JP2007150778A - 不正アクセス検知方法および装置ならびにプログラム - Google Patents
不正アクセス検知方法および装置ならびにプログラム Download PDFInfo
- Publication number
- JP2007150778A JP2007150778A JP2005343164A JP2005343164A JP2007150778A JP 2007150778 A JP2007150778 A JP 2007150778A JP 2005343164 A JP2005343164 A JP 2005343164A JP 2005343164 A JP2005343164 A JP 2005343164A JP 2007150778 A JP2007150778 A JP 2007150778A
- Authority
- JP
- Japan
- Prior art keywords
- address
- layer
- detected
- unauthorized access
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】MACアドレスなどのレイヤ2のアドレスを詐称する不正なアクセスをできるだけ誤検知せずに検知できるようにする。
【解決手段】アドレステーブル300は、既に検出されたIPアドレスとMACアドレスの対応関係を記憶する。変更頻度テーブル310は、同じIPアドレスに対して異なるMACアドレスが組み合わされた回数である変更回数をIPアドレスごとに記憶する。検査部120は、ネットワークを流れるパケットから検出した宛先IPアドレスに対応してアドレステーブル300に記憶されているMACアドレスと前記パケットから検出したMACアドレスを比較し、不一致の場合にそのIPアドレスに対応して変更頻度テーブル310に記憶されている変更回数を更新し、更新後の変更回数を予め定められた閾値と比較することで、不正アクセスの有無を検知する。
【選択図】図3
【解決手段】アドレステーブル300は、既に検出されたIPアドレスとMACアドレスの対応関係を記憶する。変更頻度テーブル310は、同じIPアドレスに対して異なるMACアドレスが組み合わされた回数である変更回数をIPアドレスごとに記憶する。検査部120は、ネットワークを流れるパケットから検出した宛先IPアドレスに対応してアドレステーブル300に記憶されているMACアドレスと前記パケットから検出したMACアドレスを比較し、不一致の場合にそのIPアドレスに対応して変更頻度テーブル310に記憶されている変更回数を更新し、更新後の変更回数を予め定められた閾値と比較することで、不正アクセスの有無を検知する。
【選択図】図3
Description
本発明は、ネットワーク上のコンピュータに対する攻撃や不正な行為を検知する方法と装置に関し、特にレイヤ2アドレスの詐称を利用した不正なアクセスを検知する方法と装置に関する。
現在、情報漏洩に代表されるように内部ネットワークに対するセキュリティが注目されつつある。これは、ワームやウイルスによる被害だけでなく、組織内部の人間や、組織外部からの訪問者による不正アクセスが要因となっている。
このような内部ネットワークに対するセキュリティ対策として、IDS(Intrusion Detection System)がある。IDSは、侵入検知システムと呼ばれ、ネットワークおよびサーバをリアルタイムに監視し、不正アクセス(攻撃や不正な行為)を検知すると、アラームを表示すると共に、通信記録を収集して保存する。
IDSにおいて不正アクセスを検知する代表的な方法は、不正アクセスに用いられる不正パケットの特徴情報(パケット中の文字列など)をシグネチャとしてデータベースに予め登録しておき、ネットワークを流れるパケットを監視し、登録されたシグネチャに合致する特徴情報を持つパケットを検知する方法である。
他方、内部ネットワークにおける不正アクセスを検知する他の従来技術として、ネットワーク内の全ての正当なノードのIP(Internet Protocol)アドレスとMAC(Media Access Control)アドレスの組をデータベースに登録した後、ネットワークを流れるARP要求パケットを監視し、データベースに登録されていないIPアドレスの物理アドレスを問い合わせるARP要求パケットを不正パケットとして検出し、また、データベースに登録されているIPアドレスの物理アドレスを問い合わせているが、要求元MACアドレスがデータベースに登録されていないARP要求パケットを不正パケットとして検出する方法がある(例えば特許文献1参照)。
内部ネットワークにおける不正アクセスを検知するさらに別の従来技術として、DHCP(Dynamic Host Configuration Protocol)サーバにおいて、ネットワークを流れるパケットのIPアドレスとMACアドレスの組を監視し、予め登録されたIPアドレスとMACアドレスの組の何れとも相違するIPアドレスとMACアドレスの組を持つパケットを不正パケットとして検出する方法がある(例えば特許文献2参照)。
ネットワーク上のコンピュータに対する不正アクセスを検知する方法として従来より各種の方法が提案ないし実用化されているが、その一方で検知を回避する技術も年々進化している。MACアドレスを詐称することにより、攻撃対象のコンピュータには届かないが、不正検知を行っているコンピュータには届くトラフィックを生成する検知回避技術もその一つである。図8にその原理を示す。
図8において、検知装置401は、ネットワーク404を流れるパケットをプロミスカスモードにより全て受信し、事前に登録されたシグネチャ(今の場合、文字列attackとする)に合致する特徴情報を持つパケットの有無を検知するコンピュータ、端末402は、攻撃者によって操られているコンピュータ、端末403は、攻撃対象となるコンピュータである。攻撃者である端末402は、攻撃対象の端末403のIPアドレスおよびMACアドレスをそれぞれ宛先IPアドレスおよび宛先MACアドレスとして、「atta」を含むパケットを送信した後、宛先MACアドレスだけを検知装置401のものに詐称して「X」を含むパケットを送信し、次いで、再び「atta」と同様に正しい宛先MACアドレスで「ck」を含むパケットを送信する。この場合、端末403には「attack」だけが受信されることになるが、検知装置401には「attaXck」が端末403で受信されたように認識される。この結果、シグネチャattackとの比較による不正検知が回避され、端末403への攻撃が見逃されることになる。
図8で説明したような検知回避技術を使った攻撃に対しては、ARPパケットを監視する特許文献1の方法は全く役に立たない。他方、特許文献2の方法は、端末403のIPアドレス:192.168.0.1とMACアドレス:AA−BB−CC−DD−EE−01の組を検知装置401に事前に登録しておけば、その組と異なるIPアドレス:192.168.0.1とMACアドレス:AA−BB−CC−DD−EE−02の組を持つパケットが検出された時点で、不正アクセスと判断される。しかしながら、可変IP割当方式を採用するDHCPで運用されているネットワークにおいては、IPアドレスとMACアドレスの組み合わせは正常な状態においても変わり得るため、特許文献2の方法を適用した場合には不正アクセスでないのに不正アクセスと認識してしまう誤検知が多発するおそれがある。誤検知による誤警報が多発すると、本当の警報を見分けることが困難になり、その結果、不正アクセスを見極めるための管理者の負担が著しく増大する。誤検知率は不正検知システムの性能を評価する上で最大の要因になるため、極力小さいことが望まれる。
本発明の目的は、MACアドレスなどのレイヤ2のアドレスを詐称する不正なアクセスをできるだけ誤検知せずに検知できるようにすることにある。
本発明の第1の不正アクセス検知装置は、ネットワークを流れるパケットのレイヤ3アドレスとレイヤ2アドレスの組み合わせを検出し、同じレイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数を計数し、計数値を予め定められた閾値と比較することにより不正アクセスを検知することを特徴とする。
本発明の第2の不正アクセス検知装置は、第1の不正アクセス検知装置において、既に検出されたレイヤ3アドレスとレイヤ2アドレスの対応関係を記憶するアドレステーブルと、ネットワークを流れるパケットから検出したレイヤ3アドレスに対応して前記アドレステーブルに記憶されているレイヤ2アドレスと前記パケットから検出したレイヤ2アドレスを比較し、不一致の場合にそのレイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数を更新すると共に、今回検出されたレイヤ2アドレスで前記アドレステーブルを更新する検査部とを備えることを特徴とする。
本発明の第3の不正アクセス検知装置は、第2の不正アクセス検知装置において、レイヤ3アドレスと該レイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数である変更回数との対応関係を記憶する変更頻度テーブルを備えることを特徴とする。
本発明の第4の不正アクセス検知装置は、第3の不正アクセス検知装置において、前記検査部は、ネットワークを流れるパケットから検出したレイヤ3アドレスが前記アドレステーブルに記憶されていない場合、今回検出したレイヤ3アドレスとレイヤ2アドレスの対応関係を前記アドレステーブルに追加すると共に、今回検出したレイヤ3アドレスと変更回数の初期値との対応関係を前記変更頻度テーブルに追加することを特徴とする。
本発明の第1の不正アクセス検知方法は、ネットワークに接続された検知装置またはレイヤ2通信装置において、前記ネットワークを流れるパケットのレイヤ3アドレスとレイヤ2アドレスの組み合わせを検出し、同じレイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数を計数し、計数値を予め定められた閾値と比較することにより不正アクセスを検知することを特徴とする。
本発明の第2の不正アクセス検知方法は、既に検出されたレイヤ3アドレスとレイヤ2アドレスの対応関係を記憶するアドレステーブルと、レイヤ3アドレスと該レイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数である変更回数との対応関係を記憶する変更頻度テーブルとを備え、ネットワークに接続された検知装置またはレイヤ2通信装置における不正アクセス検知方法であって、ネットワークを流れるパケットのレイヤ3アドレスとレイヤ2アドレスの組み合わせを検出し、前記パケットから検出されたレイヤ3アドレスに対応して前記アドレステーブルに記憶されているレイヤ2アドレスと前記パケットから検出されたレイヤ2アドレスを比較し、不一致の場合にそのレイヤ3アドレスに対応して前記変更頻度テーブルに記憶されている変更回数を更新し、更新後の変更回数を予め定められた閾値と比較することを特徴とする。
本発明の第1のプログラムは、既に検出されたレイヤ3アドレスとレイヤ2アドレスの対応関係を記憶するアドレステーブルと、レイヤ3アドレスと該レイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数である変更回数との対応関係を記憶する変更頻度テーブルとを記憶する記憶部を有するコンピュータを、ネットワークを流れるパケットのレイヤ3アドレスとレイヤ2アドレスの組み合わせを検出するアドレス検出手段、前記パケットから検出されたレイヤ3アドレスに対応して前記アドレステーブルに記憶されているレイヤ2アドレスと前記パケットから検出されたレイヤ2アドレスを比較し、不一致の場合にそのレイヤ3アドレスに対応して前記変更頻度テーブルに記憶されている変更回数を更新し、更新後の変更回数を予め定められた閾値と比較する検査手段、として機能させることを特徴とする。
本発明の第2のプログラムは、第1のプログラムにおいて、前記検査手段は、ネットワークを流れるパケットから検出したレイヤ3アドレスが前記アドレステーブルに記憶されていない場合、今回検出したレイヤ3アドレスとレイヤ2アドレスの対応関係を前記アドレステーブルに追加すると共に、今回検出したレイヤ3アドレスと変更回数の初期値との対応関係を前記変更頻度テーブルに追加することを特徴とする。
『作用』
ネットワークが、同じMACアドレスの端末には前回と同じIPアドレスを割り当てる固定IP割当方式のDHCPで運用されている場合など、レイヤ3アドレスとレイヤ2アドレスとの対応関係が変更になることがほとんどない場合、閾値を1に設定しておけば、不正な疑いのあるパケットを速やかに検出することができ、端末のMACアドレスと無関係に任意のIPアドレスを割り当てる可変IP割当方式のDHCPで運用されているネットワークなど、レイヤ3アドレスとレイヤ2アドレスとの対応関係の変更が正常な状態でも或る頻度で出現する場合には、閾値を2以上の値に設定して判断の猶予を持たせれば、誤検出を防止することができ、閾値の設定により何れにも対処することが可能になる。
ネットワークが、同じMACアドレスの端末には前回と同じIPアドレスを割り当てる固定IP割当方式のDHCPで運用されている場合など、レイヤ3アドレスとレイヤ2アドレスとの対応関係が変更になることがほとんどない場合、閾値を1に設定しておけば、不正な疑いのあるパケットを速やかに検出することができ、端末のMACアドレスと無関係に任意のIPアドレスを割り当てる可変IP割当方式のDHCPで運用されているネットワークなど、レイヤ3アドレスとレイヤ2アドレスとの対応関係の変更が正常な状態でも或る頻度で出現する場合には、閾値を2以上の値に設定して判断の猶予を持たせれば、誤検出を防止することができ、閾値の設定により何れにも対処することが可能になる。
本発明によれば、MACアドレスなどのレイヤ2のアドレスを詐称する不正なアクセスをできるだけ誤検知せずに検知することができる。その理由は、同じレイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数を計数し、その計数値を予め定められた閾値と比較した結果により不正アクセスの検知を行うためである。なお、本発明は図8で説明したような不正アクセス例に限定されず、レイヤ2アドレスを詐称する任意の不正アクセスの検知に有効である。
<本発明を適用した第1の通信システム>
図1を参照すると、本発明を適用した第1の通信システムは、検知装置50および複数の端末51〜53が同一セグメント(同一サブネット)のネットワーク54に接続されている。検知装置50は、ネットワーク54に流れる全てのパケットを受信する機能と、各受信パケットのレイヤ3アドレスとレイヤ2アドレスとの組み合わせを検出し、同じレイヤ3アドレスに対して異なるレイヤ2アドレスが出現した回数をレイヤ3アドレスごとに計数し、その計数値を予め定められた閾値と比較することにより不正アクセスを検知する不正アクセス検出機能とを有する。ネットワーク54に流れる全てのパケットを受信する機能は、一般的なネットワークインタフェースカードではプロミスカスモードと呼ばれる設定で実現できる。不正アクセス検出機能の詳細は後述する。
図1を参照すると、本発明を適用した第1の通信システムは、検知装置50および複数の端末51〜53が同一セグメント(同一サブネット)のネットワーク54に接続されている。検知装置50は、ネットワーク54に流れる全てのパケットを受信する機能と、各受信パケットのレイヤ3アドレスとレイヤ2アドレスとの組み合わせを検出し、同じレイヤ3アドレスに対して異なるレイヤ2アドレスが出現した回数をレイヤ3アドレスごとに計数し、その計数値を予め定められた閾値と比較することにより不正アクセスを検知する不正アクセス検出機能とを有する。ネットワーク54に流れる全てのパケットを受信する機能は、一般的なネットワークインタフェースカードではプロミスカスモードと呼ばれる設定で実現できる。不正アクセス検出機能の詳細は後述する。
本例の通信システムにおいて、ウィルス感染や外部からの訪問者あるいは悪意のある内部の人間の操作などにより、端末53が攻撃者になり、図8で説明したようなレイヤ2の宛先アクセスを詐称する方法で端末51に不正なパケットを送りつけたとすると、ネットワーク54を流れるパケットのレイヤ2アドレスとレイヤ3アドレスの対応関係の変更頻度を監視している検知装置50の不正アクセス検出機能によって、そのような不正パケットが検出されることになる。
<本発明を適用した第2の通信システム>
図2を参照すると、本発明を適用した第2の通信システムは、L2通信装置60および複数の端末61〜63が同一セグメント(同一サブネット)のネットワーク64に接続されている。ネットワーク64に接続された全ての端末61〜63は、L2通信装置60を介して相互に接続されており、L2通信装置60は、端末61〜63から受信したパケットの宛先MACアドレスを参照して、適切な端末にL2レベルでパケットを振り分ける機能を有する。またL2通信装置60は、図1の検知装置50と同様な不正アクセス検出機能を有する。
図2を参照すると、本発明を適用した第2の通信システムは、L2通信装置60および複数の端末61〜63が同一セグメント(同一サブネット)のネットワーク64に接続されている。ネットワーク64に接続された全ての端末61〜63は、L2通信装置60を介して相互に接続されており、L2通信装置60は、端末61〜63から受信したパケットの宛先MACアドレスを参照して、適切な端末にL2レベルでパケットを振り分ける機能を有する。またL2通信装置60は、図1の検知装置50と同様な不正アクセス検出機能を有する。
本例の通信システムにおいて、ウィルス感染や外部からの訪問者あるいは悪意のある内部の人間の操作などにより、端末63が攻撃者になり、図8で説明したようなレイヤ2の宛先アクセスを詐称する方法で端末61に不正なパケットを送りつけたとすると、ネットワーク64を流れるパケットのレイヤ2アドレスとレイヤ3アドレスの対応関係の変更頻度を監視しているL2通信装置60の不正アクセス検出機能によって、そのような不正パケットが検出されることになる。
<本発明の第1の実施の形態>
図3を参照すると、本発明の不正アクセス検出装置の第1の実施の形態は、L2及びL3終端部100、アドレス検査部110、検査部120、通知処理部130、アドレステーブルインタフェース部200、変更頻度テーブルインタフェース部210、アドレステーブル300および変更頻度テーブル310で構成される。また検査部120は、問い合わせ処理部121および判定処理部122を有する。この第1の実施の形態にかかる不正アクセス検出装置は、図1の検知装置50および図2のL2通信装置60の何れにも適用可能である。
図3を参照すると、本発明の不正アクセス検出装置の第1の実施の形態は、L2及びL3終端部100、アドレス検査部110、検査部120、通知処理部130、アドレステーブルインタフェース部200、変更頻度テーブルインタフェース部210、アドレステーブル300および変更頻度テーブル310で構成される。また検査部120は、問い合わせ処理部121および判定処理部122を有する。この第1の実施の形態にかかる不正アクセス検出装置は、図1の検知装置50および図2のL2通信装置60の何れにも適用可能である。
アドレステーブル300は、図4に示されるように、IPアドレスとMACアドレスの対応関係を格納するテーブルであり、図示しない磁気ディスク等の記憶部に記憶されている。アドレステーブルインタフェース部200は、アドレステーブル300のインタフェースであり、検査部120がアドレステーブル300を参照、更新する際は、このアドレステーブルインタフェース部200を介して行う。
変更頻度テーブル310は、図5に示されるように、IPアドレスと、時刻と、そのIPアドレスに対応するMACアドレスがその時刻以降に変更された回数とを格納するテーブルであり、図示しない磁気ディスク等の記憶部に記憶されている。変更頻度テーブルインタフェース部210は、変更頻度テーブル310のインタフェースであり、検査部120が変更頻度テーブル310を参照、更新する際は、この変更頻度テーブルインタフェース部210を介して行う。
L2及びL3終端部100は、L2レベルでネットワーク上を流れる全パケットを捕捉し、各パケットの宛先IPアドレスと宛先MACアドレスを抽出する部分である。
アドレス検査部110は、L2及びL3終端部100で抽出されたパケットの宛先IPアドレスが検査対象であるか否かを確認し、宛先IPアドレスが検査対象であれば、前記抽出された宛先IPアドレスと宛先MACアドレスの組を検査部120に通知する部分である。
検査部120は、アドレステーブル300および変更頻度テーブル310を使用して、アドレス検査部110から通知された宛先IPアドレスと宛先MACアドレスの組について、同じ宛先IPアドレスに対して異なる宛先MACアドレスが出現した回数を計数し、その計数値を予め定められた閾値と比較することにより不正アクセスの有無を検知する部分である。具体的には、本実施の形態の場合、単位時間X(例えば、1時間、1日など)当たりの変更回数が予め設定された変更回数の閾値M以上になったかどうかで不正アクセスの有無を検知する。管理対象のネットワークが、同じMACアドレスの端末には前回と同じIPアドレスを割り当てる固定IP割当方式のDHCPで運用されている場合など、IPアドレスとMACアドレスとの対応関係が変更になることがほとんどない場合、閾値Mは1に設定される。これにより、不正な疑いのあるパケットを速やかに検出することができる。また、固定IP割当方式でなく、端末のMACアドレスと無関係に任意のIPアドレスを割り当てる可変IP割当方式のDHCPで運用されているネットワークを管理対象とする場合、閾値Mは2以上の値(例えば3)に設定して判断の猶予を持たせる。これにより、誤検出を防止することができる。
本実施の形態の場合、検査部120は、主たる処理を司る判定処理部122と、アドレステーブル300および変更頻度テーブル310の参照、更新に関する処理を司る問い合わせ処理部121とで構成されている。
通知処理部130は、検査部120の判定処理部122で不正アクセスと判定されたパケットの情報を含むログを作成し、図示しない記憶手段に記録する処理を行う。また、必要に応じて外部システムに警報を出したり、前記記録したログを送信する処理を行う。
図6は図3に示した実施の形態の処理例を示すフローチャートである。以下、図1〜図6を参照して、本実施の形態にかかるレイヤ2のプロトコル異常検知機能の動作を説明する。
図3の不正アクセス検出装置を組み込んだ検知装置50およびL2通信装置60は、パケットの受信待ち(ステップS100)の状態から処理を開始する。パケットが流入すると、L2及びL3終端部100が、L2及びL3終端処理を行う(ステップS101)。L2及びL3終端処理とは、Ethernet(登録商標)ヘッダから上位プロトコルがIPであることを確認して、宛先MACアドレスと宛先IPアドレス(IPv4もしくはIPv6)を抽出する作業である。
次にアドレス検査部110が、宛先IPアドレスが管理対象とするローカルアドレスであるか否かを判定し、また宛先MACアドレスがブロードキャストアドレスか否かを判定する(ステップS102)。アドレス検査部110には、予め設定された管理対象とするローカルアドレスの範囲が設定されており、そのローカルアドレスの範囲と宛先IPアドレスを比較し、ローカルアドレスの範囲に収まっていればローカルアドレスと判定する。宛先MACアドレスがブロードキャストアドレスでなく且つ宛先IPアドレスがローカルアドレスの場合は、ステップS103へ処理を進め、宛先MACアドレスがブロードキャストアドレスであるか、または宛先IPアドレスがローカルアドレスでない場合は、当該パケットに対する処理を終了し、パケット受信待ち(ステップS100)に戻る。ブロードキャストパケットを不正アクセスのチェックから除外する理由は、本実施の形態で想定している図8で説明したような不正アクセスは特定の端末だけにパケットを送信することで成立するためである。
ステップS103に進むと、アドレス検査部110は宛先MACアドレスを抽出し、検査部120へ処理を引き渡す。検査部120の判定処理部122は、問い合わせ処理部121を用いて、宛先IPアドレスに対応するMACアドレスを取得するように、アドレステーブルインタフェース部200へ通知し、それに応じてアドレステーブルインタフェース部200は、アドレステーブル300を宛先IPアドレスをキーに検索し、その宛先IPアドレスに対応するMACアドレスを検査部120に返却する(ステップS104)。なお、キーとなる宛先IPアドレスそのものがアドレステーブル300に登録されていなかった場合には、その旨がアドレステーブルインタフェース部200から検査部120に返される。
判定処理部122は、宛先IPアドレスそのものがアドレステーブル300に登録されていなかった場合(ステップS105でYES)、問い合わせ処理部121を用いて、今回の宛先IPアドレスと宛先MACアドレスの組をアドレステーブル300に登録するように、アドレステーブルインタフェース部200へ通知し、それに応じてアドレステーブルインタフェース部200は、アドレステーブル300に宛先IPアドレスと宛先MACアドレスの組を登録する(ステップS106)。引き続き判定処理部122は、問い合わせ処理部121を用いて、今回の宛先IPアドレスと変更回数0と現在時刻との組を変更頻度テーブル310に登録するように、変更頻度テーブルインタフェース部210へ通知し、それに応じて変更頻度テーブルインタフェース部210は、変更頻度テーブル310に宛先IPアドレスと変更回数0と現在時刻との組を登録する(ステップS107)。そして、今回のパケットに対する処理を終える。
他方、宛先IPアドレスに対応するMACアドレスがアドレステーブル300から検索された場合(ステップS105でNO)、判定処理部122は、この検索されたMACアドレスと今回のパケットの宛先MACアドレスとが一致するか否かを判定し(ステップS108)、一致している場合、異常がないものとみなし、今回のパケットに対する処理を終える。
双方のMACアドレスが不一致の場合(ステップS108でNO)、判定処理部122は、問い合わせ処理部121を用いて、宛先IPアドレスに対応してアドレステーブル300に記憶されているMACアドレスを今回の宛先MACアドレスに変更するように、アドレステーブルインタフェース部200へ通知し、それに応じてアドレステーブルインタフェース部200は、アドレステーブル300の該当するMACアドレスを更新する(ステップS109)。引き続き判定処理部122は、問い合わせ処理部121を用いて、今回の宛先IPアドレスに対応して変更頻度テーブル310に記憶されている変更回数をインクリメントするように、変更頻度テーブルインタフェース部210へ通知し、それに応じて変更頻度テーブルインタフェース部210は、変更頻度テーブル310の該当する変更回数を+1し、更新後の変更回数および時刻を判定処理部122に通知する(ステップS110)。例えば、判定処理部122から通知されたIPアドレスが192.168.0.1の場合、変更頻度テーブルインタフェース部210は、図5の変更頻度テーブル310の1行目の変更回数0を1に更新し、時刻2005/10/10 10:00:00と変更回数1とを判定処理部122に返却する。
判定処理部122は、返却された時刻から現在時刻までの経過時間Xを算出し(ステップS111)、この経過時間Xが予め設定された時間閾値T以内であれば(ステップS112でYES)、返却された変更回数を予め設定された変更閾値Mと比較する(ステップS113)。そして、変更回数が変更閾値Mより小さければ、異常がないものとみなし、今回のパケットに対する処理を終えてパケット受信待ち(ステップS100)に戻る。しかし、変更回数が変更閾値M以上であれば、時間閾値Tの時間内に予め設定された変更閾値M回にわたって異なるMACアドレスが出現したことになるため、異常とみなし、通知処理部130に当該パケットを通知する。通知処理部130は、通知されたパケット情報のログを作成して記録し、また必要に応じて外部システムへ警報およびログを送信する(ステップS114)。そして、パケット受信待ち(ステップS100)へ戻る。
他方、経過時間Xが時間閾値Tを超えていれば(ステップS112でNO)、判定処理部122は、問い合わせ処理部121を用いて、今回の宛先IPアドレスに対応して変更頻度テーブル310に登録されている変更回数を0に、時刻を現在時刻にそれぞれ更新するように、変更頻度テーブルインタフェース部210へ通知し、それに応じて変更頻度テーブルインタフェース部210は、変更頻度テーブル310の該当する変更回数を0にし、時刻を現在時刻に更新する(ステップS115)。そして、パケット受信待ち(ステップS100)へ戻る。
次に本実施の形態の効果を説明する。
本実施の形態によれば、ネットワークを流れるパケットの宛先IPアドレスと宛先MACアドレスとの組み合わせを検出し、同じ宛先IPアドレスに対して異なる宛先MACアドレスが出現した回数を計数し、この計数値を予め定められた閾値Mと比較することにより不正アクセスを検知するため、図8で説明したようなMACアドレスを詐称する不正な攻撃にかかる不正パケットを検知することが可能となる。
また本実施の形態によれば、管理対象のネットワークが、IPアドレスとMACアドレスとの対応関係が変更になることがほとんどない場合には閾値Mを1に設定しておくことで、不正な疑いのあるパケットを速やかに検出することができ、また、固定IP割当方式でないDHCPで運用されているネットワークを管理対象とする場合には、閾値Mを例えば3に設定しておくことで、誤検出を防止することができ、閾値Mの設定により何れのネットワークにも適用することが可能となる。
<本発明の第2の実施の形態>
図7を参照すると、本発明の不正アクセス検出装置の第2の実施の形態は、通知処理部130の代わりに通知規制処理部131を備えている点で、図3に示した第1の実施の形態の不正アクセス検出装置と相違する。この第2の実施の形態にかかる不正アクセス検出装置は、図2のL2通信装置60に適用される。
図7を参照すると、本発明の不正アクセス検出装置の第2の実施の形態は、通知処理部130の代わりに通知規制処理部131を備えている点で、図3に示した第1の実施の形態の不正アクセス検出装置と相違する。この第2の実施の形態にかかる不正アクセス検出装置は、図2のL2通信装置60に適用される。
通知規制処理部131は、通知処理部130と同様の機能に加えて、トラフィックの規制手段を備える。規制手段は、例えば不正パケットを廃棄する手段である。規制対象はレイヤ2に限られない。また通知規制処理部131は、検知した不正なパケットの情報の他に実施した規制の情報のログを記録する。規制の情報には、規制対象パケットに関する情報、規制開始時刻、規制終了時刻などがある。
本実施の形態の動作は、図6に示した第1の実施の形態とステップS114の処理が異なる。本実施の形態の場合、通知規制処理部131は、判定処理部122から通知を受けると、予め指定された規制手段を実行して不正パケットのトラフィックを規制する。具体的には、不正パケットのトラフィックに対して一定時間強制的に廃棄を行う。例えば、不正と判定されたパケットの宛先MACアドレスと同じ宛先MACアドレスを持つパケットおよび不正と判定されたパケットの発信元MACアドレスと同じ発信元MACアドレスを持つパケットの何れか一方または双方を一定時間にわたって廃棄する。
本実施の形態によれば、第1の実施の形態と同様の効果が得られると共に、不正パケットの検知に連動して不正トラフィックに対する規制を実施するため、不正アクセスによる攻撃を未然に防止することが可能となる。なお、第1の実施の形態においても、攻撃者となる端末53と被害者となる端末51との間に検知装置50が介在するネットワーク構成の場合、検知装置50においても不正パケットの検知に連動して不正トラフィックの規制を実施することが可能である。
以上本発明の実施の形態について説明したが、本発明は以上の例に限定されず、その他各種の付加変更が可能である。例えば以下のような実施の形態も考えられる。
前述した第1および第2の実施の形態では、同じ宛先IPアドレスに対する宛先MACアドレスの単位時間X当たりの変更回数が予め設定された変更回数の閾値M以上になったかどうかで不正アクセスの有無を検知したが、監視開始時点からの変更回数の積算値を閾値と比較するようにしても良い。これは、例えば図6のステップS112における時間閾値Tを無限大に設定することで実現可能である。また、変更頻度テーブル310内から時刻の情報を削除し、図6のステップS112、S115を削除しても実現できる。
前述した図1の検知装置50および図2のL2通信装置60は、本発明の不正アクセス検知機能に加えて、従来のIDSの機能を兼ね備えるものであっても良い。
前述した第1および第2の実施の形態では、レイヤ2のプロトコルとしてEthernet(登録商標)、レイヤ3のプロトコルとしてIPを使用したが、レイヤ3の宛先アドレスとレイヤ2の宛先アドレスを関連付ける仕組みであれば本発明は適用可能であり、レイヤ2のプロトコルはEthernet(登録商標)に限定されず、またレイヤ3のプロトコルはIPに限定されない。
また本発明の不正アクセス検出装置は、その有する機能をハードウェア的に実現することは勿論、コンピュータとプログラムとで実現することができる。プログラムは、磁気ディスクや半導体メモリ等のコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータを前述した各実施の形態における不正アクセス検出装置として機能させ、図6に示したような処理を実行させる。
50…検知装置
51、52、53…端末
54…ネットワーク
60…L2通信装置
61、62、63…端末
64…ネットワーク
100…L2及びL3終端部
110…アドレス検査部
120…検査部
121…問い合わせ処理部
122…判定処理部
130…通知処理部
131…通知規制処理部
200…アドレステーブルインタフェース部
210…変更頻度テーブルインタフェース部
300…アドレステーブル
310…変更頻度テーブル
401…検知装置
402、403…端末
51、52、53…端末
54…ネットワーク
60…L2通信装置
61、62、63…端末
64…ネットワーク
100…L2及びL3終端部
110…アドレス検査部
120…検査部
121…問い合わせ処理部
122…判定処理部
130…通知処理部
131…通知規制処理部
200…アドレステーブルインタフェース部
210…変更頻度テーブルインタフェース部
300…アドレステーブル
310…変更頻度テーブル
401…検知装置
402、403…端末
Claims (8)
- ネットワークを流れるパケットのレイヤ3アドレスとレイヤ2アドレスの組み合わせを検出し、同じレイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数を計数し、計数値を予め定められた閾値と比較することにより不正アクセスを検知する不正アクセス検知装置。
- 既に検出されたレイヤ3アドレスとレイヤ2アドレスの対応関係を記憶するアドレステーブルと、ネットワークを流れるパケットから検出したレイヤ3アドレスに対応して前記アドレステーブルに記憶されているレイヤ2アドレスと前記パケットから検出したレイヤ2アドレスを比較し、不一致の場合にそのレイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数を更新すると共に、今回検出されたレイヤ2アドレスで前記アドレステーブルを更新する検査部とを備えることを特徴とする請求項1記載の不正アクセス検知装置。
- レイヤ3アドレスと該レイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数である変更回数との対応関係を記憶する変更頻度テーブルを備えることを特徴とする請求項2記載の不正アクセス検知装置。
- 前記検査部は、ネットワークを流れるパケットから検出したレイヤ3アドレスが前記アドレステーブルに記憶されていない場合、今回検出したレイヤ3アドレスとレイヤ2アドレスの対応関係を前記アドレステーブルに追加すると共に、今回検出したレイヤ3アドレスと変更回数の初期値との対応関係を前記変更頻度テーブルに追加することを特徴とする請求項3記載の不正アクセス検知装置。
- ネットワークに接続された検知装置またはレイヤ2通信装置において、前記ネットワークを流れるパケットのレイヤ3アドレスとレイヤ2アドレスの組み合わせを検出し、同じレイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数を計数し、計数値を予め定められた閾値と比較することにより不正アクセスを検知する不正アクセス検知方法。
- 既に検出されたレイヤ3アドレスとレイヤ2アドレスの対応関係を記憶するアドレステーブルと、レイヤ3アドレスと該レイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数である変更回数との対応関係を記憶する変更頻度テーブルとを備え、ネットワークに接続された検知装置またはレイヤ2通信装置における不正アクセス検知方法であって、ネットワークを流れるパケットのレイヤ3アドレスとレイヤ2アドレスの組み合わせを検出し、前記パケットから検出されたレイヤ3アドレスに対応して前記アドレステーブルに記憶されているレイヤ2アドレスと前記パケットから検出されたレイヤ2アドレスを比較し、不一致の場合にそのレイヤ3アドレスに対応して前記変更頻度テーブルに記憶されている変更回数を更新し、更新後の変更回数を予め定められた閾値と比較することを特徴とする不正アクセス検知方法。
- 既に検出されたレイヤ3アドレスとレイヤ2アドレスの対応関係を記憶するアドレステーブルと、レイヤ3アドレスと該レイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数である変更回数との対応関係を記憶する変更頻度テーブルとを記憶する記憶部を有するコンピュータを、ネットワークを流れるパケットのレイヤ3アドレスとレイヤ2アドレスの組み合わせを検出するアドレス検出手段、前記パケットから検出されたレイヤ3アドレスに対応して前記アドレステーブルに記憶されているレイヤ2アドレスと前記パケットから検出されたレイヤ2アドレスを比較し、不一致の場合にそのレイヤ3アドレスに対応して前記変更頻度テーブルに記憶されている変更回数を更新し、更新後の変更回数を予め定められた閾値と比較する検査手段、として機能させるプログラム。
- 前記検査手段は、ネットワークを流れるパケットから検出したレイヤ3アドレスが前記アドレステーブルに記憶されていない場合、今回検出したレイヤ3アドレスとレイヤ2アドレスの対応関係を前記アドレステーブルに追加すると共に、今回検出したレイヤ3アドレスと変更回数の初期値との対応関係を前記変更頻度テーブルに追加することを特徴とする請求項7記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005343164A JP4661554B2 (ja) | 2005-11-29 | 2005-11-29 | 不正アクセス検知方法および装置ならびにプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005343164A JP4661554B2 (ja) | 2005-11-29 | 2005-11-29 | 不正アクセス検知方法および装置ならびにプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007150778A true JP2007150778A (ja) | 2007-06-14 |
| JP4661554B2 JP4661554B2 (ja) | 2011-03-30 |
Family
ID=38211641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005343164A Expired - Fee Related JP4661554B2 (ja) | 2005-11-29 | 2005-11-29 | 不正アクセス検知方法および装置ならびにプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4661554B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014138405A (ja) * | 2013-01-18 | 2014-07-28 | Kddi Corp | 通信装置 |
| CN107911229A (zh) * | 2017-10-16 | 2018-04-13 | 浙江大华技术股份有限公司 | 运行状态改变的提醒方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08186569A (ja) * | 1994-12-27 | 1996-07-16 | Toshiba Corp | アドレス管理装置およびアドレス管理方法 |
| JP2005056243A (ja) * | 2003-08-06 | 2005-03-03 | Seiko Epson Corp | ワームの感染防止システム |
| WO2005036831A1 (ja) * | 2003-10-07 | 2005-04-21 | Fujitsu Limited | フレーム中継装置 |
-
2005
- 2005-11-29 JP JP2005343164A patent/JP4661554B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08186569A (ja) * | 1994-12-27 | 1996-07-16 | Toshiba Corp | アドレス管理装置およびアドレス管理方法 |
| JP2005056243A (ja) * | 2003-08-06 | 2005-03-03 | Seiko Epson Corp | ワームの感染防止システム |
| WO2005036831A1 (ja) * | 2003-10-07 | 2005-04-21 | Fujitsu Limited | フレーム中継装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014138405A (ja) * | 2013-01-18 | 2014-07-28 | Kddi Corp | 通信装置 |
| CN107911229A (zh) * | 2017-10-16 | 2018-04-13 | 浙江大华技术股份有限公司 | 运行状态改变的提醒方法、装置、电子设备及存储介质 |
| CN107911229B (zh) * | 2017-10-16 | 2020-12-08 | 浙江大华技术股份有限公司 | 运行状态改变的提醒方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4661554B2 (ja) | 2011-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4545647B2 (ja) | 攻撃検知・防御システム | |
| CA2479504C (en) | Method and system for reducing the false alarm rate of network intrusion detection systems | |
| CN111010409B (zh) | 加密攻击网络流量检测方法 | |
| US20030110393A1 (en) | Intrusion detection method and signature table | |
| US20070214504A1 (en) | Method And System For Network Intrusion Detection, Related Network And Computer Program Product | |
| KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
| US20030196123A1 (en) | Method and system for analyzing and addressing alarms from network intrusion detection systems | |
| CN102487339A (zh) | 一种网络设备攻击防范方法及装置 | |
| JP2008177714A (ja) | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 | |
| EP2009864A1 (en) | Method and apparatus for attack prevention | |
| US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
| KR20080026122A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
| KR20040109985A (ko) | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 | |
| US20050111447A1 (en) | Technique for tracing source addresses of packets | |
| JP4661554B2 (ja) | 不正アクセス検知方法および装置ならびにプログラム | |
| JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| US20170034166A1 (en) | Network management apparatus, network management method, and recording medium | |
| KR100613904B1 (ko) | 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법 | |
| KR20140126651A (ko) | 내부망공격 탐지장치 및 방법 | |
| AU2003243253B2 (en) | Method and system for analyzing and addressing alarms from network intrusion detection systems | |
| US20050147037A1 (en) | Scan detection | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
| JP2004248198A (ja) | DoS攻撃防御方法及び装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081016 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090721 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20090721 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100813 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100907 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101104 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101207 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101220 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4661554 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140114 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |