JP2006222662A - 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム - Google Patents

不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム Download PDF

Info

Publication number
JP2006222662A
JP2006222662A JP2005033320A JP2005033320A JP2006222662A JP 2006222662 A JP2006222662 A JP 2006222662A JP 2005033320 A JP2005033320 A JP 2005033320A JP 2005033320 A JP2005033320 A JP 2005033320A JP 2006222662 A JP2006222662 A JP 2006222662A
Authority
JP
Japan
Prior art keywords
variable address
address
unauthorized access
communication device
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005033320A
Other languages
English (en)
Inventor
Yoichi Tanitsu
陽一 谷津
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Techno Creation Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Techno Creation Co Ltd filed Critical Oki Techno Creation Co Ltd
Priority to JP2005033320A priority Critical patent/JP2006222662A/ja
Publication of JP2006222662A publication Critical patent/JP2006222662A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 セキュリティ性を高める。
【解決手段】 不正アクセス防止システムにおいて、不正アクセス検知装置は、不正アクセスを検知すると、不正アクセスのために送信されたプロトコルデータ単位の宛先可変アドレスを抽出して可変アドレス管理装置に通知する対象可変アドレス通知部を備え、可変アドレス管理装置は、対象可変アドレス通知部から通知を受けた宛先可変アドレスが、現時点で、通信装置に割り当てられているか否かを検査する割り当て状況検査部を備え、この検査の結果、現在、宛先可変アドレスが通信装置に割り当てられている場合には、その通信装置に割り当てる可変アドレスを変更させる。
【選択図】 図1

Description

本発明は不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラムに関し、例えば、DHCPでIPアドレスの割り当てを行う場合などに適用して好適なものである。
従来、IPアドレスの割り当て変更を伴う不正アクセス対策技術として、下記の特許文献1に記載されたものがある。
特許文献1では、WANとLANのあいだを中継するルータにおいて、WAN側からの不正アクセスを検出すると、ルータのWANポート側に割り当てられたIPアドレスを変更する。そのために、特許文献1では、前回と異なるIPアドレスが割り当てられるまで、PPPoEの切断と接続を繰り返す。切断と接続を繰り返すのは、1回、切断したあと接続しただけでは、前回と同じIPアドレスが割り当てられる可能性があるからである。
特開2004−215112号公報
ところで、上述した特許文献1の技術では、WAN側からLANへの不正アクセスに対応することができるとしても、LAN内のある通信装置から他の通信装置に対して不正アクセスが行われるケースには対応することができず、セキュリティ性が低い。また、何らかの理由で、不正アクセスのためのパケットが前記ルータを通過した場合、LAN内の通信装置は、不正アクセスに対して無防備であるため、不正アクセスが成功してしまう可能性があり、この点でもセキュリティ性が低いといえる。
かかる課題を解決するために、第1の本発明では、不正アクセスを検知する不正アクセス検知装置と、割り当て処理によって変更され得る可変アドレスの割り当てを受ける1または複数の通信装置と、当該通信装置に対する前記可変アドレスの割り当て状況を管理する可変アドレス管理装置とを備えた不正アクセス防止システムにおいて、(1)前記不正アクセス検知装置は、前記不正アクセスを検知すると、当該不正アクセスのために送信されたプロトコルデータ単位の宛先可変アドレスを抽出して前記可変アドレス管理装置に通知する対象可変アドレス通知部を備え、(2)前記可変アドレス管理装置は、前記対象可変アドレス通知部から通知を受けた宛先可変アドレスが、現時点で、前記通信装置に割り当てられているか否かを検査する割り当て状況検査部を備え、(3)この検査の結果、現在、前記宛先可変アドレスが通信装置に割り当てられている場合には、その通信装置に割り当てる可変アドレスを変更させることを特徴とする。
また、第2の本発明では、不正アクセスを検知する不正アクセス検知装置と、割り当て処理によって変更され得る可変アドレスの割り当てを受ける1または複数の通信装置と、当該通信装置に対する前記可変アドレスの割り当て状況を管理する可変アドレス管理装置とを使用する不正アクセス防止方法において、(1)前記不正アクセス検知装置では、対象可変アドレス通知部が、前記不正アクセスを検知すると、当該不正アクセスのために送信されたプロトコルデータ単位の宛先可変アドレスを抽出して前記可変アドレス管理装置に通知し、(2)前記可変アドレス管理装置では、割り当て状況検査部が、前記対象可変アドレス通知部から通知を受けた宛先可変アドレスが、現時点で、前記通信装置に割り当てられているか否かを検査し、(3)この検査の結果、現在、前記宛先可変アドレスが通信装置に割り当てられている場合には、その通信装置に割り当てる可変アドレスを変更させることを特徴とする。
さらに、第3の本発明では、不正アクセスを検知する不正アクセス検知装置と、割り当て処理によって変更され得る可変アドレスの割り当てを受ける1または複数の通信装置と、当該通信装置に対する前記可変アドレスの割り当て状況を管理する可変アドレス管理装置とを使用する不正アクセス防止プログラムにおいて、(1)前記不正アクセス検知装置では、コンピュータに、前記不正アクセスを検知すると、当該不正アクセスのために送信されたプロトコルデータ単位の宛先可変アドレスを抽出して前記可変アドレス管理装置に通知する対象可変アドレス通知機能を実現させ、(2)前記可変アドレス管理装置では、コンピュータに、前記対象可変アドレス通知機能から通知を受けた宛先可変アドレスが、現時点で、前記通信装置に割り当てられているか否かを検査する割り当て状況検査機能を実現させ、(3)この検査の結果、現在、前記宛先可変アドレスが通信装置に割り当てられている場合には、その通信装置に割り当てる可変アドレスを変更させることを特徴とする。
本発明によれば、セキュリティ性を高めることができる。
(A)実施形態
以下、本発明にかかる不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラムを、TCP/IPネットワークに適用した場合を例に、実施形態について説明する。
(A−1)第1の実施形態の構成
本実施形態にかかる通信システム10の全体構成例を図2に示す。通信システム10は全体として、広義のTCP/IPプロトコルが通用するネットワーク、すなわちTCP/IPネットワークを構成する。
図2において、当該通信システム10は、インターネット11と、LAN12とを備えている。
このうちインターネット11側にはパソコン13が存在する。このパソコン13は、悪意のユーザ(攻撃者)UXによって操作される。このユーザUXはLAN12内への不正アクセス(攻撃)の意図と能力を有する。当該パソコン13と悪意のユーザUXの組み合わせに相当する機能は、コンピュータウイルス(狭義のコンピュータウイルスだけでなく、ワームやトロイの木馬なども含む)に感染したコンピュータが持つ機能と同じである。したがって、悪意のユーザUXとパソコン13の組み合わせは、当該コンピュータウイルスに感染した1または複数のコンピュータに置換することが可能である。なお、不正アクセスには、DoS攻撃やDDoS攻撃など、サービス停止を目的とする攻撃のほか、攻撃対象の通信装置内に蓄積されている個人情報を不正な方法で盗み出そうとする行為なども含まれる。
インターネット11側に配置された攻撃検出装置14はIDS(不正侵入検知システム)の機能を有するものであるが、単なるIDSとは相違する点がある。攻撃検出装置14の詳細については後述するが、当該攻撃検出装置14は不正アクセス(不正侵入)を検知すると、その旨と不正アクセスの対象となっているIPアドレス(対象IPアドレス)をLAN12内のIPアドレス管理サーバ16へ通知する。攻撃検出装置14はLAN12からみてインターネット11側であればどこに設置されてもかまわないが、例えば、LAN12が収容されているISP(インターネット接続事業者)網内に設置するようにしてもよい。ISP網はインターネット11の構成要素である。
前記LAN12内には、ルータ15と、前記IPアドレス管理サーバ16と、パソコン17〜19が配置されている。
このうちルータ15は、LAN12とインターネット11をOSI参照モデルのネットワーク層で中継する中継装置である。
前記IPアドレス管理サーバ16は、DHCPサーバの機能を有するものであるが、単なるDHCPサーバとは相違する点がある。IPアドレス管理サーバ16の詳細については後述するが、前記攻撃検出装置14から通知を受けると、当該IPアドレス管理サーバ16は、現時点で、前記対象IPアドレスが割り当てられているパソコンに、そのIPアドレスの変更を行わせる。
前記パソコン17は、IPプロトコルを処理するIPプロトコル処理モジュールやDHCPクライアントの機能などを搭載した通常のパソコンであってよい。他のパソコン18,19も当該パソコン17と同じものであってよい。
パソコン17にはIPアドレスIP1が割り当てられ、パソコン18にはIPアドレスIP2が割り当てられ、パソコン19にはIPアドレスIP3が割り当てられているものとする。
なお、パソコン17〜18はいわゆるクライアント端末として各ユーザに利用されるパソコンであってもよいが、ここでは、パソコン17〜18はサーバ端末(例えば、Webサーバやメールサーバなど)であるものとする。当該サーバ端末が提供するサーバ機能(例えば、Webサーバ機能)を外部に公開するには、サーバ端末にグローバルIPアドレスを割り当てることが必要となる。グローバルIPアドレス以外のIPアドレス(例えば、プライベートIPアドレス)が不正アクセスの対象とならないわけではないが、ここでは、グローバルIPアドレスを割り当てるサーバ端末を想定する。したがって、ここでは、特にことわらない限り、IPアドレスはグローバルIPアドレスである。
前記攻撃検出装置14の内部構成は例えば図5に示す通りであってよい。
(A−1−1)攻撃検出装置の内部構成例
図5において、当該攻撃検出装置14は、通信部50と、制御部51と、記憶部52と、IDS部53と、攻撃対象解析部54と、攻撃通知生成部55と、通知要否判定部56とを備えている。
このうち通信部50は当該攻撃検出装置14の通信機能に対応する部分である。攻撃検出装置14は自身宛てのパケットだけでなく、インターネット11上を伝送される他の通信装置宛てのパケットも捕捉する必要がある。他の通信装置に対する不正アクセスを検知するには他の通信装置宛てのパケットを捕捉することが必要だからである。このような捕捉を行うため、通信部50は、自身宛てでないパケットも受信する。
制御部51はハードウエア的には当該攻撃検出装置14のCPU(中央処理装置)に相当し、ソフトウエア的にはOS(オペレーティングシステム)の主要部に相当し得る部分である。
記憶部52はハードウエア的には不揮発性記憶手段(例えば、ROMやハードディスクなど)および揮発性記憶手段(例えば、RAMなど)に相当し、ソフトウエア的には、各種のファイルなどに相当する部分である。前記OSなどソフトウエア的に実現された機能は、プログラムファイルやデータファイルなどの形でこのようなファイルの1つとなり得る。
IDS部53は上述したIDSの機能に対応する部分である。当該IDS部53自体は基本的に通常のIDSと同じ機能を持つものであってよい。
攻撃対象解析部54は、前記IDS部53が不正アクセス(攻撃)を検知したとき、その不正アクセスの対象となっている通信装置(その通信装置に割り当てられているIPアドレス(前記対象IPアドレス))を特定する部分である。通常、ネットワーク経由で、ある通信装置に対する不正アクセスを行うには、その通信装置宛てのパケットを送信する必要があるため、検知した不正アクセスに関するパケットの宛先IPアドレスを抽出することが当該攻撃対象解析部54の役割になる。
ここでは一例として、前記パソコン17が不正アクセスの対象となっている場合を想定する。この場合、検知した不正アクセスに関するパケットの宛先IPアドレスは、前記IP1である。
攻撃通知生成部55は、前記IDS部53が不正アクセスを検知したときIPアドレス管理サーバ16に通知する攻撃通知信号AN1を生成する部分である。
この攻撃通知信号AN1には、不正アクセスが試みられていることと、その不正アクセスに関する対象IPアドレスの値を示す情報が含まれている。
図2上ではLAN12以外のLANは図示していないが、通常、1つのISP網には多数のLAN(その1つが、LAN12)が収容され、各LANごとに、前記IPアドレス管理サーバ16が設置された構成となる。また、各LANへのグローバルIPアドレスの割り当て(この場合、サーバ用に複数のIPアドレスを固定的に割り当てるLAN型のダイヤルアップIP接続サービスが用いられ得る)は、ISP自身が行ったものである。したがって、当該攻撃検出装置14を前記ISP網に設置する場合、ISP(および、ISPと連携する攻撃検出装置14)はいずれのLANにいずれのグローバルIPアドレスを割り当てたかを特定することができ、当該攻撃検出装置14は、それを特定したうえで該当するLAN(ここでは、12)のIPアドレス管理サーバ16にのみ当該攻撃通知信号AN1を届けることができる。
いずれのLANにいずれのグローバルIPアドレスを割り当てたかを特定するのは、前記通知要否判定部56である。なお、対象IPアドレスが、いずれのLANにも割り当てていないものである場合、通知は不要であると判定する。当該通知要否判定部56が、通知を要すると判定した場合にのみ、前記攻撃通知生成部55に、該当するLAN内のIPアドレス管理サーバに宛てて送信するための、前記攻撃通知信号AN1を生成させる。
前記IPアドレス管理サーバ16の内部構成は例えば図4に示す通りであってよい。IPアドレス管理サーバ16はLAN12内で各パソコン17〜19に対するIPアドレスの割り当てを行う。このIPアドレスは、前記ISPから割り当てを受けたものである。
(A−1−2)IPアドレス管理サーバの内部構成例
図4において、当該IPアドレス管理サーバ16は、通信部40と、制御部41と、記憶部42と、攻撃通知解析部43と、DHCPサーバ部44と、変更通知生成部45と、変更要否判定部46とを備えている。
このうち通信部40は前記通信部50に対応し、制御部41は前記制御部51に対応し、記憶部42は前記記憶部52に対応するので、その詳しい説明は省略する。
ただし前記通信部50が、自身宛てでないパケットも受信したのに対し、当該通信部40は、基本的に自身宛てのパケット(DHCPのためのブロードキャストパケットも含む)のみを受信する。本実施形態の構成上、当該通信部40が通信するのは、前記攻撃検出装置14と、LAN12内のパソコン17〜19である。
前記DHCPサーバ部44は上述したDHCPサーバの機能を発揮する部分である。当該DHCPサーバ部44は、周知の通常のDHCPサーバと同様に、LAN12内のDHCPクライアントからの要求に応じて、TCP/IPネットワークの構成に関する所定の設定情報(コンフィギュレーション情報)を提供する。この設定情報のなかに、前記DHCPクライアントを搭載した通信装置に割り当てるIPアドレスも含まれている。
IPアドレスはIPプロトコル上で各通信装置を一意に識別するための識別情報であるため、常に、一意性を確保して割り当てる必要があり、DHCPサーバ部44では、いずれの通信装置にいずれのIPアドレスを割り当てたかを管理しているか、少なくとも、LAN12内のいずれかの通信装置に割り当てたIPアドレスと、いずれの通信装置にも割り当てていないIPアドレスを識別できるような形式でIPアドレスを管理している。
前記攻撃通知解析部43は、前記攻撃検出装置14が送信し当該IPアドレス管理サーバ16に受信された攻撃通知信号AN1を解析する部分である。解析結果として、前記対象IPアドレスが得られる。
LAN12内における各パソコン17〜19に対するIPアドレスの割り当ては、当該IPアドレス管理サーバ16が行っているが、必ずしも前記ISPから割り当てを受けたすべてのIPアドレスを実際にいずれかのパソコンに割り当てているとは限らない。当該対象IPアドレスがいずれのパソコンにも割り当てられていなければ、特段、処理を行う必要はないが、いずれかのパソコンに割り当てられている場合には、そのパソコンのIPアドレスを変更するための処理を実行する必要がある。
このように当該対象IPアドレスが実際にLAN12内のいずれかのパソコンに割り当てられているか否かを判定するのに最も適した通信システム10中の通信装置は、前記DHCPサーバ部44を備えた当該IPアドレス管理サーバ16である。したがって、本実施形態では、IPアドレス管理サーバ16がこの判定を行うものとする。具体的には、当該IPアドレス管理サーバ16内の前記変更要否判定部46が、この判定を行う。
変更要否判定部46は、通知を受けた対象IPアドレスが、少なくともLAN12内のいずれかの通信装置(ここでは、パソコン17とする)に割り当てられている場合、割り当てるIPアドレス(ここでは、IP1)の変更の必要があると判定する部分である。変更では、そのIPアドレスIP1をDHCPサーバ部44に回収させ、そのパソコン17には前記対象IPアドレスとは異なるIPアドレス(例えば、IP4)を割り当てる。対象IPアドレスIP1がパソコン17に割り当てられたまま放置すると、当該パソコン17が悪意のユーザUXの操作するパソコン13からの攻撃にさらされる可能性が高いからである。
LAN12に対し、十分な数のIPアドレスがISPから割り当てられていないケースなどでは、LAN12内のパソコン間で割り当てるIPアドレスを入れ替え、当該対象IPアドレスをLAN12内の他のパソコン(例えば、18)に割り当てても、不正アクセスの継続性が失われて、不正アクセスの実行を困難にする効果が期待できるが、よりセキュリティ性を高めるためには、その対象IPアドレスIP1を割り当てられた通信装置がLAN12内に存在しないようにすることが望ましい。
前記変更通知生成部45は、前記変更を行うように対象IPアドレスが割り当てられた通信装置(パソコン17)に通知する部分である。この通知は、変更通知信号SN1を当該パソコン17に届けることによって行われる。当該変更通知信号SN1は通常のパケットに収容してLAN12内を伝送するものであってもよいが、必要に応じて、その伝送のための独立した伝送路(管理網など)を用意するようにしてもよい。この点は、前記攻撃通知信号AN1の伝送に関しても同様である。
通常、DHCPの手順ではDHCPクライアントからの要求に応じてDHCPサーバがIPアドレスの割り当てを行うため、このような手順の枠組みを維持しつつ当該変更を行うことは重要である。通常のDHCPの手順の枠組みを維持すれば、通常のDHCPクライアントの機能をほとんどそのまま用いることができ、既存のソフトウエア資産(この場合、DHCPクライアントやDHCPサーバのプログラム等)を有効活用して開発コストの低減などの効果を得ることが期待できるからである。
前記パソコン17の内部構成は例えば図3に示す通りであってよい。他のパソコン18,19の内部構成もこれと同じである。
(A−1−3)パソコンの内部構成例
図3において、当該パソコン17は、通信部30と、制御部31と、記憶部32と、変更通知対応部33と、サーバ部34と、DHCPクライアント部35とを備えている。
このうち通信部30は前記通信部50に対応し、制御部31は前記制御部51に対応し、記憶部32は前記記憶部52に対応するので、その詳しい説明は省略する。
ただし前記通信部50が、自身宛てでないパケットも受信したのに対し、当該通信部30は、基本的に自身宛てのパケットのみを受信する。本実施形態の構成上、当該通信部30が通信するのは、IPアドレス管理サーバ16のみでよい。もちろん、当該パソコン17はサーバ端末であるから、提供するサーバ機能(例えば、Webサーバとしての機能)を利用するためにアクセスしてきたクライアント端末と通信することは当然である。例えば、前記悪意のユーザUXが操作するパソコン13がこのようなクライアント端末を装ってアクセスしてきた場合、基本的にそれを拒否することは難しい。
当該パソコン17に割り当てられたIPアドレス(図3の状態では、IP1)は、この通信部30に設定される。
前記サーバ部34は、当該パソコン17が提供するサーバ機能を備える部分で、一例として、前記Webサーバに対応する。
DHCPクライアント部35は上述したDHCPクライアントに対応する部分である。このDHCPクライアント部35は基本的に通常のDHCPクライアントであってよい。DHCPクライアントは、OSなどからの要求に応じて、パソコン17が起動した場合などに、前記設定情報の割り当てを求めるため、DHCPの手順を開始して前記DHCPサーバ部44とのあいだでDHCPに規定された制御信号群を送受する。DHCPの手順は通常、DHCPクライアント側から開始するものである。
前記変更通知対応部33は、前記変更通知信号SN1を受信すると、DHCPクライアント部35に対し、前記DHCPの手順を開始させる部分である。DHCPの手順が開始されると、前記DHCPサーバ部44は通常のDHCPの枠組みを維持しながら、新たな設定情報をパソコン17に割り当てることができるため、設定情報の一部であるIPアドレスIP1を他のIPアドレス(ここでは、IP4とする)に変更することが可能になる。
以下、上記のような構成を有する本実施形態の動作について、図1のフローチャートと図9のシーケンス図を参照しながら説明する。
図1のフローチャートは通信システム10の全体動作を示しており、S10〜S16の各ステップを備えている。図9のシーケンス図も通信システム10全体の動作シーケンスを示しており、S20〜S25の各ステップを備えている。
ここでも、上述したように、主として、パソコン17にIPアドレスIP1が割り当てられており、当該IPアドレスIP1が前記対象IPアドレスとなるケースを例に動作を説明する。
(A−2)第1の実施形態の動作
すでにIPアドレス管理サーバ16は、各IPアドレスIP1〜IP3をLAN12内の各パソコン17〜19に割り当てており、各パソコン17〜19は通常のサーバ端末としての動作を実行しているものとする。例えば、前記パソコン17はWebサーバとして動作している。
この間、当該LAN12を収容しているISP網内の前記攻撃検出装置14は、ISP網内を伝送される各パケットを捕捉して不正アクセスを検知するための動作を行っている。この動作において、前記悪意のユーザUXが操作するパソコン13からパソコン17に宛てて送信されたパケットが、不正アクセスを試みるものであると検知されたものとする(S10、S11、S20)。このパケットの宛先IPアドレスはIP1であるから、前記対象IPアドレスはIP1となり、前記通知要否判定部46が、当該対象IPアドレスIP1をいずれのLANに割り当てたかを検査する(S12)。いずれのLANにも割り当てていないければ、ステップS12はNO側に分岐して一連の処理が終わる(S16)が、いずれかのLANに割り当てている場合には、YES側に分岐して処理がステップS13に進む。
ステップS13では、当該対象IPアドレスIP1を割り当てたLANが特定され、そのLAN内のIPアドレス管理サーバに、前記攻撃通知信号AN1が送信される。ここでは、LAN12が特定され、LAN12内のIPアドレス管理サーバ16に攻撃通知信号AN1が送信されることになる。これは図9のステップS21に対応する。
次に、当該攻撃通知信号AN1を受信したIPアドレス管理サーバ16内の変更要否判定部46が、その対象IPアドレスIP1を現時点で実際にLAN12内のいずれかの通信装置に割り当てているか否かを判定する。割り当てていない場合には何もする必要はない。図1には示していないが、このケースでは、処理をステップS16に進めて、一連の処理を終了させるものであってよい。
割り当てている場合には、ステップS14およびS23に示すように、その通信装置に前記変更通知信号SN1を送信する。ここでは、対象IPアドレスIP1がパソコン17に割り当てられているため、パソコン17に変更通知信号SN1を送信することになる。
当該変更通知信号SN1を受信したパソコン17内では、変更通知対応部33がDHCPクライアント部35に、上述したDHCPの手順を開始させる(
S24)ので、この手順のなかで、IPアドレス管理サーバ16は、前記対象IPアドレスIP1とは異なるIPアドレス(ここでは、IP4)を当該パソコン17に割り当てることができる(S15、S25)。
このとき対象IPアドレスIP1はDHCPサーバ部44に回収され、LAN12内に当該対象IPアドレスIP1を割り当てられた通信装置は存在しない状態となる。したがって前記悪意のユーザUXが操作するパソコン13から、不正アクセスのため、当該対象IPアドレスIP1を宛先とするパケットがLAN12内に届いたとしても、もはやLAN12内にはそのパケットをOSI参照モデルのネットワーク層以上の階層で受信する通信装置は存在しないため、不正アクセスは阻止される。
すでに不正アクセスのためのパケットがいくつかパソコン17まで到達している段階で、パソコン17のIPアドレスが対象IPアドレスIP1からIP4に変更された場合でも、不正アクセスを阻止できる点は同じである。多くの場合、不正アクセスを成功させるには、悪意のユーザUXが操作するパソコン13はかなりの数のパケットを対象IPアドレスとのあいだで送受する必要があるからである。
(A−3)第1の実施形態の効果
本実施形態によれば、不正アクセスのために前記対象IPアドレス(例えば、IP1)に宛てて送信されるパケットがLAN(12)内に届いたとしても、LAN内の通信装置(例えば、パソコン17)に割り当てるIPアドレスを当該対象IPアドレスと異なるものに変更することができるため、不正アクセスを阻止することができ、セキュリティ性が高まる。
(B)第2の実施形態
以下では、本実施形態が第1の実施形態と相違する点についてのみ説明する。
(B−1)第2の実施形態の構成および動作
本実施形態にかかる通信システム60の全体構成例を図7に示す。
図7において、当該通信システム60は、インターネット11と、LAN12とを備えている。インターネット11上にはパソコン13と攻撃検出装置61が設置され、LAN12上には、IPアドレス管理サーバ16と、パソコン17〜19が設置されている。
このうち図2と同じ符号11〜19を付与した各構成要素の機能は基本的に第1の実施形態と同じなので、その詳しい説明は省略する。
本実施形態の攻撃検出装置61は第1の実施形態の攻撃検出装置14に対応する通信装置であるが、IDSの代わりにハニーポットの機能を搭載している点が相違する。
当該攻撃検出装置61の内部構成は例えば図6に示す通りであってよい。
図6において、当該攻撃検出装置61は、通信部50と、制御部51と、記憶部52と、攻撃対象解析部54と、攻撃通知生成部55と、通知要否判定部56と、ハニーポット部62とを備えている。
ハニーポット部62は上述したハニーポットの機能に対応する部分である。当該ハニーポット部62自体は、基本的に周知のハニーポットであってよい。すなわち当該ハニーポット部62は、悪意のユーザUXから見て、一見、杜撰な方法で、重要そうな情報を蓄積、管理している収穫の多い攻略容易な(セキュリティホールを残した)攻撃対象であるかのように振る舞うが、これらはすべて偽装であり、実際には、セキュリティ的な観点で厳格に構成、管理されていて、乗っ取ることも踏み台にすることも不可能である。ハニーポット部62の真の役目は、悪意のユーザUXによる攻撃の手法を調べたり、悪意のユーザUXに関する情報を収集したりする点などにある。
このようなハニーポットの性能要件を満たすために必要な場合などには、当該ハニーポット部62は、攻撃検出装置61の一部としてではなく、独立した通信装置(独立したコンピュータ)として構成するようにしてもかまわない。
いずれにしても、当該ハニーポット部62が存在することにより、悪意のユーザUXの注意は当該ハニーポット部62に向かいやすく、悪意のユーザUXの労力や時間は、その大部分がハニーポット部62の攻略のために投入されるものと期待できるため、前記対象IPアドレスIP1を割り当てられたパソコン17が不正アクセスの被害を受ける前に、当該パソコン17のIPアドレスを対象IPアドレスIP1から変更できる可能性が高まる。また、例えば、ハニーポット部62に対して悪意のユーザUXが行った行動を、パソコン17に対する不正アクセスの予兆として検知することができる可能性もある。
本実施形態の通信システム60の動作例を図11のフローチャートに示す。
図11のフローチャートは、第1の実施形態における図1に対応するもので、S10〜S16およびS30の各ステップを備えている。
このうち図1と同じ符号S10、S12〜S16を付与した各ステップの処理は第1の実施形態と同じであるので、その詳しい説明は省略する。
図11において、ステップS10とS12のあいだで処理されるステップS30では、攻撃検出装置61がウイルス攻撃を検出している。このウイルス攻撃は、パソコン13を操作する悪意のユーザUXによる攻撃に置き換えることができる。
当該ステップS30の検出は、主として、前記ハニーポット部62の機能によって行われるものであってよい。
(B−2)第2の実施形態の効果
本実施形態では、第1の実施形態の効果と同等な効果を得ることができる。
また、本実施形態では、ハニーポット部(62)の機能により、LAN(12)内の通信装置(17〜19)のセキュリティ性は第1の実施形態より高まることが期待できる。
(C)第3の実施形態
以下では、本実施形態が第1、第2の実施形態と相違する点についてのみ説明する。
(C−1)第3の実施形態の構成および動作
本実施形態にかかる通信システム70の全体構成例を図8に示す。
図8において、当該通信システム70は、インターネット11と、LAN71とを備えている。LAN71上には、IPアドレス管理サーバ16と、パソコン17〜19と、攻撃検出装置14と、パソコン13とが設置されている。
このうち図2と同じ符号11、13〜19を付与した各構成要素の機能は基本的に第1の実施形態と同じなので、その詳しい説明は省略する。
ただし、第1の実施形態ではインターネット11上に配置されていた攻撃検出装置14と悪意のユーザUXが操作するパソコン13が、本実施形態では、LAN71内に配置されている。
このようにLAN内の通信装置が、同じLAN内の他の通信装置から不正アクセスを受けることは実際にも多い。
また、攻撃検出装置14をLAN71内に配置しているのは、LAN71内で伝送されるパケットを捕捉して不正アクセスの試みを検出するためである。攻撃検出装置14は、ハニーポットの機能を搭載した攻撃検出装置61に置換することも可能である。
(C−2)第3の実施形態の効果
本実施形態では、LAN(71)内のある通信装置(例えば、13)から他の通信装置(例えば、17)への不正アクセスに関し、第1、第2の実施形態の効果と同等な効果を得ることができる。
(D)他の実施形態
上記第1〜第3の実施形態において、1つの通信装置に配置した機能は複数の通信装置に分けて配置することが可能であり、複数の通信装置に分けて配置した機能は1つの通信装置にまとめて配置することが可能である。
例えば、図5に示したIDS部53と攻撃要否判定部56は、別個の通信装置に分けて配置することも可能である。
本発明におけるネットワーク構成は、図2,図7,図8などに示したものから変更することができることは当然である。例えば、図2などでは、ルータは一台のみ存在したが、複数のルータが存在してもかまわない。その場合、サブネット(ルータで区切られた範囲)ごとに、IPアドレス管理サーバ(例えば、16)が存在するものであってもよい。もちろん、LAN内に設置されるパソコンの数は、上述した3台より少なくてもよく、多くてもよいことは当然である。
また、本発明はグローバルIPアドレスだけでなく、プライベートIPアドレスなどにも適用可能である。LAN内のある通信装置から他の通信装置に不正アクセスが行われる場合などには、もちろん、当該他の通信装置のIPアドレスがプライベートIPアドレスであってもよく、グローバルIPアドレスであってもよい。場合によって、その他、特定のIPアドレスが当該他の通信装置に割り当てられていることも起こり得る。
さらに、WAN側の通信装置からLAN内の通信装置に対して不正アクセスが行われる場合、あいだにアドレス変換を介在させれば、LAN内の通信装置に割り当てたIPアドレスはプライベートIPアドレスであってもよい。WAN側に設定された多数のグローバルIPアドレスとLAN側に設定された多数のプライベートIPアドレスのあいだでアドレス変換を行う多対多のアドレス変換を想定すると、IPアドレス管理サーバ16によって、LAN内のサーバ端末のプライベートIPアドレスが変更されれば、不正アクセスの継続性が失われて、不正アクセスの実行が困難になるからである。
なお、基本的に、以上の説明では、IPアドレスとしてIPv4アドレスを想定したが、本発明は、IPv6アドレスにも適用可能である。
また、上記第1〜第3の実施形態の特徴は、上述したものとは異なる組み合わせで複合することも可能である。
例えば、攻撃検出装置14は、インターネット11上とLAN12上に同時に設置してもかまわない。また、ハニーポットの機能を搭載した攻撃検出装置61とIDSの機能を搭載した攻撃検出装置14を同時に設置してもかまわない。その場合には、攻撃検出装置61から届いた攻撃通知信号AN1と攻撃検出装置14から届いた攻撃通知信号AN1の双方に基づいて、パソコン17のIPアドレスを変更するか否かを決定するようにしてもよい。
なお、図9の動作シーケンス図は、図10の動作シーケンス図に置換することが可能である。
図10はS20〜S23およびS40,S41の各ステップを備えている。このうち図9と同じ符号S20〜S23を付与した各ステップの処理は第1の実施形態と同じなので、その詳しい説明は省略する。
図10では、ステップS23のIPアドレス変更通知(変更通知信号SN1の送信)を行うことにより、DHCPクライアントを搭載したパソコン17側からDHCPの手順を開始させることにより、通常のDHCPの手順の枠組みを維持しながらパソコン17のIPアドレスを変更するようにしたが、図10では、IPアドレス管理サーバ16側からパソコン17に対し、IPアドレスの変更を要求し(S40)、パソコン17がその変更を承認した場合には(S41)、パソコン17に割り当てるIPアドレスを変更する。
なお、以上の説明では、攻撃検出信号AN1が届いた場合などには、対象IPアドレスIP1だけをLAN(例えば、12)内で用いないようにしたが、LAN12内で当該対象IPアドレスを割り当てられていたパソコン17の周辺に存在するパソコン(例えば、パソコン17と同一のサブネットに属する他のパソコン)のIPアドレスも変更し、用いないようにしてもよい。
また、上述した管理網は、攻撃通知信号AN1の伝送にのみ利用してもよい。
さらに、本発明は、前記パソコン17〜18がサーバ端末ではなく、クライアント端末として各ユーザに利用されるパソコンである場合にも適用可能である。
なお、上記第1〜第3の実施形態で用いた通信プロトコルは必要に応じてその他の通信プロトコルに置き換えてもよい。
例えば、IPプロトコルの代わり、IPXプロトコルなどを用いることができる可能性もある。
また、本発明は前記特許文献1の技術と矛盾するものではないので、特許文献1の技術と組み合わせて用いることもできる。
以上の説明でハードウエア的に実現した機能の大部分はソフトウエア的に実現することが可能であり、ソフトウエア的に実現した機能のほとんど全ては、ハードウエア的に実現することが可能である。
第1の実施形態にかかる通信システムの全体動作例を示すフローチャートである。 第1の実施形態にかかる通信システムの全体構成例を示す概略図である。 第1および第2の実施形態で使用するパソコンの内部構成例を示す概略図である。 第1および第2の実施形態で使用するIPアドレス管理サーバの内部構成例を示す概略図である。 第1の実施形態で使用する攻撃検出装置の内部構成例を示す概略図である。 第2の実施形態で使用する攻撃検出装置の内部構成例を示す概略図である。 第2の実施形態にかかる通信システムの全体構成例を示す概略図である。 第3の実施形態にかかる通信システムの全体構成例を示す概略図である。 第1〜第3の実施形態にかかる通信システムの全体動作例を示すシーケンス図である。 他の実施形態にかかる通信システムの全体動作例を示すシーケンス図である。 第2の実施形態にかかる通信システムの全体動作例を示すフローチャートである。
符号の説明
10、60,70…通信システム、12、71…LAN、13,17〜19…パソコン、14,61…攻撃検出装置、15…ルータ、16…IPアドレス管理サーバ、33…変更通知対応部、34…サーバ部、35…DHCPクライアント部、43…攻撃通知解析部、44…DHCPサーバ部、45…変更通知生成部、46…変更要否判定部、53…IDS部、54…攻撃対象解析部、55…攻撃通知生成部、56…通知要否半知恵部、62…ハニーポット部、IP1〜IP4…IPアドレス。

Claims (4)

  1. 不正アクセスを検知する不正アクセス検知装置と、割り当て処理によって変更され得る可変アドレスの割り当てを受ける1または複数の通信装置と、当該通信装置に対する前記可変アドレスの割り当て状況を管理する可変アドレス管理装置とを備えた不正アクセス防止システムにおいて、
    前記不正アクセス検知装置は、
    前記不正アクセスを検知すると、当該不正アクセスのために送信されたプロトコルデータ単位の宛先可変アドレスを抽出して前記可変アドレス管理装置に通知する対象可変アドレス通知部を備え、
    前記可変アドレス管理装置は、
    前記対象可変アドレス通知部から通知を受けた宛先可変アドレスが、現時点で、前記通信装置に割り当てられているか否かを検査する割り当て状況検査部を備え、
    この検査の結果、現在、前記宛先可変アドレスが通信装置に割り当てられている場合には、その通信装置に割り当てる可変アドレスを変更させることを特徴とする不正アクセス防止システム。
  2. 請求項1の不正アクセス防止システムにおいて、
    前記通信装置が、割り当て要求信号を送信して可変アドレスの割り当てを要求する割り当てクライアント機能部を有し、前記割り当て処理が、当該割り当てクライアント機能部から割り当て要求信号が送信されることによって開始されるものである場合、前記可変アドレス管理装置は、当該通信装置に対して割り当て要求信号の送信を依頼するための送信依頼信号を送信する割り当て要求依頼部を備え、
    前記通信装置は、
    前記割り当て要求依頼部から送信依頼信号が届いた場合、前記割り当てクライアント機能部を動作させて割り当て要求信号を送信させる割り当て要求制御部を備え、
    当該通信装置から割り当て要求信号が届くと、前記可変アドレス管理装置は、前回とは異なる可変アドレスを割り当てるように、前記割り当て処理を制御することを特徴とする不正アクセス防止システム。
  3. 不正アクセスを検知する不正アクセス検知装置と、割り当て処理によって変更され得る可変アドレスの割り当てを受ける1または複数の通信装置と、当該通信装置に対する前記可変アドレスの割り当て状況を管理する可変アドレス管理装置とを使用する不正アクセス防止方法において、
    前記不正アクセス検知装置では、
    対象可変アドレス通知部が、前記不正アクセスを検知すると、当該不正アクセスのために送信されたプロトコルデータ単位の宛先可変アドレスを抽出して前記可変アドレス管理装置に通知し、
    前記可変アドレス管理装置では、
    割り当て状況検査部が、前記対象可変アドレス通知部から通知を受けた宛先可変アドレスが、現時点で、前記通信装置に割り当てられているか否かを検査し、
    この検査の結果、現在、前記宛先可変アドレスが通信装置に割り当てられている場合には、その通信装置に割り当てる可変アドレスを変更させることを特徴とする不正アクセス防止方法。
  4. 不正アクセスを検知する不正アクセス検知装置と、割り当て処理によって変更され得る可変アドレスの割り当てを受ける1または複数の通信装置と、当該通信装置に対する前記可変アドレスの割り当て状況を管理する可変アドレス管理装置とを使用する不正アクセス防止プログラムにおいて、
    前記不正アクセス検知装置では、コンピュータに、
    前記不正アクセスを検知すると、当該不正アクセスのために送信されたプロトコルデータ単位の宛先可変アドレスを抽出して前記可変アドレス管理装置に通知する対象可変アドレス通知機能を実現させ、
    前記可変アドレス管理装置では、コンピュータに、
    前記対象可変アドレス通知機能から通知を受けた宛先可変アドレスが、現時点で、前記通信装置に割り当てられているか否かを検査する割り当て状況検査機能を実現させ、
    この検査の結果、現在、前記宛先可変アドレスが通信装置に割り当てられている場合には、その通信装置に割り当てる可変アドレスを変更させることを特徴とする不正アクセス防止プログラム。
JP2005033320A 2005-02-09 2005-02-09 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム Pending JP2006222662A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005033320A JP2006222662A (ja) 2005-02-09 2005-02-09 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005033320A JP2006222662A (ja) 2005-02-09 2005-02-09 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム

Publications (1)

Publication Number Publication Date
JP2006222662A true JP2006222662A (ja) 2006-08-24

Family

ID=36984687

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005033320A Pending JP2006222662A (ja) 2005-02-09 2005-02-09 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム

Country Status (1)

Country Link
JP (1) JP2006222662A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008084725A1 (ja) * 2007-01-12 2008-07-17 Yokogawa Electric Corporation 不正アクセス情報収集システム
JP2017204721A (ja) * 2016-05-11 2017-11-16 アライドテレシス株式会社 セキュリティシステム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008084725A1 (ja) * 2007-01-12 2008-07-17 Yokogawa Electric Corporation 不正アクセス情報収集システム
JP2008172548A (ja) * 2007-01-12 2008-07-24 Yokogawa Electric Corp 不正アクセス情報収集システム
US8331251B2 (en) 2007-01-12 2012-12-11 Yokogawa Electric Corporation Unauthorized access information collection system
CN101578827B (zh) * 2007-01-12 2013-05-29 横河电机株式会社 未授权访问信息收集系统
JP2017204721A (ja) * 2016-05-11 2017-11-16 アライドテレシス株式会社 セキュリティシステム

Similar Documents

Publication Publication Date Title
JP4664257B2 (ja) 攻撃検出システム及び攻撃検出方法
JP4827972B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
CN108270722B (zh) 一种攻击行为检测方法和装置
US7912048B2 (en) Apparatus and method for detecting network address translation device
JP4195480B2 (ja) コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
US20080028073A1 (en) Method, a Device, and a System for Protecting a Server Against Denial of DNS Service Attacks
JP4829982B2 (ja) ピアツーピア通信の検出及び制御
US20180063072A1 (en) Determine anomalous behavior based on dynamic device configuration address range
KR100996288B1 (ko) 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법
KR20130014226A (ko) 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
CN101459653B (zh) 基于Snooping技术的防止DHCP报文攻击的方法
Aldaoud et al. DHCP attacking tools: an analysis
KR100533785B1 (ko) Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법
KR101281160B1 (ko) 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법
JP3652661B2 (ja) サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム
Yaibuates et al. ICMP based malicious attack identification method for DHCP
Nicol et al. Multiscale modeling and simulation of worm effects on the internet routing infrastructure
JP5568344B2 (ja) 攻撃検出装置、攻撃検出方法、及びプログラム
US20180007075A1 (en) Monitoring dynamic device configuration protocol offers to determine anomaly
JP2006222662A (ja) 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム
EP1866725B1 (en) Network attack detection
US20230269236A1 (en) Automatic proxy system, automatic proxy method and non-transitory computer readable medium
JP4081042B2 (ja) 不正通信監視装置、及び不正通信監視プログラム
KR20100071763A (ko) 분산서비스거부 공격 탐지 장치 및 그 방법
Omar et al. Rule-Based SLAAC Attack Detection Mechanism

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20061030