JP2009081736A - パケット転送装置及びパケット転送プログラム - Google Patents

パケット転送装置及びパケット転送プログラム Download PDF

Info

Publication number
JP2009081736A
JP2009081736A JP2007250191A JP2007250191A JP2009081736A JP 2009081736 A JP2009081736 A JP 2009081736A JP 2007250191 A JP2007250191 A JP 2007250191A JP 2007250191 A JP2007250191 A JP 2007250191A JP 2009081736 A JP2009081736 A JP 2009081736A
Authority
JP
Japan
Prior art keywords
packet
detection result
unauthorized access
result information
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007250191A
Other languages
English (en)
Inventor
Isao Ueki
勇雄 植木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2007250191A priority Critical patent/JP2009081736A/ja
Publication of JP2009081736A publication Critical patent/JP2009081736A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】不正アクセスに関わるパケットが複数のサーバに対する無差別攻撃の1つであるか、または特定のサーバに対する特定攻撃であるかを区別することを可能とする。
【解決手段】不正アクセスDB62には、不正アクセスに関わる不正パケットを検出するための条件を示す不正アクセスデータが予め格納される。パケット送受信部71は、クライアント端末から送信されたパケットを受信する。パケット解析部73は、受信されたパケットを解析する。パケット解析部73は、解析されたパケットが不正アクセスデータによって示される条件に合致する場合、当該パケットを不正パケットとして検出する。検出結果DB63には、不正パケットに関する検出結果情報が蓄積される。パケット解析部73は、不正パケットが複数のサーバに対する無差別攻撃の1つであるか、あるいは特定のサーバに対する特定攻撃であるかを検出結果情報に基づいて判定する。
【選択図】 図2

Description

本発明は、複数のネットワークセグメント相互間でパケットを転送するパケット転送装置及びパケット転送プログラムに関する。
従来から、複数のネットワーク(ネットワークセグメント)に接続され、当該複数のネットワーク相互間でパケットを転送するパケット転送装置が知られている。このようなパケット転送装置では、例えばネットワークに接続されている端末からサーバへの不正アクセスを防止する必要がある。このため、パケット転送装置では、複数のネットワーク相互間で転送されるパケットにおいて、不正アクセスに関わるパケットを検出する必要がある。
そこで、例えば利用者に大きな作業負担をかけることなく、信頼性の高い不正アクセスの防止機能を実現できる技術(以下、先行技術と表記)が開示されている(例えば、特許文献1を参照)。この先行技術によれば、パケット転送装置において受信されるパケット(受信パケット)を判定情報に基づいて解析し、受信パケットが不正アクセスに関わるか否かが判定される。これにより、不正アクセスに関わるパケットを検出することができる。
特開2002−63084号公報
上記したように、先行技術によれば、受信パケットを判定情報に基づいて解析し、当該受信パケットが不正アクセスに関わるパケットであるか否かが判定される。これにより、不正アクセスに関わるパケットが検出され、当該検出された不正アクセスに関わるパケットは例えば当該パケットの送信先であるサーバには転送されない。したがって、例えばネットワークに接続されている端末からサーバへの不正アクセスを防止できる。
しかしながら、先行技術では、受信パケットが不正アクセスに関わるパケットであるか否かの判定しか行っていない。つまり、不正アクセスに関わるパケットであると判定された受信パケットが、例えば複数のサーバに対して送信されたパケット(無差別攻撃)の1つであるのか、またはパケット転送装置で保護している特定のサーバに対して送信されたパケット(特定攻撃)であるか否かの区別を行っていない。これにより、例えば不正アクセスに関わるパケットの送信先のサーバの管理者は、複数のサーバに対する無差別攻撃または特定のサーバに対する攻撃(特定攻撃)に応じた対策を取ることができない。
本発明の目的は、不正アクセスに関わるパケットが検出された際に、当該パケットが複数のサーバに対する無差別攻撃の1つであるか、または特定のサーバに対する特定攻撃であるかを区別することができるパケット転送装置及び不正アクセス区別方法を提供することにある。
本発明の1つの態様によれば、パケットを通信可能な第1のネットワーク及び第2のネットワークに接続され、前記第1のネットワークに接続されている送信元により送信されたパケットを前記第2のネットワークに接続されている送信先に対して転送するパケット転送装置が提供される。このパケット転送装置は、不正アクセスに関わる不正パケットを検出するための条件を示す不正アクセスデータを予め格納する不正アクセスデータベースと、前記第1のネットワークに接続されている送信元により送信されたパケットを受信する受信手段と、前記受信されたパケットを解析する解析手段と、前記解析結果に基づいて、前記解析されたパケットが前記不正アクセスデータベースに格納されている不正アクセスデータによって示される条件に合致するかを判定する不正パケット判定手段と、前記解析されたパケットが前記不正アクセスデータベースに格納されている不正アクセスデータによって示される条件に合致すると判定された場合に、当該解析されたパケットを不正パケットとして検出する検出手段と、前記解析結果に基づいて、前記検出された不正パケットに関する検出結果情報を蓄積する検出結果データベースと、前記検出された不正パケットが前記第2のネットワークに接続された複数の送信先に対する無差別攻撃の1つであるか、あるいは当該第2のネットワークに接続された特定の送信先に対する攻撃であるかを、前記検出結果データベースに蓄積されている検出結果情報に基づいて判定する攻撃種別判定手段とを具備する。
本発明によれば、不正アクセスに関わるパケットが検出された際に、当該パケットが複数のサーバに対する無差別攻撃の1つであるか、または特定のサーバに対する特定攻撃であるかを区別することができる。
以下、図面を参照して、本発明の実施形態について説明する。
図1は、本実施形態に係るパケット転送装置が接続されるネットワークシステムについて説明するための図である。
図1に示すように、ネットワーク(ネットワークセグメント)10には、複数のクライアント端末20が接続されている。一方、ネットワーク(ネットワークセグメント)30には、複数のサーバ40が接続されている。つまり、ネットワーク10はクライアント側ネットワークであり、ネットワーク30はサーバ側ネットワークである。ネットワーク10及びネットワーク30は、例えばLAN(Local Area Network)のような各種パケットを通信可能なネットワークである。
ネットワーク(第1のネットワーク)10及びネットワーク(第2のネットワーク)30には、コンピュータ40が接続されている。コンピュータ50は、例えばハードディスクドライブ(HDD)のような外部記憶装置60と接続されている。この外部記憶装置60は、コンピュータ50によって実行されるプログラム61を格納する。コンピュータ50及び外部記憶装置60は、パケット転送装置70を構成する。
図2は、図1に示すパケット転送装置70の主として機能構成を示すブロック図である。パケット転送装置70は、例えばネットワーク10に接続されているクライアント端末(送信元)20により送信されたパケットをネットワーク30に接続されているサーバ(送信先)30に転送する機能を有する。パケット転送装置70は、パケット送受信部71、パケット送受信部72及びパケット解析部73を含む。本実施形態において、これらの各部71乃至73は、図1に示されるコンピュータ50が外部記憶装置60に格納されているプログラム61を実行することにより実現されるものとする。このプログラム61は、コンピュータ読み取り可能な記憶媒体に予め格納して頒布可能である。また、このプログラム61がネットワーク10またはネットワーク30を介してダウンロードされても構わない。
また、パケット転送装置70は、不正アクセスデータベース(DB)62及び検出結果データベース(DB)63を含む。本実施形態において、この不正アクセスデータベース62及び検出結果データベース63は例えば外部記憶装置60に格納される。
パケット送受信部71は、ネットワーク10(クライアント側ネットワーク)に対してパケットを送受信する機能を有する。パケット送受信部72は、ネットワーク30(サーバ側ネットワーク)に対してパケットを送受信する機能を有する。
パケット解析部73は、パケット送受信部71によって受信されたパケット、つまり、クライアント側ネットワークであるネットワーク10側から受信されたパケットを取得する。このパケットは、例えばネットワーク10に接続されているクライアント端末20によってネットワーク30に接続されているサーバ40に対して送信されたパケットである。また、このパケットには、例えば送信元であるクライアント端末20のアドレス(送信元アドレス)及び送信先であるサーバ40のアドレス(送信先アドレス)が含まれる。この送信元アドレス及び送信先アドレスは、例えばIP(Internet Protocol)アドレスである。
パケット解析部73は、不正アクセスデータベース62を参照して、取得されたパケットが不正アクセスに関わるパケット(以下、不正パケットと表記)であるか否かを判定する。つまり、パケット解析部73は、クライアント端末20から送信されたパケットを不正パケットとして検出する処理を実行する。
不正アクセスデータベース62には、不正パケットを検出するための条件を示す不正アクセスデータが予め格納されている。なお、この不正アクセスデータは、当該不正アクセスデータを用いて検出される不正パケットに関する不正アクセスの内容を示す。また、不正アクセスデータには、例えば当該不正アクセスデータを示す番号が付与されている。
パケット解析部73は、取得されたパケットが不正パケットでない場合、当該パケットをパケット送受信部72に送信する。この場合、パケット送受信部72は、パケット解析部73によって送信されたパケットを、当該パケットに含まれる送信先アドレスに対してネットワーク30を介して送信(転送)する。
一方、パケット解析部73は、不正パケットが検出された場合、当該不正パケットに関する情報(以下、検出結果情報と表記)を検出結果データベース63に蓄積(格納)する。また、不正パケットが検出された場合、当該不正パケットは、送信先アドレスには送信(転送)されない。つまり、パケット解析部73は、不正パケットが検出された場合に当該パケットの通過を遮断する機能を有する。
なお、パケット送受信部72がサーバ側ネットワークであるネットワーク30からパケットを受信した場合、当該パケットはパケット送受信部71に対して送信され、クライアント側ネットワークであるネットワーク10側に送出される。これにより、パケット送受信部72によって受信されたパケットに対する転送処理が実行される。
図3は、図2に示すパケット解析部73の機能構成を示すブロック図である。パケット解析部73は、パケット通過処理部731、パケット解析処理部732、管理者通知部733および仮想サーバ部734を含む。
パケット通過処理部731は、パケット送受信部71によってネットワーク10側から受信されたパケット(以下、対象パケットと称する)が不正パケットであるか否かをパケット解析処理部732に対して問い合わせる。パケット通過処理部731は、パケット解析処理部732に対する問い合わせの結果に応じて、対象パケットをネットワーク30側に転送する。このとき、パケット通過処理部731は、パケット送受信部72を介して転送処理を実行する。また、パケット通過処理部731は、パケット解析処理部732に対する問い合わせの結果に応じて対象パケットを転送しない、つまり、対象パケットを遮断する機能を有する。
パケット通過処理部731は、対象パケットに含まれる送信先アドレスに基づいて、当該対象パケットの送信先(転送先)がパケット転送装置70の保護対象となるサーバ(以下、保護対象サーバと表記)40であるか否かを判定する。この場合、パケット通過処理部731は、例えば予め保持されている保護対象サーバ40のアドレスを参照することにより判定処理を実行する。
パケット解析処理部732は、パケット通過処理部731の問い合わせに応じて、対象パケットが不正パケットであるか否かを判定する。パケット解析処理部732は、不正アクセスデータベース62を参照して判定処理を実行する。パケット解析処理部732は、対象パケットが不正アクセスデータベース62に格納されている不正アクセスデータによって示される条件に合致するか否かを判定する。パケット解析処理部732は、対象パケットが不正アクセスデータによって示される条件に合致すると判定された場合、当該対象パケットを不正パケットとして検出する。パケット解析処理部732によって不正パケットが検出された場合、当該不正パケット(対象パケット)は、当該不正パケットの送信先であるサーバ40には転送されない。一方、パケット解析処理部732によって不正パケットが検出されない場合、対象パケットは、当該対象パケットの送信先であるサーバ40に転送される。換言すれば、パケット解析処理部732は、対象パケットを転送するか否かを判定する機能を有する。
パケット解析処理部732は、不正パケットが検出された場合、当該不正パケットに関する情報(検出結果情報)を検出結果データベース63に蓄積する。検出結果データベース63に蓄積される検出結果情報には、例えば不正パケットの送信元であるクライアント端末20のアドレス(不正アクセス元アドレス)、当該不正パケットの送信先(転送先)であるサーバ40のアドレス(不正アクセス先アドレス)、当該不正パケットの不正アクセス内容及び当該不正パケットが検出された時刻を示す情報が含まれる。
パケット解析処理部732は、検出結果データベース63に蓄積されている検出結果情報に基づいて、検出された不正パケット(以下、対象不正パケットと表記)が例えば複数のサーバ40(送信先)に対する不正アクセス(無差別攻撃)の1つであるか、あるいは特定のサーバ40(送信先)に対する不正アクセス(特定攻撃)であるか否かを判定する。つまり、パケット解析処理部732は、対象不正パケットによる攻撃種別を判定する。
また、パケット解析処理部732は、対象不正パケットが特定のサーバ40に対する特定攻撃であると判定された場合、例えば単位時間当たりの当該特定のサーバ40に対する不正アクセス数に応じて当該不正アクセス元(送信元)からのアクセスを一定時間遮断する。このとき、パケット解析処理部732は、検出結果データベース63に蓄積されている検出結果情報に基づいて、遮断処理を実行する。
管理者通知部733は、パケット解析処理部732による判定結果を例えば予め登録された管理者(サーバ管理者)に対して通知する。つまり、管理者通知部733は、例えば対象不正パケットが複数のサーバ40に対する無差別攻撃の1つである場合には、その旨を管理者に対して通知し、一方、当該対象不正パケットが特定のサーバ40に対する特定攻撃である場合には、その旨を管理者に対して通知する。
仮想サーバ部734は、対象パケットの送信先(転送先)が例えば保護対象サーバ40でない場合、つまり、対象パケットの送信先が保護対象サーバ40と同一ネットワーク(セグメント)30であるが当該ネットワーク30に存在しない場合、当該対象パケット(問い合わせリクエスト)に対して応答する機能を有する。
図4は、検出結果データベース63のデータ構造の一例を示す。図4に示すように、検出結果データベース63に格納されている検出結果情報には、不正アクセス元、不正アクセス先、不正アクセス内容及び時刻が含まれる。
不正アクセス元は、パケット解析処理部732によって検出された不正パケットの送信元のアドレスを示す。不正アクセス先は、パケット解析処理部732によって検出された不正パケットの送信先(転送先)のアドレスを示す。なお、不正アクセス元及び不正アクセス先によって示されるアドレスは、IPアドレスである。
不正アクセス内容は、パケット解析処理部732によって検出された不正パケットによる不正アクセス(攻撃)の内容を示す。この不正アクセスの内容には、例えばSQLインジェクションまたはバッファオーバーフロー等が含まれる。SQLインジェクションは、例えばデータベースへの問い合わせや操作を行うプログラムにパラメータとしてSQL文の断片を与えることにより、当該データベース内の情報の閲覧、更新、削除等の不正操作を実行可能とする攻撃をいう。バッファオーバーフローは、確保した領域(バッファ)に対して許容量を超えるデータを送りつけてシステムを機能停止させ、または、意図的にバッファをオーバーフローさせ、あふれ出たデータを実行させてしまう攻撃をいう。
時刻は、パケット解析処理部732によって不正パケットが検出された時刻を示す。
図4に示す例では、検出結果情報631は、不正アクセス元「vvv.xxx.yyy.zzz」、不正アクセス先「VVV.XXX.YYY.ZZZ」、不正アクセス内容「バッファオーバーフロー」及び時刻「yyyy/mm/dd HH:MM:SS」を含む。
次に、図5のフローチャートを参照して、パケット転送装置70の処理手順について説明する。ここでは、例えばネットワーク10(クライアント側ネットワーク)に接続されているクライアント端末20からネットワーク30(サーバ側ネットワーク)に対してパケットが送信された場合について説明する。
まず、パケット送受信部71は、ネットワーク10側からパケットを受信する(ステップS1)。
次に、パケット解析部73に含まれるパケット通過処理部731は、パケット送受信部71によって受信されたパケット(対象パケット)を解析し、当該対象パケットに含まれる送信先アドレスを取得する。パケット通過処理部731は、取得された送信先アドレスに基づいて、当該送信先(転送先)アドレスがパケット転送装置70の保護対象サーバ40のアドレスであるか否かを判定する(ステップS2)。つまり、パケット通過処理部731は、例えば対象パケットに含まれる送信先アドレスが保護対象サーバ40と同一ネットワーク(セグメント)であるが存在しないアドレスであるか否かを判定する。このとき、パケット通過処理部731は、対象パケットに含まれる送信先アドレスが例えば予め保持されている保護対象サーバ40のアドレスであるか否かに基づいて、判定処理を実行する。
対象パケットに含まれている送信先アドレスが保護対象サーバ40のアドレスであると判定された場合(ステップS2のYES)、パケット通過処理部731は、対象パケットをパケット解析処理部732に送信する。これにより、パケット通過処理部731は、対象パケットが不正パケットであるか否かを問い合わせる。
パケット解析処理部732は、パケット通過処理部731による問い合わせに応じて、当該パケット通過処理部731によって送信された対象パケットを解析する(ステップS3)。
パケット解析処理部732は、対象パケットの解析結果に基づいて、当該対象パケットが不正パケットであるか否かを判定する(ステップS4)。このとき、パケット解析処理部732は、不正アクセスデータベース62に予め格納されている不正アクセスデータに基づいて、対象パケットが不正パケットであるか否かを判定する。ここで、不正パケットとは、不正アクセスに関わるパケットである。パケット解析処理部732は、例えば対象パケットが不正アクセスデータベース62に格納されている不正アクセスデータによって示される不正パケットを検出するための条件に合致するか否かを判定する。パケット解析処理部732は、対象パケットが不正アクセスデータによって示される条件に合致すると判定された場合、当該対象パケットを不正パケットとして検出する。なお、パケット解析処理部732によって不正パケットが検出された場合、当該不正パケットは、当該不正パケットの送信先には転送されない。
不正パケットが検出された場合(ステップS4のYES)、パケット解析処理部732は、当該検出された不正パケット(対象不正パケット)に関する情報(検出結果情報)を検出結果データベース63に蓄積(登録)する(ステップS5)。なお、検出結果データベース63には、過去に検出された不正パケットに関する検出結果情報についても蓄積されている。つまり、パケット解析処理部732は、不正パケットが検出される都度、当該不正パケットに関する検出結果情報を蓄積する。この検出結果情報は、例えば検出された対象不正パケットを解析することにより得られる。検出結果情報には、例えば対象不正パケットの送信元アドレス(クライアント端末20のアドレス)である不正アクセス元アドレス、当該対象不正パケットの送信先アドレス(サーバ40のアドレス)である不正アクセス先アドレス、当該対象不正パケットの内容である不正アクセス内容及び当該対象不正パケットが検出された時刻を示す情報が含まれる。
次に、パケット解析処理部732は、検出結果データベース63を参照する(ステップS6)。これにより、パケット解析処理部732は、検出結果データベース63に格納されている検出結果情報に基づいて、対象不正パケットが例えばネットワーク30に接続されている複数のサーバ40に対する不正アクセス(つまり、無差別攻撃)の1つであるか否かを判定する(ステップS7)。つまり、パケット解析処理部732は、対象不正パケットが無差別攻撃の1つであるか、あるいは特定のサーバ40に対する攻撃(特定攻撃)であるか否かを判定する。パケット解析処理部732は、例えば検出結果データベース63に蓄積されている単位時間当たりの検出結果情報に含まれる不正アクセス先が同一の場合には、当該不正アクセス先である特定のサーバ40に対する特定攻撃であると判定する。一方、パケット解析処理部732は、例えば検出結果データベース63に蓄積されている単位時間当たりの検出結果情報に含まれる不正アクセス先が異なる(複数ある)場合には、無差別攻撃の1つであると判定する。単位時間については、例えば管理者等により予め設定されており、適宜変更可能である。なお、この判定処理の詳細については後述する。
対象不正パケットが無差別攻撃の1つでない、つまり、特定攻撃であると判定された場合(ステップS7のNO)、パケット解析処理部732は、検出結果データベース63に格納されている検出結果情報に基づいて、例えば予め設定されている単位時間当たりの当該特定のサーバ40に対する不正アクセス(不正パケットによる攻撃)数を算出する。
パケット解析処理部732は、算出された特定のサーバ40に対する不正アクセス数と予め定められている値(閾値)とを比較する。パケット解析処理部732は、比較結果に基づいて、算出された特定のサーバ40に対する不正アクセス数が閾値以上であるか否かを判定する(ステップS8)。
特定のサーバ40に対する不正アクセス数が閾値以上であると判定された場合(ステップS8のYES)、パケット解析処理部732は、その旨をパケット通過処理部731に通知する。
パケット通過処理部731は、特定のサーバ40に対する不正アクセス数が閾値以上である旨がパケット解析処理部732により通知されると、当該特定のサーバ40に対する不正アクセス元からのアクセスを一定時間遮断する(ステップS9)。
管理者通知部733は、対象不正パケットが特定のサーバ40への攻撃である旨を例えば当該特定のサーバ40の管理者のような予め登録されている管理者に対して通知する。(ステップS10)。
一方、ステップS2において対象パケットに含まれている送信先アドレスが保護対象サーバ40のアドレスでないと判定された場合、仮想サーバ部734は、対象パケット(問い合わせリクエスト)に対して応答を行う(ステップS11)。
仮想サーバ部734が応答したことにより引き続き当該仮想サーバ部734を受け取り先としたリクエスト(パケット)が対象パケットの送信元であるクライアント端末20から送信された場合には、パケット送受信部71は、当該リクエストを受信する(ステップS12)。この場合、当該受信されたパケットに対して上記したステップS3の処理が実行される。
また、ステップS7において対象不正パケットが無差別攻撃の1つであると判定された場合、管理者通知部733は、その旨を予め登録されている管理者に対して通知する(ステップS13)。
また、ステップS8において特定のサーバ40に対する不正アクセスが閾値以上でないと判定された場合、当該特定のサーバ40に対する当該不正アクセス元からのアクセスは遮断されず、ステップS10の処理が実行される。
次に、図6〜図21を参照して、対象不正パケットが複数のサーバ40に対する無差別攻撃の1つであるか、あるいは特定のサーバ40に対する特定攻撃であるか否かを判定する処理の第1〜第8の具体例について説明する。
まず、図6及び図7を参照して、第1の具体例について説明する。図6は、第1の具体例における検出結果データベース63のデータ構造の一例を示す。
図6に示すように、検出結果データベース63には、検出結果情報641〜646が蓄積(格納)されているものとする。検出結果情報641には、不正アクセス元(のIPアドレス)「111.111.111.001」、不正アクセス先(のIPアドレス)「222.222.222.001」、不正アクセス内容「http_0001(不正アクセスデータの番号)」及び時刻「2007/01/01/00:00:00」が含まれている。なお、不正アクセス内容である「http_0001」は、不正アクセスデータベース62に格納されている不正アクセスデータに付与されている番号である。この番号により、当該番号が付与されている不正アクセスデータによって示される不正アクセス内容(例えば、バッファオーバーフロー、SQLインジェクション等)が示される。以下の各検出結果情報についても、同様にして、不正アクセスデータに付与されている番号によって不正アクセス内容が示されるものとする。
検出結果情報642には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.002」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:01」が含まれている。
検出結果情報643には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.003」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:02」が含まれている。
検出結果情報644には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.004」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:03」が含まれている。
検出結果情報645には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.005」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:04」が含まれている。
検出結果情報646には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.006」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:05」が含まれている。
なお、パケット転送装置70の保護対象サーバ40のIPアドレスは「222.222.222.001」であるものとし、当該保護対象サーバ40が接続されているネットワーク30と同一セグメント上であるが実在しないIPアドレスを「222.222.222.002」、「222.222.222.003」、「222.222.222.004」、「222.222.222.005」及び「222.222.222.006」であるものとする。以下に説明する各具体例についても同様であるものとする。
次に、図7のフローチャートを参照して、第1の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順について説明する。
まず、パケット解析処理部732は、検出結果データベース63を参照して、判定処理を実行する。このとき、パケット解析処理部732は、上記した図6に示す検出結果データベース63を参照したものとする。なお、図6に示す検出結果データベース63に格納されている検出結果情報641〜646のうち、例えば対象不正パケットに関する検出結果情報は検出結果情報646であるものとする。
パケット解析処理部732は、検出結果データベース63から例えば単位時間当たりの検出結果情報を取得する。このとき、パケット解析処理部732は、検出結果情報に含まれる時刻(を示す情報)に基づいて、検出結果情報を取得する。ここでは、単位時間当たりの検出結果情報として、検出結果情報641〜646が取得されたものとする。
パケット解析処理部732は、取得された検出結果情報641〜646に含まれる不正アクセス元(IPアドレス)に基づいて、当該検出結果情報641〜646に関する不正アクセスが同一攻撃元(クライアント端末20)からの攻撃であるか複数の攻撃元(クライアント端末20)からの攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報641〜646に含まれる不正アクセス元が同一であるか否かによって判定処理を実行する。
ここでは、図6に示す検出結果情報641〜646に含まれる不正アクセス元は全て「111.111.111.001」(つまり、同一)であるため、パケット解析処理部732は、当該検出結果情報641〜646に関する不正アクセスが同一攻撃元からの攻撃であると判定する(ステップS21)。
次に、パケット解析処理部732は、取得された検出結果情報641〜646に含まれる不正アクセス先(IPアドレス)に基づいて、当該検出結果情報641〜646に関する不正アクセスが同一(単一)サーバ40に対する攻撃か複数のサーバ40に対する攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報641〜646に含まれる不正アクセス先が同一であるか否かによって判定処理を実行する。
ここでは、図6に示す検出結果情報641〜646に含まれる不正アクセス先は全て異なるため、パケット解析処理部732は、当該検出結果情報641〜646に関する不正アクセスが複数のサーバ40に対する攻撃であると判定する(ステップS22)。
次に、パケット解析処理部732は、取得された検出結果情報641〜646に含まれる不正アクセス内容に基づいて、当該検出結果情報641〜646に関する不正アクセスが同一種類の攻撃であるか複数種類の攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報641〜646に含まれる不正アクセス内容が同一であるか否かによって判定処理を実行する。
ここでは、図6に示す検出結果情報641〜646に含まれる不正アクセス内容は全て「http_0001」(つまり、同一)であるため、パケット解析処理部732は、当該検出結果情報641〜646に関する不正アクセスが同一種類の攻撃であると判定する(ステップS23)。
上記したようにステップS21〜ステップS23の処理において、検出結果情報641〜646に関する不正アクセスが、同一の攻撃元(クライアント端末20)から複数のサーバ40に対する同一種類の攻撃であると判定された場合、パケット解析処理部732は、対象不正パケットに関わる不正アクセスが複数のサーバ40に対する無差別攻撃の1つであると判定する(ステップS24)。
次に、図8及び図9を参照して、第2の具体例について説明する。図8は、第2の具体例における検出結果データベース63のデータ構造の一例を示す。
図8に示すように、検出結果データベース63には、検出結果情報651〜656が蓄積(格納)されているものとする。検出結果情報651には、不正アクセス元(のIPアドレス)「111.111.111.001」、不正アクセス先(のIPアドレス)「222.222.222.001」、不正アクセス内容「http_0006」及び時刻「2007/01/01/00:00:00」が含まれている。
検出結果情報652には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.002」、不正アクセス内容「http_0005」及び時刻「2007/01/01/00:00:01」が含まれている。
検出結果情報653には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.003」、不正アクセス内容「http_0004」及び時刻「2007/01/01/00:00:02」が含まれている。
検出結果情報654には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.004」、不正アクセス内容「http_0003」及び時刻「2007/01/01/00:00:03」が含まれている。
検出結果情報655には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.005」、不正アクセス内容「http_0002」及び時刻「2007/01/01/00:00:04」が含まれている。
検出結果情報656には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.006」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:05」が含まれている。
次に、図9のフローチャートを参照して、第2の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順について説明する。
まず、パケット解析処理部732は、検出結果データベース63を参照して、判定処理を実行する。このとき、パケット解析処理部732は、上記した図8に示す検出結果データベース63を参照したものとする。なお、図8に示す検出結果データベース63に格納されている検出結果情報651〜656のうち、例えば対象不正パケットに関する検出結果情報は検出結果情報656であるものとする。
パケット解析処理部732は、検出結果データベース63から例えば単位時間当たりの検出結果情報を取得する。このとき、パケット解析処理部732は、検出結果情報に含まれる時刻(を示す情報)に基づいて、検出結果情報を取得する。ここでは、単位時間当たりの検出結果情報として、検出結果情報651〜656が取得されたものとする。
パケット解析処理部732は、取得された検出結果情報651〜656に含まれる不正アクセス元(IPアドレス)に基づいて、当該検出結果情報651〜656に関する不正アクセスが同一攻撃元からの攻撃であるか複数の攻撃元からの攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報651〜656に含まれる不正アクセス元が同一であるか否かによって判定処理を実行する。
ここでは、図8に示す検出結果情報651〜656に含まれる不正アクセス元は全て「111.111.111.001」(つまり、同一)であるため、パケット解析処理部732は、当該検出結果情報651〜656に関する不正アクセスが同一攻撃元からの攻撃であると判定する(ステップS31)。
次に、パケット解析処理部732は、取得された検出結果情報651〜656に含まれる不正アクセス先(IPアドレス)に基づいて、当該検出結果情報651〜656に関する不正アクセスが同一サーバ40に対する攻撃か複数のサーバ40に対する攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報651〜656に含まれる不正アクセス先が同一であるか否かによって判定処理を実行する。
ここでは、図8に示す検出結果情報651〜656に含まれる不正アクセス先は全て異なるため、パケット解析処理部732は、当該検出結果情報651〜656に関する不正アクセスが複数のサーバ40に対する攻撃であると判定する(ステップS32)。
次に、パケット解析処理部732は、取得された検出結果情報651〜656に含まれる不正アクセス内容に基づいて、当該検出結果情報651〜656に関する不正アクセスが同一種類の攻撃であるか複数種類の攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報651〜656に含まれる不正アクセス内容が同一であるか否かによって判定処理を実行する。
ここでは、図8に示す検出結果情報651〜656に含まれる不正アクセス内容は全て異なるため、パケット解析処理部732は、当該検出結果情報651〜656に関する不正アクセスが複数種類の攻撃であると判定する(ステップS33)。
上記したようにステップS31〜ステップS33の処理において、検出結果情報651〜656に関する不正アクセスが、同一の攻撃元から複数のサーバ40に対する複数種類の攻撃であると判定された場合、パケット解析処理部732は、対象不正パケットに関わる不正アクセスが無差別攻撃の1つであると判定する(ステップS34)。
次に、図10及び図11を参照して、第3の具体例について説明する。図10は、第3の具体例における検出結果データベース63のデータ構造の一例を示す。
図10に示すように、検出結果データベース63には、検出結果情報661〜666が蓄積(格納)されているものとする。検出結果情報661には、不正アクセス元(のIPアドレス)「111.111.111.001」、不正アクセス先(のIPアドレス)「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:00」が含まれている。
検出結果情報662には、不正アクセス元「111.111.111.002」、不正アクセス先「222.222.222.002」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:01」が含まれている。
検出結果情報663には、不正アクセス元「111.111.111.003」、不正アクセス先「222.222.222.003」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:02」が含まれている。
検出結果情報664には、不正アクセス元「111.111.111.004」、不正アクセス先「222.222.222.004」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:03」が含まれている。
検出結果情報665には、不正アクセス元「111.111.111.005」、不正アクセス先「222.222.222.005」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:04」が含まれている。
検出結果情報666には、不正アクセス元「111.111.111.006」、不正アクセス先「222.222.222.006」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:05」が含まれている。
次に、図11のフローチャートを参照して、第3の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順について説明する。
まず、パケット解析処理部732は、検出結果データベース63を参照して、判定処理を実行する。このとき、パケット解析処理部732は、上記した図10に示す検出結果データベース63を参照したものとする。なお、図10に示す検出結果データベース63に格納されている検出結果情報661〜666のうち、例えば対象不正パケットに関する検出結果情報は検出結果情報666であるものとする。
パケット解析処理部732は、検出結果データベース63から例えば単位時間当たりの検出結果情報を取得する。このとき、パケット解析処理部732は、検出結果情報に含まれる時刻(を示す情報)に基づいて、検出結果情報を取得する。ここでは、単位時間当たりの検出結果情報として、検出結果情報661〜666が取得されたものとする。
パケット解析処理部732は、取得された検出結果情報661〜666に含まれる不正アクセス元(IPアドレス)に基づいて、当該検出結果情報661〜666に関する不正アクセスが同一攻撃元からの攻撃であるか複数の攻撃元からの攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報661〜666に含まれる不正アクセス元が同一であるか否かによって判定処理を実行する。
ここでは、図10に示す検出結果情報661〜666に含まれる不正アクセス元は全て異なるため、パケット解析処理部732は、当該検出結果情報661〜666に関する不正アクセスが複数の攻撃元からの攻撃であると判定する(ステップS41)。
次に、パケット解析処理部732は、取得された検出結果情報661〜666に含まれる不正アクセス先(IPアドレス)に基づいて、当該検出結果情報661〜666に関する不正アクセスが同一サーバ40に対する攻撃か複数のサーバ40に対する攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報661〜666に含まれる不正アクセス先が同一であるか否かによって判定処理を実行する。
ここでは、図10に示す検出結果情報661〜666に含まれる不正アクセス先は全て異なるため、パケット解析処理部732は、当該検出結果情報661〜666に関する不正アクセスが複数のサーバ40に対する攻撃であると判定する(ステップS42)。
次に、パケット解析処理部732は、取得された検出結果情報661〜666に含まれる不正アクセス内容に基づいて、当該検出結果情報661〜666に関する不正アクセスが同一種類の攻撃であるか複数種類の攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報661〜666に含まれる不正アクセス内容が同一であるか否かによって判定処理を実行する。
ここでは、図10に示す検出結果情報661〜666に含まれる不正アクセス内容は全て「http_0001」(つまり、同一)であるため、パケット解析処理部732は、当該検出結果情報661〜666に関する不正アクセスが同一種類の攻撃であると判定する(ステップS43)。
上記したようにステップS41〜ステップS43の処理において、検出結果情報661〜666に関する不正アクセスが、複数の攻撃元から複数のサーバ40に対する同一種類の攻撃であると判定された場合、パケット解析処理部732は、対象不正パケットに関わる不正アクセスが無差別攻撃の1つであると判定する(ステップS44)。
次に、図12及び図13を参照して、第4の具体例について説明する。図12は、第4の具体例における検出結果データベース63のデータ構造の一例を示す。
図13に示すように、検出結果データベース63には、検出結果情報671〜676が蓄積(格納)されているものとする。検出結果情報671には、不正アクセス元(のIPアドレス)「111.111.111.001」、不正アクセス先(のIPアドレス)「222.222.222.001」、不正アクセス内容「http_0006」及び時刻「2007/01/01/00:00:00」が含まれている。
検出結果情報672には、不正アクセス元「111.111.111.002」、不正アクセス先「222.222.222.002」、不正アクセス内容「http_0005」及び時刻「2007/01/01/00:00:01」が含まれている。
検出結果情報673には、不正アクセス元「111.111.111.003」、不正アクセス先「222.222.222.003」、不正アクセス内容「http_0004」及び時刻「2007/01/01/00:00:02」が含まれている。
検出結果情報674には、不正アクセス元「111.111.111.004」、不正アクセス先「222.222.222.004」、不正アクセス内容「http_0003」及び時刻「2007/01/01/00:00:03」が含まれている。
検出結果情報675には、不正アクセス元「111.111.111.005」、不正アクセス先「222.222.222.005」、不正アクセス内容「http_0002」及び時刻「2007/01/01/00:00:04」が含まれている。
検出結果情報676には、不正アクセス元「111.111.111.006」、不正アクセス先「222.222.222.006」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:05」が含まれている。
次に、図13のフローチャートを参照して、第4の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順について説明する。
まず、パケット解析処理部732は、検出結果データベース63を参照して、判定処理を実行する。このとき、パケット解析処理部732は、上記した図12に示す検出結果データベース63を参照したものとする。なお、図12に示す検出結果データベース63に格納されている検出結果情報671〜676のうち、例えば対象不正パケットに関する検出結果情報は検出結果情報676であるものとする。
パケット解析処理部732は、検出結果データベース63から例えば単位時間当たりの検出結果情報を取得する。このとき、パケット解析処理部732は、検出結果情報に含まれる時刻(を示す情報)に基づいて、検出結果情報を取得する。ここでは、単位時間当たりの検出結果情報として、検出結果情報671〜676が取得されたものとする。
パケット解析処理部732は、取得された検出結果情報671〜676に含まれる不正アクセス元(IPアドレス)に基づいて、当該検出結果情報671〜676に関する不正アクセスが同一攻撃元からの攻撃であるか複数の攻撃元からの攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報671〜676に含まれる不正アクセス元が同一であるか否かによって判定処理を実行する。
ここでは、図12に示す検出結果情報671〜676に含まれる不正アクセス元は全て異なるため、パケット解析処理部732は、当該検出結果情報671〜676に関する不正アクセスが複数の攻撃元からの攻撃であると判定する(ステップS51)。
次に、パケット解析処理部732は、取得された検出結果情報671〜676に含まれる不正アクセス先(IPアドレス)に基づいて、当該検出結果情報671〜676に関する不正アクセスが同一サーバ40に対する攻撃か複数のサーバ40に対する攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報671〜676に含まれる不正アクセス先が同一であるか否かによって判定処理を実行する。
ここでは、図12に示す検出結果情報671〜676に含まれる不正アクセス先は全て異なるため、パケット解析処理部732は、当該検出結果情報671〜676に関する不正アクセスが複数のサーバ40に対する攻撃であると判定する(ステップS52)。
次に、パケット解析処理部732は、取得された検出結果情報671〜676に含まれる不正アクセス内容に基づいて、当該検出結果情報671〜676に関する不正アクセスが同一種類の攻撃であるか複数種類の攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報671〜676に含まれる不正アクセス内容が同一であるか否かによって判定処理を実行する。
ここでは、図12に示す検出結果情報671〜676に含まれる不正アクセス内容は全て異なるため、パケット解析処理部732は、当該検出結果情報671〜676に関する不正アクセスが複数種類の攻撃であると判定する(ステップS53)。
上記したようにステップS51〜ステップS53の処理において、検出結果情報671〜676に関する不正アクセスが、複数の攻撃元から複数のサーバ40に対する複数種類の攻撃であると判定された場合、パケット解析処理部732は、対象不正パケットに関わる不正アクセスが無差別攻撃の1つであると判定する(ステップS54)。
次に、図14及び図15を参照して、第5の具体例について説明する。図14は、第5の具体例における検出結果データベース63のデータ構造の一例を示す。
図14に示すように、検出結果データベース63には、検出結果情報681〜686が蓄積(格納)されているものとする。検出結果情報681には、不正アクセス元(のIPアドレス)「111.111.111.001」、不正アクセス先(のIPアドレス)「222.222.222.001」、不正アクセス内容「http_0006」及び時刻「2007/01/01/00:00:00」が含まれている。
検出結果情報682には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0005」及び時刻「2007/01/01/00:00:01」が含まれている。
検出結果情報683には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0004」及び時刻「2007/01/01/00:00:02」が含まれている。
検出結果情報684には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0003」及び時刻「2007/01/01/00:00:03」が含まれている。
検出結果情報685には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0002」及び時刻「2007/01/01/00:00:04」が含まれている。
検出結果情報686には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:05」が含まれている。
次に、図15のフローチャートを参照して、第5の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順について説明する。
まず、パケット解析処理部732は、検出結果データベース63を参照して、判定処理を実行する。このとき、パケット解析処理部732は、上記した図14に示す検出結果データベース63を参照したものとする。なお、図14に示す検出結果データベース63に格納されている検出結果情報681〜686のうち、例えば対象不正パケットに関する検出結果情報は検出結果情報686であるものとする。
パケット解析処理部732は、検出結果データベース63から例えば単位時間当たりの検出結果情報を取得する。このとき、パケット解析処理部732は、検出結果情報に含まれる時刻(を示す情報)に基づいて、検出結果情報を取得する。ここでは、単位時間当たりの検出結果情報として、検出結果情報681〜686が取得されたものとする。
パケット解析処理部732は、取得された検出結果情報681〜686に含まれる不正アクセス元(IPアドレス)に基づいて、当該検出結果情報681〜686に関する不正アクセスが同一攻撃元からの攻撃であるか複数の攻撃元からの攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報681〜686に含まれる不正アクセス元が同一であるか否かによって判定処理を実行する。
ここでは、図14に示す検出結果情報681〜686に含まれる不正アクセス元は全て「111.111.111.001」(つまり、同一)であるため、パケット解析処理部732は、当該検出結果情報681〜686に関する不正アクセスが同一攻撃元からの攻撃であると判定する(ステップS61)。
次に、パケット解析処理部732は、取得された検出結果情報681〜686に含まれる不正アクセス先(IPアドレス)に基づいて、当該検出結果情報681〜686に関する不正アクセスが同一サーバ40に対する攻撃か複数のサーバ40に対する攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報681〜686に含まれる不正アクセス先が同一であるか否かによって判定処理を実行する。
ここでは、図14に示す検出結果情報681〜686に含まれる不正アクセス先は全て「222.222.222.001」(つまり、同一)であるため、パケット解析処理部732は、当該検出結果情報681〜686に関する不正アクセスが同一(単一)サーバ40に対する攻撃であると判定する(ステップS62)。
次に、パケット解析処理部732は、取得された検出結果情報681〜686に含まれる不正アクセス内容に基づいて、当該検出結果情報681〜686に関する不正アクセスが同一種類の攻撃であるか複数種類の攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報681〜686に含まれる不正アクセス内容が同一であるか否かによって判定処理を実行する。
ここでは、図14に示す検出結果情報681〜686に含まれる不正アクセス内容は全て異なるため、パケット解析処理部732は、当該検出結果情報681〜686に関する不正アクセスが複数種類の攻撃であると判定する(ステップS63)。
上記したようにステップS61〜ステップS63の処理において、検出結果情報681〜686に関する不正アクセスが、同一の攻撃元から同一サーバ40に対する複数種類の攻撃であると判定された場合、パケット解析処理部732は、対象不正パケットに関わる不正アクセスが特定のサーバ40に対する特定攻撃であると判定する(ステップS64)。ここで、特定のサーバ40とは、不正アクセス先のIPアドレスが割り当てられているサーバ40である。
次に、図16及び図17を参照して、第6の具体例について説明する。図16は、第6の具体例における検出結果データベース63のデータ構造の一例を示す。
図16に示すように、検出結果データベース63には、検出結果情報691〜696が蓄積(格納)されているものとする。検出結果情報691には、不正アクセス元(のIPアドレス)「111.111.111.001」、不正アクセス先(のIPアドレス)「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:00」が含まれている。
検出結果情報692には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:01」が含まれている。
検出結果情報693には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:02」が含まれている。
検出結果情報694には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:03」が含まれている。
検出結果情報695には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:04」が含まれている。
検出結果情報696には、不正アクセス元「111.111.111.001」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:05」が含まれている。
次に、図17のフローチャートを参照して、第6の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順について説明する。
まず、パケット解析処理部732は、検出結果データベース63を参照して、判定処理を実行する。このとき、パケット解析処理部732は、上記した図16に示す検出結果データベース63を参照したものとする。なお、図16に示す検出結果データベース63に格納されている検出結果情報691〜696のうち、例えば対象不正パケットに関する検出結果情報は検出結果情報696であるものとする。
パケット解析処理部732は、検出結果データベース63から例えば単位時間当たりの検出結果情報を取得する。このとき、パケット解析処理部732は、検出結果情報に含まれる時刻(を示す情報)に基づいて、検出結果情報を取得する。ここでは、単位時間当たりの検出結果情報として、検出結果情報691〜696が取得されたものとする。
パケット解析処理部732は、取得された検出結果情報691〜696に含まれる不正アクセス元(IPアドレス)に基づいて、当該検出結果情報691〜696に関する不正アクセスが同一攻撃元からの攻撃であるか複数の攻撃元からの攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報691〜696に含まれる不正アクセス元が同一であるか否かによって判定処理を実行する。
ここでは、図16に示す検出結果情報691〜696に含まれる不正アクセス元は全て「111.111.111.001」(つまり、同一)であるため、パケット解析処理部732は、当該検出結果情報691〜696に関する不正アクセスが同一攻撃元からの攻撃であると判定する(ステップS71)。
次に、パケット解析処理部732は、取得された検出結果情報691〜696に含まれる不正アクセス先(IPアドレス)に基づいて、当該検出結果情報691〜696に関する不正アクセスが同一サーバ40に対する攻撃か複数のサーバ40に対する攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報691〜696に含まれる不正アクセス先が同一であるか否かによって判定処理を実行する。
ここでは、図16に示す検出結果情報691〜696に含まれる不正アクセス先は全て「222.222.222.001」(つまり、同一)であるため、パケット解析処理部732は、当該検出結果情報691〜696に関する不正アクセスが同一サーバ40に対する攻撃であると判定する(ステップS72)。
次に、パケット解析処理部732は、取得された検出結果情報691〜696に含まれる不正アクセス内容に基づいて、当該検出結果情報691〜696に関する不正アクセスが同一種類の攻撃であるか複数種類の攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報691〜696に含まれる不正アクセス内容が同一であるか否かによって判定処理を実行する。
ここでは、図16に示す検出結果情報691〜696に含まれる不正アクセス内容は全て「http_0001」(つまり、同一)であるため、パケット解析処理部732は、当該検出結果情報691〜696に関する不正アクセスが同一種類の攻撃であると判定する(ステップS73)。
上記したようにステップS71〜ステップS73の処理において、検出結果情報691〜696に関する不正アクセスが、同一の攻撃元から同一サーバ40に対する複数種類の攻撃であると判定された場合、パケット解析処理部732は、対象不正パケットに関わる不正アクセスが特定のサーバ40に対する特定攻撃であると判定する(ステップS74)。
次に、図18及び図19を参照して、第7の具体例について説明する。図18は、第7の具体例における検出結果データベース63のデータ構造の一例を示す。
図18に示すように、検出結果データベース63には、検出結果情報701〜706が蓄積(格納)されているものとする。検出結果情報701には、不正アクセス元(のIPアドレス)「111.111.111.001」、不正アクセス先(のIPアドレス)「222.222.222.001」、不正アクセス内容「http_0006」及び時刻「2007/01/01/00:00:00」が含まれている。
検出結果情報702には、不正アクセス元「111.111.111.002」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0005」及び時刻「2007/01/01/00:00:01」が含まれている。
検出結果情報703には、不正アクセス元「111.111.111.003」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0004」及び時刻「2007/01/01/00:00:02」が含まれている。
検出結果情報704には、不正アクセス元「111.111.111.004」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0003」及び時刻「2007/01/01/00:00:03」が含まれている。
検出結果情報705には、不正アクセス元「111.111.111.005」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0002」及び時刻「2007/01/01/00:00:04」が含まれている。
検出結果情報706には、不正アクセス元「111.111.111.006」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:05」が含まれている。
次に、図19のフローチャートを参照して、第7の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順について説明する。
まず、パケット解析処理部732は、検出結果データベース63を参照して、判定処理を実行する。このとき、パケット解析処理部732は、上記した図18に示す検出結果データベース63を参照したものとする。なお、図18に示す検出結果データベース63に格納されている検出結果情報701〜706のうち、例えば対象不正パケットに関する検出結果情報は検出結果情報706であるものとする。
パケット解析処理部732は、検出結果データベース63から例えば単位時間当たりの検出結果情報を取得する。このとき、パケット解析処理部732は、検出結果情報に含まれる時刻(を示す情報)に基づいて、検出結果情報を取得する。ここでは、単位時間当たりの検出結果情報として、検出結果情報701〜706が取得されたものとする。
パケット解析処理部732は、取得された検出結果情報701〜706に含まれる不正アクセス元(IPアドレス)に基づいて、当該検出結果情報701〜706に関する不正アクセスが同一攻撃元からの攻撃であるか複数の攻撃元からの攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報701〜706に含まれる不正アクセス元が同一であるか否かによって判定処理を実行する。
ここでは、図18に示す検出結果情報701〜706に含まれる不正アクセス元は全て異なるため、パケット解析処理部732は、当該検出結果情報701〜706に関する不正アクセスが複数の攻撃元からの攻撃であると判定する(ステップS81)。
次に、パケット解析処理部732は、取得された検出結果情報701〜706に含まれる不正アクセス先(IPアドレス)に基づいて、当該検出結果情報701〜706に関する不正アクセスが同一サーバ40に対する攻撃か複数のサーバ40に対する攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報701〜706に含まれる不正アクセス先が同一であるか否かによって判定処理を実行する。
ここでは、図18に示す検出結果情報701〜706に含まれる不正アクセス先は全て「222.222.222.001」(つまり、同一)であるため、パケット解析処理部732は、当該検出結果情報701〜706に関する不正アクセスが同一サーバ40に対する攻撃であると判定する(ステップS82)。
次に、パケット解析処理部732は、取得された検出結果情報701〜706に含まれる不正アクセス内容に基づいて、当該検出結果情報701〜706に関する不正アクセスが同一種類の攻撃であるか複数種類の攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報701〜706に含まれる不正アクセス内容が同一であるか否かによって判定処理を実行する。
ここでは、図12に示す検出結果情報701〜706に含まれる不正アクセス内容は全て異なるため、パケット解析処理部732は、当該検出結果情報701〜706に関する不正アクセスが複数種類の攻撃であると判定する(ステップS83)。
上記したようにステップS81〜ステップS83の処理において、検出結果情報701〜706に関する不正アクセスが、複数の攻撃元から同一サーバ40に対する複数種類の攻撃であると判定された場合、パケット解析処理部732は、対象不正パケットに関わる不正アクセスが特定のサーバ40に対する特定攻撃であると判定する(ステップS84)。
次に、図20及び図21を参照して、第8の具体例について説明する。図20は、第8の具体例における検出結果データベース63のデータ構造の一例を示す。
図20に示すように、検出結果データベース63には、検出結果情報711〜716が蓄積(格納)されているものとする。検出結果情報711には、不正アクセス元(のIPアドレス)「111.111.111.001」、不正アクセス先(のIPアドレス)「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:00」が含まれている。
検出結果情報712には、不正アクセス元「111.111.111.002」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:01」が含まれている。
検出結果情報713には、不正アクセス元「111.111.111.003」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:02」が含まれている。
検出結果情報714には、不正アクセス元「111.111.111.004」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:03」が含まれている。
検出結果情報715には、不正アクセス元「111.111.111.005」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:04」が含まれている。
検出結果情報716には、不正アクセス元「111.111.111.006」、不正アクセス先「222.222.222.001」、不正アクセス内容「http_0001」及び時刻「2007/01/01/00:00:05」が含まれている。
次に、図21のフローチャートを参照して、第8の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順について説明する。
まず、パケット解析処理部732は、検出結果データベース63を参照して、判定処理を実行する。このとき、パケット解析処理部732は、上記した図20に示す検出結果データベース63を参照したものとする。なお、図20に示す検出結果データベース63に格納されている検出結果情報711〜716のうち、例えば対象不正パケットに関する検出結果情報は検出結果情報716であるものとする。
パケット解析処理部732は、検出結果データベース63から例えば単位時間当たりの検出結果情報を取得する。このとき、パケット解析処理部732は、検出結果情報に含まれる時刻(を示す情報)に基づいて、検出結果情報を取得する。ここでは、単位時間当たりの検出結果情報として、検出結果情報711〜716が取得されたものとする。
パケット解析処理部732は、取得された検出結果情報711〜716に含まれる不正アクセス元(IPアドレス)に基づいて、当該検出結果情報711〜716に関する不正アクセスが同一攻撃元からの攻撃であるか複数の攻撃元からの攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報711〜716に含まれる不正アクセス元が同一であるか否かによって判定処理を実行する。
ここでは、図20に示す検出結果情報711〜716に含まれる不正アクセス元は全て異なるため、パケット解析処理部732は、当該検出結果情報711〜716に関する不正アクセスが複数の攻撃元からの攻撃であると判定する(ステップS91)。
次に、パケット解析処理部732は、取得された検出結果情報711〜716に含まれる不正アクセス先(IPアドレス)に基づいて、当該検出結果情報711〜716に関する不正アクセスが同一サーバ40に対する攻撃か複数のサーバ40に対する攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報711〜716に含まれる不正アクセス先が同一であるか否かによって判定処理を実行する。
ここでは、図20に示す検出結果情報711〜716に含まれる不正アクセス先は全て「222.222.222.001」(つまり、同一)であるため、パケット解析処理部732は、当該検出結果情報711〜716に関する不正アクセスが同一サーバ40に対する攻撃であると判定する(ステップS92)。
次に、パケット解析処理部732は、取得された検出結果情報711〜716に含まれる不正アクセス内容に基づいて、当該検出結果情報711〜716に関する不正アクセスが同一種類の攻撃であるか複数種類の攻撃であるかを判定する。パケット解析処理部732は、取得された検出結果情報711〜716に含まれる不正アクセス内容が同一であるか否かによって判定処理を実行する。
ここでは、図20に示す検出結果情報711〜716に含まれる不正アクセス内容は全て「http_0001」(つまり、同一)であるため、パケット解析処理部732は、当該検出結果情報711〜716に関する不正アクセスが同一種類の攻撃であると判定する(ステップS93)。
上記したようにステップS91〜ステップS93の処理において、検出結果情報711〜716に関する不正アクセスが、複数の攻撃元から同一サーバ40に対する同一種類の攻撃であると判定された場合、パケット解析処理部732は、対象不正パケットに関わる不正アクセスが特定のサーバ40に対する特定攻撃であると判定する(ステップS94)。
上記したように本実施形態においては、例えばネットワーク10に接続されているクライアント端末20から送信されたパケットが不正アクセスに関わる不正パケットとして検出された場合、当該不正パケットに関する検出結果情報が検出結果データベース63に蓄積され、当該検出結果データベース63を参照することにより、当該不正パケットが複数のサーバ40に対する無差別攻撃の1つであるか、特定のサーバ40に対する特定攻撃であるかを判定する。これにより、本実施形態においては、不正パケットが検出された際に、当該不正パケットが無差別攻撃の1つであるか特定攻撃であるかを区別することが可能となる。したがって、本実施形態によれば、不正パケットの攻撃種別を区別し、例えば当該攻撃種別の違いが分かるように予め登録された管理者に通知することで、不正アクセス検出後のサーバ40の管理者の対応指針が明確になる。
また、本実施形態においては、例えばサーバ40が接続されているネットワーク30と同一セグメントであるが存在しないアドレスに対して送信されたパケットに対して、仮想サーバ部734が応答する構成により、例えば保護対象サーバのアドレス(IPアドレス)に隣接する(同一セグメントに属する)複数のアドレスへの不正パケット(不正アクセス)についても解析することが可能となる。
また、本実施形態においては、単位時間当たりの特定のサーバ40に対する不正アクセス数(不正パケット数)が予め定められた値を超えた場合には当該特定のサーバ40に対する不正アクセス元からのアクセスを一定時間遮断することで、当該特定のサーバ40に対する不正アクセスを抑止することが可能となる。
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。
本発明の実施形態に係るパケット転送装置が接続されるネットワークシステムについて説明するための図。 図1に示すパケット転送装置70の主として機能構成を示すブロック図。 図2に示すパケット解析部73の機能構成を示すブロック図。 検出結果データベース63のデータ構造の一例を示す図。 パケット転送装置70の処理手順を示すフローチャート。 第1の具体例における検出結果データベース63のデータ構造の一例を示す図。 第1の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順を示すフローチャート。 第2の具体例における検出結果データベース63のデータ構造の一例を示す図。 第2の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順を示すフローチャート。 第3の具体例における検出結果データベース63のデータ構造の一例を示す図。 第3の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順を示すフローチャート。 第4の具体例における検出結果データベース63のデータ構造の一例を示す図。 第4の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順を示すフローチャート。 第5の具体例における検出結果データベース63のデータ構造の一例を示す図。 第5の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順を示すフローチャート。 第6の具体例における検出結果データベース63のデータ構造の一例を示す図。 第6の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順を示すフローチャート。 第7の具体例における検出結果データベース63のデータ構造の一例を示す図。 第7の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順を示すフローチャート。 第8の具体例における検出結果データベース63のデータ構造の一例を示す図。 第8の具体例における対象不正パケットが無差別攻撃の1つであるか、あるいは特定攻撃であるかを判定する処理手順を示すフローチャート。
符号の説明
10…ネットワーク(第1のネットワーク)、20…クライアント端末(送信元)、30…ネットワーク(第2のネットワーク)、40…サーバ(送信先)、50…コンピュータ、60…外部記憶装置、62…不正アクセスデータベース、63…検出結果データベース、70…パケット転送装置、71,72…パケット送受信部、73…パケット解析部、731…パケット通過処理部、732…パケット解析処理部、733…管理者通知部、734…仮想サーバ部。

Claims (5)

  1. パケットを通信可能な第1のネットワーク及び第2のネットワークに接続され、前記第1のネットワークに接続されている送信元により送信されたパケットを前記第2のネットワークに接続されている送信先に対して転送するパケット転送装置において、
    不正アクセスに関わる不正パケットを検出するための条件を示す不正アクセスデータを予め格納する不正アクセスデータベースと、
    前記第1のネットワークに接続されている送信元により送信されたパケットを受信する受信手段と、
    前記受信されたパケットを解析する解析手段と、
    前記解析結果に基づいて、前記解析されたパケットが前記不正アクセスデータベースに格納されている不正アクセスデータによって示される条件に合致するかを判定する不正パケット判定手段と、
    前記解析されたパケットが前記不正アクセスデータベースに格納されている不正アクセスデータによって示される条件に合致すると判定された場合に、当該解析されたパケットを不正パケットとして検出する検出手段と、
    前記解析結果に基づいて、前記検出された不正パケットに関する検出結果情報を蓄積する検出結果データベースと、
    前記検出された不正パケットが前記第2のネットワークに接続された複数の送信先に対する無差別攻撃の1つであるか、あるいは当該第2のネットワークに接続された特定の送信先に対する特定攻撃であるかを、前記検出結果データベースに蓄積されている検出結果情報に基づいて判定する攻撃種別判定手段と
    を具備することを特徴とするパケット転送装置。
  2. 前記検出結果データベースに蓄積されている検出結果情報は、前記検出された不正パケットの送信先を示す送信先アドレス及び当該不正パケットが検出された時刻を示す情報を含み、
    前記攻撃種別判定手段は、前記検出結果データベースに蓄積されている単位時間当たりの検出結果情報に含まれている送信先アドレスに基づいて、前記検出された不正パケットが複数の送信先アドレスに対して送信されている場合には前記複数の送信先に対する無差別攻撃の1つであると判定し、当該不正パケットが単一の送信先アドレスに対して送信されている場合には前記特定の送信先に対する特定攻撃であると判定することを特徴とする請求項1記載のパケット転送装置。
  3. 前記不正パケットが前記第2のネットワークに接続された特定の送信先に対する特定攻撃であると判定された場合、単位時間当たりの当該不正パケット数が予め定められた値以上かを前記検出結果データベースに蓄積されている検出結果情報に基づいて判定する不正アクセス数判定手段と、
    前記不正パケット数が予め定められた値以上であると判定された場合、当該不正パケットの送信元からの前記特定の送信先に対するアクセスを一定時間遮断する遮断手段と
    を更に具備することを特徴とする請求項1記載のパケット転送装置。
  4. 前記攻撃種別判定手段による判定結果を、予め登録された管理者に対して通知する通知手段を更に具備することを特徴とする請求項1記載のパケット転送装置。
  5. パケットを通信可能な第1のネットワーク及び第2のネットワークに接続されたコンピュータと、不正アクセスに関わる不正パケットを検出するための条件を示す不正アクセスデータを予め格納する不正アクセスデータベースと検出結果データベースを有し、前記コンピュータによって利用される外部記憶装置とから構成されるパケット転送装置において、当該コンピュータによって実行されるパケット転送プログラムであって、
    前記コンピュータに、
    前記第1のネットワークに接続されている送信元により送信されたパケットを受信するステップと、
    前記受信されたパケットを解析するステップと、
    前記解析結果に基づいて、前記解析されたパケットが前記不正アクセスデータベースに格納されている不正アクセスデータによって示される条件に合致するかを判定するステップと、
    前記解析されたパケットが前記不正アクセスデータベースに格納されている不正アクセスデータによって示される条件に合致する場合に、当該解析されたパケットを不正パケットとして検出するステップと、
    前記解析結果に基づいて、前記検出された不正パケットに関する検出結果情報を前記検出結果データベースに蓄積するステップと、
    前記検出された不正パケットが前記第2のネットワークに接続された複数の送信先に対する無差別攻撃の1つであるか、あるいは当該第2のネットワークに接続された特定の送信先に対する特定攻撃であるかを、前記検出結果データベースに蓄積されている検出結果情報に基づいて判定するステップと
    を実行させるためのパケット転送プログラム。
JP2007250191A 2007-09-26 2007-09-26 パケット転送装置及びパケット転送プログラム Pending JP2009081736A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007250191A JP2009081736A (ja) 2007-09-26 2007-09-26 パケット転送装置及びパケット転送プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007250191A JP2009081736A (ja) 2007-09-26 2007-09-26 パケット転送装置及びパケット転送プログラム

Publications (1)

Publication Number Publication Date
JP2009081736A true JP2009081736A (ja) 2009-04-16

Family

ID=40656151

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007250191A Pending JP2009081736A (ja) 2007-09-26 2007-09-26 パケット転送装置及びパケット転送プログラム

Country Status (1)

Country Link
JP (1) JP2009081736A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010226177A (ja) * 2009-03-19 2010-10-07 Toshiba Corp パケット転送装置及び同装置に実行させるためのプログラム
JP2013206051A (ja) * 2012-03-28 2013-10-07 Nec Corp プログラム配置方法
JP2018196054A (ja) * 2017-05-19 2018-12-06 富士通株式会社 評価プログラム、評価方法および情報処理装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003179647A (ja) * 2001-12-13 2003-06-27 Toshiba Corp パケット転送装置およびパケット転送方法
JP2004266483A (ja) * 2003-02-28 2004-09-24 Nec Corp 不正アクセス防止方法、装置、プログラム
JP2005134972A (ja) * 2003-10-28 2005-05-26 Pfu Ltd ファイアウォール装置
JP2005252808A (ja) * 2004-03-05 2005-09-15 Fujitsu Ltd 不正アクセス阻止方法、装置及びシステム並びにプログラム
JP2007104104A (ja) * 2005-09-30 2007-04-19 Toshiba Corp パケット転送装置、パケット転送方法及びパケット転送プログラム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003179647A (ja) * 2001-12-13 2003-06-27 Toshiba Corp パケット転送装置およびパケット転送方法
JP2004266483A (ja) * 2003-02-28 2004-09-24 Nec Corp 不正アクセス防止方法、装置、プログラム
JP2005134972A (ja) * 2003-10-28 2005-05-26 Pfu Ltd ファイアウォール装置
JP2005252808A (ja) * 2004-03-05 2005-09-15 Fujitsu Ltd 不正アクセス阻止方法、装置及びシステム並びにプログラム
JP2007104104A (ja) * 2005-09-30 2007-04-19 Toshiba Corp パケット転送装置、パケット転送方法及びパケット転送プログラム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010226177A (ja) * 2009-03-19 2010-10-07 Toshiba Corp パケット転送装置及び同装置に実行させるためのプログラム
JP2013206051A (ja) * 2012-03-28 2013-10-07 Nec Corp プログラム配置方法
JP2018196054A (ja) * 2017-05-19 2018-12-06 富士通株式会社 評価プログラム、評価方法および情報処理装置
JP7005936B2 (ja) 2017-05-19 2022-02-10 富士通株式会社 評価プログラム、評価方法および情報処理装置
US11455389B2 (en) 2017-05-19 2022-09-27 Fujitsu Limited Evaluation method, information processing apparatus, and storage medium

Similar Documents

Publication Publication Date Title
CN110121876B (zh) 用于通过使用行为分析检测恶意设备的系统和方法
US10862854B2 (en) Systems and methods for using DNS messages to selectively collect computer forensic data
US8661544B2 (en) Detecting botnets
US20070022468A1 (en) Packet transmission equipment and packet transmission system
CN108270722B (zh) 一种攻击行为检测方法和装置
JP2004304752A (ja) 攻撃防御システムおよび攻撃防御方法
KR20130014226A (ko) 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
JP5980968B2 (ja) 情報処理装置、情報処理方法及びプログラム
JP2020017809A (ja) 通信装置及び通信システム
JP2006350561A (ja) 攻撃検出装置
US8839406B2 (en) Method and apparatus for controlling blocking of service attack by using access control list
CN108259473A (zh) Web服务器扫描防护方法
US20180191650A1 (en) Publish-subscribe based exchange for network services
JP2006067605A (ja) 攻撃検知装置および攻撃検知方法
JP2007325293A (ja) 攻撃検知システムおよび攻撃検知方法
JP6106861B1 (ja) ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム
JP2009081736A (ja) パケット転送装置及びパケット転送プログラム
JP4321375B2 (ja) アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム
JP4391455B2 (ja) DDoS攻撃に対する不正アクセス検知システム及びプログラム
JP4777366B2 (ja) ワーム対策プログラム、ワーム対策装置、ワーム対策方法
JP2016170651A (ja) 不正アクセス検出方法、装置、及びプログラム
KR102695124B1 (ko) 사물인터넷 환경에서의 게이트웨이 기반 사물봇 탐지 방법 및 장치
JP5922622B2 (ja) 制御装置、通信システム、および、通信制御方法
JP2019033320A (ja) 攻撃対処システム及び攻撃対処方法
RU2776349C1 (ru) Системы и способы использования сообщений dns для селективного сбора компьютерных криминалистических данных

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090828

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090901

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100105