[go: up one dir, main page]

JP2001313640A - 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 - Google Patents

通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体

Info

Publication number
JP2001313640A
JP2001313640A JP2000133494A JP2000133494A JP2001313640A JP 2001313640 A JP2001313640 A JP 2001313640A JP 2000133494 A JP2000133494 A JP 2000133494A JP 2000133494 A JP2000133494 A JP 2000133494A JP 2001313640 A JP2001313640 A JP 2001313640A
Authority
JP
Japan
Prior art keywords
access
transmission information
communication system
condition
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000133494A
Other languages
English (en)
Inventor
Tatsuya Baba
達也 馬場
Masateru Yamaoka
正輝 山岡
Katsutoshi Kokubo
勝敏 小久保
Yoshiyuki Matsuda
栄之 松田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2000133494A priority Critical patent/JP2001313640A/ja
Publication of JP2001313640A publication Critical patent/JP2001313640A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 【課題】 未知の手法を含む種々のパターンの不正アク
セスを検知可能な不正アクセス検知システムを提供す
る。 【解決手段】 管理対象となるサイトの最新のアクセス
ポリシーを管理サーバ20から取得して保持しておく。
ネットワークを流通するパケットの中からサイト宛のも
のを捕獲し、捕獲したパケットの中からアクセスポリシ
ーに適合するパケットと適合しないパケットとを選別す
る。適合しないパケットが選別されたときは、これを不
正アクセスの蓋然性があるパケットとして特定し、その
特定したパケットに基づくアクセスを排除するためのア
クセス条件の変更等を行わせるために、管理サーバ20
に通知する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、イーサネット(登
録商標)やインターネットのような通信ネットワークに
おいて発生する不正アクセスを検知する手法に係り、よ
り詳しくはアクセス先に於いて固有となる正常アクセス
の条件を定めた条件情報をもとに、未知のパターンの不
正アクセスも検知することができるようにする方法及び
それを実現するためのシステム技術に関する。
【0002】
【従来の技術】多数の者がアクセス可能な通信ネットワ
ークに接続されている通信システム又は内部ネットワー
ク等によって構築される通信システムグループ(以下、
便宜上、これらを総称して「サイト」と称する)に対し
て当該通信ネットワーク経由で不正に行われるアクセス
(以下、「不正アクセス」)を検知する手法として、従
来、以下の3つの方式が知られている。
【0003】第1の方式は、既存の不正アクセスの特徴
パターン(以下、「シグネチャ」と称する。)、例え
ば、通信プロトコルの種類、パケットの大きさ、そのパ
ケットのデータ部に含まれている文字列等の組み合わせ
を予め検知対象となる不正アクセスの数だけ保持してお
き、所定の検知システムが、ネットワーク上を流れるパ
ケットを捕獲してアクセス内容を監視し、そのアクセス
の内容がシグネチャと一致した場合に、不正アクセスが
発生したとして、そのアクセスの内容と発信源の情報と
を管理者等に知らせる方式である。この方式を採用する
既存のソフトウエアとしては、アメリカ合衆国Cisco Sy
stems, Inc社の「Cisco Secure IntrusionDetection Sy
stem」(同社の商標),アメリカ合衆国Internet Secur
ity Systems, Inc社の「RealSecure」(同社の商標)等
がある。
【0004】第2の方式は、通信ネットワークのユーザ
毎のアクションパターンデータを使用するもので、その
詳細は、下記文献に示されている。 (1)H.S.Javits and A.Valdes.The SRI IDES Statist
ical Anomaly Detector.In Proceedings of the IEEE S
ymposium on Security and Privacy,May 1991 (2)岡本他,なりすましに対する不正侵入検知システ
ム(IDS‐M),信学技報OFS99‐15,AI99‐27,pp.39
‐46,July 1999 この方式は、要するに、ログインしているユーザ毎に、
所定の検知システムが、対象システム内でのアクション
パターンデータ、例えばコマンドの種類、順序、使い方
等の統計データを長期的に収集することで、平均的な通
常アクセスのパターン、すなわち、プロファイルをその
統計から生成し、そのプロファイルから大きく離れた行
動をした場合に、正規ユーザになりすました不正アクセ
スが発生したとして警告を発する方式である。
【0005】第3の方式は、利用サービスやアクセス先
機器毎のアクセスパターンデータを使用するもので、そ
の詳細は、下記文献に示されている。 (3)P.A Porras and P.G Neumann. EMERALD:Event mo
nitoring enabling responses to anomalous live dist
urbances. In Proceeding of the 20th NationalInform
ation Systems Security Conference. pp.353-365.Oct.
1997 この方式では、所定の検知システムが、利用プロトコル
やアクセス先アドレス毎にアクセスの内容、手順等の統
計を長期的に収集することで、第2方式と同様、プロフ
ァイル(但し、この場合のプロファイルは、アクセスパ
ターンデータとなる)を生成する。そして、生成したプ
ロファイルから大きく離れたアクセスが発生した場合に
不正アクセスが発生したとして警告を発する。
【0006】
【発明が解決しようとしている課題】しかしながら、従
来の各方式には、以下のような問題点があった。第1の
方式では、予め登録されているシグネチャに対応する不
正アクセスのみが検知対象であるため、未知の手法の不
正アクセスを検知することができない。また、新しい手
法のシグネチャの作成と登録までの間に、その新しい手
法による不正アクセスが自由に行われる可能性が高く、
不正アクセスを行う者(「攻撃者」)が攻撃対象のシス
テムの管理者に気づかれずに行われる不正アクセスの範
囲が広がる可能性がある。
【0007】第2及び第3の方式では、攻撃者が、検知
システムに警告されない程度に通常アクセスパターンか
ら少し逸脱したアクセスを継続して行っていくことで、
検知システムの統計を狂わせ、その結果、検知システム
において異常であると判断するための基準を攻撃者の都
合の良いようにずらしていくことが可能である。つま
り、攻撃者は、最終的に自分が行おうとする不正アクセ
スを検知システムの通常アクセスの範囲内に収めてしま
うことが可能となる。そうすると、検知システムは、も
はやそのアクセスを不正アクセスであると判断すること
ができなくなる。また、通常アクセスパターンからどの
程度逸脱したら不正アクセスとして検知するのか、その
判断の基準が非常に曖昧となり、検知結果に確信が持て
なくなる。さらに、不特定多数のユーザの利用を許可す
るようなサービス、例えばインターネットにおけるWWW
(world wide web)、電子メール、DNS(domain name s
ervice)等の場合には、ユーザ毎のプロファイルは作成
できないし、実際のアクセスの統計を長時間取らなけれ
ばならないため、導入後すぐに利用することが困難であ
る。
【0008】本発明は、上記の問題点に鑑み、未知の手
法を含めた広範囲のアクセス種別を判定することがで
き、且つ判定の基準を攻撃者に操作されることがない新
たな仕組みを提供することを主たる課題とする。
【0009】
【課題を解決するための手段】上記の課題を解決するた
め、本発明では、上記のシグネチャを登録しておくとい
う既存の不正アクセス検知方法では、未知の手法に対応
できないことや頻繁なアップデートの必要性があること
から、逆に、シグネチャではなく、正常アクセスのため
の条件に適合するかどうかで不正アクセスの蓋然性の有
無を判定する新たな手法を採用する。ここでいう「正常
アクセス」とは、実際のアクセスの統計から得られる通
常のアクセスとは類似するものの、本質的な相違があ
る。通常のアクセスには正常アクセスに加えて、怪しい
アクセスも含まれる。これに対して、正常アクセスは、
実際のアクセスからではなく、予め定められたアクセス
条件に基づくものであって、運用時にそれが変更される
ことはない。そのアクセス条件が変更されるのは、通信
ネットワークの構成が変更された場合のみである。この
ため、上記の従来技術のように、運用中に攻撃者に変更
されるおそれもない。「正常なアクセスのための条件」
は、例えば、(1)アクセスに使用されるプロトコルの
仕様に準拠しているかどうか、(2)管理対象となる通
信システム又は通信システムグループのアクセスポリシ
ー(例えばあるホストを保持する組織がそのホストに対
して許可したアクセス条件を定めた情報。実際にはアク
セスを制限するための条件が記述される。送信元アドレ
ス/宛先アドレス/利用プロトコル(ポート番号)/こ
れら組合せは、その一例となる)に準拠しているかどう
か、(3)プロトコルポリシー(プロトコルで使用され
ているコマンドやURL等の内容、データの長さ)に準
拠しているかどうか、(4)単位時間あたりのアクセス
の回数が、上記のアクセスポリシーに記述されているア
クセスの許容頻度以内であるかどうか、という観点から
決定する。その後、各チェックの結果を予め学習された
ニューラルネットワークに入力し、危険度を定量化す
る。この危険度が一定値以上であれば、発信源の追跡手
段で追跡を行うことになる。この追跡手段については、
例えば本願出願人による特開2000−124952号
公報に記載された技術を用いることができる。なお、
(2)における「通信システムグループ」とは、LAN
等の内部ネットワークによってグループ化された通信シ
ステムをいう。
【0010】上記の思想を具現化した本発明の方法は、
通信ネットワークを介して外部から行われるアクセスを
正常アクセスとして受容するためのプロトコル仕様及び
/又はアクセスポリシーを、対象となる通信システム又
は通信システムグループ毎に定めておき、前記通信ネッ
トワークを流通する伝送情報の中から前記通信システム
又は通信システムグループ宛の伝送情報を捕獲するとと
もに、捕獲した伝送情報の中から前記プロトコル仕様及
び/又はアクセスポリシーに適合しない伝送情報を不正
アクセスの蓋然性がある伝送情報として特定する過程を
含む、通信ネットワークにおけるアクセス種別を判定す
る方法である。
【0011】本発明は、また、上記アクセス種別を判定
する方法の実施に適したシステムを提供する。 このシ
ステムは、通信ネットワークに存在する通信システム又
は通信システムグループのアクセス管理を行う管理サー
バ(20)と、この管理サーバ(20)によるアクセス
管理の補助処理を行う不正アクセス検知システム(1
0)とを含んで構成される。便宜上、後述する実施の形
態に対応する参照符号を付して、その構成を具体的に説
明する。管理サーバ(20)は、前記通信ネットワーク
を介して外部から行われるアクセスを正常アクセスとし
て受容するための伝送情報の特徴条件を定めた条件情報
を管理対象となる通信システム又は通信システムグルー
プ毎に更新自在に登録する条件情報登録手段21,DB
22)と、各通信システム又は通信システムグループに
対するアクセス許可条件の変更を行う条件変更手段(2
2,DB23)とを有するものである。また、不正アク
セス検知システム(10)は、前記管理サーバの条件情
報登録手段から最新の前記条件情報を取得する条件情報
取得手段(11)と、前記通信ネットワークを流通する
伝送情報の中から管理対象となる通信システム又は通信
システムグループ宛の伝送情報を捕獲する伝送情報捕獲
手段(12)と、捕獲した伝送情報の中から前記取得し
た条件情報に適合する第1伝送情報と適合しない第2伝
送情報とを選別する伝送情報選別手段(13,14,1
5)と、前記第2伝送情報が選別されたときに当該第2
伝送情報に基づくアクセスを排除するためのアクセス条
件の変更を前記条件変更手段に促す通知手段(16)と
を具備するものである。
【0012】上記の不正アクセス検知システム(10)
は、以下のような構成も可能である。すなわち、通信ネ
ットワークを介して外部から行われるアクセスを正常ア
クセスとして受容するための伝送情報の特徴条件を定め
た条件情報を対象となる通信システム又は通信システム
グループ毎に更新自在に保持する条件情報保持手段(D
B11,DB12)と、前記通信ネットワークを流通す
る伝送情報の中から管理対象となる通信システム又は通
信システムグループ宛の伝送情報を捕獲する伝送情報捕
獲手段(12)と、捕獲した伝送情報の中から最新の前
記条件情報に適合する第1伝送情報と適合しない第2伝
送情報とを選別する伝送情報選別手段(13,14,1
5)とを具備し、第2伝送情報を不正アクセスの蓋然性
がある伝送情報として扱う構成。
【0013】外部から行われるアクセスを正常アクセス
として受容するための伝送情報の特徴条件を定めた条件
情報を管理対象となる通信システム又は通信システムグ
ループ毎に更新自在に登録してなる条件情報登録手段
(21,DB22)と、各通信システム又は通信システ
ムグループに対するアクセス条件の変更を行う条件変更
手段(22,DB23)とを有する通信ネットワークに
接続され、前記条件情報登録手段から最新の前記条件情
報を取得する条件情報取得手段(11)と、前記通信ネ
ットワークを流通する伝送情報の中から前記取得した条
件情報に対応する通信システム又は通信システムグルー
プ宛の伝送情報を捕獲する伝送情報捕獲手段(12)
と、捕獲した伝送情報の中から前記取得した条件情報に
適合する第1伝送情報と適合しない第2伝送情報とを選
別する伝送情報選別手段(13,14,15)と、前記
第2伝送情報が選別されたときに当該第2伝送情報に基
づくアクセスを排除するためのアクセス条件の変更を前
記条件変更手段に促す通知手段(16)とを具備し、第
2伝送情報を不正アクセスの蓋然性がある伝送情報とし
て扱う構成。
【0014】本発明は、また、上記のアクセス種別を判
定する方法を汎用のコンピュータで実施する上で好適と
なる記録媒体を提供する。この記録媒体は、外部から行
われるアクセスを正常アクセスとして受容するための伝
送情報の特徴条件を定めた条件情報を管理対象となる通
信システム又は通信システムグループ毎に更新自在に登
録してなる条件情報登録手段と、各通信システム又は通
信システムグループに対するアクセス条件の変更を行う
条件変更手段とを有する通信ネットワークに接続される
通信機能付きコンピュータに下記の処理を実行させるた
めのプログラムコードが記録された、コンピュータ読み
取り可能な記録媒体である。 (1)前記条件情報登録手段から最新の前記条件情報を
取得する処理、(2)前記通信ネットワークを流通する
伝送情報の中から前記取得した条件情報に対応する通信
システム又は通信システムグループ宛の伝送情報を捕獲
する処理、(3)捕獲した伝送情報の中から前記取得し
た条件情報に適合する第1伝送情報と適合しない第2伝
送情報とを選別する処理、(4)前記第2伝送情報が選
別されたときに当該第2伝送情報に基づくアクセスを排
除するためのアクセス条件の変更を前記条件変更手段に
促す処理。
【0015】
【発明の実施の形態】以下、図面を参照して本発明の実
施の形態を説明する。図1は、本発明が適用されるネッ
トワークシステムの全体構成図である。このネットワー
クシステムには、インターネットα、ISDN及び電話網の
公衆通信網β、内部ネットワークγが相互通信可能な形
態で接続されている。内部ネットワークγには、管理対
象となる通信システム又は通信システムグループ(LA
N等によってグループ化された通信システム群:以下、
この実施形態では、「サイト」と称する)が接続されて
いる。T1は、攻撃者が操作する端末すなわち不正アク
セス発信源である。内部ネットワークγには、通常、そ
の前段にファイヤーウォール等のセキュリティ機構が設
けられている。
【0016】ネットワークシステムには、さらに、複数
の不正アクセス検知システム10と、管理サーバ20
と、認証局30とが接続されている。管理サーバ20
は、サイトのアクセス管理を行うものであり、不正アク
セス検知システム10は、管理サーバ20によるアクセ
ス管理の補助処理を行うものである。認証局30は、求
めに応じて、認証された電子証明書を発行するものであ
る。この電子証明書は、後述するアクセスポリシーをや
り取りして良い相手かどうかの認証を利用される。
【0017】<不正アクセス検知システムの構成>不正
アクセス検知システム10は、プロトコルの仕様やサイ
ト毎のアクセスポリシーに基づく正常アクセスのための
条件情報と実際のアクセス内容とを比較していくことに
よって、正常アクセスではない、不正アクセスの蓋然性
があるものを検知する。まず、この不正アクセス検知シ
ステム10の構成について説明する。
【0018】不正アクセス検知システム10は、通信機
能付きのコンピュータによって実現されるもので、その
構成は図2に示されるとおりである。すなわち、プロト
コル仕様データベースDB11、アクセスポリシーデー
タベースDB12、アラーム通知先データベースDB1
3、ネットワークインタフェースINT1のほか、所定
のプログラムコードを読み取って実行することにより形
成されるアクセスポリシー取得モジュール11と、パケ
ット捕獲モジュール12と、パケット選別モジュール1
3と、プロトコル仕様違反検知モジュール14と、アク
セスポリシー違反検知モジュール15と、通知モジュー
ル16と、これらのモジュールを統括的に制御する(補
完処理を含む)主制御部CON1を具備するものであ
る。上記のプログラムコードは、通常は、図示しない上
記コンピュータの外部記録装置(ハードディスク等)に
記録され、当該コンピュータのCPUが適宜読み出して
実行されるようになっているが、コンピュータ読み取り
可能な可搬性の記録媒体に記録される形態や、プログラ
ムサーバを介して上記外部記録装置に記録されるもので
あっても良い。
【0019】ネットワークインタフェース14は、管理
サーバ20との間の通信を制御したり、ネットワークシ
ステムを流通する伝送情報、ここではパケットを取得す
る機能を有するものである。このネットワークインタフ
ェース14には、自己宛のMAC(Media Access Contro
l)アドレスを持つパケットのみを捕獲するモードと、
自己宛のMACアドレス以外の宛先を持つパケットも含
めてネットワークシステムを流通するすべてのパケット
を取得するモードの二つが用意されている。この実施形
態では、後者のモードを利用する。
【0020】アクセスポリシー取得モジュール11は、
管理サーバ20からアクセスポリシーを取得するもので
ある。具体的には、FTP(File Transfer Protocol)
プロトコル等によるファイル転送機能を利用して管理サ
ーバ20から管理対象となるサイトのアクセスポリシー
をネットワーク経由で取得し、これをアクセスポリシー
データベースDB12に保持しておく。なお、管理サー
バ20上のアクセスポリシーが変更された場合は、管理
サーバ20から新しいアクセスポリシーが送付されるよ
うになっている。
【0021】パケット捕獲モジュール12は、ネットワ
ークシステムを流通するパケットを捕獲(キャプチャリ
ング)するものである。パケット選別モジュール13
は、管理対象となるサイトへのパケットを選別(パケッ
トフィルタリング)するものである。具体的には、管理
対象となるサイトのIPアドレスを登録しておき、その
IPアドレスを宛先IPアドレスとして持つパケットの
みを、捕獲されたパケットの中から選別する。
【0022】プロトコル仕様違反検知モジュール14
は、プロトコル仕様に違反しているアクセスかどうかを
予め登録されているプロトコル(IP、TCP、UDP、ICMP、
HTTP、FTP、SMTP、DNS、TELNET等)毎に判定するもので
ある。具体的には、パケット選別モジュール13で選別
されたパケットに対し、そのパケットで使用されている
各プロトコルが仕様どおりに正しく使用されているかど
うか、各プロトコルのヘッダの長さ、フィールドの構
造、各フィールドの値、データの長さ、データの内容等
が仕様で規定されている範囲であるか、各フィールドの
値に矛盾がないかどうかをプロトコル毎に判定する。正
しく使用されていないアクセスは、不正アクセスの蓋然
性があると判定する。このプロトコル仕様判定は、プロ
トコル層別に行われ、まず、はじめにIPヘッダ、そし
て、トランスポート層ヘッダ(TCP、UDP、ICMP)、最後
にアプリケーション層(HTTP、SMTP、DNS等)の内容が
判定対象となる。
【0023】アクセスポリシー違反検知モジュール15
は、サイトのアクセスポリシーに違反しているアクセス
を検知するものである。ここでは、アクセスポリシーの
一例として、アクセスポリシーデータベースDB12に
保持されている、許可する送信元アドレス、宛先アドレ
ス、利用プロトコル(ポート番号)の組み合わせと一致
するパケットを選別する。この選別は、パケットのIPヘ
ッダの送信元アドレス、宛先アドレス、プロトコルの各
フィールドを調べることによって行う。不一致であった
場合は、不正アクセスの蓋然性があると判定する。一致
した場合には、引き続き、そのアクセスのアプリケーシ
ョン層プロトコルの内容に含まれるサイト特有のパラメ
ータ、例えばHTTPの場合はURL、SMTPの場合はコマンド
名や電子メールアドレス等やデータの長さ等がアクセス
ポリシーによって許可されている内容であるかどうかを
プロトコル毎にチェックする。許可されていないパラメ
ータをもつアクセスについては、不正アクセスの蓋然性
があると判定する。
【0024】通知モジュール16は、不正アクセスの蓋
然性があると判定されたときに、その旨を表示したり、
関係者に通知したりするものである。具体的には、対象
となるアクセスがプロコトルの仕様に違反している場
合、またはアクセスポリシーに違反している場合に、画
面に警告分やアイコンとして表示したり、管理者宛にメ
ールを送信したり、管理者のページャ(ポケベル)や携
帯電話に通知したりする。アラーム通知先データベース
DB13には、この通知の際に取るべきアクション(メ
ールの発信、ポケベルの発信、画面上への表示等)とそ
の通知先(メールの宛先、ポケベルの番号等)が予め登
録されている。
【0025】<管理システムの構成>次に、管理サーバ
20の構成について説明する。管理サーバ20もまた、
通信機能付きのコンピュータによって実現されるもの
で、その要部構成は図3に示されるとおりである。すな
わち、サーバとしての本来の機能のほか、ネットワーク
構成情報データベースDB21、登録情報データベース
DB22、アクセス条件データベースDB23及びネッ
トワークインタフェースINT2のほか、所定のプログ
ラムコードを読み取って実行することにより形成される
登録情報管理モジュール21と、アクション管理モジュ
ール22と、これらのモジュールの機能を統括的に制御
する(補完処理を含む)主制御部CON2を具備する。
プログラムコードは、通常は、図示しない上記コンピュ
ータの外部記録装置(ハードディスク等)に記録され、
当該コンピュータのCPUが適宜読み出して実行される
ようになっているが、コンピュータ読み取り可能な可搬
性の記録媒体に記録される形態や、プログラムサーバを
介して上記外部記録装置に記録されるものであっても良
い。
【0026】ネットワーク構成情報データベースDB2
1は、管理対象となるネットワークシステム全体の構成
情報を蓄積するものである。この構成情報は、アクセス
ポリシーやプロトコル仕様(以下、「アクセスポリシー
等」)を配布したり、アクション条件を変更する際に参
照される。
【0027】ネットワークインタフェースINT2は、
主として、不正アクセス検知10、認証局30及び内部
ネットワークγの前段に設けられるファイアウォール等
との通信制御を行う。登録情報管理モジュール21は、
新規ホストからのアクセスポリシーやプロトコル仕様、
あるいは、新規不正アクセス検知システム10からのア
ドレスと電子証明書(必要に応じて)の登録を受け付
け、これらを登録情報データベース21に保持するとと
もに、求めに応じてあるいは自律的に、アクセスポリシ
ー等を不正アクセス検知システム10に配布するもので
ある。アクセスポリシー等が変更された場合には、変更
された内容を配布する。配布は、FTP(File Transfe
r Protocol)プロトコル等によるファイル転送機能を利
用し、ネットワーク経由で行う。その際、アクセスポリ
シー等が攻撃者に取得されないようにするため、これを
共通鍵暗号方式等によって暗号化し、認証された電子証
明書を添付する。アクセスポリシー等を配布するタイミ
ングは、不正アクセス検知システム10が新たに設置さ
れた場合またはアクセスポリシー等が管理者によって変
更された場合である。
【0028】アクション管理モジュール22は、不正ア
クセス検知システム10から不正アクセスの蓋然性があ
るアクセスを検知した旨の通知を受けた場合に、後続の
アクションをとるための条件(管理者へのアラームの送
信方法等)や対象となるサイトへのアクセス条件(アク
ション条件)を変更するものである。サイトへのアクセ
ス条件としては、例えば、ファイアーウォールの設定変
更、コネクションの切断、発信源の追跡指示等が挙げら
れる。
【0029】より具体的には、不正アクセス検知システ
ム10からの通知内容と、そのアクセス内容のサマリ
(宛先IPアドレス、利用プロトコル、送信元IPアドレス
等)とをアクション条件データベースDB23に保持し
ておき、必要に応じて、管理者が現在のアクション条件
をブラウザ等のインタフェースから変更できるようにす
る。変更された後は、同様の通知結果(プロトコル仕様
判定の結果とアクセスポリシー判定の結果を並べたも
の)となる不正アクセスについては、その変更後のアク
ション条件が適用される。不正アクセス検知システム1
0からの通知結果が同様となるアクセスについては、た
とえ攻撃に使用するプログラム等の手法が異なっていて
も同様の結果を引き起こすものと予想されるため、未知
の不正アクセスでも、既知の不正アクセスのチェック結
果パターンと同じであれば、その被害の度合を予測する
ことができ、適切なアクションを行うことが可能とな
る。
【0030】<アクセスの種別判定方法>次に、上記の
不正アクセス検知システム10及び管理サーバ20を用
いてアクセスの種別を判定する方法の実施形態を説明す
る。本実施形態の方法では、不正アクセス検知システム
10が図1のネットワークシステムにおけるパケットの
流通形態のセンサとして機能するので、不正アクセス検
知システム10における処理手順(主制御部CON1の
統括的な制御に基づく各種モジュールの実行による処
理)を中心に説明する。図4はその全体処理手順図、図
5〜図9は具体的な内容説明図である。
【0031】まず、本実施形態において不正アクセスの
蓋然性が高いとして検知されるアクセスの概念を図5の
例により明らかにする。図5は、外部にその存在を知ら
しめていない内部ホストM1、SMTPアクセスのみを受容
するメールサーバM2、URLを公開しているWWWサーバM
3をそれぞれ管理対象サイトとする場合の例である。こ
の場合、内部ホストM1へのアクセスL1はすべて検知
される。メールサーバM2へのアクセスL2について
は、正常なSMTPアクセスは検知されないが、SMTPアクセ
ス以外、許可していないSMTPコマンドによるアクセス、
正しくない形式のメールはすべて検知される。WWWサー
バM3のアクセスL3については、公開しているURLに
よる正常なWWWアクセスは検知されないが、それ以外の
アクセスは、すべて検知される。
【0032】図4を参照し、上記のようなアクセスの種
別を判定できるようにするため、不正アクセス検知シス
テム10は、管理サーバ20から管理対象となるサイト
のアクセスポリシー及びプロトコル仕様のデータをダウ
ンロードして保持しておく(ステップS101)。既に
保持してあるデータが変更された場合はそれらを更新す
る。図6は、保持されているデータの内容例を示した図
である。
【0033】図6の上段は、「a.b.c.d」という「宛先
アドレス」を持つサイトに対するインターネットα上の
「すべて」の「送信元アドレス」を持つ端末からの「ht
tp/tcp」プロトコル仕様によるアクセスについては、
これを正常アクセスとして扱うべきことを意味してい
る。同様に、「a.b.c.e」という「宛先アドレス」を持
つ端末に対するインターネットα上の「すべて」の「送
信元アドレス」を持つ端末からの「smtp/tcp」プロト
コル仕様によるアクセスも正常アクセスとして扱われ
る。「プロトコル特有の条件」もプロトコル仕様の範囲
であり、ここでは許可するプロトコル別の条件を指定す
る。例えばWWW(HTTP)の場合は、閲覧を許可するディ
レクトリ/ファイルとURLの最大長を指定する。但し、
これらのプロトコルとそれに対応する指定項目は、予め
管理サーバ20に登録しておく必要がある。図6の例で
は、WWWサービス(プロトコルがHTTPの場合)では、
「公開するファイル」と使用するURLの「最大文字長」
を指定することができ、ルートディレクトリの下の「/
Index.html」ファイル、「/whatsnew/*」、「/pro
ducts/*」、「/profile/*」(*は任意の文字列を
示す。)のディレクトリ配下のすべてのファイルへのア
クセスを許可することを示している。その他、「プロト
コル特有の条件」では、社内で「使用するメールアドレ
ス」や使用を「許可するコマンド」等を指定させること
もできる。
【0034】図4に戻り、アクセスポリシー等をダウン
ロードした不正アクセス検知システム10は、ネットワ
ークシステム上を流通するパケットを常時監視し、管理
対象となるサイト宛のパケットがあった場合はそれを捕
獲する(ステップS102)。これは、流通するパケッ
トのヘッダ情報等を参照することによって行う。その
後、捕獲したパケットに対して、プロトコル仕様チェッ
ク及びアクセスポリシーチェックを行う(ステップS1
03)。
【0035】図7は、プロトコル仕様チェックの概念の
一例を示した図である。プロトコル仕様チェックは、プ
ロトコル仕様データベースDB11に保持されているIP
ヘッダ、トランスポート層ヘッダ、アプリケーション層
というようにプロトコル層別の一致性をみることで行
う。図7には、HTTPプロトコル仕様の場合の例が示され
ている。HTTPプロトコル仕様のもとでは、IPヘッダ、TC
Pヘッダ、HTTPヘッダ、HTTPデータの順にチェックされ
る。チェック内容は、パケットにおけるIPヘッダの各フ
ィールドの値が正しい範囲に収まっているかどうか、IP
ヘッダのIPパケット全体長フィールドの値とIPヘッダ長
フィールドの値に矛盾がないかどうか(IPパケット全体
長はヘッダ長よりも長くなくてはならない。)等であ
る。否定的であった場合は、違反するパケットとする。
TCPヘッダもIPヘッダと同様の内容となる。その後、HTT
Pヘッダの各フィールドのフォーマットが仕様通りに記
述されているか、HTTPデータのフォーマットが仕様通り
に記述されているかどうかのチェックが続く。HTTPプロ
トコルの仕様は、標準規格であるRFC1945やRFC2068に記
述されているので、これを参考にすることができる。例
えば、HTTPのリクエストのデータ部には、以下の形式の
内容が含まれることになっている。なお、実際には“GE
T”以外にも“POST”等があるが、ここでは省略する。 GET“Request‐URL”HTTP/1.1(バージョン1.1の場
合) GET“Request‐URL”HTTP/1.0(バージョン1.0の場
合) GET“Request‐URL” このとき、“Request‐URL”というパラメータには、サ
ーバへ要求するURLが挿入される。この段階では、この
ようなサイト特有の内容まではチェックせずに、その他
の部分が仕様に合っているかどうかをチェックする。仕
様にあっていない場合(“HTTP/1.0”や“HTTP/1.1”
以外の文字列が存在している等)、この時点で、不正ア
クセスの蓋然性があると判定する。
【0036】一方、アクセスポリシーチェックでは、パ
ケット中の「宛先アドレス/送信元アドレス/利用プロ
トコル(=TCP及びUDPのポートの番号)」の内容を、ア
クセスポリシーデータベースDB12に登録されてい
る、当該サイトで許可するアクセスポリシーの内容と比
較し、一致していなければ違反するパケットであると判
定する。先ほどの仕様のチェックでは行わなかった"Req
uest-URL"の内容のチェックは、ここでアクセスポリシ
ーチェックとして行う。なお、プロトコル仕様チェック
とアクセスポリシーチェックでは、少しでも不一致があ
れば違反するパケットと判定するが、特定部分の不一致
については、これを不問とする扱いも可能である。な
お、プロトコル仕様チェックとアクセスポリシーチェッ
クについては、両方を判定するのが好ましいが、必要に
応じて、いずれか一方のみを判定するようにしても良
い。
【0037】以上の各チェックの結果、違反しないパケ
ットであれば、正常アクセスであることを意味するの
で、それが流通することに対して何らの処理を行わない
(ステップS104:No)。一方、違反するパケット
は、実際に不正アクセスによるものかどうかを問わず、
不正アクセスの蓋然性があると判定する(ステップS1
04:Yes)。このチェック結果は、図示しないジャー
ナル管理機構に、チェック履歴として記録しておく。こ
のチェック履歴の一例を示したのが図9である。図9
(a)は、プロトコル仕様チェックの結果、同(b)
は、アクセスポリシーチェックの結果の履歴である。
【0038】違反したパケットであった場合は、当該パ
ケットに関する情報(送信元アドレス等)を特定すると
ともに(ステップS105)、アラーム通知先データデ
ースDB13を参照して、通知手段及び通知内容を特定
し(ステップS106)、通知処理を実行する(ステッ
プS107)。
【0039】アラーム通知先データデースDB13に
は、図8に示される内容例が登録されているので、該当
する「通知先」に、該当する「通知内容」で不正アクセ
スの蓋然性があるパケットを検知した旨を通知する。こ
れにより、通知された側では、該当するアクセスに対す
る注意が喚起されるので、不正アクセス回避のためのア
クションをとることができるようになる。通知先が管理
サーバ20である場合には、アクション管理モジュール
22によって、以後のアクションをアクション条件デー
タベースDB23の登録内容に従って自動実行させるこ
とができる。
【0040】このように、本実施形態の方法によれば、
未知の手法を含む広範囲の不正アクセスを検知できるよ
うになる利点がある。また、従来のように統計的方式を
採用して不正アクセスかどうかを判定するものではない
ので、その基準が攻撃者に操作されることもなく、安定
的な運用が可能になる。さらに、ユーザ毎のプロファイ
ルを扱わないので、不特定多数のユーザがアクセスする
通信ネットワーク環境にも柔軟に対応することができ
る。さらに、アクセス中の実際のパケットを用いて不正
アクセスの蓋然性の有無をリアルタイムで検知している
ため、その後の対策、例えば発信源の追跡やファイアー
ウォールの条件変更による防御等が迅速になる利点もあ
る。
【0041】なお、本実施形態では、直接的には触れて
いないが、プロトコル仕様やアクセスポリシーのほか、
上述のプロトコルポリシーや、単位時間あたりのアクセ
スの回数がアクセスポリシーに記述されているアクセス
の許容頻度以内であるかどうかも、必要に応じて考慮す
るようにしても良い。
【0042】
【発明の効果】以上の説明から明らかなように、本発明
の方法によれば、未知の手法を含めた広範囲のアクセス
種別を判定することができ、且つ判定の基準を攻撃者に
操作されることがないという、特有の効果を奏する。ま
た、本発明のシステムによれば、通信ネットワーク経由
で行われる広範囲な不正アクセスを検知し、それを回避
するためのアクションを迅速にとれるようになるとい
う、効果を奏する。
【図面の簡単な説明】
【図1】本発明が適用されるネットワークシステムの全
体構成図。
【図2】不正アクセス検知システムの機能構成図。
【図3】管理サーバの機能構成図。
【図4】不正アクセス検知システムの手順説明図。
【図5】本実施形態において違反とされるアクセスの概
念を示した図。
【図6】アクセスポリシー及びプロトコル仕様の例を示
した図。
【図7】プロトコル仕様チェックの概念を示した図。
【図8】アラーム通知先データベースの内容例を示した
図。
【図9】(a)はプロトコル仕様チェックの結果、
(b)はアクセスポリシーチェックの結果の一例を示し
た図。
【符号の説明】
10 不正アクセス検知システム 11 アクセスポリシー取得モジュール 12 パケット捕獲モジュール 13 パケット選別モジュール 14 プロトコル仕様違反検知モジュール 15 アクセスポリシー違反検知モジュール 16 通知モジュール 20 管理サーバ 21 登録情報管理モジュール 22 アクション管理モジュール DB11 プロトコル仕様データベース DB12 アクセスポリシーデータベース DB13 アラーム通知先データベース DB21 ネットワーク構成情報データベース DB22 登録情報データベース DB23 アクション条件データベース INT1,INT2 ネットワークインタフェース CON1,CON2 主制御部 30 認証局 T1 不正アクセス発信源 α インターネット β ISDN/電話網 γ 内部ネットワーク
───────────────────────────────────────────────────── フロントページの続き (72)発明者 小久保 勝敏 東京都江東区豊洲三丁目3番3号 株式会 社エヌ・ティ・ティ・データ内 (72)発明者 松田 栄之 東京都江東区豊洲三丁目3番3号 株式会 社エヌ・ティ・ティ・データ内 Fターム(参考) 5B089 GA11 GA21 GB02 HA03 HA06 HA10 JA22 JA31 JB22 KA17 KB04 KB06 KB13 5K030 GA15 HB16 HB18 HC01 KA04 KA13 LA08 LB02 LD19 LD20 9A001 CC06 JJ14 JJ25 LL03

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】 通信ネットワークを介して外部から行わ
    れるアクセスを正常アクセスとして受容するためのプロ
    トコル仕様及び/又はアクセスポリシーを、対象となる
    通信システム又は通信システムグループ毎に定めてお
    き、前記通信ネットワークを流通する伝送情報の中から
    前記通信システム又は通信システムグループ宛の伝送情
    報を捕獲するとともに、捕獲した伝送情報の中から前記
    プロトコル仕様及び/又はアクセスポリシーに適合しな
    い伝送情報を不正アクセスの蓋然性がある伝送情報とし
    て特定する過程を含む、 通信ネットワークにおけるアクセス種別を判定する方
    法。
  2. 【請求項2】 通信ネットワークに存在する通信システ
    ム又は通信システムグループのアクセス管理を行う管理
    サーバと、この管理サーバによるアクセス管理の補助処
    理を行う不正アクセス検知システムとを含み、 前記管理サーバは、 前記通信ネットワークを介して外部から行われるアクセ
    スを正常アクセスとして受容するための伝送情報の特徴
    条件を定めた条件情報を管理対象となる通信システム又
    は通信システムグループ毎に更新自在に登録する条件情
    報登録手段と、 各通信システム又は通信システムグループに対するアク
    セス許可条件の変更を行う条件変更手段とを有するもの
    であり、 前記不正アクセス検知システムは、 前記管理サーバの条件情報登録手段から最新の前記条件
    情報を取得する条件情報取得手段と、 前記通信ネットワークを流通する伝送情報の中から管理
    対象となる通信システム又は通信システムグループ宛の
    伝送情報を捕獲する伝送情報捕獲手段と、 捕獲した伝送情報の中から前記取得した条件情報に適合
    する第1伝送情報と適合しない第2伝送情報とを選別す
    る伝送情報選別手段と、 前記第2伝送情報が選別されたときに当該第2伝送情報
    に基づくアクセスを排除するためのアクセス条件の変更
    を前記条件変更手段に促す通知手段とを具備するもので
    ある、 通信ネットワークにおけるアクセス種別を判定するシス
    テム。
  3. 【請求項3】 通信ネットワークを介して外部から行わ
    れるアクセスを正常アクセスとして受容するための伝送
    情報の特徴条件を定めた条件情報を対象となる通信シス
    テム又は通信システムグループ毎に更新自在に保持する
    条件情報保持手段と、 前記通信ネットワークを流通する伝送情報の中から前記
    通信システム又は通信システムグループ宛の伝送情報を
    捕獲する伝送情報捕獲手段と、 捕獲した伝送情報の中から最新の前記条件情報に適合す
    る第1伝送情報と適合しない第2伝送情報とを選別する
    伝送情報選別手段とを具備し、 前記第2伝送情報を不正アクセスの蓋然性がある伝送情
    報として扱うことを特徴とする、不正アクセス検知シス
    テム。
  4. 【請求項4】 外部から行われるアクセスを正常アクセ
    スとして受容するための伝送情報の特徴条件を定めた条
    件情報を管理対象となる通信システム又は通信システム
    グループ毎に更新自在に登録してなる条件情報登録手段
    と、各通信システム又は通信システムグループに対する
    アクセス条件の変更を行う条件変更手段とを有する通信
    ネットワークに接続され、 前記条件情報登録手段から最新の前記条件情報を取得す
    る条件情報取得手段と、 前記通信ネットワークを流通する伝送情報の中から前記
    取得した条件情報に対応する通信システム又は通信シス
    テムグループ宛の伝送情報を捕獲する伝送情報捕獲手段
    と、 捕獲した伝送情報の中から前記取得した条件情報に適合
    する第1伝送情報と適合しない第2伝送情報とを選別す
    る伝送情報選別手段と、 前記第2伝送情報が選別されたときに当該第2伝送情報
    に基づくアクセスを排除するためのアクセス条件の変更
    を前記条件変更手段に促す通知手段とを具備し、 前記第2伝送情報を不正アクセスの蓋然性がある伝送情
    報として扱うことを特徴とする、不正アクセス検知シス
    テム。
  5. 【請求項5】 外部から行われるアクセスを正常アクセ
    スとして受容するための伝送情報の特徴条件を定めた条
    件情報を管理対象となる通信システム又は通信システム
    グループ毎に更新自在に登録してなる条件情報登録手段
    と、各通信システム又は通信システムグループに対する
    アクセス条件の変更を行う条件変更手段とを有する通信
    ネットワークに接続される通信機能付きコンピュータ
    に、 前記条件情報登録手段から最新の前記条件情報を取得す
    る処理と、 前記通信ネットワークを流通する伝送情報の中から前記
    取得した条件情報に対応する通信システム又は通信シス
    テムグループ宛の伝送情報を捕獲する処理と、捕獲した
    伝送情報の中から前記取得した条件情報に適合する第1
    伝送情報と適合しない第2伝送情報とを選別する処理
    と、 前記第2伝送情報が選別されたときに当該第2伝送情報
    に基づくアクセスを排除するためのアクセス条件の変更
    を前記条件変更手段に促す処理とを実行させるためのプ
    ログラムコードが記録された、 コンピュータ読み取り可能な記録媒体。
JP2000133494A 2000-05-02 2000-05-02 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 Pending JP2001313640A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000133494A JP2001313640A (ja) 2000-05-02 2000-05-02 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000133494A JP2001313640A (ja) 2000-05-02 2000-05-02 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体

Publications (1)

Publication Number Publication Date
JP2001313640A true JP2001313640A (ja) 2001-11-09

Family

ID=18641981

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000133494A Pending JP2001313640A (ja) 2000-05-02 2000-05-02 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体

Country Status (1)

Country Link
JP (1) JP2001313640A (ja)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003309607A (ja) * 2002-04-17 2003-10-31 Ntt Data Corp アンチプロファイリング装置およびアンチプロファイリングプログラム
JP2004030286A (ja) * 2002-06-26 2004-01-29 Ntt Data Corp 侵入検知システムおよび侵入検知プログラム
KR100432166B1 (ko) * 2001-12-26 2004-05-17 한국전자통신연구원 글로벌 침입탐지 시스템에서 보안정책전달을 위한메시지전송수단과, 그에 의한 보안정책전달 및 처리방법
JP2004229092A (ja) * 2003-01-24 2004-08-12 Toshiba Corp サーバ計算機保護装置、同装置のデータ要求解析方法およびプログラム
JP2005018745A (ja) * 2003-06-23 2005-01-20 Microsoft Corp 高度なスパム検出技法
KR100502079B1 (ko) * 2003-08-27 2005-07-25 한국전자통신연구원 네트워크 상에서의 경보 정보 트래픽 제어 시스템 및 방법
JP2007122749A (ja) * 2002-06-28 2007-05-17 Oki Electric Ind Co Ltd 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法
US7404205B2 (en) 2003-06-03 2008-07-22 Hewlett-Packard Development Company, L.P. System for controlling client-server connection requests
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US7660794B2 (en) 2003-06-03 2010-02-09 Hewlett-Packard Development Company, L.P. Method and program product for reducing database walk frequency while repetitively accessing a firewall connection and rule database
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
JP2011040064A (ja) * 2003-11-12 2011-02-24 Trustees Of Columbia Univ In The City Of New York 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体
US7950053B2 (en) 2004-10-12 2011-05-24 Panasonic Corporation Firewall system and firewall control method
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
JP2013522936A (ja) * 2010-01-21 2013-06-13 アリババ・グループ・ホールディング・リミテッド 悪意のあるアクセスの遮断
CN114510983A (zh) * 2020-10-23 2022-05-17 华为技术有限公司 设备识别方法、装置及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08172433A (ja) * 1994-12-16 1996-07-02 Fujitsu Ltd ネットワークのセキュリティ管理方式
JPH1051480A (ja) * 1996-07-31 1998-02-20 Chokosoku Network Computer Gijutsu Kenkyusho:Kk ゲートウェイ装置のプロトコル処理方式
JPH10504168A (ja) * 1995-06-15 1998-04-14 チェックポイント・ソフトウェア・テクノロジーズ・リミテッド コンピュータネットワークにおける通信のセキュリティのためのデータパケットを検査し選択的変更を施す方法及びシステム及びそのシステムの操作方法
JPH10271154A (ja) * 1997-03-21 1998-10-09 Nec Eng Ltd 不正アクセス防止方法およびシステム
JPH11168511A (ja) * 1997-09-12 1999-06-22 Lucent Technol Inc パケット検証方法
JP2001514832A (ja) * 1997-03-11 2001-09-11 シーケル・テクノロジー・コーポレーション インターネットワークおよびイントラネットワーク活動を管理するための方法及び装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08172433A (ja) * 1994-12-16 1996-07-02 Fujitsu Ltd ネットワークのセキュリティ管理方式
JPH10504168A (ja) * 1995-06-15 1998-04-14 チェックポイント・ソフトウェア・テクノロジーズ・リミテッド コンピュータネットワークにおける通信のセキュリティのためのデータパケットを検査し選択的変更を施す方法及びシステム及びそのシステムの操作方法
JPH1051480A (ja) * 1996-07-31 1998-02-20 Chokosoku Network Computer Gijutsu Kenkyusho:Kk ゲートウェイ装置のプロトコル処理方式
JP2001514832A (ja) * 1997-03-11 2001-09-11 シーケル・テクノロジー・コーポレーション インターネットワークおよびイントラネットワーク活動を管理するための方法及び装置
JPH10271154A (ja) * 1997-03-21 1998-10-09 Nec Eng Ltd 不正アクセス防止方法およびシステム
JPH11168511A (ja) * 1997-09-12 1999-06-22 Lucent Technol Inc パケット検証方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
白橋 明弘: "セキュリティポリシーの決定とファイアウォールの選択", SOFTWARE DESIGN, vol. 第86号, CSND199700842011, 18 December 1997 (1997-12-18), pages 104 - 111, ISSN: 0000760936 *

Cited By (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100432166B1 (ko) * 2001-12-26 2004-05-17 한국전자통신연구원 글로벌 침입탐지 시스템에서 보안정책전달을 위한메시지전송수단과, 그에 의한 보안정책전달 및 처리방법
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US8326961B2 (en) 2002-02-08 2012-12-04 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8631113B2 (en) 2002-02-08 2014-01-14 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US9100364B2 (en) 2002-02-08 2015-08-04 Juniper Networks, Inc. Intelligent integrated network security device
US9094372B2 (en) 2002-02-08 2015-07-28 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US8332948B2 (en) 2002-02-08 2012-12-11 Juniper Networks, Inc. Intelligent integrated network security device
US8959197B2 (en) 2002-02-08 2015-02-17 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8635695B2 (en) 2002-02-08 2014-01-21 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8726016B2 (en) 2002-02-08 2014-05-13 Juniper Networks, Inc. Intelligent integrated network security device
JP2003309607A (ja) * 2002-04-17 2003-10-31 Ntt Data Corp アンチプロファイリング装置およびアンチプロファイリングプログラム
JP2004030286A (ja) * 2002-06-26 2004-01-29 Ntt Data Corp 侵入検知システムおよび侵入検知プログラム
JP2007122749A (ja) * 2002-06-28 2007-05-17 Oki Electric Ind Co Ltd 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法
JP2004229092A (ja) * 2003-01-24 2004-08-12 Toshiba Corp サーバ計算機保護装置、同装置のデータ要求解析方法およびプログラム
US7660794B2 (en) 2003-06-03 2010-02-09 Hewlett-Packard Development Company, L.P. Method and program product for reducing database walk frequency while repetitively accessing a firewall connection and rule database
US7404205B2 (en) 2003-06-03 2008-07-22 Hewlett-Packard Development Company, L.P. System for controlling client-server connection requests
US8533270B2 (en) 2003-06-23 2013-09-10 Microsoft Corporation Advanced spam detection techniques
JP4546761B2 (ja) * 2003-06-23 2010-09-15 マイクロソフト コーポレーション 高度なスパム検出技法
JP2005018745A (ja) * 2003-06-23 2005-01-20 Microsoft Corp 高度なスパム検出技法
US9305079B2 (en) 2003-06-23 2016-04-05 Microsoft Technology Licensing, Llc Advanced spam detection techniques
KR100502079B1 (ko) * 2003-08-27 2005-07-25 한국전자통신연구원 네트워크 상에서의 경보 정보 트래픽 제어 시스템 및 방법
JP2011040064A (ja) * 2003-11-12 2011-02-24 Trustees Of Columbia Univ In The City Of New York 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体
US7950053B2 (en) 2004-10-12 2011-05-24 Panasonic Corporation Firewall system and firewall control method
JP2013522936A (ja) * 2010-01-21 2013-06-13 アリババ・グループ・ホールディング・リミテッド 悪意のあるアクセスの遮断
CN114510983A (zh) * 2020-10-23 2022-05-17 华为技术有限公司 设备识别方法、装置及系统

Similar Documents

Publication Publication Date Title
KR100502068B1 (ko) 네트워크 노드의 보안 엔진 관리 장치 및 방법
CN101802837B (zh) 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法
KR101010302B1 (ko) Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
JP4742144B2 (ja) Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム
US10320787B2 (en) System and method of facilitating the identification of a computer on a network
US6892241B2 (en) Anti-virus policy enforcement system and method
US7234168B2 (en) Hierarchy-based method and apparatus for detecting attacks on a computer system
US7346922B2 (en) Proactive network security system to protect against hackers
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
CN103634786B (zh) 一种无线网络的安全检测和修复的方法与系统
EP1956463A2 (en) Method and apparatus for providing network security based on device security status
US20050043548A1 (en) Automated monitoring and control system for networked communications
US20110154492A1 (en) Malicious traffic isolation system and method using botnet information
JP2001313640A (ja) 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
JP2014519751A (ja) ドメイン名をフィルタリングするためのdns通信の使用
JP2005517349A (ja) マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法
JP2002342279A (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
JP2004302538A (ja) ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
CN112565203B (zh) 一种集中管理平台
KR102174507B1 (ko) 통신 게이트웨이 방화벽 자동설정장치 및 그 방법
KR20050095147A (ko) 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법
JP5393286B2 (ja) アクセス制御システム、アクセス制御装置及びアクセス制御方法
JP2003186763A (ja) コンピュータシステムへの不正侵入の検知と防止方法
KR100470918B1 (ko) 네트워크 상의 방화벽 검열 우회 방지 시스템 및 그 방법
JP2003167786A (ja) ネットワーク監視システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041125

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060727

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060808

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20061205