JP2001034553A - ネットワークアクセス制御方法及びその装置 - Google Patents
ネットワークアクセス制御方法及びその装置Info
- Publication number
- JP2001034553A JP2001034553A JP11210379A JP21037999A JP2001034553A JP 2001034553 A JP2001034553 A JP 2001034553A JP 11210379 A JP11210379 A JP 11210379A JP 21037999 A JP21037999 A JP 21037999A JP 2001034553 A JP2001034553 A JP 2001034553A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- network
- information
- information processing
- processing means
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 規定の通信シーケンスにしたがった通信に対
して不正なアクセスが行なわれるのを阻止すること。 【解決手段】 ネットワーク10に接続された計算機と
ネットワーク11に接続された計算機との間で通信デー
タの授受が行なわれているときに、ネットワークアクセ
ス制御装置16により、各計算機間で互いにアクセスさ
れる通信データの通信状態を監視し、この通信データの
通信状態が、各計算機に規定された通信シーケンスにし
たがった通信状態にあるか否かを判定し、この判定結果
が否定のとき、各計算機間における通信データのアクセ
スを遮断する。
して不正なアクセスが行なわれるのを阻止すること。 【解決手段】 ネットワーク10に接続された計算機と
ネットワーク11に接続された計算機との間で通信デー
タの授受が行なわれているときに、ネットワークアクセ
ス制御装置16により、各計算機間で互いにアクセスさ
れる通信データの通信状態を監視し、この通信データの
通信状態が、各計算機に規定された通信シーケンスにし
たがった通信状態にあるか否かを判定し、この判定結果
が否定のとき、各計算機間における通信データのアクセ
スを遮断する。
Description
【0001】
【発明の属する技術分野】本発明は、ネットワークアク
セス制御方法およびその装置に係り、特に、ネットワー
クを介して行なわれる不正侵入、不正な情報の盗聴な
ど、通信ネットワークを介して行なわれる情報のアクセ
スを制御するに好適なネットワークアクセス制御方法お
よびその装置に関する。
セス制御方法およびその装置に係り、特に、ネットワー
クを介して行なわれる不正侵入、不正な情報の盗聴な
ど、通信ネットワークを介して行なわれる情報のアクセ
スを制御するに好適なネットワークアクセス制御方法お
よびその装置に関する。
【0002】
【従来の技術】ネットワークを情報伝送路の一要素とす
る通信システムにおいては、データ通信など各種の通信
が行なわれている。ところが、ネットワークを用いた通
信システムにおいては、不正侵入によるデータなどの不
正盗聴、破壊、改竄などの脅威が常に存在するととも
に、ネットワーク、計算機などに異常負荷をかけてネッ
トワーク機器または計算機システムなどを事実上動作不
能とさせる攻撃などの脅威が常に存在する。そこで、こ
れらの脅威に対処するために、ネットワークを流れる情
報の内容(通信の内容)、例えば、サービス、データの
内容あるいは送信元のユーザの権限により、通信の流れ
を制御するアクセス制御方式が一般に採用されている。
この制御方式を通信システムに適用するに際しては、一
般に、ファイヤ・ウォールシステムとして知られている
ネットワークアクセス制御装置が用いられており、この
アクセス制御装置は、インターネットなどの外部ネット
ワークとイントラネットなどの内部ネットワークとの境
界点に設置され、セキュリティポリシーにしたがった必
要最小限の通信のみを通過させるアクセス制御を行なう
ように構成されている。
る通信システムにおいては、データ通信など各種の通信
が行なわれている。ところが、ネットワークを用いた通
信システムにおいては、不正侵入によるデータなどの不
正盗聴、破壊、改竄などの脅威が常に存在するととも
に、ネットワーク、計算機などに異常負荷をかけてネッ
トワーク機器または計算機システムなどを事実上動作不
能とさせる攻撃などの脅威が常に存在する。そこで、こ
れらの脅威に対処するために、ネットワークを流れる情
報の内容(通信の内容)、例えば、サービス、データの
内容あるいは送信元のユーザの権限により、通信の流れ
を制御するアクセス制御方式が一般に採用されている。
この制御方式を通信システムに適用するに際しては、一
般に、ファイヤ・ウォールシステムとして知られている
ネットワークアクセス制御装置が用いられており、この
アクセス制御装置は、インターネットなどの外部ネット
ワークとイントラネットなどの内部ネットワークとの境
界点に設置され、セキュリティポリシーにしたがった必
要最小限の通信のみを通過させるアクセス制御を行なう
ように構成されている。
【0003】アクセス制御を行なうためのファイヤウォ
ールの機能は、IPフィルタリング(IP Filte
ring)、IP(Internet Protoco
l)レベルでのアクセス制御機能、プロキシゲートウエ
イによるTCP(Transport Control
Protocol)レベルでのTCPポート(TCP
Port)ごとのアクセス制御機能、データの内容に
応じてアクセス制御を行なうアプリケーションレイアで
のアクセス制御機能に大別される。そしてこれらの機能
を備えたシステムでは、通信の種別、内容およびその方
向により、通信データのアクセスを制御することができ
る。さらに、セキュリティポリシー(セキュリティに関
する基本フィロソフィ)に基づいたセキュリティ設計に
より、そのアクセス制御方式を決定するとともにアクセ
ス制御の各種パラメータなどを規定し、さらにそれぞれ
の機器にパラメータの設定を行なうことによって、セキ
ュリティポリシーにしたがったセキュリティシステムを
運用することができる。
ールの機能は、IPフィルタリング(IP Filte
ring)、IP(Internet Protoco
l)レベルでのアクセス制御機能、プロキシゲートウエ
イによるTCP(Transport Control
Protocol)レベルでのTCPポート(TCP
Port)ごとのアクセス制御機能、データの内容に
応じてアクセス制御を行なうアプリケーションレイアで
のアクセス制御機能に大別される。そしてこれらの機能
を備えたシステムでは、通信の種別、内容およびその方
向により、通信データのアクセスを制御することができ
る。さらに、セキュリティポリシー(セキュリティに関
する基本フィロソフィ)に基づいたセキュリティ設計に
より、そのアクセス制御方式を決定するとともにアクセ
ス制御の各種パラメータなどを規定し、さらにそれぞれ
の機器にパラメータの設定を行なうことによって、セキ
ュリティポリシーにしたがったセキュリティシステムを
運用することができる。
【0004】しかし、上記従来のアクセス制御方式で
は、セキュリティポリシーにしたがった通信について
は、ネットワークの通過は可能であるが、この通過可能
な通信サービスを悪用した不正侵入などを完全に阻止す
ることは不可能である。そこで、この問題点を補完する
ために、一般に、IDS(Intrusion Det
ection System)型ファイヤウォールとし
て知られる不正侵入の検知を行なうことを目的としたセ
キュリティ監視装置が採用されている。この監視装置で
は、ファイヤウォールなどを通過して流れる通信データ
を常に全て監視し、不正な通信の有無を常時監視する方
式を採用している。
は、セキュリティポリシーにしたがった通信について
は、ネットワークの通過は可能であるが、この通過可能
な通信サービスを悪用した不正侵入などを完全に阻止す
ることは不可能である。そこで、この問題点を補完する
ために、一般に、IDS(Intrusion Det
ection System)型ファイヤウォールとし
て知られる不正侵入の検知を行なうことを目的としたセ
キュリティ監視装置が採用されている。この監視装置で
は、ファイヤウォールなどを通過して流れる通信データ
を常に全て監視し、不正な通信の有無を常時監視する方
式を採用している。
【0005】例えば、既知の侵入などの不正行為に関す
るデータをデータベース化し、通信シーケンス、通信デ
ータの内容など一連の通信パターンをリアルタイムに解
析し、この解析結果により、一連の通信パターンが既知
の不正な通信パターンと同一または同一である可能性が
あると判定したときには、運用者に警告を通知したり、
TCPプロトコルのリセットパケット(Reset P
acket)を使用した当該通信を遮断したり、さら
に、ファイヤウォール、ルータなどのネットワーク構成
機器へのセキュリティポリシーの動的変更を行なうこと
により、不正侵入、不正盗聴などを事前に防止するよう
になっている。
るデータをデータベース化し、通信シーケンス、通信デ
ータの内容など一連の通信パターンをリアルタイムに解
析し、この解析結果により、一連の通信パターンが既知
の不正な通信パターンと同一または同一である可能性が
あると判定したときには、運用者に警告を通知したり、
TCPプロトコルのリセットパケット(Reset P
acket)を使用した当該通信を遮断したり、さら
に、ファイヤウォール、ルータなどのネットワーク構成
機器へのセキュリティポリシーの動的変更を行なうこと
により、不正侵入、不正盗聴などを事前に防止するよう
になっている。
【0006】
【発明が解決しようとする課題】従来技術では、ネット
ワークを流れる情報をアクセス制御するに際して、セキ
ュリティポリシーにしたがった通信可能な情報を個々の
通信内容ごとに制御したり、また、不正侵入などに対し
て、既知の不正パターンなど、データベースとのマッチ
ングにより不正行為などを検知したりする方式であり、
未知の不正行為または既知ではあるが、データベースの
内容が更新されていない不正行為などについては、不正
な通信を検知したり不正な通信を阻止したりすることが
できない。
ワークを流れる情報をアクセス制御するに際して、セキ
ュリティポリシーにしたがった通信可能な情報を個々の
通信内容ごとに制御したり、また、不正侵入などに対し
て、既知の不正パターンなど、データベースとのマッチ
ングにより不正行為などを検知したりする方式であり、
未知の不正行為または既知ではあるが、データベースの
内容が更新されていない不正行為などについては、不正
な通信を検知したり不正な通信を阻止したりすることが
できない。
【0007】すなわち、従来技術では、ファイヤウォー
ルを用いて、通信データ単体ごとのデータの通過許可を
行なうのみであり、複雑な通信データ全体を通してのア
クセス制御を行なうことはできない。またIDS型ファ
イヤウォールを用いて、既知の侵入行為など、一連の通
信シーケンスをとらえ、この一連の通信シーケンスの内
容が、既知のセキュリティ上のアタックであるか否かを
判定し、既知のセキュリティ上のアタックであると判定
したときに、当該通信のセッションの切断、当該通信サ
ービスなどのアクセスを遮断したりすることはできる
が、侵入検知装置が保持している既知のセキュリティ上
のアタックについてしか不正通信の検知を行なうことが
できない。
ルを用いて、通信データ単体ごとのデータの通過許可を
行なうのみであり、複雑な通信データ全体を通してのア
クセス制御を行なうことはできない。またIDS型ファ
イヤウォールを用いて、既知の侵入行為など、一連の通
信シーケンスをとらえ、この一連の通信シーケンスの内
容が、既知のセキュリティ上のアタックであるか否かを
判定し、既知のセキュリティ上のアタックであると判定
したときに、当該通信のセッションの切断、当該通信サ
ービスなどのアクセスを遮断したりすることはできる
が、侵入検知装置が保持している既知のセキュリティ上
のアタックについてしか不正通信の検知を行なうことが
できない。
【0008】したがって、従来技術では、新たに発生し
うる脅威に対しては無力であり、一連の通信シーケンス
に基づく通信に対して、不正な通信が行なわれてもこれ
を阻止することができない。
うる脅威に対しては無力であり、一連の通信シーケンス
に基づく通信に対して、不正な通信が行なわれてもこれ
を阻止することができない。
【0009】本発明の目的は、規定の通信シーケンスに
したがった通信に対して不正なアクセスが行なわれるの
を阻止することができるネットワークアクセス制御方法
およびその装置を提供することにある。
したがった通信に対して不正なアクセスが行なわれるの
を阻止することができるネットワークアクセス制御方法
およびその装置を提供することにある。
【0010】
【課題を解決するための手段】前記目的を達成するため
に、本発明は、一方のネットワークと他方のネットワー
クとの間で情報に関するアクセスが実行されるときに、
前記一方のネットワークに接続された情報処理手段と前
記他方のネットワークに接続された情報処理手段との間
で互いにアクセスされる情報の通信状態を監視し、前記
情報の通信状態が、前記各情報処理手段に規定された通
信シーケンスに従った通信状態にあるか否かを判定し、
この判定結果に従って前記各情報処理手段間における情
報のアクセスを制御するネットワークアクセス制御方法
を採用したものである。
に、本発明は、一方のネットワークと他方のネットワー
クとの間で情報に関するアクセスが実行されるときに、
前記一方のネットワークに接続された情報処理手段と前
記他方のネットワークに接続された情報処理手段との間
で互いにアクセスされる情報の通信状態を監視し、前記
情報の通信状態が、前記各情報処理手段に規定された通
信シーケンスに従った通信状態にあるか否かを判定し、
この判定結果に従って前記各情報処理手段間における情
報のアクセスを制御するネットワークアクセス制御方法
を採用したものである。
【0011】前記ネットワークアクセス制御方法を採用
するに際しては、情報の通信状態が、前記各情報処理手
段に規定された通信シーケンスにしたがった通信状態に
あるか否かを判定し、この判定結果にしたがって前記各
情報処理手段間における情報のアクセスを制御する代わ
りに、以下の要素を付加することができる。
するに際しては、情報の通信状態が、前記各情報処理手
段に規定された通信シーケンスにしたがった通信状態に
あるか否かを判定し、この判定結果にしたがって前記各
情報処理手段間における情報のアクセスを制御する代わ
りに、以下の要素を付加することができる。
【0012】(1)前記情報の通信状態が、前記各情報
処理手段に規定された通信シーケンスに従った通信状態
にあるか否かを判定し、この判定結果が否定のときには
前記各情報処理手段間における情報のアクセスを遮断す
る。
処理手段に規定された通信シーケンスに従った通信状態
にあるか否かを判定し、この判定結果が否定のときには
前記各情報処理手段間における情報のアクセスを遮断す
る。
【0013】(2)前記情報の通信状態が、前記各情報
処理手段の通信状態として状態遷移モデルに基づいて規
定された通信シーケンスに従った通信状態にあるか否か
を判定し、この判定結果が否定のときには前記各情報処
理手段間における情報のアクセスを遮断する。
処理手段の通信状態として状態遷移モデルに基づいて規
定された通信シーケンスに従った通信状態にあるか否か
を判定し、この判定結果が否定のときには前記各情報処
理手段間における情報のアクセスを遮断する。
【0014】また、本発明は、一方のネットワークと他
方のネットワークとを結ぶ情報伝送路に接続されて、前
記一方のネットワークに接続された情報処理手段と前記
他方のネットワークに接続された情報処理手段との間で
互いにアクセスされる情報の通信状態を監視し、前記情
報の通信状態が、前記各情報処理手段に規定された通信
シーケンスに従った通信状態にあるか否かを判定し、こ
の判定結果に従って前記各情報処理手段間における情報
のアクセスを制御するネットワークアクセス制御装置を
構成したものである。
方のネットワークとを結ぶ情報伝送路に接続されて、前
記一方のネットワークに接続された情報処理手段と前記
他方のネットワークに接続された情報処理手段との間で
互いにアクセスされる情報の通信状態を監視し、前記情
報の通信状態が、前記各情報処理手段に規定された通信
シーケンスに従った通信状態にあるか否かを判定し、こ
の判定結果に従って前記各情報処理手段間における情報
のアクセスを制御するネットワークアクセス制御装置を
構成したものである。
【0015】前記ネットワークアクセス制御装置を構成
するに際しては、情報の通信状態が、前記各情報処理手
段に規定された通信シーケンスにしたがった通信状態に
あるか否かを判定し、この判定結果にしたがって前記各
情報処理手段間における情報のアクセスを制御する代わ
りに、以下の要素を付加することができる。
するに際しては、情報の通信状態が、前記各情報処理手
段に規定された通信シーケンスにしたがった通信状態に
あるか否かを判定し、この判定結果にしたがって前記各
情報処理手段間における情報のアクセスを制御する代わ
りに、以下の要素を付加することができる。
【0016】(1)前記情報の通信状態が、前記各情報
処理手段に規定された通信シーケンスに従った通信状態
にあるか否かを判定し、この判定結果が否定のときには
前記各情報処理手段間における情報のアクセスを遮断す
る。
処理手段に規定された通信シーケンスに従った通信状態
にあるか否かを判定し、この判定結果が否定のときには
前記各情報処理手段間における情報のアクセスを遮断す
る。
【0017】(2)前記情報の通信状態が、前記各情報
処理手段の通信状態として状態遷移モデルに基づいて規
定された通信シーケンスに従った通信状態にあるか否か
を判定し、この判定結果が否定のときには前記各情報処
理手段間における情報のアクセスを遮断する。
処理手段の通信状態として状態遷移モデルに基づいて規
定された通信シーケンスに従った通信状態にあるか否か
を判定し、この判定結果が否定のときには前記各情報処
理手段間における情報のアクセスを遮断する。
【0018】前記した手段によれば、情報の通信状態
が、各情報処理手段に規定された通信シーケンスにした
がった通信状態にあうか否かを判定し、この判定結果に
したがって各情報処理手段間における情報のアクセスを
制御するようにしているため、通信シーケンスにしたが
った情報通信に対して、不正侵入、不正盗聴が実行され
るのを防止することができる。
が、各情報処理手段に規定された通信シーケンスにした
がった通信状態にあうか否かを判定し、この判定結果に
したがって各情報処理手段間における情報のアクセスを
制御するようにしているため、通信シーケンスにしたが
った情報通信に対して、不正侵入、不正盗聴が実行され
るのを防止することができる。
【0019】
【発明の実施の形態】以下、本発明の一実施形態を図面
に基づいて説明する。図1は本発明の一実施形態を示す
通信ネットワークシステムの全体構成図である。図1に
おいて、複数のネットワーク(通信ネットワーク)1
0、11が分散して配置されており、一方のネットワー
ク10にはネットワークルータ12、14、ネットワー
クアクセス制御装置16が接続され、他方のネットワー
ク11にはルータネットワーク18、端末20、22が
接続されている。ネットワークルータ12には計算機の
端末24が接続され、ネットワークルータ14にはネッ
トワーク管理装置26が接続され、ネットワークアクセ
ス制御装置16にはリピータ28が接続され、リピータ
28にはセキュリティ監視センサ30を介してネットワ
ーク管理装置26が接続されているとともにネットワー
クルータ18が接続されている。
に基づいて説明する。図1は本発明の一実施形態を示す
通信ネットワークシステムの全体構成図である。図1に
おいて、複数のネットワーク(通信ネットワーク)1
0、11が分散して配置されており、一方のネットワー
ク10にはネットワークルータ12、14、ネットワー
クアクセス制御装置16が接続され、他方のネットワー
ク11にはルータネットワーク18、端末20、22が
接続されている。ネットワークルータ12には計算機の
端末24が接続され、ネットワークルータ14にはネッ
トワーク管理装置26が接続され、ネットワークアクセ
ス制御装置16にはリピータ28が接続され、リピータ
28にはセキュリティ監視センサ30を介してネットワ
ーク管理装置26が接続されているとともにネットワー
クルータ18が接続されている。
【0020】ネットワークアクセス制御装置16は、フ
ァイヤウォールとして、ネットワーク10に接続された
計算機(情報処理手段)とネットワーク11に接続され
た計算機(情報処理手段)との間で情報に関するアクセ
スが実行されるときに、各計算機間で互いにアクセスさ
れる情報の通信状態を監視し、情報の通信状態が、各計
算機の通信状態として状態遷移モデルに基づいて規定さ
れた通信シーケンスにしたがった通信状態にあるか否か
を判定し、この判定結果にしたがって各計算機関におけ
る情報のアクセスを制御するように、例えば、判定結果
が否定のときには各計算機間における情報のアクセスを
遮断するように構成されている。以下、ネットワークア
クセス制御装置16の具体的な機能について説明する。
ァイヤウォールとして、ネットワーク10に接続された
計算機(情報処理手段)とネットワーク11に接続され
た計算機(情報処理手段)との間で情報に関するアクセ
スが実行されるときに、各計算機間で互いにアクセスさ
れる情報の通信状態を監視し、情報の通信状態が、各計
算機の通信状態として状態遷移モデルに基づいて規定さ
れた通信シーケンスにしたがった通信状態にあるか否か
を判定し、この判定結果にしたがって各計算機関におけ
る情報のアクセスを制御するように、例えば、判定結果
が否定のときには各計算機間における情報のアクセスを
遮断するように構成されている。以下、ネットワークア
クセス制御装置16の具体的な機能について説明する。
【0021】ネットワークアクセス制御装置16は、図
2に示すように、データベース32、34、36、ポリ
シー判定機構38、アクセス制御機構40、警報通知機
構42、通信記録機構44を備えて構成されており、ポ
リシー判定機構38、アクセス制御機構40がそれぞれ
情報伝送路46に接続されている。情報伝送路46はネ
ットワーク10とリピータ28を結ぶ伝送路として構成
されており、この情報伝送路46中にネットワークアク
セス制御装置16が挿入されている。そしてこの通信シ
ステムでは、情報伝送路46のプロトコルレイヤとし
て、IP(Internet Protocol)、T
CP(Transmission Control P
rotocol)が設定されている。
2に示すように、データベース32、34、36、ポリ
シー判定機構38、アクセス制御機構40、警報通知機
構42、通信記録機構44を備えて構成されており、ポ
リシー判定機構38、アクセス制御機構40がそれぞれ
情報伝送路46に接続されている。情報伝送路46はネ
ットワーク10とリピータ28を結ぶ伝送路として構成
されており、この情報伝送路46中にネットワークアク
セス制御装置16が挿入されている。そしてこの通信シ
ステムでは、情報伝送路46のプロトコルレイヤとし
て、IP(Internet Protocol)、T
CP(Transmission Control P
rotocol)が設定されている。
【0022】ポリシー判定機構38は、セキュリティポ
リシーにしたがった通信シーケンスの判定を行なうに際
して、情報伝送路46から通信データを取り込み、この
通信データと各データベース32、34に記憶されたデ
ータとを比較して通信データ(情報)の通信状態が、各
計算機間に規定された通信シーケンスにしたがった通信
状態にあるか否かを判定するように構成されている。す
なわち、ネットワーク10に接続された計算機とネット
ワーク11に接続された計算機との間で通信データ(情
報)に関するアクセスが実行されるときに、各計算機間
で互いにアクセスされる通信データの通信状態を監視
し、通信データの通信状態が、各計算機に規定された通
信シーケンスにしたがった通信状態にあるか否かを判定
するようになっている。この場合、データベース32に
は、図3に示す通信許可リストに関するデータが格納さ
れ、データベース34には、図4に示す状態遷移モデル
に関するデータと図5に示す通信状態管理表に関するデ
ータが格納されている。
リシーにしたがった通信シーケンスの判定を行なうに際
して、情報伝送路46から通信データを取り込み、この
通信データと各データベース32、34に記憶されたデ
ータとを比較して通信データ(情報)の通信状態が、各
計算機間に規定された通信シーケンスにしたがった通信
状態にあるか否かを判定するように構成されている。す
なわち、ネットワーク10に接続された計算機とネット
ワーク11に接続された計算機との間で通信データ(情
報)に関するアクセスが実行されるときに、各計算機間
で互いにアクセスされる通信データの通信状態を監視
し、通信データの通信状態が、各計算機に規定された通
信シーケンスにしたがった通信状態にあるか否かを判定
するようになっている。この場合、データベース32に
は、図3に示す通信許可リストに関するデータが格納さ
れ、データベース34には、図4に示す状態遷移モデル
に関するデータと図5に示す通信状態管理表に関するデ
ータが格納されている。
【0023】通信許可リストは複数のグループ(複数の
通信からなる一連の通信)についてグループごとに設定
されており、図3(a)は、ある通信グループの正常時
における通信シーケンス、すなわち許可されている正常
な通信状態での通信シーケンスを示している。例えば、
通信元の計算機と通信先の計算機との間で通信を行なう
とき、両者の間には、通信シーケンスとして、#1〜#
8の通信電文(通信データ)が規定されており、各通信
電文ごとに、IPアドレス、TCP/UDPポート番号
が規定されている。さらに#1、#3の通信電文につい
ては異常通信番号「1」、「2」が規定されている。こ
の異常通信番号は、図3(a)に示すように、異常時の
通信シーケンスに対応して設定されている。例えば、通
信がなんらかの状態で異常になった場合、異常通信番号
「1」のときには再送回数として「3」が規定されてい
るので、通信異常時に、3回まで再送が許可される。ま
た、異常通信番号「2」のときには、再送回数として
「5」が規定されているので、通信異常時に、5回まで
再送が許可される。
通信からなる一連の通信)についてグループごとに設定
されており、図3(a)は、ある通信グループの正常時
における通信シーケンス、すなわち許可されている正常
な通信状態での通信シーケンスを示している。例えば、
通信元の計算機と通信先の計算機との間で通信を行なう
とき、両者の間には、通信シーケンスとして、#1〜#
8の通信電文(通信データ)が規定されており、各通信
電文ごとに、IPアドレス、TCP/UDPポート番号
が規定されている。さらに#1、#3の通信電文につい
ては異常通信番号「1」、「2」が規定されている。こ
の異常通信番号は、図3(a)に示すように、異常時の
通信シーケンスに対応して設定されている。例えば、通
信がなんらかの状態で異常になった場合、異常通信番号
「1」のときには再送回数として「3」が規定されてい
るので、通信異常時に、3回まで再送が許可される。ま
た、異常通信番号「2」のときには、再送回数として
「5」が規定されているので、通信異常時に、5回まで
再送が許可される。
【0024】状態遷移モデルは、各グループの通信状態
を定義したものであり、図4に示すように、未通信状態
48、通信中状態50、通信異常状態52、異常処理状
態54に関する通信状態が定義されているとともに各状
態相互の関係が定義されている。ここで、未通信状態4
8とは、指定の通信グループの通信が行なわれていない
状態を示す。通信中状態50とは、指定の通信グループ
における通信電文のうち第1電文を受信し、指定の通信
グループの最終電文を受信していない状態を示す。異常
通信状態52とは、指定の通信グループの通信のうち正
常な通信シーケンスの状態にないことを示しており、な
んらかの状態による通信の異常状態を示す。また異常処
理状態54とは、ポリシー判定機構38が不正な通信を
検知したことにより、指定の通信グループの通信を禁止
または中断している状態を示す。そして未通信状態48
においては、通信中状態50、通信異常状態52、異常
処理状態54に対して互いに状態遷移し、通信中状態5
0は未通信状態48、通信異常状態52、異常処理状態
54に対して相互に状態遷移するようになっている。各
状態遷移のうち、通信中状態50から未通信状態48へ
の状態遷移はある通信グループの全ての通信が終了した
状態を示し、通信異常状態52から通信中状態50への
状態遷移は通信異常から正常状態への復帰を示してい
る。また通信中状態50から異常処理状態54への遷移
は通信のリトライ状態を示している。
を定義したものであり、図4に示すように、未通信状態
48、通信中状態50、通信異常状態52、異常処理状
態54に関する通信状態が定義されているとともに各状
態相互の関係が定義されている。ここで、未通信状態4
8とは、指定の通信グループの通信が行なわれていない
状態を示す。通信中状態50とは、指定の通信グループ
における通信電文のうち第1電文を受信し、指定の通信
グループの最終電文を受信していない状態を示す。異常
通信状態52とは、指定の通信グループの通信のうち正
常な通信シーケンスの状態にないことを示しており、な
んらかの状態による通信の異常状態を示す。また異常処
理状態54とは、ポリシー判定機構38が不正な通信を
検知したことにより、指定の通信グループの通信を禁止
または中断している状態を示す。そして未通信状態48
においては、通信中状態50、通信異常状態52、異常
処理状態54に対して互いに状態遷移し、通信中状態5
0は未通信状態48、通信異常状態52、異常処理状態
54に対して相互に状態遷移するようになっている。各
状態遷移のうち、通信中状態50から未通信状態48へ
の状態遷移はある通信グループの全ての通信が終了した
状態を示し、通信異常状態52から通信中状態50への
状態遷移は通信異常から正常状態への復帰を示してい
る。また通信中状態50から異常処理状態54への遷移
は通信のリトライ状態を示している。
【0025】各通信グループの通信状態は図5に示す通
信状態管理表にしたがって実行される。例えば、通信グ
ループ1が「未通信」状態にあるとききには、次に受信
する通信データ(通信電文)として、#1の通信データ
を受信することを示し、通信グループ2が「通信中」の
ときには、次に受信する通信データとして、#5の通信
データを受信することを示している。
信状態管理表にしたがって実行される。例えば、通信グ
ループ1が「未通信」状態にあるとききには、次に受信
する通信データ(通信電文)として、#1の通信データ
を受信することを示し、通信グループ2が「通信中」の
ときには、次に受信する通信データとして、#5の通信
データを受信することを示している。
【0026】一方、アクセス制御機構40は、ポリシー
判定機構38の判定結果にしたがって通信データのアク
セスを制御する。例えば、ポリシー判定機構38におい
て、各計算機間で互いにアクセスされる通信データの通
信状態が、各計算機に規定された通信シーケンスにした
がった通信状態にないとの否定の判定結果が出力された
ときには、通信データを破棄するとともに、通信データ
のアクセスを遮断するために、通信元の計算機などに対
して、リセットパケット(RST Packet)を送
信し、セッションの切断を行なう。さらに、警報通知機
構42、通信記録機構44に対して不正通信の発生を通
知する。警報通知機構42は、不正通信の発生に関する
通知を受けたときには、不正通信の発生をネットワーク
管理装置26に出力する。また通信記録機構44は、不
正通信の発生が通知されたときには、データベース36
に不正通信ログに関するデータを格納する。
判定機構38の判定結果にしたがって通信データのアク
セスを制御する。例えば、ポリシー判定機構38におい
て、各計算機間で互いにアクセスされる通信データの通
信状態が、各計算機に規定された通信シーケンスにした
がった通信状態にないとの否定の判定結果が出力された
ときには、通信データを破棄するとともに、通信データ
のアクセスを遮断するために、通信元の計算機などに対
して、リセットパケット(RST Packet)を送
信し、セッションの切断を行なう。さらに、警報通知機
構42、通信記録機構44に対して不正通信の発生を通
知する。警報通知機構42は、不正通信の発生に関する
通知を受けたときには、不正通信の発生をネットワーク
管理装置26に出力する。また通信記録機構44は、不
正通信の発生が通知されたときには、データベース36
に不正通信ログに関するデータを格納する。
【0027】次に、ネットワーク10に接続された計算
機Aとネットワーク11に接続された計算機Bとの間で
通信データに関するアクセスが実行されたときの作用に
ついて説明する。
機Aとネットワーク11に接続された計算機Bとの間で
通信データに関するアクセスが実行されたときの作用に
ついて説明する。
【0028】まず、図6に示すように計算機AのIPア
ドレスとして、255、100、010、100が設定
され、計算機BのIPアドレスとして、255、20
0、020、250が設定され、各計算機に対して、図
3(a)に示す通信許可リストにしたがった通信シーケ
ンスが規定されているときには、各計算機間では、図6
に示す通信シーケンスにしたがった通信が実行されるこ
とになる。例えば、通信元の計算機AのTCP/UDP
ポート「1000」から通信先の計算機BのTCP/U
DPポート「2000」に対して、第1電文としてセッ
ション確立要求に関する通信データが送信される。この
あと計算機BのTCP/UDPポート「2001」から
計算機AのTCP/UDPポート「1001」に対して
セッション確立要求応答「OK」に関する通信電文が送
信される。このあとは、図3(a)の通信データ番号に
したがって各計算機間で通信データの授受が行なわれ
る。
ドレスとして、255、100、010、100が設定
され、計算機BのIPアドレスとして、255、20
0、020、250が設定され、各計算機に対して、図
3(a)に示す通信許可リストにしたがった通信シーケ
ンスが規定されているときには、各計算機間では、図6
に示す通信シーケンスにしたがった通信が実行されるこ
とになる。例えば、通信元の計算機AのTCP/UDP
ポート「1000」から通信先の計算機BのTCP/U
DPポート「2000」に対して、第1電文としてセッ
ション確立要求に関する通信データが送信される。この
あと計算機BのTCP/UDPポート「2001」から
計算機AのTCP/UDPポート「1001」に対して
セッション確立要求応答「OK」に関する通信電文が送
信される。このあとは、図3(a)の通信データ番号に
したがって各計算機間で通信データの授受が行なわれ
る。
【0029】一方、計算機Aと計算機Bとの間で通信デ
ータの授受を行なう前に、図7に示すように、不正端末
から通信データが送信されたときには、図8に示す処理
が実行される。
ータの授受を行なう前に、図7に示すように、不正端末
から通信データが送信されたときには、図8に示す処理
が実行される。
【0030】まず、ポリシー判定機構38は、情報伝送
路46から通信データを受信したときに(ステップS1
0)、データベース32から通信許可リストの第1電文
に関する情報を取り込む(ステップS12)。このあと
受信した通信電文と通信許可リストの第1電文とを比較
し、両者の内容が一致するか否かの判定を行なう(ステ
ップS14)。そしてこのとき両者の内容が一致すると
きには次のルーチンに移行する。一方、両者の内容が一
致しないときには、全てのグループの通信許可リストと
の照合が完了したか否かの判定を行なう(ステップS1
6)。そして全てのグループに関する通信許可リストと
の照合が完了したときには、受信した通信データの内容
が通信許可リストの第1電文と異なるため、不正通信と
判定し、この判定結果をアクセス制御機構40に出力す
る(ステップS18)。このあとアクセス制御機構40
は、通信データ、例えば、通信パケットを破棄し、通信
元の計算機である不正端末に対して、リセットパケット
を送信するとともに、セッションの切断を行なう(ステ
ップS20)。さらにアクセス制御機構40は、警報通
知機構42と通信記録機構44に対して不正通信の発生
を通知する(ステップS22)。そして警報通知機構4
2は、不正通信の通知を受けたことが条件にネットワー
ク管理装置26に対して警報を通知する(ステップS2
4)。また通信記録機構44は、不正通信に関する通知
を受けたときには、データベース36に対して不正通信
ログを格納し、このルーチンでの処理を終了する(ステ
ップS26)。
路46から通信データを受信したときに(ステップS1
0)、データベース32から通信許可リストの第1電文
に関する情報を取り込む(ステップS12)。このあと
受信した通信電文と通信許可リストの第1電文とを比較
し、両者の内容が一致するか否かの判定を行なう(ステ
ップS14)。そしてこのとき両者の内容が一致すると
きには次のルーチンに移行する。一方、両者の内容が一
致しないときには、全てのグループの通信許可リストと
の照合が完了したか否かの判定を行なう(ステップS1
6)。そして全てのグループに関する通信許可リストと
の照合が完了したときには、受信した通信データの内容
が通信許可リストの第1電文と異なるため、不正通信と
判定し、この判定結果をアクセス制御機構40に出力す
る(ステップS18)。このあとアクセス制御機構40
は、通信データ、例えば、通信パケットを破棄し、通信
元の計算機である不正端末に対して、リセットパケット
を送信するとともに、セッションの切断を行なう(ステ
ップS20)。さらにアクセス制御機構40は、警報通
知機構42と通信記録機構44に対して不正通信の発生
を通知する(ステップS22)。そして警報通知機構4
2は、不正通信の通知を受けたことが条件にネットワー
ク管理装置26に対して警報を通知する(ステップS2
4)。また通信記録機構44は、不正通信に関する通知
を受けたときには、データベース36に対して不正通信
ログを格納し、このルーチンでの処理を終了する(ステ
ップS26)。
【0031】このように、本実施形態においては、不正
端末から通信シーケンスには規定されていない通信電文
が送信されても不正端末に対する通信データのアクセス
を遮断することができる。
端末から通信シーケンスには規定されていない通信電文
が送信されても不正端末に対する通信データのアクセス
を遮断することができる。
【0032】次に、計算機Aと計算機Bとの間で通信デ
ータの授受が行なわれているときに、通信異常が発生し
たときの処理を図9にしたがって説明する。
ータの授受が行なわれているときに、通信異常が発生し
たときの処理を図9にしたがって説明する。
【0033】まず、ポリシー判定機構38は、情報伝送
路46から通信データを取り込み、受信データのIPア
ドレス、TCP/UDPポート番号をキーとして、デー
タベース32、34のデータを検索して受信データを特
定する(ステップS30)。そして特定した通信データ
が通信許可リストに存在するか否かの判定を行なう(ス
テップS32)。この場合、受信データの内容が状態遷
移モデルのどの状態に属するかによって通信許可リスト
に指定の通信データが存在するか否かを判定する。すな
わち、受信データが、いずれかの通信グループの通信シ
ーケンスのうちどの通信電文に属するか否かを判定す
る。例えば、受信データが、通信元IPアドレス(25
5、100、010、100)で、通信元TCP/UD
Pポート番号(1000)、通信先IPアドレス(25
5、200、020、250)、通信先TCP/UDP
ポート番号(2000)の場合、受信データは、図5に
示す通信グループ2の第5通信電文であり、正常な通信
データであると判定する。この場合は通信管理テーブル
の内容を更新する(ステップS40)。一方、受信デー
タの内容が通信許可リストに存在しないときには、異常
時の通信であると判定する(ステップS34)。このあ
と通信管理テーブルの全てのグループについて予め規定
された通信電文に該当しない場合、通信許可リストに示
す通信異常ナンバーの異常処理電文に該当するか否かの
判定を行なう(ステップS36)。このとき異常通信ナ
ンバーに該当するときには、異常時の通信シーケンスに
したがった処理を実行し、通信管理テーブルを更新す
る。一方、通信電文が全ての通信グループの異常電文に
該当しない場合は、通信電文は不正電文と判定する(ス
テップS38)。不正電文のときのも通信管理テーブル
の内容を更新し、このルーチンでの処理を終了する。
路46から通信データを取り込み、受信データのIPア
ドレス、TCP/UDPポート番号をキーとして、デー
タベース32、34のデータを検索して受信データを特
定する(ステップS30)。そして特定した通信データ
が通信許可リストに存在するか否かの判定を行なう(ス
テップS32)。この場合、受信データの内容が状態遷
移モデルのどの状態に属するかによって通信許可リスト
に指定の通信データが存在するか否かを判定する。すな
わち、受信データが、いずれかの通信グループの通信シ
ーケンスのうちどの通信電文に属するか否かを判定す
る。例えば、受信データが、通信元IPアドレス(25
5、100、010、100)で、通信元TCP/UD
Pポート番号(1000)、通信先IPアドレス(25
5、200、020、250)、通信先TCP/UDP
ポート番号(2000)の場合、受信データは、図5に
示す通信グループ2の第5通信電文であり、正常な通信
データであると判定する。この場合は通信管理テーブル
の内容を更新する(ステップS40)。一方、受信デー
タの内容が通信許可リストに存在しないときには、異常
時の通信であると判定する(ステップS34)。このあ
と通信管理テーブルの全てのグループについて予め規定
された通信電文に該当しない場合、通信許可リストに示
す通信異常ナンバーの異常処理電文に該当するか否かの
判定を行なう(ステップS36)。このとき異常通信ナ
ンバーに該当するときには、異常時の通信シーケンスに
したがった処理を実行し、通信管理テーブルを更新す
る。一方、通信電文が全ての通信グループの異常電文に
該当しない場合は、通信電文は不正電文と判定する(ス
テップS38)。不正電文のときのも通信管理テーブル
の内容を更新し、このルーチンでの処理を終了する。
【0034】次に、計算機Aと計算機Bとの間で規定の
通信シーケンスにしたがって通信データの授受が行なわ
れている過程で、不正端末からデータ送信要求があった
ときの処理を図10にしたがって説明する。
通信シーケンスにしたがって通信データの授受が行なわ
れている過程で、不正端末からデータ送信要求があった
ときの処理を図10にしたがって説明する。
【0035】計算機Aと計算機Bとの間でセッション確
立要求の通信データの授受が行なわれたあと、不正端末
から計算機Bに対して状態遷移モデルにしたがったデー
タ転送要求があった場合、このデータ転送要求をポリシ
ー判定機構38で不正通信であると検知できないことが
ある。しかし、ポリシー判定機構38は、計算機Aから
データ転送要求が送信された時点で、この通信データは
異常なデータであると認識し、計算機Aと計算機Bとの
間で行なわれている通信が正常でないと判定することが
可能になる。このような処理は、一見、機能上の不備ま
たは弱点のように見えるが、計算機Aの送信タイミング
を不正端末で検知し、この送信タイミングに同期をとっ
て不正端末から計算機Bにデータ転送要求を行なうこと
は一般に極めて困難である。すなわち、計算機Aの送信
タイミングに同期をとって不正端末からデータ送信要求
を行なうには、不正端末から計算機Bに対して連続的に
複数回データ転送要求を送信しなければ、不正なアクセ
スが成功する可能性はないと考えられる。したがって、
現実的には、図7に示すように、不正端末から計算機B
に対して不正なアクセスを実行するにも、図7に示すよ
うな通信シーケンスとならざるを得ない。したがって、
ポリシー判定機構38において計算機Aと計算機Bの通
信状態として状態遷移モデルに基づいて規定された通信
シーケンスにしたがった通信状態にあるか否かを判定す
ることで、不正端末からの不正アクセスを確実に防止す
ることができる。
立要求の通信データの授受が行なわれたあと、不正端末
から計算機Bに対して状態遷移モデルにしたがったデー
タ転送要求があった場合、このデータ転送要求をポリシ
ー判定機構38で不正通信であると検知できないことが
ある。しかし、ポリシー判定機構38は、計算機Aから
データ転送要求が送信された時点で、この通信データは
異常なデータであると認識し、計算機Aと計算機Bとの
間で行なわれている通信が正常でないと判定することが
可能になる。このような処理は、一見、機能上の不備ま
たは弱点のように見えるが、計算機Aの送信タイミング
を不正端末で検知し、この送信タイミングに同期をとっ
て不正端末から計算機Bにデータ転送要求を行なうこと
は一般に極めて困難である。すなわち、計算機Aの送信
タイミングに同期をとって不正端末からデータ送信要求
を行なうには、不正端末から計算機Bに対して連続的に
複数回データ転送要求を送信しなければ、不正なアクセ
スが成功する可能性はないと考えられる。したがって、
現実的には、図7に示すように、不正端末から計算機B
に対して不正なアクセスを実行するにも、図7に示すよ
うな通信シーケンスとならざるを得ない。したがって、
ポリシー判定機構38において計算機Aと計算機Bの通
信状態として状態遷移モデルに基づいて規定された通信
シーケンスにしたがった通信状態にあるか否かを判定す
ることで、不正端末からの不正アクセスを確実に防止す
ることができる。
【0036】
【発明の効果】以上説明したように、本発明によれば、
情報の通信状態が、各情報処理手段に規定された通信シ
ーケンスにしたがった通信状態にあうか否かを判定し、
この判定結果にしたがって各情報処理手段間における情
報のアクセスを制御するようにしているため、通信シー
ケンスにしたがった情報通信に対して、不正侵入、不正
盗聴が実行されるのを防止することができる。
情報の通信状態が、各情報処理手段に規定された通信シ
ーケンスにしたがった通信状態にあうか否かを判定し、
この判定結果にしたがって各情報処理手段間における情
報のアクセスを制御するようにしているため、通信シー
ケンスにしたがった情報通信に対して、不正侵入、不正
盗聴が実行されるのを防止することができる。
【図1】本発明の一実施形態を示す通信ネットワークシ
ステムの全体構成図である。
ステムの全体構成図である。
【図2】ネットワークアクセス制御装置のブロック構成
図である。
図である。
【図3】通信許可リストの構成説明図である。
【図4】状態遷移モデルの説明図である。
【図5】通信状態管理表の構成説明図である。
【図6】計算機A、B間における正常時の通信シーケン
ス図である。
ス図である。
【図7】不正端末からデータ転送要求があったときのシ
ーケンス図である。
ーケンス図である。
【図8】不正端末からデータ転送要求があったときの処
理を説明するためのフローチャートである。
理を説明するためのフローチャートである。
【図9】ポリシー判定機構の処理を説明するためのフロ
ーチャートである。
ーチャートである。
【図10】計算機A・B間で通信データの転送要求があ
ったときの処理を説明するためのフローチャートであ
る。
ったときの処理を説明するためのフローチャートであ
る。
10、11 通信ネットワーク 12、14、18 ネットワークルータ 16 ネットワークアクセス制御装置 20、22、24 端末 26 ネットワーク管理装置 28 リピータ 30 セキュリティ監視センサ 32、34、36 データベース 38 ポリシー判定機構 40 アクセス制御機構 42 警報通知機構 44 通信記録機構
Claims (6)
- 【請求項1】 一方のネットワークと他方のネットワー
クとの間で情報に関するアクセスが実行されるときに、
前記一方のネットワークに接続された情報処理手段と前
記他方のネットワークに接続された情報処理手段との間
で互いにアクセスされる情報の通信状態を監視し、前記
情報の通信状態が、前記各情報処理手段に規定された通
信シーケンスに従った通信状態にあるか否かを判定し、
この判定結果に従って前記各情報処理手段間における情
報のアクセスを制御するネットワークアクセス制御方
法。 - 【請求項2】 一方のネットワークと他方のネットワー
クとの間で情報に関するアクセスが実行されるときに、
前記一方のネットワークに接続された情報処理手段と前
記他方のネットワークに接続された情報処理手段との間
で互いにアクセスされる情報の通信状態を監視し、前記
情報の通信状態が、前記各情報処理手段に規定された通
信シーケンスに従った通信状態にあるか否かを判定し、
この判定結果が否定のときには前記各情報処理手段間に
おける情報のアクセスを遮断するネットワークアクセス
制御方法。 - 【請求項3】 一方のネットワークと他方のネットワー
クとの間で情報に関するアクセスが実行されるときに、
前記一方のネットワークに接続された情報処理手段と前
記他方のネットワークに接続された情報処理手段との間
で互いにアクセスされる情報の通信状態を監視し、前記
情報の通信状態が、前記各情報処理手段の通信状態とし
て状態遷移モデルに基づいて規定された通信シーケンス
に従った通信状態にあるか否かを判定し、この判定結果
が否定のときには前記各情報処理手段間における情報の
アクセスを遮断するネットワークアクセス制御方法。 - 【請求項4】 一方のネットワークと他方のネットワー
クとを結ぶ情報伝送路に接続されて、前記一方のネット
ワークに接続された情報処理手段と前記他方のネットワ
ークに接続された情報処理手段との間で互いにアクセス
される情報の通信状態を監視し、前記情報の通信状態
が、前記各情報処理手段に規定された通信シーケンスに
従った通信状態にあるか否かを判定し、この判定結果に
従って前記各情報処理手段間における情報のアクセスを
制御するネットワークアクセス制御装置。 - 【請求項5】 一方のネットワークと他方のネットワー
クとを結ぶ情報伝送路に接続されて、前記一方のネット
ワークに接続された情報処理手段と前記他方のネットワ
ークに接続された情報処理手段との間で互いにアクセス
される情報の通信状態を監視し、前記情報の通信状態
が、前記各情報処理手段に規定された通信シーケンスに
従った通信状態にあるか否かを判定し、この判定結果が
否定のときには前記各情報処理手段間における情報のア
クセスを遮断するネットワークアクセス制御装置。 - 【請求項6】 一方のネットワークと他方のネットワー
クとを結ぶ情報伝送路に接続されて、前記一方のネット
ワークに接続された情報処理手段と前記他方のネットワ
ークに接続された情報処理手段との間で互いにアクセス
される情報の通信状態を監視し、前記情報の通信状態
が、前記各情報処理手段の通信状態として状態遷移モデ
ルに基づいて規定された通信シーケンスに従った通信状
態にあるか否かを判定し、この判定結果が否定のときに
は前記各情報処理手段間における情報のアクセスを遮断
するネットワークアクセス制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11210379A JP2001034553A (ja) | 1999-07-26 | 1999-07-26 | ネットワークアクセス制御方法及びその装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11210379A JP2001034553A (ja) | 1999-07-26 | 1999-07-26 | ネットワークアクセス制御方法及びその装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001034553A true JP2001034553A (ja) | 2001-02-09 |
Family
ID=16588377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11210379A Pending JP2001034553A (ja) | 1999-07-26 | 1999-07-26 | ネットワークアクセス制御方法及びその装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001034553A (ja) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002251336A (ja) * | 2001-02-21 | 2002-09-06 | Mitsubishi Electric Corp | ネットワーク管理装置 |
| JP2004030287A (ja) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム |
| JP2005513591A (ja) * | 2001-06-14 | 2005-05-12 | シスコ システムズ インコーポレイテッド | ステイトフル分散型イベント処理及び適応保全 |
| JP2005293246A (ja) * | 2004-03-31 | 2005-10-20 | Toshiba Solutions Corp | サーバ計算機保護装置及びサーバ計算機保護プログラム |
| JP2006062471A (ja) * | 2004-08-25 | 2006-03-09 | Tokai Rika Co Ltd | 遠隔制御装置 |
| JP2007028643A (ja) * | 2005-07-20 | 2007-02-01 | Avaya Technology Corp | 電話内線攻撃の検出、記録および知的防止 |
| JP2008167460A (ja) * | 2001-08-03 | 2008-07-17 | Boeing Co:The | 航空機搭載型のセキュリティ管理プログラム |
| WO2009101962A1 (ja) * | 2008-02-15 | 2009-08-20 | Konami Digital Entertainment Co., Ltd. | 通信システム、通信方法、情報記録媒体、ならびに、プログラム |
| JP2009535626A (ja) * | 2006-04-26 | 2009-10-01 | トヨタ モーター エンジニアリング アンド マニュファクチャリング ノース アメリカ,インコーポレイティド | 車両診断に使用される監督エージェントを使用したインテリジェントエージェント管理システム及び方法 |
| WO2018134981A1 (ja) | 2017-01-20 | 2018-07-26 | 三菱電機株式会社 | データ判定装置、データ判定方法、および、データ判定プログラム |
| US10171252B2 (en) | 2015-01-16 | 2019-01-01 | Mitsubishi Electric Corporation | Data determination apparatus, data determination method, and computer readable medium |
| WO2021009925A1 (ja) | 2019-07-18 | 2021-01-21 | 三菱電機株式会社 | ネットワークセキュリティ装置、ネットワークセキュリティシステムおよびネットワークセキュリティ方法 |
| US11089033B2 (en) | 2016-04-26 | 2021-08-10 | Mitsubishi Electric Corporation | Intrusion detection device, intrusion detection method, and computer readable medium |
| DE112020006533T5 (de) | 2020-01-15 | 2022-11-17 | Mitsubishi Electric Corporation | Relais-einheit und relais-verfahren |
-
1999
- 1999-07-26 JP JP11210379A patent/JP2001034553A/ja active Pending
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002251336A (ja) * | 2001-02-21 | 2002-09-06 | Mitsubishi Electric Corp | ネットワーク管理装置 |
| JP2005513591A (ja) * | 2001-06-14 | 2005-05-12 | シスコ システムズ インコーポレイテッド | ステイトフル分散型イベント処理及び適応保全 |
| JP2008167460A (ja) * | 2001-08-03 | 2008-07-17 | Boeing Co:The | 航空機搭載型のセキュリティ管理プログラム |
| JP4573307B2 (ja) * | 2001-08-03 | 2010-11-04 | ザ・ボーイング・カンパニー | 航空機搭載型のセキュリティ管理プログラム |
| JP2004030287A (ja) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム |
| JP2005293246A (ja) * | 2004-03-31 | 2005-10-20 | Toshiba Solutions Corp | サーバ計算機保護装置及びサーバ計算機保護プログラム |
| JP2006062471A (ja) * | 2004-08-25 | 2006-03-09 | Tokai Rika Co Ltd | 遠隔制御装置 |
| US7653188B2 (en) | 2005-07-20 | 2010-01-26 | Avaya Inc. | Telephony extension attack detection, recording, and intelligent prevention |
| JP2007028643A (ja) * | 2005-07-20 | 2007-02-01 | Avaya Technology Corp | 電話内線攻撃の検出、記録および知的防止 |
| JP2009535626A (ja) * | 2006-04-26 | 2009-10-01 | トヨタ モーター エンジニアリング アンド マニュファクチャリング ノース アメリカ,インコーポレイティド | 車両診断に使用される監督エージェントを使用したインテリジェントエージェント管理システム及び方法 |
| WO2009101962A1 (ja) * | 2008-02-15 | 2009-08-20 | Konami Digital Entertainment Co., Ltd. | 通信システム、通信方法、情報記録媒体、ならびに、プログラム |
| US8560676B2 (en) | 2008-02-15 | 2013-10-15 | Konami Digital Entertainment Co., Ltd. | Communication system, communication method, information recording medium, and program |
| US10171252B2 (en) | 2015-01-16 | 2019-01-01 | Mitsubishi Electric Corporation | Data determination apparatus, data determination method, and computer readable medium |
| US11089033B2 (en) | 2016-04-26 | 2021-08-10 | Mitsubishi Electric Corporation | Intrusion detection device, intrusion detection method, and computer readable medium |
| WO2018134981A1 (ja) | 2017-01-20 | 2018-07-26 | 三菱電機株式会社 | データ判定装置、データ判定方法、および、データ判定プログラム |
| US11070577B2 (en) | 2017-01-20 | 2021-07-20 | Mitsubishi Electric Corporation | Data determination device, data determination method, and data determination program |
| WO2021009925A1 (ja) | 2019-07-18 | 2021-01-21 | 三菱電機株式会社 | ネットワークセキュリティ装置、ネットワークセキュリティシステムおよびネットワークセキュリティ方法 |
| US11882133B2 (en) | 2019-07-18 | 2024-01-23 | Mitsubishi Electric Corporation | Network security apparatus, network security system, and network security method |
| DE112020006533T5 (de) | 2020-01-15 | 2022-11-17 | Mitsubishi Electric Corporation | Relais-einheit und relais-verfahren |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2555486B1 (en) | Multi-method gateway-based network security systems and methods | |
| US6895432B2 (en) | IP network system having unauthorized intrusion safeguard function | |
| US6792546B1 (en) | Intrusion detection signature analysis using regular expressions and logical operators | |
| JP3824274B2 (ja) | 不正接続検知システム及び不正接続検知方法 | |
| US20030188190A1 (en) | System and method of intrusion detection employing broad-scope monitoring | |
| US20090254970A1 (en) | Multi-tier security event correlation and mitigation | |
| JP2019080310A (ja) | 強化されたスマートプロセス制御スイッチのポートロックダウン | |
| WO2003083659A1 (en) | Firewall system and method via feedback from broad-scope monitoring for intrusion detection | |
| WO2006044798A2 (en) | Cooperative processing and escalation in a multi-node application-layer security system and method | |
| WO2005071923A1 (en) | Systems and methods for monitoring data transmissions to detect a compromised network | |
| EP1725946A2 (en) | Dynamic network detection system and method | |
| WO2003100617A1 (en) | Adaptive intrusion detection system | |
| JP2001034553A (ja) | ネットワークアクセス制御方法及びその装置 | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| KR20090090641A (ko) | 능동형 보안 감사 시스템 | |
| KR100976602B1 (ko) | 파일 전송 보안 방법 및 장치 | |
| Cisco | Working with Sensor Signatures | |
| JP4002276B2 (ja) | 不正接続検知システム | |
| Shimamura et al. | Using attack information to reduce false positives in network ids | |
| Anand et al. | Network intrusion detection and prevention | |
| JP2003167786A (ja) | ネットワーク監視システム | |
| JP2000216830A (ja) | 多段ファイアウォ―ルシステム | |
| KR20080035724A (ko) | 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치 | |
| JP3948668B2 (ja) | セキュリティ自動設定装置、セキュリティ自動設定方法および記録媒体 |