JP4661554B2 - 不正アクセス検知方法および装置ならびにプログラム - Google Patents
不正アクセス検知方法および装置ならびにプログラム Download PDFInfo
- Publication number
- JP4661554B2 JP4661554B2 JP2005343164A JP2005343164A JP4661554B2 JP 4661554 B2 JP4661554 B2 JP 4661554B2 JP 2005343164 A JP2005343164 A JP 2005343164A JP 2005343164 A JP2005343164 A JP 2005343164A JP 4661554 B2 JP4661554 B2 JP 4661554B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- layer
- detected
- unauthorized access
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
ネットワークが、同じMACアドレスの端末には前回と同じIPアドレスを割り当てる固定IP割当方式のDHCPで運用されている場合など、レイヤ3アドレスとレイヤ2アドレスとの対応関係が変更になることがほとんどない場合、閾値を1に設定しておけば、不正な疑いのあるパケットを速やかに検出することができ、端末のMACアドレスと無関係に任意のIPアドレスを割り当てる可変IP割当方式のDHCPで運用されているネットワークなど、レイヤ3アドレスとレイヤ2アドレスとの対応関係の変更が正常な状態でも或る頻度で出現する場合には、閾値を2以上の値に設定して判断の猶予を持たせれば、誤検出を防止することができ、閾値の設定により何れにも対処することが可能になる。
図1を参照すると、本発明を適用した第1の通信システムは、検知装置50および複数の端末51〜53が同一セグメント(同一サブネット)のネットワーク54に接続されている。検知装置50は、ネットワーク54に流れる全てのパケットを受信する機能と、各受信パケットのレイヤ3アドレスとレイヤ2アドレスとの組み合わせを検出し、同じレイヤ3アドレスに対して異なるレイヤ2アドレスが出現した回数をレイヤ3アドレスごとに計数し、その計数値を予め定められた閾値と比較することにより不正アクセスを検知する不正アクセス検出機能とを有する。ネットワーク54に流れる全てのパケットを受信する機能は、一般的なネットワークインタフェースカードではプロミスカスモードと呼ばれる設定で実現できる。不正アクセス検出機能の詳細は後述する。
図2を参照すると、本発明を適用した第2の通信システムは、L2通信装置60および複数の端末61〜63が同一セグメント(同一サブネット)のネットワーク64に接続されている。ネットワーク64に接続された全ての端末61〜63は、L2通信装置60を介して相互に接続されており、L2通信装置60は、端末61〜63から受信したパケットの宛先MACアドレスを参照して、適切な端末にL2レベルでパケットを振り分ける機能を有する。またL2通信装置60は、図1の検知装置50と同様な不正アクセス検出機能を有する。
図3を参照すると、本発明の不正アクセス検出装置の第1の実施の形態は、L2及びL3終端部100、アドレス検査部110、検査部120、通知処理部130、アドレステーブルインタフェース部200、変更頻度テーブルインタフェース部210、アドレステーブル300および変更頻度テーブル310で構成される。また検査部120は、問い合わせ処理部121および判定処理部122を有する。この第1の実施の形態にかかる不正アクセス検出装置は、図1の検知装置50および図2のL2通信装置60の何れにも適用可能である。
図7を参照すると、本発明の不正アクセス検出装置の第2の実施の形態は、通知処理部130の代わりに通知規制処理部131を備えている点で、図3に示した第1の実施の形態の不正アクセス検出装置と相違する。この第2の実施の形態にかかる不正アクセス検出装置は、図2のL2通信装置60に適用される。
51、52、53…端末
54…ネットワーク
60…L2通信装置
61、62、63…端末
64…ネットワーク
100…L2及びL3終端部
110…アドレス検査部
120…検査部
121…問い合わせ処理部
122…判定処理部
130…通知処理部
131…通知規制処理部
200…アドレステーブルインタフェース部
210…変更頻度テーブルインタフェース部
300…アドレステーブル
310…変更頻度テーブル
401…検知装置
402、403…端末
Claims (7)
- ネットワークを流れるパケットのレイヤ3アドレスとレイヤ2アドレスの組み合わせを検出し、同じレイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数を計数し、計数値を予め定められた閾値と比較することにより不正アクセスを検知する不正アクセス検知装置であって、
既に検出されたレイヤ3アドレスとレイヤ2アドレスの対応関係を記憶するアドレステーブルと、ネットワークを流れるパケットから検出したレイヤ3アドレスに対応して前記アドレステーブルに記憶されているレイヤ2アドレスと前記パケットから検出したレイヤ2アドレスを比較し、不一致の場合にそのレイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数を更新すると共に、今回検出されたレイヤ2アドレスで前記アドレステーブルを更新する検査部とを備えることを特徴とする不正アクセス検知装置。 - レイヤ3アドレスと該レイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数である変更回数との対応関係を記憶する変更頻度テーブルを備えることを特徴とする請求項1記載の不正アクセス検知装置。
- 前記検査部は、ネットワークを流れるパケットから検出したレイヤ3アドレスが前記アドレステーブルに記憶されていない場合、今回検出したレイヤ3アドレスとレイヤ2アドレスの対応関係を前記アドレステーブルに追加すると共に、今回検出したレイヤ3アドレスと変更回数の初期値との対応関係を前記変更頻度テーブルに追加することを特徴とする請求項2記載の不正アクセス検知装置。
- 既に検出されたレイヤ3アドレスとレイヤ2アドレスの対応関係を記憶するアドレステーブルと、検査部とを有し、ネットワークを流れるパケットのレイヤ3アドレスとレイヤ2アドレスの組み合わせを検出し、同じレイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数を計数し、計数値を予め定められた閾値と比較することにより不正アクセスを検知する不正アクセス検知装置が実行する不正アクセス検知方法であって、
前記検査部が、ネットワークを流れるパケットから検出したレイヤ3アドレスに対応して前記アドレステーブルに記憶されているレイヤ2アドレスと前記パケットから検出したレイヤ2アドレスを比較し、不一致の場合にそのレイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数を更新すると共に、今回検出されたレイヤ2アドレスで前記アドレステーブルを更新することを特徴とする不正アクセス検知方法。 - 既に検出されたレイヤ3アドレスとレイヤ2アドレスの対応関係を記憶するアドレステーブルを有し、ネットワークを流れるパケットのレイヤ3アドレスとレイヤ2アドレスの組み合わせを検出し、同じレイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数を計数し、計数値を予め定められた閾値と比較することにより不正アクセスを検知する不正アクセス検知装置を構成するコンピュータを、
ネットワークを流れるパケットから検出したレイヤ3アドレスに対応して前記アドレステーブルに記憶されているレイヤ2アドレスと前記パケットから検出したレイヤ2アドレスを比較し、不一致の場合にそのレイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数を更新すると共に、今回検出されたレイヤ2アドレスで前記アドレステーブルを更新する検査部として機能させるためのプログラム。 - 前記コンピュータは、さらに、レイヤ3アドレスと該レイヤ3アドレスに対して異なるレイヤ2アドレスが組み合わされた回数である変更回数との対応関係を記憶する変更頻度テーブルを備えることを特徴とする請求項5記載のプログラム。
- 前記検査部は、ネットワークを流れるパケットから検出したレイヤ3アドレスが前記アドレステーブルに記憶されていない場合、今回検出したレイヤ3アドレスとレイヤ2アドレスの対応関係を前記アドレステーブルに追加すると共に、今回検出したレイヤ3アドレスと変更回数の初期値との対応関係を前記変更頻度テーブルに追加することを特徴とする請求項6記載のプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005343164A JP4661554B2 (ja) | 2005-11-29 | 2005-11-29 | 不正アクセス検知方法および装置ならびにプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005343164A JP4661554B2 (ja) | 2005-11-29 | 2005-11-29 | 不正アクセス検知方法および装置ならびにプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007150778A JP2007150778A (ja) | 2007-06-14 |
JP4661554B2 true JP4661554B2 (ja) | 2011-03-30 |
Family
ID=38211641
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005343164A Expired - Fee Related JP4661554B2 (ja) | 2005-11-29 | 2005-11-29 | 不正アクセス検知方法および装置ならびにプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4661554B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6030456B2 (ja) * | 2013-01-18 | 2016-11-24 | Kddi株式会社 | 通信装置 |
CN107911229B (zh) * | 2017-10-16 | 2020-12-08 | 浙江大华技术股份有限公司 | 运行状态改变的提醒方法、装置、电子设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08186569A (ja) * | 1994-12-27 | 1996-07-16 | Toshiba Corp | アドレス管理装置およびアドレス管理方法 |
JP2005056243A (ja) * | 2003-08-06 | 2005-03-03 | Seiko Epson Corp | ワームの感染防止システム |
WO2005036831A1 (ja) * | 2003-10-07 | 2005-04-21 | Fujitsu Limited | フレーム中継装置 |
-
2005
- 2005-11-29 JP JP2005343164A patent/JP4661554B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08186569A (ja) * | 1994-12-27 | 1996-07-16 | Toshiba Corp | アドレス管理装置およびアドレス管理方法 |
JP2005056243A (ja) * | 2003-08-06 | 2005-03-03 | Seiko Epson Corp | ワームの感染防止システム |
WO2005036831A1 (ja) * | 2003-10-07 | 2005-04-21 | Fujitsu Limited | フレーム中継装置 |
Also Published As
Publication number | Publication date |
---|---|
JP2007150778A (ja) | 2007-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200344246A1 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
JP4545647B2 (ja) | 攻撃検知・防御システム | |
CA2479504C (en) | Method and system for reducing the false alarm rate of network intrusion detection systems | |
US8943586B2 (en) | Methods of detecting DNS flooding attack according to characteristics of type of attack traffic | |
KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
US20030110393A1 (en) | Intrusion detection method and signature table | |
CN111010409B (zh) | 加密攻击网络流量检测方法 | |
US20070214504A1 (en) | Method And System For Network Intrusion Detection, Related Network And Computer Program Product | |
JP2008177714A (ja) | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 | |
EP2009864A1 (en) | Method and apparatus for attack prevention | |
US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
KR20080026122A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
KR100533785B1 (ko) | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 | |
US20050111447A1 (en) | Technique for tracing source addresses of packets | |
JP4661554B2 (ja) | 不正アクセス検知方法および装置ならびにプログラム | |
JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
KR101464367B1 (ko) | 내부망공격 탐지장치 및 방법 | |
KR100613904B1 (ko) | 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법 | |
Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
AU2003243253B2 (en) | Method and system for analyzing and addressing alarms from network intrusion detection systems | |
US20050147037A1 (en) | Scan detection | |
JP2004248198A (ja) | DoS攻撃防御方法及び装置 | |
Lei et al. | Active Protection in Wireless Networking |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081016 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090721 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20090721 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100813 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100907 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101104 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101207 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101220 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4661554 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140114 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |