JP2006146837A - 攻撃防御方法およびファイアウォールシステム - Google Patents

攻撃防御方法およびファイアウォールシステム Download PDF

Info

Publication number
JP2006146837A
JP2006146837A JP2004339766A JP2004339766A JP2006146837A JP 2006146837 A JP2006146837 A JP 2006146837A JP 2004339766 A JP2004339766 A JP 2004339766A JP 2004339766 A JP2004339766 A JP 2004339766A JP 2006146837 A JP2006146837 A JP 2006146837A
Authority
JP
Japan
Prior art keywords
packet
attack
user terminal
policy
network device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004339766A
Other languages
English (en)
Inventor
Kazuhiko Osada
和彦 長田
Yoshikazu Nakamura
義和 中村
Ryoichi Suzuki
亮一 鈴木
Shinichiro Chagi
愼一郎 茶木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004339766A priority Critical patent/JP2006146837A/ja
Publication of JP2006146837A publication Critical patent/JP2006146837A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 アクセスラインの帯域を占有するような悪意トラフィックを排除し、かつ、ネットワーク装置のファイアウォール処理の負荷を小さくする。
【解決手段】 ユーザ端末またはCPEが保持するパーソナルポリシに基づいた検査で攻撃パケットを検出したときに、ネットワーク装置にパーソナルポリシを一時的に保持させ前記ネットワーク装置で攻撃を防御する。このとき、前記ネットワーク装置で保持するパーソナルポリシは、ユーザ端末またはCPEから送信するか、ネットワーク上のポリシサーバから取得させる。また、前記ユーザ端末または前記CPEからパーソナルポリシを送信する代わりに、攻撃の防御に用いられるフィルタリングルールのみ、あるいは攻撃パケットを特定するフロー情報を送信する。
【選択図】 図5

Description

本発明は、攻撃防御方法およびファイアウォールシステムに関し、特に、無意味なパケットを大量送信する攻撃の防御、あるいは多数のユーザ端末または前記CPEが接続されたネットワーク装置における攻撃の防御に適用して有効な技術に関するものである。
従来、PC(Personal Computer)等の通信端末をインターネット等のネットワークに接続していると、前記ネットワークに接続されている他の通信端末から、たとえば、無意味なパケットの大量送信や不正アクセス等の攻撃を受けることがある。特に、近年は通信回線の高速化(広帯域化)等により、前記通信端末を長時間ネットワークに接続しておく機会も多くなり、その分、他の通信端末から攻撃を受けやすくなっている。そのため、他の通信端末からの攻撃を防御するためのファイアウォール(FW; FireWall)の導入が欠かせないものとなってきている。
前記ファイアウォールの導入方法として一般的なのは、たとえば、PC等のユーザ端末にアプリケーションとしてインストールする方法(以下、端末ソフト型FWという)や、たとえば、ブロードバンドルータ等のユーザ宅内に設置される専用装置(CPE: Customer Premises Equipment)を介してネットワークに接続する方法(以下、CPE型FWという)である。
前記端末ソフト型FWの場合、たとえば、図12に示すように、前記ユーザ端末4A上でアプリケーション(FW)を動作させておき、他の通信端末(外部端末)5から送信されたパケットを受信したときに、受信したパケットが攻撃パケットであるか否かの判定をする。そして、攻撃パケットではないと判定されたパケットのみを受け入れることで、他の通信端末からの攻撃を防御する。また、前記CPE型FWの場合、たとえば、図12に示すように、前記ユーザ端末4B,4Cの代わりに、前記専用装置(CPE)3A,3B上でアプリケーション(FW)を動作させておき、前記専用装置3A,3Bで他の通信端末(外部端末5)から送信されたパケットを受信したときに、受信したパケットが攻撃パケットであるか否かの判定をする。そして、攻撃パケットではないと判定されたパケットのみを前記ユーザ端末に転送することで、他の通信端末からの攻撃を防御する。
しかしながら、前記端末ソフト型FWや前記CPE型FWの場合、前記攻撃から防衛できるのは、前記ユーザ端末4A,4B,4Cや、各ユーザ端末が保持している情報のみである。つまり、図12に示したように、たとえば、あるユーザ端末4Aが攻撃を受けている場合、そのユーザ端末4Aとネットワーク1の接続経路(アクセスライン)に攻撃パケットが流れている。このとき、前記ユーザ端末4Aの受けている攻撃が、たとえば、無意味なパケットの大量送信のような攻撃である場合、前記アクセスラインの帯域が前記攻撃パケット(悪意トラフィック)に占有されてしまう。そのため、前記アクセスラインの一部または全部を共用している他のユーザ端末の通信における伝送遅延、パケットロスが起こりやすくなるという問題がある。
このような問題を解決するファイアウォールの導入方法としては、ネットワークベース型のファイアウォールを導入する方法がある(たとえば、非特許文献1を参照)。前記ネットワークベース型のファイアウォールは、たとえば、図13に示すように、ネットワークサービス提供者がネットワーク上に設置したネットワーク装置2内に、前記ネットワーク装置2に接続されたユーザ端末4Aあるいは専用装置(CPE)3A,3B毎の仮想ファイアウォール(仮想FW)205を設け、前記ユーザ端末あるいは専用装置に対する攻撃を検出し、防御する。そのため、たとえば、図13に示したように、ユーザ端末4B(CPE3A)が攻撃を受けても、前記ネットワーク装置2とユーザ端末4Bの間のアクセスライン上に攻撃パケットが流れるのを防ぎ、攻撃の対象となっているユーザ端末4Cとアクセスラインの一部または全部を共用している他のユーザ端末の通信における伝送遅延、パケットロスを低減できる。
しかしながら、前記ネットワークベース型のファイアウォールの場合、1つのネットワーク装置2で、多数のユーザ端末に対してファイアウォール機能(仮想ファイアウォール)を提供している。すなわち、個々のユーザ端末や専用装置(CPE)が前記端末ソフト型FWや前記CPE型FWで行っている処理を、1つのネットワーク装置で行うことになり、前記ネットワーク装置におけるファイアウォール処理の負荷が大きくなる。また、1つのネットワーク装置で多数のユーザ端末に対してファイアウォール機能(仮想ファイアウォール)を提供する場合、たとえば、ファイアウォール処理の負荷が大きくなり、オーバーフローやハングアップ等でファイアウォール機能が停止してしまうと、前記ネットワーク装置で攻撃の検出、防御ができなくなりユーザ端末が攻撃を受けてしまう、あるいは前記ネットワーク装置を介した通信が行えなくなるという可能性がある。そのため、ネットワーク装置は高い処理性能や、長期にわたる動作の安定性が要求される。
長田 和彦,岡 大祐,鈴木 亮一,池川 隆司,市川 弘幸,「マスユーザ向けネットワークベース型ファイアウォール − MUPA-FW(Multi User-Policy Aggregation Firewall)」,NTT技術ジャーナル,平成16年10月1日,第16巻,第10号,p.42-45
本発明が解決しようとする問題点は、前記背景技術で説明したように、前記端末ソフト型やCPE型のファイアウォールの場合、ファイアウォール処理の負荷は小さいが、攻撃を受けているユーザ端末とネットワーク装置の間のアクセスラインの帯域を占有するような攻撃パケット(悪意トラフィック)を排除できず、前記アクセスラインの一部または全部を共用している他のユーザ端末の通信における伝送遅延、パケットロスが起こりやすくなり、前記ネットワークベース型の場合、前記アクセスラインの帯域を占有するような悪意トラフィックは排除できるが、ファイアウォール処理の負荷が大きく、処理性能の高いネットワーク装置が要求されるという点である。
本発明の目的は、アクセスラインの帯域を占有するような悪意トラフィックを排除し、かつ、ネットワーク装置のファイアウォール処理の負荷を小さくすることが可能な技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面によって明らかになるであろう。
本願において開示される発明の概略を説明すれば、以下の通りである。
(1) ネットワーク上に設置されたネットワーク装置と直接またはファイアウォール機能を有するCPE(Customer Premises Equipment)を介して接続されたユーザ端末への攻撃を検出し、防御する攻撃防御方法であって、前記ユーザ端末または前記CPEで、前記ネットワーク装置を通して受信したパケットの検査項目および検査結果に基づく処理方法を含む1つ以上のフィルタリングルールからなるパーソナルポリシを保持するステップ1と
前記ユーザ端末または前記CPEで、前記ステップ1で保持したパーソナルポリシに基づいて、前記ネットワーク装置を介して受信したパケットを検査し、検査結果に基づいた処理を行うとともに、攻撃パケットの有無を監視するステップ2と、前記ステップ2で攻撃パケットを検出したときに、前記ユーザ端末または前記CPEで保持している前記パーソナルポリシを前記ネットワーク装置に送信するステップ3と、前記ネットワーク装置で、前記ユーザ端末または前記CPEから送信された前記パーソナルポリシを保持するステップ4と、前記ネットワーク装置で、前記ステップ4で保持したパーソナルポリシに基づいて、前記ネットワーク装置から前記ユーザ端末または前記CPEに送信するパケットを検査し、検査結果に基づいた処理を行うステップ5と、前記ネットワーク装置で、前記ユーザ端末または前記CPEに対する攻撃が終了したと判断した時点で、前記ユーザ端末または前記CPEから送信された前記パーソナルポリシを削除するステップ6を有する攻撃防御方法である。
(2) 前記(1)のステップ3は、前記パーソナルポリシとともに、前記ユーザ端末または前記CPEを特定する識別子を前記ネットワーク装置に送信し、前記ステップ4は、前記パーソナルポリシと前記識別子を関連付けて保持し、前記ステップ5は、前記ユーザ端末または前記CPEに送信するパケットの送信先の情報と対応する識別子と関連付けられたパーソナルポリシに基づいて、前記パケットを検査する。
(3) 前記(1)または(2)のステップ3は、前記パーソナルポリシの代わりに、前記パーソナルポリシのうちの前記攻撃パケットの検出に用いられるフィルタリングルールのみを前記ネットワーク装置に送信し、前記ステップ4は、前記フィルタリングルールを保持し、前記ステップ5は、前記ステップ4で保持したフィルタリングルールに基づいて、前記パケットを検査する。
(4) 前記(1)のステップ3は、前記パーソナルポリシの代わりに、前記攻撃パケットを特定するフロー情報を前記ネットワーク装置に送信し、前記ステップ4は、前記フロー情報を保持し、前記ステップ5は、前記ステップ4で保持したフロー情報に基づいて、前記パケットを検査する。
(5) ネットワーク上に設置されたネットワーク装置と直接またはファイアウォール機能を有するCPEを介して接続されたユーザ端末への攻撃を検出し、防御する攻撃防御方法であって、前記ユーザ端末または前記CPEで、前記ネットワーク装置を通して受信したパケットの検査項目および検査結果に基づいた処理方法を含む1つ以上のフィルタリングルールからなるパーソナルポリシを保持するステップ1と、前記ステップ1で保持した前記パーソナルポリシをネットワーク上に設置されたポリシサーバに登録するステップ7と、前記ユーザ端末または前記CPEで、前記ステップ1で保持したパーソナルポリシに基づいて、前記ネットワーク装置を介して受信したパケットを検査し、検査結果に基づいた処理を行うとともに、攻撃パケットの有無を監視するステップ2と、前記ステップ2で攻撃パケットを検出したときに、前記ユーザ端末または前記CPEから前記ネットワーク装置に攻撃の発生を通知するステップ8と、前記ネットワーク装置で、前記ステップ8の通知に基づいて、前記ポリシサーバから前記攻撃の発生を通知した前記ユーザ端末または前記CPEが登録したパーソナルポリシを取得して保持するステップ9と、前記ネットワーク装置で、前記ステップ9で保持したパーソナルポリシに基づいて、前記ネットワーク装置から前記ユーザ端末または前記CPEに送信するパケットを検査し、検査結果に基づいた処理を行うステップ5と、前記ネットワーク装置で、前記ユーザ端末または前記CPEに対する攻撃が終了したと判断した時点で、前記ポリシサーバから取得した前記パーソナルポリシを削除するステップ10を有する攻撃防御方法である。
(6) 前記(5)のステップ8は、前記攻撃の発生の通知とともに、前記ユーザ端末または前記CPEを特定する識別子を前記ネットワーク装置に送信し、前記ステップ9は、前記識別子に基づいて、前記ポリシサーバに登録されたパーソナルポリシを選択して取得した後、前記取得したパーソナルポリシと前記識別子を関連付けて保持し、前記ステップ5は、前記ユーザ端末または前記CPEに送信するパケットの送信先の情報と対応する識別子と関連付けられたパーソナルポリシに基づいて、前記パケットを検査する。
(7) 前記(1)または(5)のステップ2は、前記パーソナルポリシに基づく検査の結果、破棄されたパケットを攻撃パケットとして検出する。
(8) 前記(1)または(5)のステップ2は、ある時刻に受信したパケットと同一のフローに属するパケットの数が、あらかじめ定められた期間にあらかじめ定められたしきい値を超過した場合に、前記パケットを攻撃パケットとして検出する。
本発明の攻撃防御方法は、前記(1)の攻撃防御方法のように、最初の攻撃の検出は前記ユーザ端末または前記CPEで行う。そして、前記ユーザ端末または前記CPEは、攻撃を検出すると、前記ネットワーク装置に、前記ユーザ端末または前記CPEで保持しているパーソナルポリシを送信し、一時的に保持させる。その後、前記ユーザ端末または前記CPEから送信されたパーソナルポリシを受信したネットワーク装置は、前記受信したパーソナルポリシに基づいて、前記ユーザ端末または前記CPEに送信するパケットの検査を行う。すなわち、本発明の攻撃防御方法は、従来の端末ソフト型またはCPE型のファイアウォールと同じ手法で攻撃を検出した後、従来のネットワークベース型のファイアウォールと同じ手法で攻撃を防御する。そのため、前記ユーザ端末または前記CPEから前記ネットワーク装置にパーソナルポリシを送信した後は、前記ネットワーク装置が攻撃を防御するので、前記ユーザ端末または前記CPEと前記ネットワーク装置の間のアクセスライン(接続経路)上に攻撃パケットが流れるのを防ぐことができる。そのため、たとえば、無意味なパケットの大量送信等でアクセスラインの帯域を占有するような悪意トラフィックを排除できる。また、ネットワーク装置は、受信したパーソナルポリシに基づくパケットの検査のみを行えばよいので、従来のネットワークベース型のファイアウォールと比べて処理の負荷が小さくなる。また、前記ユーザ端末または前記CPEに対する攻撃が終了したと判断した時点で不要なパーソナルポリシを削除することで、前記ネットワーク装置でのファイアウォール処理の負荷が大きくなるのを防ぐ。この結果、アクセスラインの帯域を占有するような悪意トラフィックを排除し、かつ、ネットワーク装置のファイアウォール処理の負荷を小さくした防御が可能となる。
また、前記(1)の攻撃防御方法において、前記ネットワーク装置に、前記パーソナルポリシを保持しているユーザ端末または前記CPEが複数接続している場合、各ユーザ端末または前記CPEが独自にパーソナルポリシを設定しているのが一般的である。この場合、前記ネットワーク装置で前記パーソナルポリシを保持するときに、各パーソナルポリシがどのユーザ端末または前記CPEから送信されたものであるかが識別できないと、前記ネットワーク装置でパケットを検査するときに、どのパーソナルポリシを用いればよいかがわからない。そこで、前記(2)のように、前記ステップ3で前記パーソナルポリシとともに前記識別子を送信し、前記ネットワーク装置でパケットを検査するときに、どのパーソナルポリシを用いればよいかがわかるようにする。
また、前記(1)の攻撃防御方法において、前記ネットワーク装置でパケットを検査し、攻撃の防御をするときには、前記パーソナルポリシを送信したユーザ端末または前記CPEがその時点で受けている攻撃を防御できればよい。そのため、前記ステップ3は、前記(3)のように、前記パーソナルポリシの代わりに、前記攻撃パケットの検出に用いられるフィルタリングルールのみを前記ネットワーク装置に送信してもよい。
また、前記ステップ3は、たとえば、前記(4)のように、前記攻撃パケットを特定するフロー情報を前記ネットワーク装置に送信してもよい。このとき、前記フロー情報として、たとえば、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号の組合せを前記ネットワーク装置に送信する。このようにすると、前記ネットワーク装置で、前記ユーザ端末または前記CPEに送信するパケットの送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号の組合せと、前記フロー情報の送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号の組合せを照合することで、攻撃パケットを検出することができる。
また、前記(1)の攻撃防御方法では、前記ステップ3のように、前記ユーザ端末または前記CPEが保持しているパーソナルポリシを前記ネットワーク装置に送信しているが、これに限らず、前記(5)の攻撃防御方法のように、前記ユーザ端末または前記CPEが保持しているパーソナルポリシを前記ポリシサーバに登録しておき、前記ユーザ端末または前記CPEからの攻撃の発生の通知を受けたネットワーク装置が前記ポリシサーバから必要なパーソナルポリシを取得するようにしてもよい。このときも、たとえば、前記(6)のように、前記攻撃の発生の通知とともに前記識別子を送信すれば、前記ポリシサーバに複数のユーザ端末または前記CPEのポリシサーバが登録されているときでも、取得するパーソナルポリシ、パケットの検査に用いるパーソナルポリシを正しく選択することができる。
また、前記(1)または(5)の攻撃防御方法において、前記ステップ2は、たとえば、前記(7)のように、前記パーソナルポリシに基づく検査の結果、破棄されたパケットを攻撃パケットとして検出する。また、たとえば、前記(8)のように、ある時刻に受信したパケットと同一のフローに属するパケットの数が、あらかじめ定められた期間にあらかじめ定められたしきい値を超過した場合に、前記パケットを攻撃パケットとして検出してもよい。
また、前記(1)の攻撃防御方法を実現するには、たとえば、ネットワーク上に設置されたネットワーク装置と、前記ネットワーク装置と直接またはファイアウォール機能を備えるCPEを介して接続されたユーザ端末からな攻撃防御システム(ファイアウォールシステム)において、前記ユーザ端末または前記CPEに、受信したパケットを検査するパケット検査手段と、前記パケット検査手段で行う検査の検査項目および検査結果に基づく処理方法を含む1つ以上のフィルタリングルールからなるパーソナルポリシを保持するパーソナルポリシ保持手段と、攻撃パケットを検出したときに前記パーソナルポリシを前記ネットワーク装置に送信する手段を設け、前記ネットワーク装置に、前記ユーザ端末または前記CPEに送信するパケットを検査するパケット検査手段と、前記パケット検査手段で行うパケットの検査に用いる防御ポリシを保持する防御ポリシ保持手段と、前記防御ポリシ保持手段で保持しているパーソナルポリシを送信したユーザ端末またはCPEに対する攻撃が終了したと判断した時点で、前記保持しているパーソナルポリシを削除する手段を設ければよい。
また、前記(5)の攻撃防御方法を実現するには、たとえば、ネットワーク上に設置されたネットワーク装置およびポリシサーバと、前記ネットワーク装置と直接またはファイアウォール機能を備えるCPEを介して接続されたユーザ端末とからなファイアウォールシステムにおいて、前記ユーザ端末または前記CPEに、受信したパケットを検査するパケット検査手段と、前記パケット検査手段で行う検査の検査項目および検査結果に基づく処理方法を含む1つ以上のフィルタリングルールからなるパーソナルポリシを保持するパーソナルポリシ保持手段と、前記ポリシサーバに前記パーソナルポリシを登録する手段と、攻撃パケットを検出したときに、前記ネットワーク装置に攻撃の発生を通知する手段を設け、前記ポリシサーバに、前記ユーザ端末または前記CPEが保持するパーソナルポリシと同じパーソナルポリシを保持する手段を設け、前記ネットワーク装置に、前記ユーザ端末または前記CPEに送信するパケットを検査するパケット検査手段と、前記パケット検査手段で行うパケットの検査に用いる防御ポリシを保持する防御ポリシ保持手段と、前記ポリシサーバから前記パーソナルポリシを取得する手段と、前記防御ポリシ保持手段で保持しているパーソナルポリシを送信したユーザ端末またはCPEに対する攻撃が終了したと判断した時点で、前記保持しているパーソナルポリシを削除する手段を設ければよい。
以下、本発明について、図面を参照して実施の形態(実施例)とともに詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは、同一符号を付け、その繰り返しの説明は省略する。
本発明の攻撃防御方法では、ユーザ端末またはCPEが保持するパーソナルポリシに基づいた検査で攻撃パケットを検出したときに、ネットワーク装置にパーソナルポリシを一時的に保持させ前記ネットワーク装置で攻撃を防御することで、前記ユーザ端末または前記CPEと前記ネットワーク装置の間のアクセスラインの帯域を占有するような悪意トラフィックを排除し、かつ、ネットワーク装置のファイアウォール処理の負荷を小さくする。このとき、前記ネットワーク装置で一時的に保持するパーソナルポリシは、前記ユーザ端末または前記CPEから直接送信してもよいし、前記ユーザ端末または前記CPEからの攻撃の発生の通知を受けてネットワーク上に設置されたポリシサーバから取得してもよい。また、前記ユーザ端末または前記CPEから直接送信する場合、前記パーソナルポリシの代わりに、攻撃パケットの検出および防御に用いられるフィルタリングルールのみ、あるいは攻撃パケットを特定するフロー情報を送信してもよい。
図1乃至図3は、本発明による実施例1の攻撃防御方法を適用したファイアウォールシステムの概略構成を示す模式図であり、図1はファイアウォールシステム全体の構成例を示す図、図2は端末ソフト型のファイアウォールで攻撃を検出する場合のユーザ端末の構成例を示す図、図3はCPE型のファイアウォールで攻撃を検出する場合のCPEの構成例を示す図である。
図1において、1はネットワーク、2はネットワーク装置、201はネットワーク装置のパケット中継手段、202はネットワーク装置のパケット検査手段、203は防御ポリシ保持手段、3A,3BはCPE、4A,4B,4C,4D,4Eはユーザ端末、5は外部端末、6はサーバである。また、図2において401はパケット送受信手段、402はユーザ端末のパケット検査手段、403はユーザ端末のパーソナルポリシ保持手段、404はパケット処理手段である。また、図3において、301はCPEのパケット中継手段、302はCPEのパケット検査手段、303はCPEのパーソナルポリシ保持手段である。
本実施例1の攻撃防御方法を適用したファイアウォールシステムは、たとえば、図1に示すように、インターネット等のネットワーク1上に設置されたネットワーク装置2と、前記ネットワーク装置2と直接またはファイアウォール機能を備えるCPE3A,3Bを介して接続されたユーザ端末4A,4B,4C,4D,4Eからなる。
このとき、前記ネットワーク装置2は、たとえば、インターネット接続事業者(ISP: Internet Service Provider)等のネットワークサービス提供者が所有するネットワーク上に設置されたファイアウォール機能を備える装置であり、図1に示すように、前記各ユーザ端末4A,4B,4C,4D,4Eと前記ネットワーク1上の他の通信端末(外部端末)5やサーバ6との間で送受信されるパケットを中継するパケット中継手段201と、前記外部端末5やサーバ6から受信して前記ユーザ端末4A,4B,4C,4D,4Eまたは前記CPE3A,3Bに送信するパケットを検査するパケット検査手段202と、前記パケット検査手段202で行うパケットの検査に用いる防御ポリシを保持する防御ポリシ保持手段203とを備える。なお、前記防御ポリシ保持手段203は、前記ユーザ端末4A,4B,4C,4D,4Eまたは前記CPE3A,3Bが攻撃を受けたときに、前記ネットワーク装置2でその攻撃を防御するために必要なパーソナルポリシを一時的に保持する手段である。
また、本実施例1の攻撃防御方法を適用したファイアウォールシステムでは、図1に示したユーザ端末4Aのように、前記ネットワーク装置2と直接接続している場合、前記ユーザ端末4Aは端末ソフト型のファイアウォール機能を備えている必要がある。このとき、前記ユーザ端末4Aは、たとえば、図2に示すように、パケット送受信手段401と、前記パケット送受信手段401で受信したパケットを検査するパケット検査手段402と、前記パケット検査手段402で行う検査項目および検査結果に基づく処理方法を含む1つ以上のフィルタリングルールからなるパーソナルポリシを保持するパーソナルポリシ保持手段403と、前記パケット検査手段402での検査の結果、安全である(受け入れる)と判定されたパケットの処理を行うパケット処理手段404とを備える。前記ユーザ端末4Aにおいて、前記端末ソフト型のファイアウォール機能に相当するのは、前記パケット検査手段402および前記パーソナルポリシである。このとき、前記パケット検査手段402は、前記パーソナルポリシに基づいて、前記受信したパケットを検査し、安全であると判定されたパケットはパケット処理手段404に渡し、安全でない(受け入れない)と判定されたパケットは破棄する。またこのとき、前記ユーザ端末4Aで保持するパーソナルポリシのフィルタリングルールは、たとえば、前記ユーザ端末4Aのユーザが独自に設定することができるとする。
また、本実施例1の攻撃防御方法を実現するファイアウォールシステムでは、図1に示したユーザ端末4Bのように、前記CPE3Aを介して前記ネットワーク装置2と接続している場合、前記CPE3Aがファイアウォール機能を備えていれば、前記ユーザ端末4Bはファイアウォール機能を備えていなくてもよい。このとき、前記CPE3Aは、たとえば、図3に示すように、前記ユーザ端末4Bと前記ネットワーク装置2の間のパケットの送受信を中継するパケット中継手段301と、前記ネットワーク装置2から受信して前記ユーザ端末4Bに転送するパケットを検査するパケット検査手段302と、前記パケット検査手段302で行うパケットの検査に用いるパーソナルポリシを保持するパーソナルポリシ保持手段303とを備える。このとき、前記パケット検査手段302は、前記パーソナルポリシに基づいて、前記受信したパケットを検査し、安全であると判定されたパケットはパケット中継手段301に戻して前記ユーザ端末4Bに転送させ、安全でない(受け入れない)と判定されたパケットは破棄する。またこのとき、前記CPE3Aで保持するパーソナルポリシのフィルタリングルールは、たとえば、前記ユーザ端末4Bのユーザが独自に設定することができるとする。
また、詳細な説明は省略するが、図1に示したユーザ端末4C,4D,4Eのように、前記CPE3Bを介して前記ネットワーク装置2に接続している場合も、前記CPE3Bが、図3に示した前記CPE3Aと同様の構成であれば、ユーザ端末4C,4D,4Eはファイアウォール機能を備えていなくてもよい。
また、図1に示したファイアウォールシステムでは、前記ネットワーク装置2に接続されたユーザ端末の接続形態をわかりやすくするために、前記ネットワーク装置2に直接接続されている場合(ユーザ端末4A)、1つのCPEに1つのユーザ端末が接続されている場合(ユーザ端末4B)、1つのCPEに複数のユーザ端末が接続されている場合(ユーザ端末4C,4D,4E)を1つずつあげているが、実際のファイアウォールシステムでは、図1に示したような各形態のユーザ端末が複数存在していてもよい。
以下、図1に示したようなファイアウォールシステムにおける攻撃の防御方法について説明する。
図4乃至図7は、本実施例1の攻撃防御方法による防御手順を説明するための模式図であり、図4は攻撃が発生する前の状態を示す図、図5は攻撃が発生した直後の状態を示す図、図6はネットワーク装置で攻撃を防御している状態を示す図、図7は攻撃が終了した後の状態を示す図である。
本実施例1の攻撃防御方法では、前記ネットワーク装置2の防御ポリシ保持手段203は、前記ネットワーク装置2に接続されている前記ユーザ端末または前記CPEのうち、攻撃を受けているユーザ端末またはCPEのパーソナルポリシのみを保持する。そのため、たとえば、図4に示すように、前記ネットワーク装置2に直接接続しているユーザ端末4Aが攻撃を受けていない場合、前記ネットワーク装置2の防御ポリシ保持手段203は、前記ユーザ端末4Aのパーソナルポリシを保持していない。この状態で、たとえば、前記ネットワーク1に接続された他の通信端末(外部端末5)から前記ユーザ端末4Aにパケットが送信されると、前記パケットはまず、前記ネットワーク装置2のパケット中継手段201で受信される。このとき、前記ネットワーク装置2のパケット中継手段201は、前記パケット検査手段202にパケットを検査させるが、前記防御ポリシ保持手段203は、前記パケット検査手段202が前記ユーザ端末4A宛てのパケットの検査に用いる防御ポリシ(パーソナルポリシ)を保持していない。そのため、前記パケット検査手段202は、前記ユーザ端末4A宛てのパケットを検査せずに前記パケット中継手段201に返し、前記ユーザ端末4Aに送信させる。そして、前記ネットワーク装置2から送信されたパケットは、アクセスライン上を流れて前記ユーザ端末4Aに到着し、前記ユーザ端末4Aのパケット送受信手段401で受信される。
このとき、前記ユーザ端末4Aでは、前記パケット送受信手段401で受信したパケットを前記パケット検査手段402に渡し、検査させる。前記パケット検査手段402は、前記パーソナルポリシ保持手段403で保持しているパーソナルポリシ(フィルタリングルール)に基づいて前記パケットを検査する。そして、前記パケットを検査した結果、安全である(受け入れる)と判定されたパケットは前記パケット処理手段404に渡して処理を実行させ、安全でない(受け入れない)と判定されたパケットは破棄する。
このように、本実施例1の攻撃防御方法では、前記ユーザ端末4Aが攻撃されていない、または最初の攻撃パケットを検出する直前までは、前記ネットワーク装置2において前記ユーザ端末4A宛てのパケットに対するファイアウォール処理は実行されない。そのため、たとえば、図5に示したように、前記外部端末5から攻撃パケットを送信した場合でも、その攻撃パケットが前記ユーザ端末4Aに到着してしまう。ただしこのとき、前記攻撃パケットは、前記ユーザ端末4Aのパケット検査手段402において安全でない(受け入れない)パケットと判定され、破棄される。
またこのとき、前記ユーザ端末4Aは、図5に示したように、前記外部端末5から送信されたパケットを受信し、前記パケット検査手段402で検査した結果、前記パケットが攻撃パケットであると判定すると、前記ユーザ端末4Aで保持しているパーソナルポリシを前記ネットワーク装置2に送信する。なお、前記ユーザ装置4Aにおける前記攻撃パケットの判定方法としては、たとえば、パーソナルポリシ(フィルタリングルール)に基づいた検査によって、前記パケットに施す処理が破棄となった場合に、そのパケットを攻撃パケットと判定する方法がある。また、そのほかにも、たとえば、ある時刻に破棄したパケットと同一のフローに属するパケットの受信数が、あらかじめ定められた期間にあらかじめ定められたしきい値を超過した場合に、攻撃パケットと判定するという方法もある。
前記ユーザ端末4Aから前記ネットワーク装置2に送信されたパーソナルポリシは、図6に示したように、前記ネットワーク装置2の前記防御ポリシ保持手段203で保持される。このとき、前記ネットワーク装置2に接続しているユーザ端末が1つであれば、前記防御ポリシ保持手段203で保持しているパーソナルポリシが前記ユーザ端末4Aのポリシであることがわかるが、複数のユーザ端末またはCPEが接続している場合は、どのユーザ端末またはCPEのパーソナルポリシであるかがわからない。そのため、前記ユーザ端末4Aから前記ネットワーク装置2にパーソナルポリシを送信するときには、送信したユーザ端末4Aを特定する識別子、たとえば、前記ユーザ端末4AのIPアドレス等の情報とともに送信する。そして、前記ネットワーク装置2は、前記パーソナルポリシと前記識別子を受信すると、前記パーソナルポリシと前記識別子を関連付けて保持する。
こうして、前記ユーザ端末4Aから送信されたパーソナルポリシを保持している前記ネットワーク装置2に、前記外部端末5からユーザ端末4Aに送信された攻撃パケットが到着した場合も、図6に示すように、前記パケット中継手段201は前記パケット検査手段202にパケットを検査させる。このとき、前記パケット検査手段202は、前記攻撃パケットの送信先IPアドレスを参照し、前記防御ポリシ保持手段203に前記ユーザ端末4AのIPアドレス(識別子)と関連付けられたパーソナルポリシが保持されていることから、前記パーソナルポリシを用いて前記パケットを検査する。そのため、前記パケット検査手段202は攻撃パケットを検出し、破棄する。その結果、前記外部端末5からの攻撃パケットは、前記ネットワーク装置2内で破棄(防御)され、図6に示したように、前記ユーザ端末4Aとネットワーク装置2の間のアクセスラインを流れることはなくなる。またこのとき、前記ネットワーク装置2において前記外部端末5からの攻撃パケットを防御している間に、他の通信端末(図示しない)から前記ユーザ端末4Aに送信されたパケットが前記ネットワーク装置2に到着することもある。この場合も、前記他の通信端末からのパケットは、前記パケット検査手段202において前記パーソナルポリシに基づいた検査が行われる。そして、安全である(受け入れる)と判定されたパケットについては、前記パケット中継手段201から前記アクセスラインを通して前記ユーザ端末4Aに送信し、安全でない(受け入れない)と判定されたパケットについては、前記ネットワーク装置2内で破棄する。
また、前記ネットワーク装置2のパケット検査手段202は、前記ユーザ端末4Aから送信されたパーソナルポリシに基づいて、前記ユーザ端末4Aに送信されるパケットの検査をしているときに、前記ユーザ端末4Aに対する攻撃が終了したか否かの監視も同時に行う。そして、たとえば、最後に攻撃パケットを検出した時刻から、あらかじめ定められた期間が経過するまでの間に次の攻撃パケットを検出しなかった場合、攻撃が終了したと判断し、図7に示すように、前記防御ポリシ保持手段203で保持している前記ユーザ端末4Aのパーソナルポリシを削除する。このようにすると、前記防御ポリシ保持手段203は、攻撃を受けているユーザ端末のパーソナルポリシのみを保持することができる。そして、前記ネットワーク装置2のパケット検査手段202は、攻撃を受けているユーザ端末に対するファイアウォール処理のみを行えばよい。そのため、前記ネットワーク装置2に多数のユーザ端末が接続されている場合でも、ファイアウォール処理の負荷を必要最小限にすることができ、オーバーフローやハングアップによるファイアウォール機能の停止を低減することができる。
なお、図4乃至図7では、前記ネットワーク装置と直接接続しているユーザ端末4Aにおける攻撃の検出および防御の手順を示しているが、たとえば、図1に示した前記CPE3A,3Bにおける攻撃の検出および防御の手順も、前記ユーザ端末4Aの場合と同様の手順でよいので、その説明は省略する。
以上説明したように、本実施例1の攻撃防御方法によれば、前記ユーザ端末または前記CPEで攻撃を検出した後、前記ネットワーク装置でその攻撃を防御することで前記ユーザ端末または前記CPEと前記ネットワーク装置の間のアクセスラインの帯域が攻撃パケットで占有されるのを防ぐことができる。
また、前記ネットワーク装置は、前記ユーザ端末または前記CPEから送信されたパーソナルポリシのみを用いた攻撃の防御を行い、かつ、攻撃が終了したユーザ端末または前記CPEから送信されたパーソナルポリシは削除することで、その時点で攻撃を受けているユーザ端末または前記CPEに対する攻撃の検出および防御のみを行えばよくなる。そのため、前記ネットワーク装置に多数のユーザ端末または前記CPEが接続されている場合でも、攻撃の検出および防御といったファイアウォール処理の負荷を小さくできる。
また、本実施例1の攻撃防御方法では、前記ユーザ端末または前記CPEで攻撃を検出したときに、前記ユーザ端末または前記CPEが保持しているパーソナルポリシを前記ネットワーク装置に送信する例を示したが、本実施例1の攻撃防御方法では、前記ユーザ端末または前記CPEで検出した攻撃を前記ネットワーク装置でも検出し、防御できればよい。そのため、前記パーソナルポリシ、すなわち全てのフィルタリングルールを送信する代わりに、前記ユーザ端末または前記CPEで攻撃を検出する際に用いたフィルタリングルールのみを前記ネットワーク装置に送信してもよい。この場合、フィルタリングルールを受信したネットワーク装置は、前記フィルタリングルールを前記防御ポリシ保持手段で一時的に保持し、保持した後に受信するパケットについて、前記保持しているフィルタリングルールに基づいて攻撃パケットであるか否かを判定すればよいので、パーソナルポリシ(全てのフィルタリングルール)を参照して攻撃パケットであるか否かの判定をする場合に比べて、ファイアウォール処理の負荷がさらに低減する。
また、本実施例1の攻撃防御方法では、前記ユーザ端末または前記CPEで検出した攻撃を前記ネットワーク装置でも検出し、防御できればよいので、前記パーソナルポリシや攻撃を検出する際に用いたフィルタリングルールのみを前記ネットワーク装置に送信する代わりに、たとえば、検出した攻撃パケットを特定するフロー情報を送信してもよい。このとき、前記フロー情報としては、たとえば、前記ユーザ端末または前記CPEで攻撃パケットとして検出されたパケットの送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号の組合せがあげられる。この場合、フロー情報を受信したネットワーク装置は、フロー情報を前記防御ポリシ保持手段で一時的に保持し、保持した後に受信するパケットのフロー情報と前記保持しているフロー情報を照合し、一致するパケットを攻撃パケットとみなして破棄すればよい。
図8および図9は、本発明による実施例2の攻撃防御方法を適用したファイアウォールシステムの概略構成を示す模式図であり、図8はファイアウォールシステム全体の概略構成を示す図、図9はポリシサーバの構成例を示す図である。
図8および図9において、7はポリシサーバ、701はユーザ端末4Aのパーソナルポリシ、702はCPE3Aのパーソナルポリシ、703はCPE3Bのパーソナルポリシである。
本実施例2の攻撃防御方法は、前記実施例1と同様に、最初の攻撃の検出は前記ユーザ端末または前記CPEで行い、前記ネットワーク装置は、前記ユーザ端末または前記CPEに対する攻撃が発生したときに、そのユーザ端末または前記CPEに送信するパケットに対してのみファイアウォール処理を行う。ただし、本実施例2では、前記ユーザ端末または前記CPEが保持しているパーソナルポリシをネットワーク上のポリシサーバに登録しておき、前記ユーザ端末または前記CPEは攻撃の発生の通知のみを行う。そして、前記ネットワーク装置は、攻撃の発生の通知を受けて、前記ポリシサーバから必要なパーソナルポリシを取得してファイアウォール処理を行う。
そのため、本実施例2の攻撃防御方法を適用したファイアウォールシステムは、たとえば、図8に示すように、インターネット等のネットワーク1上に設置されたネットワーク装置2と、前記ネットワーク装置2と直接またはファイアウォール機能を備えるCPE3A,3Bを介して接続されたユーザ端末4A,4B,4C,4D,4Eと、前記ネットワーク1上に設置されたポリシサーバ7からなる。
このとき、前記ポリシサーバ7は、たとえば、図8に示したように、前記ネットワーク装置2に直接接続しているユーザ端末4Aや、前記CPE3A,3Bが保持しているパーソナルポリシと同じパーソナルポリシ701,702,703が登録されている。このとき、前記ポリシサーバ7のパーソナルポリシ701,702,703は、たとえば、図9に示すように、前記ユーザ端末または前記CPE毎に登録されている。
また、本実施例2の場合、前記ネットワーク装置2は、前記実施例1で説明したパケット中継手段201、パケット検査手段202、防御ポリシ保持手段203に加え、図7に示したように、前記ポリシサーバ7からパーソナルポリシを取得するポリシ取得手段204を備えている。
また、前記ユーザ端末4Aのように端末ソフト型のファイアウォールで攻撃を検出、防御するユーザ端末の構成は、図2に示したような構成であればよいので、詳細な説明は省略する。また、前記ユーザ端末の代わりに、前記CPE3A,3Bのファイアウォール機能で攻撃を検出、防御する場合のCPEの構成は、図3に示したような構成であればよいので、詳細な説明は省略する。
以下、図8に示したようなファイアウォールシステムにおける攻撃の防御方法について説明する。
図10および図11は、本実施例2の攻撃防御方法による防御手順を説明するための模式図であり、図10は最初の攻撃を検出した状態を示す図、図11はネットワーク装置で攻撃を防御している状態を示す図である。
本実施例2の攻撃防御方法では、前記実施例1と同様に、前記ネットワーク装置2の防御ポリシ保持手段203は、前記ネットワーク装置2に接続されている前記ユーザ端末または前記CPEのうち、攻撃を受けているユーザ端末またはCPEのパーソナルポリシのみを保持する。そのため、たとえば、図10に示すように、前記ネットワーク装置2に直接接続しているユーザ端末4Aが攻撃を受けていない場合、前記ネットワーク装置2の防御ポリシ保持手段203は、前記ユーザ端末4Aのパーソナルポリシを保持していない。この状態で、たとえば、前記ネットワーク1に接続された他の通信端末(外部端末5)が前記ユーザ端末4Aに攻撃パケットの送信を開始すると、前記攻撃パケットはまず、前記ネットワーク装置2のパケット中継手段201で受信される。このとき、前記ネットワーク装置2のパケット中継手段201は、前記パケット検査手段202にパケットを検査させるが、前記防御ポリシ保持手段203は、前記パケット検査手段202が前記ユーザ端末4A宛てのパケットの検査に用いる防御ポリシ(パーソナルポリシ)を保持していない。そのため、前記パケット検査手段202は、前記ユーザ端末4A宛てのパケットを検査せずに前記パケット中継手段201に返し、前記ユーザ端末4Aに送信させる。そして、前記ネットワーク装置2から送信されたパケットは、アクセスライン上を流れて前記ユーザ端末4Aに到着し、前記ユーザ端末4Aのパケット送受信手段401で受信される。
このとき、前記ユーザ端末4Aでは、前記パケット送受信手段401で受信したパケットを前記パケット検査手段402に渡し、検査させる。前記パケット検査手段402は、前記パーソナルポリシ保持手段403で保持しているパーソナルポリシ(フィルタリングルール)に基づいて前記パケットを検査する。そして、前記パケットを検査した結果、攻撃パケット、言い換えると安全でない(受け入れない)と判定すると、攻撃パケットを破棄する。なお、前記ユーザ装置4Aにおける前記攻撃パケットの判定方法としては、たとえば、パーソナルポリシ(フィルタリングルール)に基づいた検査によって、前記パケットに施す処理が破棄となった場合に、そのパケットを攻撃パケットと判定する方法がある。また、そのほかにも、たとえば、ある時刻に破棄したパケットと同一のフローに属するパケットの受信数が、あらかじめ定められた期間にあらかじめ定められたしきい値を超過した場合に、攻撃パケットと判定するという方法もある。
またこのとき、前記ユーザ端末4Aは、前記外部端末5から送信されたパケットを受信し、前記パケット検査手段402で検査した結果、前記パケットが攻撃パケットであると判定すると、図10に示したように、前記ネットワーク装置2に攻撃の発生を通知する。なお、前記ユーザ端末4Aから前記ネットワーク装置2に前記攻撃の発生を通知する場合、前記ネットワーク装置2において、攻撃が発生した前記ユーザ端末または前記CPEを特定させる識別子、たとえば、前記ユーザ端末4AのIPアドレス等の情報も一緒に送信する。
こうして、前記ユーザ端末4Aから攻撃の発生の通知および識別子を受信した前記ネットワーク装置2は、図11に示すように、前記ポリシ取得手段204により、取得するパーソナルポリシを前記ユーザ端末4Aのパーソナルポリシ701と特定し、前記ポリシサーバ7から取得する。そして、取得した前記ユーザ端末4Aのパーソナルポリシ701は前記識別子と関連付けて、前記ネットワーク装置2の防御ポリシ保持手段203に保持する。
前記ユーザ端末4Aから送信されたパーソナルポリシ701を保持している前記ネットワーク装置2に、前記外部端末5からユーザ端末4Aに送信された攻撃パケットが到着した場合も、図11に示したように、前記パケット中継手段201は前記パケット検査手段202にパケットを検査させる。このとき、前記パケット検査手段202は、前記攻撃パケットの送信先IPアドレスを参照し、前記防御ポリシ保持手段203に前記ユーザ端末4AのIPアドレス(識別子)と関連付けられたパーソナルポリシが保持されていることから、前記パーソナルポリシを用いて前記パケットを検査する。そのため、前記パケット検査手段202は攻撃パケットを検出し、破棄する。その結果、前記外部端末5からの攻撃パケットは、前記ネットワーク装置2内で破棄(防御)され、図11に示したように、前記ユーザ端末4Aとネットワーク装置2の間のアクセスラインを流れることはなくなる。またこのとき、前記ネットワーク装置2において前記外部端末5からの攻撃パケットを防御している間に、他の通信端末(図示しない)から前記ユーザ端末4Aに送信されたパケットが前記ネットワーク装置2に到着することもある。この場合も、前記他の通信端末からのパケットは、前記パケット検査手段202において前記パーソナルポリシに基づいた検査が行われる。そして、安全である(受け入れる)と判定されたパケットについては、前記パケット中継手段201から前記アクセスラインを通して前記ユーザ端末4Aに送信し、安全でない(受け入れない)と判定されたパケットについては、前記ネットワーク装置2内で破棄する。
また、前記ネットワーク装置2のパケット検査手段202は、前記ポリシサーバ7から取得した前記ユーザ端末4Aのパーソナルポリシ701に基づいて、前記ユーザ端末4Aに送信されるパケットの検査をしているときに、前記ユーザ端末4Aに対する攻撃が終了したか否かの監視も同時に行う。そして、たとえば、最後に攻撃パケットを検出した時刻から、あらかじめ定められた期間が経過するまでの間に次の攻撃パケットを検出しなかった場合、攻撃が終了したと判断し、前記防御ポリシ保持手段203で保持している前記ユーザ端末4Aのパーソナルポリシ701を削除する。このようにすると、前記防御ポリシ保持手段203は、攻撃を受けているユーザ端末のパーソナルポリシのみを保持することができる。そして、前記ネットワーク装置2のパケット検査手段202は、攻撃を受けているユーザ端末に対するファイアウォール処理のみを行えばよい。そのため、前記ネットワーク装置2に多数のユーザ端末が接続されている場合でも、ファイアウォール処理の負荷を必要最小限にすることができ、オーバーフローやハングアップによるファイアウォール機能の停止を低減することができる。
なお、図10および図11では、前記ネットワーク装置と直接接続しているユーザ端末4Aにおける攻撃の検出および防御の手順を示しているが、たとえば、図8に示した前記CPE3A,3Bにおける攻撃の検出および防御の手順も、前記ユーザ端末4Aの場合と同様の手順でよいので、その説明は省略する。
以上説明したように、本実施例2の攻撃防御方法によれば、前記ユーザ端末または前記CPEで攻撃を検出した後、前記ネットワーク装置でその攻撃を防御することで前記ユーザ端末または前記CPEと前記ネットワーク装置の間のアクセスラインの帯域が攻撃パケットで占有されるのを防ぐことができる。
また、前記ネットワーク装置は、前記ポリシサーバから取得した前記ユーザ端末または前記CPEのパーソナルポリシのみを用いた攻撃の防御を行い、かつ、攻撃が終了したユーザ端末または前記CPEから送信されたパーソナルポリシは削除することで、攻撃を受けているユーザ端末または前記CPEに対する攻撃の検出および防御のみを行えばよくなる。そのため、前記ネットワーク装置に多数のユーザ端末または前記CPEが接続されている場合でも、攻撃の検出および防御といったファイアウォール処理の負荷を小さくできる。
以上、本発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において、種々変更可能であることはもちろんである。
たとえば、前記実施例1では前記ユーザ端末または前記CPEからパーソナルポリシを送信し、前記実施例2では前記ポリシサーバからパーソナルポリシを取得することで、前記ネットワーク装置2は攻撃を検出、防御しているが、これに限らず、前記ネットワーク装置2内に前記ポリシサーバ7と同等の機能を設けておくこともできる。この場合、たとえば、前記ネットワーク装置2内に前記ユーザ端末または前記CPEで保持しているパーソナルポリシと同じパーソナルポリシを蓄積しておき、初期状態では、各パーソナルポリシを「検査に使用しない」という設定にしておく。そして、前記ユーザ端末または前記CPEから攻撃の発生の通知を受けた時点で、たとえば、前記通知したユーザ端末または前記CPEのパーソナルポリシに「検査に使用する」というフラグを立てるようにすればよい。このようにすれば、たとえば、前記ネットワーク装置2で受信したパケットを検査するときに、受信したパケットを送信するユーザ端末または前記CPEのパーソナルポリシに「検査に使用する」というフラグが立っている場合のみ、前記パーソナルポリシに基づいたパケットの検査をするので、前記実施例1や実施例2の攻撃防御方法と同様の効果が得られる。
本発明による実施例1の攻撃防御方法を適用したファイアウォールシステムの概略構成を示す模式図であり、ファイアウォールシステム全体の構成例を示す図である。 本発明による実施例1の攻撃防御方法を適用したファイアウォールシステムの概略構成を示す模式図であり、端末ソフト型のファイアウォールで攻撃を検出する場合のユーザ端末の構成例を示す図である。 本発明による実施例1の攻撃防御方法を適用したファイアウォールシステムの概略構成を示す模式図であり、CPE型のファイアウォールで攻撃を検出する場合のCPEの構成例を示す図である。 本実施例1の攻撃防御方法による防御手順を説明するための模式図であり、攻撃が発生する前の状態を示す図である。 本実施例1の攻撃防御方法による防御手順を説明するための模式図であり、攻撃が発生した直後の状態を示す図である。 本実施例1の攻撃防御方法による防御手順を説明するための模式図であり、ネットワーク装置で攻撃を防御している状態を示す図である。 本実施例1の攻撃防御方法による防御手順を説明するための模式図であり、攻撃が終了した後の状態を示す図である。 本発明による実施例2の攻撃防御方法を適用したファイアウォールシステムの概略構成を示す模式図であり、ファイアウォールシステム全体の概略構成を示す図である。 本発明による実施例2の攻撃防御方法を適用したファイアウォールシステムの概略構成を示す模式図であり、ポリシサーバの構成例を示す図である。 本実施例2の攻撃防御方法による防御手順を説明するための模式図であり、最初の攻撃を検出した状態を示す図である。 本実施例2の攻撃防御方法による防御手順を説明するための模式図であり、ネットワーク装置で攻撃を防御している状態を示す図である。 従来の端末ソフト型FWおよびCPE型FWの攻撃防御方法を説明するための模式図である。 従来のネットワークベース型のファイアウォールの攻撃防御方法を説明するための模式図である。
符号の説明
1…ネットワーク
2…ネットワーク装置
201…パケット中継手段
202…パケット検査手段
203…防御ポリシ保持手段
204…ポリシ取得手段
205…仮想ファイアウォール(仮想FW)
3A,3B…CPE
301…パケット中継手段
302…パケット検査手段
303…パーソナルポリシ保持手段
4A,4B,4C,4D,4E…ユーザ端末
401…パケット送受信手段
402…パケット検査手段
403…パーソナルポリシ保持手段
404…パケット処理手段
5…外部端末(他の通信端末)
6…サーバ
7…ポリシサーバ
701,702,703…パーソナルポリシ

Claims (10)

  1. ネットワーク上に設置されたネットワーク装置と直接またはファイアウォール機能を有するCPE(Customer Premises Equipment)を介して接続されたユーザ端末への攻撃を検出し、防御する攻撃防御方法であって、
    前記ユーザ端末または前記CPEで、前記ネットワーク装置を通して受信したパケットの検査項目および検査結果に基づく処理方法を含む1つ以上のフィルタリングルールからなるパーソナルポリシを保持するステップ1と
    前記ユーザ端末または前記CPEで、前記ステップ1で保持したパーソナルポリシに基づいて、前記ネットワーク装置を介して受信したパケットを検査し、検査結果に基づいた処理を行うとともに、攻撃パケットの有無を監視するステップ2と、
    前記ステップ2で攻撃パケットを検出したときに、前記ユーザ端末または前記CPEで保持している前記パーソナルポリシを前記ネットワーク装置に送信するステップ3と、
    前記ネットワーク装置で、前記ユーザ端末または前記CPEから送信された前記パーソナルポリシを保持するステップ4と、
    前記ネットワーク装置で、前記ステップ4で保持したパーソナルポリシに基づいて、前記ネットワーク装置から前記ユーザ端末または前記CPEに送信するパケットを検査し、検査結果に基づいた処理を行うステップ5と、
    前記ネットワーク装置で、前記ユーザ端末または前記CPEに対する攻撃が終了したと判断した時点で、前記ユーザ端末または前記CPEから送信された前記パーソナルポリシを削除するステップ6を有することを特徴とする攻撃防御方法。
  2. 前記ステップ3は、前記パーソナルポリシとともに、前記ユーザ端末または前記CPEを特定する識別子を前記ネットワーク装置に送信し、
    前記ステップ4は、前記パーソナルポリシと前記識別子を関連付けて保持し、
    前記ステップ5は、前記ユーザ端末または前記CPEに送信するパケットの送信先の情報と対応する識別子と関連付けられたパーソナルポリシに基づいて、前記パケットを検査することを特徴とする請求項1に記載の攻撃防御方法。
  3. 前記ステップ3は、前記パーソナルポリシの代わりに、前記パーソナルポリシのうちの前記攻撃パケットの検出に用いられるフィルタリングルールのみを前記ネットワーク装置に送信し、
    前記ステップ4は、前記フィルタリングルールを保持し、
    前記ステップ5は、前記ステップ4で保持したフィルタリングルールに基づいて、前記パケットを検査することを特徴とする請求項1または請求項2に記載の攻撃防御方法。
  4. 前記ステップ3は、前記パーソナルポリシの代わりに、前記攻撃パケットを特定するフロー情報を前記ネットワーク装置に送信し、
    前記ステップ4は、前記フロー情報を保持し、
    前記ステップ5は、前記ステップ4で保持したフロー情報に基づいて、前記パケットを検査することを特徴とする請求項1に記載の攻撃防御方法。
  5. ネットワーク上に設置されたネットワーク装置と直接またはファイアウォール機能を有するCPEを介して接続されたユーザ端末への攻撃を検出し、防御する攻撃防御方法であって、
    前記ユーザ端末または前記CPEで、前記ネットワーク装置を通して受信したパケットの検査項目および検査結果に基づいた処理方法を含む1つ以上のフィルタリングルールからなるパーソナルポリシを保持するステップ1と、
    前記ステップ1で保持した前記パーソナルポリシをネットワーク上に設置されたポリシサーバに登録するステップ7と、
    前記ユーザ端末または前記CPEで、前記ステップ1で保持したパーソナルポリシに基づいて、前記ネットワーク装置を介して受信したパケットを検査し、検査結果に基づいた処理を行うとともに、攻撃パケットの有無を監視するステップ2と、
    前記ステップ2で攻撃パケットを検出したときに、前記ユーザ端末または前記CPEから前記ネットワーク装置に攻撃の発生を通知するステップ8と、
    前記ネットワーク装置で、前記ステップ8の通知に基づいて、前記ポリシサーバから前記攻撃の発生を通知した前記ユーザ端末または前記CPEが登録したパーソナルポリシを取得して保持するステップ9と、
    前記ネットワーク装置で、前記ステップ9で保持したパーソナルポリシに基づいて、前記ネットワーク装置から前記ユーザ端末または前記CPEに送信するパケットを検査し、検査結果に基づいた処理を行うステップ5と、
    前記ネットワーク装置で、前記ユーザ端末または前記CPEに対する攻撃が終了したと判断した時点で、前記ポリシサーバから取得した前記パーソナルポリシを削除するステップ10を有することを特徴とする攻撃防御方法。
  6. 前記ステップ8は、前記攻撃の発生の通知とともに、前記ユーザ端末または前記CPEを特定する識別子を前記ネットワーク装置に送信し、
    前記ステップ9は、前記識別子に基づいて、前記ポリシサーバに登録されたパーソナルポリシを選択して取得した後、前記取得したパーソナルポリシと前記識別子を関連付けて保持し、
    前記ステップ5は、前記ユーザ端末または前記CPEに送信するパケットの送信先の情報と対応する識別子と関連付けられたパーソナルポリシに基づいて、前記パケットを検査することを特徴とする請求項5に記載の攻撃防御方法。
  7. 前記ステップ2は、前記パーソナルポリシに基づく検査の結果、破棄されたパケットを攻撃パケットとして検出することを特徴とする請求項1または請求項5に記載の攻撃防御方法。
  8. 前記ステップ2は、ある時刻に受信したパケットと同一のフローに属するパケットの数が、あらかじめ定められた期間にあらかじめ定められたしきい値を超過した場合に、前記パケットを攻撃パケットとして検出することを特徴とする請求項1または請求項5に記載の攻撃防御方法。
  9. ネットワーク上に設置されたネットワーク装置と、前記ネットワーク装置と直接またはファイアウォール機能を備えるCPEを介して接続されたユーザ端末からなり、前記ネットワーク装置を介した前記ユーザ端末への攻撃を検出し、防御するファイアウォールシステムであって、
    前記ユーザ端末または前記CPEは、受信したパケットを検査するパケット検査手段と、前記パケット検査手段で行う検査の検査項目および検査結果に基づく処理方法を含む1つ以上のフィルタリングルールからなるパーソナルポリシを保持するパーソナルポリシ保持手段と、攻撃パケットを検出したときに前記パーソナルポリシを前記ネットワーク装置に送信する手段を備え、
    前記ネットワーク装置は、前記ユーザ端末または前記CPEに送信するパケットを検査するパケット検査手段と、前記パケット検査手段で行うパケットの検査に用いる防御ポリシを保持する防御ポリシ保持手段と、前記防御ポリシ保持手段で保持しているパーソナルポリシを送信したユーザ端末またはCPEに対する攻撃が終了したと判断した時点で、前記保持しているパーソナルポリシを削除する手段を備えることを特徴とするファイアウォールシステム。
  10. ネットワーク上に設置されたネットワーク装置およびポリシサーバと、前記ネットワーク装置と直接またはファイアウォール機能を備えるCPEを介して接続されたユーザ端末とからなり、前記ネットワーク装置を介した前記ユーザ端末への攻撃を検出し、防御するファイアウォールシステムであって、
    前記ユーザ端末または前記CPEは、受信したパケットを検査するパケット検査手段と、前記パケット検査手段で行う検査の検査項目および検査結果に基づく処理方法を含む1つ以上のフィルタリングルールからなるパーソナルポリシを保持するパーソナルポリシ保持手段と、前記ポリシサーバに前記パーソナルポリシを登録する手段と、攻撃パケットを検出したときに、前記ネットワーク装置に攻撃の発生を通知する手段を備え、
    前記ポリシサーバは、前記ユーザ端末または前記CPEが保持するパーソナルポリシと同じパーソナルポリシを保持する手段を備え、
    前記ネットワーク装置は、前記ユーザ端末または前記CPEに送信するパケットを検査するパケット検査手段と、前記パケット検査手段で行うパケットの検査に用いる防御ポリシを保持する防御ポリシ保持手段と、前記ポリシサーバから前記パーソナルポリシを取得する手段と、前記防御ポリシ保持手段で保持しているパーソナルポリシを送信したユーザ端末またはCPEに対する攻撃が終了したと判断した時点で、前記保持しているパーソナルポリシを削除する手段を備えることを特徴とするファイアウォールシステム。
JP2004339766A 2004-11-25 2004-11-25 攻撃防御方法およびファイアウォールシステム Pending JP2006146837A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004339766A JP2006146837A (ja) 2004-11-25 2004-11-25 攻撃防御方法およびファイアウォールシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004339766A JP2006146837A (ja) 2004-11-25 2004-11-25 攻撃防御方法およびファイアウォールシステム

Publications (1)

Publication Number Publication Date
JP2006146837A true JP2006146837A (ja) 2006-06-08

Family

ID=36626415

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004339766A Pending JP2006146837A (ja) 2004-11-25 2004-11-25 攻撃防御方法およびファイアウォールシステム

Country Status (1)

Country Link
JP (1) JP2006146837A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009139170A1 (ja) * 2008-05-16 2009-11-19 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
WO2010145181A1 (zh) * 2009-10-10 2010-12-23 中兴通讯股份有限公司 网络攻击的防范方法、业务控制节点及接入节点
JP2014504050A (ja) * 2010-10-27 2014-02-13 インターデイジタル パテント ホールディングス インコーポレイテッド 発展型アプリケーションインターフェースのためのスケーラブルなポリシー制御パケットインスペクションのシステムおよび方法
JP2022513496A (ja) * 2018-12-17 2022-02-08 ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング 演算装置および演算装置の作動方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009139170A1 (ja) * 2008-05-16 2009-11-19 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
JPWO2009139170A1 (ja) * 2008-05-16 2011-09-15 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
WO2010145181A1 (zh) * 2009-10-10 2010-12-23 中兴通讯股份有限公司 网络攻击的防范方法、业务控制节点及接入节点
CN102045302A (zh) * 2009-10-10 2011-05-04 中兴通讯股份有限公司 网络攻击的防范方法、业务控制节点及接入节点
JP2014504050A (ja) * 2010-10-27 2014-02-13 インターデイジタル パテント ホールディングス インコーポレイテッド 発展型アプリケーションインターフェースのためのスケーラブルなポリシー制御パケットインスペクションのシステムおよび方法
JP2022513496A (ja) * 2018-12-17 2022-02-08 ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング 演算装置および演算装置の作動方法
US11960611B2 (en) 2018-12-17 2024-04-16 Robert Bosch Gmbh Efficient distribution of processes between a vehicle control computing device and a cryptographic module, and method for operation thereof

Similar Documents

Publication Publication Date Title
US11082436B1 (en) System and method for offloading packet processing and static analysis operations
US10033696B1 (en) Identifying applications for intrusion detection systems
US9407602B2 (en) Methods and apparatus for redirecting attacks on a network
TWI528761B (zh) 網路訊務處理系統
JP4827972B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
US20120311664A1 (en) Network threat detection and mitigation
US10135785B2 (en) Network security system to intercept inline domain name system requests
US7475420B1 (en) Detecting network proxies through observation of symmetric relationships
CN110519265B (zh) 一种防御攻击的方法及装置
JP2005252808A (ja) 不正アクセス阻止方法、装置及びシステム並びにプログラム
US20120030351A1 (en) Management server, communication cutoff device and information processing system
US20160366171A1 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
JP5980968B2 (ja) 情報処理装置、情報処理方法及びプログラム
US20070166051A1 (en) Repeater, repeating method, repeating program, and network attack defending system
US8159948B2 (en) Methods and apparatus for many-to-one connection-rate monitoring
US8510833B2 (en) Connection-rate filtering using ARP requests
JP4284248B2 (ja) アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム
US20070086334A1 (en) Method and apparatus for connection-rate filtering
JP2008219149A (ja) トラヒック制御システムおよびトラヒック制御方法
JP2006146837A (ja) 攻撃防御方法およびファイアウォールシステム
US11159533B2 (en) Relay apparatus
JP6563872B2 (ja) 通信システム、および、通信方法
JP2007102747A (ja) パケット検知装置、メッセージ検知プログラム、不正メールの遮断プログラム
JP4326423B2 (ja) 管理装置および不正アクセス防御システム
CN113965343B (zh) 一种基于局域网的终端设备隔离方法及装置