JP3687782B2 - 不正侵入防止システム - Google Patents
不正侵入防止システム Download PDFInfo
- Publication number
- JP3687782B2 JP3687782B2 JP2000299556A JP2000299556A JP3687782B2 JP 3687782 B2 JP3687782 B2 JP 3687782B2 JP 2000299556 A JP2000299556 A JP 2000299556A JP 2000299556 A JP2000299556 A JP 2000299556A JP 3687782 B2 JP3687782 B2 JP 3687782B2
- Authority
- JP
- Japan
- Prior art keywords
- server
- decoy
- unauthorized intrusion
- communication session
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワーク上のデータ端末に悪意の第三者が不正侵入し、さらにはその内容を改竄、破壊等することを防止する不正侵入防止システムに係り、特に、不正侵入者に不正侵入の失敗を悟られること無く、これを確実に防止できる不正侵入防止システムに関する。
【0002】
【従来の技術】
近年、ホームページの改竄に代表される情報管理サーバへの不正侵入が後を立たない。このような問題点を解決するために、従来は、不正侵入者の通信セッションを情報管理サーバ内に侵入させない対策が講じられていた。例えば、情報管理サーバの不必要なポートを閉めることで攻撃されやすい経路を塞いだり、ファイアーウォールを設けて不正侵入者の通信セッションをフィルタリングしたり、あるいは不正侵入者の通信セッションを切断することなどが行われてきた。
【0003】
しかしながら、上記した従来の侵入防止システムでは、不正侵入者は侵入に失敗したことを認知できるため、他の侵入方法で再度侵入を試みたり、あるいは侵入を諦める代わりに大量の通信セッションを集中させ、サーバをダウンさせるなどの破壊工作や妨害工作に転じる場合があった。
【0004】
このような技術課題を解決するために、本来の情報管理サーバの近傍に、故意に侵入し易くしたおとりサーバを配置し、当該おとりサーバでの改竄を許容することで、情報管理サーバへの不正侵入を防止すると共に、不正侵入者に不正侵入の失敗を悟られないようにした技術が提案されている(Network Associates社製のCyberCop Sting:米国)。
【0005】
【発明が解決しようとする課題】
上記した従来技術では、サーバにおとり機能をインストールして仮想的なネットワークあるいはおとりサーバを作り出し、この仮想的なおとりサーバ等への通信設定を正規サーバよりも簡単にすることで、不正侵入者をおとりサーバ等へおびき寄せていた。
【0006】
しかしながら、前記おとり機能が作り出すおとりサーバ等は、その挙動が本来のサーバとは微妙に異なるために見破られてしまう可能性があった。このため、改めて正規サーバを攻撃されると、従来と同様に正規サーバへ侵入されてしまうという問題があった。
【0007】
本発明の目的は、上記した従来技術の課題を解決し、正規サーバへの不正侵入を防止し、かつ不正侵入者に不正侵入の失敗を悟られないようにした不正侵入防止システムを提供することにある。
【0008】
【課題を解決するための手段】
上記した目的を達成するために、本発明は、おとりサーバを正規サーバに併設し、前記正規サーバへの不正侵入を前記おとりサーバへ導く不正侵入防止システムにおいて、前記正規サーバと外部端末との間に確立された通信セッションが不正侵入に因るものであるか否かを判定する不正侵入監視手段と、不正侵入と判定された通信セッションを、正規サーバからおとりサーバに引継がせる通信セッション引継手段と、前記不正侵入と判定された通信セッションにおいて、正規サーバ宛のデータパケットをおとりサーバに転送する経路切換手段とを具備したことを特徴とする。
【0009】
上記した特徴によれば、正規サーバとの間に確立された通信セッションが不正侵入に因るものと判定されると、当該通信セッションがおとりサーバに引継がれ、それ以後は、正規サーバ宛のデータパケットがおとりサーバに転送されるので、正規サーバを不正侵入から守ることができる。さらに、正規サーバとの間に確立された通信セッションがおとりサーバに引継がれるので、不正侵入者に不正侵入の失敗を悟られない。したがって、正規サーバを、同一の不正侵入者による更なる不正侵入行為、破壊行為あるいは迷惑行為等からも守ことができる。
【0010】
【発明の実施の形態】
以下、図面を参照して本発明を詳細に説明する。図1は、本発明の不正侵入防止システムが適用される通信ネットワークの構成を示したブロック図である。
【0011】
通信ネットワーク1には、複数の通信端末5と共に、悪意の第三者による不正侵入から保護すべき正規サーバ3と、前記正規サーバ3に対する不正アクセスを身代わりとなって受け入れるおとりサーバ4とが、経路切換装置としてのルータ2(あるいはスイッチングハブ、帯域制御装置等)を介して接続されている。前記おとりサーバ4は正規サーバ3のミラーサーバとしての機能を有する。
【0012】
図2は、前記ルータ2、正規サーバ3およびおとりサーバ4の構成を示したブロック図であり、前記と同一の符号は同一または同等部分を表している。
【0013】
ルータ2において、ネットワークインターフェース(I/F)20は、当該ルータ2と通信ネットワーク1との物理的な接続を制御する。アドレス変換部21は、例えばNAT(Network Address Translator)としての機能を具備し、メモリ211に記憶されたアドレス対応情報に基づいて、入出力されるデータパケットのアドレス情報を書き換える。前記メモリ211に記憶された前記アドレス対応情報は、後述する正規サーバ3の不正侵入監視部31からの書き換え指示により書き換えられる。経路切換部22は、入力されたデータパケットを、その宛先アドレスに基づいて、正規サーバ3またはおとりサーバ4、あるいはその双方へ転送する。
【0014】
正規サーバ3において、通信アプリケーション部30は、入力されたデータパケットに登録されているコマンドを実行する。不正侵入監視部31(例えば、Internet Security Systems 社製のReal Secure :米国)は、パスワードが設定されているときに、その間違え回数が基準値を越えたアクセスや、ポートスキャンを実行したアクセス等を不正侵入者によるアクセスと判定し、その旨を前記通信アプリケーション部30、ルータ2および後述する通信セッション引継部41へ通知する。
【0015】
おとりサーバ4において、その主要部である通信アプリケーション部40は、入力されたデータパケットに登録されているコマンドを、前記正規サーバ3の通信アプリケーション部30と同様に実行する。通信セッション引継部41は、後に詳述するように、不正侵入者と正規サーバ3との通信セッションを正規サーバ3から引継いで継続させる。
【0016】
図3、4は、本発明におけるデータパケットの転送経路を模式的に示した図であり、図3は、正規利用者あるいは不正侵入と判定されるまでの不正侵入者による通信セッションを示し、図4は、不正侵入と判定された以降の不正侵入者による通信セッションを示している。
【0017】
図5は、本発明における通信シーケンスの第1実施形態を示した図であり、ここでは、正規サーバ3の通信アプリケーション部30とおとりサーバ4の通信アプリケーション部40とが同期して動作する。
【0018】
図3に示したように、正規利用者または不正侵入者が、いずれかの通信端末5から正規サーバ3のアドレスを指定してデータパケットを送出すると、ルータ2の経路変換部22は、受信したデータパケットを正規サーバ3[図5(a) ]およびおとりサーバ4[同図(b) ]の双方へ転送する。
【0019】
正規サーバ3では、通信アプリション部30が前記データパケットを受信し、前記通信端末5との間に通信セッションを確立させる。通信アプリション部30は、データパケットに登録されているコマンドを実行して応答パケットを出力[同図(c) ]する。この応答パケットは、ルータ2を経由して発信元の通信端末5へ返送される。不正侵入監視部31は、入力されるデータパケットを監視[同図(d) ]し、前記通信端末5の利用者が不正侵入者であるか否かを判定する。
【0020】
これと平行して、おとりサーバ4の通信セッション引継部41では、図3に示したように、ルータ2から転送されたデータパケットが転送用バッファ411に格納(バッファリング)され[図5(e) ]、おとりサーバ4の通信アプリケーション部40へ転送[同図(f) ]される。
【0021】
通信アプリケーション部40は、入力されたデータパケットに登録されているコマンドを実行し、その応答パケットを生成して通信セッション引継部41へ返送[同図(g) ]する。当該応答パケットは、通信セッション引継部41の返送用バッファに412に格納[同図(h) ]されるが、この時点ではルータ2に対して返送されない。
【0022】
当該通信セッションが正規利用者によるものであり、不正侵入監視部31により不正侵入が検知されなければ、上記した各処理が繰り返されることになる。
【0023】
これに対して、当該通信セッションが不正侵入者によるものであり、これが前記不正侵入監視部31により検知されると、正規サーバ3の通信アプリケーション部30に対しては、通信アプリケーションを終了させるためのコマンドが通知[同図(i) ]され、ルータ2および通信セッション引継部41に対しては、不正侵入を検知した旨が通知[同図(j),(k) ]される。正規サーバ3の通信アプリケーション部30は、前記通知を検知すると、実行中の通信セッションを終了し、その旨を不正侵入監視部31へ通知[同図(l) ]する。
【0024】
通信セッション引継部41は、前記通知を、不正侵入と判定された最初のデータパケットのパケット番号と共に不正侵入監視部31から受信すると、図4に示したように、その返送用バッファ412に蓄積されている、前記パケット番号に対応した応答パケットから順にルータ2へ出力[図5(m) ]する。
【0025】
このように、本実施形態では、おとりサーバ4に通信セッション引継部41を設け、不正侵入者に対する応答パケットを、不正侵入と判定された最初のデータパケットから順に出力するようにしたので、不正侵入者と正規サーバ3との通信セッションをおとりサーバ4に正常に引継がせて継続させることができる。
【0026】
ルータ2では、前記アドレス変換部21が、返送用バッファ412から出力された応答パケットの内容を、正規サーバ3がデータパケットを受信すれば出力するであろう応答パケットの内容に変換して返送[同図(n) ]する。すなわち、応答パケットの発信元アドレスを、おとりサーバ4のアドレスから正規サーバ3のアドレスに変換し、応答パケットのコマンドを、正規サーバ3へのアクセスに成功した旨のコマンドに変換する。
【0027】
したがって、不正侵入者は発信元アドレスが正規サーバである応答パケットを受け取ることになるので、正規サーバ3への不正侵入者に失敗したことを認識できない。
【0028】
これ以後は、当該通信セッション内で通信端末5から出力されるデータパケット[同図(o) ]の宛先アドレスは、ルータ2のアドレス変換部21において、全ておとりサーバ4のアドレスに書き換えられるのでおとりサーバ4に転送[同図(p) ]される。したがって、正規サーバ3への不正侵入を防止できる。さらに、おとりサーバ4から返送[同図(q) ]される応答パケットも、ルータ2のアドレス変換部21において、その発信元アドレスを全て正規サーバ3のアドレスに書き換えられて出力[同図(r) ]されるので、正規サーバ3への不正侵入者に失敗したことを不正侵入者に悟られない。
【0029】
上記したように、本実施形態によれば、不正侵入と判定された通信セッションのデータパケットは、その宛先アドレスを正規サーバのアドレスからおとりサーバのアドレスへ書き換えられるので、正規サーバ3への侵入を防止できる。また、不正侵入者はおとりサーバ4に侵入しているにもかかわらず、正規サーバ3への侵入に成功したものと勘違いし、比較的長時間にわたって接続を維持するので、その間を利用して行動ログや追跡データの収集が可能になる。さらに、不正侵入者には正規サーバ3への侵入に失敗したことを悟られないので、この不正侵入者による再度の侵入行為や他の妨害行為、破壊行為、迷惑行為等を防止できる。
【0030】
図6は、本発明による通信シーケンスの第2実施形態を示した図である。上記した第1実施形態では、正規サーバ3の通信アプリケーション部30とおとりサーバ4の通信アプリケーション部40とが同期していたが、本実施形態では両者が非同期に動作し、おとりサーバ4は、不正侵入監視部31により不正侵入が検知されてからデータパケットを読み込んでコマンドを実行する。
【0031】
図3に示したように、正規利用者または不正侵入者が、いずれかの通信端末5から正規サーバ3のアドレスを指定してデータパケットを送出すると、ルータ2の経路変換部22は、受信したデータパケットを、正規サーバ3[図6(a) ]およびおとりサーバ4[同図(b) ]の双方へ転送する。
【0032】
正規サーバ3では、通信アプリション部30が前記データパケットを受信し、前記通信端末5との間に通信セッションを確立させる。通信アプリション部30は、データパケットに登録されているコマンドを実行して応答パケットを出力[同図(c) ]する。この応答パケットは、ルータ2を経由して発信元の通信端末5へ返送される。不正侵入監視部31は、入力されるデータパケットを監視[同図(d) ]し、前記通信端末5の利用者が不正侵入者であるか否かを判定する。
【0033】
これと平行して、おとりサーバ4の通信セッション引継部41では、ルータ2から転送されたデータパケットが転送用バッファ411に格納[同図(e) ]されるが、通信アプリション部40へは転送されない。当該通信セッションが正規利用者によるものであれば、上記した各処理が繰り返されることになる。
【0034】
これに対して、当該通信セッションが不正侵入者によるものであり、これが前記不正侵入監視部31により検知されると、通信アプリケーション部30に対しては、通信アプリケーションを終了するコマンドが通知[同図(i) ]され、ルータ2および通信セッション引継部41に対しては、不正侵入を検知した旨が通知[同図(j),(k) ]される。
【0035】
正規サーバ3の通信アプリケーション部30は、前記通知を検知すると実行中の通信セッションを終了する。通信セッション引継部41は、不正侵入が検知された旨を、当該不正侵入と判定された最初のデータパケットのパケット番号と共に受信し、その送信用バッファ412にバッファリングされている、当該パケット番号に対応したデータパケットから順におとりサーバ4の通信アプリケーション部40へ転送[同図(f) ]する。
【0036】
通信アプリケーション部40は、当該データパケットに登録されているコマンドを実行して応答パケットを生成し、これを通信セッション引継部41へ返送[同図(g) ]する。当該応答パケットは、通信セッション引継部41を介してルータ2へ転送[同図(m) ]される。ルータ2では、前記アドレス変換部21が応答パケットの内容を、正規サーバ3がデータパケットを受信すれば出力するであろう応答パケットの内容に変換して返送[同図(n) ]する。
【0037】
これ以後は、当該通信セッション内で通信端末5から出力されるデータパケット[同図(o) ]の宛先アドレスは、ルータ2のアドレス変換部21において全ておとりサーバ4のアドレスに書き換えられるので、正規サーバ3への不正侵入を防止できる。さらに、おとりサーバ4から不正侵入者に返送される応答パケット[同図(q) ]の発信元アドレスも、ルータ2のアドレス変換部21において全て正規サーバ3のアドレスに書き換えられるので、正規サーバ3への不正侵入者に失敗したことを不正侵入者に悟られない。
【0038】
なお、上記した各実施形態では、不正侵入監視部31を正規サーバ3内に設け、通信セッション引継部41をおとりサーバ4内に設けるものとして説明したが、本発明はこれのみに限定されるものではなく、正規サーバ3およびおとりサーバ4の各通信アプリケーション部30、40と通信ネットワーク1との間であれば、どのような形態で設けても良い。
【0039】
さらに、上記した各実施形態では、不正侵入と判定されたセッションのデータパケットは全ておとりサーバ4ヘ転送するものとして説明したが、データの消去コマンドのように、おとりサーバ4の機能を喪失させるような危険なコマンドを含むデータパケットに関しては、おとりサーバ4へも侵入させないことが望ましい。
【0040】
そこで、本実施形態では、図7に示したように、サーバ4の機能を喪失させるような危険なデータパケットはおとりサーバ4の通信アプリケーション部40へ転送せず、通信セッション引継部41が応答パケットを生成・返送して疑似的に応答[同図(s) ]し、さらには、ルータ2のアドレス変換部21において、その発信元アドレスを全て正規サーバ3のアドレスに書き換えて出力[同図(r) ]する。このような構成によれば、おとりサーバ4を、その機能を喪失さるような危険な不正行為から守ることができる。
【0041】
さらに、上記した各実施形態では、通信端末5からのアクセスに対して、最初は正規サーバ3との間に通信セッションを確立し、不正侵入が検知された時点で、当該通信セッションをおとりサーバ4に引継がせるものとして説明したが、不正侵入と判定されたアクセスの発信元アドレスを全て記憶しておき、次に同一の発信元アドレスを有するアクセスが検知された場合には、その通信セッションを最初からおとりサーバ4との間に確立させるようにしても良い。
【0042】
【発明の効果】
本発明によれば、以下のような効果が達成される。
(1) 正規サーバとの間に確立された通信セッションが不正侵入に因るものと判定されると、当該通信セッションがおとりサーバに引継がれ、それ以後は、正規サーバ宛のデータパケットが全ておとりサーバに転送されるので、正規サーバを不正侵入から守ることができる。
(2) 不正侵入者はおとりサーバに侵入しているにもかかわらず、正規サーバへの侵入に成功したものと勘違いし、データを改竄あるいは破壊する。このため、不正侵入者は比較的長時間にわたって接続を維持するので、その間を利用して行動ログや追跡データの収集が可能になり、その結果、不正侵入者の特定が可能になる。
(3) 不正侵入者には、正規サーバへの侵入に失敗したことを悟られないので、この不正侵入者による再度の侵入行為、あるいは他の妨害行為や破壊行為等を防止できる。
(4) おとりサーバの機能を喪失させ得る危険なコマンドについては、おとりサーバへ転送することなく、疑似的に応答するようにしたので、おとりサーバの機能喪失を防止できるようになる。
【図面の簡単な説明】
【図1】 本発明の不正侵入防止システムが適用されるネットワークの構成を示したブロック図である。
【図2】 図1の主要部の構成を示したブロック図である。
【図3】 本発明におけるデータパケットおよび応答パケットの流れ(不正侵入検知前)を示した図である。
【図4】 本発明におけるデータパケットおよび応答パケットの流れ(不正侵入検知後)を示した図である。
【図5】 第1実施形態の通信シーケンスを示した図である。
【図6】 第2実施形態の通信シーケンスを示した図である。
【図7】 第3実施形態の通信シーケンスを示した図である。
【符号の説明】
1…通信ネットワーク,2…ルータ,3…正規サーバ,4…おとりサーバ,5…通信端末,20…ネットワークインターフェース,21…アドレス変換部,22…経路切換部,31…不正侵入監視部,41…通信セッション引継部
【発明の属する技術分野】
本発明は、ネットワーク上のデータ端末に悪意の第三者が不正侵入し、さらにはその内容を改竄、破壊等することを防止する不正侵入防止システムに係り、特に、不正侵入者に不正侵入の失敗を悟られること無く、これを確実に防止できる不正侵入防止システムに関する。
【0002】
【従来の技術】
近年、ホームページの改竄に代表される情報管理サーバへの不正侵入が後を立たない。このような問題点を解決するために、従来は、不正侵入者の通信セッションを情報管理サーバ内に侵入させない対策が講じられていた。例えば、情報管理サーバの不必要なポートを閉めることで攻撃されやすい経路を塞いだり、ファイアーウォールを設けて不正侵入者の通信セッションをフィルタリングしたり、あるいは不正侵入者の通信セッションを切断することなどが行われてきた。
【0003】
しかしながら、上記した従来の侵入防止システムでは、不正侵入者は侵入に失敗したことを認知できるため、他の侵入方法で再度侵入を試みたり、あるいは侵入を諦める代わりに大量の通信セッションを集中させ、サーバをダウンさせるなどの破壊工作や妨害工作に転じる場合があった。
【0004】
このような技術課題を解決するために、本来の情報管理サーバの近傍に、故意に侵入し易くしたおとりサーバを配置し、当該おとりサーバでの改竄を許容することで、情報管理サーバへの不正侵入を防止すると共に、不正侵入者に不正侵入の失敗を悟られないようにした技術が提案されている(Network Associates社製のCyberCop Sting:米国)。
【0005】
【発明が解決しようとする課題】
上記した従来技術では、サーバにおとり機能をインストールして仮想的なネットワークあるいはおとりサーバを作り出し、この仮想的なおとりサーバ等への通信設定を正規サーバよりも簡単にすることで、不正侵入者をおとりサーバ等へおびき寄せていた。
【0006】
しかしながら、前記おとり機能が作り出すおとりサーバ等は、その挙動が本来のサーバとは微妙に異なるために見破られてしまう可能性があった。このため、改めて正規サーバを攻撃されると、従来と同様に正規サーバへ侵入されてしまうという問題があった。
【0007】
本発明の目的は、上記した従来技術の課題を解決し、正規サーバへの不正侵入を防止し、かつ不正侵入者に不正侵入の失敗を悟られないようにした不正侵入防止システムを提供することにある。
【0008】
【課題を解決するための手段】
上記した目的を達成するために、本発明は、おとりサーバを正規サーバに併設し、前記正規サーバへの不正侵入を前記おとりサーバへ導く不正侵入防止システムにおいて、前記正規サーバと外部端末との間に確立された通信セッションが不正侵入に因るものであるか否かを判定する不正侵入監視手段と、不正侵入と判定された通信セッションを、正規サーバからおとりサーバに引継がせる通信セッション引継手段と、前記不正侵入と判定された通信セッションにおいて、正規サーバ宛のデータパケットをおとりサーバに転送する経路切換手段とを具備したことを特徴とする。
【0009】
上記した特徴によれば、正規サーバとの間に確立された通信セッションが不正侵入に因るものと判定されると、当該通信セッションがおとりサーバに引継がれ、それ以後は、正規サーバ宛のデータパケットがおとりサーバに転送されるので、正規サーバを不正侵入から守ることができる。さらに、正規サーバとの間に確立された通信セッションがおとりサーバに引継がれるので、不正侵入者に不正侵入の失敗を悟られない。したがって、正規サーバを、同一の不正侵入者による更なる不正侵入行為、破壊行為あるいは迷惑行為等からも守ことができる。
【0010】
【発明の実施の形態】
以下、図面を参照して本発明を詳細に説明する。図1は、本発明の不正侵入防止システムが適用される通信ネットワークの構成を示したブロック図である。
【0011】
通信ネットワーク1には、複数の通信端末5と共に、悪意の第三者による不正侵入から保護すべき正規サーバ3と、前記正規サーバ3に対する不正アクセスを身代わりとなって受け入れるおとりサーバ4とが、経路切換装置としてのルータ2(あるいはスイッチングハブ、帯域制御装置等)を介して接続されている。前記おとりサーバ4は正規サーバ3のミラーサーバとしての機能を有する。
【0012】
図2は、前記ルータ2、正規サーバ3およびおとりサーバ4の構成を示したブロック図であり、前記と同一の符号は同一または同等部分を表している。
【0013】
ルータ2において、ネットワークインターフェース(I/F)20は、当該ルータ2と通信ネットワーク1との物理的な接続を制御する。アドレス変換部21は、例えばNAT(Network Address Translator)としての機能を具備し、メモリ211に記憶されたアドレス対応情報に基づいて、入出力されるデータパケットのアドレス情報を書き換える。前記メモリ211に記憶された前記アドレス対応情報は、後述する正規サーバ3の不正侵入監視部31からの書き換え指示により書き換えられる。経路切換部22は、入力されたデータパケットを、その宛先アドレスに基づいて、正規サーバ3またはおとりサーバ4、あるいはその双方へ転送する。
【0014】
正規サーバ3において、通信アプリケーション部30は、入力されたデータパケットに登録されているコマンドを実行する。不正侵入監視部31(例えば、Internet Security Systems 社製のReal Secure :米国)は、パスワードが設定されているときに、その間違え回数が基準値を越えたアクセスや、ポートスキャンを実行したアクセス等を不正侵入者によるアクセスと判定し、その旨を前記通信アプリケーション部30、ルータ2および後述する通信セッション引継部41へ通知する。
【0015】
おとりサーバ4において、その主要部である通信アプリケーション部40は、入力されたデータパケットに登録されているコマンドを、前記正規サーバ3の通信アプリケーション部30と同様に実行する。通信セッション引継部41は、後に詳述するように、不正侵入者と正規サーバ3との通信セッションを正規サーバ3から引継いで継続させる。
【0016】
図3、4は、本発明におけるデータパケットの転送経路を模式的に示した図であり、図3は、正規利用者あるいは不正侵入と判定されるまでの不正侵入者による通信セッションを示し、図4は、不正侵入と判定された以降の不正侵入者による通信セッションを示している。
【0017】
図5は、本発明における通信シーケンスの第1実施形態を示した図であり、ここでは、正規サーバ3の通信アプリケーション部30とおとりサーバ4の通信アプリケーション部40とが同期して動作する。
【0018】
図3に示したように、正規利用者または不正侵入者が、いずれかの通信端末5から正規サーバ3のアドレスを指定してデータパケットを送出すると、ルータ2の経路変換部22は、受信したデータパケットを正規サーバ3[図5(a) ]およびおとりサーバ4[同図(b) ]の双方へ転送する。
【0019】
正規サーバ3では、通信アプリション部30が前記データパケットを受信し、前記通信端末5との間に通信セッションを確立させる。通信アプリション部30は、データパケットに登録されているコマンドを実行して応答パケットを出力[同図(c) ]する。この応答パケットは、ルータ2を経由して発信元の通信端末5へ返送される。不正侵入監視部31は、入力されるデータパケットを監視[同図(d) ]し、前記通信端末5の利用者が不正侵入者であるか否かを判定する。
【0020】
これと平行して、おとりサーバ4の通信セッション引継部41では、図3に示したように、ルータ2から転送されたデータパケットが転送用バッファ411に格納(バッファリング)され[図5(e) ]、おとりサーバ4の通信アプリケーション部40へ転送[同図(f) ]される。
【0021】
通信アプリケーション部40は、入力されたデータパケットに登録されているコマンドを実行し、その応答パケットを生成して通信セッション引継部41へ返送[同図(g) ]する。当該応答パケットは、通信セッション引継部41の返送用バッファに412に格納[同図(h) ]されるが、この時点ではルータ2に対して返送されない。
【0022】
当該通信セッションが正規利用者によるものであり、不正侵入監視部31により不正侵入が検知されなければ、上記した各処理が繰り返されることになる。
【0023】
これに対して、当該通信セッションが不正侵入者によるものであり、これが前記不正侵入監視部31により検知されると、正規サーバ3の通信アプリケーション部30に対しては、通信アプリケーションを終了させるためのコマンドが通知[同図(i) ]され、ルータ2および通信セッション引継部41に対しては、不正侵入を検知した旨が通知[同図(j),(k) ]される。正規サーバ3の通信アプリケーション部30は、前記通知を検知すると、実行中の通信セッションを終了し、その旨を不正侵入監視部31へ通知[同図(l) ]する。
【0024】
通信セッション引継部41は、前記通知を、不正侵入と判定された最初のデータパケットのパケット番号と共に不正侵入監視部31から受信すると、図4に示したように、その返送用バッファ412に蓄積されている、前記パケット番号に対応した応答パケットから順にルータ2へ出力[図5(m) ]する。
【0025】
このように、本実施形態では、おとりサーバ4に通信セッション引継部41を設け、不正侵入者に対する応答パケットを、不正侵入と判定された最初のデータパケットから順に出力するようにしたので、不正侵入者と正規サーバ3との通信セッションをおとりサーバ4に正常に引継がせて継続させることができる。
【0026】
ルータ2では、前記アドレス変換部21が、返送用バッファ412から出力された応答パケットの内容を、正規サーバ3がデータパケットを受信すれば出力するであろう応答パケットの内容に変換して返送[同図(n) ]する。すなわち、応答パケットの発信元アドレスを、おとりサーバ4のアドレスから正規サーバ3のアドレスに変換し、応答パケットのコマンドを、正規サーバ3へのアクセスに成功した旨のコマンドに変換する。
【0027】
したがって、不正侵入者は発信元アドレスが正規サーバである応答パケットを受け取ることになるので、正規サーバ3への不正侵入者に失敗したことを認識できない。
【0028】
これ以後は、当該通信セッション内で通信端末5から出力されるデータパケット[同図(o) ]の宛先アドレスは、ルータ2のアドレス変換部21において、全ておとりサーバ4のアドレスに書き換えられるのでおとりサーバ4に転送[同図(p) ]される。したがって、正規サーバ3への不正侵入を防止できる。さらに、おとりサーバ4から返送[同図(q) ]される応答パケットも、ルータ2のアドレス変換部21において、その発信元アドレスを全て正規サーバ3のアドレスに書き換えられて出力[同図(r) ]されるので、正規サーバ3への不正侵入者に失敗したことを不正侵入者に悟られない。
【0029】
上記したように、本実施形態によれば、不正侵入と判定された通信セッションのデータパケットは、その宛先アドレスを正規サーバのアドレスからおとりサーバのアドレスへ書き換えられるので、正規サーバ3への侵入を防止できる。また、不正侵入者はおとりサーバ4に侵入しているにもかかわらず、正規サーバ3への侵入に成功したものと勘違いし、比較的長時間にわたって接続を維持するので、その間を利用して行動ログや追跡データの収集が可能になる。さらに、不正侵入者には正規サーバ3への侵入に失敗したことを悟られないので、この不正侵入者による再度の侵入行為や他の妨害行為、破壊行為、迷惑行為等を防止できる。
【0030】
図6は、本発明による通信シーケンスの第2実施形態を示した図である。上記した第1実施形態では、正規サーバ3の通信アプリケーション部30とおとりサーバ4の通信アプリケーション部40とが同期していたが、本実施形態では両者が非同期に動作し、おとりサーバ4は、不正侵入監視部31により不正侵入が検知されてからデータパケットを読み込んでコマンドを実行する。
【0031】
図3に示したように、正規利用者または不正侵入者が、いずれかの通信端末5から正規サーバ3のアドレスを指定してデータパケットを送出すると、ルータ2の経路変換部22は、受信したデータパケットを、正規サーバ3[図6(a) ]およびおとりサーバ4[同図(b) ]の双方へ転送する。
【0032】
正規サーバ3では、通信アプリション部30が前記データパケットを受信し、前記通信端末5との間に通信セッションを確立させる。通信アプリション部30は、データパケットに登録されているコマンドを実行して応答パケットを出力[同図(c) ]する。この応答パケットは、ルータ2を経由して発信元の通信端末5へ返送される。不正侵入監視部31は、入力されるデータパケットを監視[同図(d) ]し、前記通信端末5の利用者が不正侵入者であるか否かを判定する。
【0033】
これと平行して、おとりサーバ4の通信セッション引継部41では、ルータ2から転送されたデータパケットが転送用バッファ411に格納[同図(e) ]されるが、通信アプリション部40へは転送されない。当該通信セッションが正規利用者によるものであれば、上記した各処理が繰り返されることになる。
【0034】
これに対して、当該通信セッションが不正侵入者によるものであり、これが前記不正侵入監視部31により検知されると、通信アプリケーション部30に対しては、通信アプリケーションを終了するコマンドが通知[同図(i) ]され、ルータ2および通信セッション引継部41に対しては、不正侵入を検知した旨が通知[同図(j),(k) ]される。
【0035】
正規サーバ3の通信アプリケーション部30は、前記通知を検知すると実行中の通信セッションを終了する。通信セッション引継部41は、不正侵入が検知された旨を、当該不正侵入と判定された最初のデータパケットのパケット番号と共に受信し、その送信用バッファ412にバッファリングされている、当該パケット番号に対応したデータパケットから順におとりサーバ4の通信アプリケーション部40へ転送[同図(f) ]する。
【0036】
通信アプリケーション部40は、当該データパケットに登録されているコマンドを実行して応答パケットを生成し、これを通信セッション引継部41へ返送[同図(g) ]する。当該応答パケットは、通信セッション引継部41を介してルータ2へ転送[同図(m) ]される。ルータ2では、前記アドレス変換部21が応答パケットの内容を、正規サーバ3がデータパケットを受信すれば出力するであろう応答パケットの内容に変換して返送[同図(n) ]する。
【0037】
これ以後は、当該通信セッション内で通信端末5から出力されるデータパケット[同図(o) ]の宛先アドレスは、ルータ2のアドレス変換部21において全ておとりサーバ4のアドレスに書き換えられるので、正規サーバ3への不正侵入を防止できる。さらに、おとりサーバ4から不正侵入者に返送される応答パケット[同図(q) ]の発信元アドレスも、ルータ2のアドレス変換部21において全て正規サーバ3のアドレスに書き換えられるので、正規サーバ3への不正侵入者に失敗したことを不正侵入者に悟られない。
【0038】
なお、上記した各実施形態では、不正侵入監視部31を正規サーバ3内に設け、通信セッション引継部41をおとりサーバ4内に設けるものとして説明したが、本発明はこれのみに限定されるものではなく、正規サーバ3およびおとりサーバ4の各通信アプリケーション部30、40と通信ネットワーク1との間であれば、どのような形態で設けても良い。
【0039】
さらに、上記した各実施形態では、不正侵入と判定されたセッションのデータパケットは全ておとりサーバ4ヘ転送するものとして説明したが、データの消去コマンドのように、おとりサーバ4の機能を喪失させるような危険なコマンドを含むデータパケットに関しては、おとりサーバ4へも侵入させないことが望ましい。
【0040】
そこで、本実施形態では、図7に示したように、サーバ4の機能を喪失させるような危険なデータパケットはおとりサーバ4の通信アプリケーション部40へ転送せず、通信セッション引継部41が応答パケットを生成・返送して疑似的に応答[同図(s) ]し、さらには、ルータ2のアドレス変換部21において、その発信元アドレスを全て正規サーバ3のアドレスに書き換えて出力[同図(r) ]する。このような構成によれば、おとりサーバ4を、その機能を喪失さるような危険な不正行為から守ることができる。
【0041】
さらに、上記した各実施形態では、通信端末5からのアクセスに対して、最初は正規サーバ3との間に通信セッションを確立し、不正侵入が検知された時点で、当該通信セッションをおとりサーバ4に引継がせるものとして説明したが、不正侵入と判定されたアクセスの発信元アドレスを全て記憶しておき、次に同一の発信元アドレスを有するアクセスが検知された場合には、その通信セッションを最初からおとりサーバ4との間に確立させるようにしても良い。
【0042】
【発明の効果】
本発明によれば、以下のような効果が達成される。
(1) 正規サーバとの間に確立された通信セッションが不正侵入に因るものと判定されると、当該通信セッションがおとりサーバに引継がれ、それ以後は、正規サーバ宛のデータパケットが全ておとりサーバに転送されるので、正規サーバを不正侵入から守ることができる。
(2) 不正侵入者はおとりサーバに侵入しているにもかかわらず、正規サーバへの侵入に成功したものと勘違いし、データを改竄あるいは破壊する。このため、不正侵入者は比較的長時間にわたって接続を維持するので、その間を利用して行動ログや追跡データの収集が可能になり、その結果、不正侵入者の特定が可能になる。
(3) 不正侵入者には、正規サーバへの侵入に失敗したことを悟られないので、この不正侵入者による再度の侵入行為、あるいは他の妨害行為や破壊行為等を防止できる。
(4) おとりサーバの機能を喪失させ得る危険なコマンドについては、おとりサーバへ転送することなく、疑似的に応答するようにしたので、おとりサーバの機能喪失を防止できるようになる。
【図面の簡単な説明】
【図1】 本発明の不正侵入防止システムが適用されるネットワークの構成を示したブロック図である。
【図2】 図1の主要部の構成を示したブロック図である。
【図3】 本発明におけるデータパケットおよび応答パケットの流れ(不正侵入検知前)を示した図である。
【図4】 本発明におけるデータパケットおよび応答パケットの流れ(不正侵入検知後)を示した図である。
【図5】 第1実施形態の通信シーケンスを示した図である。
【図6】 第2実施形態の通信シーケンスを示した図である。
【図7】 第3実施形態の通信シーケンスを示した図である。
【符号の説明】
1…通信ネットワーク,2…ルータ,3…正規サーバ,4…おとりサーバ,5…通信端末,20…ネットワークインターフェース,21…アドレス変換部,22…経路切換部,31…不正侵入監視部,41…通信セッション引継部
Claims (9)
- おとりサーバを正規サーバに併設し、前記正規サーバへの不正侵入を前記おとりサーバへ導く不正侵入防止システムにおいて、
前記正規サーバと外部端末との間に確立された通信セッションが不正侵入に因るものであるか否かを判定する不正侵入監視手段と、
不正侵入と判定された通信セッションを、正規サーバからおとりサーバに引継がせる通信セッション引継手段と、
前記不正侵入と判定された通信セッションにおいて、正規サーバ宛のデータパケットをおとりサーバに転送する経路切換手段と、
前記おとりサーバから出力される応答パケットの内容を、前記正規サーバが前記データパケットを受信すれば出力するであろう応答パケットの内容に変換する応答変換手段とを具備し、
前記応答変換手段は、おとりサーバから出力される応答パケットの発信元アドレスを正規サーバのアドレスに変換する手段を含むことを特徴とする不正侵入防止システム。 - 前記おとりサーバは正規サーバのミラーサーバであることを特徴とする請求項1に記載の不正侵入防止システム。
- 前記通信セッション引継手段は、正規サーバ宛のデータパケットと同一のデータパケットを前記おとりサーバへ順次転送する転送用バッファと、前記データパケットに応答して前記おとりサーバから返送された応答パケットを順次記憶する返送用バッファとを具備し、前記返送用バッファは、前記不正侵入と判定された通信セッションがおとりサーバに引継がれると、引継後の最初のデータパケットに対応した応答パケットから順に出力することを特徴とする請求項1または2に記載の不正侵入防止システム。
- 前記通信セッション引継手段は、前記正規サーバ宛のデータパケットと同一のデータパケットを順次記憶する転送用バッファと、前記おとりサーバから返送された応答パケットを順次返送する返送用バッファとを具備し、前記転送用バッファは、前記不正侵入と判定された通信セッションがおとりサーバに引継がれると、引継後の最初のデータパケットから順に出力することを特徴とする請求項1または2に記載の不正侵入防止システム。
- サーバ機能を喪失させるコマンドを含むデータパケットに関してはおとりサーバへ転送せず、当該データパケットの応答パケットを疑似的に生成して返送する疑似応答手段を具備したことを特徴とする請求項1ないし4のいずれかに記載の不正侵入防止システム。
- 不正侵入と判定された通信セッションの発信元アドレスを記憶し、次に当該発信元アドレスを有するデータパケットが入力されると、おとりサーバとの間に通信セッションを確立することを特徴とする請求項1ないし5のいずれかに記載の不正侵入防止システム。
- 前記おとりサーバとの間に確立された通信セッションにおいて、その行動ログないしは追跡データを収集することを特徴とする請求項1ないし6のいずれかに記載の不正侵入防止システム。
- おとりサーバを正規サーバに併設し、前記正規サーバへの不正侵入を前記おとりサーバへ導く不正侵入防止システムにおいて、前記正規サーバを宛先とするデータパケットが、不正侵入者から送出されたものであるか否かを判定する不正侵入監視手段と、不正侵入者から送出されたものと判定されたデータパケットをおとりサーバに転送する経路切換手段と、
前記おとりサーバから出力される応答パケットの内容を、前記正規サーバが前記データパケットを受信すれば出力するであろう応答パケットの内容に変換する応答変換手段とを具備し、
前記応答変換手段は、おとりサーバから出力される応答パケットの発信元アドレスを正規サーバのアドレスに変換する手段を含むことを特徴とする不正侵入防止システム。 - 前記おとりサーバは正規サーバのミラーサーバであることを特徴とする請求項8に記載の不正侵入防止システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000299556A JP3687782B2 (ja) | 2000-09-29 | 2000-09-29 | 不正侵入防止システム |
| US09/963,789 US20020046351A1 (en) | 2000-09-29 | 2001-09-27 | Intrusion preventing system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000299556A JP3687782B2 (ja) | 2000-09-29 | 2000-09-29 | 不正侵入防止システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002111727A JP2002111727A (ja) | 2002-04-12 |
| JP3687782B2 true JP3687782B2 (ja) | 2005-08-24 |
Family
ID=18781343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000299556A Expired - Fee Related JP3687782B2 (ja) | 2000-09-29 | 2000-09-29 | 不正侵入防止システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3687782B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20200055403A (ko) * | 2018-11-13 | 2020-05-21 | 한국전자통신연구원 | 디코이 장치 및 디셉션 네트워크를 이용한 거짓 공격 접점 확장 방법 |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002149602A (ja) * | 2000-11-13 | 2002-05-24 | Ntt Software Corp | 不正アクセスを防御するためのネットワーク接続装置 |
| JP3790486B2 (ja) * | 2002-03-08 | 2006-06-28 | 三菱電機株式会社 | パケット中継装置、パケット中継システムおよびオトリ誘導システム |
| JP2004153485A (ja) * | 2002-10-30 | 2004-05-27 | Jens Corp | 通信セキュリティシステム |
| JP3715628B2 (ja) * | 2003-01-24 | 2005-11-09 | 株式会社東芝 | パケット転送システム、パケット転送装置、プログラム及びパケット転送方法 |
| JP2004234378A (ja) * | 2003-01-30 | 2004-08-19 | Fujitsu Ltd | セキュリティ管理装置及びセキュリティ管理方法 |
| JP2004295533A (ja) * | 2003-03-27 | 2004-10-21 | Nec Corp | アプリケーション障害回避システム、監視用コンピュータ、サーバコンピュータ及びプログラム |
| US7725936B2 (en) | 2003-10-31 | 2010-05-25 | International Business Machines Corporation | Host-based network intrusion detection systems |
| JP4780413B2 (ja) | 2007-01-12 | 2011-09-28 | 横河電機株式会社 | 不正アクセス情報収集システム |
| JP5739182B2 (ja) | 2011-02-04 | 2015-06-24 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 制御システム、方法およびプログラム |
| JP5731223B2 (ja) | 2011-02-14 | 2015-06-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
| JP5689333B2 (ja) * | 2011-02-15 | 2015-03-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
| JP5492150B2 (ja) * | 2011-07-04 | 2014-05-14 | 株式会社日立製作所 | 多重系コントローラシステムとその運転方法 |
| JP6081031B2 (ja) | 2014-09-17 | 2017-02-15 | 三菱電機株式会社 | 攻撃観察装置、及び攻撃観察方法 |
| JP6379013B2 (ja) * | 2014-11-11 | 2018-08-22 | 株式会社日立システムズ | ネットワーク制御システム、ネットワーク制御方法及びプログラム |
| US9614853B2 (en) | 2015-01-20 | 2017-04-04 | Enzoo, Inc. | Session security splitting and application profiler |
| KR20190043923A (ko) * | 2017-10-19 | 2019-04-29 | 라인 가부시키가이샤 | 서비스 서버, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법 및 그 방법을 실행시키기 위한 컴퓨터 프로그램 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3618245B2 (ja) * | 1999-03-09 | 2005-02-09 | 株式会社日立製作所 | ネットワーク監視システム |
| JP2002007234A (ja) * | 2000-06-20 | 2002-01-11 | Mitsubishi Electric Corp | 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体 |
| JP2002041468A (ja) * | 2000-07-26 | 2002-02-08 | Nec Software Chubu Ltd | 不正アクセス防止サービスシステム |
-
2000
- 2000-09-29 JP JP2000299556A patent/JP3687782B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20200055403A (ko) * | 2018-11-13 | 2020-05-21 | 한국전자통신연구원 | 디코이 장치 및 디셉션 네트워크를 이용한 거짓 공격 접점 확장 방법 |
| KR102286291B1 (ko) * | 2018-11-13 | 2021-08-06 | 한국전자통신연구원 | 디코이 장치 및 디셉션 네트워크를 이용한 거짓 공격 접점 확장 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002111727A (ja) | 2002-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3687782B2 (ja) | 不正侵入防止システム | |
| US20020046351A1 (en) | Intrusion preventing system | |
| US5802320A (en) | System for packet filtering of data packets at a computer network interface | |
| CN1086086C (zh) | 用于防止未经授权的通信的安全系统和方法 | |
| Harris et al. | TCP/IP security threats and attack methods | |
| US5896499A (en) | Embedded security processor | |
| US7464407B2 (en) | Attack defending system and attack defending method | |
| US20090182867A1 (en) | Method and apparatus for identifying a packet | |
| US20090265777A1 (en) | Collaborative and proactive defense of networks and information systems | |
| JP3618245B2 (ja) | ネットワーク監視システム | |
| CN101802837A (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法 | |
| JP2007521718A (ja) | セキュリティブリーチ検知に対するネットワークのクオリティオブサービスを保護するシステムおよび方法 | |
| JP2007189725A (ja) | 通信方法及び通信網侵入防御方法並びに通信網侵入試み検知システム | |
| JP4683518B2 (ja) | 不正侵入防止システム | |
| JP4042776B2 (ja) | 攻撃検知装置および攻撃検知方法 | |
| JP2007325293A (ja) | 攻撃検知システムおよび攻撃検知方法 | |
| JP2000354034A (ja) | 事業:ハッカー監視室 | |
| Maynard et al. | Towards understanding man-on-the-side attacks (MotS) in SCADA networks | |
| WO2023084446A1 (en) | Methods and system for providing security to critical systems connected to a computer network | |
| JP2002111726A (ja) | 不正侵入防止システム | |
| KR100470917B1 (ko) | 액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법 | |
| Dunigan et al. | Intrusion detection and intrusion prevention on a large network: A case study | |
| JP3657569B2 (ja) | パケット処理方法および通信装置 | |
| JP2002149602A (ja) | 不正アクセスを防御するためのネットワーク接続装置 | |
| Roy et al. | RESEARCH INVESTIGATIONS ON DDOS ATTACK |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040825 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040929 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041126 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050601 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050601 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110617 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120617 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140617 Year of fee payment: 9 |
|
| LAPS | Cancellation because of no payment of annual fees |