JP2002318739A - 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム - Google Patents

不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム

Info

Publication number
JP2002318739A
JP2002318739A JP2002033284A JP2002033284A JP2002318739A JP 2002318739 A JP2002318739 A JP 2002318739A JP 2002033284 A JP2002033284 A JP 2002033284A JP 2002033284 A JP2002033284 A JP 2002033284A JP 2002318739 A JP2002318739 A JP 2002318739A
Authority
JP
Japan
Prior art keywords
data
unauthorized intrusion
processing
response
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002033284A
Other languages
English (en)
Other versions
JP3495030B2 (ja
Inventor
Akiko Miyagawa
明子 宮川
Toru Inada
徹 稲田
Shinobu Atozawa
忍 後沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2002033284A priority Critical patent/JP3495030B2/ja
Publication of JP2002318739A publication Critical patent/JP2002318739A/ja
Application granted granted Critical
Publication of JP3495030B2 publication Critical patent/JP3495030B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 不正侵入の防御や対処を行う集中管理システ
ムを提供する。 【解決手段】 ネットワーク機器3は、不正侵入者端末
6から送信された不正侵入パケットP1を検出し、不正
侵入パケットP1をエンカプセル化したパケットP2を
データセンタ1に転送し、データセンタ1の管理システ
ム11は、パケットP2を解析し、攻撃対象サーバ5か
らの応答に見せかけた、おとりサーバ13からの応答パ
ケットP4をエンカプセル化してパケットP3とし、パ
ケットP3をネットワーク機器3に送信し、ネットワー
ク機器3は、パケットP3をデカプセル化して応答パケ
ットP4を取りだして不正侵入者端末6に送信し、これ
により不正侵入者端末6は、応答パケットP4を攻撃対
象サーバ5からの応答と思い込み、おとりサーバ13に
侵入を開始する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、コンピュータネ
ットワークのセキュリティサポート契約者に対し、不正
侵入を検知した契約者のネットワーク機器からの情報に
より、不正侵入者をおとりサーバに誘導する手段を提供
する管理システムに関するものである。
【0002】
【従来の技術】従来のネットワークシステムでは、不正
侵入検知機能を備えたネットワーク構成機器や管理装置
によって、企業などの組織単位で独自にセキュリティ対
策を施すのが主流であった。例えば、特開2000−9
0031によれば、ルータ間にネットワーク不正解析シ
ステムを設け、通信に不正を検出すると、通信当事者間
の通信を傍受する方式、特開2000−47987で
は、不正アクセスを検知した場合、正規データベースと
は別に用意した擬似データベースへの誘導を行い、正規
データの流出を防ぐ方式、特開平6−6347では、セ
キュリティ管理装置を設け、不正アクセスを検知したネ
ットワーク構成機器が管理装置に不正アクセス報告を通
知し、管理装置にてセキュリティを集中管理する方式が
ある。これらは、すべて企業などネットワークを運営す
る顧客がシステムを導入し、顧客自ら管理する方式であ
る。
【0003】
【発明が解決しようとする課題】しかしながら、従来の
ネットワークシステムでは、組織の規模が小さい場合、
ネットワーク管理者の確保や管理ノウハウの教育が難し
いという問題があった。また、専任のネットワーク管理
者の確保が可能な場合でも、ネットワーク管理者の責任
のもと、すべてネットワーク機器や管理システムを管理
していたため、ネットワーク機器の設定、変更、保守に
多大な労力が必要であった。また、ネットワーク構成の
変更や新しい不正侵入の手法に対応するための新規導入
およびバージョンアップのコストも大きく、迅速に対応
できていなかった。例えば、特開2000−47987
や特開平6−6347では、不正アクセス検出後の対処
方法は管理者の采配に委ねられており、特開2000−
47987では、擬似データベースへ侵入者を誘導する
対策が取られているものの、ネットワークを運営してい
る組織で擬似データベースの設置を行わなければならな
い。
【0004】この発明は、上記のような問題点を解決す
るためになされたもので、ネットワーク利用者もしくは
管理者に代わって、不正侵入の防御や対処を行う集中管
理システムを提供することを目的とする。
【0005】このような集中管理システムを利用するサ
ービス利用者側は、おとりサーバ(擬似サーバ)の設置
やログ解析、応答パケットの作成といった対処を専門の
サービス業者に委託することによって、ネットワーク管
理のコストを軽減することができるという利点がある。
また、サービス提供者側は、サービス利用者のネットワ
ーク機器の状況を遠隔地から常時把握することができる
ため、サービス利用者のところに、出向かずとも迅速な
対応が可能となる。
【0006】
【課題を解決するための手段】本発明に係る不正侵入デ
ータ対策処理装置は、所定の内部通信ネットワーク外に
配置され、前記内部通信ネットワークに不正に侵入する
目的で前記内部通信ネットワーク外に配置されたいずれ
かのデータ通信装置より送信された不正侵入データを受
信し、受信した前記不正侵入データに対する対策処理を
行うことを特徴とする。
【0007】前記不正侵入データ対策処理装置は、前記
内部通信ネットワーク内に配置されたデータ通信装置と
前記内部通信ネットワーク外に配置されたデータ通信装
置との間のデータ通信の中継を行うととともに前記不正
侵入データを検知する不正侵入データ検知装置に接続さ
れ、前記不正侵入データ検知装置より前記不正侵入デー
タを受信することを特徴とする。
【0008】前記不正侵入データ対策処理装置は、前記
不正侵入データ検知装置より、前記不正侵入データを受
信するデータ受信部と、前記データ受信部により受信さ
れた前記不正侵入データを解析するデータ解析部と、前
記データ解析部による解析結果に基づき、前記不正侵入
データに対する応答データを生成する応答データ生成部
と、前記応答データ生成部により生成された前記応答デ
ータを前記不正侵入データ検知装置に対して送信するデ
ータ送信部とを有することを特徴とする。
【0009】前記データ受信部は、前記不正侵入データ
検知装置より、前記不正侵入データ検知装置によりカプ
セル処理された不正侵入データを受信し、前記不正侵入
データ対策処理装置は、更に、前記データ受信部により
受信されたカプセル処理された不正侵入データのカプセ
ル処理を解除して不正侵入データを抽出するとともに、
前記応答データに対してカプセル処理を行うカプセル処
理部を有し、前記データ送信部は、前記カプセル処理部
によりカプセル処理された応答データを前記不正侵入デ
ータ検知装置に対して送信することを特徴とする。
【0010】前記応答データ生成部は、前記内部通信ネ
ットワーク内に配置された特定のデータ通信装置が前記
不正侵入データを受信した場合に、前記特定のデータ通
信装置が前記不正侵入データに対して生成する応答デー
タと同じ内容の応答データを生成することを特徴とす
る。
【0011】前記データ受信部は、前記不正侵入データ
検知装置より、前記不正侵入データ検知装置の通信履歴
を示す通信履歴情報を受信し、前記データ解析部は、前
記データ受信部により受信された前記通信履歴情報を解
析し、前記通信履歴情報の解析結果に基づき前記内部通
信ネットワーク外に配置された所定のデータ通信装置か
ら送信されるデータを不正侵入データに指定する不正侵
入データ指定情報を生成し、前記データ送信部は、前記
データ解析部により生成された前記不正侵入データ指定
情報を前記不正侵入データ検知装置に送信することを特
徴とする。
【0012】前記データ受信部は、前記不正侵入データ
検知装置より、データ認証に用いる認証情報が添付され
た不正侵入データを受信し、前記カプセル処理部は、前
記認証情報を用いて前記不正侵入データのデータ認証を
行うことを特徴とする。
【0013】前記カプセル処理部は、前記応答データの
データ認証に用いる認証情報を前記応答データに添付
し、前記データ送信部は、前記カプセル処理部により認
証情報が添付された応答データを前記不正侵入データ検
知装置に送信することを特徴とする。
【0014】本発明に係る不正侵入データ対策処理方法
は、所定の内部通信ネットワーク外において、前記内部
通信ネットワークに不正に侵入する目的で前記内部通信
ネットワーク外に配置されたいずれかのデータ通信装置
より送信された不正侵入データを受信し、受信した前記
不正侵入データに対する対策処理を行うことを特徴とす
る。
【0015】前記不正侵入データ対策処理方法は、前記
内部通信ネットワーク内に配置されたデータ通信装置と
前記内部通信ネットワーク外に配置されたデータ通信装
置との間のデータ通信の中継を行うととともに前記不正
侵入データを検知する不正侵入データ検知装置と通信を
行い、前記不正侵入データ検知装置より前記不正侵入デ
ータを受信することを特徴とする。
【0016】前記不正侵入データ対策処理方法は、前記
不正侵入データ検知装置より、前記不正侵入データを受
信するデータ受信ステップと、前記データ受信ステップ
により受信された前記不正侵入データを解析するデータ
解析ステップと、前記データ解析ステップによる解析結
果に基づき、前記不正侵入データに対する応答データを
生成する応答データ生成ステップと、前記応答データ生
成ステップにより生成された前記応答データを前記不正
侵入データ検知装置に対して送信するデータ送信ステッ
プとを有することを特徴とする。
【0017】前記応答データ生成ステップは、前記内部
通信ネットワーク内に配置された特定のデータ通信装置
が前記不正侵入データを受信した場合に、前記特定のデ
ータ通信装置が前記不正侵入データに対して生成する応
答データと同じ内容の応答データを生成することを特徴
とする。
【0018】本発明に係る不正侵入データ対策処理シス
テムは、所定の内部通信ネットワークに不正に侵入する
目的で送信された不正侵入データに対する対策処理を行
う不正侵入データ対策処理システムであって、前記内部
通信ネットワーク内に配置され、前記内部通信ネットワ
ーク外のデータ通信装置より送信された不正侵入データ
を検知する不正侵入データ検知装置と、前記内部通信ネ
ットワーク外に配置され、前記不正侵入データ検知装置
より前記不正侵入データを受信し、受信した前記不正侵
入データに対する対策処理を行う不正侵入データ対策処
理装置とを有することを特徴とする。
【0019】前記不正侵入データ対策処理装置は、前記
不正侵入データに対する応答データを生成し、生成した
前記応答データを前記不正侵入データ検知装置を介して
前記不正侵入データの送信元に対して送信することを特
徴とする。
【0020】前記不正侵入データ検知装置は、前記内部
通信ネットワーク外に配置され、処理要求に基づき所定
の処理を行う処理装置と通信可能であり、前記不正侵入
データ対策処理装置は、前記処理装置への処理要求を含
む処理要求データを生成し、生成した前記処理要求デー
タを前記不正侵入データ検知装置を介して前記処理装置
に対して送信し、前記処理装置からの応答である処理応
答データを前記不正侵入データ検知装置を介して受信す
ることを特徴とする。
【0021】前記不正侵入データ検知装置は、前記不正
侵入データ対策処理装置より前記処理要求データを受信
し、受信した前記処理要求データに所定の判別情報を含
ませ、前記判別情報が含まれた処理要求データを前記処
理装置に対して送信し、前記処理装置より処理応答デー
タを受信した場合に、受信した処理応答データを分析し
て前記処理応答データに前記判別情報が含まれているか
否かを判断し、前記判別情報が含まれていた場合に、前
記処理応答データを前記処理要求データに対する応答と
して前記不正侵入データ対策処理装置に対して送信する
ことを特徴とする。
【0022】前記不正侵入データ検知装置は、送信元ポ
ート番号として第一のポート番号が示された処理要求デ
ータを前記不正侵入データ対策処理装置より受信し、前
記判別情報として前記送信元ポート番号を前記第一のポ
ート番号から第二のポート番号に変更し、前記送信元ポ
ート番号として前記第二のポート番号が示された処理要
求データを前記処理装置に対して送信し、前記処理装置
より処理応答データを受信した場合に、前記処理応答デ
ータに送信先ポート番号として前記第二のポート番号が
示されているか否かを判断し、前記送信先ポート番号と
して前記第二のポート番号が示されている場合に、前記
送信先ポート番号を前記第二のポート番号から前記第一
のポート番号に変更し、前記送信先ポート番号として前
記第一のポート番号が示された処理応答データを前記不
正侵入データ対策処理装置に対して送信することを特徴
とする。
【0023】前記不正侵入データ検知装置は、送信元ア
ドレスとして第一のアドレスが示された処理要求データ
を前記不正侵入データ対策処理装置より受信し、前記判
別情報として前記送信元アドレスを前記第一のアドレス
から第二のアドレスに変更し、前記送信元アドレスとし
て前記第二のアドレスが示された処理要求データを前記
処理装置に対して送信し、前記処理装置より処理応答デ
ータを受信した場合に、前記処理応答データに送信先ア
ドレスとして前記第二のアドレスが示されているか否か
を判断し、前記送信先アドレスとして前記第二のアドレ
スが示されている場合に、前記送信先アドレスを前記第
二のアドレスから前記第一のアドレスに変更し、前記送
信先アドレスとして前記第一のアドレスが示された処理
応答データを前記不正侵入データ対策処理装置に対して
送信することを特徴とする。
【0024】前記不正侵入データ検知装置は、前記処理
装置としてDNS(DomainName Serve
r)サーバと通信可能であり、前記不正侵入データ対策
処理装置は、前記処理要求データを前記不正侵入データ
検知装置を介して前記DNSサーバに対して送信し、前
記DNSサーバからの応答である処理応答データを前記
不正侵入データ検知装置を介して受信することを特徴と
する。
【0025】
【発明の実施の形態】実施の形態1.図1は、この発明
に係る不正侵入データ対策処理装置を含むネットワーク
システムの全体構成図である。図1において、1は不正
侵入対策サービスを実施する管理代行業者のデータセン
タであり、11はデータセンタ内に設置された管理シス
テム、12は、顧客情報を格納する顧客データベース、
13は、不正侵入者を誘導し、情報を取得するためのお
とりサーバ、14は、不正侵入情報を解析する際に用い
られる知識ベースである。2はインターネット、3は不
正侵入対策サービスのサービス契約者が使用しているネ
ットワーク機器、4はサービス契約者が使用する一般端
末、5はサービス契約者が保持している不正侵入者の攻
撃対象となる攻撃対象サーバ、6は不正侵入者の端末で
ある。ここで、管理システム11及びおとりサーバ13
は、不正侵入データ対策処理装置として機能し、ネット
ワーク機器3は、不正侵入データ検知装置として機能す
る。また、ネットワーク機器3、一般端末4、攻撃対象
サーバ5は、同一の内部通信ネットワークに属する。
【0026】また、図2は、ネットワーク機器3の機能
ブロック図を示している。ネットワーク機器3は、デー
タの受信および送信を行うデータ収集/送出部31と、
一般的な通信か管理システム11からのおとりサーバへ
の誘導パケット(応答パケット)かを判別する識別情報
判別部32と、不正侵入パケットを検出する不正侵入検
出部33と、不正侵入パケットもしくはログデータを管
理システム11に転送するためにエンカプセル処理を施
したり、管理システム11から送られた応答パケットの
デカプセル処理を行うパケットカプセル処理部34と、
ネットワーク機器3を通過したデータを記録するログ取
得部35から構成されている。
【0027】また、図3は、管理システムの機能ブロッ
ク図を示している。管理システム11は、データの受信
および送信を行うデータ受信/送信部111、受信した
パケットが契約者からのものかを照会する顧客照会部1
12、ネットワーク機器3から入手したデータの種別を
判別するデータ種別判別部113、ネットワーク機器3
から転送された、エンカプセルされた侵入パケットもし
くはログデータのデカプセル処理とネットワーク機器3
へ送信する応答パケット(応答データ)のエンカプセル
処理を行うパケットカプセル処理部114、入手したロ
グデータおよび侵入パケットを解析する不正データ解析
部115から構成される。また、データセンタ1には、
この他、管理システム11と情報をやりとりする顧客デ
ータベース12、おとりサーバ13、知識ベース14が
ある。なお、おとりサーバ13は、不正侵入パケットに
対する応答データ(応答パケット)を生成する応答デー
タ生成部として機能する。
【0028】図4にネットワーク機器3、管理システム
11が送受信する通信パケットの構成について示す。パ
ケットP1は、不正侵入パケットである。パケットP1
は、不正侵入者端末6から送信され、ネットワーク機器
3により受信される。パケットP2は、パケットP1を
エンカプセル化したパケットで、識別情報を含む不正侵
入パケットの情報を転送する。パケットP2は、ネット
ワーク機器3から管理システム11へ送信される。パケ
ットP3は、エンカプセル化された応答パケットで、識
別情報を含む不正侵入者に対する応答パケット情報を転
送する。パケットP3は、管理システム11からネット
ワーク機器3へ送信される。パケットP4は、パケット
P3をデカプセル化したパケットで、攻撃対象サーバ5
からの応答を模擬したおとりサーバ13からの応答パケ
ットである。パケットP4には、攻撃対象サーバ5が応
答する内容と同じ情報が格納されており、本来そのまま
ではインターネット上には送出できないが、パケットP
3に示すようにエンカプセル化することによってネット
ワーク機器3への転送を可能にしている。
【0029】次にネットワークシステム全体の動きにつ
いて説明する。図5は、不正侵入者が内部通信ネットワ
ークに不正侵入した場合の対策処理の流れを示す。ま
ず、ある不正侵入者端末6がある契約者のネットワーク
(内部通信ネットワーク)内に設置されたサーバ(攻撃
対象サーバ)5に不正侵入しようして、不正侵入パケッ
トP1を送信したとする(ステップ101)。これに対
して、ネットワーク機器3において、不正侵入パケット
P1を検出する。不正侵入パケットP1を検出したネッ
トワーク機器3は、不正侵入パケットP1(侵入パケッ
ト情報)をエンカプセル化してパケットP2を生成し、
パケットP2をデータセンタ1に転送する(ステップ1
02)。これによりネットワーク機器3は、不正侵入パ
ケットP1による攻撃対象サーバ5への不正侵入を防ぐ
ことができる。次に、データセンタ1の管理システム1
1では、ネットワーク機器3からパケットP2を受信
し、受信したパケットP2を解析し、攻撃対象サーバ5
からの応答に見せかけた、おとりサーバ13からの応答
パケットP4をエンカプセル化してパケットP3を生成
し、パケットP3をネットワーク機器3に送り返す(ス
テップ103)。次に、ネットワーク機器3は、管理シ
ステム11よりパケットP3を受信し、受信したパケッ
トP3をデカプセル化して応答パケットP4を取りだ
し、不正侵入者端末6に対して応答パケットP4を送信
する(ステップ104)。不正侵入者は、応答パケット
P4を攻撃対象サーバ5からの応答だと思い込み、おと
りサーバ13に侵入を開始する。不正侵入者端末6とお
とりサーバ13との交信は、毎回ステップ101〜ステ
ップ104の手順により行なわれる。おとりサーバ13
でのログ解析により不正侵入のより詳細な手口が明らか
になる。
【0030】次にネットワーク機器3の動作について説
明する。図6に、ネットワーク機器3における通信パケ
ットの処理についてフローチャートを示す。まず、ネッ
トワーク機器3はデータ収集/送出部31より、通信パ
ケットを受信すると(ステップ301)、識別情報判別
部32で、そのパケットが管理システム11からのエン
カプセル化された応答パケットP3なのか、単なる中継
パケットなのかを受信パケットの識別情報により判別す
る(ステップ302)。この結果、エンカプセル化され
た応答パケットP3である場合、パケットカプセル処理
部34で、エンカプセル化された応答パケットP3のデ
カプセル処理を行い(ステップ303)、不正侵入者端
末6への応答パケットP4として不正侵入者端末6に送
信する(ステップ306)。一方、単なる中継パケット
である場合、不正侵入検出部33で、不正侵入パケット
P1かどうかのチェックを行う(ステップ304)。こ
こで、不正侵入パケットP1であると判断された場合
は、不正侵入パケットP1を管理システム11に転送す
るため、パケットカプセル処理部34で不正侵入パケッ
トP1をエンカプセルしてパケットP2とし(ステップ
305)、エンカプセル化した不正侵入パケットP2を
データ収集/送出部31から管理システム11に送信す
る(ステップ306)。ステップ304の不正侵入チェ
ックにより、正常パケットと判断された場合は、そのま
まデータ収集/送出部31から送信先にパケットを中継
する(ステップ306)。
【0031】次に管理システム11の動作について説明
する。図7に、管理システム11における契約者のネッ
トワーク機器3からの受信パケットに対する処理の流れ
を示す。まず、管理システム11は、データ受信/送信
部111より、通信パケットを受信すると顧客照会部1
12で顧客データベース12を参照し、契約者からのパ
ケットであるかどうかを照合する。この照合に成功しな
かったパケットは、不正データとして廃棄するか、管理
システムの別タスクで処理する(本発明の範囲外)。受
信パケットの照合に成功した場合、データ種別判別部1
13により、ネットワーク機器3から送信されたパケッ
トのデータが不正侵入パケットを転送したもの(パケッ
トP2)であるか否かを判別する。次に、受信したパケ
ットP2は、ネットワーク機器3によってエンカプセル
されているため、このパケットP2をパケットカプセル
処理部114で、デカプセル処理する。
【0032】次に、パケットカプセル処理部114でデ
カプセル処理された不正侵入パケットP1は、不正デー
タ解析部115に渡され、不正データ解析部115は、
知識ベース14を参照しながら、抽出された不正侵入パ
ケットP1の解析を行う。知識ベース14には、この解
析結果が反映され、今後の解析のための参考事例として
追加される。不正データ解析部115は、解析結果をお
とりサーバ13に通知し、おとりサーバ13から応答パ
ケットP4を受け取る。応答パケットP4は、不正侵入
パケットP1が、攻撃対象サーバ5に受信されたとした
場合に、不正侵入パケットに対する攻撃対象サーバ5か
らの応答と同様の情報を有するパケットである。この応
答パケットP4を攻撃対象サーバ5からネットワーク機
器3経由で送信されたパケットに見せかけるため、パケ
ットカプセル処理部114でエンカプセルしてパケット
P3とした後、データ受信/送信部111からネットワ
ーク機器3に対してパケットP3を送信する。この後、
ネットワーク機器3では、前述したように、パケットP
3をデカプセル処理して、応答パケットP4を抽出し、
抽出した応答パケットP4を不正侵入者端末6へ送信す
る。
【0033】以上のように、ネットワーク機器3で検出
した不正侵入パケットをネットワーク機器3自身で対処
するのではなく、管理システム11に転送することによ
って応答パケットを獲得し、不正侵入者を代行業者のデ
ータセンタ内に設置されたおとりサーバに誘導するよう
にしているので、顧客のネットワークとは独立した侵入
対処サービスを実現することができる。
【0034】実施の形態2.以上の実施の形態1では、
不正侵入者端末からの不正侵入パケットをネットワーク
機器3からデータセンタ1へ転送するようにしたもので
あるが、次に、不正侵入パケットの早期発見のためネッ
トワーク機器3のログ情報をデータセンタ1へ転送する
実施の形態を示す。図8は、このような場合のネットワ
ークシステム全体の動きを示したものである。
【0035】図において、ステップ101〜ステップ1
04は、実施の形態1において説明したものと同様であ
り、本実施の形態においては、ステップ105及びステ
ップ106について説明する。ネットワーク機器3は、
ログ取得部35(図2)により、常に外部からアクセス
情報を記録している。このログ情報(通信履歴情報)を
エンカプセル化し、管理システム11からの命令もしく
はネットワーク機器3自身の定期的なトリガにより管理
システム11にパケットP5として転送する(ステップ
105)。ここで、パケットP5の構成を図9に示す。
パケットP5は、ログ情報をエンカプセル化したパケッ
トで、ネットワーク機器のログ情報を管理システムに転
送するパケットである。。次に、管理システム11で
は、パケットカプセル処理部114がパケットP5をデ
カプセル化し、不正データ解析部115がログ情報を解
析する。ここで、問題のあった場合、即ち、不正侵入パ
ケットの疑いのあるパケットが発見された場合は、ネッ
トワーク機器3における不正侵入検出部33の設定情報
を更新するため、管理システム11は新しい侵入検出設
定情報をネットワーク機器3に送信する(ステップ10
6)。ここで、侵入検出設定情報とは、ネットワーク機
器3に対して不正侵入パケットの疑いがあるパケットを
通知し、不正侵入パケットの疑いのあるパケットを送信
した端末より以後送信されたパケットを不正侵入パケッ
トとして取り扱うようにネットワーク機器3に対して指
示する情報である。即ち、侵入検出設定情報は、不正侵
入データ指定情報に相当する。また、侵入検出設定情報
は、不正データ解析部115により生成される。以降、
不正侵入の疑いのある送信元からのアクセスは、ネット
ワーク機器3の不正侵入検出部33にて不正侵入パケッ
トと判断される。例えば、端末6からのアクセスログを
管理システム11が不正と判断した場合、端末6からの
アクセスを拒否する設定情報をネットワーク機器3に送
信する。この結果、ネットワーク機器3は、端末6から
のアクセス(ステップ101)を不正侵入パケットとし
て検出し、端末6からのパケット(P1:不正侵入パケ
ット)をエンカプセル化した後(P2)、管理システム
11に転送する(ステップ102)。以降の処理手段
は、実施の形態1と同様である。
【0036】本形態に関するネットワーク機器3および
管理システム11の振舞いは、実施の形態1にほぼ等し
い。ただし、管理システム11において、図6に示すデ
ータ種別判別部113は、受信データに含まれる識別情
報から、ネットワーク機器3からの受信パケットがエン
カプセル化された不正侵入パケットP2ではなく、ログ
情報パケットP5であることを判別する。そして、不正
データ解析部115において、ログ情報パケットP5の
解析を行う。また、管理システム11では、不正データ
解析部115は、不正侵入パケットの疑いがあるパケッ
トを発見した場合、新しい侵入設定検出情報を生成し、
データ受信/送信部111は、生成された新しい侵入設
定検出情報をネットワーク機器3に送信する。
【0037】以上のように、ネットワーク機器3のログ
情報を管理システム11に転送することによって集中的
な解析を依頼し、その結果、応答パケットを獲得し、不
正侵入者を代行業者のデータセンタ内に設置されたおと
りサーバに誘導するようにしているので、顧客のネット
ワークとは独立した侵入対処サービスを実現することが
できる他、直接の攻撃ではなくとも不正侵入のおそれの
あるパケットの侵入を防止することにより、不正侵入の
早期発見につながる。
【0038】実施の形態3.以上の実施の形態1および
2では、転送するパケットをエンカプセル化し、識別情
報により、転送するデータ内容を判別している。次に、
本実施の形態において、管理システム11およびネット
ワーク機器3にて送受信するパケットに認証情報を付加
する場合について示す。
【0039】図10において、パケットP2を例に認証
情報を付加したパケットP2Hを示す。パケットP2H
では、識別情報以降のデータを入力値とするハッシュ等
の認証情報を識別情報の前に付加している。ネットワー
ク機器3における認証情報の付加および認証情報チェッ
クは、パケットカプセル処理部34のエンカプセル/デ
カプセル処理で行う。管理システム11における認証情
報の付加および認証情報チェックは、パケットカプセル
処理部114のエンカプセル/デカプセル処理で行う。
なお、上記の例では、パケットP2に認証情報が付加さ
れたパケットP2Hを説明したが、同様な構成によりパ
ケットP3に認証情報が付加されたパケットP3Hの送
受信も行うことができる。
【0040】以上のように、通信パケットに認証情報を
追加することによって、管理システムとネットワーク機
器との間の通信のセキュリティを向上させる効果があ
る。
【0041】なお、以上の実施の形態1〜実施の形態3
では、本発明に係る不正侵入データ対策処理装置につい
て説明してきたが、同様の処理手順により本発明に係る
不正侵入データ対策処理方法を実現することもできる。
【0042】実施の形態4.以上の実施の形態1、2、
3では、単一のデータセンタを前提にしたセキュリティ
サービスの形態を説明した。次に、複数のデータセンタ
との連携を可能にするシステムの形態について示す。デ
ータセンター間で情報をやりとりするため、外部サーバ
として少なくともDNS(Domain Name S
ystem)サーバの設置が必要となる。
【0043】図11は、他のデータセンタとの連携を可
能とするセキュリティシステムの全体構成図である。図
11において、1は不正侵入対策サービスを実施する管
理代行業者のデータセンタ1、11はデータセンタ1内
に設置された管理システム、13は、データセンタ1の
おとりサーバ、15は、他のデータセンターの宛先IP
アドレスを調べるためのDNSサーバ、20はデータセ
ンタ1とは別のデータセンタ2、21はデータセンタ2
内に設置された管理システム、23は、データセンタ2
のおとりサーバ、2はインターネット、3はサービス契
約者が使用しているネットワーク機器、4はサービス契
約者が使用する一般端末、5はサービス契約者が保持し
ている内部サーバ、6は不正侵入者の端末である。な
お、図11においても、管理システム11及びおとりサ
ーバ13は、不正侵入データ対策処理装置として機能
し、ネットワーク機器3は、不正侵入データ検知装置と
して機能する。また、ネットワーク機器3、一般端末
4、攻撃対象サーバ5は、同一の内部通信ネットワーク
に属する。また、DNSサーバ15は、処理装置に相当
する。
【0044】図5に示すとおり、本システムの前提とし
て、データセンタ側では、おとりサーバ13からのパケ
ットはサーバ5を模倣するため、すべて管理システム1
1によってエンカプセル処理され、ネットワーク機器3
でデカプセル処理を行った後、インターネットに送出さ
れる。
【0045】図12に、本形態において、ネットワーク
機器3、管理システム11が送受信するDNS処理に関
する通信パケットの構成について示す。パケットP11
は、DNSサーバへの問い合わせパケットである。パケ
ットP11は、おとりサーバ13から送信され、管理シ
ステム11により受信される。パケットP12は、パケ
ットP11をエンカプセル処理したパケットで、識別情
報を含むDNSへの問い合わせパケットの情報を転送す
る。パケットP12は、管理システム11からネットワ
ーク機器3へ送信される。なお、パケットP12は処理
要求データに相当する。パケットP13は、パケットP
12をデカプセル処理したパケットで、デカプセル処理
後に送信元ポート番号をおとりサーバ用のポート番号に
変更したものである。パケットP13は、ネットワーク
機器3からDNSサーバ15へ送信される。なお、変更
した送信元ポート番号は、判別情報に相当する。パケッ
トP14は、DNSサーバからの応答パケットで、DN
Sサーバ15から送信され、ネットワーク機器3により
受信される。パケットP14のみの情報では、本来送信
先に指定するおとりサーバ13と内部サーバ5の区別が
難しいが、パケットP13で送信元ポート番号をおとり
サーバ用に変更しているため、ネットワーク機器3でお
とりサーバ13への応答であることを判別できる。な
お、パケットP14は、処理応答データに相当する。パ
ケットP15は、パケットP14をエンカプセル処理し
たパケットで、送信先ポート番号がパケットP13で変
更したおとりサーバを示す場合、転送データに含まれる
送信先ポート番号を変更前のおとりサーバが指定したオ
リジナル番号に変更し、識別情報を含む応答パケット情
報を転送する。パケットP15は、ネットワーク機器3
から管理システム11へ送信される。パケットP16
は、パケットP15をデカプセル処理したパケットで、
おとりサーバからの問い合わせパケットP11に対する
応答として、管理システム11からおとりサーバ13に
返送される。
【0046】次にシステム全体の動きについて説明す
る。図13は、セキュリティシステムが他のデータセン
タの所在を調べるためにDNSサーバとのパケットの流
れを示したものである。データセンタ1とデータセンタ
2の間で、例えば、おとりサーバのログ情報など管理デ
ータをやりとりする場合、データセンタ1のおとりサー
バ13がDNSサーバ15にデータセンタ2のIPアド
レスを問い合わせる(201)。おとりサーバ13の問
い合わせは管理システム11でエンカプセル処理され、
ネットワーク機器3に到達する(202)。ネットワー
ク機器3では、受信したパケットの識別情報により管理
システムからのパケットであると判別する。また、デカ
プセル処理の後、データの内容からDNSへの問い合わ
せであることも判定する。一方で、DNSサーバ15を
含む一般的な外部端末からは、おとりサーバ13が内部
サーバ5とIPアドレス等を同様の環境に設定している
ため、おとりサーバ13と内部サーバ5は同じサーバと
して見える。従って、おとりサーバ13からの問い合わ
せに対するDNSサーバ15の応答パケットは、そのま
まだと内部サーバ5におとりサーバ13と混在したパケ
ットが返送されるか、応答に失敗することが考えられ
る。そこで、ネットワーク機器3では、DNSサーバに
転送する際(203)、内部サーバ5と区別するため、
管理システム11を経由したおとりサーバ13のパケッ
トのTCP/UDP送信元ポート番号をおとりサーバ用
に定義した番号に変更し、おとりサーバが設定したオリ
ジナルのポート番号を記憶する。DNSサーバでは内部
サーバ5のパケットと判断して、DNS処理を行い応答
を返す(204)。通常、問い合わせパケットの送信元
ポート番号は変更されないので、ネットワーク機器3に
返された応答パケットの宛先ポート番号はネットワーク
機器3で変更されたままの番号になっている。ネットワ
ーク機器3では、宛先ポート番号を見ておとりサーバ用
に定義した番号である場合、おとりサーバが指定したオ
リジナルのポート番号に変更する。宛先ポート番号が他
のポート番号である場合は、変更は必要ない。この後、
再びエンカプセル処理して、管理システム11に送信す
る(205)。管理システム11では、受信したネット
ワーク機器からのパケットをデカプセル処理することに
よって、DNSサーバからの応答パケットを認識するこ
とができる(206)。これによって、データセンタ1
はデータセンタ2の所在情報(管理システム21やおと
りサーバ23のIPアドレス)を得て、管理データを送
信することができる(207)。
【0047】以上のように、通信パケットのTCP/U
DPのポート番号を変更することによって、DNSサー
バにおとりサーバの存在を意識させることなく、DNS
サーバとおとりサーバの通信を実現することができる。
これにより、データセンタ間の連携を可能にする一つの
手段として、DNSサーバを参照して他データセンタの
IPアドレスを調べることができる。本形態は、ポート
番号が固定的な通信アプリケーションであれば、DNS
サーバ以外の外部サーバにも応用できる。また、実施の
形態3や図10に示したように、エンカプセル処理した
パケットに認証情報を追加することによって、より安全
性の高いシステムにすることが可能である。
【0048】実施の形態5.実施の形態4では、パケッ
トのポート番号を変更することによって、外部サーバ
(DNSサーバ)との通信処理を実現し、複数のデータ
センタとの連携を可能にするシステムの形態について示
した。次に、同様の目的において、パケットのIPアド
レスを変更することによって、データセンタ間で情報を
やりとりするため、外部サーバ(DNSサーバ)との通
信処理を実現するシステムの形態について示す。
【0049】図14に、本形態において、ネットワーク
機器3、管理システム11が送受信するDNS処理に関
する通信パケットの構成について示す。パケットP21
は、DNSサーバへの問い合わせパケットである。パケ
ットP21は、おとりサーバ13から送信され、管理シ
ステム11により受信される。パケットP22は、パケ
ットP21をエンカプセル処理したパケットで、識別情
報を含むDNSへの問い合わせパケットの情報を転送す
る。パケットP22は、管理システム11からネットワ
ーク機器3へ送信される。パケットP22は、処理要求
データに相当する。パケットP23は、パケットP22
をデカプセル処理したパケットで、デカプセル処理後に
送信元アドレスをおとりサーバのオリジナルIPアドレ
スから、おとりサーバ用の別のIPアドレスに変更した
ものである。パケットP23は、ネットワーク機器3か
らDNSサーバ15へ送信される。なお、変更した送信
元アドレスは、判別情報に相当する。パケットP24
は、DNSサーバからの応答パケットで、DNSサーバ
15から送信され、ネットワーク機器3により受信され
る。パケットP24のみの情報では、本来、送信先に指
定するおとりサーバ13と内部サーバ5の区別が難しい
が、パケットP23で送信元IPアドレスをおとりサー
バ用に変更しているため、ネットワーク機器3でおとり
サーバ13への応答であることを判別できる。なお、パ
ケットP24は、処理応答データに相当する。パケット
P25は、パケットP24をエンカプセル処理したパケ
ットで、送信先IPアドレスがパケットP24で変更し
たおとりサーバ用に設定したアドレスを示す場合、転送
データに含まれる送信先IPアドレスをおとりサーバの
オリジナルIPアドレスに戻し、識別情報を含む応答パ
ケット情報を転送する。パケットP25は、ネットワー
ク機器3から管理システム11へ送信される。パケット
P26は、パケットP25をデカプセル処理したパケッ
トで、おとりサーバからの問い合わせパケットP21に
対する応答として、管理システム11からおとりサーバ
13に返送される。
【0050】次にシステム全体の動きについて説明す
る。図15は、本実施の形態におけるセキュリティシス
テムが他のデータセンタの所在を調べるためにDNSサ
ーバとのパケットの流れを示したものであるが、送信す
るパケットの内容以外は、図13と同様である。また、
システムの動きについても、201、202は、実施の
形態4で図13に示した内容と同様である。ネットワー
ク機器3がパケットを受信した以降の処理が実施の形態
4と異なる。ネットワーク機器3では、DNSサーバに
転送する際(203)、内部サーバ5と区別するため、
管理システム11を経由したおとりサーバ13のパケッ
トの送信元IPアドレスをおとりサーバ用の別IPアド
レスに変更し、オリジナルのおとりサーバのIPアドレ
スを記憶する。DNSサーバでは変更されたIPアドレ
スを持つサーバからの問い合わせとして、DNS処理を
行い応答を返す(204)。DNSサーバからの応答を
受信したネットワーク機器3では、送信先がおとりサー
バ用IPアドレス(変更後の別のIPアドレス)になっ
ている場合、記憶しているオリジナルのおとりサーバの
IPアドレスに戻す。宛先IPアドレスが他のIPアド
レスである場合は、変更は必要ない。再びエンカプセル
処理して、管理システム11に送信する(205)。管
理システム11では、受信したネットワーク機器からの
パケットをデカプセル処理をすることによって、DNS
サーバからの応答パケットを認識することができる(2
06)。これによって、データセンタ1はデータセンタ
2の所在情報(管理システム21やおとりサーバ23の
IPアドレス)を得て、管理データを送信することがで
きる(207)。
【0051】以上のように、通信パケットのIPアドレ
スを変更することによって、DNSサーバにおとりサー
バの存在を意識させることなく、DNSサーバとおとり
サーバの通信を実現することができる。これにより、デ
ータセンタ間の連携を可能にする一つの手段として、D
NSサーバを参照して他データセンタのIPアドレスを
調べることができる。本形態は、通信アプリケーション
のポート番号に制約がなく、DNSサーバ以外の外部サ
ーバにも応用できる。また、実施の形態3や図10に示
したように、エンカプセル処理したパケットに認証情報
を追加することによって、より安全性の高いシステムに
することが可能である。
【0052】ここで、以上にて説明してきた実施の形態
1〜5の特徴を示すと以下のようになる。実施の形態1
は、コンピュータネットワークシステムにおける不正侵
入対策に関して、サポート契約者のネットワークセキュ
リティ集中管理サービスを提供する。集中管理サービス
の一つとして、不正侵入者をサポート提供者のおとりサ
ーバに誘導する。サービス利用者のネットワーク機器
は、不正侵入を検出すると、不正侵入パケットをサービ
ス提供者のデータセンタ内の管理システムに制御情報を
施し(エンカプセル処理)、転送する。データセンタに
は、管理システム、擬似サーバ(ここではおとりサーバ
と呼ぶ)等が設置されている。おとりサーバは、不正侵
入者の標的となっていたサービス利用者の攻撃対象サー
バに見せかけて誘導するためのもので、攻撃対象サーバ
と同じ応答を返す。管理システムでは、転送された不正
侵入パケットの制御情報を解いて(デカプセル処理)解
析する。また、おとりサーバからの応答をエンカプセル
し、ネットワーク機器に転送する。管理システムからの
応答パケットを受信したネットワーク機器は、応答パケ
ットをデカプセルし、送出する。不正侵入者はこの応答
パケットを攻撃対象サーバとの応答だと思い込むが、ネ
ットワーク機器を介して、データセンタのおとりサーバ
とやりとりしていることとなり、おとりサーバに誘導さ
れる。
【0053】実施の形態2は、コンピュータネットワー
クシステムにおける不正侵入対策に関して、サポート契
約者のネットワークセキュリティ集中管理サービスを提
供する。集中管理サービスの一つとして、不正侵入者を
サポート提供者のおとりサーバに誘導する。サービス利
用者のネットワーク機器は、定期的にログ情報をエンカ
プセル化して、サービス提供者に転送する。データセン
タの管理システムでは、ログ情報を解析し、不正が認め
られた場合、管理システムからの通知によりネットワー
ク機器の不正侵入検出の設定情報を更新することを特徴
とする。
【0054】実施の形態3は、集中管理サービスが送受
信するパケットに関して、認証情報の負荷または暗号化
により、セキュリティ強度を向上させることを特徴とす
る。
【0055】実施の形態4は、通信パケットのプロトコ
ルヘッダ情報である、通信パケットのポート番号を中継
時に変更することによって、ネットワーク利用者にはお
とりサーバの存在を意識させることなく、おとりサーバ
と同一の環境に設定された内部サーバによる通信とおと
りサーバによる通信を区別し、インターネット(外部ネ
ットワーク)に設置されたDNSサーバとおとりサーバ
との通信を実現することを特徴とする。
【0056】実施の形態5は、通信パケットのプロトコ
ルヘッダ情報である、通信パケットのIPアドレスを中
継時に変更することによって、ネットワーク利用者には
おとりサーバの存在を意識させることなく、おとりサー
バと同一の環境に設定された内部サーバによる通信とお
とりサーバによる通信を区別し、インターネット(外部
ネットワーク)に設置されたDNSサーバとおとりサー
バとの通信を実現することを特徴とする。
【0057】
【発明の効果】本発明によれば、不正侵入データ検知装
置で検出した不正侵入データを不正侵入データ検知装置
自身で対処するのではなく、不正侵入者を内部通信ネッ
トワーク外の不正侵入データ対策処理装置に誘導するよ
うにしているので、内部通信のネットワークとは独立し
た侵入対処サービスを実現することができる。
【0058】また、本発明によれば、直接の攻撃ではな
くとも不正侵入のおそれのあるデータの侵入を防止する
ことにより、不正侵入に対する有効な対策を行うことが
できる。
【0059】また、本発明によれば、不正侵入データに
認証情報を追加することによって、不正侵入データ対策
処理装置と不正侵入データ検知装置との間の通信のセキ
ュリティを向上させる効果がある。
【0060】また、本発明によれば、不正侵入データ対
策処理装置からの処理要求データは不正侵入データ検知
装置を介して処理装置に送信され、処理装置からの処理
応答データは不正侵入データ検知装置を介して不正侵入
データ対策処理装置に送信されるため、処理装置に不正
侵入データ対策処理装置の存在を意識させることなく、
不正侵入データ対策処理装置と処理装置との間の通信を
実現することができる。
【図面の簡単な説明】
【図1】 ネットワークシステムの全体構成を示す図。
【図2】 ネットワーク機器の機能ブロックを示す図。
【図3】 データセンタの機能ブロックを示す図。
【図4】 通信パケットP1〜P4の構成を示す図。
【図5】 実施の形態1における不正侵入パケット対策
処理の手順を示す図。
【図6】 ネットワーク機器の処理フローを示す図。
【図7】 データセンタの処理フローを示す図。
【図8】 実施の形態2における不正侵入パケット対策
処理の手順を示す図。
【図9】 通信パケットP5の構成を示す図。
【図10】 通信パケットP2Hの構成を示す図。
【図11】 実施の形態4及び5におけるネットワーク
システムの全体構成を示す図。
【図12】 通信パケットP11〜P16の構成を示す
図。
【図13】 実施の形態4におけるデータセンタ、DN
Sサーバ間のパケットの流れを示す図。
【図14】 通信パケットP21〜P26の構成を示す
図。
【図15】 実施の形態5におけるデータセンタ、DN
Sサーバ間のパケットの流れを示す図。
【符号の説明】
1 データセンタ、2 インターネット、3 ネットワ
ーク機器、4 一般端末、5 攻撃対象サーバ、6 不
正侵入者端末、11 管理システム、12 顧客データ
ベース、13 おとりサーバ、14 知識ベース、15
DNSサーバ、20 データセンタ、21 管理シス
テム、23 おとりサーバ。
─────────────────────────────────────────────────────
【手続補正書】
【提出日】平成14年7月31日(2002.7.3
1)
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】特許請求の範囲
【補正方法】変更
【補正内容】
【特許請求の範囲】
───────────────────────────────────────────────────── フロントページの続き (72)発明者 後沢 忍 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 Fターム(参考) 5B089 GA04 KA17 KB13 5K030 GA15 HA08 HD08 KX23 KX24 LC13 LD19 LE03

Claims (19)

    【特許請求の範囲】
  1. 【請求項1】 所定の内部通信ネットワーク外に配置さ
    れ、 前記内部通信ネットワークに不正に侵入する目的で前記
    内部通信ネットワーク外に配置されたいずれかのデータ
    通信装置より送信された不正侵入データを受信し、受信
    した前記不正侵入データに対する対策処理を行うことを
    特徴とする不正侵入データ対策処理装置。
  2. 【請求項2】 前記不正侵入データ対策処理装置は、 前記内部通信ネットワーク内に配置されたデータ通信装
    置と前記内部通信ネットワーク外に配置されたデータ通
    信装置との間のデータ通信の中継を行うととともに前記
    不正侵入データを検知する不正侵入データ検知装置に接
    続され、 前記不正侵入データ検知装置より前記不正侵入データを
    受信することを特徴とする請求項1に記載の不正侵入デ
    ータ対策処理装置。
  3. 【請求項3】 前記不正侵入データ対策処理装置は、 前記不正侵入データ検知装置より、前記不正侵入データ
    を受信するデータ受信部と、 前記データ受信部により受信された前記不正侵入データ
    を解析するデータ解析部と、 前記データ解析部による解析結果に基づき、前記不正侵
    入データに対する応答データを生成する応答データ生成
    部と、 前記応答データ生成部により生成された前記応答データ
    を前記不正侵入データ検知装置に対して送信するデータ
    送信部とを有することを特徴とする請求項2に記載の不
    正侵入データ対策処理装置。
  4. 【請求項4】 前記データ受信部は、 前記不正侵入データ検知装置より、前記不正侵入データ
    検知装置によりカプセル処理された不正侵入データを受
    信し、 前記不正侵入データ対策処理装置は、更に、 前記データ受信部により受信されたカプセル処理された
    不正侵入データのカプセル処理を解除して不正侵入デー
    タを抽出するとともに、前記応答データに対してカプセ
    ル処理を行うカプセル処理部を有し、 前記データ送信部は、 前記カプセル処理部によりカプセル処理された応答デー
    タを前記不正侵入データ検知装置に対して送信すること
    を特徴とする請求項3に記載の不正侵入データ対策処理
    装置。
  5. 【請求項5】 前記応答データ生成部は、 前記内部通信ネットワーク内に配置された特定のデータ
    通信装置が前記不正侵入データを受信した場合に、前記
    特定のデータ通信装置が前記不正侵入データに対して生
    成する応答データと同じ内容の応答データを生成するこ
    とを特徴とする請求項3に記載の不正侵入データ対策処
    理装置。
  6. 【請求項6】 前記データ受信部は、 前記不正侵入データ検知装置より、前記不正侵入データ
    検知装置の通信履歴を示す通信履歴情報を受信し、 前記データ解析部は、 前記データ受信部により受信された前記通信履歴情報を
    解析し、前記通信履歴情報の解析結果に基づき前記内部
    通信ネットワーク外に配置された所定のデータ通信装置
    から送信されるデータを不正侵入データに指定する不正
    侵入データ指定情報を生成し、 前記データ送信部は、 前記データ解析部により生成された前記不正侵入データ
    指定情報を前記不正侵入データ検知装置に送信すること
    を特徴とする請求項3に記載の不正侵入データ対策処理
    装置。
  7. 【請求項7】 前記データ受信部は、 前記不正侵入データ検知装置より、データ認証に用いる
    認証情報が添付された不正侵入データを受信し、 前記カプセル処理部は、前記認証情報を用いて前記不正
    侵入データのデータ認証を行うことを特徴とする請求項
    4に記載の不正侵入データ対策処理装置。
  8. 【請求項8】 前記カプセル処理部は、 前記応答データのデータ認証に用いる認証情報を前記応
    答データに添付し、 前記データ送信部は、 前記カプセル処理部により認証情報が添付された応答デ
    ータを前記不正侵入データ検知装置に送信することを特
    徴とする請求項7に記載の不正侵入データ対策処理装
    置。
  9. 【請求項9】 所定の内部通信ネットワーク外におい
    て、 前記内部通信ネットワークに不正に侵入する目的で前記
    内部通信ネットワーク外に配置されたいずれかのデータ
    通信装置より送信された不正侵入データを受信し、受信
    した前記不正侵入データに対する対策処理を行うことを
    特徴とする不正侵入データ対策処理方法。
  10. 【請求項10】 前記不正侵入データ対策処理方法は、 前記内部通信ネットワーク内に配置されたデータ通信装
    置と前記内部通信ネットワーク外に配置されたデータ通
    信装置との間のデータ通信の中継を行うととともに前記
    不正侵入データを検知する不正侵入データ検知装置と通
    信を行い、 前記不正侵入データ検知装置より前記不正侵入データを
    受信することを特徴とする請求項9に記載の不正侵入デ
    ータ対策処理方法。
  11. 【請求項11】 前記不正侵入データ対策処理方法は、 前記不正侵入データ検知装置より、前記不正侵入データ
    を受信するデータ受信ステップと、 前記データ受信ステップにより受信された前記不正侵入
    データを解析するデータ解析ステップと、 前記データ解析ステップによる解析結果に基づき、前記
    不正侵入データに対する応答データを生成する応答デー
    タ生成ステップと、 前記応答データ生成ステップにより生成された前記応答
    データを前記不正侵入データ検知装置に対して送信する
    データ送信ステップとを有することを特徴とする請求項
    10に記載の不正侵入データ対策処理方法。
  12. 【請求項12】 前記応答データ生成ステップは、 前記内部通信ネットワーク内に配置された特定のデータ
    通信装置が前記不正侵入データを受信した場合に、前記
    特定のデータ通信装置が前記不正侵入データに対して生
    成する応答データと同じ内容の応答データを生成するこ
    とを特徴とする請求項10に記載の不正侵入データ対策
    処理方法。
  13. 【請求項13】 所定の内部通信ネットワークに不正に
    侵入する目的で送信された不正侵入データに対する対策
    処理を行う不正侵入データ対策処理システムであって、
    前記内部通信ネットワーク内に配置され、前記内部通信
    ネットワーク外のデータ通信装置より送信された不正侵
    入データを検知する不正侵入データ検知装置と、前記内
    部通信ネットワーク外に配置され、前記不正侵入データ
    検知装置より前記不正侵入データを受信し、受信した前
    記不正侵入データに対する対策処理を行う不正侵入デー
    タ対策処理装置とを有することを特徴とする不正侵入デ
    ータ対策処理システム。
  14. 【請求項14】 前記不正侵入データ対策処理装置は、
    前記不正侵入データに対する応答データを生成し、生成
    した前記応答データを前記不正侵入データ検知装置を介
    して前記不正侵入データの送信元に対して送信すること
    を特徴とする請求項13に記載の不正侵入データ対策処
    理システム。
  15. 【請求項15】 前記不正侵入データ検知装置は、前記
    内部通信ネットワーク外に配置され、処理要求に基づき
    所定の処理を行う処理装置と通信可能であり、前記不正
    侵入データ対策処理装置は、前記処理装置への処理要求
    を含む処理要求データを生成し、生成した前記処理要求
    データを前記不正侵入データ検知装置を介して前記処理
    装置に対して送信し、前記処理装置からの応答である処
    理応答データを前記不正侵入データ検知装置を介して受
    信することを特徴とする請求項13に記載の不正侵入デ
    ータ対策処理システム。
  16. 【請求項16】 前記不正侵入データ検知装置は、前記
    不正侵入データ対策処理装置より前記処理要求データを
    受信し、受信した前記処理要求データに所定の判別情報
    を含ませ、前記判別情報が含まれた処理要求データを前
    記処理装置に対して送信し、 前記処理装置より処理応答データを受信した場合に、受
    信した処理応答データを分析して前記処理応答データに
    前記判別情報が含まれているか否かを判断し、前記判別
    情報が含まれていた場合に、前記処理応答データを前記
    処理要求データに対する応答として前記不正侵入データ
    対策処理装置に対して送信することを特徴とする請求項
    15に記載の不正侵入データ対策処理システム。
  17. 【請求項17】 前記不正侵入データ検知装置は、 送信元ポート番号として第一のポート番号が示された処
    理要求データを前記不正侵入データ対策処理装置より受
    信し、前記判別情報として前記送信元ポート番号を前記
    第一のポート番号から第二のポート番号に変更し、前記
    送信元ポート番号として前記第二のポート番号が示され
    た処理要求データを前記処理装置に対して送信し、 前記処理装置より処理応答データを受信した場合に、前
    記処理応答データに送信先ポート番号として前記第二の
    ポート番号が示されているか否かを判断し、前記送信先
    ポート番号として前記第二のポート番号が示されている
    場合に、前記送信先ポート番号を前記第二のポート番号
    から前記第一のポート番号に変更し、前記送信先ポート
    番号として前記第一のポート番号が示された処理応答デ
    ータを前記不正侵入データ対策処理装置に対して送信す
    ることを特徴とする請求項16に記載のデータ対策処理
    システム。
  18. 【請求項18】 前記不正侵入データ検知装置は、 送信元アドレスとして第一のアドレスが示された処理要
    求データを前記不正侵入データ対策処理装置より受信
    し、前記判別情報として前記送信元アドレスを前記第一
    のアドレスから第二のアドレスに変更し、前記送信元ア
    ドレスとして前記第二のアドレスが示された処理要求デ
    ータを前記処理装置に対して送信し、 前記処理装置より処理応答データを受信した場合に、前
    記処理応答データに送信先アドレスとして前記第二のア
    ドレスが示されているか否かを判断し、前記送信先アド
    レスとして前記第二のアドレスが示されている場合に、
    前記送信先アドレスを前記第二のアドレスから前記第一
    のアドレスに変更し、前記送信先アドレスとして前記第
    一のアドレスが示された処理応答データを前記不正侵入
    データ対策処理装置に対して送信することを特徴とする
    請求項16に記載のデータ対策処理システム。
  19. 【請求項19】 前記不正侵入データ検知装置は、前記
    処理装置としてDNS(Domain Name Se
    rver)サーバと通信可能であり、 前記不正侵入データ対策処理装置は、 前記処理要求データを前記不正侵入データ検知装置を介
    して前記DNSサーバに対して送信し、 前記DNSサーバからの応答である処理応答データを前
    記不正侵入データ検知装置を介して受信することを特徴
    とする請求項15に記載の不正侵入データ対策処理シス
    テム。
JP2002033284A 2001-02-14 2002-02-12 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム Expired - Fee Related JP3495030B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002033284A JP3495030B2 (ja) 2001-02-14 2002-02-12 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2001036436 2001-02-14
JP2001-36436 2001-02-14
JP2002033284A JP3495030B2 (ja) 2001-02-14 2002-02-12 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム

Publications (2)

Publication Number Publication Date
JP2002318739A true JP2002318739A (ja) 2002-10-31
JP3495030B2 JP3495030B2 (ja) 2004-02-09

Family

ID=26609352

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002033284A Expired - Fee Related JP3495030B2 (ja) 2001-02-14 2002-02-12 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム

Country Status (1)

Country Link
JP (1) JP3495030B2 (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004206683A (ja) * 2002-12-11 2004-07-22 Nihon Intelligence Corp システム管理装置、方法及びプログラム、管理サーバシステム及びその制御方法並びに保険方法、セキュリティプログラム、セキュリティ管理方法、コンピュータ及びサーバコンピュータ
WO2008084725A1 (ja) * 2007-01-12 2008-07-17 Yokogawa Electric Corporation 不正アクセス情報収集システム
US7474655B2 (en) 2004-09-06 2009-01-06 International Business Machines Corporation Restricting communication service
US7523028B2 (en) 2006-11-30 2009-04-21 International Business Machines Corporation Method of and system for simulating a light-emitting device
JP4791539B2 (ja) * 2005-06-15 2011-10-12 インターナショナル・ビジネス・マシーンズ・コーポレーション ピア・ツー・ピア・ネットワーク上のスパムを減らす方法および装置
US9160771B2 (en) 2009-07-22 2015-10-13 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
WO2016189843A1 (ja) * 2015-05-27 2016-12-01 日本電気株式会社 セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
JP2017228153A (ja) * 2016-06-23 2017-12-28 富士通株式会社 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置
WO2020209085A1 (ja) * 2019-04-09 2020-10-15 日本電信電話株式会社 登録システム、登録方法及び登録プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09214543A (ja) * 1996-02-05 1997-08-15 Toshiba Corp 通信経路制御方法および通信経路制御装置
JPH09214556A (ja) * 1995-11-30 1997-08-15 Toshiba Corp パケット転送方法、パケット処理装置、パケット暗号化方法、パケット復号化方法及びパケット暗号処理方法
JP2000261483A (ja) * 1999-03-09 2000-09-22 Hitachi Ltd ネットワーク監視システム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09214556A (ja) * 1995-11-30 1997-08-15 Toshiba Corp パケット転送方法、パケット処理装置、パケット暗号化方法、パケット復号化方法及びパケット暗号処理方法
JPH09214543A (ja) * 1996-02-05 1997-08-15 Toshiba Corp 通信経路制御方法および通信経路制御装置
JP2000261483A (ja) * 1999-03-09 2000-09-22 Hitachi Ltd ネットワーク監視システム

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004206683A (ja) * 2002-12-11 2004-07-22 Nihon Intelligence Corp システム管理装置、方法及びプログラム、管理サーバシステム及びその制御方法並びに保険方法、セキュリティプログラム、セキュリティ管理方法、コンピュータ及びサーバコンピュータ
US7474655B2 (en) 2004-09-06 2009-01-06 International Business Machines Corporation Restricting communication service
US7725932B2 (en) 2004-09-06 2010-05-25 International Business Machines Corporation Restricting communication service
JP4791539B2 (ja) * 2005-06-15 2011-10-12 インターナショナル・ビジネス・マシーンズ・コーポレーション ピア・ツー・ピア・ネットワーク上のスパムを減らす方法および装置
US7523028B2 (en) 2006-11-30 2009-04-21 International Business Machines Corporation Method of and system for simulating a light-emitting device
JP2008172548A (ja) * 2007-01-12 2008-07-24 Yokogawa Electric Corp 不正アクセス情報収集システム
US8331251B2 (en) 2007-01-12 2012-12-11 Yokogawa Electric Corporation Unauthorized access information collection system
CN101578827B (zh) * 2007-01-12 2013-05-29 横河电机株式会社 未授权访问信息收集系统
WO2008084725A1 (ja) * 2007-01-12 2008-07-17 Yokogawa Electric Corporation 不正アクセス情報収集システム
US10079894B2 (en) 2009-07-22 2018-09-18 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
US9160771B2 (en) 2009-07-22 2015-10-13 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
US11165869B2 (en) 2009-07-22 2021-11-02 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
US10469596B2 (en) 2009-07-22 2019-11-05 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
WO2016189843A1 (ja) * 2015-05-27 2016-12-01 日本電気株式会社 セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
JPWO2016189843A1 (ja) * 2015-05-27 2018-04-19 日本電気株式会社 セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
US10855721B2 (en) 2015-05-27 2020-12-01 Nec Corporation Security system, security method, and recording medium for storing program
JP2017228153A (ja) * 2016-06-23 2017-12-28 富士通株式会社 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置
WO2020209085A1 (ja) * 2019-04-09 2020-10-15 日本電信電話株式会社 登録システム、登録方法及び登録プログラム
JP2020174257A (ja) * 2019-04-09 2020-10-22 日本電信電話株式会社 登録システム、登録方法及び登録プログラム
JP7135980B2 (ja) 2019-04-09 2022-09-13 日本電信電話株式会社 登録システム、登録方法及び登録プログラム

Also Published As

Publication number Publication date
JP3495030B2 (ja) 2004-02-09

Similar Documents

Publication Publication Date Title
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
US7076803B2 (en) Integrated intrusion detection services
US8356349B2 (en) Method and system for intrusion prevention and deflection
US9094372B2 (en) Multi-method gateway-based network security systems and methods
US7222366B2 (en) Intrusion event filtering
US7370354B2 (en) Method of remotely managing a firewall
JP3618245B2 (ja) ネットワーク監視システム
JP2003527793A (ja) ネットワークにおける、自動的な侵入検出及び偏向のための方法
JP2002185539A (ja) 不正侵入防御機能を有するip通信ネットワークシステム
CN101529862A (zh) 利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置
US7360250B2 (en) Illegal access data handling apparatus and method for handling illegal access data
CN111314381A (zh) 安全隔离网关
CN111988289B (zh) Epa工业控制网络安全测试系统及方法
JP3495030B2 (ja) 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
JP3609382B2 (ja) 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム
JP3699941B2 (ja) 分散型サービス不能攻撃防止方法及びゲート装置、通信装置、分散型サービス不能攻撃防止プログラム及び記録媒体
JP3790486B2 (ja) パケット中継装置、パケット中継システムおよびオトリ誘導システム
JP2000354034A (ja) 事業:ハッカー監視室
CN113079180B (zh) 一种基于执行上下文的防火墙细粒度访问控制方法及系统
JP3609381B2 (ja) 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム
JP3657569B2 (ja) パケット処理方法および通信装置
JP4319585B2 (ja) 被害拡散防止システム及びパケット転送装置及びパケット収集分析装置及びプログラム
KR20180118399A (ko) Dns관리장치 및 그 동작 방법
KR20020096194A (ko) 통합보안 네트워크 카드에 의한 네트워크 보안 방법 및시스템
WO2021181391A1 (en) System and method for finding, tracking, and capturing a cyber-attacker

Legal Events

Date Code Title Description
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20031111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071121

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081121

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081121

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091121

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091121

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101121

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111121

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees