-
HINTERGRUND DER ERFINDUNG
-
1. Gebiet der Erfindung
-
Die
vorliegende Erfindung bezieht sich auf ein Steuersystem zum Vorsehen
eines Sicherheitsunterstützungslieferanten
in einem Computernetzwerk mit einem Mittel zum Ködern eines illegal zugreifenden
zu einem Lockserver, auf der Grundlage von Informationen, die von
einer Netzwerkeinrichtung des Lieferanten, die einen illegalen Zugriff
erfasst gegeben werden.
-
2. Beschreibung des Standes
der Technik
-
Es
war bei herkömmlichen
Netzwerksystemen weit verbreitet, dass eine Organisation wie ein Unternehmen
individuelle Sicherheitsmaßnahmen auf
einer Organisationsbasis ergreift durch Verwendung einer Netzwerkkomponentenvorrichtung
und einer Steuervorrichtung mit einer Erfassungsfunktion für illegalen
Zugriff.
-
Beispielsweise
ist in der Veröffentlichung
der ungeprüften
Japanischen Patentanmeldung Nr. 2000-90031 offenbartes System mit
einem Analysesystem für
illegalen Zugriff zu einem Netzwerk zwischen Routern vorgesehen
zum Abfangen einer Kommunikation zwischen den Kommunikationspartnern,
wenn ein illegaler Zugriff bei der Kommunikation erfasst wird. Gemäß einem
in der Veröffentlichung der
ungeprüften
Japanischen Patentanmeldung Nr. 2000-47987 offenbarten System wird,
wenn ein illegaler Zugriff erfasst wird, der illegale Zugriff in
eine Pseudo-Datenbank gelockt, die speziell neben einer regulären Datenbank
vorgesehen ist, wodurch regulären
Daten vor einem Herausfließen
geschützt
werden. Ein in der Veröffentlichung
der ungeprüften
Japanischen Patentanmeldung Nr. Hei6-6347 offenbartes System ist
mit einer Sicherheitssteuervorrichtung versehen, die zu einer Netzwerkkomponentenvorrichtung über einen
illegalen Zugriff informiert wird, wenn dieser erfasst wird, wodurch
eine zentralisierte Sicherheitssteuerung erhalten wird.
-
Alle
diese basieren auf dem Verfahren, dass ein Klient, der ein Netzwerk
verwaltet, wie ein Unternehmen, selbst ein System installiert und
steuert.
-
Jedoch
tritt gemäß dem herkömmlichen Netzwerksystem,
wenn die Organisation klein ist, ein Problem auf hinsichtlich des
Erwerbs eines Netzwerkverwalters und der Vermittlung von Verwaltungs-Knowhow.
-
Zusätzlich hierzu
muss, selbst ein Vollzeit-Netzwerkverwalter
verfügbar
ist, da der Netzwerkverwalter für
die Steuerung aller Netzwerkvorrichtungen und Steuersysteme verantwortlich
ist, er große
An strengungen zum Einstellen, Modifizieren und Warten der Netzwerkvorrichtungen
unternehmen.
-
Weiterhin
sind das Modifizieren einer Netzwerkkonfiguration, das Installieren
eines neuen Netzwerks gegen einen Versuch eines illegalen Zugriffs und
die Verbesserung einer Netzwerkversion kostenaufwendig, und diese
wurden nicht sofort durchgeführt.
-
Bei
dem in der Veröffentlichung
der ungeprüften
Japanischen Patentanmeldung Nr. 2000-47987 und der Veröffentlichung
der ungeprüften
Japanischen Patentanmeldung Nr. Hei6-6347 offenbarten Systemen beispielsweise
wird der Verwalter damit betraut, einen illegalen Zugriff zu handhaben,
wenn dieser erfasst wird. Insbesondere wird bei dem in der Veröffentlichung
der ungeprüften
Japanischen Patentanmeldung Nr. 2000-47987 offenbarten System, obgleich das
System ausgebildet ist, einen illegal zugreifenden in eine Pseudo-Datenbank
zu locken, von der das Netzwerk selbst verwaltenden Organisation
erwartet, die Pseudo-Datenbank
zu installieren.
-
Auch
ist aus dem Stand der Technik (Verwoerd, T.: "Honours Report – Active Network Security", 5. November 1999)
ein System zur Erfassung eines Eindringens bekannt, bei dem ein
Einbringerfassungssensoren den Netzwerkverkehr überwachen und Resolver, die
Verdachtsbereiche von den Sensoren empfangen, Gegenmaßnahmen
ergreifen. Die Sensoren und Resolver sind in einem internen Netzwerk
vorgesehen. Ein Eindringen umgebende historische Informationen können verwendet
werden. In dem System können
gemeinsame Eindringalarmprotokolle verwendet werden, die über TCP
laufen.
-
Schließlich ist
aus dem Stand der Technik (WO 00/72171 A1) auch ein lokales Netzwerk
bekannt, das über
das Internet mit einem Zentralnetzwerksicherheits-Operationszentrum
verbunden ist. Das lokale Netzwerk weist aus der Entfernung konfigurierbare
Sicherheitseinheiten auf. Neue und aktualisierte Sicherheitsinstruktionen
können
von dem Zentralnetzwerksicherheits-Operationszentrum zu den Sicherheitseinheiten übertragen
werden, um die Alarmkriterien in den lokalen Sicherheitseinheiten
zu rekonfigurieren und zu aktualisieren.
-
ZUSAMMENFASSUNG
DER ERFINDUNG
-
Die
vorliegende Erfindung ist auf das Lösen der vorgenannten Probleme
gerichtet, und es ist eine Aufgabe der vorliegenden Erfindung, ein
zentralisiertes Steuersystem für
einen Netzwerkbenutzer oder -verwalter zum Verteidigen und Ergreifen
von Gegenmaßnahmen
gegen illegalen Zugriff vorzusehen.
-
Der
ein derartiges zentralisiertes Steuersystem verwendende Servicebenutzer
hat einen Vorteil der Herabsetzung der Kosten der Verwaltung des Netzwerks
durch Betrauen eines speziellen Dienstproviders mit der Handhabung
der Installation eines Lockservers (Pseudoservers), der Protokollanalyse und
der Schaffung eines Antwortpakets.
-
Weiterhin
wird dem Dienstprovider ermöglicht,
dem Servicebenutzer einen prompten Service zu leisten, ohne den
Servicebenutzer zu besuchen, da das zentralisierte Steuersystem
dem Serviceprovider ermöglicht,
den Zustand der Netzwerkvorrichtung des Servicebenutzers die ganze
Zeit von einer entfernten Stelle zu erfassen.
-
Diese
und andere Aufgaben der Ausführungsbeispiele
der vorliegenden 'Erfindung
werden durch die vorliegende Erfindung, wie sie durch die angefügten Ansprüche definiert
ist, gelöst.
-
Der
weitere Bereich der Anwendbarkeit der vorliegenden Erfindung wird
augenscheinlich anhand der nachfolgend gegebenen detaillierten Beschreibung.
-
KURZBESCHREIBUNG
DER ZEICHNUNGEN
-
Die
vorliegende Erfindung wird besser verstanden anhand der nachfolgend
gegebenen detaillierten Beschreibung und der begleitenden Zeichnungen,
die nur im Wege der Illustration gegeben sind und somit für die vorliegende
Erfindung nicht beschränkend
sind, und in denen:
-
1 ist
eine Ansicht der Gesamtstruktur eines Netzwerksystems;
-
2 zeigt
ein funktionelles Blockschaltbild einer Netzwerkvorrichtung;
-
3 zeigt
ein funktionelles Blockschaltbild eines Datenzentrums;
-
4 ist
ein Diagramm, das die Strukturen von Kommunikationspaketen P1 bis
P4 illustriert;
-
5 zeigt
ein Diagramm, das einen Vorgang zur Handhabung eines illegalen Zugriffspakets gemäß einem
ersten Ausführungsbeispiel
illustriert;
-
6 ist
ein Diagramm, das einen Operationsfluss durch die Netzwerkvorrichtung
illustriert;
-
7 ist
ein Diagramm, das einen Operationsfluss durch das Datenzentrum illustriert;
-
8 ist
ein Diagramm, das einen Vorgang zur Handhabung eines illegalen Zugriffspakets
gemäß einem
zweiten Ausführungsbeispiel
illustriert;
-
9 ist
ein Diagramm, das die Struktur eines Kommunikationspakets P5 illustriert;
und
-
10 ist
ein Diagramm, das die Struktur eines Kommunikationspakets P2H illustriert.
-
DETAILLIERT BESCHREIBUNG
DER BEVORZUGTEN
-
AUSFÜHRUNGSBEISPIELE
-
Es
wird nun im Einzelnen Bezug auf die vorliegenden bevorzugten Ausführungsbeispiele
der Erfindung genommen, von denen Beispiele in den begleitenden
Zeichnungen illustriert sind, wobei gleiche Bezugszahlen gleiche
Elemente in den mehreren Ansichten anzeigen.
-
Ausführungsbeispiel 1
-
1 ist
eine Ansicht der Gesamtstruktur eines Netzwerksystems enthaltend
eine Vorrichtung zur Handhabung von illegalen Zugriffsdaten gemäß der vorliegenden
Erfindung.
-
Bezug
nehmend auf 1 bezeichnet eine Bezugszahl 1 ein
Datenzentrum eines Verwaltungsagenten, der einen Service zur Ergreifung
von Gegenmaßnahmen
gegen einen illegalen Zugriff liefert. Eine Bezugszahl 11 bezeichnet
ein in dem Datenzentrum vorgesehenes Steuersystem. Eine Bezugszahl 12 bezeichnet
eine Klienten-Datenbank
zum Speichern von Klienteninformationen. Eine Bezugszahl 13 bezeichnet
einen Lockserver zum Ködern
eines illegal Zugreifenden, um Informationen über den illegal Zugreifenden
zu erhalten. Eine Bezugszahl 14 bezeichnet eine Wissensbank,
die zum Analysieren von illegalen Zugriffsinformationen über den
illegal Zugreifenden zu verwenden ist.
-
eine
Bezugszahl 2 bezeichnet das Internet. Eine Bezugszahl 3 bezeichnet
eine Netzwerkvorrichtung, die von einem Servicelieferanten für den Service
des Ergreifens von Gegenmaßnahmen
gegen einen illegalen Zugriff verwendet wird. Eine Bezugszahl 4 bezeichnet
ein allgemeines Endgerät,
das von dem Servicelieferanten verwendet wird. Eine Bezugszahl 5 bezeichnet
einen anzugreifenden Zielserver, den der Servicelieferant besitzt
und der das Ziel des illegal Zugreifenden ist. Eine Bezugszahl 6 bezeichnet
ein Endgerät
eines illegal Zugreifenden.
-
Insbesondere
arbeiten das Steuersystem 11 und der Lockserver 13 als
Handhabungsvorrichtung für
illegale Zugriffsdaten, und die Netzwerkvorrichtung 3 arbeitet
als eine Erfassungsvorrichtung für
illegale Zugriffsdaten.
-
Weiterhin
gehören
die Netzwerkvorrichtung 3, das allgemeine Endgerät 4 und
der anzugreifende Zielserver 5 zu demselben internen Kommunikationsnetzwerk.
-
2 zeigt
ein funktionelles Blockschaltbild der Netzwerkvorrichtung 3.
-
Die
Netzwerkvorrichtung 3 besteht aus einem Datensammlungs-/-übertragungsabschnitt 31 zum
Empfangen und Übertragen
von Daten, einen Identifikationsinformations-Unterscheidungsabschnitt 32 zum
Unterscheiden zwischen einer allgemeinen Kommunikation und einem
Lockpaket (Antwortpaket) zu dem Lockserver von Steuersystem 11, einem
Erfassungsabschnitt 33 für illegalen Zugriff zum Erfassen
eines illegalen Zugriffspakets, einem Paketeinkapselungsabschnitt 34 zum
Einkapseln des illegalen Zugriffspakets oder von zu dem Steuersystem 11 zu übertragenden
Protokolldaten sowie zum Entkapseln des von dem Steuersystem 11 übertragenen
Antwortpakets, und einen Protokollerwerbsabschnitt 35 zum
Aufzeichnen von durch die Netzwerkvorrichtung 3 verarbeiteten
Daten.
-
3 zeigt
auch ein funktionelles Blockschalbild des Steuersystems.
-
Das
Steuersystem 11 besteht aus einem Datenempfangs/-übertragungsabschnitt 111 zum
Empfangen und Übertragen
von Daten, einem Klientenvergleichsabschnitt 112 zum Einordnen
eines empfangenen Pakets, ob es von einem Vertragspartner oder nicht
zu übertragen,
einen Datentyp-Unterscheidungsabschnitt 113 zum Unterscheiden
des Typs von von der Netzwerkvorrichtung 3 empfangenen Daten,
einem Paketeinkapselungsabschnitt 114 zum Entkapseln eines
verkapselten illegalen Zugriffspakets oder von verkapselten Protokolldaten,
die von der Netzwerkvorrichtung 3 übertragen wurden, und zum Einkapseln
eines Antwortpakets (Antwortdaten), das zu der Netzwerkvorrichtung 3 zu übertragen
ist, und einen Analyseabschnitt 115 für illegale Daten zum Analysieren
der Protokolldaten oder des empfangenen il legalen Zugriffspakets.
-
Zusätzlich hierzu
ist das Datenzentrum 1 auch mit der Klientendatenbank 12,
dem Lockserver 13 und der Wissensbank 14 zum Austausch
von Daten mit dem Steuersystem 11 versehen.
-
Noch
weiterhin dient der Lockserver 13 als ein Antwortdaten-Erzeugungsabschnitt
zum Erzeugen der Antwortdaten (Antwortpaket) auf das illegale Zugriffspaket.
-
4 zeigt
die Strukturen von von der Netzwerkvorrichtung 3 und dem
Steuersystem 11 übertragenen
und empfangenen Kommunikationspaketen.
-
Ein
Paket P1 ist das illegale Zugriffspaket. Das Paket P1 wird von dem
Endgerät 6 des
illegal Zugreifenden übertragen
und von der Netzwerkvorrichtung 3 empfangen.
-
Ein
Paket P2 ist ein verkapseltes Paket des Pakets P1 zum Übertragen
illegaler Zugriffspaketinformationen enthaltend Identifikationsinformationen. Das
Paket P2 wird von der Netzwerkvorrichtung 3 zu dem Steuersystem 11 übertragen.
-
Ein
Paket P3 ist ein verkapseltes Antwortpaket zum Übertragen von Antwortpaketinformationen enthaltend
die Identifikationsinformationen zu dem illegal Zugreifenden. Das
Paket P3 wird von dem Steuersystem 11 zu der Netzwerkvorrichtung 3 übertragen.
-
Ein
Paket 4 ist ein entkapseltes Paket des Pakets P3 und es
ist das Antwortpaket von dem Lockserver 13, das vorgibt,
dass es die Antwort von dem anzugreifen den Zielserver 5 ist.
Das Paket P4 hat dieselben Informationen, die als der Inhalt der Antwort
von dem anzugreifenden Zielserver 5 gespeichert sind. Normalerweise
wird dem Paket P4 nicht ermöglicht,
direkt über
das Internet übertragen zu
werden. Aber wenn es eingekapselt ist, wie in dem Paket P3 gezeigt
ist, wird ihm ermöglicht,
zu der Netzwerkvorrichtung 3 übertragen zu werden.
-
Die
Arbeitsweise des gesamten Netzwerksystems wird nun diskutiert.
-
5 zeigt
einen Operationsfluss zur Handhabung eines illegalen Zugriffs, der
von einem illegal Zugreifenden in ein internes Kommunikationsnetzwerk
durchgeführt
wird.
-
Es
wird angenommen, dass das Endgerät 6 des
illegal Zugreifenden zuerst das illegale Zugriffspaket P1 so übertragen
hat, dass es illegal zu dem Server (dem anzugreifenden Zielserver) 5,
der innerhalb des Netzwerks (des internen Kommunikationsnetzwerks)
eines Vertragspartners vorgesehen ist, zugreifen soll (Schritt 101).
-
Dann
erfasste die Netzwerkvorrichtung 3 das illegale Zugriffspaket
P1. Die Netzwerkvorrichtung 3 verkapselt, wenn sie das
illegale Zugriffspaket P1 erfasst, das illegale Zugriffspaket P1
(die illegalen Zugriffspaketinformationen), um das Paket P2 zu erzeugen,
und überträgt das Paket
P2 zu dem Datenzentrum 1 (Schritt 102). Dies ermöglicht der
Netzwerkvorrichtung 3, den illegalen Zugriff durch illegale
Zugriffspakt P1 zu dem anzugreifenden Zielserver 5 zu verhindern.
-
Nachfolgend
empfängt
das Steuersystem 11 in dem Datenzentrum 1 das
Paket P2 von der Netzwerkvorrichtung 3, analysiert das
empfangene Paket P2, verkapselt das Antwortpaket P4 von dem Lockserver 13,
das vorgibt, eine Antwort von dem anzugreifenden Zielserver 5 zu
sein, um das Paket P3 zu erzeugen, und sendet das Paket P3 zurück zu der Netzwerkvorrichtung
3 Schritt 103).
-
Dann
empfängt
die Netzwerkvorrichtung 3 das Paket P3 von dem Steuersystem 1,
entkapselt das empfangene Paket P3, um das Antwortpaket P4 herauszuziehen,
und überträgt das Antwortpaket
P4 zu dem Endgerät 6 des
illegal Zugreifenden (Schritt 104). Der illegal Zugreifende
glaubt, dass das Antwortpaket P4 eine Antwort von dem anzugreifenden Zielserver 5 und
beginnt, illegal zu dem Lockserver 13 zuzugreifen.
-
Eine
Kommunikation zwischen dem Endgerät 6 des illegal Zugreifenden
und dem Lockserver 13 erfolgt jedes Mal gemäß einer
Prozedur vom Schritt 101 zum Schritt 104. Eine
in dem Lockserver 13 durchgeführte Protokollanalyse stellt
den Versuch eines illegalen Zugriffs im Einzelnen dar.
-
Die
Arbeitsweise der Netzwerkvorrichtung 3 wird nun diskutiert.
-
6 ist
ein Flussdiagramm, das die Verarbeitung eines Kommunikationspakets
in der Netzwerkvorrichtung 3 illustriert.
-
Zuerst
unterscheidet die Netzwerkvorrichtung 3 bei Empfang eines
Kommunikationspakets durch den Datensammlungs-/-übertragungsabschnitt 31 (Schritt 301)
zwischen dem verkapselten Antwortpaket P3, das von dem Steuersystem 11 kommt,
und nur einem Übermittlungspaket
auf der Grundlage der Identifikationsinformationen des empfangenen
Pakets in dem Identifikationsinformations-Unterscheidungsabschnitt 32 (Schritt 302).
-
Als
ein Ergebnis dieser Unterscheidung wird, wenn das empfangene Paket
das verkapselte Antwortpaket P3, das verkapselte Antwortpaket P3
in dem Paketverkapselungsabschnitt 34 entkapselt (Schritt 103)
und dann zu dem Endgerät 6 des
illegal Zugreifenden als die Antwort übertragen (Schritt 306).
-
Andererseits
wird, wenn das empfangene Paket nur ein Übermittlungspaket ist, das
Paket in dem Erfassungsabschnitt 33 für illegalen Zugriff geprüft, ob es
das illegale Zugriffspaket P1 ist oder nicht (Schritt 304).
Für den
Fall, dass das Paket als das illegale Zugriffspaket P1 beurteilt
wird, wird das illegale Zugriffspaket P1 in dem Paketverkapselungsabschnitt 34 verkapselt,
um das Paket P2 zu haben, damit das illegale Zugriffspaket P1 zu
dem Steuersystem 11 übertragen
wird (Schritt 305). Dann wird das verkapselte illegale
Zugriffspaket P2 durch den Datensammlungs-/-übertragungsabschnitt 31 zu
dem Steuersystem übertragen
(Schritt 306).
-
Für den Fall,
dass das Paket bei der illegalen Zugriffsprüfung im Schritt 304 als
ein normales Paket beurteilt wird, wird das Paket von dem Datensammlungs-/-übertragungsabschnitt 31 direkt
zu dem Bestimmungsort übertragen
(Schritt 306).
-
Die
Arbeitsweise des Steuersystems 11 wird nun diskutiert.
-
7 zeigt
einen Operationsfluss in dem Steuersystem 11 zur Handhabung
eines empfangenen Pakets von der Netzwerkvorrichtung 3 eines
Vertragspartners.
-
Zuerst
bezieht sich das Steuersystem 11 bei Empfang eines Kommunikationspakets
durch den Datenempfangs-/ -übertragungsabschnitt 111 auf
die Klientendatenbank 12 und vergleicht das Kommunikationspaket,
um herauszufinden, ob von einem Vertragspartner zu übertragen
oder nicht. Ein Paket, das bei diesem Vergleich nicht erfolgreich
ist, kann als inkorrekte Daten abgelegt oder für eine andere Aufgabe des Steuersystems
gehandhabt werden (außerhalb
des Bereichs der vorliegenden Erfindung).
-
Wenn
der Vergleich des empfangenen Pakets erfolgreich ist, wird durch
den Datentyp-Unterscheidungsabschnitt 113 festgestellt,
ob die Daten des von der Netzwerkvorrichtung 3 übertragenen
Pakets die Daten des übertragenen
illegalen Zugriffspakets (Paket P2) sind oder nicht.
-
Dann
wird das empfangene Paket P2, das durch die Netzwerkvorrichtung 3 verkapselt
ist, in dem Paketverkapselungsabschnitt 114 entkapselt.
-
Dann
wird das illegale Zugriffspaket P1, wenn es in dem Paketverkapselungsabschnitt 114 entkapselt
wurde, zu dem Analyseabschnitt 115 für illegale Daten weitergegeben.
Der Analyseabschnitt 115 für illegale Daten analysiert
das herausgezogene illegale Zugriffspaket P1 durch Bezugnahme auf
die Wissensbasis 14. Ein Ergebnis dieser Analyse wird zu
der Wissensbasis 14 als ein Beispiel für die Bezugnahme bei künftigen
Analysen hinzugefügt.
Der Analyseabschnitt 115 für illegale Daten benachrichtigt
den Lockserver 13 von einem Analyseergebnis und empfängt das
Antwortpaket P4 von dem Lockserver 13. Das Antwortpaket
P4 hat dieselben Informationen wie die Informationen, die von dem
anzugreifenden Zielserver 5 als Antwort auf das illegale Zugriffspaket
P1 ausgegeben würden,
wenn der anzugreifende Zielserver 5 das illegale Zugriffspaket
P1 empfangen hätte.
-
Um
vorzugeben, dass das Antwortpaket P4 ein von dem anzugreifenden
Zielserver 5 über
die Netzwerkvorrichtung 3 übertragenes Paket ist, wird das
Antwortpaket P4 in dem Paketverkapselungsabschnitt 114 so
eingekapselt, dass es das Paket P3 ist. Dann wird das Paket P3 durch
den Datenempfangs-/-übertragungsabschnitt 111 zu
der Netzwerkvorrichtung 3 übertragen.
-
Hiernach
entkapselt die Netzwerkvorrichtung 3, wie vorstehend erwähnt, das
Paket P3, zieht das Antwortpaket P4 heraus und überträgt das herausgezogene Antwortpakt
P4 zu dem Endgerät 6 des
illegal Zugreifenden.
-
Wie
vorstehend beschrieben ist, wird das von der Netzwerkvorrichtung 3 erfasste
illegale Zugriffspakt nicht innerhalb der Netzwerkvorrichtung 3 selbst
gehandhabt, sondern sie überträgt das illegal Zugriffspaket
zu dem Steuersystem 11, wodurch das Antwortpaket erhalten
und der illegal Zugreifende in den innerhalb des Datenzentrums des
Agenten vorgesehenen Lockserver gelockt wird. Als eine Folge kann
ein von dem Netzwerk eines Klienten unabhängiger Handhabungsservice für illegalen
Zugriff erhalten werden.
-
Ausführungsbeispiel 2
-
Bei
dem vorstehend diskutierten ersten Ausführungs beispiel wird das illegale
Zugriffspaket von dem Endgerät
des illegal Zugreifenden von der Netzwerkvorrichtung 3 zu
dem Datenzentrum 1 übertragen.
Ein anderes Ausführungsbeispiel
wird für
den Fall diskutiert, dass die Protokollinformationen der Netzwerkvorrichtung 3 zu
dem Datenzentrum 1 übertragen
werden, um ein illegales Zugriffspaket in einer früheren Stufe
zu erfassen.
-
8 zeigt
die Arbeitsweise eines gesamten Netzwerksystems in einem derartigen
Fall.
-
In
der Figur sind Schritt 101 bis Schritt 104 dieselben
wie die bei dem ersten Ausführungsbeispiel
diskutierten, und daher werden bei diesem Ausführungsbeispiel Schritt 105 und
Schritt 106 diskutiert.
-
Die
Netzwerkvorrichtung 3 zeichnet immer die Zugriffsinformationen
von außerhalb
durch den Protokollerwerbsabschnitt 35 (2)
auf. Diese Protokollinformationen (Kommunikationshistorieinformationen)
werden verkapselt und als das Paket P5 bei Empfang einer Anweisung
von dem Steuersystem 11 oder durch eine reguläre Auslösung der
Netzwerkvorrichtung 3 selbst zu dem Steuersystem 11 übertragen
(Schritt 105).
-
Insbesondere
zeigt 9 die Struktur des Pakets P5. Das Paket P5 ist
ein verkapseltes Paket der Protokollinformationen, das zum Übertragen
der Protokollinformationen der Netzwerkvorrichtung zu dem Steuersystem
verwendet wird.
-
Nachfolgend
entkapselt im Steuerzentrum 11 der Paketverkapselungsabschnitt 114 das
Paket P5 und der Analyseabschnitt 115 für illegale Daten analysiert
die Protokollinformationen. In dieser Stufe überträgt, wenn ein Problem auftritt,
und mit anderen Worten in dem Fall, dass ein Paket erfasst wird,
das als ein illegales Zugriffspaket verdächtigt wird, das Steuersystem 11 neue
Setzinformationen über
die Erfassung eines illegalen Zugriffs zu der Netzwerkvorrichtung 3,
um die Setzinformationen in dem Erfassungsabschnitt 33 für illegalen
Zugriff in der Netzwerkvorrichtung 3 zu aktualisieren (Schritt 106).
Insbesondere sind die Setzinformationen über die Erfassung eines illegalen
Zugriffs solche Informationen, die die Netzwerkvorrichtung 3 über ein
Paket, das als ein illegales Zugriffspaket verdächtigt wird, informieren, und
die Netzwerkvorrichtung 3 anweisen, jedes danach von dem
Endgerät,
das das als ein illegales Zugriffspaket verdächtige Paket überträgt, übertragene
Paket als ein illegales Zugriffspaket zu behandeln. Mit anderen
Worten, die Setzinformationen über
die Erfassung eines illegalen Zugriffs entsprechen Bezeichnungsinformationen über illegale
Zugriffsdaten. Die Setzinformationen über die Erfassung eines illegalen
Zugriffs werden von dem Analyseabschnitt 115 für illegale
Daten erzeugt.
-
Danach
wird jeder Zugriff durch die Übertragungsquelle,
die der Durchführung
eines illegalen Zugriffs verdächtigt
wird, durch den Erfassungsabschnitt 33 für illegalen
Zugriff in der Netzwerkvorrichtung 3 als ein illegales
Zugriffspaket bestimmt. Beispielsweise überträgt das Steuerzentrum 11,
wenn bestimmt wird, dass ein Zugriffsprotokoll von dem Endgerät 6 illegal
ist, die die Zurückweisung
des Zugriffs von dem Endgerät 6 anweisenden
Setzinformationen zu der Netzwerkvorrichtung 3. Als eine
Folge erfasst die Netzwerkvorrichtung 3 den Zugriff von dem
Endgerät 6 (Schritt 101)
als ein illegales Zugriffspaket, ver kapselt das Paket von dem Endgerät 6 (P1:
illegales Zugriffspaket zur Bildung von P2) und überträgt dann das verkapselte Paket
zu dem Steuersystem 11 (Schritt 102). Der nachfolgende
Ablauf ist derselbe wie der beim ersten Ausführungsbeispiel diskutierte.
-
Die
Arbeitsweise der Netzwerkvorrichtung 3 und des Steuersystems 11 nach
diesem Ausführungsbeispiel
ist nahezu dieselbe wie die bei dem ersten Ausführungsbeispiel diskutierte.
-
Jedoch
beurteilt in dem Steuersystem 11 der in 6 gezeigten
Datentyp-Unterscheidungsabschnitt 113, dass das von der
Netzwerkvorrichtung 3 empfangene Paket nicht ein verkapseltes
illegales Zugriffspaket P2 ist, sondern ein Protokollinformationspaket
P5 auf der Grundlage der in den empfangenen Daten enthaltenen Identifikationsinformationen. Dann
wird in dem Analyseabschnitt 115 für illegale Daten das Protokollinformationspaket
analysiert.
-
Zusätzlich hierzu
erzeugt in dem Steuersystem 11 der Analyseabschnitt 115 für illegale
Daten, wenn ein als illegales Zugriffspaket verdächtiges Paket erfasst wird,
neue Setzinformationen über
die Erfassung eines illegalen Zugriffs. Der Datenempfangs-/-übertragungsabschnitt 111 überträgt neue Setzinformationen über die
Erfassung eines illegalen Zugriffs zu der Netzwerkvorrichtung 3.
-
Somit
wird eine zentralisierte Analyse angefordert durch Übertragen
der Protokollinformationen der Netzwerkvorrichtung 3 zu
dem Steuersystem 11, und als eine folge wird das Antwortpaket
erworben, so dass der illegal Zugreifende in den innerhalb des Datenzentrums
des Agenten vorgesehenen Lockserver gelockt wird. Aus diesem Grund
kann der Handhabungsservice für
illegale Zugriffe unabhängig
von dem Netzwerk des Klienten erzielt werden. Zusätzlich hierzu
kann das Vermeiden des illegalen Zugriffs eines eines illegalen
Zugriffs verdächtigen
Pakets, obgleich dies kein direkter Angriff ist, zu einer früheren Erfassung
eines illegalen Zugriffs beitragen.
-
Ausführungsbeispiel 3
-
Bei
dem ersten und dem zweiten Ausführungsbeispiel,
die vorstehend diskutiert werden, wird das Übertragungspaket verkapselt
und der Inhalt der Übertragungsdaten
wird auf der Grundlage der Identifikationsinformationen unterschieden.
-
Es
wird ein anderes Ausführungsbeispiel
für den
Fall diskutiert, dass Authentifikationsinformationen zu einem von
dem Steuersystem 11 und der Netzwerkvorrichtung 3 zu übertragenden/empfangenden
Paket hinzugefügt
sind.
-
10 zeigt
ein Paket P2H, das als ein Beispiel zu dem Paket P2 hinzugefügte Authentifikationsinformationen
hat.
-
Das
Paket P2H hat Authentifikationsinformationen wie Kontrollsummeninformationen,
die Identifikationsinformationen und die folgenden Daten als einen
Eingangswert verwenden, hinzugefügt
vor den Identifikationsinformationen.
-
Die
Authentifikationsinformationen werden in der Netzwerkvorrichtung 3 hinzugefügt und geprüft in dem
Prozess der Verkapselung/Entkapselung durch den Paketverkapselungsabschnitt 34.
Die Authentifikation sinformationen werden in dem Steuersystem 11 hinzugefügt und geprüft in dem
Prozess der Verkapselung/Entkapselung durch den Paketverkapselungsabschnitt 114.
-
Weiterhin
erfolgt in dem vorgenannten Fall die Erläuterung mit dem Paket P2H,
das gebildet ist durch Hinzufügen
der Authentifikationsinformationen zu dem Paket P2. Jedoch kann
ein Paket P3H mit derselben Struktur, das durch Hinzufügen der
Authentifikationsinformationen zu dem Paket P3 gebildet ist, ebenfalls übertragen/empfangen
werden.
-
Somit
hat durch Hinzufügen
der Authentifikationsinformationen zu einem Kommunikationspaket die
positive Wirkung der Verbesserung der Kommunikationssicherheit zwischen
dem Steuersystem und der Netzwerkvorrichtung.
-
Bei
dem ersten Ausführungsbeispiel
bis dritten Ausführungsbeispiel
wurde die Handhabungsvorrichtung für illegale Zugriffsdaten gemäß der vorliegenden
Erfindung diskutiert. Zusätzlich
hierzu kann auch ein Verfahren zum Handhaben illegaler Zugriffsdaten
gemäß der vorliegenden
Erfindung erzielt werden durch Verwendung derselben Prozeduren wie denjenigen,
die in den vorhergehenden Ausführungsbeispielen
diskutiert wurden.
-
Das
Folgende ist die Zusammenfassung der Eigenschaften des Systems,
das in dem ersten bis dritten Ausführungsbeispiel diskutiert wurde.
Das System dient dazu, das Netzwerk eines Unterstützungslieferanten
mit einem zentralisierten Netzwerksicherheits-Steuerservice zur Handhabung eines illegalen
Zugriffs zu einem Computernetzwerksystem vorzusehen.
-
Als
ein Gegenstand des zentralisierten Steuerservice wird ein illegal
Zugreifender in den Lockserver des Unterstützungsproviders gelockt.
-
Die
Netzwerkvorrichtung des Dienstnutzers fügt, wenn ein illegaler Zugriff
erfasst wird, Steuerinformationen (Einkapselung) zu dem illegalen
Zugriffspaket hinzu und überträgt dann
das illegale Zugriffspaket zu dem Steuersystem in dem Datenzentrum
des Serviceproviders. Das Datenzentrum ist mit dem Steuersystem,
dem Pseudoserver (hier als Lockserver bezeichnet) und dergleichen
versehen. Der Lockserver dient zum Ködern des illegal Zugreifenden,
indem er vorgibt, der anzugreifende Zielserver des Servicenutzers
zu sein, der das Ziel des illegal Zugreifenden ist, so dass er dieselbe
Antwort wie die des anzugreifenden Zielservers zurücksendet. Das
Steuersystem trennt die Steuerinformationen von dem übertragenen
illegalen Zugriffspaket (Entkapselung) und führt eine Analyse des illegalen
Zugriffs durch. Zusätzlich
hierzu verkapselt das Steuersystem eine Antwort von dem Lockserver
und überträgt die verkapselte
Antwort zu der Netzwerkvorrichtung.
-
Die
Netzwerkvorrichtung entkapselt bei Empfang des Antwortpakets von
dem Steuerzentrum das Antwortpaket und überträgt dann das Paket. Der illegal
Zugreifende glaubt, dass dieses Antwortpaket eine Antwort von dem
anzugreifenden Zielserver ist, aber kommuniziert tatsächlich mit
dem Lockserver des Datenzentrums über die Netzwerkvorrichtung. Somit
wird der illegal Zugreifende in den Lockserver gelockt.
-
Das
System sieht das Netzwerk eines Unterstützungslieferanten mit dem zentralisierten
Netzwerksi cherheits-Steuerservice zur Handhabung eines illegalen
Zugriffs zu einem Computernetzwerksystem vor.
-
Ein
Gegenstand des zentralisierten Steuerservices ist das Ködern eines
illegal Zugreifenden in den Lockserver eines Unterstützungsproviders.
-
Es
ist die Eigenschaft des Systems, dass die Netzwerkvorrichtung eines
Servicenutzers regulär die
Protokollinformationen einkapselt und die Protokollinformationen
zu dem Serviceprovider liefert, das Steuersystem des Datenzentrums
die Protokollinformationen analysiert, und wenn ein illegaler Zugriff
erfasst wird, die Setzinformationen über die Erfassung des illegalen
Zugriffs der Netzwerkvorrichtung aktualisiert werden.
-
Es
ist die Eigenschaft des Systems, dass der Sicherheitspegel durch
den zentralisierten Steuerservice für zu übertragende/empfangende Pakete verbessert
wird durch Hinzufügen
von Authentifikationsinformationen oder Verschlüsselung.