)を有効利用する。この結果、本発明によれば、例えば携帯端末などのハードウェアリソースが制限された装置でも不正侵入検知処理を実行することができるという効果を奏する。 The present invention makes effective use of hardware resources (processor, memory, etc.) of a communication apparatus that performs unauthorized intrusion detection processing of a network and a terminal by enabling only necessary unauthorized intrusion detection rules. As a result, according to the present invention, it is possible to execute the unauthorized intrusion detection process even in an apparatus with limited hardware resources such as a portable terminal.
また、本発明によれば、通信時時の不要な不正侵入検知ルールとの比較処理を行う必要がなくなるので、通信効率向上の効果がある。 Further, according to the present invention, it is not necessary to perform a comparison process with an unnecessary intrusion detection rule at the time of communication, so that there is an effect of improving communication efficiency.
以下、本発明の実施の形態について図面を参照して詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
図1を参照しながら、本発明の装置について説明する。 The apparatus of the present invention will be described with reference to FIG.
図1は、本発明を実施するための第一の実施の形態を示すブロック図である。 FIG. 1 is a block diagram showing a first embodiment for carrying out the present invention.
端末1の内部構成を詳細に記述したものが、図1である。
A detailed description of the internal configuration of the
端末1は、アプリケーション11と、ソケット12と、通信要求検出部13と、ポート・検知ルールデータベース14と、検知ルール構成変更部15と、検知ルールデータベース16と、IDS17とから構成される。
The
アプリケーション11は、携帯端末1に内蔵されるアプリケーションである。
The
ソケット12は、一般的なOSでよく使われるソケットライブラリなどの通信ライブラリである。ソケット12は、通常の通信処理に加え、待ち受けまたは接続要求を受け付けたときに使用するポート番号を通信要求検出部13に通知する。
The
通信要求検出部13は、ソケット12からポート番号を受け取り、ポート・検知ルールデータベース14を参照して、受け取ったポート番号に対応する不正侵入検知ルール番号に変換する。また、不正侵入検知ルール番号を検知ルール構成変更部15に通知する。
The communication
ポート・検知ルールデータベース14は、ポート番号と、対応不正侵入検知ルール番号との変換を行うデータベースである。
The port /
検知ルール構成変更部15は、不正侵入検知ルール番号を受け取り、不正侵入検知ルールの有効/無効化を検知ルールデータベース16に指示する。また、IDS17に不正侵入検知ルールの変更を指示する。
The detection rule
検知ルールデータベース16は、不正侵入検知ルール番号と、対応する不正侵入検知ルールとの変換を行う、また、不正侵入検知ルールが有効/無効かのフラグを保存しており、外部から指示により不正侵入検知ルール有効/無効フラグの変更が行える。
The
IDS17は、不正侵入検知ルールの変更指示を受け取り、不正侵入検知ルールの有効/無効化を行う。 The IDS 17 receives an instruction for changing the intrusion detection rule, and validates / invalidates the intrusion detection rule.
次に、図1、図2、図3、図4を参照して本実施の形態の全体の動作について詳細に説明する。 Next, the overall operation of the present embodiment will be described in detail with reference to FIGS. 1, 2, 3, and 4. FIG.
図2は、ポート番号から、検知ルール識別子に変換を行うポート・検知ルールデータベース14の変換表の一例である。
FIG. 2 is an example of a conversion table of the port /
図3は、検知ルール識別子から、検知ルールへの変換と、検知ルールの有効/無効を判定する検知ルールデータベース16の一例である。
FIG. 3 shows an example of the
図4は、本発明の第一の実施の形態においてポート番号の待ち受けからIDS構成変更が行われるまでの動作シーケンスである。 FIG. 4 is an operation sequence from the standby of the port number until the IDS configuration change is performed in the first embodiment of the present invention.
アプリケーション11が、特定のポート番号で待ち受けを行うとき、ソケット12の待ち受け開始・終了関数(たとえばPOSIXのaccept()、close()などの待ち受け関数)を呼び出す。ここでは、80番ポートで待ち受け開始・終了を行う場合を例にとって説明する(図4参照)。
When the
アプリケーション11は、待ち受けポート番号80を入力として、ソケット12を呼び出し、通信待ち受け開始・終了処理を依頼する(図4のステップa1)。
The
ソケット12は、入力として与えられたポート番号80を通信要求検出部13に通知する。また、不正侵入検知ルールの構成が変更されるまで通信待ち受け開始・終了の実行を行わず待機する(ステップa2)。
The
通信要求検出部13は、入力として与えられたポート番号80を入力としてポート・検知ルールデータベース14に不正侵入検知ルール番号の問い合わせを行う(ステップa3)。
The communication
ポート・検知ルールデータベース14は、ポート番号に対応する不正侵入検知ルール番号を返す。テーブルの内容が図2の例のものである場合、ポート・検知ルールデータベース14は、ポート番号80に対応する不正侵入検知ルール番号1、2を通信要求検出部13に返す(ステップa4)。
The port /
通信要求検出部13は、ポート・検知ルールデータベース14より返された不正侵入検知ルール番号(ここでは、1、2)を引数に検知ルール構成変更部15に不正侵入検知ルール変更の指示を行う(ステップa5)。
The communication
待ち受け開始の場合は、検知ルール構成変更部15は、不正侵入検知ルール番号1、2を有効化するように検知ルールデータベース16(図3参照)に指示を行う。
In the case of waiting start, the detection rule
また、待ち受け終了の場合は、検知ルール構成変更部15は、不正侵入検知ルール番号1、2を無効化するように検知ルールデータベース16に指示を行う(ステップa6)。
When the standby is completed, the detection rule
不正侵入検知ルールの構成変更が行われたので、検知ルール構成変更部15は、IDS17に不正侵入検知ルールの構成変更通知を送る(ステップa7)。
Since the configuration change of the unauthorized intrusion detection rule has been performed, the detection rule
IDS17は有効/無効フラグが有効になっている不正侵入検知ルールをロードする(ステップa8)。
The
検知ルール構成変更部15は、ソケット12に構成変更完了通知を送信する(ステップa9)。
The detection rule
ソケット12は、80番ポートでの待ち受け開始・終了処理を行う(ステップa10)。
The
続いて、発明を実施するための第二の実施の形態について図面を参照して詳細に説明する。 Next, a second embodiment for carrying out the invention will be described in detail with reference to the drawings.
図5は、本発明の第二の実施の形態を実施するためのブロック図である。 FIG. 5 is a block diagram for carrying out the second embodiment of the present invention.
図5に、本実施例の端末1の内部構成を記述する。
FIG. 5 describes the internal configuration of the
端末1は、アプリケーション11と、アプリケーション起動監視18と、アプリケーション・検知ルールデータベース19と、検知ルール構成変更部15と、検知ルールデータベース16と、IDS17とから構成される。
The
アプリケーション起動監視18は、アプリケーションの起動・終了を監視し、起動・終了したアプリケーションに対応する不正侵入検知ルールの識別子に変換する。また、不正侵入検知ルールの識別子を検知ルール構成変更部15に通知する。
The
アプリケーション・検知ルールデータベース19は、アプリケーションの識別子と、対応不正侵入検知ルールの変換を行うデータベースである。
The application /
検知ルール構成変更部15と、検知ルールデータベース16と、IDS17については、第一の実施の形態と同様のものを利用する。
About the detection rule
次に、図5、図6、図7を参照して本実施の形態の 全体の動作について詳細に説明する。 Next, the overall operation of the present embodiment will be described in detail with reference to FIG. 5, FIG. 6, and FIG.
図6は、アプリケーション識別子から、検知ルール識別子に変換を行うポート・検知ルールデータベース14の変換表の一例である。
FIG. 6 is an example of a conversion table of the port /
図7は、本発明の第二の実施の形態においてアプリケーションを起動した時にIDS構成変更が行われるまでの動作シーケンスである。 FIG. 7 is an operation sequence until an IDS configuration change is performed when an application is activated in the second embodiment of the present invention.
アプリケーション11が起動・終了されると、アプリケーション起動監視18は起動・終了したアプリケーションの識別子を取得する。ここでは、httpサーバアプリケーションを例にとって説明する(図7のステップb1)。
When the
アプリケーション起動監視18はアプリケーション識別子から不正侵入検知ルール識別子への変換を行うために、アプリケーション・検知ルールデータベース19にアプリケーション識別子を引数にして不正侵入検知ルール識別子の問い合わせを行う(ステップb2)。
In order to convert the application identifier into the intrusion detection rule identifier, the application activation monitor 18 inquires of the intrusion detection rule identifier to the application /
アプリケーション・検知ルールデータベース19は、アプリケーション識別子に対応する不正侵入検知ルールを返す。テーブルの内容が図6の場合アプリケーション・検知ルールデータベース19は、httpサーバアプリケーションに対応する不正侵入検知ルールの識別子1、2をアプリケーション起動監視18に返す(ステップb3)。
The application /
アプリケーション起動監視18は、アプリケーション・検知ルールデータベース19より返された不正侵入検知ルールの識別子(ここでは、1、2)を引数に検知ルール構成変更部15に不正侵入検知ルール変更の指示を行う(ステップb4)。
The
ステップa6からステップa8までは、上述の第一の実施の形態と同様の処理を行う。 From step a6 to step a8, the same processing as in the first embodiment described above is performed.
続いて、本発明の第三の実施の形態について図面を参照して詳細に説明する。 Next, a third embodiment of the present invention will be described in detail with reference to the drawings.
図8は、本発明の第三の実施の形態を実施するためのブロック図である。 FIG. 8 is a block diagram for carrying out the third embodiment of the present invention.
図8に、本実施例の端末1と端末2の内部構成を記述する。
FIG. 8 describes the internal configuration of the
端末1は、通信要求検出部1aと、ポート・検知ルールデータベース14と、検知ルール構成変更部15と、検知ルールデータベース16と、IDS17とから構成される。
The
端末2は、アプリケーション21と、ソケット22とから構成される。
The
通信要求検出部1aは、外部の端末から通信開始・完了要求の種類とポート番号を受け取り、ポート番号に対応する不正侵入検知ルール番号に変換する。また、不正侵入検知ルール番号を検知ルール構成変更部15に通知する。
The communication
アプリケーション21は、携帯端末に内蔵されるアプリケーションである。 The application 21 is an application built in the mobile terminal.
ソケット22は、一般的なOSでよく使われるソケットライブラリなどの通信ライブラリである。ソケット22は、通常の通信処理に加え、待ち受けまたは、接続要求を受け付けた時に使用するポート番号 を通信要求検出部1aに通知する。
The
端末1のポート・検知ルールデータベース14と、検知ルール構成変更部15と、検知ルールデータベース16と、IDS17は最良の形態と 同様のものを利用する。
The port /
次に、図8、図9を参照して本実施の形態の全体の動作について詳細に説明する。 Next, the overall operation of the present embodiment will be described in detail with reference to FIGS.
図9は、本発明の第三の実施の形態においてアプリケーションを起動した時にIDS構成変更が行われるまでの動作シーケンスである。 FIG. 9 is an operation sequence until an IDS configuration change is performed when an application is activated in the third embodiment of the present invention.
アプリケーション21は、待ち受けポート番号80を入力として、ソケット22を 呼び出し、通信待ち受け開始・終了処理を依頼する(図9のステップc1)。
The application 21 receives the
ソケット22は、入力として与えられたポート番号80と通信開始・完了要求の種類を通信要求検出部1aに通知する。また、不正侵入検知ルールの構成が変更されるまで通信待ち受け開始・終了の実行を行わず待機する(ステップc2)。
The
通信要求検出部1aは、入力として与えられたポート番号80を入力としてポート・検知ルールデータベース14に不正侵入検知ルール番号の問い合わせを行う(ステップc3)。
The communication
ポート・検知ルールデータベース14は、ポート番号に対応する不正侵入検知ルール番号を返す。テーブルの内容が図2の場合ポート・検知ルールデータベース14は、ポート番号80に対応する不正侵入検知ルール番号1、2を通信要求検出部13に返す(ステップc4)。
The port /
通信要求検出部13は、ポート・検知ルールデータベース14より返された不正侵入検知ルール番号(ここでは、1、2)を引数に検知ルール構成変更部15に不正侵入検知ルール変更の指示を行う(ステップc5)。
The communication
以後ステップa6から、ステップa8までは、上述の第一の実施の形態と同様の処理を行う。 Thereafter, from step a6 to step a8, the same processing as in the first embodiment is performed.
検知ルール構成変更部15は、ソケット22に構成変更完了通知を送信する(ステップc6)。
The detection rule
ソケット22は、80番ポートでの待ち受け開始・終了処理を行う(ステップc7)。
The
次に、図10、図11、図12を参照して本発明の第四の実施の形態の全体の動作について詳細に説明する。 Next, the overall operation of the fourth exemplary embodiment of the present invention will be described in detail with reference to FIG. 10, FIG. 11, and FIG.
図10は、本発明の第四の実施の形態を実施するためのブロック図である。 FIG. 10 is a block diagram for carrying out the fourth embodiment of the present invention.
図11は、プロトコル識別子から、検知ルール識別子に変換を行うプロトコル・検知ルールデータベース1eの変換表の一例である。 FIG. 11 is an example of a conversion table of the protocol / detection rule database 1e for converting protocol identifiers to detection rule identifiers.
図12は、本発明の第四の実施の形態においてアプリケーションを起動した時にIDS構成変更が行われるまでの動作シーケンスである。 FIG. 12 is an operation sequence until an IDS configuration change is performed when an application is activated in the fourth embodiment of the present invention.
この第四の実施の形態は、上述の第一の実施の形態を改良したもので、ポート番号が動的に変化し、音声、映像プロトコルなど様々なデータ形式に対応するようにRTPなどのプロトコルで実施するための実施形態である。 This fourth embodiment is an improvement of the first embodiment described above. The port number dynamically changes, and protocols such as RTP are used so as to correspond to various data formats such as audio and video protocols. It is embodiment for implementing with.
なお、ステップa5以降の動作は上述の第一の実施の形態と同様の物なので、記述を省略する。 Since the operations after step a5 are the same as those in the first embodiment described above, description thereof is omitted.
電話アプリケーション1bは、音声や映像などの通信を開始するために、通信許可データ(たとえばSIPプロトコルの200OK)の送信の指示をソケット1cに行う。通信許可データ(たとえばSDP)には、利用する音声や映像プロトコルのタイプや待ち受けポートが入っている(ステップd1)。
The
ソケット1cは、電話アプリケーション1bにより送信指示を受け付け、SDPを解析し、音声や映像プロトコル識別子と、ポート番号を取り出す(ステップd2)。
The
ソケット1cは、ステップd2の解析により取り出されたプロトコル識別子と、ポート番号を通信要求検出部1dに引き渡す(ステップd3)。
The
通信要求検出部1dは、ソケット1cより引き渡されたプロトコル識別子から検知ルールに変換するために、プロトコル識別子をキーにしてプロトコル・検知ルールデータベース1e(図11参照)の検索を行う(ステップd4)。
The communication
プロトコル・検知ルールデータベース1eは、プロトコル識別子に対応した検知ルール番号を通信要求検出部1dに返却する(ステップd5)。
The protocol / detection rule database 1e returns the detection rule number corresponding to the protocol identifier to the communication
本発明の活用例として、コンピュータ、携帯情報端末、携帯電話などの入力操作部を必要とする機器がある。 Examples of applications of the present invention include devices that require an input operation unit such as a computer, a portable information terminal, and a mobile phone.
本発明にかかるネットワーク不正侵入検知装置は、通信装置に適用可能である。 The network unauthorized intrusion detection device according to the present invention can be applied to a communication device.
1 端末装置
11 アプリケーション
12 ソケット
13 通信要求検出部
14 ポート・検知ルールデータベース
15 検知ルール構成変更部
16 検知ルールデータベース
17 IDS
DESCRIPTION OF
Claims (22)
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006290906A JP2010033100A (en) | 2006-10-26 | 2006-10-26 | Communication device and detection device of intrusion to network |
| PCT/JP2007/070254 WO2008050651A1 (en) | 2006-10-26 | 2007-10-17 | Communication device, communication method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006290906A JP2010033100A (en) | 2006-10-26 | 2006-10-26 | Communication device and detection device of intrusion to network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010033100A true JP2010033100A (en) | 2010-02-12 |
Family
ID=39324450
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006290906A Withdrawn JP2010033100A (en) | 2006-10-26 | 2006-10-26 | Communication device and detection device of intrusion to network |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP2010033100A (en) |
| WO (1) | WO2008050651A1 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013011948A (en) * | 2011-06-28 | 2013-01-17 | Nippon Telegr & Teleph Corp <Ntt> | Malware-infected terminal detection apparatus, malware-infected terminal detection method and malware-infected terminal detection program |
| WO2023058212A1 (en) * | 2021-10-08 | 2023-04-13 | 三菱電機株式会社 | Control device |
| US11991206B2 (en) | 2018-05-22 | 2024-05-21 | Mitsubishi Electric Corporation | Installation location selection assistance apparatus, installation location selection assistance method, and computer readable medium |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2009139170A1 (en) * | 2008-05-16 | 2011-09-15 | パナソニック株式会社 | Attack packet detection device, attack packet detection method, video reception device, content recording device, and IP communication device |
| TWI453624B (en) | 2010-11-09 | 2014-09-21 | Inst Information Industry | Information security protection host |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4649080B2 (en) * | 2001-09-17 | 2011-03-09 | 株式会社東芝 | Network intrusion detection system, apparatus and program |
-
2006
- 2006-10-26 JP JP2006290906A patent/JP2010033100A/en not_active Withdrawn
-
2007
- 2007-10-17 WO PCT/JP2007/070254 patent/WO2008050651A1/en active Application Filing
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013011948A (en) * | 2011-06-28 | 2013-01-17 | Nippon Telegr & Teleph Corp <Ntt> | Malware-infected terminal detection apparatus, malware-infected terminal detection method and malware-infected terminal detection program |
| US11991206B2 (en) | 2018-05-22 | 2024-05-21 | Mitsubishi Electric Corporation | Installation location selection assistance apparatus, installation location selection assistance method, and computer readable medium |
| WO2023058212A1 (en) * | 2021-10-08 | 2023-04-13 | 三菱電機株式会社 | Control device |
| JP7471532B2 (en) | 2021-10-08 | 2024-04-19 | 三菱電機株式会社 | Control device |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008050651A1 (en) | 2008-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4499161B2 (en) | Method, system and apparatus for realizing data service security in a mobile communication system | |
| US8713665B2 (en) | Systems, methods, and media for firewall control via remote system information | |
| US10171611B2 (en) | Herd based scan avoidance system in a network environment | |
| US20080060074A1 (en) | Intrusion detection system, intrusion detection method, and communication apparatus using the same | |
| JP4087428B2 (en) | Data processing system | |
| US7231665B1 (en) | Prevention of operating system identification through fingerprinting techniques | |
| US20100132041A1 (en) | Interception-based client data network security system | |
| WO2006087907A1 (en) | Communication control device | |
| JP2010033100A (en) | Communication device and detection device of intrusion to network | |
| US8272041B2 (en) | Firewall control via process interrogation | |
| JP4437043B2 (en) | Method and apparatus for automatically controlling access between a computer and a communication network | |
| US7587759B1 (en) | Intrusion prevention for active networked applications | |
| WO2008062542A1 (en) | Communication control apparatus | |
| JP2019152912A (en) | Unauthorized communication handling system and method | |
| US9203851B1 (en) | Redirection of data from an on-premise computer to a cloud scanning service | |
| EP2141885A1 (en) | Embedded firewall at a telecommunications endpoint | |
| EP2232810B1 (en) | Automatic proxy detection and traversal | |
| KR100398012B1 (en) | Home server and internet service system | |
| JP2008234410A (en) | Remote access system, information processing device, remote access program, and remote access method | |
| CN111988319B (en) | Access control method and device | |
| JP4619280B2 (en) | Communication terminal | |
| JPWO2009075007A1 (en) | Communication control device and communication control method | |
| KR20080017046A (en) | Data processing system | |
| JP2005073150A (en) | Terminal function substituting apparatus | |
| KR20080002214A (en) | A control method and the device terminating the internet for security check engine |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20100202 |