JP4174392B2 - ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 - Google Patents

ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 Download PDF

Info

Publication number
JP4174392B2
JP4174392B2 JP2003305246A JP2003305246A JP4174392B2 JP 4174392 B2 JP4174392 B2 JP 4174392B2 JP 2003305246 A JP2003305246 A JP 2003305246A JP 2003305246 A JP2003305246 A JP 2003305246A JP 4174392 B2 JP4174392 B2 JP 4174392B2
Authority
JP
Japan
Prior art keywords
mac address
packet
permitted
network
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003305246A
Other languages
English (en)
Other versions
JP2005079706A (ja
Inventor
義長 関
伸次 長谷井
美穂 魚谷
達也 牧野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
NEC Solution Innovators Ltd
Original Assignee
NEC Corp
NEC Solution Innovators Ltd
NEC System Technologies Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp, NEC Solution Innovators Ltd, NEC System Technologies Ltd filed Critical NEC Corp
Priority to JP2003305246A priority Critical patent/JP4174392B2/ja
Priority to US10/927,128 priority patent/US7552478B2/en
Publication of JP2005079706A publication Critical patent/JP2005079706A/ja
Application granted granted Critical
Publication of JP4174392B2 publication Critical patent/JP4174392B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、ネットワークへの接続が許可されていない機器を発見した場合、その機器に対してARP(Address Resolution Protocol)を偽装したパケットを送信することにより、ネットワークへ不正に接続することを防止するネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置に関する。
近年、インターネットやイントラネットなどのネットワークにより、企業や官公庁、学校、家庭など様々な環境において、各種の情報処理が飛躍的に効率化され、これらのネットワークは、現代の社会基盤として必要不可欠なものとなっている。
一方で、ネットワークを通じてコンピュータウィルスのばらまきが行われ、重要な情報が破壊されたり、あるいはネットワークへの不正なアクセスによって、情報の漏洩が発生したりするなどの事態が急増しており、ネットワークセキュリティの向上は、重要な社会的課題となっている。
このような状況において、ネットワークへの不正接続を防止するための装置などに関して、多くの研究開発が行われている。
例えば、特許文献1においては、不正侵入の検出をパケットから判断し、不正なパケットが検出された場合は、通信の遮断等の対策をとるとともに、不正侵入が行われていなければ、遮断されていた通信を自動的に解除する装置などが提案されている。
また、特許文献2においては、フィルタ型のIDS(Intrusion Detection System)機能を用いて、攻撃となるようなIP(Internet Protocol)パケットを即座に遮断するとともに、IDS機能手段宛の大量のIPパケットが検出された場合にも、そのIPパケットを遮断することの可能な装置などが提案されている。
特開2002−73433号公報 特開2003−99339号公報
しかしながら、これらのような従来の不正接続防止装置などには、以下のような問題があった。
まず、不正接続の検出時に、ハブ自身がフィルタリングすることによって不正接続を防止する装置などにおいては、それぞれのハブにフィルタリングする機能を装備させなくてはならず、そのためにコストがかさむという問題があった。
これは、ハブがパケットの送信元のIPアドレスにもとづいて、不正侵入であるかどうかを判断する場合のみならず、特許文献1のように、パケット自体を解析して不正侵入であるかどうかを判断する場合についても同様に問題となるものであった。
また、ネットワークにおいて複数のハブが使用され、そのハブを提供している企業が個々に異なる場合には、各社ごとにフィルタリング機能や管理手順が異なることから、それぞれに使用可能な管理手段を設ける必要があり、さらにコストの増大を招くという問題があった。
さらに、不正接続の検出時に、VPN(Virtual Private Network)装置やファイアウォールの設定を変更することにより不正接続を防止する装置などにおいては、外部からの不正接続を防御することはできるものの、ネットワーク内部の不正接続を防止することができないという問題があった。
また、不正接続の検出時に、TCP(Transmission Control Protocol)のリセットパケットを送信することにより不正接続を防止する装置などの場合、HTTP(Hyper Text Transfer Protocol)など短時間で通信が完了するプロトコルにおいては、リセットパケットを送信した時点で既に通信が完了してしまい、不正接続の防止が間に合わない場合があるという問題があった。
本発明は、上記の事情にかんがみなされたものであり、ネットワーク上に一台の不正接続防止装置を設置するのみで、ネットワーク全体の不正接続防止を実現することにより、単一の管理手順を用いることができ、低コストで、ネットワーク内部からの不正接続も防止できるとともに、短時間で通信が完了するプロトコルに対しても有効なネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置の提供を目的とする。
上記目的を達成するため、本発明のネットワークへの不正接続防止システムは、ネットワークへの接続を許可されていない不許可装置が、当該ネットワークにおける一又は二以上の情報処理装置へ接続することを防止する不正接続防止システムであって、ネットワークへの接続を許可された装置のMACアドレスを格納する承認リスト記憶部を備え、ネットワークにブロードキャストされたARPリクエストの送信元のMACアドレスが承認リスト記憶部に存在しない場合、この送信元を不許可装置とし、ARPリクエストに対して情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを不許可装置へ送信する不正接続防止装置を有する構成としてある。
ネットワークへの不正接続防止システムをこのような構成にすれば、ネットワークへの接続を許可されていない情報処理装置である不許可装置が、そのネットワークに接続し、当該ネットワーク内部の情報処理装置に接続することを防止することが可能となる。
すなわち、本発明によれば、ネットワークにおける内部サーバなどに接続しようとした不許可装置は、その内部サーバのMACアドレスとして、ネットワーク上に存在しない偽りのMACアドレスを用いて内部サーバへの接続を行おうとするため、その接続に失敗することになる。
このため、不許可装置により、ネットワークの内部サーバなどが保有するデータの盗難や改ざん、ウィルスのばらまきなどが行われることを防止することが可能となる。
また、本発明では、ルータやハブなどのハードウェアに依存しない方式を用いているため、どのような構成のネットワークに対しても適用可能となっている。
さらに、不正接続防止機能を装備したルータやハブをネットワーク内に導入する必要がないことから、システム全体のコストを抑えて、不正接続の防止を図ることが可能となっている。
なお、情報処理装置には、パーソナルコンピュータやサーバなどの他、情報処理機能を搭載しているプリンタやスキャナ、ファクシミリなどの各種装置も含まれるものである。以下において、この情報処理装置を機器と称する場合がある。
本発明のネットワークへの不正接続防止システムは、不正接続防止装置が、ネットワークへの接続を許可された情報処理装置のMACアドレスを格納する承認リスト記憶部を備え、不正接続防止装置が、ネットワーク上で通信される全てのパケットを無差別受信モードで収集し、収集したパケットに含まれる送信元のMACアドレスが、承認リスト記憶部に存在するか否かを確認して、存在しない場合にパケットの送信元を不許可装置として検出し、ARPリクエストの受信時に、所定の指定時間を設定し、指定時間の経過前後にかかわらず、情報処理装置から不許可装置へ正しいARP応答パケットが送信された場合、正しいARP応答パケットを受信して、当該受信直後に、偽りのMACアドレスを有するARP応答パケットを不許可装置へ送信し、指定時間の経過時までに、正しいARP応答パケットを受信しなかった場合、指定時間の経過時に、偽りのMACアドレスを有するARP応答パケットを不許可装置へ送信する構成としてある。
ネットワークへの不正接続防止システムをこのような構成にすれば、不正接続防止装置は、不許可装置へ偽りのARP応答パケットをより適切なタイミングで送信することが可能となる。
すなわち、不許可装置からARPリクエストを受け取った接続対象である内部サーバなどの情報処理装置は、正しいMACアドレスを有するARP応答パケットを不許可装置に送信するため、この正しいMACアドレスを有するARP応答パケットが不許可装置に送信された直後に、不許可装置における当該MACアドレスを偽りのMACアドレスに書き換えてしまうことが望ましい。
このため、無差別受信モードにより、情報処理装置から不許可装置へ送信された正しいMACアドレスを有するARP応答パケットを受信した不正接続防止装置は、これを受信するとすぐに偽りのMACアドレスを有するARP応答パケットを不許可装置に送信している。
しかし、不正接続防止装置が、情報処理装置から不許可装置へ送信された正しいMACアドレスを有するARP応答パケットの受信に失敗することなども考えられる。
このような場合にも、所定の指定時間経過時に情報処理装置のMACアドレスとして偽りのMACアドレスを不許可装置に設定しておくことにより、不正接続防止をより確実なものとすることが可能となっている。
また、上記内部サーバなどの処理遅延などにより、不許可装置に対して、正しいMACアドレスを有するARP応答パケットの送信が遅延し、所定の指定時間を経過する場合なども考えられるが、このような場合であっても、不許可装置に対して、正しいMACアドレスを有するARP応答パケットが送信されるたびに、不正接続防止装置は、すぐに不許可装置へ偽りのMACアドレスを有するARP応答パケットを送信するため、不許可装置は再び不正接続を行うことができなくなる。
なお、「ARPリクエストの受信時」とは、不正接続防止装置がARPリクエストを受信した時刻に厳密に限定することを意図したものではなく、ARPリクエストを送信した情報処理装置が、不許可装置として検出された時点としてとらえてもかまわないものである。すなわち、この「ARPリクエストの受信時」は、広く不正接続防止装置が不許可装置によるARPリクエストを受信したタイミングを指定しているものである。これは、以下においても同様である。
本発明のネットワークへの不正接続防止システムは、不正接続防止装置が、不許可装置に対して、情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するとともに、情報処理装置に対して、不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信する構成としてある。
ネットワークへの不正接続防止システムをこのような構成にすれば、不許可装置に手入力などによって、その不正接続対象である情報処理装置の正しいMACアドレスが設定された場合であっても、その不正接続を防止することが可能となる。
すなわち、本発明によれば、情報処理装置に対して、不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するため、情報処理装置が不許可装置へ応答を返す際に、応答パケットが不許可装置に返却されるのを妨害することができ、不許可装置による不正接続の防止をより確実なものとすることが可能となる。
本発明のネットワークへの不正接続防止システムは、不正接続防止装置が、不許可装置に対して、情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するとともに、情報処理装置と同一のサブネット上に存在する全ての情報処理装置に対して、不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信する構成としてある。
ネットワークへの不正接続防止システムをこのような構成にすれば、不許可装置が、不正接続対象である情報処理装置と同一サブネット内にある他の情報処理装置に対して、接続を試みようとした場合についても、その接続を防ぐことが可能となる。
すなわち、本発明によれば、不許可装置に対して情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するのみならず、同一サブネットにおける全ての情報処理装置に対して、不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信している。
このため、同一サブネットにおける全ての情報処理装置が不許可装置へ応答を返す際に、応答パケットが不許可装置に返却されることを妨害することができ、不許可装置による不正接続の防止をより確実なものとすることが可能となる。
本発明のネットワークへの不正接続防止システムは、不正接続防止システムが、ネットワークに中継装置を介して接続された外部情報処理装置を有するとともに、不正接続防止装置が、ネットワークに接続されている中継装置のMACアドレスを格納する中継装置リスト記憶部を備え、不正接続防止装置が、パケットに含まれる不許可装置が接続しようとしている情報処理装置のIPアドレスにもとづいて、不許可装置が、ネットワークに存在する情報処理装置と接続しようとしているか、又は、外部ネットワークに存在する外部情報処理装置と接続しようとしているかを判断し、外部ネットワークに存在する外部情報処理装置と接続しようとしている場合、不許可装置に対して、中継装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するとともに、中継装置リスト記憶部にMACアドレスが格納されている全ての中継装置に対して、不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信する構成としてある。
ネットワークへの不正接続防止システムをこのような構成にすれば、不許可装置が、ネットワークにおけるルータなどの中継装置を介して、外部ネットワークにおける外部情報処理装置に接続しようとした場合に、これを防止することが可能となる。
すなわち、不正接続防止装置は、不許可装置から送信されたパケットにもとづいて、不許可装置が接続しようとしている情報処理装置が外部ネットワークに存在するかどうかを確認し、外部ネットワークに存在する場合は、不許可装置に対して、中継装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するとともに、内部ネットワーク上の全ての中継装置に対して、不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信する。
これによって、不許可装置による中継装置へのパケット送信が阻害されるとともに、中継装置から不許可装置へのパケット送信が阻害されるため、不許可装置は、外部情報処理装置との接続を行うことができず、不許可装置によるネットワークへの不正接続の防止をより確実なものとすることが可能となる。
本発明のネットワークへの不正接続防止システムは、ネットワークへの接続を許可されていない不許可装置が、当該ネットワークにおける一又は二以上の情報処理装置へ接続することを防止する不正接続防止システムであって、ネットワーク上で通信される全てのパケットを無差別受信モードで収集してARPパケットであるかどうかを判断し、収集したARPパケットに含まれる送信元のMACアドレスが、ネットワークへの接続を許可された情報処理装置のMACアドレスを格納する承認リスト記憶部に存在するか否かを確認して、存在しない場合にARPパケットの送信元を不許可装置として検出し、この不許可装置のIPアドレスとMACアドレスを、ネットワークへの接続を許可されていない情報処理装置のIPアドレスとMACアドレスを格納する不許可リスト記憶部に登録して、かつ、当該不許可リスト記憶部に登録されている全ての不許可装置について、それぞれの不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットをブロードキャストする不正接続防止装置を有する構成としてある。
ネットワークへの不正接続防止システムをこのような構成にすれば、ネットワーク接続を許可された情報処理装置が、内部サーバと通信するために送信したARPパケットを、不正接続をしようとしている不許可装置が受信した場合であっても、この不許可装置が内部サーバなどに接続するのを妨害することが可能となる。
すなわち、不正接続防止装置は、ARPパケットを受信すると、このARPパケットが不許可装置から送信されたものである場合は、そのIPアドレスとMACアドレスを不許可リストに登録する。そして、この不許可リストに登録されている全ての不許可装置について、そのMACアドレスを偽ったARP応答パケットをブロードキャストすることによって、不許可装置が、同一サブネット上に存在する全ての機器とやり取りすることを防止することが可能となる。
本発明のネットワークへの不正接続防止装置は、ネットワークへの接続を許可されていない不許可装置が、当該ネットワークにおける一又は二以上の情報処理装置へ接続することを防止する不正接続防止装置であって、ネットワークへの接続を許可された情報処理装置のMACアドレスを格納する承認リスト記憶部と、ネットワーク上で通信される全てのパケットを無差別受信モードで収集するパケット収集部と、収集したパケットに含まれる送信元のMACアドレスが、承認リスト記憶部に存在するか否かを確認し、存在しない場合にパケットの送信元を不許可装置として検出する接続可否判定部と、不許可装置によりブロードキャストされたARPリクエストに対して、情報処理装置から正しいARP応答パケットが不許可装置へ送信された後に、情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを不許可装置へ送信する偽りのパケット送信部とを有する構成としてある。
ネットワークへの不正接続防止装置をこのような構成にすれば、不許可装置からブロードキャストされたARPリクエストに応じて、情報処理装置から正しいMACアドレスを有するARP応答パケットが不許可装置へ送信された後に、不正接続防止装置から偽りのMACアドレスを有するARP応答パケットを不許可装置へ送信することにより、不許可装置におけるARPテーブルを書き換えることができる。
このため、不許可装置から情報処理装置へのパケット送信は行えなくなり、不許可装置が情報処理装置に不正に接続することを防止することが可能となる。
本発明のネットワークへの不正接続防止装置は、偽りのパケット送信部が、不正接続防止装置によるARPリクエストの受信時に、所定の指定時間を設定し、指定時間の経過前後にかかわらず、情報処理装置から不許可装置へ正しいARP応答パケットが送信された場合、不正接続防止装置による当該正しいARP応答パケットの受信直後に、偽りのMACアドレスを有するARP応答パケットを不許可装置へ送信し、指定時間の経過時までに、正しいARP応答パケットの受信がなかった場合、指定時間の経過時に、偽りのMACアドレスを有するARP応答パケットを不許可装置へ送信する構成としてある。
ネットワークへの不正接続防止装置をこのような構成にすれば、情報処理装置からの正しいMACアドレスを有するARP応答パケットを不正接続防止装置が受信できなかったような場合についても、不許可装置におけるARPテーブルに情報処理装置のMACアドレスとして偽りのMACアドレスを登録させておくことができる。
これによって、不許可装置による情報処理装置への接続を妨害し、不正接続の防止効果を一層高めることが可能となる。
本発明のネットワークへの不正接続防止装置は、偽りのパケット送信部が、不許可装置に対して、情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するとともに、情報処理装置に対して、不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信する構成としてある。
ネットワークへの不正接続防止装置をこのような構成にすれば、不許可装置が情報処理装置へパケットの送信を行うことができないようになるのみならず、情報処理装置から不許可装置へパケットの送信を行うこともできないようになり、不正接続の防止をより確実なものとすることが可能となる。
本発明のネットワークへの不正接続防止装置は、偽りのパケット送信部が、不許可装置に対して、情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するとともに、情報処理装置と同一のサブネット上に存在する全ての情報処理装置に対して、不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信する構成としてある。
ネットワークへの不正接続防止装置をこのような構成にすれば、不許可装置が情報処理装置へパケットの送信を行うことができないようになるのみならず、その情報処理装置と同一サブネット上に存在する全ての情報処理装置が不許可装置へパケットの送信を行うことができないようにすることができる。
このため、不許可装置が、ネットワークにおける一の情報処理装置に接続しようとした場合、同一サブネット上に存在する全ての情報処理装置からのパケットを受け取ることができなくなり、不許可装置によるネットワークへの不正接続の防止をより強固なものとすることが可能となる。
本発明のネットワークへの不正接続防止装置は、不正接続防止装置が、ネットワークに接続されている中継装置のMACアドレスを格納する中継装置リスト記憶部と、パケットに含まれる不許可装置が接続しようとしている情報処理装置のIPアドレスにもとづいて、不許可装置が、ネットワークに存在する情報処理装置と接続しようとしているか、又は、外部ネットワークに存在する外部情報処理装置と接続しようとしているかを判断するネットワーク判定部とを有し、偽りのパケット送信部が、不許可装置が外部ネットワークに存在する外部情報処理装置と接続しようとしている場合、不許可装置に対して、中継装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するとともに、中継装置リスト記憶部にMACアドレスが格納されている全ての中継装置に対して、不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信する構成としてある。
ネットワークへの不正接続防止装置をこのような構成にすれば、不許可装置が、ルータなどの中継装置を経由して、外部ネットワークにおける情報処理装置に不正接続しようとした場合、中継装置から不許可装置へのパケット送信を行えなくすることができるとともに、不許可装置から中継装置へのパケット送信を行えなくすることも可能となる。
このため、不許可装置によるネットワークへの不正接続をさらに効果的に防止することが可能となる。
本発明のネットワークへの不正接続防止装置は、ネットワークへの接続を許可されていない不許可装置が、当該ネットワークにおける一又は二以上の情報処理装置へ接続することを防止する不正接続防止装置であって、ネットワークへの接続を許可された情報処理装置のMACアドレスを格納する承認リスト記憶部と、ネットワークへの接続を許可されていない情報処理装置のIPアドレスとMACアドレスを格納する不許可リスト記憶部と、ネットワーク上で通信される全てのパケットを無差別受信モードで収集するパケット収集部と、収集したパケットがARPパケットであるかどうかを判断し、ARPパケットである場合、当該ARPパケットに含まれる送信元のMACアドレスが、承認リスト記憶部に存在するか否かを確認し、存在しない場合、パケットの送信元を不許可装置として検出し、この不許可装置のIPアドレスとMACアドレスを、不許可リスト記憶部に登録する接続可否判定部と、不許可リスト記憶部に登録されている全ての不許可装置について、それぞれの不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットをブロードキャストする偽りのパケット送信部とを有する構成としてある。
ネットワークへの不正接続防止装置をこのような構成にすれば、ネットワークへの接続が許可されていない不許可装置が登録されている不許可リストにもとづいて、不許可装置のMACアドレスを偽ったARP応答パケットをブロードキャストすることができるため、不許可装置が、同一サブネット上に存在する全ての機器と通信することを防ぐことが可能となる。
本発明によれば、ネットワークへの接続を許可されていないパーソナルコンピュータなどの不許可装置が、内部サーバや、その他の同一サブネット上に存在する機器に接続することを防止できるとともに、ルータなどを経由して、外部ネットワークにおける機器に接続することも防止することが可能となる。
このため、不許可装置によるデータの盗難、改ざん、ウィルスのばらまき等を防ぐことができるとともに、個人のコンピュータを社内のネットワークに接続することにより社内システムのセキュリティが低下することなども防止することが可能となる。
また、従来の短時間で通信が完了するプロトコルにおいて、リセットパケットにより不正接続を防止しようとした場合、これを送信した時点ではすでに通信が完了し、防止が間に合わないことがあったが、本発明によれば、このような問題は生じることがない。
さらに、本発明は、ルータやハブなどのハードウェアに依存しない方式を用いて不正接続の防止を実現しているため、ネットワークの構成に制限を受けることなく、様々な環境に柔軟に適用することが可能なものとなっており、かつ、不正接続防止機能を装備したルータやハブを導入する必要がないことから、システム全体のコスト削減も可能となっている。
以下、本発明の実施形態につき、図面を参照して説明する。
[第一実施形態]
まず、本発明の第一実施形態の構成について、図1及び図2を参照して説明する。図1は、本実施形態のネットワークへの不正接続防止システムの構成を示すブロック図である。図2は、同システムにおける不正接続防止装置の構成を示すブロック図である。
図1に示すように、本実施形態のネットワークへの不正接続防止システムは、不正接続防止装置10,承認リスト10−1,内部サーバ20、及びネットワーク80を有しており、このネットワーク80に対して、PC30が不正に接続しようとしている。
不正接続防止装置10は、ネットワークへの接続を許可された機器情報を有する承認リスト10−1にもとづいて、ネットワークへの接続が許可されていない機器が不正にネットワークへ接続することを防止する装置である。
この不正接続防止装置10は、ネットワークに不正に接続されたPC30が内部サーバ20にアクセスした場合、内部サーバ20のMACアドレスを偽ったARP応答パケットをPC30に送信し、PC30のARPテーブルを書き換える。
不正接続防止装置10は、図2に示すように、承認リスト記憶部10−1(承認リスト10−1),パケット収集部10−2,接続可否判定部10−3,偽りのパケット送信部10−4を有している。
承認リスト記憶部10−1は、ネットワークへの接続が許可された機器のMACアドレスを格納する記憶装置である。この承認リストは、あらかじめ不正接続防止装置10に格納しておく。本実施形態においては、PC30のMACアドレスは、承認リスト記憶部10−1に登録されていないものとしている。
なお、承認リスト記憶部10−1を不正接続防止装置10の内部に保有させる必要はなく、外部記憶装置として備えてもよいことは言うまでもない。
パケット収集部10−2は、ネットワーク80上に流れている全てのパケットを無差別受信モードで収集し、これを接続可否判定部10−3に受け渡す。
接続可否判定部10−3は、パケット収集部により収集されたパケットに含まれる送信元のMACアドレスにもとづき承認リスト記憶部10−1を参照し、その機器がネットワークへの接続を許可されているものであるかどうかを判定する。
すなわち、送信元のMACアドレスが、承認リスト記憶部10−1に存在しない場合は、そのパケットの送信元を、ネットワークへの接続を許可されていない不許可装置として検出し、そのパケットを偽りのパケット送信部10−4に通知する。
偽りのパケット送信部10−4は、不許可装置に対して、ネットワークへの不正接続を防止する偽りのパケットを送信する。
内部サーバ20は、PC30からの要求を受信し、応答をPC30へ返信する情報処理装置である。
PC30は、ネットワークに不正に接続され、内部サーバ20などへのアクセスを試みる情報処理装置である。
ネットワーク80は、従来公知の任意好適な公衆回線、商業回線又は専用回線を用いることができる。また、ネットワーク80は、不正接続防止装置10,内部サーバ20,PC30のそれぞれの間を、無線あるいは有線で接続可能な回線であり、例えば、公衆回線網、専用回線網、インターネット回線網及びイントラネット網により構成することができる。
次に、本実施形態のネットワークへの不正接続防止システムにおける処理手順について、図3を参照して説明する。
同図は、本実施形態のネットワークへの不正接続防止システムにおける処理手順を示すフローチャートである。
まず、不正接続防止装置10のパケット収集部10−2が、パケット収集ループを開始することによりネットワーク上に流れている全てのパケットを無差別受信モードで収集する(ステップA1)。PC30から内部サーバ20に接続するためのARPリクエストがブロードキャストされた場合も、そのARPリクエストは、ステップA1において収集される。
次に、接続可否判定部10−3は、受信したパケットにおける送信元の機器のMACアドレスが、承認リスト10−1に存在するかどうかを確認することによって、その送信元の機器が、ネットワークへの接続を許可されたものであるかどうかを判断する(ステップA2)。
受信したパケットの送信元の機器のMACアドレスが、承認リスト10−1に存在する場合、その機器については、ネットワークへの接続を防止しない(ステップA3)。
受信したパケットの送信元の機器のMACアドレスが、承認リスト10−1に存在しない場合、その機器に対して、ネットワークへの不正接続を防止するための偽りのパケットを送信する(ステップA4)。
これによって、そのMACアドレスが承認リスト10−1に登録されていないPC30が、内部サーバ20と通信を行うことを防止することが可能となっている。
ここで、偽りのパケットによる不正接続の防止は、内部サーバ20のMACアドレスをMs、IPアドレスをIsとし、ネットワーク上に存在しないMACアドレスをMxとした場合、PC30に対して、IPアドレスIsに対応するMACアドレスはMxであることを示すARP応答パケットを送信することにより実現している。
すなわち、不正接続防止装置10からPC30に対して、このようなARP応答パケットを送信することにより、以後、PC30は、内部サーバ20にパケットを送信する際に、IPアドレスIsに対応するMACアドレスとしてMx宛にパケットを送信することとなる。これによって、PC30のパケットが内部サーバ20に到着することを防止している。
次に、PC30への偽りのパケットの送信タイミングについて、さらに詳細に説明する。
PC30、内部サーバ20、及び不正接続防止装置10は、それぞれ以下のような順序でやり取りを行う。
(1)PC30が、内部サーバ20に通信するためのARPリクエストをネットワーク80にブロードキャストする。
(2)内部サーバ20が、正しいARP応答パケット(IPアドレス:Is,MACアドレス:Ms)をPC30へ送信する。
(3)不正接続防止装置10が、偽りのARP応答パケット(IPアドレス:Is,MACアドレス:Mx)をPC30へ送信することにより、PC30におけるARPテーブルを書き換える。
ここで、不正接続防止装置10は、原則として(2)のパケットをトリガとして、(3)のパケットを送信するが、それ以外にも以下のような動作により(3)のパケットを送信する。
不正接続防止装置10は、まず、(1)のパケットを受信したタイミングで、所定の指定時間を設定する。
そして、指定時間が経過する前に(2)のパケットを受信した場合は、すぐに(3)のパケットを送信する。
(2)のパケットを受信することなく指定時間が経過した場合は、その指定時間の経過時に、(3)のパケットを送信する。この場合、(3)のパケットの送信後、(2)のパケットが送信されることにより、PC30が内部サーバ20と通信できてしまうという問題が生じるが、不正接続防止装置10は、(2)のパケットを受信するたびに、すぐに(3)のパケットを送信するため、再びPC30が内部サーバ20と通信することを防止することが可能となっている。
なお、不正接続防止装置10において、受信したパケットが(2)のパケットであることは、(1)のパケットにおける送信先のIPアドレスが、送信元のIPアドレスに設定されたARP応答パケットであることを確認することによって行うことが可能である。この動作は、接続可否判定部10−3又は偽りのパケット送信部10−4のいずれかに行わせるようにすることが好ましい。
以上の処理タイミングについては、以降の実施形態において、PC30が不正に通信しようとする相手が、第一実施形態における機器と異なる対象である場合であっても、同様のものとすることができる。
[第二実施形態]
次に、本発明の第二実施形態について、図4を参照して説明する。同図は、本実施形態のネットワークへの不正接続防止システムにおける処理手順を示すフローチャートである。
本実施形態は、内部サーバ20のMACアドレスMsがPC30に静的に設定された場合にも対応可能な点で第一実施形態と異なる。
すなわち、第一実施形態では、ネットワークに不正接続されたPC30を騙すことで不正接続の防止を実現しているが、PC30において、内部サーバ20のMACアドレスMsが、例えば手入力などによって正しく設定し直された場合などには、PC30から内部サーバ20へのパケットの送信が可能となってしまう。
本実施形態は、このような問題を解決するために、第一実施形態におけるアルゴリズムに改良を加えたものである。
本実施形態における不正接続防止システムの構成については、図1及び図2に示す第一実施形態におけるものと同様のものを用いることができるが、本実施形態における不正接続防止装置10の偽りのパケット送信部10−4は、PC30に偽りのパケットを送信するのみならず、内部サーバ20に対しても偽りのパケットを送信する。その他の構成については、第一実施形態におけるものと同様である。
図4において、ステップA1〜A4は、図3に示す第一実施形態におけるものと同様である。
しかし、本実施形態では、不正接続防止装置10は、PC30に対して、第一実施形態における場合と同様の偽りのパケットを送信する(ステップA4)ことに加え、内部サーバ20に対しても、偽りのパケットを送信する(ステップB1)。
これによって、内部サーバ20がPC30に応答を返す際に、その応答パケットがPC30に返却されるのを妨害し、PC30の不正接続の防止をより確実なものにすることが可能となっている。
ここで、内部サーバ20へ送信する偽りのパケットは、PC30のMACアドレスをMp、IPアドレスをIpとすると、IPアドレスIpに対応するMACアドレスはMxであることを示すARP応答パケットである。
これにより、以後、内部サーバ20がPC30に応答パケットを送信する際、IPアドレスIpに対応するMACアドレスとしてMx宛にパケットを送信してしまい、パケットがPC30に到着することを防止することが可能となっている。
[第三実施形態]
次に、本発明の第三実施形態について、図5,図6を参照して説明する。図5は、本実施形態のネットワークへの不正接続防止システムの構成を示すブロック図である。図6は、本実施形態のネットワークへの不正接続防止システムにおける不正接続防止装置の構成を示すブロック図である。
本実施形態は、不正に接続されたPC30がルータ40を介して外部サーバ50に接続しようと試みる場合にも、その不正接続を防止することが可能となる点で第二実施形態と異なる。
すなわち、第二実施形態では、ネットワーク内部における不正接続を防止することはできるが、図5に示すように、不正に接続されたPC30がルータ40を経由して外部サーバ50と通信する場合、パケットは外部サーバ50ではなくルータ40のMACアドレスに向けて送信されるため、第一実施形態や第二実施形態のアルゴリズムにより、外部サーバ50のMACアドレスを偽装することは無意味となる。
本実施形態は、このような問題を解決するために、第二実施形態におけるアルゴリズムに改良を加えたものである。
本実施形態の不正接続防止装置10は、図6に示すように、承認リスト記憶部10−1,パケット収集部10−2,接続可否判定部10−3,ルータリスト記憶部10−5(ルータリスト10−5),ネットワーク判定部10−6,偽りのパケット送信部10−7を有している。
承認リスト記憶部10−1,パケット収集部10−2,接続可否判定部10−3については、図2に示すものと同様である。
ルータリスト記憶部10−5は、ネットワーク80に接続されているルータのMACアドレスを格納する記憶装置である。このルータリストも、承認リストと同様に、あらかじめ不正接続防止装置10に格納しておく。
なお、ルータリストについても不正接続防止装置10の内部に保有させる必要はなく、外部記憶装置として備えてもよいことは言うまでもない。
ネットワーク判定部10−6は、接続可否判定部10−3によって、PC30が不許可装置として検出されると、このPC30の通信相手が、内部ネットワークに存在するかどうかを判定し、その結果をパケットの情報とともに偽りのパケット送信部10−7へ通知する。この内部ネットワークに存在するかどうかの判定は、PC30によりブロードキャストされたARPリクエストにおける送信のIPアドレスにもとづいて、そのIPアドレスが同一サブネット内のアドレスであるかどうかを判断することにより行うことができる。
偽りのパケット送信部10−7は、PC30の通信相手が、内部ネットワークにおける機器である場合は、第二実施形態における場合と同様に、PC30に偽りのパケットを送信するとともに、内部サーバ20に対しても偽りのパケットを送信する。
PC30の通信相手が、外部ネットワークにおける機器である場合は、PC30に偽りのパケットを送信するとともに、ルータリスト記憶部10−5に登録されている全てのルータに対して偽りのパケットを送信する。
次に、本実施形態のネットワークへの不正接続防止システムにおける処理手順について、図7を参照して説明する。
同図は、本実施形態のネットワークへの不正接続防止システムにおける処理手順を示すフローチャートである。
図7において、ステップA1〜A3までは、図4に示す第二実施形態におけるものと同様である。
次に、不正接続防止装置10のネットワーク判定部10−6は、PC30の通信相手が内部ネットワークに存在するか否かを判断する(ステップC1)。
PC30の通信相手が内部ネットワークに存在する場合は、PC30に偽りのパケットを送信し(ステップA4)、さらに内部サーバ20に対して偽りのパケットを送信する(ステップB1)。
PC30の通信相手が外部ネットワークに存在する場合は、PC30にステップA4におけるものとは異なる偽りのパケットを送信し(ステップC2)、さらにルータリスト10−5に登録された全てのルータに対して偽りのパケットを送信する(ステップC3)。
これによって、ルータ経由の通信に関しても、PC30の不正接続を防止することが可能となっている。
ここで、PC30が外部ネットワークへ接続する場合に、不正接続防止装置10がPC30へ送信する偽りのパケットは、ルータ40のMACアドレスをMr、IPアドレスをIrとすると、IPアドレスIrに対応するMACアドレスはMxであることを示すARP応答パケットである。
これにより、以後、PC30は、ルータ40にパケットを送信する際、IPアドレスIrに対応するMACアドレスとしてMx宛に送信してしまい、パケットがルータ40に到着することを防止することが可能となっている。
また、ルータ40へ送信する偽りのパケットは、IPアドレスIpに対応するMACアドレスはMxであることを示すARP応答パケットである。
これにより、以後、ルータは、PC30にパケットを送信する際、IPアドレスIpに対応するMACアドレスとしてMx宛にパケットを送信してしまい、パケットがPC30に到着することを防止することが可能となっている。
なお、本実施形態によれば、外部サーバ50が、サーバ以外の情報処理装置であっても、同様にPC30からの不正接続を防止することが可能である。
[第四実施形態]
次に、本発明の第四実施形態について、図8を参照して説明する。同図は、本実施形態のネットワークへの不正接続防止システムにおける処理手順を示すフローチャートである。
本実施形態は、不正に接続されたPC30が内部サーバ20のみならず、同一サブネット内にあるその他の機器へ接続しようと試みる場合にも、その不正接続を防止することが可能となる点で第二実施形態と異なる。
すなわち、第二実施形態では、内部サーバ20への不正接続は防止できるが、同一サブネット内にあるその他の機器への不正接続を防止することはできない。
本実施形態は、このような問題を解決するために、第二実施形態におけるアルゴリズムに改良を加えたものである。
本実施形態の構成については、図1及び図2に示す第一実施形態におけるものと同様のものを用いることができるが、本実施形態におけるネットワーク80には、内部サーバ10以外にもPC30が通信を試みる相手としての機器が存在することを想定している。
また、本実施形態における不正接続防止装置10の偽りのパケット送信部10−4は、PC30に偽りのパケットを送信するのみならず、同一サブネット上の全ての機器に偽りのパケットを送信する。その他の構成については、第一実施形態におけるものと同様である。
図8において、ステップA1〜A4は、図4に示す第二実施形態におけるものと同様である。
しかし、本実施形態では、PC30に偽りのパケットを送信する(ステップA4)ことに加え、同一サブネット上の全ての機器へ偽りのパケットを送信する(ステップD1)。これにより、内部サーバ20に限らず、同一サブネット上の全ての機器がPC30に応答を返す際に、応答パケットがPC30に返却されるのを妨害し、PC30のネットワークへの不正接続の防止をより確実なものにすることが可能となる。
ここで、同一サブネット上の全ての機器へ送信する偽りのパケットは、IPアドレスIpに対応するMACアドレスはMxであることを示すARP応答パケットである。これにより、以降、同一サブネット上の機器がPC30に応答パケットを送信する際、IPアドレスIpに対応するMACアドレスとしてMx宛にパケットを送信してしまい、パケットがPC30に到着することを防止することが可能となる。
[第五実施形態]
次に、本発明の第五実施形態について、図9,図10を参照して説明する。図9は、本実施形態のネットワークへの不正接続防止システムの構成を示すブロック図である。図10は、本実施形態のネットワークへの不正接続防止システムにおける不正接続防止装置の構成を示すブロック図である。
本実施形態は、ネットワーク接続を許可された情報処理装置が、内部サーバ20と通信するために送信したARPパケットを、不正接続をしようとしているPCが受信した場合であっても、そのPCによる不正接続を防止することが可能となる点で第一実施形態〜第四実施形態と異なる。
すなわち、第一実施形態〜第四実施形態のアルゴリズムでは、PC30が内部サーバ20に送信したARPパケットが不正接続防止処理のトリガとなっているが、この場合、図9に示すようなブロードキャストセグメント上の接続が許可された承認PC70が内部サーバ20に送信したARP要求パケットや、内部サーバ20が承認PC70に返信したARP応答パケットに対し、不正接続防止装置10は対応しない。このため、このARPパケットを不許可PC60が受信したタイミングで、不許可PC60は、承認PC70や内部サーバ20への接続が可能になってしまう。
本実施形態は、このような問題を解決するために、上記実施形態におけるアルゴリズムに改良を加えたものである。
本実施形態のネットワークへの不正接続防止システムは、図9に示すように、承認リスト記憶部10−1と不許可リスト10−8を備えた不正接続防止装置10,内部サーバ20,不許可PC60,承認PC70を有している。
本実施形態の不正接続防止装置10は、図10に示すように、承認リスト記憶部10−1,パケット収集部10−2,不許可リスト記憶部10−8(不許可リスト10−8),接続可否判定部10−9,偽りのパケット送信部10−10を有している。
承認リスト記憶部10−1,パケット収集部10−2については、図2に示すものと同様である。
不許可リスト記憶部10−8は、ネットワークへの接続が許可されていない(承認リスト10−1にMACアドレスが格納されていない)PCのIPアドレスとMACアドレスを格納する記憶装置である。なお、不許可リストについても不正接続防止装置10の内部に保有させる必要はなく、外部記憶装置として備えてもよいことは言うまでもない。
接続可否判定部10−9は、パケット収集部10−2により収集されたパケットが、ARPパケット(ARP要求、ARP応答ともに含む)であるかどうかを判断する。そして、ARPパケットについては、その送信元のMACアドレスにもとづき承認リスト記憶部10−1を参照し、送信元の機器がネットワークへの接続を許可されているものであるかどうかを判定する。さらに、送信元の機器が、ネットワークへの接続を許可されていない不許可PC60である場合、そのIPアドレスとMACアドレスを不許可リスト記憶部10−8に登録する。
偽りのパケット送信部10−10は、不許可リスト記憶部10−8に登録されている全ての不許可PC60のMACアドレスを偽ったパケットを、ブロードキャスト送信する。
内部サーバ20は、図1に示すものと同様である。
不許可PC60は、第一実施形態〜第四実施形態におけるPC30に相当するものであり、ネットワーク80への接続が許可されていない情報処理装置である。
承認PC70は、そのMACアドレスが承認リスト記憶部10−1に格納されており、ネットワーク80への接続が許可されている情報処理装置である。
次に、本実施形態のネットワークへの不正接続防止システムにおける処理手順について、図11を参照して説明する。
同図は、本実施形態のネットワークへの不正接続防止システムにおける処理手順を示すフローチャートである。
図11において、ステップA1は、図3に示す第一実施形態におけるものと同様である。
次に、不正接続防止装置10がパケットを受信した際、そのパケットがARPパケットであるかどうかを判断し(ステップE1)、ARPパケットであれば、そのパケットの送信元の機器のMACアドレスが、承認リスト記憶部10−1に存在するかどうかを判断する(ステップE2)。すなわち、送信元が不許可PC60であるか、あるいは承認PC70であるかを判断する。
送信元が不許可PC60である場合、不正接続防止装置10は、不許可PC60のIPアドレスとMACアドレスを不許可リスト10−8に登録する(ステップE3)。送信元が承認PC70である場合は、このステップを省略する。
次に、不正接続防止装置10は、不許可リスト10−8に登録されている全ての不許可PC60について、MACアドレスを偽ったARPパケットをブロードキャスト送信する(ステップE4)。
これにより、不許可PC60が保持していた内部サーバ20のMACアドレスが正しいものに戻り、内部サーバ20に対して不正接続しようとしても、内部サーバ20はこれに応答しなくなるため、不正な接続を妨害することが可能となっている。
ここで、不許可リスト10−8に存在する不許可PC60のIPアドレスをIpとすると、ブロードキャスト送信する上記MACアドレスを偽ったARPパケットは、IPアドレスIpに対応するMACアドレスはMxであることを示すARP応答パケットである。
これにより、以後、不許可PC60に関係ないARPパケットを不許可PC60が受信したとしても、不許可PC60が、このARPパケットを用いて不正接続を行うことを防止することが可能となっている。
なお、上記各実施形態において、内部サーバ20,PC30,ルータ40,外部サーバ50,不許可PC60,承認PC70は、不正接続防止システム内にそれぞれ複数もたせてもかまわない。
また、以上のアルゴリズムの実装の際には、あるパケットが別のパケットの引き金となりパケットの連鎖反応が起こることによって、ネットワーク上に多数のパケットが集中して発生してしまうストーム(storm)などの現象を引き起こさないように、偽りのパケット送信を同一機器に対して行う場合、最低でも0.5秒は間をあける等の設定を行うことなどを考慮することも必要である。
また、上記の各実施形態における接続可否判定や、偽りのパケット送信などの各処理は、ネットワークへの不正接続防止プログラムにより実行される。
このネットワークへの不正接続防止プログラムは、不正接続防止装置におけるメモリ上に展開されてCPUとの協働作業により上述の各処理部により実行される。
すなわち、本実施形態における上各処理は、ネットワークへの不正接続防止プログラムと不正接続防止装置とが協働して実現している。
なお、本発明は以上の実施形態に限定されるものではなく、本発明の範囲内において、種々の変更実施が可能であることは言うまでもない。
例えば、不正接続防止装置における各構成要素を、より詳細な機能ごとに分割して構成するなど適宜変更することが可能である。
社内ネットワークを有する企業における社員が、個人のコンピュータなどをそのネットワークに接続することにより、社内システムのセキュリティが低下することを防止する用途などにおいて、好適に利用することが可能である。また、部外者が、社内ネットワークに個人のコンピュータを接続して機密情報にアクセスし、その情報を持ち帰るといった情報漏洩を防止したい場合などにも利用することが可能である。
本発明の第一実施形態のネットワークへの不正接続防止システムの構成を示すブロック図である。 本発明の第一実施形態のネットワークへの不正接続防止システムにおける不正接続防止装置の構成を示すブロック図である。 本発明の第一実施形態のネットワークへの不正接続防止システムにおける処理手順を示すフローチャートである。 本発明の第二実施形態のネットワークへの不正接続防止システムにおける処理手順を示すフローチャートである。 本発明の第三実施形態のネットワークへの不正接続防止システムの構成を示すブロック図である。 本発明の第三実施形態のネットワークへの不正接続防止システムにおける不正接続防止装置の構成を示すブロック図である。 本発明の第三実施形態のネットワークへの不正接続防止システムにおける処理手順を示すフローチャートである。 本発明の第四実施形態のネットワークへの不正接続防止システムにおける処理手順を示すフローチャートである。 本発明の第五実施形態のネットワークへの不正接続防止システムの構成を示すブロック図である。 本発明の第五実施形態のネットワークへの不正接続防止システムにおける不正接続防止装置の構成を示すブロック図である。 本発明の第五実施形態のネットワークへの不正接続防止システムにおける処理手順を示すフローチャートである。
符号の説明
10 不正接続防止装置
10−1 承認リスト記憶部(承認リスト)
10−2 パケット収集部
10−3,10−9 接続可否判定部
10−4,10−7,10−10 偽りのパケット送信部
10−5 ルータリスト記憶部(ルータリスト)
10−6 ネットワーク判定部
10−8 不許可リスト記憶部(不許可リスト)
20 内部サーバ
30 パーソナルコンピュータ(PC)
40 ルータ
50 外部サーバ
60 不許可パーソナルコンピュータ(PC)
70 承認パーソナルコンピュータ(PC)
80 ネットワーク

Claims (12)

  1. ネットワークへの接続を許可されていない不許可装置が、当該ネットワークにおける一又は二以上の情報処理装置へ接続することを防止する不正接続防止システムであって、
    前記ネットワークへの接続を許可された装置のMACアドレスを格納する承認リスト記憶部を備え、前記ネットワークにブロードキャストされたARPリクエストの送信元のMACアドレスが前記承認リスト記憶部に存在しない場合、この送信元を前記不許可装置とし、前記ARPリクエストに対して前記情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを前記不許可装置へ送信する不正接続防止装置を有する
    ことを特徴とする不正接続防止システム。
  2. 前記不正接続防止装置が、前記ネットワークへの接続を許可された情報処理装置のMACアドレスを格納する承認リスト記憶部を備え、
    前記不正接続防止装置が、
    前記ネットワーク上で通信される全てのパケットを無差別受信モードで収集し、
    前記収集したパケットに含まれる送信元のMACアドレスが、前記承認リスト記憶部に存在するか否かを確認して、存在しない場合に前記パケットの送信元を前記不許可装置として検出し、
    前記ARPリクエストの受信時に、所定の指定時間を設定し、
    前記指定時間の経過前後にかかわらず、前記情報処理装置から前記不許可装置へ前記正しいARP応答パケットが送信された場合、前記正しいARP応答パケットを受信して、当該受信直後に、前記偽りのMACアドレスを有するARP応答パケットを前記不許可装置へ送信し、
    前記指定時間の経過時までに、前記正しいARP応答パケットを受信しなかった場合、前記指定時間の経過時に、前記偽りのMACアドレスを有するARP応答パケットを前記不許可装置へ送信する
    ことを特徴とする請求項1記載の不正接続防止システム。
  3. 前記不正接続防止装置が、
    前記不許可装置に対して、前記情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するとともに、
    前記情報処理装置に対して、前記不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信する
    ことを特徴とする請求項1又は2記載の不正接続防止システム。
  4. 前記不正接続防止装置が、
    前記不許可装置に対して、前記情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するとともに、
    前記情報処理装置と同一のサブネット上に存在する全ての情報処理装置に対して、前記不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信する
    ことを特徴とする請求項1又は2記載の不正接続防止システム。
  5. 前記不正接続防止システムが、前記ネットワークに中継装置を介して接続された外部情報処理装置を有するとともに、前記不正接続防止装置が、ネットワークに接続されている中継装置のMACアドレスを格納する中継装置リスト記憶部を備え、
    前記不正接続防止装置が、前記パケットに含まれる前記不許可装置が接続しようとしている情報処理装置のIPアドレスにもとづいて、前記不許可装置が、前記ネットワークに存在する情報処理装置と接続しようとしているか、又は、外部ネットワークに存在する外部情報処理装置と接続しようとしているかを判断し、外部ネットワークに存在する外部情報処理装置と接続しようとしている場合、
    前記不許可装置に対して、前記中継装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するとともに、
    前記中継装置リスト記憶部にMACアドレスが格納されている全ての中継装置に対して、前記不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信する
    ことを特徴とする請求項1〜4のいずれかに記載の不正接続防止システム。
  6. ネットワークへの接続を許可されていない不許可装置が、当該ネットワークにおける一又は二以上の情報処理装置へ接続することを防止する不正接続防止システムであって、
    前記ネットワーク上で通信される全てのパケットを無差別受信モードで収集してARPパケットであるかどうかを判断し、収集したARPパケットに含まれる送信元のMACアドレスが、前記ネットワークへの接続を許可された情報処理装置のMACアドレスを格納する承認リスト記憶部に存在するか否かを確認して、存在しない場合に前記ARPパケットの送信元を前記不許可装置として検出し、この不許可装置のIPアドレスとMACアドレスを、前記ネットワークへの接続を許可されていない情報処理装置のIPアドレスとMACアドレスを格納する不許可リスト記憶部に登録して、かつ、当該不許可リスト記憶部に登録されている全ての不許可装置について、それぞれの不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットをブロードキャストする不正接続防止装置を有する
    ことを特徴とする不正接続防止システム。
  7. ネットワークへの接続を許可されていない不許可装置が、当該ネットワークにおける一又は二以上の情報処理装置へ接続することを防止する不正接続防止装置であって、
    前記ネットワークへの接続を許可された情報処理装置のMACアドレスを格納する承認リスト記憶部と、
    前記ネットワーク上で通信される全てのパケットを無差別受信モードで収集するパケット収集部と、
    前記収集したパケットに含まれる送信元のMACアドレスが、前記承認リスト記憶部に存在するか否かを確認し、存在しない場合に前記パケットの送信元を前記不許可装置として検出する接続可否判定部と、
    前記不許可装置によりブロードキャストされたARPリクエストに対して、前記情報処理装置から正しいARP応答パケットが前記不許可装置へ送信された後に、前記情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを前記不許可装置へ送信する偽りのパケット送信部と、を有する
    ことを特徴とする不正接続防止装置。
  8. 前記偽りのパケット送信部が、
    前記不正接続防止装置による前記ARPリクエストの受信時に、所定の指定時間を設定し、
    前記指定時間の経過前後にかかわらず、前記情報処理装置から前記不許可装置へ前記正しいARP応答パケットが送信された場合、前記不正接続防止装置による当該正しいARP応答パケットの受信直後に、前記偽りのMACアドレスを有するARP応答パケットを前記不許可装置へ送信し、
    前記指定時間の経過時までに、前記正しいARP応答パケットの受信がなかった場合、前記指定時間の経過時に、前記偽りのMACアドレスを有するARP応答パケットを前記不許可装置へ送信する
    ことを特徴とする請求項7記載の不正接続防止装置。
  9. 前記偽りのパケット送信部が、
    前記不許可装置に対して、前記情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するとともに、
    前記情報処理装置に対して、前記不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信する
    ことを特徴とする請求項7又は8記載の不正接続防止装置。
  10. 前記偽りのパケット送信部が、
    前記不許可装置に対して、前記情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するとともに、
    前記情報処理装置と同一のサブネット上に存在する全ての情報処理装置に対して、前記不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信する
    ことを特徴とする請求項7又は8記載の不正接続防止装置。
  11. 前記不正接続防止装置が、ネットワークに接続されている中継装置のMACアドレスを格納する中継装置リスト記憶部と、前記パケットに含まれる前記不許可装置が接続しようとしている情報処理装置のIPアドレスにもとづいて、前記不許可装置が、前記ネットワークに存在する情報処理装置と接続しようとしているか、又は、外部ネットワークに存在する外部情報処理装置と接続しようとしているかを判断するネットワーク判定部とを有し、
    前記偽りのパケット送信部が、
    前記不許可装置が外部ネットワークに存在する外部情報処理装置と接続しようとしている場合、
    前記不許可装置に対して、前記中継装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信するとともに、
    前記中継装置リスト記憶部にMACアドレスが格納されている全ての中継装置に対して、前記不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを送信する
    ことを特徴とする請求項7〜10のいずれかに記載の不正接続防止装置。
  12. ネットワークへの接続を許可されていない不許可装置が、当該ネットワークにおける一又は二以上の情報処理装置へ接続することを防止する不正接続防止装置であって、
    前記ネットワークへの接続を許可された情報処理装置のMACアドレスを格納する承認リスト記憶部と、
    前記ネットワークへの接続を許可されていない情報処理装置のIPアドレスとMACアドレスを格納する不許可リスト記憶部と、
    前記ネットワーク上で通信される全てのパケットを無差別受信モードで収集するパケット収集部と、
    前記収集したパケットがARPパケットであるかどうかを判断し、ARPパケットである場合、当該ARPパケットに含まれる送信元のMACアドレスが、前記承認リスト記憶部に存在するか否かを確認し、存在しない場合、前記パケットの送信元を前記不許可装置として検出し、この不許可装置のIPアドレスとMACアドレスを、前記不許可リスト記憶部に登録する接続可否判定部と、
    前記不許可リスト記憶部に登録されている全ての不許可装置について、それぞれの不許可装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットをブロードキャストする偽りのパケット送信部と、を有する
    ことを特徴とする不正接続防止装置。
JP2003305246A 2003-08-28 2003-08-28 ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 Expired - Lifetime JP4174392B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2003305246A JP4174392B2 (ja) 2003-08-28 2003-08-28 ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
US10/927,128 US7552478B2 (en) 2003-08-28 2004-08-27 Network unauthorized access preventing system and network unauthorized access preventing apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003305246A JP4174392B2 (ja) 2003-08-28 2003-08-28 ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置

Publications (2)

Publication Number Publication Date
JP2005079706A JP2005079706A (ja) 2005-03-24
JP4174392B2 true JP4174392B2 (ja) 2008-10-29

Family

ID=34214050

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003305246A Expired - Lifetime JP4174392B2 (ja) 2003-08-28 2003-08-28 ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置

Country Status (2)

Country Link
US (1) US7552478B2 (ja)
JP (1) JP4174392B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019041176A (ja) * 2017-08-23 2019-03-14 株式会社ソフトクリエイト 不正接続遮断装置及び不正接続遮断方法

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100432675B1 (ko) * 2003-09-19 2004-05-27 주식회사 아이앤아이맥스 네트워크상의 장비들 간의 통신제어방법 및 이를 위한 장치
WO2005032042A1 (en) 2003-09-24 2005-04-07 Infoexpress, Inc. Systems and methods of controlling network access
US7002943B2 (en) * 2003-12-08 2006-02-21 Airtight Networks, Inc. Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices
US7536723B1 (en) 2004-02-11 2009-05-19 Airtight Networks, Inc. Automated method and system for monitoring local area computer networks for unauthorized wireless access
US7440434B2 (en) * 2004-02-11 2008-10-21 Airtight Networks, Inc. Method and system for detecting wireless access devices operably coupled to computer local area networks and related methods
US7796614B1 (en) * 2004-11-30 2010-09-14 Symantec Corporation Systems and methods for message proxying
JP4947913B2 (ja) * 2005-04-05 2012-06-06 キヤノン株式会社 通信装置及びその通信制御方法
KR100528171B1 (ko) * 2005-04-06 2005-11-15 스콥정보통신 주식회사 네트워크 상에서 특정 아이피 주소 또는 특정 장비를보호/차단하기 위한 아이피 관리 방법 및 장치
US7860006B1 (en) * 2005-04-27 2010-12-28 Extreme Networks, Inc. Integrated methods of performing network switch functions
US7590733B2 (en) 2005-09-14 2009-09-15 Infoexpress, Inc. Dynamic address assignment for access control on DHCP networks
US7333481B1 (en) * 2005-10-11 2008-02-19 Airtight Networks, Inc. Method and system for disrupting undesirable wireless communication of devices in computer networks
US7710933B1 (en) 2005-12-08 2010-05-04 Airtight Networks, Inc. Method and system for classification of wireless devices in local area computer networks
JP2007174287A (ja) * 2005-12-22 2007-07-05 Nec Corp 無線パケット通信システム、無線パケット基地局、無線パケット端末及び不正通信の排除方法
US8255996B2 (en) 2005-12-30 2012-08-28 Extreme Networks, Inc. Network threat detection and mitigation
US20070192500A1 (en) * 2006-02-16 2007-08-16 Infoexpress, Inc. Network access control including dynamic policy enforcement point
US20070192858A1 (en) * 2006-02-16 2007-08-16 Infoexpress, Inc. Peer based network access control
US7818790B1 (en) * 2006-03-17 2010-10-19 Erf Wireless, Inc. Router for use in a monitored network
US8107396B1 (en) * 2006-07-24 2012-01-31 Cisco Technology, Inc. Host tracking in a layer 2 IP ethernet network
CN103458061A (zh) * 2006-12-12 2013-12-18 迈克菲爱尔兰控股有限公司 用于限制ip网络的广播域中节点通信的方法和系统
JP4899973B2 (ja) * 2007-03-27 2012-03-21 パナソニック電工株式会社 通信セキュリティシステム及び通信セキュリティ装置
JP2008244765A (ja) * 2007-03-27 2008-10-09 Toshiba Corp 動的ホスト構成プロトコルサーバ及びipアドレス割り当て方法
US8295188B2 (en) * 2007-03-30 2012-10-23 Extreme Networks, Inc. VoIP security
JP2008278134A (ja) * 2007-04-27 2008-11-13 Chuden Cti Co Ltd ネットワーク制御装置、ネットワーク制御方法及びコンピュータプログラム
JP2008278193A (ja) * 2007-04-27 2008-11-13 Sumitomo Electric System Solutions Co Ltd 検疫制御装置、検疫制御コンピュータプログラム、検疫方法、検疫対象端末装置、エージェントコンピュータプログラム、検査方法、コンピュータプログラムセット、及びパケットデータ構造
CN101321054B (zh) * 2007-06-08 2011-02-09 华为技术有限公司 自动防止网络侧媒体接入控制地址被仿冒的方法及其装置
JP5164450B2 (ja) * 2007-06-28 2013-03-21 キヤノン株式会社 通信装置及びその制御方法とプログラム
JP4777461B2 (ja) 2007-09-07 2011-09-21 株式会社サイバー・ソリューションズ ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム
US7991877B2 (en) * 2007-10-05 2011-08-02 International Business Machines Corporation Rogue router hunter
US7970894B1 (en) 2007-11-15 2011-06-28 Airtight Networks, Inc. Method and system for monitoring of wireless devices in local area computer networks
CN101170515B (zh) * 2007-12-04 2010-10-13 华为技术有限公司 一种处理报文的方法、系统和网关设备
JP5413940B2 (ja) * 2008-02-26 2014-02-12 日本電気株式会社 シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体
US8578488B2 (en) * 2008-10-10 2013-11-05 Plustech Inc. Method for neutralizing the ARP spoofing attack by using counterfeit MAC addresses
JP5163984B2 (ja) * 2008-11-11 2013-03-13 住友電工システムソリューション株式会社 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラム、及び誤学習処理方法
JP4672780B2 (ja) * 2009-03-18 2011-04-20 株式会社東芝 ネットワーク監視装置及びネットワーク監視方法
CN102812431A (zh) 2010-03-22 2012-12-05 Lrdc系统有限公司 用于识别与保护一组源数据的完整性的方法
WO2012014509A1 (ja) 2010-07-30 2012-02-02 株式会社サイバー・ソリューションズ 不正アクセス遮断制御方法
TWI483122B (zh) * 2013-03-11 2015-05-01 Hon Hai Prec Ind Co Ltd 網路裝置探尋系統及方法
JP6138714B2 (ja) * 2014-03-03 2017-05-31 アラクサラネットワークス株式会社 通信装置および通信装置における通信制御方法
TWI506472B (zh) * 2014-03-12 2015-11-01 Hon Hai Prec Ind Co Ltd 網路設備及其防止位址解析協定報文攻擊的方法
JP6628120B2 (ja) * 2014-09-30 2020-01-08 パナソニックIpマネジメント株式会社 通信監視装置及び通信監視システム
CN107431971A (zh) * 2015-03-27 2017-12-01 泛网安全株式会社 无线入侵防御系统传感器及利用该传感器断开终端的方法
US9756930B2 (en) 2015-04-28 2017-09-12 Axon Enterprise, Inc. Methods and apparatus for a low-profile coupler
JP6134954B1 (ja) * 2016-01-14 2017-05-31 株式会社Pfu ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム
US10080047B1 (en) * 2017-05-05 2018-09-18 Wayne D. Lonstein Methods for identifying, disrupting and monetizing the illegal sharing and viewing of digital and analog streaming content
JP7444600B2 (ja) 2019-12-25 2024-03-06 アズビル株式会社 検出装置および検出方法
US11350174B1 (en) * 2020-08-21 2022-05-31 At&T Intellectual Property I, L.P. Method and apparatus to monitor account credential sharing in communication services
TWI821633B (zh) * 2021-01-22 2023-11-11 飛泓科技股份有限公司 網路終端設備隔離認證方法
CN113347198B (zh) * 2021-06-23 2022-07-08 深圳壹账通智能科技有限公司 Arp报文处理方法、装置、网络设备及存储介质
US11963089B1 (en) 2021-10-01 2024-04-16 Warner Media, Llc Method and apparatus to profile account credential sharing
KR102628441B1 (ko) * 2023-07-17 2024-01-23 스콥정보통신 주식회사 네트워크 보호 장치 및 그 방법

Family Cites Families (84)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5757924A (en) * 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
JPH09275418A (ja) * 1996-04-05 1997-10-21 Hitachi Ltd ネットワーク接続装置
KR100198382B1 (ko) * 1996-05-07 1999-06-15 윤종용 멀티-부팅 기능을 갖는 컴퓨터 장치
JP2982727B2 (ja) * 1996-08-15 1999-11-29 日本電気株式会社 認証方法
US6014767A (en) * 1996-09-04 2000-01-11 International Business Machines Corporation Method and apparatus for a simple calculation of CRC-10
JP3731263B2 (ja) * 1996-09-11 2006-01-05 ソニー株式会社 通信方法及び電子機器
US6072942A (en) * 1996-09-18 2000-06-06 Secure Computing Corporation System and method of electronic mail filtering using interconnected nodes
US6167520A (en) * 1996-11-08 2000-12-26 Finjan Software, Inc. System and method for protecting a client during runtime from hostile downloadables
US6115376A (en) * 1996-12-13 2000-09-05 3Com Corporation Medium access control address authentication
US5905859A (en) * 1997-01-09 1999-05-18 International Business Machines Corporation Managed network device security method and apparatus
US6263444B1 (en) * 1997-03-11 2001-07-17 National Aerospace Laboratory Of Science & Technology Agency Network unauthorized access analysis method, network unauthorized access analysis apparatus utilizing the method, and computer-readable recording medium having network unauthorized access analysis program recorded thereon
US5974549A (en) * 1997-03-27 1999-10-26 Soliton Ltd. Security monitor
US6298351B1 (en) * 1997-04-11 2001-10-02 International Business Machines Corporation Modifying an unreliable training set for supervised classification
US6048090A (en) * 1997-04-23 2000-04-11 Cirrus Logic, Inc. Error correction and concurrent verification of a product code
US5974546A (en) * 1997-05-08 1999-10-26 Micron Electronics, Inc. Apparatus and method to determine cause of failed boot sequence to improve likelihood of successful subsequent boot attempt
US6000032A (en) * 1997-07-15 1999-12-07 Symantec Corporation Secure access to software modules
US6061788A (en) * 1997-10-02 2000-05-09 Siemens Information And Communication Networks, Inc. System and method for intelligent and reliable booting
US6094731A (en) * 1997-11-24 2000-07-25 Symantec Corporation Antivirus accelerator for computer networks
US6021510A (en) * 1997-11-24 2000-02-01 Symantec Corporation Antivirus accelerator
US6061739A (en) * 1997-11-26 2000-05-09 International Business Machines Corp. Network address assignment using physical address resolution protocols
WO1999032985A1 (en) * 1997-12-22 1999-07-01 Accepted Marketing, Inc. E-mail filter and method thereof
US6023723A (en) * 1997-12-22 2000-02-08 Accepted Marketing, Inc. Method and system for filtering unwanted junk e-mail utilizing a plurality of filtering mechanisms
US6052709A (en) * 1997-12-23 2000-04-18 Bright Light Technologies, Inc. Apparatus and method for controlling delivery of unsolicited electronic mail
US6088803A (en) * 1997-12-30 2000-07-11 Intel Corporation System for virus-checking network data during download to a client device
US6014744A (en) * 1998-01-13 2000-01-11 Microsoft Corporation State governing the performance of optional booting operations
US6324649B1 (en) * 1998-03-02 2001-11-27 Compaq Computer Corporation Modified license key entry for pre-installation of software
US6347310B1 (en) * 1998-05-11 2002-02-12 Torrent Systems, Inc. Computer system and process for training of analytical models using large data sets
US6253169B1 (en) * 1998-05-28 2001-06-26 International Business Machines Corporation Method for improvement accuracy of decision tree based text categorization
US6161130A (en) * 1998-06-23 2000-12-12 Microsoft Corporation Technique which utilizes a probabilistic classifier to detect "junk" e-mail by automatically updating a training and re-training the classifier based on the updated training set
US6493007B1 (en) * 1998-07-15 2002-12-10 Stephen Y. Pang Method and device for removing junk e-mail messages
US6167434A (en) * 1998-07-15 2000-12-26 Pang; Stephen Y. Computer code for removing junk e-mail messages
US6151331A (en) * 1998-09-23 2000-11-21 Crossroads Systems, Inc. System and method for providing a proxy FARP for legacy storage devices
US6199112B1 (en) * 1998-09-23 2001-03-06 Crossroads Systems, Inc. System and method for resolving fibre channel device addresses on a network using the device's fully qualified domain name
US6640251B1 (en) * 1999-03-12 2003-10-28 Nortel Networks Limited Multicast-enabled address resolution protocol (ME-ARP)
US6397200B1 (en) * 1999-03-18 2002-05-28 The United States Of America As Represented By The Secretary Of The Navy Data reduction system for improving classifier performance
US6505167B1 (en) * 1999-04-20 2003-01-07 Microsoft Corp. Systems and methods for directing automated services for messaging and scheduling
US6370526B1 (en) * 1999-05-18 2002-04-09 International Business Machines Corporation Self-adaptive method and system for providing a user-preferred ranking order of object sets
US20020038308A1 (en) * 1999-05-27 2002-03-28 Michael Cappi System and method for creating a virtual data warehouse
US6502082B1 (en) * 1999-06-01 2002-12-31 Microsoft Corp Modality fusion for object tracking with training system and method
US7366702B2 (en) * 1999-07-30 2008-04-29 Ipass Inc. System and method for secure network purchasing
US6442606B1 (en) * 1999-08-12 2002-08-27 Inktomi Corporation Method and apparatus for identifying spoof documents
US6456991B1 (en) * 1999-09-01 2002-09-24 Hrl Laboratories, Llc Classification method and apparatus based on boosting and pruning of multiple classifiers
JP3570310B2 (ja) * 1999-10-05 2004-09-29 日本電気株式会社 無線lanシステムにおける認証方法と認証装置
US6424960B1 (en) * 1999-10-14 2002-07-23 The Salk Institute For Biological Studies Unsupervised adaptation and classification of multiple classes and sources in blind signal separation
US6397215B1 (en) * 1999-10-29 2002-05-28 International Business Machines Corporation Method and system for automatic comparison of text classifications
US6771649B1 (en) * 1999-12-06 2004-08-03 At&T Corp. Middle approach to asynchronous and backward-compatible detection and prevention of ARP cache poisoning
AU2262601A (en) * 1999-12-21 2001-07-03 Tivo, Inc. Intelligent system and methods of recommending media content items based on userpreferences
US6608817B1 (en) * 1999-12-28 2003-08-19 Networks Associates Technology, Inc. Method and apparatus for connection-oriented multiplexing and switching network analysis, management, and troubleshooting
US6295276B1 (en) * 1999-12-31 2001-09-25 Ragula Systems Combining routers to increase concurrency and redundancy in external network access
CA2333495A1 (en) * 2000-01-31 2001-07-31 Telecommunications Research Laboratory Internet protocol-based computer network service
US20020087649A1 (en) * 2000-03-16 2002-07-04 Horvitz Eric J. Bounded-deferral policies for reducing the disruptiveness of notifications
US7058976B1 (en) * 2000-05-17 2006-06-06 Deep Nines, Inc. Intelligent feedback loop process control system
IL144100A (en) * 2000-07-06 2006-08-01 Samsung Electronics Co Ltd A method based on MAC address in communication restriction
US6618717B1 (en) * 2000-07-31 2003-09-09 Eliyon Technologies Corporation Computer method and apparatus for determining content owner of a website
JP2002073433A (ja) 2000-08-28 2002-03-12 Mitsubishi Electric Corp 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法
US20040039921A1 (en) * 2000-10-17 2004-02-26 Shyne-Song Chuang Method and system for detecting rogue software
US6957276B1 (en) * 2000-10-23 2005-10-18 Microsoft Corporation System and method of assigning and reclaiming static addresses through the dynamic host configuration protocol
US20020133586A1 (en) * 2001-01-16 2002-09-19 Carter Shanklin Method and device for monitoring data traffic and preventing unauthorized access to a network
US7260648B2 (en) * 2001-01-25 2007-08-21 Ericsson, Inc. Extension of address resolution protocol (ARP) for internet protocol (IP) virtual networks
US20020147694A1 (en) * 2001-01-31 2002-10-10 Dempsey Derek M. Retraining trainable data classifiers
US20020178375A1 (en) * 2001-01-31 2002-11-28 Harris Corporation Method and system for protecting against malicious mobile code
US7058059B1 (en) * 2001-02-20 2006-06-06 At&T Corp. Layer-2 IP networking method and apparatus for mobile hosts
US8949878B2 (en) * 2001-03-30 2015-02-03 Funai Electric Co., Ltd. System for parental control in video programs based on multimedia content information
JP2002354080A (ja) 2001-05-25 2002-12-06 Matsushita Electric Ind Co Ltd 電話機
US7194625B2 (en) * 2001-06-19 2007-03-20 Intel Corporation Method and apparatus for authenticating registry information
US7360245B1 (en) * 2001-07-18 2008-04-15 Novell, Inc. Method and system for filtering spoofed packets in a network
JP2003060662A (ja) * 2001-08-21 2003-02-28 Sony Corp 通信装置及び通信方法、並びにプログラム及び記録媒体
US20030033587A1 (en) * 2001-09-05 2003-02-13 Bruce Ferguson System and method for on-line training of a non-linear model for use in electronic commerce
JP2003099339A (ja) 2001-09-25 2003-04-04 Toshiba Corp 侵入検知・防御装置及びプログラム
US20030115479A1 (en) * 2001-12-14 2003-06-19 Jonathan Edwards Method and system for detecting computer malwares by scan of process memory after process initialization
US20030115458A1 (en) * 2001-12-19 2003-06-19 Dongho Song Invisable file technology for recovering or protecting a computer file system
US7320070B2 (en) * 2002-01-08 2008-01-15 Verizon Services Corp. Methods and apparatus for protecting against IP address assignments based on a false MAC address
JP2003204345A (ja) * 2002-01-08 2003-07-18 Nec Corp 通信システム、パケット中継装置、パケット中継方法、及び中継プログラム
US7072337B1 (en) * 2002-01-25 2006-07-04 3Com Corporation System and method for resolving network addresses for network devices on distributed network subnets
US6745333B1 (en) * 2002-01-31 2004-06-01 3Com Corporation Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself
US7965842B2 (en) * 2002-06-28 2011-06-21 Wavelink Corporation System and method for detecting unauthorized wireless access points
US7346057B2 (en) * 2002-07-31 2008-03-18 Cisco Technology, Inc. Method and apparatus for inter-layer binding inspection to prevent spoofing
US7448076B2 (en) * 2002-09-11 2008-11-04 Mirage Networks, Inc. Peer connected device for protecting access to local area networks
US7124197B2 (en) * 2002-09-11 2006-10-17 Mirage Networks, Inc. Security apparatus and method for local area networks
US7234163B1 (en) * 2002-09-16 2007-06-19 Cisco Technology, Inc. Method and apparatus for preventing spoofing of network addresses
US20040078471A1 (en) * 2002-10-18 2004-04-22 Collatus Corporation, A Delaware Corportion Apparatus, method, and computer program product for building virtual networks
US7536723B1 (en) * 2004-02-11 2009-05-19 Airtight Networks, Inc. Automated method and system for monitoring local area computer networks for unauthorized wireless access
JP4947913B2 (ja) * 2005-04-05 2012-06-06 キヤノン株式会社 通信装置及びその通信制御方法
FI20060266A0 (fi) * 2006-03-21 2006-03-21 Nokia Corp Osoitteenselvittämismenetelmä tietoliikennejärjestelmässä

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019041176A (ja) * 2017-08-23 2019-03-14 株式会社ソフトクリエイト 不正接続遮断装置及び不正接続遮断方法

Also Published As

Publication number Publication date
US7552478B2 (en) 2009-06-23
JP2005079706A (ja) 2005-03-24
US20050050365A1 (en) 2005-03-03

Similar Documents

Publication Publication Date Title
JP4174392B2 (ja) ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
US7725936B2 (en) Host-based network intrusion detection systems
US7207061B2 (en) State machine for accessing a stealth firewall
US7984493B2 (en) DNS based enforcement for confinement and detection of network malicious activities
KR101054705B1 (ko) 위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치
US7480933B2 (en) Method and apparatus for ensuring address information of a wireless terminal device in communications network
US20060288413A1 (en) Intrusion detection and prevention system
US20070294759A1 (en) Wireless network control and protection system
JP2003527793A (ja) ネットワークにおける、自動的な侵入検出及び偏向のための方法
JP2008177714A (ja) ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
US20030149891A1 (en) Method and device for providing network security by causing collisions
JP2000261483A (ja) ネットワーク監視システム
WO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
CN107360178A (zh) 一种使用白名单控制网络访问的方法
US9686311B2 (en) Interdicting undesired service
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
WO2005026872A2 (en) Internal lan perimeter security appliance composed of a pci card and complementary software
US20060225141A1 (en) Unauthorized access searching method and device
WO2013089395A1 (ko) 시그니쳐 기반 무선 침입차단시스템
CN114024752A (zh) 一种基于全网联动的网络安全防御方法、设备及系统
JP2011124774A (ja) ネットワーク監視装置、ネットワーク監視方法
KR100954348B1 (ko) 패킷 감시 시스템 및 그 방법
WO2009011659A1 (en) Protocol remapping method and method of detecting possible attacks on a network
JP2001244996A (ja) ネットワークのセキュリティ保護方法
CN116112260A (zh) 防火墙安全策略的处理方法、装置、设备以及介质

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060724

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060801

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060929

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20061114

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20061214

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070123

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20061220

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20080606

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080818

R150 Certificate of patent or registration of utility model

Ref document number: 4174392

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110822

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110822

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120822

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130822

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term