[go: up one dir, main page]

JP2005012606A - Network cutoff system, and network cutoff judging apparatus and program - Google Patents

Network cutoff system, and network cutoff judging apparatus and program Download PDF

Info

Publication number
JP2005012606A
JP2005012606A JP2003175986A JP2003175986A JP2005012606A JP 2005012606 A JP2005012606 A JP 2005012606A JP 2003175986 A JP2003175986 A JP 2003175986A JP 2003175986 A JP2003175986 A JP 2003175986A JP 2005012606 A JP2005012606 A JP 2005012606A
Authority
JP
Japan
Prior art keywords
network
attack
attack source
managed
source computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003175986A
Other languages
Japanese (ja)
Inventor
Akira Hirohashi
昭 広橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003175986A priority Critical patent/JP2005012606A/en
Publication of JP2005012606A publication Critical patent/JP2005012606A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To improve the security against the attack from the outside to a management target network and a computer on the management target network. <P>SOLUTION: When an attacking source computer 75 which performs an attack or an attacking source network 70 to which the attacking source computer 75 is connected is detected by network monitoring apparatuses 300, 400 installed on the networks 50, 60 other than the management target networks 10, 20, a network cutoff judging apparatus 500 cuts off the communications between the management target networks 10, 20 and the attacking source computer 75 or communications between the management target networks 10, 20 and the attacking source network 70 even if the attacks to the management target networks 10, 20 are not performed. Besides, when the network monitoring apparatuses 300, 400 detect the attacking source computer 75 or the attacking source network 70, the network cutoff judging apparatus 500 reports its network address to the managers of the management target networks 10, 20. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は管理対象ネットワーク及び管理対象ネットワーク上の計算機の、外部ネットワークからの攻撃に対する安全性を高める技術に関する。
【0002】
【従来の技術】
近年のビジネスにおいては、インターネットの利用は欠かせないものとなっており、多くの企業や組織は、計算機を社内または組織のネットワークに接続し、さらにそのネットワークをインターネットに接続することにより、業務の効率化を進めている。
【0003】
一方、インターネットには、誰もが比較的容易に接続できるため、不正侵入、情報流出、データの改ざんなどの事故の発生が増加しており、企業や組織のネットワークをインターネットへ接続するに当たっては、従来から種々の対策がとられている(例えば、特許文献1、2参照)。
【0004】
特許文献1に記載されている技術では、被害者ホストコンピュータが不正アクセスパケットを検出した場合、被害者ホストコンピュータと同一自立システム内の境界中継装置に対して、不正アクセスパケットを検出し、その不正アクセスパケットを廃棄するためのフィルタリング情報を転送することにより、境界領域で不正アクセスパケットを遮断するようにしている。
【0005】
特許文献2に記載されている技術では、内部ネットワークと外部ネットワークとを接続する主通信路上に、不正パケットを検出する外部アタック監視ボード及び内部アタック監視ボードと、外部アタック監視ボードや内部アタック監視ボードにより不正パケットが検出された場合にはそのパケットを破棄し、そうでない場合にはパケットを中継するメインボードとを備えたネットワーク防御装置を配置することにより、過負荷攻撃に対する耐性を高めるようにしている。
【0006】
【特許文献1】
特開2002−185539号公報
【特許文献2】
特開2002−199025号公報
【0007】
【発明が解決しようとする課題】
しかしながら、特許文献1、2に記載されている従来の技術は、何れも管理対象ネットワークに対して攻撃が行われた時点で、その攻撃が検知されるため、対策が遅れる場合があるという問題があった。
【0008】
そこで、本発明の目的は、管理対象ネットワーク及び管理対象ネットワーク内の計算機に対して攻撃が行われる前に、攻撃を仕掛けてくる可能性のある攻撃元計算機や攻撃元計算機が接続されているネットワークを認識することにより、実際に攻撃を受ける前に適切な予防措置をとれるようにすることにある。
【0009】
【課題を解決するための手段】
本発明にかかる第1のネットワーク遮断システムは、上記目的を達成するため、
管理対象ネットワーク以外のネットワークに設置され、前記管理対象ネットワーク以外のネットワークに対して攻撃を行っている攻撃元計算機或いは該攻撃元計算機が接続されている攻撃元ネットワークを検出するネットワーク監視装置と、
該ネットワーク監視装置で検出された攻撃元計算機と前記管理対象ネットワークとの間の通信或いは前記ネットワーク監視装置で検出された前記攻撃元ネットワークと前記管理対象ネットワークとの間の通信を遮断するネットワーク遮断判定装置とを備えたことを特徴とする。
【0010】
また、本発明にかかる第2のネットワーク遮断システムは、管理対象ネットワークから外部への攻撃を防止するため、
第1のネットワーク遮断システムにおいて、
前記ネットワーク遮断判定装置が、
前記ネットワーク監視装置で検出された攻撃元計算機或いは攻撃元ネットワークが前記管理対象ネットワーク内に存在する場合、前記管理対象ネットワークと外部ネットワークとの間の通信を遮断する構成を有することを特徴とする。
【0011】
また、本発明にかかる第3のネットワーク遮断システムは、
攻撃元計算機或いは攻撃元ネットワークを管理対象ネットワークの管理者に通知できるようにするため、
第1のネットワーク遮断システムにおいて、
前記ネットワーク遮断判定装置が、
前記ネットワーク監視装置で検出された攻撃元計算機のネットワークアドレス或いは前記攻撃元ネットワークのネットワークアドレスを前記管理対象ネットワークの管理者に通知する構成を有することを特徴とする。
【0012】
より具体的には、本発明にかかる第4のネットワーク遮断システムは、
管理対象ネットワーク以外のネットワークに接続され、前記管理対象ネットワーク以外のネットワークに対して攻撃を行っている攻撃元計算機或いは該攻撃元計算機が接続されている攻撃元ネットワークを検出する毎に、前記攻撃元計算機或いは前記攻撃元ネットワークのネットワークアドレスを記録するネットワーク監視装置と、
ネットワーク遮断判定装置とを備えたネットワーク遮断システムであって、
前記ネットワーク遮断判定装置が、
前記ネットワーク監視装置から攻撃元計算機或いは攻撃元ネットワークのネットワークアドレスを収集する攻撃情報収集部と、
該攻撃情報収集部が収集した攻撃元計算機或いは攻撃元ネットワークのネットワークアドレスに基づいて、所定回数以上攻撃を行った攻撃元計算機或いは攻撃元ネットワークを検出する指定ネットワーク遮断処理部と、
該指定ネットワーク遮断処理部で検出された攻撃元計算機と前記管理対象ネットワークとの間の通信或いは前記指定ネットワーク遮断処理部で検出された攻撃元ネットワークと前記管理対象ネットワークとの間の通信を遮断するネットワーク中継装置インターフェース部とを備えたことを特徴とする。
【0013】
また、本発明にかかる第5のネットワーク遮断システムは、
第4のネットワーク遮断システムにおいて、
前記指定ネットワーク遮断処理部が、所定回数以上攻撃を行った攻撃元計算機或いは攻撃元ネットワークを検出したとき、該検出した攻撃元計算機或いは攻撃元ネットワークが前記管理対象ネットワーク内に存在するものであるか否かを判定する構成を有し、
前記ネットワーク中継装置インターフェース部が、前記指定ネットワーク遮断処理部において所定回数以上攻撃を行った攻撃元計算機或いは攻撃元ネットワークが前記管理対象ネットワーク内に存在すると判定された場合には、前記管理対象ネットワークと外部ネットワークとの間の通信を遮断し、前記管理対象ネットワーク内に存在しないと判定された場合は、前記攻撃元計算機と前記管理対象ネットワークとの間の通信或いは前記攻撃元ネットワークと前記管理対象ネットワークとの間の通信を遮断する構成を有することを特徴とする。
【0014】
また、本発明にかかる第6のネットワーク遮断システムは、
第4のネットワーク遮断システムにおいて、
前記指定ネットワーク遮断処理部において検出された攻撃元計算機或いは攻撃元ネットワークのネットワークアドレスを前記管理対象ネットワークの管理者へ通知するネットワーク管理者通知部を備えたことを特徴とする。
【0015】
【作用】
管理対象ネットワーク以外のネットワークに設置されたネットワーク監視装置によって、管理対象ネットワーク以外のネットワークに対して攻撃を行っている攻撃元計算機或いは攻撃元計算機が接続されている攻撃元ネットワークが検出されると、管理対象ネットワークに対する攻撃が行われていなくとも、ネットワーク遮断判定装置が管理対象ネットワークと攻撃元計算機との間の通信或いは管理対象ネットワークと攻撃元ネットワークとの間の通信を遮断するので、管理対象ネットワーク及び管理対象ネットワーク上の計算機の安全性を極めて高いものにすることができる。
【0016】
また、ネットワーク監視装置で検出された攻撃元計算機或いは攻撃元ネットワークが管理対象ネットワーク内に存在する場合、管理対象ネットワークと外部ネットワークとの間の通信を遮断するので、管理対象ネットワークが攻撃元となることを防止できる。
【0017】
また、ネットワーク監視装置で検出された攻撃元計算機のネットワークアドレス或いは攻撃元ネットワークのネットワークアドレスを管理対象ネットワークの管理者に通知するので、攻撃に対する予防措置を講じることができる。
【0018】
【発明の実施の形態】
次に本発明の実施の形態について図面を参照して詳細に説明する。
【0019】
【実施例の構成】
図1は本発明にかかるネットワーク遮断システムの実施例のブロック図である。同図を参照すると、本実施例のネットワーク遮断システムは、ネットワーク中継装置100、200と、ネットワーク監視装置300、400と、管理者端末15、25と、ネットワーク遮断判定装置500と、攻撃元計算機75と、管理対象ネットワーク10,20と、ネットワーク30、40、50、60、70と、ネットワーク群80とで構成されている。
【0020】
管理対象ネットワーク10、20は、攻撃から防御するあるいは、攻撃を発生させないように管理するイントラネット等のネットワークである。ネットワーク群80は、インターネットのような複数のネットワークからなるネットワークである。ネットワーク30、40、50、60、70は、ネットワーク群80に接続されたイントラネット等のネットワークである。ネットワーク中継装置100、200は、それぞれ、ネットワーク30、40と管理対象ネットワーク10、20とを接続しており、通常、ルータやファイアーウォールなどから構成されている。
【0021】
ネットワーク監視装置300、400は、それぞれ、ネットワーク50、60のネットワークのスイッチなどに接続され、そのネットワークを流れるネットワークパケットを監視し、攻撃を検知するもので、通例、侵入検知システム(Intrution Detection System)と呼ばれる。
【0022】
ネットワーク遮断判定装置500は、ネットワーク監視装置300、400が検出した攻撃に関する攻撃検知情報を読み込んで、攻撃元計算機75の接続されたネットワーク70からの攻撃が一定回数を越えた場合には、ネットワーク中継装置100、200の設定を変更して、攻撃元計算機75の接続されたネットワーク70から管理対象ネットワーク10、20へのデータの中継を遮断する。また、ネットワーク遮断判定装置500は、遮断を行うべきと判定した場合、また遮断を実施した場合に、管理者端末15、25に対してその旨を通知する電子メールを送信する。攻撃元計算機75は、ネットワーク70経由で攻撃を行う計算機である。
【0023】
図2を参照すると、ネットワーク遮断判定装置500は、ネットワーク監視装置インターフェース部501と、攻撃情報収集部502と、攻撃情報処理部503と、管理対象ネットワーク遮断処理部504と、指定ネットワーク遮断処理部505と、ネットワーク中継装置インターフェース部506と、ネットワーク管理者通知部507と、攻撃検知情報読み込み領域510と、ネットワーク監視装置管理表520と、攻撃状況管理表530と、管理対象ネットワーク管理表540とで構成されている。ネットワーク遮断判定装置500は、例えば、コンピュータによって実現されるものであり、コンピュータは、図示を省略したディスク、半導体メモリなどの記録媒体に記録されているプログラムを読み取り、そのプログラムを実行することにより、自コンピュータ上にネットワーク監視装置インターフェース部501、攻撃情報収集部502、攻撃情報処理部503、管理対象ネットワーク遮断処理部504、指定ネットワーク遮断処理部505、ネットワーク中継装置インターフェース部506、ネットワーク管理者通知部507、攻撃検知情報読み込み領域510、ネットワーク監視装置管理表520、攻撃状況管理表530、管理対象ネットワーク管理表540を実現する。
【0024】
ネットワーク監視装置管理表520は、攻撃検知情報の収集先とするネットワーク監視装置300、400に関する情報を保持する表である。図3を参照すると、ネットワーク監視装置管理表520は、設置されているネットワーク監視装置300、400の台数分の行(本実施例では2行)から構成され、各行は、ネットワーク監視装置名領域521、ネットワーク監視装置アドレス領域522から構成される。ネットワーク監視装置識別名領域521には、ネットワーク監視装置300、400を識別するための名前が格納される。ネットワーク監視装置アドレス領域522には、攻撃検知情報を収集するために通信するネットワーク監視装置300、400のネットワークアドレスが格納される。例えば、ネットワーク監視装置管理表520の第1行目には、ネットワーク監視装置300のネットワークアドレスが格納され、第2行目にはネットワーク監視装置400のネットワークアドレスが格納される。
【0025】
攻撃情報収集部502は、ネットワーク監視装置管理表520を参照し、ネットワーク監視装置インターフェース部501に対して、攻撃検知情報の収集先にするネットワーク監視装置300、400のネットワークアドレスを指示する機能を有する。
【0026】
ネットワーク監視装置インターフェース部501は、攻撃情報収集部502から指示されたネットワークアドレスに基づいて、ネットワーク監視装置300、400から攻撃検知情報を収集し、攻撃検知情報読み込み領域510に格納する機能を有する。
【0027】
図4を参照すると、攻撃検知情報読み込み領域510は、複数の攻撃元ネットワークのネットワークアドレス領域511と、複数の攻撃パターン識別情報領域512と、複数の攻撃元ネットワークアドレス領域513とから構成されている。攻撃元ネットワークのネットワークアドレス領域511には、攻撃元計算機75の接続されたネットワーク70のネットワークアドレスが格納される。攻撃パターン識別情報領域512には、ネットワーク監視装置300、400が検知した攻撃の攻撃パターンを識別するための名前が格納される。攻撃元アドレス領域513には、攻撃元計算機75のネットワークアドレスが格納される。
【0028】
攻撃情報処理部503は、ネットワーク監視装置インターフェース部501が攻撃検知情報読み込み領域510に格納した攻撃検知情報を基に、攻撃状況管理表530の内容を更新する機能を有する。
【0029】
攻撃状況管理表530は、ネットワーク監視装置インターフェース部501が攻撃検知情報読み込み領域510に格納した攻撃検知情報を、攻撃元計算機75の接続されたネットワーク70のネットワークアドレスと攻撃パターンとの組み合わせに従って分類し、その件数を記憶しておく表である。図5を参照すると攻撃状況管理表530は、複数の行から構成され、各行は、攻撃元ネットワークのネットワークアドレス領域531と、攻撃パターン識別情報領域532と、攻撃検知回数領域533とから構成される。攻撃元ネットワークのネットワークアドレス領域531、攻撃パターン識別情報領域532は、それぞれ、攻撃検知情報読み込み領域510内の攻撃元ネットワークのネットワークアドレス領域511、攻撃パターン識別情報領域512からコピーしたものである。攻撃検知回数領域533には、一定時間内(5分間など)の、同一の攻撃元ネットワークのネットワークアドレスと攻撃パターンの組の検出回数が格納される。なお、本実施例では、図5に示すように、攻撃元ネットワークのネットワークアドレスと攻撃パターン識別情報との組み合わせ毎に攻撃検知回数を管理するようにしているが、攻撃元ネットワークのネットワークアドレス毎に攻撃検知回数を管理するようにしても良い。この場合には、攻撃パターン識別情報領域532は不要となる。
【0030】
管理対象ネットワーク遮断処理部504は、管理対象ネットワーク管理表540に格納されている各管理対象ネットワーク10、20に関する情報を順次指定ネットワーク遮断処理部505に渡す機能を有する。
【0031】
図6を参照すると、管理対象ネットワーク管理表540は、監視対象ネットワーク10、20のネットワーク数分の行(本実施例では2行)から構成され、各行は、管理対象ネットワーク識別名領域541と、ネットワーク中継装置アドレス領域542と、ネットワーク中継装置タイプ領域543と、ネットワーク管理者電子メールアドレス領域544と、遮断しきい値領域545と、遮断可否指定領域546と、管理対象ネットワーク内サブネットワークアドレス領域547とから構成される。
【0032】
管理対象ネットワーク識別名領域541には、管理対象ネットワーク10、20を識別するための名前が格納される。ネットワーク中継装置アドレス領域542には、管理対象ネットワーク10、20と接続されているネットワーク中継装置100、200のネットワークアドレスが格納される。ネットワーク中継装置タイプ領域543には、ネットワーク中継装置10、20の種別を識別するための情報が格納される。ネットワーク管理者電子メールアドレス領域544には、当該ネットワークのネットワーク管理者の電子メールアドレスが格納される。遮断しきい値領域545には、当該ネットワークに対する、攻撃元ネットワークアドレスと攻撃パターンの組が同一のものの一定時間(5分間など)内の発生回数に対して、遮断またはネットワーク管理者に通知を行うしきい値が格納される。遮断可否指定領域546には、遮断しきい値を超えた攻撃が検出された場合に、遮断を実施するか、遮断を実施せずにネットワーク管理者に通知するだけとするかの区別が格納される。管理対象ネットワーク内サブネットアドレス領域547には、当該のネットワークを構成する1または複数のサブネットワークのアドレスが格納される。
【0033】
指定ネットワーク遮断処理部505は、管理対象ネットワーク遮断処理部504から渡された各管理対象ネットワーク10、20に関する情報と、攻撃状況管理表530の内容とに基づいて、管理対象にしている管理対象ネットワーク10、20それぞれについてネットワークの遮断や管理者への通知を行うか否かを判定する機能や、ネットワークを遮断すると判定した場合、ネットワーク中継装置インターフェース部506に対してネットワークの遮断を指示する機能や、管理者への通知を行うと判定した場合、ネットワーク管理者通知部507に対して管理者への通知を指示する機能を有する。
【0034】
ネットワーク中継装置インターフェース部506は、指定ネットワーク遮断処理部505からの指示に従って、ネットワーク中継装置100、200の構成を変更して、攻撃元のネットワーク70と管理対象ネットワーク10、20との通信を遮断、あるいは管理対象ネットワーク10あるいは管理対象ネットワーク20内のサブネットワークと当該管理対象ネットワークの外部との通信を遮断する機能を有する。
【0035】
ネットワーク管理者通知部507は、指定ネットワーク遮断処理部505からの指示に従って、管理対象ネットワーク10、20の管理者に対して電子メールを送る機能を有する。
【0036】
【実施例の動作の説明】
次に、各図を参照して本実施例の全体の動作について詳細に説明する。
【0037】
今、例えば、攻撃元計算機75が、ネットワーク70を経由してネットワーク50に対して攻撃を行っているとする。
【0038】
ネットワーク50に設置されているネットワーク監視装置300は、攻撃を検知する毎に(図7、A71、A72がyes)、攻撃検知情報をログ情報としてログファイルに記録する(A73)。この攻撃検知情報には、攻撃元計算機75のネットワークアドレス、攻撃元計算機75が接続されているネットワーク70のネットワークアドレス及び攻撃パターン識別情報が含まれている。
【0039】
一方、ネットワーク遮断判定装置500内の攻撃情報収集部502は、図8のフローチャートに示す処理を行っている。
【0040】
この図8のフローチャートに示すように、攻撃情報収集部502は、ネットワーク監視装置管理表520の各行を順次処理対象にし(A80、A86)、処理対象にしている行中のネットワーク監視装置アドレス領域522に設定されているアドレスを指定して、ネットワーク監視装置インターフェース部501を呼び出す(A83)。その後、攻撃情報収集部502は、ネットワーク監視装置インターフェース部501からのリターンを待つ。
【0041】
ネットワーク監視装置インターフェース部501は、攻撃情報収集部502から指定されたアドレスのネットワーク監視装置と通信を行い、前回の読み込み時以降にネットワーク監視装置のログファイルに格納された攻撃検知情報を読み込む。そして、今回読み込んだ攻撃検知情報を攻撃検知情報読み込み領域510に格納する(図9のA91)。なお、前回の読み込み時以降にログファイルに格納された攻撃検知情報がなかった場合には、攻撃検知情報読み込み領域510には何も格納しない。その後、ネットワーク監視装置インターフェース部501は、攻撃情報収集部502へ戻る。この処理により、ネットワーク監視装置300のログファイルに記録された攻撃元計算機75の接続されたネットワーク70のネットワークアドレス、攻撃パターン識別情報および攻撃元ネットワークアドレスが、攻撃検知情報読み込み領域510の攻撃元ネットワークのネットワークアドレス領域511、攻撃パターン識別情報領域512および攻撃元ネットワークアドレス領域513に格納される。
【0042】
攻撃情報収集部502は、ネットワーク監視装置インターフェース部501から制御が戻されると、攻撃検知情報読み込み領域510に攻撃検知情報が格納されているか否かをチェックする(図8のA84)。そして、攻撃検知情報が格納されている場合は、格納されている攻撃検知情報毎に、それに含まれている攻撃元ネットワーク70のネットワークアドレスと攻撃パターン識別情報との組を求め、この求めた全ての組を指定して攻撃情報処理部503を呼び出す。更に、攻撃検知情報読み込み領域510の各領域511〜513に格納されている情報を全て削除し、攻撃情報処理部503からのリターンを待つ(A85)。これに対して、攻撃検知情報が格納されてない場合は、ネットワーク監視装置管理表520の次の行を処理対象にする(A86)。なお、次の行が無かった場合(A81がyes)は、ネットワーク監視装置管理表520の最初(第1行目)を処理対処にする(A82)。
【0043】
攻撃情報処理部503は、攻撃情報収集部502から呼び出されると、現在の時刻と前回呼び出された時刻とを比較し、前回の呼び出し時から一定時間以上が経過している場合は、攻撃状況管理表530の全ての行を削除する(図10のA101がno、A102)。これに対して、前回の呼び出し時から一定時間以内の場合は、攻撃情報収集部502から指示された攻撃元ネットワーク70のネットワークドレスと攻撃パターン識別情報との組が、攻撃状況管理表530に登録済みか否かを判断する(A101がyes、A103)。
【0044】
そして、攻撃元ネットワーク70のネットワークドレスと攻撃パターン識別情報との組が、攻撃状況管理表530に既に登録済みであれば、対応する行の攻撃検知回数に1加算し(A103がyes、A104)、登録されていなければ、新規に登録し、攻撃検知回数を1に設定する(A103がno、A105)。この処理は、攻撃情報収集部502によって指定された全ての組について行う。
【0045】
その後、攻撃情報処理部503は、管理対象ネットワーク遮断処理部504を呼び出し、管理対象ネットワーク遮断処理部504からのリターンを待つ(A106)。
【0046】
管理対象ネットワーク遮断処理部504は、攻撃情報処理部503から呼び出されると、管理対象ネットワーク管理表540の第1行目に登録されている管理対象ネットワークに関する情報を取り出し(図11のA110、A112)、取り出した情報を指定して指定ネットワーク遮断処理部505を呼び出す(A113)。なお、上記情報には、管理対象ネットワーク識別名、ネットワーク中継装置アドレス、ネットワーク中継装置タイプ、ネットワーク管理者電子メールアドレス、遮断しきい値、遮断可否指定及び管理対象ネットワーク内サブネットワークアドレスが含まれている(図6参照)。その後、管理対象ネットワーク遮断処理部504は、指定ネットワーク遮断処理部505からのリターンを待つ。指定ネットワーク遮断処理部505から制御が戻されると、管理対象ネットワーク管理表540の次の行(次の管理対象ネットワーク)を処理対象にし(ステップA114)、同様の処理を行う。そして、未処理の行がなくなると(A111がyes)、攻撃情報処理部503にリターンする。
【0047】
指定ネットワーク遮断処理部505は、管理対象ネットワーク遮断処理部504から呼び出されると、管理対象ネットワーク遮断処理部504によって指定されている情報中の遮断しきい値と、攻撃状況管理表530の各攻撃検知回数領域533に登録されている攻撃検知回数とをそれぞれ比較し(図12のA121)、遮断しきい値を超えているものがなければ(A121がno)、なにもせずに管理対象ネットワーク遮断処理部504に戻る。
【0048】
これに対して、遮断しきい値を超える攻撃検知回数が登録されている攻撃検知回数領域533が存在する場合(A121がyes)は、その領域533と同一行内の攻撃元ネットワークのネットワークアドレス領域531に登録されているネットワークアドレスが、管理対象ネットワーク遮断処理部504によって指定された管理対象ネットワーク内サブネットワークアドレスの中に含まれているか否かを調べることにより、攻撃元ネットワークが現在処理対象にしている管理対象ネットワーク(管理対象ネットワーク遮断処理部504によって指定された情報中の管理対象ネットワーク識別名によって特定されるネットワーク)内にあるか否かを判断する(A122)
【0049】
攻撃元計算機75が接続されているネットワーク70のネットワークアドレスが、現在処理対象にしている管理対象ネットワークに含まれていない場合(A122がyes)は、次に、管理対象ネットワーク遮断処理部504によって指定された情報中の遮断可否指定を調べ(A123)、遮断可の場合は、攻撃元計算機75に接続されたネットワーク70と現在処理対象にしている管理対象ネットワークとの間の通信の遮断を指定して、ネットワーク中継装置インターフェース部506を呼び出す(A124)。その後、ネットワーク管理者通知部507を呼び出し、現在処理対象にしている管理対象ネットワークの管理者に対して攻撃が検知されたため遮断を実行したこと、及び遮断したネットワークのネットワークアドレスを通知するよう指示する(A125)。その後、ネットワーク中継装置インターフェース部506、ネットワーク管理者通知部507から制御が戻されると、呼び出し元の管理対象ネットワーク遮断処理部504へ戻る。
【0050】
遮断不可の指定がされている場合(A123がno)は、ネットワーク管理者通知部507を呼び出し、現在処理対象にしている管理対象ネットワークの管理者に対して攻撃を検知したこと及び攻撃元ネットワーク70のネットワークアドレスを通知するよう指示し(A126)、ネットワーク管理者通知部507から制御が戻されると、呼び出し元の管理対象ネットワーク遮断処理部504へ戻る。
【0051】
攻撃元計算機75が接続されているネットワーク70のネットワークアドレスが、管理対象ネットワーク内に含まれる場合(A122がno)は、次に、管理対象ネットワーク遮断処理部504によって指定されている情報中の遮断可否指定を調べ(A127)、遮断可の場合は、攻撃元のネットワーク(現在処理対象にしている管理対象ネットワーク)と管理対象ネットワーク外との通信の遮断を指定して、ネットワーク中継装置インターフェース部506を呼び出す(A128)。その後、ネットワーク管理者通知部507を呼び出し、現在処理対象にしている管理対象ネットワークの管理者に対して遮断を実行したこと、及び遮断原因が管理対象ネットワークからの攻撃であることを通知するよう指示する(A129)。その後、ネットワーク中継装置インターフェース部506、ネットワーク管理者通知部507から制御が戻されると、呼び出し元の管理対象ネットワーク遮断処理部504へ戻る。
【0052】
遮断不可の指定がされている場合(A127がno)は、ネットワーク管理者通知部507を呼び出し、現在処理対象にしている管理対象ネットワークの管理者に対して管理対象ネットワークからの攻撃を検知したことを通知するように指示し(A130)、ネットワーク管理者通知部507から制御が戻されると、呼び出し元の管理対象ネットワーク遮断処理部504へ戻る。
【0053】
ネットワーク中継装置インターフェース部506は、指定ネットワーク遮断処理部505から呼び出されると、指定ネットワーク遮断処理部505によって指定されている攻撃元ネットワーク70と現在処理対象にしている管理対象ネットワークの間の通信が遮断されるように、現在処理対象にしている管理対象ネットワークと直接接続されているネットワーク中継装置の設定を、そのタイプに応じた方法で変更し、その後、呼び出し元の指定ネットワーク遮断処理部505に戻る(図13のA131)。例えば、ネットワーク中継装置のタイプがルータである場合には、ルーティングテーブルの内容を変更し、ファイアーウォールである場合には定義テーブルの内容を変更する。なお、上記ネットワーク中継装置のネットワークアドレス、タイプは、管理対象ネットワーク管理表540のネットワーク中継装置アドレス領域542、ネットワーク中継装置タイプ領域543を参照することにより求めることができる。
【0054】
ネットワーク管理者通知部507は、指定ネットワーク遮断処理部505から呼び出されると、指定ネットワーク遮断処理部505の指示に従って管理対象ネットワークの管理者に電子メールを送信する(図14のA141)。なお、上記管理者の電子メールアドレスは、管理対象ネットワーク管理表540のネットワーク管理者電子メールアドレス領域544を参照することにより求めることができる。
【0055】
【発明の他の実施例】
【0056】
本発明の他の実施例について、図1を用いて説明する。本実施例では、ネットワーク中継装置100、200は、攻撃元計算機75の接続されたネットワーク70との間の通信を遮断するのではなく、攻撃元計算機75との間の通信を遮断する。
【0057】
次に、この実施例の動作を図10、図12、図13を用いて説明する。ここでは、前述した実施例との相違点についてのみ説明する。
【0058】
攻撃情報処理部503は、攻撃元ネットワーク70のネットワークアドレスと攻撃パターンの組ではなくて、攻撃元計算機75のネットワークアドレスと攻撃パターンの組を使って、攻撃検知回数を管理する(図10のA103〜A105)。
【0059】
指定ネットワーク遮断処理部505は、攻撃元ネットワーク70のネットワークアドレスではなくて、攻撃元計算機75のネットワークアドレスを使って攻撃元計算機75が管理対象ネットワークのサブネットに含まれるか否かを判断する(図12のA122)。また、ステップA124、A128では、攻撃元ネットワーク70ではなく、攻撃元計算機75を指定する。
【0060】
ネットワーク中継装置インターフェース部506は、攻撃元ネットワーク70のネットワークアドレスではなく、攻撃元計算機75のネットワークアドレスを利用して該当するネットワーク中継装置の構成を変更する(図13のA131)。
【0061】
なお、上述した各実施例では、ネットワーク監視装置の台数を2台としたが、ネットワーク監視装置の台数は何台であっても良い。また、監視対象ネットワークのネットワーク数を「2」としたが、ネットワーク数はこれに限られるものではない。また、上述した各実施例では管理対象ネットワークには、ネットワーク監視装置を設置しなかったが、管理対象ネットワークにも、ネットワーク監視装置を設置しても良い。また、上述した各実施例では説明しなかったが、ネットワーク遮断判定装置500の運営者が、管理対象ネットワーク10、20の管理者に対して料金を請求するようにしても良い。その際、管理対象ネットワークと攻撃元ネットワーク或いは攻撃元計算機との間の通信を遮断した回数に応じた料金を請求したり、送信メール数に応じた料金を請求したり、毎月一定額を請求することができる。
【0062】
【発明の効果】
以上説明したように、本発明は、管理対象ネットワーク以外のネットワークに設置されたネットワーク監視装置によって、管理対象ネットワーク以外のネットワークに対して攻撃を行っている攻撃元計算機或いは攻撃元計算機が接続されている攻撃元ネットワークが検出されると、管理対象ネットワークに対する攻撃が行われていなくとも、ネットワーク遮断判定装置が管理対象ネットワークと攻撃元計算機との間の通信或いは管理対象ネットワークと攻撃元ネットワークとの間の通信を遮断するので、管理対象ネットワーク及び管理対象ネットワーク上の計算機の安全性を極めて高いものにすることができる。
【0063】
また、本発明は、ネットワーク監視装置で検出された攻撃元計算機或いは攻撃元ネットワークが管理対象ネットワーク内に存在する場合、管理対象ネットワークと外部ネットワークとを間の通信を遮断するので、管理対象ネットワークが攻撃元となることを防止できる。
【0064】
また、本発明は、ネットワーク監視装置で検出された攻撃元計算機のネットワークアドレス或いは攻撃元ネットワークのネットワークアドレスを管理対象ネットワークの管理者に通知するので、攻撃に対する予防措置を講じることができる。
【図面の簡単な説明】
【図1】本発明の実施例のブロック図である。
【図2】ネットワーク遮断判定装置500の構成例を示すブロック図である。
【図3】ネットワーク監視装置管理表520の構成例を示す図である。
【図4】攻撃検知情報読み込み領域510の構成例を示す図である。
【図5】攻撃状況管理表530の構成例を示す図である。
【図6】管理対象ネットワーク管理表540の構成例を示す図である。
【図7】ネットワーク監視装置300、400の処理例を示すフローチャートである。
【図8】攻撃情報収集部502の処理例を示すフローチャートである。
【図9】ネットワーク監視装置インターフェース部501の処理例を示すフローチャートである。
【図10】攻撃情報処理部503の処理例を示すフローチャートである。
【図11】管理対象ネットワーク遮断処理部504の処理例を示すフローチャートである。
【図12】指定ネットワーク遮断処理部505の処理例を示すフローチャートである。
【図13】ネットワーク中継装置インターフェース部506の処理例を示すフローチャートである。
【図14】ネットワーク管理者通知部507の処理例を示すフローチャートである。
【符号の説明】
10、20…管理対象ネットワーク
30、40、50、60、70…ネットワーク
75…攻撃元計算機
80…ネットワーク群
100、200…ネットワーク中継装置
300、400…ネットワーク監視装置
500…ネットワーク遮断判定装置
501…ネットワーク監視装置インターフェース部
502…攻撃情報収集部
503…攻撃情報処理部
504…管理対象ネットワーク遮断処理部
505…指定ネットワーク遮断処理部
506…ネットワーク中継装置インターフェース部
507…ネットワーク管理者通知部
510…攻撃検知情報読み込み領域
520…ネットワーク監視装置管理表
530…攻撃状況管理表
540…管理対象ネットワーク管理表[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a management target network and a technology for improving the security of a computer on the management target network against an attack from an external network.
[0002]
[Prior art]
In recent business, the use of the Internet has become indispensable, and many companies and organizations connect their computers to an in-house or organization network, and then connect the network to the Internet. We are promoting efficiency.
[0003]
On the other hand, since anyone can connect to the Internet relatively easily, the occurrence of accidents such as unauthorized intrusion, information leakage, and data tampering is increasing, and when connecting a company or organization network to the Internet, Conventionally, various measures have been taken (for example, see Patent Documents 1 and 2).
[0004]
In the technology described in Patent Document 1, when a victim host computer detects an unauthorized access packet, the victim host computer detects an unauthorized access packet to a boundary relay device in the same independent system as the victim host computer, and the unauthorized access packet is detected. By transferring filtering information for discarding access packets, unauthorized access packets are blocked in the boundary area.
[0005]
In the technique described in Patent Document 2, an external attack monitoring board and an internal attack monitoring board for detecting illegal packets on the main communication path connecting the internal network and the external network, an external attack monitoring board, and an internal attack monitoring board If an illegal packet is detected by the network, the packet is discarded, and if not, a network defense device with a main board that relays the packet is arranged to increase resistance against overload attacks. Yes.
[0006]
[Patent Document 1]
JP 2002-185539 A
[Patent Document 2]
Japanese Patent Laid-Open No. 2002-199025
[0007]
[Problems to be solved by the invention]
However, each of the conventional techniques described in Patent Documents 1 and 2 has a problem that the countermeasure may be delayed because the attack is detected when the attack is performed on the management target network. there were.
[0008]
Accordingly, an object of the present invention is to provide an attack-source computer or a network to which an attack-source computer that is likely to launch an attack before the attack is performed on the managed network and the computers in the managed network. Is to ensure that appropriate precautions can be taken before actual attack.
[0009]
[Means for Solving the Problems]
In order to achieve the above object, a first network shutoff system according to the present invention provides:
A network monitoring device that is installed in a network other than a managed network and detects an attack source computer that is attacking a network other than the managed network, or an attack source network to which the attack source computer is connected;
Network blocking determination for blocking communication between the attack source computer detected by the network monitoring device and the managed network, or communication between the attack source network and the managed network detected by the network monitoring device And an apparatus.
[0010]
In addition, the second network shutoff system according to the present invention prevents an attack from the managed network to the outside.
In the first network shutdown system,
The network shutoff determination device is
When the attack source computer or the attack source network detected by the network monitoring apparatus exists in the managed network, the communication between the managed network and the external network is blocked.
[0011]
In addition, the third network cutoff system according to the present invention is:
To be able to notify the administrator of the managed network of the attack source computer or attack source network,
In the first network shutdown system,
The network shutoff determination device is
The network monitoring apparatus has a configuration in which the network address of the attack source computer detected by the network monitoring apparatus or the network address of the attack source network is notified to an administrator of the management target network.
[0012]
More specifically, the fourth network cutoff system according to the present invention is:
Each time an attack source computer connected to a network other than the managed network and attacking a network other than the managed network or an attack source network connected to the attack source computer is detected, the attack source A computer or a network monitoring device for recording the network address of the attack source network;
A network cutoff system including a network cutoff judgment device,
The network shutoff determination device is
An attack information collection unit for collecting the network address of the attack source computer or the attack source network from the network monitoring device;
A designated network blocking processing unit that detects an attack source computer or attack source network that has made an attack more than a predetermined number of times based on the network address of the attack source computer or attack source network collected by the attack information collection unit;
Blocks communication between the attack source computer detected by the designated network blocking processor and the managed network, or communication between the attack source network detected by the specified network blocking processor and the managed network. And a network relay device interface unit.
[0013]
The fifth network shutoff system according to the present invention is
In the fourth network shut-off system,
When the designated network blocking processor detects an attack source computer or attack source network that has made an attack more than a predetermined number of times, does the detected attack source computer or attack source network exist in the managed network? Having a configuration for determining whether or not
When the network relay device interface unit determines that the attack source computer or attack source network that has made an attack more than a predetermined number of times in the designated network blocking processing unit exists in the managed network, the managed network and When it is determined that the communication with the external network is interrupted and does not exist in the managed network, the communication between the attack source computer and the managed network or the attack source network and the managed network It has the structure which interrupts | blocks communication between these.
[0014]
The sixth network shut-off system according to the present invention is
In the fourth network shut-off system,
A network manager notifying unit for notifying an administrator of the managed network of a network address of the attack source computer or the attack source network detected by the designated network blocking processing unit.
[0015]
[Action]
When an attack source computer that is attacking a network other than the managed network or an attack source network connected to the attack source computer is detected by a network monitoring device installed in a network other than the managed network, Even if there is no attack on the managed network, the network blockage judgment device blocks communication between the managed network and the attack source computer or between the managed network and the attack source network. In addition, the security of the computers on the managed network can be made extremely high.
[0016]
In addition, when the attack source computer or the attack source network detected by the network monitoring device exists in the managed network, communication between the managed network and the external network is blocked, so the managed network becomes the attack source. Can be prevented.
[0017]
Further, since the network address of the attack source computer detected by the network monitoring device or the network address of the attack source network is notified to the administrator of the managed network, it is possible to take preventive measures against the attack.
[0018]
DETAILED DESCRIPTION OF THE INVENTION
Next, embodiments of the present invention will be described in detail with reference to the drawings.
[0019]
[Configuration of Example]
FIG. 1 is a block diagram of an embodiment of a network interruption system according to the present invention. Referring to the figure, the network blocking system of this embodiment includes network relay devices 100 and 200, network monitoring devices 300 and 400, administrator terminals 15 and 25, network blocking determination device 500, and attack source computer 75. And managed networks 10 and 20, networks 30, 40, 50, 60 and 70, and a network group 80.
[0020]
The managed networks 10 and 20 are networks such as an intranet that protects against attacks or manages them so as not to cause attacks. The network group 80 is a network composed of a plurality of networks such as the Internet. The networks 30, 40, 50, 60, and 70 are networks such as an intranet connected to the network group 80. The network relay devices 100 and 200 connect the networks 30 and 40 and the management target networks 10 and 20, respectively, and are generally configured by a router, a firewall, or the like.
[0021]
The network monitoring devices 300 and 400 are connected to the network switches of the networks 50 and 60, respectively, and monitor network packets flowing through the networks to detect attacks. Usually, an intrusion detection system (Intrusion Detection System) is used. Called.
[0022]
The network interruption determination device 500 reads attack detection information related to the attack detected by the network monitoring devices 300 and 400, and if the attack from the network 70 to which the attack source computer 75 is connected exceeds a certain number of times, the network interruption determination device 500 By changing the settings of the devices 100 and 200, the relay of data from the network 70 to which the attack source computer 75 is connected to the managed networks 10 and 20 is blocked. In addition, when it is determined that the network should be blocked or when the network is blocked, the network blocking determination apparatus 500 transmits an e-mail notifying the administrator terminals 15 and 25 to that effect. The attack source computer 75 is a computer that performs an attack via the network 70.
[0023]
Referring to FIG. 2, the network cutoff determination device 500 includes a network monitoring device interface unit 501, an attack information collection unit 502, an attack information processing unit 503, a managed network cutoff processing unit 504, and a designated network cutoff processing unit 505. A network relay device interface unit 506, a network manager notification unit 507, an attack detection information reading area 510, a network monitoring device management table 520, an attack status management table 530, and a managed network management table 540. Has been. The network interruption determination device 500 is realized by, for example, a computer. The computer reads a program recorded on a recording medium such as a disk or a semiconductor memory (not shown), and executes the program. Network monitoring device interface unit 501, attack information collection unit 502, attack information processing unit 503, managed network blocking processing unit 504, designated network blocking processing unit 505, network relay device interface unit 506, network manager notification unit on its own computer 507, an attack detection information reading area 510, a network monitoring device management table 520, an attack status management table 530, and a managed network management table 540 are realized.
[0024]
The network monitoring device management table 520 is a table that holds information regarding the network monitoring devices 300 and 400 that are the collection destinations of attack detection information. Referring to FIG. 3, the network monitoring device management table 520 includes rows for the number of installed network monitoring devices 300 and 400 (two rows in this embodiment), and each row has a network monitoring device name area 521. The network monitoring device address area 522. In the network monitoring device identification name area 521, a name for identifying the network monitoring devices 300 and 400 is stored. The network monitoring device address area 522 stores the network addresses of the network monitoring devices 300 and 400 that communicate to collect attack detection information. For example, the network address of the network monitoring device 300 is stored in the first row of the network monitoring device management table 520, and the network address of the network monitoring device 400 is stored in the second row.
[0025]
The attack information collection unit 502 has a function of referring to the network monitoring device management table 520 and instructing the network monitoring device interface unit 501 of the network addresses of the network monitoring devices 300 and 400 that are the collection destinations of the attack detection information. .
[0026]
The network monitoring device interface unit 501 has a function of collecting attack detection information from the network monitoring devices 300 and 400 based on the network address instructed from the attack information collection unit 502 and storing it in the attack detection information reading area 510.
[0027]
Referring to FIG. 4, the attack detection information reading area 510 includes a plurality of attack source network address areas 511, a plurality of attack pattern identification information areas 512, and a plurality of attack source network address areas 513. . The network address area 511 of the attack source network stores the network address of the network 70 to which the attack source computer 75 is connected. The attack pattern identification information area 512 stores a name for identifying the attack pattern of the attack detected by the network monitoring apparatuses 300 and 400. The attack source address area 513 stores the network address of the attack source computer 75.
[0028]
The attack information processing unit 503 has a function of updating the contents of the attack status management table 530 based on the attack detection information stored in the attack detection information reading area 510 by the network monitoring device interface unit 501.
[0029]
The attack status management table 530 classifies the attack detection information stored in the attack detection information reading area 510 by the network monitoring device interface unit 501 according to the combination of the network address of the network 70 to which the attack source computer 75 is connected and the attack pattern. This is a table for storing the number of cases. Referring to FIG. 5, the attack status management table 530 includes a plurality of rows, and each row includes a network address area 531 of the attack source network, an attack pattern identification information area 532, and an attack detection frequency area 533. . The network address area 531 and attack pattern identification information area 532 of the attack source network are copied from the network address area 511 and attack pattern identification information area 512 of the attack source network in the attack detection information reading area 510, respectively. The attack detection count area 533 stores the number of detections of a combination of the network address and attack pattern of the same attack source network within a certain time (for example, 5 minutes). In the present embodiment, as shown in FIG. 5, the number of attack detections is managed for each combination of the network address of the attack source network and the attack pattern identification information, but for each network address of the attack source network, The number of attack detections may be managed. In this case, the attack pattern identification information area 532 is not necessary.
[0030]
The managed network cutoff processing unit 504 has a function of sequentially passing information on the managed networks 10 and 20 stored in the managed network management table 540 to the designated network cutoff processing unit 505.
[0031]
Referring to FIG. 6, the managed network management table 540 is composed of as many lines as the number of monitored networks 10 and 20 (two lines in this embodiment), and each line includes a managed network identification name region 541 and Network relay device address area 542, network relay device type area 543, network administrator e-mail address area 544, blocking threshold area 545, blocking permission / inhibition designation area 546, and subnetwork address area 547 in the managed network It consists of.
[0032]
In the managed network identification name area 541, a name for identifying the managed networks 10 and 20 is stored. The network relay device address area 542 stores the network addresses of the network relay devices 100 and 200 connected to the management target networks 10 and 20. The network relay device type area 543 stores information for identifying the types of the network relay devices 10 and 20. The network administrator e-mail address area 544 stores the e-mail address of the network administrator of the network. In the blocking threshold area 545, blocking or notifying the network administrator of the number of occurrences within the predetermined time (for example, 5 minutes) of the same attack source network address and attack pattern set for the network. The threshold value is stored. The blockability designation area 546 stores a distinction between whether to block or only notify the network administrator without blocking when an attack exceeding the block threshold is detected. The In the subnet address area 547 in the management target network, addresses of one or a plurality of sub-networks constituting the network are stored.
[0033]
The designated network blocking processing unit 505 is configured to manage the managed network based on the information about each managed network 10 and 20 passed from the managed network blocking processing unit 504 and the contents of the attack status management table 530. 10 and 20, a function for determining whether to shut down the network or notifying the administrator, a function for instructing the network relay device interface unit 506 to shut down the network when it is determined that the network is to be shut down, When it is determined to notify the administrator, the network administrator notification unit 507 has a function of instructing notification to the administrator.
[0034]
The network relay device interface unit 506 changes the configuration of the network relay devices 100 and 200 in accordance with an instruction from the designated network blocking processing unit 505 to block communication between the attack source network 70 and the managed networks 10 and 20. Alternatively, it has a function of blocking communication between the managed network 10 or the subnetwork in the managed network 20 and the outside of the managed network.
[0035]
The network manager notification unit 507 has a function of sending an e-mail to the manager of the managed networks 10 and 20 in accordance with an instruction from the designated network blocking processing unit 505.
[0036]
[Description of operation of embodiment]
Next, the overall operation of this embodiment will be described in detail with reference to the drawings.
[0037]
Now, for example, it is assumed that the attack source computer 75 is attacking the network 50 via the network 70.
[0038]
Each time the network monitoring device 300 installed in the network 50 detects an attack (FIG. 7, A71 and A72 are yes), it records the attack detection information as log information in a log file (A73). This attack detection information includes the network address of the attack source computer 75, the network address of the network 70 to which the attack source computer 75 is connected, and attack pattern identification information.
[0039]
On the other hand, the attack information collection unit 502 in the network interruption determination apparatus 500 performs the processing shown in the flowchart of FIG.
[0040]
As shown in the flowchart of FIG. 8, the attack information collection unit 502 sequentially sets each row of the network monitoring device management table 520 as a processing target (A80, A86), and the network monitoring device address area 522 in the row to be processed. The network monitoring device interface unit 501 is called by designating the address set in (A83). Thereafter, the attack information collection unit 502 waits for a return from the network monitoring device interface unit 501.
[0041]
The network monitoring device interface unit 501 communicates with the network monitoring device at the address specified by the attack information collection unit 502, and reads the attack detection information stored in the log file of the network monitoring device after the previous reading. Then, the attack detection information read this time is stored in the attack detection information reading area 510 (A91 in FIG. 9). If there is no attack detection information stored in the log file since the previous reading, nothing is stored in the attack detection information reading area 510. Thereafter, the network monitoring device interface unit 501 returns to the attack information collection unit 502. By this processing, the network address, attack pattern identification information, and attack source network address of the network 70 connected to the attack source computer 75 recorded in the log file of the network monitoring device 300 are the attack source network in the attack detection information reading area 510. Network address area 511, attack pattern identification information area 512, and attack source network address area 513.
[0042]
When the control is returned from the network monitoring device interface unit 501, the attack information collection unit 502 checks whether or not the attack detection information is stored in the attack detection information reading area 510 (A84 in FIG. 8). If attack detection information is stored, for each stored attack detection information, a set of the network address of the attack source network 70 and attack pattern identification information included therein is obtained, and all of the obtained The attack information processing unit 503 is called by designating a set of. Further, all the information stored in the areas 511 to 513 of the attack detection information reading area 510 is deleted, and a return from the attack information processing unit 503 is waited (A85). On the other hand, when attack detection information is not stored, the next row of the network monitoring device management table 520 is set as a processing target (A86). If there is no next line (A81 is yes), the first (first line) of the network monitoring apparatus management table 520 is handled (A82).
[0043]
When called from the attack information collection unit 502, the attack information processing unit 503 compares the current time with the time of the previous call, and if a certain time or more has elapsed since the previous call, the attack status management All the rows in the table 530 are deleted (A101 in FIG. 10 is no, A102). On the other hand, if it is within a predetermined time from the previous call, the pair of the attack source network 70 instructed by the attack information collection unit 502 and the attack pattern identification information is registered in the attack status management table 530. Judgment is made (A101 is yes, A103).
[0044]
If the combination of the network address of the attack source network 70 and the attack pattern identification information has already been registered in the attack status management table 530, 1 is added to the number of attacks detected in the corresponding row (A103 is yes, A104). If not registered, it is newly registered and the attack detection count is set to 1 (A103 is no, A105). This process is performed for all pairs designated by the attack information collection unit 502.
[0045]
Thereafter, the attack information processing unit 503 calls the managed network blocking processing unit 504 and waits for a return from the managed network blocking processing unit 504 (A106).
[0046]
When called from the attack information processing unit 503, the managed network blocking processing unit 504 extracts information on the managed network registered in the first row of the managed network management table 540 (A110 and A112 in FIG. 11). Then, the designated network cutoff processing unit 505 is called by designating the extracted information (A113). The above information includes the managed network identifier, network relay device address, network relay device type, network administrator e-mail address, blocking threshold, blocking availability designation, and subnetwork address in the managed network. (See FIG. 6). Thereafter, the managed network cutoff processing unit 504 waits for a return from the designated network cutoff processing unit 505. When control is returned from the designated network cutoff processing unit 505, the next row (next management target network) of the management target network management table 540 is set as a processing target (step A114), and the same processing is performed. When there is no unprocessed line (A111 is yes), the process returns to the attack information processing unit 503.
[0047]
When the designated network blocking processing unit 505 is called from the managed network blocking processing unit 504, the blocking threshold in the information specified by the managed network blocking processing unit 504 and each attack detection in the attack status management table 530 are detected. The number of attack detections registered in the number of times area 533 is respectively compared (A121 in FIG. 12), and if there is no exceeding the blocking threshold (A121 is no), the managed network is blocked without doing anything. The process returns to the processing unit 504.
[0048]
On the other hand, when there is an attack detection frequency area 533 in which the number of attack detections exceeding the blocking threshold is registered (A121 is yes), the network address area 531 of the attack source network in the same row as the area 533 is present. By checking whether the network address registered in the subnetwork address in the managed network designated by the managed network blocking processing unit 504 is included in the attack source network, It is determined whether it is in the managed network (network specified by the managed network identification name in the information specified by the managed network cutoff processing unit 504) (A122)
[0049]
If the network address of the network 70 to which the attack source computer 75 is connected is not included in the managed network that is currently being processed (A122 is yes), then the managed network blocking processing unit 504 specifies the network address. The blocking information in the information is checked (A123). If blocking is possible, the blocking of communication between the network 70 connected to the attack source computer 75 and the managed network currently being processed is specified. Then, the network relay device interface unit 506 is called (A124). Thereafter, the network manager notifying unit 507 is called to instruct the administrator of the managed network currently being processed to notify that the attack has been executed because the attack has been detected and the network address of the blocked network. (A125). Thereafter, when control is returned from the network relay device interface unit 506 and the network manager notification unit 507, the process returns to the caller-managed network cutoff processing unit 504.
[0050]
When it is designated that blocking is not possible (A123 is no), the network manager notifying unit 507 is called, and an attack is detected with respect to the manager of the management target network currently being processed, and the attack source network 70 When the network administrator notification unit 507 returns control, the process returns to the caller management target network blocking processing unit 504.
[0051]
If the network address of the network 70 to which the attack source computer 75 is connected is included in the managed network (A122 is no), then the blocking in the information specified by the managed network blocking processing unit 504 is performed. The permission designation is checked (A127), and when the blocking is possible, the blocking of communication between the attack source network (the management target network currently being processed) and the outside of the management target network is specified, and the network relay device interface unit 506 (A128). After that, the network administrator notification unit 507 is called to instruct the administrator of the managed network currently being processed to notify that the blocking has been executed and that the blocking cause is an attack from the managed network. (A129). Thereafter, when control is returned from the network relay device interface unit 506 and the network manager notification unit 507, the process returns to the caller-managed network cutoff processing unit 504.
[0052]
When it is designated that blocking is not possible (A127 is no), the network manager notification unit 507 is called, and an attack from the managed network is detected against the manager of the managed network currently being processed. Is notified (A130), and when the control is returned from the network manager notification unit 507, the process returns to the caller-managed network cutoff processing unit 504.
[0053]
When the network relay device interface unit 506 is called from the designated network blocking processing unit 505, the communication between the attack source network 70 designated by the designated network blocking processing unit 505 and the managed network currently being processed is blocked. As described above, the setting of the network relay apparatus that is directly connected to the management target network that is the current processing target is changed by a method according to the type, and then the process returns to the designated network cutoff processing unit 505 that is the call source. (A131 in FIG. 13). For example, if the type of the network relay device is a router, the contents of the routing table are changed, and if the type is a firewall, the contents of the definition table are changed. The network address and type of the network relay device can be obtained by referring to the network relay device address area 542 and the network relay apparatus type area 543 of the management target network management table 540.
[0054]
When called from the designated network blocking processing unit 505, the network manager notifying unit 507 transmits an e-mail to the manager of the management target network in accordance with an instruction from the designated network blocking processing unit 505 (A141 in FIG. 14). The administrator e-mail address can be obtained by referring to the network administrator e-mail address area 544 of the management target network management table 540.
[0055]
Other Embodiments of the Invention
[0056]
Another embodiment of the present invention will be described with reference to FIG. In this embodiment, the network relay devices 100 and 200 do not block communication with the network 70 to which the attack source computer 75 is connected, but block communication with the attack source computer 75.
[0057]
Next, the operation of this embodiment will be described with reference to FIG. 10, FIG. 12, and FIG. Here, only differences from the above-described embodiment will be described.
[0058]
The attack information processing unit 503 manages the number of attack detections using the network address and attack pattern pair of the attack source computer 75 instead of the network address and attack pattern pair of the attack source network 70 (A103 in FIG. 10). -A105).
[0059]
The designated network blocking processing unit 505 determines whether or not the attack source computer 75 is included in the subnet of the managed network by using the network address of the attack source computer 75 instead of the network address of the attack source network 70 (FIG. 12 A122). In steps A124 and A128, not the attack source network 70 but the attack source computer 75 is designated.
[0060]
The network relay device interface unit 506 uses the network address of the attack source computer 75 instead of the network address of the attack source network 70 to change the configuration of the corresponding network relay device (A131 in FIG. 13).
[0061]
In each of the above-described embodiments, the number of network monitoring devices is two, but the number of network monitoring devices may be any number. Further, although the number of networks to be monitored is “2”, the number of networks is not limited to this. In each of the embodiments described above, the network monitoring device is not installed in the management target network, but the network monitoring device may be installed in the management target network. Although not described in each of the above-described embodiments, the operator of the network interruption determination apparatus 500 may charge the administrator of the management target networks 10 and 20 for a fee. At that time, charge a fee according to the number of times the communication between the managed network and the attack source network or the attack source computer is blocked, charge a fee according to the number of outgoing emails, or charge a fixed amount every month be able to.
[0062]
【The invention's effect】
As described above, according to the present invention, an attack source computer or an attack source computer that is attacking a network other than the managed network is connected by a network monitoring device installed in a network other than the managed network. If an attack source network is detected, the network blockage judgment device communicates between the managed network and the attack source computer or between the managed network and the attack source network, even if no attack is being performed on the managed network. Therefore, the safety of the managed network and the computers on the managed network can be made extremely high.
[0063]
Further, the present invention blocks communication between the managed network and the external network when the attack source computer or the attack source network detected by the network monitoring device exists in the managed network. It can be prevented from becoming an attack source.
[0064]
In addition, the present invention notifies the administrator of the network to be managed of the network address of the attack source computer or the network address of the attack source network detected by the network monitoring device, so that it is possible to take preventive measures against the attack.
[Brief description of the drawings]
FIG. 1 is a block diagram of an embodiment of the present invention.
FIG. 2 is a block diagram illustrating a configuration example of a network cutoff determination device 500. FIG.
FIG. 3 is a diagram showing a configuration example of a network monitoring device management table 520. FIG.
FIG. 4 is a diagram illustrating a configuration example of an attack detection information reading area 510;
FIG. 5 is a diagram showing a configuration example of an attack status management table 530;
6 is a diagram showing a configuration example of a management target network management table 540. FIG.
FIG. 7 is a flowchart illustrating a processing example of the network monitoring devices 300 and 400;
FIG. 8 is a flowchart illustrating a processing example of an attack information collection unit 502;
FIG. 9 is a flowchart illustrating a processing example of the network monitoring apparatus interface unit 501;
FIG. 10 is a flowchart illustrating a processing example of an attack information processing unit 503;
FIG. 11 is a flowchart illustrating a processing example of a management target network cutoff processing unit 504;
12 is a flowchart showing a processing example of a designated network cutoff processing unit 505. FIG.
FIG. 13 is a flowchart illustrating a processing example of the network relay device interface unit 506;
14 is a flowchart showing a processing example of a network manager notification unit 507. FIG.
[Explanation of symbols]
10, 20 ... Managed network
30, 40, 50, 60, 70 ... network
75 ... Attack source computer
80: Network group
100, 200 ... Network relay device
300, 400 ... Network monitoring device
500 ... Network cutoff judgment device
501... Network monitoring device interface unit
502 ... Attack information collection unit
503 ... Attack information processing section
504 ... Managed network blocking processor
505 ... Designated network cutoff processing unit
506: Network relay device interface section
507 ... Network administrator notification section
510 ... Attack detection information reading area
520 ... Network monitoring device management table
530 ... Attack status management table
540 ... Managed network management table

Claims (8)

管理対象ネットワーク以外のネットワークに設置され、前記管理対象ネットワーク以外のネットワークに対する攻撃を行っている攻撃元計算機或いは該攻撃元計算機が接続されている攻撃元ネットワークを検出するネットワーク監視装置と、
該ネットワーク監視装置で検出された攻撃元計算機と前記管理対象ネットワークとの間の通信或いは前記ネットワーク監視装置で検出された前記攻撃元ネットワークと前記管理対象ネットワークとの間の通信を遮断するネットワーク遮断判定装置とを備えたことを特徴とするネットワーク遮断システム。A network monitoring device that is installed in a network other than the managed network and detects an attack source computer that is performing an attack on the network other than the managed network, or an attack source network to which the attack source computer is connected;
Network blocking determination for blocking communication between the attack source computer detected by the network monitoring device and the managed network, or communication between the attack source network and the managed network detected by the network monitoring device A network shut-off system comprising the device. 請求項1記載のネットワーク遮断システムにおいて、
前記ネットワーク遮断判定装置が、
前記ネットワーク監視装置で検出された攻撃元計算機或いは攻撃元ネットワークが前記管理対象ネットワーク内に存在する場合、前記管理対象ネットワークと外部ネットワークとの間の通信を遮断する構成を有することを特徴とするネットワーク遮断システム。The network shut-off system according to claim 1,
The network shutoff determination device is
A network having a configuration for blocking communication between the managed network and an external network when an attack source computer or an attack source network detected by the network monitoring apparatus exists in the managed network Shut-off system. 請求項1記載のネットワーク遮断システムにおいて、
前記ネットワーク遮断判定装置が、
前記ネットワーク監視装置で検出された攻撃元計算機のネットワークアドレス或いは前記攻撃元ネットワークのネットワークアドレスを前記管理対象ネットワークの管理者に通知する構成を有することを特徴とするネットワーク遮断システム。The network shut-off system according to claim 1,
The network shutoff determination device is
A network blocking system comprising: a network address of an attack source computer detected by the network monitoring device or a network address of the attack source network is notified to an administrator of the managed network. 管理対象ネットワーク以外のネットワークに接続され、前記管理対象ネットワーク以外のネットワークに対して攻撃を行っている攻撃元計算機或いは該攻撃元計算機が接続されている攻撃元ネットワークを検出する毎に、前記攻撃元計算機或いは前記攻撃元ネットワークのネットワークアドレスを記録するネットワーク監視装置と、
ネットワーク遮断判定装置とを備えたネットワーク遮断システムであって、
前記ネットワーク遮断判定装置が、
前記ネットワーク監視装置から攻撃元計算機或いは攻撃元ネットワークのネットワークアドレスを収集する攻撃情報収集部と、
該攻撃情報収集部が収集した攻撃元計算機或いは攻撃元ネットワークのネットワークアドレスに基づいて、所定回数以上攻撃を行った攻撃元計算機或いは攻撃元ネットワークを検出する指定ネットワーク遮断処理部と、
該指定ネットワーク遮断処理部で検出された攻撃元計算機と前記管理対象ネットワークとの間の通信或いは前記指定ネットワーク遮断処理部で検出された攻撃元ネットワークと前記管理対象ネットワークとの間の通信を遮断するネットワーク中継装置インターフェース部とを備えたことを特徴とするネットワーク遮断システム。Each time an attack source computer connected to a network other than the managed network and attacking a network other than the managed network or an attack source network connected to the attack source computer is detected, the attack source A computer or a network monitoring device for recording the network address of the attack source network;
A network cutoff system including a network cutoff judgment device,
The network shutoff determination device is
An attack information collection unit for collecting the network address of the attack source computer or the attack source network from the network monitoring device;
A designated network blocking processing unit that detects an attack source computer or attack source network that has made an attack more than a predetermined number of times based on the network address of the attack source computer or attack source network collected by the attack information collection unit;
Blocks communication between the attack source computer detected by the designated network blocking processor and the managed network, or communication between the attack source network detected by the specified network blocking processor and the managed network. A network interruption system comprising a network relay device interface unit. 請求項4記載のネットワーク遮断システムにおいて、
前記指定ネットワーク遮断処理部が、所定回数以上攻撃を行った攻撃元計算機或いは攻撃元ネットワークを検出したとき、該検出した攻撃元計算機或いは攻撃元ネットワークが前記管理対象ネットワーク内に存在するものであるか否かを判定する構成を有し、
前記ネットワーク中継装置インターフェース部が、
前記指定ネットワーク遮断処理部において所定回数以上攻撃を行った攻撃元計算機或いは攻撃元ネットワークが前記管理対象ネットワーク内に存在すると判定された場合には、前記管理対象ネットワークと外部ネットワークとの間の通信を遮断し、前記管理対象ネットワーク内に存在しないと判定された場合は、前記攻撃元計算機と前記管理対象ネットワークとの間の通信或いは前記攻撃元ネットワークと前記管理対象ネットワークとの間の通信を遮断する構成を有することを特徴とするネットワーク遮断システム。The network shut-off system according to claim 4,
When the designated network blocking processor detects an attack source computer or attack source network that has made an attack more than a predetermined number of times, does the detected attack source computer or attack source network exist in the managed network? Having a configuration for determining whether or not
The network relay device interface unit,
When it is determined that an attack source computer or attack source network that has made an attack more than a predetermined number of times in the designated network blocking processing unit exists in the managed network, communication between the managed network and the external network is performed. If it is determined that it does not exist in the managed network, the communication between the attack source computer and the managed network or the communication between the attack source network and the managed network is blocked. A network shut-off system characterized by having a configuration. 請求項4記載のネットワーク遮断システムにおいて、
前記指定ネットワーク遮断処理部において検出された攻撃元計算機或いは攻撃元ネットワークのネットワークアドレスを前記管理対象ネットワークの管理者へ通知するネットワーク管理者通知部を備えたことを特徴とするネットワーク遮断システム。The network shut-off system according to claim 4,
A network blocking system comprising a network manager notifying unit for notifying an administrator of the managed network of a network address of an attack source computer or an attack source network detected by the designated network blocking processing unit. 管理対象ネットワーク以外のネットワークに設置され、前記管理対象ネットワーク以外にネットワークに対して攻撃を行っている攻撃元計算機或いは該攻撃元計算機が接続されている攻撃元ネットワークを検出するネットワーク監視装置で検出された攻撃元計算機と前記管理対象ネットワークとの間の通信或いは前記ネットワーク監視装置で検出された前記攻撃元ネットワークと前記管理対象ネットワークとの間の通信を遮断する構成を有することを特徴とするネットワーク遮断判定装置。Detected by a network monitoring device that is installed in a network other than the managed network and detects an attack source computer that is attacking the network other than the managed network or the attack source network to which the attack source computer is connected. The communication between the attack source computer and the managed network or the communication between the attack source network detected by the network monitoring device and the managed network is blocked. Network interruption judgment device. コンピュータを、
管理対象ネットワーク以外のネットワークに設置され、前記管理対象ネットワーク以外のネットワークに対して攻撃を行っている攻撃元計算機或いは該攻撃元計算機が接続されている攻撃元ネットワークを検出するネットワーク監視装置で検出された攻撃元計算機と前記管理対象ネットワークとの間の通信或いは前記ネットワーク監視装置で検出された前記攻撃元ネットワークと前記管理対象ネットワークとの間の通信を遮断するネットワーク遮断判定装置として機能させるためのプログラム。Computer
Detected by a network monitoring device that is installed in a network other than the managed network and detects an attack source computer that is attacking the network other than the managed network, or an attack source network to which the attack source computer is connected. In order to function as a network interruption determination device that blocks communication between the attack source computer and the managed network or communication between the attack source network and the managed network detected by the network monitoring device. Program.
JP2003175986A 2003-06-20 2003-06-20 Network cutoff system, and network cutoff judging apparatus and program Pending JP2005012606A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003175986A JP2005012606A (en) 2003-06-20 2003-06-20 Network cutoff system, and network cutoff judging apparatus and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003175986A JP2005012606A (en) 2003-06-20 2003-06-20 Network cutoff system, and network cutoff judging apparatus and program

Publications (1)

Publication Number Publication Date
JP2005012606A true JP2005012606A (en) 2005-01-13

Family

ID=34098982

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003175986A Pending JP2005012606A (en) 2003-06-20 2003-06-20 Network cutoff system, and network cutoff judging apparatus and program

Country Status (1)

Country Link
JP (1) JP2005012606A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006243973A (en) * 2005-03-01 2006-09-14 Matsushita Electric Works Ltd Information monitoring system
JP2007208574A (en) * 2006-02-01 2007-08-16 Alaxala Networks Corp Traffic handling apparatus and system
WO2009041686A1 (en) * 2007-09-28 2009-04-02 Nippon Telegraph And Telephone Corporation Network monitoring device, network monitoring method, and network monitoring program
JP2018142927A (en) * 2017-02-28 2018-09-13 沖電気工業株式会社 System and method for addressing malware unauthorized communication

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006243973A (en) * 2005-03-01 2006-09-14 Matsushita Electric Works Ltd Information monitoring system
JP2007208574A (en) * 2006-02-01 2007-08-16 Alaxala Networks Corp Traffic handling apparatus and system
WO2009041686A1 (en) * 2007-09-28 2009-04-02 Nippon Telegraph And Telephone Corporation Network monitoring device, network monitoring method, and network monitoring program
JP4827972B2 (en) * 2007-09-28 2011-11-30 日本電信電話株式会社 Network monitoring device, network monitoring method, and network monitoring program
US8347383B2 (en) 2007-09-28 2013-01-01 Nippon Telegraph And Telephone Corporation Network monitoring apparatus, network monitoring method, and network monitoring program
JP2018142927A (en) * 2017-02-28 2018-09-13 沖電気工業株式会社 System and method for addressing malware unauthorized communication

Similar Documents

Publication Publication Date Title
JP4480422B2 (en) Unauthorized access prevention method, apparatus, system, and program
JP4545647B2 (en) Attack detection / protection system
US20060230456A1 (en) Methods and apparatus to maintain telecommunication system integrity
CN108063753A (en) A kind of information safety monitoring method and system
US20090092057A1 (en) Network Monitoring System with Enhanced Performance
US20160232349A1 (en) Mobile malware detection and user notification
US7617533B1 (en) Self-quarantining network
JP2013191199A (en) Methods and systems for protecting network-connected device from intrusion
KR100479202B1 (en) System and method for protecting from ddos, and storage media having program thereof
JP2005012606A (en) Network cutoff system, and network cutoff judging apparatus and program
TWM632159U (en) System for performing tasks according to recorded analysis results to realize device joint defense
JP2008054204A (en) Connection device, terminal device, and data confirmation program
CN118353722B (en) Network attack interception method, computer device and computer readable storage medium
KR100427179B1 (en) Attacker isolation method and system using packet filtering at the border router of ISP
KR20240134094A (en) Method and Apparatus for Monitoring Network Traffic by Using Virtual Network Function
JP2007323428A (en) Bot detection device, bot detection method, and program
CN114465746B (en) Network attack control method and system
TWI835113B (en) System for executing task based on an analysis result of records for achieving device joint defense and method thereof
CN111683063B (en) Message processing method, system, device, storage medium and processor
CN116702133A (en) Alarm information noise reduction strategy determination method and device and storage medium
CN113328976B (en) Security threat event identification method, device and equipment
KR101074198B1 (en) Method and system for isolating the harmful traffic generating host from the network
JP2006332997A (en) Communication management device, network system, communication disconnecting method, and program
US20250039201A1 (en) Information processing system, information processing method, and computer-readable recording medium
JP6851211B2 (en) Network monitoring system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060223

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060307

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060627