JP2003186763A - コンピュータシステムへの不正侵入の検知と防止方法 - Google Patents
コンピュータシステムへの不正侵入の検知と防止方法Info
- Publication number
- JP2003186763A JP2003186763A JP2001389761A JP2001389761A JP2003186763A JP 2003186763 A JP2003186763 A JP 2003186763A JP 2001389761 A JP2001389761 A JP 2001389761A JP 2001389761 A JP2001389761 A JP 2001389761A JP 2003186763 A JP2003186763 A JP 2003186763A
- Authority
- JP
- Japan
- Prior art keywords
- intrusion
- terminal device
- computer system
- detecting
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】インターネットを経由したコンピュータシステ
ムへの不正なアクセスと、それにより生じるデータの盗
み見や漏洩、改ざん、破壊等を検知すると共に防止す
る。 【解決手段】インターネット1に不正侵入検知代理サー
バ12を介してネットワークを構成する複数のLAN1
3a、LAN13b、LAN13cが接続された構成
で、夫々のLANには、所定の法則に従いパケットの中
継交換を行うルータ3と、複数のパソコン等からなる端
末装置5a、5b、5c、5dとを接続している。従っ
て、インターネット1に接続する各LAN、又は端末装
置へのアクセスは、全て不正侵入検知代理サーバを経由
するようネットワークが構築を構築する。
ムへの不正なアクセスと、それにより生じるデータの盗
み見や漏洩、改ざん、破壊等を検知すると共に防止す
る。 【解決手段】インターネット1に不正侵入検知代理サー
バ12を介してネットワークを構成する複数のLAN1
3a、LAN13b、LAN13cが接続された構成
で、夫々のLANには、所定の法則に従いパケットの中
継交換を行うルータ3と、複数のパソコン等からなる端
末装置5a、5b、5c、5dとを接続している。従っ
て、インターネット1に接続する各LAN、又は端末装
置へのアクセスは、全て不正侵入検知代理サーバを経由
するようネットワークが構築を構築する。
Description
【0001】
【発明の属する技術分野】本発明はコンピュータシステ
ムへの不正侵入の検知と防止方法に関し、特にコンピュ
ータシステムにインターネットを介して不正にアクセス
し、コンピュータシステムに妨害を与えることを検知し
防止する方法に関する。
ムへの不正侵入の検知と防止方法に関し、特にコンピュ
ータシステムにインターネットを介して不正にアクセス
し、コンピュータシステムに妨害を与えることを検知し
防止する方法に関する。
【0002】
【従来の技術】近年、インターネットの普及は目覚しい
ものがあり、電子商取引等様々なサービスが提供されて
いる。そのようなインターネットにおいて、コンピュー
タシステムへの不正なアクセスと、それにより生じるデ
ータの盗み見や漏洩、改ざん、破壊等が大きな問題とな
っている。この問題を解決するために、インターネット
を介した不正侵入を検知する技術として侵入検知システ
ムが知られている。図6は、従来のインターネットを介
したコンピュータシステムの構成例である。同図(a)
は、インターネット1にネットワークを構成する複数の
LAN2a、LAN2b、LAN2cを接続し、夫々の
LANには、所定の法則に従いパケットの中継交換を行
うルータ3と、不正侵入を検知する不正侵入検知装置4
と、複数のパソコン等からなる端末装置5a、5b、5
c、5dを接続している。同図(b)は、インターネッ
ト1にネットワークを構成する複数のLAN6a、LA
N6b、LAN6cを接続し、夫々のLANには、所定
の法則に従いパケットの中継交換を行うルータ3と、不
正侵入を検知するソフトウェアを実装した複数のパソコ
ン等からなる端末装置7a、7b、7c、7dを接続し
ている。従来、侵入検知の実施形態としては、同図
(a)に示すように、インターネット1から不正侵入を
防止すべきネットワーク、例えばLAN内部の入口部分
に不正侵入を検知する不正侵入検知装置4を設置するこ
とにより、LAN内部への不正侵入を一括して監視する
実施形態と、又は、同図(b)に示すように、個々の端
末装置内に不正侵入を検知するソフトウェアを実装する
ことにより、その端末装置のみに対する不正侵入を検知
する実施形態がある。
ものがあり、電子商取引等様々なサービスが提供されて
いる。そのようなインターネットにおいて、コンピュー
タシステムへの不正なアクセスと、それにより生じるデ
ータの盗み見や漏洩、改ざん、破壊等が大きな問題とな
っている。この問題を解決するために、インターネット
を介した不正侵入を検知する技術として侵入検知システ
ムが知られている。図6は、従来のインターネットを介
したコンピュータシステムの構成例である。同図(a)
は、インターネット1にネットワークを構成する複数の
LAN2a、LAN2b、LAN2cを接続し、夫々の
LANには、所定の法則に従いパケットの中継交換を行
うルータ3と、不正侵入を検知する不正侵入検知装置4
と、複数のパソコン等からなる端末装置5a、5b、5
c、5dを接続している。同図(b)は、インターネッ
ト1にネットワークを構成する複数のLAN6a、LA
N6b、LAN6cを接続し、夫々のLANには、所定
の法則に従いパケットの中継交換を行うルータ3と、不
正侵入を検知するソフトウェアを実装した複数のパソコ
ン等からなる端末装置7a、7b、7c、7dを接続し
ている。従来、侵入検知の実施形態としては、同図
(a)に示すように、インターネット1から不正侵入を
防止すべきネットワーク、例えばLAN内部の入口部分
に不正侵入を検知する不正侵入検知装置4を設置するこ
とにより、LAN内部への不正侵入を一括して監視する
実施形態と、又は、同図(b)に示すように、個々の端
末装置内に不正侵入を検知するソフトウェアを実装する
ことにより、その端末装置のみに対する不正侵入を検知
する実施形態がある。
【0003】又、不正侵入検知の具体的方策としては、
次の三つの方式が実用化されている。第一の方式は、プ
ロトコルの違反を検知して不正侵入を検知する方法で、
不正侵入の際に用いられたプロトコルは、その仕様に違
反していることが多く、このプロトコル仕様への違反を
つきとめ、それに基づき不正侵入を検知するものであ
る。第二の方式は、不正侵入のためのコマンドに基づく
不正侵入の検知方法で、具体的な方法が明確になってい
る不正侵入方法(具体的には、コンピュータシステムの
セキュリティホールを攻撃することが多い)で用いるコ
マンド(文字列)等を予め記憶しておき、それとシステ
ムへのアクセスの際に用いられたコマンドとを比較し
て、一致した場合、そのアクセスを不正侵入と判定する
ものである。第三の方式は、ログファイルに基づく不正
侵入事実の検知方法で、コンピュータシステムのログフ
ァイルに残されたログから不正侵入が行われた事実を検
知するものである。
次の三つの方式が実用化されている。第一の方式は、プ
ロトコルの違反を検知して不正侵入を検知する方法で、
不正侵入の際に用いられたプロトコルは、その仕様に違
反していることが多く、このプロトコル仕様への違反を
つきとめ、それに基づき不正侵入を検知するものであ
る。第二の方式は、不正侵入のためのコマンドに基づく
不正侵入の検知方法で、具体的な方法が明確になってい
る不正侵入方法(具体的には、コンピュータシステムの
セキュリティホールを攻撃することが多い)で用いるコ
マンド(文字列)等を予め記憶しておき、それとシステ
ムへのアクセスの際に用いられたコマンドとを比較し
て、一致した場合、そのアクセスを不正侵入と判定する
ものである。第三の方式は、ログファイルに基づく不正
侵入事実の検知方法で、コンピュータシステムのログフ
ァイルに残されたログから不正侵入が行われた事実を検
知するものである。
【0004】図7に、従来の三つの不正侵入検知の具体
的方策について、長短所を表に記述する。同表に示すよ
うに、不正侵入を検知することのリアルタイム性につい
ては、第一及び第二の方式共に可能であるが、第三の方
式は困難である。一方、新たな不正侵入の方法が発生し
た場合への対応は、第一及び第三の方式は可能である
が、第二の方式は困難である。そこで従来は、不正侵入
検知システムとして、上述した三つの方式のいずれか一
つを用いて構築していた。
的方策について、長短所を表に記述する。同表に示すよ
うに、不正侵入を検知することのリアルタイム性につい
ては、第一及び第二の方式共に可能であるが、第三の方
式は困難である。一方、新たな不正侵入の方法が発生し
た場合への対応は、第一及び第三の方式は可能である
が、第二の方式は困難である。そこで従来は、不正侵入
検知システムとして、上述した三つの方式のいずれか一
つを用いて構築していた。
【0005】次に、コンピュータシステムに不正に侵入
する手段として、スキャナと呼ばれるものがある。不正
侵入は、コンピュータシステムのセキュリティホールを
攻撃することにより実現され、そのための専用ソフトウ
ェア(以降、不正侵入ツールと呼ぶ)さえ存在する。そ
の不正侵入ツールの一種がスキャナであり、コンピュー
タシステムに存在するセキュリティホールを見つけ出す
ツールである。このスキャナのなかでも、ポートスキャ
ナと呼ばれるものは、コンピュータシステムがTCP/
IPを用いて他のコンピュータシステムとネットワーク
を経由して通信する際に利用するポートを検索し、対象
となるコンピュータシステムが、現在どのようなネット
ワークのサービスを実施しているかを知ることが出来
る。このポートスキャナを用いてコンピュータシステム
のポートスキャンが行われると、その結果がパケットに
よってスキャナに対して送り返される。本来、ポートス
キャナは、自サイトのセキュリティを確認する手段であ
るが、それを他の目的に使用して不正侵入の手段として
用いられている。近年、ポートスキャナによるポートス
キャンが行われていることを検知し、その後のコンピュ
ータシステムへの不正侵入の防止などを行う不正侵入検
知システムが開発されている。
する手段として、スキャナと呼ばれるものがある。不正
侵入は、コンピュータシステムのセキュリティホールを
攻撃することにより実現され、そのための専用ソフトウ
ェア(以降、不正侵入ツールと呼ぶ)さえ存在する。そ
の不正侵入ツールの一種がスキャナであり、コンピュー
タシステムに存在するセキュリティホールを見つけ出す
ツールである。このスキャナのなかでも、ポートスキャ
ナと呼ばれるものは、コンピュータシステムがTCP/
IPを用いて他のコンピュータシステムとネットワーク
を経由して通信する際に利用するポートを検索し、対象
となるコンピュータシステムが、現在どのようなネット
ワークのサービスを実施しているかを知ることが出来
る。このポートスキャナを用いてコンピュータシステム
のポートスキャンが行われると、その結果がパケットに
よってスキャナに対して送り返される。本来、ポートス
キャナは、自サイトのセキュリティを確認する手段であ
るが、それを他の目的に使用して不正侵入の手段として
用いられている。近年、ポートスキャナによるポートス
キャンが行われていることを検知し、その後のコンピュ
ータシステムへの不正侵入の防止などを行う不正侵入検
知システムが開発されている。
【0006】一方、コンピュータシステムをシステムダ
ウンさせたり、サービスを利用不能にしたりするシステ
ム攻撃が行われることがある。なかでもDOS(Den
ial of Service)攻撃は、コンピュータ
やサーバ、LANの使用を不能にすることから、最も脅
威となる攻撃の一つである。DOS攻撃にも様々な方法
があるが、その典型的な方法は、攻撃対象であるコンピ
ュータやサーバへIPパケットを短時間に多量に送りつ
けるというもので、これによりコンピュータやサーバ
は、多量の処理をしなければならないため過負荷とな
り、最終的には処理の継続が不可能となり、システムダ
ウンが生じることがある。この問題を解決するため、同
一、又は複数の特定のソースアドレスから発信されてい
る多量のIPアドレスを検知した場合、DOS攻撃が行
われているものと判断し、全IPパケットを廃棄してい
る。
ウンさせたり、サービスを利用不能にしたりするシステ
ム攻撃が行われることがある。なかでもDOS(Den
ial of Service)攻撃は、コンピュータ
やサーバ、LANの使用を不能にすることから、最も脅
威となる攻撃の一つである。DOS攻撃にも様々な方法
があるが、その典型的な方法は、攻撃対象であるコンピ
ュータやサーバへIPパケットを短時間に多量に送りつ
けるというもので、これによりコンピュータやサーバ
は、多量の処理をしなければならないため過負荷とな
り、最終的には処理の継続が不可能となり、システムダ
ウンが生じることがある。この問題を解決するため、同
一、又は複数の特定のソースアドレスから発信されてい
る多量のIPアドレスを検知した場合、DOS攻撃が行
われているものと判断し、全IPパケットを廃棄してい
る。
【0007】図8は、インターネットを介したコンピュ
ータシステムにおいて、DOS攻撃に対応させた従来の
システム例であり、(a)は、システム構成を示し、
(b)は、DOS攻撃検知装置の内部構成を示す。シス
テム構成としては、インターネット1にLAN8が接続
された構成で、LANには、所定の法則に従いパケット
の中継交換を行うルータ3と、DOS攻撃を検知してI
Pパケットを廃棄するDOS攻撃検知装置9と、複数の
パソコン等からなる端末装置5a、5b、5c、5dを
接続している。DOS攻撃検知装置は、(b)に示す如
く、IPパケット分析手段10により常時、IPパケッ
トのアドレス分析を行い、特定のソースアドレスから多
量のIPパケットが発信されていないかを監視する。そ
の結果、特定のソースアドレスから多量のIPパケット
が発信されていることを検知すると、DOS攻撃とみな
し、IPパケット処理手段11により全てのIPパケッ
トを廃棄する。
ータシステムにおいて、DOS攻撃に対応させた従来の
システム例であり、(a)は、システム構成を示し、
(b)は、DOS攻撃検知装置の内部構成を示す。シス
テム構成としては、インターネット1にLAN8が接続
された構成で、LANには、所定の法則に従いパケット
の中継交換を行うルータ3と、DOS攻撃を検知してI
Pパケットを廃棄するDOS攻撃検知装置9と、複数の
パソコン等からなる端末装置5a、5b、5c、5dを
接続している。DOS攻撃検知装置は、(b)に示す如
く、IPパケット分析手段10により常時、IPパケッ
トのアドレス分析を行い、特定のソースアドレスから多
量のIPパケットが発信されていないかを監視する。そ
の結果、特定のソースアドレスから多量のIPパケット
が発信されていることを検知すると、DOS攻撃とみな
し、IPパケット処理手段11により全てのIPパケッ
トを廃棄する。
【0008】
【発明が解決しようとする課題】しかしながら、従来の
コンピュータシステムへの不正侵入の検知と防止方法
は、以下のような問題を抱えていた。図6に示した従来
のインターネットを介したコンピュータシステムの構成
例において、既存の不正侵入方法は、対象機種によって
は異なるが、同一機種の場合決まった手順で行われる画
一的なものであり、同一の侵入方法が利用される。この
ため、個々の端末装置やLANが個別に不正侵入検知装
置やソフトウェアを備える必要はないにもかかわらず、
従来のコンピュータシステムにおいては、個々の端末装
置やLANが全く同一の不正侵入検知装置やソフトウェ
アを設置、実装しており、従って、次のような損失や不
要な労力と不具合の発生が生じている。 ・不正侵入検知装置やソフトウェアの導入に際しての多
大な費用が発生する。 ・不正侵入検知装置やソフトウェアの運用に際しての多
大な費用が発生する。 ・不正侵入検知装置やソフトウェアの管理が必要とな
る。 ・システムが複雑化する。
コンピュータシステムへの不正侵入の検知と防止方法
は、以下のような問題を抱えていた。図6に示した従来
のインターネットを介したコンピュータシステムの構成
例において、既存の不正侵入方法は、対象機種によって
は異なるが、同一機種の場合決まった手順で行われる画
一的なものであり、同一の侵入方法が利用される。この
ため、個々の端末装置やLANが個別に不正侵入検知装
置やソフトウェアを備える必要はないにもかかわらず、
従来のコンピュータシステムにおいては、個々の端末装
置やLANが全く同一の不正侵入検知装置やソフトウェ
アを設置、実装しており、従って、次のような損失や不
要な労力と不具合の発生が生じている。 ・不正侵入検知装置やソフトウェアの導入に際しての多
大な費用が発生する。 ・不正侵入検知装置やソフトウェアの運用に際しての多
大な費用が発生する。 ・不正侵入検知装置やソフトウェアの管理が必要とな
る。 ・システムが複雑化する。
【0009】又、不正侵入検知手段として、不正侵入の
ためのコマンドに基づく不正侵入検知方法を用いる場合
は、既存の不正侵入方法で用いるコマンドを全て記憶し
なければならず、その数は新しいコマンドの発生に従っ
て増加する。そこで、コマンドを記憶しておくために、
大きな容量のメモリが必要となり、コストの上昇につな
がる。又、記憶しておくコマンドが増加するに従って、
実際に行われているアクセスと記憶してあるコマンドと
の比較(検索)に時間を要することとなり、効率が低下
するという問題が生じていた。
ためのコマンドに基づく不正侵入検知方法を用いる場合
は、既存の不正侵入方法で用いるコマンドを全て記憶し
なければならず、その数は新しいコマンドの発生に従っ
て増加する。そこで、コマンドを記憶しておくために、
大きな容量のメモリが必要となり、コストの上昇につな
がる。又、記憶しておくコマンドが増加するに従って、
実際に行われているアクセスと記憶してあるコマンドと
の比較(検索)に時間を要することとなり、効率が低下
するという問題が生じていた。
【0010】次に、従来の不正侵入検知手段として前述
した三つの方法において、プロトコルの違反を検知して
不正侵入を検知する方法と、不正侵入のためのコマンド
に基づく不正侵入の検知方法と、ログファイルに基づく
不正侵入事実の検知方法の何れか一つの方法を用いて不
正侵入を検知する従来のシステムでは、夫々の方法にお
いて次のような問題が生じる可能性を有していた。 ・検知ルールに一致しない不正侵入方法は、検知できな
い。 ・リアルタイムで検知できない。 ・新しい不正侵入方法を検知できない。 このため、全ての不正侵入を検知できず、検知の漏れが
生じることとなっていた。
した三つの方法において、プロトコルの違反を検知して
不正侵入を検知する方法と、不正侵入のためのコマンド
に基づく不正侵入の検知方法と、ログファイルに基づく
不正侵入事実の検知方法の何れか一つの方法を用いて不
正侵入を検知する従来のシステムでは、夫々の方法にお
いて次のような問題が生じる可能性を有していた。 ・検知ルールに一致しない不正侵入方法は、検知できな
い。 ・リアルタイムで検知できない。 ・新しい不正侵入方法を検知できない。 このため、全ての不正侵入を検知できず、検知の漏れが
生じることとなっていた。
【0011】一方、スキャニングによる不正侵入検知シ
ステムにおいては、既存の不正侵入検知システムを用い
ることによりポートスキャン等をされた事実を知ること
はできたが、それを積極的に撃退するなどの方法は備え
ていなかった。そのため、不正侵入検知システムを用い
て不正な侵入を検知することが出来、それに基づいて情
報の漏洩や破壊等を阻止することは出来ても、不正を行
っている者に対しての積極的な警告や撃退を行うことは
出来ないという問題が生じていた。
ステムにおいては、既存の不正侵入検知システムを用い
ることによりポートスキャン等をされた事実を知ること
はできたが、それを積極的に撃退するなどの方法は備え
ていなかった。そのため、不正侵入検知システムを用い
て不正な侵入を検知することが出来、それに基づいて情
報の漏洩や破壊等を阻止することは出来ても、不正を行
っている者に対しての積極的な警告や撃退を行うことは
出来ないという問題が生じていた。
【0012】又、コンピュータシステムをDOS攻撃に
対応させた従来のシステム例においては、DOS攻撃を
検知した際、毎回、全IPパケットの廃棄を行ってお
り、その間、LANやインターネットが使用不能とな
り、業務上や営業上、その他の場合で重大な支障を生じ
て大きな問題となっていた。そこで本発明は、上述した
ような様々な問題を解決するためになされたものであっ
て、最適なコンピュータシステムへの不正侵入の検知と
防止方法を提供することを目的とする。
対応させた従来のシステム例においては、DOS攻撃を
検知した際、毎回、全IPパケットの廃棄を行ってお
り、その間、LANやインターネットが使用不能とな
り、業務上や営業上、その他の場合で重大な支障を生じ
て大きな問題となっていた。そこで本発明は、上述した
ような様々な問題を解決するためになされたものであっ
て、最適なコンピュータシステムへの不正侵入の検知と
防止方法を提供することを目的とする。
【0013】
【課題を解決するための手段】上記目的を達成するため
に、本発明に係わるコンピュータシステムへの不正侵入
の検知と防止方法は、以下の構成をとる。請求項1記載
のコンピュータシステムへの不正侵入の検知と防止方法
は、インターネットに複数のLANを接続してサービス
の提供を受けるコンピュータシステムにおいて、前記イ
ンターネット側に不正侵入検知代理サーバを設置してお
り、LANに接続した端末装置へのアクセスは、全て前
記不正侵入検知代理サーバを介して行うよう構成する。
に、本発明に係わるコンピュータシステムへの不正侵入
の検知と防止方法は、以下の構成をとる。請求項1記載
のコンピュータシステムへの不正侵入の検知と防止方法
は、インターネットに複数のLANを接続してサービス
の提供を受けるコンピュータシステムにおいて、前記イ
ンターネット側に不正侵入検知代理サーバを設置してお
り、LANに接続した端末装置へのアクセスは、全て前
記不正侵入検知代理サーバを介して行うよう構成する。
【0014】請求項2記載のコンピュータシステムへの
不正侵入の検知と防止方法は、インターネットにLAN
を接続してサービスの提供を受けるコンピュータシステ
ムにおいて、前記LANにはルータと不正侵入検知用の
プログラムを搭載した複数の端末装置を接続しており、
各端末装置は通常行われる不正侵入の手順に関する情報
を記憶しておく親端末装置と、プロトコルやサービス別
に不正侵入方法を夫々記憶しておく子端末装置とに機能
分別し、アクセス時に先ず親端末装置により不正侵入検
知を行うステップと、親端末装置が不正侵入検知の際
は、ネットワークから端末装置の遮断やパケット廃棄を
行うステップと、親端末装置が不正侵入不検知の際は、
各子端末装置において機能別に順次不正侵入検知を行う
ステップと、各子端末装置が不正侵入検知の際は、ネッ
トワークから端末装置の遮断やパケット廃棄を行うステ
ップと、各子端末装置が不正侵入不検知の際は、通常の
アクセスを行うステップとを含むよう構成する。
不正侵入の検知と防止方法は、インターネットにLAN
を接続してサービスの提供を受けるコンピュータシステ
ムにおいて、前記LANにはルータと不正侵入検知用の
プログラムを搭載した複数の端末装置を接続しており、
各端末装置は通常行われる不正侵入の手順に関する情報
を記憶しておく親端末装置と、プロトコルやサービス別
に不正侵入方法を夫々記憶しておく子端末装置とに機能
分別し、アクセス時に先ず親端末装置により不正侵入検
知を行うステップと、親端末装置が不正侵入検知の際
は、ネットワークから端末装置の遮断やパケット廃棄を
行うステップと、親端末装置が不正侵入不検知の際は、
各子端末装置において機能別に順次不正侵入検知を行う
ステップと、各子端末装置が不正侵入検知の際は、ネッ
トワークから端末装置の遮断やパケット廃棄を行うステ
ップと、各子端末装置が不正侵入不検知の際は、通常の
アクセスを行うステップとを含むよう構成する。
【0015】請求項3記載のコンピュータシステムへの
不正侵入の検知と防止方法は、インターネットにLAN
を接続してサービスの提供を受けるコンピュータシステ
ムにおいて、前記LANにはルータと不正侵入検知用の
プログラムを搭載した複数の端末装置を接続しており、
各端末装置には自端末装置への不正侵入に際して用いら
れた手順や独自の収集により獲得した情報を記憶してお
き、任意の端末装置にアクセスが行われた際は、端末装
置は自己の情報と比較を行ない、不正侵入を検知するス
テップと、端末装置が不正侵入検知の際は、ネットワー
クから端末装置の遮断やパケット廃棄を行うステップ
と、端末装置が不検知の際は、他の端末装置へ問い合わ
せて順次不正侵入検知を行うステップと、他の端末装置
が不正侵入検知の際は、ネットワークから端末装置の遮
断やパケット廃棄を行うステップと、他の端末装置が不
正侵入不検知の際は、通常のアクセスを行うステップと
を含むよう構成する。
不正侵入の検知と防止方法は、インターネットにLAN
を接続してサービスの提供を受けるコンピュータシステ
ムにおいて、前記LANにはルータと不正侵入検知用の
プログラムを搭載した複数の端末装置を接続しており、
各端末装置には自端末装置への不正侵入に際して用いら
れた手順や独自の収集により獲得した情報を記憶してお
き、任意の端末装置にアクセスが行われた際は、端末装
置は自己の情報と比較を行ない、不正侵入を検知するス
テップと、端末装置が不正侵入検知の際は、ネットワー
クから端末装置の遮断やパケット廃棄を行うステップ
と、端末装置が不検知の際は、他の端末装置へ問い合わ
せて順次不正侵入検知を行うステップと、他の端末装置
が不正侵入検知の際は、ネットワークから端末装置の遮
断やパケット廃棄を行うステップと、他の端末装置が不
正侵入不検知の際は、通常のアクセスを行うステップと
を含むよう構成する。
【0016】請求項4記載のコンピュータシステムへの
不正侵入の検知と防止方法は、インターネットにLAN
を接続してサービスの提供を受けるコンピュータシステ
ムにおいて、前記LANにはルータと不正侵入検知装置
と複数の端末装置を接続しており、前記不正侵入検知装
置は、第一のステップとしてプロトコル違反に基づく不
正侵入の検知を行うステップと、第二のステップとし
て、不正侵入のためのコマンドに基づく不正侵入の検知
を行うステップと、第三のステップとして、ログファイ
ルに基づく不正侵入の事実の検知を行うステップとを有
しており、前記三つのステップを第一のステップから第
三のステップへ順次実行するよう構成する。
不正侵入の検知と防止方法は、インターネットにLAN
を接続してサービスの提供を受けるコンピュータシステ
ムにおいて、前記LANにはルータと不正侵入検知装置
と複数の端末装置を接続しており、前記不正侵入検知装
置は、第一のステップとしてプロトコル違反に基づく不
正侵入の検知を行うステップと、第二のステップとし
て、不正侵入のためのコマンドに基づく不正侵入の検知
を行うステップと、第三のステップとして、ログファイ
ルに基づく不正侵入の事実の検知を行うステップとを有
しており、前記三つのステップを第一のステップから第
三のステップへ順次実行するよう構成する。
【0017】請求項5記載のコンピュータシステムへの
不正侵入の検知と防止方法は、前記請求項1記載の不正
侵入検知代理サーバが、第一のステップとしてプロトコ
ル違反に基づく不正侵入の検知を行うステップと、第二
のステップとして、不正侵入のためのコマンドに基づく
不正侵入の検知を行うステップと、第三のステップとし
て、ログファイルに基づく不正侵入の事実の検知を行う
ステップとを有しており、前記三つのステップを第一の
ステップから第三のステップへ順次実行するよう構成す
る。
不正侵入の検知と防止方法は、前記請求項1記載の不正
侵入検知代理サーバが、第一のステップとしてプロトコ
ル違反に基づく不正侵入の検知を行うステップと、第二
のステップとして、不正侵入のためのコマンドに基づく
不正侵入の検知を行うステップと、第三のステップとし
て、ログファイルに基づく不正侵入の事実の検知を行う
ステップとを有しており、前記三つのステップを第一の
ステップから第三のステップへ順次実行するよう構成す
る。
【0018】請求項6記載のコンピュータシステムへの
不正侵入の検知と防止方法は、インターネットにLAN
を接続してサービスの提供を受けるコンピュータシステ
ムにおいて、前記LANにはルータと不正侵入検知装置
と複数の端末装置を接続しており、前記不正侵入検知装
置は、アクセス時にポートスキャンを検知するステップ
と、ポートスキャナに返送されるパケットデータに不正
侵入に対する警告及び反撃のためのプログラムを組み込
むステップと、前記パケットデータをポートスキャナへ
返送するステップとを含むよう構成する。
不正侵入の検知と防止方法は、インターネットにLAN
を接続してサービスの提供を受けるコンピュータシステ
ムにおいて、前記LANにはルータと不正侵入検知装置
と複数の端末装置を接続しており、前記不正侵入検知装
置は、アクセス時にポートスキャンを検知するステップ
と、ポートスキャナに返送されるパケットデータに不正
侵入に対する警告及び反撃のためのプログラムを組み込
むステップと、前記パケットデータをポートスキャナへ
返送するステップとを含むよう構成する。
【0019】請求項7記載のコンピュータシステムへの
不正侵入の検知と防止方法は、インターネットにLAN
を接続してサービスの提供を受けるコンピュータシステ
ムにおいて、前記LANにはルータとDOS攻撃検知装
置と複数の端末装置を接続しており、前記DOS攻撃検
知装置は、同一、又は複数からなる特定のソースアドレ
スから特定のデスティネーションアドレスに対して、I
Pパケットが一定時間内に多数送りつけられていないか
を判断するステップと、DOS攻撃が行われていると判
断した場合は、そこから送りつけられるIPパケットの
みを廃棄するステップと、それ以外のIPパケットは、
通常どおり通過させるステップと、DOS攻撃が行われ
ていないと判断した場合は、通常どおり通過させるステ
ップとを含むよう構成する。
不正侵入の検知と防止方法は、インターネットにLAN
を接続してサービスの提供を受けるコンピュータシステ
ムにおいて、前記LANにはルータとDOS攻撃検知装
置と複数の端末装置を接続しており、前記DOS攻撃検
知装置は、同一、又は複数からなる特定のソースアドレ
スから特定のデスティネーションアドレスに対して、I
Pパケットが一定時間内に多数送りつけられていないか
を判断するステップと、DOS攻撃が行われていると判
断した場合は、そこから送りつけられるIPパケットの
みを廃棄するステップと、それ以外のIPパケットは、
通常どおり通過させるステップと、DOS攻撃が行われ
ていないと判断した場合は、通常どおり通過させるステ
ップとを含むよう構成する。
【0020】
【発明の実施の形態】以下、図示した実施例に基づいて
本発明を詳細に説明する。図1は、本発明に係るコンピ
ュータシステムへの不正侵入の検知と防止方法を示す第
一の実施例である。本実施例においては、コンピュータ
システムが個々の端末装置やLANに、全く同一の不正
侵入検知装置やソフトウェアを設置、実装していること
により生じる問題を解決するためになされたものであっ
て、図1に示す如く、インターネット内に不正侵入を検
知する機能を備え、複数の利用者に代わって不正侵入の
検知を行う不正侵入検知代理サーバを設置した。この不
正侵入検知代理サーバの利用者への他からのアクセス
は、全て不正侵入検知代理サーバを経由して行うように
する。利用者は、自らへの他からのアクセスを、不正侵
入検知代理サーバを経由して行うことにより、不正侵入
検知代理サーバの不正侵入検知機能を利用するものであ
る。
本発明を詳細に説明する。図1は、本発明に係るコンピ
ュータシステムへの不正侵入の検知と防止方法を示す第
一の実施例である。本実施例においては、コンピュータ
システムが個々の端末装置やLANに、全く同一の不正
侵入検知装置やソフトウェアを設置、実装していること
により生じる問題を解決するためになされたものであっ
て、図1に示す如く、インターネット内に不正侵入を検
知する機能を備え、複数の利用者に代わって不正侵入の
検知を行う不正侵入検知代理サーバを設置した。この不
正侵入検知代理サーバの利用者への他からのアクセス
は、全て不正侵入検知代理サーバを経由して行うように
する。利用者は、自らへの他からのアクセスを、不正侵
入検知代理サーバを経由して行うことにより、不正侵入
検知代理サーバの不正侵入検知機能を利用するものであ
る。
【0021】図1を説明すると、同図は、インターネッ
ト1に不正侵入検知代理サーバ12を介してネットワー
クを構成する複数のLAN13a、LAN13b、LA
N13cが接続された構成で、夫々のLANには、所定
の法則に従いパケットの中継交換を行うルータ3と、複
数のパソコン等からなる端末装置5a、5b、5c、5
dとを接続している。従って、インターネット1に接続
する各LAN、又は端末装置へのアクセスは、全て不正
侵入検知代理サーバを経由するようネットワークが構築
されている。そこで、不正侵入検知の一例を説明する
と、インターネットを介して他者からLAN13aに対
してアクセスがあった場合、不正侵入検知代理サーバ1
2は、アクセスの際に用いられたコマンドをモニター
し、それと自分が記憶している既存の不正侵入に使用さ
れたコマンドと比較して一致した場合、そのアクセスは
不正侵入のためのアクセスであると判断し、そのアクセ
スを拒絶することにより、不正侵入を未然に防止する。
又、一致しなかった場合は、通常どおりのアクセスを許
可する。
ト1に不正侵入検知代理サーバ12を介してネットワー
クを構成する複数のLAN13a、LAN13b、LA
N13cが接続された構成で、夫々のLANには、所定
の法則に従いパケットの中継交換を行うルータ3と、複
数のパソコン等からなる端末装置5a、5b、5c、5
dとを接続している。従って、インターネット1に接続
する各LAN、又は端末装置へのアクセスは、全て不正
侵入検知代理サーバを経由するようネットワークが構築
されている。そこで、不正侵入検知の一例を説明する
と、インターネットを介して他者からLAN13aに対
してアクセスがあった場合、不正侵入検知代理サーバ1
2は、アクセスの際に用いられたコマンドをモニター
し、それと自分が記憶している既存の不正侵入に使用さ
れたコマンドと比較して一致した場合、そのアクセスは
不正侵入のためのアクセスであると判断し、そのアクセ
スを拒絶することにより、不正侵入を未然に防止する。
又、一致しなかった場合は、通常どおりのアクセスを許
可する。
【0022】図2は、本発明に係るコンピュータシステ
ムへの不正侵入の検知と防止方法を示す第二の実施例で
ある。本実施例は、不正侵入検知手段として、不正侵入
のためのコマンドに基づく不正侵入検知方法を用いた際
に、既存の不正侵入方法で用いる情報を全て記憶するた
め、大きな容量のメモリを必要とするという問題を解決
するためになされたものであって、既存の不正侵入方法
で用いる情報を複数の端末装置に分散して記憶させるも
のである。任意の端末装置にアクセスがあった場合、そ
の端末装置は、先ず自分の記憶している情報に照らし合
わせて、そのアクセスが不正侵入であるかどうかを判断
し、不正侵入である場合は、ネットワークから端末装置
の遮断やパケットの廃棄等の処置を行う。自分だけの情
報では不正侵入かどうかの判断がつかない場合は、近隣
の端末装置に対して問い合わせを行う。その結果、その
アクセスが不正侵入であると判断された場合、上述と同
様の処置を行い、不正侵入ではないと判断された場合
は、アクセスを許可する。
ムへの不正侵入の検知と防止方法を示す第二の実施例で
ある。本実施例は、不正侵入検知手段として、不正侵入
のためのコマンドに基づく不正侵入検知方法を用いた際
に、既存の不正侵入方法で用いる情報を全て記憶するた
め、大きな容量のメモリを必要とするという問題を解決
するためになされたものであって、既存の不正侵入方法
で用いる情報を複数の端末装置に分散して記憶させるも
のである。任意の端末装置にアクセスがあった場合、そ
の端末装置は、先ず自分の記憶している情報に照らし合
わせて、そのアクセスが不正侵入であるかどうかを判断
し、不正侵入である場合は、ネットワークから端末装置
の遮断やパケットの廃棄等の処置を行う。自分だけの情
報では不正侵入かどうかの判断がつかない場合は、近隣
の端末装置に対して問い合わせを行う。その結果、その
アクセスが不正侵入であると判断された場合、上述と同
様の処置を行い、不正侵入ではないと判断された場合
は、アクセスを許可する。
【0023】図2を説明すると、インターネット1にネ
ットワークとしてLAN14を接続し、LANには、所
定の法則に従いパケットの中継交換を行うルータ3と、
不正侵入を検知するソフトウェアを実装した複数のパソ
コン等からなる端末装置(端末装置)15a、15b、
15c、15dとを接続している。そこで次に、不正侵
入を検知するための端末装置の実施形態を具体的に説明
する。その第一の形態は、通常よく行われる不正侵入の
手順に関する情報を記憶しておく端末装置(以下、親端
末装置と言う)を一つ定めておき、通常は先ずその親端
末装置に不正侵入であるかないかの問い合わせを行う。
そこで、不正侵入であると判断された場合は、ネットワ
ークから端末装置の遮断やパケットの廃棄等の処置を行
う。一方、不正侵入でないと判断された場合は、次に分
野別に情報を記憶している(例えば、プロトコルやサー
ビス別に不正侵入方法を記憶している)端末装置(以
下、子端末装置と言う)に不正侵入であるかないかの問
い合わせを行う。その結果、不正侵入であると判断され
た場合は、ネットワークから端末装置の遮断やパケット
の廃棄等の処置を行う。不正侵入ではないと判断された
場合は、アクセスを許可する。
ットワークとしてLAN14を接続し、LANには、所
定の法則に従いパケットの中継交換を行うルータ3と、
不正侵入を検知するソフトウェアを実装した複数のパソ
コン等からなる端末装置(端末装置)15a、15b、
15c、15dとを接続している。そこで次に、不正侵
入を検知するための端末装置の実施形態を具体的に説明
する。その第一の形態は、通常よく行われる不正侵入の
手順に関する情報を記憶しておく端末装置(以下、親端
末装置と言う)を一つ定めておき、通常は先ずその親端
末装置に不正侵入であるかないかの問い合わせを行う。
そこで、不正侵入であると判断された場合は、ネットワ
ークから端末装置の遮断やパケットの廃棄等の処置を行
う。一方、不正侵入でないと判断された場合は、次に分
野別に情報を記憶している(例えば、プロトコルやサー
ビス別に不正侵入方法を記憶している)端末装置(以
下、子端末装置と言う)に不正侵入であるかないかの問
い合わせを行う。その結果、不正侵入であると判断され
た場合は、ネットワークから端末装置の遮断やパケット
の廃棄等の処置を行う。不正侵入ではないと判断された
場合は、アクセスを許可する。
【0024】次に第二の形態は、各端末装置が自分への
不正侵入に際して用いられた手順や独自の収集により獲
得した情報を記憶しておく。そこで、任意の端末装置に
アクセスが行われた場合、その端末装置は先ず自分が記
憶している情報との比較を行う。そこで、不正侵入であ
ると判断された場合は、ネットワークから端末装置の遮
断やパケットの廃棄等の処置を行う。一方、不正侵入で
ないと判断された場合は、やはり不正侵入に関する独自
の情報を記憶している他の端末装置に問い合わせる。そ
こで、不正侵入であると判断された場合は、ネットワー
クから端末装置の遮断やパケットの廃棄等の処置を行
い、不正侵入ではないと判断された場合は、アクセスを
許可する。
不正侵入に際して用いられた手順や独自の収集により獲
得した情報を記憶しておく。そこで、任意の端末装置に
アクセスが行われた場合、その端末装置は先ず自分が記
憶している情報との比較を行う。そこで、不正侵入であ
ると判断された場合は、ネットワークから端末装置の遮
断やパケットの廃棄等の処置を行う。一方、不正侵入で
ないと判断された場合は、やはり不正侵入に関する独自
の情報を記憶している他の端末装置に問い合わせる。そ
こで、不正侵入であると判断された場合は、ネットワー
クから端末装置の遮断やパケットの廃棄等の処置を行
い、不正侵入ではないと判断された場合は、アクセスを
許可する。
【0025】図3は、本発明に係るコンピュータシステ
ムへの不正侵入の検知と防止方法を示す第三の実施例で
ある。本実施例は、不正侵入を検知漏れなく確実に検知
可能とする構成例であり、不正侵入検知装置に異なった
三つの不正侵入検知方法を実現するモジュールを連続
(直列)に備え、夫々の方法の長所を生かして、不正侵
入検知装置全体で不正侵入の検知漏れを防ぐものであ
る。そこで、三つの不正侵入検知方法の特徴を生かし、
効果的に不正侵入検知を行うため、先ず、リアルタイム
且つ簡単なルールで不正進入を検知できる第一の方法と
して、プロトコル違反に基づく不正侵入の検知を行い、
殆どの単純な方法での不正侵入は、ここで検知して排除
する。次に、リアルタイムで検知可能であるが、ルール
がより複雑となる第二の方法として、不正侵入のための
コマンドに基づく不正侵入の検知を行い、残った不正侵
入の方法を検知し排除する。最後に、リアルタイムでの
検知は困難であるが、非常に複雑な不正侵入の方法を検
知できる第三の方法として、ログファイルに基づく不正
侵入の事実の検知を行い、新しい不正侵入の方法を含め
て不正侵入の事実とその具体的な方法を得る。
ムへの不正侵入の検知と防止方法を示す第三の実施例で
ある。本実施例は、不正侵入を検知漏れなく確実に検知
可能とする構成例であり、不正侵入検知装置に異なった
三つの不正侵入検知方法を実現するモジュールを連続
(直列)に備え、夫々の方法の長所を生かして、不正侵
入検知装置全体で不正侵入の検知漏れを防ぐものであ
る。そこで、三つの不正侵入検知方法の特徴を生かし、
効果的に不正侵入検知を行うため、先ず、リアルタイム
且つ簡単なルールで不正進入を検知できる第一の方法と
して、プロトコル違反に基づく不正侵入の検知を行い、
殆どの単純な方法での不正侵入は、ここで検知して排除
する。次に、リアルタイムで検知可能であるが、ルール
がより複雑となる第二の方法として、不正侵入のための
コマンドに基づく不正侵入の検知を行い、残った不正侵
入の方法を検知し排除する。最後に、リアルタイムでの
検知は困難であるが、非常に複雑な不正侵入の方法を検
知できる第三の方法として、ログファイルに基づく不正
侵入の事実の検知を行い、新しい不正侵入の方法を含め
て不正侵入の事実とその具体的な方法を得る。
【0026】図3を説明すると、(a)は、インターネ
ット1にネットワークとしてLAN16を接続した構成
で、LAN16には、所定の法則に従いパケットの中継
交換を行うルータ3と、不正侵入を検知する不正侵入検
知装置17と、複数のパソコン等からなる端末装置5
a、5b、5c、5dとを接続している。(b)は、不
正侵入検知装置17の内部構成を示し、プロトコル違反
に基づく不正侵入の検知手段18と、不正侵入のための
コマンドに基づく不正侵入の検知手段19と、ログファ
イルに基づく不正侵入事実の検知手段20を備えてい
る。そこで、外部からインターネットを経由したLAN
16へのアクセスは、先ず、プロトコル違反に基づく不
正侵入検知手段18に入力し、アクセスで用いているプ
ロトコル(具体的にはパケットの内容)が規定のプロト
コル仕様に合致しているかどうかを判定する。合致して
いればパケットはそのまま通過し、合致していなければ
そのアクセスは不正侵入のための不正アクセスであると
判定し、アクセスを拒絶する(接続を切断する)等の処
置を行う。
ット1にネットワークとしてLAN16を接続した構成
で、LAN16には、所定の法則に従いパケットの中継
交換を行うルータ3と、不正侵入を検知する不正侵入検
知装置17と、複数のパソコン等からなる端末装置5
a、5b、5c、5dとを接続している。(b)は、不
正侵入検知装置17の内部構成を示し、プロトコル違反
に基づく不正侵入の検知手段18と、不正侵入のための
コマンドに基づく不正侵入の検知手段19と、ログファ
イルに基づく不正侵入事実の検知手段20を備えてい
る。そこで、外部からインターネットを経由したLAN
16へのアクセスは、先ず、プロトコル違反に基づく不
正侵入検知手段18に入力し、アクセスで用いているプ
ロトコル(具体的にはパケットの内容)が規定のプロト
コル仕様に合致しているかどうかを判定する。合致して
いればパケットはそのまま通過し、合致していなければ
そのアクセスは不正侵入のための不正アクセスであると
判定し、アクセスを拒絶する(接続を切断する)等の処
置を行う。
【0027】パケットがそのまま通過した場合は、次に
そのパケットは、不正侵入のためのコマンドに基づく不
正侵入の検知手段19に入力し、そのパケットに格納さ
れているデータが、既存の不正侵入方法で用いるコマン
ド(文字列)であるかどうかを確認する。不正侵入で用
いるコマンドであった場合は、不正侵入のためのアクセ
スであると判定し、アクセスを拒絶する(接続を切断す
る)等の処置を行う。そうでなかった場合は、パケット
をそのまま通過させる。最後にアクセスの内容はログフ
ァイルへ記録されるが、ログファイルに基づく不正侵入
事実の検知手段20において、その記録を検証し不正侵
入が行われたかを確認する。不正侵入が行われた事実が
確認された場合は、接続を切断する等によりその不正侵
入を排除する。又、その不正侵入の記録(ログ)は、今
後の不正侵入の防止に役立てる。
そのパケットは、不正侵入のためのコマンドに基づく不
正侵入の検知手段19に入力し、そのパケットに格納さ
れているデータが、既存の不正侵入方法で用いるコマン
ド(文字列)であるかどうかを確認する。不正侵入で用
いるコマンドであった場合は、不正侵入のためのアクセ
スであると判定し、アクセスを拒絶する(接続を切断す
る)等の処置を行う。そうでなかった場合は、パケット
をそのまま通過させる。最後にアクセスの内容はログフ
ァイルへ記録されるが、ログファイルに基づく不正侵入
事実の検知手段20において、その記録を検証し不正侵
入が行われたかを確認する。不正侵入が行われた事実が
確認された場合は、接続を切断する等によりその不正侵
入を排除する。又、その不正侵入の記録(ログ)は、今
後の不正侵入の防止に役立てる。
【0028】図4は、本発明に係るコンピュータシステ
ムへの不正侵入の検知と防止方法を示す第四の実施例に
おけるフローチャートである。本実施例は、スキャニン
グによる不正侵入検知システムにおいて、ポートスキャ
ン等が行われた際に、それを積極的に撃退する方法を備
えたものである。ポートスキャン等によりスキャニング
が行われると、対象となるコンピュータシステムが実行
しているネットワークのサービスに関する情報を乗せた
パケットがスキャナに送り返されるが、それを検知する
と、そのパケットのデータを乗っ取り、そのデータ部に
次のような情報を組み込みスキャナに送り返すものであ
る。情報の一つは、不正侵入に対する警告であり、他の
一つは反撃のためのプログラムである。例えば、反撃の
ために組み込むプログラムとしては、トロイの木馬が考
えられ、情報を送り返すパケットデータ部に、トロイの
木馬を実行するプログラムを搭載しスキャナへ送り返
す。スキャナに送り返されたトロイの木馬を実行するプ
ログラムは内部に常駐し、何かのきっかけによって不正
侵入に対する警告やさらには内部のデータやシステムの
破壊などを行う。その結果、不正侵入を行った者には、
不正侵入によって自らにも被害が発生することが認識さ
れ、最終的にはこの反撃が不正侵入に対する抑止力とし
て機能するようになる。
ムへの不正侵入の検知と防止方法を示す第四の実施例に
おけるフローチャートである。本実施例は、スキャニン
グによる不正侵入検知システムにおいて、ポートスキャ
ン等が行われた際に、それを積極的に撃退する方法を備
えたものである。ポートスキャン等によりスキャニング
が行われると、対象となるコンピュータシステムが実行
しているネットワークのサービスに関する情報を乗せた
パケットがスキャナに送り返されるが、それを検知する
と、そのパケットのデータを乗っ取り、そのデータ部に
次のような情報を組み込みスキャナに送り返すものであ
る。情報の一つは、不正侵入に対する警告であり、他の
一つは反撃のためのプログラムである。例えば、反撃の
ために組み込むプログラムとしては、トロイの木馬が考
えられ、情報を送り返すパケットデータ部に、トロイの
木馬を実行するプログラムを搭載しスキャナへ送り返
す。スキャナに送り返されたトロイの木馬を実行するプ
ログラムは内部に常駐し、何かのきっかけによって不正
侵入に対する警告やさらには内部のデータやシステムの
破壊などを行う。その結果、不正侵入を行った者には、
不正侵入によって自らにも被害が発生することが認識さ
れ、最終的にはこの反撃が不正侵入に対する抑止力とし
て機能するようになる。
【0029】図4を説明すると、不正侵入を試みるスキ
ャナ側からポートスキャンのためのパケットが、対象と
なるコンピュータシステムへ送出されるとコンピュータ
システムはアクセスした後(ステップ1)、不正侵入検
知ツールを用いてスキャニング検出を行う(ステップ
2)。その結果、ポートスキャンを検知すると、ポート
スキャンした結果を乗せてスキャナへ送り返すパケット
データを、予め用意されている不正侵入に対する警告や
トロイの木馬等の反撃プログラム(ステップ3)に書き
換え(ステップ4)、書き換えたパケットをスキャナへ
送り返す(ステップ5)。ステップ2において、ポート
スキャンを検知しない場合は、通常のアクセスを行う
(ステップ6)。スキャナ側では、本来、表示されるべ
き対象となるコンピュータシステムに設定されているポ
ートに関する情報、更には、利用しているネットワーク
のサービス情報に代えて、不正侵入に対する警告の表示
が行われたり、トロイの木馬プログラムの組み込みが行
われたりする。このトロイの木馬は、以降、何らかのき
っかけで動作を開始する。
ャナ側からポートスキャンのためのパケットが、対象と
なるコンピュータシステムへ送出されるとコンピュータ
システムはアクセスした後(ステップ1)、不正侵入検
知ツールを用いてスキャニング検出を行う(ステップ
2)。その結果、ポートスキャンを検知すると、ポート
スキャンした結果を乗せてスキャナへ送り返すパケット
データを、予め用意されている不正侵入に対する警告や
トロイの木馬等の反撃プログラム(ステップ3)に書き
換え(ステップ4)、書き換えたパケットをスキャナへ
送り返す(ステップ5)。ステップ2において、ポート
スキャンを検知しない場合は、通常のアクセスを行う
(ステップ6)。スキャナ側では、本来、表示されるべ
き対象となるコンピュータシステムに設定されているポ
ートに関する情報、更には、利用しているネットワーク
のサービス情報に代えて、不正侵入に対する警告の表示
が行われたり、トロイの木馬プログラムの組み込みが行
われたりする。このトロイの木馬は、以降、何らかのき
っかけで動作を開始する。
【0030】図5は、本発明に係るコンピュータシステ
ムへの不正侵入の検知と防止方法を示す第五の実施例で
ある。本実施例は、DOS攻撃に対応させたコンピュー
タシステム例においては、DOS攻撃を検知した際、L
ANやインターネットが使用不能となることを防止する
もので、インターネットからLAN内部へ伝送されるI
Pパケットの監視をLANの入口部で行い、DOS攻撃
であることが判明した場合は、それらのIPパケット
は、そこで直ちに廃棄し、それ以外のIPパケットは、
通過させる。
ムへの不正侵入の検知と防止方法を示す第五の実施例で
ある。本実施例は、DOS攻撃に対応させたコンピュー
タシステム例においては、DOS攻撃を検知した際、L
ANやインターネットが使用不能となることを防止する
もので、インターネットからLAN内部へ伝送されるI
Pパケットの監視をLANの入口部で行い、DOS攻撃
であることが判明した場合は、それらのIPパケット
は、そこで直ちに廃棄し、それ以外のIPパケットは、
通過させる。
【0031】図5を説明すると、(a)は、インターネ
ット1にネットワークとしてLAN21を接続した構成
で、LAN21には、所定の法則に従いパケットの中継
交換を行うルータ3と、DOS攻撃検知装置22と、複
数のパソコン等からなる端末装置5a、5b、5c、5
dとを接続している。(b)は、不正侵入検知装置22
の内部構成を示し、IPパケット分析手段23と、IP
パケット通過処理手段24とIPパケット廃棄処理手段
25とを備えたIPパケット処理手段26とにより構成
する。そこで、DOS攻撃が行われているかどうかを判
断するIPパケット分析手段23において、ソースアド
レスごとにIPパケットの伝送量の分析を行い、同一、
又は複数からなる特定のソースアドレスから特定のデス
ティネーションアドレスに対して、IPパケットが一定
時間内に多数送りつけられていると判断した場合は、I
Pパケット廃棄処理手段25において、そこから送りつ
けられるIPパケットのみを廃棄する。それ以外のIP
パケットは、IPパケット通過処理手段24により通常
どおり通過させる。従って、DOS攻撃を検知した際
に、インターネットとの接続を切断することなく通常の
IPパケットのための通信は確保される。
ット1にネットワークとしてLAN21を接続した構成
で、LAN21には、所定の法則に従いパケットの中継
交換を行うルータ3と、DOS攻撃検知装置22と、複
数のパソコン等からなる端末装置5a、5b、5c、5
dとを接続している。(b)は、不正侵入検知装置22
の内部構成を示し、IPパケット分析手段23と、IP
パケット通過処理手段24とIPパケット廃棄処理手段
25とを備えたIPパケット処理手段26とにより構成
する。そこで、DOS攻撃が行われているかどうかを判
断するIPパケット分析手段23において、ソースアド
レスごとにIPパケットの伝送量の分析を行い、同一、
又は複数からなる特定のソースアドレスから特定のデス
ティネーションアドレスに対して、IPパケットが一定
時間内に多数送りつけられていると判断した場合は、I
Pパケット廃棄処理手段25において、そこから送りつ
けられるIPパケットのみを廃棄する。それ以外のIP
パケットは、IPパケット通過処理手段24により通常
どおり通過させる。従って、DOS攻撃を検知した際
に、インターネットとの接続を切断することなく通常の
IPパケットのための通信は確保される。
【0032】
【発明の効果】本発明は上述したように構成するもので
あり、次に記述したような著しい効果を発揮することが
可能となる。請求項1記載のコンピュータシステムへの
不正侵入の検知と防止方法は、安価な費用で実施できる
と共に、不正侵入を一元的に管理できるため、システム
が単純化される。請求項2及び3記載のコンピュータシ
ステムへの不正侵入の検知と防止方法は、不正侵入に関
する情報を各端末装置に分散しておくことにより、各端
末装置での処理の負荷を低減する事ができ効率的な不正
侵入の検知が可能となる。請求項4及び5記載のコンピ
ュータシステムへの不正侵入の検知と防止方法は、三つ
の不正侵入検知手段を順次実行することにより、不正侵
入の検知もれが無くなり、信頼性の高い不正侵入の検知
が可能となる。請求項6記載のコンピュータシステムへ
の不正侵入の検知と防止方法は、不正侵入が行われた際
に、警告と反撃を実行することが出来、不正侵入に対す
る抑止力として機能することが出来る。請求項7記載の
コンピュータシステムへの不正侵入の検知と防止方法
は、DOS攻撃が行われた際に、LANをインターネッ
トから切り離すことなく、所定のIPパケットのみを廃
棄する事が出来、コンピュータシステムの効率を向上さ
せることが出来る。
あり、次に記述したような著しい効果を発揮することが
可能となる。請求項1記載のコンピュータシステムへの
不正侵入の検知と防止方法は、安価な費用で実施できる
と共に、不正侵入を一元的に管理できるため、システム
が単純化される。請求項2及び3記載のコンピュータシ
ステムへの不正侵入の検知と防止方法は、不正侵入に関
する情報を各端末装置に分散しておくことにより、各端
末装置での処理の負荷を低減する事ができ効率的な不正
侵入の検知が可能となる。請求項4及び5記載のコンピ
ュータシステムへの不正侵入の検知と防止方法は、三つ
の不正侵入検知手段を順次実行することにより、不正侵
入の検知もれが無くなり、信頼性の高い不正侵入の検知
が可能となる。請求項6記載のコンピュータシステムへ
の不正侵入の検知と防止方法は、不正侵入が行われた際
に、警告と反撃を実行することが出来、不正侵入に対す
る抑止力として機能することが出来る。請求項7記載の
コンピュータシステムへの不正侵入の検知と防止方法
は、DOS攻撃が行われた際に、LANをインターネッ
トから切り離すことなく、所定のIPパケットのみを廃
棄する事が出来、コンピュータシステムの効率を向上さ
せることが出来る。
【図1】本発明に係るコンピュータシステムへの不正侵
入の検知と防止方法を示す第一の実施例である。
入の検知と防止方法を示す第一の実施例である。
【図2】本発明に係るコンピュータシステムへの不正侵
入の検知と防止方法を示す第二の実施例である。
入の検知と防止方法を示す第二の実施例である。
【図3】本発明に係るコンピュータシステムへの不正侵
入の検知と防止方法を示す第三の実施例である。
入の検知と防止方法を示す第三の実施例である。
【図4】本発明に係るコンピュータシステムへの不正侵
入の検知と防止方法を示す第四の実施例を示すフローチ
ャートである。
入の検知と防止方法を示す第四の実施例を示すフローチ
ャートである。
【図5】本発明に係るコンピュータシステムへの不正侵
入の検知と防止方法を示す第五の実施例である。
入の検知と防止方法を示す第五の実施例である。
【図6】従来のインターネットを介したコンピュータシ
ステムの構成例である。
ステムの構成例である。
【図7】従来の三つの不正侵入検知の具体的方策につい
て、長短所を表に記述したものである。
て、長短所を表に記述したものである。
【図8】インターネットを介したコンピュータシステム
において、DOS攻撃に対応させた従来のシステム例で
ある。
において、DOS攻撃に対応させた従来のシステム例で
ある。
1・・インターネット、 2a、2b、2c
・・LAN、3・・ルータ、 4・
・不正侵入検知装置、5a、5b、5c、5d・・端末
装置、6a、6b、6c・・LAN、7a、7b、7
c、7d・・端末装置、8・・LAN、
9・・DOS攻撃検知装置、10・・IPパケッ
ト分析手段、 11・・IPパケット処理手段、12
・・不正侵入検知代理サーバ、 13a、13b、13
c・・LAN、14・・LAN、15a、15b、15
c、15d・・端末装置、16・・LAN、
17・・不正侵入検知装置、18・・不正侵入
の検知手段、 19・・不正侵入の検知手段、20
・・不正侵入の検知手段、 21・・LAN、22
・・DOS攻撃検知装置、 23・・IPパケット
分析手段、24・・IPパケット通過処理手段、25・
・IPパケット廃棄処理手段、26・・IPパケット処
理手段
・・LAN、3・・ルータ、 4・
・不正侵入検知装置、5a、5b、5c、5d・・端末
装置、6a、6b、6c・・LAN、7a、7b、7
c、7d・・端末装置、8・・LAN、
9・・DOS攻撃検知装置、10・・IPパケッ
ト分析手段、 11・・IPパケット処理手段、12
・・不正侵入検知代理サーバ、 13a、13b、13
c・・LAN、14・・LAN、15a、15b、15
c、15d・・端末装置、16・・LAN、
17・・不正侵入検知装置、18・・不正侵入
の検知手段、 19・・不正侵入の検知手段、20
・・不正侵入の検知手段、 21・・LAN、22
・・DOS攻撃検知装置、 23・・IPパケット
分析手段、24・・IPパケット通過処理手段、25・
・IPパケット廃棄処理手段、26・・IPパケット処
理手段
フロントページの続き
Fターム(参考) 5B085 AC11 AC14 AE00 BA07 BG07
5B089 GA11 GA31 GB02 HA06 HA10
KA17 KB13 KC47 KC51 KC52
KG10
5K033 AA08 DB18 DB20
Claims (7)
- 【請求項1】インターネットに複数のLANを接続して
サービスの提供を受けるコンピュータシステムにおい
て、 前記インターネット側に不正侵入検知代理サーバを設置
しており、LANに接続した端末装置へのアクセスは、
全て前記不正侵入検知代理サーバを介しておこなったこ
とを特徴とするコンピュータシステムへの不正侵入の検
知と防止方法。 - 【請求項2】インターネットにLANを接続してサービ
スの提供を受けるコンピュータシステムにおいて、 前記LANにはルータと不正侵入検知用のプログラムを
搭載した複数の端末装置を接続しており、 各端末装置は通常行われる不正侵入の手順に関する情報
を記憶しておく親端末装置と、プロトコルやサービス別
に不正侵入方法を夫々記憶しておく子端末装置とに機能
分別し、 アクセス時に先ず親端末装置により不正侵入検知を行う
ステップと、 親端末装置が不正侵入検知の際は、ネットワークから端
末装置の遮断やパケット廃棄を行うステップと、 親端末装置が不正侵入不検知の際は、各子端末装置にお
いて機能別に順次不正侵入検知を行うステップと、 各子端末装置が不正侵入検知の際は、ネットワークから
端末装置の遮断やパケット廃棄を行うステップと、 各子端末装置が不正侵入不検知の際は、通常のアクセス
を行うステップとを含むことを特徴とするコンピュータ
システムへの不正侵入の検知と防止方法。 - 【請求項3】インターネットにLANを接続してサービ
スの提供を受けるコンピュータシステムにおいて、 前記LANにはルータと不正侵入検知用のプログラムを
搭載した複数の端末装置を接続しており、 各端末装置には自端末装置への不正侵入に際して用いら
れた手順や独自の収集により獲得した情報を記憶してお
き、任意の端末装置にアクセスが行われた際は、端末装
置は自己の情報と比較を行ない、不正侵入を検知するス
テップと、 端末装置が不正侵入検知の際は、ネットワークから端末
装置の遮断やパケット廃棄を行うステップと、 端末装置が不検知の際は、他の端末装置へ問い合わせて
順次不正侵入検知を行うステップと、 他の端末装置が不正侵入検知の際は、ネットワークから
端末装置の遮断やパケット廃棄を行うステップと、 他の端末装置が不正侵入不検知の際は、通常のアクセス
を行うステップとを含むことを特徴とするコンピュータ
システムへの不正侵入の検知と防止方法。 - 【請求項4】インターネットにLANを接続してサービ
スの提供を受けるコンピュータシステムにおいて、 前記LANにはルータと不正侵入検知装置と複数の端末
装置を接続しており、 前記不正侵入検知装置は、第一のステップとしてプロト
コル違反に基づく不正侵入の検知を行うステップと、 第二のステップとして、不正侵入のためのコマンドに基
づく不正侵入の検知を行うステップと、 第三のステップとして、ログファイルに基づく不正侵入
の事実の検知を行うステップとを有しており、前記三つ
のステップを第一のステップから第三のステップへ順次
実行することを特徴とするコンピュータシステムへの不
正侵入の検知と防止方法。 - 【請求項5】前記請求項1記載の不正侵入検知代理サー
バは、第一のステップとしてプロトコル違反に基づく不
正侵入の検知を行うステップと、 第二のステップとして、不正侵入のためのコマンドに基
づく不正侵入の検知を行うステップと、第三のステップ
として、ログファイルに基づく不正侵入の事実の検知を
行うステップとを有しており、前記三つのステップを第
一のステップから第三のステップへ順次実行することを
特徴とする請求項1記載のコンピュータシステムへの不
正侵入の検知と防止方法。 - 【請求項6】インターネットにLANを接続してサービ
スの提供を受けるコンピュータシステムにおいて、 前記LANにはルータと不正侵入検知装置と複数の端末
装置を接続しており、 前記不正侵入検知装置は、アクセス時にポートスキャン
を検知するステップと、 ポートスキャナに返送されるパケットデータに不正侵入
に対する警告及び反撃のためのプログラムを組み込むス
テップと、 前記パケットデータをポートスキャナへ返送するステッ
プとを含むことを特徴とするコンピュータシステムへの
不正侵入の検知と防止方法。 - 【請求項7】インターネットにLANを接続してサービ
スの提供を受けるコンピュータシステムにおいて、 前記LANにはルータとDOS攻撃検知装置と複数の端
末装置を接続しており、 前記DOS攻撃検知装置は、同一、又は複数からなる特
定のソースアドレスから特定のデスティネーションアド
レスに対して、IPパケットが一定時間内に多数送りつ
けられていないかを判断するステップと、 DOS攻撃が行われていると判断した場合は、そこから
送りつけられるIPパケットのみを廃棄するステップ
と、 それ以外のIPパケットは、通常どおり通過させるステ
ップと、 DOS攻撃が行われていないと判断した場合は、通常ど
おり通過させるステップとを含むことを特徴とするコン
ピュータシステムへの不正侵入の検知と防止方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001389761A JP2003186763A (ja) | 2001-12-21 | 2001-12-21 | コンピュータシステムへの不正侵入の検知と防止方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001389761A JP2003186763A (ja) | 2001-12-21 | 2001-12-21 | コンピュータシステムへの不正侵入の検知と防止方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003186763A true JP2003186763A (ja) | 2003-07-04 |
Family
ID=27597883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001389761A Pending JP2003186763A (ja) | 2001-12-21 | 2001-12-21 | コンピュータシステムへの不正侵入の検知と防止方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003186763A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006228140A (ja) * | 2005-02-21 | 2006-08-31 | Fuji Xerox Co Ltd | 情報処理装置 |
| JP2009212878A (ja) * | 2008-03-05 | 2009-09-17 | Nec Infrontia Corp | ルータ装置、通信システム及びそれらに用いる不正経路確認方法 |
| JP2009535626A (ja) * | 2006-04-26 | 2009-10-01 | トヨタ モーター エンジニアリング アンド マニュファクチャリング ノース アメリカ,インコーポレイティド | 車両診断に使用される監督エージェントを使用したインテリジェントエージェント管理システム及び方法 |
| JP2011097527A (ja) * | 2009-11-02 | 2011-05-12 | Konica Minolta Business Technologies Inc | 通信システム、通信装置、通信制御方法および通信制御プログラム |
| JP2019152912A (ja) * | 2018-02-28 | 2019-09-12 | 沖電気工業株式会社 | 不正通信対処システム及び方法 |
| JP2020140550A (ja) * | 2019-02-28 | 2020-09-03 | 沖電気工業株式会社 | 支援制御装置、支援制御プログラム、及び支援制御システム |
-
2001
- 2001-12-21 JP JP2001389761A patent/JP2003186763A/ja active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006228140A (ja) * | 2005-02-21 | 2006-08-31 | Fuji Xerox Co Ltd | 情報処理装置 |
| JP2009535626A (ja) * | 2006-04-26 | 2009-10-01 | トヨタ モーター エンジニアリング アンド マニュファクチャリング ノース アメリカ,インコーポレイティド | 車両診断に使用される監督エージェントを使用したインテリジェントエージェント管理システム及び方法 |
| JP2009212878A (ja) * | 2008-03-05 | 2009-09-17 | Nec Infrontia Corp | ルータ装置、通信システム及びそれらに用いる不正経路確認方法 |
| JP2011097527A (ja) * | 2009-11-02 | 2011-05-12 | Konica Minolta Business Technologies Inc | 通信システム、通信装置、通信制御方法および通信制御プログラム |
| JP2019152912A (ja) * | 2018-02-28 | 2019-09-12 | 沖電気工業株式会社 | 不正通信対処システム及び方法 |
| JP7102780B2 (ja) | 2018-02-28 | 2022-07-20 | 沖電気工業株式会社 | 不正通信対処システム及び方法 |
| JP2020140550A (ja) * | 2019-02-28 | 2020-09-03 | 沖電気工業株式会社 | 支援制御装置、支援制御プログラム、及び支援制御システム |
| JP7151552B2 (ja) | 2019-02-28 | 2022-10-12 | 沖電気工業株式会社 | 支援制御装置、支援制御プログラム、及び支援制御システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4742144B2 (ja) | Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム | |
| US9325725B2 (en) | Automated deployment of protection agents to devices connected to a distributed computer network | |
| KR100604604B1 (ko) | 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템 | |
| JP4911018B2 (ja) | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム | |
| US6405318B1 (en) | Intrusion detection system | |
| US20030188190A1 (en) | System and method of intrusion detection employing broad-scope monitoring | |
| US7039950B2 (en) | System and method for network quality of service protection on security breach detection | |
| US20060282893A1 (en) | Network information security zone joint defense system | |
| JP2002342279A (ja) | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム | |
| JP2003527793A (ja) | ネットワークにおける、自動的な侵入検出及び偏向のための方法 | |
| JP3618245B2 (ja) | ネットワーク監視システム | |
| KR20000072707A (ko) | 실시간 침입탐지 및 해킹 자동 차단 방법 | |
| JP4581104B2 (ja) | ネットワークセキュリティシステム | |
| KR20080028381A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| JP2002007234A (ja) | 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体 | |
| JP4250618B2 (ja) | ファーミング詐欺防止方法 | |
| CN101453363A (zh) | 网络入侵检测系统 | |
| JP2000354034A (ja) | 事業:ハッカー監視室 | |
| JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 | |
| KR101910496B1 (ko) | 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법 | |
| JP2004030287A (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
| CN109274638A (zh) | 一种攻击源接入自动识别处理的方法和路由器 | |
| KR100613904B1 (ko) | 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법 | |
| JP3309961B2 (ja) | トラフィックシェーピングによるネットワークアタック防御システム | |
| KR100439174B1 (ko) | 라돈-씨큐리티 게이트웨이 시스템의 정책 전달 및 경보용데이터베이스 관리방법 |