JP2005284523A - 不正侵入検出システム及び方法並びに不正侵入検出用プログラム - Google Patents
不正侵入検出システム及び方法並びに不正侵入検出用プログラム Download PDFInfo
- Publication number
- JP2005284523A JP2005284523A JP2004095258A JP2004095258A JP2005284523A JP 2005284523 A JP2005284523 A JP 2005284523A JP 2004095258 A JP2004095258 A JP 2004095258A JP 2004095258 A JP2004095258 A JP 2004095258A JP 2005284523 A JP2005284523 A JP 2005284523A
- Authority
- JP
- Japan
- Prior art keywords
- data
- dummy data
- dummy
- server computer
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
【課題】 未知の侵入パターンに対しても不正侵入を検出することができ、データの流出を防ぐことが可能であり、かつ、簡易・低コストにて利用することができる不正侵入検出システムを提供すること。
【解決手段】 外部ネットワークを介して外部端末からアクセス可能なサーバコンピュータ1と、このサーバコンピュータに対する外部からの不正アクセスを監視するファイアウォール2と、を備え、サーバコンピュータ1が、予め外部端末が侵入することにより取得可能なダミーデータを記憶すると共に、ファイアウォール2が、ダミーデータを登録するダミーデータ登録手段と、外部端末に取得されファイアウォールを通過するデータにダミーデータが含まれているか否かを登録されたダミーデータに基づいて検査するダミーデータ検査手段と、を備えた。
【選択図】図2
【解決手段】 外部ネットワークを介して外部端末からアクセス可能なサーバコンピュータ1と、このサーバコンピュータに対する外部からの不正アクセスを監視するファイアウォール2と、を備え、サーバコンピュータ1が、予め外部端末が侵入することにより取得可能なダミーデータを記憶すると共に、ファイアウォール2が、ダミーデータを登録するダミーデータ登録手段と、外部端末に取得されファイアウォールを通過するデータにダミーデータが含まれているか否かを登録されたダミーデータに基づいて検査するダミーデータ検査手段と、を備えた。
【選択図】図2
Description
本発明は、不正侵入検出システムにかかり、特に、ファイアウォールにてサーバコンピュータに対する外部からの不正侵入を検出するシステムに関する。また、不正侵入検出方法及び不正侵入検出用プログラムに関する。
外部から内部ネットワークへの侵入行為を検出するシステムは、一般にIDS(IntrusionDetectionSystem)と呼ばれる。IDSは、侵入検知のアルゴリズムの観点からは、シグネチャ型とアノーマリティ型に分けられる。
シグネチャ型は、アクセスのパターンや流入するデータを、データベースに蓄えた既知の侵入手口で使われるアクセスパターンやデータ(シグネチャと呼ばれる)に対してリアルタイムに照合するものであるが、未知の侵入手口による侵入を検出できない、という問題がある。
一方、アノーマリティ型は、アクセスのパターンや時間帯等に基づいて、統計的に異常と判断される場合に不正アクセスとみなすものである。この手法によると、未知の侵入手口による侵入についても検出できる可能性があるが、判断基準が統計的であるため誤検知(正常を不正または不正を正常と判定する)の可能性を逃れ得ない、という問題が生じる。
また、シグネチャ型では新しい侵入手口の出現に伴いシグネチャの数が日々増えること、アノーマリティ型では統計的な解析処理を行う必要のあることから、いずれの場合にも処理速度が通信データの流量に追いつかずに不正アクセスを見逃す恐れがある、という問題も生じる。
なお、特許文献1では、不正侵入者を検出すると、その不正侵入先をおとりデータ領域に導いて正規データ領域への不正侵入防止する、という技術が開示されているが、その不正侵入を検出する手段が未知の手法であったり、見過ごされた結果不正侵入を許した場合であると、いぜんとして上記同様の問題が生じうる。
また、監視する対象によってIDSを分類すると、ホスト型とネットワーク型に分けられる。ホスト型は、インストールされたホスト上のデータの改ざんやシステムのログを監視するものである。ネットワーク型は、ネットワーク上を流れるデータを監視するものである。
そして、ホスト型の場合にはよりきめ細かな監視設定が可能であり、機密情報の不正な読み出しに関しても、外部ネットワークからのアクセスの場合にはログ出力することなどにより検出できる可能性がある。ただし、いったん内部ホストへの侵入を許してしまった後には、その後の情報の読み出しについては正常なものか不正なものかの区別ができない。従って、仮に侵入を許した場合に機密情報の流出を防げない可能性があり、さらには、ホストごとに監視対象等の設定するための運用・管理コストの増加、という問題も生じる。
上述したように不正侵入を阻止するために種々の技術が開発されているが、いずれも不都合があり、完全な阻止を図るまでには至らない。
このため、本発明では、未知の侵入パターンに対しても不正侵入を検出することができ、データの流出を防ぐことが可能であり、かつ、簡易・低コストにて利用することができる不正侵入検出システムを提供することをその目的とする。
そこで、本発明では、外部ネットワークを介して外部端末からアクセス可能なサーバコンピュータと、このサーバコンピュータに対する外部からの不正アクセスを監視するファイアウォールと、を備えた不正侵入検出システムにおいて、
サーバコンピュータが、予め外部端末が侵入することにより取得可能なダミーデータを記憶すると共に、
ファイアウォールが、ダミーデータを登録するダミーデータ登録手段と、外部端末に取得されファイアウォールを通過するデータにダミーデータが含まれているか否かを登録されたダミーデータに基づいて検査するダミーデータ検査手段と、を備えた、という構成を採っている。
サーバコンピュータが、予め外部端末が侵入することにより取得可能なダミーデータを記憶すると共に、
ファイアウォールが、ダミーデータを登録するダミーデータ登録手段と、外部端末に取得されファイアウォールを通過するデータにダミーデータが含まれているか否かを登録されたダミーデータに基づいて検査するダミーデータ検査手段と、を備えた、という構成を採っている。
なお、ファイアウォールが、ダミーデータに関連付けられたダミー対応データを登録していて、外部端末に取得されファイアウォールを通過するデータにダミーデータが含まれているか否かを登録されたダミー対応データに基づいて検査してもよい。
そして、上記ダミーデータは、例えば、サーバコンピュータに登録されるアカウント設定に関するデータとして記憶されたデータ、サーバコンピュータに登録されるホスト設定に関するデータとして記憶されたデータ、サーバコンピュータに登録される共有設定に関するデータとして記憶されたデータ、サーバコンピュータに登録される共有ファイルに関するデータとして記憶されたデータ、であるとよい。
また、上記構成に加えて、サーバコンピュータは、ダミーデータを生成するダミーデータ生成手段を備え、このダミーデータ生成手段は、生成したダミーデータを当該サーバコンピュータ内に予め定められた外部端末が侵入することにより取得可能なデータとして記憶すると共に、ファイアウォールに備えられたダミーデータ登録部に登録する、という構成にしてもよい。また、サーバコンピュータは、当該サーバコンピュータにログインする外部端末が存在しない架空のログイン処理を実行するダミーログイン実行手段を備えると共に、サーバコンピュータに記憶されるダミーデータは、ダミーログイン実行手段にて実行されるダミーログイン処理に用いられるデータ(例えば、アカウント名あるいはこれに対応するパスワードなど)ある、という構成にしてもよい。
さらに、上記ファイアウォールは、ダミーデータ検査手段による検査の結果、ダミーデータが含まれていた場合に当該データを取得した外部端末との通信を遮断するフィルタ手段を備えた、という構成にすると望ましい。
このような構成にすることにより、外部端末のうちサーバコンピュータに不正侵入した端末にて所定のデータが取得されたとしても、そのデータがサーバコンピュータのファイアウォールから出力される際に当該取得されたデータにダミーデータが含まれているか否かが検出される。そして、外部に転送されうるデータにダミーデータが含まれていた場合には、そのデータを取得する外部端末を不正侵入端末と認識して、通信を遮断する。従って、全てのデータがチェックされるため、不正にデータが持ち出されるという事態を未然に防止することができる。その結果、不正侵入を防ぐことができなかった場合であっても、その後のデータ流出を防ぐことができるため、不正端末による未知の攻撃に対して有効にセキュリティを確保することができる。
特に、通常の使用方法では外部に出力されることのないアカウント名やホスト設定などのデータや、不正侵入者にて監視されやすい架空のダミーログイン処理などにダミーデータを仕掛けておくことで、効率よく不正侵入を検出することができる。
また、本発明は、ファイアウォールを介して外部ネットワークに接続され、外部端末からアクセス可能なサーバコンピュータに対する外部からの不正アクセスを監視して検出する方法であって、
サーバコンピュータが、外部端末が侵入することにより取得可能なダミーデータを記憶するダミーデータ記憶工程と、
このダミーデータ記憶工程に前後して、ファイアウォールが、ダミーデータを登録するダミーデータ登録工程と有し、
ダミーデータ記憶工程及びダミーデータ登録工程の後に、ファイアウォールが、外部端末に取得され当該ファイアウォールを通過するデータにダミーデータが含まれているか否かを登録されたダミーデータに基づいて検査するダミーデータ検査工程と、を備えた、という不正侵入検出方法でもある。
サーバコンピュータが、外部端末が侵入することにより取得可能なダミーデータを記憶するダミーデータ記憶工程と、
このダミーデータ記憶工程に前後して、ファイアウォールが、ダミーデータを登録するダミーデータ登録工程と有し、
ダミーデータ記憶工程及びダミーデータ登録工程の後に、ファイアウォールが、外部端末に取得され当該ファイアウォールを通過するデータにダミーデータが含まれているか否かを登録されたダミーデータに基づいて検査するダミーデータ検査工程と、を備えた、という不正侵入検出方法でもある。
さらに、本発明は、外部ネットワークを介して外部端末からアクセス可能なサーバコンピュータに対する外部からの不正アクセスを監視するファイアウォールに、
サーバコンピュータに外部端末が侵入することにより取得可能なダミーデータであって、当該サーバコンピュータに予め登録されたダミーデータをファイアウォール内に登録するダミーデータ登録手段と、外部端末に取得されファイアウォールを通過するデータにダミーデータが含まれているか否かを登録されたダミーデータに基づいて検査するダミーデータ検査手段と、を実現するための不正侵入検査用プログラムでもある。
サーバコンピュータに外部端末が侵入することにより取得可能なダミーデータであって、当該サーバコンピュータに予め登録されたダミーデータをファイアウォール内に登録するダミーデータ登録手段と、外部端末に取得されファイアウォールを通過するデータにダミーデータが含まれているか否かを登録されたダミーデータに基づいて検査するダミーデータ検査手段と、を実現するための不正侵入検査用プログラムでもある。
このような構成しても、上述同様に作用し、上記目的を達成することができる。
本発明は、以上のように構成され機能するので、これによると、ウェブサーバから外部に転送される全てのデータがファイアウォールにてチェックされるため、不正にデータが持ち出されるということを未然に防止することができ、その結果、不正侵入を防ぐことができなかった場合であっても、その後のデータ流出を防ぐことができるため、不正端末による未知の攻撃に対して有効にセキュリティを確保することができる。
本発明は、外部ネットワークから内部ネットワークへの不正アクセスの検出、遮断に関するものであり、外部から内部へ流入するデータや内部の状態変化を監視するのではなく、内部から外部へ流出するデータを監視することで、不正アクセスの初期に行われる内部環境の調査行為を検出することを特徴とする。
その基本的な構成は、外部ネットワークを介して外部端末に公開されたサーバコンピュータと、このサーバコンピュータに対する外部からの不正アクセスを監視するファイアウォールと、を備えており、サーバコンピュータが、予め外部端末が侵入することにより取得可能なダミーデータを記憶している。また、ファイアウォールが、ダミーデータを登録するダミーデータ登録手段と、外部端末に取得されファイアウォールを通過するデータにダミーデータが含まれているか否かを登録されたダミーデータに基づいて検査するダミーデータ検査手段と、を備えている。
そして、外部端末である攻撃者端末は、サーバコンピュータを内部ネットワークへの侵入の足がかりとするために、なんらかのセキュリティホールを利用してサーバコンピュータ上のアカウント設定などのデータを取得しようと試みる。一方、おとりのデータをこのような不正取得対象となりうるデータ中、及び、ファイアウォールのおとりデータ登録部に登録しておく。すると、仮に攻撃者端末がサーバコンピュータに侵入し、データを不正に取得したとしても、アカウント設定などのデータがファイアウォールを通過する際に検出されて、攻撃者端末が不正にアクセスしていることを検出することができ、当該攻撃者端末と内部ネットワークとの接続を即時遮断して、セキュリティを確保することができる。
以下、さらに具体的な構成を、各実施例を通じて説明する。
本発明の第1の実施例を、図1乃至図3を参照して説明する。図1はシステム構成の概略を示すブロック図であり、図2はその詳細な構成を示す機能ブロック図である。また、図3は、システムの動作を示すフローチャートである。
<構成>
本発明である不正侵入検出システムは、図1に示すように、外部ネットワークN1を介して外部端末からアクセス可能なサーバコンピュータである当該外部端末に公開された公開サーバ1と、この公開サーバ1に対する外部からの不正アクセスを監視するファイアウォール2と、により構成される。そして、図2に示すように、より具体的には、公開サーバ1は企業内LANなどの内部ネットワークN2の中に位置し、外部ネットワークN1から内部ネットワークN2への入り口には、上記ファイアウォール2が設置されている。すなわち、外部ネットワークN1上に位置する外部端末3,4による公開サーバ1に対する送受信データは、ファイアウォール2を必ず通過するこことなる。以下、各コンピュータ及び機器について詳述する。
本発明である不正侵入検出システムは、図1に示すように、外部ネットワークN1を介して外部端末からアクセス可能なサーバコンピュータである当該外部端末に公開された公開サーバ1と、この公開サーバ1に対する外部からの不正アクセスを監視するファイアウォール2と、により構成される。そして、図2に示すように、より具体的には、公開サーバ1は企業内LANなどの内部ネットワークN2の中に位置し、外部ネットワークN1から内部ネットワークN2への入り口には、上記ファイアウォール2が設置されている。すなわち、外部ネットワークN1上に位置する外部端末3,4による公開サーバ1に対する送受信データは、ファイアウォール2を必ず通過するこことなる。以下、各コンピュータ及び機器について詳述する。
<外部端末>
外部端末3,4は、ネットワーク上に公開されたウェブサーバなどの公開サーバ1にアクセスする一般ユーザの端末である。但し、これらのユーザの中には、公開サーバ1に不正にアクセスして、当該公開サーバ1の内部データを不正取得したり、改ざんしたりする端末も存在する。以下では、図1に示すように、公開サーバ1に対して正常なアクセスを行う外部端末をユーザ端末3として表し、不正アクセスを行う外部端末を攻撃者端末4として表す。
外部端末3,4は、ネットワーク上に公開されたウェブサーバなどの公開サーバ1にアクセスする一般ユーザの端末である。但し、これらのユーザの中には、公開サーバ1に不正にアクセスして、当該公開サーバ1の内部データを不正取得したり、改ざんしたりする端末も存在する。以下では、図1に示すように、公開サーバ1に対して正常なアクセスを行う外部端末をユーザ端末3として表し、不正アクセスを行う外部端末を攻撃者端末4として表す。
<公開サーバ>
公開サーバ1は、ネットワーク上において所定のコンテンツを外部に配信する一般的なウェブサーバである。そして、この公開サーバは、外部ネットワークN1に直接接続されているわけではなく、ファイアウォール2にて外部ネットワークN1と区別された内部ネットワークN2内に存在する。この内部ネットワークN2とは、例えば、特定の者しかアクセスすることのできない企業内LANなどのネットワーク網を言う。なお、上記公開サーバ1は、ウェブサーバであることに限定されず、特定の複数のユーザにて共有されるデータを記憶する共有ファイルサーバなど、外部ネットワークN1からアクセス可能なコンピュータである。また、必ずしも外部に対して公開されているサーバコンピュータであることに限定されない。
公開サーバ1は、ネットワーク上において所定のコンテンツを外部に配信する一般的なウェブサーバである。そして、この公開サーバは、外部ネットワークN1に直接接続されているわけではなく、ファイアウォール2にて外部ネットワークN1と区別された内部ネットワークN2内に存在する。この内部ネットワークN2とは、例えば、特定の者しかアクセスすることのできない企業内LANなどのネットワーク網を言う。なお、上記公開サーバ1は、ウェブサーバであることに限定されず、特定の複数のユーザにて共有されるデータを記憶する共有ファイルサーバなど、外部ネットワークN1からアクセス可能なコンピュータである。また、必ずしも外部に対して公開されているサーバコンピュータであることに限定されない。
そして、公開サーバ1の構成を図2を参照して詳述する。公開サーバ1はウェブサーバとして作動するための一般的な機能を有することはもちろんであり、図2に示すように、システム設定領域11と、公開データ領域12と、を有している。そして、システム設定領域11には、アカウント設定11a、ホスト設定11b、共有設定11c、が格納されている。アカウント設定11aは公開サーバ上のユーザアカウント名の一覧を含み、ホスト設定11bは近隣のホスト名の一覧を含み、共有設定11cは公開サーバ上のファイルシステムの一部に名前をつけて内部ネットワークへ公開するための設定を含んでいる。また、公開データ領域12には、アクセスしてきたユーザ端末3に公開される公開データ12aが記憶されている。
また、公開サーバ1には、おとりデータ生成プログラム13が格納されており、このプログラム13が公開サーバ1の演算装置であるCPUに組み込まれることにより、実際には存在しない、あるいは、使用されないダミーデータを生成するおとりデータ生成部(ダミーデータ生成手段)が、当該CPU内に構築されることとなる。なお、図2では、おとりデータ生成プログラム13がおとりデータ生成部として機能することとして説明する。このおとりデータ生成プログラム13による機能をさらに詳述すると、まず、本実施例では、実際には存在しないまたは使用されないアカウント設定であるおとりとしてのダミーの項目を表すダミーデータ11aaを生成して、アカウント設定11a中に格納する。さらに、このダミーデータを同一のダミーデータを、後述するファイアウォール2に送信し、当該ファイアウォール2内に形成されたおとりデータ登録部21に登録するよう作動する。なお、上記ダミーデータ11aaは、公開サーバ1の管理者などの操作により、予めアカウント設定11a内に記憶されていてもよく、同様に、ファイアウォール2のおとりデータ登録部21にも予め登録されていてもよい。また、上記アカウント設定を表すダミーデータは、アカウント設定に関するデータであればよい。すなわち、アカウント設定に用いられる一部のデータであってもよく、ダミーデータとして他のデータと区別できればよい。
<ファイアウォール>
ファイアウォール2は、上述したように、外部ネットワークN1と内部ネットワークN2との間に設置され、外部ネットワークN1上の端末3,4と公開サーバ1との間で行われる通信データであるパケットは全て通過することとなり、不正なアクセスによるデータ通信でないかどうかをチェックする。具体的にファイアウォール2には、図2に示すように、おとりデータ登録部21と、パケットフィルタ部22と、データ検査部23と、アラートメール送信部24とを備えている。なお、これらの各処理部や、ファイアウォールによる動作は、不正侵入検出用プログラムがファイアウォールの演算部に組み込まれることで実現される。
ファイアウォール2は、上述したように、外部ネットワークN1と内部ネットワークN2との間に設置され、外部ネットワークN1上の端末3,4と公開サーバ1との間で行われる通信データであるパケットは全て通過することとなり、不正なアクセスによるデータ通信でないかどうかをチェックする。具体的にファイアウォール2には、図2に示すように、おとりデータ登録部21と、パケットフィルタ部22と、データ検査部23と、アラートメール送信部24とを備えている。なお、これらの各処理部や、ファイアウォールによる動作は、不正侵入検出用プログラムがファイアウォールの演算部に組み込まれることで実現される。
そして、おとりデータ登録部21(ダミーデータ登録手段)は、上述したように、公開サーバ1に記憶されたダミーデータ11aaと同一のデータを格納する。なお、公開サーバ1に複数のダミーデータが記憶されている場合には、その一覧が格納される。
また、パケットフィルタ部22(フィルタ手段)は、ファイアウォールを通過する通信について、パケットの送信元と送信先に関する条件に基づいて、その遮断/通過を制御する。パケットフィルタ部22はまた、内部から外部へ流れるデータをいったんデータ検査部23へ渡して検査させる。そして、データ検査部23から不正アクセス検出の通知を受けた際には不正アクセス元と内部ネットワークとの通信の遮断を行う。
また、データ検査部23(ダミーデータ検査手段)は、パケットフィルタ部22から渡されたデータを検査し、おとりデータ登録部21に登録されているダミーデータを参照しながら、そこに登録されているおとりデータが通信データ中に含まれるかどうかを検査し、含まれる場合には不正アクセス検出と判定する。不正アクセスを検出した場合には、パケットフィルタ部22およびアラートメール送信部24に通知する。不正アクセスが検出されなかった場合には、通信データをパケットフィルタ部22へ返す。
また、アラートメール送信部24は、不正アクセス検出の通知をデータ検査部23から受けると、その旨のメールをシステム管理者のメールアドレスへ送信する。
<動作>
次に、上記構成における不正侵入検出システムの動作を、図3のフローチャートを参照して説明する。なお、外部ネットワークN1上の攻撃者端末4が内部ネットワークN2へ侵入して、公開サーバ1内のデータを不正取得しようとする場合を例に挙げて説明する。具体的には、攻撃者端末4は、侵入のために、あるいは、ある程度の侵入に成功した後に影響範囲を拡大するために、公開サーバ1を含む内部の環境についての情報を可能な限り収集しようとする。攻撃者の欲する情報には、例えば以下が含まれる。
ア)どのようなアカウントが存在するか
イ)アカウントのパスワードは何か
ウ)どのようなホストが存在するか
エ)どのような共有ファイルシステムが存在するか
オ)どのようなデータファイルが存在するか
カ)どのようなプロセスが動作しているか
このうち、本実施例では、攻撃者端末4が、ア)に説明したアカウント情報を取得しようとした場合の動作を説明する。
次に、上記構成における不正侵入検出システムの動作を、図3のフローチャートを参照して説明する。なお、外部ネットワークN1上の攻撃者端末4が内部ネットワークN2へ侵入して、公開サーバ1内のデータを不正取得しようとする場合を例に挙げて説明する。具体的には、攻撃者端末4は、侵入のために、あるいは、ある程度の侵入に成功した後に影響範囲を拡大するために、公開サーバ1を含む内部の環境についての情報を可能な限り収集しようとする。攻撃者の欲する情報には、例えば以下が含まれる。
ア)どのようなアカウントが存在するか
イ)アカウントのパスワードは何か
ウ)どのようなホストが存在するか
エ)どのような共有ファイルシステムが存在するか
オ)どのようなデータファイルが存在するか
カ)どのようなプロセスが動作しているか
このうち、本実施例では、攻撃者端末4が、ア)に説明したアカウント情報を取得しようとした場合の動作を説明する。
まず、攻撃者端末4は、アカウント設定11aを閲覧しようと試みる。仮にそれに成功した場合、取得されたアカウント設定中のデータ11aにはダミーデータ11aaも含まれることとなる。そして、かかるデータが攻撃者端末4の元へ転送される途中、必ずパケットフィルタ22を通過することとなり、このとき、ファイアウォール2中のデータ検査部23に転送されて(ステップS1)、当該データ検査部23にて検査される(ステップS2)。
そして、データ検査部23は、外部へ流出するデータを、おとりデータ登録部21に登録されているデータと照合する。すると、アカウント設定はダミーデータを含むため、ここで不正アクセスと判定される(ステップS2にて肯定判断)。
続いてデータ検査部23は、不正アクセス検出をパケットフィルタ部22とアラートメール送信部24とにそれぞれ通知する。この通知をうけたパケットフィルタ部22は、データの送り先つまり攻撃者端末4との一切の通信を遮断するよう設定される(ステップS3)。これにより、攻撃者端末4からの一切のアクセスは内部へ到達できなくなる。また、アラートメール送信部24は、管理者(端末)に不正アクセスを検出した旨のメールを送信する(ステップS4)。
一方、データ検査部23による検査の結果、転送されるデータにダミーデータが含まれていない場合には(ステップS2にて否定判断)、正常なアクセスであると判断して、当該パケットデータのデータ転送許可をパケットフィルタ部22に通知する(ステップS5)。すると、これを受けたパケットフィルタ部22では、かかる端末とのデータ通信を許可してデータの通過を許容する。
このようにすることにより、攻撃者端末4が仮に公開サーバに不正侵入して、所定のデータを取得したとしても、そのデータが公開サーバ1のファイアウォール1から出力される際に当該取得されたデータにダミーデータが含まれているか否かが検出される。そして、ダミーデータが含まれていた場合には、そのデータを取得する攻撃者端末4を不正侵入端末と認識して、現在及びその後の通信を遮断する。従って、全てのデータがチェックされるため、不正にデータが持ち出されるという事態を未然に防止することができる。その結果、不正侵入を防ぐことができなかった場合であっても、その後のデータ流出を防ぐことができるため、不正端末による未知の攻撃に対して有効にセキュリティを確保することができる。
次に、本発明の第2の実施例を、図4を参照して説明する。図4は、実施例2における不正侵入検出システムの構成を示す機能ブロック図である。
<構成>
本実施例においては、上述した公開サーバ1に記憶するダミーデータがアカウント設定11aのものだけでなく、実際には存在しない、あるいは、使用しない、ホスト設定11b、共有設定11cのダミーの項目を表すダミーデータ11ba,11caも記憶されている。さらには、公開サーバ1に登録される実際には存在しない共有ファイルを表すダミーデータであるおとりファイル12bも用意されている。なお、上記ダミーデータは、各設定データや共有ファイルを表すデータそのものでもよいが、後述するように、本実施例では、各データの一部を表すデータである。
本実施例においては、上述した公開サーバ1に記憶するダミーデータがアカウント設定11aのものだけでなく、実際には存在しない、あるいは、使用しない、ホスト設定11b、共有設定11cのダミーの項目を表すダミーデータ11ba,11caも記憶されている。さらには、公開サーバ1に登録される実際には存在しない共有ファイルを表すダミーデータであるおとりファイル12bも用意されている。なお、上記ダミーデータは、各設定データや共有ファイルを表すデータそのものでもよいが、後述するように、本実施例では、各データの一部を表すデータである。
さらに、公開サーバ1には、当該公開サーバ1にログインする外部の端末が存在しない架空のログイン処理を実行するおとりログイン発行プロセス14(ダミーログイン実行手段)も備えられている。このおとりログイン発行プロセスは、不規則な間隔で、ファイアウォール2上のおとりログイン受付部25に対して、ダミーのアカウント名に於いて(TELNETやPOPなどのプロトコルを使用して)ダミーのログイン処理を発行する(ダミーログイン処理に用いられるアカウント名あるいはこれに対応するパスワードを表すデータを発行する)常駐プロセスである。なお、上記ダミーデータの生成や機能の実現は、おとりデータ生成プログラム13によって実現され、生成されたダミーデータは、対象のファイルやディレクトリに挿入される。
また、これに伴い、ファイアウォール2には、実施例1の構成と同様に、おとりデータ登録部21が構成されており、公開サーバ1のおとりデータ生成プログラム13にて生成された、アカウント設定11a、ホスト設定11b、共有設定11cに含まれるダミーの項目11aa,11ba,11ca、おとりファイル12bの名前、おとりログイン発行プロセスの名前、おとりログインに使用されるダミーのアカウント名、などが登録されている。なお、これらをまとめておとりデータ(ダミーデータ)と呼ぶ。
また、ファイアウォール2には、公開サーバ1に構築されたおとりログイン発行プロセス14に対応して、おとりログイン受付部25が構築されている。このおとりログイン受付け部25は、公開サーバ1上のおとりログイン発行プロセス14からのダミーのログイン処理を受けて応える。
そして、ファイアウォール2内の他の構成、すなわち、パケットフィルタ部22やデータ検査部23などは上述同様に作動し、特に、データ検査部23は、外部ネットワークN1へ通過するデータ中におとりデータが含まれていないかどうかを検査することで、実施例1同様に、セキュリティの確保を図っている。
<動作>
次に、実施例2におけるシステムの動作を説明する。実施例1でも説明したように、攻撃者端末4は、侵入のために、あるいは、ある程度の侵入に成功した後に影響範囲を拡大するために、公開サーバ1を含む内部の環境についての情報を可能な限り収集しようとする。そのときに攻撃者の欲する情報には、例えば以下が含まれる。
ア)どのようなアカウントが存在するか
イ)アカウントのパスワードは何か
ウ)どのようなホストが存在するか
エ)どのような共有ファイルシステムが存在するか
オ)どのようなデータファイルが存在するか
カ)どのようなプロセスが動作しているか
このうち、ア)については実施例1で説明したので、イ)〜カ)について説明する。なお、ファイアウォール2の動作は、基本的には図3に示すものと同様である。
次に、実施例2におけるシステムの動作を説明する。実施例1でも説明したように、攻撃者端末4は、侵入のために、あるいは、ある程度の侵入に成功した後に影響範囲を拡大するために、公開サーバ1を含む内部の環境についての情報を可能な限り収集しようとする。そのときに攻撃者の欲する情報には、例えば以下が含まれる。
ア)どのようなアカウントが存在するか
イ)アカウントのパスワードは何か
ウ)どのようなホストが存在するか
エ)どのような共有ファイルシステムが存在するか
オ)どのようなデータファイルが存在するか
カ)どのようなプロセスが動作しているか
このうち、ア)については実施例1で説明したので、イ)〜カ)について説明する。なお、ファイアウォール2の動作は、基本的には図3に示すものと同様である。
まず、攻撃者端末4が上記のイ)の情報を知ろうと試みた場合の動作を説明する。攻撃者端末4は、仮に侵入に成功して公開サーバホスト上にプログラムを置く事ができるようになると、しばしば、スニッファと呼ばれるプログラムを置いて開始する。スニッファは、ネットワークを流れるデータを盗聴するプログラムであり、攻撃者はこれを使用して様々なプロトコルで行われるログイン処理を盗聴し、アカウント名と暗号化されていないパスワードの対を知ろうとする。
ここで、公開サーバ1上のおとりログイン発行プロセス14は、ファイアウォール2上のおとりログイン受付部25に対して、間隔を置きながら、ダミーのログイン処理(たとえば、TELNETやPOPプロトコルによる)を行っており、このログイン処理は攻撃者の仕掛けたスニッファによって補足される。
スニッファによって収集されたデータが攻撃者端末4の元へ転送される際には、ファイアウォール2のデータ検査部23によって検査され、ダミーのログイン処理に使用されているアカウント名がおとりデータ登録部21に登録されているために、不正アクセスが検出される。
次に、攻撃者端末4がウ)の情報を知ろうと試みた場合の動作を説明する。攻撃者端末4は、まずホスト設定11bを閲覧しようと試みる。仮にそれに成功した場合、ホスト設定中のデータ(おとりデータを含む)が、ファイアウォール2を通過する際に、データ検査部23によって上記の例と同じように検出される。
次に、攻撃者端末4がエ)の情報を知ろうと試みた場合の動作を説明する。攻撃者端末4が、ネットワーク上にどのような共有ファイルシステムが存在するかの問合せを発行すると、公開サーバ上の共有設定11cに挿入されたおとりのデータを含んだ結果が返される。このデータが、ファイアウォール2を通過する際に、データ検査部23によって上記の例と同じように検出される。
次に、攻撃者端末4がオ)の情報を知ろうと試みた場合の動作を説明する。攻撃者端末4は、自分の興味のあるデータを含んでいそうなファイルを探すために、ファイルの一覧等の検索操作を行う。その結果、おとりファイル12bの名前を含むデータを取得しようとする。このデータが、ファイアウォール2を通過する際に、データ検査部23によって上記の例と同じように検出される。
次に、攻撃者端末4がカ)の情報を知ろうと試みた場合の動作を説明する。攻撃者端末4は、公開サーバ1上で動作しているプロセスの一覧を取得して、セキュリティホールとして利用できるプロセスがないかを調べようとする。ところが、プロセス一覧の中には、おとりログイン発行プロセス14の名前が含まれる。このデータが、ファイアウォール2を通過する際に、データ検査部23によって上記の例と同じように検出される。
なお、実施例では、おとりのデータを持たせる対象を公開サーバ1のみとしたが、内部ネットワーク上の各ホストを対象とすることで、より安全度が増す。また、おとりとなるダミーのデータについても、攻撃者の調査対象となり得る場所であれば、実施例で示した場所以外に挿入することも考えられる。たとえば、システム設定領域内の任意の設定中に、ダミーの項目としてまたはコメント行として挿入しておくことが考えられる。また、おとりファイルを公開データ領域以外に配置することも考えられる。
このようにすることにより、具体的な侵入手口は移り変わっても、内部環境に関する情報を収集する調査行為は変わらずに行われる行為であり、かつ、調査行為に於いて多くの場合にその対象となるようなデータ(アカウント一覧等)が存在し、このようなデータの流出を監視するため、未知の侵入手口にも対応でき、よりセキュリティの向上を図ることができる。
また、通常の運用では外部に流出するはずのないデータの流出を監視するため、誤検知の可能性が低い、という優れた効果も有する。
また、データ検査部23において通信データと照合するおとりデータの集合は比較的小さいものであるため(複数のおとりデータに同じ文字列を使用することもできる)、ファイアウォール2での処理の負荷の軽減を図ることができ、スループットの低下を抑制しつつ、セキュリティの向上を図ることができる。
また、侵入行為の初期の段階から行われる情報収集行為を検出するため、機密性の高い情報の流出に至る前に侵入を検出することができ、より強固なセキュリティシステムとすることができる。
さらには、本発明において内部ホストへの設定として必要なのは主におとりデータの生成・配置であるが、攻撃者の調査行為において多くの場合にその対象となるようなデータ(アカウント一覧等)が存在するため、おとりデータ生成プログラム13によって容易に自動化することが可能であり、運用・管理コストの低減化を図ることができる。なお、実施例では、公開サーバのみにおとりデータを仕掛けたが、内部ネットワークに存在するホストごとに仕掛けることで、より安全性を高めることができる。
本発明である不正侵入検出システムは、セキュリティのさらなる確保を図るべく、外部ネットワークに接続されたあらゆるサーバコンピュータに適用することができ、産業上の利用可能性を有する。
1 公開サーバ
2 ファイアウォール
3 ユーザ端末(外部端末)
4 攻撃者端末(外部端末)
13 おとりデータ生成プログラム(ダミーデータ生成手段)
14 おとりログイン発行プロセス(ダミーログイン実行手段)
21 おとりデータ登録部(ダミーデータ登録部)
22 パケットフィルタ部(フィルタ手段)
23 データ検査部(ダミーデータ検査手段)
24 アラートメール送信部
25 おとりログイン受付手段
11a アカウント設定
11b ホスト設定
11c 共有設定
11aa,11ba,11ca おとりデータ(ダミーデータ)
12b おとりファイル(ダミーファイル)
N1 外部ネットワーク
N2 内部ネットワーク
2 ファイアウォール
3 ユーザ端末(外部端末)
4 攻撃者端末(外部端末)
13 おとりデータ生成プログラム(ダミーデータ生成手段)
14 おとりログイン発行プロセス(ダミーログイン実行手段)
21 おとりデータ登録部(ダミーデータ登録部)
22 パケットフィルタ部(フィルタ手段)
23 データ検査部(ダミーデータ検査手段)
24 アラートメール送信部
25 おとりログイン受付手段
11a アカウント設定
11b ホスト設定
11c 共有設定
11aa,11ba,11ca おとりデータ(ダミーデータ)
12b おとりファイル(ダミーファイル)
N1 外部ネットワーク
N2 内部ネットワーク
Claims (20)
- 外部ネットワークを介して外部端末からアクセス可能なサーバコンピュータと、このサーバコンピュータに対する外部からの不正アクセスを監視するファイアウォールと、を備えた不正侵入検出システムにおいて、
前記サーバコンピュータが、予め外部端末が侵入することにより取得可能なダミーデータを記憶すると共に、
前記ファイアウォールが、前記ダミーデータを登録するダミーデータ登録手段と、外部端末に取得されファイアウォールを通過するデータに前記ダミーデータが含まれているか否かを前記登録されたダミーデータに基づいて検査するダミーデータ検査手段と、を備えたことを特徴とする不正侵入検出システム。 - 前記ダミーデータは、前記サーバコンピュータに登録されるアカウント設定に関するデータとして記憶されたデータである、ことを特徴とする請求項1記載の不正侵入検出システム。
- 前記ダミーデータは、前記サーバコンピュータに登録されるホスト設定に関するデータとして記憶されたデータである、ことを特徴とする請求項1又は2記載の不正侵入検出システム。
- 前記ダミーデータは、前記サーバコンピュータに登録される共有設定に関するデータとして記憶されたデータである、ことを特徴とする請求項1,2又は3記載の不正侵入検出システム。
- 前記ダミーデータは、前記サーバコンピュータに登録される共有ファイルに関するデータとして記憶されたデータである、ことを特徴とする請求項1,2,3又は4記載の不正侵入検出システム。
- 前記サーバコンピュータは、前記ダミーデータを生成するダミーデータ生成手段を備え、このダミーデータ生成手段は、生成したダミーデータを当該サーバコンピュータ内に予め定められた前記外部端末が侵入することにより取得可能なデータとして記憶すると共に、前記ファイアウォールに備えられた前記ダミーデータ登録部に登録する、ことを特徴とする請求項1,2,3,4又は5記載の不正侵入検出システム。
- 前記サーバコンピュータは、当該サーバコンピュータにログインする外部端末が存在しない架空のログイン処理を実行するダミーログイン実行手段を備えると共に、
前記サーバコンピュータに記憶されるダミーデータは、前記ダミーログイン実行手段にて実行されるダミーログイン処理に用いられるデータである、ことを特徴とする請求項1,2,3,4,5又は6記載の不正侵入検出システム。 - 前記ファイアウォールは、前記ダミーデータ検査手段による検査の結果、ダミーデータが含まれていた場合に当該データを取得した外部端末との通信を遮断するフィルタ手段を備えた、ことを特徴とする請求項1,2,3,4,5,6又は7記載の不正侵入検出システム。
- 外部ネットワークを介して外部端末からアクセス可能なサーバコンピュータと、このサーバコンピュータに対する外部からの不正アクセスを監視するファイアウォールと、を備えた不正侵入検出システムにおいて、
前記サーバコンピュータが、予め外部端末が侵入することにより取得可能なダミーデータを記憶すると共に、
前記ファイアウォールが、前記ダミーデータに関連付けられたダミー対応データを登録するダミー対応データ登録手段と、外部端末に取得されファイアウォールを通過するデータに前記ダミーデータが含まれているか否かを前記登録されたダミー対応データに基づいて検査するダミーデータ検査手段と、を備えたことを特徴とする不正侵入検出システム。 - 外部からの不正アクセスを監視するファイアウォールを介して外部ネットワークに接続されたサーバコンピュータにおいて、
前記サーバコンピュータが、予め外部ネットワーク上の外部端末が侵入することにより取得可能なダミーデータを記憶すると共に、
このダミーデータは、前記ファイアウォールに登録されると共に、外部端末に取得されファイアウォールを通過するデータに前記ダミーデータが含まれているか否かが検査される際に用いられるデータである、ことを特徴とするサーバコンピュータ。 - 前記ダミーデータは、前記サーバコンピュータに登録されるアカウント設定に関するデータとして記憶されたデータである、ことを特徴とする請求項10記載のサーバコンピュータ。
- 前記ダミーデータは、前記サーバコンピュータに登録されるホスト設定に関するデータとして記憶されたデータである、ことを特徴とする請求項10又は11記載のサーバコンピュータ。
- 前記ダミーデータは、前記サーバコンピュータに登録される共有設定に関するデータとして記憶されたデータである、ことを特徴とする請求項10,11又は12記載のサーバコンピュータ。
- 前記ダミーデータは、前記サーバコンピュータに登録される共有ファイルに関するデータとして記憶されたデータである、ことを特徴とする請求項10,11,12又は13記載のサーバコンピュータ。
- 前記ダミーデータを生成するダミーデータ生成手段を備え、
このダミーデータ生成手段は、生成したダミーデータを当該サーバコンピュータ内に予め定められた前記外部端末が侵入することにより取得可能なデータとして記憶すると共に、前記ファイアウォールにダミーデータ検査用として登録する、ことを特徴とする請求項10,11,12,13又は14記載のサーバコンピュータ。 - 前記サーバコンピュータにログインする外部端末が存在しない架空のログイン処理を実行するダミーログイン実行手段を備えると共に、
前記ダミーデータは、前記ダミーログイン実行手段にて実行されるダミーログイン処理に用いられるデータである、ことを特徴とする請求項10,11,12,13,14又は15記載のサーバコンピュータ。 - 外部ネットワークを介して外部端末からアクセス可能なサーバコンピュータに対する外部からの不正アクセスを監視するファイアウォールにおいて、
前記サーバコンピュータに外部端末が侵入することにより取得可能なダミーデータであって、当該サーバコンピュータに予め登録されたダミーデータをファイアウォール内に登録するダミーデータ登録手段と、外部端末に取得されファイアウォールを通過するデータに前記ダミーデータが含まれているか否かを前記登録されたダミーデータに基づいて検査するダミーデータ検査手段と、を備えたことを特徴とするファイアウォール。 - 前記ダミーデータ検査手段による検査の結果、ダミーデータが含まれていた場合に当該データを取得した外部端末との通信を遮断するフィルタ手段を備えた、ことを特徴とする請求項17記載のファイアウォール。
- ファイアウォールを介して外部ネットワークに接続され、外部端末からアクセス可能なサーバコンピュータに対する外部からの不正アクセスを監視して検出する方法であって、
前記サーバコンピュータが、外部端末が侵入することにより取得可能なダミーデータを記憶するダミーデータ記憶工程と、
このダミーデータ記憶工程に前後して、前記ファイアウォールが、前記ダミーデータを登録するダミーデータ登録工程と有し、
前記ダミーデータ記憶工程及びダミーデータ登録工程の後に、前記ファイアウォールが、外部端末に取得され当該ファイアウォールを通過するデータに前記ダミーデータが含まれているか否かを前記登録されたダミーデータに基づいて検査するダミーデータ検査工程と、を備えた特徴とする不正侵入検出方法。 - 外部ネットワークを介して外部端末からアクセス可能なサーバコンピュータに対する外部からの不正アクセスを監視するファイアウォールに、
前記サーバコンピュータに外部端末が侵入することにより取得可能なダミーデータであって、当該サーバコンピュータに予め登録されたダミーデータを、ファイアウォール内に登録するダミーデータ登録手段と、
外部端末に取得されファイアウォールを通過するデータに前記ダミーデータが含まれているか否かを前記登録されたダミーデータに基づいて検査するダミーデータ検査手段と、
を実現するための不正侵入検査用プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004095258A JP2005284523A (ja) | 2004-03-29 | 2004-03-29 | 不正侵入検出システム及び方法並びに不正侵入検出用プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004095258A JP2005284523A (ja) | 2004-03-29 | 2004-03-29 | 不正侵入検出システム及び方法並びに不正侵入検出用プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005284523A true JP2005284523A (ja) | 2005-10-13 |
Family
ID=35182855
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004095258A Pending JP2005284523A (ja) | 2004-03-29 | 2004-03-29 | 不正侵入検出システム及び方法並びに不正侵入検出用プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005284523A (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008287706A (ja) * | 2007-04-19 | 2008-11-27 | Panasonic Corp | 情報セキュリティ装置、セキュリティシステム及び入力情報漏洩防止方法 |
JP2009516308A (ja) * | 2005-11-15 | 2009-04-16 | タイヴァーサ・インコーポレーテッド | P2pネットワーク・ソフトウェア・アプリケーションの存在を識別するシステム |
JP2010134832A (ja) * | 2008-12-08 | 2010-06-17 | Ricoh Co Ltd | 情報処理装置及びプログラム |
JP2015518320A (ja) * | 2012-04-09 | 2015-06-25 | ランディス・ギア イノベーションズ インコーポレイテッドLandis+Gyr Innovations, Inc. | デコイ暗号鍵を使用したネットワーク侵入検知 |
JP2017016674A (ja) * | 2012-11-30 | 2017-01-19 | ネイバー ビジネス プラットフォーム コーポレーション | 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体 |
CN114024703A (zh) * | 2020-10-28 | 2022-02-08 | 北京八分量信息科技有限公司 | 一种零信任架构中防止服务器被入侵导致的身份泄露方法 |
KR20220169760A (ko) * | 2021-06-21 | 2022-12-28 | 주식회사 넥스트앤콤 | 해킹 차단 장치 및 그 방법 |
-
2004
- 2004-03-29 JP JP2004095258A patent/JP2005284523A/ja active Pending
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009516308A (ja) * | 2005-11-15 | 2009-04-16 | タイヴァーサ・インコーポレーテッド | P2pネットワーク・ソフトウェア・アプリケーションの存在を識別するシステム |
JP2008287706A (ja) * | 2007-04-19 | 2008-11-27 | Panasonic Corp | 情報セキュリティ装置、セキュリティシステム及び入力情報漏洩防止方法 |
US8566959B2 (en) | 2007-04-19 | 2013-10-22 | Panasonic Corporation | Information security apparatus, security system, and method for preventing leakage of input information |
JP2010134832A (ja) * | 2008-12-08 | 2010-06-17 | Ricoh Co Ltd | 情報処理装置及びプログラム |
JP2015518320A (ja) * | 2012-04-09 | 2015-06-25 | ランディス・ギア イノベーションズ インコーポレイテッドLandis+Gyr Innovations, Inc. | デコイ暗号鍵を使用したネットワーク侵入検知 |
JP2017016674A (ja) * | 2012-11-30 | 2017-01-19 | ネイバー ビジネス プラットフォーム コーポレーション | 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体 |
CN114024703A (zh) * | 2020-10-28 | 2022-02-08 | 北京八分量信息科技有限公司 | 一种零信任架构中防止服务器被入侵导致的身份泄露方法 |
KR20220169760A (ko) * | 2021-06-21 | 2022-12-28 | 주식회사 넥스트앤콤 | 해킹 차단 장치 및 그 방법 |
WO2022270828A1 (ko) * | 2021-06-21 | 2022-12-29 | 주식회사 넥스트앤콤 | 해킹 차단 장치 및 그 방법 |
KR102522584B1 (ko) * | 2021-06-21 | 2023-04-17 | 주식회사 넥스트앤콤 | 해킹 차단 장치 및 그 방법 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
JP5844938B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
US20030188190A1 (en) | System and method of intrusion detection employing broad-scope monitoring | |
US20080098476A1 (en) | Method and Apparatus for Defending Against Zero-Day Worm-Based Attacks | |
US20040221178A1 (en) | Firewall system and method via feedback from broad-scope monitoring for intrusion detection | |
JPWO2014119669A1 (ja) | ログ分析装置、情報処理方法及びプログラム | |
US11258812B2 (en) | Automatic characterization of malicious data flows | |
US20210409446A1 (en) | Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file | |
KR102501372B1 (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
JP2008052637A (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
EP3319355A1 (en) | Distributed firewall system | |
JP2005284523A (ja) | 不正侵入検出システム及び方法並びに不正侵入検出用プログラム | |
KR20070072835A (ko) | 실시간 웹로그 수집을 통한 웹해킹 대응 방법 | |
JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
JP4328679B2 (ja) | コンピュータネットワークの運用監視方法及び装置並びにプログラム | |
Javeed et al. | Artificial intelligence (AI)-based intrusion detection system for IoT-enabled networks: A state-of-the-art survey | |
JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 | |
Gheorghe et al. | Attack evaluation and mitigation framework | |
KR20030087583A (ko) | 개인용 컴퓨터의 침입탐지시스템 | |
US20220337605A1 (en) | Management apparatus, network monitoring system, determination method, communication method, and non-transitory computer readable medium | |
Mohammed | DESIGNING RULES TO IMPLEMENT RECONNAISSANCE AND UNAUTHORIZED ACCESS ATTACKS FOR INTRUSION DETECTION SYSTEM | |
Meng et al. | Traffic Analysis Based Misbehavior Detection at Application Platform Layer | |
Rahim et al. | Improving the security of Internet of Things (IoT) using Intrusion Detection System (IDS) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050720 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070820 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070904 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080108 |