JP2009239525A - フィルタリング装置、フィルタリング方法およびフィルタリングプログラム - Google Patents
フィルタリング装置、フィルタリング方法およびフィルタリングプログラム Download PDFInfo
- Publication number
- JP2009239525A JP2009239525A JP2008081699A JP2008081699A JP2009239525A JP 2009239525 A JP2009239525 A JP 2009239525A JP 2008081699 A JP2008081699 A JP 2008081699A JP 2008081699 A JP2008081699 A JP 2008081699A JP 2009239525 A JP2009239525 A JP 2009239525A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- information storage
- transmission source
- permission information
- stored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
【解決手段】パケットフィルタリング装置は、SIPサーバから送信されたパケットを受信し、受信したパケットが、SIPクライアントから所定の間隔で送信される認証要求に対する応答であるか否かを判定し、認証要求に対する応答であると判定され、当該パケットの送信元情報がホワイトリストに記憶されていない場合に、当該パケットの送信元情報を取得してホワイトリストに格納する。そして、パケットフィルタリング装置は、ネットワークに輻輳が発生していると検出した場合に、ネットワーク上のパケットを受信し、当該受信されたパケットのうち、ホワイトリストに送信元が記憶されているパケットを、ホワイトリストに送信元が記憶されていないパケットよりも優先して送信先に転送する。
【選択図】 図3
Description
まず最初に、図1を用いて、実施例1に係るパケットフィルタリング装置の概要および特徴を説明する。図1は、実施例1に係るパケットフィルタリング装置を含むシステムの全体構成を示すシステム構成図である。
次に、図3を用いて、図1に示したパケットフィルタリング装置の構成を説明する。図3は、実施例1に係るパケットフィルタリング装置の構成を示すブロック図である。図3に示すように、このパケットフィルタリング装置10は、通信制御I/F部11と、記憶部15と、制御部20とから構成される。
次に、図5と図6とを用いて、パケットフィルタリング装置による処理を説明する。図5は、実施例1に係るパケットフィルタリング装置におけるホワイトリスト作成処理の流れを示すフローチャートであり、図6は、実施例1に係るパケットフィルタリング装置におけるフィルタリング処理の流れを示すフローチャートである。
図5に示すように、パケットフィルタリング装置10は、SIPサーバから送信されたパケットであって、SIPクライアントから送信されたメッセージに対する成功応答を受信すると(ステップS101肯定)、受信したパケットが「REGISTER」メッセージに対する応答であるか否かを判定する(ステップS102)。
図6に示すように、ネットワークの輻輳を検出したパケットフィルタリング装置10は、ネットワーク上のパケットを受信すると(ステップS201肯定)、受信したパケットのソースIPがホワイトリスト16に記憶されているか否かを判定する(ステップS202)。
このように、実施例1によれば、SIPサーバから送信されたパケットを受信し、受信されたパケットが、SIPクライアントから所定の間隔で送信される認証要求に対する応答であるか否かを判定し、認証要求に対する応答であると判定され、当該パケットの送信元情報がホワイトリスト16に記憶されていない場合に、当該パケットの送信元情報を取得してホワイトリスト16に格納するので、パケットフィルタリングの性能が低下することを防止することが可能であることと、未知の不正ユーザに対しても正確に防御することが可能である。
例えば、本発明では、ホワイトリストに記憶された情報が一定期間更新されない場合には、当該情報を削除することができる。このようにすることで、ネットワークに現在接続されているSIPクライアントについてのみのホワイトリストを作成することができる結果、長時間アクセスのない疑わしいユーザをホワイトリストから削除することができ、不正ユーザをより強固に防御するホワイトリストを作成することが可能である。
また、本発明では、ホワイトリストに必ずしも有効期限を記憶している必要はない。例えば、ホワイトリストに正規ユーザの送信元情報のみを記憶しておくこともでき、その場合でもパケットフィルタリングの性能が低下することを防止することが可能であり、未知の不正ユーザに対しても正確に防御することが可能である。
また、本発明では、ホワイトリストに登録する送信元情報としては、実施例1で説明したURIやIPアドレス、電話番号など、SIPを用いて通信する際にユーザを特定できる情報であれば、いずれの情報でもよい。
また、実施例1では、ホワイトリスト作成後にネットワークの輻輳が発生した場合には、作成したホワイトリストを用いてフィルタリングを実施する場合について説明したが、本発明はこれに限定されるものではなく、ホワイトリストを作成している段階でも、当該ホワイトリストを用いてフィルタリングを実施することができる。また、ホワイトリスト作成後にネットワークの輻輳が発生しなくても、ホワイトリスト作成後直ちに、作成したホワイトリストを用いてフィルタリングを実施することもできる。
また、実施例1では、SIPを用いた場合について説明したが、本発明はこれに限定されるものではなく、SIP以外にも、上記したパケットをやり取りするプロトコルにも適用することができる。具体的には、サーバ、クライアント通信において、クライアントは、サーバに対してパケットを送信し、サーバは、クライアントから送信されたパケットを用いてクライアントを認証してその認証結果をクライアント応答する。このようなプロトコルであれば、どのようなプロトコルでも同様に用いることができる。
また、本発明に係るパケットフィルタリング装置は、実施例1で説明したネットワーク構成以外にも適用することができる。例えば、図7に示すように、パケットフィルタリング装置は、SIPサーバとネットワークとの間にタップを介して接続することもできる。この場合、本装置は、タップを介してパケットのコピーを取得することで、実施例1と同様に、パケットフィルタリングの性能が低下することを防止することが可能であり、未知の不正ユーザに対しても正確に防御することが可能である。また、このように、タップを介して接続することで、本装置が故障した場合であっても、ネットワークが中断することを防止することが可能である。また、システム管理者は、本装置のホワイトリストをファイアウォールなどの装置に設定することで、実施例1と同様に、トラフィック制御を実現することが可能である。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理(例えば、ネットワーク使用状況やパケット流通率の輻輳検出処理など)の全部または一部を手動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、図2や図4など)については、特記する場合を除いて任意に変更することができる。
なお、本実施例で説明したフィルタリング方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
11 通信制御I/F部
15 記憶部
16 ホワイトリスト
20 制御部
21 パケット受信部
22 パケット判定部
23 パケット格納部
24 フィルタリング部
Claims (9)
- パケットの送受信を行うサーバ装置とクライアント装置とのそれぞれとネットワークを介して接続されるフィルタリング装置であって、
前記ネットワークで送受信を許可するパケットの送信元を示す送信元情報を記憶する許可情報記憶手段と、
前記サーバ装置から送信されたパケットを受信するパケット受信手段と、
前記パケット受信手段により受信されたパケットが、前記クライアント装置から所定の間隔で送信される認証要求に対する応答であるか否かを判定するパケット判定手段と、
前記パケット判定手段により認証要求に対する応答であると判定され、当該パケットの送信元情報が前記許可情報記憶手段に記憶されていない場合に、当該パケットの送信元情報を取得して前記許可情報記憶手段に格納する許可情報格納手段と、
を備えたことを特徴とするフィルタリング装置。 - 前記パケット受信手段は、前記サーバ装置から送信されたパケットであって、前記クライアント装置から送信されたパケットに対する成功応答を受信し、
前記パケット判定手段は、前記パケット受信手段により受信された成功応答が、前記クライアント装置から所定の間隔で送信される認証要求に対する応答であるか否かを判定することを特徴とする請求項1に記載のフィルタリング装置。 - 前記ネットワークにおいて輻輳が発生しているか否かを検出する輻輳検出手段と、
前記輻輳検出手段により輻輳が発生していると検出された場合に、前記ネットワーク上のパケットを受信し、当該受信されたパケットのうち、前記許可情報記憶手段に送信元情報が記憶されているパケットを、前記許可情報記憶手段に送信元情報が記憶されていないパケットよりも優先して送信先に転送するパケット転送手段とをさらに備えたことを特徴とする請求項1または2に記載のフィルタリング装置。 - 前記許可情報格納手段は、前記ネットワークで送受信を許可する期限を示す有効期限をさらに記憶するものであって、
前記許可情報格納手段は、前記パケット判定手段により認証要求に対する応答であると判定され、当該パケットの送信元情報が前記許可情報記憶手段に記憶されていない場合に、当該パケットの送信元情報と有効期限とを取得して前記許可情報記憶手段に格納することを特徴とする請求項1〜3のいずれか一つに記載のフィルタリング装置。 - 前記許可情報格納手段は、前記パケット判定手段により認証要求に対する応答であると判定され、当該パケットの送信元情報が前記許可情報記憶手段に記憶されている場合に、当該パケットの送信元情報と有効期限とを取得して、前記許可情報記憶手段に格納されている情報を更新することを特徴とする請求項4に記載のフィルタリング装置。
- 前記許可情報格納手段は、前記許可情報記憶手段に記憶されている情報が所定に期間更新されない場合には、当該情報を削除することを特徴とする請求項4または5に記載のフィルタリング装置。
- パケットの送受信を行うサーバ装置とクライアント装置とのそれぞれとネットワークを介して接続されるフィルタリング装置に適したフィルタリング方法であって、
前記ネットワークで送受信を許可するパケットの送信元を示す送信元情報を記憶する許可情報記憶手段と、
前記サーバ装置から送信されたパケットを受信するパケット受信工程と、
前記パケット受信工程により受信されたパケットが、前記クライアント装置から所定の間隔で送信される認証要求に対する応答であるか否かを判定するパケット判定工程と、
前記パケット判定工程により認証要求に対する応答であると判定され、当該パケットの送信元情報が前記許可情報記憶手段に記憶されていない場合に、当該パケットの送信元情報を取得して前記許可情報記憶手段に格納する許可情報格納手段と、
を含んだことを特徴とするフィルタリング方法。 - パケットの送受信を行うサーバ装置とクライアント装置とのそれぞれとネットワークを介して接続されるフィルタリング装置としてのコンピュータに実行させるフィルタリングプログラムであって、
前記ネットワークで送受信を許可するパケットの送信元を示す送信元情報を記憶する許可情報記憶手段と、
前記サーバ装置から送信されたパケットを受信するパケット受信手順と、
前記パケット受信工程により受信されたパケットが、前記クライアント装置から所定の間隔で送信される認証要求に対する応答であるか否かを判定するパケット判定手順と、
前記パケット判定手順により認証要求に対する応答であると判定され、当該パケットの送信元情報が前記許可情報記憶手段に記憶されていない場合に、当該パケットの送信元情報を取得して前記許可情報記憶手段に格納する許可情報格納手順と、
をコンピュータに実行させることを特徴とするフィルタリングプログラム。 - パケットを送受信するサーバ装置とクライアントとが接続されるネットワークに接続され、前記ネットワーク上のパケットをフィルタリングするフィルタリング装置であって、
前記ネットワーク上のパケットの転送を許可する送信元を特定する送信元情報を記憶する許可情報記憶手段と、
前記ネットワーク上のパケットを受信するパケット受信手段と、
前記パケット受信手段により受信されたパケットの送信元情報が前記許可情報記憶手段に記憶されている場合に、当該パケットを送信先に転送するパケット転送手段と、
前記パケット受信手段により受信されたパケットの送信元情報が前記許可情報記憶手段に記憶されていない場合に、前記サーバ装置から送信されたパケットであって、前記クライアント装置から送信された認証要求対する許可応答であるか否かを判定するパケット判定手段と、
前記パケット判定手段により認証要求対する許可応答であると判定された場合に、当該パケットから送信元情報を取得して前記許可情報記憶手段に格納するとともに、当該パケットを送信先に転送する許可情報格納手段と、
を備えたことを特徴とするフィルタリング装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008081699A JP2009239525A (ja) | 2008-03-26 | 2008-03-26 | フィルタリング装置、フィルタリング方法およびフィルタリングプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008081699A JP2009239525A (ja) | 2008-03-26 | 2008-03-26 | フィルタリング装置、フィルタリング方法およびフィルタリングプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009239525A true JP2009239525A (ja) | 2009-10-15 |
Family
ID=41252971
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008081699A Pending JP2009239525A (ja) | 2008-03-26 | 2008-03-26 | フィルタリング装置、フィルタリング方法およびフィルタリングプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009239525A (ja) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017005402A (ja) * | 2015-06-08 | 2017-01-05 | アラクサラネットワークス株式会社 | 通信装置 |
JP6360221B1 (ja) * | 2017-03-31 | 2018-07-18 | 西日本電信電話株式会社 | 通信制御装置、通信制御システム、通信制御方法及び通信制御プログラム |
WO2018212086A1 (ja) * | 2017-05-15 | 2018-11-22 | 日本電気株式会社 | 制御装置、中継装置、通信システムおよび通信制御方法 |
US10193890B2 (en) | 2015-08-26 | 2019-01-29 | Alaxala Networks Corporation | Communication apparatus to manage whitelist information |
JP2019047239A (ja) * | 2017-08-31 | 2019-03-22 | セコム株式会社 | パケットフィルタリング装置 |
CN109561049A (zh) * | 2017-09-26 | 2019-04-02 | 浙江宇视科技有限公司 | 一种基于监控业务的动态准入方法及装置 |
WO2019064823A1 (ja) * | 2017-09-28 | 2019-04-04 | 日本電気株式会社 | 通信装置、通信システム、通信制御方法、通信プログラムおよびデバイス接続制御プログラム |
JP2020072368A (ja) * | 2018-10-31 | 2020-05-07 | 日本電気株式会社 | ホワイトリスト管理装置、ホワイトリスト管理方法、及びプログラム |
US10680893B2 (en) | 2015-10-27 | 2020-06-09 | Alaxala Networks Corporation | Communication device, system, and method |
CN112788045A (zh) * | 2021-01-21 | 2021-05-11 | 杭州迪普科技股份有限公司 | 网络摄像机的安全防护方法及装置 |
US11159533B2 (en) | 2017-07-19 | 2021-10-26 | Alaxala Networks Corporation | Relay apparatus |
CN114827161A (zh) * | 2022-04-20 | 2022-07-29 | 微位(深圳)网络科技有限公司 | 服务调用请求发送方法、装置、电子设备及可读存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008252221A (ja) * | 2007-03-29 | 2008-10-16 | Nec Corp | DoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法及びDoS攻撃防御装置 |
-
2008
- 2008-03-26 JP JP2008081699A patent/JP2009239525A/ja active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008252221A (ja) * | 2007-03-29 | 2008-10-16 | Nec Corp | DoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法及びDoS攻撃防御装置 |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017005402A (ja) * | 2015-06-08 | 2017-01-05 | アラクサラネットワークス株式会社 | 通信装置 |
US10193890B2 (en) | 2015-08-26 | 2019-01-29 | Alaxala Networks Corporation | Communication apparatus to manage whitelist information |
US10680893B2 (en) | 2015-10-27 | 2020-06-09 | Alaxala Networks Corporation | Communication device, system, and method |
JP6360221B1 (ja) * | 2017-03-31 | 2018-07-18 | 西日本電信電話株式会社 | 通信制御装置、通信制御システム、通信制御方法及び通信制御プログラム |
JP2018174471A (ja) * | 2017-03-31 | 2018-11-08 | 西日本電信電話株式会社 | 通信制御装置、通信制御システム、通信制御方法及び通信制御プログラム |
WO2018212086A1 (ja) * | 2017-05-15 | 2018-11-22 | 日本電気株式会社 | 制御装置、中継装置、通信システムおよび通信制御方法 |
US11159533B2 (en) | 2017-07-19 | 2021-10-26 | Alaxala Networks Corporation | Relay apparatus |
JP2019047239A (ja) * | 2017-08-31 | 2019-03-22 | セコム株式会社 | パケットフィルタリング装置 |
CN109561049B (zh) * | 2017-09-26 | 2021-07-20 | 浙江宇视科技有限公司 | 一种基于监控业务的动态准入方法及装置 |
CN109561049A (zh) * | 2017-09-26 | 2019-04-02 | 浙江宇视科技有限公司 | 一种基于监控业务的动态准入方法及装置 |
JP2019068119A (ja) * | 2017-09-28 | 2019-04-25 | 日本電気株式会社 | 通信装置、通信システム、通信制御方法、通信プログラムおよびデバイス接続制御プログラム |
WO2019064823A1 (ja) * | 2017-09-28 | 2019-04-04 | 日本電気株式会社 | 通信装置、通信システム、通信制御方法、通信プログラムおよびデバイス接続制御プログラム |
US11303476B2 (en) | 2017-09-28 | 2022-04-12 | Nec Corporation | Communication apparatus, communication system, communication control method, communication program and device connection control program |
JP2020072368A (ja) * | 2018-10-31 | 2020-05-07 | 日本電気株式会社 | ホワイトリスト管理装置、ホワイトリスト管理方法、及びプログラム |
JP7326722B2 (ja) | 2018-10-31 | 2023-08-16 | 日本電気株式会社 | ホワイトリスト管理装置、ホワイトリスト管理方法、及びプログラム |
CN112788045A (zh) * | 2021-01-21 | 2021-05-11 | 杭州迪普科技股份有限公司 | 网络摄像机的安全防护方法及装置 |
CN112788045B (zh) * | 2021-01-21 | 2023-02-24 | 杭州迪普科技股份有限公司 | 网络摄像机的安全防护方法及装置 |
CN114827161A (zh) * | 2022-04-20 | 2022-07-29 | 微位(深圳)网络科技有限公司 | 服务调用请求发送方法、装置、电子设备及可读存储介质 |
CN114827161B (zh) * | 2022-04-20 | 2023-07-25 | 微位(深圳)网络科技有限公司 | 服务调用请求发送方法、装置、电子设备及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2009239525A (ja) | フィルタリング装置、フィルタリング方法およびフィルタリングプログラム | |
US20200177556A1 (en) | Methods and systems for api deception environment and api traffic control and security | |
JP4827972B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
US9398037B1 (en) | Detecting and processing suspicious network communications | |
US7716729B2 (en) | Method for responding to denial of service attacks at the session layer or above | |
US9843590B1 (en) | Method and apparatus for causing a delay in processing requests for internet resources received from client devices | |
JP4376711B2 (ja) | アクセス管理方法及びその装置 | |
US9680951B1 (en) | Method and apparatus for causing delay in processing requests for internet resources received from client devices | |
WO2016006520A1 (ja) | 検知装置、検知方法及び検知プログラム | |
US20080082650A1 (en) | Inter-client communication log management system | |
KR20080024469A (ko) | 부정적인 인터넷 계정 액세스 방지 | |
JP2005044277A (ja) | 不正通信検出装置 | |
JP2018191268A (ja) | DDoS攻撃の検出時のトラフィックフィルタリングのシステムおよび方法 | |
JP5864598B2 (ja) | ユーザにサービスアクセスを提供する方法およびシステム | |
JP2022554101A (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
CN108259473A (zh) | Web服务器扫描防护方法 | |
CN106789858B (zh) | 一种访问控制方法和装置以及服务器 | |
JP4602158B2 (ja) | サーバ装置保護システム | |
WO2009028342A1 (ja) | サービス提供システム、フィルタリング装置、フィルタリング方法及びメッセージ確認方法 | |
JP2010187327A (ja) | パケット通信装置、パケット通信方法及びパケット通信プログラム | |
JP5336262B2 (ja) | ユーザ認証システムおよびユーザ認証方法 | |
US10079857B2 (en) | Method of slowing down a communication in a network | |
JP2006216014A (ja) | メッセージを認証するためのシステムおよび方法、メッセージを認証するためのファイアウォール、ネットワーク装置、および、コンピュータ読み取り可能な媒体 | |
KR102046612B1 (ko) | Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법 | |
JP4084317B2 (ja) | ワーム検出方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100108 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110519 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110520 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110520 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110531 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110720 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110830 |