JP2003218949A - ネットワークの不正利用の監視方法 - Google Patents
ネットワークの不正利用の監視方法Info
- Publication number
- JP2003218949A JP2003218949A JP2002012743A JP2002012743A JP2003218949A JP 2003218949 A JP2003218949 A JP 2003218949A JP 2002012743 A JP2002012743 A JP 2002012743A JP 2002012743 A JP2002012743 A JP 2002012743A JP 2003218949 A JP2003218949 A JP 2003218949A
- Authority
- JP
- Japan
- Prior art keywords
- network
- illegitimate
- internal network
- access
- pattern
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 各種のセキュリティ対策は、不正行為を完全
に防止することは極めて困難であり、クラッカの特定が
極めて困難である。また、内部ネットワークの管理がで
きない。 【解決手段】 ステルス性を設定することにより(ステ
ップS1)、監視装置が外部ネットワークから内部ネッ
トワークに侵入するクラッカに対してその存在が判別で
きないようにし、送受信されるパケットの情報を記録し
て解析することにより、通信状況を常時監視する(ステ
ップS2、S3)。このとき、登録されている過去の不
正アクセスのパターンと、監視して記録したアクセスパ
ターンとを比較することで不正利用があったことを検出
することができる。また、内部ネットワークを構成する
複数のサーバやクライアント自身に不正使用があるか否
かの監視ができ、通信監視のサービスを行うビジネスに
供することができる。
に防止することは極めて困難であり、クラッカの特定が
極めて困難である。また、内部ネットワークの管理がで
きない。 【解決手段】 ステルス性を設定することにより(ステ
ップS1)、監視装置が外部ネットワークから内部ネッ
トワークに侵入するクラッカに対してその存在が判別で
きないようにし、送受信されるパケットの情報を記録し
て解析することにより、通信状況を常時監視する(ステ
ップS2、S3)。このとき、登録されている過去の不
正アクセスのパターンと、監視して記録したアクセスパ
ターンとを比較することで不正利用があったことを検出
することができる。また、内部ネットワークを構成する
複数のサーバやクライアント自身に不正使用があるか否
かの監視ができ、通信監視のサービスを行うビジネスに
供することができる。
Description
【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明はネットワークの不正
利用の監視方法に係り、特にネットワークを不正利用し
てアクセスされたときのアクセスの内容などをパーソナ
ルコンピュータを用いて追跡する監視方法に関する。 【0002】 【従来の技術】インターネット、LAN(Local Area N
etwork)、WAN(Wide Area Network)等のネットワ
ークを利用した通信システムでは、クラッカによる不正
アクセスやサーバーシステムの停止又は破壊を目的とす
るDos攻撃などに常時さらされている。そのため、従
来より、このような不正アクセスなどに対して各種のセ
キュリティ対策が施されている。 【0003】例えば、ファイアウォールやルータをイン
ターネットと内部のネットワークの間に設置して、パケ
ットを受信するとそのヘッダ情報に基づき、予め定めら
れている所定の基準に従って、パケットを取捨選択する
(例えば、外部の所定の送信元アドレスからのデータの
み受け付け、内部から外部へ送信されるデータはすべて
通過させるなど)ことで、不正アクセスを防止するよう
にしている。また、ファイアウォールの中には、パスワ
ードに基づき送信側の認証を行い、許可された相手先の
みと通信を行うようにしたものも知られている。 【0004】また、不正アクセスなどを防止するため
に、認証を行うために用いる暗証コードを暗号化し、暗
証コードが解読されないようにすることも行われてい
る。暗号化技術としては、例えば送信側と受信側とで共
通の暗号鍵と復号鍵を使用する共通暗号鍵方式、送信側
で公開鍵又は秘密鍵を使用して暗号化を行い、受信側で
秘密鍵又は公開鍵を使用して復号化を行う公開鍵暗号化
方式、さらには、それらの方式を組み合わせた暗号化方
式などが知られている。 【0005】 【発明が解決しようとする課題】しかるに、上記の各種
のセキュリティ対策は、いずれも外部のクラッカによる
不正アクセスやDos攻撃、更にはデータ改竄、消去、
盗聴などの不正行為を完全に防止することは極めて困難
であり、またクラッカが内部ネットワークに不正に侵入
した後、その侵入の痕跡を消すこともでき、クラッカの
特定が極めて困難である。 【0006】一方、外部のクラッカによる不正行為の防
止やクラッカの特定に限らず、例えば企業内のネットワ
ークではサーバやクライアントで仕事に関係のあるアク
セスのみが行われているのかを管理上知ることが要求さ
れることがあるが、上記のセキュリティ対策ではこの要
求には応えられない。 【0007】本発明は以上の点に鑑みなされたもので、
クラッカを特定することにより不正アクセスなどの不正
行為を防止し得るネットワークの不正利用の監視方法を
提供することを目的とする。 【0008】また、本発明の他の目的は、ネットワーク
の利用状況を監視し得るネットワークの不正利用の監視
方法を提供することにある。 【0009】 【課題を解決するための手段】本発明は上記の目的を達
成するため、外部ネットワークと内部ネットワークの間
でパケット通信を行う通信システムにおいて、外部ネッ
トワークと内部ネットワークの間に設けられた、所定の
OSの監視装置に対して、外部ネットワークから内部ネ
ットワークへのすべてのアクセスにパケットを出力せず
不応答とするためのステルス性を設定する第1のステッ
プと、監視装置を通過した送受信パケットのヘッダ情報
を記録する第2のステップと、第2のステップで記録し
たヘッダ情報を、ヘッダ情報の宛先ポート番号に応じて
プロトコル毎に解析し、解析したアクセスのパターンと
予め登録されている不正アクセスのパターンとを比較し
て不正アクセスを検出する第3のステップとを含むこと
を特徴とする。 【0010】この発明では、ステルス性の設定により、
外部ネットワークから内部ネットワークに侵入して不正
利用する不正利用者(クラッカ)に対してその存在が判
別できない監視装置により、送受信されるパケットの通
信状況を常時監視することができる。 【0011】 【発明の実施の形態】次に、本発明の実施の形態につい
て図面と共に説明する。図1は本発明になるネットワー
クの不正利用の監視方法の一実施の形態のフローチャー
ト、図2は本発明方法が適用される通信システムの一例
の構成図を示す。図2において、サーバ11〜1nとク
ライアント21〜2mからなるLANを構成している内
部ネットワークは、ファイアウォール3を介して不正利
用監視装置4に接続されている。 【0012】不正利用監視装置4は本発明方法の一実施
の形態を実現する装置で、OS(オペレーティングシス
テム)がLinuxであるコンピュータにより構成され
ており、図1と共に後述するように、外部のインターネ
ット6と内部ネットワークの間で送受信されるパケット
に対し、あたかも透明の監視カメラのような監視動作を
する。不正利用監視装置4は、ルータ5を介して外部の
ネットワークであるインターネット6に接続されてい
る。 【0013】次に、本発明の一実施の形態の動作につい
て、図1及び図2と共に説明する。まず、不正利用監視
装置4に対して、ステルス性の設定を行う(図1のステ
ップS1)。このステルス性の設定は、内部ネットワー
クを不正利用しているクラッカに対し、その不正利用を
していることが気付かれないようにするために、ネット
ワーク上で不正利用監視装置4の存在が認識できないよ
うにする設定のことであり、例えば、Linuxのカー
ネルのパケットフィルタリング機能の設定による。 【0014】周知のように、Linuxのカーネルは、
不正利用監視装置4のシステム内で動作中の各プログラ
ムから出力される要求に応じてメモリなどのハードウェ
ア資源の管理などを行うOSの核となる部分である。上
記のパケットフィルタリング機能の設定では、入力パケ
ットの送信元アドレスが信頼された相手先(管理ホス
ト)のIPアドレスあるいはMACアドレスで、宛先ア
ドレスが自分自身であるときにのみ、そのパケットに対
し応答し、それ以外のパケットに対してはすべて応答す
ることなく、不正利用監視装置4を通過させるようにす
る。 【0015】このようにして、ステルス性の設定がなさ
れた不正利用監視装置4は、それ以降の運用時におい
て、インターネット6からルータ5及びファイアウォー
ル3を介してサーバ11〜1nとクライアント21〜2
mからなる内部ネットワークへ送信されるすべてのパケ
ットと、逆に内部ネットワークからファイアウォール3
及びルータ5を介してインターネット6へ送信されるす
べてのパケットを、ファイアウォール3とルータ5との
間の位置で通過させると共に、その通過した通信を記録
媒体にすべて記録する(図1のステップS2)。この記
録媒体は、記憶容量の関係もあり、交換可能な記録媒体
であり、管理者のみにより交換される。 【0016】上記のステップS2の記録では、送受信さ
れるパケットが電子メールのものである場合は、パケッ
トのヘッダに記述された送信元アドレス、宛先アドレ
ス、送信元ポート番号、宛先ポート番号(電子メールで
は固有値「25」)及びメールの内容(添付ファイルの
内容を含む)と共に送受信した日時を記録する。また、
送受信されるパケットがWWW(World Wide Web)の通
信サービスを利用するものである場合は、送信元IPア
ドレス及び送信先アドレス及び送受信した日時を記録す
る。アクセス元についてはNetBiosも記録され
る。 【0017】また、送受信されるパケットが電子メール
及びWWW以外の通信サービス(telnet、FTP
など)の場合は、遠隔ログイン(telnet)やファ
イル転送(FTP)する送信元のIPアドレスと送信先
のIPアドレスと送受信した日時を記録する。また、送
信元ポート番号、宛先ポート番号も記録する。 【0018】続いて、不正利用監視装置4は、記録した
情報に基づき解析を行う(図1のステップS3)。例え
ば、Linuxのコマンドであるtcpdumpにて取
得した記録データを、コマンドtcptraceで前処
理をして、ストリーム毎に取り出し、通信をしている宛
先ポート番号によってプロトコル毎に解析する。これに
より、サーバ11〜1nとクライアント21〜2mから
なる内部ネットワークと、インターネット6との間の電
子メールの送受信日時と送信元、送信先のすべてがわか
り、また、WWW、FTP、telnetなどの通信サ
ービスにおいても、どのIPアドレスがどのIPアドレ
スに何時アクセスし、何をしたかが分かる。 【0019】ところで、以上は、正当なアクセスの場合
であるが、不正アクセスの場合はルータ5やファイアウ
ォール3により外部のインターネット6からのクラッカ
による内部ネットワークへの不正アクセスは、パケット
フィルタリング等により通常は阻止されるのであるが、
何からの手段によりルータ5とファイアウォール3をす
り抜けて内部ネットワークへのアクセスがされる場合が
ある。しかし、このような不正アクセスは、複数種類あ
るとしてもそれぞれパターンが決まっている。 【0020】そこで、不正利用監視装置4は過去の不正
アクセスのパターンを予め登録しており、上記のコマン
ドtcpdumpで取得した記録データから直接sno
rtをかけてデータベースに格納し、その記録データに
基づき外部から内部ネットワークに対するアクセスのパ
ターンを解析して、解析したアクセスパターンが予め登
録された複数種類の不正アクセスパターンのいずれかと
一致するかどうか比較し、一致する場合は不正アクセス
と判断し、そのアクセス元やアクセス先のIPアドレス
を表示する。不正アクセスをしたクラッカは、不正利用
監視装置4からの応答が一切無いので、不正利用監視装
置4の存在に気が付かないため、不正アクセス先のIP
アドレスに対する不正アクセスの痕跡を無くした場合で
も、不正利用監視装置4はそのことを監視することがで
きる。 【0021】従って、不正利用監視装置4により不正ア
クセスをしたアクセス元や内部ネットワークのアクセス
先が分かるので、不正アクセスをすることを抑止するこ
とができる。 【0022】次に、本発明の他の実施の形態について説
明する。図3は本発明方法が適用される通信システムの
他の例の構成図を示す。同図において、上流回線11が
ハブ12を介して前述した不正利用監視装置4に接続さ
れ、また、不正利用監視装置4がスイッチングハブ13
を介してn台(nは2以上の整数)のパソコン(PC)
141〜14nに接続されている。ここで、PC141
〜14nは、会社全体あるいは任意の部署にある監視対
象の端末である。 【0023】不正利用監視装置4はハブ12とスイッチ
ングハブ13の間に設けられており、図1と共に説明し
たと同様な方法で、PC141〜14nが上流回線11
を介して外部と行ったパケット通信の送信元アドレス、
宛先アドレス、送信元ポート番号、宛先ポート番号を送
受信日時と共に記録して解析する。これにより、監視対
象のPC141〜14nの送受信に不正使用が無いか否
か監視することができる。 【0024】なお、本発明は以上の実施の形態に限定さ
れるものではなく、例えば図2においてファイアウォー
ル3不正利用監視装置4とルータ5の間に設けられたシ
ステム、ファイアウォール3が存在しないシステム、図
3においてスイッチングハブ13が無く、PCが1台の
個人を監視するシステムその他図2と図3以外の構成の
各種のシステムに適用することができる。 【0025】 【発明の効果】以上説明したように、本発明によれば、
外部ネットワークから内部ネットワークに侵入して不正
利用する不正利用者(クラッカ)に対してその存在が判
別できない監視装置により、送受信されるパケットの通
信状況を常時監視するようにしたため、登録されている
過去の不正アクセスのパターンと、監視して記録したア
クセスパターンとを比較することで不正利用があったこ
とを検出することができる。このことから、不正利用を
抑止することができる。 【0026】また、本発明によれば、送受信されるパケ
ットの通信状況を常時監視するようにしたため、内部ネ
ットワークを構成する複数のサーバやクライアント自身
に不正使用があるか否かの監視ができ、内部ネットワー
クの管理に好適である。
利用の監視方法に係り、特にネットワークを不正利用し
てアクセスされたときのアクセスの内容などをパーソナ
ルコンピュータを用いて追跡する監視方法に関する。 【0002】 【従来の技術】インターネット、LAN(Local Area N
etwork)、WAN(Wide Area Network)等のネットワ
ークを利用した通信システムでは、クラッカによる不正
アクセスやサーバーシステムの停止又は破壊を目的とす
るDos攻撃などに常時さらされている。そのため、従
来より、このような不正アクセスなどに対して各種のセ
キュリティ対策が施されている。 【0003】例えば、ファイアウォールやルータをイン
ターネットと内部のネットワークの間に設置して、パケ
ットを受信するとそのヘッダ情報に基づき、予め定めら
れている所定の基準に従って、パケットを取捨選択する
(例えば、外部の所定の送信元アドレスからのデータの
み受け付け、内部から外部へ送信されるデータはすべて
通過させるなど)ことで、不正アクセスを防止するよう
にしている。また、ファイアウォールの中には、パスワ
ードに基づき送信側の認証を行い、許可された相手先の
みと通信を行うようにしたものも知られている。 【0004】また、不正アクセスなどを防止するため
に、認証を行うために用いる暗証コードを暗号化し、暗
証コードが解読されないようにすることも行われてい
る。暗号化技術としては、例えば送信側と受信側とで共
通の暗号鍵と復号鍵を使用する共通暗号鍵方式、送信側
で公開鍵又は秘密鍵を使用して暗号化を行い、受信側で
秘密鍵又は公開鍵を使用して復号化を行う公開鍵暗号化
方式、さらには、それらの方式を組み合わせた暗号化方
式などが知られている。 【0005】 【発明が解決しようとする課題】しかるに、上記の各種
のセキュリティ対策は、いずれも外部のクラッカによる
不正アクセスやDos攻撃、更にはデータ改竄、消去、
盗聴などの不正行為を完全に防止することは極めて困難
であり、またクラッカが内部ネットワークに不正に侵入
した後、その侵入の痕跡を消すこともでき、クラッカの
特定が極めて困難である。 【0006】一方、外部のクラッカによる不正行為の防
止やクラッカの特定に限らず、例えば企業内のネットワ
ークではサーバやクライアントで仕事に関係のあるアク
セスのみが行われているのかを管理上知ることが要求さ
れることがあるが、上記のセキュリティ対策ではこの要
求には応えられない。 【0007】本発明は以上の点に鑑みなされたもので、
クラッカを特定することにより不正アクセスなどの不正
行為を防止し得るネットワークの不正利用の監視方法を
提供することを目的とする。 【0008】また、本発明の他の目的は、ネットワーク
の利用状況を監視し得るネットワークの不正利用の監視
方法を提供することにある。 【0009】 【課題を解決するための手段】本発明は上記の目的を達
成するため、外部ネットワークと内部ネットワークの間
でパケット通信を行う通信システムにおいて、外部ネッ
トワークと内部ネットワークの間に設けられた、所定の
OSの監視装置に対して、外部ネットワークから内部ネ
ットワークへのすべてのアクセスにパケットを出力せず
不応答とするためのステルス性を設定する第1のステッ
プと、監視装置を通過した送受信パケットのヘッダ情報
を記録する第2のステップと、第2のステップで記録し
たヘッダ情報を、ヘッダ情報の宛先ポート番号に応じて
プロトコル毎に解析し、解析したアクセスのパターンと
予め登録されている不正アクセスのパターンとを比較し
て不正アクセスを検出する第3のステップとを含むこと
を特徴とする。 【0010】この発明では、ステルス性の設定により、
外部ネットワークから内部ネットワークに侵入して不正
利用する不正利用者(クラッカ)に対してその存在が判
別できない監視装置により、送受信されるパケットの通
信状況を常時監視することができる。 【0011】 【発明の実施の形態】次に、本発明の実施の形態につい
て図面と共に説明する。図1は本発明になるネットワー
クの不正利用の監視方法の一実施の形態のフローチャー
ト、図2は本発明方法が適用される通信システムの一例
の構成図を示す。図2において、サーバ11〜1nとク
ライアント21〜2mからなるLANを構成している内
部ネットワークは、ファイアウォール3を介して不正利
用監視装置4に接続されている。 【0012】不正利用監視装置4は本発明方法の一実施
の形態を実現する装置で、OS(オペレーティングシス
テム)がLinuxであるコンピュータにより構成され
ており、図1と共に後述するように、外部のインターネ
ット6と内部ネットワークの間で送受信されるパケット
に対し、あたかも透明の監視カメラのような監視動作を
する。不正利用監視装置4は、ルータ5を介して外部の
ネットワークであるインターネット6に接続されてい
る。 【0013】次に、本発明の一実施の形態の動作につい
て、図1及び図2と共に説明する。まず、不正利用監視
装置4に対して、ステルス性の設定を行う(図1のステ
ップS1)。このステルス性の設定は、内部ネットワー
クを不正利用しているクラッカに対し、その不正利用を
していることが気付かれないようにするために、ネット
ワーク上で不正利用監視装置4の存在が認識できないよ
うにする設定のことであり、例えば、Linuxのカー
ネルのパケットフィルタリング機能の設定による。 【0014】周知のように、Linuxのカーネルは、
不正利用監視装置4のシステム内で動作中の各プログラ
ムから出力される要求に応じてメモリなどのハードウェ
ア資源の管理などを行うOSの核となる部分である。上
記のパケットフィルタリング機能の設定では、入力パケ
ットの送信元アドレスが信頼された相手先(管理ホス
ト)のIPアドレスあるいはMACアドレスで、宛先ア
ドレスが自分自身であるときにのみ、そのパケットに対
し応答し、それ以外のパケットに対してはすべて応答す
ることなく、不正利用監視装置4を通過させるようにす
る。 【0015】このようにして、ステルス性の設定がなさ
れた不正利用監視装置4は、それ以降の運用時におい
て、インターネット6からルータ5及びファイアウォー
ル3を介してサーバ11〜1nとクライアント21〜2
mからなる内部ネットワークへ送信されるすべてのパケ
ットと、逆に内部ネットワークからファイアウォール3
及びルータ5を介してインターネット6へ送信されるす
べてのパケットを、ファイアウォール3とルータ5との
間の位置で通過させると共に、その通過した通信を記録
媒体にすべて記録する(図1のステップS2)。この記
録媒体は、記憶容量の関係もあり、交換可能な記録媒体
であり、管理者のみにより交換される。 【0016】上記のステップS2の記録では、送受信さ
れるパケットが電子メールのものである場合は、パケッ
トのヘッダに記述された送信元アドレス、宛先アドレ
ス、送信元ポート番号、宛先ポート番号(電子メールで
は固有値「25」)及びメールの内容(添付ファイルの
内容を含む)と共に送受信した日時を記録する。また、
送受信されるパケットがWWW(World Wide Web)の通
信サービスを利用するものである場合は、送信元IPア
ドレス及び送信先アドレス及び送受信した日時を記録す
る。アクセス元についてはNetBiosも記録され
る。 【0017】また、送受信されるパケットが電子メール
及びWWW以外の通信サービス(telnet、FTP
など)の場合は、遠隔ログイン(telnet)やファ
イル転送(FTP)する送信元のIPアドレスと送信先
のIPアドレスと送受信した日時を記録する。また、送
信元ポート番号、宛先ポート番号も記録する。 【0018】続いて、不正利用監視装置4は、記録した
情報に基づき解析を行う(図1のステップS3)。例え
ば、Linuxのコマンドであるtcpdumpにて取
得した記録データを、コマンドtcptraceで前処
理をして、ストリーム毎に取り出し、通信をしている宛
先ポート番号によってプロトコル毎に解析する。これに
より、サーバ11〜1nとクライアント21〜2mから
なる内部ネットワークと、インターネット6との間の電
子メールの送受信日時と送信元、送信先のすべてがわか
り、また、WWW、FTP、telnetなどの通信サ
ービスにおいても、どのIPアドレスがどのIPアドレ
スに何時アクセスし、何をしたかが分かる。 【0019】ところで、以上は、正当なアクセスの場合
であるが、不正アクセスの場合はルータ5やファイアウ
ォール3により外部のインターネット6からのクラッカ
による内部ネットワークへの不正アクセスは、パケット
フィルタリング等により通常は阻止されるのであるが、
何からの手段によりルータ5とファイアウォール3をす
り抜けて内部ネットワークへのアクセスがされる場合が
ある。しかし、このような不正アクセスは、複数種類あ
るとしてもそれぞれパターンが決まっている。 【0020】そこで、不正利用監視装置4は過去の不正
アクセスのパターンを予め登録しており、上記のコマン
ドtcpdumpで取得した記録データから直接sno
rtをかけてデータベースに格納し、その記録データに
基づき外部から内部ネットワークに対するアクセスのパ
ターンを解析して、解析したアクセスパターンが予め登
録された複数種類の不正アクセスパターンのいずれかと
一致するかどうか比較し、一致する場合は不正アクセス
と判断し、そのアクセス元やアクセス先のIPアドレス
を表示する。不正アクセスをしたクラッカは、不正利用
監視装置4からの応答が一切無いので、不正利用監視装
置4の存在に気が付かないため、不正アクセス先のIP
アドレスに対する不正アクセスの痕跡を無くした場合で
も、不正利用監視装置4はそのことを監視することがで
きる。 【0021】従って、不正利用監視装置4により不正ア
クセスをしたアクセス元や内部ネットワークのアクセス
先が分かるので、不正アクセスをすることを抑止するこ
とができる。 【0022】次に、本発明の他の実施の形態について説
明する。図3は本発明方法が適用される通信システムの
他の例の構成図を示す。同図において、上流回線11が
ハブ12を介して前述した不正利用監視装置4に接続さ
れ、また、不正利用監視装置4がスイッチングハブ13
を介してn台(nは2以上の整数)のパソコン(PC)
141〜14nに接続されている。ここで、PC141
〜14nは、会社全体あるいは任意の部署にある監視対
象の端末である。 【0023】不正利用監視装置4はハブ12とスイッチ
ングハブ13の間に設けられており、図1と共に説明し
たと同様な方法で、PC141〜14nが上流回線11
を介して外部と行ったパケット通信の送信元アドレス、
宛先アドレス、送信元ポート番号、宛先ポート番号を送
受信日時と共に記録して解析する。これにより、監視対
象のPC141〜14nの送受信に不正使用が無いか否
か監視することができる。 【0024】なお、本発明は以上の実施の形態に限定さ
れるものではなく、例えば図2においてファイアウォー
ル3不正利用監視装置4とルータ5の間に設けられたシ
ステム、ファイアウォール3が存在しないシステム、図
3においてスイッチングハブ13が無く、PCが1台の
個人を監視するシステムその他図2と図3以外の構成の
各種のシステムに適用することができる。 【0025】 【発明の効果】以上説明したように、本発明によれば、
外部ネットワークから内部ネットワークに侵入して不正
利用する不正利用者(クラッカ)に対してその存在が判
別できない監視装置により、送受信されるパケットの通
信状況を常時監視するようにしたため、登録されている
過去の不正アクセスのパターンと、監視して記録したア
クセスパターンとを比較することで不正利用があったこ
とを検出することができる。このことから、不正利用を
抑止することができる。 【0026】また、本発明によれば、送受信されるパケ
ットの通信状況を常時監視するようにしたため、内部ネ
ットワークを構成する複数のサーバやクライアント自身
に不正使用があるか否かの監視ができ、内部ネットワー
クの管理に好適である。
【図面の簡単な説明】
【図1】本発明方法の一実施の形態のフローチャートで
ある。 【図2】本発明方法が適用される通信システムの一例の
構成図である。 【図3】本発明方法が適用される通信システムの他の例
の構成図である。 【符号の説明】 11〜1n サーバ 21〜2m クライアント 3 ファイアウォール 4 不正利用監視装置 5 ルータ 6 インターネット 11 上流回線 12 ハブ 13 スイッチングハブ 141〜14n パソコン(PC)
ある。 【図2】本発明方法が適用される通信システムの一例の
構成図である。 【図3】本発明方法が適用される通信システムの他の例
の構成図である。 【符号の説明】 11〜1n サーバ 21〜2m クライアント 3 ファイアウォール 4 不正利用監視装置 5 ルータ 6 インターネット 11 上流回線 12 ハブ 13 スイッチングハブ 141〜14n パソコン(PC)
Claims (1)
- 【特許請求の範囲】 【請求項1】 外部ネットワークと内部ネットワークの
間でパケット通信を行う通信システムにおいて、前記外
部ネットワークと前記内部ネットワークの間に設けられ
た、所定のOSの監視装置に対して、前記外部ネットワ
ークから前記内部ネットワークへのすべてのアクセスに
パケットを出力せず不応答とするためのステルス性を設
定する第1のステップと、 前記監視装置を通過した送受信パケットのヘッダ情報を
記録する第2のステップと、 前記第2のステップで記録した前記ヘッダ情報を、該ヘ
ッダ情報の宛先ポート番号に応じてプロトコル毎に解析
し、解析したアクセスのパターンと予め登録されている
不正アクセスのパターンとを比較して不正アクセスを検
出する第3のステップとを含むことを特徴とするネット
ワークの不正利用の監視方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002012743A JP2003218949A (ja) | 2002-01-22 | 2002-01-22 | ネットワークの不正利用の監視方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002012743A JP2003218949A (ja) | 2002-01-22 | 2002-01-22 | ネットワークの不正利用の監視方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003218949A true JP2003218949A (ja) | 2003-07-31 |
Family
ID=27649869
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002012743A Pending JP2003218949A (ja) | 2002-01-22 | 2002-01-22 | ネットワークの不正利用の監視方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003218949A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006320024A (ja) * | 2006-08-16 | 2006-11-24 | Intelligent Wave Inc | 不正接続検知システム |
| JP2009230418A (ja) * | 2008-03-21 | 2009-10-08 | Fujitsu Ltd | 通信監視装置、通信監視プログラム、および通信監視方法 |
| US7607170B2 (en) | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
| US7681235B2 (en) | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| US8640240B2 (en) | 2006-02-10 | 2014-01-28 | Samsung Electronics Co., Ltd. | Apparatus and method for using information on malicious application behaviors among devices |
| CN117955735A (zh) * | 2024-03-25 | 2024-04-30 | 北京英迪瑞讯网络科技有限公司 | 一种数据安全访问控制方法、系统及存储介质 |
-
2002
- 2002-01-22 JP JP2002012743A patent/JP2003218949A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7681235B2 (en) | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| US7836496B2 (en) | 2003-05-19 | 2010-11-16 | Radware Ltd. | Dynamic network protection |
| US7607170B2 (en) | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
| US8640240B2 (en) | 2006-02-10 | 2014-01-28 | Samsung Electronics Co., Ltd. | Apparatus and method for using information on malicious application behaviors among devices |
| JP2006320024A (ja) * | 2006-08-16 | 2006-11-24 | Intelligent Wave Inc | 不正接続検知システム |
| JP2009230418A (ja) * | 2008-03-21 | 2009-10-08 | Fujitsu Ltd | 通信監視装置、通信監視プログラム、および通信監視方法 |
| CN117955735A (zh) * | 2024-03-25 | 2024-04-30 | 北京英迪瑞讯网络科技有限公司 | 一种数据安全访问控制方法、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6775657B1 (en) | Multilayered intrusion detection system and method | |
| US7610375B2 (en) | Intrusion detection in a data center environment | |
| US8640234B2 (en) | Method and apparatus for predictive and actual intrusion detection on a network | |
| US20060026669A1 (en) | System and method of characterizing and managing electronic traffic | |
| JP2005517349A (ja) | マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法 | |
| US20090313682A1 (en) | Enterprise Multi-interceptor Based Security and Auditing Method and Apparatus | |
| JP2009539271A (ja) | コンピュータ・ネットワーク侵入検出のシステムおよび方法 | |
| Kurundkar et al. | Network intrusion detection using Snort | |
| CN110581850A (zh) | 一种基于网络流量基因检测方法 | |
| Mohammed et al. | Automatic defense against zero-day polymorphic worms in communication networks | |
| Rao et al. | Intrusion detection and prevention systems | |
| Neu et al. | An approach for detecting encrypted insider attacks on OpenFlow SDN Networks | |
| JP2003218949A (ja) | ネットワークの不正利用の監視方法 | |
| Thakare et al. | IDS: Intrusion detection system the survey of information security | |
| Singh et al. | A review on intrusion detection system | |
| Jeganathan et al. | Secure the cloud computing environment from attackers using intrusion detection system | |
| Singh et al. | Intrusion detection system and its variations | |
| Sharma et al. | Analysis of IDS Tools & Techniques | |
| Dwivedi et al. | A Real Time Host and Network Mobile Agent based Intrusion Detection System (HNMAIDS) | |
| Kumawat et al. | Intrusion Detection System and Prevention System in Cloud Computing using Snort | |
| Kalu et al. | Combining Host-based and network-based intrusion detection system: A cost effective tool for managing intrusion detection | |
| El Hayat | Intrusion Detection Systems: To an Optimal Hybrid Intrusion Detection System | |
| Neu et al. | An approach for encrypted insider attacks detection on Openflow SDN Networks | |
| Musa et al. | Nonconventional Network Security Measures for Intrusion Detection | |
| Ezema et al. | The Sharp Increase in Unmasking of Obtrusion into Internet of Things (IoT) IPV6 and IPV6 Low–power Wireless Personal Area Network (6LoWPAN), a Lead Way to Secure Internet of Things Services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040519 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040525 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20041026 |