JP2006243878A - 不正アクセス検知システム - Google Patents
不正アクセス検知システム Download PDFInfo
- Publication number
- JP2006243878A JP2006243878A JP2005055538A JP2005055538A JP2006243878A JP 2006243878 A JP2006243878 A JP 2006243878A JP 2005055538 A JP2005055538 A JP 2005055538A JP 2005055538 A JP2005055538 A JP 2005055538A JP 2006243878 A JP2006243878 A JP 2006243878A
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- countermeasure
- signature
- unit
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 53
- 238000000034 method Methods 0.000 claims abstract description 57
- 230000010485 coping Effects 0.000 claims abstract description 28
- 238000012937 correction Methods 0.000 claims description 22
- 239000000284 extract Substances 0.000 claims description 6
- 208000024891 symptom Diseases 0.000 claims description 3
- 230000004044 response Effects 0.000 claims 1
- 238000003672 processing method Methods 0.000 abstract description 2
- 230000000903 blocking effect Effects 0.000 description 18
- 238000004891 communication Methods 0.000 description 17
- 230000009931 harmful effect Effects 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000001914 filtration Methods 0.000 description 4
- 230000002265 prevention Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 239000004575 stone Substances 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】不正アクセス検知後に、不正アクセスの内容に応じた適切な処理方法を早期に提供、実施することができる不正アクセス検知システムを提供する。
【解決手段】対処法付きシグネチャ提供サーバ101は、不正アクセスの特徴を示す攻撃パターンと不正アクセスが発見された後の適切な対処方法を対にしたシグネチャを作成し、エンド機器やルータ102に提供する。シグネチャは、対処法付きシグネチャ提供サーバ101を運営する専門家などによって作成される。エンド機器やルータ102においては、送受信するデータを不正アクセス検知・対策部104が検査し、シグネチャに合致するパケットを発見した場合は、不正アクセスとみなして検知する。さらに、不正アクセス対策部107がその不正アクセスに対応する対処方法を機器アプリケーション108へ提供し、対策方法を実施する。
【選択図】図1
【解決手段】対処法付きシグネチャ提供サーバ101は、不正アクセスの特徴を示す攻撃パターンと不正アクセスが発見された後の適切な対処方法を対にしたシグネチャを作成し、エンド機器やルータ102に提供する。シグネチャは、対処法付きシグネチャ提供サーバ101を運営する専門家などによって作成される。エンド機器やルータ102においては、送受信するデータを不正アクセス検知・対策部104が検査し、シグネチャに合致するパケットを発見した場合は、不正アクセスとみなして検知する。さらに、不正アクセス対策部107がその不正アクセスに対応する対処方法を機器アプリケーション108へ提供し、対策方法を実施する。
【選択図】図1
Description
本発明は、不正アクセス検知システム技術の中でも、特に不正アクセスを検出するためのシグネチャの作成方法に関して、シグネチャに不正アクセスの特徴を示す攻撃パターンと不正アクセスが検知された際の適切な対処方法を対にして記録しておき、実際に不正アクセスが検知された際に、管理者に対処方法を提供することで、不正アクセスを検知するたびに管理者が判断してその後の対策を立てる手間を省き、不正アクセスに対する早期対処を可能とする不正アクセス検知システムに関するものである。
近年、インターネットなどのネットワークの普及にともない、企業や家庭などにおいて、インターネットの常時接続環境の導入が盛んになっている。また、従来は、企業や家庭などにおいて、内部でLAN環境を構成した際(以下、内部ネットワークと記す)、インターネットなどの外部に接続可能な回線(以下、外部ネットワークと記す)と内部ネットワークとを中継するためにゲートウェイやルータを用い、NAT(Network Address Translation)の設定を行うことで、外部ネットワークから内部ネットワーク内の機器へ直接通信出来ないよう制限するケースが一般的であった。しかし、近年では、IPv6(Internet Protocol version 6)や、ピアツーピア接続の普及により、ゲートウェイやルータの設定を行わず、パソコンやネットワーク接続が可能な電化製品など(以下、エンド機器と記す)が直接通信しあう形態も盛んになってきている。
しかし、宅外ネットワークに宅内ネットワークが常時接続されることで、宅内ネットワークに接続された機器は、宅外ネットワークから不正アクセスを受ける可能性がある。この場合の不正アクセスとは、外部ネットワークから行う不正な攻撃のことであり、不正侵入や、DDoS(Distributed Denial of Service)攻撃、システムの脆弱性を狙った攻撃などである。また、宅内ネットワークに接続されたエンド機器が外部ネットワークからの不正アクセスを受け、不正侵入されることで、外部ネットワークに対して不正アクセスを行ってしまう可能性がある。この場合の不正アクセスとは、内部ネットワークに接続されたエンド機器が、例として、ウィルスなどに感染したことによって、踏み台になり、外部に対して攻撃を行うことであり、スパムメールの不正中継や、DDoS攻撃を行うケースなどが挙げられる。
そこで、宅外ネットワークから宅内ネットワークに対して行われる不正アクセスを対象として、侵入検知システム(Intrusion Detection System)や、侵入検知・防御システム(Intrusion Detection and Prevention)などがある。前者は、システムやネットワークの資源及び活動を監視し、不正アクセスを検出するシステムである。後者は、前者に加えて、不正アクセスの遮断も行うシステムである。これらのシステムは、主にゲートウェイに広く導入されている。
侵入検知システム、侵入検知・防御システムが不正アクセスを検出する方法としては、シグネチャを用いて不正アクセスを検出するシグネチャ型が一般的である。シグネチャとは、不正アクセスに使われるパケット内に存在する攻撃のパターンのことである。シグネチャ型では、過去に不正アクセスとして発見された攻撃のパターンをシグネチャとして記憶しており、パケットを受信するたびに、そのパケットとシグネチャとを比較することで、不正アクセスか否かを判断することである。不正アクセスを検知した後の処理としては、侵入検知システムの場合は、不正アクセスの検知を行うだけであるため、管理者によって、不正アクセスの遮断などの対策が施される。侵入検知・防御システムの場合は、不正アクセスのみを自動遮断し、その他の正常な通信は遮断しないという処理を行うものが多い。
不正アクセス検知後の処理の仕方を規定した文献として、特許文献1の公報に開示されている技術がある。この公報に開示された方法によると、機器が受信したIPパケットのヘッダ情報に基づいて、あらかじめ設定されたIPパケットのヘッダ情報と攻撃との関係を示す設定ルールを参照し、攻撃となるIPパケットを遮断する一方、その他のIPパケットを通過させるフィルタの設定を行う。さらに、フィルタを通過したIPパケットのペイロード情報に基づいて、攻撃となるIPパケットを遮断し、その他のIPパケットを通過させることで、攻撃となるIPパケットを受け付けなくすることが可能である。
特開2003−99339号公報
不正アクセスを検知した後の処理としては、不正アクセスによる被害を拡大させないためにも、早期に適切な対処方法を実施する必要がある。しかし、侵入検知システムでは、不正アクセスを検知するだけであるため、不正アクセス検知後の処理は、管理者がその不正アクセスに適した対処方法をその都度検討し、行わなければならないため、早期対処が図れない場合がある。
また、侵入検知・防御システムや前記従来の構成では、不正アクセスの検知後に常に不正アクセスのみの遮断を行うが、不正アクセスの種類によっては、遮断によって他の通信に影響を及ぼすことがあるため、適切な対処方法とは言い難い。遮断によって他の通信に影響を及ぼす不正アクセスの例として、DoS攻撃の一つであるACK SCANが挙げられる。通常、システムが提供するサービスは、外部ネットワークからアクセスされないようにパケットフィルタリングの設定が施され、保護されている。しかし、管理者がパケットフィルタリングの設定を怠ったか、誤った設定をしてしまったことにより、正しく設定されていない場合がある。そこで、攻撃者は標的とした端末に対してTCP ACKパケットを不正に大量に送りつけることで、システムがサービスしているポートの内、フィルタリングの設定がされていないものを検索することができる。攻撃者はフィルタリングの設定がされていないポートに関する情報を取得すると、そのポートを用いてサービスの不正利用を試みる可能性があり危険である。しかし、仮に、ACK SCANを検知した場合、TCP ACKパケットのみを遮断してしまうと、通常のTCPでの通信は、TCP ACKパケットをやりとりすることでコネクションを確立させているため、その他のTCPでの通信も停止してしまい、他の通信に影響を及ぼすことになる。また、不正アクセスのみを遮断していった場合、新たに外部ネットワークとの通信を必要とするサービスを動作させるたびに、管理者が遮断された不正アクセスを全て解析し、正しく通信させることが可能か否か調査する必要がある。例えば、前記のACK SCANを遮断していた場合、新たなサービスの動作の開始を試みても、TCP ACKが破棄されることによって、通信が出来ないため無駄である。
また、上記の全てのシステムは、外部ネットワークから、内部ネットワークへ流れるパケットを調査対象として監視し、検知するが、逆に、エンド機器がウィルスなどに感染することによって、踏み台になり、内部ネットワークから外部ネットワークに対してDDoS攻撃などの不正アクセスを行う場合に関しては検知できない。
本発明は、前記従来の課題を解決するもので、シグネチャを作成する際に不正アクセスに使われるパケット内に存在する攻撃のパターンと、その不正アクセスが検知された後の適切な対処方法を対にして記録しておき、不正アクセスを検知した時点で、管理者に不正アクセスの内容に応じた適切な処理方法を提供、実施するものである。例えば、以下のような不正アクセスに対応する対処方法をシグネチャに規定しておく。
感染した際のダメージが小さく、遮断してもその他の正常な通信に影響を及ぼさない種類の不正アクセスに関しては、管理者に対して検知時にその種類のパケットのみ遮断する要求を発行し、管理者が遮断するか、一定時間後にその種類のパケットのみを遮断する。
感染した際のダメージが大きく、遮断するとその他の通信に影響を及ぼす種類の不正アクセスに関しては、管理者に検知時にシステムの停止を要求し、管理者が停止させるか、一定時間後に停止させる。
不正アクセスを検知した際に、不正アクセスに対応する対処方法も提供されるため、不正アクセスを検知するたびに管理者が判断してその後の対策を立てる必要が無く、不正アクセスに対する早期対処が可能である。また、不正アクセスに応じて遮断の方法を変化させるため、できるだけ正常な通信に影響を与えないで、不正アクセスから保護することが可能であり、新たに通信させたいサービスが発生した際に、遮断されている不正アクセスの内容を解析する必要がない。
さらに、パケットの流れる方向に関係なくパケットを調査し、不正アクセスを検知するため、エンド機器が不正アクセスにさらされるなどして、踏み台になり、外部ネットワークに対してDDoS攻撃などの不正アクセスを行うような場合も検知することができるため、エンド機器を使用するユーザが気付かないうちに踏み台にされ、外部ネットワークに対して迷惑をかけているような場合も防ぐことが可能である。
前記従来の課題を解決するために、本願の請求項1に係る発明は、不正アクセスの特徴となる攻撃パターンを示すシグネチャに基づいて、ネットワークを流れるパケットから不正アクセスを検出する不正アクセス検知システムであって、不正アクセスが検知された後の適切な対処方法を作成し、前記シグネチャをそれぞれ対応付けて、対処法付きシグネチャを作成する対処法付きシグネチャ提供サーバと、不正アクセス検知・対策部おいては、前記対処法付きシグネチャ提供サーバから提供される前記対処法付きシグネチャを、システムの必要に応じて修正し、管理する対処法付きシグネチャ修正・管理部と、前記ネットワークを流れるパケットを監視し、前記対処法付きシグネチャ修正・管理部により管理された前記対処法付きシグネチャと比較し、不正アクセスであるか否かを判定する不正アクセス検知部と、不正アクセスが検知された際、前記対処法付きシグネチャから前記不正アクセスに対応する対処方法を抽出し、機器アプリケーションに提供する不正アクセス対策部とを備えることを特徴とする。
また、本願の請求項2に係る発明は、前記対処法付きシグネチャ提供サーバから前記対処法付きシグネチャを受信した際、前記機器アプリケーションに対して、修正が必要であるか否かを問い合わせ、前記機器アプリケーションの判断により必要であれば前記機器アプリケーションの要求に基づいて修正し、管理する対処法付きシグネチャ管理部を有することを特徴とする。
また、本願の請求項3に係る発明は、不正アクセスが検知された際、前記対処法付きシグネチャから前記不正アクセスに対応する対処方法を前記機器アプリケーションへ提供した後、一定時間経過しても前記機器アプリケーションで前記対処方法が実行されていない場合、自らが前記対処方法を実行する不正アクセス対策部を有することを特徴とする。
また、本願の請求項4に係る発明は、新たなサービスを開始する際、既に対処方法の施された不正アクセスから、前記新たなサービスを開始するにあたって問題が生じる対処方法を検出し、問題のある対処方法が施されている場合は、対処方法一覧を機器アプリケーションに提供し、場合によっては前記問題が生じる対処方法を解除する不正アクセス対策部を有することを特徴とする。
また、本願の請求項5に係る発明は、既に幾つかの不正アクセスが検知され、対処方法が施されている状態において、一定時間ごとに、前記不正アクセスに対応する対処方法が適切であるか否かを検査し、適切でなくなった場合は、前記不正アクセスの内容と、症状を前記対処法付きシグネチャ提供サーバに送信する不正アクセス対策部を有することを特徴とする。
また、本願の請求項6に係る発明は、不正アクセスの特徴となる攻撃パターンを示すシグネチャに基づいて、ネットワークを流れるパケットから不正アクセスを検出する不正アクセス検知システムであって、不正アクセス検知・対策部は、不正アクセスが検知された後の適切な対処方法を作成し、前記シグネチャをそれぞれ対応付けて、対処法付きシグネチャを作成する対処法付きシグネチャ作成部と、前記対処法付きシグネチャ作成部から提供される前記対処法付きシグネチャを、システムの必要に応じて修正し、管理する対処法付きシグネチャ修正・管理部と、前記ネットワークを流れるパケットを監視し、前記対処法付きシグネチャ修正・管理部により管理された前記対処法付きシグネチャと比較し、不正アクセスであるか否かを判定する不正アクセス検知部と、不正アクセスが検知された際、前記対処法付きシグネチャから前記不正アクセスに対応する対処方法を抽出し、機器アプリケーションに提供する不正アクセス対策部と備えることを特徴とする。
本発明において、シグネチャに不正アクセスに使われる攻撃のパターンと、その不正アクセスが検知された後の適切な対処方法を対にして記録しておき、不正アクセス検知時に、管理者に対処方法を提供することで、不正アクセスを検知するたびに管理者が判断してその後の対策を立てる必要が無く、不正アクセスに対する早期対処が可能となる。また、不正アクセスに応じて遮断の方法を適切に変化させることで、できるだけ正常な通信に影響を与えないで不正アクセスから保護でき、さらに、管理者が新たに通信させたいサービスが発生した際に、遮断されている不正アクセスの内容を解析する必要がなく、管理者の手間を省くことができる。
以下本発明の実施の形態について、図面を参照しながら説明する。
(実施の形態1)
図1は、本発明の実施の形態1における不正アクセス検知対策システムの概要構成を示すブロック図である。
図1は、本発明の実施の形態1における不正アクセス検知対策システムの概要構成を示すブロック図である。
図1において、インターネットなどのネットワークには、対処法付きシグネチャ提供サーバ101、エンド機器やルータ102などが接続されている。対処法付きシグネチャ提供サーバ101は、不正アクセスが発見された後の適切な対処方法を不正アクセスごとに作成し、対処方法と不正アクセスの特徴を示す攻撃パターンを示すシグネチャとを対にした、対処法付きシグネチャを作成する。以下、不正アクセスの特徴を示す攻撃パターンと不正アクセスが検知された後の対処方法との組を羅列したデータを対処法付きシグネチャと記す。対処法付きシグネチャは、主に、対処法付きシグネチャ提供サーバ101を運営する専門家などによって作成され、対処法付きシグネチャ提供サーバ101によって、企業や家庭などのネットワークで用いられるゲートウェイやルータ、エンド機器に提供される。エンド機器やルータ102は、エンド機器やルータ102からネットワークへデータを送信、ネットワークからエンド機器やルータ102がデータを受信するためのデータ送受信部103、不正アクセスを検知し、その後の対処方法を機器アプリケーション108に提供、実施する不正アクセス検知・対策部104、機器アプリケーション108で構成される。不正アクセス検知・対策部104は、対処法付きシグネチャ提供サーバ101から提供された対処法付きシグネチャを管理し、必要に応じてシステムに適した形式にカスタマイズも可能とする対処法付きシグネチャ修正・管理部105と、データ送受信部103を流れるパケットを抽出し、対処法付きシグネチャ修正・管理部105で管理される対処法付きシグネチャを用いて不正アクセスか否かを検査する不正アクセス検知部106と、不正アクセスが検知された際、対処法付きシグネチャの内容をもとに不正アクセスに対応した対策方法を機器アプリケーション108へ提供し、機器アプリケーション108から対処方法の実施の依頼を受けて対策方法を実施する不正アクセス対策部107から構成される。
図2に、対処法付きシグネチャ提供サーバ101で作成される対処法付きシグネチャの一例を示す。不正アクセス名は、不正アクセスの名前を示す。不正アクセスパターンは、不正アクセスの特徴を示す攻撃のパターンである。受けた際のダメージは、システムが不正アクセスを受けた際の被害の度合いであり、被害が小さいほど低い値となり、大きいほど高い値となる。また、遮断の影響は、不正アクセスのみを遮断した際、その他の通信に与える影響の度合いであり、不正アクセスのみを遮断した場合、その他の通信が遮断前と何ら変わることなく継続できれば低い値となり、不正アクセスを遮断したことが影響し、その他の通信も継続できなくなるような場合は高い値となる。センターへの通知の必要性は、対処法付きシグネチャ提供サーバ101や、プロバイダーなどに通知する必要があるか否かを示す。深刻な不正アクセスである場合や、エンド機器やルータ104自身で対応しきれない不正アクセスである場合などは、センターへの通知は必要であると考えられる。ハニーポットへの誘導は、不正アクセスをおとり用のサーバ(ハニーポット)へ誘導し、不正アクセスを詳細に解析する必要があるか否かを示す。不正アクセスを行った侵入者の身元などの記録や、行動内容などを記録することで、侵入者を訴求する際の証拠を収集する場合や、侵入方法や攻撃手法の研究を行う場合などは、ハニーポットへの誘導の必要があると考えられる。図2の1行目の不正アクセスは、“ABC Attack”という名前であり、“eee.exe“という文字列を含むパケットで構成されている。この不正アクセスを受けた際のダメージは“4”、遮断の影響は“6”であり、合計点数は10である。合計点数と、対処方法との関係の一例は後述の図3に示す。センターへの通知は必要、ハニーポットへの誘導も必要である。
図3は、図2のそれぞれの対処法付きシグネチャが具体的にどのような対処方法に該当するかを示した一例である。合計点数は、図2の合計点数と対応している。対処方法は、合計点数によって異なる。図2の1行目の不正アクセスである“ABC Attack”の場合は、合計点数が10であるため、対処方法として、システムの停止を行う必要があることになる。図2の2行目の不正アクセスである“DDD Overflow”の場合は、合計点数は5であるため、不正アクセスのみを遮断(一部遮断)すればよい。ただし、合計点数から図3の対処方法を抽出する方法は一例であり、必ずしも合計点数である必要はない。システムの運用形態により、受けた際のダメージのみで対処方法を判断したい場合は、受けた際のダメージに示した値を図3の合計点数に当てはめ、対処方法を決定してもよい。
図4は、エンド機器やルータ102が、対処法付きシグネチャ提供サーバ101から対処法付きシグネチャを受信し、対処法付きシグネチャ修正・管理部105によって管理されるまでの流れを示したフローチャートである。対処法付きシグネチャ提供サーバ101が各エンド機器やルータ102の対処法付きシグネチャ修正・管理部105へ対処法付きシグネチャを送信する(S401)。対処法付きシグネチャ修正・管理部105は、対処法付きシグネチャを受信したことを機器アプリケーション108へ通知する(S402)。機器アプリケーション108は、通知を受けて、対処法付きシグネチャ修正・管理部105へ問い合わせ、対処法付きシグネチャを修正する必要があるか否かを判断する(S403)。システムの都合などにより、修正の必要がある場合は、機器アプリケーション108は、対処法付きシグネチャの修正内容と修正箇所を対処法付きシグネチャ修正・管理部105へ通知し(S404、405)、対処法付きシグネチャ修正・管理部105は、対処法付きシグネチャを修正して保存する(S406)。修正の必要が無い場合は、機器アプリケーション108は対処法付きシグネチャ修正・管理部105へ修正不要であることを通知し(S404、407)、対処法付きシグネチャ修正・管理部105は、対処法付きシグネチャを保存する(S408)。
図5は、データ送受信部103がインターネットから、あるいは、図示しない他のエンド機器やルータから受信したパケットを不正アクセス検知部106が検査する際の処理を示すフローチャートである。不正アクセス検知部106によりデータ送受信部103を流れるパケットを検査する(S501)。その際、対処法付きシグネチャに合致するパケットを検知しなかった場合は、正常なパケットとみなし、パケットは通過する(S502)。検知した場合は、不正アクセス対策部107へ通知し、不正アクセス対策部107が、対処法付きシグネチャに記載された、その不正アクセスに対応した対処方法を抽出し、対処方法を機器アプリケーション108に提供する(S503、504)。不正アクセス対策部107は、機器アプリケーション108から対処方法の実施を依頼された場合は、対処方法を実行する(S505、506)。依頼されて無い場合は、一定時間経過するまで依頼されたか否かを検査し(S507)、一定時間経過した場合は、不正アクセス対策部107によって、対処方法を自動実行する(S507、508)。
図6に、遮断状況一覧の一例を示す。遮断状況一覧は、実際に検知され、対策方法の施された不正アクセスの一覧を示したリストであり、実際に検知された不正アクセスと図3で示した合計点数と、実際に実施された対処方法などで構成される。1行目の不正アクセスの場合は、“DDD Overflow”という不正アクセスが実際に検知されたことを示しており、合計点数は5であるため、図3より、この不正アクセスのみを遮断(一部遮断)している状態である。
図7は、機器アプリケーション108が新たにサービスを開始したい場合に関して示したフローチャートである。機器アプリケーション108が不正アクセス対策部107へ問い合わせ(S701)、不正アクセス対策部107が遮断状況一覧から新たにサービスを開始する際に弊害となる不正アクセスが既に検知されているかを検索する(S702)。弊害となる不正アクセスが無かった場合、不正アクセス対策部107が機器アプリケーション108へ弊害となる不正アクセスが検知されてないことを通知し、機器アプリケーション108がサービスを開始する(S703、704)。弊害となる不正アクセスが既に検知されていた場合、不正アクセス対策部107が機器アプリケーション108へ遮断状況一覧を提供する(S703、705)。機器アプリケーション108は遮断状況一覧からサービスを開始するか否かを検討し(S706)、サービスを開始しない場合は、何もしないで終了する(S707、708)。サービスを開始する場合は、機器アプリケーション108が、不正アクセス対策部107へサービスの開始を許可する通知を発行する(S707、709)。不正アクセス対策部107は、弊害となる不正アクセスに関して、その対処方法を解除した後(S710)、機器アプリケーション108がサービスを開始する(S711)。図6に挙げた例の場合では、“HOE Scan”が既に検知されており、全遮断の対処方法が適用されているが、全遮断されていることにより、新たなサービスを開始させても通信できないことになる。よって、“HOE Scan”が弊害となる不正アクセスとなる。ただし、全遮断だけに限らず、その他の対処方法が適用されている不正アクセスであっても弊害となる不正アクセスとみなす場合もある。例えば、開始させたいサービスの内容によっては、一部遮断により、遮断されている種類のパケットを用いて通信することも考えられる。この場合は、一部遮断の不正アクセスであっても弊害となる不正アクセスとみなす。
図8は、遮断状況一覧の内容をもとに、既に検知された不正アクセスが適切に対処されているか否かを確認する際のフローチャートである。確認は一定期間ごとに行う。不正アクセス対策部107は、遮断状況一覧の先頭の不正アクセスに対して実施された対処方法に問題が無いか否かを検索する(S801)。不正アクセス対策部107は、問題が無いか否か検査し、問題が無い場合は、遮断状況一覧に次の行が存在するか否かをチェックし、存在する場合は、遮断状況一覧の次の行を検査対象とする(S802、803、804)。次の行が存在しない場合は、終了する(S803)。対処方法に問題があった場合は、不正アクセスの内容、症状を対処法付きシグネチャ提供サーバ101やプロバイダなどのサーバに提供する(S802、805)。例えば、図6で示す不正アクセスが既に検知されている場合、“PQR Attack”は、エンド機器やルータが攻撃を受けても大きな被害を被らないため、対処方法として、アラートを発生させる方法が施されている。しかし、この不正アクセスの亜種などが発生したことにより、エンド機器やルータ102が大きな被害を被るようになった場合、対処方法を変更する必要があるため、その旨と被害内容を対処法付きシグネチャ提供サーバ101やプロバイダなどのサーバに提供する。対処法付きシグネチャ提供サーバ101は、これによっても、新たな対処法付きシグネチャを作成することができる。
(実施の形態2)
図9は、本発明の実施の形態2における不正アクセス検知対策システムの概要構成を示すブロック図である。
図9は、本発明の実施の形態2における不正アクセス検知対策システムの概要構成を示すブロック図である。
図9において、インターネットなどのネットワークには、エンド機器やルータ901が接続される。エンド機器やルータ901は、エンド機器やルータ901からネットワークへデータを送信、ネットワークからエンド機器やルータ901がデータを受信するためのデータ送受信部902、不正アクセスを検知し、その後の対処方法を機器アプリケーション908に提供、実施する不正アクセス検知・対策部903、機器アプリケーション908で構成される。不正アクセス検知・対策部903は、不正アクセスが発見された後の適切な対処方法を不正アクセスごとに作成し、不正アクセスの特徴を示す攻撃パターンを示すシグネチャとを対にした対処法付きシグネチャを作成する対処法付きシグネチャ作成部904と、対処法付きシグネチャ作成部904で作成された対処法付きシグネチャを管理し、必要に応じてシステムに適した形式にカスタマイズも可能とする対処法付きシグネチャ修正・管理部905と、データ送受信部902を流れるパケットを抽出し、対処法付きシグネチャ修正・管理部905で管理される対処法付きシグネチャを用いて不正アクセスか否かを検査する不正アクセス検知部906と、不正アクセスが検知された際、シグネチャの内容をもとに不正アクセスに応じた対策方法を機器アプリケーション908へ提供し、対策方法を実施する不正アクセス対策部907から構成される。
実施の形態2は、図1の実施の形態1において、対処法付きシグネチャ提供サーバ101で行う対処法付きシグネチャの作成を、各エンド機器やルータ901の不正アクセス検知・対策部903における対処法付きシグネチャ作成部904が行うこととしたものである。対処法付きシグネチャ作成部904で作成された対処法付きシグネチャは、対処法付きシグネチャ修正・管理部905で管理される。以降、実施の形態2の全ての動作に関しては、実施の形態1における対処法付きシグネチャ提供サーバ101を対処法付きシグネチャ作成部904に置き換えることで、実施の形態1の記載方法と同様となる。
本発明の不正アクセス検出システムは、不正アクセスに使われる攻撃パターンと、不正アクセスが検知された後の適切な対処方法をシグネチャとして記録しておき、不正アクセス検知時に、管理者に対処方法を提供することで、不正アクセスを検知するたびに管理者が判断してその後の対策を立てる必要無く、早急に不正アクセスに対応することができるため、管理者が家庭内の一般ユーザである場合など、ネットワークセキュリティに関する知識が不足している場合や、管理者の手間を省いて迅速に不正アクセスに対応する必要がある場合に利用できる。
101 対処法付きシグネチャ提供サーバ
102 エンド機器やルータ
103 データ送受信部
104 不正アクセス検知・対策部
105 対処法付きシグネチャ修正・管理部
106 不正アクセス検知部
107 不正アクセス対策部
108 機器アプリケーション
901 エンド機器やルータ
902 データ送受信部
903 不正アクセス検知・対策部
904 対処法付きシグネチャ作成部
905 対処法付きシグネチャ修正・管理部
906 不正アクセス検知部
907 不正アクセス対策部
908 機器アプリケーション
102 エンド機器やルータ
103 データ送受信部
104 不正アクセス検知・対策部
105 対処法付きシグネチャ修正・管理部
106 不正アクセス検知部
107 不正アクセス対策部
108 機器アプリケーション
901 エンド機器やルータ
902 データ送受信部
903 不正アクセス検知・対策部
904 対処法付きシグネチャ作成部
905 対処法付きシグネチャ修正・管理部
906 不正アクセス検知部
907 不正アクセス対策部
908 機器アプリケーション
Claims (6)
- 不正アクセスの特徴となる攻撃パターンを示すシグネチャに基づいて、ネットワークを流れるパケットから不正アクセスを検出する不正アクセス検知システムであって、
不正アクセスが検知された後の適切な対処方法を作成し、前記シグネチャをそれぞれ対応付けて、対処法付きシグネチャを作成する対処法付きシグネチャ提供サーバと、
不正アクセス検知・対策部は、
前記対処法付きシグネチャ提供サーバから提供される前記対処法付きシグネチャを、システムの必要に応じて修正し、管理する対処法付きシグネチャ修正・管理部と、
前記ネットワークを流れるパケットを監視し、前記対処法付きシグネチャ修正・管理部により管理された前記対処法付きシグネチャと比較し、不正アクセスであるか否かを判定する不正アクセス検知部と、
不正アクセスが検知された際、前記対処法付きシグネチャから前記不正アクセスに対応する対処方法を抽出し、機器アプリケーションに提供する不正アクセス対策部とを備えることを特徴とする不正アクセス検知システム。 - 前記対処法付きシグネチャ提供サーバから前記対処法付きシグネチャを受信した際、前記機器アプリケーションに対して、修正が必要であるか否かを問い合わせ、前記機器アプリケーションの判断により必要であれば前記機器アプリケーションの要求に基づいて修正し、管理する対処法付きシグネチャ修正・管理部を有する請求項1記載の不正アクセス検知システム。
- 不正アクセスが検知された際、前記対処法付きシグネチャから前記不正アクセスに対応する対処方法を前記機器アプリケーションへ提供した後、一定時間経過しても前記機器アプリケーションから前記対処方法の実行を依頼されていない場合、自らが前記対処方法を実行する不正アクセス対策部を有する請求項1記載の不正アクセス検知システム。
- 新たなサービスを開始する際、既に対処方法の施された不正アクセスから、前記新たなサービスを開始するにあたって問題が生じる対処方法を検出し、問題のある対処方法が施されている場合は、対処方法一覧を機器アプリケーションに提供し、場合によっては前記問題が生じる対処方法を解除する不正アクセス対策部を有する請求項1記載の不正アクセス検知システム。
- 既に幾つかの不正アクセスが検知され、対処方法が施されている状態において、一定時間ごとに、前記不正アクセスに対応する対処方法が適切であるか否かを検査し、適切でなくなった場合は、前記不正アクセスの内容と、症状を前記対処法付きシグネチャ提供サーバに送信する不正アクセス対策部を有する請求項1に記載の不正アクセス検知システム。
- 不正アクセスの特徴となる攻撃パターンを示すシグネチャに基づいて、ネットワークを流れるパケットから不正アクセスを検出する不正アクセス検知システムであって、
不正アクセス検知・対策部は、
不正アクセスが検知された後の適切な対処方法を作成し、前記シグネチャをそれぞれ対応付けて、対処法付きシグネチャを作成する対処法付きシグネチャ作成部と、
前記対処法付きシグネチャ作成部から提供される前記対処法付きシグネチャをシステムの必要に応じて修正し、管理する対処法付きシグネチャ修正・管理部と、
前記ネットワークを流れるパケットを監視し、前記対処法付きシグネチャ修正・管理部により管理された前記対処法付きシグネチャと比較し、不正アクセスであるか否かを判定する不正アクセス検知部と、
不正アクセスが検知された際、前記対処法付きシグネチャから前記不正アクセスに対応する対処方法を抽出し、機器アプリケーションに提供する不正アクセス対策部と備えることを特徴とする不正アクセス検知システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005055538A JP2006243878A (ja) | 2005-03-01 | 2005-03-01 | 不正アクセス検知システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005055538A JP2006243878A (ja) | 2005-03-01 | 2005-03-01 | 不正アクセス検知システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006243878A true JP2006243878A (ja) | 2006-09-14 |
Family
ID=37050259
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005055538A Pending JP2006243878A (ja) | 2005-03-01 | 2005-03-01 | 不正アクセス検知システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006243878A (ja) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008084729A1 (ja) * | 2006-12-28 | 2008-07-17 | Nec Corporation | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム |
| JP2009232111A (ja) * | 2008-03-21 | 2009-10-08 | Fujitsu Ltd | 通信監視装置、通信監視プログラム、および通信監視方法 |
| JP2009232110A (ja) * | 2008-03-21 | 2009-10-08 | Fujitsu Ltd | 通信監視装置、通信監視プログラム、および通信監視方法 |
| JP2010124158A (ja) * | 2008-11-18 | 2010-06-03 | Nec Engineering Ltd | Ip衛星通信システムおよび不正パケット侵入防御方法 |
| WO2012077308A1 (en) * | 2010-12-06 | 2012-06-14 | Nec Corporation | Communication path verification system, path verification device, communication path verification method, and path verification program |
| US8331251B2 (en) | 2007-01-12 | 2012-12-11 | Yokogawa Electric Corporation | Unauthorized access information collection system |
| JP2013186643A (ja) * | 2012-03-07 | 2013-09-19 | Fujitsu Ltd | 配信装置、配信処理方法及びプログラム、並びに情報処理装置、情報処理方法及びプログラム |
| JP2013240114A (ja) * | 2007-04-20 | 2013-11-28 | Neuraliq Inc | コンピュータネットワークへの不正侵入を解析するシステムおよび方法 |
| JP2015225512A (ja) * | 2014-05-28 | 2015-12-14 | 株式会社日立製作所 | マルウェア特徴抽出装置、マルウェア特徴抽出システム、マルウェア特徴方法及び対策指示装置 |
| JP2016081348A (ja) * | 2014-10-17 | 2016-05-16 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム |
| JP2016099857A (ja) * | 2014-11-25 | 2016-05-30 | 株式会社日立システムズ | 不正プログラム対策システムおよび不正プログラム対策方法 |
| CN115051867A (zh) * | 2022-06-22 | 2022-09-13 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
| JP7544670B2 (ja) | 2021-08-04 | 2024-09-03 | 株式会社日立製作所 | シグネチャ管理装置、およびシグネチャ管理方法 |
-
2005
- 2005-03-01 JP JP2005055538A patent/JP2006243878A/ja active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8874723B2 (en) | 2006-12-28 | 2014-10-28 | Nec Corporation | Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof |
| WO2008084729A1 (ja) * | 2006-12-28 | 2008-07-17 | Nec Corporation | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム |
| US8331251B2 (en) | 2007-01-12 | 2012-12-11 | Yokogawa Electric Corporation | Unauthorized access information collection system |
| JP2013240114A (ja) * | 2007-04-20 | 2013-11-28 | Neuraliq Inc | コンピュータネットワークへの不正侵入を解析するシステムおよび方法 |
| JP2009232111A (ja) * | 2008-03-21 | 2009-10-08 | Fujitsu Ltd | 通信監視装置、通信監視プログラム、および通信監視方法 |
| JP2009232110A (ja) * | 2008-03-21 | 2009-10-08 | Fujitsu Ltd | 通信監視装置、通信監視プログラム、および通信監視方法 |
| JP2010124158A (ja) * | 2008-11-18 | 2010-06-03 | Nec Engineering Ltd | Ip衛星通信システムおよび不正パケット侵入防御方法 |
| WO2012077308A1 (en) * | 2010-12-06 | 2012-06-14 | Nec Corporation | Communication path verification system, path verification device, communication path verification method, and path verification program |
| JP2013186643A (ja) * | 2012-03-07 | 2013-09-19 | Fujitsu Ltd | 配信装置、配信処理方法及びプログラム、並びに情報処理装置、情報処理方法及びプログラム |
| JP2015225512A (ja) * | 2014-05-28 | 2015-12-14 | 株式会社日立製作所 | マルウェア特徴抽出装置、マルウェア特徴抽出システム、マルウェア特徴方法及び対策指示装置 |
| JP2016081348A (ja) * | 2014-10-17 | 2016-05-16 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム |
| JP2016099857A (ja) * | 2014-11-25 | 2016-05-30 | 株式会社日立システムズ | 不正プログラム対策システムおよび不正プログラム対策方法 |
| JP7544670B2 (ja) | 2021-08-04 | 2024-09-03 | 株式会社日立製作所 | シグネチャ管理装置、およびシグネチャ管理方法 |
| CN115051867A (zh) * | 2022-06-22 | 2022-09-13 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
| CN115051867B (zh) * | 2022-06-22 | 2024-04-09 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4480422B2 (ja) | 不正アクセス阻止方法、装置及びシステム並びにプログラム | |
| EP1895738B1 (en) | Intelligent network interface controller | |
| US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
| CA2533853C (en) | Method and system for detecting unauthorised use of a communication network | |
| EP1817685B1 (en) | Intrusion detection in a data center environment | |
| US20060143709A1 (en) | Network intrusion prevention | |
| JP2006119754A (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
| US20170070518A1 (en) | Advanced persistent threat identification | |
| JP2007521718A (ja) | セキュリティブリーチ検知に対するネットワークのクオリティオブサービスを保護するシステムおよび方法 | |
| JP2009504100A (ja) | IPネットワークにおいて標的被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| JP2006243878A (ja) | 不正アクセス検知システム | |
| JP2014099758A (ja) | 複数センサの観測情報の突合による不正通信検知方法 | |
| US20110023088A1 (en) | Flow-based dynamic access control system and method | |
| KR101380015B1 (ko) | 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치 | |
| JP4437797B2 (ja) | ネットワークへの不正接続防止システム及び方法並びにそのプログラム | |
| JP4694578B2 (ja) | コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム | |
| Singh | Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis | |
| CN112671781A (zh) | 基于rasp的防火墙系统 | |
| JP4014599B2 (ja) | 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム | |
| EP1754348B1 (en) | Using address ranges to detect malicious activity | |
| JP2008011008A (ja) | 不正アクセス防止システム | |
| JP4437107B2 (ja) | コンピュータシステム | |
| JP2008141352A (ja) | ネットワークセキュリティシステム | |
| US11451584B2 (en) | Detecting a remote exploitation attack |