JP3966231B2 - ネットワークシステムと不正アクセス制御方法およびプログラム - Google Patents
ネットワークシステムと不正アクセス制御方法およびプログラム Download PDFInfo
- Publication number
- JP3966231B2 JP3966231B2 JP2003165918A JP2003165918A JP3966231B2 JP 3966231 B2 JP3966231 B2 JP 3966231B2 JP 2003165918 A JP2003165918 A JP 2003165918A JP 2003165918 A JP2003165918 A JP 2003165918A JP 3966231 B2 JP3966231 B2 JP 3966231B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- unauthorized access
- transmission network
- network
- digital information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、複数のデジタル情報伝達ネットワークを接続して広域のネットワークサービスを提供するネットワークシステム技術に係わり、特にデジタルネットワーク間での不正アクセスを効率的に監視・阻止してセキュリティを向上するのに好適なネットワークシステムに関するものである。
【0002】
【従来の技術】
インターネット等のパブリックなIP(Internet Protocol)ネットワークの普及に伴い、ネットワーク経由の不正アクセスによるデータなどの不正盗聴、破壊、改竄などの脅威が常に存在するとともに、ネットワーク、サーバなどに異常負荷をかけて、ネットワーク機器またはサーバシステムなどを事実上動作不能とさせる攻撃などの脅威が急増している。
【0003】
これらの脅威に対処するために、ネットワークを流れるデータの内容あるいは送信元のユーザ権限により、通信を制御するアクセス制御技術が一般に採用されている。
【0004】
この制御技術は、一般に、ファイヤウォールとして知られている機能をルータ等のパケット処理装置に実装することで実現されており、このパケット処理装置は、インターネットなどの外部ネットワークとイントラネットなどの内部ネットワークとの境界に設置され、セキュリティポリシーに従った必要最小限の通信のみを通過させるアクセス制御を行う。
【0005】
アクセス制御を行うためのファイヤウォールの機能は、IPフィルタリングによるIPレベルでのアクセス制御機能、TCP(Transport Control Protocol)レベルでのTCPポート毎のアクセス制御機能、通信の内容に応じてアクセス制御を行うアプリケーションレベルでのアクセス制御機能に大別される。
【0006】
これらの機能を備えた通信システムでは、通信の種別、内容及びその方向により、通信のアクセスを制御することが可能となる。さらに、セキュリティポリシーに基づいたセキュリティ設計により、そのアクセス制御方式を決定するとともにアクセス制御の各種パラメータを規定し、さらにファイヤウォール機能を有するパケット処理装置にパラメータ設定を行うことによって、セキュリティポリシーに従ったネットワーク運用を行うことができる。
【0007】
しかし、上記のファイヤウォール機能では、セキュリティポリシーに従った通信については、ネットワークの通過を許容するため、この通過可能な通信サービスを悪用した不正侵入等の不正アクセスを完全に阻止することは困難である。この問題点を補完するために、一般にIDS(Intrusion Detection System)として知られている不正侵入の検知を目的としたセキュリティ監視装置が採用されている。
【0008】
この監視装置では、ファイヤウォール機能を通過して流れる通信データを全て監視し、不正な通信の有無を常時監視する方式を採用している。例えば、既知の侵入などの不正行為に関するデータをデータベース化し、受信データと予め記憶された不正アクセスパターンとを比較し、一致の検出時にトラヒックシェービングによって不正アクセスのトラヒックを減少させることができる。
【0009】
また、トラヒックシェーピングにより、不正アクセスに用いられるIPパケットのトラヒックを減少させるのではなく、フィルタリングを行いトラヒックを遮断する技術もある。
【0010】
しかし、このような従来のパケット処理装置では、第1,第2の問題点がある。まず、第1の問題点として、不正アクセスのIPパケットに対して受信したパケット処理装置内でトラヒックシェービング、フィルタリング処理を行うため、パケット処理装置の処理負荷が増大するとともに、不正アクセスのIPパケットが帯域を消費する。そのため、不正アクセスから防護できても、端末間での通信品質の劣化を招きやすかった。
【0011】
また、第2の問題点として、これらのパケット処理装置は、不正アクセスから守りたい装置の直前に配置する必要があり、守りたい装置がネットワーク構成的に点在している場合には、それごとにパケット処理装置を複数配置しなければならない。
【0012】
このような問題を解決する従来技術として、例えば、特許文献1〜5に記載の技術がある。
【0013】
特許文献1においては、複数箇所から同時に連携してDoS(Denial of Services)攻撃を行う分散型サービス不能攻撃(DDoS)を、攻撃を受ける側で効率的に防御する技術として、ネットワーク境界に設けられた通信装置に、自通信装置を通過する通信パケットを監視して分散型サービス不能攻撃を検出して、当該分散型サービス不能攻撃の通信パケットを破棄すると共に、攻撃元に近い上位側の通信装置のアドレスを検索する攻撃元検索モジュールプログラムを実装し、この上位側の防御位置の通信装置に対して前記攻撃元検索モジュールプログラムを送信して、さらに、攻撃元に近い上位側の通信装置の候補中から上位側の防御位置とする通信装置を抽出し、この防御位置の通信装置に対して前記攻撃防御モジュールプログラムを送信することで、DoS攻撃者からのトラヒック全てを通過させないようにする技術が記載されている。
【0014】
特許文献2においては、アドレス不定型DoS攻撃を含むDoS攻撃全般の対策をISP(Internet Service Provider)においても容易に実現することを目的として、送信元側において、通信パケットに対して施した安全性確認の度合いに応じて、通信パケットに異なる種類の安全性識別子を付加し、通信パケットの配送経路上で、当該安全性識別子に応じて優先度制御を行うことにより、より高い安全性確認が行われたパケットを優先的に送信先に接続し、その他のパケットは破棄する技術が記載されている。アドレス不定型DoS攻撃は、十分な安全性確認を行っていないパケットを使って行われるため、このようなパケットは優先度が下げられ、帯域で許可された容量を超えた場合に、攻撃に使われるパケットは破棄され、アドレス不定型DoS攻撃は無効となる。
【0015】
特許文献3においては、複数箇所から同時に連携してDoS(Denial of Services)攻撃を行う分散型サービス不能攻撃(DDoS)を防御する技術として、防御側ネットワークにおいて、当該ネットワークの状況を監視して例えば急激にアクセスが増加することに基づき攻撃対象ホストに対する不正アクセス(DDoS攻撃)を検出すると、不正アクセスを実施するホストに所属する攻撃遮断機器に、当該踏み台ホストに対する通信制御を指示する技術が記載されている。
【0016】
特許文献4においては、他のキャリア(他のプロバイダ)のIPネットワークを介して侵入してきた不正者を、境界個所にて検出することで不正者を高速に(短時間に)特定し、遮断することを目的として、各IPネットワークの境界個所に位置する複数の境界中継装置のそれぞれにおいて、伝送されてきたIPパケットが不正侵入の不正パケットである場合、この不正パケットの再侵入を検出するためのフィルタリング情報に基づいて再侵入を検出すると、当該不正パケットを廃棄し、上記フィルタリング情報を他の境界中継装置に配布する技術が記載されている。
【0017】
特許文献5においては、ファイアウォールやIDSといったセキュリティに係るネットワーク機器を導入することや、導入したネットワーク機器を運用するための知識を獲得するという負担をユーザに強いることなく、インターネットからの攻撃を防御することを目的として、ネットワーク運営者側でユーザの指定(例えば送信元の指定、ポート番号の指定など)に基づいて検査対象のデータを区別し、検査対象と指定されたデータは検査サーバに送り、この検査サーバにおいて、攻撃を行うデータか否かを調査し、調査した結果から攻撃を行わないデータ、および、検査対象と指定されなかったデータだけを選択してネットワーク運営者がユーザに提供する技術が記載されている。
【0018】
【特許文献1】
特開2002−164938号公報
【特許文献2】
特開2002−158699号公報
【特許文献3】
特開2002−158660号公報
【特許文献4】
特開2002−185539号公報
【特許文献5】
特開2002−335246号公報
【0019】
これらの従来技術では、ネットワーク境界において、ユーザに負荷をかけることなく不正アクセス防止のためのサービスを提供することができる。しかし、不正アクセスの検出に時間を要してしまい、情報の転送速度が低下する。
【0020】
【発明が解決しようとする課題】
解決しようとする問題点は、従来の技術では、ネットワーク境界において、ユーザに負荷をかけることなく不正アクセス防止のためのサービスを提供することができるが、不正アクセスの検出に時間を要してしまう点である。
【0021】
発明の目的は、これら従来技術の課題を解決し、通信品質を劣化させることなく不正アクセスの検出サービスを提供可能とすることである。
【0022】
【課題を解決するための手段】
上記目的を達成するため、本発明は、デジタル情報伝達ネットワーク間で転送される情報の内、不正アクセスのための情報を検知する際、まず、デジタル情報伝達ネットワーク間で通常の情報転送処理を行う転送処理装置において、情報を簡易検査して不正アクセスの可能性の有無を高速に検出し、この簡易検査で不正アクセス有りと検出した情報のみを詳細検査装置に転送して、この詳細検査装置において、当該情報を精査して不正アクセスの有無を厳格に検出することを特徴とする。
【0023】
【発明の実施の形態】
以下、本発明の実施の形態を、図面により詳細に説明する。
【0024】
図1は、本発明に係わる不正アクセス制御サービス機能を有するネットワークシステムの構成例を示すブロック図であり、図2は、図1におけるネットワークシステムの第1の処理動作例を示すフローチャート、図3は、図1におけるネットワークシステムの第2の処理動作例を示すフローチャートである。
【0025】
図1において、1は本発明に係わる不正アクセス制御サービス機能を有するネットワークシステムであり、情報転送処理装置2A〜2Dと詳細検査装置3を有し、複数のデジタル情報伝送ネットワーク5A〜5Fを接続し、各デジタル情報伝送ネットワーク5A〜5F間の情報を指定された宛先のデジタル情報伝送ネットワーク5A〜5Fに転送する。
【0026】
情報転送処理装置2A〜2Dと詳細検査装置3のそれぞれは、CPU(Central Processing Unit)や主メモリ、表示装置、入力装置、外部記憶装置等を具備したコンピュータ構成からなり、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、各処理部の機能を実行する。
【0027】
例えば、情報転送処理装置2Aにおいて示すように、情報転送処理装置2A〜2Dのそれぞれは、送受信部21、不正アクセス検知部22、不正アクセス推定部23、転送制御部24、通知部25の各処理機能を有し、詳細検査装置3は、送受信部31、第1〜第3の判断部32〜34、および、不正アクセスデータベース6、情報記録装置4を有している。
【0028】
このような構成により本例のネットワークシステム1は、デジタル情報伝達ネットワーク間で転送される情報の内、不正アクセスのための情報を検知する際、まず、デジタル情報伝達ネットワーク5A〜5F間で通常の情報転送処理を行う転送処理装置2A〜2Dにおいて、情報を簡易検査して不正アクセスの可能性の有無を高速に検出し、この簡易検査で不正アクセス有りと検出した情報のみを詳細検査装置3に転送して、この詳細検査装置3において、当該情報を精査して不正アクセスの有無を厳格に検出する。
【0029】
例えば、転送処理装置2A〜2Dは、送受信部21により、デジタル情報伝達ネットワーク5A〜5F間で通常の情報転送処理を行い、不正アクセス検知部22により、受信した情報の内容に基づき当該情報の送信目的が不正アクセスであるか否かを簡易な処理で高速に特定し、また、不正アクセス推定部23により、受信した情報の送信量、受信間隔、送信元情報、送信先情報、および情報の内容の少なくともいずれか1つに基づき当該情報の送信目的が不正アクセスであるか否かを高速に推定する。
【0030】
そして、不正アクセス検知部22で不正アクセスを検出し、あるいは、不正アクセス推定部23で不正アクセスを推定すると、転送制御部24により、当該情報を詳細検査装置3に転送し、その旨を通知部25により詳細検査装置3に通知する。
【0031】
この際、転送処理装置2A〜2Dは、不正アクセスの可能性有りと検出した情報を含め、全ての情報を一旦、通常通りに指定の宛先のデジタル情報伝達ネットワーク5A〜5F宛に転送し、詳細検査装置3における厳格な不正アクセス検出で不正アクセスが検出された場合に、当該情報の以降の転送処理装置2A〜2Dでの転送を中止する構成、あるいは、転送処理装置2A〜2Dで不正アクセスの可能性有りと検出した情報はその時点で通常転送を中止し、詳細検査装置3における厳格な不正アクセス検出での不正アクセス無しの検出結果を待って、当該情報に対する通常転送を開始する構成とする。
【0032】
詳細検査装置3は、転送処理装置2A〜2Dで不正アクセスの可能性有りと検出した情報を送受信部31で受け取り、この情報に対して、第1〜第3の判断部32〜34において精査し、不正アクセスであるか否かを時間をかけて厳格に判断する。
【0033】
例えば、第1の判断部32においては、不正アクセスデータベース6において保持された過去の不正アクセスに関するデータとの比較に基づき、情報転送処理装置2A〜2Dから転送されてきた情報が不正アクセスであるか否かを判断し、また、第2の判断部33においては、情報転送処理装置2A〜2Dから転送されてきた情報の情報量、類似の情報の転送間隔、送信元および送信先のアドレス情報、送信先の端末の種類の少なくともいずれか1つに基づき当該情報が不正アクセスであるか否かを判断し、そして、第3の判断部34においては、不正アクセスデータベース6において保持された過去の情報の転送履歴と現在の転送状態との差に基づき当該情報が不正アクセスであるか否かを判断する。
【0034】
これらの第1〜第3の判断部32〜34のいずれかにより不正アクセスであると判断した場合、詳細検査装置3は、送受信部31により、その判断結果を情報転送処理装置2A〜2Dに通知する。
【0035】
これらの第1〜第3の判断部32〜34のいずれかにより、不正アクセスでないと判断した場合、詳細検査装置3は、送受信部31により、その判断結果を情報転送処理装置2A〜2Dに通知し、当該情報をネットワークシステム1を経由して、指定された宛先デジタル情報伝達ネットワーク5A〜5Fに転送する。
【0036】
尚、詳細検査装置3は判断結果を必ずしも情報転送処理装置2A〜2Dに通知しなくても良い。また、詳細検査装置3にて不正アクセスでないと判断された情報は、詳細検査装置3が、指定された宛先デジタル情報伝達ネットワークに転送しても良いし、詳細検査装置3から通知を受けた情報転送処理装置2A〜2Dが、指定された宛先デジタル情報伝達ネットワークに転送しても良い。
【0037】
このように、転送処理装置2A〜2Dで不正アクセスの可能性有りと検出した情報、および、詳細検査装置3における厳格な不正アクセス検出で不正アクセスとして検出した情報を、情報記録装置4において記録し、この情報記録装置4は、記録した情報が予め定められた条件を満たす場合に当該情報が不正アクセスであることを予め定められた管理用端末に通知する。
【0038】
本例では、ネットワークシステム1は、情報転送処理装置2Aを介してデジタル情報伝達ネットワーク5A,5Bを、情報転送処理装置2Bを介してデジタル情報伝達ネットワーク5Cを、情報転送処理装置2Cを介してデジタル情報伝達ネットワーク5D,5Eを、情報転送処理装置2Dを介してデジタル情報伝達ネットワーク5Fを接続する。詳細検査装置3は、内部に不正アクセスのデータを保持する不正アクセスデータベース6を具備している。
【0039】
以下、情報転送処理装置2A〜2Dを情報転送処理装置2、デジタル情報伝達ネットワーク5A〜5Fをデジタル情報伝達ネットワーク5として、このような構成におけるネットワークシステム1の処理動作を図2,3を用いて説明する。
【0040】
図2に示すように、情報転送処理装置2は、接続するデジタル情報伝達ネットワーク5から転送する情報を受信し(ステップ201)、受信した情報の宛先情報から転送するべき情報転送処理装置2を決定する。
【0041】
この際、情報転送処理装置2は、受信した情報が不正アクセスであるか否かを判断し(ステップ202)、不正アクセスであると判断した場合、もしくは不正アクセスであると通知を受けている場合(ステップ203)、その情報を廃棄して(ステップ204)、その判断結果を詳細検査装置3に通知する(ステップ205)。
【0042】
また、不正アクセスであると判断しなかった場合には(ステップ203)、不正アクセスの推定処理を行う(ステップ206)。
【0043】
この推定結果で不正アクセスの可能性が無い(ステップ207)と判定された情報は通常の転送処理で指定の宛先に転送するが(ステップ208)、不正アクセスの可能性があるとの推定結果であれば(ステップ207)、当該推定結果を詳細検査装置3に通知して当該情報を転送し(ステップ209)、詳細検査装置3での詳細な不正アクセス検出処理結果を待つ(ステップ210)。
【0044】
この際、当該情報を本来転送するべきデジタル情報伝達ネットワーク5側にある情報転送装置2には転送しないようにしても良いし、本来転送するべき情報転送装置2および詳細検査装置3の両者に転送することでも良い。
【0045】
詳細検査装置3での詳細な不正アクセス検出処理結果が不正アクセスでない場合(ステップ211)、通常の情報転送を継続し(ステップ208)、不正アクセスとの検出結果であれば(ステップ211)、当該情報の本来転送するべきデジタル情報伝達ネットワーク5側にある情報転送装置2への転送を中止する(ステップ213)。
【0046】
詳細検査装置3は、図3に示すように、情報転送処理装置2から転送されてきた情報を受信すると(ステップ301,302)、詳細検査装置3内に持つ不正アクセスデータベース6で保持するデータと、受信した情報、およびその情報の付帯情報とを比較して、受信した情報が不正アクセスであるか否かを判断する(ステップ303)。
【0047】
不正アクセスであると判断した場合は(ステップ304)、関連する情報転送処理装置2と情報記録装置4にその結果を通知し(ステップ305)、受信した情報を情報記録装置4に転送し、情報記録装置4において、当該情報および不正アクセスの判断結果を記録し(ステップ306)、ネットワークシステム管理者が参照可能とする。あるいは、予め設定された条件に従い、管理者に通知する。
【0048】
不正アクセスでないと判断した場合は(ステップ304)、関連する情報転送処理装置2と情報記録装置4にその結果を通知し(ステップ307)、受信した情報を本来転送すべきデジタル情報伝達ネットワーク5に接続する情報転送処理装置2に転送する(ステップ308)。
【0049】
この際、当該情報を転送するのは情報転送処理装置2でも良いし、詳細検査装置3でも良い。詳細検査装置3が当該情報を転送する際は、詳細検査装置3は、判断結果を情報転送処理装置2に通知しても良いし、しなくても良い。
【0050】
以上、図1〜図3を用いて説明したように、本例のネットワークシステム1は、複数のデジタル情報伝達ネットワーク5A〜5Fを相互に接続し、これらのデジタル情報伝達ネットワーク5A〜5F間の情報を、指定された宛先デジタル情報伝達ネットワーク5A〜5Fに転送するものであり、デジタル情報伝達ネットワーク5A〜5Fに対してネットワークシステム1の内部の構造を隠蔽し、ネットワークシステム1とデジタル情報伝達ネットワーク5A〜5Fの境界に位置する情報転送処理装置2A〜2Dにおいて、デジタル情報伝達ネットワーク5A〜5Fから送信された不正アクセスを検知し、不正アクセスと検知した情報を、本来意図された以外の宛先に転送し、その転送先に、詳細に不正アクセスを検査および記録する詳細検査装置3を配備する構成とする。
【0051】
あるいは、情報転送処理装置2A〜2Dにおいては、不正アクセスの兆候を検知し、または不正アクセスの通知を受け、不正アクセスの疑いのあるアクセスを詳細検査装置3に転送し、この詳細検査装置3において、そのアクセスが不正アクセスであるか否かを詳細に検査することで、不正アクセスと正規アクセスを区別し、正規アクセスのみを本来意図された宛先に転送し、不正アクセスを本来意図された宛先に転送しないことで、不正アクセスの大量送信等による正規アクセスの妨害を防止する。尚、詳細検査装置3から不正アクセスの終了通知を受けると、情報転送処理装置2A〜2Dは、以降、詳細検査装置3に転送していた当該アクセス(情報)を本来意図された宛先に転送する。
【0052】
このことにより、本例によれば、デジタル情報伝達ネットワーク5A〜5F間での不正アクセスが発生した場合においても、ネットワークシステム1側で不正アクセスを検知、転送、防御、記録することができ、デジタル情報伝達ネットワーク5A〜5F内で提供されるサービスや正規のアクセスが不正アクセスによって影響を受けることなく、通常通り使用することが可能となる。
【0053】
その際、本例では、ネットワークシステム1での不正アクセス検出行程を2段階に分け、まず、容易な処理で高速な不正アクセス検出を行い、ここで不正アクセスとして検出された情報に対してのみ、より細かい処理で厳格に不正アクセス検出を行う構成とし、正規のアクセスに関しては簡易で高速な不正アクセス検出のみを行うので、正規のアクセスの転送効率が向上し、ネットワークサービスの特性・性能の向上と伝送効率の向上を図ることが可能となる。
【0054】
尚、本発明は、図1〜図3を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、詳細検査装置3内に不正アクセスデータベース6および情報記録装置4を設けた構成としているが、不正アクセスデータベース6および情報記録装置4を詳細検査装置3と個別に設けた構成としても良い。
【0055】
また、本例では、情報転送処理装置2A〜2D内に、不正アクセス検知部22と不正アクセス推定部23の双方を設けた構成としているが、少なくともいずれか1つを有する構成としても良い。また、詳細検査装置3内の第1〜第3の判断部32〜34に関しても同様に、少なくともいずれか1つを設けた構成としても良い。
【0056】
また、本例のコンピュータ構成例としては、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
【0057】
【発明の効果】
本発明によれば、デジタル情報伝達ネットワーク間での不正アクセスが発生した場合においてもネットワークシステム側で不正アクセスを検知、転送、防御、記録することにより、デジタル情報伝達ネットワーク内で提供されるサービスや正規のアクセスが不正アクセスによって影響を受けることなく、通常通り使用することが可能となり、さらに、正規のアクセスに関しては簡易で高速な不正アクセス検出のみを行うので、正規のアクセスの転送効率が向上し、ネットワークサービスの特性・性能の向上と伝送効率の向上を図ることが可能となり、不正アクセスから防護すると同時に、通信品質の劣化をなくすことが可能である。
【図面の簡単な説明】
【図1】本発明に係わる不正アクセス制御サービス機能を有するネットワークシステムの構成例を示すブロック図である。
【図2】図1におけるネットワークシステムの第1の処理動作例を示すフローチャートである。
【図3】図1におけるネットワークシステムの第2の処理動作例を示すフローチャートである。
【符号の説明】
1:ネットワークシステム、2A〜2D:情報転送処理装置、3:詳細検査装置、4:情報記録装置、5A〜5F:デジタル情報伝達ネットワーク、6:不正アクセスデータベース、21:送受信部、22:不正アクセス検知部、23:不正アクセス推定部、24:転送制御部、25:通知部、31:送受信部、32〜34:第1〜第3の判断部。
【発明の属する技術分野】
本発明は、複数のデジタル情報伝達ネットワークを接続して広域のネットワークサービスを提供するネットワークシステム技術に係わり、特にデジタルネットワーク間での不正アクセスを効率的に監視・阻止してセキュリティを向上するのに好適なネットワークシステムに関するものである。
【0002】
【従来の技術】
インターネット等のパブリックなIP(Internet Protocol)ネットワークの普及に伴い、ネットワーク経由の不正アクセスによるデータなどの不正盗聴、破壊、改竄などの脅威が常に存在するとともに、ネットワーク、サーバなどに異常負荷をかけて、ネットワーク機器またはサーバシステムなどを事実上動作不能とさせる攻撃などの脅威が急増している。
【0003】
これらの脅威に対処するために、ネットワークを流れるデータの内容あるいは送信元のユーザ権限により、通信を制御するアクセス制御技術が一般に採用されている。
【0004】
この制御技術は、一般に、ファイヤウォールとして知られている機能をルータ等のパケット処理装置に実装することで実現されており、このパケット処理装置は、インターネットなどの外部ネットワークとイントラネットなどの内部ネットワークとの境界に設置され、セキュリティポリシーに従った必要最小限の通信のみを通過させるアクセス制御を行う。
【0005】
アクセス制御を行うためのファイヤウォールの機能は、IPフィルタリングによるIPレベルでのアクセス制御機能、TCP(Transport Control Protocol)レベルでのTCPポート毎のアクセス制御機能、通信の内容に応じてアクセス制御を行うアプリケーションレベルでのアクセス制御機能に大別される。
【0006】
これらの機能を備えた通信システムでは、通信の種別、内容及びその方向により、通信のアクセスを制御することが可能となる。さらに、セキュリティポリシーに基づいたセキュリティ設計により、そのアクセス制御方式を決定するとともにアクセス制御の各種パラメータを規定し、さらにファイヤウォール機能を有するパケット処理装置にパラメータ設定を行うことによって、セキュリティポリシーに従ったネットワーク運用を行うことができる。
【0007】
しかし、上記のファイヤウォール機能では、セキュリティポリシーに従った通信については、ネットワークの通過を許容するため、この通過可能な通信サービスを悪用した不正侵入等の不正アクセスを完全に阻止することは困難である。この問題点を補完するために、一般にIDS(Intrusion Detection System)として知られている不正侵入の検知を目的としたセキュリティ監視装置が採用されている。
【0008】
この監視装置では、ファイヤウォール機能を通過して流れる通信データを全て監視し、不正な通信の有無を常時監視する方式を採用している。例えば、既知の侵入などの不正行為に関するデータをデータベース化し、受信データと予め記憶された不正アクセスパターンとを比較し、一致の検出時にトラヒックシェービングによって不正アクセスのトラヒックを減少させることができる。
【0009】
また、トラヒックシェーピングにより、不正アクセスに用いられるIPパケットのトラヒックを減少させるのではなく、フィルタリングを行いトラヒックを遮断する技術もある。
【0010】
しかし、このような従来のパケット処理装置では、第1,第2の問題点がある。まず、第1の問題点として、不正アクセスのIPパケットに対して受信したパケット処理装置内でトラヒックシェービング、フィルタリング処理を行うため、パケット処理装置の処理負荷が増大するとともに、不正アクセスのIPパケットが帯域を消費する。そのため、不正アクセスから防護できても、端末間での通信品質の劣化を招きやすかった。
【0011】
また、第2の問題点として、これらのパケット処理装置は、不正アクセスから守りたい装置の直前に配置する必要があり、守りたい装置がネットワーク構成的に点在している場合には、それごとにパケット処理装置を複数配置しなければならない。
【0012】
このような問題を解決する従来技術として、例えば、特許文献1〜5に記載の技術がある。
【0013】
特許文献1においては、複数箇所から同時に連携してDoS(Denial of Services)攻撃を行う分散型サービス不能攻撃(DDoS)を、攻撃を受ける側で効率的に防御する技術として、ネットワーク境界に設けられた通信装置に、自通信装置を通過する通信パケットを監視して分散型サービス不能攻撃を検出して、当該分散型サービス不能攻撃の通信パケットを破棄すると共に、攻撃元に近い上位側の通信装置のアドレスを検索する攻撃元検索モジュールプログラムを実装し、この上位側の防御位置の通信装置に対して前記攻撃元検索モジュールプログラムを送信して、さらに、攻撃元に近い上位側の通信装置の候補中から上位側の防御位置とする通信装置を抽出し、この防御位置の通信装置に対して前記攻撃防御モジュールプログラムを送信することで、DoS攻撃者からのトラヒック全てを通過させないようにする技術が記載されている。
【0014】
特許文献2においては、アドレス不定型DoS攻撃を含むDoS攻撃全般の対策をISP(Internet Service Provider)においても容易に実現することを目的として、送信元側において、通信パケットに対して施した安全性確認の度合いに応じて、通信パケットに異なる種類の安全性識別子を付加し、通信パケットの配送経路上で、当該安全性識別子に応じて優先度制御を行うことにより、より高い安全性確認が行われたパケットを優先的に送信先に接続し、その他のパケットは破棄する技術が記載されている。アドレス不定型DoS攻撃は、十分な安全性確認を行っていないパケットを使って行われるため、このようなパケットは優先度が下げられ、帯域で許可された容量を超えた場合に、攻撃に使われるパケットは破棄され、アドレス不定型DoS攻撃は無効となる。
【0015】
特許文献3においては、複数箇所から同時に連携してDoS(Denial of Services)攻撃を行う分散型サービス不能攻撃(DDoS)を防御する技術として、防御側ネットワークにおいて、当該ネットワークの状況を監視して例えば急激にアクセスが増加することに基づき攻撃対象ホストに対する不正アクセス(DDoS攻撃)を検出すると、不正アクセスを実施するホストに所属する攻撃遮断機器に、当該踏み台ホストに対する通信制御を指示する技術が記載されている。
【0016】
特許文献4においては、他のキャリア(他のプロバイダ)のIPネットワークを介して侵入してきた不正者を、境界個所にて検出することで不正者を高速に(短時間に)特定し、遮断することを目的として、各IPネットワークの境界個所に位置する複数の境界中継装置のそれぞれにおいて、伝送されてきたIPパケットが不正侵入の不正パケットである場合、この不正パケットの再侵入を検出するためのフィルタリング情報に基づいて再侵入を検出すると、当該不正パケットを廃棄し、上記フィルタリング情報を他の境界中継装置に配布する技術が記載されている。
【0017】
特許文献5においては、ファイアウォールやIDSといったセキュリティに係るネットワーク機器を導入することや、導入したネットワーク機器を運用するための知識を獲得するという負担をユーザに強いることなく、インターネットからの攻撃を防御することを目的として、ネットワーク運営者側でユーザの指定(例えば送信元の指定、ポート番号の指定など)に基づいて検査対象のデータを区別し、検査対象と指定されたデータは検査サーバに送り、この検査サーバにおいて、攻撃を行うデータか否かを調査し、調査した結果から攻撃を行わないデータ、および、検査対象と指定されなかったデータだけを選択してネットワーク運営者がユーザに提供する技術が記載されている。
【0018】
【特許文献1】
特開2002−164938号公報
【特許文献2】
特開2002−158699号公報
【特許文献3】
特開2002−158660号公報
【特許文献4】
特開2002−185539号公報
【特許文献5】
特開2002−335246号公報
【0019】
これらの従来技術では、ネットワーク境界において、ユーザに負荷をかけることなく不正アクセス防止のためのサービスを提供することができる。しかし、不正アクセスの検出に時間を要してしまい、情報の転送速度が低下する。
【0020】
【発明が解決しようとする課題】
解決しようとする問題点は、従来の技術では、ネットワーク境界において、ユーザに負荷をかけることなく不正アクセス防止のためのサービスを提供することができるが、不正アクセスの検出に時間を要してしまう点である。
【0021】
発明の目的は、これら従来技術の課題を解決し、通信品質を劣化させることなく不正アクセスの検出サービスを提供可能とすることである。
【0022】
【課題を解決するための手段】
上記目的を達成するため、本発明は、デジタル情報伝達ネットワーク間で転送される情報の内、不正アクセスのための情報を検知する際、まず、デジタル情報伝達ネットワーク間で通常の情報転送処理を行う転送処理装置において、情報を簡易検査して不正アクセスの可能性の有無を高速に検出し、この簡易検査で不正アクセス有りと検出した情報のみを詳細検査装置に転送して、この詳細検査装置において、当該情報を精査して不正アクセスの有無を厳格に検出することを特徴とする。
【0023】
【発明の実施の形態】
以下、本発明の実施の形態を、図面により詳細に説明する。
【0024】
図1は、本発明に係わる不正アクセス制御サービス機能を有するネットワークシステムの構成例を示すブロック図であり、図2は、図1におけるネットワークシステムの第1の処理動作例を示すフローチャート、図3は、図1におけるネットワークシステムの第2の処理動作例を示すフローチャートである。
【0025】
図1において、1は本発明に係わる不正アクセス制御サービス機能を有するネットワークシステムであり、情報転送処理装置2A〜2Dと詳細検査装置3を有し、複数のデジタル情報伝送ネットワーク5A〜5Fを接続し、各デジタル情報伝送ネットワーク5A〜5F間の情報を指定された宛先のデジタル情報伝送ネットワーク5A〜5Fに転送する。
【0026】
情報転送処理装置2A〜2Dと詳細検査装置3のそれぞれは、CPU(Central Processing Unit)や主メモリ、表示装置、入力装置、外部記憶装置等を具備したコンピュータ構成からなり、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、各処理部の機能を実行する。
【0027】
例えば、情報転送処理装置2Aにおいて示すように、情報転送処理装置2A〜2Dのそれぞれは、送受信部21、不正アクセス検知部22、不正アクセス推定部23、転送制御部24、通知部25の各処理機能を有し、詳細検査装置3は、送受信部31、第1〜第3の判断部32〜34、および、不正アクセスデータベース6、情報記録装置4を有している。
【0028】
このような構成により本例のネットワークシステム1は、デジタル情報伝達ネットワーク間で転送される情報の内、不正アクセスのための情報を検知する際、まず、デジタル情報伝達ネットワーク5A〜5F間で通常の情報転送処理を行う転送処理装置2A〜2Dにおいて、情報を簡易検査して不正アクセスの可能性の有無を高速に検出し、この簡易検査で不正アクセス有りと検出した情報のみを詳細検査装置3に転送して、この詳細検査装置3において、当該情報を精査して不正アクセスの有無を厳格に検出する。
【0029】
例えば、転送処理装置2A〜2Dは、送受信部21により、デジタル情報伝達ネットワーク5A〜5F間で通常の情報転送処理を行い、不正アクセス検知部22により、受信した情報の内容に基づき当該情報の送信目的が不正アクセスであるか否かを簡易な処理で高速に特定し、また、不正アクセス推定部23により、受信した情報の送信量、受信間隔、送信元情報、送信先情報、および情報の内容の少なくともいずれか1つに基づき当該情報の送信目的が不正アクセスであるか否かを高速に推定する。
【0030】
そして、不正アクセス検知部22で不正アクセスを検出し、あるいは、不正アクセス推定部23で不正アクセスを推定すると、転送制御部24により、当該情報を詳細検査装置3に転送し、その旨を通知部25により詳細検査装置3に通知する。
【0031】
この際、転送処理装置2A〜2Dは、不正アクセスの可能性有りと検出した情報を含め、全ての情報を一旦、通常通りに指定の宛先のデジタル情報伝達ネットワーク5A〜5F宛に転送し、詳細検査装置3における厳格な不正アクセス検出で不正アクセスが検出された場合に、当該情報の以降の転送処理装置2A〜2Dでの転送を中止する構成、あるいは、転送処理装置2A〜2Dで不正アクセスの可能性有りと検出した情報はその時点で通常転送を中止し、詳細検査装置3における厳格な不正アクセス検出での不正アクセス無しの検出結果を待って、当該情報に対する通常転送を開始する構成とする。
【0032】
詳細検査装置3は、転送処理装置2A〜2Dで不正アクセスの可能性有りと検出した情報を送受信部31で受け取り、この情報に対して、第1〜第3の判断部32〜34において精査し、不正アクセスであるか否かを時間をかけて厳格に判断する。
【0033】
例えば、第1の判断部32においては、不正アクセスデータベース6において保持された過去の不正アクセスに関するデータとの比較に基づき、情報転送処理装置2A〜2Dから転送されてきた情報が不正アクセスであるか否かを判断し、また、第2の判断部33においては、情報転送処理装置2A〜2Dから転送されてきた情報の情報量、類似の情報の転送間隔、送信元および送信先のアドレス情報、送信先の端末の種類の少なくともいずれか1つに基づき当該情報が不正アクセスであるか否かを判断し、そして、第3の判断部34においては、不正アクセスデータベース6において保持された過去の情報の転送履歴と現在の転送状態との差に基づき当該情報が不正アクセスであるか否かを判断する。
【0034】
これらの第1〜第3の判断部32〜34のいずれかにより不正アクセスであると判断した場合、詳細検査装置3は、送受信部31により、その判断結果を情報転送処理装置2A〜2Dに通知する。
【0035】
これらの第1〜第3の判断部32〜34のいずれかにより、不正アクセスでないと判断した場合、詳細検査装置3は、送受信部31により、その判断結果を情報転送処理装置2A〜2Dに通知し、当該情報をネットワークシステム1を経由して、指定された宛先デジタル情報伝達ネットワーク5A〜5Fに転送する。
【0036】
尚、詳細検査装置3は判断結果を必ずしも情報転送処理装置2A〜2Dに通知しなくても良い。また、詳細検査装置3にて不正アクセスでないと判断された情報は、詳細検査装置3が、指定された宛先デジタル情報伝達ネットワークに転送しても良いし、詳細検査装置3から通知を受けた情報転送処理装置2A〜2Dが、指定された宛先デジタル情報伝達ネットワークに転送しても良い。
【0037】
このように、転送処理装置2A〜2Dで不正アクセスの可能性有りと検出した情報、および、詳細検査装置3における厳格な不正アクセス検出で不正アクセスとして検出した情報を、情報記録装置4において記録し、この情報記録装置4は、記録した情報が予め定められた条件を満たす場合に当該情報が不正アクセスであることを予め定められた管理用端末に通知する。
【0038】
本例では、ネットワークシステム1は、情報転送処理装置2Aを介してデジタル情報伝達ネットワーク5A,5Bを、情報転送処理装置2Bを介してデジタル情報伝達ネットワーク5Cを、情報転送処理装置2Cを介してデジタル情報伝達ネットワーク5D,5Eを、情報転送処理装置2Dを介してデジタル情報伝達ネットワーク5Fを接続する。詳細検査装置3は、内部に不正アクセスのデータを保持する不正アクセスデータベース6を具備している。
【0039】
以下、情報転送処理装置2A〜2Dを情報転送処理装置2、デジタル情報伝達ネットワーク5A〜5Fをデジタル情報伝達ネットワーク5として、このような構成におけるネットワークシステム1の処理動作を図2,3を用いて説明する。
【0040】
図2に示すように、情報転送処理装置2は、接続するデジタル情報伝達ネットワーク5から転送する情報を受信し(ステップ201)、受信した情報の宛先情報から転送するべき情報転送処理装置2を決定する。
【0041】
この際、情報転送処理装置2は、受信した情報が不正アクセスであるか否かを判断し(ステップ202)、不正アクセスであると判断した場合、もしくは不正アクセスであると通知を受けている場合(ステップ203)、その情報を廃棄して(ステップ204)、その判断結果を詳細検査装置3に通知する(ステップ205)。
【0042】
また、不正アクセスであると判断しなかった場合には(ステップ203)、不正アクセスの推定処理を行う(ステップ206)。
【0043】
この推定結果で不正アクセスの可能性が無い(ステップ207)と判定された情報は通常の転送処理で指定の宛先に転送するが(ステップ208)、不正アクセスの可能性があるとの推定結果であれば(ステップ207)、当該推定結果を詳細検査装置3に通知して当該情報を転送し(ステップ209)、詳細検査装置3での詳細な不正アクセス検出処理結果を待つ(ステップ210)。
【0044】
この際、当該情報を本来転送するべきデジタル情報伝達ネットワーク5側にある情報転送装置2には転送しないようにしても良いし、本来転送するべき情報転送装置2および詳細検査装置3の両者に転送することでも良い。
【0045】
詳細検査装置3での詳細な不正アクセス検出処理結果が不正アクセスでない場合(ステップ211)、通常の情報転送を継続し(ステップ208)、不正アクセスとの検出結果であれば(ステップ211)、当該情報の本来転送するべきデジタル情報伝達ネットワーク5側にある情報転送装置2への転送を中止する(ステップ213)。
【0046】
詳細検査装置3は、図3に示すように、情報転送処理装置2から転送されてきた情報を受信すると(ステップ301,302)、詳細検査装置3内に持つ不正アクセスデータベース6で保持するデータと、受信した情報、およびその情報の付帯情報とを比較して、受信した情報が不正アクセスであるか否かを判断する(ステップ303)。
【0047】
不正アクセスであると判断した場合は(ステップ304)、関連する情報転送処理装置2と情報記録装置4にその結果を通知し(ステップ305)、受信した情報を情報記録装置4に転送し、情報記録装置4において、当該情報および不正アクセスの判断結果を記録し(ステップ306)、ネットワークシステム管理者が参照可能とする。あるいは、予め設定された条件に従い、管理者に通知する。
【0048】
不正アクセスでないと判断した場合は(ステップ304)、関連する情報転送処理装置2と情報記録装置4にその結果を通知し(ステップ307)、受信した情報を本来転送すべきデジタル情報伝達ネットワーク5に接続する情報転送処理装置2に転送する(ステップ308)。
【0049】
この際、当該情報を転送するのは情報転送処理装置2でも良いし、詳細検査装置3でも良い。詳細検査装置3が当該情報を転送する際は、詳細検査装置3は、判断結果を情報転送処理装置2に通知しても良いし、しなくても良い。
【0050】
以上、図1〜図3を用いて説明したように、本例のネットワークシステム1は、複数のデジタル情報伝達ネットワーク5A〜5Fを相互に接続し、これらのデジタル情報伝達ネットワーク5A〜5F間の情報を、指定された宛先デジタル情報伝達ネットワーク5A〜5Fに転送するものであり、デジタル情報伝達ネットワーク5A〜5Fに対してネットワークシステム1の内部の構造を隠蔽し、ネットワークシステム1とデジタル情報伝達ネットワーク5A〜5Fの境界に位置する情報転送処理装置2A〜2Dにおいて、デジタル情報伝達ネットワーク5A〜5Fから送信された不正アクセスを検知し、不正アクセスと検知した情報を、本来意図された以外の宛先に転送し、その転送先に、詳細に不正アクセスを検査および記録する詳細検査装置3を配備する構成とする。
【0051】
あるいは、情報転送処理装置2A〜2Dにおいては、不正アクセスの兆候を検知し、または不正アクセスの通知を受け、不正アクセスの疑いのあるアクセスを詳細検査装置3に転送し、この詳細検査装置3において、そのアクセスが不正アクセスであるか否かを詳細に検査することで、不正アクセスと正規アクセスを区別し、正規アクセスのみを本来意図された宛先に転送し、不正アクセスを本来意図された宛先に転送しないことで、不正アクセスの大量送信等による正規アクセスの妨害を防止する。尚、詳細検査装置3から不正アクセスの終了通知を受けると、情報転送処理装置2A〜2Dは、以降、詳細検査装置3に転送していた当該アクセス(情報)を本来意図された宛先に転送する。
【0052】
このことにより、本例によれば、デジタル情報伝達ネットワーク5A〜5F間での不正アクセスが発生した場合においても、ネットワークシステム1側で不正アクセスを検知、転送、防御、記録することができ、デジタル情報伝達ネットワーク5A〜5F内で提供されるサービスや正規のアクセスが不正アクセスによって影響を受けることなく、通常通り使用することが可能となる。
【0053】
その際、本例では、ネットワークシステム1での不正アクセス検出行程を2段階に分け、まず、容易な処理で高速な不正アクセス検出を行い、ここで不正アクセスとして検出された情報に対してのみ、より細かい処理で厳格に不正アクセス検出を行う構成とし、正規のアクセスに関しては簡易で高速な不正アクセス検出のみを行うので、正規のアクセスの転送効率が向上し、ネットワークサービスの特性・性能の向上と伝送効率の向上を図ることが可能となる。
【0054】
尚、本発明は、図1〜図3を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、詳細検査装置3内に不正アクセスデータベース6および情報記録装置4を設けた構成としているが、不正アクセスデータベース6および情報記録装置4を詳細検査装置3と個別に設けた構成としても良い。
【0055】
また、本例では、情報転送処理装置2A〜2D内に、不正アクセス検知部22と不正アクセス推定部23の双方を設けた構成としているが、少なくともいずれか1つを有する構成としても良い。また、詳細検査装置3内の第1〜第3の判断部32〜34に関しても同様に、少なくともいずれか1つを設けた構成としても良い。
【0056】
また、本例のコンピュータ構成例としては、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
【0057】
【発明の効果】
本発明によれば、デジタル情報伝達ネットワーク間での不正アクセスが発生した場合においてもネットワークシステム側で不正アクセスを検知、転送、防御、記録することにより、デジタル情報伝達ネットワーク内で提供されるサービスや正規のアクセスが不正アクセスによって影響を受けることなく、通常通り使用することが可能となり、さらに、正規のアクセスに関しては簡易で高速な不正アクセス検出のみを行うので、正規のアクセスの転送効率が向上し、ネットワークサービスの特性・性能の向上と伝送効率の向上を図ることが可能となり、不正アクセスから防護すると同時に、通信品質の劣化をなくすことが可能である。
【図面の簡単な説明】
【図1】本発明に係わる不正アクセス制御サービス機能を有するネットワークシステムの構成例を示すブロック図である。
【図2】図1におけるネットワークシステムの第1の処理動作例を示すフローチャートである。
【図3】図1におけるネットワークシステムの第2の処理動作例を示すフローチャートである。
【符号の説明】
1:ネットワークシステム、2A〜2D:情報転送処理装置、3:詳細検査装置、4:情報記録装置、5A〜5F:デジタル情報伝達ネットワーク、6:不正アクセスデータベース、21:送受信部、22:不正アクセス検知部、23:不正アクセス推定部、24:転送制御部、25:通知部、31:送受信部、32〜34:第1〜第3の判断部。
Claims (10)
- 複数のデジタル情報伝達ネットワークを接続し、任意のデジタル情報伝達ネットワーク間の情報を、該情報の送信先情報で指定された宛先のデジタル情報伝達ネットワークに転送するネットワークシステムであって、
上記情報を精査して不正アクセスの検知を行う詳細検査手段と、
上記デジタル情報伝達ネットワーク間の情報を、該情報の送信先情報で指定されたデジタル情報伝達ネットワーク宛に転送する際、受信した情報を簡易検査して不正アクセスであるか否か、および、不正アクセスの可能性の有無を判別し、不正アクセスではないと判別した情報は指定されたデジタル情報伝達ネットワーク宛に転送し、不正アクセスであると判別した情報は廃棄し、不正アクセスの可能性有りと判別した情報は、指定されたデジタル情報伝達ネットワーク宛に転送すると共に、上記詳細検査手段に転送する転送処理手段とを有し、
上記詳細検査手段で不正アクセスを検知すると上記転送処理手段による当該情報の指定デジタル情報伝達ネットワーク宛への転送を中止することを特徴とするネットワークシステム。 - 複数のデジタル情報伝達ネットワークを接続し、任意のデジタル情報伝達ネットワーク間の情報を、該情報の送信先情報で指定された宛先のデジタル情報伝達ネットワークに転送するネットワークシステムであって、
上記情報を精査して不正アクセスの検知を行う詳細検査手段と、
上記デジタル情報伝達ネットワーク間の情報を、該情報の送信先情報で指定されたデジタル情報伝達ネットワーク宛に転送する際、受信した情報を簡易検査して不正アクセスであるか否か、および、不正アクセスの可能性の有無を判別し、不正アクセスではないと判別した情報は指定されたデジタル情報伝達ネットワーク宛に転送し、不正アクセスであると判別した情報は廃棄し、不正アクセスの可能性有りと判別した情報は上記詳細検査手段に転送する転送処理手段とを有し、
上記詳細検査手段は、不正アクセスを検知しなければ当該情報を指定デジタル情報伝達ネットワーク宛に転送することを特徴とするネットワークシステム。 - 請求項1もしくは請求項2のいずれかに記載のネットワークシステムであって、
上記転送処理手段は、他の転送処理手段からの情報に対しては、全て指定されたデジタル情報伝達ネットワーク宛に転送すると共に、上記簡易検査による不正アクセス有無の判別と上記詳細検査手段への情報転送を行い、該詳細検査手段で不正アクセスを検知すると上記転送処理手段による当該情報の指定デジタル情報伝達ネットワーク宛への転送を中止することを特徴とするネットワークシステム。 - 請求項1から請求項3のいずれかに記載のネットワークシステムであって、
上記転送処理手段で不正アクセスの可能性有りと判別した情報および上記詳細検査手段で不正アクセスと検知した情報を記録すると共に、記録した情報が予め定められた条件を満たす場合に当該情報が不正アクセスであることを予め定められた管理用端末に通知する情報記録手段を有することを特徴とするネットワークシステム。 - 請求項1から請求項4のいずれかに記載のネットワークシステムであって、
上記転送処理手段は、
受信した情報の内容に基づき当該情報の送信目的が不正アクセスであるか否かを特定する検知手段と、
受信した情報の送信量、受信間隔、送信元情報、送信先情報、および情報の内容の少なくともいずれか1つに基づき当該情報の送信目的が不正アクセスであると推定する推定手段の少なくともいずれか1つを有することを特徴とするネットワークシステム。 - 請求項1から請求項5のいずれかに記載のネットワークシステムであって、
上記詳細検査手段は、
過去の不正アクセスに関するデータを保持し、当該データとの比較に基づき上記転送処理手段から転送されてきた情報が不正アクセスであるか否かを判断する第1の判断手段と、
上記転送処理手段から転送されてきた情報の情報量、類似の情報の転送間隔、送信元および送信先のアドレス情報、送信先の端末の種類の少なくともいずれか1つに基づき当該情報が不正アクセスであるか否かを判断する第2の判断手段と、過去の情報の転送履歴を保持し、保持した転送履歴と現在の転送状態との差に基づき上記転送処理手段から転送されてきた情報が不正アクセスであるか否かを判断する第3の判断手段の少なくともいずれか1つ
を有することを特徴とするネットワークシステム。 - 請求項2に記載のネットワークシステムであって、
上記詳細検査手段は、
過去の不正アクセスに関するデータを保持し、当該データとの比較に基づき上記転送処理手段から転送されてきた情報が不正アクセスであるか否かを判断する第1の判断手段と、
上記転送処理手段から転送されてきた情報の情報量、類似の情報の転送間隔、送信元および送信先のアドレス情報、送信先の端末の種類の少なくともいずれか1つに基づき当該情報が不正アクセスであるか否かを判断する第2の判断手段と、過去の情報の転送履歴を保持し、保持した転送履歴と現在の転送状態との差に基づき上記転送処理手段から転送されてきた情報が不正アクセスであるか否かを判断する第3の判断手段の少なくともいずれか1つと、
上記第1から第3の判断手段の少なくともいずれか1つが、もしくは、各々の組み合わせにより不正アクセスでないと判断した場合に、当該情報をネットワークシステムを経由して指定された宛先デジタル情報伝達ネットワークに転送する手段と
を有することを特徴とするネットワークシステム。 - コンピュータに、請求項1から請求項7のいずれかに記載のネットワークシステムにおける各手段として機能させるためのプログラム。
- 複数のデジタル情報伝達ネットワークを接続し、任意のデジタル情報伝達ネットワーク間の情報を、該情報の送信先情報で指定された宛先のデジタル情報伝達ネットワークに転送するネットワークにおける不正アクセス制御方法であって、
上記デジタル情報伝達ネットワークからの情報を簡易検査して不正アクセスの有無および不正アクセスの可能性の有無を高速に検出するステップと、
上記簡易検査で不正アクセスを検出すると、当該情報を廃棄するステップと、
上記簡易検査で不正アクセスの可能性有を検出すると、当該情報を指定されたデジタル情報伝達ネットワーク宛に転送すると共に、当該情報を精査して不正アクセスの有無を厳格に検出するステップと、
上記精査により不正アクセスを検出すると当該情報の上記指定されたデジタル情報伝達ネットワーク宛への転送を中止するステップと、
を有することを特徴とする不正アクセス制御方法。 - 複数のデジタル情報伝達ネットワークを接続し、任意のデジタル情報伝達ネットワーク間の情報を、該情報の送信先情報で指定された宛先のデジタル情報伝達ネットワークに転送するネットワークにおける不正アクセス制御方法であって、
上記デジタル情報伝達ネットワークからの情報を簡易検査して不正アクセスの有無および不正アクセスの可能性の有無を判別するステップと、
不正アクセス無しおよび不正アクセスの可能性無しと判別した情報を指定された宛先デジタル情報伝達ネットワークに転送するステップと、
不正アクセスと判別した情報を廃棄するステップと、
不正アクセスの可能性有りと判別した情報を所定のアドレス宛に転送するステップと、
上記所定のアドレスに設けられた情報検査手段で上記不正アクセスの可能性有りと判別した情報を受信し該情報を精査して不正アクセスの有無を判別するステップと、
上記詳細検査手段の精査で不正アクセスを検知しなければ当該情報を上記詳細検査手段か ら指定デジタル情報伝達ネットワーク宛に転送するステップと
を有することを特徴とする不正アクセス制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003165918A JP3966231B2 (ja) | 2003-06-11 | 2003-06-11 | ネットワークシステムと不正アクセス制御方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003165918A JP3966231B2 (ja) | 2003-06-11 | 2003-06-11 | ネットワークシステムと不正アクセス制御方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005005927A JP2005005927A (ja) | 2005-01-06 |
| JP3966231B2 true JP3966231B2 (ja) | 2007-08-29 |
Family
ID=34092219
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003165918A Expired - Fee Related JP3966231B2 (ja) | 2003-06-11 | 2003-06-11 | ネットワークシステムと不正アクセス制御方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3966231B2 (ja) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080117918A1 (en) * | 2004-10-22 | 2008-05-22 | Satoshi Kobayashi | Relaying Apparatus and Network System |
| US8060285B2 (en) * | 2006-04-26 | 2011-11-15 | Toyota Motor Engineering & Manufacturing North America, Inc. | System and method of intelligent agent management using an overseer agent for use in vehicle diagnostics |
| JP4615504B2 (ja) * | 2006-11-29 | 2011-01-19 | アラクサラネットワークス株式会社 | ネットワーク中継システム、および、ネットワーク中継システムにおける方法 |
| JP4905395B2 (ja) * | 2008-03-21 | 2012-03-28 | 富士通株式会社 | 通信監視装置、通信監視プログラム、および通信監視方法 |
| JP4992780B2 (ja) * | 2008-03-21 | 2012-08-08 | 富士通株式会社 | 通信監視装置、通信監視プログラム、および通信監視方法 |
| JP5500171B2 (ja) * | 2008-10-06 | 2014-05-21 | 日本電気株式会社 | インターネットプロトコルマルチメディアサブシステムに対する未承諾通信の防御 |
| JP5703111B2 (ja) * | 2011-04-25 | 2015-04-15 | 株式会社日立製作所 | 通信システムおよび装置 |
| US9088508B1 (en) | 2014-04-11 | 2015-07-21 | Level 3 Communications, Llc | Incremental application of resources to network traffic flows based on heuristics and business policies |
| CN106464577B (zh) | 2014-06-18 | 2019-10-29 | 日本电信电话株式会社 | 网络***、控制装置、通信装置以及通信控制方法 |
| EP3738836B1 (en) | 2014-09-12 | 2022-03-02 | Panasonic Intellectual Property Corporation of America | Vehicle communication device, in-vehicle network system, and vehicle communication method |
-
2003
- 2003-06-11 JP JP2003165918A patent/JP3966231B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005005927A (ja) | 2005-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4480422B2 (ja) | 不正アクセス阻止方法、装置及びシステム並びにプログラム | |
| US9094372B2 (en) | Multi-method gateway-based network security systems and methods | |
| US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
| KR101045362B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
| EP2095604B1 (en) | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis | |
| US7039950B2 (en) | System and method for network quality of service protection on security breach detection | |
| US7889735B2 (en) | Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs | |
| US20060095970A1 (en) | Defending against worm or virus attacks on networks | |
| JP2000261483A (ja) | ネットワーク監視システム | |
| JP2006243878A (ja) | 不正アクセス検知システム | |
| EP1804446B1 (en) | Denial-of-service attack protecting system, method, and program | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| JP3966231B2 (ja) | ネットワークシステムと不正アクセス制御方法およびプログラム | |
| EP1742438A1 (en) | Network device for secure packet dispatching via port isolation | |
| WO2003050644A2 (en) | Protecting against malicious traffic | |
| JP4278593B2 (ja) | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ | |
| JP4284248B2 (ja) | アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム | |
| KR101006372B1 (ko) | 유해 트래픽 격리 시스템 및 방법 | |
| CA2469885C (en) | Protecting against malicious traffic | |
| Singh | Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis | |
| JP2005134972A (ja) | ファイアウォール装置 | |
| JP2004140618A (ja) | パケットフィルタ装置および不正アクセス検知装置 | |
| WO2005065023A2 (en) | Internal network security | |
| JP4084317B2 (ja) | ワーム検出方法 | |
| KR100862321B1 (ko) | 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050712 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070202 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070213 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070413 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070508 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070521 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100608 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110608 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120608 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130608 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |