JP2005134972A - ファイアウォール装置 - Google Patents

ファイアウォール装置 Download PDF

Info

Publication number
JP2005134972A
JP2005134972A JP2003367256A JP2003367256A JP2005134972A JP 2005134972 A JP2005134972 A JP 2005134972A JP 2003367256 A JP2003367256 A JP 2003367256A JP 2003367256 A JP2003367256 A JP 2003367256A JP 2005134972 A JP2005134972 A JP 2005134972A
Authority
JP
Japan
Prior art keywords
access
unauthorized access
attack
risk
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003367256A
Other languages
English (en)
Inventor
Kentaro Miwa
謙太郎 三輪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PFU Ltd
Original Assignee
PFU Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PFU Ltd filed Critical PFU Ltd
Priority to JP2003367256A priority Critical patent/JP2005134972A/ja
Publication of JP2005134972A publication Critical patent/JP2005134972A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】 この発明の課題は、ネットワークを伝送されるパケット中の送信元アドレスを偽装して不正なアクセスを行う攻撃から、適切にコンピュータシステムを防御するファイアウォール装置を提供することにある。
【解決手段】 ネットワークからのアクセス内容を調査し、不正アクセスであるかを判別し、そのアクセス内容から危険度も判定する攻撃検出部を備える。攻撃検出部で不正アクセスと判断されたアクセスを発行してきた送信元を、その危険度とともに管理するブラックリスト管理部を備え、また、そのアクセスの送信先のサービスを要注意監視サービスとして危険度とともに管理する監視サービス管理部を備える。ブラックリスト管理部での送信元の危険度管理処理において、不正アクセスの送信元がすでに要注意監視サービスリストに登録されている場合、不正アクセスの内容から求められる所定の危険度よりも高い危険度を用いる。
【選択図】 図1

Description

この発明は、ネットワークに接続されたコンピュータシステムに対する不正なアクセスや、攻撃に対し、このような不正なアクセスを排除し、コンピュータシステムを守るファイアウォール装置に関し、従来防ぐのが困難であった送信元アドレスを偽装することで、不特定多数の送信元アドレスからの攻撃に見せかけて攻撃してくるタイプのものに対しても、的確にコンピュータシステムを防御することができるファイアウォール装置を実現する技術に関するものである。
インターネットなどの公衆回線に、企業内LANなどのローカルネットワークを接続する場合、悪意を持った第三者が企業内LANに接続されたコンピュータへの侵入や、攻撃を試みる場合がある。
このような不正なアクセスからローカルネットワーク内のコンピュータシステムを防御するため、図14に示すように、ローカルネットワークと公衆回線との間に、従来からファイアウォール装置と呼ばれる、ネットワーク経由の不正アクセスを排除するアクセス制御技術を内蔵した装置が用いられている。
ファイアウォール装置には、ネットワークを流れるパケットの送信元アドレス、送信先アドレス、ポート番号などによって通信データを通過させるかどうかを判断し、不正アクセスを排除するパケットフィルタリング型や、HTTPなどのアプリケーションプロトコルごとにプロキシサーバを使用して、企業内LANから直接外部アクセスを行わないようにすることで、セキュアな通信を行うようにするアプリケーションゲートウェイ型などがある。
アプリケーションゲートウェイ型のファイアウォール装置では、アプリケーション層、すなわちパケットのデータ内容をもとにプロキシサーバでさまざまなアクセス制御を行うことができるため、不正アクセスの内容に合わせたきめ細かいアクセス制御が可能であるという利点がある。その反面で、通信データの内部まで精査するため、処理が重くなり、ネットワークの通信性能の低下を招くという欠点がある。
パケットフィルタリング型のファイアウォール装置では、パケット内の送信元アドレス、送信先アドレス、ポート番号などを参照することで、あらかじめ決められたセキュリティルールに従って、通信データの通過の拒否や許可を行うことができ、パケットのヘッダ部の情報のみを検査するだけなので、高速に処理を行うことができ、ネットワークの通信性能の低下を抑えることができるという利点がある。その反面で、送信元や送信先、ポート番号などが許可されたものであれば、通信データ内に不正アクセスとなるデータが含まれていても、これを排除することができないという欠点がある。
このようなそれぞれの方式の利点や欠点を考慮し、最近では、図15に示すような、パケットフィルタリング型のファイアウォールと、IDS(Intrusion Detection System)と呼ばれる、不正アクセスを検出する機能とを組合せ、パケットフィルタリング型でありながら、通信データ内に攻撃目的などの不正アクセスデータが含まれる場合には、これをIDS部で検知し、パケットフィルタリング型のファイアウォール部と連携して、それ以後、その不正アクセスを行ってきた送信元からの通信を遮断することができるようなファイアウォールが考案されている(例えば、特許文献1を参照)。
このような不正アクセスを行ってきた送信元を管理しておき、以後のその送信元からのアクセスに制限をかける方法は、ネットワークの通信性能を落とすことなく、不正アクセスを排除するのに有効な手段であるが、近年の攻撃の中には、パケット中の送信元アドレスを偽装して、不正アクセスを試みるものがあり、このような攻撃に対しては、従来のファイアウォールでは、十分に防御することができない場合があった。
特開2003−99339号公報
前記のごとく、従来の技術では次のような問題点がある。
インターネットなどの公衆回線に接続された、企業内LANなどのローカルネットワーク内のコンピュータシステムに対し、悪意を持った第三者からの不正アクセスが行われないように防御するため、従来からファイアウォール装置と呼ばれるアクセス制御技術を内蔵した装置が用いられている。
ファイアウォールには、ネットワーク中を伝送されるパケット内の送信元アドレスや送信先アドレス、ポート番号などからアクセスの許可を判断するパケットフィルタリング型や、アプリケーションプロトコル(HTTPなど)ごとにプロキシサーバを使用して、直接外部端末との通信を行わないようにすることでセキュアな通信を可能とするアプリケーションゲートウェイ型などがあり、近年では、パケットフィルタリング型のファイアウォールとIDSとを組み合わせて、ネットワークの通信性能を落とすことなく、確実に不正アクセスからコンピュータシステムを防御するファイアウォール装置が考案されている。
従来のファイアウォール装置では、不正アクセスを発行してきた送信元を管理しておき、この送信元からの以後のアクセスを制限することで、不正アクセスを排除することが行われているが、近年パケット中の送信元アドレスを偽装して不正なアクセスを試みる攻撃方法を用いる場合があり、従来のファイアウォールではこのような攻撃を十分に防御できない場合があった。
この発明の課題は、ネットワークを伝送されるパケット中の送信元アドレスを偽装して不正なアクセスを行う攻撃から、適切にコンピュータシステムを防御するファイアウォール装置を提供することにある。
前記の問題点を解決するために、この発明では次に示す手段を取った。
ネットワークからのアクセス内容を調査し、不正アクセスであるかどうかを判別する攻撃検出部を備える。攻撃検出部においては、通信データの内容を検査し、不正アクセスであるか判別するとともに、不正アクセスの種別を識別することで、その危険度を数段階に分けて判定するように構成する。
攻撃検出部において、不正アクセスと判断された場合、その送信元アドレスを、そのアクセス内容から判定された危険度とともに管理するブラックリスト管理部を備える。
また、攻撃検出部において、不正アクセスと判断された場合、その送信先アドレス、ポート番号などから、攻撃の対象となったサービスを特定し、そのサービスを要注意監視サービスとして、危険度とともに管理する監視サービス管理部を備える。
ブラックリスト管理において管理されている送信元ごとの危険度に従って、段階的にアクセス制限を実行し、危険度が所定の閾値を超えた送信元からのアクセスは一定期間遮断することで、不正アクセスの排除を実施する攻撃防御処理部を備える。
ブラックリスト管理部では、攻撃検出部で不正アクセスと判別されたアクセスに、すでにブラックリストに登録された送信元アドレスがあった場合、その送信元の危険度に、攻撃検出部でそのアクセス内容から判定された不正アクセスの危険度を累積的に加算していくように制御し、危険度の低い不正アクセスであっても、繰り返し攻撃を仕掛けてくる場合には、その送信元の危険度を順次高くしていくことによって、適切に不正アクセスを排除することができるように構成する。
また、攻撃検出部で不正アクセスと判別されたアクセスに、すでに要注意監視サービスとして登録されている送信先が指定されている場合、監視サービス管理部において、そのサービスの危険度に、攻撃検出部でそのアクセス内容から判定された不正アクセスの危険度を累積的に加算していくように制御するとともに、そのアクセスの送信元アドレスのブラックリスト管理において、その送信元の危険度をブラックリストに登録、またはブラックリスト中の危険度を更新する際に、通常使用する所定の危険度よりも、高い危険度を使用してブラックリスト管理を実行するように構成する。
この発明により、以下に示すような効果が期待できる。
インターネットなどの公衆回線に接続された企業内LANなどのローカルネットワーク内のコンピュータシステムに対し、悪意を持った第三者がデータの盗用や、システムの停止を目的に攻撃を行うことがあり、このような不正なアクセスからコンピュータシステムを守るために、従来からファイアウォール装置と呼ばれるアクセス制御技術を内蔵した装置が用いられている。
ファイアウォール装置には、ネットワークを伝送されるパケット中の送信元アドレス、送信先アドレス、ポート番号などをもとに、通信データの通過を制御するパケットフィルタリング型や、アプリケーションプロトコル(HTTPなど)ごとにプロキシサーバを使用して、直接外部アクセスを行わないことでセキュアな通信を行えるようにするアプリケーションゲートウェイ型などがある。
パケットフィルタリング型のファイアウォールは、パケットのヘッダ部の送信元、送信先、ポート番号などの情報のみを利用して、通信データの通過を制御するため、処理が高速で、ネットワークの通信性能を低下することを防ぐことができるが、パケットのヘッダ部に含まれる送信元などの値が、許可されたものである場合、ペイロード部に含まれるデータに不正なコマンドなどが含まれていても、これを排除することができず、アプリケーションゲートウェイ型のファイアウォールのように、不正アクセスの内容によりきめの細かいアクセス制御をおこなうことができないという欠点がある。
そこで、最近では、これら両方式の利点を併せ持つ、パケットフィルタリング型のファイアウォールとIDSと呼ばれる不正アクセスの検出手段とを組み合わせたファイアウォール装置が考案されている。
このパケットフィルタリング型のファイアウォールとIDSを組み合わせたファイアウォール装置では、パケットフィルタリング型のファイアウォール部でパケットのヘッダ部の情報による通信データの通過/破棄を実行し、その後のIDS部でのパケットのペイロード部のデータの検査により、不正アクセスが検出されると、以後、その送信元からのアクセスをパケットフィルタリング型のファイアウォール部で制限するようにすることで、ネットワークの通信性能を低下させることなく、確実に不正アクセスを排除することができるようにしている。
このような、不正アクセスを発行してきた送信元を管理しておき、以後のその送信元からのアクセスを制限することで、不正アクセスを排除する方法は、ネットワークの通信性能を低下させることなく、不正アクセスを排除する有効な方法であるが、近年、パケット内の送信元アドレスを偽装して不正なアクセスを行う攻撃を仕掛けてくる場合があり、このような攻撃に対しては、従来の不正な送信元を管理しておくだけのファイアウォール装置では十分にコンピュータシステムを防御することができないことがあった。
本発明を利用することにより、このようなパケット内の送信元アドレスを偽装して攻撃を仕掛けてくる不正アクセスに対しても、攻撃対象のサービスを監視することにより、攻撃対象をもとに送信元を偽装した攻撃を早期に検出し、不正アクセスを排除することができるファイアウォール装置を提供することができるようになる。
また、危険度の低い不正アクセスであっても、繰り返し攻撃してくるような攻撃パターンに対しては、段階的に防御レベルを上げるように制御することで、適切にコンピュータシステムを守るファイアウォール装置を提供することができるようになる。
この発明は、次に示す実施の形態を取った。
ネットワークからの通信データをパケットレベルでその内容を調査し、不正アクセスかどうか判別を行うとともに、そのアクセス内容から不正アクセスの種別も判定することで、危険度を数段階に分類し、数値化して判定する攻撃検出部を備えるように構成する。
これにより、不正アクセスかどうかを判別するだけではなく、その危険度も検出することで、危険度に合わせて防御レベルを制御することができ、アクセス内容に応じた適切な対応をとることができるようになる。
攻撃検出部で検出された不正アクセスの送信元アドレスを、その不正アクセスのアクセス内容から判定された危険度を累積して、その送信元の危険度として管理するブラックリスト管理部を備えるように構成する。
これにより、以前に不正なアクセスを行ってきた送信元を、パケット内の送信元アドレスから判別することができるようになり、繰り返し不正アクセスを行ってくるような、要注意の送信元を、その送信元の危険度を累積的に高くしていくことで特定し、このような送信元からの不正アクセスを適切に制限することが可能となる。
攻撃検出部において、不正アクセスと判別された場合、そのパケット内の送信先アドレスやポート番号などから、攻撃対象となっているサービスを特定し、これを要注意監視サービスとして、危険度とともに管理する監視サービス管理部を備えるように構成する。
これにより、パケット内の送信元アドレスを偽装して、特定のサービスに対し連続して攻撃を仕掛けてくるような場合にも、その攻撃対象サービスから偽装された不正アクセスをいち早く検出し、確実に不正アクセスを排除することができるようになる。
これは、DoS(Denial of Service)攻撃のような、連続的に一つのサービスに大量のアクセスを発行するような攻撃方法では、送信元を偽装しても、その攻撃対象は特定のサービスでなければならず、このような攻撃対象となっているサービスを管理しておくことで、送信元を偽装した攻撃をいち早く検出することが可能だからである。
ブラックリスト管理部において管理されている送信元ごとに、危険度が高くなるのに応じて段階的にアクセス制限を厳しくしていき、危険度が所定の閾値を超えた送信元からのアクセスは一定期間遮断するように制御することで、不正アクセスの排除を実行する攻撃防御処理部を備えるように構成する。
これにより、明らかに不正で危険なアクセスは、早急に一切のアクセスを不可能とすることができ、また、不正アクセスの可能性はあるが、正当なアクセスである可能性もある危険度の低いアクセスに対しては、段階的に防御レベルを上げるように制御することで、不正アクセスの誤検出により、正当なアクセスまでが遮断されるなどの悪影響を与えないようにすることができる。
この発明による代表的な実施例を説明する。なお、以下において、同じ箇所は同一の符号を付してあり、詳細な説明を省略することがある。
本発明は、インターネットなどの公衆回線に接続された企業内LANなどのローカルネットワーク内のコンピュータシステムを、悪意を持った第三者からの不正アクセスから防御するファイアウォール装置に関し、特に送信元アドレスを偽装して攻撃を仕掛けてくるような、従来のファイアウォール装置では防御することが困難であった不正アクセスをいち早く検出し、コンピュータシステムを防御することができるファイアウォール装置である。
インターネットなどの公衆回線に接続されたコンピュータシステムにおいては、悪意を持った第三者からの不正なアクセスにより、コンピュータシステム内に格納されているユーザデータが盗まれたり、破壊されたりする場合があり、また、個々のアクセス自体は正常なアクセスでありながら、大量のアクセスを連続して特定のサービスに行うことで、コンピュータシステムを停止させてしまうような攻撃を仕掛けてくる場合があり、これらの不正なアクセスからコンピュータシステムを守るため、従来からファイアウォール装置と呼ばれるアクセス制御技術を内蔵した装置が用いられている。
従来のファイアウォール装置では、不正アクセスからコンピュータシステムを防御するため、不正アクセスのパターンを通信データの内容や、プロトコルのシーケンス異常などから検出し、検出された不正アクセスを行ってきた送信元アドレスをパケット内のヘッダ情報から特定することで、以後、この送信元からのアクセスを制限するなどして不正アクセスを排除するようにしていた。
また、個々のアクセスとしては正当なアクセスであるが、これが連続して特定のサービスに対し大量に発行され、サービス側の資源不足や処理能力の限界を超えることで、システムが動作できなくなってしまうような攻撃に対しては、このような連続的なアクセスの送信元アドレスを記憶しておき、同一の送信元アドレスからのアクセスを制限することで、コンピュータシステムへの不正アクセスを排除していた。
しかし、近年、ネットワークを伝送されるパケット内の送信元アドレスを偽装して、送信元アドレス自体を連続的に変更して、特定のサービスに対して連続的にアクセスを発行するような攻撃がなされるようになっており、このような場合、不正な送信元アドレスを記憶しておき、同一の送信元からのアクセスを遮断するような従来の方法では防ぐことができなかった。
そこで、本装置では、図1に示すように、不正アクセスを検出する攻撃検出部2、不正なアクセスを行ってきた送信元を危険度とともに管理するブラックリスト管理部1、不正なアクセスの対象となっている要注意監視サービスを危険度とともに管理する監視サービス管理部3、ブラックリスト管理部1により管理された危険度を元に、段階的にアクセス制限を実行する攻撃防御処理部4を備えるように構成している。
攻撃検出部2においては、図2に示すように、ネットワークを通じて伝送されてくる全通信データを、パケットレベルまで解析し、その送信元を特定し、データの内容が所定の不正アクセスパターンと一致するか判別することで、不正アクセスかどうかを判別するとともに、不正アクセスの種別を特定し、その危険度も判定することができるように構成している。
危険度の判定は、1回のアクセスでコンピュータシステムのユーザデータが破壊されたり、システムが動作不能になってしまうような場合を最大の危険度とし、悪意がないと発生しないコマンドを中程度の危険度とし、個々のアクセスは正常なアクセスであるが、大量に連続して同様なアクセスが行われることで、システムが動作不能となるようなものを低度の危険度とするなど、アクセス内容により数段階に危険度を分類分けし、その危険度を数値化して危険度を判定するように構成している。
図3では、不正アクセスの内容により危険度を5段階に分類分けした場合の例を示しており、危険度が高くなるに従い、数値化した危険度が1、2、4、8、16と大きくなるようにしている。
ブラックリスト管理部1においては、図4に示すような、攻撃送信元のアドレス情報と、その送信元の危険度を数値化してグレー度として記憶しておくブラックリストを備えるように構成している。
ブラックリストの管理は、以下のように行われる。
攻撃検出部2において、不正アクセスが検出されると、その送信元アドレスと、その不正アクセスの危険度が、攻撃検出部2からブラックリスト管理部1に通知され、この情報を受けたブラックリスト管理部1では、その送信元アドレスがすでにブラックリストに登録されているか照合を行う。
図5に示すように、まだ、その送信元アドレスがブラックリストに登録されていない場合には、ブラックリスト管理部1は、その送信元をブラックリストに新たに追加し、攻撃検出部2にて判定された危険度もその送信元の危険度として登録する。
照合の結果、すでに、その送信元がブラックリストに登録されている場合には、図6に示すように、その送信元の危険度を通知された危険度分だけ加算するように制御する。これにより、送信元の危険度が累積されていき、所定の閾値を超えるとブラックレベルの送信元としてその送信元からのアクセスを一切受け付けないようにすることもできる。
このようにブラックリストを制御することで、単発でのアクセスでの危険度は低いが、連続して不正なアクセスを送信してくる場合には、そのような送信元の危険度は順次上がることとなるので、厳しくアクセス制限をかけることができるようになる。
監視サービス管理部3では、図7に示すように、不正アクセスの送信先となったサービスと、その危険度を数値化してグレー度として記憶しておく要注意監視サービスリストを備えるように構成している。
要注意監視サービスリストの管理は、以下のように行われる。
攻撃検出部2において、不正アクセスが検出されると、その送信先アドレスやポート番号などから特定した攻撃対象サービスと、その不正アクセスの内容から判定された危険度が、攻撃検出部2から監視サービス管理部3に通知され、この情報を受けた監視サービス管理部3では、上記のブラックリスト管理と同様に、そのサービスが要注意監視サービスリストにない場合には、新たにリストに追加し、すでに要注意監視サービスリストに登録されている場合には、そのサービスの危険度を通知された危険度分だけ加算するように制御処理を行う。
攻撃防御処理部4では、図8に示すように、外部からファイアウォール装置を経由して、ファイアウォール装置に守られたコンピュータシステムにアクセスを行ってくる通信データのすべてを受信し、アクセスごとに、そのアクセスの送信元がブラックリスト管理部1で管理されているブラックリストに登録されていないかブラックリスト管理部1に照合を依頼する。
ブラックリストに登録されている場合には、図9に示すように、その送信元の危険度により送信先サービスとのコネクション数を危険度が高くなるに従って少なくするように制限し、危険度が所定の閾値を超えブラックと認定された送信元については、一定期間、全通信データの破棄を行うように構成している。
アクセス制限により破棄されなかったデータについては、そのアクセスデータを攻撃検出部2に渡し、それが不正アクセスの場合には、ブラックリスト管理部1、監視サービス管理部3に攻撃検出部2より不正アクセスの送信元、送信先およびその危険度の情報が渡され、リストの更新処理が行われるようにしている。
ブラックリストに登録されていない場合には、そのアクセスデータを攻撃検出部2に渡し、そのアクセスが不正アクセスでないかチェックする。
その結果、アクセスが正当なものであれば、通信データを通過させ、送信先のコンピュータシステムに送信し、アクセスが不正アクセスであれば、ブラックリスト管理部1、監視サービス管理部3に攻撃検出部2より不正アクセスの送信元、送信先およびその危険度の情報が渡され、リストに登録するように制御する。
このように、ブラックリスト管理部1、攻撃検出部2、監視サービス管理部3、攻撃防御処理部4が連携して、不正アクセスの検出を行い、その危険度を送信元、送信先の両面から管理しているのであるが、図10に示すように、危険度の低い不正アクセスを、送信元アドレスを偽装することによって、常に違う送信元からのアクセスに見せかけて攻撃を仕掛けてきた場合、上記のブラックリストにすでに登録されているかどうかを照合するだけの管理では、新たな送信元が、低い危険度とともにリストに追加されていくだけで、十分なアクセス制限を行うことができず、不正アクセスからのコンピュータシステムの保護が不完全となる。
そこで、本装置では、このような送信元を偽装して攻撃を仕掛けてくる場合でも、十分に攻撃対象のコンピュータシステムを保護するため、以下のようなブラックリスト管理を行っている。
図11に示すように、送信元H1から危険度4の攻撃が攻撃対象サービス1に対して初めて発せられた場合、ブラックリストおよび要注意監視サービスリストには送信元H1およびサービス1が登録されていないので、ブラックリストに送信元H1を登録するとともに、その危険度として危険度4が新規に登録され、また、要注意監視サービスリストにもサービス1が危険度4として新規に登録される。
その後、図12に示すように、送信元H1が送信元をH2と偽装して、攻撃対象サービス1に対して危険度4の攻撃が発せられると、攻撃検出部2にて不正アクセスが検出され、ブラックリスト管理部1への照合により、ブラックリストには偽装送信元であるH2は未登録であるが、監視サービス管理部3への照合により攻撃対象サービス1はすでに要注意監視サービスリストに登録されていることが検出される。
送信元H2のブラックリストへの新規登録に際して、その危険度を通常の場合であれば危険度4として登録するのであるが、このようにすでに要注意監視サービスリストに登録されているサービスに対する不正アクセスの場合は、不正アクセスの内容から求められた所定の危険度の倍である危険度8として登録するように構成している。
このように要注意監視サービスリストに登録されているサービスへの不正アクセスの場合に、ブラックリストへの登録、更新における危険度を通常の倍の値で登録、更新を行うことで、送信元を偽装していても、攻撃対象であるサービスが同一であれば、偽装された送信元の危険度が高くなるので、厳しいアクセス制限をかけることができるようになる。
また、図13に示すように、要注意監視サービスリストに登録されているサービスに対する不正アクセスが発行された場合、その送信元の危険度のブラックリストへの登録、または更新には、要注意監視サービスリストにて管理されている攻撃対象のサービスの危険度を考慮して送信元の危険度を決定するように構成してもよい。
図13には、要注意監視サービスリストに登録されているサービス1の危険度が18のときに、送信元をH3と偽装して、サービス1に対し危険度4の不正アクセスを仕掛けてきた場合の例が示されており、この場合、H3のブラックリストへの登録に際し、H3の危険度としてサービス1の危険度である18に、不正アクセスの危険度4を加えて、危険度を22として登録を行っている。
このようにすることで、送信元を偽装して特定のサービスに連続して不正アクセスを繰り返すうちに、攻撃対象のサービスの危険度が累積されて非常に高くなっていき、ブラックリストに登録されていない送信元に偽装しても、その送信元の危険度の判定において、一度に所定の閾値を超え、ブラックレベルの送信元として認定し、一切通信を遮断するようにすることもでき、より確実に送信元を偽装した攻撃を防御することができるようになる。
本発明の全体構成図である。 攻撃検出部の処理説明図である。 不正アクセスの内容による危険度の分類説明図である。 ブラックリスト管理部の説明図である。 送信元がブラックリストに登録されていない場合の処理説明図である。 送信元がすでにブラックリストに登録済みの場合の処理説明図である。 監視サービス管理部の説明図である。 攻撃防御処理部での処理説明図である。 攻撃防御処理部でのアクセス制限の説明図である。 送信元を偽装して攻撃してきた場合の説明図である。 送信元を偽装した攻撃に対するブラックリスト管理の説明図1である。 送信元を偽装した攻撃に対するブラックリスト管理の説明図2である。 送信元を偽装した攻撃に対するブラックリスト管理の説明図3である。 従来のファイアウォール装置の説明図である。 IDSと組み合わせたファイアウォール装置の説明図である。
符号の説明
1:ブラックリスト管理部
2:攻撃検出部
3:監視サービス管理部
4:攻撃防御処理部

Claims (3)

  1. インターネットなどの公衆回線に接続された企業内LANなどのローカルネットワークに接続されたコンピュータシステムを、悪意ある第三者からの不正なアクセスから守るファイアウォール装置において、
    当該ファイアウォール装置を経由する通信データを解析し、不正アクセスを判別するとともに、その不正アクセスの種別を識別することで、所定の危険度を数値化して判定する攻撃検出部と、
    不正アクセスを発行してきた送信元を、数値化した危険度とともに記憶し、管理しておくブラックリスト管理部と、
    ブラックリスト管理部で管理されているブラックリストの危険度情報をもとに、危険度が高くなるに従って、段階的に厳しくなるアクセス制限を実行する攻撃防御処理部と、
    を備えることを特徴とするファイアウォール装置。
  2. インターネットなどの公衆回線に接続された企業内LANなどのローカルネットワークに接続されたコンピュータシステムを、悪意ある第三者からの不正なアクセスから守るファイアウォール装置において、
    前記攻撃検出部において、攻撃対象のサービスを検出する機能と、
    攻撃対象となったサービスを危険度とともに要注意監視サービスリストとして記憶し、管理しておく監視サービス管理部と、
    を備えることを特徴とする請求項1記載のファイアウォール装置。
  3. インターネットなどの公衆回線に接続された企業内LANなどのローカルネットワークに接続されたコンピュータシステムを、悪意ある第三者からの不正なアクセスから守るファイアウォール装置において、
    前記ブラックリスト管理部において、不正アクセスがすでに要注意監視サービスリストに登録されているサービスに対して発行されたものである場合、その送信元をブラックリストに登録、またはすでに登録されている危険度を更新するにあたり、その不正アクセスの内容から判定された通常使用する所定の危険度よりも高い危険度を使用して、登録、更新処理を行う、
    ことを特徴とする請求項2記載のファイアウォール装置。
JP2003367256A 2003-10-28 2003-10-28 ファイアウォール装置 Pending JP2005134972A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003367256A JP2005134972A (ja) 2003-10-28 2003-10-28 ファイアウォール装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003367256A JP2005134972A (ja) 2003-10-28 2003-10-28 ファイアウォール装置

Publications (1)

Publication Number Publication Date
JP2005134972A true JP2005134972A (ja) 2005-05-26

Family

ID=34645312

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003367256A Pending JP2005134972A (ja) 2003-10-28 2003-10-28 ファイアウォール装置

Country Status (1)

Country Link
JP (1) JP2005134972A (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007081638A (ja) * 2005-09-13 2007-03-29 Fuji Xerox Co Ltd 画像処理装置及び不正アクセス防止方法
JP2008165632A (ja) * 2006-12-28 2008-07-17 Canon It Solutions Inc 通信データ監視装置および通信データ監視方法およびプログラムおよび記録媒体
JP2009081736A (ja) * 2007-09-26 2009-04-16 Toshiba Corp パケット転送装置及びパケット転送プログラム
JP2012100024A (ja) * 2010-11-01 2012-05-24 Denso Corp 通信装置
JP2016170651A (ja) * 2015-03-13 2016-09-23 富士通株式会社 不正アクセス検出方法、装置、及びプログラム
US9740851B2 (en) 2014-07-30 2017-08-22 International Business Machines Corporation Sending a password to a terminal
WO2017221979A1 (ja) * 2016-06-23 2017-12-28 日本電気株式会社 処理制御装置、処理制御方法、及び、処理制御プログラムが記録された記録媒体
JP2018063728A (ja) * 2017-12-27 2018-04-19 株式会社カウリス サービス提供システム、サービス提供方法、照合装置、照合方法及びコンピュータプログラム
JP2018194880A (ja) * 2017-05-12 2018-12-06 株式会社Pfu 情報処理装置、不正活動分類方法および不正活動分類用プログラム
JP2019159431A (ja) * 2018-03-07 2019-09-19 富士通株式会社 評価プログラム、評価方法および評価装置
CN116319083A (zh) * 2023-05-17 2023-06-23 南京哲上信息科技有限公司 一种数据传输安全检测方法及系统

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007081638A (ja) * 2005-09-13 2007-03-29 Fuji Xerox Co Ltd 画像処理装置及び不正アクセス防止方法
JP2008165632A (ja) * 2006-12-28 2008-07-17 Canon It Solutions Inc 通信データ監視装置および通信データ監視方法およびプログラムおよび記録媒体
JP4542544B2 (ja) * 2006-12-28 2010-09-15 キヤノンItソリューションズ株式会社 通信データ監視装置および通信データ監視方法およびプログラム
JP2009081736A (ja) * 2007-09-26 2009-04-16 Toshiba Corp パケット転送装置及びパケット転送プログラム
JP2012100024A (ja) * 2010-11-01 2012-05-24 Denso Corp 通信装置
US10255430B2 (en) 2014-07-30 2019-04-09 International Business Machines Corporation Sending a password to a terminal
US9740851B2 (en) 2014-07-30 2017-08-22 International Business Machines Corporation Sending a password to a terminal
JP2016170651A (ja) * 2015-03-13 2016-09-23 富士通株式会社 不正アクセス検出方法、装置、及びプログラム
WO2017221979A1 (ja) * 2016-06-23 2017-12-28 日本電気株式会社 処理制御装置、処理制御方法、及び、処理制御プログラムが記録された記録媒体
JP2017228136A (ja) * 2016-06-23 2017-12-28 日本電気株式会社 処理制御装置、処理制御方法、及び、処理制御プログラム
CN109416716A (zh) * 2016-06-23 2019-03-01 日本电气株式会社 处理控制装置、处理控制方法和记录有处理控制程序的记录介质
US11086986B2 (en) 2016-06-23 2021-08-10 Nec Corporation Processing control apparatus, processing control method, and non-transitory recoding medium
JP2018194880A (ja) * 2017-05-12 2018-12-06 株式会社Pfu 情報処理装置、不正活動分類方法および不正活動分類用プログラム
JP2018063728A (ja) * 2017-12-27 2018-04-19 株式会社カウリス サービス提供システム、サービス提供方法、照合装置、照合方法及びコンピュータプログラム
JP2019159431A (ja) * 2018-03-07 2019-09-19 富士通株式会社 評価プログラム、評価方法および評価装置
CN116319083A (zh) * 2023-05-17 2023-06-23 南京哲上信息科技有限公司 一种数据传输安全检测方法及系统
CN116319083B (zh) * 2023-05-17 2023-08-04 南京哲上信息科技有限公司 一种数据传输安全检测方法及系统

Similar Documents

Publication Publication Date Title
US7890612B2 (en) Method and apparatus for regulating data flow between a communications device and a network
US7506360B1 (en) Tracking communication for determining device states
US7725936B2 (en) Host-based network intrusion detection systems
KR101045362B1 (ko) 능동 네트워크 방어 시스템 및 방법
US7225468B2 (en) Methods and apparatus for computer network security using intrusion detection and prevention
US8136162B2 (en) Intelligent network interface controller
US9060020B2 (en) Adjusting DDoS protection based on traffic type
EP2156361B1 (en) Reduction of false positive reputations through collection of overrides from customer deployments
US20070294759A1 (en) Wireless network control and protection system
WO2003100617A1 (en) Adaptive intrusion detection system
US7500264B1 (en) Use of packet hashes to prevent TCP retransmit overwrite attacks
KR102501372B1 (ko) Ai 기반 이상징후 침입 탐지 및 대응 시스템
JP2005134972A (ja) ファイアウォール装置
US8819285B1 (en) System and method for managing network communications
CA2587867C (en) Network security device
KR101268104B1 (ko) 침입방지시스템 및 그 제어방법
JP2005005927A (ja) ネットワークシステムと不正アクセス制御方法およびプログラム
US20170346844A1 (en) Mitigating Multiple Advanced Evasion Technique Attacks
JP2008011008A (ja) 不正アクセス防止システム
WO2005065023A2 (en) Internal network security
KR101639428B1 (ko) 보드기반 단방향 통신제어 시스템
US11451584B2 (en) Detecting a remote exploitation attack
Punia et al. Current trends and approaches of network intrusion detection system
KR20080035724A (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
KR20050063477A (ko) 네트워크 정보에 대한 보안 시스템 및 그 방법