JP2004266483A - 不正アクセス防止方法、装置、プログラム - Google Patents

不正アクセス防止方法、装置、プログラム Download PDF

Info

Publication number
JP2004266483A
JP2004266483A JP2003053591A JP2003053591A JP2004266483A JP 2004266483 A JP2004266483 A JP 2004266483A JP 2003053591 A JP2003053591 A JP 2003053591A JP 2003053591 A JP2003053591 A JP 2003053591A JP 2004266483 A JP2004266483 A JP 2004266483A
Authority
JP
Japan
Prior art keywords
access
communication packet
unauthorized
host
unauthorized access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003053591A
Other languages
English (en)
Other versions
JP3760919B2 (ja
Inventor
Masaya Yamagata
昌也 山形
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003053591A priority Critical patent/JP3760919B2/ja
Publication of JP2004266483A publication Critical patent/JP2004266483A/ja
Application granted granted Critical
Publication of JP3760919B2 publication Critical patent/JP3760919B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】悪意の無いユーザによる誤アクセスと区別して不正アクセスを検知し、かつ不正アクセスのパケットを通過させることなく、パケットフィルタリング機能を働かせる不正アクセス防止方法、装置、およびプログラムを提供する。
【解決手段】パケットフィルタリング処理手段21は、ホスト1にアクセスするパケットの送信元情報を監視しており、フィルタリングルールに従って、取り込むか、または破棄する。通知応答処理手段22は、取り込まれた各パケットを、誤アクセスの起こり得るものと、起こり得ないものに分類し、起こり得るとされたパケットに付与された宛先情報に関連するアクセス頻度を算出する。算出されたアクセス頻度に応じて、通知応答処理手段22は、不正アクセスか否か判定をする。パケットフィルタリング制御手段23は、不正アクセスと判定された送信元情報を持ったパケットを破棄するようフィルタリングルールを更新する。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワークのセキュリティ保護に関し、特に、ネットワークサービスに対する不正アクセスの防止に関する。
【0002】
【従来の技術】
現在、インターネットやイントラネットを用いたネットワークサービスに対する不正アクセスが大きな脅威となっている。
【0003】
不正アクセスには様々なものがあるが、多くの場合、以下に示す2つタイプのいずれかである。1つは、実際に不正アクセスをする前に予めポートスキャン等により稼働しているサービスを調べておき、そのサービスに対して不正アクセスを行うものである。他の1つは、サービスを稼動しているか否かに関わり無く、所定範囲のIPアドレスに対して順次に、あるいはランダムに不正アクセスを試みるものである。
【0004】
これらの不正アクセスでは、サービスの公開されていないIPアドレスやポート番号に対するアクセスが発生するので、それをファイアウォールによって検知することが可能である。また、ユーザのホスト指定ミスなどでも、サービスの公開されていないIPアドレスやポート番号に対してアクセス(誤アクセス)がされる可能性がある。不正アクセスの送信元からのアクセスはそれ以降、遮断することが好ましいが、誤アクセスを遮断するのは望ましくない。
【0005】
ポートスキャンでは、1つの送信元IPアドレスから比較的短時間に複数の宛先IPアドレスあるいはポート番号に対してアクセスが行われる。そのことを利用し、単位時間当たりに行われたアクセスの送信元IPアドレスと宛先IPアドレスおよびポート番号とをする集計するのが有効であるとされている。
【0006】
単位時間内に所定数以上の宛先IPアドレスまたはポート番号にアクセスを行った送信元IPアドレスからポートスキャンが行われていると推定できる。その場合、ファイアウォールの設定を変更して、その送信元IPアドレスからのアクセスを禁止すれば、それ以降の不正アクセスを防止することができる。
【0007】
このような技術は、例えば、特許文献1に開示されている。特許文献1に開示されているクラッカー監視システムは、送信元IPアドレスが同一で、かつ宛先IPアドレスまたは宛先ポート番号が異なるアクセスが所定時間内に所定数以上あると、それを攻撃として検知し、それ以降、その送信元IPアドレスからのアクセスを遮断する。
【0008】
【特許文献1】
特開2001−57554号公報
【0009】
【発明が解決しようとする課題】
特許文献1に開示されたシステムでは、ポートスキャンを行わず、所定範囲のIPアドレスに対して、順次に、あるいはランダムに直接にアクセスするタイプの不正アクセスを防止することができない。また、ポートスキャンで宛先IPアドレスおよびポート番号を予め調べておくタイプでも、ポートスキャンとその後の不正アクセスが異なる送信元IPアドレスから行われると、不正アクセスを防止することができない恐れがある。
【0010】
また、例えば、サービスの公開されていないIPアドレスやポート番号に対するアクセスが1回でもあれば、その送信元IPアドレスからポートスキャンがされていると検知することとすれば(すなわち、上述した所定数を「1」と設定すれば)、不正アクセスを防止できる可能性が高まる。しかし、その場合、悪意の無いユーザによる誤アクセスをポートスキャンと検知してしまうので、本来、遮断すべきでないアクセスをも遮断してしまう恐れがある。
【0011】
また、特許文献1に開示されたシステムや、市販されているIDS(Intrusion Detection System)製品は、センサと呼ばれる装置が通信パケットを検査し、不正アクセスがあるか否か判定するものである。そのセンサは、ネットワーク上に流れる通信パケットをのぞき見るか、あるいはハブやルータなどのミラーポートにより通信パケットの複製を受けることにより通信パケットを取得している。そのため、不正アクセスが検知されるまで、ネットワーク上の通信パケットは、センサが存在するか否かに関わらずファイアウォールに到達する。したがって、センサが不正アクセスを検知してファイアウォールの設定を変更することにより、パケットフィルタリング機能がその不正アクセスに対して働くより前に、不正アクセスがされてしまう恐れがある。
【0012】
本発明の目的は、悪意の無いユーザによる誤アクセスと区別して不正アクセスを検知し、かつ不正アクセスの通信パケットを通過させることなく、パケットフィルタリング機能を働かせる不正アクセス防止方法、装置、およびプログラムを提供することである。
【0013】
【課題を解決するための手段】
上記目的を達成するために、本発明の不正アクセス防止方法は、ホスト上のサービスに対してネットワークを介して不正アクセスが行われるのを防止するファイアウォール装置における不正アクセス防止方法であって、
前記ホストに対する各アクセスの通信パケットに付与された送信元情報を監視しており、フィルタリングルールに従って、該通信パケットを取り込むか、または不正アクセスとして破棄する第1のステップと、
前記第1のステップにおいて取り込まれた各通信パケットのアクセスを、誤アクセスの起こり得るものと、起こり得ないものに分類する第2のステップと、
前記第2のステップにおいて前記誤アクセスが起こり得るとされた通信パケットについて、該通信パケットに付与された宛先情報に関連するアクセス頻度項目のアクセス頻度を算出する第3のステップと、
前記第3のステップにおいて算出された該アクセス頻度に応じて誤アクセスか不正アクセスかの判定をする第4のステップと、
前記第4のステップにおいて不正アクセスと判定された前記通信パケットと同じ送信元情報を持った通信パケットを破棄すべきものとして前記フィルタリングルールを更新する第5のステップとを有している。
【0014】
したがって、本発明によれば、公開されているサービスへのアクセスでユーザが指定ミスをすることによりアクセスされる可能性のあるサービスが、誤アクセスの起こる可能性のあるサービスとして予め認識されており、そこへのアクセス頻度が高いとき不正アクセスと判断され、アクセス頻度が低いとき誤アクセスと判断される。
【0015】
また、前記第2のステップにおいて誤アクセスが起こり得ないとされた通信パケットについて、宛先のサービスがアクセスの許可されたものか否かに応じて、正常アクセスか不正アクセスかの判定をするステップをさらに有することとしてもよい。
【0016】
したがって、誤アクセスの起こる可能性のないサービスに対するアクセスの中で、許可されていないものが不正アクセスと判断される。
【0017】
また、正常アクセスと判定したアクセスの通信パケットを前記ホストに転送するステップをさらに有することとしてもよい。あるいは、正常アクセスと判定したアクセスの通信パケットのデータを用いて、前記クライアントの代理として前記ホストにアクセスするステップをさらに有することとしてもよい。その場合、前記クライアントの代理で前記ホストにアクセスする際、前記通信パケットのデータに応じてフィルタリングを行うこととしてもよい。
【0018】
また、前記第1のステップにおいて取り込まれた通信パケットについて、前記判定がされるまで、該通信パケットの前記ホストへの転送を保留することとしてもよい。
【0019】
したがって、アクセスが誤アクセスか、不正アクセスか等の判断がされた後に、通信パケットが転送される。
【0020】
また、前記第3のステップにおいて誤アクセスと判定された通信パケットに対して、該通信パケットの送信元情報によって示されたクライアントに、誤アクセスと判定された旨を通知するための応答を送るステップをさらに有することとしてもよい。
【0021】
したがって、誤アクセスをしたユーザに対して、誤りを知らせるための応答が返送され、同じ送信元から同じ宛先へ誤アクセスが繰り返されることが抑制される。
【0022】
また、前記第1のステップにおいて取り込まれた通信パケットに含まれるデータを収集し、記録するステップをさらに有することとしてもよい。
【0023】
したがって、不正アクセスのデータを後に解析することが可能となる。
【0024】
また、前記第1のステップにおいて取り込まれた通信パケットについて、前記ホストに対する総アクセスに関するアクセス頻度を算出し、該アクセス頻度に応じて不正アクセスか否かを判定するステップと、
前記総アクセスのアクセス頻度から不正アクセスと判定されたアクセスの宛先情報で示された前記ホストに宛てた通信パケットを破棄すべきものとして前記フィルタリングルールを更新するステップをさらに有することとしてもよい。
【0025】
したがって、アクセス数が極端に多い場合にDoS攻撃と判断し、そのホストに対するアクセスを遮断する。
【0026】
本発明の不正アクセス防止装置は、ホスト上のサービスに対してネットワークを介して不正アクセスが行われるのを防止する不正アクセス防止装置であって、前記ホストに対する各アクセスの通信パケットに付与された送信元情報を監視しており、フィルタリングルールに従って、該通信パケットを取り込むか、または不正アクセスとして破棄するパケットフィルタリング処理手段と、
前記パケットフィルタリング手段によって取り込まれた各通信パケットのアクセスを、誤アクセスの起こり得るものと、起こり得ないものに分類し、前記誤アクセスの起こり得る通信パケットについて、該通信パケットに付与された宛先情報に関連するアクセス頻度項目のアクセス頻度を算出し、該アクセス頻度に応じて誤アクセスか不正アクセスかの判定をし、不正アクセスと判定された通信パケットを破棄する通知応答処理手段と、
前記通知応答処理手段によって不正アクセスと判定された前記通信パケットと同じ送信元情報を持った通信パケットを破棄すべきものとして前記フィルタリングルールを更新するパケットフィルタリング制御手段とを有している。
【0027】
また、前記通知応答処理手段は、誤アクセスの起こり得ない通信パケットについて、宛先のサービスがアクセスの許可されたものか否かに応じて、正常アクセスか不正アクセスかの判定をすることとしてもよい。
【0028】
また、前記通知応答処理手段は、正常アクセスと判定したアクセスの通信パケットをパケットフィルタリング処理手段経由で前記ホストに転送することとしてもよい。
【0029】
また、前記通知応答処理手段は、正常アクセスと判定したアクセスの通信パケットのデータを用いて、前記クライアントの代理として前記ホストにアクセスすることとしてもよい。
【0030】
また、前記通知応答処理手段は、前記クライアントの代理で前記ホストにアクセスする際、前記通信パケットのデータに応じてフィルタリングを行うこととしてもよい。
【0031】
また、前記パケットフィルタリング処理手段によって取り込まれた通信パケットについて、前記通知応答処理手段は、前記判定がされるまで、該通信パケットの前記ホストへの転送を保留することとしてもよい。
【0032】
また、前記通知応答処理手段は、誤アクセスと判定された通信パケットの送信元情報によって示されたクライアントに、誤アクセスと判定された旨を通知するための応答を送ることとしてもよい。
【0033】
また、前記通知応答処理手段は、前記パケットフィルタリング処理手段で取り込まれた通信パケットに含まれるデータを収集し、記録することとしてもよい。
【0034】
また、前記通知応答処理手段は、前記ホストに対する総アクセスについてアクセス頻度を算出し、該アクセス頻度に応じて不正アクセスか否かを判定し、
前記パケットフィルタリング制御手段は、総アクセスのアクセス頻度から不正アクセスと判定されたアクセスの宛先情報で示された前記ホストに宛てた通信パケットを破棄すべきものとして前記フィルタリングルールを更新することとしてもよい。
【0035】
本発明の不正アクセス防止プログラムは、ホスト上のサービスに対してネットワークを介して不正アクセスが行われるのをコンピュータに防止させるための不正アクセス防止プログラムであって、
前記ホストに対する各アクセスの通信パケットに付与された送信元情報を監視しており、フィルタリングルールに従って、該通信パケットを取り込むか、または不正アクセスとして破棄する第1の処理と、
前記第1の処理において取り込まれた各通信パケットのアクセスを、誤アクセスの起こり得るものと、起こり得ないものに分類する第2の処理と、
前記第2の処理において前記誤アクセスが起こり得るとされた通信パケットについて、該通信パケットに付与された宛先情報に関連するアクセス頻度項目のアクセス頻度を算出する第3の処理と、
前記第3の処理において算出された該アクセス頻度に応じて誤アクセスか不正アクセスかの判定をする第4の処理と、
前記第4の処理において不正アクセスと判定された前記通信パケットと同じ送信元情報を持った通信パケットを破棄すべきものとして前記フィルタリングルールを更新する第5の処理とを有している。
【0036】
また、前記第2の処理において誤アクセスが起こり得ないとされた通信パケットについて、宛先のサービスがアクセスの許可されたものか否かに応じて、正常アクセスか不正アクセスかの判定をする処理をさらに有することとしてもよい。
【0037】
また、正常アクセスと判定したアクセスの通信パケットを前記ホストに転送する処理をさらに有することとしてもよい。
【0038】
また、正常アクセスと判定したアクセスの通信パケットのデータを用いて、前記クライアントの代理として前記ホストにアクセスする処理をさらに有することとしてもよい。
【0039】
また、前記クライアントの代理で前記ホストにアクセスする際、前記通信パケットのデータに応じてフィルタリングを行うこととしてもよい。
【0040】
また、前記第1の処理において取り込まれた通信パケットについて、前記判定がされるまで、該通信パケットの前記ホストへの転送を保留することとしてもよい。
【0041】
また、前記第3の処理において誤アクセスと判定された通信パケットに対して、該通信パケットの送信元情報によって示されたクライアントに、誤アクセスと判定された旨を通知するための応答を送る処理をさらに有することとしてもよい。
【0042】
また、前記第1の処理において取り込まれた通信パケットに含まれるデータを収集し、記録する処理をさらに有することとしてもよい。
【0043】
また、前記第1の処理において取り込まれた通信パケットについて、前記ホストに対する総アクセスに関するアクセス頻度を算出し、該アクセス頻度に応じて不正アクセスか否かを判定する処理と、
前記総アクセスのアクセス頻度から不正アクセスと判定されたアクセスの宛先情報で示された前記ホストに宛てた通信パケットを破棄すべきものとして前記フィルタリングルールを更新する処理をさらに有することとしてもよい。
【0044】
【発明の実施の形態】
本発明の一実施形態について図面を参照して詳細に説明する。
【0045】
図1は、本発明の一実施形態によるファイアウォールの構成を示すブロック図である。図1を参照すると、ファイアウォール2は、クライアント1とホスト3の間に設けられている。ファイアウォール2は、パケットフィルタリング処理部21、通知応答処理部22、パケットフィルタリング制御部23、およびフィルタリングルールデータベース(フィリタリングルールDB)24を有している。
【0046】
この例では、クライアント1がアクセス元であり、ホスト3がアクセス先である。ファイアウォール2は、クライアント1からホスト3へのアクセスを監視し、不正アクセスを防止する。
【0047】
パケットフィルタリング処理部21は、クライアント1とホスト3の間の各通信パケットに対して、フィルタリングルールデータベース24を参照してフィルタリング処理を行う。フィルタリング処理において、パケットフィルタリング処理部21は、クライアント1からホスト3への通信パケットを受けると、フィルタリングルールデータベース24を検索して得られた情報によって、通信パケットを拒否するか、取り込むかを決める。取り込むとされた通信パケットは通知応答処理部22に送られる。
【0048】
また、パケットフィルタリング処理部21は、フィルタリング処理、および通知応答処理部22の処理の結果に従って、パケットを破棄または拒否するか、通知応答処理部22で生成された応答メッセージを送信元のクライアント1に送るか、あるいはクライアント1からの通信パケットをそのままホスト3に送る。
【0049】
フィルタリングルールデータベース24は、パケットフィルタリング処理部21によりアクセスを拒否されるべき送信元IPアドレスを記憶している。また、フィルタリングルールデータベース24は、許可されているアクセスか否か不正アクセス判定部221が判定するための情報を記憶している。許可されたアクセスか否かは、例えば、宛先が公開サービスであるか否か、公開先が限定されている場合には、送信元が公開先として認められているか否かなどによって決まる。
【0050】
通知応答処理部22は、不正アクセス判定部221、アクセス頻度データベース(アクセス頻度DB)222、動作設定ファイル223、アクセスコントロール処理部224、および応答メッセージ生成部225を有している。
【0051】
不正アクセス処理部221は、アクセスの通信パケットをフィルタリング処理部21から受けると、その通信パケットの送信元のIPアドレスやポート番号を含む送信元情報、宛先のIPアドレスやポート番号を含む宛先情報、およびプロトコル種別などの情報(以下、アクセス種別情報と称す)と、アクセス時刻とをアクセス頻度データべース222に記録する。
【0052】
また、不正アクセス判定部221は、パケットフィルタリング処理部21から通信パケットを受けると、動作設定ファイル223を参照し、その通信パケットのアクセス種別情報に含まれる宛先情報から、誤アクセスの起こる可能性のあるサービスであるか否かを調べる。通信パケットの宛先が誤アクセスの起こる可能性のあるサービスであれば、不正アクセス判定部221は、動作設定ファイル223を参照して、アクセス頻度を算出すべき項目を調べる。さらに、不正アクセス判定部221は、アクセス頻度データベース222を参照して各項目のアクセス頻度を算出し、アクセス頻度が動作設定ファイル223に設定された閾値を超えている項目があるか否か判定する。
【0053】
アクセス頻度が閾値を越えている項目があれば、不正アクセス判定部221は、それを誤アクセスとして、応答メッセージ生成部225に通知する。
【0054】
誤アクセスの起こる可能性のないサービスであれば、不正アクセス判定部221は、そのアクセスを許可されるものであるか否か判定する。アクセスが許可されるものであれば、不正アクセス処理部221は、正常アクセスとして、通信パケットをパケットフィルタリング処理部21経由でホスト3に送る。
【0055】
アクセスが許可されるものでない場合と、アクセス頻度が閾値を超えている場合には、不正アクセス処理部221は、不正アクセスとして、アクセスコントロール処理部224に通知する。
【0056】
アクセスコントロール処理部224は、ある通信パケットについて不正アクセスが検出されたことを不正アクセス処理部221から通知されると、その通信パケットの送信元IPアドレスを拒否すべき送信元IPアドレスとしてパケットフィルタリング制御部23に通知する。
【0057】
アクセス頻度データベース222は、パケットフィルタリング処理部21から不正アクセス判定部221に送られた通信パケットから不正アクセス判定部221で抽出された、各アクセスに関するアクセス種別情報を記憶している。このアクセス頻度データベース222に記録されたアクセス種別情報を元に各アクセス頻度を算出することが可能である。
【0058】
応答メッセージ生成部225は、不正アクセス判定部221から誤アクセスと判定した旨の通知を受けると、応答メッセージを生成し、パケットフィルタリング処理部21経由でクライアント1に送る。
【0059】
動作設定ファイル223は、誤アクセスの可能性があるサービスを不正アクセス判定部221が特定するための情報を記憶している。誤アクセスは、ユーザによるホスト名の指定ミスなどから起こるものである。指定ミスによって宛先として指定され得るサービスは限られた、ほんの一部のサービスである。本実施形態のファイアウォール2では、このようなサービスが誤アクセスの可能性のあるサービスとされる。
【0060】
例えば、ホストAでは、TCPポート番号が「80」ポートでwebサービスが行われているとする。そして、同じネットワークにホストB、Cが存在するとする。このような場合、ホストB、CのTCPポート番号が「80」のサービスは、webサービスにアクセスしようとしたユーザの指定ミスによりアクセスされる可能性があり、誤アクセスの起こる可能性のあるサービスであると言える。
【0061】
また、動作設定ファイル223には、アクセス頻度として算出されるべき項目と、それら各項目について不正アクセスと判定する閾値とが設定されている。
【0062】
また、動作設定ファイル223には、応答メッセージ生成部225が応答メッセージを作成するのに利用する情報が記録されている。例えば、「このホスト上ではサービスが公開去れていません。URLを確認し、変更してください。」のように、応答メッセージによってクライアント1の画面に表示すべきテキストの情報が動作設定ファイル223に記録されている。これは、同じホストへアクセスが繰り返されることを抑制するための情報である。
【0063】
また、動作設定ファイル223には、アクセスを拒否すべき送信元IPアドレスを設定するために、アクセスコントロール処理部224によって利用される情報を記憶している。
【0064】
パケットフィルタリング制御部23は、フィルタリングルールデータベース24のルールを管理しており、アクセスコントロール処理部224からの通知に従ってフィルタリングルールをフィルタリングルールデータベース24に設定する。例えば、指定された送信元IPアドレスからの通信パケットの受信を拒否するようにフィルタリングルールを設定する。
【0065】
図2は、本実施形態のシステムの動作を示すフローチャートである。図2を参照すると、クライアント1からホスト3に対するアクセスの通信パケットをファイアウォール2が受信する(ステップS201)。次に、ファイアウォール2は、その通信パケットに対して所定の処理を行う(ステップS202)。
【0066】
次に、ファイアウォール2は、ステップS202の処理が通信パケットを廃棄または拒否するものであったか否か判定する(ステップS204)。ステップS202の処理が通信パケットを廃棄または拒否するものであれば、ファイアウォール2は、そのまま処理を終了する。なお、パケットの廃棄または拒否は、不正アクセスに対して行われる処理である。
【0067】
処理が通信パケットを廃棄または拒否するものでなかったら、ファイアウォール2は、ステップS202の処理が通信パケットをホスト3へ転送するものであったか否か判定する(ステップS204)。
【0068】
ステップS202の処理が通信パケットをホスト3へ転送するものでなかったら、ファイアウォール2は、通知応答処理部22からの応答をクライアント1に転送し、処理を終了する(ステップS205)。なお、これは誤アクセスに対して行われる処理である。
【0069】
ステップS202の処理が通信パケットをホスト3へ転送するものであったら、ファイアウォール2は、転送された通信パケットに対するホスト3からの応答を受け取ってクライアント1に転送し、処理を終了する(ステップS206)。なお、これは正常アクセスに対して行われる処理である。
【0070】
図3は、図2におけるステップS202の処理を示すフローチャートである。図3を参照すると、まず、パケットフィルタリング処理部21が通信パケットを取得する(ステップS301)。次に、パケットフィルタリング処理部21は、その通信パケットが、アクセスを拒否すべき送信元IPアドレスか否か判定する(ステップS302)。アクセスを拒否すべき送信元IPアドレスからであれば、パケットフィルタリング処理部21は、その通信パケットを破棄して処理を終了する(ステップS303)。なお、アクセスの破棄と拒否を区別して管理する場合、パケットフィルタリング処理部21は、破棄であれば、クライアント1からの通信パケットを破棄し、拒否であれば、通信パケットを破棄した上、拒否の旨のコントロールパケット(ICMPパケット)をクライアント1に送る。
【0071】
また、アクセスを拒否すべき送信元IPアドレスでなければ、パケットフィルタリング処理部21は、その通信パケットを通知応答処理部22に転送し、通知応答処理部22がその通信パケットに対して所定の処理を行う(ステップS304)。
【0072】
次に、パケットフィルタリング処理部21は、ステップS304の処理がパケットを破棄するものであるか否か判定する(ステップS305)。パケットフィルタリング処理部21は、ステップS304の処理が通信パケットを破棄するものであれば、パケットフィルタリング処理部21は、ステップS303の処理に進み、その通信パケットを破棄して処理を終了する。
【0073】
ステップS304の処理が通信パケットを破棄するものでなければ、パケットフィルタリング処理部21は、パケットフィルタリング処理部21は、ステップ304の処理が、通知応答処理部22による送信元のクライアント1への応答であったか否か判定する(ステップS306)。
【0074】
ステップS304の処理が通知応答処理部22からの応答であれば、パケットフィルタリング処理部21がその応答をクライアント1に転送する(ステップS307)。また、ステプS304の処理が通知応答処理部22からの応答でなければ、パケットフィルタリング処理部21は、クライアント1からの通信パケットをホスト3に転送する(ステップS308)。
【0075】
図4は、図3におけるステップS304の処理を示すフローチャートである。図4を参照すると、まず、通知応答処理部22は、パケットフィルタリング処理部21から通信パケットを受け取る(ステップS401)。次に、通知応答処理部22は、アクセス時刻やアクセス種別情報をアクセス頻度データベース222に記録する(ステップS402)。
【0076】
図5は、アクセス頻度データベース222に記録されたデータのレコードイメージの一例を示す図である。図5の例では、各アクセスについて、アクセス時刻と、送信元IPアドレス、宛先IPアドレス、プロトコル種別、および送信元ポート番号(送信元PORT)を含むアクセス種別情報がアクセス頻度データベース222に記録されている。
【0077】
次に、通知応答処理部22は、その通信パケットの宛先が誤アクセスの起こる可能性のあるサービスか否か判定する(ステップS403)。
【0078】
誤アクセスの起こる可能性のあるサービスであれば、通知応答処理部22は、その送信元からのアクセスに関する各アクセス頻度を算出する(ステップS404)。なお、アクセス頻度として算出すべき項目は、動作設定ファイル223に設定されている。
【0079】
図6は、動作設定ファイル223に設定されたデータの一例を示す図である。アクセス頻度として算出すべき項目と、各項目の閾値となる設定値とが設定されている。図6の例では、3つのアクセス頻度が算出される。1つのアクセス頻度は、クライアント1からの通信パケットの宛先と同一のホスト(IPアドレスで示される)の同一のポート(ポート番号で示される)へのアクセスが500ミリ秒の間に行われた回数である。そして、その閾値は2回である。他のアクセス頻度は、クライアント1からの通信パケットの宛先と同一のホストの異なるポートへのアクセスが1秒間に行われた回数である。その閾値は3回である。さらに他のアクセス頻度は、クライアント1からの通信パケットの宛先と異なるホストの同一番号のポートへのアクセスが3秒間に行われた回数である。その閾値は4回である。
【0080】
次に、通知応答処理部22は、各アクセス頻度が全て閾値以下か否か判定する(ステップS405)。
【0081】
図6の例では、通知応答処理部22は、クライアント1からの通信パケットと同じ送信元から、過去500ミリ秒の間に行われた、その通信パケットの宛先と同じホストおよびポートへのアクセスが閾値の2回を越えているか否か判定する。また、通知応答処理部22は、同様に、クライアント1からの通信パケットと同じ送信元から、過去1秒の間に行われた、その通信パケットの宛先と同じホストの異なるポートへのアクセスが閾値の3回を越えているか否か判定する。また、通知応答処理部22は、同様に、クライアント1からの通信パケットと同じ送信元から、過去3秒の間に行われた、その通信パケットの宛先と異なるホストの同じ番号のポートへのアクセスが閾値の4回を越えているか否か判定する。
【0082】
全てのアクセス頻度が閾値以下であれば、通知応答処理部22は、誤アクセスと判断し、応答メッセージを生成して送信元のクライアント1に送り、処理を終了する(ステップS406)。
【0083】
ステップ403の判定において、誤アクセスの起こる可能性のないサービスであれば、通知応答処理部22は、そのアクセスが許可されたアクセスか否か判定する(ステップS407)。
【0084】
ステップS407の判定で許可されたアクセスでない場合、およびステップS405の判定で閾値以下でないアクセス頻度の項目があった場合、通知応答処理部22は、送信元からのアクセスを遮断するように、すなわち送信元のIPアドレスをアクセスを拒否すべきIPアドレスとして登録するように、パケットフィルタリング制御部23に依頼して処理を終了する(ステップS408)。この依頼を受けたパケットフィルタリング制御部23は、アクセスを拒否すべきIPアドレスとして、依頼されたIPアドレスを追加して、フィルタリングルールを更新する。
【0085】
ステップS407の判定において、許可されたアクセスであれば、通知応答処理部22は、クライアント1からの通信パケットを宛先のホストに転送し、処理を終了する(ステップS409)。
【0086】
以上説明したように、本実施形態のファイアウォール2によれば、公開されているサービスへのアクセスで指定ミスをすることによりアクセスされる可能性のあるサービスが、誤アクセスの起こる可能性のあるサービスとして予め認識されており、そこへのアクセス頻度が高いとき不正アクセスと判断され、アクセス頻度が低いとき誤アクセスと判断されるので、ツールなどを用いて機械的に連続して行われることの多い不正アクセスと、ユーザの指定ミスにより単発的に発生する誤アクセスとを区別して、不正アクセスのみを検知することができ、悪意の無いユーザによる誤アクセスを不正アクセスと判断することが防止される。
【0087】
また、アクセスが誤アクセスか、不正アクセスか、あるいは正常なアクセスか判断された後に、通信パケットを転送あるいは破棄するなどの処理が行われるので、不正アクセスの通信パケットを通過させることが無く、不正アクセスによりホストに悪影響が生じることがない。
【0088】
また、誤アクセスをしたユーザに対して、誤りを知らせるための応答が返送され、同じ送信元から同じ宛先へ誤アクセスが繰り返されることが抑制されるので、不正アクセスと誤アクセスとのアクセス頻度の違いが明確になり、正確に誤アクセスと不正アクセスとが区別される。
【0089】
また、誤アクセスの起こる可能性のないサービスに対するアクセスの中で、許可されていないものが不正アクセスと判断されるので、指定ミスでは指定され得ないような宛先に対して悪意を持って意図的に行われ、かつポートスキャンをせずに無差別の宛先に対して行われた不正アクセスを検知することができる。
【0090】
本発明の他の実施形態について説明する。
【0091】
図7は、本発明の他の実施形態のファイアウォールの構成を示すブロック図である。図7を参照すると、ファイアウォール4は、アクセスデータ収集部25を有する点で図1に示されたファイアウォール2と異なる。
【0092】
アクセスデータ収集部25は、不正アクセス時にクライアント1から送信された通信パケットのデータを収集し、記録する。不正アクセス判定部221にて不正アクセスと判断されたアクセスの通信パケットのデータがアクセスデータ収集部25に送られ、そこに収集、記録される。ここで言う通信パケットのデータには、その通信パケットのペイロードに搭載されたデータファイルやプログラムなどが含まれる。
【0093】
これにより、不正アクセスのデータを後に解析することが可能となり、どのような攻撃がされたかを知ることができる。例えば、分析結果は、攻撃の種類と回数の把握や、IDS(侵入検知装置)のパターンの設定に利用することが考えられる。
【0094】
また、本実施形態のファイアウォール4は、通知応答処理部22に送られた全ての通信パケットのデータをアクセスデータ収集部25に収集、記録してもよい。
【0095】
これにより、収集されたデータから通信パケットを再構成することで、データが保存されている期間に送受信し、誤って消去したメールを再取得することができる。
【0096】
本発明のさらに他の実施形態のファイアウォールについて説明する。
【0097】
図8は、本発明のさらに他の実施形態のファイアウォール5の構成を示すブロック図である。図8を参照すると、ファイアウォール5は、通知応答処理部26が代理アクセス処理部226を有する点で、図1のファイアウォール2と異なる。
【0098】
不正アクセス判定部221は、クライアント1からの通信パケットをホスト3に転送する際に動作設定ファイル223を参照し、その通信パケットが代理アクセスすべきものに該当すれば、その通信パケットをホスト3に転送せず、代理アクセス処理部226に送る。
【0099】
代理アクセス処理部226は、クライアント1からの通信パケットが正常アクセスであると判断されると、ホスト3との間に新たなセッションを確立し、その通信パケットの内容を用いてホスト3に代理アクセスを行う。その通信パケットに対する応答をホスト3から受けると、代理アクセス処理部226は、その内容を送信元のクライアント1に送る。
【0100】
こうすることにより、ファイアウォール5は代理アクセスを行うプロキシ機能を提供することができる。
【0101】
また、図8のファイアウォール5の代理アクセス処理部226がパケットのデータ内容に応じてフィルタリングを行うこととしてもよい。ここで言うフィルタリングは、例えば、データ内容のファイルやプログラムが不正アクセスとして予め認識されているものである場合に、そのデータ内容を含む通信パケットを破棄することである。
【0102】
代理アクセス処理部226は、いったん通信パケットからデータ内容を取得するので、この内容を一時的にキャッシングし、再構成すれば、アプリケーション毎に解析可能なデータを得ることができる。
【0103】
こうすることにより、例えば、通信パケットの内容がSMTPのような電子メールの場合、内部から外部へ向かうアクセスにおいてRecievedヘッダに搭載される内部ネットワーク情報の隠蔽などが可能となり、アプリケーションゲートウェイ機能の提供が可能になる。
【0104】
さらに、上述のいずれの実施形態においても、サーバ毎の総アクセスの頻度からDoS/DDoS対策が可能である。例えば、あるwebサービスに対して膨大なアクセス要求を行い、サービス停止を狙うDoS攻撃が行われることがある。
【0105】
上述したアクセス頻度データベース222には、全てのアクセスの情報が含まれている。動作設定ファイル223にはDoS閾値が定義されている。
【0106】
不正アクセス検出部221は、ある送信元IPアドレスから、ある特定のホストに対して単位時間当たりに膨大な(閾値を超える)アクセス要求が行われたことを検出すると、それをDoS攻撃と判断し、そのホストに対するアクセスを遮断する。
【0107】
こうすることで、アクセス数が極端に多い場合にDoS攻撃と判断し、そのホストに対するアクセスを遮断するので、ある送信元からによるDoS攻撃からホストを保護することができる。
【0108】
同様にしてDDoS攻撃の防ぐこともできる。不正アクセス検出部221は、送信元IPアドレスに関係なく、特定のホストに対して単位時間当たりに膨大な(閾値を超える)アクセス要求が行われたことを検出すると、DDoS攻撃であると判断し、そのホストに対する全てのアクセスを遮断すればよい。
【0109】
【発明の効果】
本発明によれば、公開されているサービスへのアクセスで指定ミスをすることによりアクセスされる可能性のあるサービスが、誤アクセスの起こる可能性のあるサービスとして予め認識されており、そこへのアクセス頻度が高いとき不正アクセスと判断され、アクセス頻度が低いとき誤アクセスと判断されるので、ツールなどを用いて機械的に連続して行われることの多い不正アクセスと、ユーザの指定ミスにより単発的に発生する誤アクセスとを区別して、不正アクセスのみを検知することができ、悪意の無いユーザによる誤アクセスを不正アクセスと判断することが防止される。
【0110】
また、誤アクセスの起こる可能性のないサービスに対するアクセスの中で、許可されていないものが不正アクセスと判断されるので、指定ミスでは指定され得ないような宛先に対して悪意を持って意図的に行われ、かつポートスキャンをせずに無差別の宛先に対して行われた不正アクセスを検知することができる。
【0111】
また、アクセスが誤アクセスか、不正アクセスか等の判断がされた後に、通信パケットが転送されるので、不正アクセスの通信パケットをホストに通過させることが無く、不正アクセスによりホストに悪影響が生じることがない。
【0112】
また、誤アクセスをしたユーザに対して、誤りを知らせるための応答が返送され、同じ送信元から同じ宛先へ誤アクセスが繰り返されることが抑制されるので、不正アクセスと誤アクセスとのアクセス頻度の違いが明確になり、正確に誤アクセスと不正アクセスとが区別される。
【0113】
また、不正アクセスのデータを後に解析することが可能となり、どのような攻撃がされたかを知ることができる。
【0114】
また、アクセス数が極端に多い場合にDoS攻撃と判断し、そのホストに対するアクセスを遮断するので、DoS攻撃から有効にホストを保護することができる。
【図面の簡単な説明】
【図1】本発明の一実施形態によるファイアウォールの構成を示すブロック図である。
【図2】本実施形態のシステムの動作を示すフローチャートである。
【図3】図2におけるステップS202の処理を示すフローチャートである。
【図4】図3におけるステップS304の処理を示すフローチャートである。
【図5】アクセス頻度データベースに記録されたデータのレコードイメージの一例を示す図である。
【図6】動作設定ファイルに設定されたデータの一例を示す図である。
【図7】本発明の他の実施形態のファイアウォールの構成を示すブロック図である。
【図8】本発明のさらに他の実施形態のファイアウォール5の構成を示すブロック図である。
【符号の説明】
1 クライアント
2、4、5 ファイアウォール
3 ホスト
21 パケットフィルタリング処理部
22 通知応答処理部
23 パケットフィルタリング制御部
24 フィルタリングルールデータベース(フィリタリングルールDB)
25 アクセスデータ収集部
221 不正アクセス判定部
222 アクセス頻度データベース(アクセス頻度DB)
223 動作設定ファイル
224 アクセスコントロール処理部
225 応答メッセージ生成部
226 代理アクセス処理部
S201〜S206、S301〜S308、S401〜409 ステップ

Claims (27)

  1. ホスト上のサービスに対してネットワークを介して不正アクセスが行われるのを防止するファイアウォール装置における不正アクセス防止方法であって、
    前記ホストに対する各アクセスの通信パケットに付与された送信元情報を監視しており、フィルタリングルールに従って、該通信パケットを取り込むか、または不正アクセスとして破棄する第1のステップと、
    前記第1のステップにおいて取り込まれた各通信パケットのアクセスを、誤アクセスの起こり得るものと、起こり得ないものに分類する第2のステップと、
    前記第2のステップにおいて前記誤アクセスが起こり得るとされた通信パケットについて、該通信パケットに付与された宛先情報に関連するアクセス頻度項目のアクセス頻度を算出する第3のステップと、
    前記第3のステップにおいて算出された該アクセス頻度に応じて誤アクセスか不正アクセスかの判定をする第4のステップと、
    前記第4のステップにおいて不正アクセスと判定された前記通信パケットと同じ送信元情報を持った通信パケットを破棄すべきものとして前記フィルタリングルールを更新する第5のステップとを有する不正アクセス防止方法。
  2. 前記第2のステップにおいて誤アクセスが起こり得ないとされた通信パケットについて、宛先のサービスがアクセスの許可されたものか否かに応じて、正常アクセスか不正アクセスかの判定をするステップをさらに有する、請求項1記載の不正アクセス防止方法。
  3. 正常アクセスと判定したアクセスの通信パケットを前記ホストに転送するステップをさらに有する、請求項2記載の不正アクセス防止方法。
  4. 正常アクセスと判定したアクセスの通信パケットのデータを用いて、前記クライアントの代理として前記ホストにアクセスするステップをさらに有する、請求項2記載の不正アクセス防止方法。
  5. 前記クライアントの代理で前記ホストにアクセスする際、前記通信パケットのデータに応じてフィルタリングを行う、請求項4記載の不正アクセス防止方法。
  6. 前記第1のステップにおいて取り込まれた通信パケットについて、前記判定がされるまで、該通信パケットの前記ホストへの転送を保留する、請求項1〜5のいずれか1項に記載の不正アクセス防止方法。
  7. 前記第3のステップにおいて誤アクセスと判定された通信パケットに対して、該通信パケットの送信元情報によって示されたクライアントに、誤アクセスと判定された旨を通知するための応答を送るステップをさらに有する、請求項1〜6のいずれか1項に記載の不正アクセス防止方法。
  8. 前記第1のステップにおいて取り込まれた通信パケットに含まれるデータを収集し、記録するステップをさらに有する、請求項1〜7のいずれか1項に記載の不正アクセス防止方法。
  9. 前記第1のステップにおいて取り込まれた通信パケットについて、前記ホストに対する総アクセスに関するアクセス頻度を算出し、該アクセス頻度に応じて不正アクセスか否かを判定するステップと、
    前記総アクセスのアクセス頻度から不正アクセスと判定されたアクセスの宛先情報で示された前記ホストに宛てた通信パケットを破棄すべきものとして前記フィルタリングルールを更新するステップをさらに有する、請求項1〜8のいずれか1項に記載の不正アクセス防止方法。
  10. ホスト上のサービスに対してネットワークを介して不正アクセスが行われるのを防止する不正アクセス防止装置であって、
    前記ホストに対する各アクセスの通信パケットに付与された送信元情報を監視しており、フィルタリングルールに従って、該通信パケットを取り込むか、または不正アクセスとして破棄するパケットフィルタリング処理手段と、
    前記パケットフィルタリング手段によって取り込まれた各通信パケットのアクセスを、誤アクセスの起こり得るものと、起こり得ないものに分類し、前記誤アクセスの起こり得る通信パケットについて、該通信パケットに付与された宛先情報に関連するアクセス頻度項目のアクセス頻度を算出し、該アクセス頻度に応じて誤アクセスか不正アクセスかの判定をし、不正アクセスと判定された通信パケットを破棄する通知応答処理手段と、
    前記通知応答処理手段によって不正アクセスと判定された前記通信パケットと同じ送信元情報を持った通信パケットを破棄すべきものとして前記フィルタリングルールを更新するパケットフィルタリング制御手段とを有する不正アクセス防止装置。
  11. 前記通知応答処理手段は、誤アクセスの起こり得ない通信パケットについて、宛先のサービスがアクセスの許可されたものか否かに応じて、正常アクセスか不正アクセスかの判定をする、請求項10記載の不正アクセス防止装置。
  12. 前記通知応答処理手段は、正常アクセスと判定したアクセスの通信パケットをパケットフィルタリング処理手段経由で前記ホストに転送する、請求項11記載の不正アクセス防止装置。
  13. 前記通知応答処理手段は、正常アクセスと判定したアクセスの通信パケットのデータを用いて、前記クライアントの代理として前記ホストにアクセスする、請求項11記載の不正アクセス防止装置。
  14. 前記通知応答処理手段は、前記クライアントの代理で前記ホストにアクセスする際、前記通信パケットのデータに応じてフィルタリングを行う、請求項13記載の不正アクセス防止装置。
  15. 前記パケットフィルタリング処理手段によって取り込まれた通信パケットについて、前記通知応答処理手段は、前記判定がされるまで、該通信パケットの前記ホストへの転送を保留する、請求項10〜14のいずれか1項に記載の不正アクセス防止装置。
  16. 前記通知応答処理手段は、誤アクセスと判定された通信パケットの送信元情報によって示されたクライアントに、誤アクセスと判定された旨を通知するための応答を送る、請求項10〜15のいずれか1項に記載の不正アクセス防止装置。
  17. 前記パケットフィルタリング処理手段で取り込まれ、前記通知応答処理手段に渡された通信パケットに含まれるデータを収集し、記録するアクセスデータ収集手段をさらに有する、請求項10〜16のいずれか1項に記載の不正アクセス防止装置。
  18. 前記通知応答処理手段は、前記ホストに対する総アクセスについてアクセス頻度を算出し、該アクセス頻度に応じて不正アクセスか否かを判定し、
    前記パケットフィルタリング制御手段は、総アクセスのアクセス頻度から不正アクセスと判定されたアクセスの宛先情報で示された前記ホストに宛てた通信パケットを破棄すべきものとして前記フィルタリングルールを更新する、請求項10〜17のいずれか1項に記載の不正アクセス防止装置。
  19. ホスト上のサービスに対してネットワークを介して不正アクセスが行われるのをコンピュータに防止させるための不正アクセス防止プログラムであって、
    前記ホストに対する各アクセスの通信パケットに付与された送信元情報を監視しており、フィルタリングルールに従って、該通信パケットを取り込むか、または不正アクセスとして破棄する第1の処理と、
    前記第1の処理において取り込まれた各通信パケットのアクセスを、誤アクセスの起こり得るものと、起こり得ないものに分類する第2の処理と、
    前記第2の処理において前記誤アクセスが起こり得るとされた通信パケットについて、該通信パケットに付与された宛先情報に関連するアクセス頻度項目のアクセス頻度を算出する第3の処理と、
    前記第3の処理において算出された該アクセス頻度に応じて誤アクセスか不正アクセスかの判定をする第4の処理と、
    前記第4の処理において不正アクセスと判定された前記通信パケットと同じ送信元情報を持った通信パケットを破棄すべきものとして前記フィルタリングルールを更新する第5の処理とを有する不正アクセス防止プログラム。
  20. 前記第2の処理において誤アクセスが起こり得ないとされた通信パケットについて、宛先のサービスがアクセスの許可されたものか否かに応じて、正常アクセスか不正アクセスかの判定をする処理をさらに有する、請求項19記載の不正アクセス防止プログラム。
  21. 正常アクセスと判定したアクセスの通信パケットを前記ホストに転送する処理をさらに有する、請求項20記載の不正アクセス防止プログラム。
  22. 正常アクセスと判定したアクセスの通信パケットのデータを用いて、前記クライアントの代理として前記ホストにアクセスする処理をさらに有する、請求項20記載の不正アクセス防止プログラム。
  23. 前記クライアントの代理で前記ホストにアクセスする際、前記通信パケットのデータに応じてフィルタリングを行う、請求項22記載の不正アクセス防止プログラム。
  24. 前記第1の処理において取り込まれた通信パケットについて、前記判定がされるまで、該通信パケットの前記ホストへの転送を保留する、請求項19〜23のいずれか1項に記載の不正アクセス防止プログラム。
  25. 前記第3の処理において誤アクセスと判定された通信パケットに対して、該通信パケットの送信元情報によって示されたクライアントに、誤アクセスと判定された旨を通知するための応答を送る処理をさらに有する、請求項19〜24のいずれか1項に記載の不正アクセス防止プログラム。
  26. 前記第1の処理において取り込まれた通信パケットに含まれるデータを収集し、記録する処理をさらに有する、請求項19〜25のいずれか1項に記載の不正アクセス防止プログラム。
  27. 前記第1の処理において取り込まれた通信パケットについて、前記ホストに対する総アクセスに関するアクセス頻度を算出し、該アクセス頻度に応じて不正アクセスか否かを判定する処理と、
    前記総アクセスのアクセス頻度から不正アクセスと判定されたアクセスの宛先情報で示された前記ホストに宛てた通信パケットを破棄すべきものとして前記フィルタリングルールを更新する処理をさらに有する、請求項19〜26のいずれか1項に記載の不正アクセス防止プログラム。
JP2003053591A 2003-02-28 2003-02-28 不正アクセス防止方法、装置、プログラム Expired - Fee Related JP3760919B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003053591A JP3760919B2 (ja) 2003-02-28 2003-02-28 不正アクセス防止方法、装置、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003053591A JP3760919B2 (ja) 2003-02-28 2003-02-28 不正アクセス防止方法、装置、プログラム

Publications (2)

Publication Number Publication Date
JP2004266483A true JP2004266483A (ja) 2004-09-24
JP3760919B2 JP3760919B2 (ja) 2006-03-29

Family

ID=33118150

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003053591A Expired - Fee Related JP3760919B2 (ja) 2003-02-28 2003-02-28 不正アクセス防止方法、装置、プログラム

Country Status (1)

Country Link
JP (1) JP3760919B2 (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005197959A (ja) * 2004-01-06 2005-07-21 Nec Access Technica Ltd ルータ
JP2006237892A (ja) * 2005-02-23 2006-09-07 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム
JP2006246177A (ja) * 2005-03-04 2006-09-14 Nippon Telegr & Teleph Corp <Ntt> フラッド攻撃防御方法および装置
JP2007006490A (ja) * 2005-06-21 2007-01-11 Avaya Technology Llc 通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法
WO2007116605A1 (ja) * 2006-03-30 2007-10-18 Nec Corporation 通信端末装置、ルール配布装置およびプログラム
JP2009065294A (ja) * 2007-09-04 2009-03-26 Fujitsu Ltd データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム
JP2009081736A (ja) * 2007-09-26 2009-04-16 Toshiba Corp パケット転送装置及びパケット転送プログラム
JP2018157513A (ja) * 2017-03-21 2018-10-04 株式会社リコー 通信制御装置、通信制御システム、通信制御方法及び通信制御プログラム
JP2019140578A (ja) * 2018-02-13 2019-08-22 Kddi株式会社 優先度算出装置、優先度算出方法及び優先度算出プログラム

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005197959A (ja) * 2004-01-06 2005-07-21 Nec Access Technica Ltd ルータ
JP2006237892A (ja) * 2005-02-23 2006-09-07 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム
JP2006246177A (ja) * 2005-03-04 2006-09-14 Nippon Telegr & Teleph Corp <Ntt> フラッド攻撃防御方法および装置
JP2007006490A (ja) * 2005-06-21 2007-01-11 Avaya Technology Llc 通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法
JP4638839B2 (ja) * 2005-06-21 2011-02-23 アバイア テクノロジー エルエルシー 通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法
WO2007116605A1 (ja) * 2006-03-30 2007-10-18 Nec Corporation 通信端末装置、ルール配布装置およびプログラム
JPWO2007116605A1 (ja) * 2006-03-30 2009-08-20 日本電気株式会社 通信端末装置、ルール配布装置およびプログラム
JP2009065294A (ja) * 2007-09-04 2009-03-26 Fujitsu Ltd データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム
JP2009081736A (ja) * 2007-09-26 2009-04-16 Toshiba Corp パケット転送装置及びパケット転送プログラム
JP2018157513A (ja) * 2017-03-21 2018-10-04 株式会社リコー 通信制御装置、通信制御システム、通信制御方法及び通信制御プログラム
JP7158826B2 (ja) 2017-03-21 2022-10-24 株式会社リコー 通信制御装置、通信制御システム及び通信制御方法
JP2019140578A (ja) * 2018-02-13 2019-08-22 Kddi株式会社 優先度算出装置、優先度算出方法及び優先度算出プログラム

Also Published As

Publication number Publication date
JP3760919B2 (ja) 2006-03-29

Similar Documents

Publication Publication Date Title
KR100800370B1 (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
US7624447B1 (en) Using threshold lists for worm detection
US9686309B2 (en) Logging attack context data
KR101045362B1 (ko) 능동 네트워크 방어 시스템 및 방법
US9392002B2 (en) System and method of providing virus protection at a gateway
EP1330095B1 (en) Monitoring of data flow for enhancing network security
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
US7478429B2 (en) Network overload detection and mitigation system and method
CN1656731B (zh) 基于多方法网关的网络安全系统和方法
US7610375B2 (en) Intrusion detection in a data center environment
US7725936B2 (en) Host-based network intrusion detection systems
EP2257024B1 (en) Method, network apparatus and network system for defending distributed denial of service ddos attack
US20030188190A1 (en) System and method of intrusion detection employing broad-scope monitoring
JP2009539271A (ja) コンピュータ・ネットワーク侵入検出のシステムおよび方法
JP2006319982A (ja) 通信ネットワーク内ワーム特定及び不活化方法及び装置
JPWO2008084729A1 (ja) アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム
EP2009864A1 (en) Method and apparatus for attack prevention
JP3760919B2 (ja) 不正アクセス防止方法、装置、プログラム
EP1595193A2 (en) Detecting and protecting against worm traffic on a network
JP2004140524A (ja) DoS攻撃検知方法、DoS攻撃検知装置及びプログラム
KR101398740B1 (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
EP1461704B1 (en) Protecting against malicious traffic
JP3986871B2 (ja) アンチプロファイリング装置およびアンチプロファイリングプログラム
Hooper An Intellilgent Infrastructure Strategy to Improvilng the Performance and Detection Capability of Intrusion Detection Systems

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20050107

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051214

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051220

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060102

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 3760919

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100120

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110120

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110120

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120120

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130120

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130120

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees