JP4033692B2 - ファイアウォールのセキュリティ管理方法及びその管理プログラム - Google Patents

ファイアウォールのセキュリティ管理方法及びその管理プログラム Download PDF

Info

Publication number
JP4033692B2
JP4033692B2 JP2002062867A JP2002062867A JP4033692B2 JP 4033692 B2 JP4033692 B2 JP 4033692B2 JP 2002062867 A JP2002062867 A JP 2002062867A JP 2002062867 A JP2002062867 A JP 2002062867A JP 4033692 B2 JP4033692 B2 JP 4033692B2
Authority
JP
Japan
Prior art keywords
firewall
rule
abnormality
information
special
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002062867A
Other languages
English (en)
Other versions
JP2003263376A (ja
Inventor
琴三 三谷
干城 藤原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2002062867A priority Critical patent/JP4033692B2/ja
Publication of JP2003263376A publication Critical patent/JP2003263376A/ja
Application granted granted Critical
Publication of JP4033692B2 publication Critical patent/JP4033692B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明はファイアウォールのセキュリティ管理方法及びその管理プログラムに関し、特に外部ネットワークと内部ネットワークの接続点に設置されるファイアウォールのセキュリティレベルを管理するファイアウォールのセキュリティ管理方法及びその管理プログラムに関する。
【0002】
【従来の技術】
ネットワーク上のセキュリティ技術のひとつとして、ファイアウォールがよく知られている。
【0003】
ファイアウォールでは、アクセス許可の判定を行なうためのルールが記述されたアクセス制御リスト(ACL:Access Control List、以下、ACLとする)を予め設定しておき、設定されたルールに基づいて、どの情報データを通過させ、どの情報データを通過させないかという通過する情報データの取捨選択を行なっている。
【0004】
ファイアウォールの動作について説明する。図17は、従来のACLの一例である。
ファイアウォールは、例えばインターネット等の外部ネットワークと、LAN(Local Area Network)等の内部ネットワークとに接続点に設けられている。例えば、パケット・フィルタリング型のファイアウォールの場合、外部ネットワークからサーバAに対して送信されたパケットを受信した場合、ルール1を適用し、パケットがhttpであるか否かを判定し、httpパケットであればサーバAに対して送信する。http以外であれば、破棄する。
【0005】
このようにファイアウォールは、外部ネットワークと内部ネットワークとの接続点に設けられ、ftp、telnet、POP3、あるいは、各種プロトコル(例えば、HTML、TCP/IP、SSLなど)の各ポートを開閉することによって通過する要求やデータ等を制限することによって情報の流出や外部からの不正アクセスの防止を行なっている。
【0006】
【発明が解決しようとする課題】
しかし、従来のファイアウォールでは、ACLの設定を手動で行なう必要があるため、セキュリティレベルを維持することができないという問題がある。
【0007】
ACLの設定作業は、特定の管理者に委ねられていることが多く、一旦設定されたルールが見直されないというケースもあった。設定ミス等が発生していた場合にルールの見直しが行なわれずに運用されると、セキュリティ上の問題が生じる。また、長期間見直しが行なわれない場合、ルールがシステムに合わなくなっているケースが発生することもあり、セキュリティレベルを維持することが難しかった。
【0008】
また、連続して不正アクセス等の攻撃が発生する場合には、これに対応してルールを変更することが望ましい。しかしながら、管理者が意識していない深夜等に攻撃が発生した場合、従来は手動によってルールの変更を行なわなければならなかったため、リアルタイムで対応することができなかった。
【0009】
さらに、ファイアウォールは、ACLに設定されたルールに従って判定を行なうため、ルール設定に適応しないパケットは正常と見なす。このため、ルール外の不正アクセス(アタック等)を防止することができないという問題があった。このため、例えば、ワーム型のウィルスの侵入等、ACLの設定では防止できないような場合の対策ができなかった。一般に、ファイアウォール配下にあるサーバ等のネットワーク機器においては、独自にウィルスチェックや、ファイルの改竄が行なわれたか否か、あるいは、同一の送信元から一定期間の間に多数のパケットが送信されるような攻撃が行なわれていないか等のセキュリティチェックが行なわれている。このようなセキュリティチェックにより、不正アクセスが判明した場合であっても、配下のネットワークに設置されている機器から情報を取得する機能がファイアウォールにないため、このような不正アクセスの発生を認識することができなかった。このため、例えば、不正アクセスの通知を受けた管理者が情報分析を行ない、所定の外部ネットワークからのアクセスを禁止にする等のルール設定を手動で行なう等の対策しかできなかった。この結果、対策までに多大な時間が必要となり、長時間に渡ってウィルス感染の拡大や攻撃を許してしまう等の問題があった。
【0010】
さらに、ひとつのファイアウォールの配下の機器が不正アクセスの被害にあった場合、同様の設定をしている他のファイアウォール配下の機器についても、同じアクセス元から同じアクセス手段によって不正アクセスを行なわれてしまう可能性があった。
【0011】
本発明はこのような点に鑑みてなされたものであり、最適なACLを保持し、セキュリティレベルを維持することが可能なファイアウォールのセキュリティ管理方法及びその管理プログラムを提供することを目的とする。
【0012】
【課題を解決するための手段】
本発明では上記課題を解決するために、外部ネットワークと内部ネットワークの接続点に設置されるファイアウォールのセキュリティレベルを管理するファイアウォールのセキュリティ管理方法において、ファイアウォールが、内部ネットワークに接続する機器に発生した異常に関する異常発生情報を取得するステップと、必要に応じて予め決められた情報データを通過させるか否かを判定するための設定ルールに従って取捨選択を行なった情報データに関する履歴データを用いて、前記異常発生情報の情報分析を行なうステップと、前記異常発生情報及び前記情報分析結果に応じた所定の情報データを通過させるか否かを判定するための特別ルールを生成するステップと、生成された前記特別ルールを前記設定ルールとともに情報データの取捨選択の判定に用いるステップと、を有することを特徴とするファイアウォールのセキュリティ管理方法、が提供される。
【0013】
このような手順のセキュリティ管理方法では、ファイアウォール10は、インターネット20等の外部ネットワークと内部ネットワークの接続点に設置され、外部ネットワークから内部ネットワークに向けて、あるいは内部ネットワークから外部ネットワークに向けて送信される情報データを通過させるか否かを判定するための設定ルール(ACLルール13)に従って情報データの取捨選択を行なっている。その際に、処理の履歴データをログDB12に残しておく。Webサーバ31等の配下のネットワーク機器に異常が発生した場合、異常を監視する監視サーバ41や自身で異常を検出したサーバ等から発生した異常に関する異常発生情報を取得する。続いて、必要に応じてログDB12に記憶された履歴データを用いて取得した異常発生情報の情報分析を行なう。次に、情報分析結果と異常発生情報とに基づいて、これらに応じた所定の情報データを通過させるか否かを判定するための特別ルールを生成し、生成された特別ルールを設定ルールとともに以降の情報データの取捨選択の判定に用いる。
【0014】
【発明の実施の形態】
以下、本発明の実施の形態を図面を参照して説明する。図1は、本発明のファイアウォール管理方法を実現することが可能なファイアウォールシステムの構成図である。
【0015】
本発明に係るファイアウォール管理方法を実現するファイアウォール10は、外部ネットワークであるインターネット20と内部ネットワーク(図示せず)との接続点に設けられている。ファイアウォール10は、インターネット20を介して外部機器21と接続する。また、内部ネットワークを介して、Webサーバ31、監視サーバ41、FTP(File Transfer Protocol)サーバ51、おとりサーバ61、DNS(Domain Name System)サーバ71等の各種サーバに接続する。さらに、連携しているファイアウォール81に接続する。
【0016】
ファイアウォール10は、一般的なパケット・フィルタリング型であり、安全が確認されている既知の外部アドレス(インターネット20を介して接続する外部装置のアドレス)を管理する既知外部アドレスデータベース(以下、既知外部アドレスDBとする)11、ファイアウォール10が処理したパケットの履歴を管理するログデータベース(以下、ログDBとする)12、及び情報取捨のためのルールが記録されたACLルール(記憶部)13と接続し、必要に応じてこれらの情報を引き出して最適なACLを維持するための処理、すなわちファイアウォール10のセキュリティレベルを維持するための管理処理を行なう。
【0017】
外部機器21は、インターネット20を介してファイアウォール10配下の機器へアクセスする。例えば、Webサーバ31にアクセスしてファイルやデータを取得するWWW(World Wide Web)のクライアントとして動作する。あるいは、FTPサーバ51にアクセスして、所望のファイルを取得する。
【0018】
Webサーバ31は、WWWのクライアントにファイルやデータを送出する。
監視サーバ41は、例えば、ファイルチェックや、ウィルスチェック、あるいは、外部機器からの攻撃が発生しているか等のチェックを行なってWebサーバ31を監視し、監視結果を監視情報データベース(以下、監視情報DBとする)42に記録する。監視サーバ41が異常を発見した場合には、ファイアウォール10に対して、異常が発生したことを通知する異常発生情報を送信する。ファイルチェックは、例えば、定期的にWebサーバ31のファイルのハッシュ値を算出し、ファイルに関する情報が記録されたファイルデータベース(以下、ファイルDBとする)のハッシュ値と一致するか否かを比較して行なう。ウィルスチェックは、例えば、定期的にWebサーバ31のファイルを所定のウィルスパターンと比較し、パターンが一致するか否かを比較して行なう。外部機器からの攻撃のチェックは、例えば、一定時間内にWebサーバ31に到着するパケット数が予め決められた所定の数を超えたか否かをチェックし、超えた場合に攻撃が発生していると判断する。このようなチェックを行なって異常を発見した場合には、発生した異常の内容とともにファイアウォール10における情報分析に必要な情報を付加した異常発生情報を生成し、送信する。
【0019】
FTPサーバ51は、インターネット20に接続する機器間でのファイルのやり取りを管理する。例えば、インターネット20を介して外部機器21から要求があった場合に、自身の管理する所望のファイルを送信する。FTPサーバ51は、内部記憶装置に自己監視プログラム52を記憶しており、定期的に自己診断を行なう。自己診断の結果、異常を発見した場合には、発生した異常の内容とともにファイアウォール10における情報分析に必要な情報を付加した異常発生情報を生成し、送信する。
【0020】
おとりサーバ61は、例えば、情報収集のため、不正アクセスを行なっている不正アクセスの発信元からのパケットを残した場合等、パケットを転送する転送先のサーバである。ファイアウォール10は、ACLルールに従って、不正アクセスの発信元からのパケット等を取得した場合、このパケットを必要に応じておとりサーバ61に送信する。
【0021】
DNSサーバ71は、インターネット20に接続する機器に階層的に付けられているドメイン名を対応するIPアドレスに変換する変換情報を備え、ドメイン名をIPアドレスに変換する処理を行なう。ファイアウォール10は、DNSサーバ71に問い合わせることにより、不正アクセスの発信元アドレスが含まれるネットワークアドレス全体のドメイン名を取得することができる。
【0022】
連携しているファイアウォール81は、ファイアウォール10と連携して動作するファイアウォールで、ACL等に同様の設定が行なわれている。
このような構成のファイアウォールシステムにおいて、最適なACLを保持し、ファイアウォールのセキュリティレベルを維持するためのセキュリティ管理方法の流れについて説明する。図2は、本発明の一実施の形態であるファイアウォールのセキュリティ管理方法のフローチャートである。
【0023】
処理が開始され(S01)、ファイアウォール10は、内部ネットワークに接続する配下のサーバ等のネットワーク機器から異常発生情報を受信する(S02)。異常発生情報には、Webサーバ31を監視する監視サーバ41あるいは、自己監視プログラム52により自身のチェックを行なうFTPサーバ51等により検出された異常の内容と、ファイアウォール10の情報分析に必要な異常に関する情報が含まれている。
【0024】
次に、受信した情報に問題がないかどうかを調べる(S03)。例えば、取得した異常発生情報の発信元が監視サーバ41であるかどうかを確認し、受信した異常発生情報が信頼できるものであるかどうかを調べる。その結果、信頼できないと判断した場合、処理を中断して終了する(S08)。信頼できると判断された場合、次のステップへ処理を進める。
【0025】
異常発生情報に問題がない場合、取得した異常発生情報の分析を行なう(S04)。ここでは、ネットワーク機器に異常を発生させた要因と推定される不正アクセスの発信元を、異常発生情報及びログDB12に記録されたパケットの履歴データとに基づいて特定する。
【0026】
次にACLルール生成(S05)では、異常発生情報の分析結果と異常発生情報とに基づき、発生した異常の内容に応じて、ネットワーク機器に異常を発生させた要因と推定される不正アクセスを排除するようなACLの特別ルールを生成する。この後、必要に応じて、生成したACLの特別ルールを他の連携するファイアウォール81に送信する(S06)。
【0027】
続いて、生成されたACLの特別ルールをACLに反映し(S07)、処理を終了する(S08)。ACLへの反映処理では、生成された特別ルールをACLに登録し、以降のパケットの取捨選択処理において生成された特別ルールを予め設定されている設定ルールとともに用いる。このとき、生成された特別ルールについて有効期限を設けることもできる。
【0028】
以上説明したように、ファイアウォール10は、内部ネットワークに接続する配下のネットワーク機器に異常が発生したことを異常発生情報受信により取得した場合、異常の要因と推定される不正アクセスの発信元を特定し、不正アクセスを排除するようなACLの特別ルールを生成し、ACLに反映させる。このように、不正アクセスの検出を契機としてファイアウォールのACL設定が自動的に変更されるため、設定ミスなどによるセキュリティ上の問題がなくなり、常に最適なACLを保持し、セキュリティレベルを維持できる管理を行なうことが可能となる。また、ファイアウォール10の配下のネットワーク機器からの情報をもとにACLの設定の変更が可能となるため、ワーム型ウィルスなど、ACLの設定だけでは判断できないようなアプリケーションレベルの攻撃を検出し、結果的にアクセスを禁止することが可能となる。
【0029】
さらに、必要に応じて、連携するファイアウォール81に対して生成された特別ルールを伝達するため、全世界的に発生するワーム型ウィルスに対しても矛盾なくACL設定を行なうことができる。この結果、サイト全体のセキュリティレベルを維持することが可能となる。
【0030】
上記の説明では、ルールを他のファイアウォールに送信(S06)した後、ACLルールの反映(S07)を行なうとしたが、どちらを先に実行されても良い。
【0031】
次に、それぞれの手順を詳細に説明する。
まず、異常発生情報の分析(S04)の詳細について説明する。図3は、本発明の一実施の形態であるファイアウォールのセキュリティ管理方法における異常発生情報の分析処理のフローチャートである。
【0032】
異常発生情報を取得し、処理が開始される(S41)。ここでは、異常発生情報をログDB12に記録されたパケットの履歴データを用いて分析し、不正アクセスの発信元を特定する処理を行なう。異常発生情報に含まれる異常発生機器と異常発生時刻を参照し、異常発生時刻から遡って履歴データを検索して異常の発生した機器へのアクセス情報のみを抽出する(S42)。アクセス情報が得られたかどうかを調べ(S43)、なければ処理を終了する(S47)。存在すれば、次の処理(S44)へ進む。
【0033】
次の処理(S44)では、アクセス情報に含まれるアクセス時刻、アクセスポート、プロトコル、アクセス回数等を調べ、不正アクセスと推定される条件を満たすアクセス情報を選び、その発信元を不正アクセス元のアドレス候補として選定する。選定アドレス候補が得られたかどうかを調べ(S45)、なければ処理を終了する(S47)。存在すれば、次の処理(S46)へ進む。
【0034】
次の処理(S46)では、選定アドレス候補を、既知外部アドレスDB11に記録されている既知の安全が確認されているアドレス表と比較し、選定アドレス候補に登録アドレスがあればこれを除外し、不正アクセス元のアドレスを決定する。また、異常発生情報に不正アクセス元のアドレスを特定できるような情報があれば、これを用いて不正アクセス元のアドレスを解析する。
【0035】
上記の説明の手順により、不正アクセス元のアドレスが決定され、処理を終了する(S47)。
このように、パケットの履歴データを用いて異常発生情報を分析することにより、不正アクセスの発信元を特定することが可能となる。従って、特別ルール生成において、不正アクセスの発信元から送信されたパケットを破棄するルールを生成することが可能となる。
【0036】
さらに、異常発生情報の分析処理について、2つの具体例で説明する。
第1の実施の形態として、例えば、監視サーバ41から「サーバAに対してファイルの改竄が行なわれた」という異常発生情報を取得した場合について説明する。図4は、第1の実施の形態においてファイアウォールに送信された異常発生情報である。(1)異常発生情報の例では、異常が発生した機器名(サーバA)と、発生した異常の内容(ファイルAが改竄された)、その重要度(高)等が登録されている。さらに、不正アクセスにより異常が発生した疑いのある時間帯の開始時間と最終時刻が登録されている。この場合、前回監視時刻から異常検出時刻までの間に行なわれたファイルAの書き換え時刻が疑わしい。また、必要に応じて、異常発生情報に添付情報を付加することもできる。ここでは、添付情報として、サーバAへのアクセスログが付加されていることが通知される。
【0037】
(2)は、添付情報であるサーバのアクセスログの例である。異常の発生要因と推定されるパケットを受信したと推定される時刻近辺のアクセスログと、サーバAの開放ポートが抽出されている。
【0038】
次に、ファイアウォール側が保持する情報の例を説明する。図5は、第1の実施の形態においてファイアウォールが保持する情報である。(1)ファイアウォールログの例では、情報分析処理において抽出された、異常発生情報にある不正アクセスにより異常が発生した疑いのある時間帯で、かつ、異常が発生した該当サーバ(サーバA)へのパケットに関する履歴データを示している。(2)既知外部アドレスのリストには、安全が確認されている既知の外部アドレスのIPアドレスが登録されている。
【0039】
このような情報に基づいて行なわれる情報分析、すなわち、ファイルの改竄を行なったと思われる送信元のアドレスを特定する手順について説明する。図6は、第1の実施の形態における送信元アドレス特定のフローチャートである。
【0040】
「ファイルAが改竄された」という図4(1)に示した異常発生情報を取得したことを契機として処理が開始される(S411)。
まず、異常発生情報の開始時刻と最終時刻を参照し(S412)、異常発生の要因となる不正アクセスの疑いのある時間帯を算出する。次に、開始時刻から最終時刻の時間帯のパケットで、かつ異常が発生した該当サーバ(サーバA)へのパケットのアクセス記録のみを抽出する(S413)。これにより、図5(1)に示したようにいくつかのパケットのアクセス記録が抽出される。
【0041】
続いて、抽出したログより、図5(2)に示した既知の安全なアドレスからのログを除く(S414)。この場合、図5(1)のファイアウォールログからソースアドレス200.10.10.1のログが除かれ、ソースアドレス220.20.20.2のログのみが残る。
【0042】
次に、取得した異常発生情報に該当サーバのアクセスログが添付されているかどうかを調べ(S415)、存在する場合には、図4(2)に示した異常発生情報のサーバのアクセスログを参照し、開放ポート(80)以外でアクセスのあったログを抽出し、このパケットの発信元を不正アクセスの発信元とする(S416)。存在しない場合には、S416の情報分析を行なわない。
【0043】
このようにして、不正アクセスを行なったアドレスが決定される。
さらに、処理(S417)では、抽出したログより、不正アクセスを行なったソースアドレスが特定できなかった場合の処理が行なわれる。ソースアドレスが特定できなかった場合、すなわち、該当アドレスがなかったとき、ソースアドレスを異常発生情報の重要度に応じて設定する。例えば、重要度の高い異常が発生した場合、外部ネットワーク全てを対象とする。重要度の低い異常の場合、該当なしとし、次のルール生成処理を行なわないようにする。
【0044】
以上の手順を実行することにより、異常発生情報の分析処理が実行され、不正アクセスを行なったアドレスが決定され、処理を終了する(S418)。
続いて、第2の実施の形態として、例えば、FTPサーバ51から「一定パケット数/秒以上のパケットを受信した」という異常発生情報を取得した場合について説明する。図7は、第2の実施の形態における異常発生情報とファイアウォールが保持する情報である。(1)異常発生情報の例は、ファイアウォールが取得した情報であり、この例では、異常が発生した機器名(サーバB)と、発生した異常の内容(受信300パケット/秒以上)、その重要度(低)等が登録されている。さらに、不正アクセスが発生した疑いのある時間帯の開始時間と最終時刻が登録されている。この場合、前回監視時刻から今回の監視時刻までになる。また、添アクセスログは添付されていない。
【0045】
(2)は、ファイアウォールログの例であり、ここでは、情報分析処理において抽出された、異常発生情報にある不正アクセスにより異常が発生した疑いのある時間帯のパケットで、かつ、異常が発生した該当サーバ(サーバB)へのパケットに関する履歴データを示している。また、既知外部アドレスのリストは省略している。
【0046】
このような情報に基づいて行なわれる情報分析、すなわち、所定時間内に一定数以上のパケットを送信したと思われる送信元のアドレスを特定する手順について説明する。図8は、第2の実施の形態における送信元アドレス特定のフローチャートである。
【0047】
「サーバBが予め決められた300/秒以上のパケットを受信した」という図7(1)に示した異常発生情報を取得したことを契機として処理が開始される(S421)。
【0048】
まず、異常発生情報の開始時刻と最終時刻を参照し(S422)、異常発生の要因となる不正アクセスの疑いのある時間帯を算出する。次に、開始時刻から最終時刻の時間帯で、かつ異常が発生した該当サーバ(サーバB)へのパケットのアクセス記録のみを抽出する(S423)。これにより、図7(2)に示したようにいくつかのパケットのアクセス記録が抽出される。
【0049】
続いて、抽出したログより既知の安全なアドレスからのログを除く(S424)。例えば、図7(2)の例で、ソースアドレス200.20.20.2が既知の安全なアドレスとした場合、このソースアドレスのログが除かれ、ソースアドレス220.10.10.1のログのみが残る。
【0050】
次に、S424の処理により残ったファイアウォールログについて、さらに、該当時間内のソースアドレス毎のパケット数を算出し、不正アクセスと見なす一定数の条件を超えているアドレスを特定する(S425)。この例の場合、ソースアドレス220.10.10.1の該当時間内のパケット数を算出し、条件を超えているか否かをチェックする。
【0051】
このようにして、不正アクセスを行なったアドレスが決定される。
さらに、処理(S426)では、抽出したログより、不正アクセスを行なったソースアドレスが特定できなかった場合の処理が行なわれる。ソースアドレスが特定できなかった場合、すなわち、該当アドレスがなかったとき、ソースアドレスを異常発生情報の重要度に応じて設定する。例えば、重要度の高い異常が発生した場合、外部ネットワーク全てを対象とする。重要度の低い異常の場合、該当なしとし、次のルール生成処理を行なわないようにする。
【0052】
以上の手順を実行することにより、異常発生情報の分析処理が実行され、不正アクセスを行なったアドレスが決定され、処理を終了する(S418)。
上記の説明のように、異常が発生したことを契機として、不正アクセスを行なった発信元のアドレスがファイアウォールにおいて特定される。ここでは、ファイルが改竄された場合と、一定数以上のパケットを受信した場合の2つの例で説明したが、ウィルスチェック等により異常を検出した場合にも同様の処理を行なって、不正アクセス元を特定することができる。例えば、電子メールもしくは電子メールに添付されるファイルに特定のウィルスパターンが含まれていた異常が発生した場合、この電子メールを発信した発信元のアドレスを特定することができる。また、機器にダウンロードされたファイルに特定のウィルスパターンが含まれていたという異常が発生した場合も、同様の手順により、発信元のアドレスを特定することができる。このように、配下の機器が検出した異常発生情報を取得することにより、ACLの設定だけでは検出が困難なそれぞれ異常の要因となる不正アクセス元を特定することが可能となる。
【0053】
次に、異常発生情報分析(S04)の結果に基づいて行なわれるACLルールの生成(S05)の詳細について説明する。図9は、本発明の一実施の形態であるファイアウォール管理方法におけるACLルールの生成処理のフローチャートである。
【0054】
異常発生情報分析(S04)により、不正アクセス元のアドレスが特定されたことを契機として処理が開始される(S51)。
最初の処理(S52)では、異常発生情報に基づいて異常発生した内容と合致するルール変更項目を、ルール変更に関する情報であるルール変更情報が表形式で格納されているルール変更テーブルを参照して検索する。ルール変更テーブルは、異常発生時、発生した異常に応じて予め設定されたルール変更の適用条件と、変更のルール等、ルール変更に関するルール変更情報が設定されている。
【0055】
次の処理(S53)では、異常発生したサーバがルール変更テーブルにあり、かつその内容が変更条件に該当するかがチェックされる。ない場合には、特別ルールを生成せずに処理を終了する(S54)。
【0056】
ルール変更テーブルに該当するものがある場合、該当するルールと、送信元アドレス及び適用先、有効期間等の特別ルールを生成するための情報を取り出して、特別ルールを生成し(S53)、処理を終了する(S54)。
【0057】
上記説明の手順により、発生した異常に応じた特別ルールが生成される。
ルールの生成を具体例で説明する。
図10は、本発明の一実施の形態であるファイアウォール管理方法におけるルール変更テーブルの一例である。ルール変更テーブルには、予め、対象となるサーバと変更条件、この変更条件が成立した場合に設定するルール、通過を拒否する送信元のアドレスの範囲、ルールの適用先、ルールの有効期間等が設定されている。
【0058】
例えば、ルール変更テーブルのNo.1の場合、対象サーバは「サーバA」であり、変更条件は「Aファイルが改竄された」である。このルール変更の適用条件が成立した場合、「パケットを破棄する」というルールが特別ルールとして生成される。このとき対象となる送信元アドレスは、「全て」のアドレスであり、適用先は「自サーバ」のみである。また、ルール変更の有効期間は「2.0H」である。以上説明したルール変更テーブルNo.1に基づき、「サーバA」に関して「Aファイルが改竄された」という異常が発生した場合に特別ルールが生成される。生成される特別ルールは、「サーバA」を送信先とする「全て」のアドレスからの「パケットを破棄する」というものになる。また、特別ルールが有効となるのは、2時間のみで、特別ルールを適用するのは自サーバ(サーバA)のみである。
【0059】
次に、ルール変更テーブルのNo.2のように、対象とするアドレスを情報分析によって不正アクセスを行なったと特定した発信元の「特定したアドレス」とすることもできる。特別ルール生成時、特別ルールに情報分析により特定された不正アクセス元のアドレスが反映される。さらに、特定したアドレスが含まれるネットワークアドレス全体を対象とするように指定することもできる。この場合、例えば、DNSサーバ71に問い合わせることにより、不正アクセスが含まれるネットワーク全体のドメイン名を取得し、特別ルール生成時に反映する。また、不正アクセスに関する情報収集等を目的として、所定のパケットに関する履歴をおとりサーバDに残したい場合には、図に示したように、「httpパケットをサーバDへ送信する」というように設定する。これにより、特別ルール適用中のサーバBへのhttpパケットは、サーバDへ転送される。以上説明したルール変更テーブルのNo.2に基づき、「サーバB」に関して「Bファイルが改竄された」という異常が発生した場合に特別ルールが生成される。生成される特別ルールは、「サーバB」を送信先とする「特定したアドレス」から取得した「httpパケットをサーバDへ送信する」というものになる。また、特別ルールが有効となるのは、24時間のみで、特別ルールを適用するのは自サーバ(サーバB)のみである。
【0060】
さらに、ルール変更テーブルのNo.3のように、連携するファイアウォールに対しても特別ルールを適用した場合には、適用先の指定を行なうこともできる。ここでは、適用先として、「ネットワークA」を指定している。また、生成された特別ルールを無制限に有効とする場合は、例えば、0を設定するようにする。このようなルール変更テーブルNo.3に基づき、「サーバB」に関して「ポート23がアクセスされた」という異常が発生した場合に特別ルールが生成される。生成される特別ルールは、「ネットワークA」に接続するサーバを送信先とする「特定したアドレス」から取得した「パケットを破棄する」というものになる。また、特別ルールは、無期限で有効になる。
【0061】
ACLルールの生成(S05)に続く、ルールを他のファイアウォールに送信する処理(S06)は、後で説明することとし、上記説明の手順により生成された特別ルールのACLルールへの反映(S07)について説明する。
【0062】
図11は、本発明の一実施の形態であるファイアウォール管理方法におけるACLルールへの反映処理のフローチャートである。
ルール変更テーブルに基づいて特別ルールが生成された後、処理が開始される(S71)。
【0063】
まず、生成した特別ルールと、ACLに登録された設定ルールあるいは以前に登録された特別ルールと、を比較し(S72)、生成された特別ルールと同じルールがACLに存在するか否かを調べる(S73)。存在する場合には、処理を終了する(S71)。
【0064】
特別ルールと同じルールがACLに存在しない場合、生成された特別ルールをACLの特別エリアに追加する(S74)。特別エリアを設けてそこに特別ルールを登録することにより、予め設定されている設定ルールと、異常発生に応じて生成された特別ルールとの判別を容易にする。
【0065】
続いて、ルールをファイアウォールの動作に反映し(S75)、処理を終了する(S76)。ファイアウォールは、設定された特別ルールを設定ルールとともに、パケットの取捨選択の判定に用いる。このとき、特別ルールは設定ルールに優先して処理されるようにする。さらに、特別ルールに有効期間が設定されていれば、その有効期間のみ該当する特別ルールを適用する。また、有効期間を個別のルール毎に設定するのではなく、ファイアウォール側で、特別ルールが設定されてから一定の期間のみ、これを適用するようにしてもよい。
【0066】
このようにして、特別ルールが付加されたACLが生成される。図12は、本発明の一実施の形態であるファイアウォール管理方法におけるACLの一例である。通常エリアには、予め設定されている設定ルールが登録されており、特別エリアには、異常発生により生成された特別ルールが登録されている。図示はしていないが、特別エリアの欄に有効期間を設けて、特別ルールの適用期間を管理するようにしても良い。
【0067】
さらに、管理者が特別エリアに登録された特別ルールをチェックし、必要に応じて、特別ルールを通常エリアに登録することにより、特別ルールを恒久的な設定ルールに変更することも可能である。
【0068】
次に、ルールを他のファイアウォールに送信する処理(S06)について説明する。図13は、本発明の一実施の形態であるファイアウォール管理方法における他のファイアウォールへのルール送信処理のフローチャートである。
【0069】
特別ルールが生成された後、処理が開始される(S61)。情報送信先の連携する外部ファイアウォールの表から送信先を決定する(S62)。外部ファイアウォールの表には、予め、連携するファイアウォールのアドレスが登録されており、指定されたネットワーク等の条件により、送信先を選択する。前処理により決定した送信先が存在するかをチェックし(S63)、ない場合は、処理を終了する(S65)。送信先が存在する場合は、特別ルール及びこの特別ルールを送信先のファイアウォールに適用させるための情報を含むルール情報を送信する(S64)。
【0070】
以上の説明の手順により、あるファイアウォールで生成された特別ルールが連携するファイアウォールに伝達される。
次に、送信された特別ルールのルール情報を受信したファイアウォールの処理について説明する。図14は、本発明の一実施の形態であるファイアウォール管理方法における他のファイアウォールから取得したルールの反映処理のフローチャートである。
【0071】
特別ルールを含むルール情報を受信して処理が開始される(S611)。まず、受信したルールと自装置のACLに設定されたルールとを比較する(S612)。受信した特別ルールがACLに設定されているかがチェックされ(S613)、存在する場合は、特別ルールの反映処理を終了する(S615)。ACLに特別ルールが存在しない場合は、ルール情報に基づいて特別ルールを自装置の設定に合うように修正し、ACLに反映して(S614)、処理を終了する(S615)。
【0072】
以上の説明の手順により、あるファイアウォールで生成された特別ルールが連携するファイアウォールのACLに反映される。
このように、あるファイアウォールのACL設定を他のファイアウォールに伝達することができるため、あるファイアウォールが受けた攻撃を他のファイアウォールで予防することができる。この結果、全世界的に発生するワーム型ウィルスに対応することが可能となり、サイト全体のセキュリティレベルを維持することができる。
【0073】
ここで、配下の機器の異常を検出し、異常発生情報をファイアウォールに送信する監視サーバ側の監視処理についてファイルチェックの例で説明しておく。図15は、監視サーバによるファイルチェック処理のフローチャートである。
【0074】
監視サーバの起動により処理が開始される(S911)。予め設定された時間が経過し、監視開始の契機が来たかがチェックされる(S912)。監視時間がきたかどうかは、例えばタイマにより判断される。監視開始のタイミングでなければ、開始時まで待つ。
【0075】
監視開始のタイミングであれば、ファイルDBからファイルチェックを行なう1つのレコードを取得する(S913)。図16は、ファイルDBの一例である。この例のファイルDBには、ファイルチェックの対象となるファイルを保有するサーバ名、対象のファイル名、そのファイルのハッシュ値、タイムスタンプが登録されている。
【0076】
図15に戻って説明する。
続いて、図16に示したファイルDBから選択されたサーバの該当するファイルのハッシュ値を算出する(S914)。次に、ファイルDBに記録されているハッシュ値と算出されたハッシュ値を比較し、一致しているかどうかをチェックし、ファイルの改竄が行なわれていないかどうかを調べる(S915)。一致していなければ、異常発生情報を生成する元となるアラーム情報にファイル名を追加する(S916)。一致していた場合、あるいはアラーム情報にファイル名を追加した後、ファイルチェック処理がファイルDBの終わりに達したかどうかをチェックする(S917)。終わりに達していない場合は、S913に戻って次のレコードに記録されたファイルのチェックを行なう。全ファイルのチェックが終了したら、アラーム情報にファイル名があるかどうかをチェックし(S918)、存在する場合は、アラーム情報に基づいて異常発生情報に異常に関する情報を追加し(S919)、処理を終了する(S920)。生成された異常発生情報は、所定のタイミングでファイアウォールに送信される。
【0077】
このように、ファイルの改竄等、ACLの設定だけでは判断できないようなアプリケーションレベルの攻撃を検出し、結果的にこのような攻撃のアクセスを禁止することが可能となる。
【0078】
上記では、ファイルの改竄について説明したが、さらに、他のアプリケーションにより検出した異常を契機として異常発生情報をファイアウォールに送信することもできる。例えば、一定時間に到着するパケットの数を監視し、予め決められたパケット数を超えるパケットを受信した場合に異常発生情報を送信する。また、ネットワーク機器が受信した電子メールもしくは電子メールに添付されているファイルに特定のウィルスパターンが含まれていることの検知を契機として異常発生情報を送信する、あるいは、ネットワーク機器にダウンロードされたファイルに特定のウィルスパターンが含まれていることの検知を契機として異常発生情報を送信することもできる。
【0079】
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、ファイアウォールが有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープなどがある。光ディスクには、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)などがある。光磁気記録媒体には、MO(Magneto-Optical disk)などがある。
【0080】
プログラムを流通させる場合には、たとえば、そのプログラムが記録されたDVD、CD−ROMなどの可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータからそのプログラムを転送することもできる。
【0081】
プログラムを実行するコンピュータは、たとえば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。
【0082】
(付記1) 外部ネットワークと内部ネットワークの接続点に設置されるファイアウォールのセキュリティレベルを管理するファイアウォールのセキュリティ管理方法において、
ファイアウォールが、
内部ネットワークに接続する機器に発生した異常に関する異常発生情報を取得するステップと、
必要に応じて予め決められた情報データを通過させるか否かを判定するための設定ルールに従って取捨選択を行なった情報データに関する履歴データを用いて、前記異常発生情報の情報分析を行なうステップと、
前記異常発生情報及び前記情報分析結果に応じた所定の情報データを通過させるか否かを判定するための特別ルールを生成するステップと、
生成された前記特別ルールを前記設定ルールとともに情報データの取捨選択の判定に用いるステップと、
を有することを特徴とするファイアウォールのセキュリティ管理方法。
【0083】
(付記2) 前記異常発生情報の情報分析を行なうステップは、
前記異常発生情報に基づいて、前記機器の異常が検出された時刻より前に前記機器に対してなされたアクセスに関するアクセス情報を前記履歴データより抽出し、
抽出された前記アクセス情報を前記異常発生情報に基づいて分析し、異常の発生の要因と推定される不正アクセスの発信元のアドレス候補を選定し、
必要に応じて、選定された前記アドレス候補を安全が確認されている既知のアドレスと比較して前記不正アクセスの発信元のアドレスを特定する手順を有することを特徴とする付記1記載のファイアウォールのセキュリティ管理方法。
【0084】
(付記3) 前記特別ルールを生成するステップは、異常の内容に応じて予め設定されているルール変更に関するルール変更情報に含まれる前記ルール変更の適用条件から、前記異常発生情報により通知された異常の内容が該当するものを検索し、
前記異常の内容が該当する適用条件により適用されるルール変更項目を抽出し、
抽出された前記ルール変更項目に基づいて前記特別ルールを生成する手順を有することを特徴とする付記1記載のファイアウォールのセキュリティ管理方法。
【0085】
(付記4) 前記ルール変更情報には、前記ルール変更に基づく特別ルールが適用される有効期間が設定されており、
前記特別ルールを前記設定ルールとともに情報データの取捨選択の判定に用いるステップは、前記有効期間のみ前記特別ルールを適用することを特徴とする付記3記載のファイアウォールのセキュリティ管理方法。
【0086】
(付記5) 前記特別ルールを前記設定ルールとともに情報データの取捨選択の判定に用いるステップは、前記特別ルールが設定されてから所定の有効期間のみ前記特別ルールを適用することを特徴とする付記1記載のファイアウォールのセキュリティ管理方法。
【0087】
(付記6) 前記特別ルールを生成するステップは、前記異常の発生の要因と推定される不正アクセスの分析が必要な場合に、前記所定の情報データを予め不正アクセスの情報収集のために設けられたおとり用の機器に送信するルールを生成することを特徴とする付記1記載のファイアウォールのセキュリティ管理方法。
【0088】
(付記7) 前記ファイアウォールのセキュリティ管理方法は、さらに、
ファイアウォールが、
前記特別ルールが生成された場合に、予め指定された所定のファイアウォールに対して生成された前記特別ルールを送信するステップと、
前期所定のファイアウォールから前記特別ルールを取得した場合に、取得した前記特別ルールに基づいて自装置に適した特別ルールを生成するステップと、
を有することを特徴とする付記1記載のファイアウォールのセキュリティ管理方法。
【0089】
(付記8) 外部ネットワークと内部ネットワークの接続点に設置されるファイアウォールのセキュリティレベルを管理するためのセキュリティ管理プログラムであって、
ファイアウォールに、
内部ネットワークに接続する機器に発生した異常に関する異常発生情報を取得するステップと、
必要に応じて予め決められた情報データを通過させるか否かを判定するための設定ルールに従って取捨選択を行なった情報データに関する履歴データを用いて、前記異常発生情報の情報分析を行なうステップと、
前記異常発生情報及び情報分析結果に応じた所定の情報データを通過させるか否かを判定するための特別ルールを生成するステップと、
生成された前記特別ルールを前記設定ルールとともに情報データの取捨選択の判定に用いるステップと、
を実行させるためのセキュリティ管理プログラム。
【0090】
【発明の効果】
以上説明したように本発明のセキュリティ管理方法を実行するファイアウォールでは、内部ネットワークに接続する機器に発生したことを異常発生情報により検出すると、異常発生情報とこれまでの履歴データとに基づいて、異常の発生の要因と推定される不正アクセスの発信元を特定し、これらに応じた所定の情報データを通過させるかどうかという特別ルールを生成し、予め設定されている設定ルールとともに以降の情報データ取捨選択の判定に用いる。
【0091】
このように、異常の発生を検出した場合に、これに応じた特別ルールを生成し、自動的に情報データの取捨選択の判定に用いるため、ファイアウォールにおいて、常に最適なルールを保持し、セキュリティレベルを維持することが可能となる。
【0092】
また、ファイアウォール配下の機器からの情報に基づいて特別ルールを生成するため、例えば、ワーム型ウィルス等、予め設定されたルールだけでは判断できないようなアプリケーションレベルの攻撃を検出し、結果的にこれらの発信元からのアクセスを禁止することが可能となる。
【図面の簡単な説明】
【図1】本発明のファイアウォール管理方法を実現することが可能なファイアウォールシステムの構成図である。
【図2】本発明の一実施の形態であるファイアウォールのセキュリティ管理方法のフローチャートである。
【図3】本発明の一実施の形態であるファイアウォールのセキュリティ管理方法における異常発生情報の分析処理のフローチャートである。
【図4】第1の実施の形態においてファイアウォールに送信された異常発生情報である。
【図5】第1の実施の形態においてファイアウォールが保持する情報である。
【図6】第1の実施の形態における送信元アドレス特定のフローチャートである。
【図7】第2の実施の形態における異常発生情報とファイアウォールが保持する情報である。
【図8】第2の実施の形態における送信元アドレス特定のフローチャートである。
【図9】本発明の一実施の形態であるファイアウォール管理方法におけるACLルールの生成処理のフローチャートである。
【図10】本発明の一実施の形態であるファイアウォール管理方法におけるルール変更テーブルの一例である。
【図11】本発明の一実施の形態であるファイアウォール管理方法におけるACLルールへの反映処理のフローチャートである。
【図12】本発明の一実施の形態であるファイアウォール管理方法におけるACLの一例である。
【図13】本発明の一実施の形態であるファイアウォール管理方法における他のファイアウォールへのルール送信処理のフローチャートである。
【図14】本発明の一実施の形態であるファイアウォール管理方法における他のファイアウォールから取得したルールの反映処理のフローチャートである。
【図15】監視サーバによるファイルチェック処理のフローチャートである。
【図16】ファイルDBの一例である。
【図17】従来のACLの一例である。
【符号の説明】
10・・・ファイアウォール
11・・・既知外部アドレスデータベース(DB)
12・・・ログデータベース(DB)
13・・・ACLルール記憶部
20・・・インターネット
21・・・外部装置
31・・・Webサーバ
41・・・監視サーバ
42・・・監視情報データベース(DB)
51・・・FTPサーバ
52・・・自己監視プログラム
61・・・おとりサーバ
71・・・DNSサーバ
81・・・連携しているファイアウォール

Claims (4)

  1. 外部ネットワークと内部ネットワークの接続点に設置されるファイアウォールのセキュリティレベルを管理するファイアウォールのセキュリティ管理方法において、
    ファイアウォールが、内部ネットワークに接続する機器がファイルチェック、ウィルスチェック、及び外部機器からの攻撃監視のうち少なくとも1つを含む機器診断によって検出した異常に関する異常発生情報を取得するステップと、
    前記ファイアウォールが、必要に応じて予め決められた情報データを通過させるか否かを判定するための設定ルールに従って取捨選択を行なった情報データに関する履歴データから、前記異常発生情報によって通知された前記機器の異常が検出された時刻より前に前記機器に対してなされたアクセスに関するアクセス情報を抽出し、抽出された前記アクセス情報を前記異常発生情報に基づいて分析し、異常の発生の要因と推定される不正アクセスの発信元のアドレス候補を選定し、前記アドレス候補と、予め記憶された安全が確認されている既知のアドレスとを比較し、前記アドレス候補から安全が確認されている前記既知のアドレスを除いて前記不正アクセスの発信元を推定するステップと、
    前記ファイアウォールが、前記異常発生情報及び情報分析結果に基づいて、前記不正アクセスの発信元からのアクセスを排除するための特別ルールを生成するステップと、
    前記ファイアウォールが、生成された前記特別ルールを前記設定ルールとともに情報データの取捨選択の判定に用いるステップと、
    を有することを特徴とするファイアウォールのセキュリティ管理方法。
  2. 前記特別ルールを生成するステップは、異常の内容に応じて予め設定されているルール変更に関するルール変更情報に含まれる前記ルール変更の適用条件から、前記異常発生情報により通知された異常の内容が該当するものを検索し、
    前記異常の内容が該当する適用条件により適用されるルール変更項目を抽出し、
    抽出された前記ルール変更項目に基づいて前記特別ルールを生成する手順を有することを特徴とする請求項1記載のファイアウォールのセキュリティ管理方法。
  3. 前記ファイアウォールのセキュリティ管理方法は、さらに、
    前記ファイアウォールが、
    前記特別ルールが生成された場合に、予め指定された所定のファイアウォールに対して生成された前記特別ルールを送信するステップと、
    前記所定のファイアウォールから前記特別ルールを取得した場合に、取得した前記特別ルールに基づいて自装置に適した特別ルールを生成するステップと、
    を有することを特徴とする請求項1記載のファイアウォールのセキュリティ管理方法。
  4. 外部ネットワークと内部ネットワークの接続点に設置されるファイアウォールのセキュリティレベルを管理するためのセキュリティ管理プログラムであって、
    ファイアウォールに、
    内部ネットワークに接続する機器がファイルチェック、ウィルスチェック、及び外部機器からの攻撃監視のうち少なくとも1つを含む機器診断によって検出した異常に関する異常発生情報を取得するステップと、
    必要に応じて予め決められた情報データを通過させるか否かを判定するための設定ルールに従って取捨選択を行なった情報データに関する履歴データから、前記異常発生情報によって通知された前記機器の異常が検出された時刻より前に前記機器に対してなされたアクセスに関するアクセス情報を抽出し、抽出された前記アクセス情報を前記異常発生情報に基づいて分析し、異常の発生の要因と推定される不正アクセスの発信元のアドレス候補を選定し、前記アドレス候補と、予め記憶された安全が確認されている既知のアドレスとを比較し、前記アドレス候補から安全が確認されている前記既知のアドレスを除いて前記不正アクセスの発信元を推定するステップと、
    前記異常発生情報及び情報分析結果に基づいて、前記不正アクセスの発信元からのアクセスを排除するための特別ルールを生成するステップと、
    生成された前記特別ルールを前記設定ルールとともに情報データの取捨選択の判定に用 いるステップと、
    を実行させるためのセキュリティ管理プログラム。
JP2002062867A 2002-03-08 2002-03-08 ファイアウォールのセキュリティ管理方法及びその管理プログラム Expired - Fee Related JP4033692B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002062867A JP4033692B2 (ja) 2002-03-08 2002-03-08 ファイアウォールのセキュリティ管理方法及びその管理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002062867A JP4033692B2 (ja) 2002-03-08 2002-03-08 ファイアウォールのセキュリティ管理方法及びその管理プログラム

Publications (2)

Publication Number Publication Date
JP2003263376A JP2003263376A (ja) 2003-09-19
JP4033692B2 true JP4033692B2 (ja) 2008-01-16

Family

ID=29196421

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002062867A Expired - Fee Related JP4033692B2 (ja) 2002-03-08 2002-03-08 ファイアウォールのセキュリティ管理方法及びその管理プログラム

Country Status (1)

Country Link
JP (1) JP4033692B2 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4268453B2 (ja) * 2003-05-29 2009-05-27 株式会社ルートレック・ネットワークス 通信制御方法及び装置
JP4643204B2 (ja) * 2004-08-25 2011-03-02 株式会社エヌ・ティ・ティ・ドコモ サーバ装置
JP4190508B2 (ja) * 2005-02-23 2008-12-03 日本電信電話株式会社 ネットワーク制御システムおよびネットワーク制御方法
JP4984531B2 (ja) * 2006-01-06 2012-07-25 富士通株式会社 サーバ監視プログラム、中継装置、サーバ監視方法
JP2007334536A (ja) * 2006-06-14 2007-12-27 Securebrain Corp マルウェアの挙動解析システム
US8316442B2 (en) * 2008-01-15 2012-11-20 Microsoft Corporation Preventing secure data from leaving the network perimeter
US8918842B2 (en) * 2010-02-19 2014-12-23 Accenture Global Services Limited Utility grid command filter system
JP5754704B2 (ja) * 2011-04-19 2015-07-29 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 複数の産業制御システム間の通信を制御するシステム
CN102413013B (zh) * 2011-11-21 2013-11-06 北京神州绿盟信息安全科技股份有限公司 网络异常行为检测方法及装置
JP6522906B2 (ja) * 2014-08-26 2019-05-29 株式会社リコー 情報処理システム、画像形成装置、設定状態管理方法及び設定状態管理プログラム
JP6889673B2 (ja) * 2018-02-20 2021-06-18 株式会社日立製作所 セキュリティ対処策立案装置および方法
JP6763898B2 (ja) * 2018-03-01 2020-09-30 日本電信電話株式会社 通信制御装置、通信制御方法および通信制御プログラム
JP2020154955A (ja) * 2019-03-22 2020-09-24 日本電気株式会社 情報処理システム、情報処理装置、情報処理方法、及びプログラム
JP7115442B2 (ja) * 2019-08-21 2022-08-09 トヨタ自動車株式会社 判定装置、判定システム、プログラム及び判定方法

Also Published As

Publication number Publication date
JP2003263376A (ja) 2003-09-19

Similar Documents

Publication Publication Date Title
JP4033692B2 (ja) ファイアウォールのセキュリティ管理方法及びその管理プログラム
JP4742144B2 (ja) Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム
EP2095604B1 (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
US10057284B2 (en) Security threat detection
US9507944B2 (en) Method for simulation aided security event management
JP4371905B2 (ja) 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
JP4327698B2 (ja) ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
US8635697B2 (en) Method and system for operating system identification in a network based security monitoring solution
US7437761B2 (en) Computer virus generation detection apparatus and method
WO2021139643A1 (zh) 加密攻击网络流量检测方法,其装置及电子设备
JP2004304752A (ja) 攻撃防御システムおよび攻撃防御方法
JP2005044277A (ja) 不正通信検出装置
CN112272186B (zh) 一种网络流量检测装置、方法及电子设备和存储介质
US20210051176A1 (en) Systems and methods for protection from phishing attacks
JP2010198386A (ja) 不正アクセス監視システムおよび不正アクセス監視方法
KR101398740B1 (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
JP2001313640A (ja) 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
JP2004234401A (ja) セキュリティ診断情報収集システム及びセキュリティ診断システム
CN110417578A (zh) 一种异常ftp连接告警处理方法
JP2005175714A (ja) ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム
JP2004038517A (ja) アクセス制御システム及び方法、プログラム
KR20100041471A (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
KR20050095147A (ko) 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법
JP2005228177A (ja) セキュリティ管理装置及びセキュリティ管理方法及びプログラム
JP2003186763A (ja) コンピュータシステムへの不正侵入の検知と防止方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041006

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070423

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071023

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071023

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121102

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121102

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131102

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees