Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4330066B2 - 侵入検知システム、侵入検知方法および記録媒体 - Google Patents
[go: Go Back, main page]

JP4330066B2 - 侵入検知システム、侵入検知方法および記録媒体 - Google Patents

侵入検知システム、侵入検知方法および記録媒体 Download PDF

Info

Publication number
JP4330066B2
JP4330066B2 JP2003366419A JP2003366419A JP4330066B2 JP 4330066 B2 JP4330066 B2 JP 4330066B2 JP 2003366419 A JP2003366419 A JP 2003366419A JP 2003366419 A JP2003366419 A JP 2003366419A JP 4330066 B2 JP4330066 B2 JP 4330066B2
Authority
JP
Japan
Prior art keywords
intrusion detection
detection device
network
signature
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003366419A
Other languages
English (en)
Other versions
JP2005128962A (ja
Inventor
孝雄 倉橋
久 茨木
享邦 西田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003366419A priority Critical patent/JP4330066B2/ja
Publication of JP2005128962A publication Critical patent/JP2005128962A/ja
Application granted granted Critical
Publication of JP4330066B2 publication Critical patent/JP4330066B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、外部ネットワークからの不正なアクセスを防止する侵入検知システム、侵入検知方法および記録媒体に関する。
図5は、従来の下位侵入検知装置500を示す図である。
従来の下位侵入検知装置500は、インターネットや外部で構築された外部ネットワーク10と、侵入検知装置70と、監視対象である内部ネットワーク80とを有する。
侵入検知装置70は、外部ネットワーク10から内部ネットワーク80への通信、内部ネットワーク80から外部ネットワーク10への通信、内部ネットワーク80同士の通信を監視することが可能な位置に設置されている侵入検知装置である。
上記従来の侵入検知システム500において、外部ネットワーク10と、監視対象である内部ネットワーク80との間に、侵入検知装置70が単体で設置され、管理者があらゆる外部からの不正な攻撃を検知し、管理者の過去の経験等に基づいて、誤検知であるか、不正アクセスであるかを見極める(たとえば、特許文献1参照)。
さらに、侵入検知装置70は、シグネチャという攻撃パターンと、監視対象ネットワークである内部ネットワーク80上に流れるパケットとを、1つ1つ照らし合わせることによって、不正アクセスであるか否かを監視する。
つまり、従来の侵入検知システム500において、侵入検知装置70は、シグネチャ(ネットワーク上で過去に行われた犯罪を分析し、攻撃や不正なアクセスと見なせる要素を抽出した攻撃パターン)と、監視対象とするネットワーク上に流れてきた通信パケットとを照らし合わせ、不正な通信であるか否かを判断する。
侵入検知装置70には、上記シグネチャが、侵入検知装置70内のデータベース上に複数個存在する。侵入検知装置70は、シグネチャデータベース内のシグネチャと、1つ1つの通信パケットとを順番に照らし合わせ、通信パケットとデータベース内のシグネチャの1つとが一致した場合、そのネットワーク上を流れてきた通信パケットを不正な通信と見なす。
特開2002−328896号公報
上記従来例において、侵入検知装置70に接続されている内部ネットワーク80が攻撃を受けると、内部ネットワーク80から外部に対して、2次被害となる攻撃をすることがある。この内部から外部に対する防御手段を、侵入検知装置70が持っていないという問題がある。
つまり、上記従来例は、外部ネットワークからの不正な通信を監視するネットワークにおいて、2次被害を受けるという問題がある。
本発明は、外部ネットワークからの不正な通信を監視するネットワークにおいて、2次被害を受けない侵入検知システム、侵入検知方法および記録媒体を提供することを目的とするものである。
本発明は、上位ネットワークと複数の下位ネットワークとで構成されるネットワークに接続され、外部ネットワークからの不正な通信を監視する侵入検知システムであって、上記外部ネットワークと上記上位ネットワークとの間に設けられる上位侵入検知装置と、上記上位ネットワークとそれぞれの下位ネットワークとの間に設けられる複数の下位侵入検知装置とで構成され、上記下位侵入検知装置は、侵入検知に使用するシグネチャを、複数の上記下位侵入検知装置の間で互いに分割しあって、その一部のシグネチャを格納する格納手段と、不正な通信による当該下位侵入検知装置自身への攻撃を検知すると、当該自身の下位侵入検知装置に格納された上記シグネチャと警告内容とを上記上位侵入検知装置に転送する転送手段とを有する装置であり、上記上位侵入検知装置は、上記下位侵入検知装置から転送されたシグネチャをデータベースに格納し、当該データベースを利用して代理で侵入検知する装置であり、障害を起こした下位侵入検知装置を上記上位ネットワークから切り離すことを特徴とする侵入検知システムである。
本発明によれば、外部ネットワークからの不正な通信を監視するネットワークにおいて、2次被害を受けないという効果を奏する。
発明を実施するための最良の形態は、以下の実施例である。
図1は、本発明の実施例1である侵入検知システム100を示す図である。
侵入検知システム100は、外部ネットワーク10と、上位侵入検知装置20と、上位ネットワーク30と、下位侵入検知装置41、42、43と、下位ネットワーク(監視対象ネットワーク)51、52、53とを有する。
上位侵入検知装置20は、外部ネットワーク10と上位ネットワーク30との間に設けられている上位侵入検知装置であり、所定の上記下位侵入検知装置(たとえば、下位侵入検知装置42)が障害を起こした場合、下位侵入検知装置42以外の下位侵入検知装置41、43に、上記障害が起こったことを知らせる。
下位侵入検知装置41、42、43は、上位ネットワーク20と下位ネットワーク51、52、53との間に設けられている侵入検知装置であって、不正な通信によって、下位侵入検知装置41、42、43が故障または攻撃による障害を起こしたことを検知し、上記故障または攻撃による障害を起こしたことを、上位侵入検知装置20に知らせる侵入検知装置である。
下位ネットワーク51、52、53は、それぞれ、下位侵入検知装置41、42、43の監視対象となる下位ネットワークである。
図2は、侵入検知システム100における下位侵入検知装置41、42、43、44、45の挙動を説明する図である。
図3は、シグネチャと呼ばれる攻撃を検知するための材料を記述したデータを示す図である。
シグネチャが全部で50個あるとすると、下位侵入検知装置41、42、43、44、45は、それぞれ、データベースDB1、DB2、DB3、DB4、DB5を有する。
侵入検知システム100では、50個のシグネチャを、下位侵入検知装置41、42、43、44、45のそれぞれの内部に設けられているデータベースDB1、DB2、DB3、DB4、DB5に分割して格納する。
侵入検知システム100において、5個の下位侵入検知装置41〜45のそれぞれに、10個ずつシグネチャを格納している。下位侵入検知装置41〜45の上位ネットワーク上に存在する上位侵入検知装置20の内部に、それぞれ設けられているデータベース21は、下位侵入検知装置41〜45の指示によって、侵入検知代理を行う。
たとえば、シグネチャSG11〜SG20を格納した下位侵入検知装置42が攻撃された場合、攻撃された影響から、下位侵入検知装置42をネットワーク上から切り離す。
図4は、実施例1において、下位侵入検知装置42が上位侵入検知装置20へ補完要求する動作を示すフローチャートである。
このときに、下位侵入検知装置42は、上位侵入検知装置20に、図4に示す動作によって、補完要求する。補完要求には、ネットワークから切り離す理由を記述したデータと、格納していたシグネチャとを、ネットワークを介して、上位侵入検知装置20に転送する。補完要求を受けた上位侵入検知装置20は、下位侵入検知装置42が使用不可状態であることを、ログデータベース22として取ると、同時に、シグネチャSG11〜SG20を、データベース21に格納し、データベース21を利用して代理で侵入検知を行う。
上記動作によって、下位侵入検知装置42だけではなく、下位侵入検知装置42以外の下位侵入検知装置41、43、……への同じ攻撃を防ぐことができる。
上記のように、攻撃に対する2次被害を最短時間で防ぐことがシステム100の目的である。
実施例1の仕組みを利用し、下位侵入検知装置42を上位ネットワークとする監視対象ネットワーク内において、さらに下位侵入検知装置41〜45が接続される場合、下位侵入検知装置42は、上位侵入検知装置20として機能し、図2におけるシグネチャSG11〜SG20を分割して配置させ、下位の下位侵入検知装置41〜45が下位侵入検知装置42の働きをする。
なお、上記実施例は、外部ネットワークからの不正な通信を監視する侵入検知プログラムを記録したコンピュータ読取可能な記録媒体において、上位ネットワークと下位ネットワークとの間に設けられている下位侵入検知装置が、不正な通信によって、故障または攻撃による障害を起こしたことを検知する障害検知手順と、上記障害を起こしたことを、上記下位侵入検知装置が、上記上位侵入検知装置に知らせる第1の障害発生通知手順と、所定の上記下位侵入検知装置が障害を起こした場合、上記上位侵入検知装置が、上記所定の下位侵入検知装置以外の上記下位侵入検知装置に、上記障害が起こったことを知らせる第2の障害発生通知手順手順とをコンピュータに実行させるプログラムの例である。
上記プログラムを、FD、CD、DVD、HD、半導体メモリ等の記録媒体に記録するようにしてもよい。
本発明の実施例1である侵入検知システム100を示す図である。 侵入検知システム100における下位侵入検知装置41、42、43、44、45の挙動を示す図である。 シグネチャと呼ばれる攻撃を検知するための材料を記述したデータを示す図である。 実施例1において、下位侵入検知装置42が上位侵入検知装置20へ補完要求する動作を示すフローチャートである。 従来の下位侵入検知装置500を示す図である。
符号の説明
100…侵入検知システム、
10…外部ネットワーク、
20…上位侵入検知装置、
21…データベース、
22…ログデータベース、
30…上位ネットワーク、
41〜45…下位侵入検知装置、
51〜53…監視対象ネットワーク(下位ネットワーク)、
DB1〜DB5…データベース、
SG11〜SG50…シグネチャ。

Claims (1)

  1. 上位ネットワークと複数の下位ネットワークとで構成されるネットワークに接続され、外部ネットワークからの不正な通信を監視する侵入検知システムであって、
    上記外部ネットワークと上記上位ネットワークとの間に設けられる上位侵入検知装置と、上記上位ネットワークとそれぞれの下位ネットワークとの間に設けられる複数の下位侵入検知装置とで構成され、
    上記下位侵入検知装置は、
    侵入検知に使用するシグネチャを、複数の上記下位侵入検知装置の間で互いに分割しあって、その一部のシグネチャを格納する格納手段と;
    不正な通信による当該下位侵入検知装置自身への攻撃を検知すると、当該自身の下位侵入検知装置に格納された上記シグネチャと警告内容とを上記上位侵入検知装置に転送する転送手段と;
    を有する装置であり、
    上記上位侵入検知装置は、上記下位侵入検知装置から転送されたシグネチャをデータベースに格納し、当該データベースを利用して代理で侵入検知する装置であり、
    障害を起こした下位侵入検知装置を上記上位ネットワークから切り離すことを特徴とする侵入検知システム。
JP2003366419A 2003-10-27 2003-10-27 侵入検知システム、侵入検知方法および記録媒体 Expired - Fee Related JP4330066B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003366419A JP4330066B2 (ja) 2003-10-27 2003-10-27 侵入検知システム、侵入検知方法および記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003366419A JP4330066B2 (ja) 2003-10-27 2003-10-27 侵入検知システム、侵入検知方法および記録媒体

Publications (2)

Publication Number Publication Date
JP2005128962A JP2005128962A (ja) 2005-05-19
JP4330066B2 true JP4330066B2 (ja) 2009-09-09

Family

ID=34644767

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003366419A Expired - Fee Related JP4330066B2 (ja) 2003-10-27 2003-10-27 侵入検知システム、侵入検知方法および記録媒体

Country Status (1)

Country Link
JP (1) JP4330066B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4351949B2 (ja) * 2004-04-23 2009-10-28 三菱電機株式会社 不正侵入防止システム
JP4528680B2 (ja) * 2005-07-05 2010-08-18 株式会社日立製作所 自己再組織化システム
JP6207392B2 (ja) * 2013-12-27 2017-10-04 エヌ・ティ・ティ・コミュニケーションズ株式会社 異常検出装置、異常検出方法、及び異常検出プログラム

Also Published As

Publication number Publication date
JP2005128962A (ja) 2005-05-19

Similar Documents

Publication Publication Date Title
US10628587B2 (en) Identifying and halting unknown ransomware
EP3416083B1 (en) System and method of detecting anomalous events
US8453244B2 (en) Server, user device and malware detection method thereof
CN108684038B (zh) 基于雾计算和分层信任评价机制的隐藏数据攻击检测方法
US10680893B2 (en) Communication device, system, and method
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
JP2011175639A (ja) ネットワークにおけるセキュリティ保全のための方法及びシステム
US20040111638A1 (en) Rule-based network survivability framework
CN104735069A (zh) 一种基于安全可信的高可用性计算机集群
JP4330066B2 (ja) 侵入検知システム、侵入検知方法および記録媒体
CN111327577B (zh) 一种基于交换机的安全准入方法及装置
JP5012338B2 (ja) ネットワーク装置、ネットワーク管理システム及びそれらに用いるmacアドレス重複検出方法
JP4201263B2 (ja) 侵入検知システムおよび記録媒体
JPWO2018179329A1 (ja) 抽出装置、抽出方法、コンピュータ可読媒体
JP6820240B2 (ja) 攻撃検知分析装置及び攻撃検知方法
CN108768949B (zh) 基于马尔科夫随机场理论的随机几何数据异常定位方法
JP7333748B2 (ja) 電子機器および電子機器の攻撃検知方法
KR20140078329A (ko) 내부망 타겟 공격 대응 장치 및 방법
US20150101036A1 (en) Network filtering device, network filtering method and computer-readable recording medium having stored therein a program
CN114338237B (zh) 终端行为监测方法、装置、设备、介质和计算机程序产品
JP2020038525A (ja) 異常検知装置
JP4408837B2 (ja) 認証システム
JP2006163528A (ja) 通信端末、サーバ装置及び監視システム
JP2006050442A (ja) トラヒック監視方法及びシステム
CN115329332A (zh) 基于磁盘块底层的防勒索病毒保护和快速恢复方法及系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060405

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080528

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080606

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080703

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080725

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080922

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090323

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090521

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090612

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090612

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120626

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130626

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees