JP3790486B2 - パケット中継装置、パケット中継システムおよびオトリ誘導システム - Google Patents

パケット中継装置、パケット中継システムおよびオトリ誘導システム Download PDF

Info

Publication number
JP3790486B2
JP3790486B2 JP2002063993A JP2002063993A JP3790486B2 JP 3790486 B2 JP3790486 B2 JP 3790486B2 JP 2002063993 A JP2002063993 A JP 2002063993A JP 2002063993 A JP2002063993 A JP 2002063993A JP 3790486 B2 JP3790486 B2 JP 3790486B2
Authority
JP
Japan
Prior art keywords
packet
network
otori
terminal device
packet relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002063993A
Other languages
English (en)
Other versions
JP2003264595A (ja
Inventor
洋輔 木下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2002063993A priority Critical patent/JP3790486B2/ja
Publication of JP2003264595A publication Critical patent/JP2003264595A/ja
Application granted granted Critical
Publication of JP3790486B2 publication Critical patent/JP3790486B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は、パケット中継装置およびオトリ誘導システムに係り、更に詳しくは、侵入検知機能とネットワーク中継機能とを連携させるとともに、外部ネットワークからのパケットをオトリネットワークへ誘導することができるパケット中継装置、並びに、これを用いたパケット中継システムおよびオトリ誘導システムに関する。
【0002】
【従来の技術】
図13は、従来の侵入検知システムの構成および動作を示した図である。図中の1はパケット中継装置、20は外部ネットワーク、21は外部端末装置、30は内部ネットワーク、31は内部端末装置、50は管理者端末、51は解析装置である。
【0003】
パケット中継装置1は、外部ネットワーク20および内部ネットワーク30に接続され、両ネットワーク間での通信されるパケットの中継を行っている。すなわち、外部端末装置21から内部端末装置31へのパケットを外部ネットワーク20から受信し、内部ネットワーク30へ送出する。また、内部端末装置31から外部端末装置21へのパケットを内部ネットワーク30から受信し、外部ネットワーク20へ送出する。
【0004】
ここで、外部ネットワーク20から内部ネットワーク30へのアクセスは制限されている場合がある。例えば、IDコード及びパスワードによって認証された者だけが内部端末装置31にアクセスすることが出来るような場合である。この様な場合、外部ネットワーク20から内部ネットワーク30へ不正にアクセスしようとする攻撃者からのパケット、つまり、不正アクセスパケットが送られてくることがある。
【0005】
このような不正アクセスから内部ネットワークを防御するため、一般に、パケット中継装置1は、不正アクセスパケットを検出するためのフィルタリング機能を有している。このようなパケット中継装置は、不正アクセスパケットの送信元又は送信先情報が規定されたフィルタリングテーブルを用いて、外部ネットワーク20からの不正アクセスパケットを判別し、不正アクセスパケットであることが判別できれば、当該パケットは内部ネットワーク30へ送出されない。
【0006】
この様なフィルタリング機能を有するパケット中継装置においては、フィルタリングテーブルの内容が重要であり、内部ネットワーク30のセキュリティを高めるために、一元的なポリシー(特定のデータを受信すれば通信を遮断する等の極端なポリシー)を設定したとすれば、不正アクセスは排除することができるが、ネットワークの可用性を確保することが困難になる。このため、運用時に、ネットワーク管理者が、不正アクセスの疑いのある被疑パケット1つ1つについて不正アクセスパケットであるか否かを判断し、フィルタリングテーブルを更新していく必要がある。
【0007】
解析装置51は、パケット中継装置1および内部ネットワーク30を監視し、通信データの記録等を行うことによって、外部ネットワーク20から内部ネットワーク30への不正アクセス検知の手掛かりとなる情報を収集する。収集された情報は、解析装置51において解析され、ネットワーク管理者の管理者端末装置50へ通知される。
【0008】
ネットワーク管理者は、管理者端末装置50を用いて、パケット中継装置1のフィルタリングテーブルを設定し、更新することができる。ネットワーク管理者は、解析装置51による解析結果に基づき、不正アクセスパケットおよび不正アクセスの疑いのあるパケットであるか否かの最終的な判断を行い、フィルタリングテーブルをを変更し、不正アクセスの再発を防止している。
【0009】
【発明が解決しようとする課題】
従来の侵入検知システムは上記のように構成され、ネットワーク管理者によって管理されていた。ところが、このようなネットワーク管理業務は、専門知識を有するスペシャリストのみが行うことのできる業務であるため、一部の管理者に大きな作業負荷が集中してしまうという問題があった。
【0010】
また、パケット中継装置は、IDS(Intrusion Detection System)と呼ばれる侵入検知機能を有している場合がある。IDSを用いれば、パケットデータのパターンマッチングにより、不正アクセスパケットを判別することができる。しかしながら、パケット単位のパターンマッチングだけでは不正アクセスパケットであると判断できない様な場合、内部ネットワークに不正アクセスパケットが送出されてしまうという問題があった。また、IDSによる不正アクセスパケットの検出には時間がかかるため、パケット通信量が多い場合には、全てのパケットについて判断を行うことができないという問題もあった。
【0011】
本発明は、上記の事情に鑑みてなされたものであり、セキュリティ機能を有するパケット中継装置であって、不正アクセスパケット又はその疑いのあるパケットをオトリネットワークへ送出することにより、不正アクセスに対するセキュリティ性を向上させ、あるいは、不正アクセスへの対処を自動化したパケット中継装置を提供することを目的とする。また、通信量の増大時にパケットをオトリネットワークへ送出することにより、通信路の帯域を確保するパケット中継装置を提供することを目的とする。
【0012】
また、セキュリティ機能を有するパケット中継システムであって、2つの中継経路を用いて、中継経路における帯域を制御し、セキュリティ性を向上させたパケット中継システムを提供することを目的とする。
【0013】
また、セキュリティ機能を有するパケット中継装置および不正アクセスパケット又はその疑いのあるパケットがオトリネットワークを介して誘導されるオトリ端末装置からなるオトリ誘導システムを提供することを目的とする。さらに、セキュリティレベルを変化させ、ネットワークの監査を行い、あるいは、不正アクセスへの対処をリアルタイム化したオトリ誘導システムを提供することを目的とする。
【0014】
【課題を解決するための手段】
請求項1に記載の本発明によるパケット中継装置は、第1のネットワークおよび第2のネットワーク間でパケットを中継するパケット中継部と、第1のネットワークから第2のネットワークに対して送信されたパケットを第1および第2のネットワークとは別のオトリネットワークへ送出するオトリ誘導部とを備えて構成される。
【0015】
上記パケット中継部は、破棄すべきパケット又はオトリ誘導すべきパケットの送信元又は送信先情報を記憶するフィルタリングテーブルと、フィルタリングテーブルを用いて、第1のネットワークから第2のネットワークに対して送信されたパケットの送信元又は送信先情報に基づき、当該パケットの破棄又はオトリ誘導を決定するフィルタリング処理部と、第1のネットワークから第2のネットワークに対して送信されたパケットを監視して、第2のネットワークへ不正にアクセスしようとする不正アクセスパケットを検出し、フィルタリングテーブルを更新する侵入検知部とにより構成される。
【0016】
請求項2に記載の本発明によるパケット中継装置は、オトリネットワークが、第2のネットワークと同一のアドレス体系を有するとともに、オトリ端末装置が接続される。また、オトリ誘導部が、オトリ誘導されるパケットの送信先アドレス情報に一致する第1のアドレス情報が割り当てられたオトリ端末装置に対してパケットを送出するように構成される。
【0017】
請求項3に記載の本発明によるパケット中継装置は、侵入検知部が、第1のネットワークから第2のネットワークに対して送信されたパケットを所定の不正アクセスパケットのパターンデータと比較して、不正アクセスパケットを検出するように構成される。
【0018】
請求項4に記載の本発明によるパケット中継装置は、オトリ誘導部が、オトリネットワーク上のオトリ端末装置から第1のネットワークに対して送信されたパケットをパケット中継部へ送出し、パケット中継部が、オトリ端末装置からのパケットを第1のネットワークへ送出するように構成される。
【0019】
請求項5に記載の本発明によるパケット中継装置は、オトリ誘導部が、オトリネットワークに接続された汎用コンピュータにより構成され、上記汎用コンピュータの汎用データバスを介してパケット中継部に接続され、上記パケット中継部が、オトリ誘導部から受信したオトリネットワークから第1のネットワークに対して送信されたパケットに対し、フレーム形式を第1のネットワークの形式に変換して第1のネットワークに送出するように構成される。
【0020】
請求項6に記載の本発明によるパケット中継装置は、上記オトリ端末装置には、仮想アドレスとして第2のアドレス情報が割り当てられ、オトリ誘導部が、オトリ端末装置から第1のネットワークに対して送信されたパケットについて、その送信先情報に基づき、オトリ誘導されたパケットの送信元以外を送信先とするパケットを判別し、判別されたパケットの送信元情報を上記第2のアドレス情報に変更してパケット中継部へ送出するように構成される。
【0021】
請求項7に記載の本発明によるパケット中継装置は、パケット中継部が、第1のネットワークから送信されるパケットについて、上記第2のアドレス情報を送信先情報とするパケットを判別し、上記オトリ誘導部が、判別されたパケットの送信先情報を第1のアドレス情報に変更して、オトリネットワークへ送出するように構成される。
【0022】
請求項8に記載の本発明によるパケット中継システムは、第1および第2のパケット中継装置と、パケットを監視するパケット監視装置により構成される。第1のパケット中継装置の第1のネットワーク用のポートが第1のネットワークに接続され、第2のパケット中継装置の第1のネットワーク用のポートが第2のネットワークに接続され、第1および第2のパケット中継装置の第2のネットワーク用のポートが互いに接続され、正常パケットが伝送される第1の経路を形成し、第1および第2のパケット中継装置のオトリネットワーク用のポートが互いに接続され、監視用経路として第1のパケット中継装置によってオトリ誘導されるべきパケットが伝送される第2の経路を形成し、パケット監視装置が第2の経路に設けられる。
【0023】
請求項9に記載の本発明によるオトリ誘導システムは、第1のネットワークおよび第2のネットワークに接続されたパケット中継装置と、第1および第2のネットワークとは別のオトリネットワークを介してパケット中継装置に接続されたオトリ端末装置とを備えて構成される。
【0024】
上記パケット中継装置は、第1のネットワークおよび第2のネットワーク間でパケットを中継するパケット中継部と、第1のネットワークから第2のネットワークに対して送信されたパケットを第1および第2のネットワークとは別のオトリネットワークへ送出するオトリ誘導部とにより構成される。
【0025】
上記パケット中継部は、破棄すべきパケット又はオトリ誘導すべきパケットの送信元又は送信先情報を記憶するフィルタリングテーブルと、フィルタリングテーブルを用いて、第1のネットワークから第2のネットワークに対して送信されたパケットの送信元又は送信先情報に基づき、当該パケットの破棄又はオトリ誘導を決定するフィルタリング処理部と、第1のネットワークから第2のネットワークに対して送信されたパケットを監視して、第2のネットワークへ不正にアクセスしようとする不正アクセスパケットを検出し、フィルタリングテーブルを更新する侵入検知部とにより構成される。
【0026】
請求項10に記載の本発明によるオトリ誘導システムは、パケット中継装置が、第1のネットワークから第2のネットワークへの通信量が所定の閾値を越える場合に、第1のネットワークからのパケットをオトリ端末装置へ送出し、オトリ端末装置が、パケット中継装置からの上記パケットを記録し、第1のネットワークから第2のネットワークへの通信量の低減後に第2のネットワークに対し送信するように構成される。
【0027】
請求項11に記載の本発明によるオトリ誘導システムは、オトリ端末装置が、オトリ誘導されたパケットのパケット情報を解析し、この解析結果に基づいて、オトリ誘導されたパケットを第2のネットワーク又は身代わり端末装置に対して送信するように構成される。
【0028】
請求項12に記載の本発明によるオトリ誘導システムは、パケット中継装置が、第1のネットワークから第2のネットワークに対して送信されたパケットを第2のネットワークおよびオトリ端末装置へ送出し、オトリ端末装置が、オトリ誘導されたパケットのパケット情報を解析し、この解析結果に基づいて、第2ネットワークの監査を行うように構成される。
【0029】
請求項13に記載の本発明によるオトリ誘導システムは、オトリ端末装置が、オトリ誘導されたパケットのパケット情報を解析し、この解析結果に基づいて、セッションリセットパケットを第1のネットワークに対して送出するように構成される。
【0030】
【発明の実施の形態】
実施の形態1.
図1は、本発明の実施の形態1によるオトリ誘導システムの一構成例を示したブロック図である。図中の1はオトリ誘導装置、2はパケット中継部、3はオトリ誘導部、4は侵入検知部、5はフィルタリング処理部、6はフィルタリングテーブル、7は内部バス、20は外部ネットワーク、21は外部端末装置、30は内部ネットワーク、31は内部端末装置、40はオトリネットワーク、41はオトリ端末装置である。
【0031】
オトリ誘導装置1は、外部ネットワーク20および内部ネットワーク30に接続され、両ネットワーク間でパケット中継を行うパケット中継装置である。すなわち、外部端末装置21から内部端末装置31へのパケットを外部ネットワーク20から受信し、内部ネットワーク30へ送出する。また、内部端末装置31から外部端末装置21へのパケットを内部ネットワーク30から受信し、外部ネットワーク20へ送出する。
【0032】
各ネットワーク20,30,40には、通常、2以上の端末装置が接続されているが、図中では省略されている。特に、外部ネットワーク20は、インターネットのような不特定多数の端末装置が収容されているネットワークであってもよい。オトリネットワーク40は、内部ネットワーク30には接続されてない(オトリ誘導装置1経由を除く)別個のネットワークであり、オトリ端末装置41が接続されている。
【0033】
オトリ誘導装置1は、外部ネットワーク20および内部ネットワーク30に接続されたパケット中継部2と、オトリネットワーク40に接続されたオトリ誘導部3からなり、パケット中継部2およびオトリ誘導部3は、内部バス7を介して接続されている。パケット中継部2は、さらに侵入検知部4と、フィルタリング処理部5と、フィルタリングテーブル6とにより構成される。
【0034】
オトリ誘導部3、侵入検知部4およびフィルタリング処理部5は、ネットワーク経路(外部ネットワーク20,内部ネットワーク30)以外のパスである内部バス7を介して互いに通信することができる。また、オトリ誘導部3および侵入検知部4は、ネットワーク中継機能を利用するユーザからは隠蔽されている。
【0035】
侵入検知部4は、外部ネットワーク20からのパケットのステルス監視を行って、DoS(Denial of Service)、スキャニングなどのネットワークレベルの攻撃(不正アクセス)を検出している。例えば、監視対象であるパケットデータを予め与えられた不正パケットパターンと比較して、不正アクセスパケットを検出する。このパターンマッチングは、パケット単位だけでなく、送信元又は送信先情報によって特定される一連のパケットに対して行うこともできる。
【0036】
フィルタリング処理部5は、外部ネットワーク20から送信されたパケットに対し、内部ネットワーク30への中継、オトリネットワーク40への誘導、破棄のいずれかの処理(フィルタリング処理)を行っている。この処理は、フィルタリングテーブルに基づいて行われ、例えば、内部ネットワーク30に不正にアクセスしようとする不正アクセスパケットは破棄され、不正アクセスの疑いのある被疑パケットはオトリネットワーク40へ誘導され、その他の通常パケットは、内部ネットワーク30へ送出される。
【0037】
フィルタリングテーブル6には、フィルタリング処理を規定するデータが記憶されており、パケットヘッダに含まれる送信元又は送信先に関する情報と、当該パケットに対するフィルタリング処理とが関連づけられている。たとえば、破棄すべきパケットおよびオトリ誘導すべきパケットとして、パケットの送信元又は送信先情報が記憶されており、送信元又は送信先情報がフィルタリングテーブル6と一致するパケットは、破棄され、あるいは、オトリ誘導される一方、その他のパケットはネットワーク中継される。このフィルタリングテーブル6は、侵入検知部4による検出結果に基づいて更新される。
【0038】
オトリ誘導部3は、内部バス7を介して、フィルタリング処理部5から、オトリ誘導すべきパケットを受信し、オトリネットワーク40上のオトリ端末装置41へ送出する。
【0039】
次に動作について説明する。外部端末装置21から内部端末装置31に対して送信されたパケットは、外部ネットワーク20を介してオトリ誘導装置1により受信される。この受信パケットは、パケット中継部2のフィルタリング処理部5へ入力されるとともに、侵入検知部4にも入力される。この侵入検知部4は、パケット中継部2の入り口でプロミスカスモードかつステルスモードで通信を傍受している。
【0040】
パケットを受信したフィルタリング処理部5は、フィルタリングテーブル6に基づいて、送信元又は送信先情報、例えば、送信元IP(Internet Protocol)アドレス、送信先IPアドレス、送信元TCP(Transmission Control Protocol)ポート番号、送信先TCPポート番号、送信元UDP(User Datagram Protocol)ポート番号または送信先UDPポート番号をチェックする。
【0041】
この結果、フィルタリングテーブル6において、破棄の指定がされているパケットは、フィルタリング処理部5によって破棄され、オトリ誘導の指定がされているパケットがオトリサイト(オトリネットワーク40のオトリ端末装置41)へ誘導され、ともに内部ネットワーク30には送出されない。一方、破棄および誘導等の指定がされていないパケットは内部ネットワーク30へ送出される。
【0042】
図2は、図1のオトリ誘導システムにおけるパケットの流れの一例を示した図である。外部ネットワーク20から内部ネットワーク30に対して送信されたパケットは、フィルタリングテーブル6に基づいて、▲1▼破棄され、▲2▼オトリネットワーク40へオトリ誘導され、あるいは、▲3▼内部ネットワーク30へ中継される。
【0043】
一方、パケットを傍受した侵入検知部4は、所定の不正アクセスパターンによりパターンマッチングを行って、傍受したパケットが不正アクセスパケットかどうかを判別する。不正アクセスパケットを受信した場合、あらかじめ定められたポリシー(不正アクセスの種類とそれに対する対策の関係)に従って、送信元又は送信先情報と、それに関連づけられるフィルタリング処理(破棄又は誘導)を決定し、内部バス7を介してフィルタリング処理部5へ通知し、フィルタリングテーブル6が更新される。
【0044】
例えば、不正アクセスが疑われるパケットが検出された場合には、当該パケットがオトリ誘導の対象に追加され、不正アクセスパケットであることが検出された場合には、破棄の対象に追加される。逆に、オトリ誘導又は破棄の対象が、正常アクセスパケットであることが検出された場合には、これらの対象から除外される。この様なポリシーは予め任意に決定され、侵入検知部4に対し与えられている。
【0045】
本実施の形態によれば、侵入検知部4によって外部ネットワーク20からの不正アクセスパケットが検出され、フィルタリングテーブル6が自動的に更新されるため、フィルタリングポリシーをダイナミック(動的)に自動変更させることができる。このため、不正アクセスパケットに応じた対策をリアルタイムで実現し、セキュリティ性を向上させることができる。
【0046】
また、外部ネットワーク20から内部ネットワーク30へのパケットのうち、不正アクセスの疑いのあるパケットをオトリ端末装置41に誘導することによって、内部ネットワーク30への不正アクセスを未然に防止することができる。
【0047】
実施の形態2.
図3は、本発明の実施の形態2によるオトリ誘導システムの一構成例を示したブロック図である。図中の8はパーソナルコンピュータ、9はアドインボード、10はPCI(Peripheral Components Interconnect)バス、11はPCIインターフェース部、12はTCP/IPインターフェース部である。なお、図1に示されたブロックに相当するブロックには同一の符号を付して説明を省略する。
【0048】
パーソナルコンピュータ8は、オトリ誘導部3と、PCIインターフェース部11と、TCP/IPインターフェース部12からなる。オトリ誘導部3は、汎用のパーソナルコンピュータ上で実行されるソフトウエアとして構成され、PCIインターフェース部11を介してPCIバス10に接続され、アドインボード9との通信を行うとともに、TCP/IPインターフェース12を介してオトリネットワーク40に接続され、オトリ端末装置41との通信を行うことができる。このパーソナルコンピュータ8は、アドインボード9とともにオトリ誘導装置を構成する。
【0049】
アドインボード9は、PCIバス10を介してパーソナルコンピュータ8に接続されたパケット中継のための機器であり、パーソナルコンピュータ8の筐体内に組み込まれている。このアドインボード9は、侵入検知部4、フィルタリング処理部5およびフィルタリングテーブル6からなり、侵入検知部4およびフィルタリング処理部5がPCIバス10に接続されている。なお、PCIバス10は、図1の内部バス7に相当し、アドインボード9は、図1のパケット中継部2に相当する。
【0050】
内部ネットワーク30およびオトリネットワーク40は、パーソナルコンピュータ8およびアドインボード9を介して、PCIバスにより接続されるのみであり、ネットワークとしては両者は完全に切り離されている。このため、オトリネットワーク40の環境(例えばIPアドレス等のネットワーク設定情報)を内部ネットワーク30の環境に限りなく近づけることができる。つまり、オトリネットワーク40に、内部ネットワーク30と同じプロトコルやアドレス体系を採用し、さらに、内部ネットワーク30上の端末装置31と同じIPアドレスをオトリネットワーク40上のオトリ端末装置41に割り当てることができる。
【0051】
不正アクセスを試みる外部ネットワーク20上の利用者(攻撃者)は、オトリ端末装置41との通信により、オトリ端末装置41からアクセス可能な様々な情報を取得できる可能性がある。このため、両ネットワーク30,40の環境を近づければ、不正アクセスパケットをオトリサイトに誘導した場合に、オトリ誘導していることを攻撃者に気づかれ難くくすることができる。
【0052】
次に動作について説明する。図4は、図3のオトリ誘導システムの通常運用時の動作の一例を示した図である。通常運用時のパケットの流れは、実施の形態1と同様にパケット中継部としてのアドインボード9を介して行われる。すなわち、▲1▼外部ネットワーク20からのパケットは、フィルタリング処理部5に入力され、破棄、オトリ誘導の対象でないパケットは、内部ネットワーク30へ送出される。▲2▼侵入検知部4は、アドインボード9の入り口でパケットを傍受し、不正アクセスかどうかの判断を行う。▲3▼不正アクセスを発見した場合、それ以降の不正アクセスを未然に防ぐために、PCIバスを介してフィルタリングテーブル6を更新し、中継ポリシーを自動的に変更する。
【0053】
図5は、図3のオトリ誘導システムにおいて、フィルタリング処理部によってパケットがオトリ誘導される場合の動作の一例を示した図である。▲4▼外部ネットワーク20からパケットを受信したフィルタリング処理部5は、フィルタリングテーブル6に従って、送信元又は送信先情報、例えば、送信元IPアドレス、送信先IPアドレス、送信元TCPポート番号、送信先TCPポート番号、送信元UDPポート番号または送信先UDPポート番号をチェックする。この結果、オトリ誘導が指定されたパケットであれば、オトリ端末装置41へ誘導するため、当該パケットをPCIバス10を通じてパーソナルコンピュータ8へ転送する。▲5▼パーソナルコンピュータ上のプログラムとしてのオトリ誘導部3はパケットの種別を判断し、オトリ端末装置41が受信可能なパケット形式に変換した後、当該パケットをオトリネットワーク40へ送出する。
【0054】
なお、侵入検知部4が外部ネットワーク20からの不正アクセスを検出した場合には、侵入検知部4からフィルタリング処理部5へ攻撃検知の通知が送られ、フィルタリング処理部5は内部ネットワーク30への当該通信を一旦遮断する。このとき、上述した通り、フィルタリングテーブル6が更新されるので、その後に受信した同種のパケットは、フィルタリング処理部5によってオトリ端末装置41へ誘導される。
【0055】
一方、オトリ端末装置41が、外部ネットワーク20上の外部端末装置21(攻撃者)に対しパケットを送信する場合、▲6▼オトリ端末装置41からのパケットは、オトリネットワーク40を介してパーソナルコンピュータ8に入力される。当該パケットをTCP/IPインターフェース12を介して受け取ったオトリ誘導部3は、PCIバス10を介してアドインボード9へパケットの転送要求を出す。▲7▼PCIバス10を介してパケットの転送要求を受け取ったフィルタリング処理部5は、受信したパケットデータをイーサネット(登録商標)フレームの形式に変換(イーサフレーミング)して外部ネットワーク20へ送出する。
【0056】
本実施の形態では、オトリ誘導部3をパーソナルコンピュータ8上のソフトウエアにより実現し、当該コンピュータにパケット中継装置としてのアドインボード9をPCIバス10により接続しているため、PCIドライバを開発すれば、既存のパーソナルコンピュータを使用して、オトリ誘導システムを構築することができる。
【0057】
また、オトリ端末装置41からのパケットを外部ネットワーク20に送出し、内部ネットワーク30上の端末装置31からのパケットに見せかけているため、不正アクセスを試みる外部ネットワーク20の利用者(攻撃者)にオトリ誘導されていることを気づかれ難くなる。
【0058】
特に、オトリネットワーク40のプロトコル、アドレス体系を内部ネットワーク30のそれと同一とし、オトリ誘導される不正アクセスパケットをその送信先情報(つまり内部ネットワーク上の端末装置31)と同じアドレス情報が割り当てられたオトリネットワーク40上のオトリ端末装置41に送出することにより、オトリ誘導に気づかれ難くくすることができる。
【0059】
実施の形態3.
実施の形態2では、オトリ端末装置41から外部ネットワーク20上の攻撃者へパケットを送信する場合について説明したが、本実施の形態では、オトリ端末装置41と、外部ネットワーク20上の攻撃者以外の端末装置との間でパケット通信を行う場合について説明する。
【0060】
各オトリ端末装置41は、オトリ誘導部3により起動時に仮想的なIPアドレスが割り当てられる。オトリ誘導部3は、各オトリ端末装置41に割り当てた仮想アドレスを本来のIPアドレスに対応づけて記憶するとともに、フィルタリング処理部5に対し、仮想アドレスを通知し、これらのアドレスを送信先としたパケットを受信した場合には、オトリ誘導部3に転送するように要求する。
【0061】
まず、オトリ端末装置41が、外部ネットワーク20上の攻撃者以外の端末装置、たとえばDNS(Domain Name Server)に対して、パケットを送信する場合について説明する。
【0062】
図6は、本発明の実施の形態3によるオトリ端末装置41から攻撃者以外の外部端末装置にパケット送信する場合の動作を示した説明図である。オトリ端末装置41には、オトリ誘導時に使用される本来のIPアドレスとして”10.255.0.1”が割り当てられ、仮想アドレスとして”10.0.0.1”が割り当てられているものとする。また、攻撃者以外の外部端末装置にはIPアドレス”w.x.y.z”が割り当てられているものとする。
【0063】
オトリ誘導装置1が、オトリ端末装置41からのパケットを受信した場合、オトリ誘導部3が、そのパケットの送信先(destination:dst)アドレスを検査して、攻撃者宛でないかを判断する。その結果、攻撃者宛でない場合には、オトリ誘導部3が当該パケットの送信元(source:src)アドレス”10.0.0.1”を、当該オトリ端末装置41に対して起動時に割り当てられた仮想アドレス”10.255.0.1”に変更する。このとき、IPパケットのチェックサム(Checksum)を再計算し変更する必要がある。この様にして送信元アドレスが変更されたパケットは、PCIインターフェースを介してフィルタリング処理部5に送られ、オトリ誘導装置1からインターネットなどの外部ネットワーク20へ送出される。
【0064】
次に、外部ネットワーク20上の攻撃者以外の端末装置、たとえばDNSからオトリ端末装置41に対して、パケットが送信される場合について説明する。
【0065】
図7は、攻撃者以外の外部端末装置からオトリ端末装置41に対してパケット送信する場合の動作を示した説明図である。図6と同様、オトリ端末装置41には、本来のIPアドレスとして”10.255.0.1”が割り当てられ、仮想アドレスとして”10.0.0.1”が割り当てられているものとする。また、攻撃者以外の外部端末装置にはIPアドレス”w.x.y.z”が割り当てられているものとする。
【0066】
オトリ誘導装置1が外部ネットワーク20からパケットを受信した場合、フィルタリング処理部5は、受け取ったパケットの送信先アドレスが、オトリ誘導部3から予め通知された仮想アドレス” 10.255.0.1”であるかを検査する。この結果、仮想アドレス宛のパケットであれば、そのパケットをオトリ誘導部3に転送する。オトリ誘導部3は、転送されたパケットの送信先情報を本来のIPアドレス”10.0.0.1”に変更し、チェックサムを再計算し変更する。この様にして送信先アドレスが変更されたパケットは、TCP/IPインターフェース12を介してオトリネットワーク40へ送出され、オトリ端末装置41により受信される。
【0067】
実施の形態4.
実施の形態1〜3では、フィルタリング処理部5が受信パケットに基づいて判断し、その判断結果に基づいて、パケットをオトリ端末装置41へ送信する動作について説明したが、本実施の形態では、図1,3のオトリ誘導システムにおいて、所定量を超えるパケット通信が発生した場合に、通信パケットの全て又は一部をオトリ端末装置41に誘導する場合の動作について説明する。
【0068】
図8は、本発明の実施の形態4によるオトリ誘導システムの動作の一例を示した説明図である。▲1▼通常運用時、外部ネットワーク20から受信したパケットは、破棄又はオトリ誘導が指定されているパケットを除き、内部ネットワーク30へ直接中継される。
【0069】
一方、▲2▼予め定められた閾値を超える通信が発生した場合、フィルタリング処理部5は、全ての通信または一部の通信(たとえば、特定の送信元IPアドレス、特定の送信先IPアドレス、特定の送信元TCPポート番号、特定の送信先TCPポート番号、特定の送信元UDPポート番号または特定の送信先UDPポート番号によって限定される)をオトリ端末装置41へ誘導し、本来の通信路の帯域を確保する。このとき、オトリ端末装置41では、誘導されてきたパケットをログ情報として蓄積する。
【0070】
▲3▼フィルタリング処理部5から通信量が減少した旨の通知を受けたオトリ端末装置41は、蓄積しているログ情報をパケットに変換して、フィルタリング処理部5へ転送する。フィルタリング処理部5は、これらのパケットを内部ネットワーク30へ送出する。
【0071】
本実施の形態によれば、所定の通信パケットを一旦、オトリ端末装置41に蓄積させることにより、特定の通信のための帯域を確保するとともに、ネットワークの負荷を分散させることができる。
【0072】
実施の形態5.
実施の形態1〜4では、外部ネットワークからのパケットをオトリ端末装置に誘導するオトリ誘導システムについて説明したが、本実施の形態では、これらのオトリ誘導システムにおいてオトリ誘導装置として使用されているパケット中継装置を2台連携させ、パケット中継システムとして動作させる場合について説明する。
【0073】
図9は、本発明の実施の形態5によるパケット中継システムの一構成例を示した図である。図中の1A、1Bはパケット中継装置、13はパケット中継システム、14はパケット監視装置(sniffer)、15は通常ルート、16は監視ルートである。
【0074】
2つの同一のパケット中継装置1A,1Bは、いずれも図1および図3においてオトリ誘導装置として示されたパケット中継装置であり、本実施の形態では、2個のパケット中継装置1A,1Bおよびパケット監視装置14によって、パケット中継システム13を構成している。
【0075】
パケット中継システム13は外部ネットワーク20および内部ネットワーク30に接続され、外部ネットワーク20および内部ネットワーク30間でのパケット中継を行っている。外部ネットワーク20との接続にはパケット中継装置1Aが使用され、内部ネットワーク30との接続にはパケット中継装置1Bが使用され、両パケット中継装置1A,1Bがパケット中継システム13内で接続されている。
【0076】
すなわち、外部ネットワーク側のパケット中継装置1Aは、図1,3における外部ネットワーク用ポートが、外部ネットワーク20に接続され、内部ネットワーク側のパケット中継装置1Bは、図1,3における外部ネットワーク用のポートが内部ネットワーク30に接続されている。また、パケット中継装置1A,1Bは、図1,3における内部ネットワーク用のポートが互いに接続され、中継パケットの通常ルート15を形成し、オトリネットワーク用のポートが互いに接続されて通信パケットの監視ルート16を形成している。
【0077】
パケット監視装置14は、パケット中継装置1A,1B間の監視ルートに設けられ、当該ルートを通過するパケットの内容を監視している。各パケット中継装置1A,1Bを構成する図1,3におけるオトリ誘導部3は、パケットを監視ルート16へルート変更させる監視ルート誘導部となり、パケット監視装置14は誘導されたパケットのみを対象としてパケットデータを詳細にチェックし、不正アクセスパケットであるか否かを判別する。
【0078】
次に動作について説明する。▲1▼通常運用時、全てのパケットが通常ルート15に割り当てられ、監視ルート16は使用されることなく、通常ルート15経由でパケット中継が行われる。すなわち、外部ネットワーク20からのパケットは、パケット中継装置1Aにより通常ルート15へ出力され、パケット中継装置1Bを介して内部ネットワーク30へ送出される。同様にして、内部ネットワーク30からのパケットは、パケット中継装置1Bにより通常ルート15へ出力され、パケット中継装置1Aを介して外部ネットワーク20へ送出される。
【0079】
▲2▼不正アクセスの兆候のあるパケットが検出された場合、該当するパケットには監視ルート16が割り当てられる。すなわち、パケット中継装置1A,1Bのフィルタリング処理部5が、送信元又は送信先情報に基づいて、監視ルート16に誘導すべきパケットを判別する。例えば、特定の送信元IPアドレス、特定の送信先IPアドレス、特定の送信元TCPポート番号、特定の送信先TCPポート番号、特定の送信元UDPポート番号または特定の送信先UDPポート番号により誘導すべきパケットがフィルタリングテーブルにより指定される。この様にして、判別されたパケットは、パケット中継装置1A,1Bの監視ルート誘導部(オトリ誘導部)を介してを監視ルート16へ出力され、パケット監視装置14の監視対象となる。
【0080】
一般に、パケット監視装置14がパケットデータを詳細にチェックしようとした場合、パケット監視装置14の負荷が増大し、処理に要する時間が長くなる。このため、パケット通信量が多い場合には、全てのパケットについてリアルタイムでチェックすることが出来なくなる。
【0081】
本実施の形態によれば、特定のパケット、例えば不正アクセスの疑いのあるパケットのみを監視ルート16へ誘導する経路の制御を行っている。このため、パケット監視装置14は、帯域が制限された監視ルート16上のパケットについてのみ監視を行うことにより、的確なパケット監視を確実に行うことが出来る。また、不正アクセス者に気づかれることなく、物理的に隔離して監視することができる。
【0082】
実施の形態6.
実施の形態1〜4では、外部ネットワークからのパケットをオトリ端末装置に誘導するオトリ誘導装置について説明したが、本実施の形態では、オトリ端末装置に加えて身代わり端末装置を備え、段階的に誘導してパケットに応じてセキュリティーレベルを異ならせるオトリ誘導システムについて説明する。
【0083】
図10は、本発明の実施の形態6によるオトリ誘導システムの構成および動作の一例を示した図である。図中の1はパケット中継装置、20は外部ネットワーク、30は内部ネットワーク、41はオトリ端末装置、42は身代わり端末装置である。
【0084】
▲1▼通常運用時、外部ネットワーク20からのパケットは、内部ネットワーク30へ直接中継される。▲2▼ある特定の通信(特定の送信元IPアドレス、特定の送信先IPアドレス、特定の送信元TCPポート番号、特定の送信先TCPポート番号、特定の送信元UDPポート番号または特定の送信先UDPポート番号に限定する)については、パケット中継装置1がオトリ端末装置41へ誘導する。
【0085】
オトリ端末装置41は、受け取ったパケットについて、パケット情報を詳細に解析し、不正アクセスパケットか否かを判別する。その結果、不正アクセスパケットの可能性が低い場合には、実施の形態4と同様にして、当該パケットを内部ネットワーク30へ中継する。
【0086】
一方、▲3▼不正アクセスパケットである可能性が高い場合には、身代わり端末装置42へ誘導する。これにより、通信の種別(送信元IPアドレス、送信先IPアドレス、送信元TCPポート番号、送信先TCPポート番号、送信元UDPポート番号または送信先UDPポート番号で分類される)により、セキュリティ管理のレベルを変えて管理することが可能となる。
【0087】
実施の形態7.
図11は、本発明の実施の形態7によるオトリ誘導システムの構成および動作の一例を示した図である。図中の1はパケット中継装置、20は外部ネットワーク、30は内部ネットワーク、41はオトリ端末装置、43はネットワーク監査装置である。
【0088】
▲1▼通常運用時、外部ネットワーク20からのパケットは内部ネットワーク30へ直接中継されると共に、すべての通信パケットはコピーされ、オトリ端末装置41へも送信される。▲2▼パケットを受け取ったオトリ端末装置41では、受け取ったパケット情報を解析し、特定の閾値を超える数の通信が発生していた場合、その通信情報を特定の送信元IPアドレス、特定の送信先IPアドレス、特定の送信元TCPポート番号、特定の送信先TCPポート番号、特定の送信元UDPポート番号または特定の送信先UDPポート番号で指定し、内部ネットワーク30の監査に用いる。具体的には、ネットワーク監査装置43上の監査プログラムから同様のパケットを発生させ、内部ネットワーク30の抗堪性を測定する。
【0089】
実施の形態8.
図12は、本発明の実施の形態8によるオトリ誘導システムの構成および動作の一例を示した図である。オトリ端末装置41は、侵入検知部(不図示)を備えている。例えば、ホスト型IDS(侵入検知プログラム)が予めインストールされている。不正アクセスパケットを検出したオトリ端末装置41は、直ちにセッションリセットパケットを送信して、外部ネットワーク20および内部ネットワーク30間での当該セッションを切断する。
【0090】
次に動作について説明する。▲1▼通常運用時、外部ネットワーク20からのパケットは内部ネットワーク30へ直接中継されると共に、すべての通信はコピーされオトリ端末装置41へも送信される。▲2▼オトリ端末装置41は、パケット中継装置から受け取ったパケットが不正アクセスである場合、当該セッションに対しては、送信元IPアドレス、送信先IPアドレス、送信元TCPポート番号、送信先TCPポート番号を指定して、セッションリセットパケットを送信し、セッションを切断することにより、不正アクセスにリアルタイム対処を可能とする。
【0091】
【発明の効果】
本発明によれば、不正アクセスに対するセキュリティ性を向上させ、不正アクセスへの対処を自動化し、あるいは、通信量の増大時に通信路の帯域を確保することができるパケット中継装置を提供することができる。また、2つの中継経路を用いて中継経路における帯域を制御するとともにセキュリティ性を向上させたパケット中継システムを提供することができる。さらに、セキュリティ性を向上させ、セキュリティレベルを変化させ、ネットワークの監査を行い、あるいは、不正アクセスへの対処をリアルタイム化したオトリ誘導システムを提供することができる。
【図面の簡単な説明】
【図1】 本発明の実施の形態1によるオトリ誘導システムの一構成例を示したブロック図である。
【図2】 図1のオトリ誘導システムにおけるパケットの流れの一例を示した図である。
【図3】 本発明の実施の形態2によるオトリ誘導システムの一構成例を示したブロック図である。
【図4】 図3のオトリ誘導システムの通常運用時の動作の一例を示した図である。
【図5】 図3のオトリ誘導システムにおいて、フィルタリング処理部によってパケットがオトリ誘導される場合の動作の一例を示した図である。
【図6】 本発明の実施の形態3によるオトリ端末装置から攻撃者以外の外部端末装置にパケット送信する場合の動作を示した説明図である。
【図7】 攻撃者以外の外部端末装置からオトリ端末装置41に対してパケット送信する場合の動作を示した説明図である。
【図8】 本発明の実施の形態4によるオトリ誘導システムの動作の一例を示した説明図である。
【図9】 本発明の実施の形態5によるパケット中継システムの一構成例を示した図である。
【図10】 本発明の実施の形態6によるオトリ誘導システムの構成および動作の一例を示した図である。
【図11】 本発明の実施の形態7によるオトリ誘導システムの構成および動作の一例を示した図である。
【図12】 本発明の実施の形態8によるオトリ誘導システムの構成および動作の一例を示した図である。
【図13】 従来の侵入検知システムの構成および動作を示した図である。
【符号の説明】
1 オトリ誘導装置(パケット中継装置)、1A,1B パケット中継装置、
2 パケット中継部、3 オトリ誘導部、4 侵入検知部、
5 フィルタリング処理部、6 フィルタリングテーブル、7 内部バス、
8 パーソナルコンピュータ、9 アドインボード、10 PCIバス、
11 PCIインターフェース部、12 TCP/IPインターフェース部、
13 パケット中継システム、14 パケット監視装置、15 通常ルート、
16 監視ルート、20 外部ネットワーク、21 外部端末装置、
30 内部ネットワーク、31 内部端末装置、40 オトリネットワーク、
41 オトリ端末装置、42 身代わり端末装置、
43 ネットワーク監査装置、50 管理者端末装置、51 解析装置

Claims (13)

  1. 第1のネットワークおよび第2のネットワーク間でパケットを中継するパケット中継部と、第1のネットワークから第2のネットワークに対して送信されたパケットを第1および第2のネットワークとは別のオトリネットワークへ送出するオトリ誘導部とを備え、
    上記パケット中継部が、破棄すべきパケット又はオトリ誘導すべきパケットの送信元又は送信先情報を記憶するフィルタリングテーブルと、
    フィルタリングテーブルを用いて、第1のネットワークから第2のネットワークに対して送信されたパケットの送信元又は送信先情報に基づき、当該パケットの破棄又はオトリ誘導を決定するフィルタリング処理部と、
    第1のネットワークから第2のネットワークに対して送信されたパケットを監視して、第2のネットワークへ不正にアクセスしようとする不正アクセスパケットを検出し、フィルタリングテーブルを更新する侵入検知部とを有することを特徴とするパケット中継装置。
  2. 上記オトリネットワークは、第2のネットワークと同一のアドレス体系を有するとともに、オトリ端末装置が接続され、
    上記オトリ誘導部は、オトリ誘導されるパケットの送信先アドレス情報に一致する第1のアドレス情報が割り当てられたオトリ端末装置に対してパケットを送出することを特徴とする請求項1に記載のパケット中継装置。
  3. 上記侵入検知部は、第1のネットワークから第2のネットワークに対して送信されたパケットを所定の不正アクセスパケットのパターンデータと比較して、不正アクセスパケットを検出することを特徴とする請求項1に記載のパケット中継装置。
  4. 上記オトリ誘導部は、上記オトリネットワーク上のオトリ端末装置から第1のネットワークに対して送信されたパケットをパケット中継部へ送出し、
    パケット中継部は、オトリ端末装置からのパケットを第1のネットワークへ送出することを特徴とする請求項1又は2に記載のパケット中継装置。
  5. 上記オトリ誘導部は、オトリネットワークに接続された汎用コンピュータにより構成され、上記汎用コンピュータの汎用データバスを介してパケット中継部に接続され、
    上記パケット中継部は、オトリ誘導部から受信したオトリネットワークから第1のネットワークに対して送信されたパケットに対し、フレーム形式を第1のネットワークの形式に変換して第1のネットワークに送出することを特徴とする請求項4に記載のパケット中継装置。
  6. 上記オトリ端末装置には、仮想アドレスとして第2のアドレス情報が割り当てられ、
    上記オトリ誘導部は、オトリ端末装置から第1のネットワークに対して送信されたパケットについて、その送信先情報に基づき、オトリ誘導されたパケットの送信元以外を送信先とするパケットを判別し、判別されたパケットの送信元情報を上記第2のアドレス情報に変更してパケット中継部へ送出することを特徴とする請求項2に記載のパケット中継装置。
  7. 上記パケット中継部は、第1のネットワークから送信されるパケットについて、上記第2のアドレス情報を送信先情報とするパケットを判別し、
    上記オトリ誘導部が、判別されたパケットの送信先情報を第1のアドレス情報に変更して、オトリネットワークへ送出することを特徴とする請求項6に記載のパケット中継装置。
  8. 請求項4に記載された第1および第2のパケット中継装置と、パケットを監視するパケット監視装置からなり、
    第1のパケット中継装置の第1のネットワーク用のポートが第1のネットワークに接続され、
    第2のパケット中継装置の第1のネットワーク用のポートが第2のネットワークに接続され、
    第1および第2のパケット中継装置の第2のネットワーク用のポートが互いに接続され、正常パケットが伝送される第1の経路を形成し、
    第1および第2のパケット中継装置のオトリネットワーク用のポートが互いに接続され、監視用経路として第1のパケット中継装置によってオトリ誘導されるべきパケットが伝送される第2の経路を形成し、
    パケット監視装置が第2の経路に設けられることを特徴とするパケット中継システム。
  9. 第1のネットワークおよび第2のネットワークに接続されたパケット中継装置と、第1および第2のネットワークとは別のオトリネットワークを介してパケット中継装置に接続されたオトリ端末装置とを備え、
    パケット中継装置が、第1のネットワークおよび第2のネットワーク間でパケットを中継するパケット中継部と、第1のネットワークから第2のネットワークに対して送信されたパケットを第1および第2のネットワークとは別のオトリネットワークへ送出するオトリ誘導部とを有し、
    上記パケット中継部が、破棄すべきパケット又はオトリ誘導すべきパケットの送信元又は送信先情報を記憶するフィルタリングテーブルと、
    フィルタリングテーブルを用いて、第1のネットワークから第2のネットワークに対して送信されたパケットの送信元又は送信先情報に基づき、当該パケットの破棄又はオトリ誘導を決定するフィルタリング処理部と、
    第1のネットワークから第2のネットワークに対して送信されたパケットを監視して、第2のネットワークへ不正にアクセスしようとする不正アクセスパケットを検出し、フィルタリングテーブルを更新する侵入検知部とを有することを特徴とするオトリ誘導システム。
  10. 上記パケット中継装置は、第1のネットワークから第2のネットワークへの通信量が所定の閾値を越える場合に、第1のネットワークからのパケットをオトリ端末装置へ送出し、
    上記オトリ端末装置は、パケット中継装置からの上記パケットを記録し、第1のネットワークから第2のネットワークへの通信量の低減後に第2のネットワークに対し送信することを特徴とする請求項9に記載のオトリ誘導システム。
  11. 上記オトリ端末装置は、オトリ誘導されたパケットのパケット情報を解析し、この解析結果に基づいて、オトリ誘導されたパケットを第2のネットワーク又は身代わり端末装置に対して送信することを特徴とする請求項9に記載のオトリ誘導システム。
  12. 上記パケット中継装置は、第1のネットワークから第2のネットワークに対して送信されたパケットを第2のネットワークおよびオトリ端末装置へ送出し、
    オトリ端末装置が、オトリ誘導されたパケットのパケット情報を解析し、この解析結果に基づいて、第2ネットワークの監査を行うことを特徴とする請求項9に記載のオトリ誘導システム。
  13. 上記オトリ端末装置は、オトリ誘導されたパケットのパケット情報を解析し、この解析結果に基づいて、セッションリセットパケットを第1のネットワークに対して送出することを特徴とする請求項9に記載のオトリ誘導システム。
JP2002063993A 2002-03-08 2002-03-08 パケット中継装置、パケット中継システムおよびオトリ誘導システム Expired - Fee Related JP3790486B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002063993A JP3790486B2 (ja) 2002-03-08 2002-03-08 パケット中継装置、パケット中継システムおよびオトリ誘導システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002063993A JP3790486B2 (ja) 2002-03-08 2002-03-08 パケット中継装置、パケット中継システムおよびオトリ誘導システム

Publications (2)

Publication Number Publication Date
JP2003264595A JP2003264595A (ja) 2003-09-19
JP3790486B2 true JP3790486B2 (ja) 2006-06-28

Family

ID=29196992

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002063993A Expired - Fee Related JP3790486B2 (ja) 2002-03-08 2002-03-08 パケット中継装置、パケット中継システムおよびオトリ誘導システム

Country Status (1)

Country Link
JP (1) JP3790486B2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
CN1898922A (zh) * 2004-10-21 2007-01-17 日本电信电话株式会社 防御设备、防御方法、防御程序以及网络攻击防御系统
JP2006157760A (ja) * 2004-12-01 2006-06-15 Hitachi Ltd パケット転送装置およびパケット転送処理方法
JP4780413B2 (ja) * 2007-01-12 2011-09-28 横河電機株式会社 不正アクセス情報収集システム
JP5522160B2 (ja) 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
ES2784203T3 (es) * 2014-07-11 2020-09-23 Deutsche Telekom Ag Método para detectar un ataque a un entorno de trabajo conectado a una red de comunicación
JP7158826B2 (ja) * 2017-03-21 2022-10-24 株式会社リコー 通信制御装置、通信制御システム及び通信制御方法
CN113596023A (zh) * 2021-07-27 2021-11-02 北京卫达信息技术有限公司 数据中继和远程引导设备
CN113612753A (zh) * 2021-07-27 2021-11-05 北京卫达信息技术有限公司 数据的远程引导系统及方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3618245B2 (ja) * 1999-03-09 2005-02-09 株式会社日立製作所 ネットワーク監視システム
JP2001144755A (ja) * 1999-11-12 2001-05-25 Kawasaki Steel Corp 受信パケット処理装置および受信パケット処理プログラム記憶媒体
JP2002007234A (ja) * 2000-06-20 2002-01-11 Mitsubishi Electric Corp 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体
JP2002041468A (ja) * 2000-07-26 2002-02-08 Nec Software Chubu Ltd 不正アクセス防止サービスシステム
JP3687782B2 (ja) * 2000-09-29 2005-08-24 Kddi株式会社 不正侵入防止システム
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法

Also Published As

Publication number Publication date
JP2003264595A (ja) 2003-09-19

Similar Documents

Publication Publication Date Title
US10284603B2 (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
US7370354B2 (en) Method of remotely managing a firewall
US9094372B2 (en) Multi-method gateway-based network security systems and methods
US7100201B2 (en) Undetectable firewall
US20030065943A1 (en) Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network
US8181237B2 (en) Method for improving security of computer networks
US20080028073A1 (en) Method, a Device, and a System for Protecting a Server Against Denial of DNS Service Attacks
WO2006039529A2 (en) Network overload detection and mitigation system and method
WO2002101516A2 (en) Method and apparatus for distributed network security
CA2548336A1 (en) Upper-level protocol authentication
US20070166051A1 (en) Repeater, repeating method, repeating program, and network attack defending system
JP3790486B2 (ja) パケット中継装置、パケット中継システムおよびオトリ誘導システム
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
JP2002318739A (ja) 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
JP3609381B2 (ja) 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム
JP2006501527A (ja) ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム
KR102628441B1 (ko) 네트워크 보호 장치 및 그 방법
KR100471636B1 (ko) 브리지방식을 이용한 네트워크상의 패킷처리시스템
KR20230009306A (ko) 세션 기반 악성 통신 탐지 방법 및 장치
Middela et al. Vulnerability analysis and management of an internet firewall
Hooper An Intellilgent Infrastructure Strategy to Improvilng the Performance and Detection Capability of Intrusion Detection Systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040106

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050622

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050705

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050829

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060322

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060331

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100407

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees