JP2018182618A - パケット処理装置、パケット処理方法、及び、パケット処理プログラム - Google Patents

パケット処理装置、パケット処理方法、及び、パケット処理プログラム Download PDF

Info

Publication number
JP2018182618A
JP2018182618A JP2017082126A JP2017082126A JP2018182618A JP 2018182618 A JP2018182618 A JP 2018182618A JP 2017082126 A JP2017082126 A JP 2017082126A JP 2017082126 A JP2017082126 A JP 2017082126A JP 2018182618 A JP2018182618 A JP 2018182618A
Authority
JP
Japan
Prior art keywords
packet
list
access prohibition
attribute information
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017082126A
Other languages
English (en)
Inventor
舞音 鈴木
Maine Suzuki
舞音 鈴木
健治 三橋
Kenji Mihashi
健治 三橋
▲徳▼大 戸田
Akihiro Toda
▲徳▼大 戸田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017082126A priority Critical patent/JP2018182618A/ja
Publication of JP2018182618A publication Critical patent/JP2018182618A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】サイバー攻撃に対する防御力を向上させる。【解決手段】パケットを受信する受信部と、サーバへのアクセスの禁止対象である送信元の情報を含むアクセス禁止リストと、アクセス禁止リストへの登録の対象候補である送信元からのパケットの属性情報を含むアクセス禁止候補リストと、を記憶する記憶部と、サービス提供に用いられていない宛先ポート番号が含まれているパケットが受信された場合に、当該パケットの属性情報をアクセス禁止候補リストに登録し、アクセス禁止候補リストに登録されている属性情報のいずれかに一致する属性情報が含まれるパケットが受信された場合に、パケットの送信元の情報をアクセス禁止リストに登録する制御部と、を備えるパケット処理装置である。【選択図】図1

Description

本発明は、パケット処理装置、パケット処理方法、及び、パケット処理プログラムに関する。
サイバー攻撃に対する防御方法の一つとして、例えば、攻撃者からの通信を特定し、フィルタリングすることが行われている。
特開2008−177714号公報 特開2010−212916号公報 特開2004−304752号公報
しかしながら、サイバー攻撃は、高度化しており、手法を変えて執拗に行われる傾向にある。例えば、APT(Advanced Persistent Threat)攻撃と呼ばれるタイプの攻撃では、ターゲットに対して持続的に攻撃が行われる。そのため、サイバー攻撃からシステムを防御することが困難になってきている。
本発明の一態様は、サイバー攻撃に対する防御力を向上可能なパケット処理装置、パケット処理方法、及び、パケット処理プログラムを提供することを目的とする。
本発明の態様の一つは、パケット処理装置である。パケット処理装置は、受信部と、記憶部と、制御部とを備える。受信部は、パケットを受信する。記憶部は、サーバへのアクセスの禁止対象である送信元の情報を含むアクセス禁止リストと、アクセス禁止リストへの登録の対象候補である送信元からのパケットの属性情報を含むアクセス禁止候補リストと、を記憶する。制御部は、サービス提供に用いられていない宛先ポート番号が含まれるパケットが受信された場合に、当該パケットの属性情報をアクセス禁止候補リストに登録する。また、制御部は、アクセス禁止候補リストに登録されている属性情報のいずれかに一致する属性情報が含まれるパケットが受信された場合に、当該パケットの送信元の情報をアクセス禁止リストに登録する。
開示のパケット処理装置、通信システム、パケット処理方法、及び、パケット処理プログラムによれば、サイバー攻撃に対する防御力を向上させることができる。
図1は、第1実施形態に係るネットワークシステムのシステム構成の一例を示す図である。 図2は、サイバー攻撃の一例を示す図である。 図3は、セキュリティGWのハードウェア構成の一例を示す図である。 図4は、セキュリティGWの機能構成の一例を示す図である。 図5は、管理者リストの一例である。 図6は、サービス提供ポートリストの一例である。 図7は、攻撃者リストの一例である。 図8は、攻撃被疑者リストの一例である。 図9は、第1実施形態に係るセキュリティGWのパケット判定部の処理のフローチャートの一例を示す図である。 図10は、第2実施形態に係るセキュリティGWのパケット判定部の処理のフローチャートの一例である。
以下、図面に基づいて、本発明の実施の形態を説明する。以下の実施形態の構成は例示であり、本発明は実施形態の構成に限定されない。
<第1実施形態>
図1は、第1実施形態に係るネットワークシステム100のシステム構成の一例を示す図である。ネットワークシステム100は、例えば、企業等の組織の私設ネットワークである。ただし、図1には、インターネットも示されている。
ネットワークシステム100は、複数のネットワークを含む。例えば、ネットワークシステム100は、部門ごとのネットワーク、各種サーバを含むサーバ群ネットワーク50A、監視サーバを含む監視サーバ群ネットワーク50Bを含む。部門ごとのネットワークには、各部門のユーザ端末が接続されている。
サーバ群ネットワーク50Aは、例えば、ファイルサーバ、メールサーバ、ウェブサーバ等を含む。また、サーバ群ネットワーク50Aは、架空のサービスを提供する偽サーバ2を含む。偽サーバ2によって提供されるサービスは、ネットワークシステム100内のいずれの端末及びサーバからも独立したサービスである。サーバによって提供されるサービスとは、例えば、通信を伴うアプリケーション、プロトコル等である。
サーバ群ネットワーク50Aでは、各種サーバは、セキュリティゲートウェイ(GW)1に接続されている。セキュリティGW 1は、例えば、サーバ群ネットワーク50Aに含まれるサーバ宛ての通信を監視し、攻撃者からの通信を特定する。セキュリティGW 1は、第1実施形態では、特定した攻撃者からの通信を偽サーバ2へ転送する。
偽サーバ2はネットワークシステム100内のいずれの装置からも独立したサービスを提供しているので、攻撃者からの通信が偽サーバ2に転送されることによって、攻撃者からの通信を隔離することができる。また、攻撃者には偽サーバ2によって架空のサービスが提供されるので、ネットワークシステム100内のサーバへの侵入が成功したように見せかけることができ、攻撃者からの再度の攻撃を抑制することができる。
監視サーバ群ネットワーク50Bは、ネットワークシステム100を監視し、異常の発生を検知する複数の監視サーバを含む。監視サーバの監視対象には、例えば、装置のハードウェア状態、サービスの状態、トラフィックがある。また、監視サーバの監視対象には、サイバー攻撃の有無も含まれる。
第1実施形態では、セキュリティGW 1は、攻撃者からの通信を検出すると、監視サーバにアラートを通知する。これによって、ネットワークシステム100のシステム管理者に攻撃者からのアクセスが通知され、システム管理者は対策を行うことができる。
図2は、サイバー攻撃の一例を示す図である。(1)攻撃者は、例えば、インターネットを介して、ネットワークシステム100内の端末3に電子メールを送信する。攻撃者から送信される電子メールは、例えば、標的型攻撃メールと呼ばれる、特定の宛先に対して
送信される電子メールである。また、攻撃者から送信される電子メールには、例えば、添付ファイル等の形式でマルウェアが含まれている。
(2)端末3のユーザが標的型攻撃メールを開封し、例えば、添付ファイルを開いてしまうと、端末3上でマルウェアが実行される。例えば、マルウェアが端末3を遠隔操作可能にするものである場合には、端末3のユーザは添付ファイルを開くことによって、攻撃者による端末3の遠隔操作が可能になる。
(3)攻撃者は端末3を遠隔操作して、サーバ群ネットワーク50Aに含まれるサーバに対し、UDP(User Datagram Protocol)ポートスキャンを行う。UDPポートスキャンとは、対象のサーバに対して1又は複数のポート番号にUDPデータを送信し、ポートの開閉状況を取得することである。
ポートの開閉状況とは、当該ポートが外部からの接続要求の受付を許可しているか否かである。ポートの開閉状況は、例えば、システム管理者によって設定される。ポートが開いている状態の場合には、外部からの接続要求を受け付け可能であることが示される。ポートが閉じた状態の場合には、外部からの接続要求が受け付けられないことが示される。
サービス提供に用いられるポートは、通常、開いている状態に設定される。一方、サービス提供に用いられないポートは、セキュリティの観点から、通常、閉じた状態に設定される。
攻撃者は開いている状態のポートからサーバに侵入する。そのため、UDPポートスキャンは、対象のサーバへ侵入する事前準備として行われることが多い。
宛先ポートが閉じた状態である場合には、宛先のサーバから送信元にICMP(Internet Control Message Protocol)のエラーメッセージが返されることがRFC(Request for Comments)によって規定されている。宛先ポートが開いている状態である場合には、
送信元にICMPエラーメッセージは返されない。宛先ポートが閉じている状態である場合に送信元に返信されるICMPエラーメッセージは、タイプ2(Destination Unreachable)、コード3(Port Unreachable)のメッセージである。
ICMPエラーメッセージを受信することで、攻撃者はICMPエラーメッセージの応答の起因となるUDPデータの宛先ポート番号のポートが閉じている状態であるという情報を取得することができる。また、ICMPエラーメッセージからは、ポートの開閉状況に加えて、例えば、IPヘッダの情報や受信パターン等から対象のサーバのOS情報も取得することができる。
(4)攻撃者は、UDPポートスキャンの結果によって開いている状態のポート番号を特定し、当該ポートから対象のサーバに対して侵入を試みる。
なお、UDPポートスキャンで特定される、開いている状態のポートはUDPのポートである。一方、サーバに侵入する際にはTCPが用いられることが多い。UDPとTCPでは、それぞれ独立してポート番号が管理されており、同じポート番号であっても互いに異なるポートである。したがって、UDPポートスキャンで特定される、開いている状態のUDPポートと同じ番号のTCPのポートが開いている状態であるとは限らない。
ただし、一般的には、TCP又はUDP一方のポート番号が所定のサービスに予約されている場合には、もう一方の同じポート番号も予約されることが多い。それとともに、TCP又はUDPの一方のポート番号のポートが所定のサービスの稼働によって開いている
状態である場合には、もう一方の同じ番号のポートが他のサービスによって用いられている可能性は低く、開いている状態である可能性がある。
サイバー攻撃ではこの点が利用され、例えば、図2に示されるような順序でサーバへの侵入が試みられる。サイバー攻撃で、まずUDPポートスキャンが行われるのは、例えば、UDPのデータ形式がシンプルであり、UDPのデータ形式から、攻撃者からのパケットであると特定されづらい為である。
サービス提供に用いられているポート番号は、少なくともネットワークシステム100内の当該サービスを利用する装置には公開されており、サービス提供に用いられているポートへのアクセスは許可対象である。UDPポートスキャンでは、例えば、全てのポート又はランダムに選択された1又は複数のポートに対してUDPデータが送信される。そのため、UDPポートスキャンでは、サービス提供に用いられていないポートに対してもUDPデータが送信される。
しかしながら、サービス提供に用いられていないポートには、例えば、設定変更の未反映等によって、正規のユーザからUDPデータが送信されることもある。そのため、サービス提供に用いられていないポートへアクセスするパケットが攻撃者からのものであるのか正規のユーザからのものであるのかを特定することは困難である。
第1実施形態では、セキュリティGW 1は、攻撃者からの通信か正規のユーザからの通信かが不明なパケットを検出し、当該パケットの属性情報を攻撃被疑者リストに記録する。パケットの属性情報は、例えば、宛先IPアドレス及び送信元IPアドレス、宛先ポート番号を含む情報である。
このとき、サービス提供に用いられていないポート番号を宛先ポート番号とするUDPパケットはUDPポートスキャンのパケットである可能性がある。そのため、セキュリティGW 1は、宛先のサーバから当該パケットの送信元へICMPエラーメッセージによる応答が返されないように、当該UDPパケットを宛先のサーバに転送せずに、当該UDPパケットを破棄する。これによって、攻撃者にICMPエラーメッセージが返されないので、攻撃者に対して、サービス提供に用いられていないポートをサービス提供に用いられているポートに見せかける。
また、ICMPエラーメッセージからサーバのOS情報等も取得可能であるので、ICMPエラーメッセージによる応答が攻撃者に返されないことによって、攻撃者に対して対象のサーバに関する情報を提供することを抑制することができる。
セキュリティGW 1は、その後、攻撃被疑者リストに記録された属性情報と少なくとも一部が一致する属性情報を有するパケットを受信した場合に、当該パケットを攻撃者からのパケットと判定して、偽サーバ2に転送するとともに、監視サーバにアラームを通知する。これによって、攻撃者に対してサーバへの侵入が成功したと誤認させ、さらなる攻撃を行わせないように誘導する。このようにして、第1実施形態では、サーバへの侵入成功を見せかけて攻撃者の攻撃意欲を低下させることによって、結果として、サイバー攻撃に対する防御力を高める。
<装置構成>
図3は、セキュリティGW 1のハードウェア構成の一例を示す図である。セキュリティGW 1は、例えば、専用のコンピュータ、又は、汎用のコンピュータである。また、セキュリティGW 1は、レイヤ3スイッチ、ルータ等のデータ中継を行う通信装置であってもよい。図3では、セキュリティGW 1が専用のコンピュータであることを想定し
たハードウェア構成が示されている。
セキュリティGW 1は、ハードウェア構成要素として、CPU(Central Processing
Unit)101、主記憶装置102、補助記憶装置103、ネットワークインタフェース
104を備え、これらはバスによって電気的に接続される。
補助記憶装置103は、例えば、EPROM(Erasable Programmable ROM)、又はハ
ードディスクドライブ(Hard Disk Drive)等の不揮発性の記憶媒体である。補助記憶装
置103は、例えば、OS(Operating System)、セキュリティプログラム103P、その他アプリケーションプログラムを格納する。セキュリティプログラム103Pは、攻撃者からの通信と疑われるパケットを検出して当該パケットの属性情報を攻撃被疑者リストに登録し、その後、攻撃被疑者リストに一致する属性情報を有するパケットを受信した場合に、攻撃者を特定するためのプログラムである。補助記憶装置103は、「記憶部」の一例である。
主記憶装置102は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)を含む。RAMは、例えば、DRAM(Dynamic RAM)、SRAM(Static RAM
)、SDRAM(Synchronous DRAM)、のような半導体メモリである。主記憶装置10
2のRAMは、CPU 101に、ROMや補助記憶装置103に格納されているプログラムをロードする記憶領域および作業領域を提供したり、バッファとして用いられたりする。
CPU 101は、補助記憶装置103に保持されたOSやプログラムをRAMにロードして実行することによって、様々な処理を実行する。CPU 101は、複数であってもよい。CPU 101は、「制御部」の一例である。
ネットワークインタフェース104は、例えば、複数備えられる。ネットワークインタフェース104は、ネットワークとの情報の入出力を行うインタフェース、サーバを接続するインタフェースである。ネットワークインタフェース104は、有線のネットワークと接続するインタフェースである。また、ネットワークインタフェース104には、無線のネットワークと接続するインタフェースが含まれてもよい。ネットワークインタフェース104は、例えば、NIC(Network Interface Card)、無線LAN(Local Area Network)カード等である。ネットワークインタフェース104で受信されたデータ等は、CPU 101に出力される。ネットワークインタフェース104は、「受信部」の一例である。
なお、図3に示されるセキュリティGW 1のハードウェア構成は、一例であり、上記に限られず、実施の形態に応じて、適宜、構成要素の省略や置換、追加が可能である。例えば、セキュリティGW 1は、可搬記録媒体駆動装置を備え、SDカード等の可搬記録媒体を補助記憶装置の一つとして使用してもよい。また、例えば、セキュリティGW 1が備えるネットワークインタフェース104は1つであってもよく、この場合には、ネットワークインタフェース104はスイッチやハブ等のネットワーク装置を接続し、当該スイッチに各サーバが接続される。
図4は、セキュリティGW 1の機能構成の一例を示す図である。セキュリティGW 1は、機能構成要素として、パケット判定部11、パケット処理部12、接続ポート制御部13、偽装ICMP処理部14、攻撃者リスト15、攻撃被疑者リスト16、管理者リスト17、サービス提供ポートリスト18を備える。これらの機能構成要素は、例えば、セキュリティGW 1のCPU 101がセキュリティプログラム103Pを実行することによって達成される。
パケット判定部11は、サーバ群ネットワーク50A外(外部)のネットワークに接続するネットワークインタフェース104に接続している。パケット判定部11は、サーバ群ネットワーク50A外(外部)のネットワークに接続するネットワークインタフェース104からパケットの入力を受ける。パケット判定部11に入力されるパケットは、サーバ群ネットワーク50A外からサーバ群ネットワーク50A内のサーバ宛てのパケットである。
パケット判定部11は、例えば、攻撃者リスト15、攻撃被疑者リスト16、管理者リスト17、サービス提供ポートリスト18に記憶される情報に基づいて、入力されたパケットが攻撃者、攻撃被疑者、システム管理者、正規ユーザのいずれからのものであるかを判定する。攻撃被疑者とは、攻撃者である可能性の高い者のことである。
例えば、入力されたパケットの送信元IPアドレスが攻撃者リスト15に登録されているいずれかのIPアドレスに一致する場合には、パケット判定部11は、入力されたパケットが攻撃者からのものであると判定する。例えば、入力されたパケットの属性情報が攻撃被疑者リスト16に登録されているいずれかの属性情報に一致する場合には、パケット判定部11は、入力されたパケットが攻撃者からのものであると判定する。
例えば、入力されたパケットの送信元IPアドレスが後述の管理者リスト17に登録されているいずれかのIPアドレスに一致する場合には、パケット判定部11は、入力されたパケットがシステム管理者からのものであると判定する。
例えば、入力されたパケットの宛先ポート番号が後述のサービス提供ポートリスト18に登録されているいずれかのポート番号に一致する場合には、パケット判定部11は、入力されたパケットが正規のユーザからのものであると判定する。
また、例えば、入力されたパケットの宛先ポート番号が後述のサービス提供ポートリスト18に登録されているいずれのポート番号にも一致しない場合には、パケット判定部11は、入力されたパケットが攻撃被疑者からのものであると判定する。
パケット判定部11は、判定結果に応じて、当該パケットをパケット処理部12、接続ポート制御部13、偽装ICMP処理部14のいずれかに出力する。例えば、パケット判定部11は、入力されたパケットが正規ユーザ又はシステム管理者からのものであると判定した場合には、当該パケットをパケット処理部12に出力する。例えば、パケット判定部11は、入力されたパケットが攻撃者からのものであると判定した場合には、当該パケットを接続ポート制御部13に出力する。例えば、パケット判定部11は、入力されたパケットが攻撃被疑者からのものであると判定し、当該入力パケットがUDPのパケットである場合には、当該パケットを偽装ICMP処理部14に出力する。
また、パケット判定部11は、入力されたパケットが攻撃被疑者からのものであると判定した場合には、当該パケットの属性情報を攻撃被疑者リスト16に登録する。また、パケット判定部11は、入力されたパケットが攻撃者からのものであると判定した場合には、当該パケットの送信元IPアドレスを攻撃者リスト15に登録する。パケット判定部11の処理の詳細は、後述される。
パケット処理部12は、正規サーバを接続するネットワークインタフェース104と接続されている。正規サーバとは、実際に運用されているサービスを提供するサーバである。パケット処理部12は、パケット判定部11からパケットの入力を受け、入力されたパケットをサーバ群ネットワーク50A内の正規サーバを接続するネットワークインタフェ
ース104に出力する。すなわち、パケット処理部12が出力するパケットは、正規サーバ宛てのパケットである。
接続ポート制御部13は、偽サーバ2を接続するネットワークインタフェース104と接続されている。接続ポート制御部13は、パケット判定部11からパケットの入力を受け、入力されたパケットをサーバ群ネットワーク50A内の偽サーバ2を接続するネットワークインタフェース104に出力する。すなわち、接続ポート制御部13が出力するパケットは、偽サーバ2に転送される。
偽装ICMP処理部14は、パケット判定部11からパケットの入力を受ける。偽装ICMP処理部14に入力されるパケットは、第1実施形態では、攻撃被疑者からのものと判定されたUDPパケットである。偽装ICMP処理部14は、入力されたパケットを宛先のサーバに代わって処理する。具体的には、偽装ICMP処理部14は、入力されたパケットを廃棄して、当該入力パケットの送信元からの通信を終端させる。偽装ICMP処理部14が、入力されたパケットを破棄することによって、当該パケットは宛先のサーバに転送されず、宛先のサーバが当該パケットの送信元にICMPエラーメッセージを送信することを抑制する。
攻撃者リスト15、攻撃被疑者リスト16、管理者リスト17、サービス提供ポートリスト18は、例えば、セキュリティGW 1の補助記憶装置103に記憶されている。攻撃者リスト15には、攻撃者からのものであると判定されたパケットの送信元IPアドレスが格納されている。攻撃被疑者リスト16には、攻撃被疑者からのものであると判定されたパケットの属性情報が格納されている。パケットの属性情報は、例えば、宛先IPアドレス及び送信元IPアドレス、宛先ポート番号等を含む情報である。
管理者リスト17には、ネットワークシステム100のシステム管理者のIPアドレスが格納されている。サービス提供ポートリスト18には、サーバ群ネットワーク50A内のサーバによって提供されている運用中のサービスによって用いられているポート番号が格納されている。攻撃者リスト15、攻撃被疑者リスト16、管理者リスト17、サービス提供ポートリスト18の詳細は後述される。
なお、1つのネットワークインタフェース104にスイッチ又はハブを介して正規サーバと偽サーバ2とが接続されている場合には、パケット処理部12及び接続ポート制御部13がそれぞれ同一の当該ネットワークインタフェース104に接続される。また、この場合には、例えば、偽サーバ2に転送されるパケットは、接続ポート制御部13によって宛先IPアドレスが正規サーバから偽サーバ2に変換される。
図5は、管理者リスト17の一例である。管理者リスト17は、ネットワークシステム100のシステム管理者に関する情報を格納するリストである。図5に示される例の管理者リスト17には、例えば、システム管理者のユーザ名、システム管理者の使用端末に割り当てられているIPアドレス等が格納されている。管理者リスト17は、システム管理者の増減に応じて、システム管理者によって更新される。管理者リスト17は、いわゆる「ホワイトリスト」に相当する。システム管理者は、正規のユーザの一部である。
図6は、サービス提供ポートリスト18の一例である。サービス提供ポートリスト18は、サーバ群ネットワーク50Aに含まれる正規サーバによって提供されるサービスに関する情報が格納されている。図6に示される例のサービス提供ポートリスト18には、サーバ名、サービス提供に用いられるポート番号(サービス提供ポート番号)、サービス提供に用いられるアプリケーション名(提供アプリケーション)が格納されている。
サービス提供ポートリスト18は、サーバ群ネットワーク50Aに含まれる正規サーバによって提供されるサービスの増減に応じて、システム管理者によって更新される。サービス提供ポートリスト18に登録されていないポート番号は、「サービス提供に用いられていない」ポート番号の一例である。
図7は、攻撃者リスト15の一例である。攻撃者リスト15には、攻撃者に関する情報が格納されている。図7に示される攻撃者リスト15には、登録日と攻撃者のIPアドレスとが格納されている。攻撃者リスト15は、パケット判定部11又はシステム管理者によって更新される。
例えば、攻撃者リスト15にネットワークシステム100内の端末のIPアドレスが登録された場合には、システム管理者は、当該端末の状況を確認する等の対応を行う。その後、当該端末が問題なしと判定された場合には、当該端末の情報がシステム管理者によって攻撃者リスト15から削除される。攻撃者リスト15は、「アクセス禁止リスト」の一例である。攻撃者は、「サーバへのアクセスの禁止対象である送信元」の一例である。攻撃者リスト15に登録されるIPアドレスは、「サーバへのアクセスの禁止対象である送信元の情報」の一例である。
図8は、攻撃被疑者リスト16の一例である。攻撃被疑者リスト16には、攻撃者である可能性のある攻撃被疑者に関する情報が格納されている。図8に示されている攻撃被疑者リスト16には、攻撃被疑者からのものであると判定されたパケットの受信日、受信時刻、宛先ポート番号、宛先IPアドレス、送信元IPアドレスが格納されている。攻撃被疑者リスト16は、パケット判定部11又はシステム管理者によって更新される。
例えば、攻撃被疑者リスト16に登録されてから所定時間経過すると、パケット判定部11又はシステム管理者によって、当該エントリが攻撃被疑者リスト16から削除される。攻撃被疑者リスト16のエントリが攻撃被疑者リスト16に保持される時間は、例えば、数か月から年の単位で設定される。攻撃被疑者リスト16は、「アクセス禁止候補リスト」の一例である。攻撃被疑者は、「アクセス禁止リストへの登録の対象候補の送信元」の一例である。攻撃被疑者リスト16に登録される宛先IPアドレス及び送信元IPアドレスは、「アクセス禁止リストへの登録の対象候補の送信元からのパケットの属性情報」の一例である。
なお、図5〜図8に示されるそれぞれのリストのデータ構造は一例であって、各リストのデータ構造は図5〜図8に示される例に限定されない。
<処理の流れ>
図9は、第1実施形態に係るセキュリティGW 1のパケット判定部11の処理のフローチャートの一例を示す図である。図9に示される処理は、例えば、セキュリティGW 1がサーバ群ネットワーク50A外からパケットを受信した場合に開始される。なお、図9に示される処理の実行主体は、セキュリティプログラム103Pを実行するCPU 101であるが、便宜上、機能構成要素であるパケット判定部11を主体として説明される。
OP1では、パケット判定部11は、受信パケットの送信元IPアドレスが攻撃者リスト15に登録されているいずれかのIPアドレスに一致するか否かを判定する。受信パケットの送信元IPアドレスはIPヘッダ内に含まれている。受信パケットの送信元IPアドレスが攻撃者リスト15に登録されているいずれかのIPアドレスに一致する場合には(OP1:YES)、パケット判定部11は、受信パケットが攻撃者からのものであると判定し、処理がOP11に進む。受信パケットの送信元IPアドレスが攻撃者リスト15
に登録されているいずれのIPアドレスにも一致しない場合には(OP1:NO)、処理がOP2に進む。
OP2では、パケット判定部11は、受信パケットの送信元IPアドレスが管理者リスト17に登録されているいずれかのIPアドレスに一致するか否かを判定する。受信パケットの送信元IPアドレスが管理者リスト17に登録されているいずれかのIPアドレスに一致する場合には(OP2:YES)、パケット判定部11は、受信パケットがシステム管理者からのものであると判定し、処理がOP4に進む。受信パケットの送信元IPアドレスが管理者リスト17に登録されているいずれのIPアドレスにも一致しない場合には(OP2:NO)、処理がOP3に進む。
OP3では、パケット判定部11は、受信パケットの宛先ポート番号がサービス提供ポートリスト18に登録されているいずれかのポート番号に一致するか否かを判定する。受信パケットの宛先ポート番号は、受信パケットのUDP又はTCPヘッダ内に含まれている。受信パケットの宛先ポート番号がサービス提供ポートリスト18に登録されているいずれかのポート番号に一致する場合には(OP3:YES)、パケット判定部11は、受信パケットが正規ユーザからのものであると判定し、処理がOP4に進む。受信パケットの宛先ポート番号がサービス提供ポートリスト18に登録されているいずれのポート番号にも一致しない場合には(OP3:NO)、処理がOP5に進む。
OP4では、受信パケットがシステム管理者又は正規ユーザからのものであると判定したので、パケット判定部11は、受信パケットをパケット処理部12に出力する。これによって、受信パケットは、パケット処理部12によって宛先のサーバに転送され、宛先のサーバによって処理される。その後、図9に示される処理が終了する。
OP5では、パケット判定部11は、受信パケットがUDPのパケットであるか否かを判定する。受信パケットがUDPであることは、受信パケットのIPヘッダ内のプロトコルフィールドが「17」であることによって示される。受信パケットがUDPのパケットである場合には(OP5:YES)、パケット判定部11は、受信パケットが攻撃被疑者からのものであると判定し、処理がOP6に進む。受信パケットがUDPのパケットでない場合には(OP5:NO)、処理がOP7に進む。
OP6では、パケット判定部11は、受信パケットがサービス提供されていないポートへのUDPアクセスであり、受信パケットがUDPポートスキャンのパケットである可能性が高い為、受信パケットを偽装ICMP処理部14に出力する。これによって、受信パケットは偽装ICMP処理部14によって廃棄され、受信パケットの送信元にはICMPエラーメッセージは返されない。次に処理がOP9に進む。
OP7では、パケット判定部11は、受信パケットの宛先IPアドレス及び送信元IPアドレスの組合せが攻撃被疑者リスト16に登録されているいずれかの宛先IPアドレス及び送信元IPアドレスの組合せに一致するか否かを判定する。受信パケットの宛先IPアドレス及び送信元IPアドレスの組合せが攻撃被疑者リスト16に登録されているいずれかの宛先IPアドレス及び送信元IPアドレスの組合せに一致する場合には(OP7:YES)、判定部11は、受信パケットが攻撃者からのものであると判定し、処理がOP10に進む。受信パケットの宛先IPアドレス及び送信元IPアドレスの組合せが攻撃被疑者リスト16に登録されているいずれの宛先IPアドレス及び送信元IPアドレスの組合せにも一致しない場合には(OP7:NO)、判定部11は、受信パケットが攻撃被疑者からのものであると判定し、処理がOP8に進む。
OP8では、パケット判定部11は、受信パケットをパケット処理部12に出力する。
OP8において処理対象となる受信パケットは、サービス提供に用いられていないポート番号を宛先ポート番号とするTCPパケットである。したがって、受信パケットは宛先の正規サーバに転送されるが、宛先ポート番号ではサービスが提供されていないため、正規サーバから、例えば、ICMPエラーメッセージが受信パケットの送信元に返される。
OP9では、パケット判定部11は、受信パケットが攻撃被疑者からのものであると判定し、受信パケットの属性情報を攻撃被疑者リスト16に登録する。その後、図9に示される処理が終了する。
OP10では、パケット判定部11は、受信パケットが攻撃者からのものであると判定し、受信パケットの送信元IPアドレスを攻撃者リスト15に登録する。また、パケット判定部11は、受信パケットの宛先IPアドレス及び送信元IPアドレスの組合せに一致する攻撃被疑者リスト16の送信元IPアドレス及び宛先IPアドレスの組合せを含むエントリを、攻撃被疑者リスト16から削除する。
OP11では、パケット判定部11は、監視サーバにアラートを通知する。OP12では、パケット判定部11は、受信パケットが攻撃者からのものであると判定したので、受信パケットを偽サーバ2に転送することを判定し、受信パケットを接続ポート制御部13に出力する。これによって、受信パケットは接続ポート制御部13によって偽サーバ2に転送され、攻撃者に偽サーバ2によるサービスが提供される。その後、図9に示される処理が終了する。
なお、図9に示されるセキュリティGW 1のパケット判定部11の処理のフローチャートは一例であって、これに限定されない。例えば、OP5とOP7との判定の順序が逆になってもよい。
また、サービス提供ポートリスト18は、正規サーバのIPアドレスを含んでもよい。この場合、OP3において、パケット判定部11は、受信パケットの宛先IPアドレスと宛先ポート番号との組合わせがサービス提供ポートリスト18に登録されているIPアドレスとポート番号との組合わせのいずれかに一致するか否かを判定してもよい。受信パケットの宛先IPアドレスと宛先ポート番号との組合わせがサービス提供ポートリスト18に登録されているIPアドレスとポート番号との組合わせのいずれかに一致する場合に、パケット判定部11は受信パケットが正規のユーザからのものであると判定するようにしてもよい。これによって、より厳密に正規サーバへ転送するパケットをフィルタリングすることができる。
<第1実施形態の作用効果>
第1実施形態では、セキュリティGW 1は、正規のユーザ又は攻撃者のいずれからの通信であるか不明な、サービス提供されていないポート番号を宛先ポート番号とするパケットを受信した場合に、当該パケットの属性情報を攻撃被疑者リスト16に記録する。その後、セキュリティGW 1は、当該パケットの属性情報に一致する属性情報を含むパケットを受信した場合に、当該受信パケットが攻撃者からのものであるとみなし、当該受信パケットの送信元IPアドレスを攻撃者リスト15に登録する。これによって、例えば、攻撃準備としてUDPポートスキャンを行う攻撃者を特定する精度を向上させることができ、サイバー攻撃への防御力が向上する。
また、第1実施形態では、セキュリティGW 1は、サービス提供されていないUDPのポート番号を宛先ポート番号とするパケットを攻撃被疑者からのものであると判定する。セキュリティGW 1は、当該パケットに対して、ICMPエラーメッセージの応答が返されないようにするために、当該パケットを廃棄する。これによって、当該パケットの
送信元の攻撃被疑者に対して、当該パケットの宛先ポート番号はサービス提供に用いられているように誤認させることができる。
攻撃被疑者が攻撃者である場合には、通常の攻撃手口として、当該宛先ポート番号に対してTCPデータを送信してくることが予測される。一方、攻撃被疑者が正規ユーザである場合には、当該宛先ポート番号に対してTCPデータを送信してくることは考えづらい。したがって、攻撃被疑者リスト16に登録されている属性情報と属性情報が一致するパケットが受信された場合には、当該攻撃被疑者が攻撃者であることを特定することができる。一方、正規ユーザについては、当該宛先ポート番号に対してTCPデータを送信することがなければ、攻撃者リスト15に登録されることはないため、通常通りサーバにアクセスすることができる。
セキュリティGW 1は、サービス提供されていないUDPのポートを宛先ポート番号とするパケットの送信元に対して、ICMPエラーメッセージの応答が返されないようにするために、当該パケットを廃棄する。これによって、攻撃被疑者からのものであると判定される当該パケットの送信元に、当該ポートの開閉状況や、当該サーバのOS情報等が漏えいすることを抑制する。
また、第1実施形態では、攻撃被疑者リスト16に登録されたパケットの属性情報は、数か月から年単位で保持され続ける。そのため、例えば、攻撃者が、UDPポートスキャンを所定のポート番号に対して単発で行い、当該UDPポートスキャンの実施から間を空けて、当該ポート番号へTCPデータを送信して攻撃を行う場合でも、攻撃被疑者リスト16によって攻撃者からの通信を特定することができる。これによって、攻撃者からの通信を特定する精度を向上させることができる。
また、第1実施形態では、セキュリティGW 1は、攻撃者リスト15に登録されているIPアドレスと送信元IPアドレスが一致するパケットを受信すると、当該パケットを偽サーバ2に転送する。これによって、攻撃者に対して、攻撃対象のサーバへの侵入が成功しているように見せかけ、攻撃者が再度対象のサーバへ攻撃している動機を低下させることができる。結果として、ネットワークシステム100に対する攻撃への防御力を向上させることができる。
また、第1実施形態では、サービス提供ポートリスト18に登録されていないポート番号に一致する宛先ポート番号を有するパケットの属性情報が攻撃被疑者リスト16に登録される。例えば、サービス提供に用いられていないUDPポート及びTCPポートについて、システム管理者が当該UDPポート及びTCPポートを閉じることを失念した場合でも、当該UDPポートへのUDPポートスキャンによるUDPパケットの属性情報が攻撃被疑者リスト16に登録される。これによって、当該UDPポートと同じ番号のTCPポートへの攻撃のパケットが送信された場合でも、当該パケットは攻撃被疑者リスト16によってフィルタリングされ、偽サーバ2に転送される。したがって、第1実施形態によれば、サービス提供に用いられていないものの、開いているポートが存在する場合でも、当該ポートからの攻撃者のサーバへの侵入を抑制することができる。
なお、第1実施形態では、セキュリティGW 1はサービス提供に用いられていないポート番号を宛先ポート番号とするパケットを攻撃被疑者からのものであると判定するが、攻撃被疑者からのパケットであると判定される条件はこれに限定されない。例えば、セキュリティGW 1は、サービス提供に用いられていないポート番号であって、ウェルノウンポート以外のポート番号を宛先ポート番号とするパケットを攻撃被疑者からのものであると判定してもよい。この場合には、サービス提供に用いられていないポート番号であって、ウェルノウンポート以外のポート番号を宛先ポート番号とするパケットが攻撃者から
のものであると判定される。ウェルノウンポートとは、0から1023番までのポートであって、よく利用されるサービスやプロトコルのためにIANA(Internet Assigned Numbers Authority)によって予約されているポートである。
<第2実施形態>
第1実施形態では、攻撃被疑者リスト16に含まれる宛先IPアドレス及び送信元IPアドレスの組合せと宛先IPアドレス及び送信元IPアドレスの組合せが一致するUDP以外のパケットが受信された場合に、当該パケットの送信元IPアドレスが攻撃者リスト15に登録される。第2実施形態では、これに加えて、攻撃被疑者リスト16に含まれる宛先IPアドレス及び送信元IPアドレスの組合せと宛先IPアドレス及び送信元IPアドレスの組合せが一致するものの、宛先IPアドレス及び送信元IPアドレスと宛先ポート番号との組み合わせが攻撃被疑者リスト16に含まれる宛先IPアドレス及び送信元IPアドレスと宛先ポート番号との組合せのいずれにも一致しないUDPパケットが受信された場合にも、当該パケットの送信元IPアドレスが攻撃者リスト15に登録される。第2実施形態では、第1実施形態と共通する説明は省略される。
UDPポートスキャンでは、全て又は複数のUDPのポートに対してUDPデータが送信されることが多い。したがって、第2実施形態では、セキュリティGW 1は、複数回同じ送信元からサービスが提供されていないポートに対してUDPパケットを受信した場合には、当該UDPパケットが攻撃者からのものであると判定する。
第2実施形態では、システム構成、セキュリティGW 1のハードウェア及び機能構成は、第1実施形態と同様である。第2実施形態では、パケット判定部11の、サービス提供されていないポート番号を宛先ポート番号とするUDPのパケットに対する処理が第1実施形態と異なる。
図10は、第2実施形態に係るセキュリティGW 1のパケット判定部11の処理のフローチャートの一例である。図10に示される処理は、第2実施形態において、図9のOP5においてYES判定の場合、すなわち、受信パケットがサービス提供されていないポート番号を宛先ポート番号とするUDPパケットである場合に、図9のOP6の代わりに行われる処理である。
OP31では、パケット判定部11は、受信パケットの宛先IPアドレス及び送信元IPアドレスの組合せが攻撃被疑者リスト16に登録されている宛先IPアドレス及び送信元IPアドレスの組合せのいずれかに一致するか否かを判定する。受信パケットの宛先IPアドレス及び送信元IPアドレスの組合せが攻撃被疑者リスト16に登録されている宛先IPアドレス及び送信元IPアドレスの組合せのいずれかに一致する場合には(OP31:YES)、処理がOP33に進む。受信パケットの宛先IPアドレス及び送信元IPアドレスの組合せが攻撃被疑者リスト16に登録されている宛先IPアドレス及び送信元IPアドレスの組合せのいずれにも一致しない場合には(OP31:NO)、処理がOP32に進む。
OP32では、パケット判定部11は、受信パケットが攻撃被疑者からのものであると判定し、受信パケットの属性情報を攻撃被疑者リスト16に登録する。その後、処理がOP34に進む。
OP33では、パケット判定部11は、OP31で宛先IPアドレス及び送信元IPアドレスの組合せが一致した攻撃被疑者リスト16のエントリの宛先ポート番号と、受信パケットの宛先ポート番号とが一致するか否かを判定する。OP31で宛先IPアドレス及び送信元IPアドレスが一致した攻撃被疑者リスト16のエントリの宛先ポート番号と、
受信パケットの宛先ポート番号とが一致する場合には(OP33:YES)、処理がOP34に進む。OP31で宛先IPアドレス及び送信元IPアドレスの組合せが一致した攻撃被疑者リスト16のエントリの宛先ポート番号と、受信パケットの宛先ポート番号とが一致しない場合には(OP33:NO)、処理がOP35に進む。
OP34では、パケット判定部11は、受信パケットがUDPポートスキャンのパケットである可能性が高い為、受信パケットを偽装ICMP処理部14に出力する。これによって、受信パケットは偽装ICMP処理部14よって廃棄される。また、受信パケットの送信元にはICMPエラーメッセージは返されない。その後、図10に示される処理が終了する。
OP35では、パケット判定部11は、同じ送信元から異なるUDPのポート番号に対してアクセスがあったため、受信パケットがUDPポートスキャンを行う攻撃者からのものであると判定し、受信パケットの送信元IPアドレスを攻撃者リスト15に登録する。また、パケット判定部11は、受信パケットの宛先IPアドレス及び送信元IPアドレスに一致する攻撃被疑者リスト16の宛先IPアドレス及び送信元IPアドレスの組合せを含むエントリを、攻撃被疑者リスト16から削除する。
OP36では、パケット判定部11は、監視サーバにアラートを通知する。OP37では、パケット判定部11は、受信パケットが攻撃者からのものであると判定したので、受信パケットを接続ポート制御部13に出力する。これによって、受信パケットは接続ポート制御部13によって偽サーバ2に転送され、攻撃者に偽サーバ2によるサービスが提供される。その後、図10に示される処理が終了する。
なお、攻撃被疑者リスト16のエントリのいずれかと宛先IPアドレス及び送信元IPアドレスの組合せは一致するものの宛先ポート番号は異なるUDPパケットを所定回数受信することによって、当該UDPパケットの送信元IPアドレスを攻撃者リスト15に登録するようにしてもよい。
第2実施形態では、UDPのパケットからも攻撃者を特定することができる。したがって、攻撃者からのTCPのデータが発生しない場合でも、UDPのパケットからUDPポートスキャンを行う攻撃者を特定することができる。
<プロセッサ>
上記実施形態において、セキュリティGW 1は、CPUを備え、主記憶装置内にプログラムから展開された命令を実行することによって、説明された処理を実行する。CPUは、MPU(Microprocessor)、プロセッサとも呼ばれる。CPUは、単一のプロセッサに限定される訳ではなく、マルチプロセッサ構成であってもよい。また、単一のソケットで接続される単一のCPUがマルチコア構成を有していても良い。上記各部の少なくとも一部の処理は、CPU以外のプロセッサ、例えば、Digital Signal Processor(DSP)、Graphics Processing Unit(GPU)、数値演算プロセッサ、ベクトルプロセッサ、画像処理プロセッサ等の専用プロセッサで行われても良い。また、上記各部の少なくとも一部の処理は、集積回路(IC)、その他のディジタル回路であっても良い。また、上記各部の少なくとも一部にアナログ回路が含まれても良い。集積回路は、LSI、Application Specific Integrated Circuit(ASIC)、プログラマブルロジックデバイス(PLD)を含む。
PLDは、例えば、Field-Programmable Gate Array(FPGA)を含む。上記各部は、プロセ
ッサと集積回路との組み合わせであっても良い。組み合わせは、例えば、マイクロコントローラ(MCU)、SoC(System-on-a-chip),システムLSI、チップセットなどと呼ばれる。
<記録媒体>
コンピュータその他の機械、装置(以下、コンピュータ等)に上記いずれかの機能を実現させるプログラムをコンピュータ等が読み取り可能な記録媒体に記録することができる。コンピュータ等に、この記録媒体のプログラムを読み込ませて実行させることにより、その機能を提供させることができる。
ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる非一時的な記録媒体をいう。このような記録媒体のうちコンピュータ等から取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD−ROM、CD−R/W、DVD、ブルーレイディスク、DAT、8mmテープ、フラッシュメモリなどのメモリカード等がある。また、コンピュータ等に固定された記録媒体としてハードディスク、ROM(リードオンリーメモリ)等がある。さらに、SSD(Solid State Drive)は、コンピュータ等から取り外し可能な記録媒体としても、コ
ンピュータ等に固定された記録媒体としても利用可能である。
1 セキュリティゲートウェイ
2 偽サーバ
11 パケット判定部
12 パケット処理部
13 接続ポート制御部
14 偽装ICMP処理部
15 攻撃者リスト
16 攻撃被疑者リスト
17 管理者リスト
18 サービス提供ポートリスト
101 CPU
102 主記憶装置
103 補助記憶装置
103P セキュリティプログラム
104 ネットワークインタフェース

Claims (9)

  1. パケットを受信する受信部と、
    サーバへのアクセスの禁止対象である送信元の情報を含むアクセス禁止リストと、前記アクセス禁止リストへの登録の対象候補である送信元からのパケットの属性情報を含むアクセス禁止候補リストと、を記憶する記憶部と、
    サービス提供に用いられていない宛先ポート番号が含まれているパケットが受信された場合に、前記パケットの属性情報を前記アクセス禁止候補リストに登録し、前記アクセス禁止候補リストに登録されている属性情報のいずれかに一致する属性情報が含まれるパケットが受信された場合に、前記パケットの送信元の情報を前記アクセス禁止リストに登録する制御部と、
    を備えるパケット処理装置。
  2. 前記制御部は、サービス提供に用いられていない宛先ポート番号が含まれており、且つ、UDP(User Datagram Protocol)のパケットであるパケットが受信された場合に、前記宛先ポート番号を用いたサービスを提供するサーバの代理の処理を行う、
    請求項1に記載のパケット処理装置。
  3. 前記制御部は、前記サーバの代理の処理として、前記パケットを破棄し、前記サーバに、前記パケットに対して、前記宛先ポート番号のポートが閉じている状態であることを示すICMP(Internet Control Message Protocol)応答メッセージを送信させないよう
    にする、
    請求項2に記載のパケット処理装置。
  4. 前記制御部は、前記アクセス禁止候補リストにパケットの属性情報が登録されてから前記パケットの属性情報に一致する属性情報が含まれるパケットが受信されないまま所定時間経過するまで、前記アクセス禁止候補リストに前記パケットの属性情報を保持させることを判定する、
    請求項1から3のいずれか一項に記載のパケット処理装置。
  5. 前記アクセス禁止候補リストに前記パケットの属性情報が保持される前記所定時間は、月又は年単位である、
    請求項4に記載のパケット処理装置。
  6. 前記制御部は、前記アクセス禁止リストに登録されているいずれかの送信元の情報が含まれるパケットが受信された場合には、前記パケットを架空のサービスを提供する偽サーバに転送することを判定する、
    請求項1から5のいずれか一項に記載のパケット処理装置。
  7. 前記アクセス禁止候補リストは、パケットの属性情報として、宛先IP(Internet Protocol)アドレス及び送信元IPアドレスと宛先ポート番号との組み合わせを含み、
    前記制御部は、前記アクセス禁止候補リストに登録されている宛先IPアドレス及び送信元IPアドレスの組合せのいずれかに一致する宛先IPアドレス及び送信元IPアドレスが含まれ、且つ、前記被疑リストに登録されている宛先IPアドレス及び送信元IPアドレスと宛先ポート番号との組合せのいずれにも一致しない宛先IPアドレス及び送信元IPアドレスと宛先ポート番号との組合せが含まれるパケットが受信された場合に、前記パケットの送信元の情報を前記アクセス禁止リストに登録する、
    請求項1から6のいずれか一項に記載のパケット処理装置。
  8. パケットを受信し、
    サーバへのアクセスの禁止対象である送信元の情報を含むアクセス禁止リストと、前記アクセス禁止リストへの登録の対象候補である送信元からのパケットの属性情報を含むアクセス禁止候補リストと、を記憶部に記憶し、
    サービス提供に用いられていない宛先ポート番号が含まれているパケットが受信された場合に、前記パケットの属性情報を前記アクセス禁止候補リストに登録し、前記アクセス禁止候補リストに登録されているいずれかの属性情報に一致する属性情報が含まれるパケットが受信された場合に、前記パケットの送信元の情報を前記アクセス禁止リストに登録する、
    パケット処理方法。
  9. コンピュータに、
    パケットを受信させ、
    サーバへのアクセスの禁止対象である送信元の情報を含むアクセス禁止リストと、前記アクセス禁止リストへの登録の対象候補である送信元からのパケットの属性情報を含むアクセス禁止候補リストと、を記憶部に記憶させ、
    サービス提供に用いられていない宛先ポート番号が含まれているパケットが受信された場合に、前記パケットの属性情報を前記アクセス禁止候補リストに登録させ、前記アクセス禁止候補リストに登録されているいずれかの属性情報に一致する属性情報が含まれるパケットが受信された場合に、前記パケットの送信元の情報を前記アクセス禁止リストに登録させる、
    ためのパケット処理プログラム。
JP2017082126A 2017-04-18 2017-04-18 パケット処理装置、パケット処理方法、及び、パケット処理プログラム Pending JP2018182618A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017082126A JP2018182618A (ja) 2017-04-18 2017-04-18 パケット処理装置、パケット処理方法、及び、パケット処理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017082126A JP2018182618A (ja) 2017-04-18 2017-04-18 パケット処理装置、パケット処理方法、及び、パケット処理プログラム

Publications (1)

Publication Number Publication Date
JP2018182618A true JP2018182618A (ja) 2018-11-15

Family

ID=64277202

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017082126A Pending JP2018182618A (ja) 2017-04-18 2017-04-18 パケット処理装置、パケット処理方法、及び、パケット処理プログラム

Country Status (1)

Country Link
JP (1) JP2018182618A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117061590A (zh) * 2023-10-10 2023-11-14 联通在线信息科技有限公司 Cdn针对url封禁和定制封禁内容的方法及设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117061590A (zh) * 2023-10-10 2023-11-14 联通在线信息科技有限公司 Cdn针对url封禁和定制封禁内容的方法及设备
CN117061590B (zh) * 2023-10-10 2024-02-27 联通在线信息科技有限公司 Cdn针对url封禁和定制封禁内容的方法及设备

Similar Documents

Publication Publication Date Title
US8615010B1 (en) System and method for managing traffic to a probe
US11968178B2 (en) Reduction and acceleration of a deterministic finite automaton
US7076803B2 (en) Integrated intrusion detection services
KR101010465B1 (ko) 엔드포인트 리소스를 사용하는 네트워크 보안 요소
US10313372B2 (en) Identifying malware-infected network devices through traffic monitoring
US10999304B2 (en) Bind shell attack detection
US20030145225A1 (en) Intrusion event filtering and generic attack signatures
US20150195298A1 (en) Identification of Infected Devices in Broadband Environments
JP6138714B2 (ja) 通信装置および通信装置における通信制御方法
WO2007076883A1 (en) Method and system for secure communication between a public network and a local network
US20210367952A1 (en) Systems, methods and computer program products for ingress email security
JP5980968B2 (ja) 情報処理装置、情報処理方法及びプログラム
JP6256773B2 (ja) セキュリティシステム
WO2021067425A1 (en) In-line detection of algorithmically generated domains
Lu et al. An SDN‐based authentication mechanism for securing neighbor discovery protocol in IPv6
CN114024731B (zh) 报文处理方法及装置
JP2018182618A (ja) パケット処理装置、パケット処理方法、及び、パケット処理プログラム
US11159533B2 (en) Relay apparatus
CN113965343B (zh) 一种基于局域网的终端设备隔离方法及装置
TW201132055A (en) Routing device and related packet processing circuit
US11418537B2 (en) Malware inspection apparatus and malware inspection method
US20230269236A1 (en) Automatic proxy system, automatic proxy method and non-transitory computer readable medium
JP2004104739A (ja) ウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置
JP2006094377A (ja) アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
JP2006165877A (ja) 通信システム、通信方法および通信プログラム