JP2004078602A - データ処理装置 - Google Patents
データ処理装置 Download PDFInfo
- Publication number
- JP2004078602A JP2004078602A JP2002238416A JP2002238416A JP2004078602A JP 2004078602 A JP2004078602 A JP 2004078602A JP 2002238416 A JP2002238416 A JP 2002238416A JP 2002238416 A JP2002238416 A JP 2002238416A JP 2004078602 A JP2004078602 A JP 2004078602A
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- data
- communication speed
- determined
- input data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】インターネット網等で不正なアクセスを行う者に気付かれることなく、不正アクセスによる通信を事実上制限するデータ処理装置を得ること。
【解決手段】インターネット網401で不正アクセス送信端末404が不正アクセス被害端末405に対して第1〜第Mのデータ処理装置4031〜403Mのいずれかを介して不正アクセスを行うと、そのデータ処理装置403内部の図示しない不正アクセス検知手段がこれを検知して同じく図示しない通信速度可変手段で通信速度を低下させ、不正アクセスの単位時間当たりの量を軽減させて不正アクセス被害端末405の被害の軽減を図る。不正アクセス送信端末404は通信そのものを遮断されないので、より攻撃的にはならず被害を最小限とすることができる。不正アクセス情報提供サーバ402と連携して不正アクセスを効果的に減少させることも可能である。
【選択図】 図4
【解決手段】インターネット網401で不正アクセス送信端末404が不正アクセス被害端末405に対して第1〜第Mのデータ処理装置4031〜403Mのいずれかを介して不正アクセスを行うと、そのデータ処理装置403内部の図示しない不正アクセス検知手段がこれを検知して同じく図示しない通信速度可変手段で通信速度を低下させ、不正アクセスの単位時間当たりの量を軽減させて不正アクセス被害端末405の被害の軽減を図る。不正アクセス送信端末404は通信そのものを遮断されないので、より攻撃的にはならず被害を最小限とすることができる。不正アクセス情報提供サーバ402と連携して不正アクセスを効果的に減少させることも可能である。
【選択図】 図4
Description
【0001】
【発明の属する技術分野】
本発明はインターネット等の各種ネットワークでデータの転送を行うデータ処理装置に係わり、特に特定の装置に不正アクセスを行うデータがネットワーク上に流された場合に、これによる受信側の装置の被害を最小限に抑えることのできるデータ処理装置に関する。
【0002】
【従来の技術】
インターネット等のネットワークを使用した通信が活発に行われている。これと共に、ネットワーク上の特定のサーバや通信端末に不正にアクセスする者が頻繁に登場するようになっている。ここで不正アクセスとは、通信システムを利用する者が、その者に与えられた権限によって許された行為以外の行為をネットワークを介して意図的に行うこと、あるいは悪意を持った第三者が、組織を攻撃するために不正な通信をWWW(World Wide Web)サーバ等の通信装置に対して行うことをいう。
【0003】
図5は、Dos(Denial of Service:拒否攻撃)アタックと呼ばれる不正アクセスの一例を示したものである。特定のホームページ(ウェブサイト)の機能をマヒさせる攻撃がそれである。このような攻撃は、特定のウェブサーバに対して、特定のホームページのアドレスを示すURL(Uniform Resource Locator)ならびにこれに関する命令や電子メール等のデータを大量に送りつけることで行われる。図では、攻撃者101が複数の踏み台とされるサーバ(以下、踏み台サーバという。)1021、……102Nを経由して、攻撃目標のサーバ(以下、標的サーバという。)103にURL等のデータを送りつけている。
【0004】
このように大量のURL等のデータを標的サーバ103に送りつけると、標的サーバ103はそれぞれのデータに対する処理が遅れてしまい、たとえば要求されたウェブページのデータを要求先に送り返すといった対応ができなくなってしまう。Dosアタックは、意図的にURL等のデータを大量にウェブサーバに送ってこれをダウンさせたり、処理の遅延によって事実上他の者が利用できなくする行為である。すなわち、標的サーバ103に格納されたウェブページを閲覧したり、ホームページ上でショッピング等の取引を行ったり、あるいは標的サーバ103を用いた電子メールの通信ができなくなる等の大きな影響が発生してしまう。また、踏み台サーバ1021、……102Nとして攻撃に使用されたサーバは、結果的に標的サーバ103の営業を妨害した加害者としての立場になり、濡れ衣を着せられてしまうという問題を生じさせる。
【0005】
そこで、ウェブサーバ等のデータ処理装置をこのような不正アクセスから防御するシステムが各種考案されている。たとえば不正アクセス検知システムでは、インターネットからの通信をチェックして、これが予め定められた不正アクセスの形式と合致しているかどうかの確認を行っている。そして、不正アクセスがあると判別した場合には、ウェブの管理者等にこれを通知するようにしている。また、このような不正アクセス検知システムの中には、管理者が不正アクセスへの対応を採るまでの間、それ自体の防御機能を用いて不正アクセスを防御するようにしたものも存在している。
【0006】
図6は、従来提案された不正アクセス検知システムの一例を示したものである。この例は、米国アイエスエス社のリアルセキュア・ネットワークセンサを用いたものである。データ処理装置121は、入力装置122より出力装置123に送出するための中継データ124を受け取るようになっている。データ処理装置121内には、不正アクセス検知手段125と、通信遮断手段126が設けられている。不正アクセス検知手段125は中継データ124における通信内容をチェックして、不正アクセスの有無を判別する。そして、不正アクセスの通信があった場合には、その通信を行った送信元を特定すると同時に、該当する不正アクセスの及ぼす危険度を決定するようになっている。
【0007】
一方、通信遮断手段126は入力手段122から中継データ124を受け取る。また、不正アクセス検知手段125から不正アクセスが行われた場合における不正アクセス通信の送信元を表わした不正アクセス情報128を受け取るようになっている。そして、不正アクセス通信の送信元に対応する中継データ124の中継を遮断する。通信遮断手段126は、中継データ124における不正アクセス通信と判別されたもの以外について通信を遮断せず、出力装置123に送出することになる。
【0008】
一方、特開2000−76191号公報ではWWWサーバに不正アクセスの予兆があった場合には、エンドユーザに対して警告文を掲示させると共にその事実がすでに記録されている場合はアクセスを遮断させるようにしている。
【0009】
また、特開2000−261483号公報では、外部ネットワークから企業内情報ネットワークへの不正アクセスを検出して、不正トラフィックを検出した場合にはアクセス元探知装置が偽装サーバに対して偽の応答をするようにしている。これにより、外部ネットワークから流入する不正パケットは偽装サーバに転送されるようになっている。
【0010】
更に特開20002−7234号公報では、不正検出サーバが受信したパケットに含まれる情報を分析して不正な目的を有するパケットを検出するようにしている。そして、不正パケットを受信したサーバまたはおとりサーバは、不正パケットの送信先に対して偽情報を送信し、不正パケットの送信をおとりサーバに対して行わせる。この点で特開2000−261483号公報と同じである。
【0011】
【発明が解決しようとする課題】
ところで、図6に示した不正アクセス検知システムでは不正アクセスを検知すると通信遮断手段126がこのアクセスを遮断していた。特開2000−76191号公報の提案もこの点で同一である。これらの提案では、アクセスが遮断されるので、不正アクセス者がアクセスを遮断されたことを直ちに把握することができる。このため不正アクセス者は他の経路を通って同様の不正アクセスを試みる。図5に示した例を使用すると、最初は踏み台サーバ1021を経由して標的サーバ103に不正にアクセスしていたとすると、他の踏み台サーバ102Nを経由して同様のアクセスを試みることになる。したがって、標的サーバ103へ到達する経路が複数存在し得るネットワークでは、イタチゴッコとなってしまい、本質的な解決とならない。
【0012】
また、このようにアクセスの遮断を行うと、正常な通信を誤って不正アクセスによるものであると判別したとき、その正常な通信までも誤って遮断してしまうという問題が発生する。不正アクセスをそれ以外のアクセスと完全に区別することは技術的に困難であり、このため不正アクセスと誤って判断すると本来必要な通信が行えなくなるという問題がある。
【0013】
一方、特開2000−261483号および特開20002−7234号公報では不正パケットの送信元に偽情報を送信し、送信元が偽装サーバまたはおとりサーバに送信を行うようにしている。これにより、送信元の不正アクセス者は送信自体を拒否されるわけではないのでアクセスを遮断されたことを把握するまでの時間を稼ぐことができる。しかしながら、図5に示したような中継サーバについて考えてみると、この中継サーバを偽装サーバまたはおとりサーバに置き換えることはできない。置き換えた段階で中継サーバとしての機能を果たすことができず、中継先のサーバにとっては経路を遮断されてしまうからである。したがって、正常な通信を誤って不正アクセスによるものであると判別したような場合には、必要なデータが送信先に送られなくなるといった問題が発生する。
【0014】
そこで本発明の目的は、不正なアクセスを行う者に気付かれることなく、不正アクセスによる通信を事実上制限することのできるデータ処理装置を提供することにある。
【0015】
【課題を解決するための手段】
請求項1記載の発明では、(イ)入力データが、特定の装置に対して、与えられた権限によって許された行為以外の行為をなす不正アクセスのためのデータであるか否かを予め定めた不正アクセス判断内容に従って判別する不正アクセス用データ有無判別手段と、(ロ)この不正アクセス用データ有無判別手段が不正アクセス用データであると判別した入力データに対して、この入力データを転送先に送出する際の通信速度を、不正アクセス用データでないと判別したときの通信速度よりも低下させる通信速度低下手段とをデータ処理装置に具備させる。
【0016】
すなわち請求項1記載の発明では、転送すべき入力データについて、不正アクセス用データ有無判別手段が、特定の装置に対して、与えられた権限によって許された行為以外の行為をなす不正アクセスのためのデータであるか否かを予め定めた不正アクセス判断内容に従って判別するようにしている。そして、その入力データを不正アクセスのためのデータであると判別した場合には、通信速度低下手段によって、転送先に送出する際の通信速度(単位時間当たりの通信量)を、不正アクセス用データでないと判別したときの通信速度よりも低下させることにしている。このように不正アクセスのためのデータについてはその転送時の通信速度を低下させるので、不正なアクセスを行う者は通信を遮断されたのと異なりこれに気付きにくく不正なアクセスを行う者を下手に挑発して被害を拡大させることがない。しかも不正アクセス用データの通信速度を低下させることによってメール爆弾等による攻撃相手の装置の負荷を低下させ、実害を少なくさせると共に必要な措置を採るまでの時間稼ぎを行うことができる。
【0017】
請求項2記載の発明では、(イ)入力データが、特定の装置に対して、与えられた権限によって許された行為以外の行為をなす不正アクセスのためのデータであるか否かを予め定めた不正アクセス判断内容に従って不正アクセスの危険度に応じて複数段階で判別する不正アクセス用データ有無判別手段と、(ロ)この不正アクセス用データ有無判別手段が不正アクセス用データであると判別した入力データに対して、この入力データを転送先に送出する際の通信速度を、不正アクセス用データでないと判別したときの通信速度よりも低下させ、かつ不正アクセスの危険度が高いほど通信速度をより低くする通信速度低下手段とをデータ処理装置に具備させる。
【0018】
すなわち請求項2記載の発明では、転送すべき入力データについて、不正アクセス用データ有無判別手段が、特定の装置に対して、与えられた権限によって許された行為以外の行為をなす不正アクセスのためのデータであるか否かを予め定めた不正アクセス判断内容に従って不正アクセスの危険度に応じて複数段階で判別するようにしている。そして、その入力データを不正アクセスのためのデータであると判別した場合には、通信速度低下手段によって、転送先に送出する際の通信速度を、不正アクセス用データでないと判別したときの通信速度よりも低下させると共に、不正アクセスの危険度が高いほど通信速度をより低くすることにしている。このように不正アクセスのためのデータについてはその転送時の通信速度を低下させるので、不正なアクセスを行う者は通信を遮断されたのと異なりこれに気付きにくく不正なアクセスを行う者を下手に挑発して被害を拡大させることがない。しかも不正アクセスの危険度が高いほど通信速度をより低くするので、危険度が高くなっても実害を少なくさせると共に必要な措置を採るまでの時間稼ぎを行うことができる。また、不正アクセスであると誤認するようなケースの場合には判別した危険度が小さい場合が多いので、通信速度を低下させたとしても実害を少なくすることができる。
【0019】
請求項3記載の発明では、請求項1または請求項2いずれかに記載のデータ処理装置が、(イ)不正アクセス用データ有無判別手段が不正アクセス用データであると判別したときその入力データの特徴と送信先を少なくとも記した不正アクセス情報を特定の不正アクセス情報提供サーバに送出する不正アクセス情報送出手段と、(ロ)この不正アクセス情報提供サーバから入力データの特徴と送信先が一致した他の不正アクセス情報を受信したとき通信速度低下手段の通信速度を更に低下させる通信速度低下加重手段とを更に具備する。
【0020】
すなわち請求項3記載の発明では、中継装置としてのデータ処理装置が不正アクセス情報提供サーバというネットワーク上のサーバと連携している。そして、それぞれのデータ処理装置が不正アクセス用データであると判別したときの入力データについてその特徴と送信先すなわち攻撃先を不正アクセス情報提供サーバに通知し、不正アクセス情報提供サーバが同一の特徴と送信先のものが存在する場合にはこれを該当するデータ処理装置に通知する。したがって、不正アクセス情報提供サーバから入力データの特徴と送信先が一致した他の不正アクセス情報を受信した場合には複数のデータ処理装置が同一の不正アクセスに加担している可能性が高くなるので、通信速度低下手段の通信速度を更に低下させ、入力データの送信先の実害を少なくさせるようにしている。
【0021】
請求項4記載の発明では、請求項3記載のデータ処理装置で、特定の不正アクセス情報提供サーバは、共通の時間帯で入力データの特徴と送信先が一致するものがあったとき、これに関する他の不正アクセス情報を送信してくることを特徴としている。
【0022】
すなわち請求項4記載の発明では、特定の不正アクセス情報提供サーバが、他のデータ処理装置が自己のデータ処理装置の送信した不正アクセス情報と入力データの特徴と送信先が一致するものを共通の時間帯で発生しているものとして送ってきたときには、同時に同一の不正アクセス情報が他のデータ処理装置でも存在しているので、通信速度低下手段の通信速度を更に低下させ、入力データの送信先の実害を少なくさせるようにしている。
【0023】
請求項5記載の発明では、請求項3記載のデータ処理装置で、特定の不正アクセス情報提供サーバは、不正アクセス情報送出手段によって送出した入力データの特徴と送信先が一致する過去の他の不正アクセス情報があったときこれを送信してくることを特徴としている。
【0024】
すなわち請求項5記載の発明では、特定の不正アクセス情報提供サーバが、他のデータ処理装置が自己のデータ処理装置の送信した不正アクセス情報と入力データの特徴と送信先が一致する過去のものを送ってきたときには、過去に同一の不正アクセス情報が他のデータ処理装置でも存在していたことが分かるので、通信速度低下手段の通信速度を更に低下させ、入力データの送信先の実害を少なくさせるようにしている。どの程度過去のものを特定の不正アクセス情報提供サーバが送ってくるかとか、不正アクセスが現在存在している状況でどの程度過去の不正アクセス情報をデータ処理装置側で参考にするかは不正アクセスを防止するシステムの構成上自由である。
【0025】
請求項6記載の発明では、請求項1〜請求項3いずれかに記載のデータ処理装置が、(イ)不正アクセス用データ有無判別手段が不正アクセス用データであると判別したとき、その入力データによって不正アクセスが行われる装置を判別する攻撃対象判別手段と、(ロ)この攻撃対象判別手段が判別した攻撃対象に警告を通知する警告通知手段とを更に具備する。
【0026】
すなわち請求項6記載の発明では、不正アクセスが行われている可能性があるときには攻撃対象判別手段で不正アクセスが行われる装置(入力データの送信先)を判別し、警告通知手段が攻撃対象に警告を通知することにしている。これにより攻撃対象側も必要な対策を採ることができる。
【0027】
【発明の実施の形態】
【0028】
【実施例】
以下実施例につき本発明を詳細に説明する。
【0029】
図1は本発明の一実施例におけるデータ処理装置を含む通信ネットワークの要部を示したものである。本実施例のデータ処理装置201は、入力装置202より出力装置203に送出するための中継データ204を受け取るようになっている。データ処理装置201内には、不正アクセス検知手段205と、この不正アクセス検知手段205の検知結果206を入力する通信速度決定手段207と、この通信速度決定手段207の決定した通信速度を表わした通信速度情報208を入力する通信速度可変手段209を備えている。通信速度可変手段209は、入力装置202から送られてきた中継データ204を入力して、その通信速度を通信速度情報208で示す値に調整するようになっている。通信速度可変手段209で通信速度を調整された中継データ211は宛先としての出力装置203に送られるようになっている。
【0030】
本実施例のデータ処理装置201は、図示しないCPU(中央処理装置)を搭載しており、同じく図示しないRAM(ランダム・アクセス・メモリ)や制御プログラムを格納した磁気ディスク等の記憶媒体を備えている。データ処理装置201の電源を投入すると、CPUは記憶媒体上に格納された制御プログラムの全部または一部をRAMに格納し、これを基にして制御プログラムが実行される。制御プログラムは、データの中継を行うデータ処理装置201としての本来の処理を実行するプログラム部分と、本実施例に特有な処理としての不正アクセスに対応する処理を実行するプログラム部分とに分けることができる。なお、図1ではデータの中継を行う本来の処理を実行する回路部分は不正アクセスに対応する回路部分を除いて図示を省略している。
【0031】
なお、通信速度可変手段209は通信速度情報208によって通信速度を調整するが、パケットデータの通信速度の制御を行うこのような装置はパケットシェイパあるいは帯域制限装置として各種製品化されているものを適宜使用することができる。パケットシェイパあるいは帯域制限装置は、ユーザやアプリケーションごとに所定の帯域を確保させるために使用されているものである。
【0032】
図2は、本実施例のデータ処理装置の中継動作の処理の流れを表わしたものである。図1に示したデータ処理装置201は、図示しないネットワーク上のいずれかの入力装置202からデータが受信され通信が開始されるのを待機している(ステップS301)。そして、通信が開始されたら(Y)、不正アクセス検知手段205はデータの内容をチェックする等の周知の手法を用いて不正アクセスの検知を行う(ステップS302)。この結果、不正アクセスではないと判断した場合(ステップS303:N)、不正アクセス検知手段205は通信速度可変手段209に特別の指示を行わない。そこでこの場合、通信速度可変手段209は通常の通信速度でそのデータを図1に示した出力装置203に送出することになる。
【0033】
一方、不正アクセス検知手段205が不正アクセスであると判別した場合には(ステップS303:Y)、不正アクセスの危険度に応じた通信速度の決定が行われる(ステップS304)。本実施例の不正アクセス検知手段205は不正アクセスの種別とそれぞれの危険度を判別している。たとえば株式会社インターネットセキュリティシステムズの販売するリアルセキュアでは、7層のOSI(Open System Interconnection)階層モデル・プロトコル分析と攻撃パターン・マッチングの組み合わせでこれらの判別を行う。本実施例の不正アクセス検知手段205はこの判別結果から危険度大、危険度中および危険度小の3種類の判別を行う。
【0034】
図3は不正アクセス検知手段に備えられている危険度・通信速度対応テーブルの内容を表わしたものである。危険度・通信速度対応テーブル231は、図2に示した不正アクセス検知手段205内の図示しない不揮発性メモリに格納されており、データ処理装置201内の回路装置の部分的な改造等に応じてその内容を適宜変更できるようになっている。危険度・通信速度対応テーブル231に現在設定されている通信速度は、不正アクセスの危険度が大きいとされるものについて8,000bps(bits per second:ビット/秒)に設定されるようになっている。また、その危険度が中の場合には160,000bpsとなっており、危険度が小の場合には320,000bpsとなっている。なお、この場合の通信速度可変手段209の通常の通信速度は640,000bpsとなっている。
【0035】
図2に戻って説明を続ける。ステップS304で不正アクセスの危険度に応じた通信速度が決定されたら、これを表わした通信速度情報208が通信速度可変手段209に入力される。通信速度可変手段209はこの通信速度情報208が入力されている間だけ、これによって表わされている通信速度に設定され、それ以外の通常の通信速度(この例の場合の640,000bps)は採用されない。すなわち、通信速度可変手段209は通信速度情報208によって指示された通信速度でデータを出力装置203に送出する制御を行う(ステップS305)。この通信速度の制御は、途中で通信速度情報208の内容が変更されない限り、入力装置202としての特定の宛先からの通信が終了するまで継続される(ステップS306)。そして、この入力装置202についての通信が終了したら(Y)、ステップS301に戻って次の入力装置202の通信開始を待機することになる。
【0036】
なお、データ処理装置201は、複数の入力装置202からのデータの中継処理を時分割で行ってもよいことは当然であり、この場合には不正アクセス検知手段205、通信速度決定手段207および通信速度可変手段209が時分割で前記した制御を繰り返すことになる。
【0037】
発明の変形例
【0038】
図4は本発明の変形例におけるデータ処理装置を含む通信ネットワークの要部を示したものである。この変形例のインターネット網401には不正アクセス情報を共有するための不正アクセス情報提供サーバ402と、第1〜第Mのデータ処理装置4031〜403Mが接続されている。ここで第1〜第Mのデータ処理装置4031〜403Mは先の実施例のデータ処理装置201と基本的に構成が同一である。不正アクセス送信端末404は先の実施例の入力装置202と同一であり、不正アクセスデータを送信する通信端末である。不正アクセス被害端末405は先の実施例の出力装置203と同一であり、不正アクセスの被害を受ける目標となる通信端末である。不正アクセス被害端末405は通常のパーソナルコンピュータと同一の構成の端末であってもよいし、サーバであってもよい。
【0039】
この変形例では、図5で説明した複数の踏み台サーバ1021、……102Nの一部を第1〜第Mのデータ処理装置4031〜403Mの2以上のものが構成している場合を取り扱っている。このような場合には、たとえば第1のデータ処理装置4031が不正アクセス中継データ204(図1参照)を受け取ったとき、これと同一時間帯で、あるいはそれよりも過去に、たとえば第Mのデータ処理装置403Mが同様に不正アクセス中継データ204を受け取っている。そこで、不正アクセス情報提供サーバ402と連携関係にある第1〜第Mのデータ処理装置4031〜403Mは、その不正アクセス検知手段205(図1参照)が不正アクセスを検知したとき、その不正アクセス中継データ204の特徴と送信先(最終の宛先あるいは転送先)を不正アクセス情報提供サーバ402に通知するようにしている。
【0040】
不正アクセス情報提供サーバ402では、これら不正アクセスについての通知があると、その図示しない記憶手段にこれらの通知を格納すると共に、現在あるいは過去の通知をサーチして、実質的に同一の不正アクセス中継データ204で同一の送信先(最終の宛先あるいは転送先)のものが存在している場合には、これらの不正アクセス参考データを、通知を送付した第1のデータ処理装置4031に送信する。第1のデータ処理装置4031は送られてきた不正アクセス参考データをチェックして、これを基に通信速度決定手段207が通信速度情報208を更に通信速度が低下したものに切り替える。これは、不正アクセスの事実がより明確になったためである。ただし、送られてきた不正アクセス参考データがたとえば1カ月前のものであったり、転送先のデータ処理装置403は一致するが最終転送先としての不正アクセス被害端末405が一致しないような場合には、通信速度を更に低下させる加重措置を採らないでもよい。
【0041】
なお、このように他の不正アクセス被害端末405でも同様に不正アクセスの事実が判別された場合あるいは単独で不正アクセスの判別を行った場合、そのデータ処理装置403(あるいは図1のデータ処理装置201)はその事実を不正アクセス被害端末405(あるいは図1の出力装置203)に警告として通知することは有効である。この警告を不正アクセス情報提供サーバ402が各種参考データを添付して不正アクセス被害端末405(あるいは図1の出力装置203)に行うことも可能である。
【0042】
また、実施例では不正アクセス検知手段205が不正アクセスによる危険度を3段階で検知(判別)するようにしたが、1段階の検知であってもよいし、2段階あるいは4段階以上の検知であってもよいことは当然である。更に通信速度可変手段209を使用して通信速度を1つの固定した速度に調整したが、不正アクセスの時間の経過を見て、これに応じて通信速度を更に低下させて行ったり、あるいは不正アクセスが判別されなくなったときには通信速度を徐々に高めたり不正アクセスがない状態と同一の速度に一気に回復させることも可能である。
【0043】
更に実施例および変形例では不正アクセスについてインターネット網を前提として説明したが、不正アクセスはあらゆるネットワークに対して行われており、CATV(Community Antenna TeleVision; CAble TeleVision)網や携帯電話網、LAN(ローカルエリアネットワーク)等のこれらすべてのネットワークに対して本発明を適用できることは当然である。
【0044】
【発明の効果】
以上説明したように請求項1および請求項2記載の発明によれば、通信速度低下手段によって、不正アクセスのためのデータについてはその転送時の通信速度を低下させるので、不正なアクセスを行う者は通信を遮断されたのと異なりこれに気付きにくく不正なアクセスを行う者を下手に挑発して被害を拡大させることがない。しかも不正アクセス用データの通信速度を低下させることによってメール爆弾等による攻撃相手の装置の負荷を低下させ、実害を少なくさせると共に必要な措置を採るまでの時間稼ぎを行うことができる。
【0045】
また請求項2記載の発明によれば、不正アクセスであると誤認するようなケースの場合には判別した危険度が小さい場合が多いので、通信速度を低下させたとしても実害を少なくすることができる。
【0046】
更に請求項3記載の発明によれば、中継装置としてのデータ処理装置が不正アクセス情報提供サーバというネットワーク上のサーバと連携することにしたので、不正アクセスであるかどうかを判断する不正アクセス判断内容についてサーバ側から常に最新かつ高度のものを提供することができるだけでなく、このようなサーバを使用したビジネスを成立させることもできる。
【0047】
また請求項4あるいは請求項5記載の発明によれば、特定の不正アクセス情報提供サーバは、不正アクセス情報送出手段によって送出した入力データの特徴と送信先が一致する不正アクセス情報を送るので、これを基にして他のサーバ等のデータ処理装置は不正アクセスの初期の段階でも適切な措置を採ることが可能になる。これにより、たとえば特定のサーバの内容を盗み出すためにアクセスするといったようなアクセスの頻度自体は少ないような不正アクセスに対しても過去または現在の不正アクセス情報を用いることで、高精度に不正アクセスの状況を検知することができる。
【0048】
更に請求項6記載の発明によれば、不正アクセスが行われている可能性があるときには攻撃対象判別手段で不正アクセスが行われる装置(入力データの送信先)を判別し、警告通知手段が攻撃対象に警告を通知することにしたので、攻撃対象側がこの通知を基にして必要な対策を採ることができる。
【図面の簡単な説明】
【図1】本発明の一実施例におけるデータ処理装置を含む通信ネットワークの要部を示したブロック図である。
【図2】本実施例のデータ処理装置の中継動作の処理の流れを表わした流れ図である。
【図3】本実施例で不正アクセス検知手段に備えられている危険度・通信速度対応テーブルの内容を表わした説明図である。
【図4】本発明の変形例におけるデータ処理装置を含む通信ネットワークの要部を示した概略構成図である。
【図5】拒否攻撃アタックと呼ばれる不正アクセスの一例を示した説明図である。
【図6】従来提案された不正アクセス検知システムの一例を示したブロック図である。
【符号の説明】
201、403 データ処理装置
202 入力装置
203 出力装置
204 中継データ
205 不正アクセス検知手段(不正アクセス用データ有無判別手段)
207 通信速度決定手段
209 通信速度可変手段(通信速度低下手段)
231 危険度・通信速度対応テーブル
401 インターネット網
402 不正アクセス情報提供サーバ
404 不正アクセス送信端末
405 不正アクセス被害端末
【発明の属する技術分野】
本発明はインターネット等の各種ネットワークでデータの転送を行うデータ処理装置に係わり、特に特定の装置に不正アクセスを行うデータがネットワーク上に流された場合に、これによる受信側の装置の被害を最小限に抑えることのできるデータ処理装置に関する。
【0002】
【従来の技術】
インターネット等のネットワークを使用した通信が活発に行われている。これと共に、ネットワーク上の特定のサーバや通信端末に不正にアクセスする者が頻繁に登場するようになっている。ここで不正アクセスとは、通信システムを利用する者が、その者に与えられた権限によって許された行為以外の行為をネットワークを介して意図的に行うこと、あるいは悪意を持った第三者が、組織を攻撃するために不正な通信をWWW(World Wide Web)サーバ等の通信装置に対して行うことをいう。
【0003】
図5は、Dos(Denial of Service:拒否攻撃)アタックと呼ばれる不正アクセスの一例を示したものである。特定のホームページ(ウェブサイト)の機能をマヒさせる攻撃がそれである。このような攻撃は、特定のウェブサーバに対して、特定のホームページのアドレスを示すURL(Uniform Resource Locator)ならびにこれに関する命令や電子メール等のデータを大量に送りつけることで行われる。図では、攻撃者101が複数の踏み台とされるサーバ(以下、踏み台サーバという。)1021、……102Nを経由して、攻撃目標のサーバ(以下、標的サーバという。)103にURL等のデータを送りつけている。
【0004】
このように大量のURL等のデータを標的サーバ103に送りつけると、標的サーバ103はそれぞれのデータに対する処理が遅れてしまい、たとえば要求されたウェブページのデータを要求先に送り返すといった対応ができなくなってしまう。Dosアタックは、意図的にURL等のデータを大量にウェブサーバに送ってこれをダウンさせたり、処理の遅延によって事実上他の者が利用できなくする行為である。すなわち、標的サーバ103に格納されたウェブページを閲覧したり、ホームページ上でショッピング等の取引を行ったり、あるいは標的サーバ103を用いた電子メールの通信ができなくなる等の大きな影響が発生してしまう。また、踏み台サーバ1021、……102Nとして攻撃に使用されたサーバは、結果的に標的サーバ103の営業を妨害した加害者としての立場になり、濡れ衣を着せられてしまうという問題を生じさせる。
【0005】
そこで、ウェブサーバ等のデータ処理装置をこのような不正アクセスから防御するシステムが各種考案されている。たとえば不正アクセス検知システムでは、インターネットからの通信をチェックして、これが予め定められた不正アクセスの形式と合致しているかどうかの確認を行っている。そして、不正アクセスがあると判別した場合には、ウェブの管理者等にこれを通知するようにしている。また、このような不正アクセス検知システムの中には、管理者が不正アクセスへの対応を採るまでの間、それ自体の防御機能を用いて不正アクセスを防御するようにしたものも存在している。
【0006】
図6は、従来提案された不正アクセス検知システムの一例を示したものである。この例は、米国アイエスエス社のリアルセキュア・ネットワークセンサを用いたものである。データ処理装置121は、入力装置122より出力装置123に送出するための中継データ124を受け取るようになっている。データ処理装置121内には、不正アクセス検知手段125と、通信遮断手段126が設けられている。不正アクセス検知手段125は中継データ124における通信内容をチェックして、不正アクセスの有無を判別する。そして、不正アクセスの通信があった場合には、その通信を行った送信元を特定すると同時に、該当する不正アクセスの及ぼす危険度を決定するようになっている。
【0007】
一方、通信遮断手段126は入力手段122から中継データ124を受け取る。また、不正アクセス検知手段125から不正アクセスが行われた場合における不正アクセス通信の送信元を表わした不正アクセス情報128を受け取るようになっている。そして、不正アクセス通信の送信元に対応する中継データ124の中継を遮断する。通信遮断手段126は、中継データ124における不正アクセス通信と判別されたもの以外について通信を遮断せず、出力装置123に送出することになる。
【0008】
一方、特開2000−76191号公報ではWWWサーバに不正アクセスの予兆があった場合には、エンドユーザに対して警告文を掲示させると共にその事実がすでに記録されている場合はアクセスを遮断させるようにしている。
【0009】
また、特開2000−261483号公報では、外部ネットワークから企業内情報ネットワークへの不正アクセスを検出して、不正トラフィックを検出した場合にはアクセス元探知装置が偽装サーバに対して偽の応答をするようにしている。これにより、外部ネットワークから流入する不正パケットは偽装サーバに転送されるようになっている。
【0010】
更に特開20002−7234号公報では、不正検出サーバが受信したパケットに含まれる情報を分析して不正な目的を有するパケットを検出するようにしている。そして、不正パケットを受信したサーバまたはおとりサーバは、不正パケットの送信先に対して偽情報を送信し、不正パケットの送信をおとりサーバに対して行わせる。この点で特開2000−261483号公報と同じである。
【0011】
【発明が解決しようとする課題】
ところで、図6に示した不正アクセス検知システムでは不正アクセスを検知すると通信遮断手段126がこのアクセスを遮断していた。特開2000−76191号公報の提案もこの点で同一である。これらの提案では、アクセスが遮断されるので、不正アクセス者がアクセスを遮断されたことを直ちに把握することができる。このため不正アクセス者は他の経路を通って同様の不正アクセスを試みる。図5に示した例を使用すると、最初は踏み台サーバ1021を経由して標的サーバ103に不正にアクセスしていたとすると、他の踏み台サーバ102Nを経由して同様のアクセスを試みることになる。したがって、標的サーバ103へ到達する経路が複数存在し得るネットワークでは、イタチゴッコとなってしまい、本質的な解決とならない。
【0012】
また、このようにアクセスの遮断を行うと、正常な通信を誤って不正アクセスによるものであると判別したとき、その正常な通信までも誤って遮断してしまうという問題が発生する。不正アクセスをそれ以外のアクセスと完全に区別することは技術的に困難であり、このため不正アクセスと誤って判断すると本来必要な通信が行えなくなるという問題がある。
【0013】
一方、特開2000−261483号および特開20002−7234号公報では不正パケットの送信元に偽情報を送信し、送信元が偽装サーバまたはおとりサーバに送信を行うようにしている。これにより、送信元の不正アクセス者は送信自体を拒否されるわけではないのでアクセスを遮断されたことを把握するまでの時間を稼ぐことができる。しかしながら、図5に示したような中継サーバについて考えてみると、この中継サーバを偽装サーバまたはおとりサーバに置き換えることはできない。置き換えた段階で中継サーバとしての機能を果たすことができず、中継先のサーバにとっては経路を遮断されてしまうからである。したがって、正常な通信を誤って不正アクセスによるものであると判別したような場合には、必要なデータが送信先に送られなくなるといった問題が発生する。
【0014】
そこで本発明の目的は、不正なアクセスを行う者に気付かれることなく、不正アクセスによる通信を事実上制限することのできるデータ処理装置を提供することにある。
【0015】
【課題を解決するための手段】
請求項1記載の発明では、(イ)入力データが、特定の装置に対して、与えられた権限によって許された行為以外の行為をなす不正アクセスのためのデータであるか否かを予め定めた不正アクセス判断内容に従って判別する不正アクセス用データ有無判別手段と、(ロ)この不正アクセス用データ有無判別手段が不正アクセス用データであると判別した入力データに対して、この入力データを転送先に送出する際の通信速度を、不正アクセス用データでないと判別したときの通信速度よりも低下させる通信速度低下手段とをデータ処理装置に具備させる。
【0016】
すなわち請求項1記載の発明では、転送すべき入力データについて、不正アクセス用データ有無判別手段が、特定の装置に対して、与えられた権限によって許された行為以外の行為をなす不正アクセスのためのデータであるか否かを予め定めた不正アクセス判断内容に従って判別するようにしている。そして、その入力データを不正アクセスのためのデータであると判別した場合には、通信速度低下手段によって、転送先に送出する際の通信速度(単位時間当たりの通信量)を、不正アクセス用データでないと判別したときの通信速度よりも低下させることにしている。このように不正アクセスのためのデータについてはその転送時の通信速度を低下させるので、不正なアクセスを行う者は通信を遮断されたのと異なりこれに気付きにくく不正なアクセスを行う者を下手に挑発して被害を拡大させることがない。しかも不正アクセス用データの通信速度を低下させることによってメール爆弾等による攻撃相手の装置の負荷を低下させ、実害を少なくさせると共に必要な措置を採るまでの時間稼ぎを行うことができる。
【0017】
請求項2記載の発明では、(イ)入力データが、特定の装置に対して、与えられた権限によって許された行為以外の行為をなす不正アクセスのためのデータであるか否かを予め定めた不正アクセス判断内容に従って不正アクセスの危険度に応じて複数段階で判別する不正アクセス用データ有無判別手段と、(ロ)この不正アクセス用データ有無判別手段が不正アクセス用データであると判別した入力データに対して、この入力データを転送先に送出する際の通信速度を、不正アクセス用データでないと判別したときの通信速度よりも低下させ、かつ不正アクセスの危険度が高いほど通信速度をより低くする通信速度低下手段とをデータ処理装置に具備させる。
【0018】
すなわち請求項2記載の発明では、転送すべき入力データについて、不正アクセス用データ有無判別手段が、特定の装置に対して、与えられた権限によって許された行為以外の行為をなす不正アクセスのためのデータであるか否かを予め定めた不正アクセス判断内容に従って不正アクセスの危険度に応じて複数段階で判別するようにしている。そして、その入力データを不正アクセスのためのデータであると判別した場合には、通信速度低下手段によって、転送先に送出する際の通信速度を、不正アクセス用データでないと判別したときの通信速度よりも低下させると共に、不正アクセスの危険度が高いほど通信速度をより低くすることにしている。このように不正アクセスのためのデータについてはその転送時の通信速度を低下させるので、不正なアクセスを行う者は通信を遮断されたのと異なりこれに気付きにくく不正なアクセスを行う者を下手に挑発して被害を拡大させることがない。しかも不正アクセスの危険度が高いほど通信速度をより低くするので、危険度が高くなっても実害を少なくさせると共に必要な措置を採るまでの時間稼ぎを行うことができる。また、不正アクセスであると誤認するようなケースの場合には判別した危険度が小さい場合が多いので、通信速度を低下させたとしても実害を少なくすることができる。
【0019】
請求項3記載の発明では、請求項1または請求項2いずれかに記載のデータ処理装置が、(イ)不正アクセス用データ有無判別手段が不正アクセス用データであると判別したときその入力データの特徴と送信先を少なくとも記した不正アクセス情報を特定の不正アクセス情報提供サーバに送出する不正アクセス情報送出手段と、(ロ)この不正アクセス情報提供サーバから入力データの特徴と送信先が一致した他の不正アクセス情報を受信したとき通信速度低下手段の通信速度を更に低下させる通信速度低下加重手段とを更に具備する。
【0020】
すなわち請求項3記載の発明では、中継装置としてのデータ処理装置が不正アクセス情報提供サーバというネットワーク上のサーバと連携している。そして、それぞれのデータ処理装置が不正アクセス用データであると判別したときの入力データについてその特徴と送信先すなわち攻撃先を不正アクセス情報提供サーバに通知し、不正アクセス情報提供サーバが同一の特徴と送信先のものが存在する場合にはこれを該当するデータ処理装置に通知する。したがって、不正アクセス情報提供サーバから入力データの特徴と送信先が一致した他の不正アクセス情報を受信した場合には複数のデータ処理装置が同一の不正アクセスに加担している可能性が高くなるので、通信速度低下手段の通信速度を更に低下させ、入力データの送信先の実害を少なくさせるようにしている。
【0021】
請求項4記載の発明では、請求項3記載のデータ処理装置で、特定の不正アクセス情報提供サーバは、共通の時間帯で入力データの特徴と送信先が一致するものがあったとき、これに関する他の不正アクセス情報を送信してくることを特徴としている。
【0022】
すなわち請求項4記載の発明では、特定の不正アクセス情報提供サーバが、他のデータ処理装置が自己のデータ処理装置の送信した不正アクセス情報と入力データの特徴と送信先が一致するものを共通の時間帯で発生しているものとして送ってきたときには、同時に同一の不正アクセス情報が他のデータ処理装置でも存在しているので、通信速度低下手段の通信速度を更に低下させ、入力データの送信先の実害を少なくさせるようにしている。
【0023】
請求項5記載の発明では、請求項3記載のデータ処理装置で、特定の不正アクセス情報提供サーバは、不正アクセス情報送出手段によって送出した入力データの特徴と送信先が一致する過去の他の不正アクセス情報があったときこれを送信してくることを特徴としている。
【0024】
すなわち請求項5記載の発明では、特定の不正アクセス情報提供サーバが、他のデータ処理装置が自己のデータ処理装置の送信した不正アクセス情報と入力データの特徴と送信先が一致する過去のものを送ってきたときには、過去に同一の不正アクセス情報が他のデータ処理装置でも存在していたことが分かるので、通信速度低下手段の通信速度を更に低下させ、入力データの送信先の実害を少なくさせるようにしている。どの程度過去のものを特定の不正アクセス情報提供サーバが送ってくるかとか、不正アクセスが現在存在している状況でどの程度過去の不正アクセス情報をデータ処理装置側で参考にするかは不正アクセスを防止するシステムの構成上自由である。
【0025】
請求項6記載の発明では、請求項1〜請求項3いずれかに記載のデータ処理装置が、(イ)不正アクセス用データ有無判別手段が不正アクセス用データであると判別したとき、その入力データによって不正アクセスが行われる装置を判別する攻撃対象判別手段と、(ロ)この攻撃対象判別手段が判別した攻撃対象に警告を通知する警告通知手段とを更に具備する。
【0026】
すなわち請求項6記載の発明では、不正アクセスが行われている可能性があるときには攻撃対象判別手段で不正アクセスが行われる装置(入力データの送信先)を判別し、警告通知手段が攻撃対象に警告を通知することにしている。これにより攻撃対象側も必要な対策を採ることができる。
【0027】
【発明の実施の形態】
【0028】
【実施例】
以下実施例につき本発明を詳細に説明する。
【0029】
図1は本発明の一実施例におけるデータ処理装置を含む通信ネットワークの要部を示したものである。本実施例のデータ処理装置201は、入力装置202より出力装置203に送出するための中継データ204を受け取るようになっている。データ処理装置201内には、不正アクセス検知手段205と、この不正アクセス検知手段205の検知結果206を入力する通信速度決定手段207と、この通信速度決定手段207の決定した通信速度を表わした通信速度情報208を入力する通信速度可変手段209を備えている。通信速度可変手段209は、入力装置202から送られてきた中継データ204を入力して、その通信速度を通信速度情報208で示す値に調整するようになっている。通信速度可変手段209で通信速度を調整された中継データ211は宛先としての出力装置203に送られるようになっている。
【0030】
本実施例のデータ処理装置201は、図示しないCPU(中央処理装置)を搭載しており、同じく図示しないRAM(ランダム・アクセス・メモリ)や制御プログラムを格納した磁気ディスク等の記憶媒体を備えている。データ処理装置201の電源を投入すると、CPUは記憶媒体上に格納された制御プログラムの全部または一部をRAMに格納し、これを基にして制御プログラムが実行される。制御プログラムは、データの中継を行うデータ処理装置201としての本来の処理を実行するプログラム部分と、本実施例に特有な処理としての不正アクセスに対応する処理を実行するプログラム部分とに分けることができる。なお、図1ではデータの中継を行う本来の処理を実行する回路部分は不正アクセスに対応する回路部分を除いて図示を省略している。
【0031】
なお、通信速度可変手段209は通信速度情報208によって通信速度を調整するが、パケットデータの通信速度の制御を行うこのような装置はパケットシェイパあるいは帯域制限装置として各種製品化されているものを適宜使用することができる。パケットシェイパあるいは帯域制限装置は、ユーザやアプリケーションごとに所定の帯域を確保させるために使用されているものである。
【0032】
図2は、本実施例のデータ処理装置の中継動作の処理の流れを表わしたものである。図1に示したデータ処理装置201は、図示しないネットワーク上のいずれかの入力装置202からデータが受信され通信が開始されるのを待機している(ステップS301)。そして、通信が開始されたら(Y)、不正アクセス検知手段205はデータの内容をチェックする等の周知の手法を用いて不正アクセスの検知を行う(ステップS302)。この結果、不正アクセスではないと判断した場合(ステップS303:N)、不正アクセス検知手段205は通信速度可変手段209に特別の指示を行わない。そこでこの場合、通信速度可変手段209は通常の通信速度でそのデータを図1に示した出力装置203に送出することになる。
【0033】
一方、不正アクセス検知手段205が不正アクセスであると判別した場合には(ステップS303:Y)、不正アクセスの危険度に応じた通信速度の決定が行われる(ステップS304)。本実施例の不正アクセス検知手段205は不正アクセスの種別とそれぞれの危険度を判別している。たとえば株式会社インターネットセキュリティシステムズの販売するリアルセキュアでは、7層のOSI(Open System Interconnection)階層モデル・プロトコル分析と攻撃パターン・マッチングの組み合わせでこれらの判別を行う。本実施例の不正アクセス検知手段205はこの判別結果から危険度大、危険度中および危険度小の3種類の判別を行う。
【0034】
図3は不正アクセス検知手段に備えられている危険度・通信速度対応テーブルの内容を表わしたものである。危険度・通信速度対応テーブル231は、図2に示した不正アクセス検知手段205内の図示しない不揮発性メモリに格納されており、データ処理装置201内の回路装置の部分的な改造等に応じてその内容を適宜変更できるようになっている。危険度・通信速度対応テーブル231に現在設定されている通信速度は、不正アクセスの危険度が大きいとされるものについて8,000bps(bits per second:ビット/秒)に設定されるようになっている。また、その危険度が中の場合には160,000bpsとなっており、危険度が小の場合には320,000bpsとなっている。なお、この場合の通信速度可変手段209の通常の通信速度は640,000bpsとなっている。
【0035】
図2に戻って説明を続ける。ステップS304で不正アクセスの危険度に応じた通信速度が決定されたら、これを表わした通信速度情報208が通信速度可変手段209に入力される。通信速度可変手段209はこの通信速度情報208が入力されている間だけ、これによって表わされている通信速度に設定され、それ以外の通常の通信速度(この例の場合の640,000bps)は採用されない。すなわち、通信速度可変手段209は通信速度情報208によって指示された通信速度でデータを出力装置203に送出する制御を行う(ステップS305)。この通信速度の制御は、途中で通信速度情報208の内容が変更されない限り、入力装置202としての特定の宛先からの通信が終了するまで継続される(ステップS306)。そして、この入力装置202についての通信が終了したら(Y)、ステップS301に戻って次の入力装置202の通信開始を待機することになる。
【0036】
なお、データ処理装置201は、複数の入力装置202からのデータの中継処理を時分割で行ってもよいことは当然であり、この場合には不正アクセス検知手段205、通信速度決定手段207および通信速度可変手段209が時分割で前記した制御を繰り返すことになる。
【0037】
発明の変形例
【0038】
図4は本発明の変形例におけるデータ処理装置を含む通信ネットワークの要部を示したものである。この変形例のインターネット網401には不正アクセス情報を共有するための不正アクセス情報提供サーバ402と、第1〜第Mのデータ処理装置4031〜403Mが接続されている。ここで第1〜第Mのデータ処理装置4031〜403Mは先の実施例のデータ処理装置201と基本的に構成が同一である。不正アクセス送信端末404は先の実施例の入力装置202と同一であり、不正アクセスデータを送信する通信端末である。不正アクセス被害端末405は先の実施例の出力装置203と同一であり、不正アクセスの被害を受ける目標となる通信端末である。不正アクセス被害端末405は通常のパーソナルコンピュータと同一の構成の端末であってもよいし、サーバであってもよい。
【0039】
この変形例では、図5で説明した複数の踏み台サーバ1021、……102Nの一部を第1〜第Mのデータ処理装置4031〜403Mの2以上のものが構成している場合を取り扱っている。このような場合には、たとえば第1のデータ処理装置4031が不正アクセス中継データ204(図1参照)を受け取ったとき、これと同一時間帯で、あるいはそれよりも過去に、たとえば第Mのデータ処理装置403Mが同様に不正アクセス中継データ204を受け取っている。そこで、不正アクセス情報提供サーバ402と連携関係にある第1〜第Mのデータ処理装置4031〜403Mは、その不正アクセス検知手段205(図1参照)が不正アクセスを検知したとき、その不正アクセス中継データ204の特徴と送信先(最終の宛先あるいは転送先)を不正アクセス情報提供サーバ402に通知するようにしている。
【0040】
不正アクセス情報提供サーバ402では、これら不正アクセスについての通知があると、その図示しない記憶手段にこれらの通知を格納すると共に、現在あるいは過去の通知をサーチして、実質的に同一の不正アクセス中継データ204で同一の送信先(最終の宛先あるいは転送先)のものが存在している場合には、これらの不正アクセス参考データを、通知を送付した第1のデータ処理装置4031に送信する。第1のデータ処理装置4031は送られてきた不正アクセス参考データをチェックして、これを基に通信速度決定手段207が通信速度情報208を更に通信速度が低下したものに切り替える。これは、不正アクセスの事実がより明確になったためである。ただし、送られてきた不正アクセス参考データがたとえば1カ月前のものであったり、転送先のデータ処理装置403は一致するが最終転送先としての不正アクセス被害端末405が一致しないような場合には、通信速度を更に低下させる加重措置を採らないでもよい。
【0041】
なお、このように他の不正アクセス被害端末405でも同様に不正アクセスの事実が判別された場合あるいは単独で不正アクセスの判別を行った場合、そのデータ処理装置403(あるいは図1のデータ処理装置201)はその事実を不正アクセス被害端末405(あるいは図1の出力装置203)に警告として通知することは有効である。この警告を不正アクセス情報提供サーバ402が各種参考データを添付して不正アクセス被害端末405(あるいは図1の出力装置203)に行うことも可能である。
【0042】
また、実施例では不正アクセス検知手段205が不正アクセスによる危険度を3段階で検知(判別)するようにしたが、1段階の検知であってもよいし、2段階あるいは4段階以上の検知であってもよいことは当然である。更に通信速度可変手段209を使用して通信速度を1つの固定した速度に調整したが、不正アクセスの時間の経過を見て、これに応じて通信速度を更に低下させて行ったり、あるいは不正アクセスが判別されなくなったときには通信速度を徐々に高めたり不正アクセスがない状態と同一の速度に一気に回復させることも可能である。
【0043】
更に実施例および変形例では不正アクセスについてインターネット網を前提として説明したが、不正アクセスはあらゆるネットワークに対して行われており、CATV(Community Antenna TeleVision; CAble TeleVision)網や携帯電話網、LAN(ローカルエリアネットワーク)等のこれらすべてのネットワークに対して本発明を適用できることは当然である。
【0044】
【発明の効果】
以上説明したように請求項1および請求項2記載の発明によれば、通信速度低下手段によって、不正アクセスのためのデータについてはその転送時の通信速度を低下させるので、不正なアクセスを行う者は通信を遮断されたのと異なりこれに気付きにくく不正なアクセスを行う者を下手に挑発して被害を拡大させることがない。しかも不正アクセス用データの通信速度を低下させることによってメール爆弾等による攻撃相手の装置の負荷を低下させ、実害を少なくさせると共に必要な措置を採るまでの時間稼ぎを行うことができる。
【0045】
また請求項2記載の発明によれば、不正アクセスであると誤認するようなケースの場合には判別した危険度が小さい場合が多いので、通信速度を低下させたとしても実害を少なくすることができる。
【0046】
更に請求項3記載の発明によれば、中継装置としてのデータ処理装置が不正アクセス情報提供サーバというネットワーク上のサーバと連携することにしたので、不正アクセスであるかどうかを判断する不正アクセス判断内容についてサーバ側から常に最新かつ高度のものを提供することができるだけでなく、このようなサーバを使用したビジネスを成立させることもできる。
【0047】
また請求項4あるいは請求項5記載の発明によれば、特定の不正アクセス情報提供サーバは、不正アクセス情報送出手段によって送出した入力データの特徴と送信先が一致する不正アクセス情報を送るので、これを基にして他のサーバ等のデータ処理装置は不正アクセスの初期の段階でも適切な措置を採ることが可能になる。これにより、たとえば特定のサーバの内容を盗み出すためにアクセスするといったようなアクセスの頻度自体は少ないような不正アクセスに対しても過去または現在の不正アクセス情報を用いることで、高精度に不正アクセスの状況を検知することができる。
【0048】
更に請求項6記載の発明によれば、不正アクセスが行われている可能性があるときには攻撃対象判別手段で不正アクセスが行われる装置(入力データの送信先)を判別し、警告通知手段が攻撃対象に警告を通知することにしたので、攻撃対象側がこの通知を基にして必要な対策を採ることができる。
【図面の簡単な説明】
【図1】本発明の一実施例におけるデータ処理装置を含む通信ネットワークの要部を示したブロック図である。
【図2】本実施例のデータ処理装置の中継動作の処理の流れを表わした流れ図である。
【図3】本実施例で不正アクセス検知手段に備えられている危険度・通信速度対応テーブルの内容を表わした説明図である。
【図4】本発明の変形例におけるデータ処理装置を含む通信ネットワークの要部を示した概略構成図である。
【図5】拒否攻撃アタックと呼ばれる不正アクセスの一例を示した説明図である。
【図6】従来提案された不正アクセス検知システムの一例を示したブロック図である。
【符号の説明】
201、403 データ処理装置
202 入力装置
203 出力装置
204 中継データ
205 不正アクセス検知手段(不正アクセス用データ有無判別手段)
207 通信速度決定手段
209 通信速度可変手段(通信速度低下手段)
231 危険度・通信速度対応テーブル
401 インターネット網
402 不正アクセス情報提供サーバ
404 不正アクセス送信端末
405 不正アクセス被害端末
Claims (6)
- 入力データが、特定の装置に対して、与えられた権限によって許された行為以外の行為をなす不正アクセスのためのデータであるか否かを予め定めた不正アクセス判断内容に従って判別する不正アクセス用データ有無判別手段と、
この不正アクセス用データ有無判別手段が不正アクセス用データであると判別した入力データに対して、この入力データを転送先に送出する際の通信速度を、不正アクセス用データでないと判別したときの通信速度よりも低下させる通信速度低下手段
とを具備することを特徴とするデータ処理装置。 - 入力データが、特定の装置に対して、与えられた権限によって許された行為以外の行為をなす不正アクセスのためのデータであるか否かを予め定めた不正アクセス判断内容に従って不正アクセスの危険度に応じて複数段階で判別する不正アクセス用データ有無判別手段と、
この不正アクセス用データ有無判別手段が不正アクセス用データであると判別した入力データに対して、この入力データを転送先に送出する際の通信速度を、不正アクセス用データでないと判別したときの通信速度よりも低下させ、かつ不正アクセスの危険度が高いほど通信速度をより低くする通信速度低下手段
とを具備することを特徴とするデータ処理装置。 - 前記不正アクセス用データ有無判別手段が不正アクセス用データであると判別したときその入力データの特徴と送信先を少なくとも記した不正アクセス情報を特定の不正アクセス情報提供サーバに送出する不正アクセス情報送出手段と、
この不正アクセス情報提供サーバから前記入力データの特徴と送信先が一致した他の不正アクセス情報を受信したとき前記通信速度低下手段の通信速度を更に低下させる通信速度低下加重手段
とを具備することを特徴とする請求項1または請求項2いずれかに記載のデータ処理装置。 - 前記特定の不正アクセス情報提供サーバは、共通の時間帯で前記入力データの特徴と送信先が一致するものがあったとき、これに関する他の不正アクセス情報を送信してくることを特徴とする請求項3記載のデータ処理装置。
- 前記特定の不正アクセス情報提供サーバは、前記不正アクセス情報送出手段によって送出した前記入力データの特徴と送信先が一致する過去の他の不正アクセス情報があったときこれを送信してくることを特徴とする請求項3記載のデータ処理装置。
- 前記不正アクセス用データ有無判別手段が不正アクセス用データであると判別したとき、その入力データによって不正アクセスが行われる装置を判別する攻撃対象判別手段と、
この攻撃対象判別手段が判別した攻撃対象に警告を通知する警告通知手段
とを具備することを特徴とする請求項1〜請求項3いずれかに記載のデータ処理装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002238416A JP2004078602A (ja) | 2002-08-19 | 2002-08-19 | データ処理装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002238416A JP2004078602A (ja) | 2002-08-19 | 2002-08-19 | データ処理装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004078602A true JP2004078602A (ja) | 2004-03-11 |
Family
ID=32021839
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002238416A Pending JP2004078602A (ja) | 2002-08-19 | 2002-08-19 | データ処理装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004078602A (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006080582A (ja) * | 2004-09-07 | 2006-03-23 | Kddi Corp | 有害トラフィックを制限する方法及び装置 |
JP2007074096A (ja) * | 2005-09-05 | 2007-03-22 | Hiroai Systems:Kk | 不正アクセス防止手段 |
JP2017098605A (ja) * | 2015-11-18 | 2017-06-01 | 日本電信電話株式会社 | 通信制御装置、通信制御方法、及びプログラム |
JP2018191268A (ja) * | 2017-04-28 | 2018-11-29 | エーオー カスペルスキー ラボAO Kaspersky Lab | DDoS攻撃の検出時のトラフィックフィルタリングのシステムおよび方法 |
JP2019140578A (ja) * | 2018-02-13 | 2019-08-22 | Kddi株式会社 | 優先度算出装置、優先度算出方法及び優先度算出プログラム |
-
2002
- 2002-08-19 JP JP2002238416A patent/JP2004078602A/ja active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006080582A (ja) * | 2004-09-07 | 2006-03-23 | Kddi Corp | 有害トラフィックを制限する方法及び装置 |
JP2007074096A (ja) * | 2005-09-05 | 2007-03-22 | Hiroai Systems:Kk | 不正アクセス防止手段 |
JP2017098605A (ja) * | 2015-11-18 | 2017-06-01 | 日本電信電話株式会社 | 通信制御装置、通信制御方法、及びプログラム |
JP2018191268A (ja) * | 2017-04-28 | 2018-11-29 | エーオー カスペルスキー ラボAO Kaspersky Lab | DDoS攻撃の検出時のトラフィックフィルタリングのシステムおよび方法 |
US10693907B2 (en) | 2017-04-28 | 2020-06-23 | AO Kaspersky Lab | System and method of traffic filtering upon detection of a DDoS attack |
US11025667B2 (en) | 2017-04-28 | 2021-06-01 | AO Kaspersky Lab | System and method for applying a plurality of interconnected filters to protect a computing device from a distributed denial-of-service attack |
JP2019140578A (ja) * | 2018-02-13 | 2019-08-22 | Kddi株式会社 | 優先度算出装置、優先度算出方法及び優先度算出プログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8321955B2 (en) | Systems and methods for protecting against denial of service attacks | |
KR100604604B1 (ko) | 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템 | |
US8161538B2 (en) | Stateful application firewall | |
EP2408166B1 (en) | Filtering method, system and network device therefor | |
US7797436B2 (en) | Network intrusion prevention by disabling a network interface | |
KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
JP3618245B2 (ja) | ネットワーク監視システム | |
JP4581104B2 (ja) | ネットワークセキュリティシステム | |
JP2008146660A (ja) | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム | |
CN101529862A (zh) | 利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置 | |
WO2008001972A1 (en) | Method for proactively preventing wireless attacks and apparatus thereof | |
US8359634B2 (en) | Method and system to optimize efficiency when managing lists of untrusted network sites | |
WO2003015373A1 (en) | Method and apparatus for detecting improper intrusions from a network into information systems | |
KR20080026122A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
JP2002007234A (ja) | 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体 | |
JP2004140524A (ja) | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム | |
JPWO2003027858A1 (ja) | コンテンツサーバ防衛システム | |
JP5727991B2 (ja) | ユーザ端末、不正サイト情報管理サーバ、不正リクエスト遮断方法、及び不正リクエスト遮断プログラム | |
JP2004078602A (ja) | データ処理装置 | |
JP2003099339A (ja) | 侵入検知・防御装置及びプログラム | |
JP2005134972A (ja) | ファイアウォール装置 | |
JP2003258795A (ja) | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム | |
JP2003333092A (ja) | ネットワークシステム、攻撃パケット追跡方法および攻撃パケット防御方法 | |
Houmer et al. | A hybrid intrusion detection system against egoistic and malicious nodes in VANET | |
JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 |