JP2006050081A - 不正アクセス防御システム - Google Patents
不正アクセス防御システム Download PDFInfo
- Publication number
- JP2006050081A JP2006050081A JP2004225646A JP2004225646A JP2006050081A JP 2006050081 A JP2006050081 A JP 2006050081A JP 2004225646 A JP2004225646 A JP 2004225646A JP 2004225646 A JP2004225646 A JP 2004225646A JP 2006050081 A JP2006050081 A JP 2006050081A
- Authority
- JP
- Japan
- Prior art keywords
- host
- unauthorized access
- address
- protected
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】 DDoS攻撃防御対象ホスト21、22、23のいずれかに対して不正アクセスが発生した場合、侵入検出防御装置31、32、33が該攻撃を検出し、不正アクセスターゲットホスト情報を管理装置2に通知する。攻撃ターゲットホスト情報を受信した管理装置2は、互いに関連する不正アクセスを仕掛けられる可能性のあるホストグループの情報データベースを検索し、受信した攻撃ターゲットホストと同じグループに属する他のホストの情報を取得し、該ホストグループ宛てのトラヒックを集約型侵入検出防御装置1に転送するルーチング設定をルータ11、12、13、14、15に対して指示する。
【選択図】 図1
Description
複数の防御対象ホスト宛てのトラヒックを集約して監視できる位置に配備され、前記複数の防御対象ホスト宛てのパケットを監視して不正アクセスの検出を行う手段と、不正アクセスを検出した場合に、不正アクセスとなるパケットを遮断し、不正アクセスとならないパケットをルータ、ゲートウェイ、または通信装置に送信させる手段を含む集約型侵入検出防御装置と、
複数の防御対象ホストにより定義されるホストグループの情報データベースと、攻撃ターゲットホスト情報を受信したことをトリガに該情報に基づいて前記情報データベースを検索し、前記攻撃ターゲットホストと同じグループに属するホストグループの情報を取得する手段と、該ホストグループ宛てのトラヒックを集約型侵入検出防御装置宛てにルーチングすることをルータ、ゲートウェイ、または通信装置に対して指示するルーチング指示手段を含む管理装置と、
防御対象ホスト宛てのパケットを監視できる位置にそれぞれ配備され、防御対象ホスト宛てのパケットを監視して不正アクセスの検出を行う手段と、不正アクセスを検出した場合に攻撃ターゲットホスト情報を管理装置に通知する手段を含む侵入検出防御装置と、
を有する。
図1を参照すると、本発明の第1の実施形態の不正アクセス防御システムは、集約型侵入検出防御装置1と、管理装置2と、ルータ11、12、13、14、15、16と、DDoS攻撃防御対象ホスト21、22、23と、侵入検出防御装置31、32、33と、IPネットワークN1と、DDoS攻撃防御対象ホスト収容IPネットワークN11、N12、N13と、DDoS攻撃防御対象ホスト非収容IPネットワークN14、N15で構成されている。
本発明の第2の実施形態の不正アクセス防御システムの構成は、図1に示される本発明の第1の実施形態と基本的に同じである。ただし、本実施形態における集約型侵入検出防御装置1は、図7に示すように、第1の実施形態の集約型侵入検出防御装置1に不正アクセス終了検出情報通知部63が付加されている。また、管理装置2が保持するホストグループの情報データベース41の構成は、表1に示される本発明の第1の実施形態におけるデータベース41の構成と同じである。
本発明の第3の実施形態の集約型不正アクセス防御システムの構成および不正アクセス防御処理手順は、それぞれ図1と図5に示される本発明の第1の実施形態と基本的に同じである。管理装置2が保持するホストグループの情報データベース41に対し、本発明の第3の実施形態によるデータベースの構成例を表2に示す。表2を参照すると、ホストグループの情報データベース41は、カテゴリ識別子とIPアドレスの組により構成される。
本発明の第4の実施形態の集約型不正アクセス防御システムの構成および不正アクセス防御処理手順は、それぞれ図1と図5に示される本発明の第1の実施形態と基本的に同じである。
上記の第1から第4の実施形態では、IPアドレスを用いてホストグループの情報データベース41を構成したが、送信元IPアドレス、送信元IPアドレスのサブネットマスク、宛先IPアドレス、宛先IPアドレスのサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、サービスタイプ、全体長、生存時間、ICMP(Internet Control Message Protocol)タイプ、ICMPコードのいずれかおよびそれらの組合せによりパケット識別子をあらかじめ定義し、IPアドレスの代わりにパケット識別子を用いる場合についても同様である。表1に示すデータベースでは、URLアドレスとパケット識別子の組により構成すればよく、表2に示すデータベースでは、カテゴリ識別子とパケット識別子の組により構成すればよい。表3に示すデータベースでは、ユーザ識別子とカテゴリ識別子とパケット識別子の組により構成すればよい。
2 管理装置
11、12、13、14、15、16 ルータ
21、22、23 DDoS攻撃防御対象ホスト
31、32、33 侵入検出防御装置
41 情報データベース
42 検索部
43 ルーチング指示部
51 不正アクセス検出部
52 攻撃ターゲットホスト情報通知部
61 不正アクセス検出部
62 パケット制御部
63 不正アクセス終了検出情報通知部
N1 IPネットワーク
N11、N12、N13 DDoS攻撃防御対象ホスト収容IPネットワーク
N14、N15 DDoS攻撃防御対象ホスト非収容IPネットワーク
101〜115、121〜124 ステップ
Claims (13)
- 複数の防御対象ホストにより定義されるホストグループの情報データベースと、攻撃ターゲットホスト情報を受信したことをトリガに該情報に基づいて前記情報データベースを検索し、前記攻撃ターゲットホストと同じグループに属するホストグループの情報を取得する手段と、該ホストグループ宛てのトラヒックを、該トラヒックを同時に受信し、それらを合わせて監視して不正アクセスを検出し、不正アクセスとなるパケットを遮断し、不正アクセスとならないパケットをルータ、ゲートウェイ、または通信装置に送信させる集約型侵入検出防御装置宛てにルーチングすることを前記ルータ、ゲートウェイ、または通信装置に対して指示するルーチング指示手段を有する管理装置。
- 前記ルータ、ゲートウェイ、または通信装置に対してルーチング指示した後に、前記ルータ、ゲートウェイ、または通信装置に対してルーチング設定の解除指示を行う手段をさらに有する、請求項1に記載の管理装置。
- 不正アクセス終了検出情報を受信したことをトリガに、前記ルータ、ゲートウェイ、または通信装置に対してルーチング設定の解除指示を行う手段をさらに有する、請求項1に記載の管理装置。
- 前記情報データベースが、宛先IPアドレスとサブネットマスク、プロトコル番号、宛先ポート番号のいずれかおよびそれらの組合せによりあらかじめ定義されたパケット識別子と、URLアドレスの組により構成される、請求項1から3のいずれかに記載の管理装置。
- 前記情報データベースが、送信元IPアドレス、送信元IPアドレスのサブネットマスク、宛先IPアドレス、宛先IPアドレスのサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、サービスタイプ、全体長、生存時間、ICMPタイプ、ICMPコードのいずれかおよびそれらの組合せによりあらかじめ定義されたパケット識別子と、防御対象ホストの管理組織、防御対象ホスト種別、防御対象ホスト設置場所、防御対象ホストが提供するコンテンツの種別のいずれかの特徴に基づいてあらかじめ設定されたカテゴリ識別子の組により構成される、請求項1から3のいずれかに記載の管理装置。
- 前記情報データベースが、送信元IPアドレス、送信元IPアドレスのサブネットマスク、宛先IPアドレス、宛先IPアドレスのサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、サービスタイプ、全体長、生存時間、ICMPタイプ、ICMPコードのいずれかおよびそれらの組合せによりあらかじめ定義されたパケット識別子と、攻撃防御対象ホストの管理者に基づいてあらかじめ設定されたユーザ識別子と、防御対象ホストの管理組織、防御対象ホストの種別、防御対象ホストの設置場所、防御対象ホストが提供するコンテンツの種別のいずれかの特徴に基づいてあらかじめ設定されたカテゴリ識別子の組により構成される、請求項1から3のいずれかに記載の管理装置。
- ネットワークを経由した不正アクセスを検出し、該不正アクセスに関わるパケットを廃棄する不正アクセス防御システムであって、
複数の防御対象ホスト宛てのトラヒックを集約して監視できる位置に配備され、前記複数の防御対象ホスト宛てのパケットを監視して不正アクセスの検出を行う手段と、不正アクセスを検出した場合に、不正アクセスとなるパケットを遮断し、不正アクセスとならないパケットをルータ、ゲートウェイ、または通信装置に送信させる手段を含む集約型侵入検出防御装置と、
複数の防御対象ホストにより定義されるホストグループの情報データベースと、攻撃ターゲットホスト情報を受信したことをトリガに該情報に基づいて前記情報データベースを検索し、前記攻撃ターゲットホストと同じグループに属するホストグループの情報を取得する手段と、該ホストグループ宛てのトラヒックを前記集約型侵入検出防御装置宛てにルーチングすることをルータ、ゲートウェイ、または通信装置に対して指示するルーチング指示手段を含む管理装置と、
前記防御対象ホスト宛てのパケットを監視できる位置にそれぞれ配備され、前記防御対象ホスト宛てのパケットを監視して不正アクセスの検出を行う手段と、不正アクセスを検出した場合に攻撃ターゲットホスト情報を前記管理装置に通知する手段を含む侵入検出防御装置と、
を有する不正アクセス防御システム。 - ネットワークを経由した不正アクセスを検出し、該不正アクセスに関わるパケットを廃棄する不正アクセス防御システムであって、
複数の防御対象ホスト宛てのトラヒックを集約して監視できる位置に配備され、不正アクセス防御サービス提供者によって管理され、前記複数の防御対象ホスト宛てのパケットを監視して不正アクセスの検出を行う手段と、不正アクセスを検出した場合に、不正アクセスとなるパケットを遮断し、不正アクセスとならないパケットをルータ、ゲートウェイ、または通信装置に送信させる手段を含む集約型侵入検出防御装置と、
前記複数の防御対象ホストにより定義されるホストグループの情報データベースと、攻撃ターゲットホスト情報を受信したことをトリガに該情報に基づいて前記情報データベースを検索し、前記攻撃ターゲットホストと同じグループに属するホストグループの情報を取得する手段と、該ホストグループ宛てのトラヒックを前記集約侵入検出防御装置宛てにルーチングすることをルータ、ゲートウェイ、または通信装置に対して指示するルーチング指示手段と、前記不正アクセス防御サービス提供者が、ホスト管理者の申告に基づき、前記情報データベースの内容を登録するための手段を含む管理装置と、
前記防御対象ホスト宛てのパケットを監視できる位置にそれぞれ配備され、不正アクセス防御サービス提供者によって管理され、前記不正アクセス防御サービス提供者とは異なる複数のホスト管理者によって管理されている前記防御対象ホスト宛てのパケットを監視して不正アクセスの検出を行う手段と、不正アクセスを検出した場合に攻撃ターゲットホスト情報を前記管理装置に通知する手段を含む侵入検出防御装置と、
を有する不正アクセス防御システム。 - 前記管理装置が、前記ルータ、ゲートウェイ、または通信装置に対してルーチング指示した後に、前記ルータ、ゲートウェイ、または通信装置に対してルーチング設定の解除指示を行う手段をさらに含む、請求項7または8に記載の不正アクセス防御システム。
- 前記管理装置が、不正アクセス終了検出情報を受信したことをトリガに、前記ルータ、ゲートウェイ、または通信装置に対してルーチング設定の解除指示を行う手段をさらに含む、請求項7または8に記載の不正アクセス防御システム。
- 前記情報データベースが、宛先IPアドレスとサブネットマスク、プロトコル番号、宛先ポート番号のいずれかおよびそれらの組合せによりあらかじめ定義されたパケット識別子と、URLアドレスの組により構成される、請求項8から10のいずれかに記載の不正アクセス防御システム。
- 前記情報データベースが、送信元IPアドレス、送信元IPアドレスのサブネットマスク、宛先IPアドレス、宛先IPアドレスのサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、サービスタイプ、全体長、生存時間、ICMPタイプ、ICMPコードのいずれかおよびそれらの組合せによりあらかじめ定義されたパケット識別子と、防御対象ホストの管理組織、防御対象ホストの種別、防御対象ホストの設置場所、防御対象ホストが提供するコンテンツの種別のいずれかの特徴に基づいてあらかじめ設定されたカテゴリ識別子の組により構成される、請求項8から10のいずれかに記載の不正アクセス防御システム。
- 前記情報データベースが、送信元IPアドレス、送信元IPアドレスのサブネットマスク、宛先IPアドレス、宛先IPアドレスのサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、サービスタイプ、全体長、生存時間、ICMPタイプ、ICMPコードのいずれかおよびそれらの組合せによりあらかじめ定義されたパケット識別子と、防御対象対象ホストの管理者に基づいてあらかじめ設定されたユーザ識別子と、防御対象ホストの管理組織、防御対象ホストの種別、防御対象ホストの設置場所、防御対象ホストが提供するコンテンツの種別のいずれかの特徴に基づいてあらかじめ設定されたカテゴリ識別子の組により構成される、請求項8から10のいずれかに記載の不正アクセス防御システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004225646A JP4326423B2 (ja) | 2004-08-02 | 2004-08-02 | 管理装置および不正アクセス防御システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004225646A JP4326423B2 (ja) | 2004-08-02 | 2004-08-02 | 管理装置および不正アクセス防御システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006050081A true JP2006050081A (ja) | 2006-02-16 |
JP4326423B2 JP4326423B2 (ja) | 2009-09-09 |
Family
ID=36028158
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004225646A Expired - Fee Related JP4326423B2 (ja) | 2004-08-02 | 2004-08-02 | 管理装置および不正アクセス防御システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4326423B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8510822B2 (en) | 2007-03-08 | 2013-08-13 | Nec Corporation | Communication system, reliable communication mechanism, and communication method used for the same |
JP2020022066A (ja) * | 2018-07-31 | 2020-02-06 | 株式会社リコー | 通信制御システム、通信制御方法およびプログラム |
CN115208596A (zh) * | 2021-04-09 | 2022-10-18 | 中国移动通信集团江苏有限公司 | 网络入侵防御方法、装置及存储介质 |
-
2004
- 2004-08-02 JP JP2004225646A patent/JP4326423B2/ja not_active Expired - Fee Related
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8510822B2 (en) | 2007-03-08 | 2013-08-13 | Nec Corporation | Communication system, reliable communication mechanism, and communication method used for the same |
JP2020022066A (ja) * | 2018-07-31 | 2020-02-06 | 株式会社リコー | 通信制御システム、通信制御方法およびプログラム |
JP7147337B2 (ja) | 2018-07-31 | 2022-10-05 | 株式会社リコー | 通信制御システム、通信制御方法およびプログラム |
CN115208596A (zh) * | 2021-04-09 | 2022-10-18 | 中国移动通信集团江苏有限公司 | 网络入侵防御方法、装置及存储介质 |
CN115208596B (zh) * | 2021-04-09 | 2023-09-19 | 中国移动通信集团江苏有限公司 | 网络入侵防御方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
JP4326423B2 (ja) | 2009-09-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8661544B2 (en) | Detecting botnets | |
Burch | Tracing anonymous packets to their approximate source | |
Ioannidis et al. | Implementing pushback: Router-based defense against DDoS attacks | |
Jin et al. | Hop-count filtering: an effective defense against spoofed DDoS traffic | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
US8175096B2 (en) | Device for protection against illegal communications and network system thereof | |
US9455995B2 (en) | Identifying source of malicious network messages | |
US8295188B2 (en) | VoIP security | |
US7921462B2 (en) | Identifying a distributed denial of service (DDOS) attack within a network and defending against such an attack | |
US20050021740A1 (en) | Detecting and protecting against worm traffic on a network | |
US7680062B2 (en) | Apparatus and method for controlling abnormal traffic | |
WO2002025402A2 (en) | Systems and methods that protect networks and devices against denial of service attacks | |
EP1595193A2 (en) | Detecting and protecting against worm traffic on a network | |
JP5178573B2 (ja) | 通信システムおよび通信方法 | |
JP5153779B2 (ja) | 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置 | |
KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
JP2004248185A (ja) | ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置 | |
JP4326423B2 (ja) | 管理装置および不正アクセス防御システム | |
Katiyar et al. | Detection and discrimination of DDoS attacks from flash crowd using entropy variations | |
KR20170109949A (ko) | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 | |
Thing et al. | Locating network domain entry and exit point/path for DDoS attack traffic | |
JP4084317B2 (ja) | ワーム検出方法 | |
Park et al. | An effective defense mechanism against DoS/DDoS attacks in flow-based routers | |
Sardana et al. | Honeypot based routing to mitigate ddos attacks on servers at isp level | |
JP6746541B2 (ja) | 転送システム、情報処理装置、転送方法及び情報処理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060727 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080701 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081203 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090122 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090401 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090513 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090603 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090609 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120619 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4326423 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130619 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140619 Year of fee payment: 5 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |