JP2000261483A - ネットワーク監視システム - Google Patents

ネットワーク監視システム

Info

Publication number
JP2000261483A
JP2000261483A JP6118599A JP6118599A JP2000261483A JP 2000261483 A JP2000261483 A JP 2000261483A JP 6118599 A JP6118599 A JP 6118599A JP 6118599 A JP6118599 A JP 6118599A JP 2000261483 A JP2000261483 A JP 2000261483A
Authority
JP
Japan
Prior art keywords
packet
network
server
router
internal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP6118599A
Other languages
English (en)
Other versions
JP3618245B2 (ja
Inventor
Manabu Idemoto
学 出本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP06118599A priority Critical patent/JP3618245B2/ja
Publication of JP2000261483A publication Critical patent/JP2000261483A/ja
Application granted granted Critical
Publication of JP3618245B2 publication Critical patent/JP3618245B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】 外部ネットワークから企業内情報ネットワー
クへの不正アクセスを検出し、不正パケットの送信元探
知を可能とするネットワーク監視システムを提供する。 【解決手段】 ルータ10を通過する外部ネットワーク
3からの流入パケットのトラフィックを監視し、不正ト
ラフィックを検出した時、上記ルータ装置宛に不正パケ
ットの識別情報を通知するトラフィック監視装置50
と、不正パケットの送信元に偽の応答をする偽装サーバ
20とを有し、上記ルータ10が、監視装置から通知さ
れた上記不正パケットの識別情報に基づいて、外部ネッ
トワークから流入する不正パケットを識別し、偽装サー
バに転送する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワーク監視
システムに関し、更に詳しくは、外部の通信ネットワー
クから企業内情報ネットワークへの不正アクセスに対処
するための監視システムに関する。
【0002】
【従来の技術】インターネット等の外部通信ネットワー
クと企業内ネットワークとを接続する場合、外部から企
業内情報システムへの不正侵入の防止手段として、ファ
イアウォール装置が知られている。ファイアウォール
は、外部ネットワークからアクセスできる外部バリア・
セグメントと、企業内情報ネットワークを構成する各種
のサーバおよびユーザ端末が接続される内部セグメント
との間に位置し、外部から到着する不正なパケットを識
別して、内部セグメントへの侵入を阻止する。
【0003】ファイアウォールの機能については、例え
ば、日経コミュニケーション、1996年7月1日、第
68頁〜第83頁に記載されているように、幾つかの方
式が知られており、例えば、TCP/IPレイヤでアク
セス制御するパケット・フィルタリング方式では、TC
P/IPパケットの送信元アドレスと、宛先アドレス
と、ポート番号とをチェックすることによって、パケッ
トを通過させるか否かを判断している。上記ポート番号
は、TCP/IPアプリケーション毎に予め決まった値
となっており、予め登録された番号以外のポート番号を
もったパケットは、ファイアウォールにおいて通過を拒
否される。
【0004】また、企業内情報システムに対する不正侵
入を監視するツールとして、例えば、日経オープンシス
テム、1998年8月(No.65)第130頁〜第132
頁には、ネットワーク上を流れるパケットのトラフィッ
クを監視し、予め用意されている不正アクセスに特徴的
なトラフィックパターン(攻撃パターン)と比較するこ
とによって、不審なトラフィックを検出する監視ツール
が記載されている。上記監視ツールによって不審なトラ
フィックが検知されると、例えば、アラートの表示、コ
ネクションの切断、重要ログ情報の保存等の措置がとら
れる。
【0005】
【発明が解決しようとする課題】企業内情報ネットワー
クへの侵入を図る不正ユーザが、外部ネットワークに接
続された中継サーバを介して、企業内情報ネットワーク
(以下、内部ネットワークと言う)をアクセスした場
合、内部ネットワークからは、上記中継サーバが不正パ
ケットの送信元(アクセス元)に見えるため、不正ユー
ザの操作する端末装置が隠蔽されてしまう。外部ネット
ワークから内部ネットワークへの不正侵入を検出した時
点で、もし、該当コネクションを直ちに切断した場合、
企業内情報の外部への漏洩やファイル情報の破壊等、そ
の後の被害を防止することができる。しかしながら、コ
ネクションの切断によって不正パケットが途絶した状況
下では、上記不正ユーザが操作する送信元端末の逆探知
が困難となる。逆に、上記不正アクセスの中継点を含む
パケットの侵入経路を逆探知できる迄、上記不正コネク
ションの切断を遅らせた場合は、外部に漏洩する情報量
が増え、不正アクセスによって情報ファイルが破壊され
る危険性が増大するという問題がある。
【0006】重要な企業内情報の漏洩を防止し、不正ア
クセスの記録を残すことによって、不正端末の特定作業
を支援するための従来技術の1つとして、例えば、特開
平09−266475号公報では、ネットワークに接続
された複数の端末装置の宛先アドレスを管理するアドレ
ステーブルを備え、ネットワーク端末からの宛先アドレ
ス問合せメッセージに応答して宛先アドレス通知メッセ
ージを回答するアドレス管理サーバ、例えば、DNS(D
omain Name System)や、ATM網のLECS(LAN Emu
lation Configuration Server)等のサーバに、問合わ
せメッセージの送信元を識別するための認証手段を設け
ておき、不正ユーザからの問合わせに対しては、上記ネ
ットワークに接続された侵入対策用端末のアドレスを通
知するようにしている。上記侵入対策用端末は、不正ユ
ーザがアクセスしたいデータファイルは持っていない
が、通信プロトコルの規定に従って不正ユーザと通信す
る機能と、不正ユーザからの受信パケットの内容を記録
するための機能を備えており、不正ユーザからの要求に
対して「該当情報なし」と回答しながら、不正ユーザと
の交信期間中に受信パケットの内容を記録し、要求元ア
ドレスの割り出しに必要な情報を収集するようになって
いる。
【0007】しかしながら、上記公開公報に示された従
来技術は、端末からの宛先アドレスに回答するDNSや
LECS等のサーバにおいて、受信メッセージの送信元
アドレスから不正な問合わせを検出するものであり、宛
先アドレスの問合わせを行うことなく企業内情報ネット
ワークに不正侵入を企てる端末ユーザに対しては有効で
はない。また、上記従来技術では、侵入対策用端末が、
不正ユーザからの情報要求に対して「該当情報なし」を
回答するのみであるから、不正ユーザが宛先装置に不審
を抱き、要求元の割り出しに必要な十分なデータを入手
する前に、あるいは送信元の逆探知に成功する前に、交
信が切断される可能性がある。
【0008】本発明の目的は、外部ネットワークから企
業内情報ネットワークへの不正侵入を検知し、企業内の
重要な情報を漏洩することなく、不正ユーザの逆探知に
必要な通信保持あるいはデータ収集が可能なネットワー
ク監視システムおよびネットワークシステムを提供する
ことにある。
【0009】
【課題を解決するための手段】上記課題を解決するため
に、本発明では、外部ネットワークから該外部ネットワ
ークにルータを介して接続された内部情報ネットワーク
への不正なアクセスを監視するネットワーク監視システ
ムにおいて、外部ネットワークから上記ルータを通過し
て流入するパケットのトラフィックを監視し、上記内部
情報ネットワークを不正にアクセスするパケットを検出
した時、上記ルータ装置宛に不正パケットの識別情報を
示す制御パケットを送信するトラフィック監視装置と、
受信パケットに応答して、該パケットの送信元に意図的
な情報を含む応答パケットを送信するサーバとを有し、
上記ルータが、監視装置から受信した上記制御パケット
に応答して、上記不正パケットの識別情報を記憶するた
めの手段を備え、上記外部ネットワークから流入する受
信パケットの中から上記識別情報に基づいて不正パケッ
トを識別し、上記サーバに転送することを特徴とする。
【0010】尚、ここで言う意図的な情報は、例えば、
擬似データファイルに予め用意された偽情報や、真の情
報処理結果を改変して得られた疑似情報の他に、外部に
漏洩しても問題のない真の情報をも含むものであって、
監視システム側で不正アクセスが検知済みであることを
ユーザに悟られることなく、不正ユーザとの交信を持続
するために意識的に提供される情報を意味している。本
明細書では、不正パケットの送信元に対して、真のサー
バに代わって、このような意図的な情報を含む応答パケ
ットを送信するサーバを擬似サーバと言う。
【0011】本発明の1つの実施形態では、上記ルータ
が、外部ネットワークに接続された第1インタフェース
回路と、内部情報ネットワークに接続された第2インタ
フェース回路と、偽装サーバに接続された第3インタフ
ェース回路とを有し、不正パケットを上記第3インタフ
ェース回路に送出することを特徴としている。上記第3
インタフェースを偽装サーバに専用のインタフェースと
すれば、ルータで受信パケットの宛先アドレスを書き替
えることなく、不正パケットを偽装サーバに供給でき
る。
【0012】上記内部情報ネットワークは、例えば、内
部情報サービス用の少なくとも1つのサーバを収容した
内部セグメントと、上記ルータに接続された外部バリア
・セグメントと、上記内部セグメントと上記外部バリア
・セグメントとの間に接続され、外部バリア・セグメン
トから内部セグメントへの流入パケットを制限するため
のファイアウォール装置とを備えた構成とする。内部情
報ネットワークが、このようにファイアウォール装置を
備えた構成となっている場合、上記外部バリア・セグメ
ントにトラフィック監視装置を接続し、上記ルータから
上記外部バリア・セグメントに出力されたパケットのト
ラフィックを監視させればよい。尚、本発明において、
上述した偽装サーバは、必ずしもルータに直結する必要
はなく、例えば、上記外部バリア・セグメントに接続し
てもよい。この場合、ルータにアドレス変換機能をもた
せ、不正パケットについては、宛先アドレスを上記偽装
サーバ宛のアドレスに変更した後、上記外部バリア・セ
グメントに送出する。
【0013】本発明の好ましい実施形態では、ネットワ
ーク監視システムが、上記偽装サーバに付随して、該偽
装サーバが受信する不正パケットの送信元を逆探知する
ための通信動作を行う送信元探知装置を備えるたことを
特徴とする。本発明によれば、不正ユーザからの要求に
応答して、偽装サーバが要求元に偽情報を送信するよう
になっているため、不正ユーザを欺き、偽装サーバと不
正ユーザとの間の交信を比較的長時間にわたって継続さ
せることが可能となる。従って、不正ユーザが偽装サー
バと交信中に、上記探知装置から不正パケットの中継経
路を逆方向に辿って、送信元の端末を逆探知することが
可能となる。また、偽装サーバと不正ユーザとが交信中
に、偽装サーバが受信した不正パケットの内容、あるい
は偽装サーバから不正ユーザに送信した応答パケットの
内容等、不正アクセスの証拠となるデータを保存してお
くことによって、これらの証拠データを不正ユーザの追
跡や新たな不正行為の予防に利用できる。上記証拠デー
タの保存機能は、上述した偽装サーバまたは探知装置に
持たせればよい。
【0014】本発明のネットワーク監視システムにおい
て、内部情報ネットワークと外部ネットワークとを接続
するルータは、例えば、不正パケットの識別情報と出力
回線との対応関係を記憶するためのフィルタリングテー
ブル手段と、受信パケットに含まれる宛先アドレスと出
力回線との対応関係を記憶するためのルーティンテーブ
ルと、上記監視装置から受信した制御パケットに応じて
上記フィルタリングテーブルの内容を更新するための手
段と、上記フィルタリングテーブルに基づいて、上記外
部ネットワークからの受信パケットが不正パケットか否
かを判定し、不正パケットは上記偽装サーバが接続され
た出力回線に転送し、正常パケットは上記ルーティング
テーブルに基づいてルーティング処理するための手段と
を備えることを特徴とする。
【0015】偽装サーバが、内部情報ネットワークの一
部を構成している場合、上記ルータで、各不正パケット
の宛先アドレスを上記偽装サーバ宛のアドレスに変換し
た後、上記内部情報ネットワークにが出力する必要があ
る。この場合、アドレス変換に必要な不正パケット識別
情報と偽装サーバアドレスとの対応関係は、上記フィル
タリングテーブル手段から得ることができる。
【0016】本発明において、上述した偽装サーバへの
不正パケットの転送機能は、上記ルータの代りに、ファ
イアウォール装置で行うようにしてもよい。ファイアウ
ォールは、特定のパケットのみを内部セグメントに転送
する一種のルータ機能を備えているため、トラフィック
監視装置で検出した不正パケットの識別情報をファイア
ウォールに通知すれば、その後に到着する不正パケット
をファイアウォールから偽装サーバに転送することも可
能である。この場合、ファイアウォールが備えるインタ
フェース回路の1つに偽装サーバを接続しておけば、宛
先アドレスを変換することなく、不正パケットを偽装サ
ーバに供給できる。
【0017】
【発明の実施の形態】以下、本発明の実施例を図面を参
照して説明する。図1は、本発明によるネットワーク監
視システムの1実施例を示すブロック図である。端末装
置1a〜1nと中継サーバ2a〜2bは外部ネットワー
ク3に接続され、企業内情報ネットワークの外部バリア
・セグメント31が、ルータ10を介して、上記外部ネ
ットワーク3に結合されている。また、上記ルータ10
には、信号線33を介して、後述する偽装サーバ20
と、不正パケットの送信元(アクセス元)探知装置40
とが接続されている。
【0018】上記外部バリア・セグメント31には、企
業内情報ネットワークの内部セグメント(企業内LA
N)32への不正侵入を防止するためのファイアウォー
ル装置5と、企業内情報ネットワークへの不正アクセス
を検知するための監視装置50と、例えばメールサーバ
のように、外部ネットワークのサーバと通信して情報を
蓄積するためのサーバ6が接続されている。また、上記
内部セグメント32には、各種の情報サービスを行うた
めの複数のサーバ7(7a〜7j)と、企業内ユーザが
操作する複数の端末装置8(8a〜8k)とが接続され
ている。
【0019】外部ネットワーク3からルータ10に到着
するIPパケットは、例えば、図2に示すように、TC
Pパケット320とIPヘッダ330とからなる。上記
TCPパケット320は、ユーザ情報が設定される可変
長の情報部300とTCPヘッダ部310とからなり、
TCPヘッダ部310は、送信元ポート番号311、宛
先ポート番号312、その他のヘッダ情報を含む。ま
た、IPヘッダ330は、送信元IPアドレス331、
宛先IPアドレス332、プロトコル識別子333、そ
の他のヘッダ情報を含んでいる。
【0020】図3は、ルータ10の構成を示す。ルータ
10は、外部ネットワーク3との間でパケットを送受信
するためのインタフェース回路11Aと、外部バリア・
セグメント31との間でパケットを送受信するためのイ
ンタフェース回路11Bと、偽装サーバ20とアクセス
元探知装置40が接続された信号線33との間でパケッ
トを送受信するためのインタフェース回路11Cと、こ
れらのインタフェース回路11(11A〜11C)に内
部バス30を介して結合され、インタフェース回路間の
パケット転送を制御するルーティング制御装置12とか
らなる。
【0021】上記ルーティング制御装置12は、マイク
ロプロセッサによって構成され、パケットアドレスと出
力回線(インタフェース回路)との関係を定義したルー
ティング・テーブル140とフィルタリング・テーブル
150とを記憶するためのメモリ14と、ルーティング
制御に必要な各種のプログラムを格納したプログラムメ
モリ15とを備えている。
【0022】上記プログラムメモリ15には、後述する
ように、監視装置50から受信した制御パケットに従っ
て、上記フィルタリングテーブル150を更新するため
のテーブル管理モジュール110と、上記ルーティング
テーブル140とフィルタリングテーブル150とを参
照して、各インタフェース11(11A〜11C)から
の受信パケットを他の何れかのインタフェースに転送す
るルーティングモジュール120とを備えている。
【0023】ファイアウォール装置5は、通過許容パケ
ットを識別するための定義情報を記憶したテーブルを備
えており、ルータ10によって外部バリア・セグメント
31に取り込まれた各IPパケットのヘッダ情報を上記
定義情報に基づいてチェックする。ファイアウォール装
置5は、例えば、使用プロトコル、送信元アドレス、ユ
ーザ等によって識別された特定のパケットについて、内
部セグメント32への通過を許容することによって、内
部セグメント32に結合されたサーバ7a〜7jへの不
正なアクセスを防止する。
【0024】上記ファイアウォール装置5を潜り抜け
て、企業内サーバ7a〜7jを不正にアクセスしようと
するユーザは、送信パケットのヘッダ情報から直接的に
送信元端末が発覚するのを避けるため、1つあるいは複
数の中継サーバを経由した形で、企業内情報システムの
サーバ7をアクセスする場合がある。例えば、端末装置
1aのユーザが、最終的に中継サーバ2aを経由して、
不正パケットを送信した場合、パケットの送信元アドレ
スは、上記最終的な中継サーバ2aのアドレスとなって
いる。不正ユーザは、もし、ファイアウォール5を潜り
抜けるためにパケットが備えるべき正しいヘッダ情報が
判らない場合、ヘッダ情報の一部、例えば、プロトコル
(サービス種類)を識別するための宛先ポート番号等を
順次に変更しながら、目的のサーバから何らかの応答が
あるまで、次々と不正パケットを送信する。
【0025】監視装置50は、不正アクセスを試みた場
合のパケットのトラフィックに現れる幾つかの特徴的な
パターン(攻撃パターン)を記憶したデータファイル5
3と、外部バリア・セグメント31に流れるパケットの
トラフィックを監視し、上記データファイルに登録され
た不正アクセスのパターンに類似した不正トラフィック
を検知するためのトラフィック監視機能51と、不正ト
ラフィックが検知された時、保守員に通知するために通
報装置54に警報メッセージを出力する通報制御機能5
2を備えている。本発明では、不正トラフィックを検知
した時、上記トラフィック監視機能51に、通報装置5
4の警報メッセージを出力すると共に、ルータ10に対
して、その後に到着する不正パケットを擬似サーバ20
宛に転送させるための制御パケットを通知させる。
【0026】上記監視装置50は、具体的には、外部バ
リア・セグメント31との間でパケットを送受信するた
めの通信インタフェースと、受信パケットから主要なヘ
ッダ情報を抽出するための回路と、予め用意されたプロ
グラムを実行するプロセッサとからなる。上述したトラ
フィック監視機能51は、受信パケットから抽出された
ヘッダ情報を解析し、同一送信元から送信された一連の
パケットについて、ヘッダ情報の時間的変化が示す特徴
パターンを抽出し、上記データファイル53に登録して
ある攻撃パターンと照合するためのデータ処理プログラ
ムによって実現される。
【0027】図4は、不正なトラフィック、すなわち、
不正パケットが検出された場合に監視装置50からルー
タ10宛に送信される制御パケット500のフォーマッ
トの1例を示す。上記制御パケット500は、パケット
ヘッダ510と、情報部520とからなる。パケットヘ
ッダ510は、図2に示したIPパケットのヘッダ33
0と同一のフォーマットを有し、送信元アドレス511
として監視装置50のアドレス、宛先アドレス512と
してルータ10のアドレスを含む。また、情報部520
は、ルータ10にパケット転送先の登録を指示するため
の制御命令フィールド521と、不正パケットの送信元
IPアドレスを示すフィールド522と、不正パケット
の現在の宛先IPアドレスを示すフィールド523と、
不正パケットの転送先IPアドレスを示すフィールド5
24とからなり、上記転送先フィールド524には偽装
サーバ20のアドレスが設定される。
【0028】図5は、ルータ10のルーティング・モジ
ュール120が参照するルーティングテーブル140の
構成の1例を示す。ルーティングテーブル140は、宛
先IPアドレスの特定のビット部分を抽出するためのマ
スクとなるビットパターンあるいは位置情報が設定され
るマスク141と、上記マスクによって抽出された部分
的な宛先IPアドレスが設定される宛先IPアドレス・
フィールド142と、受信パケットの送出先となる出力
回線あるいはインタフェース回路の識別子を示す出力回
線フィールド146とを有し、この他に必要に応じて、
次サーバやプロトコル情報等を示すためのフィールド1
48を含む。
【0029】図6は、フィルタリングテーブル150の
構成の1例を示す。フィルタリングテーブル150は、
送信元IPアドレス・フィールド151と、宛先IPア
ドレス・フィールド152と、転送先IPアドレス・フ
ィールド153と、出力回線フィールド154とからな
る。上記フィルタリングテーブル150は、監視装置5
0から転送先登録を指令する制御パケット500を受信
した時、ルータ10のテーブル管理モジュール110に
よって更新される。
【0030】図6に例示したエントリR100は、図4
に例示した制御パケット500の受信に応答して登録さ
れたものであり、フィールド151〜153の内容は、
上記制御パケット500の情報部にあるフィールド52
2〜524の内容と対応している。本実施例の場合、出
力回線フィールド154には、偽装サーバ20が接続さ
れたインタフェース回路11Cの識別子が設定される。
【0031】図7は、ルーチングモジュール120の機
能を示すプログラム・フローチャートを示す。上記ルー
チングモジュール120は、インタフェース回路11か
ら、制御パケット500以外の通常のIPパケットを受
信した時に起動され、先ず、受信パケットの送信元IP
アドレス331と宛先IPアドレス332とに基づい
て、フィルタリングテーブル150を検索する(ステッ
プ121)。検索の結果、送信元IPアドレス151と
宛先IPアドレス152との関係が上記受信パケットと
一致するエントリまたはレコードが見つかった場合は、
該当エントリの出力回線フィールド154が示すインタ
フェース回路に受信パケットを転送し(ステップ122
〜123)、このモジュールを終了する。本実施例の場
合、フィルタリングテーブル150に該当エントリをも
つ受信パケットは、偽装サーバ20に転送される。
【0032】上記受信パケットと対応するエントリがフ
ィルタリングテーブル150になかった場合は、受信パ
ケットの宛先IPアドレス332に基づいて、ルーティ
ングテーブル140を検索する(ステップ124)。こ
の場合、ルーティングテーブル140のマスクフィール
ド141が示すマスクパターンに従って、受信パケット
の宛先IPアドレス332をマスクし、得られた部分的
なアドレスビットがルーティングテーブル140の宛先
IPアドレス142と一致するエントリ(目的エント
リ)を探す。目的エントリが見つかった場合は、該エン
トリの出力回線フィールド146が示すインタフェース
回路に受信パケットを送信し(ステップ125〜12
6)、目的エントリが見つからなければ、受信パケット
を廃棄し(ステップ127)、このプログラムモジュー
ルを終了する。
【0033】図8は、偽装サーバ20の機能を示すプロ
グラム・フローチャートである。偽装サーバ20は、ル
ータ10からIPパケットを受信すると、受信パケット
の情報部300を解析し、受信パケットで使用している
アプリケーションの種類を識別する(ステップ20
1)。偽装サーバ20には、異なる複数種類のアプリケ
ーションソフトに対応できるように、予め複数種類の処
理ルーチン210(210A〜210N)が用意してあ
り、受信パケットは、それぞれが使用しているコマンド
体系と対応したアプリケーションの処理ルーチン210
に渡される(ステップ202A〜202N)。受信パケ
ットに対応したアプリケーションの処理ルーチンがなか
った場合は、その他用の処理ルーチン203で受信パケ
ットを処理する。この場合は、例えば、ユーザ要求を実
行できない旨を示す応答パケットが要求元に送信され
る。
【0034】上記アプリケーション別の処理ルーチン2
10は、基本的には、図9に示すように、受信パケット
の情報部に含まれるコマンドを解析するステップ211
と、ファイル名を解析して、使用ファイルを特定するス
テップ212と、コマンドを実行するステップ213
と、コマンドの実行結果を示す応答メッセージを作成し
て、要求元に送信するステップ214と、不正ユーザと
の交信内容をデータファイル21に記録するステップ2
15からなっている。
【0035】偽装サーバ20は、図1に示したように、
不正ユーザとの交信記録を保存するためのデータファイ
ル21と、不正ユーザを欺くために、ユーザからの要求
に応答して偽の情報処理結果を通知するために用意され
た擬似データファイル22と、擬似データがない場合に
企業内情報システムのサーバ7(7a〜7j)から取り
寄せた真のデータを格納するための新データファイル2
3とを備えており、企業内情報システムの各サーバ7が
使用しているファイル名と上記2つのデータファイル2
2、23の関係を、例えば、図10に示すファイルテー
ブル24によって管理している。尚、企業にとって外部
に漏洩しても影響のない機密性の低いデータファイルに
ついては、真のデータをそのまま擬似データとして上記
擬似データファイルに格納してもよい。
【0036】上記ファイルテーブル24は、サーバ7を
示す識別子241と対応して、ファイル名242と、デ
ィスク装置(データファイル22および23)における
ファイル名243と、データの真偽を示す属性情報24
4との関係を示している。上述したアプリケーション別
の処理ルーチン210におけるファイル解析ステップ2
12では、上記ファイルテーブル24を参照することに
よって、各受信パケットに含まれるファイル名242と
対応した擬似データファイル22内の偽ファイルを特定
する。また、コマンド実行ステップ213では、上記偽
ファイルに対してコマンドを実行する。
【0037】もし、偽ファイルが用意されていない場合
は、サーバ識別子241が示す企業内サーバ7のデータ
ファイル71(71a〜71j)から、必要なデータを
データファイル23に転送した後、コマンドを実行す
る。この場合、得られた実行結果を所定のアルゴリズム
で偽の実行結果に変換してから要求元に送信することに
よって、機密の漏洩を防止する。尚、真のデータを使用
せざるを得ないコマンドの実行は、企業内サーバ7で行
うようにしてもよい。この場合、例えば、偽装サーバ2
0が、送信元IPアドレスを偽装サーバ20のアドレス
に一旦置換えた形で不正パケットを目的の企業内サーバ
7に転送することによって、上記サーバ7が偽装サーバ
20宛に応答パケットを送信するようにしておき、上記
応答パケットが示す真のコマンド実行結果を偽装サーバ
20で偽情報に変換した後、不正ユーザに送信するよう
にすればよい。
【0038】上記実施例では、企業内情報ネットワーク
への不正なアクセスを監視装置50で検知し、その後に
到着する不正パケットを偽装サーバ20に転送すること
によって、偽装サーバ20から尤らしい情報、実は偽の
情報を不正ユーザに応答するようにしている。上記構成
によれば、不正ユーザは、アクセス先から一見、尤らし
い情報を受信できるため、アクセスに成功したものと判
断して、その後も新たな要求パケットを次々と送信する
ことになる。従って、偽装サーバ20からの応答動作に
よって、不正ユーザとの交信時間を引き延ばし、その間
の交信記録をデータファイル21に残すことができる。
【0039】図1に示した構成によれば、信号線33を
介して偽装サーバ20に転送される不正ユーザからの送
信パケットは、偽装サーバに付随して上記信号線33に
結合されたアクセス元探知装置40で受信することがで
きる。従って、偽装サーバ20が不正ユーザとの交信を
引き延ばしている間に、探知装置40が、不正パケット
の送信元アドレスで特定される中継サーバXに警報メッ
セージを送信し、中継サーバXが、不正パケットの上流
側に位置した更に他の中継サーバに警報メッセージを送
信する形式で、上記不正パケットの送信元端末を逆探知
することが可能となる。
【0040】図1に示した実施例では、不正ユーザとの
交信記録を偽装サーバ20のデータファイル21に残す
ようにしているが、不正ユーザと偽装サーバとの間の交
信記録を探知装置40によって記憶するようにしてもよ
い。この場合、探知装置自身が行う不正ユーザの逆探知
プロセス、または追跡結果を上記交信記録と共に残すこ
とができるため、不正アクセスの証拠資料として利用し
やすくなる。
【0041】また、上記実施例では、偽装サーバ20と
アクセス探知装置40を信号線33を介してルータ10
のインタフェース回路11Cに接続した構成となってい
るが、上記偽装サーバ20とアクセス探知装置40を外
部バリア・セグメント31に接続してもよい。この場合
は、図6に示したフィルタリングテーブル150の出力
回線フィールド154に、上記外部バリア・セグメント
31が接続されるインタフェース回路11Bの識別子を
設定しておき、図7に示したルーティングモジュール1
20のフローチャートにおいて、ステップ123で、受
信パケットの宛先IPアドレスを偽装サーバのアドレス
に変換した後、パケット転送するようにすればよい。偽
装サーバのアドレスは、ステップ121でフィルタリン
グテーブル150から検索した目的エントリの転送先I
Pアドレス・フィールド153から得られる。
【0042】次に、図11〜図14を参照して本発明の
第2実施例について説明する。第2実施例では、ルーテ
ィング・テーブル140を参照して、受信パケットの送
信元アドレスもチェックすることによって、ルータ10
に、或る程度のファイアウォール機能をもたせたことを
特徴としている。
【0043】図11は、本実施例におけるルーティング
テーブル140の1例を示す。ルーティングテーブル1
40の各エントリは、送信元のIPアドレスをマスクす
るためのマスクパターンを示すフィールド141と、上
記マスクパターンでマスクされた部分的な送信元IPア
ドレスを示すフィールド142と、受信パケットの入力
回線(インタフェース回路)の識別子を示すフィールド
143と、宛先IPアドレスをマスクするためのマスク
パターンを示すフィールド144と、上記マスクパター
ンでマスクされた部分的な宛先IPアドレスを示すフィ
ールド145と、受信パケットの出力回線(インタフェ
ース回路)の識別子を示すフィールド146と、属性フ
ィールド147と、必要に応じてプロトコル等の他の項
目データが設定されるフィールド148とからなる。
【0044】上記属性フィールド147は、そのエント
リで定義された送信元と宛先との関係を満たす受信パケ
ットについての処理区分を示しており、本実施例では、
出力回線フィールド146で指定された出力回線への受
信パケットの中継を“許可”するか、“禁止”するか、
または、フィルタリングテーブル150が指定する出力
回線に“転送”すべきかを示す区分コードが設定され
る。
【0045】図12は、上記第2実施例で使用されるフ
ィルタリングテーブル150の1例を示す。本実施例で
は、フィルタリングテーブル150の各エントリは、上
記ルーティングテーブルのフィールド141〜145と
同様の、送信元および宛先情報を示すためのフィールド
161〜165と、転送先のIPアドレスを示すフィー
ルド166と、出力回線識別子を示すフィールド167
とからなっている。上記転送先フィールド166には、
偽装サーバ20のIPアドレスが設定され、出力回線フ
ィールド167には、上記偽装サーバ20が接続された
インタフェース回路11Cの識別子が設定される。
【0046】図13は、本実施例において、監視装置5
0から図4に示す制御パケット500を受信した場合に
ルータ10が実行するテーブル管理モジュール110の
プログラムフローチャートを示す。先ず、ルーチングテ
ーブル140を検索し(ステップ111)、制御パケッ
ト500の情報部520に含まれる送信元IPアドレス
522と宛先IPアドレス523との関係を定義したエ
ントリ(目的エントリ)が登録済みか否かを判定する
(ステップ112)。もし、目的エントリが既に登録済
みの場合は、属性フィールド147が“転送”となてい
るか否かを判定し(ステップ113)、既に“転送”と
なっていた場合は、このルーチンを終了する。
【0047】目的エントリの属性フィールドが“転送”
以外の場合は、その内容を“転送”を示すコードに変更
(ステップ114)した後、フィルタリングテーブル1
50に、上記目的エントリと対応する新たなエントリを
追加登録し(ステップ116)、このルーチンを終了す
る。ルーティングテーブル140に目的エントリが無か
った場合は、受信した制御パケット500に従って新た
なエントリを生成し、これをルーティングテーブルに追
加登録(ステップ115)した後、ステップ116を実
行する。例えば、図4に示した内容の制御パケット50
0を受信した時点で、ルーティングテーブル140に
は、図11に例示するように、送信元サーバXと宛先サ
ーバYに関して、それぞれのセグメント間の関係を定義
したエントリR201のみが登録されていた場合、これ
らのサーバのIPアドレスの関係を定義した新たなエン
トリR202を生成し、これをテーブルサーチにおいて
上記エントリR201よりも優先する位置に登録する。
【0048】上記新たなエントリR202の入力回線フ
ィールド143には、外部ネットワークと接続されたイ
ンタフェース回路11Aの識別子が設定され、出力回線
フィールド146には初期値または無効データ、属性フ
ィールド147には“転送”を示すコードが設定され
る。また、上記新たなエントリR202の送信元IPア
ドレスフィールド142および宛先IPアドレスフィー
ルド145には、制御パケット500の送信元IPアド
レスフィールド522および宛先IPアドレスフィール
ド523から得られたアドレスが設定され、それぞれと
対応するマスクフィールド141、144には、マスク
不要を示した状態となっている。
【0049】また、図12に例示するように、フィルタ
リングテーブル150には、サーバX、YのIPアドレ
スと、転送先アドレス(偽装サーバ20)と、出力回線
との関係を定義した新たなレコードR102が追加され
る。本実施例の場合、偽装サーバ20がルータ10のイ
ンタフェース回路11Cに接続されているため、出力回
線フィールド167には上記インタフェース回路11C
を示す識別子が設定される。
【0050】図14は、本実施例におけるルーチングモ
ジュール120の処理動作を示すプログラムフローチャ
ートを示す。インタフェース回路11からパケットを受
け取ると、入力回線(インタフェース回路)の識別子
と、受信パケットの送信元IPアドレス331と、宛先
IPアドレス332とに基づいて、ルーティングテーブ
ル140を検索する(ステップ131)。この場合、マ
スクパターンが指定されたエントリでは、上記送信元I
Pアドレス331と宛先IPアドレス332をマスクパ
ターンに従ってマスクした上で、受信パケットに該当す
るエントリ(目的エントリ)を検索する。
【0051】検索の結果を判定し(ステップ132)、
もし、目的エントリが見つからなければ無ければ、受信
パケットを廃棄(ステップ133)して、このルーチン
を終了する。目的エントリが見つかった場合、目的エン
トリの属性フィールド147を判定し、属性フィールド
が“廃棄”を示していた場合は(ステップ134)、パ
ケットを廃棄して(ステップ133)、このルーチンを
終了する。属性フィールドが“許可”を示していた場合
は(ステップ135)、出力回線フィールド146で指
定されたインタフェース回路に受信パケットを送出し
(ステップ136)、このルーチンを終了する。上記属
性フィールドが“転送”を示していた場合は、上記ルー
ティングテーブルの検索と同様に、フィルタリングテー
ブル150を検索し(ステップ137)、検索されたエ
ントリの出力回線フィールド167が示すインタフェー
ス回路に受信パケットを転送(ステップ138)した
後、このルーチンを終了する。
【0052】尚、偽装サーバ20とアクセス元検知装置
40を外部バリア・セグメント31に接続した場合は、
上記フィルタリングテーブル150の出力回線フィール
ド167にインタフェース回路11Bの識別子を設定し
ておき、上記ステップ138で、受信パケットの宛先I
Pアドレス332を転送先IPアドレスフィールド52
4が示す偽装サーバ20のアドレスに変換した後、出力
回線フィールド167が示す識別子に従って、インタフ
ェース回路11Bに受信パケットを送出すればよい。
【0053】ファイアウォール装置は、ルータに類似し
た受信パケット処理機能をもっているため、上述した偽
装サーバ20とアクセス元探知装置40を図1に示すフ
ァイアウォール装置5に接続し、監視装置50が送信し
た制御パケット500をファイアウォール5で受信し、
ファイアウォール5が、その後に到着する不正パケット
を偽装サーバ20に転送する構成としても良い。
【0054】
【発明の効果】以上の説明から明らかなように、本発明
では、外部ネットワークから企業内ネットワークに不正
にアクセスするパケットを不正アクセス・トラフィック
が示す特徴に基づいて検知し、不正パケットを偽装サー
バに転送し、偽装サーバから不正ユーザに意図的な情報
を応答することによって、不正ユーザと偽装サーバとの
間での交信を引き延ばすようにしている。従って、本発
明によれば、不正ユーザが偽装サーバと交信している間
に、不正パケットの経路を逆に辿って送信元を追跡し、
不正ユーザ端末を逆探知するのに必要な時間を得ること
ができ、不正アクセスの抑制に効果がある。
【図面の簡単な説明】
【図1】本発明のネットワーク監視システムの1実施例
をブロック構成図。
【図2】上記ネットワーク監視システムで使用されるパ
ケットフォーマットの1例を示す図。
【図3】図1に示したルータ10の詳細を示すブロック
図。
【図4】図1に示した監視装置50から送信される制御
パケットのフォーマットの1例を示す図。
【図5】ルータ10が備えるルーティングテーブル14
0の1実施例を示す図。
【図6】ルータ10が備えるフィルタリングテーブル1
50の1実施例を示す図。
【図7】ルータ10が備えるルーティングモジュールの
1実施例を示すプログラム・フローチャート。
【図8】図1に示した偽装サーバ20の機能を示すプロ
グラム・フローチャート。
【図9】図8における処理ルーチン210の詳細を示す
フローチャート。
【図10】上記偽装サーバ20が備えるファイルテーブ
ル24の1例を示す図。
【図11】ルータ10が使用するルーティングテーブル
140の他の実施例を示す図。
【図12】ルータ10が使用するフィルタリングテーブ
ル150の他の実施例を示す図。
【図13】ルータ10が備えるテーブル管理モジュール
110の他の実施例を示すプログラム・フローチャー
ト。
【図14】ルータ10が備えるルーティングモジュール
120の他の実施例を示すプログラム・フローチャー
ト。
【符号の説明】
1:外部の端末装置、2:中継サーバ、3:外部ネット
ワーク、5:ファイアウォール装置、7:サーバ、8:
内部の端末装置、10:ルータ、11:インタフェース
回路、12:ルーティング制御装置、20:偽装サー
バ、22:擬似データファイル、40:アクセス元探知
装置、50:ネットワーク監視装置、53:攻撃パター
ン記憶ファイル、110:テーブル管理モジュール、1
20:ルーティングモジュール、140:ルーティング
テーブル、150:フィルタリングテーブル、500:
制御パケット。
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 12/56

Claims (14)

    【特許請求の範囲】
  1. 【請求項1】外部ネットワークから、該外部ネットワー
    クにルータを介して接続された内部情報ネットワークへ
    の不正なアクセスを監視するネットワーク監視システム
    において、 外部ネットワークから上記ルータを通過して流入するパ
    ケットのトラフィックを監視し、上記内部情報ネットワ
    ークを不正にアクセスするパケットを検出した時、上記
    ルータ装置宛に不正パケットの識別情報を示す制御パケ
    ットを送信するトラフィック監視装置と、 受信パケットに応答して、該パケットの送信元に、意図
    的な情報を含む応答パケットを送信する偽装サーバとを
    有し、 上記ルータが、監視装置からの上記制御パケットの受信
    に応答して、上記不正パケットの識別情報を記憶するた
    めの手段を備え、上記外部ネットワークから受信された
    パケットの中から上記識別情報に基づいて不正パケット
    を識別し、上記偽装サーバに転送することを特徴とする
    ネットワーク監視システム。
  2. 【請求項2】前記ルータが、前記外部ネットワークに接
    続された第1インタフェース回路と、前記内部情報ネッ
    トワークに接続された第2インタフェース回路と、前記
    偽装サーバに接続された第3のインタフェース回路とを
    有し、前記不正パケットを上記第3インタフェース回路
    に送出することを特徴とする請求項1に記載のネットワ
    ーク監視システム。
  3. 【請求項3】前記内部情報ネットワークが、内部情報サ
    ービス用の少なくとも1つのサーバを収容した内部セグ
    メントと、前記ルータに接続された外部バリア・セグメ
    ントと、上記内部セグメントと上記外部バリア・セグメ
    ントとの間に接続され、上記外部バリア・セグメントか
    ら上記内部セグメントへの流入パケットを制限するため
    のファイアウォール装置とからなり、 前記トラフィック監視装置が、上記外部バリア・セグメ
    ントに接続され、上記外部バリア・セグメント上を流れ
    るパケットのトラフィックを監視することを特徴とする
    請求項1に記載のネットワーク監視システム。
  4. 【請求項4】前記偽装サーバが、前記外部バリア・セグ
    メントに接続され、前記ルータが、前記不正パケットの
    宛先アドレスを上記偽装サーバを示すアドレスに変更し
    た後、上記外部バリア・セグメントに送出することを特
    徴とする請求項3に記載のネットワーク監視システム。
  5. 【請求項5】前記偽装サーバに付随して、該偽装サーバ
    が受信する不正パケットの送信元を逆探知するための通
    信動作を行う送信元探知装置を備えたことを特徴とする
    請求項1〜請求項4の何れかに記載のネットワーク監視
    システム。
  6. 【請求項6】外部ネットワークから、該外部ネットワー
    クにルータを介して接続された内部情報ネットワークへ
    の不正なアクセスを監視するネットワーク監視システム
    において、 上記外部ネットワークから上記ルータを通過して流入す
    るパケットのトラフィックを監視し、予め記憶された不
    正アクセスに特有の特徴をもつトラフィックを検出した
    時、該トラフィックに属した不正パケットの識別情報を
    含む制御パケットを生成して、上記ルータ装置宛に送信
    するトラフィック監視装置と、 受信パケットに応答して、該パケットの送信元に、意図
    的な情報を含む応答パケットを送信する偽装サーバとか
    らなり、 上記ルータが、不正パケットの識別情報と出力回線との
    対応関係を記憶するためのフィルタリングテーブル手段
    と、受信パケットに含まれる宛先アドレスと出力回線と
    の対応関係を記憶するためのルーティンテーブルと、上
    記監視装置から受信した制御パケットに応じて上記フィ
    ルタリングテーブルの内容を更新するための手段と、上
    記フィルタリングテーブルに基づいて、上記外部ネット
    ワークからの受信パケットが不正パケットか否かを判定
    し、不正パケットは上記偽装サーバが接続された出力回
    線に転送し、正常パケットは上記ルーティングテーブル
    に基づいてルーティング処理するための手段とを備えた
    ことを特徴とするネットワーク監視システム。
  7. 【請求項7】前記ルータが、前記偽装サーバに専用のイ
    ンタフェース回路を有し、前記各不正パケットを上記偽
    装サーバに専用のインタフェース回路の出力することを
    特徴とする請求項6に記載のネットワーク監視システ
    ム。
  8. 【請求項8】前記内部情報ネットワークが、内部情報サ
    ービス用の少なくとも1つのサーバを収容した内部セグ
    メントと、前記ルータに接続された外部バリア・セグメ
    ントと、上記内部セグメントと上記外部バリア・セグメ
    ントとの間に接続され、上記外部バリア・セグメントか
    ら上記内部セグメントへの流入パケットを制限するため
    のファイアウォール装置とからなり、 前記トラフィック監視装置が、上記外部バリア・セグメ
    ントに接続され、上記外部バリア・セグメント上を流れ
    るパケットのトラフィックを監視することを特徴とする
    請求項6に記載のネットワーク監視システム。
  9. 【請求項9】前記偽装サーバが、前記内部情報ネットワ
    ークの一部を構成し、前記ルータが、前記各不正パケッ
    トの宛先アドレスを上記偽装サーバ宛のアドレスに変換
    した後、上記内部情報ネットワークが接続されたインタ
    フェース回路に出力することを特徴とする請求項6また
    は請求項8に記載のネットワーク監視システム。
  10. 【請求項10】前記偽装サーバに付随して、該偽装サー
    バが受信する不正パケットの送信元を逆探知するための
    通信動作を行う送信元探知装置を備えたことを特徴とす
    る請求項6〜請求項9の何れかに記載のネットワーク監
    視システム。
  11. 【請求項11】外部ネットワークから、該外部ネットワ
    ークにルータを介して接続された内部情報ネットワーク
    への不正なアクセスを監視するネットワーク監視システ
    ムにおいて、 上記内部情報ネットワークが、内部情報サービス用の少
    なくとも1つのサーバを収容した内部セグメントと、前
    記ルータに接続された外部バリア・セグメントと、上記
    内部セグメントと上記外部バリア・セグメントとの間に
    接続され、上記外部バリア・セグメントから上記内部セ
    グメントへの流入パケットを制限するためのファイアウ
    ォール装置と、外部ネットワークから上記外部バリア・
    セグメントに流入するパケットのトラフィックを監視
    し、上記内部情報ネットワークを不正にアクセスするパ
    ケットを検出した時、上記ファイアウォール装置宛に不
    正パケットの識別情報を示す制御パケットを送信するト
    ラフィック監視装置と、上記ファイアウォール装置から
    転送された受信パケットに応答して、該パケットの送信
    元に、意図的な情報を含む応答パケットを送信する偽装
    サーバとを有し、 上記ファイアウォール装置が、上記監視装置からの受信
    した制御パケットに基づいて、上記不正パケットの識別
    情報を記憶しておき、上記外部ネットワークから受信さ
    れたパケットの中から上記識別情報に基づいて不正パケ
    ットを識別し、上記偽装サーバに転送することを特徴と
    するネットワーク監視システム。
  12. 【請求項12】前記偽装サーバに付随して、該偽装サー
    バが受信する不正パケットの送信元を逆探知するための
    通信動作を行う送信元探知装置を備えたことを特徴とす
    る請求項11に記載のネットワーク監視システム。
  13. 【請求項13】外部ネットワークと内部ネットワークと
    の間に配置されたルータと、上記ルータを通過する上記
    外部ネットワークからの流入パケットのトラフィックを
    監視することによって、上記内部ネットワークを不正に
    アクセスする不正パケットを検出するためのトラフィッ
    ク監視装置と、上記外部ネットワークと内部ネットワー
    クとの間において上記ルータから不正パケットを受信
    し、該不正パケットの送信元に応答パケットを送信する
    サーバとを有し、 上記トラフィック監視装置が、上記内部ネットワークを
    不正にアクセスする不正パケットが検出された場合に、
    上記ルータに対して、該不正パケットのヘッダ情報で識
    別されるその後の特定の受信パケットを上記サーバに転
    送させるための制御情報を通知するための手段を有し、 上記サーバが、上記内部ネットワークに接続された他の
    サーバが保持するデータの一部、または上記他のサーバ
    とは異なるデータに基いて、上記応答パケットを生成す
    ることを特徴とするネットワークシステム。
  14. 【請求項14】前記サーバが受信する不正パケットを監
    視し、該不正パケットの送信元を逆探知するための手段
    を有することを特徴とする請求項13に記載のネットワ
    ークシステム。
JP06118599A 1999-03-09 1999-03-09 ネットワーク監視システム Expired - Fee Related JP3618245B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP06118599A JP3618245B2 (ja) 1999-03-09 1999-03-09 ネットワーク監視システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP06118599A JP3618245B2 (ja) 1999-03-09 1999-03-09 ネットワーク監視システム

Publications (2)

Publication Number Publication Date
JP2000261483A true JP2000261483A (ja) 2000-09-22
JP3618245B2 JP3618245B2 (ja) 2005-02-09

Family

ID=13163859

Family Applications (1)

Application Number Title Priority Date Filing Date
JP06118599A Expired - Fee Related JP3618245B2 (ja) 1999-03-09 1999-03-09 ネットワーク監視システム

Country Status (1)

Country Link
JP (1) JP3618245B2 (ja)

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002111727A (ja) * 2000-09-29 2002-04-12 Kddi Corp 不正侵入防止システム
JP2002149602A (ja) * 2000-11-13 2002-05-24 Ntt Software Corp 不正アクセスを防御するためのネットワーク接続装置
JP2002318739A (ja) * 2001-02-14 2002-10-31 Mitsubishi Electric Corp 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
JP2002342276A (ja) * 2001-05-17 2002-11-29 Ntt Data Corp ネットワーク侵入検知システムおよびその方法
JP2003036243A (ja) * 2001-07-24 2003-02-07 Kddi Corp 不正侵入防止システム
JP2003092603A (ja) * 2001-09-17 2003-03-28 Toshiba Corp ネットワーク侵入検知システム、装置及びプログラム
JP2003264595A (ja) * 2002-03-08 2003-09-19 Mitsubishi Electric Corp パケット中継装置、パケット中継システムおよびオトリ誘導システム
WO2003100619A1 (fr) * 2002-05-28 2003-12-04 Fujitsu Limited Dispositif, programme et procede de detection d'acces non autorise
JP2004153485A (ja) * 2002-10-30 2004-05-27 Jens Corp 通信セキュリティシステム
JP2004304629A (ja) * 2003-03-31 2004-10-28 Mizuho Bank Ltd アドレスデータ管理方法及びアドレスデータ管理プログラム
US7010809B2 (en) 2001-03-13 2006-03-07 Sanyo Electric Co., Ltd. Reproduction device stopping reproduction of encrypted content data having encrypted region shorter than predetermined length
JP2006165910A (ja) * 2004-12-06 2006-06-22 Mitsubishi Electric Corp 不正侵入検知システム、不正侵入検知装置および管理装置
JP2007208574A (ja) * 2006-02-01 2007-08-16 Alaxala Networks Corp トラフィック対処装置およびシステム
US7324952B2 (en) 2001-08-29 2008-01-29 International Business Machines Corporation Insurance method, insurance system, transaction monitoring method, transaction monitoring system, and program
US7360250B2 (en) 2001-02-14 2008-04-15 Mitsubishi Denki Kabushiki Kaisha Illegal access data handling apparatus and method for handling illegal access data
JP2008146660A (ja) * 2001-03-13 2008-06-26 Fujitsu Ltd フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
JP2008535304A (ja) * 2005-03-24 2008-08-28 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出)
US7464407B2 (en) 2002-08-20 2008-12-09 Nec Corporation Attack defending system and attack defending method
US7681236B2 (en) 2003-03-18 2010-03-16 Fujitsu Limited Unauthorized access prevention system
JP5613855B1 (ja) * 2014-04-23 2014-10-29 株式会社 ディー・エヌ・エー ユーザ認証システム
JP2018207436A (ja) * 2017-06-09 2018-12-27 日本電信電話株式会社 トラヒック制御装置、方法、およびプログラム
JP2019079517A (ja) * 2017-10-19 2019-05-23 Line株式会社 サービスサーバ、不審ユーザによるデータパケットをモニタリングする方法、およびその方法を実行させるためのコンピュータプログラム
CN113872953A (zh) * 2021-09-18 2021-12-31 杭州迪普信息技术有限公司 一种访问报文处理方法及装置
CN114900377A (zh) * 2022-07-15 2022-08-12 广州世安信息技术股份有限公司 一种基于诱导数据包的违规外联监测方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09218837A (ja) * 1996-02-08 1997-08-19 Hitachi Ltd ネットワークセキュリティシステム
JPH09233115A (ja) * 1996-02-20 1997-09-05 Brother Ind Ltd 電子メール転送装置
JPH09233113A (ja) * 1996-02-27 1997-09-05 Pfu Ltd フィルタリング装置に対するフィルタリング条件設定方法
JPH09266475A (ja) * 1996-03-28 1997-10-07 Hitachi Ltd アドレス情報管理装置およびネットワークシステム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09218837A (ja) * 1996-02-08 1997-08-19 Hitachi Ltd ネットワークセキュリティシステム
JPH09233115A (ja) * 1996-02-20 1997-09-05 Brother Ind Ltd 電子メール転送装置
JPH09233113A (ja) * 1996-02-27 1997-09-05 Pfu Ltd フィルタリング装置に対するフィルタリング条件設定方法
JPH09266475A (ja) * 1996-03-28 1997-10-07 Hitachi Ltd アドレス情報管理装置およびネットワークシステム

Cited By (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002111727A (ja) * 2000-09-29 2002-04-12 Kddi Corp 不正侵入防止システム
JP2002149602A (ja) * 2000-11-13 2002-05-24 Ntt Software Corp 不正アクセスを防御するためのネットワーク接続装置
JP2002318739A (ja) * 2001-02-14 2002-10-31 Mitsubishi Electric Corp 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
US7360250B2 (en) 2001-02-14 2008-04-15 Mitsubishi Denki Kabushiki Kaisha Illegal access data handling apparatus and method for handling illegal access data
JP2008152791A (ja) * 2001-03-13 2008-07-03 Fujitsu Ltd フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
JP2008146660A (ja) * 2001-03-13 2008-06-26 Fujitsu Ltd フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
US7010809B2 (en) 2001-03-13 2006-03-07 Sanyo Electric Co., Ltd. Reproduction device stopping reproduction of encrypted content data having encrypted region shorter than predetermined length
JP2002342276A (ja) * 2001-05-17 2002-11-29 Ntt Data Corp ネットワーク侵入検知システムおよびその方法
JP2003036243A (ja) * 2001-07-24 2003-02-07 Kddi Corp 不正侵入防止システム
JP4683518B2 (ja) * 2001-07-24 2011-05-18 Kddi株式会社 不正侵入防止システム
US7324952B2 (en) 2001-08-29 2008-01-29 International Business Machines Corporation Insurance method, insurance system, transaction monitoring method, transaction monitoring system, and program
JP2003092603A (ja) * 2001-09-17 2003-03-28 Toshiba Corp ネットワーク侵入検知システム、装置及びプログラム
JP4649080B2 (ja) * 2001-09-17 2011-03-09 株式会社東芝 ネットワーク侵入検知システム、装置及びプログラム
JP2003264595A (ja) * 2002-03-08 2003-09-19 Mitsubishi Electric Corp パケット中継装置、パケット中継システムおよびオトリ誘導システム
US8166553B2 (en) 2002-05-28 2012-04-24 Fujitsu Limited Method and apparatus for detecting unauthorized-access, and computer product
WO2003100619A1 (fr) * 2002-05-28 2003-12-04 Fujitsu Limited Dispositif, programme et procede de detection d'acces non autorise
US7958549B2 (en) 2002-08-20 2011-06-07 Nec Corporation Attack defending system and attack defending method
US7464407B2 (en) 2002-08-20 2008-12-09 Nec Corporation Attack defending system and attack defending method
JP2004153485A (ja) * 2002-10-30 2004-05-27 Jens Corp 通信セキュリティシステム
US7681236B2 (en) 2003-03-18 2010-03-16 Fujitsu Limited Unauthorized access prevention system
JP2004304629A (ja) * 2003-03-31 2004-10-28 Mizuho Bank Ltd アドレスデータ管理方法及びアドレスデータ管理プログラム
JP2006165910A (ja) * 2004-12-06 2006-06-22 Mitsubishi Electric Corp 不正侵入検知システム、不正侵入検知装置および管理装置
JP2008535304A (ja) * 2005-03-24 2008-08-28 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出)
JP4753264B2 (ja) * 2005-03-24 2011-08-24 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出)
JP4585975B2 (ja) * 2006-02-01 2010-11-24 アラクサラネットワークス株式会社 トラフィック対処装置およびシステム
JP2007208574A (ja) * 2006-02-01 2007-08-16 Alaxala Networks Corp トラフィック対処装置およびシステム
US9439070B2 (en) 2014-04-23 2016-09-06 DeNA Co., Ltd. User authentication system
JP5613855B1 (ja) * 2014-04-23 2014-10-29 株式会社 ディー・エヌ・エー ユーザ認証システム
JP2018207436A (ja) * 2017-06-09 2018-12-27 日本電信電話株式会社 トラヒック制御装置、方法、およびプログラム
JP2019079517A (ja) * 2017-10-19 2019-05-23 Line株式会社 サービスサーバ、不審ユーザによるデータパケットをモニタリングする方法、およびその方法を実行させるためのコンピュータプログラム
JP7178863B2 (ja) 2017-10-19 2022-11-28 Line株式会社 サービスサーバ、データパケットをモニタリングする方法、およびその方法を実行させるためのコンピュータプログラム
CN113872953A (zh) * 2021-09-18 2021-12-31 杭州迪普信息技术有限公司 一种访问报文处理方法及装置
CN113872953B (zh) * 2021-09-18 2024-03-26 杭州迪普信息技术有限公司 一种访问报文处理方法及装置
CN114900377A (zh) * 2022-07-15 2022-08-12 广州世安信息技术股份有限公司 一种基于诱导数据包的违规外联监测方法及系统
CN114900377B (zh) * 2022-07-15 2022-09-30 广州世安信息技术股份有限公司 一种基于诱导数据包的违规外联监测方法及系统

Also Published As

Publication number Publication date
JP3618245B2 (ja) 2005-02-09

Similar Documents

Publication Publication Date Title
JP3618245B2 (ja) ネットワーク監視システム
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
JP4174392B2 (ja) ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
KR100628325B1 (ko) 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법
US7100201B2 (en) Undetectable firewall
JP3723076B2 (ja) 不正侵入防御機能を有するip通信ネットワークシステム
US8918875B2 (en) System and method for ARP anti-spoofing security
US9094372B2 (en) Multi-method gateway-based network security systems and methods
US7370354B2 (en) Method of remotely managing a firewall
JP2003527793A (ja) ネットワークにおける、自動的な侵入検出及び偏向のための方法
US7889735B2 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
US20030188190A1 (en) System and method of intrusion detection employing broad-scope monitoring
EP0943202A1 (en) Method and apparatus for assignment of ip addresses
CN101529862A (zh) 利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置
JP2007189725A (ja) 通信方法及び通信網侵入防御方法並びに通信網侵入試み検知システム
US7360250B2 (en) Illegal access data handling apparatus and method for handling illegal access data
JP2004302538A (ja) ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
JP3966231B2 (ja) ネットワークシステムと不正アクセス制御方法およびプログラム
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
JP3590394B2 (ja) パケット転送装置、パケット転送方法およびプログラム
JP3495030B2 (ja) 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
US20080109902A1 (en) Methods and apparatus for overriding denunciations of unwanted traffic in one or more packet networks
WO2005026872A2 (en) Internal lan perimeter security appliance composed of a pci card and complementary software
JP2003186763A (ja) コンピュータシステムへの不正侵入の検知と防止方法
JP2004078602A (ja) データ処理装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040726

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040803

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040927

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20041026

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20041109

LAPS Cancellation because of no payment of annual fees