JP3581345B2 - Packet transfer device and packet transfer method - Google Patents
Packet transfer device and packet transfer method Download PDFInfo
- Publication number
- JP3581345B2 JP3581345B2 JP2001380162A JP2001380162A JP3581345B2 JP 3581345 B2 JP3581345 B2 JP 3581345B2 JP 2001380162 A JP2001380162 A JP 2001380162A JP 2001380162 A JP2001380162 A JP 2001380162A JP 3581345 B2 JP3581345 B2 JP 3581345B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- identification information
- received
- data
- connection identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000012546 transfer Methods 0.000 title claims description 75
- 238000000034 method Methods 0.000 title claims description 42
- 238000007405 data analysis Methods 0.000 claims description 77
- 238000004458 analytical method Methods 0.000 claims description 73
- 238000012545 processing Methods 0.000 description 29
- 230000005540 biological transmission Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000001914 filtration Methods 0.000 description 5
- 230000007257 malfunction Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 1
- 238000007493 shaping process Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は複数のネットワークセグメント間のパケットの転送を制御するためのパケット転送装置およびパケット転送方法に関する。
【0002】
【従来の技術】
近年、複数のネットワークセグメント間のパケットの転送を制御するためのパケット転送装置として、フィルタ型IDS装置(IDS:intrusion detection system 侵入検知システム)が注目されている。
【0003】
このフィルタ型IDS装置は、受信パケットについて当該パケットが運ぶデータを解析して、不正アクセスに関わるパケットであるか否かの判定を行なうものである。パケットデータ解析処理では、不正アクセスに関わる既知のパターンを登録したデータベースが参照され、受信パケットがそれに該当するかどうかなどが判定される。この解析処理により不正アクセスに関わるパケットであると判定された受信パケットは転送されずに、破棄される。これにより、不正パケットの侵入を未然に防止でき、一定のセキュリティを確保することが出来る。
【0004】
従来のフィルタ型IDS装置では、受信した全てのパケットについて、上述の解析処理を行い、不正アクセスに関わるパケットであるか否かの判定を行っている。
【0005】
【発明が解決しようとする課題】
ところで、一般に、パケット交換網を介して通信を行なう通信システムでは、受信側でパケットを受信した際に応答確認を送出し、送信側では、受信側からの応答確認によってパケットが受信側へ到達したことが確認できない場合に、再度、パケットを送出する(再送する)等の方法により、通信の信頼性を確保している。このような通信システムに、上述のフィルタ型IDS装置を用いた場合、フィルタ型IDS装置が、受信したパケットを不正アクセスに関わるパケットであると判定し、それを破棄した場合、当該パケットが受信側へ到達しないため、再送により、再度同じパケットが送られてくる事となる。
【0006】
従来のフィルタ型IDS装置では、再送により送られてきたパケットについても、最初に送られてきたパケットと同様にデータの内容の解析を行っていた。しかし、再送パケットが運ぶデータと同じデータは、すでに解析済みであり、再びデータの内容の解析を行なうのは、フィルタ型IDS装置として用いられるシステムのCPU資源を消費する事となる。よって、不正アクセスが頻発した場合には、再送パケットが多数送られて来ることとなり、パケット転送の性能低下を招いてしまうという問題があった。
【0007】
本発明は上述の事情を考慮してなされたものであり、不正アクセスに関わるパケットの転送を効率よく禁止することが可能なパケット転送装置、およびパケット転送方法を提供することを目的とする。
【0008】
【課題を解決するための手段】
上述の課題を解決するため、本発明のパケット転送装置は、複数のネットワークセグメント間のパケットの転送を制御するパケット転送装置において、ネットワークセグメント上のパケットを受信するパケット受信手段と、前記パケット受信手段で受信した受信パケットを一時保留するパケット保留手段と、不正アクセスに関わるパケットであると判定されたパケットのコネクション識別情報が登録されるコネクション識別情報記憶手段と、前記パケット受信手段により受信した受信パケットのコネクション識別情報が前記コネクション識別情報記憶手段に登録されているか否かを判別して、不正アクセスに関わるパケットであるか否かを判定する第1の判定手段と、前記受信パケットのコネクション識別情報が前記コネクション識別情報記憶手段に登録されていないと判別した場合、前記受信パケットのデータを解析して、当該受信パケットが正常なパケットか不正アクセスに関わるパケットであるかを判定する第2の判定手段と、前記第2の判定手段によって解析された解析済みのパケットを過去パケットとして保持する過去パケット保持手段と、前記受信パケットと当該受信パケットと同一のコネクション識別情報を持つ前記過去パケット保持手段に保持された前記過去パケットとにより、複数のパケットに分割されて運ばれてくる一連のデータを再構築するコネクションデータ再構築手段と、前記受信パケットのデータ解析によって不正アクセスに関わるパケットであると判定した場合、当該受信パケットのコネクション識別情報を前記コネクション識別情報記憶手段に登録する手段とを有するパケット解析手段と、前記パケット解析手段の前記判定結果に基づき、前記パケット保留手段に一時保留されている前記受信パケットのうち、前記不正アクセスに関わるパケットは破棄し、正常な受信パケットのみを送信先のネットワークセグメントへ送出するパケット送出手段とを具備し、前記第2の判定手段は、前記受信パケットのデータ解析のために、前記コネクションデータ再構築手段によって再構築されたデータを解析する手段を含むことを特徴とする。
【0009】
また、本発明のパケット転送装置は、複数のネットワークセグメント間のパケットの転送を制御するパケット転送装置において、ネットワークセグメント上のパケットを受信するパケット受信手段と、前記パケット受信手段により受信したパケットを一時保留するパケット保留手段と、不正アクセスに関わるパケットであると判定されたパケットのコネクション識別情報が登録されるコネクション識別情報記憶手段と、前記パケット受信手段により受信した受信パケットのコネクション識別情報が前記コネクション識別情報記憶手段に登録されているか否かを判別して、不正アクセスに関わるパケットであるか否かを判定する第1の判定手段とを有する解析結果保持手段と、前記解析結果保持手段からの不正アクセスに関わるパケットであるか否かの判定結果を受信し、前記受信パケットのコネクション識別情報が前記コネクション識別情報記憶手段に登録されていないと判別した場合に、不正アクセスデータベースを用いて前記受信パケットのデータを解析し、当該受信パケットが正常なパケットか不正アクセスに関わるパケットであるかを判定する第2の判定手段と、前記受信パケットのデータ解析によって不正アクセスに関わるパケットであると判定した場合、当該受信パケットのコネクション識別情報を前記コネクション識別情報記憶手段に登録する手段と有するパケットデータ解析手段と、前記パケットデータ解析手段によって解析された解析済みのパケットを過去パケットとして保持する過去パケット保持手段と、前記過去パケット保持手段を参照して得られる、前記受信パケットと同一のコネクション識別情報を持つ過去パケットから、複数のパケットに分割されて運ばれてくる一連のデータを再構築し、その再構築したデータを解析用データとして前記第2の判定手段に提供するコネクションデータ再構築手段と、前記パケットデータ解析手段の前記判定結果に基づき、前記パケット保留手段に一時保留されている前記受信パケットのうち、前記不正アクセスに関わるパケットは破棄し、正常な受信パケットのみを送信先のネットワークセグメントへ送出するパケット送出手段とを具備することを特徴とする。
【0010】
このパケット転送装置においては、パケット解析手段によって不正アクセスに関わるパケットであると判定された受信パケットについては、そのパケットデータ解析の解析結果として、当該受信パケットのコネクション識別情報がコネクション識別情報記憶手段に登録される。そして、以降は、そのコネクション識別情報と同一のコネクション識別情報を持つ受信パケットについては、データ解析による不正アクセスに関わるパケットであるか否かの判定は行われずに、廃棄される。よって、不正アクセスに係る再送パケットが多数送られてきても、パケット転送の性能低下を招くことなく、不正アクセスに関わるパケットの転送を禁止することが可能となる。
【0011】
ここで、コネクション識別情報とは、単なるアドレス情報ではなく、セッション毎にそのセッション内における一連のデータを運ぶ複数のパケットそれぞれに対して共通に割り当てられる識別情報を意味する。もし送信元アドレスや送信先アドレスといったパケット内のアドレス情報のみを登録するという構成を用いた場合には、端末やサーバといった物理的なネットワークノード単位でのパケットフィルタリングとなるので、例えば、一旦不正パケットを送信したと判定された端末や、NAT(Network Address Translation)配下の全ての端末からのパケット転送はその後も一切禁止されてしまうことになる。これに対し、コネクション識別情報を用いた場合には、あるサービスを要求したユーザとそのサービスを提供するサーバとの間のセッションを単位としたパケットフィルタリングを実現できる。
【0012】
例えばTCPでは、パケットに含まれる送信元のアドレス及びポート番号と送信先のアドレスおよびポート番号との組み合わせが上記コネクション識別情報となる。
【0013】
また、データ解析された解析済みのパケットを過去パケットとして保持する過去パケット保持手段と、前記受信パケットと前記過去パケット保持手段から得られる当該受信パケットと同一のコネクション識別情報を持つ過去パケットとを用いることにより、複数のパケットに分割されて運ばれてくる一連のデータを再構築するコネクションデータ再構築手段とをさらに設けることが好ましい。
【0014】
これにより、受信したパケット個々のデータのみならず、解析済み過去パケットを含めた、同一のコネクション識別情報を持つ一連のデータを運ぶ複数のパケットのデータ内容に基づいて当該受信パケットが不正アクセスに関するパケットであるかどうかを判定できるので、パケットデータ解析の精度をより高めることが可能となり、セキュリティ性能を高めることができる。
【0015】
この場合、もしパケット解析手段が、解析済みパケットを内部に保持していると、判定すべき不正アクセスの種類の増加に対応するなどの目的でパケット解析手段を交換した場合、交換以前に処理した解析済み過去パケットのデータ内容が失われてしまう。もし交換以前から交換後に跨る複数のパケットに分割されたデータによって攻撃が行われた場合には、その攻撃を検知することができず、結果として、不正アクセスを防げなくなる。よって、上述のように、解析済みの過去パケット保持手段およびコネクションデータ再構築手段は、パケットデータ解析手段とは別に設けることが好ましい。これにより、パケットデータ解析手段を交換する場合でも、交換以前に処理した解析済みパケットを保持しておくことができるので、それを基にデータの再構築が可能となる。具体的には、前記パケット解析手段を、前記過去パケット保持手段および前記コネクションデータ再構築手段とは独立したモジュールとして構成して、パケットデータ解析手段単体で交換可能にすればよい。
【0016】
さらに、コネクションデータ再構築手段は、コネクション識別情報を用いてデータを再構築するものであるため、このコネクションデータ再構築手段内に、パケットデータの解析によって不正アクセスに関わるパケットであると判定された受信パケットのコネクション識別情報を記憶する手段と、前記データの再構築を行なう前に、前記受信パケットが前記コネクション識別情報記憶手段に保持されているコネクション識別情報を持つか否かを判定し、その判定結果を前記パケットデータ解析手段に通知する手段とを設けることで、コネクションデータ再構築手段のコネクション管理機能をより有効に活用することが出来る。
【0017】
【発明の実施の形態】
以下、図面を参照して本発明の実施形態を説明する。
図1には、本発明の一実施形態に係るパケット転送装置が示されている。このパケット転送装置11は複数のネットワークセグメント間のパケットの転送を制御するものであり、例えば、ブリッジ、ルータ、ゲートウェイ、NAT(Network Address Translation)等のネットワーク接続装置として使用される。パケット転送装置11にはフィルタ型IDSを用いたセキュリティ機能が搭載されており、受信パケットについて当該パケットが運ぶデータを解析して、不正アクセスに関わるパケットであるか否かの判定が行われる。以下では、例えばネットワークセグメントAからネットワークセグメントBへのパケット転送を許可、または禁止するためのパケットフィルタリングを行なう場合を例示して、パケット転送装置11の構成を説明することにする。
【0018】
パケット転送装置11には、図示のように、パケット受信部101、パケット識別子付加機構102、パケット保留キュー103、パケット解析機構104、およびパケット送出部105が設けられている。
【0019】
パケット受信部101は、ネットワークセグメントA上に送信されるパケットを受信する。パケット識別子付加機構102は、パケット受信部101によって受信された受信パケットに対して識別子を付加して、パケット保留キュー103およびパケット解析機構104に出力する。パケット保留キュー103は識別子が付加された受信パケットを、パケット解析機構104が不正アクセスに関わるパケットで無いことを判定するまで一時保留する。
【0020】
パケット解析機構104は、内蔵するパケットデータ解析部111によって、受信パケットで運ばれるデータを解析して、それが既知の不正アクセスに関するパターンに該当するかどうかを調べることにより、当該受信パケットが不正アクセスに関わるパケットであるかどうかを判定し、不正アクセスに関わるパケットで無いことを判定したパケットの識別子をパケット送出部105に伝える。パケットデータ解析部111では、受信パケットによって運ばれるデータに含まれるヘッダやペイロードの内容を解析するほか、同一のコネクション識別情報を持つ複数のパケットにより分割されて運ばれていたデータを再構築したりするなど、解析するのに都合の良い形に整形するプロトコル処理なども必要に応じて行われ、その再構築後のデータに不正アクセスに関するパターンが含まれるかどうかが判定される。
【0021】
また、パケット解析機構104は、不正アクセスに関するパケットであると一旦判定した受信パケットと同じコネクション識別情報を持つパケットを再度受信した場合には、その受信パケットのデータ解析を行なわずに、それを不正アクセスに関わるパケットであると判定する機能を持つ。この機能を実現するため、パケット解析機構104には不正コネクションテーブル112が設けられている。
【0022】
不正コネクションテーブル112には、パケットデータ解析部111によるパケットデータ解析の結果、不正アクセスに関わるパケットであると判定された受信パケットのコネクション識別情報が登録される。パケット解析機構104は、パケット識別子付加機構102からパケットを受信すると、まず、受信パケットのコネクション識別情報が不正コネクションテーブル112に既に登録されているかどうかを調べ、登録されている場合には、その受信パケットをその時点で不正アクセスに関わるパケットであると判定する。この場合、パケットデータ解析部111による解析処理は行なわない。
【0023】
ここで、不正コネクションテーブル112にパケットデータ解析結果として登録されるコネクション識別情報とは、セッション毎にそのセッション内で一連のデータを運ぶ複数のパケットそれぞれに対して共通に割り当てられる識別情報を意味する。送信元アドレスや送信先アドレスといったアドレス情報のみを使用した場合には、端末やサーバといった物理的なネットワークノード単位でのパケットフィルタリングとなるので、例えば、一旦不正パケットを送信したと判定された端末からのパケット転送はその後も一切禁止されてしまうことになる。特にNATを介して転送されたパケットが一旦不正アクセスに関するパケットであると判定されると、NATを介してネットワークにつながる全ての端末からのアクセスが禁止されてしまうという事態を招く。これに対し、コネクション識別情報を用いた場合には、あるサービスを要求したユーザとそのサービスを提供するサーバとの間のセッションを単位としたパケットフィルタリングを実現でき、上述のような問題は生じない。
【0024】
例えばTCPでは、パケットに含まれる、送信元のアドレスおよびポート番号と、送信先のアドレスおよびポート番号との組み合わせが、コネクション識別情報となる。ポート番号は例えば送信元アドレスで指定される端末と送信先アドレスで指定されるサーバとの間で、サービスを要求する端末内のアプリケーションプログラムとサービスを提供するサーバ内のサーバプログラムとの関係を一対一で結びつけるために使用されるものである。端末内のアプリケーションプログラムに割り当てられるポート番号はネットワーク接続の度に変化され、アプリケーションプログラムからサーバに接続するときに動的に割り当てられる。したがって、例えば、ある端末で特定のプログラムを起動することによってサーバにアクセスし、そのサーバの提供する特定のサービスを受ける場合を想定すると、そのアクセス期間中は、端末からサーバに一連のデータを運ぶための複数のパケットにはそれぞれ共通のコネクション識別子が割り当てられ、またサーバから端末に一連のデータを運ぶための複数のパケットにもそれらの間で共通のコネクション識別子が割り当てられる。よって、このようなコネクション識別のための識別情報を用いることにより、端末やサーバといった物理的なネットワークノードを対象にしたアクセス禁止制御ではなく、あるサービスを要求したユーザとそのサービスを提供するサーバとの関係を単位とした、セッション単位でのアクセス禁止制御を実現できる。
【0025】
また、コネクションレス型の転送プロトコルであるUDP等を用いる場合でも、送信元から送信先へデータを運ぶ各パケットにはセッション毎に共通のコネクション識別情報が上位プロトコルによって付加されるので、それを用いてアクセス禁止制御を行なうことが出来る。
【0026】
パケット送出部105は、パケット解析機構104から不正アクセスに関するパケットであると判定された受信パケットの識別子を受け取った場合には、パケット保留キュー103から当該受信パケットを破棄し、またパケット解析機構104から不正アクセスに関するパケットではないと判定された受信パケットの識別子を受け取った場合には、パケット保留キュー103から当該受信パケットを取り出して、ネットワークセグメントB上に送出する。
【0027】
図2には、パケット解析機構104の具体的な構成の一例が示されている。
【0028】
パケット解析機構104は、不正コネクション判定機構113と、不正コネクションテーブル112と、パケットデータ解析部111とから構成される。不正コネクション判定機構113は、パケット解析機構104に入力されたパケットを受取り、不正コネクションテーブル112を参照して、当該入力されたパケットが不正コネクションテーブル112に登録されていた場合、パケットデータ解析部111による不正パケットの解析処理を行なわずに、当該入力されたパケットは不正アクセスに関わるパケットと判定して、パケット解析機構104に出力する機能を持つ。
【0029】
パケットデータ解析部111は、プロトコル処理部201および不正アクセスデータベース202から構成されている。不正アクセスデータベース202は既知の不正アクセスに関する情報を記憶したデータベースであり、ここには不正アクセスに関する様々なパターンが記憶されている。プロトコル処理部201は、不正アクセスデータベース202を検索しながら、パケット受信部101が受信したパケットが不正アクセスに関わるパケットか否かを判定する。
【0030】
次に、図3のフローチャートを参照して、図1、および図2のパケット転送装置11の動作を説明する。
【0031】
まず、パケット転送装置11のパケット受信部101により、ネットワークセグメントA上に送信されるパケットが受信される(ステップS101)。この受信パケットには、パケット識別子付加機構102によりパケット転送装置11内でユニークな識別子が付加され、その識別子が付加された受信パケットはパケット保留キュー103に格納されると共に、パケット解析機構104に渡される。
【0032】
パケット解析機構104では、最初に、受信パケットのコネクション識別情報が判別される(ステップS102)。即ち、その受信パケットのコネクション識別情報を基に、不正コネクション判定機構113によって不正コネクションテーブル112がサーチされ、受信パケットが、不正コネクションテーブル112に登録されたコネクション識別情報を持つパケットであるかどうかが判別される(ステップS103,S104)。
【0033】
受信パケットが不正コネクションテーブル112に登録されたコネクション識別情報を持っていた場合、不正コネクション判定機構113は、当該パケットをパケットデータ解析部111に渡すこと無く、当該パケットが、不正アクセスに関わるものであると判定して、パケット送出部105へ不正アクセスパケットである識別子を伝える。これにより、パケット保留キュー103に格納されている当該パケットは送出されずに、破棄される(ステップS109)。
【0034】
一方、不正コネクション判定機構113にて、受信パケットのコネクション識別情報が不正コネクションテーブル112に登録されていないと判定した場合、当該パケットをパケットデータ解析部111に渡す。パケットデータ解析部111では、当該パケット中のデータを解析して、それが正常なパケットか不正アクセスに関わるパケットであるかを判定するためのパケットデータ解析処理が行われる(ステップS105)。このパケットデータ解析処理で当該パケットが不正アクセスに関わることが検出されなければ、パケット解析機構104は、正常なパケットであると判定して、当該パケットの識別子を、パケット送出部105に伝える。識別子を伝えられたパケット送出部105は、パケット保留キュー103から、当該識別子を持つ受信パケットを取り出し、当該パケットを受信したネットワークセグメントとは異なる送信先のネットワークセグメント(ここではネットワークセグメントB)上に送出する(ステップS107)。
【0035】
一方、もし当該パケットが不正アクセスに関わるものであると判定された場合は、パケットデータ解析部111は当該パケットのコネクション識別情報を不正コネクションテーブル112に登録する(ステップS108)。そして、パケット解析機構104からパケット送出部105へ不正アクセスに関わると判定した当該パケットの識別子が伝えられ、パケット保留キュー103に格納されている当該パケットは送出されずに、破棄されることになる(ステップS109)。なお、パケットの破棄は、明示的な指示で破棄するのみならず、パケット保留キュー103からの溢れによる等の暗黙的な手段によって、破棄するようにしても良い。
【0036】
この一連の動作をパケット受信の度に実行することにより、不正アクセスが頻発することにより再送パケットが多数送られてきた場合でも、それによるパケット転送性能の低下を招くことなく、不正アクセスに関するパケットの転送を禁止することが出来る。
【0037】
次に、図4および図5のフローチャートを参照して、ステップS105で行われるパケットデータ解析処理の具体的例について説明する。
【0038】
このパケットデータ解析処理では、受信パケットについて、先ずヘッダフィールドのオプションや、パラメータの組み合わせが、パケット送信先のサーバに誤動作を引き起こすとして予め設定された既知の条件を満たしているか否かが判定される(ステップS11)。即ち、受信パケットのヘッダ部から不審な相手からの送信であったり、形式の異なる怪しいパケットであることを見分ける処理を行なう。ここで上記条件を満たしていれば、当該受信パケットは不正アクセスに関わるパケットであると判定され、当該受信パケットを破棄するよう指示する(ステップS15)。
【0039】
一方、上記条件を満たしていなければ、次に、断片化されたパケットやTCPプロトコルで転送されるパケット等、判断に他のパケットの情報も必要となるか否かが判断される(ステップS12)。他のパケットを必要としない場合は、次にパケットが搬送しているデータの長さ、あるいはデータが指定しているパラメータの組み合わせが、そのデータを処理するアプリケーション等に誤動作を引き起こすとして予め設定された既知の条件を満たしているか否かが判定される(ステップS13)。ここで上記条件を満たしていれば当該受信パケットは不正アクセスに関わるパケットであると判定され、当該受信パケットを破棄するよう指示する(ステップS15)。
【0040】
一方、上記条件を満たしていなければ、当該受信パケットを送出対象パケットとして、パケット送出部105に当該受信パケットの転送指示を行なう(ステップS14)。
【0041】
また、上記ステップS12において、他のパケットの情報も必要であると判断された際は、受信パケットが、断片化されたパケットで、かつパケット解析機構104内に解析済みパケットとして保持されている、送出済みの他の断片化されたパケットとデータ領域がオーバーラップしているパケットであるかどうか等、サーバに誤動作引き起こすとして予め設定された既知の条件を満たしているか否かが判定される(図5のステップS21)。ここで上記条件を満たしていれば当該受信パケットは不正アクセスに関わるパケットであると判定される。
【0042】
一方、上記条件を満たしていなければ、次に、受信パケットが、TCPのパケットで、かつパケット解析機構104内に解析済みパケットとして保持されている、コネクション識別情報が受信パケットと同一の送出済みのパケットとデータ領域がオーバーラップしているパケットであるかどうか等、サーバに誤動作引き起こすとして予め設定された既知の条件を満たしているか否かが判定される(ステップS22)。ここで上記条件を満たしていれば当該受信パケットは不正アクセスに関するパケットであると判定される。
【0043】
一方、上記条件を満たしていなければ、次に、パケット解析機構104内に解析済みのパケットとして保持されている、受信パケットと同一のコネクション識別情報を持つ必要に応じた数の過去の送出済みパケットを用いて、解析に充分な長さのストリームデータを再構築する(ステップS23)。そして、当該再構築されたデータストリームによって搬送されているデータの長さ、あるいはデータが指定しているパラメータが誤動作を引き起こすとして予め設定された既知の条件を満たしているか否かが判定される(ステップS24)。ここで上記条件を満たしていれば当該受信パケットは不正アクセスに関するパケットであると判定され、また条件を満たしていなければ不正アクセスに関するパケットではないと判定されることになる。
【0044】
以上のように、パケットデータ解析部111によるパケット解析処理では様々な観点に基づいて、受信パケットが運ぶデータの解析が行われるので、パケットデータ解析部111によって不正アクセスに関わるパケットであると判定された受信パケットについては、その受信パケットのコネクション識別情報を不正コネクションテーブル112に登録し、以降は、そのコネクション識別情報と同一のコネクション識別情報を持つ受信パケットについてはパケット解析処理を行なわずに直ちに不正アクセスに関するパケットであると判定することにより、少ない負荷で効率よく不正アクセスに関するパケットを検知することが可能となる。
【0045】
なお、上述した解析済みの過去のパケットを用いてデータ再構築を行なう機能をパケットデータ解析部111内に設けた場合は、判定すべき不正アクセスの種類の増加に対応するなどの目的でパケットデータ解析部111を新たなバージョンに交換する様な場合に、過去のパケットの内容が失われてしまうので、データ再構築に関する機能と、パケットデータ解析機能とは互いに独立したモジュールとして実現することが好ましい。この場合の構成例を図6に示す。
【0046】
図6に示されているように、パケット解析機構104は、パケットデータ解析部111と、コネクションデータ再構築部203と、過去パケット格納部204からなる。パケットデータ解析部111は、プロトコル処理部201と、不正アクセスデータベース202を持ち、必要に応じ、コネクションデータ再構築部203によって再構築された同一のコネクション識別情報を持つ複数のパケットに分割して運ばれているデータを参照しながら、不正アクセスデータベース202を検索し、パケットが運ぶデータを解析し、当該パケットが、不正アクセスに関わるパケットか否かを判定する機能を持つ。
【0047】
コネクションデータ再構築部203は、同一のコネクション識別情報を持つ複数のパケットに分割して運ばれているデータを、再構築してパケットデータ解析部111に渡す機能を持つ。過去パケット格納部204は、パケットデータ解析部111によって既に解析され、送信先のネットワークセグメントに送出済みの過去のパケットを保持しておくためのものであり、ここには、パケット保留キュー103に保留されているパケットの受信以前に受信したパケットで、且つ解析済みの過去パケットのデータが蓄積される。過去パケット格納部204は、コネクションデータ再構築部203の要求に応じて、指定されたコネクション識別情報を持つ過去の解析済みパケットをコネクションデータ再構築部203に提供する機能を持つ。
【0048】
図6のパケット解析機構104においては、パケットデータ解析部111に渡されたパケットについて、当該パケットのヘッダ部のオプションやパラメータの組合せや、当該パケットが運ぶデータの長さやデータが指定するパラメータの組合せが、不正アクセスデータベース202に登録された既知の不正アクセスの条件を満たしているか否かが判定される。この際、必要に応じてプロトコル処理部201によって当該パケットが運ぶデータの種類に応じたプロトコル処理を行なう。当該パケットが運ぶデータが、同一のコネクション識別情報を持つ複数のパケットに分割して運ばれているデータの一部である場合には、プロトコル処理部201は、コネクションデータ再構築部203によって、過去パケット格納部204に格納された、当該パケットの受信以前に受信した解析済みパケットから同一のコネクション識別情報を持つパケットを取り出し、再構築を行なう。
【0049】
この際、分割されたデータを運ぶすべてのパケットがまだ受信されてない場合は、過去パケット格納部204に格納されたパケットおよび当該受信されたパケットから構築可能な部分のみ再構築を行なう。プロトコル処理部201は、このようにして再構築されたデータの長さや指定するパラメータの組み合わせが、不正アクセスデータベース202に登録された既知の不正アクセスの条件を満たしているか否かを判定する。
【0050】
ここで、分割されたデータを運ぶすべてのパケットが受信できていない状態で、判定すべき不正アクセスの種類の増加に対応するなどの目的でパケットデータ解析部111を交換した場合を考える。
【0051】
パケットデータ解析部111の交換後に、続いて同一のコネクション識別情報を持つパケットが受信され、パケットデータ解析部111に渡されたとすると、プロトコル処理部201は、コネクションデータ再構築部203によって、過去パケット格納部204に格納された、当該パケットの受信以前に受信したパケットの中から同一のコネクション識別情報を持つパケットを取り出し、再構築を行なう。パケットデータ解析部111の交換以前に受信されたパケットも、過去パケット格納部204に格納されているため、このように、分割されたデータを運ぶすべてのパケットが受信できていない状態で、判定すべき不正アクセスの種類の増加に対応するなどの目的でパケットデータ解析部111を交換したとしても、コネクションデータ再構築部203は、データの再構築を正しく行なうことが可能となる。
【0052】
コネクションデータ再構築部203で途中まで再構築したデータはキャッシュの形でコネクションデータ再構築部203内に保持しておき、保持された再構築データがコネクションデータ再構築部203に存在する場合は、過去パケット格納部204に格納されたパケットのデータの代わりに用いることも可能である。このようにして、交換以前から交換後に跨る複数のパケットに分割されたデータによって攻撃が行われた場合でも、その攻撃を検知しパケットを破棄する事が可能となる。
【0053】
図7は、図6の構成を図2のパケット解析機構104に適用した場合の構成例である。
【0054】
この図7のパケット解析機構104においては、図2の不正コネクション判定機構113の機能が、プロトコル処理部201によって行われる。すなわち、不正コネクションテーブル112を持つ解析結果保持部205が設けられており、パケットデータ解析部111のプロトコル処理部201は、解析結果保持部205に対して、受信パケットのコネクション識別情報が、既に不正パケットであると判定されたパケットと同一の識別情報を持つものであるかどうかを問い合わせ、その問い合わせ結果によって、パケットデータ解析処理を行なう必要があるか否かを判断する。
【0055】
解析結果保持部205は、パケットデータ解析部111からの要求に応じて、不正アクセスに関するパケットであると判定された受信パケットのコネクション識別情報を不正コネクションテーブル112に登録する機能、さらには、パケットデータ解析部111からの問い合わせに応じて、不正コネクションテーブル112を参照して、要求されたコネクション識別情報と同一のコネクション識別情報が登録されているかどうかを判定し、その判定結果をパケットデータ解析部111に通知する機能を持つ。
【0056】
次に、図8のフローチャートを参照して、図7のパケット解析機構104を用いた場合のパケット転送装置11の動作を説明する。なお、基本部の構成は図1を参照するものとする。
【0057】
まず、パケット転送装置11のパケット受信部101により、ネットワークセグメントA上のパケットが受信される(ステップS201)。この受信パケットには、パケット識別子付加機構102によりパケット転送装置11内でユニークな識別子が付加され、その識別子が付加された受信パケットはパケット保留キュー103に格納されると共に、パケット解析機構104にも渡される。パケット解析機構104においては、最初に、プロトコル処理部201が、受信パケットのコネクション識別情報を判別し(ステップS202)、当該コネクション識別情報が既に不正アクセスに関するパケットのコネクション識別情報として登録されているか否かを解析結果保持部205に対して問い合わせる(ステップS203)。
【0058】
解析結果保持部205は、プロトコル処理部201からの問い合わせに従い不正コネクションテーブル112をサーチし、その結果をプロトコル処理部201に通知する。この通知に基づいて、プロトコル処理部201は、受信パケットが、不正コネクションテーブル112に登録されたコネクション識別情報を持つパケットであるかどうかを判別する(ステップS204)。
【0059】
受信パケットが不正コネクションテーブル112に登録されたコネクション識別情報を持っていた場合(ステップS204のYes)、プロトコル処理部201は、当該パケットに対するパケットデータ解析処理を行なうことなく、当該パケットが不正アクセスであることを、パケット解析機構104の解析出力として、当該パケットの識別子を用いてパケット送出部105へ伝える。これにより、パケット保留キュー103に格納されている当該パケットは送出されずに、破棄される(ステップS210)。
【0060】
一方、受信パケットが不正コネクションテーブルに登録されたコネクション識別情報を持っていなかった場合、プロトコル処理部201は、当該パケットのデータを解析して、それが不正アクセスに関わるパケットであるか否かを判定するためのパケットデータ解析処理を行なう(ステップS205)。このパケットデータ解析処理では、必要に応じ、コネクションデータ再構築部203に対してデータの再構築が要求され、解析対象の受信パケットと、それと同一の識別情報を持つ過去の解析済みパケットとを用いてデータの再構築が行われる。そして、その再構築されたデータを基に不正アクセスデータベース202が参照される。
【0061】
このようなパケットデータ解析処理により当該パケットが不正アクセスに関わるものでは無いパケットであると判定された場合には、パケット解析機構104は、当該解析済みの受信パケットを過去パケット格納部204に格納し(ステップS207)、そして当該パケットに付加された識別子をパケット送出部105に伝える。識別子を伝えられたパケット送出部105は、パケット保留キュー103から、当該識別子を持つパケットを取り出し、ネットワークセグメントBに送出する(ステップS208)。
【0062】
一方、パケットデータ解析処理により当該パケットが不正アクセスに関わるものであると判定された場合は、当該パケットのコネクション識別情報が解析結果保持部205に送られ、その不正コネクションテーブル112に登録される(ステップS209)。そして、パケット解析機構104は、不正アクセスと判定した当該パケットの識別子をパケット送出部105へ伝える。これにより、パケット送出部105からは、パケット保留キュー103に格納されている当該パケットは送出されずに、破棄される(ステップS210)。
【0063】
図9は、解析結果保持部205がコネクションデータ再構築部203内に含まれている場合のパケット解析機構104の構成例である。
【0064】
パケットデータ解析部111は、コネクションデータ再構築部203に対して、解析を行おうとする受信パケットと同一のコネクション識別情報を持つ複数のパケットに分割されて運ばれてくるデータの再構築を要求して、コネクションデータ再構築部203から、受信パケットの持つコネクション識別情報と同一のコネクション識別情報のパケットが過去に不正アクセスに関わると判定されていたか否かの情報を取得する機能と、上記機能により受信パケットのコネクション識別情報が過去に不正アクセスに関わると判定されていなかった場合には、再構築された同一のコネクション識別情報を持つ複数のパケットに分割されて運ばれてくるデータを参照しながら、不正アクセスデータベース202を検索し、その受信パケットが運ぶデータを解析して、不正アクセスに関わるパケットか否かを判定する機能を持つ。
【0065】
コネクションデータ再構築部203は、解析結果保持部205に格納された、解析を行おうとする受信パケットの持つコネクション識別情報と同一のコネクション識別情報のパケットが過去に不正アクセスに関わると判定されていたか否かの情報を参照し、不正アクセスと判定されていた場合には、その旨をパケットデータ解析部111に通知する機能を持ち、また、不正アクセスと判定されていなかった場合には、過去パケット格納部204に格納された、同一のコネクション識別情報を持つ過去のパケットを参照しながら、同一のコネクション識別情報を持つ複数のパケットに分割されて運ばれてくるデータを再構築する機能を持つ。
【0066】
次に、図10のフローチャートを参照して、図9に示すパケットデータ解析部111からデータ再構築要求を受けた場合に実行されるコネクションデータ再構築部203の動作を説明する。
【0067】
コネクションデータ再構築部203は、受信パケットと同一のコネクション識別情報を持つ複数のパケットに分割されて運ばれてくるデータの再構築の要求をパケットデータ解析部111から受け取ると、まず、その受信パケットのコネクション識別情報を取得する(ステップS301)。そしてデータ再構築処理を行なう前に、解析結果保持部205に保持されている過去に不正アクセスに関するパケットであると判定されたパケットのコネクション識別情報を参照して、指定されたコネクション識別情報と同一のコネクション識別情報が解析結果保持部205に保持されているかどうかを判別する(ステップS302)。受信パケットのコネクション識別情報と同一のコネクション識別情報が保持されている場合には、コネクションデータ再構築部203は、当該受信パケットは不正アクセスに関するパケットである旨を、直ちにパケットデータ解析部111に通知する(ステップS303)。
【0068】
一方、取得したコネクション識別情報と同一のコネクション識別情報が保持されていなかった場合には、コネクションデータ再構築部203は、受信パケットと同じコネクション識別情報を持つ過去の解析済みパケットを過去パケット格納部204から取り出して、受信パケットと同一のコネクション識別情報を持つ複数のパケットに分割されて運ばれてきたデータを再構築し、それをパケットデータ解析部111に通知する(ステップS304,S305)。
【0069】
このように、解析結果保持部205をコネクションデータ再構築部203内に設け、データ再構築処理のみならず、既に不正アクセスに関するパケットであると判定されているパケットと同一のコネクション識別情報を持つものであるか否かの判定についてもコネクションデータ再構築部203内で行なうことにより、少ない部品点数で、効率よく処理を行なうことが可能となる。
【0070】
なお、以上説明したパケット転送装置11の各構成要素は、専用のハードウェア或いはDSP等で実現できるほか、コンピュータ上で実行されるプログラムとしても実現可能である。この場合、例えば、ネットワークセグメント間に接続された特定のコンピュータ上で、上述したパケット転送装置11の機能を持つプログラムを実行させることにより、専用装置として実現した場合と同様の効果を容易に実現することが出来る。このようにパケット転送装置11の機能をコンピュータプログラムで実現した場合でも、パケットデータ解析部111については、コネクションデータ再構築部203および過去パケット格納部204とは独立したプログラムモジュールとして実現しておくことが好ましい。また、本パケット転送装置11の機能はネットワークに接続されるコンピュータにおいて、そのネットワークから当該コンピュータ内のプログラムへの不正パケットの侵入を検知・防止するためのコンピュータプログラムとしても実現することができる。
【0071】
また、本発明は、上記実施形態に限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。更に、上記実施形態には種々の段階の発明が含まれており、開示される複数の構成要件における適宜な組み合わせにより種々の発明が抽出され得る。例えば、実施形態に示される全構成要件から幾つかの構成要件が削除されても、発明が解決しようとする課題の欄で述べた課題が解決でき、発明の効果の欄で述べられている効果が得られる場合には、この構成要件が削除された構成が発明として抽出され得る。
【0072】
【発明の効果】
以上説明したように、本発明によれば、コネクション識別情報記憶手段に不正アクセスに関わるパケットであると記憶されたコネクション識別情報を持つパケットを受信した場合、データ解析を行うことなく、直ちに不正アクセスに関わるパケットであることが判別されるため、不正アクセスに対し効率よく禁止することが可能となる。
【図面の簡単な説明】
【図1】本発明の一実施形態に係るパケット転送装置の構成を示すブロック図。
【図2】図1のパケット転送装置に設けられたパケット解析機構の構成例を示すブロック図。
【図3】図1のパケット転送装置の動作を説明するフローチャート。
【図4】図1のパケット転送装置におけるパケットデータ解析処理の手順の一部を示すフローチャート。
【図5】図1のパケット転送装置におけるパケットデータ解析処理の手順の残りの一部を示すフローチャート。
【図6】図1のパケット転送装置に設けられたパケット解析機構の他の構成例を示すブロック図。
【図7】図1のパケット転送装置に設けられたパケット解析機構の更に他の構成例を示すブロック図。
【図8】図7のパケット解析機構を用いたパケット転送装置の動作を説明するフローチャート。
【図9】図1のパケット転送装置に設けられたパケット解析機構の別の構成例を示すブロック図。
【図10】図9のパケット解析機構に設けられたコネクションデータ再構築部の処理を説明するフローチャート。
【符号の説明】
11…パケット転送装置
101…パケット受信部
102…パケット識別子付加機構
103…パケット保留キュー
104…パケット解析機構
105…パケット送出部
111…パケットデータ解析部
112…不正コネクションテーブル
113…不正コネクション判定機構
201…プロトコル処理部
202…不正アクセスデータベース
203…コネクションデータ再構築部
204…過去パケット格納部
205…解析結果保持部[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a packet transfer device and a packet transfer method for controlling transfer of a packet between a plurality of network segments.
[0002]
[Prior art]
2. Description of the Related Art In recent years, a filter type IDS device (IDS: intrusion detection system intrusion detection system) has attracted attention as a packet transfer device for controlling packet transfer between a plurality of network segments.
[0003]
This filter-type IDS device analyzes data carried by a received packet and determines whether or not the packet is related to unauthorized access. In the packet data analysis processing, a database in which known patterns relating to unauthorized access are registered is referred to, and it is determined whether or not a received packet corresponds thereto. A received packet determined to be a packet related to an unauthorized access by this analysis processing is discarded without being transferred. Thereby, intrusion of an illegal packet can be prevented beforehand, and a certain level of security can be ensured.
[0004]
In the conventional filter type IDS device, the above-described analysis processing is performed on all the received packets, and it is determined whether or not the received packet is a packet related to an unauthorized access.
[0005]
[Problems to be solved by the invention]
By the way, in general, in a communication system that performs communication via a packet switching network, a response confirmation is transmitted when a packet is received on a receiving side, and the packet arrives at a receiving side by a response confirmation from the receiving side. If this cannot be confirmed, the reliability of communication is ensured by, for example, transmitting (retransmitting) the packet again. When the above-described filter-type IDS device is used in such a communication system, the filter-type IDS device determines that the received packet is a packet related to unauthorized access and discards the received packet. Therefore, the same packet is transmitted again by retransmission.
[0006]
In the conventional filter-type IDS device, the content of the data transmitted from the retransmission packet is analyzed in the same manner as the packet transmitted first. However, the same data as the data carried by the retransmission packet has already been analyzed, and re-analyzing the data content consumes CPU resources of a system used as a filter type IDS device. Therefore, when unauthorized access occurs frequently, a large number of retransmission packets are sent, and there is a problem that the performance of packet transfer is reduced.
[0007]
The present invention has been made in view of the above circumstances, and has as its object to provide a packet transfer device and a packet transfer method capable of efficiently prohibiting transfer of a packet related to an unauthorized access.
[0008]
[Means for Solving the Problems]
In order to solve the above-mentioned problem, a packet transfer device of the present invention is a packet transfer device for controlling transfer of a packet between a plurality of network segments, wherein the packet reception device receives a packet on a network segment; Packet holding means for temporarily holding the received packet received in step 1, connection identification information storage means for registering connection identification information of a packet determined to be a packet related to unauthorized access, and a received packet received by the packet receiving means. First determining means for determining whether or not the connection identification information of the received packet is registered in the connection identification information storage means, and determining whether or not the packet is related to unauthorized access; and connection identification information of the received packet. Is the connection identification information If it is determined not to be registered in the unit analyzes the data of the received packet, a second determination means for determining whether the received packet is a packet related to unauthorized access or normal packets, A past packet holding unit that holds the analyzed packet analyzed by the second determination unit as a past packet; and a past packet holding unit that holds the received packet and the same connection identification information as the received packet. Connection data reconstructing means for reconstructing a series of data which is divided into a plurality of packets and carried by the past packet, A packet analysis unit having a unit that registers connection identification information of the received packet in the connection identification information storage unit when it is determined that the packet is related to unauthorized access by data analysis of the received packet; and A packet sending unit that discards a packet related to the unauthorized access among the received packets temporarily held in the packet holding unit based on the determination result, and sends only a normal received packet to a destination network segment; Equipped with The second determining means includes means for analyzing data reconstructed by the connection data reconstructing means for data analysis of the received packet. It is characterized by the following.
[0009]
Further, the packet transfer device of the present invention is a packet transfer device for controlling transfer of a packet between a plurality of network segments, wherein the packet transfer device receives a packet on the network segment, and temporarily stores the packet received by the packet reception device. Packet holding means for holding, connection identification information storage means for registering connection identification information of a packet determined to be a packet related to unauthorized access, and connection identification information of a received packet received by the packet receiving means, Analysis result holding means having first determination means for determining whether or not the packet is related to unauthorized access by determining whether or not the packet is registered in the identification information storage means; Packets related to unauthorized access When receiving the determination result of whether or not the connection identification information of the received packet is not registered in the connection identification information storage means, analyze the data of the received packet using an unauthorized access database, Second determining means for determining whether the received packet is a packet relating to a normal packet or a packet relating to an unauthorized access; and, when data analysis of the received packet determines that the received packet is a packet relating to an unauthorized access, connection identification of the received packet. Packet data analysis means having means for registering information in the connection identification information storage means, past packet holding means for holding the analyzed packets analyzed by the packet data analysis means as past packets, and the past packet holding means Obtained by referring to the above From the past packet having the same connection identification information as the transmitted packet, a series of data divided into a plurality of packets and carried is reconstructed, and the reconstructed data is used as analysis data by the second determination means. Based on the determination result of the provided connection data reconstructing means and the packet data analyzing means, of the received packets temporarily held in the packet holding means, a packet related to the unauthorized access is discarded and normal reception is performed. Packet transmitting means for transmitting only a packet to a destination network segment.
[0010]
In this packet transfer device, for a received packet determined by the packet analysis unit to be a packet related to unauthorized access, the connection identification information of the received packet is stored in the connection identification information storage unit as the analysis result of the packet data analysis. be registered. Thereafter, the received packet having the same connection identification information as the connection identification information is discarded without determining whether or not the packet is related to an unauthorized access by data analysis. Therefore, even if a large number of retransmission packets related to the unauthorized access are sent, it is possible to prohibit the transfer of the packet related to the unauthorized access without lowering the performance of the packet transfer.
[0011]
Here, the connection identification information is not merely address information but means identification information commonly assigned to each of a plurality of packets carrying a series of data in each session for each session. If a configuration in which only address information in a packet such as a source address and a destination address is registered is used, packet filtering is performed on a physical network node basis such as a terminal or a server. Packet transmission from a terminal determined to have transmitted the packet or from all terminals under NAT (Network Address Translation) will be prohibited at any time thereafter. On the other hand, when the connection identification information is used, packet filtering can be realized for each session between a user who has requested a certain service and a server which provides the service.
[0012]
For example, in TCP, a combination of a source address and port number and a destination address and port number included in a packet is the connection identification information.
[0013]
In addition, a past packet holding unit that holds a packet whose data has been analyzed as a past packet and a past packet that has the same connection identification information as the received packet obtained from the past packet holding unit and the received packet is used. Accordingly, it is preferable to further provide a connection data reconstructing means for reconstructing a series of data that is divided and carried in a plurality of packets.
[0014]
As a result, based on the data content of a plurality of packets carrying a series of data having the same connection identification information, including not only individual data of the received packet but also analyzed past packets, the received packet is a packet related to unauthorized access. , It is possible to further improve the accuracy of packet data analysis, and to improve security performance.
[0015]
In this case, if the packet analysis unit exchanges the packet analysis unit for the purpose of responding to an increase in the types of unauthorized access to be determined if the packet analysis unit holds the analyzed packet inside, the packet is processed before the exchange. The data content of the analyzed past packet is lost. If an attack is performed by using data divided into a plurality of packets straddling before and after the exchange, the attack cannot be detected, and as a result, unauthorized access cannot be prevented. Therefore, as described above, it is preferable that the analyzed past packet holding unit and the connection data reconstructing unit are provided separately from the packet data analyzing unit. As a result, even when the packet data analysis means is exchanged, the analyzed packet processed before the exchange can be held, and the data can be reconstructed based on the analyzed packet. Specifically, the packet analysis means may be configured as a module independent of the past packet holding means and the connection data restructuring means so that the packet data analysis means can be exchanged alone.
[0016]
Further, since the connection data restructuring means reconstructs data using the connection identification information, the connection data restructuring means has determined by analysis of the packet data that the packet is related to an unauthorized access. Means for storing connection identification information of the received packet, and before reconstructing the data, determine whether the received packet has connection identification information held in the connection identification information storage means, By providing a means for notifying the determination result to the packet data analysis means, the connection management function of the connection data restructuring means can be more effectively utilized.
[0017]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 shows a packet transfer device according to one embodiment of the present invention. The
[0018]
As shown, the
[0019]
The
[0020]
The
[0021]
When the
[0022]
In the unauthorized connection table 112, as a result of the packet data analysis by the packet
[0023]
Here, the connection identification information registered as a packet data analysis result in the unauthorized connection table 112 means identification information commonly assigned to each of a plurality of packets carrying a series of data in each session. . If only address information such as a source address and a destination address is used, packet filtering is performed on a physical network node basis such as a terminal or a server, so, for example, from a terminal once determined to have transmitted an invalid packet, Will be banned after that. In particular, once a packet transferred via NAT is once determined to be a packet related to unauthorized access, access from all terminals connected to the network via NAT is prohibited. On the other hand, when the connection identification information is used, packet filtering can be realized for each session between a user who has requested a certain service and a server that provides the service, and the above-described problem does not occur. .
[0024]
For example, in TCP, a combination of a source address and port number and a destination address and port number included in a packet is connection identification information. The port number is, for example, a pair between the application program in the terminal requesting the service and the server program in the server providing the service between the terminal specified by the source address and the server specified by the destination address. It is used to tie together. The port number assigned to the application program in the terminal is changed every time the network is connected, and is dynamically assigned when the application program connects to the server. Therefore, for example, assuming that a certain terminal accesses a server by starting a specific program and receives a specific service provided by the server, a series of data is transferred from the terminal to the server during the access period. , A common connection identifier is assigned to each of the plurality of packets, and a common connection identifier is assigned to a plurality of packets for carrying a series of data from the server to the terminal. Therefore, by using such identification information for connection identification, access prohibition control is not performed for a physical network node such as a terminal or a server, but for a user who has requested a service and a server that provides the service. , Access prohibition control can be realized in session units.
[0025]
Even when using a connectionless transfer protocol such as UDP, a common connection identification information is added to each packet carrying data from a source to a destination by a higher-level protocol for each session. Access prohibition control.
[0026]
When the
[0027]
FIG. 2 shows an example of a specific configuration of the
[0028]
The
[0029]
The packet
[0030]
Next, the operation of the
[0031]
First, the packet transmitted on the network segment A is received by the
[0032]
First, the
[0033]
If the received packet has the connection identification information registered in the unauthorized connection table 112, the unauthorized
[0034]
On the other hand, when the unauthorized
[0035]
On the other hand, if it is determined that the packet is related to unauthorized access, the packet
[0036]
By performing this series of operations each time a packet is received, even if a large number of retransmission packets are sent due to frequent unauthorized access, the packet transfer related to the unauthorized access can be performed without lowering the packet transfer performance. Transfer can be prohibited.
[0037]
Next, a specific example of the packet data analysis processing performed in step S105 will be described with reference to the flowcharts of FIGS.
[0038]
In the packet data analysis process, it is first determined whether or not the combination of the header field option and the parameter satisfies a known condition set in advance as causing a malfunction in a packet transmission destination server for a received packet. (Step S11). That is, a process is performed to discriminate that the packet is transmitted from a suspicious partner or a suspicious packet of a different format from the header of the received packet. Here, if the above condition is satisfied, the received packet is determined to be a packet related to unauthorized access, and an instruction is given to discard the received packet (step S15).
[0039]
On the other hand, if the above condition is not satisfied, it is next determined whether or not information of another packet such as a fragmented packet or a packet transferred by the TCP protocol is necessary for the determination (step S12). . If no other packet is required, the length of the data carried next by the packet, or the combination of parameters specified by the data, is set in advance as causing a malfunction to the application or the like that processes the data. It is determined whether the known condition is satisfied (step S13). Here, if the above condition is satisfied, the received packet is determined to be a packet related to unauthorized access, and an instruction is given to discard the received packet (step S15).
[0040]
On the other hand, if the above condition is not satisfied, the
[0041]
When it is determined in step S12 that information of another packet is also necessary, the received packet is a fragmented packet and is held in the
[0042]
On the other hand, if the above condition is not satisfied, then, the received packet is a TCP packet and is held in the
[0043]
On the other hand, if the above-mentioned condition is not satisfied, next, as many as necessary past transmitted packets having the same connection identification information as the received packet, which are held as packets already analyzed in the
[0044]
As described above, in the packet analysis processing by the packet
[0045]
When the function of reconstructing data using the analyzed past packet is provided in the packet
[0046]
As shown in FIG. 6, the
[0047]
The connection
[0048]
In the
[0049]
At this time, if all the packets carrying the divided data have not been received yet, only the packet stored in the past
[0050]
Here, a case is considered where the packet
[0051]
After the exchange of the packet
[0052]
The data reconstructed halfway by the connection
[0053]
FIG. 7 is a configuration example when the configuration in FIG. 6 is applied to the
[0054]
In the
[0055]
The analysis
[0056]
Next, the operation of the
[0057]
First, the packet on the network segment A is received by the
[0058]
The analysis
[0059]
If the received packet has the connection identification information registered in the unauthorized connection table 112 (Yes in step S204), the
[0060]
On the other hand, if the received packet does not have the connection identification information registered in the unauthorized connection table, the
[0061]
If the packet data analysis processing determines that the packet is not related to unauthorized access, the
[0062]
On the other hand, if the packet data analysis processing determines that the packet is related to unauthorized access, the connection identification information of the packet is sent to the analysis
[0063]
FIG. 9 is a configuration example of the
[0064]
The packet
[0065]
The connection
[0066]
Next, the operation of the connection
[0067]
When the connection
[0068]
On the other hand, if the same connection identification information as the acquired connection identification information is not held, the connection
[0069]
As described above, the analysis
[0070]
Each component of the
[0071]
Further, the present invention is not limited to the above-described embodiment, and can be variously modified in an implementation stage without departing from the gist thereof. Further, the embodiments include inventions at various stages, and various inventions can be extracted by appropriately combining a plurality of disclosed constituent elements. For example, even if some components are deleted from all the components shown in the embodiment, the problem described in the column of the problem to be solved by the invention can be solved, and the effects described in the column of the effect of the invention can be solved. Is obtained, a configuration from which this configuration requirement is deleted can be extracted as an invention.
[0072]
【The invention's effect】
As described above, according to the present invention, when a packet having connection identification information stored as a packet related to unauthorized access in the connection identification information storage unit is received, unauthorized access is immediately performed without performing data analysis. Therefore, it is possible to efficiently prohibit unauthorized access.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a packet transfer device according to an embodiment of the present invention.
FIG. 2 is a block diagram showing a configuration example of a packet analysis mechanism provided in the packet transfer device of FIG. 1;
FIG. 3 is a flowchart illustrating the operation of the packet transfer device of FIG. 1;
FIG. 4 is a flowchart showing a part of a procedure of a packet data analysis process in the packet transfer device of FIG. 1;
FIG. 5 is a flowchart showing the remaining part of the procedure of the packet data analysis process in the packet transfer device of FIG. 1;
FIG. 6 is a block diagram showing another example of the configuration of the packet analysis mechanism provided in the packet transfer device of FIG. 1;
FIG. 7 is a block diagram showing still another configuration example of the packet analysis mechanism provided in the packet transfer device of FIG. 1;
FIG. 8 is a flowchart illustrating the operation of the packet transfer device using the packet analysis mechanism of FIG. 7;
FIG. 9 is a block diagram showing another configuration example of the packet analysis mechanism provided in the packet transfer device of FIG. 1;
FIG. 10 is a flowchart illustrating a process of a connection data restructuring unit provided in the packet analysis mechanism of FIG. 9;
[Explanation of symbols]
11 ... Packet transfer device
101: Packet receiving unit
102: Packet identifier adding mechanism
103: Packet hold queue
104: Packet analysis mechanism
105: Packet sending unit
111: Packet data analysis unit
112 ... Illegal connection table
113 ... Unauthorized connection determination mechanism
201: Protocol processing unit
202: Unauthorized access database
203: Connection data restructuring unit
204: Past packet storage unit
205: Analysis result holding unit
Claims (15)
ネットワークセグメント上のパケットを受信するパケット受信手段と、
前記パケット受信手段で受信した受信パケットを一時保留するパケット保留手段と、
不正アクセスに関わるパケットであると判定されたパケットのコネクション識別情報が登録されるコネクション識別情報記憶手段と、前記パケット受信手段により受信した受信パケットのコネクション識別情報が前記コネクション識別情報記憶手段に登録されているか否かを判別して、不正アクセスに関わるパケットであるか否かを判定する第1の判定手段と、前記受信パケットのコネクション識別情報が前記コネクション識別情報記憶手段に登録されていないと判別した場合、前記受信パケットのデータを解析して、当該受信パケットが正常なパケットか不正アクセスに関わるパケットであるかを判定する第2の判定手段と、前記第2の判定手段によって解析された解析済みのパケットを過去パケットとして保持する過去パケット保持手段と、前記受信パケットと当該受信パケットと同一のコネクション識別情報を持つ前記過去パケット保持手段に保持された前記過去パケットとにより、複数のパケットに分割されて運ばれてくる一連のデータを再構築するコネクションデータ再構築手段と、前記受信パケットのデータ解析によって不正アクセスに関わるパケットであると判定した場合、当該受信パケットのコネクション識別情報を前記コネクション識別情報記憶手段に登録する手段とを有するパケット解析手段と、
前記パケット解析手段の前記判定結果に基づき、前記パケット保留手段に一時保留されている前記受信パケットのうち、前記不正アクセスに関わるパケットは破棄し、正常な受信パケットのみを送信先のネットワークセグメントへ送出するパケット送出手段とを具備し、
前記第2の判定手段は、前記受信パケットのデータ解析のために、前記コネクションデータ再構築手段によって再構築されたデータを解析する手段を含むことを特徴とするパケット転送装置。In a packet transfer device that controls transfer of a packet between a plurality of network segments,
Packet receiving means for receiving packets on the network segment;
Packet holding means for temporarily holding the received packet received by the packet receiving means,
A connection identification information storage unit in which connection identification information of a packet determined to be a packet related to an unauthorized access is registered, and a connection identification information of a received packet received by the packet receiving unit is registered in the connection identification information storage unit. First determining means for determining whether the packet is related to unauthorized access, and determining that connection identification information of the received packet is not registered in the connection identification information storage means. In this case, a second determining unit that analyzes data of the received packet to determine whether the received packet is a normal packet or a packet related to an unauthorized access, and an analysis analyzed by the second determining unit. Past packet holding means for holding completed packets as past packets A connection for reconstructing a series of data divided into a plurality of packets and carried by the received packet and the past packet held in the past packet holding means having the same connection identification information as the received packet. Packet analysis means having data restructuring means and means for registering connection identification information of the received packet in the connection identification information storage means when it is determined by the data analysis of the received packet that the packet is related to unauthorized access; ,
Based on the result of the determination by the packet analysis unit, of the received packets temporarily held in the packet holding unit, the packet related to the unauthorized access is discarded, and only the normal received packet is sent to the destination network segment. ; and a packet sending means for,
The packet transfer device according to claim 2, wherein said second determining means includes means for analyzing data reconstructed by said connection data reconstructing means for data analysis of said received packet .
ネットワークセグメント上のパケットを受信するパケット受信手段と、Packet receiving means for receiving packets on the network segment;
前記パケット受信手段により受信したパケットを一時保留するパケット保留手段と、Packet holding means for temporarily holding the packet received by the packet receiving means,
不正アクセスに関わるパケットであると判定されたパケットのコネクション識別情報が登録されるコネクション識別情報記憶手段と、前記パケット受信手段により受信した受信Connection identification information storage means for registering connection identification information of a packet determined to be a packet related to unauthorized access, and reception received by the packet reception means パケットのコネクション識別情報が前記コネクション識別情報記憶手段に登録されているか否かを判別して、不正アクセスに関わるパケットであるか否かを判定する第1の判定手段とを有する解析結果保持手段と、Analysis result holding means having first determination means for determining whether or not connection identification information of a packet is registered in the connection identification information storage means and determining whether or not the packet is related to unauthorized access; ,
前記解析結果保持手段からの不正アクセスに関わるパケットであるか否かの判定結果を受信し、前記受信パケットのコネクション識別情報が前記コネクション識別情報記憶手段に登録されていないと判別した場合に、不正アクセスデータベースを用いて前記受信パケットのデータを解析し、当該受信パケットが正常なパケットか不正アクセスに関わるパケットであるかを判定する第2の判定手段と、前記受信パケットのデータ解析によって不正アクセスに関わるパケットであると判定した場合、当該受信パケットのコネクション識別情報を前記コネクション識別情報記憶手段に登録する手段と有するパケットデータ解析手段と、When a determination result as to whether or not the packet is related to an unauthorized access is received from the analysis result holding unit, and it is determined that the connection identification information of the received packet is not registered in the connection identification information storage unit, an unauthorized Second determining means for analyzing the data of the received packet using an access database to determine whether the received packet is a normal packet or a packet related to an unauthorized access; Packet data analysis means having means for registering the connection identification information of the received packet in the connection identification information storage means,
前記パケットデータ解析手段によって解析された解析済みのパケットを過去パケットとして保持する過去パケット保持手段と、Past packet holding means for holding the analyzed packet analyzed by the packet data analyzing means as a past packet,
前記過去パケット保持手段を参照して得られる、前記受信パケットと同一のコネクション識別情報を持つ過去パケットから、複数のパケットに分割されて運ばれてくる一連のデータを再構築し、その再構築したデータを解析用データとして前記第2の判定手段に提供するコネクションデータ再構築手段と、From a past packet obtained by referring to the past packet holding means and having the same connection identification information as the received packet, a series of data divided into a plurality of packets and carried is reconstructed, and the reconstructed Connection data restructuring means for providing data as analysis data to the second determination means;
前記パケットデータ解析手段の前記判定結果に基づき、前記パケット保留手段に一時保留されている前記受信パケットのうち、前記不正アクセスに関わるパケットは破棄し、正常な受信パケットのみを送信先のネットワークセグメントへ送出するパケット送出手段とBased on the result of the determination by the packet data analysis unit, of the received packets temporarily held in the packet holding unit, the packet related to the unauthorized access is discarded, and only the normal received packet is sent to the destination network segment. Packet sending means to send
を具備することを特徴とするパケット転送装置。A packet transfer device comprising:
ネットワークセグメント上のパケットを受信するパケット受信ステップと、A packet receiving step of receiving a packet on the network segment;
前記パケット受信ステップで受信した受信パケットをパケット保留手段に一時保留するパケット保留ステップと、A packet holding step of temporarily holding the received packet received in the packet receiving step in a packet holding unit;
前記パケット受信ステップにより受信した受信パケットのコネクション識別情報が、不正アクセスに関わるパケットであると判定されたパケットのコネクション識別情報が登録されるコネクション識別情報記憶手段に既に登録されているか否かを判別して、不正アクセスに関わるパケットであるか否かを判定するステップと、It is determined whether or not the connection identification information of the received packet received in the packet receiving step is already registered in the connection identification information storage unit in which the connection identification information of the packet determined to be a packet related to unauthorized access is registered. And determining whether the packet is related to unauthorized access,
前記受信パケットのコネクション識別情報が前記コネクション識別情報記憶手段に登録されていないと判別された場合に、前記受信パケットのデータを解析して、当該受信パケットが正常なパケットか不正アクセスに関わるパケットであるかを判定するパケットデータ解析ステップと、If it is determined that the connection identification information of the received packet is not registered in the connection identification information storage means, the data of the received packet is analyzed and the received packet is determined to be a normal packet or a packet related to an unauthorized access. A packet data analysis step of determining whether there is
前記パケットデータ解析ステップによって解析された解析済みのパケットを過去パケットとして保持するステップと、Holding the analyzed packet analyzed by the packet data analysis step as a past packet;
前記受信パケットと当該受信パケットと同一のコネクション識別情報を持つ前記過去パケットとにより、複数のパケットに分割されて運ばれてくる一連のデータを再構築するコネクションデータ再構築ステップと、A connection data reconstructing step of reconstructing a series of data that is divided into a plurality of packets and carried by the received packet and the past packet having the same connection identification information as the received packet;
前記パケットデータ解析ステップによるデータ解析により、不正アクセスに関わるパケットであると判定した場合、当該受信パケットのコネクション識別情報を前記コネクション識別情報記憶手段に登録するステップと、Registering the connection identification information of the received packet in the connection identification information storage means, when the data analysis by the packet data analysis step determines that the packet is related to unauthorized access;
前記パケット保留手段に一時保留されている受信パケットのうち、前記不正パケットに関わるパケットと判定された受信パケットは破棄し、正常なパケットと判定したパケットのみを送信先のネットワークセグメントへ送出するステップとOf receiving packets temporarily held in the packet holding unit, discarding a received packet determined to be a packet related to the illegal packet, and transmitting only a packet determined to be a normal packet to a destination network segment;
を具備し、With
前記パケットデータ解析ステップは、前記受信パケットのデータ解析のために、前記コネクションデータ再構築ステップによって再構築されたデータを解析するステップを含むThe packet data analyzing step includes a step of analyzing data reconstructed by the connection data reconstructing step for data analysis of the received packet. ことを特徴とするパケット転送方法。A packet transfer method, characterized in that:
ネットワークセグメント上のパケットを受信するパケット受信ステップと、A packet receiving step of receiving a packet on the network segment;
前記パケット受信ステップにより受信したパケットをパケット保留手段に一時保留するステップと、Temporarily holding the packet received by the packet receiving step in packet holding means,
前記パケット受信ステップにより受信した受信パケットのコネクション識別情報が、不正アクセスに関わるパケットであると判定されたパケットのコネクション識別情報が登録されるコネクション識別情報記憶手段に既に登録されているか否かを判別して、不正アクセスに関わるパケットであるか否かを判定する第1の判定ステップと、It is determined whether or not the connection identification information of the received packet received in the packet receiving step is already registered in the connection identification information storage unit in which the connection identification information of the packet determined to be a packet related to unauthorized access is registered. A first determining step of determining whether the packet is related to an unauthorized access;
前記第1の判定ステップにおける不正アクセスに関わるパケットであるか否かの判定結果を受信し、前記受信パケットのコネクション識別情報が前記コネクション識別情報記憶手段に登録されていないと判別した場合に、不正アクセスデータベースを用いて前記受信パケットのデータを解析し、当該受信パケットが正常なパケットか不正アクセスに関わるパケットであるかを判定する第2の判定ステップと、Receiving the result of the determination as to whether or not the packet is related to unauthorized access in the first determining step, and determining that the connection identification information of the received packet is not registered in the connection identification information storage means, A second determining step of analyzing data of the received packet using an access database and determining whether the received packet is a normal packet or a packet related to an unauthorized access;
前記受信パケットのデータ解析によって不正アクセスに関わるパケットであると判定した場合、当該受信パケットのコネクション識別情報を前記コネクション識別情報記憶手段に登録するステップと、Registering the connection identification information of the received packet in the connection identification information storage means, when it is determined by the data analysis of the received packet is a packet related to unauthorized access,
前記第2の判定ステップにおいて解析された解析済みのパケットを過去パケット保持手段に保持するステップと、Holding the analyzed packet analyzed in the second determination step in a past packet holding unit;
前記過去パケット保持手段を参照して得られる、前記受信パケットと同一のコネクション識別情報を持つ過去パケットから、複数のパケットに分割されて運ばれてくる一連のデータを再構築し、その再構築したデータを解析用データとして前記第2の判定ステップに提供するステップと、From a past packet obtained by referring to the past packet holding means and having the same connection identification information as the received packet, a series of data divided into a plurality of packets and carried is reconstructed, and the reconstructed Providing data to the second determination step as data for analysis;
前記パケット保留手段に一時保留されている前記受信パケットのうち、前記不正アクセスに関わるパケットは破棄し、正常な受信パケットのみを送信先のネットワークセグメントへ送出するステップとDiscarding a packet related to the unauthorized access among the received packets temporarily held in the packet holding unit, and sending only a normal received packet to a destination network segment;
を具備することを特徴とするパケット転送方法。A packet transfer method comprising:
ネットワークセグメント上のパケットを受信するパケット受信手順と、A packet receiving procedure for receiving packets on the network segment;
前記パケット受信手順で受信した受信パケットをパケット保留手段に一時保留する手順と、Temporarily holding the received packet received in the packet receiving step in a packet holding means,
前記パケット受信手順により受信した受信パケットのコネクション識別情報が、不正アクセスに関わるパケットであると判定されたパケットのコネクション識別情報が登録されるコネクション識別情報記憶手段に既に登録されているか否かを判別して、不正アクセスに関わるパケットであるか否かを判定する手順と、It is determined whether or not the connection identification information of the received packet received by the packet reception procedure is already registered in the connection identification information storage unit in which the connection identification information of the packet determined to be a packet related to unauthorized access is registered. And determining whether the packet is related to unauthorized access,
前記受信パケットのコネクション識別情報が前記コネクション識別情報記憶手段に登録されていないと判別された場合に、前記受信パケットのデータを解析して、当該受信パケットが正常なパケットか不正アクセスに関わるパケットであるかを判定するパケットデータ解析手順と、If it is determined that the connection identification information of the received packet is not registered in the connection identification information storage means, the data of the received packet is analyzed and the received packet is determined to be a normal packet or a packet related to an unauthorized access. Packet data analysis procedure for determining whether there is
前記パケットデータ解析手順によって解析された解析済みのパケットを過去パケットとして保持する手順と、A procedure for holding the analyzed packet analyzed by the packet data analysis procedure as a past packet,
前記受信パケットと当該受信パケットと同一のコネクション識別情報を持つ前記過去パThe received packet and the past packet having the same connection identification information as the received packet. ケットとにより、複数のパケットに分割されて運ばれてくる一連のデータを再構築するコネクションデータ再構築手順と、A connection data reconstructing procedure for reconstructing a series of data that is divided into a plurality of packets and carried by the packet,
前記パケットデータ解析手順によるデータ解析により、不正アクセスに関わるパケットであると判定した場合、当該受信パケットのコネクション識別情報を前記コネクション識別情報記憶手段に登録する手順と、A step of registering the connection identification information of the received packet in the connection identification information storage unit when it is determined by the data analysis by the packet data analysis procedure that the packet is related to unauthorized access;
前記パケット保留手段に一時保留されている受信パケットのうち、前記不正パケットに関わるパケットと判定された受信パケットは破棄し、前記正常なパケットと判定したパケットのみを送信先のネットワークセグメントへ送出する手順とをコンピュータに実行させ、A step of discarding, among the received packets temporarily held in the packet holding unit, a received packet determined to be a packet related to the illegal packet, and transmitting only the packet determined to be a normal packet to a destination network segment. And let the computer execute
前記パケットデータ解析手順は、前記受信パケットのデータ解析のために、前記コネクションデータ再構築手順によって再構築されたデータを解析する手順を含むものであることを特徴とするプログラム。The program, wherein the packet data analysis procedure includes a procedure of analyzing data reconstructed by the connection data reconstruction procedure for analyzing data of the received packet.
ネットワークセグメント上のパケットを受信するパケット受信手順、A packet receiving procedure for receiving packets on the network segment,
前記パケット受信手順により受信したパケットをパケット保留手段に一時保留する手順、A procedure for temporarily holding packets received by the packet receiving procedure in a packet holding unit,
前記パケット受信手順により受信した受信パケットのコネクション識別情報が、不正アクセスに関わるパケットであると判定されたパケットのコネクション識別情報が登録されるコネクション識別情報記憶手段に既に登録されているか否かを判別して、不正アクセスに関わるパケットであるか否かを判定する第1の判定手順、It is determined whether or not the connection identification information of the received packet received by the packet reception procedure is already registered in the connection identification information storage unit in which the connection identification information of the packet determined to be a packet related to unauthorized access is registered. A first determination procedure for determining whether the packet is related to unauthorized access,
前記第1の判定手順における不正アクセスに関わるパケットであるか否かの判定結果を受信し、前記受信パケットのコネクション識別情報が前記コネクション識別情報記憶手段に登録されていないと判別した場合に、不正アクセスデータベースを用いて前記受信パケットのデータを解析し、当該受信パケットが正常なパケットか不正アクセスに関わるパケットであるかを判定する第2の判定手順、When receiving the determination result of whether or not the packet is related to unauthorized access in the first determination procedure and determining that the connection identification information of the received packet is not registered in the connection identification information storage means, A second determination procedure for analyzing data of the received packet using an access database and determining whether the received packet is a normal packet or a packet related to an unauthorized access;
前記受信パケットのデータ解析によって不正アクセスに関わるパケットであると判定した場合、当該受信パケットのコネクション識別情報を前記コネクション識別情報記憶手段に登録する手順、A step of registering the connection identification information of the received packet in the connection identification information storage means when it is determined by the data analysis of the received packet that the packet is related to unauthorized access;
前記第2の判定手順において解析された解析済みのパケットを過去パケット保持手段に保持する手順、Holding the analyzed packet analyzed in the second determination procedure in a past packet holding unit;
前記過去パケット保持手段を参照して得られる、前記受信パケットと同一のコネクション識別情報を持つ過去パケットから、複数のパケットに分割されて運ばれてくる一連のデータを再構築し、その再構築したデータを解析用データとして前記第2の判定手順に提供する手順、From a past packet obtained by referring to the past packet holding means and having the same connection identification information as the received packet, a series of data divided into a plurality of packets and carried is reconstructed, and the reconstructed Providing data to the second determination procedure as data for analysis;
前記パケット保留手段に一時保留されている前記受信パケットのうち、前記不正アクセスに関わるパケットは破棄し、前記正常な受信パケットのみを送信先のネットワークセグメントへ送出する手順A step of discarding a packet related to the unauthorized access among the received packets temporarily held in the packet holding unit, and transmitting only the normal received packet to a destination network segment.
をコンピュータに実行させるプログラム。A program that causes a computer to execute.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001380162A JP3581345B2 (en) | 2001-12-13 | 2001-12-13 | Packet transfer device and packet transfer method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001380162A JP3581345B2 (en) | 2001-12-13 | 2001-12-13 | Packet transfer device and packet transfer method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003179647A JP2003179647A (en) | 2003-06-27 |
| JP3581345B2 true JP3581345B2 (en) | 2004-10-27 |
Family
ID=19187100
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001380162A Expired - Lifetime JP3581345B2 (en) | 2001-12-13 | 2001-12-13 | Packet transfer device and packet transfer method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3581345B2 (en) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004112592A1 (en) | 2003-06-24 | 2004-12-29 | Olympus Corporation | Capsule type medical device communication system, capsule type medical device, and biological information reception device |
| JPWO2005050935A1 (en) * | 2003-11-21 | 2007-12-06 | 三菱電機株式会社 | Intrusion detection device and method |
| KR100612452B1 (en) * | 2004-11-08 | 2006-08-16 | 삼성전자주식회사 | Malware detection device and method |
| JP4328285B2 (en) * | 2004-11-19 | 2009-09-09 | 三菱電機株式会社 | Relay device, relay method, and relay program |
| US7486673B2 (en) * | 2005-08-29 | 2009-02-03 | Connect Technologies Corporation | Method and system for reassembling packets prior to searching |
| JP4634320B2 (en) * | 2006-02-28 | 2011-02-16 | 株式会社日立製作所 | Device and network system for anti-abnormal communication protection |
| JP4823728B2 (en) * | 2006-03-20 | 2011-11-24 | 富士通株式会社 | Frame relay device and frame inspection device |
| JP2009081736A (en) * | 2007-09-26 | 2009-04-16 | Toshiba Corp | Packet transfer apparatus and program |
| JP5153480B2 (en) * | 2008-06-27 | 2013-02-27 | 三菱電機株式会社 | Gateway device and packet filtering method |
| JP5630070B2 (en) | 2010-05-14 | 2014-11-26 | 富士通株式会社 | Relay device, program and method |
| JP5816469B2 (en) * | 2011-06-16 | 2015-11-18 | オリンパス株式会社 | Biological information acquisition system and method of operating biological information acquisition system |
| JP5655185B2 (en) * | 2011-06-28 | 2015-01-21 | 日本電信電話株式会社 | Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program |
-
2001
- 2001-12-13 JP JP2001380162A patent/JP3581345B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003179647A (en) | 2003-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8149705B2 (en) | Packet communications unit | |
| US7107609B2 (en) | Stateful packet forwarding in a firewall cluster | |
| JP3459183B2 (en) | Packet verification method | |
| JP3954385B2 (en) | System, device and method for rapid packet filtering and packet processing | |
| JP3464610B2 (en) | Packet verification method | |
| US8250647B2 (en) | Method and apparatus for automatic filter generation and maintenance | |
| US7636305B1 (en) | Method and apparatus for monitoring network traffic | |
| US7646728B2 (en) | Network monitoring and intellectual property protection device, system and method | |
| US20070288613A1 (en) | Providing support for responding to location protocol queries within a network node | |
| JP3581345B2 (en) | Packet transfer device and packet transfer method | |
| JP2009295187A (en) | Method for providing firewall service | |
| KR100522138B1 (en) | Flexible network security system and method to permit trustful process | |
| CN108737217B (en) | Packet capturing method and device | |
| US10834052B2 (en) | Monitoring device and method implemented by an access point for a telecommunications network | |
| CN113067810B (en) | Network packet capturing method, device, equipment and medium | |
| US7203195B2 (en) | Method for packet transferring and apparatus for packet transferring | |
| CN111245858A (en) | Network flow interception method, system, device, computer equipment and storage medium | |
| JP2007006054A (en) | Packet relay apparatus and packet relay system | |
| KR20070079781A (en) | Intrusion prevention system using hypertext transfer protocol request information extraction and UAL blocking method using same | |
| CN114244610B (en) | File transmission method and device, network security equipment and storage medium | |
| CN116015889A (en) | Data stream forwarding method, device, network equipment and storage medium | |
| JP4750750B2 (en) | Packet transfer system and packet transfer method | |
| JP2003099339A (en) | Infiltration-detecting and infiltration-preventing device and program therefor | |
| JP4027213B2 (en) | Intrusion detection device and method | |
| US8276204B2 (en) | Relay device and relay method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040315 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040323 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040524 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040720 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040722 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 3581345 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080730 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090730 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090730 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100730 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100730 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110730 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120730 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130730 Year of fee payment: 9 |
|
| EXPY | Cancellation because of completion of term |