JP6028839B1 - 通信装置、通信処理方法、プログラム - Google Patents

通信装置、通信処理方法、プログラム Download PDF

Info

Publication number
JP6028839B1
JP6028839B1 JP2015142034A JP2015142034A JP6028839B1 JP 6028839 B1 JP6028839 B1 JP 6028839B1 JP 2015142034 A JP2015142034 A JP 2015142034A JP 2015142034 A JP2015142034 A JP 2015142034A JP 6028839 B1 JP6028839 B1 JP 6028839B1
Authority
JP
Japan
Prior art keywords
request
processing
connection source
delay
source information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015142034A
Other languages
English (en)
Other versions
JP2017027134A (ja
Inventor
大 塚田
大 塚田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2015142034A priority Critical patent/JP6028839B1/ja
Application granted granted Critical
Publication of JP6028839B1 publication Critical patent/JP6028839B1/ja
Publication of JP2017027134A publication Critical patent/JP2017027134A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】システムに対して送信された要求に応じた的確な防御を実行する。【解決手段】ユーザから受信した所定の処理要求に応じて受信した処理要求に応じた処理を行うとともに処理の結果をユーザに返却する処理実行部121と、処理要求の送信元であるユーザを示す接続元情報ごとに処理要求に応じた処理が失敗した回数を計測する処理失敗回数計測部122と、を有する。処理失敗回数計測部は、対応する処理要求が判別可能なよう処理が失敗した回数を処理要求ごとに分けて計測し、処理要求ごとに予め定められた遅延閾値を記憶する。処理実行部は、受信した処理要求である受信処理要求に応じた接続元情報に対応する処理が失敗した回数のうちの少なくとも1つが、処理要求に応じた遅延閾値を超えている場合、接続元情報が示すユーザから送信された処理要求に応じた処理の結果を所定時間分遅延させて返却する。【選択図】図5

Description

本発明は、通信装置、通信処理方法、プログラムに関し、特に、サイバー攻撃防止機能付きの通信装置、通信処理方法、プログラムに関する。
ネットワーク上のシステムに対しては、例えば、認証リクエストの連続多数発行によりユーザのパスワードを盗み出すパスワードリスト攻撃などの攻撃が行われることが知られている。
パスワードの漏洩を防衛するための技術としては、例えば、特許文献1が知られている。特許文献1には、計数手段と、権限停止手段と、権限復帰手段と、を有する通信装置が記載されている。特許文献1によると、計数手段は、アクセスを受けた際に利用者の特定が失敗した回数を要求元情報ごとに計数する。そして、権限停止手段は、計数手段が計数した回数が所定の条件を満たした場合に、受信した要求を廃棄する。
また、同様にパスワードの漏洩を防衛するための技術として、例えば、特許文献2が知られている。特許文献2には、認証手段と、アクセス制御手段と、を有する認証装置が記載されている。特許文献2によると、認証手段は、受信した認証情報が記憶装置に記憶されているか否かを判断する。そして、認証情報が記憶装置に記憶されていないと判断した場合、アクセス制御手段は、ある時間が経過するまで待機した後に、通信装置からのアクセスを許可しないことを表す応答情報を送信する。
特開2006−079359号公報 特開2005−310069号公報
ところで、例えばメールサーバなどの場合、上記のように認証処理を行うとともに、メールアドレスの有効性を確認するような処理を行うことになる。このように、装置が複数の処理を行う場合がある。
また、上記のように1つの装置が複数の処理を行う場合、処理の内容や特性に応じてエラーが生じる可能性が異なる場合があるものと考えられる。例えば、上記のようなメールサーバの場合、メールクライアントに記憶されている認証情報を用いてリクエストを行う場合が多い認証処理よりも、利用の都度入力する可能性のあるメールアドレスの入力処理の方が、間違った入力が行われる可能性が高いものと考えられる。このような場合に、認証処理とメールアドレスの有効性の確認処理との間で一律な制御を行うと、一方の処理に対するセキュリティが優先され、他方のセキュリティが弱くなる(又は、一方に過剰な要求が行われる)可能性があるものと考えられる。
一方、引用文献1、2に記載されている技術はパスワードの漏洩を防ぐための技術であり、上記のような複数の処理を行う場合は考慮されていない。そのため、引用文献1、2の技術では、処理の内容に応じた制御を行うことは難しく、処理の内容や特性(例えば、失敗のしやすさなど)に応じた的確な防御を行うことが難しい、という問題が生じていた。
このように、システムに対して送信された要求に応じた的確な防御を実行することが難しい、という問題が生じていた。
そこで、本発明の目的は、システムに対して送信された要求に応じた的確な防御を実行することが難しい、という問題を解決する通信装置を提供することにある。
かかる目的を達成するため本発明の一形態である通信装置は、
ユーザから受信した所定の処理要求に応じて、当該受信した処理要求に応じた処理を行うとともに、当該処理の結果を前記ユーザに返却する処理実行部と、
前記処理要求の送信元である前記ユーザを示す接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測する処理失敗回数計測部と、
を有し、
前記処理失敗回数計測部は、前記接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測するとともに、対応する処理要求が判別可能なよう前記処理が失敗した回数を前記処理要求ごとに分けて計測し、
前記処理要求ごとに予め定められた遅延閾値を記憶しており、
前記処理実行部は、受信した処理要求である受信処理要求に応じた前記接続元情報に対応する前記処理が失敗した回数のうちの少なくとも1つが、前記処理要求に応じた前記遅延閾値を超えている場合、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の結果を所定時間分遅延させて返却する
という構成を採る。
また、本発明の他の形態である通信処理方法は、
処理要求ごとに予め定められた遅延閾値を記憶する記憶装置を有する通信装置にて実行される通信方法であって、
ユーザから受信した所定の処理要求に応じて、当該受信した処理要求に応じた処理を行うとともに、当該処理の結果を前記ユーザに返却し、
前記処理要求の送信元である前記ユーザを示す接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測し、
前記接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測するとともに、対応する処理要求が判別可能なよう前記処理が失敗した回数を前記処理要求ごとに分けて計測し、
受信した処理要求である受信処理要求に応じた前記接続元情報に対応する前記処理が失敗した回数のうちの少なくとも1つが、前記処理要求に応じた前記遅延閾値を超えている場合、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の結果を所定時間分遅延させて返却する
という構成を採る。
また、本発明の他の形態であるプログラムは、
処理要求ごとに予め定められた遅延閾値を記憶する記憶装置を有する通信装置に、
ユーザから受信した所定の処理要求に応じて、当該受信した処理要求に応じた処理を行うとともに、当該処理の結果を前記ユーザに返却する処理実行手段と、
前記処理要求の送信元である前記ユーザを示す接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測する処理失敗回数計測手段と、
を実現させ、
前記処理失敗回数計測手段は、前記接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測するとともに、対応する処理要求が判別可能なよう前記処理が失敗した回数を前記処理要求ごとに分けて計測し、
前記処理実行手段は、受信した処理要求である受信処理要求に応じた前記接続元情報に対応する前記処理が失敗した回数のうちの少なくとも1つが、前記処理要求に応じた前記遅延閾値を超えている場合、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の結果を所定時間分遅延させて返却する
プログラムである。
本発明は、以上のように構成されることにより、システムに対して送信された要求に応じた的確な防御を実行することが難しい、という問題を解決する通信装置を提供することが可能となる。
本発明の第1の実施形態に係るメール中継装置の構成の一例を示すブロック図である。 図1で示すユーザ情報DBに格納される情報の一例を示す図である。 図1で示す閾値設定管理DBに格納される情報の一例を示す図である。 図1で示す遅延時間設定管理DBに格納される情報の一例を示す図である。 図1で示すリクエスト処理部の構成の一例を示す図である。 図5で示す処理実行部が実行する処理の一例を示すシーケンス図である。 図5で示す処理実行部が実行する処理の一例を示すシーケンス図である。 図5で示す処理失敗回数計測部が行うエラー発生回数の計測の様子の一例を示す図である。 図1で示すエラーレスポンスカウンタ格納部に格納される情報の一例を示す図である。 図1で示すアクセス制限対象リストに格納される情報の一例を示す図である。 本発明の第1の実施形態に係るメール中継装置の動作の一例を示すフローチャートである。 処理失敗回数計測部がエラー発生回数を計測する際の動作の一例を示すフローチャートである。 アクセス制限対象リストの更新を行う際のアクセス制限対象リスト更新部の動作の一例を示すフローチャートである。 攻撃判定部が攻撃者を判定する際の動作の一例を示すフローチャートである。 本発明の第2の実施形態における通信装置の構成の一例を示す概略ブロック図である。
[第1の実施形態]
図1は、メール中継装置1の構成の一例を示す図である。図2は、ユーザ情報DB14に格納される情報の一例を示す図である。図3は、閾値設定管理DB15に格納される情報の一例を示す図である。図4は、遅延時間設定管理DB16に格納される情報の一例を示す図である。図5は、リクエスト処理部12の構成の一例を示す図である。図6、7は、処理実行部121が実行する処理の一例を示すシーケンス図である。図8は、処理失敗回数計測部122が行うエラー発生回数の計測の様子の一例を示す図である。図9は、エラーレスポンスカウンタ格納部17に格納される情報の一例を示す図である。図10は、アクセス制限対象リスト18に格納される情報の一例を示す図である。図11乃至図14は、メール中継装置1の動作の一例を示すフローチャートである。
本発明の第1の実施形態では、クライアント装置や外部メールサーバなどの外部メールシステムから受信したリクエストに応じた処理を行うとともに、当該処理の結果を外部メールシステムに返却するサイバー攻撃防止機能付きのメール中継装置1(通信装置)について説明する。後述するように、本実施形態におけるメール中継装置1は、リクエストごとに、また、リクエストの接続元の情報である接続元情報ごとに、エラーが発生した回数を計測する。具体的には、接続元情報には、接続元IPアドレス、認証アカウント名、送信元メールアドレスの少なくとも3つの接続元判断情報が含まれており、メール中継装置1は、接続元判断情報ごとにエラーが発生した回数を計測する。また、メール中継装置1は、リクエストごとにエラーが発生した回数を計測する。そして、受信したリクエストに応じた接続元情報に、エラーが発生した回数がリクエストに応じた遅延閾値を超える対象(接続元IPアドレスなど)が含まれている場合、メール中継装置1は、処理の結果を所定時間遅延させて返却する。このように、本実施形態におけるメール中継装置1は、リクエストに応じた処理を行うとともに、所定の条件を満たす接続元からのリクエストに対して、処理の成否にかかわらず一律にレスポンスを遅延させるよう構成されている。
メール中継装置1は、例えば、SMTP(Simple Mail Transfer Protocol)認証機能(SMTP-AUTH:SMTP Authentication)などを有するメールサーバ装置である。メール中継装置1は、図示しない演算装置(CPU:Central Processing Unit)と、プログラムを記憶する記憶媒体と、ユーザ情報DB(database)14と、閾値設定管理DB15と、遅延時間設定管理DB16と、エラーレスポンスカウンタ格納部17と、アクセス制限対象リスト18と、を有している。また、メール中継装置1は、記憶媒体が記憶するプログラムを演算装置が実行することで実現される設定管理部11と、リクエスト処理部12と、メール配送部13と、を有している(図1参照)。
メール中継装置1は、クライアント装置や外部メールサーバなどの外部メールシステムから、SMTP認証要求、メール送信要求、などの様々なリクエスト(処理要求)を受信する。そして、メール中継装置1は、受信したリクエストに応じた処理を行うとともに、リクエストに応じたレスポンスを返却する。また、後述するように、メール中継装置1は、所定の条件を満たす接続元からのリクエストに対して、処理の成否にかかわらず一律にレスポンスを遅延させる。
設定管理部11は、リクエスト処理部12が受信したリクエストに応じた処理を行う際の各種設定を管理、格納する。図1を参照すると、設定管理部11は、ユーザ情報DB14と、閾値設定管理DB15と、遅延時間設定管理DB16と、を有している。
ユーザ情報DB14と、閾値設定管理DB15と、遅延時間設定管理DB16とは、例えば、ディスク装置や半導体メモリなどの記憶装置により構成されている。なお、ユーザ情報DB14と、閾値設定管理DB15と、遅延時間設定管理DB16とは、1つの記憶装置から構成されても構わないし、複数の記憶装置から構成されても構わない。
ユーザ情報DB14は、メール中継装置1に登録されているユーザの情報であるユーザ情報を格納するデータベースである。ユーザ情報DB14に格納されているユーザ情報は、例えば、リクエスト処理部12がSMTP認証処理を行う際に利用される。
図2で示すように、ユーザ情報DB14には、ユーザ情報として、ユーザを識別するためのアカウント名と、アカウント名の入力者を認証するためのパスワードと、メールアドレス(例えば、1つまたは複数)と、が対応付けて格納されている。図2を参照すると、ユーザ情報DB14に格納されているユーザ情報の1行目は、例えば、アカウント名「USER01」とパスワード「p@ssword」とメールアドレス「user01@example.com」とが対応付けられていることを示している。
閾値設定管理DB15は、リクエストごとの遅延閾値(例えば、単位時間あたりのエラー発生回数の閾値)を示す情報である遅延閾値情報を格納するデータベースである。閾値設定管理DB15に格納されている遅延閾値情報は、例えば、リクエスト処理部12がアクセス制限対象リスト18の更新処理を行う際に用いられる。
図3で示すように、閾値設定管理DB15には、遅延閾値情報として、リクエストの種別を示す項目と、単位時間あたりのエラー数の閾値を示す遅延閾値と、が対応付けて格納されている。図3を参照すると、閾値設定管理DB15に格納されている遅延閾値情報の1行目は、例えば、項目「単位時間あたりのSMTP認証時のエラー数」と遅延閾値「10」とが対応付けられていることを示している。また、遅延閾値情報の2行目は、例えば、項目「単位時間あたりの宛先(メール送信時)エラー数」と遅延閾値「50」とが対応付けられていることを示している。
このように、閾値設定管理DB15には、リクエストごとに遅延閾値が設定された遅延閾値情報が格納されている。また、閾値設定管理DB15に格納されている遅延閾値情報に含まれる遅延閾値は、例えば、リクエストごとに予め設定された、リクエストがエラーとなる可能性に応じて定められている。具体的には、例えば、メールクライアントに記憶されている認証情報を用いてリクエストを行う場合が多い認証処理(SMTP認証処理)よりも、利用の都度入力する可能性のあるメールアドレス入力処理の方が、間違った入力が行われる可能性が高いものと考えられる。そこで、例えば上記のように、項目「単位時間あたりの宛先(メール送信時)エラー数」と対応する遅延閾値「50」の方が、項目「単位時間あたりのSMTP認証時のエラー数」と対応する遅延閾値「10」よりも大きい値となるよう遅延閾値を設定する。このように、遅延閾値情報に含まれる遅延閾値は、例えば、エラーとなる可能性が高いリクエストに対応する値が、エラーとなる可能性が低いリクエストに対応する値よりも大きい値となるようリクエストごとに定められている。
なお、図3で示す遅延閾値の具体的な数値は一例である。遅延閾値の値は、調整可能な値であり、例えば、1以上の任意の数値を設定することが出来る。また、閾値設定管理DB15には、例示した情報以外の遅延閾値情報を含めても構わない。
遅延時間設定管理DB16は、リクエストごとの遅延時間(リクエストに応じたレスポンスを遅延させる時間)を示す情報である遅延時間情報を格納するデータベースである。遅延時間設定管理DB16に格納されている遅延時間情報は、例えば、リクエスト処理部12がレスポンスを遅延させる際に用いられる。
図4で示すように、遅延時間設定管理DB16には、遅延時間情報として、リクエストの種別と、レスポンスを遅延させる時間を示す遅延ミリ秒と、が対応付けて格納されている。図4を参照すると、遅延時間設定管理DB16に格納されている遅延時間情報の1行目は、例えば、リクエスト「HELO,EHLO(接続開始)」と遅延ミリ秒「10000」とが対応付けられていることを示している。遅延時間設定管理DB16に格納されている遅延時間情報の1行目によると、リクエスト処理部12は、例えば、攻撃者に対するリクエスト「HELO,EHLO(接続開始)」に応じたレスポンスを遅延ミリ秒「10000」分遅延させることになる。
このように、遅延時間設定管理DB16には、リクエストごとに遅延時間が設定された遅延時間情報が格納されている。なお、図4で示す遅延ミリ秒(遅延時間)の具体的な数値は一例である。遅延ミリ秒の値は、調整可能な値であり、例えば、1以上の任意の数値を設定することが出来る。また、遅延時間設定管理DB16には、例示した情報以外の遅延時間情報を含めても構わない。
リクエスト処理部12は、クライアント装置や外部メールサーバなどの外部メールシステムから、SMTP認証要求、メール送信要求、などの様々なSMTPリクエスト(リクエスト)を受信する。そして、リクエスト処理部12は、受信したリクエストに応じた処理を、例えばユーザ情報DB14などを利用して行う。また、リクエスト処理部12は、リクエストに応じた処理が失敗した回数を計測するとともに、計測した回数と遅延閾値とに基づいてアクセス制限対象リスト18を更新する。そして、リクエスト処理部12は、アクセス制限対象リスト18に基づいてリクエストを送信した接続元が攻撃者であると判断される場合、遅延時間設定管理DB16から取得したリクエストに応じた遅延時間分、レスポンスを遅延させる。つまり、リクエスト処理部12は、受信したリクエストに応じた接続元情報に、アクセス制限対象リスト18に格納されている遅延対象が含まれる場合、リクエストに応じた遅延時間分、レスポンスを遅延させることになる。
図5を参照すると、リクエスト処理部12は、処理実行部121と、処理失敗回数計測部122と、アクセス制限対象リスト更新部123と、攻撃判定部124と、を含んでいる。
処理実行部121は、SMTP認証要求、メール送信要求、などの様々なリクエストを受け取る。そして、処理実行部121は、受信したリクエストに応じた処理を、例えばユーザ情報DB14などを利用して行う。その後、処理実行部121は、リクエストに応じたレスポンスを返却する。
例えば、処理実行部121は、図6で示すようなSMTP認証要求(リクエスト)に応じた認証処理を行う。具体的には、図6を参照すると、処理実行部121は、ユーザから送信されたリクエストに応じて、所定の成功応答やアカウント名待ち応答、パスワード入力待ち応答、認証成功応答、認証失敗応答などのレスポンスを返却する。また、処理実行部121は、例えば図7で示すようなメール送信要求に応じたメール送信処理を行う。具体的には、図7を参照すると、処理実行部121は、送信元メールアドレス及び宛先メールアドレスの存在を確認し当該確認結果に応じたレスポンスを返却する。また、処理実行部121は、送信元メールアドレス及び宛先メールアドレスが存在する場合に、メール配送部13を介してメールデータの送信処理を行い、当該処理に応じたレスポンスを返却する。つまり、処理実行部121は、送信先のメールアドレスのユーザのメールボックスにメールを格納するため、メール配送部13を介して、外部のメール格納装置に対してメールデータを中継するとともに、レスポンスを返却する。
また、処理実行部121は、所定の条件を満たす接続元(攻撃者)からのリクエストに対して上記のようなレスポンスを返却する際に、当該レスポンスを遅延させる。具体的には、処理実行部121は、後述する攻撃判定部124がアクセス制限対象リスト18に基づいてリクエストの送信元である接続元が攻撃者であると判断した場合、遅延時間設定管理DB16から取得したリクエストに応じた遅延時間分、レスポンスを遅延させる。つまり、処理実行部121は、受信したリクエストに応じた接続元情報に、アクセス制限対象リスト18に格納されている遅延対象(接続元判断情報)が含まれる場合、リクエストに応じた遅延時間分、レスポンスを遅延させることになる。
処理失敗回数計測部122は、リクエストに応じた処理が失敗した回数(エラー発生回数)を、接続元を示す接続元情報ごと、リクエストごと、に、例えばエラー発生日時と対応付けて計測する。そして、処理失敗回数計測部122は、計測結果をエラーレスポンスカウンタ格納部17に格納する。
例えば、処理実行部121は、認証処理時に接続元により入力されたアカウント名が存在していない場合やパスワードが誤っていた場合などにエラーを検出する。また、例えば、処理実行部121は、メール送信処理時に接続元により入力された送信元メールアドレスや宛先メールアドレスが存在していない場合などにエラーを検出する。そこで、処理失敗回数計測部122は、処理実行部121からエラーが発生した旨の情報を受け取って、発生したエラーの回数(エラー発生回数)を計測する。
ここで、接続元情報には、例えば、接続元IPアドレス、認証アカウント名、送信元メールアドレスなどの接続元判断情報が含まれている。そこで、処理失敗回数計測部122は、接続元判断情報ごとに、エラーが発生した回数を計測する。例えば、図8で示すように、接続元IPアドレス「12.34.56.78」、認証アカウント名「USER01」、送信元メールアドレス「user01@example.com」を含む接続元情報が示す接続元から送信されたリクエストに応じた処理が失敗した場合を考える。この場合、処理失敗回数計測部122は、接続元IPアドレス「12.34.56.78」、認証アカウント名「USER01」、送信元メールアドレス「user01@example.com」、それぞれに対して、処理が1回失敗したことを計測する。また、上記失敗とともに、接続元IPアドレス「98.76.54.32」、認証アカウント名「USER01」、送信元メールアドレス「user01@example.com」を含む接続元情報が示す接続元から送信されたリクエストに応じた処理が失敗した場合を考える。この場合、処理失敗回数計測部122は、認証アカウント名「USER01」、送信元メールアドレス「user01@example.com」に対する失敗回数を2回と計測するとともに、接続元IPアドレス「12.34.56.78」、接続元IPアドレス「98.76.54.32」の失敗回数を1回と計測することになる。
また、処理失敗回数計測部122は、上記計測をリクエストごとに行う。つまり、処理失敗回数計測部122は、各リクエストに応じたエラー発生回数を判別可能なよう、リクエストごとにエラー失敗回数を計測する。例えば、処理失敗回数計測部122は、SMTP認証要求時の処理の失敗回数(SMTP認証エラー数)と、メール送信要求時の処理の失敗回数(宛先エラー数)と、を互いに区別して計測する。
アクセス制限対象リスト更新部123は、処理失敗回数計測部122が計測したエラー発生回数と閾値設定管理DB15に格納されている遅延閾値とを利用して、アクセス制限対象リスト18を更新する。なお、アクセス制限対象リスト更新部123により行われるアクセス制限対象リスト18の更新処理の詳細については後述する。
攻撃判定部124は、アクセス制限対象リスト18を参照して、リクエストの送信元である接続元が攻撃者であるか否かを判定する。攻撃判定部124は、例えば、受信したリクエストに応じた接続元情報に、アクセス制限対象リスト18に格納されている遅延対象が含まれる場合、当該リクエストを送信した接続元が攻撃者であると判定する。そして、攻撃判定部124は、判定結果を処理実行部121に通知する。
例えば、処理実行部121が、接続元IPアドレス「12.34.56.78」、認証アカウント名「USER01」、送信元メールアドレス「user01@example.com」を含む接続元情報が示す接続元から送信されたリクエストを受信したとする。また、アクセス制限対象リスト18には、接続元IPアドレス「12.34.56.78」が制限の対象として含まれているものとする。この場合、リクエストに応じた接続元情報に、アクセス制限対象リスト18に含まれている接続元IPアドレスが含まれることになる。そこで、攻撃判定部124は、当該リクエストの送信元である接続元が攻撃者であると判断する。一方、リクエストに応じた接続元情報に、アクセス制限対象リスト18に格納されている遅延対象が含まれない場合、攻撃判定部124は、リクエストを送信した接続元が攻撃者ではないと判定することになる。
エラーレスポンスカウンタ格納部17と、アクセス制限対象リスト18とは、例えば、ディスク装置や半導体メモリなどの記憶装置により構成されている。なお、エラーレスポンスカウンタ格納部17と、アクセス制限対象リスト18とは、1つの記憶装置から構成されても構わないし、複数の記憶装置から構成されても構わない。
エラーレスポンスカウンタ格納部17には、接続元(接続元IPアドレス、認証アカウント名、送信元メールアドレス)ごと、リクエストごと、のエラー発生回数をエラー発生日時と対応付けた情報であるエラー発生回数情報が格納されている。上記のように、エラー発生回数情報は、例えば、処理失敗回数計測部122により格納されることになる。また、エラーレスポンスカウンタ格納部17に格納されるエラー発生回数情報は、例えば、アクセス制限対象リスト更新部123がアクセス制限対象リスト18の更新処理を行う際に用いられる。
図9で示すように、エラーレスポンスカウンタ格納部17には、エラー発生回数情報として、送信元(接続元IPアドレス、認証アカウント名、送信元メールアドレスの何れか一つ)と、エラー発生日時と、SMTP認証エラー数と、宛先エラー数と、が対応付けて格納されている。図9を参照すると、エラーレスポンスカウンタ格納部17に格納されているエラー発生回数情報の1行目は、例えば、送信元IPアドレス「12.34.56.78」とエラー発生日時「2015/03/19 16:15:40」とSMTP認証エラー数「10」と宛先エラー数「10」とが対応付けられていることを示している。つまり、図9の1行目は、エラー発生日時「2015/03/19 16:15:40」に、送信元IPアドレス「12.34.56.78」を含む接続元から送信されたリクエストに応じて、SMTP認証エラーが10回発生し、宛先エラーが10回発生したことを示している。
このように、エラーレスポンスカウンタ格納部17には、接続元判断情報ごと、エラー発生日時ごと、リクエストごと、に、発生したエラーの回数が格納されている。
アクセス制限対象リスト18には、レスポンスを遅延させる対象となる接続元(接続元判断情報:接続元IPアドレス、認証アカウント名、送信元メールアドレスのいずれか)を示す情報である遅延対象情報が格納されている。アクセス制限対象リスト18に格納されている遅延対象情報は、例えば、攻撃判定部124がリクエストの送信元である接続元が攻撃者であるか否かを判定する際に用いられる。
図10で示すように、アクセス制限対象リスト18には、レスポンスを遅延させる対象となる(攻撃者と判定する)接続元(接続元判断情報)と、レスポンスを遅延させる期限を示す有効期限と、が対応付けて格納されている。図10を参照すると、アクセス制限対象リスト18に格納されている遅延対象情報の1行目は、例えば、接続元「IPアドレス:12.34.56.78」と有効期限「2015/03/19 17:15:41」とが対応づけられていることを示している。つまり、図10の1行目は、「IPアドレス:12.34.56.78」を含む接続元情報を有する接続元から何らかのリクエストが来た場合、当該リクエストの送信元である接続元を攻撃者であると判定することを示している。つまり、図10の1行目は、「IPアドレス:12.34.56.78」を含む接続元情報を有する接続元から何らかのリクエストが来た場合、当該リクエストに応じたレスポンスを処理の成否にかかわらず一律に遅延させることを示していることになる。また、図10の1行目は、上記レスポンスの遅延(攻撃者の判定)が有効期限「2015/03/19 17:15:41」まで行われることを示している。
メール配送部13は、リクエスト処理部12からの指示に応じて、SMTPの処理が終わったメールを、メール中継装置1の外部に位置するメール格納処理装置に中継する。メール配送部13は、一般的なメール配送部の機能と同様の機能を有することが出来る。
以上が、メール中継装置1の各構成についての説明である。ここで、アクセス制限対象リスト更新部123がアクセス制限対象リスト18を更新する際の処理の一例について説明する。
アクセス制限対象リスト更新部123は、エラーレスポンスカウンタ格納部17から過去一定期間(予め設定された任意の期間)のエラー発生回数情報を取得する。つまり、アクセス制限対象リスト更新部123は、エラー発生日時が予め設定された期間内のエラー発生回数情報を取得する。また、アクセス制限対象リスト更新部123は、設定管理部11を介して、閾値設定管理DB15から遅延閾値情報(リクエストごとの遅延閾値)を取得する。
続いて、アクセス制限対象リスト更新部123は、過去一定期間内の接続元(接続元IPアドレス、認証アカウント名、送信元メールアドレス)ごと、リクエストごと、のエラー発生回数を上記取得したエラー発生回数情報に基づいて算出する。そして、アクセス制限対象リスト更新部123は、算出結果とリクエストごとの遅延閾値とを比較する。
エラー発生回数が遅延閾値を超えているリクエストがあった場合、アクセス制限対象リスト更新部123は、アクセス制限対象リスト18に、接続元情報(接続元IPアドレス、認証アカウント名、送信元メールアドレスのいずれか)と制限対象としての有効期限とを格納する。なお、有効期限は、例えば、現在日時から一定時間後(例えば、1日後など。任意の値)として設定される。また、格納する対象の接続元情報が既に格納されていた場合、アクセス制限対象リスト更新部123は、有効期限を例えば上書きして格納する(順次追加するよう構成しても構わない)。
アクセス制限対象リスト更新部123は、例えば上記のような処理によりアクセス制限対象リスト18を更新する。なお、アクセス制限対象リスト18内に有効期限を超えた情報がある場合、アクセス制限対象リスト更新部123は、不要な情報(有効期限を超えた情報)を削除することが出来る。
続いて、メール中継装置1が行う動作の一例について、図11乃至14を参照して説明する。まず、図11を参照して、メール中継装置1が行う動作の全体の流れの一例について説明する。
図11を参照すると、リクエスト処理部12の処理実行部121が外部メールシステムからリクエストを受け取る(ステップS101)。すると、処理実行部121は、当該受け取ったリクエストに応じた処理を行う(ステップS102)。例えば、メール送信要求を受け取った場合、処理実行部121は、送信先のメールアドレスのユーザのメールボックスにメールを格納するため、メール配信部13を介してメール格納装置にメールデータを中継する。
上記処理によりエラーレスポンスを返すことが必要になった(エラーが発生した)場合(ステップS103、yes)、処理失敗回数計測部122は、エラー発生回数を計測してエラーレスポンスカウンタ格納部17に計測結果を格納する(ステップS104)。一方、リクエストに応じた処理でエラーが発生しなかった場合(ステップS103、no)、処理失敗回数計測部122による上記ステップS104の処理は省略される。なお、ステップS104の処理の詳細については、後述する。
リクエスト処理部12のアクセス制限対象リスト更新部123は、アクセス制限対象リスト18の更新を行う(ステップS105)。なお、ステップS105の処理の詳細については、後述する。
攻撃判定部124は、アクセス制限対象リスト18に基づいて、リクエストを送信した接続元が攻撃者に当たるか否かを判定する(ステップS106)。なお、ステップS106の処理の詳細については、後述する。
攻撃判定部124により接続元が攻撃者に当たると判定された場合(ステップS107、yes)、処理実行部121は、遅延時間設定管理DB16から受信したリクエストに応じた遅延時間を取得する(ステップS108)。そして、処理実行部121は、上記取得した遅延時間分、処理を待つ(ステップS109)。その後、処理実行部121は、接続元にレスポンスを返却する(ステップS110)。つまり、攻撃されていると判断した場合、処理実行部12は、リクエストに応じた処理の成否にかかわらずレスポンスを遅延させることになる。
一方、攻撃判定部124により接続元が攻撃者に当たらないと判定された場合(ステップS107、no)、処理実行部121は、レスポンスを遅延させず即座に返却する(ステップS110)。
以上が、メール中継装置1が行う動作の全体の流れの一例である。次に、処理失敗回数計測部122がエラー発生回数を計測する際の動作の一例について、図12を参照して説明する。
図12を参照すると、処理失敗回数計測部122は、処理実行部121からエラーが検出された旨の情報受け取る。例えば、処理失敗回数計測部122は、検出したエラーに応じた接続元情報、リクエストの種類を受け取る(ステップS201)。
続いて、処理失敗回数計測部122は、接続元(接続元判断情報)、時刻、リクエストの種類に応じたエラー発生回数を1つ上げる(ステップS202)。処理失敗回数計測部122は、上記処理を接続元情報の分繰り返すことになる(ステップS203、yes)。上記動作により、処理失敗回数計測部122は、リクエストに応じた処理が失敗した回数(エラー発生回数)を、接続元判断情報ごと、リクエストごと、エラー発生日時ごと、に計測する。そして、処理失敗回数計測部122は、計測結果をエラーレスポンスカウンタ格納部17に格納する。
続いて、エラーが発生した全ての対象についてエラー発生回数を計測すると(ステップS203、no)、処理失敗回数計測部122は、エラーレスポンスカウンタ格納部17に格納されているエラー発生回数情報のうち古い情報を削除する。つまり、処理失敗回数計測部122は、例えば、現在の時刻(図示しない時計などにより確認される)とエラー発生回数情報とを比較して、エラー発生日時が現在の時刻より所定時間以上前のエラー発生回数情報を削除する(ステップS204)。なお、処理失敗回数計測部122によるエラー発生回数情報の削除は、エラー発生回数の計測と同時、又はその前に行われても構わない。また、処理失敗回数計測部122によるエラー発生回数情報の削除は、エラー発生回数の計測と独立して例えば定期的に行われても構わない。
以上が、処理失敗回数計測部122がエラー発生回数を計測する際の動作の一例である。次に、アクセス制限対象リスト18の更新を行う際のアクセス制限対象リスト更新部123の動作の一例について、図13を参照して説明する。
図13を参照すると、アクセス制限対象リスト更新部123は、エラーレスポンスカウンタ格納部17から過去一定期間(予め設定された任意の期間)のエラー発生回数情報を取得する(ステップS301)。また、アクセス制限対象リスト更新部123は、設定管理部11を介して、閾値設定管理DB15から遅延閾値情報(リクエストごとの遅延閾値)を取得する(ステップS302)。
続いて、アクセス制限対象リスト更新部123は、過去一定期間内の接続元(接続元判断情報)ごと、リクエストごと、のエラー発生回数を上記取得したエラー発生回数情報に基づいて算出する。そして、アクセス制限対象リスト更新部123は、算出結果とリクエストごとの遅延閾値を比較する(ステップS303)。
エラー発生回数が遅延閾値を超えているリクエストがあった場合(ステップS303、yes)、アクセス制限対象リスト更新部123は、アクセス制限対象リスト18に、該当する接続元判断情報と制限対象としての有効期限を格納する(ステップS304)。なお、格納する対象の情報が既に格納されていた場合、アクセス制限対象リスト更新部122は、有効期限を上書きして格納する。
アクセス制限対象リスト更新部123は、例えば上記のような処理によりアクセス制限対象リスト18に情報を追加する。続いて、アクセス制限対象リスト更新部123は、アクセス制限対象リスト18に有効期限を超えた情報が存在するか否かを確認する(ステップS305)。そして、アクセス制限対象リスト18に有効期限を超えた情報が存在する場合(ステップS305、yes)、アクセス制限対象リスト更新部123は、有効期限を超えた情報を削除する(ステップS306)。なお、アクセス制限対象リスト更新部123による情報の削除は、アクセス制限対象リスト18に対する情報の格納と同時、又はその前に行われても構わない。また、アクセス制限対象リスト更新部123による情報の削除は、アクセス制限対象リスト18に情報を追加する処理と独立して、例えば定期的に行われても構わない。
以上が、アクセス制限対象リスト18の更新を行う際のアクセス制限対象リスト更新部123の動作の一例である。次に、攻撃判定部124が攻撃者を判定する際の動作の一例について、図14を参照して説明する。
図14を参照すると、攻撃判定部124は、アクセス制限対象リスト18を参照して、受信したリクエストに応じた接続元情報に、アクセス制限対象リスト18に格納されている遅延対象が含まれるか否かを確認する(ステップS401)。
受信したリクエストに応じた接続元情報にアクセス制限対象リスト18に格納されている遅延対象が含まれる場合(ステップS402、yes)、攻撃判定部124は、接続元が攻撃者であると判定する(ステップS403)。そして、攻撃判定部124は、その旨を処理実行部121に通知する。この場合、図11で示すステップS107の処理は「yes」となり、処理実行部121により返却されるリクエストに応じたレスポンスは遅延することになる。
一方、受信したリクエストに応じた接続元情報にアクセス制限対象リスト18に格納されている遅延対象が含まれない場合(ステップS402、no)、攻撃判定部124は、接続元が攻撃者でないと判定する(ステップS404)。そして、攻撃判定部124は、その旨を処理実行部121に通知する。この場合、図11で示すステップS107の処理は「no」となり、処理実行部121により返却されるリクエストに応じたレスポンスは即座に返却されることになる。
以上が、メール中継装置1が行う全体の動作及び各動作の一例についての説明である。
このように、本実施形態におけるメール中継装置1は、処理実行部121と処理失敗回数計測部122とアクセス制限対象リスト更新部123と攻撃判定部124とを有している。このような構成により、処理失敗回数計測部122は、リクエストに応じた処理が失敗した回数(エラー発生回数)を、接続元情報(接続元判断情報)ごと、リクエストごと、に、例えばエラー発生日時と対応付けて計測することが出来る。また、アクセス制限対象リスト更新部123は、処理失敗回数計測部122の計測結果に基づいて、アクセス制限対象リスト18を更新することが出来る。その結果、攻撃判定部124は、更新されたアクセス制限対象リスト18に基づいて攻撃者を判定することが出来る。これにより、処理実行部121は、攻撃者からのリクエストに対して、処理の成否にかかわらず一律にレスポンスを遅延させることが出来ることになる。つまり、処理実行部121は攻撃者が接続を開始した時点からレスポンスを遅延させることが可能となり、接続の確立に時間をかけさせ攻撃のための接続を多数確立させることを防ぐことが可能となる。
また、本実施形態におけるメール中継装置1は、リクエストごとの遅延閾値が格納された閾値設定管理DB15を有している。また、処理失敗回数計測部122は、リクエストごとにエラー発生回数を計測するように構成されている。このような構成により、アクセス制限対象リスト更新部123は、リクエストごとに設定された遅延閾値とエラー発生回数とを比較してアクセス制限対象リスト18の更新を行うか否かを判断することが出来る。その結果、アクセス制限対象リスト更新部123は、例えば、リクエストの失敗のしやすさに応じて、アクセス制限対象リスト18に情報を格納するか否かを制御することが出来る。また、攻撃判定部124は、リクエストの失敗のしやすさに応じて、接続元が攻撃者であるか否かを判定する際の基準を制御することが出来る。これにより、リクエスト(例えば、リクエストの失敗のしやすさ)に応じて接続元を攻撃者とみなすか否かの判定の基準を制御することが可能となり、送信されたリクエストに応じた的確な防御を実行することが可能となる。
また、本実施形態における処理失敗回数計測部122は、接続元判断情報ごとにエラー発生回数を計測する。そして、アクセス制限対象リスト更新部123は、接続元判断情報ごとにアクセス制限対象リスト18の更新を行う。このような構成により、攻撃判定部124は、例えば、攻撃者が複数のIPアドレスを利用して攻撃した場合であっても、認証アカウント名や送信元メールアドレスにより接続元が攻撃者であると判定することが出来る。これにより、処理実行部121は、複数のIPアドレスを用いるなど様々な攻撃に対応してレスポンスを遅延させることが出来る。
また、本実施形態におけるメール中継装置1の場合、攻撃者と同じ接続元(IPアドレス)から正常な利用者が正常な利用を行う場合、レスポンス遅延により遅くなるが、利用を拒否されることはない。そのため、仮に攻撃者と同じ接続元であったとしても、正常な利用者は、時間はかかるもののメール送信を行うことが出来る。このように、本実施形態におけるメール中継装置1は、攻撃者の攻撃を防ぎつつ、正常な利用者に過大な不利益を与えることを防ぐことを可能としている。
また、本実施形態におけるアクセス制限対象リスト18に格納されている情報は、有効期限の経過により削除されるよう構成されている。このような構成により、アクセス制限対象リスト18は自動的にメンテナンスされることになる。これにより、運用管理者に負担をかけることなくアクセス制限対象リスト18をメンテナンスすることが可能となり、運用管理者の負担を軽減することが可能となる。
なお、閾値設定管理DB15には、リクエストごとに複数の遅延閾値を格納することが出来る。また、この場合、アクセス制限対象リスト更新部123は、複数の遅延閾値を使用して複数のアクセス制限対象リスト18を更新するよう構成することが出来る。このような構成により、例えば、エラー発生回数が第1の遅延閾値を超えている場合、アクセス制限対象リスト更新部123は、レスポンスを遅延させる第1のアクセス制限対象リスト18に情報を格納することが出来る。また、エラー発生回数が第1の遅延閾値よりも大きな値である第2の遅延閾値を超えている場合、アクセス制限対象リスト更新部123は、レスポンスを返さない第2のアクセス制限対象リスト18に情報を格納することが出来る。以上のように、リクエストごとに複数の遅延閾値を格納することで、よりエラーが発生している接続元からのリクエストに応じたレスポンスを返さないよう構成することが出来る。このような構成により、例えば、より強い防御が要求されるシステムに対応することが出来る。
また、本実施形態においては、メール中継装置1について説明したが、本発明は、メール中継装置1以外にも適応可能である。本発明は、例えば、Web業務システムなど、メールシステム以外のリクエストに対して成功・エラーの状態が存在するネットワークサービスに対しても適応可能である。
[第2の実施形態]
本発明の第2の実施形態では、ユーザから受信した処理要求に応じた処理を行うとともに、当該処理の結果をユーザに返却する通信装置2について説明する。
図15を参照すると、本実施形態における通信装置2は、処理実行部21と、処理失敗回数計測部22と、を有している。また、通信装置2は図示しない記憶装置を有しており、当該記憶装置には、処理要求ごとに予め定められた遅延閾値が格納されている。
処理実行部21は、ユーザから受信した所定の処理要求に応じて、当該受信した処理要求に応じた処理を行うとともに、当該処理の結果をユーザに返却する。
処理失敗回数計測部22は、処理要求の送信元であるユーザを示す接続元情報ごとに処理要求に応じた処理が失敗した回数を計測する。また、処理失敗回数計測部22は、接続元情報ごとに処理要求に応じた処理が失敗した回数を計測するとともに、対応する処理要求が判別可能なよう処理が失敗した回数を処理要求ごとに分けて計測する。
さらに、本実施形態における処理実行部21は、受信した処理要求である受信処理要求に応じた接続元情報に対応する処理が失敗した回数のうちの少なくとも1つが、処理要求に応じた遅延閾値を超えている場合、接続元情報が示すユーザから送信された処理要求に応じた処理の結果を所定時間分遅延させて返却する。
このように、本実施形態における通信装置2は、処理実行部21と処理失敗回数計測部22とを有している。また、通信装置2は、処理要求ごとに予め定められた遅延閾値を記憶している。このような構成により、通信装置2の処理失敗回数計測部22は、接続元情報ごと、処理要求ごと、に処理要求に応じた処理が失敗した回数を計測することが出来る。また、通信装置2の処理実行部21は、受信した処理要求である受信処理要求に応じた接続元情報に対応する処理が失敗した回数と、処理要求に応じた遅延閾値と、を比較することが出来る。その結果、処理実行部21は、処理要求ごとの遅延閾値を用いて、受信した受信処理要求に応じた処理の結果の返却を遅延させるか否かを判断することが出来る。これにより、通信装置2は、送信された処理要求に応じた的確な防御を実行することが可能となる。
<付記>
上記実施形態の一部又は全部は、以下の付記のようにも記載されうる。以下、本発明における通信装置などの概略を説明する。但し、本発明は、以下の構成に限定されない。
(付記1)
ユーザから受信した所定の処理要求に応じて、当該受信した処理要求に応じた処理を行うとともに、当該処理の結果を前記ユーザに返却する処理実行部と、
前記処理要求の送信元である前記ユーザを示す接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測する処理失敗回数計測部と、
を有し、
前記処理失敗回数計測部は、前記接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測するとともに、対応する処理要求が判別可能なよう前記処理が失敗した回数を前記処理要求ごとに分けて計測し、
前記処理要求ごとに予め定められた遅延閾値を記憶しており、
前記処理実行部は、受信した処理要求である受信処理要求に応じた前記接続元情報に対応する前記処理が失敗した回数のうちの少なくとも1つが、前記処理要求に応じた前記遅延閾値を超えている場合、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の結果を所定時間分遅延させて返却する
通信装置。
このように、通信装置は、処理要求ごとに定められた遅延閾値を記憶している。その結果、例えば、処理要求の特性(失敗のしやすさなど)に応じて、処理の結果を遅延させて返却するか否かを判断することが出来る。これにより、処理要求に応じた的確な防御を実行することが可能となる。
(付記2)
付記1に記載の通信装置であって、
前記処理実行部は、前記受信処理要求に応じた前記接続元情報に対応する前記処理が失敗した回数のうちの少なくとも1つが、前記処理要求ごとに予め設定されている前記処理要求がエラーとなる可能性に応じた前記遅延閾値を超える場合、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の結果を所定時間分遅延させて返却する
通信装置。
上記通信装置は、処理要求ごとに予め設定されている処理要求がエラーとなる可能性に応じた遅延閾値を記憶している。このように処理要求がエラーとなる可能性に応じた遅延閾値を用いることで、処理要求の失敗のしやすさに応じて、処理の結果を遅延させて返却するか否かを判断することが出来る。これにより、処理要求に応じた的確な防御を実行することが可能となる。
(付記3)
付記1又は2に記載の通信装置であって、
前記処理実行部は、エラーとなる可能性が高いと予め設定されている前記処理要求に応じた前記遅延閾値として、エラーとなる可能性が低いと予め設定されている前記処理要求に応じた前記遅延閾値よりも大きな値を持つ前記遅延閾値を用いる
通信装置。
(付記4)
付記1乃至3のいずれかに記載の通信装置であって、
処理の結果を返却する際に遅延させる時間である遅延時間は前記処理要求ごとに定められており、
前記処理実行部は、前記処理要求に応じた前記遅延時間の分、処理の結果を遅延させて返却する
通信装置。
上記通信装置は、処理要求に応じた前記遅延時間の分処理の結果を遅延させて返却するよう構成されている。このように処理要求ごとに遅延時間を定めることで、より処理要求に応じた的確な防御を実行することが可能となる。
(付記5)
付記1乃至4のいずれかに記載の通信装置であって、
前記接続元情報には複数の接続元判断情報が含まれており、
前記処理失敗回数計測部は、前記接続元情報に含まれる前記接続元判断情報ごとに前記処理要求に応じた処理が失敗した回数を計測し、
前記処理実行部は、前記接続元情報に含まれる前記接続元判断情報のうちの少なくとも1つに対応する前記処理が失敗した回数が前記遅延閾値を超えている場合に、前記処理要求に応じた処理の結果を所定時間分遅延させて返却する
通信装置。
(付記6)
付記1乃至5のいずれかに記載の通信装置であって、
前記接続元情報には、前記ユーザのIPアドレス、認証アカウント名、送信元メールアドレス、が含まれており、
前記処理失敗回数計測部は、前記接続元情報に含まれる前記IPアドレス、前記認証アカウント名、前記送信元メールアドレス、のそれぞれごとに前記処理要求に応じた処理が失敗した回数を計測し、
前記処理実行部は、前記接続元情報に含まれる前記IPアドレス、前記認証アカウント名、前記送信元メールアドレス、のうちの少なくとも1つに対応する前記処理が失敗した回数が前記遅延閾値を超えている場合に、前記処理要求に応じた処理の結果を所定時間分遅延させて返却する
通信装置。
(付記7)
付記1乃至6のいずれかに記載の通信装置であって、
前記処理実行部は、前記失敗回数計測部が計測した失敗の回数が前記処理要求に応じた前記遅延閾値を超える場合に、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の成功、失敗にかかわらず当該処理の結果を所定時間分遅延させて返却する
通信装置。
(付記8)
付記1乃至7のいずれかに記載の通信装置であって、
前記処理実行部は、処理の結果を所定時間分遅延させて返却する対象となる前記接続元情報を遅延対象情報として記憶装置に格納するよう構成され、
前記記憶装置が記憶する前記遅延対象情報を、当該遅延対象情報を格納後、所定時間経過することで削除する
通信装置。
(付記9)
処理要求ごとに予め定められた遅延閾値を記憶する記憶装置を有する通信装置にて実行される通信方法であって、
ユーザから受信した所定の処理要求に応じて、当該受信した処理要求に応じた処理を行うとともに、当該処理の結果を前記ユーザに返却し、
前記処理要求の送信元である前記ユーザを示す接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測し、
前記接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測するとともに、対応する処理要求が判別可能なよう前記処理が失敗した回数を前記処理要求ごとに分けて計測し、
受信した処理要求である受信処理要求に応じた前記接続元情報に対応する前記処理が失敗した回数のうちの少なくとも1つが、前記処理要求に応じた前記遅延閾値を超えている場合、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の結果を所定時間分遅延させて返却する
通信処理方法。
(付記10)
処理要求ごとに予め定められた遅延閾値を記憶する記憶装置を有する通信装置に、
ユーザから受信した所定の処理要求に応じて、当該受信した処理要求に応じた処理を行うとともに、当該処理の結果を前記ユーザに返却する処理実行手段と、
前記処理要求の送信元である前記ユーザを示す接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測する処理失敗回数計測手段と、
を実現させ、
前記処理失敗回数計測手段は、前記接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測するとともに、対応する処理要求が判別可能なよう前記処理が失敗した回数を前記処理要求ごとに分けて計測し、
前記処理実行手段は、受信した処理要求である受信処理要求に応じた前記接続元情報に対応する前記処理が失敗した回数のうちの少なくとも1つが、前記処理要求に応じた前記遅延閾値を超えている場合、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の結果を所定時間分遅延させて返却する
プログラム。
なお、上記各実施形態及び付記において記載したプログラムは、記憶装置に記憶されていたり、コンピュータが読み取り可能な記録媒体に記録されていたりする。例えば、記録媒体は、フレキシブルディスク、光ディスク、光磁気ディスク、及び、半導体メモリ等の可搬性を有する媒体である。
以上、上記各実施形態を参照して本願発明を説明したが、本願発明は、上述した実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明の範囲内で当業者が理解しうる様々な変更をすることが出来る。
1 メール中継装置
11 設定管理部
12 リクエスト処理部
121 処理実行部
122 処理失敗回数計測部
123 アクセス制限対象リスト更新部
124 攻撃判定部
13 メール配送部
14 ユーザ情報DB
15 閾値設定管理DB
16 遅延時間設定管理DB
17 エラーレスポンスカウンタ格納部
18 アクセス制限対象リスト
2 通信装置
21 処理実行部
22 処理失敗回数計測部

Claims (9)

  1. ユーザから受信した所定の処理要求に応じて、当該受信した処理要求に応じた処理を行うとともに、当該処理の結果を前記ユーザに返却する処理実行部と、
    前記処理要求の送信元である前記ユーザを示す接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測する処理失敗回数計測部と、
    を有し、
    前記処理失敗回数計測部は、前記接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測するとともに、対応する処理要求が判別可能なよう前記処理が失敗した回数を前記処理要求ごとに分けて計測し、
    前記処理要求ごとに予め定められた遅延閾値を記憶しており、
    前記処理実行部は、受信した処理要求である受信処理要求に応じた前記接続元情報に対応する前記処理が失敗した回数のうちの少なくとも1つが、前記処理要求に応じた前記遅延閾値を超えている場合、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の結果を所定時間分遅延させて返却し、
    前記処理実行部は、前記受信処理要求に応じた前記接続元情報に対応する前記処理が失敗した回数のうちの少なくとも1つが、前記処理要求ごとに予め設定されている前記処理要求がエラーとなる可能性に応じた前記遅延閾値を超える場合、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の結果を所定時間分遅延させて返却する
    通信装置。
  2. 請求項に記載の通信装置であって、
    前記処理実行部は、エラーとなる可能性が高いと予め設定されている前記処理要求に応じた前記遅延閾値として、エラーとなる可能性が低いと予め設定されている前記処理要求に応じた前記遅延閾値よりも大きな値を持つ前記遅延閾値を用いる
    通信装置。
  3. 請求項1又は2に記載の通信装置であって、
    処理の結果を返却する際に遅延させる時間である遅延時間は前記処理要求ごとに定められており、
    前記処理実行部は、前記処理要求に応じた前記遅延時間の分、処理の結果を遅延させて返却する
    通信装置。
  4. 請求項1乃至のいずれかに記載の通信装置であって、
    前記接続元情報には複数の接続元判断情報が含まれており、
    前記処理失敗回数計測部は、前記接続元情報に含まれる前記接続元判断情報ごとに前記処理要求に応じた処理が失敗した回数を計測し、
    前記処理実行部は、前記接続元情報に含まれる前記接続元判断情報のうちの少なくとも1つに対応する前記処理が失敗した回数が前記遅延閾値を超えている場合に、前記処理要求に応じた処理の結果を所定時間分遅延させて返却する
    通信装置。
  5. 請求項1乃至のいずれかに記載の通信装置であって、
    前記接続元情報には、前記ユーザのIPアドレス、認証アカウント名、送信元メールアドレス、が含まれており、
    前記処理失敗回数計測部は、前記接続元情報に含まれる前記IPアドレス、前記認証アカウント名、前記送信元メールアドレス、のそれぞれごとに前記処理要求に応じた処理が失敗した回数を計測し、
    前記処理実行部は、前記接続元情報に含まれる前記IPアドレス、前記認証アカウント名、前記送信元メールアドレス、のうちの少なくとも1つに対応する前記処理が失敗した回数が前記遅延閾値を超えている場合に、前記処理要求に応じた処理の結果を所定時間分遅延させて返却する
    通信装置。
  6. 請求項1乃至のいずれかに記載の通信装置であって、
    前記処理実行部は、前記失敗回数計測部が計測した失敗の回数が前記処理要求に応じた前記遅延閾値を超える場合に、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の成功、失敗にかかわらず当該処理の結果を所定時間分遅延させて返却する
    通信装置。
  7. 請求項1乃至のいずれかに記載の通信装置であって、
    前記処理実行部は、処理の結果を所定時間分遅延させて返却する対象となる前記接続元情報を遅延対象情報として記憶装置に格納するよう構成され、
    前記記憶装置が記憶する前記遅延対象情報を、当該遅延対象情報を格納後、所定時間経過することで削除する
    通信装置。
  8. 処理要求ごとに予め定められた遅延閾値を記憶する記憶装置を有する通信装置にて実行される通信方法であって、
    ユーザから受信した所定の処理要求に応じて、当該受信した処理要求に応じた処理を行うとともに、当該処理の結果を前記ユーザに返却し、
    前記処理要求の送信元である前記ユーザを示す接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測し、
    前記接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測するとともに、対応する処理要求が判別可能なよう前記処理が失敗した回数を前記処理要求ごとに分けて計測し、
    受信した処理要求である受信処理要求に応じた前記接続元情報に対応する前記処理が失敗した回数のうちの少なくとも1つが、前記処理要求に応じた前記遅延閾値を超えている場合、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の結果を所定時間分遅延させて返却し、
    前記受信処理要求に応じた前記接続元情報に対応する前記処理が失敗した回数のうちの少なくとも1つが、前記処理要求ごとに予め設定されている前記処理要求がエラーとなる可能性に応じた前記遅延閾値を超える場合、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の結果を所定時間分遅延させて返却する
    通信処理方法。
  9. 処理要求ごとに予め定められた遅延閾値を記憶する記憶装置を有する通信装置に、
    ユーザから受信した所定の処理要求に応じて、当該受信した処理要求に応じた処理を行うとともに、当該処理の結果を前記ユーザに返却する処理実行手段と、
    前記処理要求の送信元である前記ユーザを示す接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測する処理失敗回数計測手段と、
    を実現させ、
    前記処理失敗回数計測手段は、前記接続元情報ごとに前記処理要求に応じた処理が失敗した回数を計測するとともに、対応する処理要求が判別可能なよう前記処理が失敗した回数を前記処理要求ごとに分けて計測し、
    前記処理実行手段は、受信した処理要求である受信処理要求に応じた前記接続元情報に対応する前記処理が失敗した回数のうちの少なくとも1つが、前記処理要求に応じた前記遅延閾値を超えている場合、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の結果を所定時間分遅延させて返却し、
    前記処理実行手段は、前記受信処理要求に応じた前記接続元情報に対応する前記処理が失敗した回数のうちの少なくとも1つが、前記処理要求ごとに予め設定されている前記処理要求がエラーとなる可能性に応じた前記遅延閾値を超える場合、前記接続元情報が示す前記ユーザから送信された前記処理要求に応じた処理の結果を所定時間分遅延させて返却する
    プログラム。
JP2015142034A 2015-07-16 2015-07-16 通信装置、通信処理方法、プログラム Active JP6028839B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015142034A JP6028839B1 (ja) 2015-07-16 2015-07-16 通信装置、通信処理方法、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015142034A JP6028839B1 (ja) 2015-07-16 2015-07-16 通信装置、通信処理方法、プログラム

Publications (2)

Publication Number Publication Date
JP6028839B1 true JP6028839B1 (ja) 2016-11-24
JP2017027134A JP2017027134A (ja) 2017-02-02

Family

ID=57358720

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015142034A Active JP6028839B1 (ja) 2015-07-16 2015-07-16 通信装置、通信処理方法、プログラム

Country Status (1)

Country Link
JP (1) JP6028839B1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021500640A (ja) * 2017-10-18 2021-01-07 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 多層ネットワーク・トポロジにおける攻撃フローを識別するコンピュータ実施方法、コンピュータ・プログラム製品およびシステム
CN114503963A (zh) * 2022-01-25 2022-05-17 广州隆昇科技有限公司 一种红火蚁智能诱集装置及方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10574598B2 (en) * 2017-10-18 2020-02-25 International Business Machines Corporation Cognitive virtual detector

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060031464A1 (en) * 2004-05-07 2006-02-09 Sandvine Incorporated System and method for detecting sources of abnormal computer network messages
JP2006079359A (ja) * 2004-09-09 2006-03-23 Ricoh Co Ltd 通信装置、通信装置の制御方法、プログラム及び記録媒体
JP2006146433A (ja) * 2004-11-17 2006-06-08 Toshiba Corp 不正アクセス防止装置
JP2008187701A (ja) * 2007-01-04 2008-08-14 Oita Univ スキャン攻撃不正侵入防御装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060031464A1 (en) * 2004-05-07 2006-02-09 Sandvine Incorporated System and method for detecting sources of abnormal computer network messages
JP2006079359A (ja) * 2004-09-09 2006-03-23 Ricoh Co Ltd 通信装置、通信装置の制御方法、プログラム及び記録媒体
JP2006146433A (ja) * 2004-11-17 2006-06-08 Toshiba Corp 不正アクセス防止装置
JP2008187701A (ja) * 2007-01-04 2008-08-14 Oita Univ スキャン攻撃不正侵入防御装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6016025751; 濱本 常義: 'セキュリティ アドバイザー濱本常義のここが危ない! 無償でできるスパム対策 現状に限れば8〜9割を排' 日経SYSTEMS No. 161 (2006.9), 200608, p. 15 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021500640A (ja) * 2017-10-18 2021-01-07 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 多層ネットワーク・トポロジにおける攻撃フローを識別するコンピュータ実施方法、コンピュータ・プログラム製品およびシステム
JP7002647B2 (ja) 2017-10-18 2022-01-20 インターナショナル・ビジネス・マシーンズ・コーポレーション 多層ネットワーク・トポロジにおける攻撃フローを識別するコンピュータ実施方法、コンピュータ・プログラム製品およびシステム
CN114503963A (zh) * 2022-01-25 2022-05-17 广州隆昇科技有限公司 一种红火蚁智能诱集装置及方法

Also Published As

Publication number Publication date
JP2017027134A (ja) 2017-02-02

Similar Documents

Publication Publication Date Title
US8001582B2 (en) Cross-network reputation for online services
US8291472B2 (en) Real-time adjustments to authentication conditions
CN108183950B (zh) 一种网络设备建立连接的方法及装置
JP2020035424A (ja) ネットワークへの脅威のインジケータの抽出及び応答
US10554671B2 (en) System, method and computer readable medium for processing unsolicited electronic mail
JP6028839B1 (ja) 通信装置、通信処理方法、プログラム
US11200324B1 (en) Methods, systems, and media for protecting applications from malicious communications
JP2008054204A (ja) 接続装置及び端末装置及びデータ確認プログラム
US10742578B2 (en) Transmitter terminal, receiving apparatus, method of restricting viewing access, and computer program for viewing restriction of electronic data that has already been transmitted
US11736584B2 (en) Proxy end registration method, system, and related apparatus
US8055782B2 (en) System and method for generating exception delay messages when messages are delayed
KR101963174B1 (ko) 보안기능을 갖는 오류 관리 시스템 및 그 제어방법
JP2018142266A (ja) 不正アクセス検出装置、プログラム及び方法
CN107395764B (zh) 在不同数据域内的设备间进行数据交换的方法及系统
US8924547B1 (en) Systems and methods for managing network devices based on server capacity
JP5953868B2 (ja) 情報処理装置及びプログラム
JP6614920B2 (ja) 送信制御装置、送信制御方法及び送信制御プログラム
CN116980474B (zh) 一种数据推送系统的日志数据订阅管理方法
CN112104657B (zh) 信息校验方法和装置
JP2018041242A (ja) メール監視装置
JP2014154057A (ja) 不正アクセス検知方法及び装置
JP2017045347A (ja) 情報管理装置、通信管理システム、情報通信装置、情報管理方法、および情報管理用プログラム
CN116541386A (zh) 一种基于时间同步和可信计次的信息自动删除方法及系统
CN114616799A (zh) 电子令牌伪造检测中的误报减少
Kim et al. Designing and Implementing of Dos Prevention System for SPT-based Sync Flooding Protection

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160822

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160920

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161003

R150 Certificate of patent or registration of utility model

Ref document number: 6028839

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150