JP2003223375A - 不正アクセス検知装置および不正アクセス検知方法 - Google Patents

不正アクセス検知装置および不正アクセス検知方法

Info

Publication number
JP2003223375A
JP2003223375A JP2002022485A JP2002022485A JP2003223375A JP 2003223375 A JP2003223375 A JP 2003223375A JP 2002022485 A JP2002022485 A JP 2002022485A JP 2002022485 A JP2002022485 A JP 2002022485A JP 2003223375 A JP2003223375 A JP 2003223375A
Authority
JP
Japan
Prior art keywords
unauthorized access
server
packet
list
network address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002022485A
Other languages
English (en)
Inventor
Masamichi Tateoka
正道 楯岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002022485A priority Critical patent/JP2003223375A/ja
Publication of JP2003223375A publication Critical patent/JP2003223375A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】本発明は、パケット解析にかかるCPUの処理
負担を著しく軽減し、パケットの解析にかかる処理時間
を大幅に短縮して、スループットの向上が図れる不正ア
クセス検知装置及び不正アクセス検知方法を提供するこ
とを課題とする。 【解決手段】パケット解析機構14に於いて、特徴抽出
機構142は、不正アクセス手段データベース141に
格納された既知の不正アクセスに関わるパケットのもつ
特徴の一覧の中から、サーバ情報保持機構16に保持さ
れたオペレーティングシステムやサーバアプリケーショ
ンプログラムに関わるもののみを抽出し、パケット解析
処理機構143は、特徴抽出機構142が抽出した既知
の不正アクセスに関わるパケットのもつ特徴の一覧をも
とに、パケット受信部11Aで受信されたパケットが、
不正アクセスに関わるパケットであるか否かを判定す
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、既知の不正アクセ
スに関わるパケットのもつ特徴の一覧である不正アクセ
ス手段データベースを参照して、サーバを不正アクセス
から保護する不正アクセス検知装置および不正アクセス
検知方法に関する。
【0002】
【従来の技術】サーバを不正アクセスから保護する従来
の不正アクセス検知装置の構成を図9に示す。図9に於
いて、01は不正アクセス検知装置であり、ネットワー
クセグメント上のパケットを受信するパケット受信部0
2と、受信パケットが不正アクセスに関わるパケットで
あるか否かを判定するパケット解析機構03とを具備し
て構成される。上記パケット解析機構03は、既知の不
正アクセスに関わるパケットのもつ特徴の一覧である不
正アクセス手段データベース04を備え、当該不正アク
セス手段データベース04を参照して、上記パケット受
信部02で受信したパケットが、不正アクセスに関わる
パケットであるか否かを判定する。
【0003】この際、上記不正アクセス手段データベー
ス04には、既知の不正アクセスに関わるすべてのパケ
ットについて、その各パケットがそれぞれにもつすべて
の特徴の一覧が登録される。
【0004】上記した従来の不正アクセス検知装置01
に於いては、パケット解析機構03が、パケット受信部
02で受信したパケットに対し、不正アクセス手段デー
タベース04に格納された、既知の不正アクセスに関わ
るパケットのもつ特徴のうち、いずれかの特徴をもつ受
信パケットであるか否かを判定する際に、不正アクセス
手段データベースに格納されたすべての特徴について、
即ち、不正アクセスの対象となり得るサーバ以外のオペ
レーティングシステムやサーバアプリケーションプログ
ラムに関する既知の不正アクセスに関わるパケットのも
つ特徴を含んだ、すべての特徴について、受信パケット
と比較を行い、受信パケットが不正アクセスに関わるパ
ケットであるか否かを判定していた。
【0005】従って、従来では、パケット解析にかかる
CPUの処理負担が大きく、パケットの解析処理に多く
の時間を費やし、スループットの低下を招いていた。
【0006】
【発明が解決しようとする課題】上述したように従来の
不正アクセス検知装置に於いては、パケット解析機構
が、パケット受信部で受信したパケットに対し、不正ア
クセス手段データベースに格納された、既知の不正アク
セスに関わるパケットのもつ特徴のうち、いずれかの特
徴をもつ受信パケットであるか否かを判定する際に、不
正アクセス手段データベースに格納されたすべての特徴
について、受信パケットと比較を行い、受信パケットが
不正アクセスに関わるパケットであるか否かを判定して
いたことから、パケット解析にかかるCPUの処理負担
が大きく、パケットの解析処理に多くの時間を費やし、
スループットの低下を招いていた。
【0007】本発明は上記実情に鑑みなされたもので、
既知の不正アクセスに関わるパケットのもつ特徴の一覧
を参照して受信パケットが不正アクセスに関わるパケッ
トであるか否かを判定する際のパケット解析にかかるC
PUの処理負担を著しく軽減し、パケットの解析にかか
る処理時間を大幅に短縮して、スループットの向上が図
れる不正アクセス検知装置および不正アクセス検知方法
を提供することを目的とする。
【0008】更に、本発明は、ユーザ(サーバ管理者)
に面倒な作業負担をかけることなく、常にネットワーク
上のシステム構成に適合してサーバを不正アクセスから
保護することのできる不正アクセス検知装置および不正
アクセス検知方法を提供することを目的とする。
【0009】
【課題を解決するための手段】本発明は、パケット解析
機構が、受信パケットについて、不正アクセス手段デー
タベースに格納された、既知の不正アクセスに関わるパ
ケットのもつ特徴のうち、いずれかの特徴をもつ受信パ
ケットであるか否かを判定する際に、不正アクセス手段
データベースに格納された、すべての特徴について、受
信パケットと比較を行うのではなく、不正アクセスの対
象となり得るサーバのオペレーティングシステムやサー
バアプリケーションプログラムに関わるもののみを抽出
し、その抽出した既知の不正アクセスに関わるパケット
をもつ特徴の一覧のみを受信パケットと比較すること
で、パケット解析処理の高速化ならびに効率化を図るこ
とを特徴としている。
【0010】即ち、本発明は、既知の不正アクセスに関
わるパケットのもつ特徴の一覧である不正アクセス手段
データベースを参照して、受信パケットが不正アクセス
に関わるパケットであるか否かを判定し、サーバを不正
アクセスから保護する不正アクセス検知装置に於いて、
前記不正アクセス手段データベースに格納された、既知
の不正アクセスに関わるパケットのもつ特徴の一覧か
ら、不正アクセスの対象となり得るサーバのオペレーテ
ィングシステムおよびサーバアプリケーションプログラ
ム若しくはそのいずれかに関わるもののみを抽出する抽
出手段と、前記抽出手段で抽出された既知の不正アクセ
スに関わるパケットをもつ特徴の一覧を参照して前記受
信したパケットが不正アクセスに関わるパケットである
か否かを判定する前記パケット解析機構とを具備したこ
とを特徴とする。
【0011】また、本発明は、既知の不正アクセスに関
わるパケットのもつ特徴の一覧である不正アクセス手段
データベースを参照して、受信パケットが不正アクセス
に関わるパケットであるか否かを判定し、サーバを不正
アクセスから保護する不正アクセス検知装置に於いて、
不正アクセスの対象となり得るサーバのオペレーティン
グシステムおよびサーバアプリケーションプログラム若
しくはそのいずれかをサーバ情報として設定し保持する
サーバ情報保持手段と、前記サーバ情報保持手段に保持
されたサーバ情報により、前記不正アクセス手段データ
ベースに格納された、既知の不正アクセスに関わるパケ
ットのもつ特徴の一覧から、前記サーバ情報に関わるも
ののみを抽出し、その抽出された既知の不正アクセスに
関わるパケットをもつ特徴の一覧を参照して、受信パケ
ットが不正アクセスに関わるパケットであるか否かを判
定するパケット解析手段とを具備したことを特徴とす
る。
【0012】また、本発明は、既知の不正アクセスに関
わるパケットのもつ特徴の一覧である不正アクセス手段
データベースを参照して、受信パケットが不正アクセス
に関わるパケットであるか否かを判定し、サーバを不正
アクセスから保護する不正アクセス検知装置に於いて、
不正アクセスの対象となり得るサーバのネットワークア
ドレスを設定するサーバアドレス設定手段と、前記サー
バアドレス設定手段で設定されたネットワークアドレス
をもとに前記サーバのオペレーティングシステムおよび
サーバアプリケーションプログラム若しくはそのいずれ
かを取得し、当該取得した情報をサーバ情報として保持
するサーバ情報保持手段と、前記サーバ情報保持手段に
保持されたサーバ情報により、前記不正アクセス手段デ
ータベースに格納された、既知の不正アクセスに関わる
パケットのもつ特徴の一覧から、前記サーバ情報に関わ
るもののみを抽出し、その抽出された既知の不正アクセ
スに関わるパケットをもつ特徴の一覧を参照して、受信
パケットが不正アクセスに関わるパケットであるか否か
を判定するパケット解析手段とを具備したことを特徴と
する。
【0013】また、本発明は、既知の不正アクセスに関
わるパケットのもつ特徴の一覧である不正アクセス手段
データベースを参照して、受信パケットが不正アクセス
に関わるパケットであるか否かを判定し、サーバを不正
アクセスから保護する不正アクセス検知装置に於いて、
予め設定されたネットワークアドレス範囲をもとにサー
バにアクセスして、不正アクセスの対象となり得るサー
バのネットワークアドレスを取得するネットワークアド
レス取得手段と、前記ネットワークアドレス取得手段で
取得したネットワークアドレスをもとに前記サーバのオ
ペレーティングシステムおよびサーバアプリケーション
プログラム若しくはそのいずれかを取得し、当該取得し
た情報をサーバ情報として保持するサーバ情報保持手段
と、前記サーバ情報保持手段に保持されたサーバ情報に
より、前記不正アクセス手段データベースに格納され
た、既知の不正アクセスに関わるパケットのもつ特徴の
一覧から、前記サーバ情報に関わるもののみを抽出し、
その抽出された既知の不正アクセスに関わるパケットを
もつ特徴の一覧を参照して、受信パケットが不正アクセ
スに関わるパケットであるか否かを判定するパケット解
析手段とを具備したことを特徴とする。
【0014】また、本発明は、ネットワークセグメント
上のパケットを受信するパケット受信部と、既知の不正
アクセスに関わるパケットのもつ特徴の一覧である不正
アクセス手段データベースをもち、前記不正アクセス手
段データベースを参照して、前記パケット受信部で受信
したパケットが、不正アクセスに関わるパケットである
か否かを判定するパケット解析機構とを具備する不正ア
クセス検知装置に於いて、不正アクセスの対象となり得
るサーバのオペレーティングシステムの種類およびサー
バアプリケーションプログラムの種類をサーバのネット
ワークアドレスと対応付けたサーバ情報を設定するサー
バ情報設定機構と、前記サーバ情報設定機構により設定
されたサーバ情報を保持するサーバ情報保持機構と、前
記不正アクセス手段データベースに格納された既知の不
正アクセスに関わるパケットのもつ特徴の一覧の中か
ら、前記サーバ情報保持機構に保持されたサーバ情報に
関わるもののみを抽出する特徴抽出機構とを具備し、前
記パケット受信部がパケットを受信した際に、前記パケ
ット解析機構が、前記パケット受信部で受信したパケッ
トの宛先であるネットワークアドレスに基づいて前記特
徴抽出機構より抽出された一覧のみを参照して、前記パ
ケット受信部で受信したパケットが不正アクセスに関わ
るパケットであるか否かを判定することを特徴とする。
【0015】また、本発明は、ネットワークセグメント
上のパケットを受信するパケット受信部と、既知の不正
アクセスに関わるパケットのもつ特徴の一覧である不正
アクセス手段データベースをもち、前記不正アクセス手
段データベースを参照して、前記パケット受信部で受信
したパケットが、不正アクセスに関わるパケットである
か否かを判定するパケット解析機構とを具備する不正ア
クセス検知装置に於いて、不正アクセスの対象となり得
るサーバのネットワークアドレスを予め設定するサーバ
アドレス設定機構と、前記サーバアドレス設定機構で設
定されたサーバのネットワークアドレスを保持するサー
バアドレス保持機構と、前記サーバアドレス保持機構に
保持されたネットワークアドレスに対して、監視対象の
ネットワークセグメントを介してサーバにアクセスを行
い、不正アクセスの対象となり得るサーバのオペレーテ
ィングシステムの種類およびサーバアプリケーションプ
ログラムの種類を特定するサーバ特定機構と、前記サー
バ特定機構によって特定された不正アクセスの対象とな
り得るサーバのネットワークアドレス、オペレーティン
グシステムの種類、およびサーバアプリケーションプロ
グラムの種類を保持するサーバ情報保持機構と、前記不
正アクセス手段データベースに格納された既知の不正ア
クセスに関わるパケットのもつ特徴の一覧の中から、サ
ーバ情報保持機構に保持されたネットワークアドレスを
もつサーバのオペレーティングシステムおよびサーバア
プリケーションプログラムに関わるもののみを抽出する
特徴抽出機構とを具備し、前記パケット受信部がパケッ
トを受信した際に、前記パケット解析機構が、前記パケ
ット受信部で受信したパケットの宛先であるネットワー
クアドレスに基づいて前記特徴抽出機構より抽出された
一覧のみを参照して、前記パケット受信部で受信したパ
ケットが不正アクセスに関わるパケットであるか否かを
判定することを特徴とする。
【0016】また、本発明は、ネットワークセグメント
上のパケットを受信するパケット受信部と、既知の不正
アクセスに関わるパケットのもつ特徴の一覧である不正
アクセス手段データベースをもち、前記不正アクセス手
段データベースを参照して、前記パケット受信部で受信
したパケットが、不正アクセスに関わるパケットである
か否かを判定するパケット解析機構とを具備する不正ア
クセス検知装置に於いて、不正アクセスの対象となり得
るサーバが存在するネットワークアドレスの範囲を設定
するネットワークアドレス範囲設定機構と、前記ネット
ワークアドレス範囲設定機構によって設定されたネット
ワークアドレスの範囲内で、不正アクセスの対象となり
得るサーバを、監視対象のネットワークセグメントを介
して検索し、検索の結果、発見されたサーバのネットワ
ークアドレス一覧を設定するサーバアドレス検索機構
と、前記サーバアドレス検索機構によって検索されたサ
ーバのネットワークアドレスを保持するサーバアドレス
保持機構と、前記サーバアドレス保持機構に保持された
ネットワークアドレスに対して、監視対象のネットワー
クセグメントを介して、サーバにアクセスを行い、不正
アクセスの対象となり得るサーバのオペレーティングシ
ステムの種類およびサーバアプリケーションプログラム
の種類を特定するサーバ特定機構と、前記サーバ特定機
構により特定された不正アクセスの対象となり得るサー
バのネットワークアドレス、オペレーティングシステム
の種類およびサーバアプリケーションプログラムの種類
を保持するサーバ情報保持機構と、前記不正アクセス手
段データベースに格納された既知の不正アクセスに関わ
るパケットのもつ特徴の一覧の中から、前記サーバ特定
機構により特定されたネットワークアドレスをもつサー
バのオペレーティングシステムおよびサーバアプリケー
ションプログラムに関わるもののみを抽出する特徴抽出
機構とを具備し、前記パケット受信部がパケットを受信
した際に、前記パケット解析機構が、前記パケット受信
部で受信したパケットの宛先であるネットワークアドレ
スに基づいて前記特徴抽出機構より抽出された一覧のみ
を参照して、前記パケット受信部で受信したパケットが
不正アクセスに関わるパケットであるか否かを判定する
ことを特徴とする。
【0017】また、本発明は、既知の不正アクセスに関
わるパケットのもつ特徴の一覧である不正アクセス手段
データベースを参照して、受信パケットが不正アクセス
に関わるパケットであるか否かを判定し、サーバを不正
アクセスから保護する不正アクセス検知方法に於いて、
前記不正アクセス手段データベースに格納された、既知
の不正アクセスに関わるパケットのもつ特徴の一覧か
ら、不正アクセスの対象となり得るサーバのオペレーテ
ィングシステムおよびサーバアプリケーションプログラ
ムの少なくともいずれかに関わるもののみを抽出し、そ
の抽出された既知の不正アクセスに関わるパケットをも
つ特徴の一覧を参照して、受信パケットが不正アクセス
に関わるパケットであるか否かを判定することを特徴と
する。
【0018】また、本発明は、既知の不正アクセスに関
わるパケットのもつ特徴の一覧である不正アクセス手段
データベースを参照して、受信パケットが不正アクセス
に関わるパケットであるか否かを判定し、サーバを不正
アクセスから保護する不正アクセス検知方法に於いて、
不正アクセスの対象となり得るサーバのオペレーティン
グシステムおよびサーバアプリケーションプログラム若
しくはそのいずれかをサーバ情報として設定し保持し
て、前記サーバ情報により、前記不正アクセス手段デー
タベースに格納された、既知の不正アクセスに関わるパ
ケットのもつ特徴の一覧から、前記サーバ情報に関わる
もののみを抽出し、その抽出された既知の不正アクセス
に関わるパケットをもつ特徴の一覧を参照して、受信パ
ケットが不正アクセスに関わるパケットであるか否かを
判定することを特徴とする。
【0019】また、本発明は、既知の不正アクセスに関
わるパケットのもつ特徴の一覧である不正アクセス手段
データベースを参照して、受信パケットが不正アクセス
に関わるパケットであるか否かを判定し、サーバを不正
アクセスから保護する不正アクセス検知方法に於いて、
予め設定された、不正アクセスの対象となり得るサーバ
のネットワークアドレスをもとに前記サーバのオペレー
ティングシステムおよびサーバアプリケーションプログ
ラム若しくはそのいずれかを取得し、当該取得した情報
をサーバ情報として保持して、前記サーバ情報により、
前記不正アクセス手段データベースに格納された、既知
の不正アクセスに関わるパケットのもつ特徴の一覧か
ら、前記サーバ情報に関わるもののみを抽出し、その抽
出された既知の不正アクセスに関わるパケットをもつ特
徴の一覧を参照して、受信パケットが不正アクセスに関
わるパケットであるか否かを判定することを特徴とす
る。
【0020】また、本発明は、既知の不正アクセスに関
わるパケットのもつ特徴の一覧である不正アクセス手段
データベースを参照して、受信パケットが不正アクセス
に関わるパケットであるか否かを判定し、サーバを不正
アクセスから保護する不正アクセス検知方法に於いて、
予め設定されたネットワークアドレス範囲から不正アク
セスの対象となり得るサーバのネットワークアドレスを
取得し、当該取得したネットワークアドレスをもとに前
記サーバのオペレーティングシステムおよびサーバアプ
リケーションプログラム若しくはそのいずれかを取得
し、サーバ情報として保持して、前記サーバ情報によ
り、前記不正アクセス手段データベースに格納された、
既知の不正アクセスに関わるパケットのもつ特徴の一覧
から、前記サーバ情報に関わるもののみを抽出し、その
抽出された既知の不正アクセスに関わるパケットをもつ
特徴の一覧を参照して、受信パケットが不正アクセスに
関わるパケットであるか否かを判定することを特徴とす
る。
【0021】上記した本発明のパケット解析処理機能を
もつことにより、不正アクセスの対象となり得るサーバ
のオペレーティングシステムやサーバアプリケーション
プログラムに関する既知の不正アクセスに関わるパケッ
トのもつ特徴の一覧のみを参照して不正パケットの検索
を行うことから、パケット解析にかかるCPUの処理負
担を著しく軽減でき、パケットの解析にかかる処理時間
を大幅に短縮して、スループットを向上できる。
【0022】更に、サーバにアクセスを行って不正アク
セスの対象となり得るサーバのオペレーティングシステ
ムの種類およびサーバアプリケーションプログラムの種
類を特定するサーバ特定機構をもつことにより、ユーザ
(サーバ管理者)が不正アクセスの対象となり得るサー
バのオペレーティングシステムやサーバアプリケーショ
ンプログラムの種類を登録したり、サーバの追加や変更
に応じて、登録したオペレーティングシステムやサーバ
アプリケーションプログラムに関する情報を追加、変更
する等の作業を不要にして、常に、その時々のシステム
構成に合わせた最適な、不正アクセスの対象となり得る
サーバのオペレーティングシステムやサーバアプリケー
ションプログラムに関する既知の不正アクセスに関わる
パケットのもつ特徴の一覧のみを検索することができ、
これによって信頼性の高いパケット解析が行えるととも
に、パケット解析にかかるCPUの処理負担を著しく軽
減でき、パケットの解析にかかる処理時間を大幅に短縮
して、スループットを向上できる。
【0023】
【発明の実施の形態】以下、図面を参照して本発明の実
施形態を説明する。
【0024】先ず図1乃至図3を参照して本発明の第1
実施形態を説明する。
【0025】本発明は、パケット解析機構が、受信パケ
ットについて、不正アクセス手段データベースに格納さ
れた、既知の不正アクセスに関わるパケットのもつ特徴
のうち、いずれかの特徴をもつ受信パケットであるか否
かを判定する際に、不正アクセス手段データベースに格
納された、すべての特徴について、受信パケットと比較
を行うのではなく、不正アクセスの対象となり得るサー
バのオペレーティングシステムやサーバアプリケーショ
ンプログラムに関わるもののみを抽出し、その抽出した
既知の不正アクセスに関わるパケットをもつ特徴の一覧
のみを受信パケットと比較することで、パケット解析処
理の高速化ならびに効率化を図ることを特徴としてい
る。
【0026】この第1の実施形態では、不正アクセスの
対象となり得るサーバのオペレーティングシステムやサ
ーバアプリケーションプログラムに関する既知の不正ア
クセスに関わるパケットのもつ特徴の一覧を「サーバ情
報」として、ユーザ(管理者)が設定し、予め登録し
て、パケット解析機構が、この登録されたサーバ情報を
もとに不正アクセス手段データベースより抽出された特
徴のみを受信パケットと比較することで、受信パケット
が不正アクセスに関わるパケットであるか否かを判断す
ることを特徴とする。
【0027】図1は本発明の第1実施形態に於ける不正
アクセス検知装置の構成を示すブロック図である。
【0028】図1に示す本発明の第1実施形態による不
正アクセス検知装置10は、パケット受信部11A,1
1B、およびパケット送出部12A,12Bと、パケッ
ト保留キュー13と、パケット解析機構14と、サーバ
情報設定機構15と、サーバ情報保持機構16とを具備
して構成される。
【0029】パケット受信部11A,11Bはそれぞれ
ネットワークセグメント上のパケットを受信し、パケッ
ト送出部12A,12Bはそれぞれネットワークセグメ
ント上にパケットを送出する。この実施形態では、パケ
ット受信部11Aが、クライアントから送出されるネッ
トワークセグメント(A)上のパケットを受信し、パケ
ット受信部11Bが、サーバから送出されるネットワー
クセグメント(B)上のパケットを受信し、パケット送
出部12Aがネットワークセグメント(A)上にパケッ
トを送出し、パケット送出部12Bがネットワークセグ
メント(B)上にパケットを送出するものとする。
【0030】パケット保留キュー13は、パケット受信
部11Aで受信したパケットをパケット解析処理が終了
するまで保留する。
【0031】パケット解析機構14は、既知の不正アク
セスに関わるパケットのもつ特徴の一覧である不正アク
セス手段データベースと、不正アクセス手段データベー
スに格納された既知の不正アクセスに関わるパケットの
もつ特徴の一覧の中から、サーバ情報保持機構16に保
持されたオペレーティングシステムやサーバアプリケー
ションプログラムに関わるもののみを抽出する特徴抽出
機構とを備えて、特徴抽出機構が抽出した既知の不正ア
クセスに関わるパケットのもつ特徴の一覧をもとに、パ
ケット受信部11Aで受信されたパケットが、不正アク
セスに関わるパケットであるか否かを判定する処理機能
をもつ。このパケット解析機構14の内部の構成は図2
を参照して後述する。
【0032】サーバ情報設定機構15は、不正アクセス
の対象となり得るサーバのネットワークアドレス及びオ
ペレーティングシステムの種類やサーバアプリケーショ
ンプログラムの種類をユーザ(サーバ管理者)が設定す
るための操作入力機構及びGUI機能をもつ。
【0033】サーバ情報保持機構16は、サーバ情報設
定機構15によって設定された、不正アクセスの対象と
なり得るサーバのネットワークアドレス、オペレーティ
ングシステムの種類、およびサーバアプリケーションプ
ログラムの種類をサーバ情報として保持する。
【0034】図2は上記パケット解析機構14の構成を
示すブロック図であり、ここでは、不正アクセス手段デ
ータベース141と、特徴抽出機構142と、パケット
解析処理機構143とを具備して構成される。
【0035】不正アクセス手段データベース141は、
既知の不正アクセスに関わるパケットのもつ特徴の一覧
を格納している。
【0036】特徴抽出機構142は、不正アクセス手段
データベース141に格納された既知の不正アクセスに
関わるパケットのもつ特徴の一覧の中から、サーバ情報
保持機構16に保持されたオペレーティングシステムや
サーバアプリケーションプログラムに関わるもののみを
抽出する機能をもつ。
【0037】パケット解析処理機構143は、特徴抽出
機構142が抽出した既知の不正アクセスに関わるパケ
ットのもつ特徴の一覧をもとに、パケット受信部11A
で受信されたパケットが、不正アクセスに関わるパケッ
トであるか否かを判定し、その判定結果の情報をパケッ
ト出力制御信号(CN)としてパケット送出部12Bに
送出し、パケット送出部12Bからのパケット送出を制
御する機能をもつ。
【0038】図3は上記サーバ情報設定機構15により
設定され、上記サーバ情報保持機構16に保持されたサ
ーバ情報の一例を示したもので、ここでは、不正アクセ
スの対象となり得るサーバのネットワークアドレス(1
92.168.1.31等)と、オペレーティングシス
テムの種類(OS−A等)と、サーバアプリケーション
プログラムの種類(SAP−S)とがそれぞれサーバ毎
に対応付けられて保持される。
【0039】ここで、上記図1乃至図3を参照して本発
明の第1実施形態に於ける不正アクセス検知装置の動作
を説明する。
【0040】不正アクセス検知装置10に於いて、サー
バ情報保持機構16には、予めサーバ情報設定機構15
によって設定された、不正アクセスの対象となり得るサ
ーバのネットワークアドレス、オペレーティングシステ
ムの種類、およびサーバアプリケーションプログラムの
種類が、それぞれ図3に示すように、サーバ毎に対応付
けられ、サーバ情報として保持される。
【0041】パケット受信部11Aにパケットが受信さ
れると、当該受信パケットはパケット保留キュー13に
保留される。
【0042】パケット解析機構14は、パケット保留キ
ュー13に保留されたパケットについて、そのパケット
の内容と、不正アクセス手段データベース141に格納
された、複数の既知の不正アクセスに関わるパケットの
もつ特徴とを比較して、パケット保留キュー13に保留
されたパケットが、不正アクセスに関わるパケットであ
るか否かを判定する。
【0043】この際、パケット解析機構14に於いて、
パケット解析処理機構143は、パケット保留キュー1
3に保留されたパケットについて、不正アクセス手段デ
ータベース141に格納された、既知の不正アクセスに
関わるパケットのもつ特徴のうち、いずれかの特徴をも
つパケットであるか否かを判定する際に、不正アクセス
手段データベース141に格納された、すべての特徴に
ついて、上記パケット保留キュー13に保留されたパケ
ットとの比較を行うのではなく、特徴抽出機構142に
よって抽出された既知の不正アクセスに関わるパケット
をもつ特徴の一覧のみを上記パケット保留キュー13に
保留されたパケットと比較する。
【0044】即ち、パケット解析機構14に於いて、特
徴抽出機構142は、不正アクセス手段データベース1
41に格納された既知の不正アクセスに関わるパケット
のもつ特徴の一覧の中から、サーバ情報保持機構16に
保持されたオペレーティングシステムやサーバアプリケ
ーションプログラムに関わるもののみを抽出し、その抽
出した既知の不正アクセスに関わるパケットをもつ特徴
の一覧をパケット解析処理機構143に送出する。
【0045】パケット解析処理機構143は、上記特徴
抽出機構142により抽出された既知の不正アクセスに
関わるパケットのもつ特徴の一覧をもとに、パケット保
留キュー13に保留されたパケットが、不正アクセスに
関わるパケットであるか否かを判定し、その判定結果に
従うパケット出力制御信号(CN)をパケット送出部1
2Bに送出する。
【0046】パケット送出部12Bは、パケット解析処
理機構143より、パケットの送出禁止を指示するパケ
ット出力制御信号(CN)を受けたときのみ、パケット
保留キュー13に保留されている解析処理されたパケッ
トをネットワークセグメント(B)上への送出を禁止
し、上記指示を受けないときは、パケット保留キュー1
3に保留されている解析処理されたパケットをネットワ
ークセグメント(B)上に送出する。
【0047】上記したパケット解析処理では、1パケッ
ト単位でパケット解析を行う例を示したが、パケット受
信部11Aで受信した、分断された複数の連続するパケ
ットをそれぞれパケット保留キュー13に保留し、その
分断された複数のパケットについて、上記同様のパケッ
ト解析を行うことによって、検知すべき特徴が複数のパ
ケットに跨っている場合に於いても、不正アクセスを検
知することが可能である。
【0048】上記した特徴抽出機構142の構造として
は、不正アクセス手段データベース141の全リストか
ら、サーバのオペレーティングシステムやサーバアプリ
ケーションプログラムに関わるもののみを取り出し、新
たなデータベースを構築した上で、パケット解析の際
に、その新たなデータベースを提供する方法も適用可能
である。また、不正アクセス手段データベース141に
格納された特徴の中で、サーバのオペレーティングシス
テムやサーバアプリケーションプログラムに関わるもの
のみに印をつけ、パケット解析の際に、その印のついた
特徴のみを提供する方法も適用可能である。
【0049】上記したような、不正アクセスの対象とな
り得るサーバのオペレーティングシステムやサーバアプ
リケーションプログラムに関する既知の不正アクセスに
関わるパケットのもつ特徴の一覧のみを検索する機能を
備えることにより、パケット解析にかかるCPUの処理
負担を著しく軽減でき、パケットの解析にかかる処理時
間を大幅に短縮して、スループットを向上できる。
【0050】次に図4乃至図6を参照して本発明の第2
実施形態を説明する。
【0051】上記した第1実施形態では、不正アクセス
の対象となり得るサーバのオペレーティングシステムや
サーバアプリケーションプログラムに関する既知の不正
アクセスに関わるパケットのもつ特徴の一覧を「サーバ
情報」として、ユーザ(管理者)が設定し、予め登録し
て、パケット解析機構が、この登録されたサーバ情報を
もとに不正アクセス手段データベースより抽出された特
徴のみを受信パケットと比較することで、受信パケット
が不正アクセスに関わるパケットであるか否かを判断し
ていたが、この第2実施形態では、不正アクセスの対象
となり得るサーバのネットワークアドレスを予めユーザ
(管理者)が設定すると、その設定されたネットワーク
アドレスに対して、監視対象のネットワークセグメント
を介してサーバにアクセスを行い、不正アクセスの対象
となり得るサーバのオペレーティングシステムの種類お
よびサーバアプリケーションプログラムの種類を取得し
て、不正アクセス手段データベースに格納された既知の
不正アクセスに関わるパケットのもつ特徴の一覧の中か
ら、上記取得したサーバのオペレーティングシステムお
よびサーバアプリケーションプログラムに関わるものの
みを抽出し、パケットを受信した際に、パケット解析機
構が、受信パケットの宛先であるネットワークアドレス
に基づいて上記抽出された一覧のみを参照して、受信パ
ケットが不正アクセスに関わるパケットであるか否かを
判定することを特徴とする。
【0052】図4は本発明の第2実施形態に於ける不正
アクセス検知装置の構成を示すブロック図である。
【0053】図4に示す本発明の第2実施形態による不
正アクセス検知装置20は、パケット受信部21A,2
1B、およびパケット送出部22A,22Bと、パケッ
ト保留キュー23と、パケット解析機構24と、サーバ
アドレス設定機構25と、サーバアドレス保持機構26
と、サーバ特定機構27とを具備して構成される。
【0054】パケット受信部21A,21Bはそれぞれ
ネットワークセグメント上のパケットを受信し、パケッ
ト送出部22A,22Bはそれぞれネットワークセグメ
ント上にパケットを送出する。この実施形態では、パケ
ット受信部21Aが、クライアントから送出されるネッ
トワークセグメント(A)上のパケットを受信し、パケ
ット受信部21Bが、サーバから送出されるネットワー
クセグメント(B)上のパケットを受信し、パケット送
出部22Aがネットワークセグメント(A)上にパケッ
トを送出し、パケット送出部22Bがネットワークセグ
メント(B)上にパケットを送出するものとする。
【0055】パケット保留キュー23は、パケット受信
部21Aで受信したパケットをパケット解析処理が終了
するまで保留する。
【0056】パケット解析機構24は、既知の不正アク
セスに関わるパケットのもつ特徴の一覧である不正アク
セス手段データベースと、不正アクセス手段データベー
スに格納された既知の不正アクセスに関わるパケットの
もつ特徴の一覧の中から、サーバ特定機構27が特定し
たオペレーティングシステムおよびサーバプリケーショ
ンプログラムをサーバのネットワークアドレスと対応付
けて保持するサーバ情報保持機構と、このサーバ情報保
持機構に保持されたオペレーティングシステムやサーバ
アプリケーションプログラムに関わるもののみを抽出す
る特徴抽出機構とを備えて、特徴抽出機構が抽出した既
知の不正アクセスに関わるパケットのもつ特徴の一覧を
もとに、パケット受信部21Aで受信されたパケット
が、不正アクセスに関わるパケットであるか否かを判定
する処理機能をもつ。このパケット解析機構24の内部
の構成は図5を参照して後述する。
【0057】サーバアドレス設定機構25は、不正アク
セスの対象となり得るサーバのネットワークアドレスを
予め設定するための操作入力機構及びGUI機能をも
つ。
【0058】サーバアドレス保持機構26は、サーバア
ドレス設定機構25により設定されたサーバのネットワ
ークアドレスを保持する機能をもつ。
【0059】サーバ特定機構27は、サーバアドレス保
持機構26に保持されたネットワークアドレスに対し
て、監視対象のネットワークセグメント(B)を介して
サーバにアクセスを行い、不正アクセスの対象となり得
るサーバのオペレーティングシステムの種類やサーバア
プリケーションプログラムの種類を特定する機能をも
つ。このサーバ特定機構27の内部の構成は図6を参照
して後述する。
【0060】図5は上記パケット解析機構24の構成を
示すブロック図であり、ここでは、不正アクセス手段デ
ータベース241と、特徴抽出機構242と、サーバ情
報保持機構243と、パケット解析処理機構244とを
具備して構成される。
【0061】不正アクセス手段データベース241は、
既知の不正アクセスに関わるパケットのもつ特徴の一覧
を格納している。
【0062】特徴抽出機構242は、不正アクセス手段
データベース141に格納された既知の不正アクセスに
関わるパケットのもつ特徴の一覧の中から、サーバ情報
保持機構243に保持されたオペレーティングシステム
やサーバアプリケーションプログラムに関わるもののみ
を抽出する機能をもつ。
【0063】サーバ情報保持機構243は、サーバ特定
機構27が特定したオペレーティングシステムおよびサ
ーバプリケーションプログラムをサーバのネットワーク
アドレスと対応付け、サーバ情報として保持する機能を
もつ。このサーバ情報保持機構243に保持されたサー
バ情報の一例を図3に示している。
【0064】パケット解析処理機構244は、特徴抽出
機構242が抽出した既知の不正アクセスに関わるパケ
ットのもつ特徴の一覧をもとに、パケット受信部21A
で受信されたパケットが、不正アクセスに関わるパケッ
トであるか否かを判定し、その判定結果の情報をパケッ
ト出力制御信号(CN)としてパケット送出部22Bに
送出し、パケット送出部22Bからのパケット送出を制
御する機能をもつ。
【0065】図6は上記サーバ特定機構27の構成を示
すブロック図であり、ここでは、メッセージ送出機構2
71と、メッセージ受信機構272と、応答メッセージ
特徴データベース273とを具備して構成される。
【0066】メッセージ送出機構271は、ユーザの入
力操作により発生する、若しくはプログラム上で定期的
に発生する、サーバの特定を指示する要求(REQ)に
従い、監視対象のネットワークセグメント(B)を介
し、サーバアドレス保持機構26に保持されたネットワ
ークアドレスのサーバに対してデータ要求メッセージ
(DRM)を送出する機能をもつ。
【0067】メッセージ受信機構272は、メッセージ
送出機構271が送出したデータ要求メッセージに対す
る応答メッセージの受信を試み、受信できた場合、応答
メッセージ特徴データベース273から、当該応答メッ
セージがもつ特徴を備える応答メッセージを送出するオ
ペレーティングシステムやサーバアプリケーションプロ
グラムを検索する機能をもつ。
【0068】応答メッセージ特徴データベース273
は、メッセージ受信機構272で受信し検索したオペレ
ーティングシステムおよびサーバプリケーションプログ
ラム毎の当該メッセージに対する応答メッセージの特徴
を格納する機能をもつ。
【0069】ここで、上記図4乃至図6を参照して本発
明の第2実施形態に於ける不正アクセス検知装置の動作
を説明する。
【0070】不正アクセス検知装置20に於いて、サー
バアドレス保持機構26には、予めサーバアドレス設定
機構25によって設定された、不正アクセスの対象とな
り得るサーバのネットワークアドレスが保持される。
【0071】サーバ特定機構27は、上記サーバアドレ
ス保持機構26に保持されたネットワークアドレスに対
して、監視対象のネットワークセグメント(B)を介し
てサーバにアクセスを行い、不正アクセスの対象となり
得るサーバのオペレーティングシステムの種類やサーバ
アプリケーションプログラムの種類を特定する。この
際、サーバ特定機構27は、以下のようにして、サーバ
のオペレーティングシステムやサーバアプリケーション
プログラムの種類を特定する。
【0072】サーバ特定機構27に於いて、メッセージ
送出機構271は、ユーザの入力操作により発生する、
若しくはプログラム上で定期的に発生する、サーバの特
定を指示する要求(REQ)に従い、サーバアドレス保
持機構26に保持されたネットワークアドレスのサーバ
に対して、データ要求メッセージ(DRM)を送出す
る。
【0073】この際、オペレーティングシステムの種類
を特定するためのデータ要求メッセージの具体例として
は、例えば、ユーザ情報を要求するメッセージ、リモー
トログインの要求、ファイルの転送要求、メールの送信
要求等のデータアクセスを挙げることができる。更に
は、これらの要求に対して、実際の処理に先立ち表示さ
れるメッセージを得ようとするデータアクセスも考えら
れる。また、コネクションを確立する際に交換されるパ
ラメータの値によって、オペレーティングシステムの種
類を推定できることも知られており、このデータアクセ
スを用いて、コネクションの確立要求をデータ要求メッ
セージとすることも考えられる。また、サーバアプリケ
ーションプログラムの種類を特定するためのデータ要求
メッセージの例としては、特定しようとしているサーバ
アプリケーションに直接データ要求を行うことが考えら
れる。この場合、サーバアプリケーションからの応答メ
ッセージに含まれる情報から、サーバアプリケーション
を特定するも可能である。また、前述した手段によりオ
ペレーティングシステムを特定することで、サーバアプ
リケーションを特定できる場合もある。
【0074】メッセージ送出機構271から以上のよう
な一種若しくは複数種のデータ要求メッセージ(DR
M)を送出して、メッセージ受信機構272が、そのデ
ータ要求メッセージ(DRM)に対する応答メッセージ
の受信を試みる。
【0075】ここで、応答メッセージが受信できた場
合、オペレーティングシステムやサーバアプリケーショ
ンプログラム毎の当該メッセージに対する応答メッセー
ジの特徴を格納した応答メッセージ特徴データベース2
73から、当該応答メッセージがもつ特徴を備える応答
メッセージを送出するオペレーティングシステムやサー
バアプリケーションプログラムを検索し、応答メッセー
ジ特徴データベース273内に登録された特徴を有する
応答メッセージを受信したならば、オペレーティングシ
ステムやサーバアプリケーションプログラムの種類が特
定できたこととなり、その情報をパケット解析機構24
に提供する。
【0076】パケット解析機構24に於いて、サーバ情
報保持機構243は、上記サーバ特定機構27より提供
された、不正アクセスの対象となり得るサーバのネット
ワークアドレスと、オペレーティングシステムの種類お
よびサーバアプリケーションプログラムの種類をそれぞ
れ図3に示すようにサーバ毎に対応付けて保持する。
【0077】特徴抽出機構242は、不正アクセス手段
データベース241に格納された既知の不正アクセスに
関わるパケットのもつ特徴の一覧の中から、上記サーバ
情報保持機構243に保持されたオペレーティングシス
テムやサーバアプリケーションプログラムに関わるもの
のみを抽出し、その抽出した既知の不正アクセスに関わ
るパケットをもつ特徴の一覧をパケット解析処理機構2
44に送出する。
【0078】パケット解析処理機構244は、上記特徴
抽出機構242により抽出された既知の不正アクセスに
関わるパケットのもつ特徴の一覧をもとに、パケット保
留キュー23に保留されたパケットが、不正アクセスに
関わるパケットであるか否かを判定し、その判定結果に
従うパケット出力制御信号(CN)をパケット送出部2
2Bに送出する。
【0079】パケット送出部22Bは、パケット解析処
理機構244より、パケットの送出禁止を指示するパケ
ット出力制御信号(CN)を受けたときのみ、パケット
保留キュー23に保留されている解析処理されたパケッ
トをネットワークセグメント(B)上への送出を禁止
し、上記指示を受けないときは、パケット保留キュー2
3に保留されている解析処理されたパケットをネットワ
ークセグメント(B)上に送出する。
【0080】このようにして、ユーザが不正アクセスの
対象となり得るサーバのオペレーティングシステムやサ
ーバアプリケーションプログラムの種類を登録すること
なく、また、サーバの追加や変更に応じて、登録したオ
ペレーティングシステムやサーバアプリケーションプロ
グラムに関する情報を追加したり変更したりする必要な
く、不正アクセスの対象となり得るサーバのオペレーテ
ィングシステムやサーバアプリケーションプログラムに
関する既知の不正アクセスに関わるパケットのもつ特徴
の一覧のみを検索することができる。これにより、不正
アクセスの対象となり得るサーバのオペレーティングシ
ステムやサーバアプリケーションプログラムに関する既
知の不正アクセスに関わるパケットのもつ特徴の一覧の
みを検索する機能をユーザに面倒な作業負担を強いるこ
となく実現することができる。
【0081】次に図7および図8を参照して本発明の第
3実施形態を説明する。
【0082】上記した第2実施形態では、不正アクセス
の対象となり得るサーバのネットワークアドレスを予め
ユーザ(管理者)が設定すると、その設定されたネット
ワークアドレスに対して、監視対象のネットワークセグ
メントを介してサーバにアクセスを行い、不正アクセス
の対象となり得るサーバのオペレーティングシステムの
種類およびサーバアプリケーションプログラムの種類を
取得する構成であったが、この第3実施形態では、これ
に加えて、更に、不正アクセスの対象となり得るサーバ
のネットワークアドレスを検索する機能をもつことを特
徴とする。
【0083】図7は本発明の第3実施形態に於ける不正
アクセス検知装置の構成を示すブロック図である。
【0084】図7に示す本発明の第3実施形態による不
正アクセス検知装置30は、パケット受信部31A,3
1B、およびパケット送出部32A,32Bと、パケッ
ト保留キュー33と、パケット解析機構34と、ネット
ワークアドレス範囲設定機構35と、サーバアドレス検
索機構36と、サーバアドレス保持機構37と、サーバ
特定機構38とを具備して構成される。
【0085】パケット受信部31A,31Bはそれぞれ
ネットワークセグメント上のパケットを受信し、パケッ
ト送出部32A,32Bはそれぞれネットワークセグメ
ント上にパケットを送出する。この実施形態では、パケ
ット受信部31Aが、クライアントから送出されるネッ
トワークセグメント(A)上のパケットを受信し、パケ
ット受信部31Bが、サーバから送出されるネットワー
クセグメント(B)上のパケットを受信し、パケット送
出部32Aがネットワークセグメント(A)上にパケッ
トを送出し、パケット送出部32Bがネットワークセグ
メント(B)上にパケットを送出するものとする。
【0086】パケット保留キュー33は、パケット受信
部31Aで受信したパケットをパケット解析処理が終了
するまで保留する。
【0087】パケット解析機構34は、既知の不正アク
セスに関わるパケットのもつ特徴の一覧である不正アク
セス手段データベースと、不正アクセス手段データベー
スに格納された既知の不正アクセスに関わるパケットの
もつ特徴の一覧の中から、サーバ特定機構38が特定し
たオペレーティングシステムおよびサーバプリケーショ
ンプログラムをサーバのネットワークアドレスと対応付
けて保持するサーバ情報保持機構と、このサーバ情報保
持機構に保持されたオペレーティングシステムやサーバ
アプリケーションプログラムに関わるもののみを抽出す
る特徴抽出機構とを備えて、特徴抽出機構が抽出した既
知の不正アクセスに関わるパケットのもつ特徴の一覧を
もとに、パケット受信部31Aで受信されたパケット
が、不正アクセスに関わるパケットであるか否かを判定
する処理機能をもつ。このパケット解析機構34の内部
の構成は、上記した第2実施形態に於いて図5に示した
各構成要素と同様の構成要素により実現されるものであ
り、従ってここではその内部構成についての説明を省略
する。
【0088】ネットワークアドレス範囲設定機構35
は、監視対象のサーバが存在し得るネットワークアドレ
スの範囲を予め設定する機能をもつ。
【0089】サーバアドレス検索機構36は、ネットワ
ークアドレス範囲設定機構35により設定されたネット
ワークアドレスの範囲内で、不正アクセスの対象となり
得るサーバを監視対象のネットワークセグメント(B)
を介して検索し、検索されたサーバのネットワークアド
レスをサーバアドレス保持機構37に保持する機能をも
つ。
【0090】サーバアドレス保持機構37は、サーバア
ドレス検索機構36により設定されたサーバのネットワ
ークアドレスを保持する機能をもつ。
【0091】サーバ特定機構38は、サーバアドレス保
持機構37に保持されたネットワークアドレスに対し
て、監視対象のネットワークセグメント(B)を介して
サーバにアクセスを行い、不正アクセスの対象となり得
るサーバのオペレーティングシステムの種類やサーバア
プリケーションプログラムの種類を特定する機能をも
つ。このサーバ特定機構38の内部の構成は、上記した
第2実施形態に於いて図6に示した各構成要素と同様の
構成要素により実現されるものであり、従ってここでは
その内部構成についての説明を省略する。
【0092】図8は、上記サーバアドレス検索機構36
の内部の構成要素を示すブロック図であり、メッセージ
送出機構361と、メッセージ受信機構362とを有し
て構成される。
【0093】メッセージ送出機構361は、ユーザの入
力操作により発生する、若しくはプログラム上で定期的
に発生する、サーバの特定を指示する要求(REQ)に
従い、ネットワークアドレス範囲設定機構35により設
定されたネットワークアドレスの範囲のすべてのネット
ワークアドレスに対して、データ要求メッセージ(DR
M)を送出する機能をもつ。
【0094】メッセージ受信機構362は、上記データ
要求メッセージ(DRM)を送出したネットワークアド
レスからの応答メッセージの受信を試み、受信できた場
合、そのネットワークアドレスをサーバアドレス保持機
構37へ登録する機能をもつ。
【0095】ここで、図7および図8を参照して本発明
の第3実施形態に於ける不正アクセス検知装置の動作を
説明する。
【0096】この第3実施形態による、サーバアドレス
検索機構36をもつ不正アクセス検知装置30に於いて
は、ユーザ(サーバ管理者)が、ネットワークアドレス
範囲設定機構35によって、不正アクセスの対象となり
得るサーバが存在し得るネットワークアドレスの範囲を
設定する。
【0097】サーバアドレス検索機構36に於いて、メ
ッセージ送出機構361は、ユーザの入力操作により発
生する、若しくはプログラム上で定期的に発生する、サ
ーバの特定を指示する要求(REQ)に従い、ネットワ
ークアドレス範囲設定機構35に保持されたネットワー
クアドレスの範囲のすべてのネットワークアドレスに対
してデータ要求メッセージ(DRM)を送出する。
【0098】この際のデータ要求メッセージの具体例と
しては、エコーバックを提供するサービスに対するも
の、サーバのユーザやオペレーティングシステムに関す
る情報を提供するサービスに対するもの等を挙げること
ができる。
【0099】メッセージ受信機構362は、上記データ
要求メッセージ(DRM)を送出したネットワークアド
レスからの応答メッセージの受信を試み、受信できた場
合、そのネットワークアドレスをサーバアドレス保持機
構37へ登録する。このサーバアドレス保持機構37に
登録されたネットワークアドレスはサーバ特定機構38
に提供される。
【0100】サーバ特定機構38は、サーバアドレス保
持機構37に保持されたネットワークアドレスに対し
て、監視対象のネットワークセグメント(B)を介して
サーバにアクセスを行い、不正アクセスの対象となり得
るサーバのオペレーティングシステムの種類やサーバア
プリケーションプログラムの種類を特定し、その情報を
パケット解析機構34に提供する。この際のサーバ特定
機構38に於ける内部の構成および動作は、上記した第
2実施形態に於けるサーバ特定機構と同様であることか
ら、ここではその説明を省略する。
【0101】パケット解析機構34は、既知の不正アク
セスに関わるパケットのもつ特徴の一覧である不正アク
セス手段データベースと、不正アクセス手段データベー
スに格納された既知の不正アクセスに関わるパケットの
もつ特徴の一覧の中から、サーバ特定機構38が特定し
たオペレーティングシステムおよびサーバプリケーショ
ンプログラムをサーバのネットワークアドレスと対応付
けて保持するサーバ情報保持機構と、このサーバ情報保
持機構に保持されたオペレーティングシステムやサーバ
アプリケーションプログラムに関わるもののみを抽出す
る特徴抽出機構とをもち、特徴抽出機構が抽出した既知
の不正アクセスに関わるパケットのもつ特徴の一覧をも
とに、パケット受信部31Aで受信されパケット保留キ
ュー33に保留されたパケットが、不正アクセスに関わ
るパケットであるか否かを判定する。このパケット解析
機構34の内部の構成および動作は、上記した第2実施
形態に於けるパケット解析機構と同様であることから、
ここではその説明を省略する。
【0102】このようにして、利用者が不正アクセスの
対象となり得るサーバのオペレーティングシステムやサ
ーバアプリケーションプログラムの種類を登録すること
なく、また、サーバの追加や変更に応じて、登録したオ
ペレーティングシステムやサーバアプリケーションプロ
グラムに関する情報、サーバのネットワークアドレスに
関する情報等を追加したり変更したりする必要なく、不
正アクセスの対象となり得るサーバのオペレーティング
システムやサーバアプリケーションプログラムに関する
既知の不正アクセスに関わるパケットのもつ特徴の一覧
のみを検索することができる。これにより、不正アクセ
スの対象となり得るサーバのオペレーティングシステム
やサーバアプリケーションプログラムに関する既知の不
正アクセスに関わるパケットのもつ特徴の一覧のみを検
索する機能をユーザに面倒な作業負担を強いることなく
実現することができる。
【0103】尚、上記した各実施形態に於いては、不正
アクセス手段データベースに格納された、既知の不正ア
クセスに関わるパケットのもつ特徴の一覧から、不正ア
クセスの対象となり得るサーバのオペレーティングシス
テムおよびサーバアプリケーションプログラムに関わる
もののみを抽出し、その抽出された既知の不正アクセス
に関わるパケットをもつ特徴の一覧を参照して、受信パ
ケットが不正アクセスに関わるパケットであるか否かを
判定していたが、これに限らず、例えば、更に、他の不
正アクセスの対象となり得る特徴を含めた一覧、若しく
は不正アクセスの対象となり得るサーバのオペレーティ
ングシステム、サーバアプリケーションプログラムのい
ずれかみの特徴の一覧をもとに受信パケットが不正アク
セスに関わるパケットであるか否かを判定する構成であ
ってもよい。
【0104】
【発明の効果】以上詳記したように本発明によれば、不
正アクセスの対象となり得るサーバのオペレーティング
システムやサーバアプリケーションプログラムに関する
既知の不正アクセスに関わるパケットのもつ特徴の一覧
のみを参照して不正パケットの検索を行うことにより、
パケット解析にかかるCPUの処理負担を著しく軽減で
き、パケットの解析にかかる処理時間を大幅に短縮し
て、スループットを向上できる。
【0105】更に、本発明によれば、ユーザ(サーバ管
理者)に面倒な作業負担をかけることなく、常にネット
ワーク上のシステム構成に適合してサーバを不正アクセ
スから保護することができる。
【図面の簡単な説明】
【図1】本発明の第1実施形態に於ける不正アクセス検
知装置の構成を示すブロック図。
【図2】上記実施形態に於けるパケット解析機構の構成
を示すブロック図。
【図3】上記実施形態に於けるサーバ情報の一例を示す
図。
【図4】本発明の第2実施形態に於ける不正アクセス検
知装置の構成を示すブロック図。
【図5】上記第2実施形態に於けるパケット解析機構の
構成を示すブロック図。
【図6】上記第2実施形態に於けるサーバ特定機構の構
成を示すブロック図。
【図7】本発明の第3実施形態に於ける不正アクセス検
知装置の構成を示すブロック図。
【図8】上記第3実施形態に於けるサーバアドレス検索
機構の構成を示すブロック図。
【図9】従来の不正アクセス検知装置の構成を示すブロ
ック図。
【符号の説明】
10…不正アクセス検知装置 11A,11B…パケット受信部 12A,12B…パケット送出部 13…パケット保留キュー 14…パケット解析機構 15…サーバ情報設定機構 16…サーバ情報保持機構 141…不正アクセス手段データベース 142…特徴抽出機構 143…パケット解析処理機構 20…不正アクセス検知装置 21A,21B…パケット受信部 22A,22B…パケット送出部 23…パケット保留キュー 24…パケット解析機構 25…サーバアドレス設定機構 26…サーバアドレス保持機構 27…サーバ特定機構 241…不正アクセス手段データベース 242…特徴抽出機構 243…サーバ情報保持機構 244…パケット解析処理機構 271…メッセージ送出機構 272…メッセージ受信機構 273…応答メッセージ特徴データベース 30…不正アクセス検知装置 31A,31B…パケット受信部 32A,32B…パケット送出部 33…パケット保留キュー 34…パケット解析機構 35…ネットワークアドレス範囲設定機構 36…サーバアドレス検索機構 37…サーバアドレス保持機構 38…サーバ特定機構 361…メッセージ送出機構 362…メッセージ受信機構
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B085 AE00 5B089 GA11 GB02 KA06 KB13 KC47 KC53 5K030 GA15 HA08 HB14 HB18 HD03 HD06 KA01 KA07 LD17 LE16 5K033 AA08 CB08 DA06 DB12 DB16 DB18 DB20 EA06

Claims (11)

    【特許請求の範囲】
  1. 【請求項1】 既知の不正アクセスに関わるパケットの
    もつ特徴の一覧である不正アクセス手段データベースを
    参照して、受信パケットが不正アクセスに関わるパケッ
    トであるか否かを判定し、サーバを不正アクセスから保
    護する不正アクセス検知装置に於いて、 前記不正アクセス手段データベースに格納された、既知
    の不正アクセスに関わるパケットのもつ特徴の一覧か
    ら、不正アクセスの対象となり得るサーバのオペレーテ
    ィングシステムおよびサーバアプリケーションプログラ
    ム若しくはそのいずれかに関わるもののみを抽出する抽
    出手段と、 前記抽出手段で抽出された既知の不正アクセスに関わる
    パケットをもつ特徴の一覧を参照して前記受信したパケ
    ットが不正アクセスに関わるパケットであるか否かを判
    定する前記パケット解析機構とを具備したことを特徴と
    する不正アクセス検知装置。
  2. 【請求項2】 既知の不正アクセスに関わるパケットの
    もつ特徴の一覧である不正アクセス手段データベースを
    参照して、受信パケットが不正アクセスに関わるパケッ
    トであるか否かを判定し、サーバを不正アクセスから保
    護する不正アクセス検知装置に於いて、 不正アクセスの対象となり得るサーバのオペレーティン
    グシステムおよびサーバアプリケーションプログラム若
    しくはそのいずれかをサーバ情報として設定し保持する
    サーバ情報保持手段と、 前記サーバ情報保持手段に保持されたサーバ情報によ
    り、前記不正アクセス手段データベースに格納された、
    既知の不正アクセスに関わるパケットのもつ特徴の一覧
    から、前記サーバ情報に関わるもののみを抽出し、その
    抽出された既知の不正アクセスに関わるパケットをもつ
    特徴の一覧を参照して、受信パケットが不正アクセスに
    関わるパケットであるか否かを判定するパケット解析手
    段とを具備したことを特徴とする不正アクセス検知装
    置。
  3. 【請求項3】 既知の不正アクセスに関わるパケットの
    もつ特徴の一覧である不正アクセス手段データベースを
    参照して、受信パケットが不正アクセスに関わるパケッ
    トであるか否かを判定し、サーバを不正アクセスから保
    護する不正アクセス検知装置に於いて、 不正アクセスの対象となり得るサーバのネットワークア
    ドレスを設定するサーバアドレス設定手段と、 前記サーバアドレス設定手段で設定されたネットワーク
    アドレスをもとに前記サーバのオペレーティングシステ
    ムおよびサーバアプリケーションプログラム若しくはそ
    のいずれかを取得し、当該取得した情報をサーバ情報と
    して保持するサーバ情報保持手段と、 前記サーバ情報保持手段に保持されたサーバ情報によ
    り、前記不正アクセス手段データベースに格納された、
    既知の不正アクセスに関わるパケットのもつ特徴の一覧
    から、前記サーバ情報に関わるもののみを抽出し、その
    抽出された既知の不正アクセスに関わるパケットをもつ
    特徴の一覧を参照して、受信パケットが不正アクセスに
    関わるパケットであるか否かを判定するパケット解析手
    段とを具備したことを特徴とする不正アクセス検知装
    置。
  4. 【請求項4】 既知の不正アクセスに関わるパケットの
    もつ特徴の一覧である不正アクセス手段データベースを
    参照して、受信パケットが不正アクセスに関わるパケッ
    トであるか否かを判定し、サーバを不正アクセスから保
    護する不正アクセス検知装置に於いて、 予め設定されたネットワークアドレス範囲をもとにサー
    バにアクセスして、不正アクセスの対象となり得るサー
    バのネットワークアドレスを取得するネットワークアド
    レス取得手段と、 前記ネットワークアドレス取得手段で取得したネットワ
    ークアドレスをもとに前記サーバのオペレーティングシ
    ステムおよびサーバアプリケーションプログラム若しく
    はそのいずれかを取得し、当該取得した情報をサーバ情
    報として保持するサーバ情報保持手段と、 前記サーバ情報保持手段に保持されたサーバ情報によ
    り、前記不正アクセス手段データベースに格納された、
    既知の不正アクセスに関わるパケットのもつ特徴の一覧
    から、前記サーバ情報に関わるもののみを抽出し、その
    抽出された既知の不正アクセスに関わるパケットをもつ
    特徴の一覧を参照して、受信パケットが不正アクセスに
    関わるパケットであるか否かを判定するパケット解析手
    段とを具備したことを特徴とする不正アクセス検知装
    置。
  5. 【請求項5】 ネットワークセグメント上のパケットを
    受信するパケット受信部と、既知の不正アクセスに関わ
    るパケットのもつ特徴の一覧である不正アクセス手段デ
    ータベースをもち、前記不正アクセス手段データベース
    を参照して、前記パケット受信部で受信したパケット
    が、不正アクセスに関わるパケットであるか否かを判定
    するパケット解析機構とを具備する不正アクセス検知装
    置に於いて、 不正アクセスの対象となり得るサーバのオペレーティン
    グシステムの種類およびサーバアプリケーションプログ
    ラムの種類をサーバのネットワークアドレスと対応付け
    たサーバ情報を設定するサーバ情報設定機構と、 前記サーバ情報設定機構により設定されたサーバ情報を
    保持するサーバ情報保持機構と、 前記不正アクセス手段データベースに格納された既知の
    不正アクセスに関わるパケットのもつ特徴の一覧の中か
    ら、前記サーバ情報保持機構に保持されたサーバ情報に
    関わるもののみを抽出する特徴抽出機構とを具備し、 前記パケット受信部がパケットを受信した際に、前記パ
    ケット解析機構が、前記パケット受信部で受信したパケ
    ットの宛先であるネットワークアドレスに基づいて前記
    特徴抽出機構より抽出された一覧のみを参照して、前記
    パケット受信部で受信したパケットが不正アクセスに関
    わるパケットであるか否かを判定することを特徴とする
    不正アクセス検知装置。
  6. 【請求項6】 ネットワークセグメント上のパケットを
    受信するパケット受信部と、既知の不正アクセスに関わ
    るパケットのもつ特徴の一覧である不正アクセス手段デ
    ータベースをもち、前記不正アクセス手段データベース
    を参照して、前記パケット受信部で受信したパケット
    が、不正アクセスに関わるパケットであるか否かを判定
    するパケット解析機構とを具備する不正アクセス検知装
    置に於いて、 不正アクセスの対象となり得るサーバのネットワークア
    ドレスを予め設定するサーバアドレス設定機構と、 前記サーバアドレス設定機構で設定されたサーバのネッ
    トワークアドレスを保持するサーバアドレス保持機構
    と、 前記サーバアドレス保持機構に保持されたネットワーク
    アドレスに対して、監視対象のネットワークセグメント
    を介してサーバにアクセスを行い、不正アクセスの対象
    となり得るサーバのオペレーティングシステムの種類お
    よびサーバアプリケーションプログラムの種類を特定す
    るサーバ特定機構と、 前記サーバ特定機構によって特定された不正アクセスの
    対象となり得るサーバのネットワークアドレス、オペレ
    ーティングシステムの種類、およびサーバアプリケーシ
    ョンプログラムの種類を保持するサーバ情報保持機構
    と、 前記不正アクセス手段データベースに格納された既知の
    不正アクセスに関わるパケットのもつ特徴の一覧の中か
    ら、サーバ情報保持機構に保持されたネットワークアド
    レスをもつサーバのオペレーティングシステムおよびサ
    ーバアプリケーションプログラムに関わるもののみを抽
    出する特徴抽出機構とを具備し、 前記パケット受信部がパケットを受信した際に、前記パ
    ケット解析機構が、前記パケット受信部で受信したパケ
    ットの宛先であるネットワークアドレスに基づいて前記
    特徴抽出機構より抽出された一覧のみを参照して、前記
    パケット受信部で受信したパケットが不正アクセスに関
    わるパケットであるか否かを判定することを特徴とする
    不正アクセス検知装置。
  7. 【請求項7】 ネットワークセグメント上のパケットを
    受信するパケット受信部と、既知の不正アクセスに関わ
    るパケットのもつ特徴の一覧である不正アクセス手段デ
    ータベースをもち、前記不正アクセス手段データベース
    を参照して、前記パケット受信部で受信したパケット
    が、不正アクセスに関わるパケットであるか否かを判定
    するパケット解析機構とを具備する不正アクセス検知装
    置に於いて、 不正アクセスの対象となり得るサーバが存在するネット
    ワークアドレスの範囲を設定するネットワークアドレス
    範囲設定機構と、 前記ネットワークアドレス範囲設定機構によって設定さ
    れたネットワークアドレスの範囲内で、不正アクセスの
    対象となり得るサーバを、監視対象のネットワークセグ
    メントを介して検索し、検索の結果、発見されたサーバ
    のネットワークアドレス一覧を設定するサーバアドレス
    検索機構と、 前記サーバアドレス検索機構によって検索されたサーバ
    のネットワークアドレスを保持するサーバアドレス保持
    機構と、 前記サーバアドレス保持機構に保持されたネットワーク
    アドレスに対して、監視対象のネットワークセグメント
    を介して、サーバにアクセスを行い、不正アクセスの対
    象となり得るサーバのオペレーティングシステムの種類
    およびサーバアプリケーションプログラムの種類を特定
    するサーバ特定機構と、 前記サーバ特定機構により特定された不正アクセスの対
    象となり得るサーバのネットワークアドレス、オペレー
    ティングシステムの種類およびサーバアプリケーション
    プログラムの種類を保持するサーバ情報保持機構と、 前記不正アクセス手段データベースに格納された既知の
    不正アクセスに関わるパケットのもつ特徴の一覧の中か
    ら、前記サーバ特定機構により特定されたネットワーク
    アドレスをもつサーバのオペレーティングシステムおよ
    びサーバアプリケーションプログラムに関わるもののみ
    を抽出する特徴抽出機構とを具備し、 前記パケット受信部がパケットを受信した際に、前記パ
    ケット解析機構が、前記パケット受信部で受信したパケ
    ットの宛先であるネットワークアドレスに基づいて前記
    特徴抽出機構より抽出された一覧のみを参照して、前記
    パケット受信部で受信したパケットが不正アクセスに関
    わるパケットであるか否かを判定することを特徴とする
    不正アクセス検知装置。
  8. 【請求項8】 既知の不正アクセスに関わるパケットの
    もつ特徴の一覧である不正アクセス手段データベースを
    参照して、受信パケットが不正アクセスに関わるパケッ
    トであるか否かを判定し、サーバを不正アクセスから保
    護する不正アクセス検知方法に於いて、 前記不正アクセス手段データベースに格納された、既知
    の不正アクセスに関わるパケットのもつ特徴の一覧か
    ら、不正アクセスの対象となり得るサーバのオペレーテ
    ィングシステムおよびサーバアプリケーションプログラ
    ムの少なくともいずれかに関わるもののみを抽出し、そ
    の抽出された既知の不正アクセスに関わるパケットをも
    つ特徴の一覧を参照して、受信パケットが不正アクセス
    に関わるパケットであるか否かを判定することを特徴と
    する不正アクセス検知方法。
  9. 【請求項9】 既知の不正アクセスに関わるパケットの
    もつ特徴の一覧である不正アクセス手段データベースを
    参照して、受信パケットが不正アクセスに関わるパケッ
    トであるか否かを判定し、サーバを不正アクセスから保
    護する不正アクセス検知方法に於いて、 不正アクセスの対象となり得るサーバのオペレーティン
    グシステムおよびサーバアプリケーションプログラム若
    しくはそのいずれかをサーバ情報として設定し保持し
    て、前記サーバ情報により、前記不正アクセス手段デー
    タベースに格納された、既知の不正アクセスに関わるパ
    ケットのもつ特徴の一覧から、前記サーバ情報に関わる
    もののみを抽出し、その抽出された既知の不正アクセス
    に関わるパケットをもつ特徴の一覧を参照して、受信パ
    ケットが不正アクセスに関わるパケットであるか否かを
    判定することを特徴とする不正アクセス検知方法。
  10. 【請求項10】 既知の不正アクセスに関わるパケット
    のもつ特徴の一覧である不正アクセス手段データベース
    を参照して、受信パケットが不正アクセスに関わるパケ
    ットであるか否かを判定し、サーバを不正アクセスから
    保護する不正アクセス検知方法に於いて、 予め設定された、不正アクセスの対象となり得るサーバ
    のネットワークアドレスをもとに前記サーバのオペレー
    ティングシステムおよびサーバアプリケーションプログ
    ラム若しくはそのいずれかを取得し、当該取得した情報
    をサーバ情報として保持して、前記サーバ情報により、
    前記不正アクセス手段データベースに格納された、既知
    の不正アクセスに関わるパケットのもつ特徴の一覧か
    ら、前記サーバ情報に関わるもののみを抽出し、その抽
    出された既知の不正アクセスに関わるパケットをもつ特
    徴の一覧を参照して、受信パケットが不正アクセスに関
    わるパケットであるか否かを判定することを特徴とする
    不正アクセス検知方法。
  11. 【請求項11】 既知の不正アクセスに関わるパケット
    のもつ特徴の一覧である不正アクセス手段データベース
    を参照して、受信パケットが不正アクセスに関わるパケ
    ットであるか否かを判定し、サーバを不正アクセスから
    保護する不正アクセス検知方法に於いて、 予め設定されたネットワークアドレス範囲から不正アク
    セスの対象となり得るサーバのネットワークアドレスを
    取得し、当該取得したネットワークアドレスをもとに前
    記サーバのオペレーティングシステムおよびサーバアプ
    リケーションプログラム若しくはそのいずれかを取得
    し、サーバ情報として保持して、前記サーバ情報によ
    り、前記不正アクセス手段データベースに格納された、
    既知の不正アクセスに関わるパケットのもつ特徴の一覧
    から、前記サーバ情報に関わるもののみを抽出し、その
    抽出された既知の不正アクセスに関わるパケットをもつ
    特徴の一覧を参照して、受信パケットが不正アクセスに
    関わるパケットであるか否かを判定することを特徴とす
    る不正アクセス検知方法。
JP2002022485A 2002-01-30 2002-01-30 不正アクセス検知装置および不正アクセス検知方法 Pending JP2003223375A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002022485A JP2003223375A (ja) 2002-01-30 2002-01-30 不正アクセス検知装置および不正アクセス検知方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002022485A JP2003223375A (ja) 2002-01-30 2002-01-30 不正アクセス検知装置および不正アクセス検知方法

Publications (1)

Publication Number Publication Date
JP2003223375A true JP2003223375A (ja) 2003-08-08

Family

ID=27745463

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002022485A Pending JP2003223375A (ja) 2002-01-30 2002-01-30 不正アクセス検知装置および不正アクセス検知方法

Country Status (1)

Country Link
JP (1) JP2003223375A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005050935A1 (ja) * 2003-11-21 2005-06-02 Mitsubishi Denki Kabushiki Kaisha 侵入検知装置およびその方法
JP2007336551A (ja) * 2006-06-12 2007-12-27 Mitsubishi Electric Information Technology Centre Europa Bv 少なくとも1つのtcpデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法及びデバイス、その方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体、並びにコンピュータプログラム製品
JP2009232110A (ja) * 2008-03-21 2009-10-08 Fujitsu Ltd 通信監視装置、通信監視プログラム、および通信監視方法
US7609629B2 (en) 2005-04-06 2009-10-27 Alaxala Networks Corporation Network controller and control method with flow analysis and control function
JP2013168763A (ja) * 2012-02-15 2013-08-29 Hitachi Ltd セキュリティ監視システムおよびセキュリティ監視方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005050935A1 (ja) * 2003-11-21 2005-06-02 Mitsubishi Denki Kabushiki Kaisha 侵入検知装置およびその方法
US7609629B2 (en) 2005-04-06 2009-10-27 Alaxala Networks Corporation Network controller and control method with flow analysis and control function
US8358592B2 (en) 2005-04-06 2013-01-22 Alaxala Networks Corporation Network controller and control method with flow analysis and control function
JP2007336551A (ja) * 2006-06-12 2007-12-27 Mitsubishi Electric Information Technology Centre Europa Bv 少なくとも1つのtcpデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法及びデバイス、その方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体、並びにコンピュータプログラム製品
JP2013243694A (ja) * 2006-06-12 2013-12-05 Mitsubishi Electric R&D Centre Europe B.V. 少なくとも1つのtcpデータセグメントストリームをインラインコンテンツ解析にサブミットするための方法及びデバイス、その方法を実施するための1つ又は複数の命令シーケンスを保持するコンピュータ可読媒体、並びにコンピュータプログラム製品
JP2009232110A (ja) * 2008-03-21 2009-10-08 Fujitsu Ltd 通信監視装置、通信監視プログラム、および通信監視方法
JP2013168763A (ja) * 2012-02-15 2013-08-29 Hitachi Ltd セキュリティ監視システムおよびセキュリティ監視方法

Similar Documents

Publication Publication Date Title
US10044882B2 (en) Agent device, image-forming-device management system, image-forming-device management method, image-forming-device management program, and storage medium
US5919258A (en) Security system and method for computers connected to network
US7552478B2 (en) Network unauthorized access preventing system and network unauthorized access preventing apparatus
RU2685994C1 (ru) Способ оценки сетевой атаки, способ безопасной передачи данных сети и соответствующее устройство
US9444821B2 (en) Management server, communication cutoff device and information processing system
WO2018188558A1 (zh) 账号权限的识别方法及装置
CN114145004B (zh) 用于使用dns消息以选择性地收集计算机取证数据的系统及方法
EP2634989A1 (en) Mobile terminal to detect network attack and method thereof
US20080307529A1 (en) Method and Apparatus for Protecting Internet Privacy
JP5704517B2 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
CN108063833B (zh) Http dns解析报文处理方法及装置
CN109660552A (zh) 一种将地址跳变和WAF技术相结合的Web防御方法
CN112804222B (zh) 基于云部署的数据传输方法、装置、设备及存储介质
JP2003223375A (ja) 不正アクセス検知装置および不正アクセス検知方法
US20070245031A1 (en) ICAP processing of partial content to identify security issues
KR20050100143A (ko) P2p 유해 정보 차단 시스템 및 방법
CN113709136B (zh) 一种访问请求验证方法和装置
CN114205150B (zh) 容器环境的入侵防御方法及装置、电子设备、存储介质
JP5743822B2 (ja) 情報漏洩防止装置及び制限情報生成装置
JP2003006027A (ja) アクセス制御ポリシーの自動設定方法およびそのシステム
JP2004086241A (ja) コンピュータウィルス感染元検知システム
JP3685062B2 (ja) 不正アクセス監視方法および内部通信ネットワーク
CN107979611B (zh) 一种文件劫持的判定方法及装置
CN115996152B (zh) 安全防护方法、装置、设备及存储介质
CN114697380B (zh) 访问请求的重定向方法、系统、装置以及存储介质

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050301

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050428

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050712