JP2007259223A - ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム - Google Patents
ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム Download PDFInfo
- Publication number
- JP2007259223A JP2007259223A JP2006082721A JP2006082721A JP2007259223A JP 2007259223 A JP2007259223 A JP 2007259223A JP 2006082721 A JP2006082721 A JP 2006082721A JP 2006082721 A JP2006082721 A JP 2006082721A JP 2007259223 A JP2007259223 A JP 2007259223A
- Authority
- JP
- Japan
- Prior art keywords
- control unit
- network
- packet
- local control
- unauthorized access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】ネットワークにおける不正アクセスによる支障を最小限に抑え、サービス業務の中断を少なくする不正アクセス防御システム、方法およびプログラムを提供する。
【解決手段】ネットワーク内に分散配置されたルータR1、R2間に設けられ、通過するパケットの情報からパケットが不正アクセスのためのウィルスパケットであると判定するローカル制御部LCと、ローカル制御部LCに通信可能に接続され、少なくとも一つのローカル制御部LCからウィルスパケットの情報を受信し、受信した情報を元に所定のローカル制御部LCにルータR1、R2間の通信回線を遮断させるセンタ制御部CCとを備える。
【選択図】図1
【解決手段】ネットワーク内に分散配置されたルータR1、R2間に設けられ、通過するパケットの情報からパケットが不正アクセスのためのウィルスパケットであると判定するローカル制御部LCと、ローカル制御部LCに通信可能に接続され、少なくとも一つのローカル制御部LCからウィルスパケットの情報を受信し、受信した情報を元に所定のローカル制御部LCにルータR1、R2間の通信回線を遮断させるセンタ制御部CCとを備える。
【選択図】図1
Description
本発明は、ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラムに関し、特にIP(Internet Protocol)ネットワークにおけるDOSA(Denial of Service Attacks:サービス拒否攻撃)やDDOSA(Distributed Denial of Service Attacks:分散DOS攻撃)を目的とした不正アクセスに対する防御システム、方法およびそのためのプログラムに関する。
IPネットワークに接続されたサーバや端末を含むコンピュータ間で悪意をもったコンピュータから他のコンピュータ、主としてサーバに不正アクセスし、例えば大量の無意味なサービス接続要求を送りサーバの負荷を高めサーバを過負荷でダウンさせたり、サーバによるユーザ端末へのサービスを不能にしたりする攻撃が行われることがある。
この攻撃には単独のDOS攻撃元コンピュータが標的コンピュータに対して不正アクセスするもの(DOSA)と、セキュリティが脆弱なサイトにおける複数のコンピュータにウィルスを忍び込ませ、これらコンピュータをDOS攻撃元として標的コンピュータに対し不正アクセスするもの(DDDOS)とがある。
図8は従来技術によるIPネットワーク内でDOS攻撃が行われたときのウィルスメールの伝送経路を示す図である。図8において、一点鎖線で分割された左側および右上側は本店ネットワーク80、A支店ネットワーク81、B支店ネットワーク82、C支店ネットワーク83等の各セグメントからなるイントラネットを示し、右下側はインターネット85を示す。各ネットワーク間の経路にはルータ84−1、84−2が要所に分散配置されている。図8および9において、R1はイントラネット側のルータを、R2はインターネット側のルータを、Sはサーバを、Tは端末をそれぞれ示す。
インターネット85に接続された端末85−1に、送信先のサーバや端末をウィルスに感染させようとする電子メール(以下、単にメールと記す)が忍び込むと、端末85−1はウィルスに感染し発信元として多数のウィルスメールを連続的にB支店ネットワーク82のサーバ82−1やインターネット85の端末85−2に送信する。
一方、ウィルスを含まない正常なメールが端末85−2からサーバ83−1に送信されている。
一方、ウィルスを含まない正常なメールが端末85−2からサーバ83−1に送信されている。
ウィルス感染を防止すべくDOS攻撃に対し種々の対策が取られている。一般的には、感染端末もしくはその端末が属するセグメントへのウィルスメールの侵入経路を遮断する対策が取られている。
特許文献1はこのような対策を講じた発明を開示している。
特許文献1はこのような対策を講じた発明を開示している。
図9は従来技術によるIPネットワーク内でDOS攻撃が行われたときにウィルスメールの侵入経路を遮断する例を示す図である。図9に示すネットワーク構成おいて、図8と異なるのはIDS90が配置された点にある。IDS(Intrusion Detection System:侵入検知システム)90は、特許文献1に記載のボーダルータ(図1の51〜56参照)内の分散型サービス拒絶攻撃検出防御部(図2の515参照)に相当し、IDS90は感染端末85−1もしくは感染端末85−1が属するインターネット(セグメント)85からIPネットワーク内のその他の端末もしくは本店および支店ネットワーク(セグメント)80〜83への伝送経路91を遮断するものである。
ここで、IDSとは、ネットワークを監視し、ネットワークへのウィルスの侵入を検知して管理者に通知するシステムである。IDSには、不正アクセスでよく用いられるウィルスをパターン化して記録しておき、ネットワーク上を流れるパケットを分析し、分析したパケットのパターンが記録したパターンと一致したとき、流れたパケットはウィルスパケットであると判定し、ウィルスパケットの侵入経路を遮断するものが知られている。
特開2003−289337号公報(明細書の[請求項1]〜[請求項17]、段落番号[0003]、[0004]、[0008]、[0009]、[0031]〜[0036]、[0044]〜[0047]、図面の図1〜図6、および要約書参照)。
上述した特許文献1に記載の分散型サービス拒絶攻撃検出防御部は、図9に示すIDS90同様、侵入したウィルスを検出してインターネットからイントラネットへのウィルスの侵入経路を遮断する。しかしながら、この遮断により正常なメールの伝送経路も遮断されることになり、例えば図9に示すように、遮断によりウィルス感染していない正常なメールが端末85−2からサーバ83−1に送信されなくなったり、サーバ83−1から端末85−2へのサービス業務に支障をきたしたりする問題が発生する。
本発明は、上記問題を解決するためになされたものであり、ネットワークにおける不正アクセスによる支障、例えばサーバからユーザへのサービス業務が不能となる支障を最小限に抑えるための防御システム、方法およびプログラムを提供することを目的とする。
ウィルスメールは、あるアドレスを元にして自動生成された別のアドレスを宛先とすることが多いため、感染端末から発信されるウィルスメールの送信先は特定のセグメント、例えば図8および図9に示すB支店ネットワーク82に集中する傾向にある。
本発明は、この傾向を利用することで必要以上にメールを遮断しないように構成するものである。
本発明は、この傾向を利用することで必要以上にメールを遮断しないように構成するものである。
上記目的を達成する本発明によるネットワークにおける不正アクセス防御システムは、ネットワークにおける不正アクセス防御システムにおいて、ネットワーク内に分散配置されたルータ間に設けられ、通過するパケットの情報から該パケットが不正アクセスのためのウィルスパケットであると判定するローカル制御部と、前記ローカル制御部に通信可能に接続され、少なくとも一つの前記ローカル制御部から前記ウィルスパケットの情報を受信し、受信した情報を元に所定のローカル制御部に前記ルータ間の通信回線を遮断させるセンタ制御部と、を備えたことを特徴とする。
上記ネットワークにおける不正アクセス防御システムにおいて、前記所定のローカル制御部は複数のローカル制御部のうち前記ウィルスパケットの送信先に最も近い。
前記センタ制御部は前記ウィルスパケットの情報のうちTTL値に基づいて前記所定のローカル制御部を特定する。
前記ローカル制御部は単位時間当たりに通過した同一送信先パケットの数のカウント値が閾値以上のときウィルスパケットであると判定する。
前記センタ制御部は前記ウィルスパケットの情報のうちTTL値に基づいて前記所定のローカル制御部を特定する。
前記ローカル制御部は単位時間当たりに通過した同一送信先パケットの数のカウント値が閾値以上のときウィルスパケットであると判定する。
上記目的を達成する本発明によるネットワークにおける不正アクセス防御方法は、ネットワークにおける不正アクセス防御方法において、ネットワーク内に分散配置されたルータ間に設けられたローカル制御部に通信可能に接続されたセンタ制御部は、少なくとも一つの前記ローカル制御部から、通過するパケットが不正アクセスのためのウィルスパケットであるという通知および該ウィルスパケットの情報を受信するステップと、受信した情報を元に所定のローカル制御部に前記ルータ間の通信回線を遮断させるステップと、を備えたことを特徴とする。
上記目的を達成する本発明によるネットワークにおける不正アクセス防御方法を実行するプログラムは、ネットワークにおける不正アクセス防御のためのプログラムであって、ネットワーク内に分散配置されたルータ間に設けられたローカル制御部に通信可能に接続されたセンタ制御部内のコンピュータに、少なくとも一つの前記ローカル制御部から、通過するパケットが不正アクセスのためのウィルスパケットであるという通知および該ウィルスパケットの情報を受信するステップと、受信した情報を元に所定のローカル制御部に前記ルータ間の通信回線を遮断させるステップと、を実行させることを特徴とする。
本発明の実施形態に係るIPネットワークにおける不正アクセス防御システム、方法およびプログラムは、ネットワークにおける不正アクセスによる支障、例えばサーバからユーザへのサービス業務が不能となる支障を最小限に抑えることができる。
図1は本発明の一実施形態に係るIPネットワークにおける不正アクセス防御システムを示す図である。以下の図面において同一のものは同一参照番号を付して示す。図1に示すIPネットワークにおいて、一点鎖線で分割された左側および右上側は本店ネットワーク10、A支店ネットワーク11、B支店ネットワーク12、C支店ネットワーク13等の各セグメントからなるイントラネットを示し、右下側はインターネット15を示す。各ネットワーク間の経路にはルータ(R1)14−1、ルータ(R2)14−2が要所に分散配置されている。図1および5において、R1はイントラネット側のルータを、R2はインターネット側のルータを、Sはサーバを、Tは端末を、CCはセンタ制御部を、LCはローカル制御部をそれぞれ示す。
本店ネットワーク10にはセンタ制御部(CC)16が配置され、本店ネットワーク10近傍のルータ14−1とインターネット15間および本店ネットワーク10の近傍のルータ14−1とA、BおよびC支店ネットワーク11〜13間にはそれぞれローカル制御部(LC)17−10〜17−13が配置されている。センタ制御部16はイントラネットワーク内であればどこに配置されてもよい。
ローカル制御部17−10〜17−13はセンタ制御部16と通信可能に接続され、一つまたは複数のローカル制御部17−10〜17−13が不正アクセスを検知すると検知情報がセンタ制御部16に通知される。センタ制御部16は遮断すべき経路にあるローカル制御部17−10〜17−13の何れか1つに該経路を遮断させることで不正アクセスにより生じる支障を最小限に抑えるべく、不正アクセスに起因するウィルスの感染を阻止する。
具体的には、インターネット15に接続された端末15−1がウィルスに感染すると、後述するように、ウィルスの攻撃対象となっているネットワーク12に近いローカル制御部17−12が端末15−1が感染したことを検知し、センタ制御部16に通知し、センタ制御部16と複数のローカル制御部17−10〜17−13とが連携して、ウィルスメールと判断されるパケットについて、ウィルス感染端末である端末15−1からB支店ネットワーク12のウィルスの攻撃先であるサーバ12−1へ送信されないようにする。このようにすることで、例えばウィルス感染していない正常なメールがインターネット15内の端末15−2からC支店ネットワーク13のサーバ13−1に送信できる。
上述したように、図1に示す本発明の一実施形態に係るIPネットワーク内でDOS攻撃が行われたとき、センタ制御部16とローカル制御部17−10〜17−13との連携により、DOS攻撃による支障が最小限となるようにウィルスメールの通過経路は遮断される。
図2は図1に示すローカル制御部内の通常時の回線経路を示す図である。ローカル制御部27は、ルータ241とルータ242との間の通信回線を接続するIPパケット送受信部271とIPパケットをモニタリングする機能を有する不正アクセス判定部272とを有する。
ルータ241から出力されルータ242に入力するパケットは、IPパケット送受信部271のネットワークポートAに入力され、プローブポートAから出力され、不正アクセス判定部272のプローブポートスイッチAに入力され、同272のプローブポートスイッチBから出力され、IPパケット送受信部271のプローブポートBに入力され、同271のネットワークポートBからルータ242に入力される。
一方、ルータ242から出力されルータ241に入力するパケットは、IPパケット送受信部271のネットワークポートBに入力され、プローブポートBから出力され、不正アクセス判定部272のプローブポートスイッチBに入力され、同272のプローブポートスイッチAから出力され、IPパケット送受信部271のプローブポートAに入力され、同271のネットワークポートAからルータ241に入力される。
IPパケット送受信部271のI/O端子は不正アクセス判定部272のPB端子に接続され、互いに通信し情報交換している。不正アクセス判定部272はセンタ制御部と通信し、IPパケット送受信部271を通過するパケットの情報を通知し、センタ制御部からの指令にしたがってIPパケット送受信部271からIPパケット送受信部271への回線を遮断する。
図3はローカル制御部による処理ルーチンのフローチャートである。本処理ルーチンは図2に示すローカル制御部27の各不正アクセス判定部272で所定の周期で繰り返し実行される。
まず、ステップ301で、ローカル制御部27を通過するIPパケットを取得する。
ステップ302で、ステップ301で取得したIPパケットの情報、すなわち該IPパケットの送信元アドレス、送信先アドレス、送信先のポート番号およびTTL値を記憶する。
ここで、TTL(Time To Live)値とは、パケットの有効期間を表す値であり、ルータなどを1回経由する度に値が1減少することで有効期間を表している。TTL値が0になったパケットはその時点で廃棄され廃棄通知が送信元に届くようになっている。
まず、ステップ301で、ローカル制御部27を通過するIPパケットを取得する。
ステップ302で、ステップ301で取得したIPパケットの情報、すなわち該IPパケットの送信元アドレス、送信先アドレス、送信先のポート番号およびTTL値を記憶する。
ここで、TTL(Time To Live)値とは、パケットの有効期間を表す値であり、ルータなどを1回経由する度に値が1減少することで有効期間を表している。TTL値が0になったパケットはその時点で廃棄され廃棄通知が送信元に届くようになっている。
ステップ303で、単位時間当たりに通過した同一宛先(送信先)のIPパケットの数をカウントする。
ステップ304で、単位時間当たりに通過した同一宛先IPパケットの数のカウント値が所定の閾値以上になったか判定し、その判定結果がYESのとき(すなわち、同一の宛先へ向けて異常に多くのパケットが送信されていて、ウィルスによる攻撃が行われていると推定されるとき)はステップ305に進み、その判定結果がNOのときはステップ301に戻り、ステップ301〜304を繰り返し実行する。
ステップ305で、ステップ302で記憶した不正アクセスしている当該IPパケットの情報を図1を用いて説明したセンタ制御部16に通知し、本ルーチンを終了し、ステップ301に戻り、ステップ301〜305を繰り返し実行する。
ステップ304で、単位時間当たりに通過した同一宛先IPパケットの数のカウント値が所定の閾値以上になったか判定し、その判定結果がYESのとき(すなわち、同一の宛先へ向けて異常に多くのパケットが送信されていて、ウィルスによる攻撃が行われていると推定されるとき)はステップ305に進み、その判定結果がNOのときはステップ301に戻り、ステップ301〜304を繰り返し実行する。
ステップ305で、ステップ302で記憶した不正アクセスしている当該IPパケットの情報を図1を用いて説明したセンタ制御部16に通知し、本ルーチンを終了し、ステップ301に戻り、ステップ301〜305を繰り返し実行する。
図4はセンタ制御部による処理ルーチンのフローチャートである。本処理ルーチンは図1に示すローカル制御部17−10〜17−13の内何れか一つのローカル制御部から不正アクセスが検知され、不正アクセスしているIPパケットの情報が通知された後に開始される。
まず、ステップ401で、不正アクセスの検出を通知したローカル制御部以外のローカル制御部から不正アクセス検知と不正アクセス中のIPパケットの情報との通知を一定期間待つ。ここで、上記通知を待つのは、不正アクセス検知が複数のローカル制御部からセンタ制御部に通知される場合もあるので複数の通知情報から攻撃対象に最も近いローカル制御部を判定するためである。
ステップ402で、一つのローカル制御部からのみ不正アクセスが通知された場合は当該ローカル制御部を攻撃対象に最も近いローカル制御部であると判定し、また、不正アクセスが複数のローカル制御部から通知された場合は不正アクセスを通知した複数のローカル制御部を通過したIPパケットの情報の一つである各TTL値を比較し、TTL値がもっとも小さいIPパケットが通過したローカル制御部を攻撃対象である送信先に最も近いローカル制御部であると判定し、ステップ403に進む。
ステップ403で、センタ制御部からステップ402で判定したローカル制御部に遮断信号を送信し、本ルーチンを終了し、ステップ401に戻り、ステップ401〜403を繰り返し実行する。
ステップ403で、センタ制御部からステップ402で判定したローカル制御部に遮断信号を送信し、本ルーチンを終了し、ステップ401に戻り、ステップ401〜403を繰り返し実行する。
図5は図1に示すIPネットワーク内でDOS攻撃が行われたときにウィルスメールの侵入経路を遮断する例を示す図である。図5に示すセンタ制御部16は、攻撃対象であるネットワークに最も近いローカル制御部であるローカル制御部17−12に下記の1〜3の情報が書かれたIPパケットを通過させないようにする遮断命令を送信する。
1:IPパケットの送信元アドレス
2:IPパケットの送信先アドレス
3:IPパケットの送信先のポート番号
1:IPパケットの送信元アドレス
2:IPパケットの送信先アドレス
3:IPパケットの送信先のポート番号
ローカル制御部17−12は上記遮断命令を受け、B支店ネットワーク12と他のネットワークとの間の通信回線上を通過するパケットのうち、上記命令に該当するパケットを遮断する。したがって、B支店ネットワーク12内の攻撃対象のサーバ12−1はウィルス感染している端末15−1からウィルスパケットを受信することが無くなる。また、ローカル制御部17−12は、通過する全てのパケットを遮断するのではなく、遮断命令に示されるパケットのみを選択的に遮断するため、それ以外のパケットについては、通常通り通信が可能なままとなり、ネットワークを介して行われている業務へのネットワーク遮断による影響を小さく抑えることが可能になる。
図6は図1に示すローカル制御部内のDOS攻撃検出時の回線経路を示す図である。ローカル制御部27の構成は、図2に示すものと同じであるので説明は省略する。ローカル制御部27はセンタ制御部16から上記遮断命令を受けると、図示のように、ローカル制御部27により通信可能に接続される2つのルータ241と242は、互いにIPパケットを送信してもローカル制御部27のIPパケット送受信部271で受信はされるものの不正アクセス判定部272で遮断され、互いに該IPパケットを受信することはない。
図7は図5に示すB支店ネットワーク12内のサーバ12−1が不正アクセス検出時にユーザに提供する各種サービスを説明する図である。B支店ネットワーク12内のサーバ12−1の記憶装置70内にはFTP(File Transfer Protocol)格納領域701、SMTP(Simple Mail Transfer Protocol)格納領域702およびWWW(World Wide Web)格納領域703等がある。
FTP格納領域701には、FTPプロトコルに準拠した、IPネットワーク内でファイル転送されたパケットの宛先情報およびポート番号21が書かれたヘッダとデータとエラー検出コードとが格納されている。
SMTP格納領域702には、SMTPプロトコルに準拠した、IPネットワーク内で電子メールとして転送されたパケットの宛先情報およびポート番号25が書かれたヘッダとデータとエラー検出コードとが格納されている。
WWW格納領域703には、HTTPプロトコルに準拠した、IPネットワーク内でウェブページとして転送されたパケットの宛先情報およびポート番号80が書かれたヘッダとデータとエラー検出コードとが格納されている。
SMTP格納領域702には、SMTPプロトコルに準拠した、IPネットワーク内で電子メールとして転送されたパケットの宛先情報およびポート番号25が書かれたヘッダとデータとエラー検出コードとが格納されている。
WWW格納領域703には、HTTPプロトコルに準拠した、IPネットワーク内でウェブページとして転送されたパケットの宛先情報およびポート番号80が書かれたヘッダとデータとエラー検出コードとが格納されている。
サーバ12−1はユーザにファイル通信サービス、電子メール通信サービスおよびウェブページ通信サービスを提供する。
サーバ12−1へLANカード705を介して転送されるパケットのヘッダに書かれたポート番号からパケットがFTP用のものか、SMTP用のものかあるいはWWW用のものかを識別できる。
サーバ12−1へLANカード705を介して転送されるパケットのヘッダに書かれたポート番号からパケットがFTP用のものか、SMTP用のものかあるいはWWW用のものかを識別できる。
しかるに、ローカル制御部17−12は通過するパケットのヘッダに書かれたポート番号からパケットがFTP用のものか、SMTP用のものかあるいはWWW用のものかを識別できる。また、センタ制御部16は同様に不正アクセスを検出したローカル制御部17−12から通知された情報、すなわちローカル制御部17−12を通過したウィルスパケットのヘッダに書かれたポート番号を受け、通過したウィルスパケットがFTP用のものか、SMTP用のものかあるいはWWW用のものかを識別できる。センタ制御部16はローカル制御部17−12を通過したウィルスパケットのサービスの種類を判定し、例えばウィルスパケットがSMTP用であれば、電子メール転送時にのみローカル制御部17−12を遮断するように命令し、ローカル制御部17−12はこれを受けて電子メール転送用のパケットのみ転送するように構成することもできる。
このように、センタ制御部16は、パケットの転送形態、例えばFTP、SMTPおよびWWW用の転送、に応じてローカル制御部17−10〜17−13の遮断を個別に制御できる。
以上、本発明の実施形態ではIPネットワークへの適用例を説明したが、本発明はIPネットワーク以外のネットワーク、例えば単なるLANへ適用することもできる。
(付記1)
ネットワークにおける不正アクセス防御システムにおいて、
ネットワーク内に分散配置されたルータ間に設けられ、通過するパケットの情報から該パケットが不正アクセスのためのウィルスパケットであると判定するローカル制御部と、
前記ローカル制御部に通信可能に接続され、少なくとも一つの前記ローカル制御部から前記ウィルスパケットの情報を受信し、受信した情報を元に所定のローカル制御部に前記ルータ間の通信回線を遮断させるセンタ制御部と、
を備えたことを特徴とするネットワークにおける不正アクセス防御システム。(1)
ネットワークにおける不正アクセス防御システムにおいて、
ネットワーク内に分散配置されたルータ間に設けられ、通過するパケットの情報から該パケットが不正アクセスのためのウィルスパケットであると判定するローカル制御部と、
前記ローカル制御部に通信可能に接続され、少なくとも一つの前記ローカル制御部から前記ウィルスパケットの情報を受信し、受信した情報を元に所定のローカル制御部に前記ルータ間の通信回線を遮断させるセンタ制御部と、
を備えたことを特徴とするネットワークにおける不正アクセス防御システム。(1)
(付記2)
前記所定のローカル制御部は複数のローカル制御部のうち前記ウィルスパケットの送信先に最も近いローカル制御部であることを特徴とする付記1に記載のネットワークにおける不正アクセス防御システム。(2)
(付記3)
前記センタ制御部は前記ウィルスパケットの情報のうちTTL値に基づいて前記所定のローカル制御部を特定することを特徴とする付記1または2に記載のネットワークにおける不正アクセス防御システム。(3)
前記所定のローカル制御部は複数のローカル制御部のうち前記ウィルスパケットの送信先に最も近いローカル制御部であることを特徴とする付記1に記載のネットワークにおける不正アクセス防御システム。(2)
(付記3)
前記センタ制御部は前記ウィルスパケットの情報のうちTTL値に基づいて前記所定のローカル制御部を特定することを特徴とする付記1または2に記載のネットワークにおける不正アクセス防御システム。(3)
(付記4)
前記ローカル制御部は単位時間当たりに通過した同一送信先パケットの数のカウント値が閾値以上のときウィルスパケットであると判定する、
付記1乃至3の何れか一つに記載の不正アクセス防御システム。
(付記5)
前記ローカル制御部は前記ウィルスパケットのヘッダに書かれたポート番号から該ウィルスパケットがファイル転送用か電子メール転送用かまたはウェブページ転送用かを識別し、該識別した転送時にのみ前記ルータ間の通信回線を遮断する、
付記1乃至4の何れか一つに記載の不正アクセス防御システム。
前記ローカル制御部は単位時間当たりに通過した同一送信先パケットの数のカウント値が閾値以上のときウィルスパケットであると判定する、
付記1乃至3の何れか一つに記載の不正アクセス防御システム。
(付記5)
前記ローカル制御部は前記ウィルスパケットのヘッダに書かれたポート番号から該ウィルスパケットがファイル転送用か電子メール転送用かまたはウェブページ転送用かを識別し、該識別した転送時にのみ前記ルータ間の通信回線を遮断する、
付記1乃至4の何れか一つに記載の不正アクセス防御システム。
(付記6)
ネットワークにおける不正アクセス防御方法において、
ネットワーク内に分散配置されたルータ間に設けられたローカル制御部に通信可能に接続されたセンタ制御部は、
少なくとも一つの前記ローカル制御部から、通過するパケットが不正アクセスのためのウィルスパケットであるという通知および該ウィルスパケットの情報を受信するステップと、
受信した情報を元に所定のローカル制御部に前記ルータ間の通信回線を遮断させるステップと、
を備えたことを特徴とするネットワークにおける不正アクセス防御方法。(4)
ネットワークにおける不正アクセス防御方法において、
ネットワーク内に分散配置されたルータ間に設けられたローカル制御部に通信可能に接続されたセンタ制御部は、
少なくとも一つの前記ローカル制御部から、通過するパケットが不正アクセスのためのウィルスパケットであるという通知および該ウィルスパケットの情報を受信するステップと、
受信した情報を元に所定のローカル制御部に前記ルータ間の通信回線を遮断させるステップと、
を備えたことを特徴とするネットワークにおける不正アクセス防御方法。(4)
(付記7)
ネットワークにおける不正アクセス防御のためのプログラムであって、
ネットワーク内に分散配置されたルータ間に設けられたローカル制御部に通信可能に接続されたセンタ制御部内のコンピュータに、
少なくとも一つの前記ローカル制御部から、通過するパケットが不正アクセスのためのウィルスパケットであるという通知および該ウィルスパケットの情報を受信するステップと、
受信した情報を元に所定のローカル制御部に前記ルータ間の通信回線を遮断させるステップと、
を実行させることを特徴とするプログラム。(5)
ネットワークにおける不正アクセス防御のためのプログラムであって、
ネットワーク内に分散配置されたルータ間に設けられたローカル制御部に通信可能に接続されたセンタ制御部内のコンピュータに、
少なくとも一つの前記ローカル制御部から、通過するパケットが不正アクセスのためのウィルスパケットであるという通知および該ウィルスパケットの情報を受信するステップと、
受信した情報を元に所定のローカル制御部に前記ルータ間の通信回線を遮断させるステップと、
を実行させることを特徴とするプログラム。(5)
10 本店ネットワーク
11〜13 A〜C支店ネットワーク
12−1、13−1 サーバ
14−1、14−2、241、242 ルータ
15 インターネット
15−1、15−2 端末
16 センタ制御部
17−10〜17−13、27 ローカル制御部
271 IPパケット送受信部
272 不正アクセス判定部
11〜13 A〜C支店ネットワーク
12−1、13−1 サーバ
14−1、14−2、241、242 ルータ
15 インターネット
15−1、15−2 端末
16 センタ制御部
17−10〜17−13、27 ローカル制御部
271 IPパケット送受信部
272 不正アクセス判定部
Claims (5)
- ネットワークにおける不正アクセス防御システムにおいて、
ネットワーク内に分散配置されたルータ間に設けられ、通過するパケットの情報から該パケットが不正アクセスのためのウィルスパケットであると判定するローカル制御部と、
前記ローカル制御部に通信可能に接続され、少なくとも一つの前記ローカル制御部から前記ウィルスパケットの情報を受信し、受信した情報を元に所定のローカル制御部に前記ルータ間の通信回線を遮断させるセンタ制御部と、
を備えたことを特徴とするネットワークにおける不正アクセス防御システム。 - 前記所定のローカル制御部は複数のローカル制御部のうち前記ウィルスパケットの送信先に最も近いローカル制御部であることを特徴とする請求項1に記載のネットワークにおける不正アクセス防御システム。
- 前記センタ制御部は前記ウィルスパケットの情報のうちTTL値に基づいて前記所定のローカル制御部を特定することを特徴とする請求項1または2に記載のネットワークにおける不正アクセス防御システム。
- ネットワークにおける不正アクセス防御方法において、
ネットワーク内に分散配置されたルータ間に設けられたローカル制御部に通信可能に接続されたセンタ制御部は、
少なくとも一つの前記ローカル制御部から、通過するパケットが不正アクセスのためのウィルスパケットであるという通知および該ウィルスパケットの情報を受信するステップと、
受信した情報を元に所定のローカル制御部に前記ルータ間の通信回線を遮断させるステップと、
を備えたことを特徴とするネットワークにおける不正アクセス防御方法。 - ネットワークにおける不正アクセス防御のためのプログラムであって、
ネットワーク内に分散配置されたルータ間に設けられたローカル制御部に通信可能に接続されたセンタ制御部内のコンピュータに、
少なくとも一つの前記ローカル制御部から、通過するパケットが不正アクセスのためのウィルスパケットであるという通知および該ウィルスパケットの情報を受信するステップと、
受信した情報を元に所定のローカル制御部に前記ルータ間の通信回線を遮断させるステップと、
を実行させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006082721A JP2007259223A (ja) | 2006-03-24 | 2006-03-24 | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006082721A JP2007259223A (ja) | 2006-03-24 | 2006-03-24 | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007259223A true JP2007259223A (ja) | 2007-10-04 |
Family
ID=38632981
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006082721A Withdrawn JP2007259223A (ja) | 2006-03-24 | 2006-03-24 | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007259223A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008153752A (ja) * | 2006-12-14 | 2008-07-03 | Fujitsu Ltd | 異常トラヒック監視装置、エントリ管理装置およびネットワークシステム |
| JP2009212911A (ja) * | 2008-03-05 | 2009-09-17 | Oki Electric Ind Co Ltd | パケット通信装置、パケット通信方法及びプログラム |
| RU2443017C1 (ru) * | 2010-07-30 | 2012-02-20 | Федеральное Государственное Унитарное Предприятие "Концерн "Системпром" | Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну |
| RU2444057C1 (ru) * | 2010-07-01 | 2012-02-27 | Федеральное Государственное Унитарное Предприятие "Концерн "Системпром" | Система защиты информации от несанкционированного доступа к конфиденциальной информации и информации, содержащей персональные данные |
| JP2018191268A (ja) * | 2017-04-28 | 2018-11-29 | エーオー カスペルスキー ラボAO Kaspersky Lab | DDoS攻撃の検出時のトラフィックフィルタリングのシステムおよび方法 |
| JP2019050477A (ja) * | 2017-09-08 | 2019-03-28 | 株式会社日立製作所 | インシデント分析装置およびその分析方法 |
-
2006
- 2006-03-24 JP JP2006082721A patent/JP2007259223A/ja not_active Withdrawn
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008153752A (ja) * | 2006-12-14 | 2008-07-03 | Fujitsu Ltd | 異常トラヒック監視装置、エントリ管理装置およびネットワークシステム |
| JP2009212911A (ja) * | 2008-03-05 | 2009-09-17 | Oki Electric Ind Co Ltd | パケット通信装置、パケット通信方法及びプログラム |
| RU2444057C1 (ru) * | 2010-07-01 | 2012-02-27 | Федеральное Государственное Унитарное Предприятие "Концерн "Системпром" | Система защиты информации от несанкционированного доступа к конфиденциальной информации и информации, содержащей персональные данные |
| RU2443017C1 (ru) * | 2010-07-30 | 2012-02-20 | Федеральное Государственное Унитарное Предприятие "Концерн "Системпром" | Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну |
| JP2018191268A (ja) * | 2017-04-28 | 2018-11-29 | エーオー カスペルスキー ラボAO Kaspersky Lab | DDoS攻撃の検出時のトラフィックフィルタリングのシステムおよび方法 |
| US10693907B2 (en) | 2017-04-28 | 2020-06-23 | AO Kaspersky Lab | System and method of traffic filtering upon detection of a DDoS attack |
| US11025667B2 (en) | 2017-04-28 | 2021-06-01 | AO Kaspersky Lab | System and method for applying a plurality of interconnected filters to protect a computing device from a distributed denial-of-service attack |
| JP2019050477A (ja) * | 2017-09-08 | 2019-03-28 | 株式会社日立製作所 | インシデント分析装置およびその分析方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7457965B2 (en) | Unauthorized access blocking apparatus, method, program and system | |
| US7624447B1 (en) | Using threshold lists for worm detection | |
| KR101111433B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
| EP1817685B1 (en) | Intrusion detection in a data center environment | |
| US7870611B2 (en) | System method and apparatus for service attack detection on a network | |
| US7617533B1 (en) | Self-quarantining network | |
| US20100226383A1 (en) | Inline Intrusion Detection | |
| US10693890B2 (en) | Packet relay apparatus | |
| US20090016226A1 (en) | Packet monitoring | |
| US20100142539A1 (en) | Packet processing indication | |
| KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
| KR101042291B1 (ko) | 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 | |
| US20130074147A1 (en) | Packet processing | |
| JP2007259223A (ja) | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム | |
| WO2002025402A2 (en) | Systems and methods that protect networks and devices against denial of service attacks | |
| US8286244B2 (en) | Method and system for protecting a computer network against packet floods | |
| KR20030009887A (ko) | 서비스거부 공격 차단시스템 및 방법 | |
| US8646081B1 (en) | Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network | |
| EP1461704A2 (en) | Protecting against malicious traffic | |
| JP2006067078A (ja) | ネットワークシステムおよび攻撃防御方法 | |
| WO2003094418A1 (en) | A packet filtering system | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| JP2008011008A (ja) | 不正アクセス防止システム | |
| US20100157806A1 (en) | Method for processing data packet load balancing and network equipment thereof | |
| JP2005130190A (ja) | 攻撃パケット防御システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20090602 |