JP4330066B2 - Intrusion detection system, intrusion detection method, and recording medium - Google Patents
Intrusion detection system, intrusion detection method, and recording medium Download PDFInfo
- Publication number
- JP4330066B2 JP4330066B2 JP2003366419A JP2003366419A JP4330066B2 JP 4330066 B2 JP4330066 B2 JP 4330066B2 JP 2003366419 A JP2003366419 A JP 2003366419A JP 2003366419 A JP2003366419 A JP 2003366419A JP 4330066 B2 JP4330066 B2 JP 4330066B2
- Authority
- JP
- Japan
- Prior art keywords
- intrusion detection
- detection device
- network
- signature
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、外部ネットワークからの不正なアクセスを防止する侵入検知システム、侵入検知方法および記録媒体に関する。
The present invention relates to an intrusion detection system, an intrusion detection method, and a recording medium that prevent unauthorized access from an external network.
図5は、従来の下位侵入検知装置500を示す図である。 FIG. 5 is a diagram illustrating a conventional lower intrusion detection device 500.
従来の下位侵入検知装置500は、インターネットや外部で構築された外部ネットワーク10と、侵入検知装置70と、監視対象である内部ネットワーク80とを有する。
A conventional lower intrusion detection device 500 includes an
侵入検知装置70は、外部ネットワーク10から内部ネットワーク80への通信、内部ネットワーク80から外部ネットワーク10への通信、内部ネットワーク80同士の通信を監視することが可能な位置に設置されている侵入検知装置である。
The
上記従来の侵入検知システム500において、外部ネットワーク10と、監視対象である内部ネットワーク80との間に、侵入検知装置70が単体で設置され、管理者があらゆる外部からの不正な攻撃を検知し、管理者の過去の経験等に基づいて、誤検知であるか、不正アクセスであるかを見極める(たとえば、特許文献1参照)。
In the conventional intrusion detection system 500, the
さらに、侵入検知装置70は、シグネチャという攻撃パターンと、監視対象ネットワークである内部ネットワーク80上に流れるパケットとを、1つ1つ照らし合わせることによって、不正アクセスであるか否かを監視する。
Furthermore, the
つまり、従来の侵入検知システム500において、侵入検知装置70は、シグネチャ(ネットワーク上で過去に行われた犯罪を分析し、攻撃や不正なアクセスと見なせる要素を抽出した攻撃パターン)と、監視対象とするネットワーク上に流れてきた通信パケットとを照らし合わせ、不正な通信であるか否かを判断する。
In other words, in the conventional intrusion detection system 500, the
侵入検知装置70には、上記シグネチャが、侵入検知装置70内のデータベース上に複数個存在する。侵入検知装置70は、シグネチャデータベース内のシグネチャと、1つ1つの通信パケットとを順番に照らし合わせ、通信パケットとデータベース内のシグネチャの1つとが一致した場合、そのネットワーク上を流れてきた通信パケットを不正な通信と見なす。
上記従来例において、侵入検知装置70に接続されている内部ネットワーク80が攻撃を受けると、内部ネットワーク80から外部に対して、2次被害となる攻撃をすることがある。この内部から外部に対する防御手段を、侵入検知装置70が持っていないという問題がある。
In the above conventional example, when the internal network 80 connected to the
つまり、上記従来例は、外部ネットワークからの不正な通信を監視するネットワークにおいて、2次被害を受けるという問題がある。 That is, the above conventional example has a problem that it receives secondary damage in a network that monitors unauthorized communication from an external network.
本発明は、外部ネットワークからの不正な通信を監視するネットワークにおいて、2次被害を受けない侵入検知システム、侵入検知方法および記録媒体を提供することを目的とするものである。
It is an object of the present invention to provide an intrusion detection system, an intrusion detection method, and a recording medium that are not subject to secondary damage in a network that monitors unauthorized communication from an external network.
本発明は、上位ネットワークと複数の下位ネットワークとで構成されるネットワークに接続され、外部ネットワークからの不正な通信を監視する侵入検知システムであって、上記外部ネットワークと上記上位ネットワークとの間に設けられる上位侵入検知装置と、上記上位ネットワークとそれぞれの下位ネットワークとの間に設けられる複数の下位侵入検知装置とで構成され、上記下位侵入検知装置は、侵入検知に使用するシグネチャを、複数の上記下位侵入検知装置の間で互いに分割しあって、その一部のシグネチャを格納する格納手段と、不正な通信による当該下位侵入検知装置自身への攻撃を検知すると、当該自身の下位侵入検知装置に格納された上記シグネチャと警告内容とを上記上位侵入検知装置に転送する転送手段とを有する装置であり、上記上位侵入検知装置は、上記下位侵入検知装置から転送されたシグネチャをデータベースに格納し、当該データベースを利用して代理で侵入検知する装置であり、障害を起こした下位侵入検知装置を上記上位ネットワークから切り離すことを特徴とする侵入検知システムである。The present invention is an intrusion detection system that is connected to a network composed of an upper network and a plurality of lower networks, and monitors unauthorized communication from the external network, and is provided between the external network and the upper network. And a plurality of lower intrusion detection devices provided between the upper network and each lower network. The lower intrusion detection device uses a plurality of signatures used for intrusion detection. When a lower-level intrusion detection device detects an attack on the lower-level intrusion detection device itself due to illegal storage and storage means for storing a part of the signatures divided between the lower-level intrusion detection devices, A device having transfer means for transferring the stored signature and warning content to the upper intrusion detection device. The upper intrusion detection device stores the signature transferred from the lower intrusion detection device in a database and uses the database to detect intrusion on behalf of the lower intrusion detection device. An intrusion detection system that is separated from the upper network.
本発明によれば、外部ネットワークからの不正な通信を監視するネットワークにおいて、2次被害を受けないという効果を奏する。
According to the present invention, there is an effect that secondary damage is not caused in a network that monitors unauthorized communication from an external network.
発明を実施するための最良の形態は、以下の実施例である。 The best mode for carrying out the invention is the following examples.
図1は、本発明の実施例1である侵入検知システム100を示す図である。
FIG. 1 is a diagram illustrating an intrusion detection system 100 that is
侵入検知システム100は、外部ネットワーク10と、上位侵入検知装置20と、上位ネットワーク30と、下位侵入検知装置41、42、43と、下位ネットワーク(監視対象ネットワーク)51、52、53とを有する。
The intrusion detection system 100 includes an
上位侵入検知装置20は、外部ネットワーク10と上位ネットワーク30との間に設けられている上位侵入検知装置であり、所定の上記下位侵入検知装置(たとえば、下位侵入検知装置42)が障害を起こした場合、下位侵入検知装置42以外の下位侵入検知装置41、43に、上記障害が起こったことを知らせる。
The upper
下位侵入検知装置41、42、43は、上位ネットワーク20と下位ネットワーク51、52、53との間に設けられている侵入検知装置であって、不正な通信によって、下位侵入検知装置41、42、43が故障または攻撃による障害を起こしたことを検知し、上記故障または攻撃による障害を起こしたことを、上位侵入検知装置20に知らせる侵入検知装置である。
The lower
下位ネットワーク51、52、53は、それぞれ、下位侵入検知装置41、42、43の監視対象となる下位ネットワークである。
The lower networks 51, 52, and 53 are lower networks that are monitored by the lower
図2は、侵入検知システム100における下位侵入検知装置41、42、43、44、45の挙動を説明する図である。
FIG. 2 is a diagram for explaining the behavior of the lower
図3は、シグネチャと呼ばれる攻撃を検知するための材料を記述したデータを示す図である。 FIG. 3 is a diagram showing data describing a material for detecting an attack called a signature.
シグネチャが全部で50個あるとすると、下位侵入検知装置41、42、43、44、45は、それぞれ、データベースDB1、DB2、DB3、DB4、DB5を有する。
If there are 50 signatures in total, the lower
侵入検知システム100では、50個のシグネチャを、下位侵入検知装置41、42、43、44、45のそれぞれの内部に設けられているデータベースDB1、DB2、DB3、DB4、DB5に分割して格納する。
In the
侵入検知システム100において、5個の下位侵入検知装置41〜45のそれぞれに、10個ずつシグネチャを格納している。下位侵入検知装置41〜45の上位ネットワーク上に存在する上位侵入検知装置20の内部に、それぞれ設けられているデータベース21は、下位侵入検知装置41〜45の指示によって、侵入検知代理を行う。
In the intrusion detection system 100, ten signatures are stored in each of the five lower
たとえば、シグネチャSG11〜SG20を格納した下位侵入検知装置42が攻撃された場合、攻撃された影響から、下位侵入検知装置42をネットワーク上から切り離す。
For example, when the lower
図4は、実施例1において、下位侵入検知装置42が上位侵入検知装置20へ補完要求する動作を示すフローチャートである。
FIG. 4 is a flowchart illustrating an operation in which the lower
このときに、下位侵入検知装置42は、上位侵入検知装置20に、図4に示す動作によって、補完要求する。補完要求には、ネットワークから切り離す理由を記述したデータと、格納していたシグネチャとを、ネットワークを介して、上位侵入検知装置20に転送する。補完要求を受けた上位侵入検知装置20は、下位侵入検知装置42が使用不可状態であることを、ログデータベース22として取ると、同時に、シグネチャSG11〜SG20を、データベース21に格納し、データベース21を利用して代理で侵入検知を行う。
At this time, the lower
上記動作によって、下位侵入検知装置42だけではなく、下位侵入検知装置42以外の下位侵入検知装置41、43、……への同じ攻撃を防ぐことができる。
By the above-described operation, it is possible to prevent the same attack not only on the lower
上記のように、攻撃に対する2次被害を最短時間で防ぐことがシステム100の目的である。
As described above, the purpose of the system 100 is to prevent secondary damage against attacks in the shortest time.
実施例1の仕組みを利用し、下位侵入検知装置42を上位ネットワークとする監視対象ネットワーク内において、さらに下位侵入検知装置41〜45が接続される場合、下位侵入検知装置42は、上位侵入検知装置20として機能し、図2におけるシグネチャSG11〜SG20を分割して配置させ、下位の下位侵入検知装置41〜45が下位侵入検知装置42の働きをする。
When the lower
なお、上記実施例は、外部ネットワークからの不正な通信を監視する侵入検知プログラムを記録したコンピュータ読取可能な記録媒体において、上位ネットワークと下位ネットワークとの間に設けられている下位侵入検知装置が、不正な通信によって、故障または攻撃による障害を起こしたことを検知する障害検知手順と、上記障害を起こしたことを、上記下位侵入検知装置が、上記上位侵入検知装置に知らせる第1の障害発生通知手順と、所定の上記下位侵入検知装置が障害を起こした場合、上記上位侵入検知装置が、上記所定の下位侵入検知装置以外の上記下位侵入検知装置に、上記障害が起こったことを知らせる第2の障害発生通知手順手順とをコンピュータに実行させるプログラムの例である。 In the above embodiment, in a computer-readable recording medium that records an intrusion detection program for monitoring unauthorized communication from an external network, a lower intrusion detection device provided between an upper network and a lower network includes: A failure detection procedure for detecting that a failure or an attack has occurred due to unauthorized communication, and a first failure occurrence notification that the lower intrusion detection device informs the upper intrusion detection device that the failure has occurred A procedure and a second intrusion detection device that notifies the lower intrusion detection device other than the predetermined lower intrusion detection device that the failure has occurred when the predetermined lower intrusion detection device fails. This is an example of a program that causes a computer to execute the failure occurrence notification procedure.
上記プログラムを、FD、CD、DVD、HD、半導体メモリ等の記録媒体に記録するようにしてもよい。
You may make it record the said program on recording media, such as FD, CD, DVD, HD, and a semiconductor memory.
100…侵入検知システム、
10…外部ネットワーク、
20…上位侵入検知装置、
21…データベース、
22…ログデータベース、
30…上位ネットワーク、
41〜45…下位侵入検知装置、
51〜53…監視対象ネットワーク(下位ネットワーク)、
DB1〜DB5…データベース、
SG11〜SG50…シグネチャ。
100 ... Intrusion detection system,
10 ... External network,
20 ... upper intrusion detection device,
21 ... Database,
22 ... Log database,
30 ... Upper network,
41-45 ... Lower intrusion detection device,
51-53 ... Monitoring target network (lower network),
DB1-DB5 ... database,
SG11 to SG50: Signature.
Claims (1)
上記外部ネットワークと上記上位ネットワークとの間に設けられる上位侵入検知装置と、上記上位ネットワークとそれぞれの下位ネットワークとの間に設けられる複数の下位侵入検知装置とで構成され、
上記下位侵入検知装置は、
侵入検知に使用するシグネチャを、複数の上記下位侵入検知装置の間で互いに分割しあって、その一部のシグネチャを格納する格納手段と;
不正な通信による当該下位侵入検知装置自身への攻撃を検知すると、当該自身の下位侵入検知装置に格納された上記シグネチャと警告内容とを上記上位侵入検知装置に転送する転送手段と;
を有する装置であり、
上記上位侵入検知装置は、上記下位侵入検知装置から転送されたシグネチャをデータベースに格納し、当該データベースを利用して代理で侵入検知する装置であり、
障害を起こした下位侵入検知装置を上記上位ネットワークから切り離すことを特徴とする侵入検知システム。
An intrusion detection system that is connected to a network composed of an upper network and a plurality of lower networks, and monitors unauthorized communication from an external network,
An upper intrusion detection device provided between the external network and the upper network, and a plurality of lower intrusion detection devices provided between the upper network and the respective lower networks,
The lower intrusion detection device is
Storing means for dividing a signature used for intrusion detection among the plurality of lower intrusion detection devices and storing a part of the signatures ;
Transfer means for transferring the signature and the warning content stored in the lower intrusion detection device to the upper intrusion detection device when an attack on the lower intrusion detection device itself by unauthorized communication is detected ;
A device having
The upper intrusion detection device stores a signature that is transferred from the upper Symbol subordinate intrusion detection device to the database, a device for intrusion detection on behalf using the database,
An intrusion detection system, characterized in that a lower intrusion detection device in which a failure has occurred is separated from the upper network.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003366419A JP4330066B2 (en) | 2003-10-27 | 2003-10-27 | Intrusion detection system, intrusion detection method, and recording medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003366419A JP4330066B2 (en) | 2003-10-27 | 2003-10-27 | Intrusion detection system, intrusion detection method, and recording medium |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005128962A JP2005128962A (en) | 2005-05-19 |
| JP4330066B2 true JP4330066B2 (en) | 2009-09-09 |
Family
ID=34644767
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003366419A Expired - Fee Related JP4330066B2 (en) | 2003-10-27 | 2003-10-27 | Intrusion detection system, intrusion detection method, and recording medium |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4330066B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4351949B2 (en) * | 2004-04-23 | 2009-10-28 | 三菱電機株式会社 | Intrusion prevention system |
| JP4528680B2 (en) * | 2005-07-05 | 2010-08-18 | 株式会社日立製作所 | Self reorganization system |
| JP6207392B2 (en) * | 2013-12-27 | 2017-10-04 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Abnormality detection device, abnormality detection method, and abnormality detection program |
-
2003
- 2003-10-27 JP JP2003366419A patent/JP4330066B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005128962A (en) | 2005-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10628587B2 (en) | Identifying and halting unknown ransomware | |
| EP3416083B1 (en) | System and method of detecting anomalous events | |
| US8453244B2 (en) | Server, user device and malware detection method thereof | |
| CN108684038B (en) | Hidden data attack detection method based on fog calculation and hierarchical trust evaluation mechanism | |
| US10680893B2 (en) | Communication device, system, and method | |
| CN114006723B (en) | Network security prediction method, device and system based on threat information | |
| JP2011175639A (en) | Method and system for security maintenance in network | |
| US20040111638A1 (en) | Rule-based network survivability framework | |
| CN104735069A (en) | High-availability computer cluster based on safety and credibility | |
| JP4330066B2 (en) | Intrusion detection system, intrusion detection method, and recording medium | |
| CN111327577B (en) | A switch-based security access method and device | |
| JP5012338B2 (en) | Network device, network management system, and MAC address duplication detection method used therefor | |
| JP4201263B2 (en) | Intrusion detection system and recording medium | |
| JPWO2018179329A1 (en) | Extraction apparatus, extraction method, and computer-readable medium | |
| JP6820240B2 (en) | Attack detection analyzer and attack detection method | |
| CN108768949B (en) | Anomaly location method of random geometric data based on Markov random field theory | |
| JP7333748B2 (en) | Electronic devices and attack detection methods for electronic devices | |
| KR20140078329A (en) | Method and apparatus for defensing local network attacks | |
| US20150101036A1 (en) | Network filtering device, network filtering method and computer-readable recording medium having stored therein a program | |
| CN114338237B (en) | Terminal behavior monitoring method, device, equipment, medium and computer program product | |
| JP2020038525A (en) | Anomaly detection device | |
| JP4408837B2 (en) | Authentication system | |
| JP2006163528A (en) | Communication terminal, server device and monitoring system | |
| JP2006050442A (en) | Traffic monitoring method and system | |
| CN115329332A (en) | Anti-lasso virus protection and quick recovery method and system based on disk block bottom layer |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060405 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080528 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080606 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080703 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080725 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080922 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090323 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090521 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090612 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090612 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120626 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130626 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |