JP2002199024A - 不正アクセス監視方法および内部通信ネットワーク - Google Patents

不正アクセス監視方法および内部通信ネットワーク

Info

Publication number
JP2002199024A
JP2002199024A JP2000397385A JP2000397385A JP2002199024A JP 2002199024 A JP2002199024 A JP 2002199024A JP 2000397385 A JP2000397385 A JP 2000397385A JP 2000397385 A JP2000397385 A JP 2000397385A JP 2002199024 A JP2002199024 A JP 2002199024A
Authority
JP
Japan
Prior art keywords
terminal
information
access
communication network
external
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000397385A
Other languages
English (en)
Other versions
JP3685062B2 (ja
Inventor
Hiroshi Ikebe
洋 池辺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2000397385A priority Critical patent/JP3685062B2/ja
Publication of JP2002199024A publication Critical patent/JP2002199024A/ja
Application granted granted Critical
Publication of JP3685062B2 publication Critical patent/JP3685062B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 内部通信ネットワークにおいて不正アクセス
端末を特定できる不正アクセス監視方法を提供する。 【解決手段】 内部通信ネットワークは、正規端末と異
なる罠端末を備えている。外部通信ネットワーク内の外
部端末から不正アクセスがあった場合、当該アクセスは
罠端末に誘導され(S2)、罠端末と不正アクセス端末との
間で通信回線が確立される(S3)。不正アクセス端末が予
め定められた罠コマンドを実行すると(S4のYES)、罠端
末は、外部端末に対して前段の外部端末の端末情報を内
部通信ネットワークに送信させるとともに、前段の外部
端末に対して端末情報命令を転送させる。そのため、こ
れを繰り返し実行することにより、不正アクセス端末の
端末情報(TF情報)を内部通信ネットワークに送信させ
ることができる。これにより、不正アクセス端末を容易
に特定することができる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、外部通信ネット
ワークから組織内などに構築された内部通信ネットワー
クへの不正アクセスを監視する方法、および上記内部通
信ネットワークに関する。
【0002】
【従来の技術】パーソナルコンピュータの普及に伴っ
て、日常業務のほとんどは、会社などの組織内の通信ネ
ットワークに接続されたパーソナルコンピュータおよび
ワークステーションなどの端末装置、ならびに各種情報
を提供するサーバを利用して行われるようになってきて
いる。さらに、こうした組織内の通信ネットワーク(以
下「内部通信ネットワーク」という)は、組織外との情
報交換の利便性を求めて世界中に接続されているインタ
ーネットなどの外部通信ネットワークと接続されて利用
されるのが通常である。こうした状況は、一方では、外
部通信ネットワークのユーザからの内部通信ネットワー
クへの様々な不正アクセスの脅威にさらされることにな
り、これらの不正アクセスを水際で食い止める技術が重
要になってきている。
【0003】不正アクセスを監視するための技術として
は、たとえば、次のようなものがある。内部通信ネット
ワークのゲートウエイは、外部通信ネットワークからの
通信に対し、そのパケット制御情報(接続元IPアドレ
ス、宛先IPアドレス、接続元ポート番号、宛先ポート
番号など)に基づいて、通過の可否を判断している。す
なわち、ゲートウエイは、上記パケット制御情報と事前
に通過許可登録されているパケット制御情報とを照合す
る。パケット制御情報が一致しない場合、内部通信ネッ
トワークのゲートウエイは、内部通信ネットワークへの
被害を阻止するため、その通信を強制終了する。こうす
ることにより、不正アクセスを水際で食い止めている。
【0004】
【発明が解決しようとする課題】しかしながら、上述の
技術では、不正アクセスをしてきたユーザに関する情報
を得ることができないとの問題があった。より詳述すれ
ば、上述の通信は、通常、TCP/IPを利用してい
る。TCP/IPでは、一般に、直接通信する端末に関
する情報のみをパケット制御情報ととして送受してい
る。したがって、不正アクセス端末からサーバなどを経
由して内部通信ネットワークに侵入してくる場合、内部
通信ネットワークのゲートウエイは、直前のサーバに関
するパケット制御情報しか得ることができない。そのた
め、さらに上流側にある不正アクセス端末の端末情報を
得ることができないという問題があった。
【0005】そこで、この発明の目的は、内部通信ネッ
トワークにおいて不正アクセス端末を特定できる不正ア
クセス監視方法を提供することである。
【0006】また、この発明の他の目的は、不正アクセ
ス端末を特定できる内部通信ネットワークを提供するこ
とである。
【0007】
【課題を解決するための手段】上記目的を達成するため
のこの発明は、直接通信する端末間のアドレスをパケッ
ト制御情報に含ませるようにした通信プロトコルに従っ
てパケットを送受する外部通信ネットワークと、この外
部通信ネットワークにゲートウエイを介して接続された
内部通信ネットワークとを有する通信ネットワークに用
いられる不正アクセス監視方法であって、上記ゲートウ
エイにおいて、外部通信ネットワークの端末である外部
端末からアクセスがあった場合に、そのアクセスが不正
アクセスであるか否かを検出する不正アクセス検出ステ
ップと、不正アクセスであると検出された場合に、内部
通信ネットワーク内の罠端末と外部通信ネットワークの
アクセス元の外部端末との間で通信回線を接続する回線
接続ステップと、通信回線接続中に、アクセス元の外部
端末が予め定められた罠処理を実行することにより、当
該アクセス元の外部端末の端末情報を内部通信ネットワ
ーク内の管理端末に送信する情報送信ステップとを含む
ものである。
【0008】また、直接通信する端末間のアドレスをパ
ケット制御情報に含ませるようにした通信プロトコルに
従ってパケットを送受する外部通信ネットワークと、こ
の外部通信ネットワークにゲートウエイを介して接続さ
れた内部通信ネットワークとを有する通信ネットワーク
に用いられる不正アクセス監視方法であって、アクセス
元の外部端末から回線接続が要求された外部端末におい
て、リモート操作であるか否かを判別するリモート判別
ステップと、リモート操作であると判別された場合に、
アクセス元の外部端末の端末情報を取得し後段の外部端
末に転送する情報取得・転送ステップと、後段の外部端
末において上記アクセス元の外部端末の端末情報をさら
に後段の外部端末に転送する情報転送ステップと、ゲー
トウエイにおいて、外部端末からアクセスがあった場合
に、不正アクセスであるか否かを検出する不正アクセス
検出ステップと、不正アクセスであると検出された場合
に、上記アクセス元の端末の端末情報を内部通信ネット
ワーク内の管理端末に転送するステップとを含むもので
ある。
【0009】さらに、直接通信する端末間のアドレスを
パケット制御情報に含ませるようにした通信プロトコル
に従ってパケットを送受する外部通信ネットワークにゲ
ートウエイを介して接続された内部通信ネットワークに
おいて、外部通信ネットワークの端末からアクセスがあ
った場合に、そのアクセスが不正アクセスであるか否か
を検出する手段と、不正アクセスであると検出された場
合に、上記アクセスが導かれる罠端末とを備え、上記罠
端末は、上記アクセスが導かれた場合に、外部通信ネッ
トワークのアクセス元の端末と通信回線を接続する手段
と、通信回線接続中においてアクセス元の端末が所定の
罠コマンドを実行するか否かを判別する手段と、上記罠
コマンドが実行されたと判別された場合に、前段の端末
の端末情報を取得し内部通信ネットワークに送信するこ
と、および当該送信命令を前段の端末に対して転送する
ことを規定した送信命令を外部通信ネットワークの端末
に対して送出する手段とを含むものである。
【0010】さらにまた、直接通信する端末間のアドレ
スをパケット制御情報に含ませるようにした通信プロト
コルに従ってパケットを送受する外部通信ネットワーク
にゲートウエイを介して接続された内部通信ネットワー
クにおいて、外部通信ネットワークの端末からアクセス
があった場合に、そのアクセスが不正アクセスであるか
否かを検出する手段と、不正アクセスであると検出され
た場合に、上記アクセスが導かれる罠端末とを備え、上
記罠端末は、上記アクセスが導かれた場合に、外部通信
ネットワークのアクセス元の端末と通信回線を接続する
手段と、予め定められたファイル操作プログラムにより
起動され、起動端末の端末情報を収集し内部通信ネット
ワーク内の管理端末に送信するように規定された情報収
集プログラムが埋め込まれた罠ファイルをダウンロード
可能に記憶するデータベースとを含むものである。
【0011】
【発明の実施の形態】以下では、この発明の実施の形態
を、添付図面を参照して詳細に説明する。
【0012】実施の形態1 図1は、この発明の実施の形態1に係る不正アクセス監
視方法が用いられた通信ネットワークの全体構成を示す
概念図である。この通信ネットワークは、インターネッ
トなどの有線の外部通信ネットワーク1に企業内などに
構築された有線の内部通信ネットワーク2が接続された
ものであり、複数のコンピュータ端末(以下単に「端
末」という)間においてTCP/IPなどの所定の通信
プロトコルに従ってパケットを送受信するものである。
【0013】より具体的には、この通信ネットワーク
は、外部通信ネットワーク1から内部通信ネットワーク
2への不正アクセスを監視し、不正アクセスが検出され
た場合に、内部通信ネットワーク2内の正規の端末と異
なる専用の端末を利用することにより、不正アクセス経
路を追跡するとともに不正アクセス端末の端末情報を取
得するように構成されたものである。
【0014】ここに、内部通信ネットワーク2は、企
業、大学、政府などの組織内に構築されている通信ネッ
トワークに相当するものである。また、上記通信プロト
コルは、TCP/IPに限定されることはなく、直接通
信する隣接端末間の端末情報をパケット制御情報に含ま
せるようにしたものであればよい。パケット制御情報
は、接続先MACアドレス、接続元MACアドレス、接
続先IPアドレス、接続元IPアドレス、接続元ポー
ト、接続先ポートおよびユーザ名などである。また、端
末情報は、接続元MACアドレス、接続元IPアドレス
およびユーザ名である。
【0015】なお、この通信ネットワークは、すべて有
線通信ネットワークを前提としている。しかし、たとえ
ば外部通信ネットワーク1および内部通信ネットワーク
2のいずれか一方または両方が無線の通信ネットワーク
でもよいことはもちろんである。
【0016】通信ネットワークの構成についてより詳述
すれば、内部通信ネットワーク2は、ゲートウエイGW
を介して外部通信ネットワーク1に接続されており、正
規ネットワークNn、罠ネットワークNwおよび管理ネ
ットワークNkを含む。ゲートウエイGWは、内部通信
ネットワーク2と外部通信ネットワーク1とを接続する
ためのネットワーク間接続装置の一種であり、外部通信
ネットワーク1からのアクセス監視など予め定められた
処理を実行するものである。
【0017】正規ネットワークNnは、ゲートウエイG
Wに接続され、内部通信ネットワーク2内の正規端末T
nが接続された正規の通信ネットワークに相当するもの
である。より具体的には、正規ネットワークNnは、た
とえばLAN(Local Area Network)を介して接続された
1または複数の正規端末Tnを含む。この正規端末Tn
は、たとえば、オペレータにより操作可能なパーソナル
コンピュータである。
【0018】罠ネットワークNwは、ゲートウエイGW
に接続され、外部通信ネットワーク1からの不正アクセ
スが導かれる通信ネットワークであり、1または複数台
の罠端末Twを含む。罠端末Twは、不正アクセス元の
端末情報を取得することを目的に設置されており、所定
の不正アクセス追跡プログラムが予め格納されている。
すなわち、罠端末Twは、不正アクセス追跡プログラム
に従って不正アクセス元の端末情報を追跡する処理を自
動的に実行するものであり、たとえばサーバにより構成
される。
【0019】管理ネットワークNkは、ゲートウエイG
Wに接続され、1または複数台の管理端末Tkを含む。
管理端末Tkは、内部通信ネットワーク2にアクセスし
てきた通信に関し予め定められた管理処理を自動的に実
行するものであり、たとえばサーバである。管理処理
は、たとえば、アクセスだけを拒否し、端末情報につい
てのみ正規ネットワークまで伝送するか否かを判断した
りする処理である。
【0020】外部通信ネットワーク1は、内部通信ネッ
トワーク2以外のすべての通信ネットワークを含む概念
のものであり、たとえばインターネットおよび/または
インターネットに接続された専用通信ネットワークから
なる。外部通信ネットワーク1は、複数台の外部端末T
mを含んでいる。この複数台の外部端末Tmの中には、
ユーザが操作するパーソナルコンピュータおよびワーク
ステーションなどの他に、サーバおよびルータも含まれ
る。ある外部端末Tmのアクセスは、たとえば、複数台
のサーバを経由して特定の端末に到達し、接続元の外部
端末Tmと特定の端末との間でTCP/IP通信が行わ
れる。上記特定の端末には、当然ながら内部通信ネット
ワーク2内の端末も含まれる。
【0021】なお、この実施の形態1では、外部端末T
mの一つである不正アクセス端末TFが内部通信ネット
ワーク2内の正規端末Tnにアクセスする際に、4つの
外部端末Tm、すなわち第1外部端末T1、第2外部端
末T2、第3外部端末T3および第4外部端末T4を経
由する場合を想定する。
【0022】図2は、パケットの構成を示す概念図であ
る。パケットは、ヘッダ部およびデータ部を含む。ヘッ
ダ部は、パケット制御情報を格納するもので、接続元M
ACアドレス(MAC SA)、接続元IPアドレス(IPヘッ
ダ)、ユーザ名および接続元ポート(Source Port)、なら
びに接続先MACアドレス(MAC DA)、接続先IPアドレ
ス(IPヘッダ)および接続先ポート(Destination Port)で
ある。データ部は、通信データを格納するものである。
MACアドレスは、たとえばLANカードに固有の製造
番号のようなシリアル番号であり、通常、設定変更でき
ないようになっている。
【0023】図3は、罠端末Twの内部構成を示す機能
ブロック図である。罠端末Twは、送受信部10、プロ
グラム記憶部11および制御部12を含む。送受信部1
0は、ゲートウエイGWを介して外部通信ネットワーク
1とパケットの送受信を行うものである。プログラム記
憶部11は、不正アクセス追跡プログラムを予め記憶し
ている。制御部12は、このプログラム記憶部11に記
憶された不正アクセス追跡プログラムに従って、不正ア
クセス追跡処理を実行する。
【0024】不正アクセス追跡プログラムは、所定の罠
コマンドが実行された場合に、外部通信ネットワーク1
の外部端末Tmに対して前段の外部端末Tmの端末情報
を内部通信ネットワーク2の管理端末Tkに送信させる
処理を規定するものである。より具体的には、不正アク
セス追跡プログラムは、不正ユーザが実行する可能性の
高いものとして予め設定された罠コマンドが実行された
場合に、外部通信ネットワーク1のアクセス経路を構成
するすべての外部端末T1〜T4およびTFに対して前
段の外部端末の端末情報を内部通信ネットワーク2の管
理端末Tkに送信させる処理を規定する。
【0025】ここに、上記罠コマンドは、罠端末Tw内
のファイルまたはプログラムの識別情報を表示させるコ
マンドである。より具体的には、上記罠コマンドは、罠
端末Tw内のファイル名またはプログラム名を一覧表示
させるコマンドであり、UNIX(登録商標)のコマン
ドであるls、psなどに相当する。なお、lsは、ファイル
一覧を表示させるコマンドであり、psは稼動しているプ
ロセス(プログラム)の一覧を表示させるコマンドであ
る。
【0026】罠端末Twは、この不正アクセス追跡プロ
グラムの実行を開始すると、ゲートウエイGWの前段の
外部端末である第4外部端末T4に送信命令パケットを
送信する。送信命令パケットは、端末情報送信命令を含
むものである。端末情報送信命令は、外部端末Tmに対
して前段の外部端末Tmの端末情報を管理端末Tk宛に
送信すること、および、当該端末情報送信命令を前段の
外部端末Tmに転送することを命令するものである。
【0027】したがって、第4外部端末T4は、第3外
部端末T3の端末情報を管理端末Tk宛に送信するとと
もに、送信命令パケットを第3外部端末T3に転送す
る。すると、第3外部端末T3においても第4外部端末
T4と同様の処理を行うことになる。以後の第2外部端
末T2、第1外部端末T1および不正アクセス端末TF
においても、第4外部端末T4と同様の処理を実行する
ことになる。そのため、アクセス経路を構成するすべて
の外部端末T1〜T4およびTFの端末情報を管理端末
Tkに通知することになる。
【0028】図4は、外部端末Tmの内部構成を示す機
能ブロック図である。外部端末Tmは、送受信部20お
よび制御部21を含む。送受信部20は、他の端末から
送信されてきたパケットを受信するとともに、他の端末
に対してパケットを送信する。制御部21は、送受信部
20により受信されたパケットを処理したり必要なパケ
ットを生成したりする。
【0029】より具体的には、制御部21は、送信要求
部22、要求応答部23、情報送信部24および送信命
令転送部25を備えている。送信要求部22は、送受信
部20において送信命令パケットを受信した場合に、送
信要求パケットを生成し、当該外部端末Tmの前段の外
部端末Tmに送信するものである。送信要求パケット
は、前段の外部端末Tmを宛先とし、かつ当該前段の外
部端末Tmの端末情報の送信を要求するものである。
【0030】要求応答部23は、後段の外部端末Tmか
ら送信要求パケットを送受信部20において受信した場
合に、自端末の端末情報を含む要求応答パケットを生成
し、後段の外部端末Tmに送信するものである。要求応
答パケットは、後段の外部端末Tmを宛先とし、かつ自
端末の端末情報を含むものである。
【0031】情報送信部24は、前段の外部端末Tmか
ら要求応答パケットを送受信部20において受信された
場合に、情報送信パケットを生成し、内部通信ネットワ
ーク2の管理端末Tkに送信するものである。情報送信
パケットは、内部通信ネットワーク2の管理端末Tkを
宛先とし、要求応答パケットに含まれている端末情報を
データとして含むものである。
【0032】送信命令転送部25は、後段の外部端末T
mから情報送信命令パケットを送受信部20において受
信された場合に、当該情報送信命令パケットを前段の外
部端末Tmにそのまま転送するものである。
【0033】図5は、管理端末Tkの内部構成を示す機
能ブロック図である。管理端末Tkは、送受信部30、
制御部31、情報記憶部32および入出力部33を含
む。送受信部30は、ゲートウエイGWを介して外部ネ
ットワーク1の外部端末Tmや内部ネットワーク2内の
正規端末Tn、罠端末Twとの間でパケットを送受信す
るものである。
【0034】制御部31は、管理端末Tkの制御中枢と
して機能するもので、たとえばCPUを含む。制御部3
1は、送受信部30において受信されたパケットを処理
したり、情報記憶部32の記憶内容を読み出して入出力
部33に出力したり、情報記憶部32に対して情報を書
き込んだりする。より具体的には、制御部31は、IP
アドレス変更部34および記憶制御部35を備えてい
る。IPアドレス変更部34は、ゲートウエイGWにて
不正アクセスであるとして送信されてきたパケットの接
続先IPアドレスを罠端末TwのIPアドレスに変更
し、送受信部30を介してゲートウエイGWに返信する
ものである。ゲートウエイGWは、当該パケットを罠端
末Twに送信する。これにより、不正アクセスを罠ネッ
トワークNwに導くことができる。
【0035】記憶制御部35は、外部ネットワーク1か
らゲートウエイGWを介して管理端末Tkに送信されて
きた情報送信パケット中の端末情報を抽出し、情報記憶
部32に記憶させる。また、記憶制御部35は、入出力
部33からの指示により、情報記憶部32の記憶内容を
入出力部33に出力する。入出力部33は、たとえばキ
ーボードと、ディスプレイおよび/またはプリンタとを
含むものである。したがって、キーボードから記憶内容
の表示が指示された場合、記憶制御部35は情報記憶部
32の記憶内容を読み出し、ディスプレイに表示させた
りプリンタによりプリントアウトさせる。こうすること
により、オペレータは、たとえば、不正アクセス経路の
全外部端末Tmの端末情報を視認することができる。
【0036】図6は、この実施の形態1に係る不正アク
セスを監視する際の通信シーケンス図である。不正アク
セス端末TFは、内部通信ネットワーク2内に侵入する
場合、宛先の正規端末TnのIPアドレス、MACアド
レスおよびポートを指定したうえで、接続要求パケット
を外部通信ネットワーク1上に送出する。この場合、上
記接続要求パケットは、パケット制御情報として上記宛
先のIPアドレスなどの他、自端末のIPアドレス、M
ACアドレスおよびポートを含む。この接続要求パケッ
トは、外部通信ネットワーク1の第1外部端末T1、第
2外部端末T2、第3外部端末T3および第4外部端末
T4を経由して内部通信ネットワーク2のゲートウエイ
GWにて受信される。
【0037】ゲートウエイGWは、受信されたパケット
が正規ユーザによるアクセスか否かを判断する(S
1)。具体的には、ゲートウエイGWは、当該接続要求
パケットのパケット制御情報を通過許可登録されている
情報と照合し、正規ユーザによるアクセスか否かを判断
する。正規ユーザによるアクセスであれば(S1のYE
S)、ゲートウエイGWは、当該接続要求パケットを正
規ネットワークNnの正規端末Tnに送出する。一方、
正規ユーザでなければ(S1のNO)、すなわち不正ユ
ーザであれば、ゲートウエイGWは、当該接続要求パケ
ットを管理端末Tkに転送する。
【0038】管理端末Tkは、当該接続要求パケットの
接続先IPアドレスを元の正規端末のものから罠端末T
wのものへと自動的に変更し(S2)、アドレス変更後
の接続要求パケットを罠ネットワークNw内の罠端末T
wに送信する。罠端末Twは、当該接続要求パケットを
受信すると、不正アクセス端末TFとの間で通信回線を
確立する。こうして、通信が開始される(S3)。
【0039】ところで、罠端末Twから送信されるパケ
ットの接続元IPアドレスは、ゲートウエイGWを通過
する際に、代理応答変換により外部向けのIPアドレス
に変換される。したがって、外部通信ネットワーク1か
ら見た場合、パケットの接続元が正規端末Tnであるか
罠端末Twであるかを識別することができない。
【0040】これにより、不正ユーザに対してあたかも
内部通信ネットワーク2に侵入し、正規端末Tnと通信
が確立できたかの錯覚を与えることができる。この場
合、正規端末Tnと通信としていると錯覚している不正
ユーザは、罠端末Twにおいて様々な不正操作を行うこ
とが予想され、その間に不正アクセス端末TFを特定す
る時間を確保することができる。
【0041】より詳述すれば、罠端末Twは、この通信
中に、罠コマンドを実行したか否かを判別する(S
4)。罠コマンドが実行されれば(S4のYES)、罠
端末Twは、端末情報送信命令を含む送信命令パケット
を生成し、当該送信命令パケットをゲートウエイGWを
介して外部通信ネットワーク1に送出する。当該送信命
令パケットは、ゲートウエイGWと直接通信している第
4外部端末T4にてまず受信される。
【0042】第4外部端末T4は、当該送信命令パケッ
トを受信すると、前段の第3外部端末T3に対して送信
要求パケットを送信するとともに、上記送信命令パケッ
トを転送する。前段の第3外部端末T3は、送信要求パ
ケットを受信すると、自端末の端末情報(T3情報:M
ACアドレス、IPアドレスおよびユーザ名)を含む要
求応答パケットを後段の第4外部端末T4に送信する。
【0043】要求応答パケットを受信した第4外部端末
T4は、当該要求応答パケットに含まれる端末情報をデ
ータとした情報送信パケットを生成し、当該情報送信パ
ケットを送出する。その結果、情報送信パケットは、ゲ
ートウエイGWを介して管理端末Tkに送信され、管理
端末Tkにおいて端末情報が記憶される。これにより、
内部通信ネットワーク2において不正アクセス経路の一
つである第3外部端末T3の端末情報を取得できる。
【0044】また、第4外部端末T4から送信命令パケ
ットが転送されてきた前段の第3外部端末T3は、第4
外部端末T4の場合と同様に、前段の第2外部端末T2
に対して送信要求パケットを送信するとともに、上記送
信命令パケットを転送する。
【0045】その結果、第2外部端末T2から端末情報
(T2情報)を含む要求応答パケットが第3外部端末T
3に送信され、第3外部端末T3においてT2情報を含
む情報送信パケットが生成され、当該情報送信パケット
が第4外部端末T4およびゲートウエイGWを介して管
理端末Tkに送信される。こうして、内部通信ネットワ
ーク2において第2外部端末T2の端末情報が取得され
る。
【0046】また、第3外部端末T3から送信命令パケ
ットが転送されてきた前段の第2外部端末T2は、第3
外部端末T3の場合と同様に、前段の第1外部端末T1
に対して送信要求パケットを送信するとともに、上記送
信命令パケットを転送する。
【0047】その結果、第1外部端末T1から端末情報
(T1情報)を含む要求応答パケットが第2外部端末T
2に送信され、第2外部端末T2においてT1情報を含
む情報送信パケットが生成され、当該情報送信パケット
が第3外部端末T3、第4外部端末T4およびゲートウ
エイGWを介して管理端末Tkに送信される。こうし
て、内部通信ネットワーク2において第1外部端末T1
の端末情報が取得される。
【0048】また、第2外部端末T2から送信命令パケ
ットが転送されてきた前段の第1外部端末T1は、第2
外部端末T2の場合と同様に、前段の不正アクセス端末
TFに対して送信要求パケットを送信するとともに、上
記送信命令パケットを転送する。
【0049】その結果、不正アクセス端末TFから端末
情報(TF情報)を含む要求応答パケットが第1外部端
末T1に送信され、第1外部端末T1においてTF情報
を含む情報送信パケットが生成され、当該情報送信パケ
ットが第2外部端末T2、第3外部端末T3、第4外部
端末T4およびゲートウエイGWを介して管理端末Tk
に送信される。こうして、内部通信ネットワーク2にお
いて不正アクセス端末TFの端末情報が取得される。
【0050】以上のようにこの実施の形態1によれば、
不正アクセスであることを検出した場合に、不正アクセ
ス端末TFと罠端末Twとの間で通信回線を接続させ、
所定の罠コマンドの実行により、不正アクセス端末TF
および不正アクセス経路を構成するすべての外部端末T
1〜T4およびTFの端末情報を内部通信ネットワーク
2に送信させる。したがって、不正アクセスから正規端
末Tnを保護できるだけでなく、不正アクセス端末TF
をも容易に特定できる。そのため、不正アクセスの芽を
迅速に摘むことができ、セキュリティ効果の高いネット
ワーク構築を実現できる。
【0051】また、正規端末Tnに不正アクセス追跡処
理を行わせるのでなく専用の罠端末Twを別に備え、こ
の罠端末Twにて不正アクセス追跡処理を行わせるよう
にしているので、正規端末Tnの保護を確実に図ること
ができる。
【0052】さらに、不正アクセス経路を構成する各外
部端末Tmの端末情報をも内部通信ネットワーク2に送
信させているから、不正アクセス経路をも特定すること
ができる。
【0053】なお、上述の説明では、不正アクセス端末
TFを特定するだけである。しかし、たとえば、その特
定された不正アクセス端末TFに対して内部通信ネット
ワーク2から警告メッセージを送信するようにしてもよ
い。より具体的には、管理端末Tkは、不正アクセス端
末TFの端末情報を記憶し終えると、その旨をゲートウ
エイGWを介して罠端末Twに通知する。罠端末Tw
は、この通知に応答してパケットのデータ部に警告メッ
セージを上書きする。警告メッセージは、たとえば、不
正アクセスであること、および不正アクセス端末を特定
済みであることを含む。その後、罠端末Twは、当該通
信を強制切断する。
【0054】こうすることにより、不正アクセス端末T
Fでは、警告メッセージがユーザに提示されることにな
る。そのため、不正ユーザに対して不正侵入をあきらめ
させるのに役立つ。
【0055】実施の形態2 図7は、この発明の実施の形態2に係る罠端末Twの内
部構成を示す機能ブロック図である。図7において、図
3と同じ機能部分については同一の参照符号を使用す
る。
【0056】上記実施の形態1では、罠端末Twにて所
定の罠コマンドを実行することを条件に、不正アクセス
経路を構成するすべての外部端末Tmの端末情報を内部
通信ネットワーク2に送信させている。これに対して、
この実施の形態2では、罠端末Twから情報収集プログ
ラムを含む罠ファイルをダウンロードさせ、不正アクセ
ス端末TFにてその罠ファイルを開いた場合に、情報収
集プログラムが自動的に実行されて不正アクセス端末T
Fの端末情報を調査し、当該端末情報を内部通信ネット
ワーク2に強制的に送信するようにしている。
【0057】より詳述すれば、この実施の形態2に係る
罠端末Twは、プログラム記憶部11の代わりに、1ま
たは複数の罠ファイルFを記憶しているデータベース4
0を有している。罠ファイルFは、たとえば、パスワー
ドを記録したパスワードファイル、アクセスログファイ
ル、各種サービスのコンフィギュレーションファイルで
ある。この罠ファイルFは、不正ユーザがいかにも内容
を参照したくなるようなファイルとしておく。もちろん
この罠ファイルFに記述されている内容は、正規の情報
でなく適当な情報である。
【0058】罠ファイルFの中には、所定の情報収集プ
ログラムPが埋め込まれている。情報収集プログラムP
は、予め定められたファイル操作プログラムにより起動
し、起動端末の端末情報を調査し、管理端末Tkに自動
的に通知するように規定されたものである。ここに、フ
ァイル操作プログラムは、外部端末Tmにて使用されて
いる高汎用性のものが選ばれる。たとえば、テキストエ
ディタまたはテキストコマンドである。一方、罠端末T
wは、このファイル操作プログラムの実行を禁止するよ
うに設定されている。これにより、罠ファイルFを罠端
末Twにて実行することができないので、罠ファイルF
を不正アクセス端末TFまでダウンロードさせ不正アク
セス端末TFにて実行させるということを補償すること
ができる。
【0059】図8は、この実施の形態2において不正ア
クセスを監視する際の通信シーケンス図である。不正ア
クセス端末TFが複数の第1〜第4外部端末T1〜T4
を経由して内部通信ネットワーク2にアクセスしてくる
と、ゲートウエイGWは、そのアクセスが正規ユーザか
らのものであるか否かをパケット制御情報および通過許
可登録済の情報を照合することにより調べる(T1)。
正規ユーザであれば(T1のYES)、ゲートウエイG
Wは、その接続要求パケットを正規端末Tnに転送す
る。一方、不正ユーザであれば(T1のNO)、ゲート
ウエイGWは、その接続要求パケットを管理端末Tkに
転送する。管理端末Tkは、IPアドレスを罠端末Tw
のものに自動変更した後(T2)、当該接続要求パケッ
トを罠端末Twに転送する。
【0060】罠端末Twは、接続要求パケットを受信す
ると、不正アクセス端末TFとの間で通信回線を確立
し、通信を開始する(T3)。この通信中において、不
正アクセス端末TFは、罠ファイルFを発見すると、罠
ファイルFを罠端末Twで開こうとすると予想される。
しかし、罠端末Twではこの罠ファイルFを開くことが
できないので、次に、不正アクセス端末TFは、当該罠
ファイルFをダウンロードすることになると予想され
る。
【0061】上述したように、罠ファイルFテキストエ
ディタなどで開くことができる。不正アクセス端末TF
により当該罠ファイルFがテキストエディタなどで開か
れると(T4)、当該罠ファイルFに埋め込まれている
情報収集プログラムの実行が開始される(T5)。
【0062】より具体的には、情報収集プログラムは、
起動端末である不正アクセス端末TFの端末情報(IP
アドレス、MACアドレスおよびユーザ名)を調査し、
当該端末情報を含むパケットを自動生成する。この場
合、当該パケットの宛先は、管理端末Tkとする。情報
収集プログラムは、当該パケットを起動端末から外部通
信ネットワーク1中に送出する。
【0063】その結果、不正アクセス端末TFの端末情
報を含むパケットは、第1〜第4外部端末T1〜T4を
経由してゲートウエイGWにて受信される。ゲートウエ
イGWは、このパケットを管理端末Tkに転送する。管
理端末Tkは、このパケットを受信すると、当該パケッ
トの中から端末情報を抽出し、当該端末情報を情報記憶
部32に記憶する。
【0064】以上のようにこの実施の形態2によれば、
不正ユーザが内容を参照したくなるような罠ファイルF
の中に起動端末の端末情報を自動的に調査し管理端末T
kに自動通知する情報収集プログラムPを埋め込んでい
るから、不正アクセス端末TFの端末情報を取得するこ
とができる。そのため、不正アクセス端末TFを容易に
特定できる。
【0065】なお、上述の説明では、上記実施の形態1
での説明と同様に、不正アクセス端末TFを特定するだ
けで終了している。しかし、この実施の形態2に係る構
成に加えて、特定された不正アクセス端末TFに内部通
信ネットワーク2から警告メッセージを送信するように
してもよいことはもちろんである。
【0066】実施の形態3 図9は、この発明の実施の形態3に係る外部端末Tmの
内部構成を示す機能ブロック図である。図9において、
図4と同じ機能部分については同一の参照符号を使用す
る。
【0067】上記実施の形態1および2では、不正アク
セス専用の罠端末Twを備え、この罠端末Twを使って
不正アクセス端末TFの端末情報収集を行っている。こ
れに対して、この実施の形態3では、内部通信ネットワ
ーク2に罠ネットワークNwを備えずに、不正アクセス
経路となっている複数の外部端末Tmにおいて前段の外
部端末Tmの端末情報を記憶・通知する処理を順次実行
させることにより、不正アクセス端末TFの端末情報を
収集することとしている。
【0068】より詳述すれば、この実施の形態3に係る
外部端末Tmは、パケットを受信した場合にリモート操
作を検出したときには、前段の外部端末Tmの端末情報
をいったん記憶するとともに当該記憶された端末情報を
後段の外部端末Tmに転送するように構成されている。
【0069】より具体的には、外部端末Tmは、情報記
憶部50を備えている。情報記憶部50は、前段の外部
端末Tmの端末情報を記憶するものである。また、外部
端末Tmの制御部51は、リモート操作を検出するリモ
ート操作検出部52を備えている。リモート操作は、あ
る外部端末Tmから別の外部端末Tmに対してネットワ
ーク経由でサービスを要求する操作のことである。リモ
ート操作に対応するパケットは、リモート操作に固有の
ポート番号を有している。リモート操作検出部52は、
受信されたパケットの中のポート番号を参照し、リモー
ト操作か否かを検出する。
【0070】また、外部端末の制御部51は、情報制御
部53を備えている。情報制御部53は、リモート操作
検出部52によりリモート操作であることが検出された
場合に、前段の外部端末Tmに対して端末情報の送信要
求を送受信部20を介して送出し、前段の外部端末Tm
から送信されてきた端末情報を情報記憶部50に記憶す
る。また、情報制御部53は、リモート操作であると検
出された場合に、前段の外部端末Tmから端末情報専用
パケットが送信されているとき、当該端末情報専用パケ
ットを後段の外部端末Tmに転送する。一方、端末情報
専用パケットが送信されていないときには、情報記憶部
50に記憶された端末情報を含む端末情報専用パケット
を新たに生成し、当該端末情報専用パケットを後段の外
部端末Tmに送信する。
【0071】図10は、この実施の形態3において不正
アクセスを監視する際の通信シーケンス図である。不正
アクセス端末TFは、内部通信ネットワーク2の任意の
正規端末Tnにアクセスする場合、自端末の端末情報を
含む接続要求パケットを送出する。この場合、不正アク
セス端末TFは、リモート操作であることを示すポート
番号をパケット制御情報に含ませる。この接続要求パケ
ットは、外部通信ネットワーク1内の第1外部端末T1
にて受信される。
【0072】第1外部端末T1内のリモート操作検出部
52は、この接続要求パケットを受信すると、ポート番
号を参照し、リモート操作であるか否かを検出する(U
1)。リモート操作であれば、第1外部端末T1内の情
報制御部53は、端末情報専用パケットを受信したか否
かを判別する。この場合、端末情報専用パケットを受信
していないから、情報制御部53は、端末情報の送信要
求パケットを不正アクセス端末TFに送信する(U
2)。不正アクセス端末TFは、これに応答して、MA
Cアドレス、IPアドレスおよびユーザ名からなる端末
情報(TF情報)を含む要求応答パケットを第1外部端
末TFに送信する(U3)。
【0073】第1外部端末T1は、この要求応答パケッ
ト内のTF情報を情報記憶部50に記憶するとともに
(U4)、上記TF情報を含む端末情報専用パケットを
新たに生成し、当該端末情報専用パケットを接続要求パ
ケットとともに後段の第2外部端末T2に送信する(U
5)。
【0074】第2外部端末T2のリモート操作検出部5
2は、受信された接続要求パケット中のポート番号を参
照し、リモート操作であるか否かを検出する(U6)。
リモート操作である場合には、情報制御部53は、端末
情報専用パケットを受信したか否かを判別する。この場
合には端末情報専用パケットを受信しているから、情報
制御部53は、受信されている端末情報専用パケット内
のTF情報を情報記憶部50に記憶するとともに、上記
端末情報専用パケットをそのまま後段の第3外部端末T
3に転送する(U7)。また、情報制御部53は、受信
された接続要求パケットも第3外部端末T3に転送する
(U7)。
【0075】その後、ゲートウエイGWに至るまでの第
3外部端末T3および第4外部端末T4は、第2外部端
末T2と同様に、リモート操作であることを検出した場
合に(U8、U10)、TF情報を情報記憶部50に記
憶し、端末情報専用パケットを転送していく(U9、U
11)。その結果、端末情報専用パケットはゲートウエ
イGWに到達する。
【0076】ゲートウエイGWは、接続要求パケットの
パケット制御情報に基づいて、当該アクセスが正規ユー
ザからのものであるか否かを判別する(U12)。正規
ユーザからのものであれば、ゲートウエイGWは、当該
アクセスを正規端末Tnに導く。この場合、TF情報を
破棄する。一方、不正ユーザであれば、ゲートウエイG
Wは、上記端末情報専用パケットを管理端末Tkに転送
する(U13)。管理端末Tkは、端末情報専用パケッ
トを受信すると、当該パケットからTF情報を抽出し、
情報記憶部32に記憶させる。こうして、不正アクセス
端末TFを特定することができる。
【0077】管理端末Tkは、TF情報の記憶が完了す
ると、TF情報の記憶完了を示す完了パケットをゲート
ウエイGWに送信する(U14)。これに応答して、ゲ
ートウエイGWは、当該不正アクセス端末TFからのア
クセスを拒否する。
【0078】以上のようにこの実施の形態3によれば、
不正アクセス経路となる複数の外部端末Tmにおいて不
正アクセス端末TFの端末情報を記憶・通知する処理を
順次実行させている。したがって、罠ネットワークNw
を備えなくても、不正アクセス端末TFの端末情報を収
集することができる。そのため、不正アクセス端末TF
を容易に特定することができる。
【0079】また、不正アクセス端末TFの端末情報を
記憶した後に不正アクセスを拒否している。すなわち、
不正アクセスを迅速に排除しているから、内部通信ネッ
トワーク2内の正規端末Tnを保護することができる。
【0080】実施の形態4 図11は、この発明の実施の形態4に係る外部端末Tm
の内部構成を示す機能ブロック図である。図11におい
て、図9と同じ機能部分については同一の参照符号を使
用する。
【0081】上記実施の形態3では、不正アクセスであ
る場合にTF情報を管理端末Tkにて記憶させることに
より、不正アクセス端末TFを特定するようにしてい
る。しかし、もしもTF情報が改ざんされていれば、T
F情報を記憶しても不正アクセス端末TFを正確に特定
できないことになる。そこで、この実施の形態4では、
TF情報が改ざんされているか否かを検出し、その検出
結果に応じた処理を行うようにしている。
【0082】より詳述すれば、この実施の形態4に係る
外部端末Tmの制御部60は、リモート操作検出部52
および情報制御部53の他に、電子署名部61、暗号化
部62、フィルタリング部63および改ざん検出部64
を備えている。電子署名部61は、情報記憶部50に記
憶されたTF情報を読み出して当該TF情報に対して電
子署名を施すものである。暗号化部62は、電子署名が
施されたTF情報に対して所定の秘密鍵を用いて暗号化
を施すものである。このように、TF情報に対して電子
署名を施し暗号化を施すのは、不正ユーザが容易に復号
化して内容を把握することができないようにするためで
ある。
【0083】フィルタリング部63は、この暗号化され
たTF情報を一方向関数などの所定関数でフィルタリン
グし、フィルタリング結果を求めるものである。この場
合、フィルタリング結果は、演算対象となったTF情報
に対応する結果となっている。フィルタリング部63
は、求められたフィルタリング結果を改ざん検出部64
に与える。
【0084】改ざん検出部64は、他の外部端末Tmか
ら別のフィルタリング結果が送信されてきたか否かを判
別し、その判別結果に応じた処理を実行するものであ
る。より具体的には、他の外部端末Tmから別のフィル
タリング結果が送信されてきていない場合、改ざん検出
部64は、上記フィルタリング結果を第1のフィルタリ
ング結果(第1の演算結果データ)とし、上記TF情報
とともに後段の外部端末Tmに送信する。
【0085】一方、他の外部端末Tmから別のフィルタ
リング結果が送信されてきている場合、すなわち第1の
フィルタリング結果が送信されてきている場合、改ざん
検出部64は、上記第1のフィルタリング結果と、自端
末のフィルタリング部63から与えられたフィルタリン
グ結果(第2のフィルタリング結果:第2の演算結果デ
ータ)とを比較し、一致しているか否かを判別する。
【0086】一致していれば、改ざん検出部64は、第
1のフィルタリング結果を上記TF情報とともに後段の
外部端末Tmに送信する。この場合、すべての外部端末
T1〜T4において第1および第2のフィルタリング結
果が一致していれば、当該アクセスは、ゲートウエイG
Wに到達する。ゲートウエイGWは、不正アクセスであ
るか否かにかかわらず、当該アクセスを管理端末Tkに
導く。一方、一致していなければ、前段の外部端末Tm
にてTF情報が改ざんされたものと考えられるから、改
ざん検出部64は、以降の外部端末Tmへのアクセスを
禁止するとともに、当該アクセスを強制切断する。すな
わち、TF情報が改ざんされていれば、当該アクセスを
内部通信ネットワーク2にまで導いても、不正アクセス
端末TFを特定することができないからである。
【0087】図12は、この実施の形態4に係る管理端
末Tkの内部構成を示す機能ブロック図である。図12
において、図5と同じ機能部分についは同一の参照符号
を使用する。管理端末Tkの制御部70は、IPアドレ
ス変更部34および記憶制御部35の他に、電子署名部
71、暗号化部72、フィルタリング部73および改ざ
ん検出部74を備えている。電子署名部71、暗号化部
72およびフィルタリング部73の構成は、外部端末T
mと同一である。
【0088】改ざん検出部74は、自端末で求められた
フィルタリング結果(第3のフィルタリング結果:第3
の演算結果データ)と第1のフィルタリング結果とを比
較する。一致していれば、管理端末TkにおいてTF情
報が改ざんされていないと考えられるから、当該アクセ
スは正規アクセスであると判断することができる。一
方、一致していなければ、管理端末Tkにまで不正アク
セスが入り込んで管理端末TkにてTF情報の改ざんが
行われたと考えられるから、管理端末Tkの改ざん検出
部74は、ゲートウエイGWの直前の第4外部端末T4
に対して、記憶されているTF情報の送信要求を示す送
信要求パケットを送信する。その結果、第4外部端末T
4からTF情報を含む要求応答パケットが管理端末Tk
宛に返信されてくる。これにより、管理端末Tkは、真
のTF情報を得ることができる。
【0089】以上のようにこの実施の形態4によれば、
各外部端末TmにおいてTF情報が改ざんされているか
否かを検出し、改ざんされていればそれ以降のアクセス
を拒否している。したがって、内部通信ネットワーク2
においては、不正アクセス端末TFの無駄な特定作業を
行わなくて済む。また、万が一不正アクセスが内部通信
ネットワーク2に侵入し、内部ネットワーク2にてTF
情報が改ざんされても、外部端末Tmから真のTF情報
を取得するようにしているから、内部通信ネットワーク
2において不正アクセス端末TFを容易に特定すること
ができる。
【0090】
【発明の効果】以上のようにこの発明によれば、不正ア
クセスを検出した場合に、罠端末と不正アクセス端末と
の回線を接続させ、不正アクセス端末において所定の罠
処理が実行された場合に、不正アクセス端末の端末情報
を内部通信ネットワークに送信するようにしている。し
たがって、内部通信ネットワークは、不正アクセス端末
の端末情報を取得することができる。そのため、不正ア
クセス端末を容易に特定することができる。
【0091】また、この発明によれば、外部端末におい
てリモート操作を検出した場合であって、アクセス元の
端末の端末情報を受信した場合に、当該アクセス元の端
末情報を後段の外部端末に転送するようにしている。し
たがって、内部通信ネットワークには、内部通信ネット
ワークの直前の外部端末からアクセス元の端末の端末情
報が送信されることになる。そのため、不正アクセス元
の外部端末を容易に特定することができる。
【図面の簡単な説明】
【図1】 この発明の実施の形態1に係る不正アクセス
監視方法が用いられた通信ネットワークの全体構成を示
す概念図である。
【図2】 パケットの構成を示す概念図である。
【図3】 罠端末の内部構成を示す機能ブロック図であ
る。
【図4】 外部端末の内部構成を示す機能ブロック図で
ある。
【図5】 管理端末の内部構成を示す機能ブロック図で
ある。
【図6】 実施の形態1に係る不正アクセス端末を特定
する際の通信シーケンス図である。
【図7】 この発明の実施の形態2に係る罠端末の内部
構成を示す機能ブロック図である。
【図8】 実施の形態2に係る不正アクセス端末を特定
する際の通信シーケンス図である。
【図9】 この発明の実施の形態3に係る外部端末の内
部構成を示す機能ブロック図である。
【図10】 実施の形態3に係る不正アクセス端末を特
定する際の通信シーケンス図である。
【図11】 実施の形態4に係る外部端末の内部構成を
示す機能ブロック図である。
【図12】 実施の形態4に係る管理端末の内部構成を
示す機能ブロック図である。
【符号の説明】
1 外部通信ネットワーク、2 内部通信ネットワー
ク、Tm 外部端末、Tw 罠端末、11 プログラム
記憶部、22 送信要求部、23 要求応答部、24
情報送信部、25 送信命令転送部、34 IPアドレ
ス変更部、35記憶制御部、40 データベース、F
罠ファイル、P 情報収集プログラム、52 リモート
操作検出部、53 情報制御部、61 電子署名部、6
2 暗号化部、63 フィルタリング部、64 改ざん
検出部、71 電子署名部、72暗号化部、73 フィ
ルタリング部、74 改ざん検出部。

Claims (13)

    【特許請求の範囲】
  1. 【請求項1】 直接通信する端末間のアドレスをパケッ
    ト制御情報に含ませるようにした通信プロトコルに従っ
    てパケットを送受する外部通信ネットワークと、この外
    部通信ネットワークにゲートウエイを介して接続された
    内部通信ネットワークとを有する通信ネットワークに用
    いられる不正アクセス監視方法であって、 上記ゲートウエイにおいて、外部通信ネットワークの端
    末である外部端末からアクセスがあった場合に、そのア
    クセスが不正アクセスであるか否かを検出する不正アク
    セス検出ステップと、 不正アクセスであると検出された場合に、内部通信ネッ
    トワーク内の罠端末と外部通信ネットワークのアクセス
    元の外部端末との間で通信回線を接続する回線接続ステ
    ップと、 通信回線接続中に、アクセス元の外部端末が予め定めら
    れた罠処理を実行することにより、当該アクセス元の外
    部端末の端末情報を内部通信ネットワーク内の管理端末
    に送信する情報送信ステップとを含む不正アクセス監視
    方法。
  2. 【請求項2】 請求項1において、情報送信ステップ
    は、 通信回線接続中に、所定の罠コマンドが実行されたこと
    に応答して罠端末から外部端末に対して情報送信命令を
    送信するステップと、 外部端末において情報送信命令を受信した場合に、当該
    外部端末の前段の外部端末の端末情報を取得し内部通信
    ネットワーク内の管理端末に送信するステップと、 外部端末において情報送信命令を受信した場合に、当該
    外部端末の前段の外部端末に対して上記情報送信命令を
    転送するステップとを含む不正アクセス監視方法。
  3. 【請求項3】 請求項2において、端末情報を内部通信
    ネットワーク内の管理端末に送信するステップは、 外部端末において上記情報送信命令を受信した場合に、
    当該外部端末の前段の外部端末に対して端末情報の送信
    を要求するステップと、 前段の外部端末から端末情報が送信されてきた場合に、
    当該端末情報を内部通信ネットワーク内の管理端末に送
    信するステップとを含む不正アクセス監視方法。
  4. 【請求項4】 請求項2または3において、罠コマンド
    は、上記罠端末内のファイルまたはプログラムの識別情
    報を表示させるコマンドである不正アクセス監視方法。
  5. 【請求項5】 請求項1において、情報送信ステップ
    は、通信回線接続後に、外部端末において内部通信ネッ
    トワーク内の罠端末からダウンロードされた情報収集プ
    ログラム内蔵の罠ファイルを予め定められたファイル操
    作プログラムにより起動された場合に、当該外部端末の
    端末情報を内部通信ネットワーク内の管理端末に送信さ
    せるものである不正アクセス監視方法。
  6. 【請求項6】 請求項5において、ファイルは、パスワ
    ードファイル、アクセスログファイルおよび/またはコ
    ンフィギュレーションファイルである不正アクセス監視
    方法。
  7. 【請求項7】 直接通信する端末間のアドレスをパケッ
    ト制御情報に含ませるようにした通信プロトコルに従っ
    てパケットを送受する外部通信ネットワークと、この外
    部通信ネットワークにゲートウエイを介して接続された
    内部通信ネットワークとを有する通信ネットワークに用
    いられる不正アクセス監視方法であって、 アクセス元の外部端末から回線接続が要求された外部端
    末において、リモート操作であるか否かを判別するリモ
    ート判別ステップと、 リモート操作であると判別された場合に、アクセス元の
    外部端末の端末情報を取得し後段の外部端末に転送する
    情報取得・転送ステップと、 後段の外部端末において上記アクセス元の外部端末の端
    末情報をさらに後段の外部端末に転送する情報転送ステ
    ップと、 ゲートウエイにおいて、外部端末からアクセスがあった
    場合に、不正アクセスであるか否かを検出する不正アク
    セス検出ステップと、 不正アクセスであると検出された場合に、上記アクセス
    元の端末の端末情報を内部通信ネットワーク内の管理端
    末に転送するステップとを含む不正アクセス監視方法。
  8. 【請求項8】 請求項7において、さらに、 管理端末においてアクセス元の端末情報を受信したか否
    かを判別するステップと、 アクセス元の端末情報を受信した場合に、アクセス元の
    端末との回線接続を強制終了するステップとを含む不正
    アクセス監視方法。
  9. 【請求項9】 請求項7または8において、情報取得・
    転送ステップは、 アクセス元の端末から取得された端末情報を記憶するス
    テップと、 記憶された端末情報に対して所定の暗号化処理を施すこ
    とにより上記端末情報に対応する第1の演算結果データ
    を求めるステップと、 この求められた第1の演算結果データを上記アクセス元
    の端末情報とともに後段の外部端末に転送するステップ
    とを有するものであり、 第1の演算結果データおよびアクセス元の端末情報を受
    信した後段の外部端末において、受信されたアクセス元
    の端末情報に対して上記暗号化処理を施すことにより上
    記端末情報に対応する第2の演算結果データを求めるス
    テップと、 上記第1の演算結果データと上記第2の演算結果データ
    とを比較することにより、上記端末情報の改ざんが行わ
    れたか否かを判別するステップと、 上記端末情報の改ざんが行われたと判別された場合に、
    当該アクセスを強制切断するステップとをさらに含む不
    正アクセス監視方法。
  10. 【請求項10】 請求項9において、さらに、 上記端末情報の改ざんが行われていないと判別された場
    合に、上記第1の演算結果データを上記アクセス元の端
    末情報とともにさらに後段の外部端末に転送するステッ
    プと、 不正アクセス検出ステップにおいて不正アクセスでない
    と検出された場合においても、上記第1の演算結果デー
    タおよびアクセス元の端末情報を含む当該アクセスを内
    部通信ネットワーク内の管理端末に導くステップと、 管理端末において受信されたアクセス元の端末情報に対
    して上記暗号化処理を施すことにより上記端末情報に対
    応する第3の演算結果データを求めるステップと、 上記第1の演算結果データと上記第3の演算結果データ
    とを比較することにより、上記端末情報の改ざんが行わ
    れたか否かを判別するステップと、 改ざんが行われた場合に、記憶されているアクセス元の
    端末情報を管理端末に送信するように外部端末に命令す
    るステップとを含む不正アクセス監視方法。
  11. 【請求項11】 請求項1ないし10のいずれかにおい
    て、端末情報は、MACアドレス、IPアドレスおよび
    ユーザ名を含むものである不正アクセス監視方法。
  12. 【請求項12】 直接通信する端末間のアドレスをパケ
    ット制御情報に含ませるようにした通信プロトコルに従
    ってパケットを送受する外部通信ネットワークにゲート
    ウエイを介して接続された内部通信ネットワークにおい
    て、 外部通信ネットワークの端末からアクセスがあった場合
    に、そのアクセスが不正アクセスであるか否かを検出す
    る手段と、 不正アクセスであると検出された場合に、上記アクセス
    が導かれる罠端末とを備え、 上記罠端末は、上記アクセスが導かれた場合に、外部通
    信ネットワークのアクセス元の端末と通信回線を接続す
    る手段と、通信回線接続中においてアクセス元の端末が
    所定の罠コマンドを実行するか否かを判別する手段と、
    上記罠コマンドが実行されたと判別された場合に、前段
    の端末の端末情報を取得し内部通信ネットワークに送信
    すること、および当該送信命令を前段の端末に対して転
    送することを規定した送信命令を外部通信ネットワーク
    の端末に対して送出する手段とを含むものである内部通
    信ネットワーク。
  13. 【請求項13】 直接通信する端末間のアドレスをパケ
    ット制御情報に含ませるようにした通信プロトコルに従
    ってパケットを送受する外部通信ネットワークにゲート
    ウエイを介して接続された内部通信ネットワークにおい
    て、 外部通信ネットワークの端末からアクセスがあった場合
    に、そのアクセスが不正アクセスであるか否かを検出す
    る手段と、 不正アクセスであると検出された場合に、上記アクセス
    が導かれる罠端末とを備え、 上記罠端末は、上記アクセスが導かれた場合に、外部通
    信ネットワークのアクセス元の端末と通信回線を接続す
    る手段と、予め定められたファイル操作プログラムによ
    り起動され、起動端末の端末情報を収集し内部通信ネッ
    トワーク内の管理端末に送信するように規定された情報
    収集プログラムが埋め込まれた罠ファイルをダウンロー
    ド可能に記憶するデータベースとを含むものである内部
    通信ネットワーク。
JP2000397385A 2000-12-27 2000-12-27 不正アクセス監視方法および内部通信ネットワーク Expired - Fee Related JP3685062B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000397385A JP3685062B2 (ja) 2000-12-27 2000-12-27 不正アクセス監視方法および内部通信ネットワーク

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000397385A JP3685062B2 (ja) 2000-12-27 2000-12-27 不正アクセス監視方法および内部通信ネットワーク

Publications (2)

Publication Number Publication Date
JP2002199024A true JP2002199024A (ja) 2002-07-12
JP3685062B2 JP3685062B2 (ja) 2005-08-17

Family

ID=18862513

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000397385A Expired - Fee Related JP3685062B2 (ja) 2000-12-27 2000-12-27 不正アクセス監視方法および内部通信ネットワーク

Country Status (1)

Country Link
JP (1) JP3685062B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004153485A (ja) * 2002-10-30 2004-05-27 Jens Corp 通信セキュリティシステム
WO2006048936A1 (ja) * 2004-11-05 2006-05-11 Mitsubishi Denki Kabushiki Kaisha アドホック・ネットワーク、移動端末、ゲートウェイノード及びゲートウェイノードの選択方法
JP2008124870A (ja) * 2006-11-14 2008-05-29 Kwok-Yan Leung 末端機をセクション化するシステムと方法
JP2010134832A (ja) * 2008-12-08 2010-06-17 Ricoh Co Ltd 情報処理装置及びプログラム
JP5613855B1 (ja) * 2014-04-23 2014-10-29 株式会社 ディー・エヌ・エー ユーザ認証システム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004153485A (ja) * 2002-10-30 2004-05-27 Jens Corp 通信セキュリティシステム
WO2006048936A1 (ja) * 2004-11-05 2006-05-11 Mitsubishi Denki Kabushiki Kaisha アドホック・ネットワーク、移動端末、ゲートウェイノード及びゲートウェイノードの選択方法
JP2008124870A (ja) * 2006-11-14 2008-05-29 Kwok-Yan Leung 末端機をセクション化するシステムと方法
JP2010134832A (ja) * 2008-12-08 2010-06-17 Ricoh Co Ltd 情報処理装置及びプログラム
JP5613855B1 (ja) * 2014-04-23 2014-10-29 株式会社 ディー・エヌ・エー ユーザ認証システム
US9439070B2 (en) 2014-04-23 2016-09-06 DeNA Co., Ltd. User authentication system

Also Published As

Publication number Publication date
JP3685062B2 (ja) 2005-08-17

Similar Documents

Publication Publication Date Title
CN101610264B (zh) 一种防火墙系统、安全服务平台及防火墙系统的管理方法
CN109688105B (zh) 一种威胁报警信息生成方法及系统
KR100929916B1 (ko) 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보외부유출 차단 시스템 및 방법
JP5581141B2 (ja) 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム
CN101405698A (zh) 用于通过切换模式提供无线网络中的安全保护的技术
JP2008508805A (ja) 電子トラフィックを特徴づけ、管理するシステムおよび方法
JPH09269930A (ja) ネットワークシステムの防疫方法及びその装置
JP4984531B2 (ja) サーバ監視プログラム、中継装置、サーバ監視方法
KR20120090574A (ko) Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
CN111314381A (zh) 安全隔离网关
JP2011522336A (ja) 通信ネットワーク上の仮名にされたストリームの追跡および復活方法、およびデータトラフィックおよびそのアドレスを安全に保護することができる情報ストリームの送信方法
CN111526156A (zh) 基于大数据的安全云平台系统
US20060156400A1 (en) System and method for preventing unauthorized access to computer devices
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及系统
CN110110536B (zh) 一种云计算系统的数据共享方法
TW201421936A (zh) 網點之判斷與阻擋之方法
JP2006094258A (ja) 端末装置、そのポリシー強制方法およびそのプログラム
CN102045310B (zh) 一种工业互联网入侵检测和防御方法及其装置
KR100595493B1 (ko) P2p 유해 정보 차단 시스템 및 방법
CN117155716B (zh) 访问校验方法和装置、存储介质及电子设备
KR20020027702A (ko) 인터넷상에서 유해 사이트 접속을 차단하는 방법
JP2002232451A (ja) 通信管理方法、通信監視装置、および、コンピュータシステム
JP3685062B2 (ja) 不正アクセス監視方法および内部通信ネットワーク
JP3495030B2 (ja) 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
JP2003258795A (ja) コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20040707

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040812

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040817

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041013

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050523

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080610

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090610

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100610

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees