专利名称:包中继装置及包中继系统的制作方法
技术领域:
本发明涉及根据各用户所发送的通信量的种类,动态改变各用户的安全级别,并变更传送目的地应用模块的包中继装置。
背景技术:
FW(Firewall防火墙)功能和IDS(Intrusion Detection System入侵检测系统)功能,一直以来设在了每个用户里或每个企业里。但是,在利用应特网的用户数、层日渐增大的过程中,各用户、各企业期待实现这些功能越来越难。当前,有种结构是由包中继装置方提供这些功能,并让用户、企业意识不到FW、IDS功能的存在。由IP网络中使用的包中继装置方实现FW功能、IDS功能时,有2种方式,一种是在包中继装置中组入模块的方式,另一种是包中继装置连接外接装置的方式。图1表示的是将FW功能、IDS功能分别作为FW模块、IDS模块组入包中继装置中的情况,包中继装置11的内部构成如图3所示。图2显示的是,将FW功能、IDS功能作为外接装置接入包中继装置的情况。
这里,所谓“FW”是指目的是防止从外部攻击组织内的计算机,或者是防止组织内的计算机非法(不正当)访问具有危险性的网页的功能。而且,所谓“IDS”是指分析流过通信线路的包,当检测出非法入侵时,通报给管理员的功能。检测非法入侵的方法采用的有如下等方法,即,当非法访问时,将偶尔使用的装置模式化并存储,比较实际流过的包和非法模式,判断是否是非法等方法。
由用户发送给包中继装置的包,通常由包中继装置检索目的地,并传送给所希望的目的地。这时,如图3所示,包中继装置中组入了FW模块、IDS模块,如果对这些模块启动具备分包功能的平台模块,则通过从各平台模块向各模块传送包,可以对包实施各模块固有的处理。而且,如图3所示,只要平台模块上存在识别用户的用户识别部、记录各用户和传送目的地应用模块之间的对的用户·传送模块对应表,就有可能响应用户而弄错传送目的地应用模块。
一般,FW、IDS模块的处理量比较多,只是单纯地将包传输给下一个目的地,与良好的包中继装置相比,其特征就是吞吐量小。因此,如果对用包中继装置处理过的所有通信量实施FW、IDS处理,则全体吞吐量很被快FW或者IDS的吞吐量限制速度。
而且,如果实施向模块传输包的处理,则仅仅增加与之对应的传输·处理时间。也就是说,对安全保证越是投入精力,其传输·处理时间越是加大,相反,如果使传输·处理时间优先,则安全保证不是很充分。
另一方面,流过包中继装置的通信量,既有来自没有恶意的一般用户的通信量,也有来自感染了病毒的用户的通信量和来自有恶意的用户的非法通信量,是千差万别的。不顾这种情况,将这些通信量一并传输给模块并进行监视,会大大损失吞吐量,而且,对于没有恶意的一般用户的通信量来说,就成为效率非常差的传输形态。若管理员视各模块中的处理结果适当地改变各用户的传输模块,就可以解决上述课题,这种情况下,每当检测出非法访问时需要人为的设置,比较繁琐。而且,在检测到非法访问之后,直到管理员认识到并设置为止需要时间,欠缺及时性。
发明内容
能在记录了存在于平台模块中的、用户和传输应用模块之间的对的表上,设置安全级别。根据各模块中的处理结果动态改变该安全级别,由此,灵活改变各用户的传输应用模块。
具体地说,对于没有恶意的一般用户的通信量,不向应用模块传输,而优先保证高吞吐量。但定期对包进行采样,由模块实施处理。其结果,当正在发送有感染病毒嫌疑、或发觉有恶意的通信量的情况时,提高该用户的安全级别,设置在表上。由此,传输目的地的应用模块产生变化,成了仅仅对危险性高的通信量实施坚固的模块传输。
发明效果如下对于危险性小的用户,提供处理延迟小的包传输,对于有恶意的用户,实现坚固的模块传输,因此可以实施高效率的包传输。
图1是表示在本发明的包中继装置中组入了FW模块、IDS模块时的网络构成的图;图2是表示将FW模块、IDS模块作为外接装置连接到本发明包中继装置时的网络构成的图;图3是表示过去的包中继装置的图;图4是表示本发明的包中继装置的图;图5是表示由本发明的包中继装置内的平台模块保持的、记录了对用户的安全级别的表;图6是表示由本发明包的中继装置内的平台模块保持的、记录了安全级别和传输应用模块之间的对应关系的表;图7是表示在本发明的包中继装置内进行交换的包内部头的图;图8是表示有关实施例1的图7的独自头的图;图9是表示有关实施例2的图7的独自头的图;图10是表示在实施例1中,当采样包被应用模块判断为正常时的包中继装置内的包交换的图;图11是表示在实施例1中,当采样包被应用模块判断为异常时的包中继装置内的包交换的图;图12是表示有关本发明的包中继装置内的应用模块的流程图的图。
标号说明11 包中继装置; 12 平台模块;13 IDS模块;14 FW模块;15 转换器; 16 应特网;21 包传输部; 22 包处理部;31 用户识别部; 32 采样部;33 安全级别识别部;34 用户·传输模块对应表;41~43 和包中继装置连接的用户;51 由内部头打包的包;52 进行安全级别变更通知时的独自头;53 进行模块状态通知时的独自头;具体实施方式
实施例1图4示出在如图1所示将FW功能、IDS功能分别作为FW模块、IDS模块组入时的、有关本实施例的包中继装置的内部构成的图。平台模块12一由包传输部21接收来自用户的包,就将该包传输给用户识别部31,识别发送用户。
在处于包处理部22内的用户·传输模块对应表34中,存在图5所示的记录了用户和安全级别的对的表、和图6所示的记录了安全级别和传输模块的对的表。这里,设定安全级别值越小,越能实现坚固的安全。用户1,其安全级别是1,因此安全级别最高。作为传输目的地的应用模块,设置了FW模块、IDS模块。安全级别1主要是将传输来有恶意的通信量的用户作为对象的安全级别。用户2,其安全级别是2,传输目的地应用模块是FW模块。这主要是将发送来了由于感染了病毒而发送了通常不发送的通信量的用户作为对象的安全级别。用户3,其安全级别是3,不进行模块传输。从平台模块直接对外部网络传输。该安全级别,仅以高速的包传输为目标,是以一般用户为对象的级别。
图4的用户识别部31,通过参照图5、图6的表,识别各用户的通信量的传输目的地应用模块。识别传输目的地应用模块的用户识别部,向相应的模块传输,因此,如图7所示,将内部头赋予给包,并进行打包(封装)。内部头包括IP头、UDP头、独自头组成。独自头的格式如图8所示。独自头包括包种类字段、用户标识符字段、安全级别字段。在包含于图7的IP头中的目的地地址字段中,记录传输目的地应用模块的IP地址。在图8的包种类字段中记录包是数据包、采样包还是控制包,在用户标识符字段中记录用于识别用户的唯一标识符,在安全级别字段中记录该用户当前的安全级别。
由图4的用户识别部31赋予了内部头的包,通过内部头内的目的地IP地址,由包传输部21传输给所希望的应用模块。包一到达应用模块内的包传输部21,就传输给包处理部22,由该单元实施各应用模块固有的处理。实施了包处理的包,在删除了内部头之后,送给包传输部21。到达包传输部21的包,通过包内的目的地IP地址来识别目的地,发送给外部网。
如上所述,例如,由用户3发送的包,如果被平台模块内的用户识别部31识别发送源,则由图5判断安全级别是3,由图6判断为没有传输应用模块。因此,该包不经由应用模块就传输给外部网络。来自用户2的包,安全级别是2,传输应用模块判断为是FW模块。因此,在该包中赋予FW模块的IP地址、是数据包、用户标识符、记录了安全级别是2的内部头,传输给FW模块。包由FW模块实施FW处理之后,如果正常,则如图12所示的流程图,删除内部头,传输给外部网。如果是非法通信量,包被丢弃。同样,来自用户1的包,经由FW模块、IDS模块,传输给外网。
这里,在图4的采样部32中,定期复制到达用户识别部的包作为采样包,传输给比当前安全级别高一个阶段的级别的传输目的地应用模块。如果是用户3的情况,当前的安全级别是3,因此传输安全级别为2的情况下的传输模块,也就是向FW模块传输采样包。在此时的内部头的包种类中,记入是采样数据。被传输的包在包处理部22中被交给FW功能。被交给FW功能后的结果,如果没有特别的异常,如图10所示,采样包被丢弃。另一方面,例如,用户3的采样包内,作为危险的URL(Uniform Resource Locator统一资源定位)包含了事先登录在FW模块的URL的情况,则FW模块将该通信量判断为非法通信量。判断为非法访问的情况下,FW模块如图11所示,丢弃采样包之后,向平台模块发送控制消息以便将用户3的安全级别由3改变为2。此时的控制消息的格式,除了没有数据字段以外与图7一样。是控制消息的情况,通过明示独自头的包种类来识别。在独自头内的安全级别字段中,存储安全级别变更前后的值。该控制消息由平台模块的采样部接收。采样部一接收控制消息,就变更传输表的安全级别。由此,以后用户3的安全级别就成为2,来自用户3的通信量全部传输给FW模块,置于FW模块的监视下。由用户3发送来的通信量中,被FW模块判断为非法的包随后被丢弃。如果是正常通信量,则传输给外网。
采样部32进一步定期地复制采样数据,继续模块传输。由于安全级别变为2,因此之后向作为安全级别是1的情况下的传输模块的FW模块、IDS模块传输采样包。由IDS模块实施IDS处理的结果,如果没有特别的异常,则如图10所示,包被丢弃。另一方面,例如,在用户3的采样包内,如果是包含了作为通常不被使用的指令而被事先登录在IDS模块的非法指令(签名验证)的情况,IDS模块将该通信量判断为非法通信量。判断为非法访问的情况,如图11所示,IDS模块向平台模块发送控制消息以便将用户3的安全级别由2变更为1。该控制消息由平台模块的采样部接收,变更表的值。之后,来自用户3的通信量,全部传输给FW模块、IDS模块,置于FW模块、IDS模块的监视下。在用户3发送来的通信量中,被FW模块或者IDS模块判断为非法的包,随后被丢弃。如果是正常通信量,就传输给外网。
如上所述,对于危险性小的一般用户,通常提供负荷小的包传输,只在有危险性的情况,慢慢提高安全级别,实现坚固的模块传输,由此可以进行高效率的包传输。
另外,一旦置于应用模块监视下的用户,如果实施去除病毒等对策,恢复了通信量的安全性的情况,可以下调该用户的安全级别,有必要回到通常的状态。为此,在应用模块中,在一定期间内统计异常检测数。在一定期间内没有检测出异常时,将安全级别返回到原来的状态。例如,用户3的通信量当前被IDS模块、FW模块监视,例如监视了1小时的结果,是没有发现任何异常的情况,IDS模块向平台模块发送控制消息以便用户3的安全级别由1返回2。该控制消息由平台的采样部接收,变更表的值。由此,来自以后的用户3的通信量只是FW模块的传输。进一步,在FW模块中,如果监视了1小时的结果也同样是没有发现任何异常时,FW模块向平台模块发送控制消息以便将用户3的安全级别由2变更为3。该控制消息由平台的采样部接收,变更表的值。由此,用户3被判断为没有恶意的用户,之后不进行模块传输。
如上所述,可以根据通信量的危险性程度,灵活地变更传输目的地应用模块。
实施例2图4的采样部32中,掌握了与平台模块关联的应用模块的种类及其个数。每次状态变化时,应用模块发送将如图9所示的“包种类”、“模块标识符”、“状态”的信息包含在图7的独自头部中的控制包,所以这是可能的。在图9的模块标识符字段中明示了还包含发送控制包的模块的种类的该模块的单值标识符,在状态字段中明示了该模块的状态。平台模块通过该控制消息,可以根据应用模块的状态启动动作。例如,IDS模块的处理量增加直到超过阈值为止,当不能处理完从平台模块发送来的包时,将“过负荷”的信息记录在图9的状态字段中,由图7的控制消息通知给平台模块。接收到控制消息的平台模块通知管理员追加新的IDS模块,或者实施扩大采样包的发送间隔的设置,减少每单位时间的发送通信量。而且,新建IDS模块连接到平台模块的情况下,将“新增加”的信息记录在图9的状态字段上,由控制消息通知给平台模块。接收到控制消息的平台模块,实施缩小采样包的发送间隔的设置,增加每单位时间的发送通信量。
如上所述,根据应用模块的状态变化,可以灵活改变由平台模块传输给应用模块的包量。
权利要求
1.一种包中继装置,具备平台模块、多个应用模块、包输入部和包输出部,其特征在于,上述平台模块具有包传输部,将从上述包输入部输入的包传输给上述应用模块或者上述包输出部;用户识别部,识别上述输入的包的发送源用户;以及存储部,对应于上述用户,存储由该用户发送的包的传输目的地的一个或多个上述应用模块和该用户的安全级别;上述应用模块具有包传输部,向上述平台模块、其它上述应用模块或者上述包输出部传输包;安全级别识别部,识别上述传输来的包的安全级别;以及包处理部,处理上述传输来的包。
2.如权利要求1所述的包中继装置,其特征在于,上述平台模块还复制输入的多个包的一部分,将所复制的包传输给上述多个应用模块中的任一个。
3.一种包中继系统,具备多个应用装置及连接到该多个应用装置且具有平台模块、包输入部和包输出部的包中继装置,其特征在于,上述包中继装置的平台模块具有包传输部,将从上述包输入部输入的包传输给上述应用装置或者上述包输出部;用户识别部,识别上述输入的包的发送源用户;以及存储部,对应于上述用户,存储由该用户发送的包的传输目的地的一个或多个上述应用装置和该用户的安全级别;上述应用装置具有包传输部,向上述平台模块、其它上述应用装置或者上述包输出部传输包;安全级别识别部,识别上述传输来的包的安全级别;以及包处理部,处理上述传输来的包。
4.如权利要求3所述的包中继系统,其特征在于,上述平台模块还复制输入的多个包的一部分,将所复制的包传输给上述多个应用装置中的任一个。
5.如权利要求1所述的包中继装置,其特征在于,参照上述平台模块的上述存储部内的上述信息,按每个包的发送源用户,决定包传输目的地的上述应用模块。
6.如权利要求1所述的包中继装置,其特征在于,在上述平台模块的上述存储部中,对应于上述输入部的端口来存储从该端口输入的包的传输目的地的一个或多个应用模块和该端口的安全级别,来取代对应于上述用户来存储的、由该用户发送来的包的传输目的地的一个或多个上述应用模块和该用户的安全级别,并参照该存储部内的信息,按每个端口决定传输目的地的应用模块。
7.如权利要求3所述的包中继系统,其特征在于,参照上述平台模块的上述存储部内的上述信息,按每个包的发送源用户决定包传输目的地的上述应用装置。
8.如权利要求3所述的包中继系统,其特征在于,在上述平台模块的上述存储部中,对应于上述输入部的端口来存储从该端口输入的包的传输目的地的一个或多个应用装置和该端口的安全级别,来取代对应于上述用户来存储的、由该用户发送来的包的传输目的地的一个或多个上述应用装置和该用户的安全级别,并参照该存储部内的信息,按每个端口决定传输目的地的应用装置。
9.如权利要求1所述的包中继装置,其特征在于,从上述应用模块向上述平台模块发送控制消息,根据该控制消息,变更上述平台模块的上述存储部内的信息。
10.如权利要求3所述的包中继系统,从上述应用装置向上述平台模块发送控制消息,根据该控制消息,变更上述平台模块的上述存储部内的信息。
11.如权利要求2所述的包中继装置,其特征在于,从上述应用模块向上述平台模块发送控制消息,根据该控制消息,进行模块的增减请求的发送、或上述采样部中的包的复制频率的变更。
全文摘要
本发明提供包中继装置及包中继系统。流过包中继装置的通信量,既有来自没有恶意的用户的通信量,也有来自感染了病毒的用户的通信量和来自有恶意的用户的非法通信量,千差万别。如果将这些通信量一并传输给模块并进行监视,会大大损失吞吐量,而且,对于没有恶意的一般用户的通信量来说,成了效率很低的传输形态。若管理员视模块中的处理结果适当地变更各用户的传输模块,就可以解决上述课题,但是人为的设置欠缺灵活性。假设在存在于平台模块的、记录了各用户和传输应用模块的对的表上,可以设置安全级别。该安全级别,可以应各模块中的处理结果动态改变,由此,可以灵活变更各用户的传输目的地应用模块。
文档编号H04L29/06GK1885765SQ20061009323
公开日2006年12月27日 申请日期2006年6月23日 优先权日2005年6月23日
发明者饭岛智之, 坂本健一, 东村邦彦 申请人:株式会社日立制作所