JP2005252808A - 不正アクセス阻止方法、装置及びシステム並びにプログラム - Google Patents

不正アクセス阻止方法、装置及びシステム並びにプログラム Download PDF

Info

Publication number
JP2005252808A
JP2005252808A JP2004062361A JP2004062361A JP2005252808A JP 2005252808 A JP2005252808 A JP 2005252808A JP 2004062361 A JP2004062361 A JP 2004062361A JP 2004062361 A JP2004062361 A JP 2004062361A JP 2005252808 A JP2005252808 A JP 2005252808A
Authority
JP
Japan
Prior art keywords
packet
network
unauthorized access
predetermined condition
determined
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004062361A
Other languages
English (en)
Other versions
JP4480422B2 (ja
Inventor
Naohiro Tamura
直広 田村
Takuya Haniyu
卓哉 羽生
Mayuko Morita
真由子 森田
Osamu Koyano
修 小谷野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2004062361A priority Critical patent/JP4480422B2/ja
Priority to US10/898,749 priority patent/US7457965B2/en
Publication of JP2005252808A publication Critical patent/JP2005252808A/ja
Application granted granted Critical
Publication of JP4480422B2 publication Critical patent/JP4480422B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】
DDoS攻撃やワームのプロービングなどの不正アクセスを阻止することにより、他のネットワークへの影響を最小限に抑える。
【解決手段】
阻止装置10a及び10bがDDoS攻撃によるアウトバウンド・パケットやワームによるプロービングのアウトバウンド・パケットを検出すると、そのようなアウトバウンド・パケットについてEgressフィルタリングを実施し、基幹ネットワーク1000に不正アクセスに係るパケットを送出しないようにする。また、例えば管理装置を経由して不正アクセスが検出された旨の通知が他の阻止装置10c及び10dに送付されるので、予防的に阻止装置10c及び10dでは不正アクセスに係るパケットを接続ネットワークC及びDに送出しないようにIngressフィルタリングを実施する。
【選択図】 図2

Description

本発明は、不正アクセス阻止技術に関する。
分散型サービス不能化(DDoS:Distributed Denial of Service)攻撃及びコンピュータワーム(Worm)は、大量の不正トラフィックを発生させることにより、ネットワークリソース、すなわちネットワーク帯域、ルータCPU、サーバCPUなどを故意に消費させ、ネットワーク基盤を麻痺させるという共通の特徴を持っている。
この分散型サービス不能化攻撃とは、ネットワーク上に分散している踏み台マシンから、故意にシステムリソースの許容限度を超えた処理要求を送出することにより、システムを停止又は不能化させる攻撃である。そのため、一度、一斉攻撃が開始された後から分散している踏み台マシンを探し出し、不正攻撃を停止させるのでは、被害を防げないという特徴がある。
また、コンピュータワーム(以下、単にワームとも呼ぶ。)とは、コンピュータのユーザが介在せずに自己複製し感染していくプログラムをいう。ワームは、ホスト上で実行されるプログラムのバッファ・オーバーフロー(Buffer Overflow)、ヒープ・オーバーフロー(Heap Overflow)、フォーマット・ストリング(Format String)などの脆弱性を利用して、ネットワークに接続されたコンピュータ間を自己複製しながら移動する。ワームは自己複製し伝播していくスピードが非常に速く、その過程において多量のトラフィックを発生するため、DDoS攻撃同様、一度ワームが拡散した後からワームに感染したホストを探し出しワームを停止させるのでは、被害を防げないという特徴がある。
なお、近年流行したコンピュータワームはその伝播スピードが非常に速くなってきており、Code Redは36万のホストを感染させるのに12時間しかかからず、さらにSQL Slammerは10分間で全世界に広まった。また、近年流行したコンピュータワームは、感染したホストを踏み台としてDDoS攻撃を実施するエージェント・プログラムを内包しており、このコンピュータワームによって踏み台マシンにインストールされDDoS攻撃が実施される傾向がある。具体的には、Code Redはhttp://www1.whitehouse.govを、SQL Blasterはhttp://www.windowsupdate.comをDDoS攻撃するエージェント・プログラムが含まれていた。
このような分散型サービス不能化攻撃に対処する技術は例えば特開2003−283554号公報や特開2003−289337号公報などに開示されている。しかし、これらの公報開示の技術は、特定のネットワークへのインバウンド・パケットからDDoS攻撃を検出するものである。しかし、これらの技術では特定のネットワークからDDoS攻撃がなされるような場合に何らの対処ができず、他のネットワークに被害を及ぼす可能性がある。
例えば図1に示すように、基幹ネットワーク1000に、防御装置1001を介して接続ネットワークAと、防御装置1002を介して接続ネットワークBと、防御装置1003を介して接続ネットワークCと、防御装置1004を介して接続ネットワークDとが接続されている状態において、接続ネットワークAと接続ネットワークBにDDoS攻撃の元(すなわち踏み台)となるコンピュータ又はコンピュータワームに感染してしまったコンピュータが存在するとする。従来技術では、防御装置1001及び1002は、自己の接続ネットワークA又はBからのアウトバウンドのパケットについては検査しないので、DDoS攻撃によるパケット又はワークによるプロービングのためのパケットは、基幹ネットワーク1000側に送出されてしまう。従って、基幹ネットワーク1000では輻輳が生ずる。一方、攻撃先又は感染先となる接続ネットワークC及びDに接続する防御装置1003及び1004は、接続ネットワークC及びDへのインバウンドのパケットの中からDDoS攻撃によるパケットやプロービングによるパケットを検出すると、DDoS攻撃によるパケットやプロービングによるパケットのフィルタリングを行って接続ネットワークC及びDに送出しないようにする。
なお、コンピュータワームと似た用語にコンピュータ・ウィルスがあるが、コンピュータ・ウィルスとは、コンピュータのユーザが介在し感染していくプログラムをいい、ここではコンピュータ・ワームとは区別する。メールの添付ファイルやHTML(Hyper Text Markup Language)ページのリンクに含まれているような、コンピュータユーザが無害だと思って或いは知らずに実行すると破壊活動を起こす、偽装したプログラムである。コンピュータ・ウィルスはコンピュータ・ワームに比べて伝播スピードが遅く、コンピュータ・ウィルスは、クライアント又はサーバで実行するシグニチャー型のアンチウィルスソフトウエアにより、検知駆逐する技術が既に確立されており、ここでは取り扱わないものとする。
特開2003−283554号公報 特開2003−289337号公報
上で述べた従来技術のように、基幹ネットワークとの境界で基幹ネットワークからのインバウンド・トラフィックのみを監視し、対策を実施する方法では様々な問題がある。すなわち、DDoS攻撃において、基幹ネットワークとの境界でインバウンド・トラフィックをブロックすることにより、ターゲットとなったサーバを含むネットワークは保護されるが、DDoS攻撃を停止させることはできないため、基幹ネットワーク帯域及び基幹ネットワーク内のルータのリソースが消費され、正常な通信が妨げられる。また、ワーム伝播において、基幹ネットワークとの境界でインバウンド・トラフィックをブロックすることにより、基幹ネットワークからワームの侵入は防ぐことができるかもしれない。しかし、ワームに感染したコンピュータによる、新たな感染先を探すためのプロービングを停止させることができないため、基幹ネットワーク帯域及び基幹ネットワーク内のルータのリソースが消費され、正常な通信が妨げられる。
また、理想的な環境を想定し、基幹ネットワークに接続している全てのネットワークにおいてインバウンド・トラフィックを完全にブロックしたとしても、ワームの感染は例えばノート型パーソナルコンピュータのようなポータブル機器から内部ネットワークに侵入する場合があり、現実的には基幹ネットワークへのワームの伝播を阻止することができない。
従って、本発明の目的は、DDoS攻撃やワームのプロービングなどの不正アクセスを阻止することにより、他のネットワークへの影響を最小限に抑えるための技術を提供することである。
本発明の第1の態様に係る不正アクセス阻止方法は、第1のネットワークから他のネットワークへのアウトバウンドのパケットを検査し、当該パケットが所定の条件を満たしているか判断する判断ステップと、所定の条件を満たしていると判断された場合には、所定の条件を満たしていると判断されたパケットについてのデータに基づき第1のネットワークから他のネットワークへのパケット出力を停止するための設定を行う設定ステップとを含む。このように他のネットワークへのアウトバウンドのパケットを基準にフィルタリングを実施するため、他のネットワークへの影響を最小限に抑えることができるようになる。
なお、上で述べた所定の条件が、分散型サービス不能化攻撃とみなされるパケットを検出するための第1の条件とコンピュータワームによるプロービングとみなされるパケットを検出するための第2の条件との少なくともいずれかを含むようにしてもよい。
さらに、上記第1の条件が、パケット種別と送信先IPアドレスと送信先ポート番号との組み合わせにて特定される各パケットの単位時間あたりのパケット送出数と、改竄された送信元IPアドレスを含むパケットの数との少なくともいずれかを含むようにしてもよい。分散型サービス不能化攻撃によるパケットの特徴を表すパラメータである。
さらに、上記第2の条件が、パケット種別と送信先ポート番号との組み合わせにて特定されるパケットの単位時間あたりの送信先IPアドレス数と、不正な送信先IPアドレスを含むパケットの数との少なくともいずれかを含むようにしてもよい。ワームによるプロービングのパケットの特徴を表すパラメータである。
また、所定の条件を満たしていると判断された場合には、所定の条件を満たしていると判断されたパケットについてのデータを他の装置(例えば管理装置又は他の不正アクセス阻止装置)に送信するステップをさらに含むようにしてもよい。不正アクセスを検出した場合であっても必ずしも不正アクセスに係る全てのパケットの出力を遮断できるわけではないので、他の装置にも不正アクセスの検出を通知することにより別途不正アクセスの対処が可能となる。
さらに、他の装置から不正アクセス検知の通知を受信した場合、当該不正アクセス検知の通知に基づき他のネットワークから第1のネットワークへのインバウンド・パケットのフィルタリング処理の設定を行うフィルタリング設定ステップをさらに含むようにしてもよい。これにより予防的なインバウンド・パケットのフィルタリングを実施することができるようになる。
また、フィルタリング設定ステップが、不正アクセス検知の通知に特定のIPアドレスのデータを含む場合には、当該特定のIPアドレスが前記第1のネットワークに関連するか判断するステップを含むようにしてもよい。第1のネットワークに関連しない特定のIPアドレスが攻撃対象となっている場合には、フィルタリングを実施する必要はないためである。
本発明の第2の態様に係る不正アクセス阻止装置は、第1のネットワークから他のネットワークへのアウトバンドのパケットを検査し、当該パケットが所定の条件を満たしているか判断する判断手段と、所定の条件を満たしていると判断された場合には、所定の条件を満たしていると判断されたパケットについてのデータに基づき第1のネットワークから他のネットワークへのパケット出力を停止するための設定を行う設定手段とを有する。本不正アクセス阻止装置は、例えばスイッチなどのネットワーク機器であってもよいし、ネットワーク機器に接続された別のコンピュータ等であってもよい。
本発明の第3の態様に係る不正アクセス阻止システムは、管理装置と、第1のネットワークから他のネットワークへのアウトバウンドのパケットを検査し、当該パケットが所定の条件を満たしているか判断する判断手段と、所定の条件を満たしていると判断された場合には、所定の条件を満たしていると判断されたパケットについてのデータに基づき第1のネットワークから他のネットワークへのパケット出力を停止するための設定を行う設定手段と、所定の条件を満たしていると判断された場合には、所定の条件を満たしていると判断されたパケットについてのデータを管理装置に送信する手段と、管理装置から不正アクセス検知の通知を受信した場合、当該不正アクセス検知の通知に基づき他のネットワークから第1のネットワークへのインバウンド・パケットのフィルタリング処理の設定を行う手段とを有する複数の不正アクセス阻止装置とを有し、上記管理装置が、特定の不正アクセス阻止装置から所定の条件を満たしていると判断されたパケットについてのデータを受信した場合には、特定の不正アクセス阻止装置以外の不正アクセス阻止装置に当該所定の条件を満たしていると判断されたパケットについてのデータを送信する手段を有する。このように複数の不正アクセス阻止装置と管理装置の組み合わせにて不正アクセスに対処するようにしてもよい。但し、ネットワーク中に管理装置を設けない構成も可能である。
なお、上記不正アクセス阻止方法は、コンピュータとプログラムの組み合わせにて実施される場合もあり、その場合に当該プログラムは、例えばフレキシブルディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等の記憶媒体又は記憶装置に格納される。また、ネットワークなどを介してデジタル信号として配信される場合もある。尚、中間的な処理結果はメモリ等の記憶装置に一時保管される。
本発明によれば、DDoS攻撃やワームのプロービングなどの不正アクセスを阻止することにより、他のネットワークへの影響を最小限に抑えることができる。
[本発明の実施の形態の概要]
図2に本発明の実施の形態の概要を示す。図2では、基幹ネットワーク1000には、阻止装置10aを介して接続ネットワークAと、阻止装置10bを介して接続ネットワークBと、阻止装置10cを介して接続ネットワークCと、阻止装置10dを介して接続ネットワークDとが接続されている。そして図1と同じように、接続ネットワークA及び接続ネットワークBには、DDoS攻撃の元となるコンピュータ又はワームに感染したコンピュータが接続しているものとする。本実施の形態では、阻止装置10a及び10bがDDoS攻撃によるアウトバウンド・パケットやワームによるプロービングのアウトバウンド・パケットを検出すると、そのようなアウトバウンド・パケットについてイグレス(Egress)フィルタリングを実施し、基幹ネットワーク1000に不正アクセスに係るパケットを送出しないようにする。また、例えば図示しない管理装置を経由して不正アクセスが検出された旨の通知が他の阻止装置10c及び10dに送付されるので、予防的に阻止装置10c及び10dでは不正アクセスに係るパケットを接続ネットワークC及びDに送出しないようにイングレス(Ingress)フィルタリングを実施する。
このようにすれば、基幹ネットワーク1000の境界(すなわち阻止装置10a乃至10d)において、基幹ネットワーク1000に接続した接続ネットワークA又はBから基幹ネットワーク1000へのDDoS攻撃やワームのプロービングによる不正アクセスのアウトバンド・トラフィックを検出し、基幹ネットワーク1000への不正なトラフィックの流入を阻止できる。従って、基幹ネットワーク1000の輻輳や基幹ネットワーク1000のルータ処理能力が不能化されることがない。
また、基幹ネットワーク1000に接続する接続ネットワークA又はBに万が一DDoSエージェントが仕込まれたとしても、基幹ネットワーク1000へのDDoS攻撃に係るパケットの流出をすばやく阻止できるので、DDoS攻撃を無効化できる。
また、基幹ネットワーク1000に接続する接続ネットワークA又はBが万が一ワームに感染したとしても、基幹ネットワーク1000へのワームの流出をタイムラグ無くすばやく阻止できるので、ワームの拡大を阻止できる。
さらに、基幹ネットワーク1000に接続する接続ネットワークA及びBで不正アクセスが検出された場合、基幹ネットワーク1000に接続する他のネットワークC及びDへ不正アクセスが行われないように予防的な対策が実施されるので、不正アクセス防御に対する信頼性が向上する。
なお、本実施の形態に係る基幹ネットワーク1000は、例えば企業における基幹ネットワークであって、接続ネットワークは例えば各部門や拠点におけるネットワークである。また、基幹ネットワーク1000は、インターネットサービスプロバイダ(ISP)における基幹ネットワークであってもよく、その場合接続ネットワークは、顧客グループのネットワーク(例えば政府・自治体のネットワーク、顧客企業ネットワーク、個人ユーザネットワーク)となる。
[本発明の実施の形態の具体的構成]
図3に本実施の形態に係るシステムの機能ブロック図を示す。図3の例では、基幹ネットワーク1000には、スイッチ12aとスイッチ12bと管理装置16とが接続されている。スイッチ12aには阻止装置10aがミラーポート接続されている。同じようにスイッチ12bには阻止装置10bがミラーポート接続されている。さらに、スイッチ12aには接続ネットワークAが、スイッチ12bには接続ネットワークBが、それぞれ接続されている。管理装置16には、例えばパーソナルコンピュータである管理者端末18が接続されている。なお、基幹ネットワーク1000に接続されているスイッチ、ネットワークの数は任意である。
スイッチ12aには、接続ネットワークAから基幹ネットワーク1000へのアウトバウンド・トラフィックに対するEgressフィルタと、基幹ネットワーク1000から接続ネットワークBへのインバウンド・トラフィックに対するIngressフィルタとを実現するフィルタ14aが含まれている。同様に、スイッチ12bには、接続ネットワークBから基幹ネットワーク1000へのアウトバウンド・トラフィックに対するEgressフィルタと、基幹ネットワーク1000から接続ネットワークBへのインバウンド・トラフィックに対するIngressフィルタとを実現するフィルタ14bが含まれている。
阻止装置10aは、阻止プログラム100aを実行し、定義ファイル140aと、イベントデータ格納部150aと、パケットFIFO(First In First Out)バッファ160aとを管理している。同様に、阻止装置10bは、阻止プログラム100bを実行し、定義ファイル140bと、イベントデータ格納部150bと、パケットFIFOバッファ160bとを管理している。また、阻止プログラム100aには、トラフィック監視部110aと、不正アクセス検知部120aと、フィルタ制御部130aと、図示しないがファイル等のデータ格納部やスイッチ12aとデータのやり取りを行うIO制御部とが含まれる。また図示していないが、阻止プログラム100bも同様の処理部を有している。
管理装置16は、制御部162を有する管理プログラム160を実行し、イベントログ格納部164と、マネージャイベントデータ格納部166とを管理している。
例えば、接続ネットワークAから基幹ネットワーク1000へのアウトバウンド・パケットは、基幹ネットワーク1000だけではなく阻止装置10aにも出力される。阻止装置10aでは、以下で述べる処理を実施し、不正アクセスを検知した場合にはスイッチ12aのフィルタ14aにEgressフィルタリングを実施させる。この際、定義ファイル140aと、イベントデータ格納部150aと、パケットFIFOバッファ160aとを使用する。また、不正アクセスを検知した場合には管理装置16にも不正アクセスを検知した旨を通知する。管理装置16の管理プログラム160は、イベントログ格納164及びマネージャイベントデータ格納部166を用いて、管理者端末18に不正アクセス検知の通知を行ったり、不正アクセスの検知を通知してきた阻止装置以外の阻止装置(例えば阻止装置10b)に不正アクセスの検知を通知する。不正アクセスの検知を通知された阻止装置10bは、スイッチ12bのフィルタ14bにIngressフィルタリングを実施させる。また、管理者端末18を操作する管理者により、不正アクセスの対策解除を指示された場合には、管理プログラム160は、当該不正アクセス対策解除の通知を阻止装置に送信する。不正アクセス対策解除の通知を受信した各阻止装置は、Egressフィルタリング又はIngressフィルタリングの停止をスイッチ12a及び12bに指示する。
図4に、定義ファイル140aの一例を示す。図4の例では定義ファイル140aには、「正当SrcIP範囲prefix」と表されている(正当送信元IPアドレス(Src IP)範囲プレフィックス(Prefix))の行と、「正当DistIP範囲prefix」と表されている(正当送信先IPアドレス(Dist IP)範囲Prefix)の行と、「パケット送出数閾値」と表されている(1秒あたりの特定送信先IPアドレス宛のパケット送出数についての閾値)の行と「SrcIPSpoofing送出数閾値」と表されている(1秒あたりの送信元IPアドレス改竄パケット(Src IP Spoofing)送出数の閾値)の行と「DistIPアドレス数閾値」と表されている(1秒あたりの送信先IPアドレス(Dist IP)数(種類数)閾値)の行と「不正DistIPアドレス数閾値」と表されている(1秒あたりの不正送信先IPアドレス(Dist IP)数の閾値)の行とを含むパケット種別及び送信先ポート番号毎の閾値のための行とを含む。
正当送信元IPアドレス範囲Prefixが登録される理由は、例えばDDoS攻撃の場合送信元IPアドレスを改竄したTCP−Synパケットを送信することがあり、送信元IPアドレスの改竄があったかを確認するためである。また、正当送信先IPアドレス範囲Prefixが登録される理由は、例えばワームのプロービングでは未感染のホストを探すためランダムに送信先IPアドレスが設定される場合があり、その場合には送信先IPアドレスとして許可されていないIPアドレスが指定されることもあるので、未許可の送信先IPアドレスにパケットを送信しようとしていないか確認するためである。
また、1秒あたりの特定送信先IPアドレス宛のパケット送出数がカウントされる理由は、DDoS攻撃の場合特定の送信先IPアドレス宛のパケットが所定時間内に多数送出されるので、これによりDDoS攻撃を検出するためである。従って、パケット種別、送信先ポート番号及び送信先IPアドレス毎に送出パケットを分類して、パケット種別、送信先ポート番号及び送信先IPアドレスの組み合わせにつきヒストグラムを作成して、1秒あたりの特定送信先IPアドレス宛のパケット送出数の閾値を超えたか判断する。
また、1秒あたりの送信元IPアドレス改竄パケット送出数がカウントされる理由は、上でも述べたがDDoS攻撃の場合送信元IPアドレスの改竄が行われる場合があるので、これによりDDoS攻撃を検出するためである。送信元IPアドレスの改竄が検出された場合には、パケット種別及び送信先ポート番号毎にカウントして、1秒あたりの送信元IPアドレス改竄パケット送出数の閾値を超えたか判断する。
さらに、1秒あたりの送信先IPアドレス数がカウントされる理由は、例えばワームがプロービングを行う際には短時間に多数のIPアドレスに対してパケットを送信するので、これによりワームの存在を検出するためである。従って、パケット種別及び送信先ポート番号の組み合わせにつき送信先IPアドレスの種類数についてのヒストグラムを作成して、送信先IPアドレスの種類数が1秒あたりの送信先IPアドレス数の閾値を超えたか判断する。
さらに、1秒あたりの不正送信先IPアドレスがカウントされる理由は、例えばワームがプロービングを行う際にはアクセスが許可されていない送信先IPアドレスにパケットを送信しようとするので、これによりワームの存在を検出するためである。従って、不正な送信先IPアドレスが設定されたパケットを検出した場合には、パケット種別及び送信先ポート番号毎にカウントして、1秒あたりの不正送信先IPアドレス数の閾値を超えたか判断する。
図4の例では、パケット種別TCPのポート番号80についての閾値と、パケット種別UDPの送信先ポート番号53についての閾値とが具体的に示されているが、それ以外のパケット種別及び送信先ポート番号の組み合わせについても定義ファイル140aに設定される。
次に図5乃至図8を用いて図3に示した各処理部の処理フローを説明する。本実施の形態では、全ての阻止装置において同様の処理が実施され、さらに阻止装置における阻止プログラムのトラフィック監視部、不正アクセス検知部及びフィルタ制御部は、それぞれ非同期に処理を実施する。従って、以下では阻止装置10aの阻止プログラム100aにおけるトラフィック監視部110a、不正アクセス検知部120a及びフィルタ制御部130aの処理フローを以下で説明する。
図5を用いてトラフィック監視部110aの処理を説明する。トラフィック監視部110aは、スイッチ12aからパケットを取得し(ステップS1)、当該パケットがIPパケットであるか判断する(ステップS3)。もしIPパケットではない場合にはステップS9に移行する。一方IPパケットである場合には、基幹ネットワーク1000へのアウトバウンド・パケットであるか判断する(ステップS5)。もしアウトバウンド・パケットではない場合にはステップS9に移行する。一方アウトバウンド・パケットである場合には、パケットFIFOバッファ160aに当該パケットを格納する(ステップS7)。なお、パケットのデータと共に日時のデータも登録する。また、以下の処理ではパケット・ヘッダのみを使用するのでヘッダのみを格納するようにしても良い。このようなステップS1乃至S7を処理終了まで繰り返す(ステップS9)。
このようにトラフィック監視部110aは、阻止プログラム100aの前処理を実施する。
次に図6を用いて不正アクセス検知部120aの処理を説明する。不正アクセス検知部120aは、パケットFIFOバッファ160aから所定時間分(例えば10秒間)のパケットを読み出す(ステップS11)。そして、パケット種別(プロトコル種別)、送信先ポート番号(Dist Port)及び送信先IPアドレス(Dist IP)の組み合わせ毎に、パケット送出数及び送信元IPアドレス改竄(Src IP Spoofing)パケット送出数をカウントし、例えばメインメモリなどの記憶装置に格納する(ステップS13)。なお、パケット種別には、ICMP、TCP−Syn、UDPなどが含まれる。なお、ICMPのポート番号は0とする。
ここで定義ファイル140aを参照して、対応するパケット種別及び送信先ポート番号により特定されるパケット送出数の閾値と送信元IPアドレス改竄パケット送出数の閾値とを読み出し、ステップS13でカウントされた各パケット送出数及び送信元IPアドレス改竄パケット送出数とを比較する。そして、パケット種別、送信先ポート番号及び送信先IPアドレスの組み合わせにより特定されるパケットのうち、対応するパケット送出数の閾値を超えたものがあるか、又は対応する送信元IPアドレス改竄パケット送出数の閾値を超えたものがあるか判断する(ステップS15)。パケット種別、送信先ポート番号及び送信先IPアドレスの組み合わせにより特定されるパケットのうち、対応するパケット送出数の閾値を超えたものと、対応する送信元IPアドレス改竄パケット送出数の閾値を超えたものとについては、DDoS攻撃対策用のEgressフィルタ設定イベントを生成し、イベントデータ格納部150aに格納する(ステップS17)。DDoS攻撃対策用のEgressフィルタ設定イベントは、閾値を超えたと判断されたパケットのデータ(ここではパケット種別、ポート番号及び送信先IPアドレス)を含む。また、管理装置16に不正アクセス検知イベントのデータをスイッチ12a及び基幹ネットワーク1000を介して送信する(ステップS19)。不正アクセス検知イベントのデータについては、閾値を超えたと判断されたパケットのデータを含む。
ステップS15で閾値を超えたものが無いと判断された場合及びステップS19の後に、ステップS11で読み出されたパケットのデータを用いて、パケット種別(プロトコル種別)及び送信先ポート番号(Dist Port)の組み合わせ毎に、送信先IPアドレス(Dist IP)数及び不正送信先IPアドレス(Dist IP)数とをカウントする(ステップS21)。
ここで定義ファイル140aを参照して、対応するパケット種別及び送信先ポート番号により特定される送信先IPアドレス数の閾値と不正送信先IPアドレス数の閾値とを読み出し、ステップS21でカウントされた各送信先IPアドレス数及び不正送信先IPアドレス数と比較する。そして、パケット種別及び送信先ポート番号の組み合わせにより特定されるパケット群のうち、対応する送信先IPアドレス数の閾値を超えたものがあるか、又は対応する不正送信先IPアドレス数の閾値を超えたものがあるか判断する(ステップS22)。パケット種別及び送信先ポート番号の組み合わせにより特定されるパケット群のうち、対応する送信先IPアドレス数の閾値を超えたものと、対応する不正送信先IPアドレス数の閾値を超えたものとについては、ワーム伝播対策用のEgressフィルタ設定イベントを生成し、イベントデータ格納部150aに格納する(ステップS23)。ワーム伝播対策用のEgressフィルタ設定イベントは、閾値を超えたと判断されたパケット群のデータ(ここではパケット種別及び送信先ポート番号)を含む。また、管理装置16に不正アクセス検知イベントのデータをスイッチ12a及び基幹ネットワーク1000を介して送信する(ステップS25)。不正アクセス検知イベントのデータについては、閾値を超えたと判断されたパケット群(ここではパケット種別及び送信先ポート番号)のデータを含む。
このようにしてDDoS攻撃やワーム感染を検知し、管理装置に通知する処理を実施する。
次に、図7を用いてフィルタ制御部130aによるフィルタ制御処理を説明する。なお、図示しないが、阻止プログラム100aはバックグラウンドで、管理装置16から受信したフィルタ指示イベントのデータをイベントデータ格納部150aに格納する処理を行うものとする。フィルタ制御部130aは、まずイベントデータ格納部150aからフィルタ指示イベントを読み出す(ステップS31)。フィルタ指示イベントには、上で述べたDDoS攻撃対策及びワーム伝播対策のEgressフィルタ設定イベントの他、管理装置16から通知されるIngressフィルタ設定イベント及びフィルタ解除イベントが含まれる。Ingressフィルタ設定イベントは、他の阻止装置においてEgressフィルタリングを実施するようなイベントが発生した場合に予防的にIngressフィルタリングを実施するため、管理装置16から通知される。また、フィルタ解除イベントは、DDoS攻撃を行うコンピュータやワームに感染したコンピュータに対して別途対策が講じられた結果、DDoS攻撃やワーム伝播のためのパケットが送信されなくなったことを確認した管理者により指示された場合に発生する。もし、イベントデータ格納部150aに未処理のイベントが存在しない場合には待機する。
そして読み出したフィルタ指示イベントが、Egressフィルタ設定イベント又はIngressフィルタ設定イベントであるか判断する(ステップS33)。もし、Egress設定イベント及びIngressフィルタ設定イベントのいずれでもない場合にはフィルタ解除イベントであるから、当該フィルタ解除イベントのデータに基づきスイッチ12aのフィルタ14aに対してフィルタ解除を指示する(ステップS35)。例えばフィルタ解除イベントには、DDoS攻撃対策のイベントであればパケット種別、ポート番号及び送信先IPアドレスのデータを含み、ワーム伝播対策のイベントであればパケット種別及びポート番号を含む。なおステップS33の後、処理はステップS45に移行する。
一方、Egressフィルタ設定イベント又はIngressフィルタ設定イベントのいずれかである場合には、Egressフィルタ設定イベントであるか判断する(ステップS37)。もし、Egressフィルタ設定イベントである場合には、イベントに係るパケット種別及び送信先ポート番号(Dist Port)、又はイベントに係るパケット種別、送信先IPアドレス(Dist IP)及び送信先ポート番号(Dist Port)に基づきEgressフィルタリングを行うようにスイッチ12aのフィルタ14aに対して指示する(ステップS43)。すなわち、DDoS攻撃対策の場合には、イベントに係るパケット種別、送信先IPアドレス及び送信先ポート番号に合致するようなアウトバウンド・パケットの送出を停止させるための設定を行う。また、ワーム伝播対策の場合には、イベントに係るパケット種別及びポート番号に合致するようなアウトバウンド・パケットの送出を停止させるための設定を行う。ステップS43の後に処理はステップS45に移行する。
ステップS37においてEgressフィルタ設定イベントではなくIngressフィルタ設定イベントであると判断された場合には、さらにワーム伝播対策のIngressフィルタ設定イベントであるか又はDDoS攻撃対策のIngressフィルタ設定イベントである場合にはその送信先IPアドレス(Dist IP)が自ネットワーク(接続ネットワークA)のIPアドレスであるか判断する(ステップS39)。もし、DDoS攻撃対策のIngressフィルタ設定イベントであってその送信先IPアドレスが自ネットワークのIPアドレスではない場合、Ingressフィルタリングの設定を行っても攻撃対象となっていないのでフィルタリングは必要ないためステップS45に移行する。一方、ワーム伝播対策のIngressフィルタ設定イベントであるか又はDDoS攻撃対策のIngressフィルタ設定イベントである場合にはその送信先IPアドレス(Dist IP)が自ネットワーク(接続ネットワークA)のIPアドレスである場合には、Ingressフィルタ設定イベントに含まれるパケット種別及び送信先ポート番号(Dist Port)又はパケット種別、送信先IPアドレス(Dist IP)及び送信先ポート番号(Dist Port)に基づきIngressフィルタリングを行うようにスイッチ12aのフィルタ14aに対して指示する(ステップS41)。すなわち、DDoS攻撃対策の場合には、イベントに係るパケット種別、送信先IPアドレス及び送信先ポート番号に合致するようなインバウンド・パケットの送出を停止させるための設定を行う。また、ワーム伝播対策の場合には、イベントに係るパケット種別及びポート番号に合致するようなインバウンド・パケットの送出を停止させるための設定を行う。ステップS43の後に処理はステップS45に移行する。
ステップS45では処理を終了すべきか判断し、処理を継続する場合にはステップS31に戻る。それ以外の場合には処理を終了する。なお、イベントデータ格納部150a内のフィルタ指示イベントのデータには、処理が済めば処理済フラグを設定したり、当該フィルタ指示イベントについての処理が終了すれば削除するなどの方法により、未処理イベントを識別可能にする。
このようにしてスイッチ12aのフィルタ14aを制御することにより、有効にDDoS攻撃やワームに対処することができるようになる。
次に図8を用いて管理装置16の管理プログラム160の処理について説明する。なお図示しないが、管理プログラム160は、バックグランドで基幹ネットワーク1000を介して送られてくる不正アクセス検知イベントのデータを受信して、イベントログ格納部164及びマネージャイベントデータ格納部166に格納するようになっている。そして、管理プログラム160は、イベントログ格納部164に新たな発生イベントのデータが格納されると当該発生イベントを表示するための画面データを生成し、当該画面データを例えば管理者端末18に送信することにより画面表示を実行させる(ステップS51)。なお、WebベースでHTMLファイルなどを生成して送信するようにしても良いし、専用プログラム用の表示データを生成して送信するようにしても良い。
管理者端末18の表示装置に表示される画面には、例えば発生イベントのリストが含まれ、そのリストの中で今回発生したイベントが強調表示される。また、それぞれの発生イベントについて対策解除の有無の表示及び対策解除ボタンが含まれる。管理者端末18の管理者は、管理者端末18の表示装置に表示された内容を参照して必要な処置を行う。例えば、特定の接続ネットワークにおいてDDoS攻撃が発生した場合には、当該DDoS攻撃を停止させたり、ワームのプロービングが検知された場合には、ワームの駆除を行う。もし必要な処置が完了して通常の状態に戻ったことが確認されれば、当該発生イベントに対応する対策解除ボタンをクリックすることにより、対策解除指示を管理装置16の管理プログラム160における制御部162に出力する。制御部162は、管理者からの対策解除指示入力を受け付けると(ステップS53)、当該発生イベントのデータを用いて不正アクセス対策解除イベントを生成し、イベントログ格納部164及びマネージャイベントデータ格納部166に格納する(ステップS55)。
また、発生イベントに対する対策解除指示の有無にかかわらず、制御部162は、マネージャイベントデータ格納部166を参照してマネージャイベントのデータを読み出す(ステップS57)。マネージャイベントには、上で述べた不正アクセス対策解除イベントのほか、阻止装置から送信されてくる不正アクセス検知イベント(DDoS攻撃対策及びワーム伝播対策)が含まれる。そして、読み出されたマネージャイベントが不正アクセス対策解除イベントであるか判断する(ステップS59)。もし、不正アクセス対策解除イベントであれば、全阻止装置にフィルタ解除イベントのデータを基幹ネットワーク1000を介して送信する(ステップS61)。
一方、不正アクセス対策解除イベントではない場合には、不正アクセス検知イベントであるから、当該不正アクセス検知イベントに含まれるデータに基づきIngressフィルタ設定イベントのデータを生成し、送信元の阻止装置以外の阻止装置に送信する(ステップS63)。
このようなステップS51乃至S63の処理を処理終了まで繰り返す(ステップS65)。なお、マネージャイベントデータ格納部166内のマネージャイベントのデータには、処理が済めば処理済フラグを設定したり、当該マネージャイベントについての処理が終了すれば削除するなどの方法により、未処理イベントを識別可能にする。
このようにすれば不正アクセス対策解除を各阻止装置に通知することも、また特定の阻止装置において不正アクセスが検知された場合には当該不正アクセスに対する対処を当該特定の阻止装置以外の装置に通知することができる。
以上のような処理を実施することにより、第1に、基幹ネットワークに不正なパケットを送出することを阻止することができるため基幹ネットワークの輻輳を未然に防止することができる。従って、DDoS攻撃の踏み台又はワームに感染したコンピュータが発生してしまったとしても被害及び影響を最小限に抑えることができる。また、第2に、例え少数の不正なパケットが基幹ネットワークに送出されてしまったとしても、Ingressフィルタリングも実施されるため、不正なパケットが他の接続ネットワークに送り込まれることを防止することも可能となる。
本発明の一実施の形態について上で述べたが、本発明はこれに限定されるものではない。例えば、阻止装置とスイッチは別装置として図3に示しているが、必ずしも別装置ではなく一体化されたネットワーク接続機器として実現される場合もある。また、阻止装置には、他の阻止装置に不正アクセス検知イベントを通知する機能は設けられていないが、例えば基幹ネットワークに接続されたときに他の阻止装置と存在を確認しあうようなプロトコルを別途導入して予め他の阻止装置を登録しておき、不正アクセスを検知した場合に他の阻止装置に自らが通知するような構成にしてもよい。その際には管理装置は不要となる。
また、図8のステップS63においては全ての不正アクセス検知イベントを送信元以外の阻止装置に通知するような構成としたが、例えばDDoS攻撃であれば送信先IPアドレスに該当する接続ネットワークに接続された阻止装置にのみ通知するようにしても良い。
さらに阻止プログラムの機能ブロック(図3)は必ずしも実際のプログラムモジュールに対応するものではない。
(付記1)
第1のネットワークから他のネットワークへのアウトバウンドのパケットを検査し、当該パケットが所定の条件を満たしているか判断する判断ステップと、
前記所定の条件を満たしていると判断された場合には、前記所定の条件を満たしていると判断されたパケットについてのデータに基づき前記第1のネットワークから他のネットワークへのパケット出力を停止するための設定を行う設定ステップと、
を不正アクセス阻止装置に実行させるためのプログラム。
(付記2)
前記所定の条件が、分散型サービス不能化攻撃とみなされるパケットを検出するための第1の条件とコンピュータワームによるプロービングとみなされるパケットを検出するための第2の条件との少なくともいずれかを含む付記1記載のプログラム。
(付記3)
前記第1の条件が、パケット種別と送信先IPアドレスと送信先ポート番号との組み合わせにて特定される各パケットの単位時間あたりのパケット送出数と、改竄された送信元IPアドレスを含むパケットの数との少なくともいずれかを含む付記2記載のプログラム。
(付記4)
前記第2の条件が、パケット種別と送信先ポート番号との組み合わせにて特定されるパケットの単位時間あたりの送信先IPアドレス数と、不正な送信先IPアドレスを含むパケットの数との少なくともいずれかを含む付記2記載のプログラム。
(付記5)
前記所定の条件を満たしていると判断された場合には、前記所定の条件を満たしていると判断されたパケットについてのデータを他の装置に送信するステップ
をさらに実行させるための付記1記載のプログラム。
(付記6)
他の装置から不正アクセス検知の通知を受信した場合、当該不正アクセス検知の通知に基づき前記他のネットワークから前記第1のネットワークへのインバウンド・パケットのフィルタリング処理の設定を行うフィルタリング設定ステップ
をさらに実行させるための付記1記載のプログラム。
(付記7)
前記フィルタリング設定ステップが、
前記不正アクセス検知の通知に特定のIPアドレスのデータを含む場合には、当該特定のIPアドレスが前記第1のネットワークに関連するか判断するステップ
を含む付記6記載のプログラム。
(付記8)
第1のネットワークから他のネットワークへのアウトバンドのパケットを検査し、当該パケットが所定の条件を満たしているか判断する判断手段と、
前記所定の条件を満たしていると判断された場合には、前記所定の条件を満たしていると判断されたパケットについてのデータに基づき前記第1のネットワークから他のネットワークへのパケット出力を停止するための設定を行う設定手段と、
を有する不正アクセス阻止装置。
(付記9)
前記所定の条件を満たしていると判断された場合には、前記所定の条件を満たしていると判断されたパケットについてのデータを他の装置に送信する手段
をさらに含む付記1記載の不正アクセス阻止装置。
(付記10)
他の装置から不正アクセス検知の通知を受信した場合、当該不正アクセス検知の通知に基づき前記他のネットワークから前記第1のネットワークへのインバウンド・パケットのフィルタリング処理を実施する手段
をさらに有する付記8記載の不正アクセス阻止装置。
(付記11)
管理装置と、
第1のネットワークから他のネットワークへのアウトバウンドのパケットを検査し、当該パケットが所定の条件を満たしているか判断する判断手段と、前記所定の条件を満たしていると判断された場合には、前記所定の条件を満たしていると判断されたパケットについてのデータに基づき前記第1のネットワークから他のネットワークへのパケット出力を停止するための設定を行う設定手段と、前記所定の条件を満たしていると判断された場合には、前記所定の条件を満たしていると判断されたパケットについてのデータを前記管理装置に送信する手段と、前記管理装置から不正アクセス検知の通知を受信した場合、当該不正アクセス検知の通知に基づき前記他のネットワークから前記第1のネットワークへのインバウンド・パケットのフィルタリング処理の設定を行う手段とを有する複数の不正アクセス阻止装置と、
を有し、
前記管理装置が、
特定の不正アクセス阻止装置から前記所定の条件を満たしていると判断されたパケットについてのデータを受信した場合には、前記特定の不正アクセス阻止装置以外の不正アクセス阻止装置に前記所定の条件を満たしていると判断されたパケットについてのデータを送信する手段を有する
不正アクセス阻止システム。
(付記12)
第1のネットワークから他のネットワークへのアウトバウンドのパケットを検査し、当該パケットが所定の条件を満たしているか判断する判断ステップと、
前記所定の条件を満たしていると判断された場合には、前記所定の条件を満たしていると判断されたパケットについてのデータに基づき前記第1のネットワークから他のネットワークへのパケット出力を停止するための設定を行う設定ステップと、
を含む不正アクセス阻止方法。
従来技術を説明するための模式図である。 本発明の実施の形態の概要を説明するための図である。 本発明の実施の形態に係るシステム概要を示す図である。 定義ファイルに格納されるデータの一例を示す図である。 トラフィック監視処理の処理フローを示す図である。 不正アクセス検知処理の処理フローを示す図である。 フィルタ制御処理の処理フローを示す図である。 管理制御処理の処理フローを示す図である。
符号の説明
1000 基幹ネットワーク
10a,10b 阻止装置 100a,100b 阻止プログラム
110a トラフィック監視部 120a 不正アクセス検知部
130a フィルタ制御部 140a,140b 定義ファイル
150a,150b イベントデータ格納部
160a,160b パケットFIFOバッファ
12a,12b スイッチ 14a,14b フィルタ

Claims (10)

  1. 第1のネットワークから他のネットワークへのアウトバウンドのパケットを検査し、当該パケットが所定の条件を満たしているか判断する判断ステップと、
    前記所定の条件を満たしていると判断された場合には、前記所定の条件を満たしていると判断されたパケットについてのデータに基づき前記第1のネットワークから他のネットワークへのパケット出力を停止するための設定を行う設定ステップと、
    を不正アクセス防止装置に実行させるためのプログラム。
  2. 前記所定の条件が、分散型サービス不能化攻撃とみなされるパケットを検出するための第1の条件とコンピュータワームによるプロービングとみなされるパケットを検出するための第2の条件との少なくともいずれかを含む請求項1記載のプログラム。
  3. 前記第1の条件が、パケット種別と送信先IPアドレスと送信先ポート番号との組み合わせにて特定される各パケットの単位時間あたりのパケット送出数と、改竄された送信元IPアドレスを含むパケットの数との少なくともいずれかを含む請求項2記載のプログラム。
  4. 前記第2の条件が、パケット種別と送信先ポート番号との組み合わせにて特定されるパケットの単位時間あたりの送信先IPアドレス数と、不正な送信先IPアドレスを含むパケットの数との少なくともいずれかを含む請求項2記載のプログラム。
  5. 前記所定の条件を満たしていると判断された場合には、前記所定の条件を満たしていると判断されたパケットについてのデータを他の装置に送信するステップ
    をさらに実行させるための請求項1記載のプログラム。
  6. 他の装置から不正アクセス検知の通知を受信した場合、当該不正アクセス検知の通知に基づき前記他のネットワークから前記第1のネットワークへのインバウンド・パケットのフィルタリング処理の設定を行うフィルタリング設定ステップ
    をさらに実行させるための請求項1記載のプログラム。
  7. 前記フィルタリング設定ステップが、
    前記不正アクセス検知の通知に特定のIPアドレスのデータを含む場合には、当該特定のIPアドレスが前記第1のネットワークに関連するか判断するステップ
    を含む請求項6記載のプログラム。
  8. 第1のネットワークから他のネットワークへのアウトバンドのパケットを検査し、当該パケットが所定の条件を満たしているか判断する判断手段と、
    前記所定の条件を満たしていると判断された場合には、前記所定の条件を満たしていると判断されたパケットについてのデータに基づき前記第1のネットワークから他のネットワークへのパケット出力を停止するための設定を行う設定手段と、
    を有する不正アクセス阻止装置。
  9. 管理装置と、
    第1のネットワークから他のネットワークへのアウトバウンドのパケットを検査し、当該パケットが所定の条件を満たしているか判断する判断手段と、前記所定の条件を満たしていると判断された場合には、前記所定の条件を満たしていると判断されたパケットについてのデータに基づき前記第1のネットワークから他のネットワークへのパケット出力を停止するための設定を行う設定手段と、前記所定の条件を満たしていると判断された場合には、前記所定の条件を満たしていると判断されたパケットについてのデータを前記管理装置に送信する手段と、前記管理装置から不正アクセス検知の通知を受信した場合、当該不正アクセス検知の通知に基づき前記他のネットワークから前記第1のネットワークへのインバウンド・パケットのフィルタリング処理の設定を行う手段とを有する複数の不正アクセス阻止装置と、
    を有し、
    前記管理装置が、
    特定の不正アクセス阻止装置から前記所定の条件を満たしていると判断されたパケットについてのデータを受信した場合には、前記特定の不正アクセス阻止装置以外の不正アクセス阻止装置に前記所定の条件を満たしていると判断されたパケットについてのデータを送信する手段を有する
    不正アクセス阻止システム。
  10. 第1のネットワークから他のネットワークへのアウトバウンドのパケットを検査し、当該パケットが所定の条件を満たしているか判断する判断ステップと、
    前記所定の条件を満たしていると判断された場合には、前記所定の条件を満たしていると判断されたパケットについてのデータに基づき前記第1のネットワークから他のネットワークへのパケット出力を停止するための設定を行う設定ステップと、
    を含む不正アクセス阻止方法。
JP2004062361A 2004-03-05 2004-03-05 不正アクセス阻止方法、装置及びシステム並びにプログラム Expired - Lifetime JP4480422B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004062361A JP4480422B2 (ja) 2004-03-05 2004-03-05 不正アクセス阻止方法、装置及びシステム並びにプログラム
US10/898,749 US7457965B2 (en) 2004-03-05 2004-07-26 Unauthorized access blocking apparatus, method, program and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004062361A JP4480422B2 (ja) 2004-03-05 2004-03-05 不正アクセス阻止方法、装置及びシステム並びにプログラム

Publications (2)

Publication Number Publication Date
JP2005252808A true JP2005252808A (ja) 2005-09-15
JP4480422B2 JP4480422B2 (ja) 2010-06-16

Family

ID=34909268

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004062361A Expired - Lifetime JP4480422B2 (ja) 2004-03-05 2004-03-05 不正アクセス阻止方法、装置及びシステム並びにプログラム

Country Status (2)

Country Link
US (1) US7457965B2 (ja)
JP (1) JP4480422B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007081023A1 (ja) * 2006-01-16 2007-07-19 Cyber Solutions Inc. トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
WO2007091305A1 (ja) * 2006-02-08 2007-08-16 Fujitsu Limited ワーム対策プログラム、ワーム対策装置、ワーム対策方法
JP2008136012A (ja) * 2006-11-29 2008-06-12 Alaxala Networks Corp トラヒック分析装置および分析方法
JP2009081736A (ja) * 2007-09-26 2009-04-16 Toshiba Corp パケット転送装置及びパケット転送プログラム
US7568232B2 (en) 2004-05-27 2009-07-28 Fujitsu Limited Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus
WO2011099649A1 (ja) * 2010-02-15 2011-08-18 日本電気株式会社 イベント配信装置、イベント配信システム、及び、イベント配信方法

Families Citing this family (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7487543B2 (en) * 2002-07-23 2009-02-03 International Business Machines Corporation Method and apparatus for the automatic determination of potentially worm-like behavior of a program
US7840968B1 (en) 2003-12-17 2010-11-23 Mcafee, Inc. Method and system for containment of usage of language interfaces
US8423645B2 (en) * 2004-09-14 2013-04-16 International Business Machines Corporation Detection of grid participation in a DDoS attack
US8214901B2 (en) * 2004-09-17 2012-07-03 Sri International Method and apparatus for combating malicious code
US7810158B2 (en) * 2004-12-16 2010-10-05 At&T Intellectual Property I, L.P. Methods and systems for deceptively trapping electronic worms
JP4547342B2 (ja) * 2005-04-06 2010-09-22 アラクサラネットワークス株式会社 ネットワーク制御装置と制御システム並びに制御方法
JP2006352831A (ja) * 2005-05-20 2006-12-28 Alaxala Networks Corp ネットワーク制御装置およびその制御方法
US7826447B1 (en) * 2005-06-22 2010-11-02 Marvell International Ltd. Preventing denial-of-service attacks employing broadcast packets
US9705911B2 (en) * 2005-06-30 2017-07-11 Nokia Technologies Oy System and method for using quarantine networks to protect cellular networks from viruses and worms
US7856661B1 (en) 2005-07-14 2010-12-21 Mcafee, Inc. Classification of software on networked systems
US7992208B2 (en) * 2005-09-19 2011-08-02 University Of Maryland Detection of nonconforming network traffic flow aggregates for mitigating distributed denial of service attacks
US8533817B2 (en) * 2005-10-05 2013-09-10 Hewlett-Packard Development Company, L.P. Method and apparatus for connection-rate filtering
US20070083927A1 (en) * 2005-10-11 2007-04-12 Intel Corporation Method and system for managing denial of services (DoS) attacks
US7971256B2 (en) * 2005-10-20 2011-06-28 Cisco Technology, Inc. Mechanism to correlate the presence of worms in a network
US8510833B2 (en) * 2005-10-27 2013-08-13 Hewlett-Packard Development Company, L.P. Connection-rate filtering using ARP requests
US7756834B2 (en) * 2005-11-03 2010-07-13 I365 Inc. Malware and spyware attack recovery system and method
US7757269B1 (en) 2006-02-02 2010-07-13 Mcafee, Inc. Enforcing alignment of approved changes and deployed changes in the software change life-cycle
US20070226799A1 (en) * 2006-03-21 2007-09-27 Prem Gopalan Email-based worm propagation properties
US7895573B1 (en) 2006-03-27 2011-02-22 Mcafee, Inc. Execution environment file inventory
US9258327B2 (en) 2006-04-27 2016-02-09 Invention Science Fund I, Llc Multi-network virus immunization
US8151353B2 (en) * 2006-04-27 2012-04-03 The Invention Science Fund I, Llc Multi-network virus immunization with trust aspects
US7849508B2 (en) * 2006-04-27 2010-12-07 The Invention Science Fund I, Llc Virus immunization using entity-sponsored bypass network
US8539581B2 (en) * 2006-04-27 2013-09-17 The Invention Science Fund I, Llc Efficient distribution of a malware countermeasure
US7934260B2 (en) * 2006-04-27 2011-04-26 The Invention Science Fund I, Llc Virus immunization using entity-sponsored bypass network
US8191145B2 (en) * 2006-04-27 2012-05-29 The Invention Science Fund I, Llc Virus immunization using prioritized routing
US7917956B2 (en) * 2006-04-27 2011-03-29 The Invention Science Fund I, Llc Multi-network virus immunization
US8613095B2 (en) * 2006-06-30 2013-12-17 The Invention Science Fund I, Llc Smart distribution of a malware countermeasure
US8966630B2 (en) * 2006-04-27 2015-02-24 The Invention Science Fund I, Llc Generating and distributing a malware countermeasure
US8117654B2 (en) * 2006-06-30 2012-02-14 The Invention Science Fund I, Llc Implementation of malware countermeasures in a network device
US8863285B2 (en) * 2006-04-27 2014-10-14 The Invention Science Fund I, Llc Virus immunization using prioritized routing
US8086732B1 (en) * 2006-06-30 2011-12-27 Cisco Technology, Inc. Method and apparatus for rate limiting client requests
JP2008047067A (ja) * 2006-08-21 2008-02-28 Ricoh Co Ltd カプセル化文書管理装置、カプセル化文書管理方法及びカプセル化文書管理プログラム
US8332929B1 (en) 2007-01-10 2012-12-11 Mcafee, Inc. Method and apparatus for process enforced configuration management
US9424154B2 (en) 2007-01-10 2016-08-23 Mcafee, Inc. Method of and system for computer system state checks
US8355324B2 (en) * 2007-03-01 2013-01-15 Alcatel Lucent Method and apparatus for filtering data packets
EP2194677B1 (en) * 2007-09-28 2012-11-14 Nippon Telegraph and Telephone Corporation Network monitoring device, network monitoring method, and network monitoring program
JP4667437B2 (ja) * 2007-10-02 2011-04-13 日本電信電話株式会社 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
JP5050781B2 (ja) * 2007-10-30 2012-10-17 富士通株式会社 マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
US8959624B2 (en) * 2007-10-31 2015-02-17 Bank Of America Corporation Executable download tracking system
US8074279B1 (en) * 2007-12-28 2011-12-06 Trend Micro, Inc. Detecting rogue access points in a computer network
US8677480B2 (en) * 2008-09-03 2014-03-18 Cisco Technology, Inc. Anomaly information distribution with threshold
KR100908404B1 (ko) * 2008-09-04 2009-07-20 (주)이스트소프트 분산서비스거부공격의 방어방법 및 방어시스템
US8800034B2 (en) 2010-01-26 2014-08-05 Bank Of America Corporation Insider threat correlation tool
US9038187B2 (en) * 2010-01-26 2015-05-19 Bank Of America Corporation Insider threat correlation tool
US8782209B2 (en) 2010-01-26 2014-07-15 Bank Of America Corporation Insider threat correlation tool
US8793789B2 (en) 2010-07-22 2014-07-29 Bank Of America Corporation Insider threat correlation tool
US8782794B2 (en) 2010-04-16 2014-07-15 Bank Of America Corporation Detecting secure or encrypted tunneling in a computer network
US8544100B2 (en) 2010-04-16 2013-09-24 Bank Of America Corporation Detecting secure or encrypted tunneling in a computer network
US8938800B2 (en) 2010-07-28 2015-01-20 Mcafee, Inc. System and method for network level protection against malicious software
US8925101B2 (en) 2010-07-28 2014-12-30 Mcafee, Inc. System and method for local protection against malicious software
KR101144819B1 (ko) 2010-11-23 2012-05-11 한국과학기술정보연구원 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법
US9112830B2 (en) 2011-02-23 2015-08-18 Mcafee, Inc. System and method for interlocking a host and a gateway
US9594881B2 (en) 2011-09-09 2017-03-14 Mcafee, Inc. System and method for passive threat detection using virtual memory inspection
US8713668B2 (en) 2011-10-17 2014-04-29 Mcafee, Inc. System and method for redirected firewall discovery in a network environment
US8800024B2 (en) 2011-10-17 2014-08-05 Mcafee, Inc. System and method for host-initiated firewall discovery in a network environment
US8739272B1 (en) 2012-04-02 2014-05-27 Mcafee, Inc. System and method for interlocking a host and a gateway
JP5987627B2 (ja) * 2012-10-22 2016-09-07 富士通株式会社 不正アクセス検出方法、ネットワーク監視装置及びプログラム
US8973146B2 (en) 2012-12-27 2015-03-03 Mcafee, Inc. Herd based scan avoidance system in a network environment
JP6142702B2 (ja) * 2013-07-04 2017-06-07 富士通株式会社 監視装置、監視方法及びプログラム
KR101401168B1 (ko) * 2013-09-27 2014-05-29 플러스기술주식회사 Ip 주소를 이용한 네트워크 보안 방법 및 장치
JP2015075808A (ja) * 2013-10-07 2015-04-20 富士通株式会社 ネットワークフィルタリング装置及びネットワークフィルタリング方法
EP3061030A4 (en) 2013-10-24 2017-04-19 McAfee, Inc. Agent assisted malicious application blocking in a network environment
CN105635067B (zh) * 2014-11-04 2019-11-15 华为技术有限公司 报文发送方法及装置
US10476947B1 (en) 2015-03-02 2019-11-12 F5 Networks, Inc Methods for managing web applications and devices thereof
SG11201509821SA (en) * 2015-03-18 2016-10-28 Certis Cisco Security Pte Ltd System and method for information security threat disruption via a border gateway
US11616806B1 (en) 2015-05-08 2023-03-28 F5, Inc. Methods for protecting web based resources from D/DoS attacks and devices thereof
US10826915B2 (en) * 2015-06-02 2020-11-03 Mitsubishi Electric Corporation Relay apparatus, network monitoring system, and program
US10541903B2 (en) * 2015-10-02 2020-01-21 Futurewei Technologies, Inc. Methodology to improve the anomaly detection rate
US10581902B1 (en) * 2015-11-30 2020-03-03 F5 Networks, Inc. Methods for mitigating distributed denial of service attacks and devices thereof
US10834110B1 (en) 2015-12-18 2020-11-10 F5 Networks, Inc. Methods for preventing DDoS attack based on adaptive self learning of session and transport layers and devices thereof
US10397250B1 (en) 2016-01-21 2019-08-27 F5 Networks, Inc. Methods for detecting remote access trojan malware and devices thereof
US10432652B1 (en) 2016-09-20 2019-10-01 F5 Networks, Inc. Methods for detecting and mitigating malicious network behavior and devices thereof
US11038869B1 (en) 2017-05-12 2021-06-15 F5 Networks, Inc. Methods for managing a federated identity environment based on application availability and devices thereof
US10931691B1 (en) 2017-10-09 2021-02-23 F5 Networks, Inc. Methods for detecting and mitigating brute force credential stuffing attacks and devices thereof
US11539740B1 (en) 2018-02-02 2022-12-27 F5, Inc. Methods for protecting CPU during DDoS attack and devices thereof
US11349981B1 (en) 2019-10-30 2022-05-31 F5, Inc. Methods for optimizing multimedia communication and devices thereof
US11595432B1 (en) * 2020-06-29 2023-02-28 Amazon Technologies, Inc. Inter-cloud attack prevention and notification
US11616854B1 (en) * 2022-07-14 2023-03-28 Zengo Ltd. System and method of secured interface to a blockchain based network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003288282A (ja) * 2002-03-28 2003-10-10 Fujitsu Ltd 不正アクセス防止プログラム
JP2003289337A (ja) * 2002-03-28 2003-10-10 Nippon Telegr & Teleph Corp <Ntt> 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3699941B2 (ja) 2002-03-22 2005-09-28 日本電信電話株式会社 分散型サービス不能攻撃防止方法及びゲート装置、通信装置、分散型サービス不能攻撃防止プログラム及び記録媒体

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003288282A (ja) * 2002-03-28 2003-10-10 Fujitsu Ltd 不正アクセス防止プログラム
JP2003289337A (ja) * 2002-03-28 2003-10-10 Nippon Telegr & Teleph Corp <Ntt> 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7568232B2 (en) 2004-05-27 2009-07-28 Fujitsu Limited Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus
WO2007081023A1 (ja) * 2006-01-16 2007-07-19 Cyber Solutions Inc. トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
JP5015014B2 (ja) * 2006-01-16 2012-08-29 株式会社サイバー・ソリューションズ トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
US8689326B2 (en) 2006-01-16 2014-04-01 Cyber Solutions Inc. Device for analyzing and diagnosing network traffic, a system for analyzing and diagnosing network traffic, and a system for tracing network traffic
WO2007091305A1 (ja) * 2006-02-08 2007-08-16 Fujitsu Limited ワーム対策プログラム、ワーム対策装置、ワーム対策方法
US8307445B2 (en) 2006-02-08 2012-11-06 Fujitsu Limited Anti-worm program, anti-worm apparatus, and anti-worm method
JP2008136012A (ja) * 2006-11-29 2008-06-12 Alaxala Networks Corp トラヒック分析装置および分析方法
JP4734223B2 (ja) * 2006-11-29 2011-07-27 アラクサラネットワークス株式会社 トラヒック分析装置および分析方法
JP2009081736A (ja) * 2007-09-26 2009-04-16 Toshiba Corp パケット転送装置及びパケット転送プログラム
WO2011099649A1 (ja) * 2010-02-15 2011-08-18 日本電気株式会社 イベント配信装置、イベント配信システム、及び、イベント配信方法
JP5810919B2 (ja) * 2010-02-15 2015-11-11 日本電気株式会社 イベント配信装置、イベント配信システム、及び、イベント配信方法

Also Published As

Publication number Publication date
US7457965B2 (en) 2008-11-25
US20050198519A1 (en) 2005-09-08
JP4480422B2 (ja) 2010-06-16

Similar Documents

Publication Publication Date Title
JP4480422B2 (ja) 不正アクセス阻止方法、装置及びシステム並びにプログラム
US7653941B2 (en) System and method for detecting an infective element in a network environment
US10097578B2 (en) Anti-cyber hacking defense system
US9781157B1 (en) Mitigating denial of service attacks
JP4088082B2 (ja) 未知コンピュータウイルスの感染を防止する装置およびプログラム
US7617533B1 (en) Self-quarantining network
US7797749B2 (en) Defending against worm or virus attacks on networks
US7624447B1 (en) Using threshold lists for worm detection
WO2011027496A1 (ja) 不正プロセス検知方法および不正プロセス検知システム
JP2009500936A (ja) 早期通知に基づいて異常なトラフィックを検出するためのシステム及び方法
US9253153B2 (en) Anti-cyber hacking defense system
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
JP2006243878A (ja) 不正アクセス検知システム
JP2006350561A (ja) 攻撃検出装置
JP2007323428A (ja) ボット検出装置、ボット検出方法、およびプログラム
Shaar et al. DDoS attacks and impacts on various cloud computing components
JP4284248B2 (ja) アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム
KR101006372B1 (ko) 유해 트래픽 격리 시스템 및 방법
JP2007259223A (ja) ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム
US20040093514A1 (en) Method for automatically isolating worm and hacker attacks within a local area network
KR20110027386A (ko) 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법
JP2008011008A (ja) 不正アクセス防止システム
Jhi et al. PWC: A proactive worm containment solution for enterprise networks
JP2008165601A (ja) 通信監視システム、通信監視装置、及び通信制御装置
US10757078B2 (en) Systems and methods for providing multi-level network security

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070202

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090507

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100203

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100316

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100316

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130326

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4480422

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140326

Year of fee payment: 4

EXPY Cancellation because of completion of term