JP2003309607A - アンチプロファイリング装置およびアンチプロファイリングプログラム - Google Patents
アンチプロファイリング装置およびアンチプロファイリングプログラムInfo
- Publication number
- JP2003309607A JP2003309607A JP2002115340A JP2002115340A JP2003309607A JP 2003309607 A JP2003309607 A JP 2003309607A JP 2002115340 A JP2002115340 A JP 2002115340A JP 2002115340 A JP2002115340 A JP 2002115340A JP 2003309607 A JP2003309607 A JP 2003309607A
- Authority
- JP
- Japan
- Prior art keywords
- information
- response
- communication
- packet
- received packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】 受信パケットの正当性を判定し、提供する情
報を制御して不正なアクセスを目的とした情報収集に対
して情報の漏洩を防ぐ、あるいは偽の情報を提供するア
ンチプロファイリング装置およびアンチプロファイリン
グプログラムを提供する。 【解決手段】 対応方法判定処理部15は、パケット取
得処理部14を介してパケットを受信し、判定ルール1
1に基づき受信パケットの処理方式を定める。次に、ブ
ラックリスト12と処理パケット履歴13を照合して受
信されたパケットの正当性判定を行う。判定結果に基づ
き、内部ネットワークから転送された正規の応答をパケ
ット受信処理部17を介して返す、最小限情報生成処理
部20により制限された情報を生成して応答する、擬似
返答生成処理部18により偽情報を生成して発信する、
あるいは応答しない、これらのいずれかを選択して処理
する。
報を制御して不正なアクセスを目的とした情報収集に対
して情報の漏洩を防ぐ、あるいは偽の情報を提供するア
ンチプロファイリング装置およびアンチプロファイリン
グプログラムを提供する。 【解決手段】 対応方法判定処理部15は、パケット取
得処理部14を介してパケットを受信し、判定ルール1
1に基づき受信パケットの処理方式を定める。次に、ブ
ラックリスト12と処理パケット履歴13を照合して受
信されたパケットの正当性判定を行う。判定結果に基づ
き、内部ネットワークから転送された正規の応答をパケ
ット受信処理部17を介して返す、最小限情報生成処理
部20により制限された情報を生成して応答する、擬似
返答生成処理部18により偽情報を生成して発信する、
あるいは応答しない、これらのいずれかを選択して処理
する。
Description
【0001】
【発明の属する技術分野】この発明は、コンピュータネ
ットワークにおける不正侵入を目的とした情報収集に対
して対抗処理を行うアンチプロファイリング装置および
アンチプロファイリングプログラムに関する。
ットワークにおける不正侵入を目的とした情報収集に対
して対抗処理を行うアンチプロファイリング装置および
アンチプロファイリングプログラムに関する。
【0002】
【従来の技術】近年、インターネットによるネットワー
クサービスが拡大し、多様なサービスを広く提供できる
ようになった。ネットワークサービスにより、HTTP
(Hyper Text Transfer Protocol)やFTP(File Tra
nsfer Protocol)によるWebページやファイル、SM
TP(Simple Mail Transfer Protocol) による電子メ
ールなど多様なリソースを広くユーザに提供できる反
面、ネットワークを介してユーザに情報を提供するサー
バは、常に不正侵入や攻撃によって被害を受ける危険に
さらされている。不正侵入は、事前に必要な情報を収集
する過程を経て行われることが多い。この情報収集によ
って侵入対象のサーバの設定ミスやソフトウェアの脆弱
な個所の情報を取得した上で不正侵入が試みられる。イ
ンターネット上には、多数の情報収集のためのツールが
公開されており、このようなツール、例えば、ポートス
キャンツールを使えば、誰でも、コンピュータやルータ
などネットワークに接続された機器の情報やサービスを
提供しているアプリケーションの名称やバージョンなど
の情報を簡単に知ることができ、不正侵入の手がかりと
することができる。
クサービスが拡大し、多様なサービスを広く提供できる
ようになった。ネットワークサービスにより、HTTP
(Hyper Text Transfer Protocol)やFTP(File Tra
nsfer Protocol)によるWebページやファイル、SM
TP(Simple Mail Transfer Protocol) による電子メ
ールなど多様なリソースを広くユーザに提供できる反
面、ネットワークを介してユーザに情報を提供するサー
バは、常に不正侵入や攻撃によって被害を受ける危険に
さらされている。不正侵入は、事前に必要な情報を収集
する過程を経て行われることが多い。この情報収集によ
って侵入対象のサーバの設定ミスやソフトウェアの脆弱
な個所の情報を取得した上で不正侵入が試みられる。イ
ンターネット上には、多数の情報収集のためのツールが
公開されており、このようなツール、例えば、ポートス
キャンツールを使えば、誰でも、コンピュータやルータ
などネットワークに接続された機器の情報やサービスを
提供しているアプリケーションの名称やバージョンなど
の情報を簡単に知ることができ、不正侵入の手がかりと
することができる。
【0003】これらの情報により情報収集の対象とした
機器の脆弱個所(弱点)がわかり、サービス妨害、不正
侵入などが可能になる。ポートスキャンツールの中でも
機能の多いnmap(Network Mapper)を使うと、ポー
トスキャンのほかにネットワークに接続された機器のT
CP/IP(Transmission Control Protocol/Internet
Protocol) スタックの実装の特徴(フィンガープリン
トと呼んでいる)を取得して、OS(オペレーティング
システム)やアプリケーションのバージョンなどの外部
に公開してない情報までも取得されてしまう。また、W
ebやFTPなど、外部の不特定多数に向けて必要な情
報を提供し、接続を許可しなければならないアプリケー
ションは、外部からの全ての接続要求に対して、正しく
返答している。これは、通常の通信に対しても、悪意の
ある通信に対してもそのアプリケーションの情報を公開
することになる。
機器の脆弱個所(弱点)がわかり、サービス妨害、不正
侵入などが可能になる。ポートスキャンツールの中でも
機能の多いnmap(Network Mapper)を使うと、ポー
トスキャンのほかにネットワークに接続された機器のT
CP/IP(Transmission Control Protocol/Internet
Protocol) スタックの実装の特徴(フィンガープリン
トと呼んでいる)を取得して、OS(オペレーティング
システム)やアプリケーションのバージョンなどの外部
に公開してない情報までも取得されてしまう。また、W
ebやFTPなど、外部の不特定多数に向けて必要な情
報を提供し、接続を許可しなければならないアプリケー
ションは、外部からの全ての接続要求に対して、正しく
返答している。これは、通常の通信に対しても、悪意の
ある通信に対してもそのアプリケーションの情報を公開
することになる。
【0004】従来、上述のような情報収集に対抗する手
段として、WebサーバなどTCPサービスの場合、コ
ネクション確立後にアプリケーションが提供する情報で
あるバナー返答を無効にしたり、バナー情報を制限した
りあるいは偽りの情報を返したりする方法が取られてい
る。また、普段使用しないアプリケーションを設定から
削除して通信を行わせないようにしたり、ネットワーク
に接続された機器にパケットが届く前にファイアウォー
ルで遮断するなどにより、情報の流出を防いでいる。
段として、WebサーバなどTCPサービスの場合、コ
ネクション確立後にアプリケーションが提供する情報で
あるバナー返答を無効にしたり、バナー情報を制限した
りあるいは偽りの情報を返したりする方法が取られてい
る。また、普段使用しないアプリケーションを設定から
削除して通信を行わせないようにしたり、ネットワーク
に接続された機器にパケットが届く前にファイアウォー
ルで遮断するなどにより、情報の流出を防いでいる。
【0005】
【発明が解決しようとする課題】しかしながら、上述の
ように、従来の情報流出を防ぐ方法では、高度な情報収
集機能を持つツールを用いると、容易にこれを回避して
目的の情報を収集することができるため、十分な効果を
上げることができないという問題があった。また、不特
定多数に向けて情報を提供している場合、攻撃者によっ
て取得された情報は、不正侵入の手がかりとして利用さ
れる恐れがある。さらに、ファイアウォールで通信を許
可しないネットワークに接続された機器への通信を遮断
して防御する場合、これは、一方で外部と通信できるコ
ンピュータ、アプリケーションを明らかにしているた
め、攻撃者に標的を絞り込むときに有利な情報を与えて
しまうことになる。また、このような情報からファイア
ウォール自身の設定不備や脆弱な部分が調べられて侵入
されるという問題があった。
ように、従来の情報流出を防ぐ方法では、高度な情報収
集機能を持つツールを用いると、容易にこれを回避して
目的の情報を収集することができるため、十分な効果を
上げることができないという問題があった。また、不特
定多数に向けて情報を提供している場合、攻撃者によっ
て取得された情報は、不正侵入の手がかりとして利用さ
れる恐れがある。さらに、ファイアウォールで通信を許
可しないネットワークに接続された機器への通信を遮断
して防御する場合、これは、一方で外部と通信できるコ
ンピュータ、アプリケーションを明らかにしているた
め、攻撃者に標的を絞り込むときに有利な情報を与えて
しまうことになる。また、このような情報からファイア
ウォール自身の設定不備や脆弱な部分が調べられて侵入
されるという問題があった。
【0006】この発明は、上記の点に鑑みてなされたも
ので、その目的は、受信されたパケットを解析してその
通信の正当性を判定し、信頼度に応じて提供する情報を
制御して不正侵入や攻撃の手がかりとなる情報を提供し
ない、あるいは偽の情報を提供して、攻撃を防ぐだけで
なく、攻撃者を混乱させるアンチプロファイリング装置
およびアンチプロファイリングプログラムを提供するこ
とにある。
ので、その目的は、受信されたパケットを解析してその
通信の正当性を判定し、信頼度に応じて提供する情報を
制御して不正侵入や攻撃の手がかりとなる情報を提供し
ない、あるいは偽の情報を提供して、攻撃を防ぐだけで
なく、攻撃者を混乱させるアンチプロファイリング装置
およびアンチプロファイリングプログラムを提供するこ
とにある。
【0007】
【課題を解決するための手段】上記の課題を解決するた
めに、請求項1に記載の発明は、あるネットワークに接
続された機器に向けた通信(受信パケット)に対する対
応方法を、通信の種類や内容と返答する側(管理側)の
管理方針を元に策定した安全性基準に基づいて設定した
判定ルールより、受信パケットに対する対応方法を決定
する対応方法決定手段と、受信パケットが正当な通信か
否かの度合いを判定して信頼度を求め、該信頼度に基づ
いて前記受信パケットに対する応答方法を定める正当性
判定手段と、前記対応方法決定手段と前記正当性判定手
段に基づき、応答する最小限の情報を生成して提供する
最小限情報返答手段と、偽情報を生成して提供する疑似
情報応答手段と、正規の情報を返答する無変更情報返答
手段と、まったく応答しない無応答手段とを具備するこ
とを特徴とするアンチプロファイリング装置である。
めに、請求項1に記載の発明は、あるネットワークに接
続された機器に向けた通信(受信パケット)に対する対
応方法を、通信の種類や内容と返答する側(管理側)の
管理方針を元に策定した安全性基準に基づいて設定した
判定ルールより、受信パケットに対する対応方法を決定
する対応方法決定手段と、受信パケットが正当な通信か
否かの度合いを判定して信頼度を求め、該信頼度に基づ
いて前記受信パケットに対する応答方法を定める正当性
判定手段と、前記対応方法決定手段と前記正当性判定手
段に基づき、応答する最小限の情報を生成して提供する
最小限情報返答手段と、偽情報を生成して提供する疑似
情報応答手段と、正規の情報を返答する無変更情報返答
手段と、まったく応答しない無応答手段とを具備するこ
とを特徴とするアンチプロファイリング装置である。
【0008】請求項2に記載の発明は、請求項1に記載
のアンチプロファイリング装置において、前記対応方法
決定手段にて使用される判定ルールは、最初に、即応す
るか、より安全を重視して対応するかなどの対応方針を
選択し、次に、正規の情報を返答する方式、最小限の情
報を提供する方式、情報を提供せず応答しない方式、偽
情報を提供する方式などの対応方式を選択することを特
徴とする。
のアンチプロファイリング装置において、前記対応方法
決定手段にて使用される判定ルールは、最初に、即応す
るか、より安全を重視して対応するかなどの対応方針を
選択し、次に、正規の情報を返答する方式、最小限の情
報を提供する方式、情報を提供せず応答しない方式、偽
情報を提供する方式などの対応方式を選択することを特
徴とする。
【0009】請求項3に記載の発明は、請求項1に記載
のアンチプロファイリング装置において、前記正当性判
定手段は、通信の正当性を不正アクセスの通信元のアド
レス、ポート番号などを記述したブラックリストに基づ
いて通信信頼度を求め、正常な通信、正常か否か明らか
でない通信、不正な通信に分類することを特徴とする。
のアンチプロファイリング装置において、前記正当性判
定手段は、通信の正当性を不正アクセスの通信元のアド
レス、ポート番号などを記述したブラックリストに基づ
いて通信信頼度を求め、正常な通信、正常か否か明らか
でない通信、不正な通信に分類することを特徴とする。
【0010】請求項4に記載の発明は、請求項1に記載
のアンチプロファイリング装置において、前記正当性判
定手段は、前記対応方法決定手段において選択された対
応方法と前記通信信頼度による分類の組み合わせに応じ
て、正規の通信と判断して正規の情報を返答する、最小
限の情報を提供する、応答しない、偽情報を提供する、
などの処理を選択することを特徴とする。
のアンチプロファイリング装置において、前記正当性判
定手段は、前記対応方法決定手段において選択された対
応方法と前記通信信頼度による分類の組み合わせに応じ
て、正規の通信と判断して正規の情報を返答する、最小
限の情報を提供する、応答しない、偽情報を提供する、
などの処理を選択することを特徴とする。
【0011】請求項5に記載の発明は、あるネットワー
クに接続された機器に向けた通信(受信パケット)に対
する対応方法を、通信の種類や内容と返答する側(管理
者側)の管理方針を元に策定した安全性基準に基づいて
設定した判定ルールに基づいて、受信パケットに対する
対応方法を判定するステップと、受信パケットの正当な
通信の度合いを判定して信頼度を求め、該信頼度に基づ
いて受信パケットに対する応答方法を定めるステップ
と、2つの該ステップによる決定に基づき、正規の情報
を返答する、応答する最小限の情報を生成して提供す
る、応答しない、あるいは偽情報を生成して提供するな
どの処理を行うステップとをコンピュータに実行させる
ためのアンチプロファイリングプログラムである。
クに接続された機器に向けた通信(受信パケット)に対
する対応方法を、通信の種類や内容と返答する側(管理
者側)の管理方針を元に策定した安全性基準に基づいて
設定した判定ルールに基づいて、受信パケットに対する
対応方法を判定するステップと、受信パケットの正当な
通信の度合いを判定して信頼度を求め、該信頼度に基づ
いて受信パケットに対する応答方法を定めるステップ
と、2つの該ステップによる決定に基づき、正規の情報
を返答する、応答する最小限の情報を生成して提供す
る、応答しない、あるいは偽情報を生成して提供するな
どの処理を行うステップとをコンピュータに実行させる
ためのアンチプロファイリングプログラムである。
【0012】
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を参照して説明する。図1は、同実施形態による
アンチプロファイリング装置10の構成を示すブロック
図である。同図において、14は、外部ネットワーク1
00を介して内部ネットワーク70に送られてきたパケ
ットを受信するパケット取得処理部である。11は、通
信の種類毎にパケットの処理方式を設定した判定ルール
であり、12は、通信を許可しない通信元のアドレス、
通信元のポート番号などを記述したブラックリストであ
る。ブラックリスト12は、記述する情報の取得期間に
より短期、中期、長期の3種類作成される。13は、ど
のパケットを処理しているか、少し前にどのようなパケ
ットを処理したかなどのパケットの取得・判定の履歴を
記述した処理パケット履歴である。
て図面を参照して説明する。図1は、同実施形態による
アンチプロファイリング装置10の構成を示すブロック
図である。同図において、14は、外部ネットワーク1
00を介して内部ネットワーク70に送られてきたパケ
ットを受信するパケット取得処理部である。11は、通
信の種類毎にパケットの処理方式を設定した判定ルール
であり、12は、通信を許可しない通信元のアドレス、
通信元のポート番号などを記述したブラックリストであ
る。ブラックリスト12は、記述する情報の取得期間に
より短期、中期、長期の3種類作成される。13は、ど
のパケットを処理しているか、少し前にどのようなパケ
ットを処理したかなどのパケットの取得・判定の履歴を
記述した処理パケット履歴である。
【0013】15は、入力された受信パケットの種類に
応じて、判定ルール11に基づき処理方式を定める対応
方法判定処理部である。また、対応方法判定処理部15
は、各処理方式に応じて、ブラックリスト12と処理パ
ケット履歴13を照合して受信されたパケットの正当性
判定を行い通信信頼度を求める。そして、求めた通信信
頼度に応じて受信パケットに対する応答方法を定める。
応答方法は、次の4つの方法から選択される。最小限情
報提供:通信要求などに対する応答内容から特徴的な情
報、冗長な情報を削除して送る、無応答:通信要求など
に対して、全く応答しない、処理なし:アンチプロファ
イリング処理をせずに通常どおりの応答を行う、偽情報
提供:通信要求などに対する応答内容に、ランダム、正
しい応答とは異なる形、あるいは有得ない異常な形の特
徴的な情報、冗長な情報を付加して応答する。
応じて、判定ルール11に基づき処理方式を定める対応
方法判定処理部である。また、対応方法判定処理部15
は、各処理方式に応じて、ブラックリスト12と処理パ
ケット履歴13を照合して受信されたパケットの正当性
判定を行い通信信頼度を求める。そして、求めた通信信
頼度に応じて受信パケットに対する応答方法を定める。
応答方法は、次の4つの方法から選択される。最小限情
報提供:通信要求などに対する応答内容から特徴的な情
報、冗長な情報を削除して送る、無応答:通信要求など
に対して、全く応答しない、処理なし:アンチプロファ
イリング処理をせずに通常どおりの応答を行う、偽情報
提供:通信要求などに対する応答内容に、ランダム、正
しい応答とは異なる形、あるいは有得ない異常な形の特
徴的な情報、冗長な情報を付加して応答する。
【0014】16は、正しい通信と判断された受信パケ
ットを内部ネットワーク70に転送するパケット転送処
理部である。17は、内部ネットワーク70から送られ
てきたパケットを受信するパケット受信処理部であり、
19は、入力されたパケットの送信処理を行い、外部ネ
ットワーク100へ送信するパケット返答処理部であ
る。18は、対応方法判定処理部15の指示に基づいて
偽情報を生成し、パケット返答処理部19に出力する擬
似返答生成処理部である。20は、サービス情報取得処
理部21と、パケット送受信処理部22と、サービス情
報フィルタ処理部23と、フィルタルール24とを備え
た最小限情報生成処理部である。
ットを内部ネットワーク70に転送するパケット転送処
理部である。17は、内部ネットワーク70から送られ
てきたパケットを受信するパケット受信処理部であり、
19は、入力されたパケットの送信処理を行い、外部ネ
ットワーク100へ送信するパケット返答処理部であ
る。18は、対応方法判定処理部15の指示に基づいて
偽情報を生成し、パケット返答処理部19に出力する擬
似返答生成処理部である。20は、サービス情報取得処
理部21と、パケット送受信処理部22と、サービス情
報フィルタ処理部23と、フィルタルール24とを備え
た最小限情報生成処理部である。
【0015】サービス情報取得処理部21は、対応方法
判定処理部15の指示に基づいて、パケット送受信処理
部22を介して、内部ネットワーク70に接続されたパ
ケットの送信先ホストから応答するサービス情報を取得
する。フィルタルール24は、外部に提供できない情報
と提供可能な情報を記述し、出力される情報を制限する
ルールである。サービス情報フィルタ処理部23は、取
得されたサービス情報をフィルタルール24に基づいて
フィルタリングし、限定されたサービス情報を生成す
る。
判定処理部15の指示に基づいて、パケット送受信処理
部22を介して、内部ネットワーク70に接続されたパ
ケットの送信先ホストから応答するサービス情報を取得
する。フィルタルール24は、外部に提供できない情報
と提供可能な情報を記述し、出力される情報を制限する
ルールである。サービス情報フィルタ処理部23は、取
得されたサービス情報をフィルタルール24に基づいて
フィルタリングし、限定されたサービス情報を生成す
る。
【0016】図2および図3は、アンチプロファイリン
グ装置10の設置例を示す図である。図2は、ネットワ
ークシステムにおけるアンチプロファイリング装置10
の配置例を示す。アンチプロファイリング装置10は、
内部ネットワークのファイアウォール50の前に、パケ
ットがアプリケーションに届くより前の位置に設置さ
れ、インターネット100を介して受信された全てのパ
ケットに対して統括して処理を行う。図3に示す配置例
では、アンチプロファイリング装置10は、端末60に
設置され、端末60内にあるアプリケーション向けに届
いた通信全てに対して処理を行う。図2および図3に示
すアンチプロファイリング装置10の処理方式に違いは
ない。
グ装置10の設置例を示す図である。図2は、ネットワ
ークシステムにおけるアンチプロファイリング装置10
の配置例を示す。アンチプロファイリング装置10は、
内部ネットワークのファイアウォール50の前に、パケ
ットがアプリケーションに届くより前の位置に設置さ
れ、インターネット100を介して受信された全てのパ
ケットに対して統括して処理を行う。図3に示す配置例
では、アンチプロファイリング装置10は、端末60に
設置され、端末60内にあるアプリケーション向けに届
いた通信全てに対して処理を行う。図2および図3に示
すアンチプロファイリング装置10の処理方式に違いは
ない。
【0017】以下、アンチプロファイリング装置10の
動作を説明する。図4は、アンチプロファイリング装置
10の処理フローを示す図である。図1および図4を参
照して説明する。先ず、パケット取得処理部14は、転
送されてきたパケットを受信して対応方法判定処理部1
5に出力する。対応方法判定処理部15は、入力された
パケットを解析して、プロトコルが異常かどうか判断す
る(ステップS110)。プロトコルに異常があり判断
結果がYESの場合、ステップS111に進み応答を返
さずステップS112に進む。応答履歴を保存する場合
(ステップS112:YES)、応答方式履歴25に記
録される。一方、プロトコルに異常がなくステップS1
10においてNOの場合、ステップS120で発信元の
IPアドレスをブラックリスト12−1と照合して調べ
る。許可されていないIPアドレスからの通信の場合、
ステップS111に進み、さらに、応答履歴を保存する
場合(ステップS112:YES)、応答方式履歴25
に記録される。
動作を説明する。図4は、アンチプロファイリング装置
10の処理フローを示す図である。図1および図4を参
照して説明する。先ず、パケット取得処理部14は、転
送されてきたパケットを受信して対応方法判定処理部1
5に出力する。対応方法判定処理部15は、入力された
パケットを解析して、プロトコルが異常かどうか判断す
る(ステップS110)。プロトコルに異常があり判断
結果がYESの場合、ステップS111に進み応答を返
さずステップS112に進む。応答履歴を保存する場合
(ステップS112:YES)、応答方式履歴25に記
録される。一方、プロトコルに異常がなくステップS1
10においてNOの場合、ステップS120で発信元の
IPアドレスをブラックリスト12−1と照合して調べ
る。許可されていないIPアドレスからの通信の場合、
ステップS111に進み、さらに、応答履歴を保存する
場合(ステップS112:YES)、応答方式履歴25
に記録される。
【0018】ステップS120において許可されている
IPアドレスと判断された場合(ステップS120:N
O)、ステップS130に進み応答方法について判定済
みか否か判断される。既に、受信したパケットと関係が
あり応答方法が判定されており、判断結果がYESのと
き、ステップS131において応答方式履歴25を参照
して判定済みの応答方法による処理を行う。ステップS
130でNOの場合、ステップS140に進み各ポート
に設定された判定ルールに基づき、パケットの接続要求
に応じてランダム処理を行うか、または定型処理を行う
か判断される。
IPアドレスと判断された場合(ステップS120:N
O)、ステップS130に進み応答方法について判定済
みか否か判断される。既に、受信したパケットと関係が
あり応答方法が判定されており、判断結果がYESのと
き、ステップS131において応答方式履歴25を参照
して判定済みの応答方法による処理を行う。ステップS
130でNOの場合、ステップS140に進み各ポート
に設定された判定ルールに基づき、パケットの接続要求
に応じてランダム処理を行うか、または定型処理を行う
か判断される。
【0019】ステップS140において、ランダム処理
に判断されると、ステップS161〜S164、S18
1〜S184のいずれかの処理がランダムに選択され
る。ここで、ステップS161が選択されたものとして
説明する。ステップS161は、安全を重視した情報無
提供方式であり、次に、正当性判定方式Aによって通信
信頼度が求められる。図5(A)に正当性判定方式Aの
処理の流れを示す。先ず、受信パケットのアドレス情報
がブラックリストに載っているか否か、長期ブラックリ
スト12−4と照合して判断される(ステップS20
1)。判断結果がYESの場合、不正接続A4と判定さ
れる。一方、ブラックリストに載っていない場合、ステ
ップS202に進み、処理パケット履歴13を参照して
関連する通信が記述されているか否か判断する。関連す
る通信が記述されてなくNOの場合、正常接続A1と判
断される。ステップS202の判断結果、YESの場
合、さらに、中期ブラックリストを照合して疑わしい接
続要求か否か判断して、正常接続A3、または疑わしい
接続A2に判定する。
に判断されると、ステップS161〜S164、S18
1〜S184のいずれかの処理がランダムに選択され
る。ここで、ステップS161が選択されたものとして
説明する。ステップS161は、安全を重視した情報無
提供方式であり、次に、正当性判定方式Aによって通信
信頼度が求められる。図5(A)に正当性判定方式Aの
処理の流れを示す。先ず、受信パケットのアドレス情報
がブラックリストに載っているか否か、長期ブラックリ
スト12−4と照合して判断される(ステップS20
1)。判断結果がYESの場合、不正接続A4と判定さ
れる。一方、ブラックリストに載っていない場合、ステ
ップS202に進み、処理パケット履歴13を参照して
関連する通信が記述されているか否か判断する。関連す
る通信が記述されてなくNOの場合、正常接続A1と判
断される。ステップS202の判断結果、YESの場
合、さらに、中期ブラックリストを照合して疑わしい接
続要求か否か判断して、正常接続A3、または疑わしい
接続A2に判定する。
【0020】正当性判定方式Aによって、正常接続A
1、A3と判定された場合、ステップS171に進み、
最小限情報生成処理部20に指示が出力される。また、
ステップS112において応答履歴を保存するか否か判
断され、保存する場合は、応答方式履歴25に記録され
る。最小限情報生成処理部20は対応方法判定処理部1
5からの指示を受けて接続先のホストから受信パケット
に対する応答を取得し、フィルタルール24に基づき応
答する情報をフィルタリングして、最小限情報を生成す
る。パケット返答処理部19は、この最小限情報をネッ
トワーク100に発信する。
1、A3と判定された場合、ステップS171に進み、
最小限情報生成処理部20に指示が出力される。また、
ステップS112において応答履歴を保存するか否か判
断され、保存する場合は、応答方式履歴25に記録され
る。最小限情報生成処理部20は対応方法判定処理部1
5からの指示を受けて接続先のホストから受信パケット
に対する応答を取得し、フィルタルール24に基づき応
答する情報をフィルタリングして、最小限情報を生成す
る。パケット返答処理部19は、この最小限情報をネッ
トワーク100に発信する。
【0021】一方、ステップS140において、定型処
理に判断されると、ステップS150で、さらに、即応
型処理を行うか、慎重型処理を行うか決定される。即応
型処理の場合、安全性を重視するか、サービス性を重視
するかなどにより、ステップS161〜164のいずれ
かの方式が選択される。ステップS161は、最も安全
を重視した情報無提供方式であり、ステップS162
は、サービスを重視した正規サービス重視方式である。
ステップS163は、不正接続に対抗する偽情報提供方
式であり、ステップS164は、標準としての最小限情
報提供方式である。ステップS161〜164に続くス
テップS165〜168では、応答に顕著な遅延を発生
させないように、判断アルゴリズムの簡潔な上述の正当
性判定方式Aが用いられる。
理に判断されると、ステップS150で、さらに、即応
型処理を行うか、慎重型処理を行うか決定される。即応
型処理の場合、安全性を重視するか、サービス性を重視
するかなどにより、ステップS161〜164のいずれ
かの方式が選択される。ステップS161は、最も安全
を重視した情報無提供方式であり、ステップS162
は、サービスを重視した正規サービス重視方式である。
ステップS163は、不正接続に対抗する偽情報提供方
式であり、ステップS164は、標準としての最小限情
報提供方式である。ステップS161〜164に続くス
テップS165〜168では、応答に顕著な遅延を発生
させないように、判断アルゴリズムの簡潔な上述の正当
性判定方式Aが用いられる。
【0022】ここで、ステップS162の正規サービス
重視方式が選択されたものとして説明する。ステップS
162が選択されると、正当性判定方式Aにより、通信
信頼度が判定される。判定の結果、正常接続A1、A3
の場合、ステップS170に進み、アンチプロファイリ
ング処理なしに、応答がパケット受信処理部17からパ
ケット返送処理部19を介して送信される。正当性判定
方式Aにより、疑わしい接続A2と判定された場合、ス
テップS171に進む。ステップS171において、最
小限情報の生成指示が最小限情報生成処理部20に出さ
れ、生成された最小限情報は、パケット返答処理部19
を介して送信される。また、不正接続A4と判定された
場合、ステップS169に進み、応答は返されない。
重視方式が選択されたものとして説明する。ステップS
162が選択されると、正当性判定方式Aにより、通信
信頼度が判定される。判定の結果、正常接続A1、A3
の場合、ステップS170に進み、アンチプロファイリ
ング処理なしに、応答がパケット受信処理部17からパ
ケット返送処理部19を介して送信される。正当性判定
方式Aにより、疑わしい接続A2と判定された場合、ス
テップS171に進む。ステップS171において、最
小限情報の生成指示が最小限情報生成処理部20に出さ
れ、生成された最小限情報は、パケット返答処理部19
を介して送信される。また、不正接続A4と判定された
場合、ステップS169に進み、応答は返されない。
【0023】次に、ステップS150において、慎重型
処理(ステップS180)が選択された場合について説
明する。慎重型処理の場合、安全性を重視するか、サー
ビス性を重視するかなどにより、ステップS181〜1
84のいずれかの方式が選択される。ステップS181
は、最小限情報提供方式であり、ステップS182は、
正規サービス重視方式である。ステップS183は、偽
情報提供方式であり、ステップS184は、安全を重視
した情報提供慎重方式である。ここで、ステップS18
1の最小限情報提供方式が選択されたものとして説明す
る。ステップS181〜184に続くステップS185
〜188では、応答速度よりも安全性を重視した判断ア
ルゴリズムの正当性判定方式Bが用いられる。正当性判
定方式Bの処理の流れを図5(B)に示す。ステップS
181に続き、ステップS185において正当性判定方
式Bにより通信信頼度が求められる。
処理(ステップS180)が選択された場合について説
明する。慎重型処理の場合、安全性を重視するか、サー
ビス性を重視するかなどにより、ステップS181〜1
84のいずれかの方式が選択される。ステップS181
は、最小限情報提供方式であり、ステップS182は、
正規サービス重視方式である。ステップS183は、偽
情報提供方式であり、ステップS184は、安全を重視
した情報提供慎重方式である。ここで、ステップS18
1の最小限情報提供方式が選択されたものとして説明す
る。ステップS181〜184に続くステップS185
〜188では、応答速度よりも安全性を重視した判断ア
ルゴリズムの正当性判定方式Bが用いられる。正当性判
定方式Bの処理の流れを図5(B)に示す。ステップS
181に続き、ステップS185において正当性判定方
式Bにより通信信頼度が求められる。
【0024】正当性判定方式Bは、先ず、受信パケット
のアドレス情報を長期ブラックリスト12−4と照合し
て、ブラックリストに載っているか否かを判断する(ス
テップS301)。判断結果がYESの場合、不正接続
B6と判断される。長期ブラックリスト12−4に載っ
ていない場合(ステップS301:NO)、ステップS
302で処理パケット履歴13を参照して関連通信の有
無を調べる。YESの場合は、ステップS303に進
み、短期ブラックリスト12−2と照合して疑わしい接
続B5か、あるいは正常接続B4かを判定する。
のアドレス情報を長期ブラックリスト12−4と照合し
て、ブラックリストに載っているか否かを判断する(ス
テップS301)。判断結果がYESの場合、不正接続
B6と判断される。長期ブラックリスト12−4に載っ
ていない場合(ステップS301:NO)、ステップS
302で処理パケット履歴13を参照して関連通信の有
無を調べる。YESの場合は、ステップS303に進
み、短期ブラックリスト12−2と照合して疑わしい接
続B5か、あるいは正常接続B4かを判定する。
【0025】ステップS302でNOの場合、100〜
1000ms位判断を保留した後、受信パケットを処理
パケット履歴13と照合する(ステップS305)。照
合結果がYESの場合、ステップS306に進み、短期
ブラックリスト12−2と照合して疑わしい接続B3
か、あるいは正常接続B2かを判定する。ステップS3
05においてNOの場合、正常接続B1と判定する。ス
テップS185の正当性判定により正常接続B1、B
2、B4と判定された場合、ステップS191に進み、
最小限情報生成処理部20に最小限情報生成の指示が出
力され、フィルタルール24によって制限された情報が
送出される。正当性判定により疑わしい接続B3、B5
または不正接続B6と判定された場合、ステップS18
9に進み、応答は返されない。
1000ms位判断を保留した後、受信パケットを処理
パケット履歴13と照合する(ステップS305)。照
合結果がYESの場合、ステップS306に進み、短期
ブラックリスト12−2と照合して疑わしい接続B3
か、あるいは正常接続B2かを判定する。ステップS3
05においてNOの場合、正常接続B1と判定する。ス
テップS185の正当性判定により正常接続B1、B
2、B4と判定された場合、ステップS191に進み、
最小限情報生成処理部20に最小限情報生成の指示が出
力され、フィルタルール24によって制限された情報が
送出される。正当性判定により疑わしい接続B3、B5
または不正接続B6と判定された場合、ステップS18
9に進み、応答は返されない。
【0026】図6は、上述の対応方法判定処理部15に
おける処理方法判断、正当性判定処理および処理内容の
組み合わせの一例を示す図である。同図における、処理
方法判断1は、ステップ140の処理であり、処理方法
判断2は、ステップS150の処理である。処理方法判
断2の即応型処理に続く処理方法判断3(ステップS1
60)では、情報無提供方式(ステップS161)、正
規サービス重視方式(ステップS162)、偽情報提供
方式(ステップS163)、最小限情報提供方式(S1
64)のいずれかの方式が選択される。
おける処理方法判断、正当性判定処理および処理内容の
組み合わせの一例を示す図である。同図における、処理
方法判断1は、ステップ140の処理であり、処理方法
判断2は、ステップS150の処理である。処理方法判
断2の即応型処理に続く処理方法判断3(ステップS1
60)では、情報無提供方式(ステップS161)、正
規サービス重視方式(ステップS162)、偽情報提供
方式(ステップS163)、最小限情報提供方式(S1
64)のいずれかの方式が選択される。
【0027】慎重型処理に対する処理方法判断3(ステ
ップS180)では、安全を重視した情報提供慎重方式
(ステップS184)、正規サービス重視方式(ステッ
プS182)、偽情報提供方式(ステップS183)、
最小限情報提供方式(ステップS181)のいずれかの
方式が選択される。正当性判定処理方式A,Bによる通
信信頼度判定結果は、正規(正常接続)、不明(疑わし
い接続)および不正(不正接続)に分類される。そし
て、この判定結果に応じて、最小限情報提供、無応答、
処理なし、偽情報提供のいずれかの応答処理が行われ
る。なお、判定ルール11に設定される処理方法判断、
正当性判定処理、処理内容の構成は、図6に示す構成に
限られるものではなく、ネットワーク管理者の判断によ
り、最適と考えられる構成を設定することができる。
ップS180)では、安全を重視した情報提供慎重方式
(ステップS184)、正規サービス重視方式(ステッ
プS182)、偽情報提供方式(ステップS183)、
最小限情報提供方式(ステップS181)のいずれかの
方式が選択される。正当性判定処理方式A,Bによる通
信信頼度判定結果は、正規(正常接続)、不明(疑わし
い接続)および不正(不正接続)に分類される。そし
て、この判定結果に応じて、最小限情報提供、無応答、
処理なし、偽情報提供のいずれかの応答処理が行われ
る。なお、判定ルール11に設定される処理方法判断、
正当性判定処理、処理内容の構成は、図6に示す構成に
限られるものではなく、ネットワーク管理者の判断によ
り、最適と考えられる構成を設定することができる。
【0028】次に、アンチプロファイリング装置10に
よる不正接続に対する具体的な処理例を図7〜12に示
す。図7は、攻撃者110がスキャニングツールによっ
てポートスキャンを行った状態を示す。ユーザ120に
対しては、正しい返答がなされるが、攻撃者110のス
キャニングに対しては、偽情報を返すなどして情報収集
を混乱させる。図8に示すように、攻撃者110は、D
NSなどを使用せずに直接IPアドレスを生成して、網
羅的にスキャニングを試みる方法が一般的である。例え
ば、nmapなどのスキャニングツールを用いて、大量
のIPアドレス、ポートに対してスキャニングをおこな
い、人手をかけずに攻撃対象の弱点の情報を得ようとす
る。アンチプロファイリング装置10は、このようなス
キャニング対象の全てのIPアドレス、ポート番号の応
答として偽情報を返すことによって対抗する。
よる不正接続に対する具体的な処理例を図7〜12に示
す。図7は、攻撃者110がスキャニングツールによっ
てポートスキャンを行った状態を示す。ユーザ120に
対しては、正しい返答がなされるが、攻撃者110のス
キャニングに対しては、偽情報を返すなどして情報収集
を混乱させる。図8に示すように、攻撃者110は、D
NSなどを使用せずに直接IPアドレスを生成して、網
羅的にスキャニングを試みる方法が一般的である。例え
ば、nmapなどのスキャニングツールを用いて、大量
のIPアドレス、ポートに対してスキャニングをおこな
い、人手をかけずに攻撃対象の弱点の情報を得ようとす
る。アンチプロファイリング装置10は、このようなス
キャニング対象の全てのIPアドレス、ポート番号の応
答として偽情報を返すことによって対抗する。
【0029】図9は、存在しないIPアドレス(アドレ
スB)、あるいは使用していないポートに対して通信が
発生した場合であり、明らかに不正アクセスのための事
前の情報収集が目的と解釈できるため、アンチプロファ
イリング装置10から偽情報を発信する。図10は、複
数のIPアドレスやポート番号に対して、短時間に連続
して通信が発生している場合であり、機械的にIPアド
レスを生成して、通信を試みている分かりやすい例であ
る。この場合は、存在しないIPアドレスやポートに対
する通信だけでなく、存在するIPアドレスやサービス
が行われているポート番号への通信もスキャンの一部で
あるため偽の情報を返す。
スB)、あるいは使用していないポートに対して通信が
発生した場合であり、明らかに不正アクセスのための事
前の情報収集が目的と解釈できるため、アンチプロファ
イリング装置10から偽情報を発信する。図10は、複
数のIPアドレスやポート番号に対して、短時間に連続
して通信が発生している場合であり、機械的にIPアド
レスを生成して、通信を試みている分かりやすい例であ
る。この場合は、存在しないIPアドレスやポートに対
する通信だけでなく、存在するIPアドレスやサービス
が行われているポート番号への通信もスキャンの一部で
あるため偽の情報を返す。
【0030】図11は、攻撃者110がスキャンツール
によってフィンガープリントを収集しようとしている例
である。スキャンツールから4つのスキャンパターンを
送り、フィンガープリント(Fingerprint)判別表に示
すように、その応答の組み合わせによってOSを判別す
る。この場合、アンチプロファイリング装置10からツ
ールが分析できないパターンになるような偽情報を返
し、スキャンツールを混乱、停止させる。図12は、ア
ンチプロファイリング装置10をファイアウォール50
とネットワーク100の間に設置する場合である。スキ
ャンに対してアンチプロファイリング装置10から偽情
報を返すか、あるいは応答しないことによってファイア
ウォール50の設定を隠蔽して情報を与えないようにす
る。
によってフィンガープリントを収集しようとしている例
である。スキャンツールから4つのスキャンパターンを
送り、フィンガープリント(Fingerprint)判別表に示
すように、その応答の組み合わせによってOSを判別す
る。この場合、アンチプロファイリング装置10からツ
ールが分析できないパターンになるような偽情報を返
し、スキャンツールを混乱、停止させる。図12は、ア
ンチプロファイリング装置10をファイアウォール50
とネットワーク100の間に設置する場合である。スキ
ャンに対してアンチプロファイリング装置10から偽情
報を返すか、あるいは応答しないことによってファイア
ウォール50の設定を隠蔽して情報を与えないようにす
る。
【0031】
【発明の効果】以上説明したように、本発明によれば、
受信パケットを解析してその通信の信頼度に応じて提供
する情報を制御するので、不正なアクセスに対して攻撃
の手がかりとなる情報の漏洩を防ぐことができる。ま
た、悪意で行った情報収集に対して不正確な情報を返す
ことによって情報収集を妨げ、スキャニングツールの判
断を混乱させることにより、情報収集の次の段階である
攻撃を抑制し、十分な防御を行うまで遅延させたり、あ
るいは回避することができるため管理下のネットワーク
のセキュリティを大幅に高めることができるという効果
が得られる。また、内部ネットワークへのアクセスに対
して一箇所で統括的に対処できるため、アプリケーショ
ンや端末毎に設定を管理する必要がなく、セキュリティ
システムの運用・管理コストを大幅に削減できるという
効果が得られる。
受信パケットを解析してその通信の信頼度に応じて提供
する情報を制御するので、不正なアクセスに対して攻撃
の手がかりとなる情報の漏洩を防ぐことができる。ま
た、悪意で行った情報収集に対して不正確な情報を返す
ことによって情報収集を妨げ、スキャニングツールの判
断を混乱させることにより、情報収集の次の段階である
攻撃を抑制し、十分な防御を行うまで遅延させたり、あ
るいは回避することができるため管理下のネットワーク
のセキュリティを大幅に高めることができるという効果
が得られる。また、内部ネットワークへのアクセスに対
して一箇所で統括的に対処できるため、アプリケーショ
ンや端末毎に設定を管理する必要がなく、セキュリティ
システムの運用・管理コストを大幅に削減できるという
効果が得られる。
【図1】 本発明の一実施の形態によるアンチプロフ
ァイリング装置のブロック図である。
ァイリング装置のブロック図である。
【図2】 同実施形態のアンチプロファイリング装置
をファイアウォールの前に設置した例を示す図である。
をファイアウォールの前に設置した例を示す図である。
【図3】 同実施形態のアンチプロファイリング装置
を端末に設置した例を示す図である。
を端末に設置した例を示す図である。
【図4】 アンチプロファイリング装置の処理フロー
を示す図である。
を示す図である。
【図5】 正当性判定方式A、Bのフローチャートで
ある。
ある。
【図6】 対応方法判定処理部の処理の組み合わせを
示す図である。
示す図である。
【図7】 本実施形態のアンチプロファイリング装置
の処理の例を示す図である。
の処理の例を示す図である。
【図8】 本実施形態のアンチプロファイリング装置
のポートスキャンに対する処理を示す図である。
のポートスキャンに対する処理を示す図である。
【図9】 本実施形態のアンチプロファイリング装置
の処理の例を示す図である。
の処理の例を示す図である。
【図10】 本実施形態のアンチプロファイリング装置
のポートスキャンに対する処理を示す図である。
のポートスキャンに対する処理を示す図である。
【図11】 本実施形態のアンチプロファイリング装置
のフインガープリント収集に対する処理を示す図であ
る。
のフインガープリント収集に対する処理を示す図であ
る。
【図12】 本実施形態のアンチプロファイリング装置
のファイアウォール隠蔽処理を示す図である。
のファイアウォール隠蔽処理を示す図である。
10 アンチプロファイリング装置
11 判定ルール
12、12−1〜4 ブラックリスト
13 処理パケット履歴
14 パケット取得処理部
15 対応方法判定処理部
16 パケット転送処理部
17 パケット受信処理部
18 擬似返答生成処理部
19 パケット返答処理部
20 最小限情報生成処理部
21 サービス情報取得処理部
22 パケット送受信処理部
23 サービス情報フィルタ処理部
24 フィルタルール
25 応答方式履歴
─────────────────────────────────────────────────────
フロントページの続き
(72)発明者 桑田 喜隆
東京都江東区豊洲三丁目3番3号 株式会
社エヌ・ティ・ティ・データ内
(72)発明者 田野島 慎一郎
東京都江東区豊洲三丁目3番3号 株式会
社エヌ・ティ・ティ・データ内
(72)発明者 キニ グレン マンスフィールド
宮城県仙台市青葉区南吉成六丁目6番地の
3 株式会社サイバー・ソリューションズ
内
Fターム(参考) 5K030 GA15 HA08 HB19 HC01 HC14
HD03 HD06
Claims (5)
- 【請求項1】 ネットワークに接続された機器に向けた
通信(受信パケット)に対する対応方法を、通信の種類
や内容と返答する側(管理側)の管理方針を元に策定し
た安全性基準に基づいて設定した判定ルールより、受信
パケットに対する対応方法を決定する対応方法決定手段
と、 受信パケットが正当な通信か否かの度合いを判定して信
頼度を求め、該信頼度に基づいて前記受信パケットに対
する応答方法を定める正当性判定手段と、 前記対応方法決定手段と前記正当性判定手段に基づき、
応答する最小限の情報を生成して提供する最小限情報返
答手段と、 偽情報を生成して提供する疑似情報応答手段と、 正規の情報を返答する無変更情報返答手段と、 まったく応答しない無応答手段と、 を具備することを特徴とするアンチプロファイリング装
置。 - 【請求項2】 前記対応方法決定手段にて使用される判
定ルールは、最初に、即応するか、より安全を重視して
対応するかなどの対応方針を選択し、次に、正規の情報
を返答する方式、最小限の情報を提供する方式、情報を
提供せず応答しない方式、偽情報を提供する方式などの
対応方式を選択することを特徴とする請求項1に記載の
アンチプロファイリング装置。 - 【請求項3】 前記正当性判定手段は、通信の正当性を
不正アクセスの通信元のアドレス、ポート番号などを記
述したブラックリストに基づいて通信信頼度を求め、正
常な通信、正常か否か明らかでない通信、不正な通信に
分類することを特徴とする請求項1に記載のアンチプロ
ファイリング装置。 - 【請求項4】 前記正当性判定手段は、前記対応方法決
定手段において選択された対応方法と前記通信信頼度に
よる分類の組み合わせに応じて、正規の通信と判断して
正規の情報を返答する、最小限の情報を提供する、応答
しない、偽情報を提供する、などの処理を選択すること
を特徴とする請求項1に記載のアンチプロファイリング
装置。 - 【請求項5】 あるネットワークに接続された機器に向
けた通信(受信パケット)に対する対応方法を、通信の
種類や内容と返答する側(管理者側)の管理方針を元に
策定した安全性基準に基づいて設定した判定ルールに基
づいて、受信パケットに対する対応方法を判定するステ
ップと、 受信パケットの正当な通信の度合いを判定して信頼度を
求め、該信頼度に基づいて受信パケットに対する応答方
法を定めるステップと、 2つの該ステップによる決定に基づき、正規の情報を返
答する、応答する最小限の情報を生成して提供する、応
答しない、あるいは偽情報を生成して提供するなどの処
理を行うステップと、 をコンピュータに実行させるためのアンチプロファイリ
ングプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002115340A JP3986871B2 (ja) | 2002-04-17 | 2002-04-17 | アンチプロファイリング装置およびアンチプロファイリングプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002115340A JP3986871B2 (ja) | 2002-04-17 | 2002-04-17 | アンチプロファイリング装置およびアンチプロファイリングプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003309607A true JP2003309607A (ja) | 2003-10-31 |
| JP3986871B2 JP3986871B2 (ja) | 2007-10-03 |
Family
ID=29396717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002115340A Expired - Lifetime JP3986871B2 (ja) | 2002-04-17 | 2002-04-17 | アンチプロファイリング装置およびアンチプロファイリングプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3986871B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009049601A (ja) * | 2007-08-16 | 2009-03-05 | Nippon Telegr & Teleph Corp <Ntt> | ナンバースキャンニング検知装置およびナンバースキャンニング検知プログラム |
| JP2010146337A (ja) * | 2008-12-19 | 2010-07-01 | Canon It Solutions Inc | 情報処理装置、情報処理方法、及びプログラム |
| US7958549B2 (en) | 2002-08-20 | 2011-06-07 | Nec Corporation | Attack defending system and attack defending method |
| JP2014183471A (ja) * | 2013-03-19 | 2014-09-29 | Ntt Data Corp | 通信制御装置、通信制御方法、通信制御プログラム |
| JP2015176579A (ja) * | 2014-03-18 | 2015-10-05 | 株式会社エヌ・ティ・ティ・データ | 通信制御装置、通信制御方法、及びプログラム |
| JP2016520237A (ja) * | 2013-06-01 | 2016-07-11 | ゼネラル・エレクトリック・カンパニイ | ハニーポートが有効なネットワークセキュリティ |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11168511A (ja) * | 1997-09-12 | 1999-06-22 | Lucent Technol Inc | パケット検証方法 |
| JP2000138703A (ja) * | 1998-10-30 | 2000-05-16 | Toshiba Corp | 情報提供装置及び記憶媒体 |
| JP2001313640A (ja) * | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
| JP2002007234A (ja) * | 2000-06-20 | 2002-01-11 | Mitsubishi Electric Corp | 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体 |
| JP2002007233A (ja) * | 2000-06-16 | 2002-01-11 | Ionos:Kk | 通信路のスイッチ接続制御装置 |
| WO2002019661A2 (en) * | 2000-09-01 | 2002-03-07 | Top Layer Networks, Inc. | System and process for defending against denial of service attacks on network nodes |
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| JP2003524925A (ja) * | 1998-12-09 | 2003-08-19 | ネットワーク アイス コーポレイション | ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 |
-
2002
- 2002-04-17 JP JP2002115340A patent/JP3986871B2/ja not_active Expired - Lifetime
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11168511A (ja) * | 1997-09-12 | 1999-06-22 | Lucent Technol Inc | パケット検証方法 |
| JP2000138703A (ja) * | 1998-10-30 | 2000-05-16 | Toshiba Corp | 情報提供装置及び記憶媒体 |
| JP2003524925A (ja) * | 1998-12-09 | 2003-08-19 | ネットワーク アイス コーポレイション | ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 |
| JP2001313640A (ja) * | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
| JP2002007233A (ja) * | 2000-06-16 | 2002-01-11 | Ionos:Kk | 通信路のスイッチ接続制御装置 |
| JP2002007234A (ja) * | 2000-06-20 | 2002-01-11 | Mitsubishi Electric Corp | 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体 |
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| WO2002019661A2 (en) * | 2000-09-01 | 2002-03-07 | Top Layer Networks, Inc. | System and process for defending against denial of service attacks on network nodes |
| JP2004507978A (ja) * | 2000-09-01 | 2004-03-11 | トップ レイヤー ネットワークス,インク. | ネットワークノードに対するサービス拒絶アタックに対抗するシステム及び方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7958549B2 (en) | 2002-08-20 | 2011-06-07 | Nec Corporation | Attack defending system and attack defending method |
| JP2009049601A (ja) * | 2007-08-16 | 2009-03-05 | Nippon Telegr & Teleph Corp <Ntt> | ナンバースキャンニング検知装置およびナンバースキャンニング検知プログラム |
| JP2010146337A (ja) * | 2008-12-19 | 2010-07-01 | Canon It Solutions Inc | 情報処理装置、情報処理方法、及びプログラム |
| JP2014183471A (ja) * | 2013-03-19 | 2014-09-29 | Ntt Data Corp | 通信制御装置、通信制御方法、通信制御プログラム |
| JP2016520237A (ja) * | 2013-06-01 | 2016-07-11 | ゼネラル・エレクトリック・カンパニイ | ハニーポートが有効なネットワークセキュリティ |
| JP2015176579A (ja) * | 2014-03-18 | 2015-10-05 | 株式会社エヌ・ティ・ティ・データ | 通信制御装置、通信制御方法、及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3986871B2 (ja) | 2007-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2115688B1 (en) | Correlation and analysis of entity attributes | |
| US7007302B1 (en) | Efficient management and blocking of malicious code and hacking attempts in a network environment | |
| EP2147390B1 (en) | Detection of adversaries through collection and correlation of assessments | |
| US20170257339A1 (en) | Logical / physical address state lifecycle management | |
| JP4490994B2 (ja) | ネットワークセキュリティデバイスにおけるパケット分類 | |
| US7904518B2 (en) | Apparatus and method for analyzing and filtering email and for providing web related services | |
| US7451489B2 (en) | Active network defense system and method | |
| EP2156361B1 (en) | Reduction of false positive reputations through collection of overrides from customer deployments | |
| US9123027B2 (en) | Social engineering protection appliance | |
| US20030065943A1 (en) | Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network | |
| US20040187032A1 (en) | Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators | |
| EP1681825A1 (en) | Network-based security platform | |
| US20080134300A1 (en) | Method for Improving Security of Computer Networks | |
| EP2115689A1 (en) | Multi-dimensional reputation scoring | |
| AU2005207632A1 (en) | Upper-level protocol authentication | |
| KR20080026122A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| Tritilanunt et al. | Entropy-based input-output traffic mode detection scheme for dos/ddos attacks | |
| KR20200109875A (ko) | 유해 ip 판단 방법 | |
| US8819285B1 (en) | System and method for managing network communications | |
| JP3986871B2 (ja) | アンチプロファイリング装置およびアンチプロファイリングプログラム | |
| JP3760919B2 (ja) | 不正アクセス防止方法、装置、プログラム | |
| CA2456902A1 (en) | Method, data carrier, computer system and computer programme for the identification and defence of attacks on server systems of network service providers and operators | |
| Amran et al. | Metrics for network forensics conviction evidence | |
| Upadhyay et al. | Security Flaw in TCP/IP and Proposed Measures | |
| Fleming et al. | Network intrusion and detection: An evaluation of snort |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050224 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060919 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061003 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070227 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070427 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070703 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070711 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3986871 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100720 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110720 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110720 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120720 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120720 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130720 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |