[go: up one dir, main page]

JP3723076B2 - 不正侵入防御機能を有するip通信ネットワークシステム - Google Patents

不正侵入防御機能を有するip通信ネットワークシステム Download PDF

Info

Publication number
JP3723076B2
JP3723076B2 JP2000382597A JP2000382597A JP3723076B2 JP 3723076 B2 JP3723076 B2 JP 3723076B2 JP 2000382597 A JP2000382597 A JP 2000382597A JP 2000382597 A JP2000382597 A JP 2000382597A JP 3723076 B2 JP3723076 B2 JP 3723076B2
Authority
JP
Japan
Prior art keywords
packet
unauthorized
boundary
intrusion
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000382597A
Other languages
English (en)
Other versions
JP2002185539A (ja
Inventor
忠直 安藤
敦子 田口
竜央 近藤
裕之 木田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2000382597A priority Critical patent/JP3723076B2/ja
Priority to US09/848,891 priority patent/US6895432B2/en
Publication of JP2002185539A publication Critical patent/JP2002185539A/ja
Application granted granted Critical
Publication of JP3723076B2 publication Critical patent/JP3723076B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は不正行為防止機能を有するIP(Internet Protocol)通信ネットワークシステムに関し、特にインターネットにおける自律システム(AS:Autonomous System)のホストコンピュータに対する悪意のデータ通信を探知(追跡)し、不正行為を防止することを可能にするIP通信ネットワークシステムに関する。
【0002】
【従来の技術】
国際的な規模のIPネットワークであるインターネットにおいて発生する不正行為(以下、不正アクセスと記載することもある)に対して、この不正行為の発信元を特定して自動的に遮断することにより、不正行為者(以下、単に不正者と記載することもある)からホストコンピュータ及びインターネットを保護する必要がある。
【0003】
この不正行為としては、例えば、故意に大量の無効パケットを特定のホストコンピュータに送信して、ホストコンピュータの機能停止を生じさせるDoS攻撃(サービス停止攻撃:Denial of Service Attack)や、他人のパスワードを不正に入手するために、パスワードを可変させながら何度もホストコンピュータにアクセスを行う行為がある。
【0004】
インターネットなどのIPネットワークでは、データをパケットの形態で伝送(転送、交換を含む)するので、IPパケットがどのネットワーク中継装置(以下、単に中継装置と記載することもある)を経由して到着したかを探索することにより、不正者を特定することができる。
【0005】
不正者特定のために、ネットワーク中継装置に残されたIPパケットのログと不正行為による侵入の時刻とを対比しながらIPネットワーク内のパケットの侵入経路を探索する手法がある。
【0006】
また、不正行為による侵入を防ぐために、外部ネットワークとの間にファイアウォールと呼ばれる特別なコンピュータを備え、フィルタリング技術を用いて特定のパケット(特定のアドレスやサービスポート)を制限し、ホストコンピュータ及びIPネットワークを防護する手法がある。
【0007】
さらに、次に示すような2つの従来技術がある。第1の技術は、Cisco社製のNetRanger(登録商標)である。NetRangerの概念図を示す図1を参照すると、このシステムにおいては、不正者がIPネットワークを介してホストコンピュータ(HOST)3に不正アクセスにより侵入した場合、そのホストコンピュータ3に付属している不正監視装置(侵入探知ツール)4はネットワークの接続性を検査するためのloginやpingのしきい値を判定したり、操作パターン特徴認識(成り済まし検索)を実施して異常を検出する。
【0008】
不正監視装置4は、ルータ1及びファイアウォール2に対して異常検出を通知し、不正アクセスの被害対象となっているホストコンピュータ3への接続を遮断するためのフィルタテーブル5の作成をルータ1及びファイアウォール2に依頼する。
【0009】
このフィルタテーブル5が作成されたことで、再度の侵入があっても、ホストコンピュータ5の前段でフィルタリングによりパケットを廃棄することにより、不正者はホストコンピュータ5に対して攻撃を行なえなくなる。
【0010】
第2の技術は、特開2000−124952号公報記載のデータ追跡システムである。このデータ追跡システムの概念図を示す図2を参照すると、このシステムにおいては、不正アクセス者6がIPネットワークを介してホストコンピュータ9Aに侵入してきた場合、そのホストコンピュータ9Aに付属している不正アクセスの事実を検出する装置9Bが不正を検出し、付随している管理システム9Cに通知する。
【0011】
管理システム9Cは検出装置9Bの前段の中継装置7Cに対し、不正アクセスの発信元の追跡を依頼する。追跡依頼を受信した中継装置7Cは不正アクセス者6の特徴情報と自身が中継するデータとを比較する機能をもち、不正データを検出した場合にはその不正データ内のデータリンク層の解析8Cに基づいて、その不正データを発信した1つ前段の中継装置7Bを検出することができる。
【0012】
中継装置7Cは特定した中継装置7Bに不正発信元の追跡を依頼すると同時に、管理システム9Cに特定した前段の中継装置7Bの情報を通知する。このような機能をもつ中継装置7A,7B,7C(データリンク層の解析8A,8B,8Cを含む)を連鎖状にネットワークに設置することにより、最終的に不正アクセス者6の発信元を特定できる。
【0013】
このシステムにおいては、不正アクセス者6が特定された場合、その不正アクセス者6に警告を発すると共に、ネットワーク管理者に通知が行なわれる。
【0014】
【発明が解決しようとする課題】
不特定多数の個人ユーザ及び企業ユーザが自由にIPネットワークを利用できるIP通信ネットワークシステムでは、IPネットワーク全体のどこからでも不正行為が行われる危険性を有する。
【0015】
上述した従来の技術では、比較的小規模なIPネットワークでの不正者検出と侵入の防護とが可能であるものの、国際的な規模のIPネットワークでは十分な効力を発揮しない。
【0016】
つまり、従来の技術においては、前述した例のように、故意に大量のIPパケットを送信するような不正行為の場合、ファイアウォール等でフィルタリングを行いホストコンピュータの防護を行えるものの、大量不正パケットによりIPネットワーク全体へのトラフィックが増加し、通常のパケット制御に悪影響を与えることを免れない。
【0017】
また、不正アクセスを検出し不正者を特定するためには、不正者に至るまでの中継装置(ルータ)を1つずつ逆上らなくてはならず、多数の中継装置が経路中に介在するインターネットでは、不正者を特定するには多大な時間を要する。
【0018】
さらに、インターネットおいては頻繁に経路の変更が行なわれており、中継装置を逆上る手法では、経路変更が行なわれた場合には始めから追跡をやり直さなければならなくなる可能性がある。
【0019】
本発明の課題は、これらの従来技術の問題を解決し、不正パケットの再侵入の遮断を高速に可能とするIP通信ネットワークシステム及び手法を提供することにある。
【0020】
【課題を解決するための手段】
上記課題を解決するために、本発明の第1のIP通信ネットワークシステムは、それぞれ独立のドメインのIPネットワークを構成し、かつIPパケットのインテリア伝送及びエクステリア伝送を行う複数の自律システムを備えるIP通信ネットワークシステムであって、
前記複数の自律システムのそれぞれの前記IPネットワークの境界個所に位置する複数の境界中継装置のそれぞれは、
伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄する廃棄手段と、
前記フィルタリング情報を同一自律システム内の他の全ての前記境界中継装置に配布する配布手段とを有する。
【0021】
本発明の第2のIP通信ネットワークシステムは、前記複数の自律システムのそれぞれのホストコンピュータは、伝送されてきた前記IPパケットが不正侵入の不正パケットであることを予め定められた判定情報に基づいて検出する検出手段を有する。
【0022】
本発明の第3のIP通信ネットワークシステムは、前記境界中継装置の前記配布手段は、前記フィルタリング情報を前記不正パケットを伝送してきた対向の前記自律システム内の前記境界中継装置に更に配布する。
【0023】
本発明の第4のIP通信ネットワークシステムは、前記複数の自律システムのそれぞれの前記IPネットワークの中継個所に位置する複数の中継装置のそれぞれは、
伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄する廃棄手段と、
前記フィルタリング情報を同一自律システム内の他の全ての前記中継装置に配布する配布手段とを有する。
【0024】
本発明の第1の境界中継装置は、独立のドメインのIPネットワークを構成し、かつIPパケットのインテリア伝送及びエクステリア伝送を行う自律システムの境界個所に位置し、
伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄する廃棄手段と、
前記フィルタリング情報を前記自律システム内の他の全ての境界中継装置に配布する配布手段とを有する。
【0025】
本発明の第2の境界中継装置は、前記配布手段は、前記フィルタリング情報を前記不正パケットを伝送してきた対向の前記自律システム内の境界個所に位置する境界中継装置に更に配布する。
【0026】
本発明の第1の不正侵入防御方法は、それぞれ独立のドメインのIPネットワークを構成し、かつIPパケットのインテリア伝送及びエクステリア伝送を行う複数の自律システムを備えるIP通信ネットワークシステムにおいて、
前記複数の自律システムのそれぞれは、
伝送されてきた前記IPパケットが不正侵入の不正パケットであることを予め定めた判定情報に基づいて検出するステップと、
前記IPネットワークの一つの境界個所で、前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したとき、前記不正パケットを廃棄するステップと、
前記フィルタリング情報を同一自律システム内の他の全ての境界個所に配布するステップとを有する。
【0027】
本発明の第2の不正侵入防御方法は、前記フィルタリング情報を前記不正パケットを伝送してきた対向の前記自律システム内の境界個所に配布するステップを更に有する。
【0028】
本発明の第3の不正侵入防御方法は、前記複数の自律システムのそれぞれは、
伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
前記IPネットワークの一つの中継個所で、前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄するステップと、
前記フィルタリング情報を同一自律システム内の他の全ての中継個所に配布するステップとを更に有する。
【0029】
本発明の第4の不正侵入防御方法は、独立のドメインのIPネットワークを構成し、かつIPパケットのインテリア伝送及びエクステリア伝送を行う自律システムの境界個所において、
伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄するステップと、
前記フィルタリング情報を前記自律システム内の他の全ての境界個所に配布するステップとを有する。
【0030】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0031】
〔IP通信ネットワークシステムの全体構成〕
本発明の一実施の形態におけるIP通信ネットワークシステムの全体構成を示す図3を参照すると、このシステムSYSはIPネットワークとしてのインターネットに適用される。
【0032】
IP通信ネットワークシステムSYSには、複数の自律システムAS00,AS01,AS02が存在する。自律システムAS00,AS01,AS02のそれぞれはドメインまたは内部システムとも称され、1つのインターネット接続事業者(プロバイダ)または企業のイントラネットなどが該当する。自律システムAS00,AS01,AS02のそれぞれは、独立のドメインのIPネットワークを構成し、かつIPパケットのインテリア伝送及びエクステリア伝送を行う。
【0033】
自律システムAS00,AS01,AS02の相互間は境界ルータRT1と呼ばれるゲートウェイ(ネットワーク中継装置)を通して接続されている。各自律システムAS00,AS01,AS02において、境界ルータRT1間は中継ルータRT2を通して接続されている。各中継ルータRT2はホストコンピュータを収容することができる。また、ホストコンピュータには複数のユーザ端末装置(パーソナルコンピュータなど)が接続可能である。
【0034】
ここに示す例では、自律システムAS00内の中継ルータ(RT2)20に被害者ホストコンピュータ30が収容され、自律システムAS01内の中継ルータ(RT2)70に不正者ホストコンピュータ60が収容されている。自律システムAS00と自律システムAS01とは、境界ルータ(RT1)10,40を通して接続されている。
【0035】
このようなIP通信ネットワークシステムSYSにおいて、不正者ホストコンピュータ60の追跡を難しくしている背景には、複数の自律システムAS00,AS01における多数のルータ(RT1,RT2)10,20,40,70を経由して不正者ホストコンピュータ60から被害者ホストコンピュータ30に不正パケットが到達するためである。
【0036】
しかし、後に詳述するように、各境界ルータRT1に特別な機構を配備することにより、不正パケットの発信元の追跡と、不正パケットの再侵入の遮断とが高速に可能となる。
【0037】
〔境界ルータ及び被害者ホストコンピュータの概要構成及び動作〕
次に、図3に示すIP通信ネットワークシステムSYSにおける自律システムAS00に配置された境界ルータ10及び被害者ホストコンピュータ30の構成及び動作の概要について説明する。
【0038】
図3及び図4を参照すると、自律システムAS01内の図示省略の不正者端末装置が接続されているホストコンピュータ(不正者)60から不正アクセスのパケットが送信された場合、この不正アクセスパケットは中継ルータ70及び境界ルータ40を通して、自律システムAS00の境界ルータ10に到達する。
【0039】
境界ルータ10に到達した不正アクセスパケットは、境界ルータ10内のIPパケット中継部100を通過した後、中継ルータ20を通ってホストコンピュータ(被害者)30のIPパケット送受信部300に受信される。
【0040】
不正アクセスパケットは更にTCP/IP(Transmission Control Protocol over Internet Protocol)階層のアプリケーションプロトコル(以下、単にアプリケーションと記載する)301を介して不正侵入監視部340に渡される(動作手順OP1)。
【0041】
次に、不正侵入監視部340は、しきい値情報350を参照し、予め定められたしきい値を超えている場合、不正アクセスがあったことを示す不正アクセス発生情報(後に詳述する探索要求データ))をIPパケット送受信部300に通知する。しきい値情報350の設定はホストコンピュータ30の管理者によって予め行われる。
【0042】
IPパケット送受信部300から送信された不正アクセス発生情報は、中継ルータ20を介して境界ルータ10のポート106に入力され、不正侵入監視装置180に通知される。なお、厳密には、不正アクセス発生情報はポート106からIPパケット中継部100を経由して不正侵入監視装置180に通知される(OP2)。
【0043】
不正侵入監視装置180は受信した不正アクセス発生情報に基づく不正アクセス情報を不正アクセス情報テーブル150に登録する(OP3)。また、不正侵入監視装置180は境界ルータ情報152を参照し、情報配付先を決定する(OP4)。
【0044】
境界ルータ10は不正アクセス情報テーブル150の内容を自己の自律システムAS00及び隣接する他の自律システムAS01の他の境界ルータRT1,40に通知し、それぞれの境界ルータ内の不正アクセス情報テーブルに登録依頼する(OP5)。
【0045】
この後、自律システムAS01の不正者ホストコンピュータ60からの再侵入があると、不正アクセスパケットはポート107を通してIPパケット中継部100に入る(OP6)。IPパケット中継部100は不正アクセス情報テーブル150を参照し、受信した不正アクセスパケットの内容と比較する(OP7)。
【0046】
この比較結果、内容が一致したならば、IPパケット中継部100において該当パケットを廃棄し、不正アクセスを遮断する(OP8)。
【0047】
これにより、自律システムAS00の境界ルータ10と隣接する他の自律システムAS01の境界ルータ40との間で不正アクセス情報テーブル150の内容の交換ができ、不正者の侵入経路を高速に探索できるばかりでなく、不正アクセスパケットの侵入を自律システムAS00などの自律ネットワーク単位で防御することができる。
【0048】
さらに、被害者ホストコンピュータ30において不正者の監視状況を把握するために、次の動作を行う。
【0049】
つまり、上記動作手順OP3において、不正侵入監視装置180が不正監視状態になり、かつ上記動作手順OP8において、IPパケット中継部100が不正アクセスパケットを発見したとき、境界ルータ10,40,RT1のそれぞれの状況(後に詳述する不正侵入レスポンスデータ)をホストコンピュータ30に報告する(OP9)。
【0050】
また、ホストコンピュータ30のIPパケット送受信部300は、報告された境界ルータ10,40,RT1のそれぞれの状況情報を不正侵入監視表示部360に伝達し、不正監視の状況表示を行わせる(OP10)。
【0051】
〔境界ルータ及び被害者ホストコンピュータの詳細構成及び動作〕
次に、図3及び図4に示すIP通信ネットワークシステムSYSにおける自律システムAS00に配置された境界ルータ10及び被害者ホストコンピュータ30の構成及び動作の詳細について説明する。
【0052】
(被害者ホストコンピュータにおける不正者侵入時の処理)
図15及び図16は被害者ホストコンピュータ30における不正者侵入時の処理手順を示している。
【0053】
図5及び関連図を併せ参照すると、自律システムAS01内の不正者ホストコンピュータ60から不正アクセスのIPパケットが送信された場合、この不正アクセスパケット(以下、単に不正パケットと称することもある)は中継ルータ70及び境界ルータ40を通して、自律システムAS00の境界ルータ10に到達する。
【0054】
境界ルータ10に到達した不正アクセスパケットは、境界ルータ10内のポート107、IPパケット中継部100、及びポート106を通過した後、中継ルータ20を通って被害者ホストコンピュータ(HOST)30のIPパケット送受信部300に受信される。
【0055】
不正アクセスパケットは更にアプリケーション301を介して不正侵入監視部340に渡される。つまり、TCP/IP階層のFTP(File Transfer Protocol)及びTelnet(Telecommunication Network Protocol)などのアプリケーション301では、不正アクセスを判断するのに必要な情報として、アプリケーション種別,セッション(session)情報,不正者のIPアドレス(偽りアドレス可),メッセージ種別,ユーザID,転送ファイル名,転送ファイルサイズ,操作ディレクトリ,及び入力コマンド名などを不正侵入監視部340の受付部302に送信して不正侵入監視機能を起動する。
【0056】
不正侵入監視部340は起動されると、しきい値情報テーブル(図示省略)のしきい値情報350に基づいて、不正侵入か否かの判断を行う。不正侵入監視部340の不正アクセス判定処理部303は、図16に示す処理手順に基づいて、アプリケーション301から受付部302を通して受信したアプリケーション種別やセッション情報などから、同一ユーザによる同一コマンド等の繰り返し攻撃なのか、単にトラフィックが上がっているのかを見極めたうえでしきい値情報350と比較する。
【0057】
しきい値情報350には、図8に示すように、不正アクセスを監視するための種別(アプリケーション種別、メッセージ種別など)と、それらに対応した不正トライ回数とが設定されている。しきい値情報350は、図13に示すように、不正を監視するための各々の判定種別に対して複数の要素(条件)を保有し、それぞれの要素が全て満たされたときに不正となるように登録されている。
【0058】
これにより、不正アクセスパケット検出の正確性を強化している。しきい値情報350の設定は、被害者ホストコンピュータ30の管理者がその利用状況に応じて、コマンド163の入力により予め設定しておく。
【0059】
より好ましくは、不正アクセスによる不正侵入を防ぐためのしきい値情報350のほかに、ウィルスの特徴情報を設定できるようにすることで、ウィルスデータを含むパケットを送受信しないように、ホストコンピュータ30の不正侵入監視部340を構成する。
【0060】
不正侵入監視部340の不正アクセス判定処理部303は、不正アクセスと判断すると、要求種別「登録(不正アクセス防止依頼要求)」を含む探索要求データ50を作成し、パケットの形態でIPパケット送受信部300及び中継ルータ20を経て、境界ルータ10に通知する。
【0061】
探索要求データ50は、図6に一例を示すように、宛先ルータ(境界ルータ)IPアドレス,自ルータIPアドレス,宛先(被害者ホストコンピュータ30)IPアドレス,プロトコル種別,ポート番号などを一情報として含む。
【0062】
(境界ルータにおける不正者情報配布時の処理)
図17,図18及び図19は境界ルータにおける不正者情報(探索要求データ)配布時の処理手順を示している。
【0063】
被害者ホストコンピュータ30から探索要求データ50により不正アクセス発生の通知を受けた境界ルータ10においては、ポート106からIPパケット中継部100を通して、不正侵入監視装置180の受付処理部104が起動される。
【0064】
不正侵入監視装置180では、情報登録処理部103が探索要求データ50に含まれている不正者情報の内、被害者ホストコンピュータ30に対応する宛先IPアドレス,プロトコル種別,及びポート番号を不正アクセス情報80(図7参照)として不正アクセス情報テーブル150に登録(追加登録)する。また、IPパケット送受信部103は探索要求データ50をアプリケーション301及び不正侵入レスポンス処理部109に送信する。これにより、この境界ルータ10は不正者ホストコンピュータ60から被害者ホストコンピュータ30への不正アクセスパケットの監視状態になる。
【0065】
なお、不正アクセスの監視期間(時間)を予めコマンド162により情報登録処理部103に設定することも可能である。この場合には、所定の監視期間が満了すると不正監視を停止させるために、情報登録処理部103が不正アクセス情報テーブル150から該当する情報を削除する。
【0066】
境界ルータ10の不正侵入レスポンス処理部109は、IPパケット送受信部103からの探索要求データ50に基づき、不正者ホストコンピュータ60の監視状態になっていることをIPパケット中継部100を通して宛先ホストコンピュータ、つまり被害者ホストコンピュータ30に伝達するために、レスポンス種別として「不正監視」を含む不正侵入レスポンスデータ140をパケット形態で送信する。
【0067】
この不正侵入レスポンスデータ140には、図12に示すように、レスポンス種別としての「不正発見」及び「不正監視」の情報のほかに、宛先IPアドレス、自ルータIPアドレス、プロトコル種別、ポート番号、及び自ルータAS番号が含まれている。
【0068】
情報登録処理部103による不正者アクセス情報テーブル150への不正監視を実施させるための不正アクセス情報80の登録が完了した後、宛先検索処理部102は境界ルータ情報テーブル151を検索し、不正アクセス情報通知先(境界ルータIPアドレス)を読み出す。この境界ルータ情報テーブル151には、図9に示すように、同一自律システムAS00内の境界ルータRT1のIPアドレスなどの境界ルータ情報152が登録されており、その宛先全ての境界ルータRT1に探索要求データ50が追跡依頼情報配付処理部101,IPパケット中継部100,及びポート107を通して通知される。
【0069】
ここで、追跡依頼情報配付処理部101は宛先検索処理部102から受信した探索要求データ50のうちの宛先ルータIPアドレス及び自ルータIPアドレスを取得した境界ルータIPアドレス及び自境界ルータIPアドレスにそれぞれ更新する。また、追跡依頼情報配付処理部101は更新した探索要求データ50を記録する処理を取得アドレス数に対応する回数繰り返す。
【0070】
境界ルータ情報テーブル151には、コマンド160で境界ルータ情報152を設定できるが、自律システムAS00内の他の全ての境界ルータRT1に境界ルータ情報152の設定を実施するのには手間がかかる。このために、境界ルータ情報送受信処理部105が他の境界ルータRT1との間で定期的に境界ルータ情報152を交換する。
【0071】
以上の処理により、不正侵入された自律システムAS00内の全ての境界ルータRT1に、配布された探索要求データ50に基づく不正アクセス情報80が設定され、自律システムAS00全体が不正侵入の監視下におかれた状態になる。
【0072】
(境界ルータにおける不正アクセスパケット監視時の処理)
図20,図21及び図22は境界ルータにおける不正アクセスパケット監視時の処理手順を示している。
【0073】
この状態で、更に自律システムAS01の境界ルータ40を通して不正アクセスがあった場合、不正者ホストコンピュータ60からのIPパケット(不正アクセスパケット)は、境界ルータ10のポート107を経由してIPパケット中継部100に送られる。
【0074】
IPパケット中継部100は不正アクセス情報テーブル150を参照し、入力IPパケットが不正者ホストコンピュータ60からの不正アクセスパケットと一致するか否かを確認する。ここでは、不正者ホストコンピュータ60からの不正アクセスパケットのため、登録内容と一致する。
【0075】
IPパケット中継部100は境界ルータ40から受信したIPパケット及び不正アクセス情報テーブル150に登録されている不正アクセス情報80を基に、図11に示す情報を含む不正パケット情報120を作成し、不正侵入監視装置180の宛先検索処理部102に送信する。
【0076】
宛先検索処理部102は、不正アクセスパケットがどこのルータから到来したのかを解析するために、不正パケット情報120と接続ルータ情報テーブル108内の接続ルータ情報90(図10参照)とを参照し、一致する近隣のルータのIPアドレス(不正アクセスパケットの送信元ルータIPアドレス)を取得する。なお、接続ルータ情報テーブル108への接続ルータ情報90は、予めコマンド160により、自ルータに接続されている近隣のルータの情報として登録される。
【0077】
追跡依頼情報配付処理部101は宛先検索処理部102から取得したIPアドレス及び不正パケット情報120を基に、配布するべき境界ルータ40宛の探索要求データ50を作成する。この作成された探索要求データ50はIPパケット中継部100及びポート107を経由して境界ルータ40に送信される。
【0078】
追跡依頼情報配付処理部101は、同時に、この境界ルータ10で不正アクセスパケットを発見したことを宛先ホストコンピュータ対応の被害者ホストコンピュータ30に伝達するために、レスポンス種別として「不正発見」を示した不正侵入レスポンスデータ140(図12参照)を不正侵入レスポンス処理部109からIPパケット中継部100を経由して送信する。
【0079】
自律システムAS01内の境界ルータ40は上述した処理を繰り返すことにより、自IPネットワーク内の不正者、つまりホストコンピュータ60を限定する。
【0080】
探索要求データ50が最終的に不正者の存在する、厳密には不正者の使用する端末装置に係わるホストコンピュータ60に到達した場合、その不正者ホストコンピュータ60はルータ同様に不正者の判定を行い、不正者の情報を探索要求データ50の宛先IPアドレス対応の被害者ホストコンピュータ30に送信する。
【0081】
不正者の特定が行われ、排除された後には、IPネットワーク全体の自律システムAS00,AS01に登録解除を指示する必要がある。各境界ルータ10,40,RT1においては、通常は上述した監視期間(時間)によって登録解除を実施するが、コマンド161によって解除要求を境界ルータ10に送信し、不正アクセス情報テーブル150から該当する情報を削除することもできる。
【0082】
各境界ルータ10,40,RT1から送信された不正侵入レスポンスデータ140は、被害を受けている被害者ホストコンピュータ30のIPパケット送受信部300を経由して、不正侵入監視レスポンス受付処理部304が受信し、不正侵入監視状況表示処理部305を起動する。
【0083】
なお、不正侵入監視レスポンス受付処理部304及び不正侵入監視状況表示処理部305は、図4に示す被害者ホストコンピュータ30の不正侵入監視表示部360を構成する。
【0084】
不正侵入監視状況表示処理部305は受信した不正侵入レスポンスデータ140からAS番号やルータアドレスを抽出し、図14に示すような不正侵入監視状況を不正侵入監視表示部360に表示する。
【0085】
図14に示す不正侵入監視状況の表示例においては、AS番号「111」対応の自律システム内のマーク◎で記載したホストコンピュータ(IPアドレス:111.10.12.44)30が被害者であり、AS番号「2510」の自律システム内のマーク☆で記載した不正者ホストコンピュータ(IPアドレス:10.34.210.55)60が不正者の端末装置(IPアドレス:10.34.210.75)に係わることを示している。
【0086】
また、各自律システムにおいてマーク●は「不正発見」の境界ルータを示し、マーク○は「不正監視中」の境界ルータを示している。
【0087】
以上説明したように、本発明の一実施の形態のIP通信ネットワークシステムSYSにおいては、インターネットなどのIPネットワークから自律システムAS00のホストコンピュータ30に侵入してきた不正者の不正アクセスパケットは、境界ルータ10の不正侵入監視装置180で検出し、同一自律システムAS00内の他の境界ルータRT1に通知する。
【0088】
境界ルータ10では、自境界ルータの不正アクセス情報テーブル150に直接登録し、再侵入時、高速で送信元のキャリア(プロバイダ)を特定することができる。境界ルータ情報テーブル151には、自律システムAS00内の境界ルータ10,RT1のIPアドレスが登録されており、この宛先に不正者情報(探索要求データ50)を配付することにより、不正者特定の高速化を図ることが可能になる。また、不正なパケットの侵入を自律システムAS00のネットワーク単位で防御できるため、不正アクセスパケットによるトラフィック増加などを防止できる。
【0089】
各境界ルータ10,RT1に不正アクセス情報テーブル150をもち、再侵入してきた場合、その不正アクセス情報テーブル150内の不正アクセス情報80と比較し、該当する侵入者と判明したならば、送信元ルータ(RT1)40に探索要求データ50を配付する。これを繰り返すことにより、不正者に最も近いルータ(RT1)40にたどり着いた場合には、そのルータにて遮断処理が行なわれ、不正者のアクセスを遮断することができる。
【0090】
さらに、被害者ホストコンピュータ30の存在する自律システムAS00内の全ての他境界ルータRT1に情報が通知されているため、経路が変更された場合でも、迅速に探索を開始することが可能になる。
【0091】
〔変形例〕
上述した一実施の形態のIP通信ネットワークシステムにおいて、同一の自律システムの内部に不正者(不正者のホストコンピュータ及び端末装置)及び被害者(被害者ホストコンピュータ)が存在する場合は、上記境界ルータの機能を持つ中継ルータを自律システムの内部に配備することにより、不正者の特定を同様に行うことができる。
【0092】
この場合、自律システム内の各々の中継ルータ内部の接続ルータ情報テーブル及び境界ルータ情報テーブルには、自ルータに接続されているルータを登録しておく。
【0093】
不正を検出した被害者ホストコンピュータは探索要求データを境界ルータに送信すると共に、自被害者ホストコンピュータに接続している中継ルータにも送信する。中継ルータによる不正者特定の処理手法は上述した境界ルータによる不正者の特定手法と同じである。
【0094】
〔付記〕
(付記1) それぞれ独立のドメインのIPネットワークを構成し、かつIPパケットのインテリア伝送及びエクステリア伝送を行う複数の自律システムを備えるIP通信ネットワークシステムであって、
前記複数の自律システムのそれぞれの前記IPネットワークの境界個所に位置する複数の境界中継装置のそれぞれは、
伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄する廃棄手段と、
前記フィルタリング情報を同一自律システム内の他の全ての前記境界中継装置に配布する配布手段とを有する
IP通信ネットワークシステム。
【0095】
(付記2) 前記複数の自律システムのそれぞれのホストコンピュータは、伝送されてきた前記IPパケットが不正侵入の不正パケットであることを予め定められた判定情報に基づいて検出する検出手段を有する
付記1記載のIP通信ネットワークシステム。
【0096】
(付記3) 前記境界中継装置の前記配布手段は、前記フィルタリング情報を前記不正パケットを伝送してきた対向の前記自律システム内の前記境界中継装置に更に配布する
付記1または2記載のIP通信ネットワークシステム。
【0097】
(付記4) 前記複数の自律システムのそれぞれの前記IPネットワークの中継個所に位置する複数の中継装置のそれぞれは、
伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄する廃棄手段と、
前記フィルタリング情報を同一自律システム内の他の全ての前記中継装置に配布する配布手段とを有する
付記1、2または3記載のIP通信ネットワークシステム。
【0098】
(付記5) 独立のドメインのIPネットワークを構成し、かつIPパケットのインテリア伝送及びエクステリア伝送を行う自律システムの境界個所に位置し、
伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄する廃棄手段と、
前記フィルタリング情報を前記自律システム内の他の全ての境界中継装置に配布する配布手段とを有する
境界中継装置。
【0099】
(付記6) 前記配布手段は、前記フィルタリング情報を前記不正パケットを伝送してきた対向の前記自律システム内の境界個所に位置する境界中継装置に更に配布する
付記5記載の境界中継装置。
【0100】
(付記7) それぞれ独立のドメインのIPネットワークを構成し、かつIPパケットのインテリア伝送及びエクステリア伝送を行う複数の自律システムを備えるIP通信ネットワークシステムにおいて、
前記複数の自律システムのそれぞれは、
伝送されてきた前記IPパケットが不正侵入の不正パケットであることを予め定めた判定情報に基づいて検出するステップと、
前記IPネットワークの一つの境界個所で、前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したとき、前記不正パケットを廃棄するステップと、
前記フィルタリング情報を同一自律システム内の他の全ての境界個所に配布するステップとを有する
不正侵入防御方法。
【0101】
(付記8) 前記フィルタリング情報を前記不正パケットを伝送してきた対向の前記自律システム内の境界個所に配布するステップを更に有する
付記7記載の不正侵入防御方法。
【0102】
(付記9) 前記複数の自律システムのそれぞれは、
伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
前記IPネットワークの一つの中継個所で、前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄するステップと、
前記フィルタリング情報を同一自律システム内の他の全ての中継個所に配布するステップとを更に有する
付記7または8記載の不正侵入防御方法。
【0103】
(付記10) 独立のドメインのIPネットワークを構成し、かつIPパケットのインテリア伝送及びエクステリア伝送を行う自律システムの境界個所において、
伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄するステップと、
前記フィルタリング情報を前記自律システム内の他の全ての境界個所に配布するステップとを有する
不正侵入防御方法。
【0104】
(付記11) 前記フィルタリング情報を前記不正パケットを伝送してきた対向の前記自律システム内の境界個所に配布するステップを更に有する
付記10記載の不正侵入防御方法。
【0105】
【発明の効果】
以上説明したように、本発明によれば、他のキャリア(他のプロバイダ)のIPネットワーク、つまり自律システムを介して侵入してきた不正者を1つ1つの中継個所を逆上り特定せず、直接境界個所にて検出することで不正者を高速に(短時間に)特定し、遮断することができる。
【0106】
また、不正者情報(フィルタリング情報)を同一自律システム(同一キャリアネットワーク)内の全ての境界個所にもたすことで、その自律システム全体にガードがかかることになり、不正アクセスのIPパケットの再侵入を防ぐことができる。
【図面の簡単な説明】
【図1】従来のIP通信ネットワークシステムの第1の例を説明するための図。
【図2】従来のIP通信ネットワークシステムの第2の例を説明するための図。
【図3】本発明の一実施の形態のIP通信ネットワークシステムの構成を示すブロック図。
【図4】境界ルータ及び被害者ホストコンピュータの概要構成及び動作を説明するためのブロック図。
【図5】境界ルータ及び被害者ホストコンピュータの詳細構成及び動作を説明するためのブロック図。
【図6】探索要求データを説明するための図。
【図7】不正アクセス情報を説明するための図。
【図8】しきい値情報を説明するための図。
【図9】境界ルータ情報を説明するための図。
【図10】接続ルータ情報を説明するための図。
【図11】不正パケット情報を説明するための図。
【図12】不正侵入レスポンスデータを説明するための図。
【図13】しきい値情報の判定種別の要素を説明するための図。
【図14】不正侵入監視状況の表示例を示す。
【図15】被害者ホストコンピュータにおける不正者侵入時の処理を示すフローチャート。
【図16】被害者ホストコンピュータにおける不正者侵入時の処理を示すフローチャート。
【図17】境界ルータにおける不正者情報配布時の処理を示すフローチャート。
【図18】境界ルータにおける不正者情報配布時の処理を示すフローチャート。
【図19】境界ルータにおける不正者情報配布時の処理を示すフローチャート。
【図20】境界ルータにおける不正パケット監視時の処理を示すフローチャート。
【図21】境界ルータにおける不正パケット監視時の処理を示すフローチャート。
【図22】境界ルータにおける不正パケット監視時の処理を示すフローチャート。
【符号の説明】
SYS IP通信ネットワークシステム
AS00,AS01,AS02 自律システム
10,40,RT1 境界ルータ
20,70,RT2 中継ルータ
30 被害者ホストコンピュータ
60 不正者ホストコンピュータ

Claims (10)

  1. それぞれ独立のドメインのIPネットワークを構成し、かつIPパケットのインテリア伝送及びエクステリア伝送を行う複数の自律システムを備えるIP通信ネットワークシステムであって、
    前記複数の自律システムのそれぞれの前記IPネットワークの境界個所に位置する複数の境界中継装置のそれぞれは、
    伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
    前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄する廃棄手段と、
    前記フィルタリング情報を同一自律システム内の他の全ての前記境界中継装置に配布する配布手段とを有する
    IP通信ネットワークシステム。
  2. 前記複数の自律システムのそれぞれのホストコンピュータは、伝送されてきた前記IPパケットが不正侵入の不正パケットであることを予め定められた判定情報に基づいて検出する検出手段を有する
    請求項1記載のIP通信ネットワークシステム。
  3. 前記境界中継装置の前記配布手段は、前記フィルタリング情報を前記不正パケットを伝送してきた対向の前記自律システム内の前記境界中継装置に更に配布する
    請求項1または2記載のIP通信ネットワークシステム。
  4. 前記複数の自律システムのそれぞれの前記IPネットワークの中継個所に位置する複数の中継装置のそれぞれは、
    伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
    前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄する廃棄手段と、
    前記フィルタリング情報を同一自律システム内の他の全ての前記中継装置に配布する配布手段とを有する
    請求項1、2または3記載のIP通信ネットワークシステム。
  5. 独立のドメインのIPネットワークを構成し、かつIPパケットのインテリア伝送及びエクステリア伝送を行う自律システムの境界個所に位置し、
    伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
    前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄する廃棄手段と、
    前記フィルタリング情報を前記自律システム内の他の全ての境界中継装置に配布する配布手段とを有する
    境界中継装置。
  6. 前記配布手段は、前記フィルタリング情報を前記不正パケットを伝送してきた対向の前記自律システム内の境界個所に位置する境界中継装置に更に配布する
    請求項5記載の境界中継装置。
  7. それぞれ独立のドメインのIPネットワークを構成し、かつIPパケットのインテリア伝送及びエクステリア伝送を行う複数の自律システムを備えるIP通信ネットワークシステムにおいて、
    前記複数の自律システムのそれぞれは、
    伝送されてきた前記IPパケットが不正侵入の不正パケットであることを予め定めた判定情報に基づいて検出するステップと、
    前記IPネットワークの一つの境界個所で、前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したとき、前記不正パケットを廃棄するステップと、
    前記フィルタリング情報を同一自律システム内の他の全ての境界個所に配布するステップとを有する
    不正侵入防御方法。
  8. 前記フィルタリング情報を前記不正パケットを伝送してきた対向の前記自律システム内の境界個所に配布するステップを更に有する
    請求項7記載の不正侵入防御方法。
  9. 前記複数の自律システムのそれぞれは、
    伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
    前記IPネットワークの一つの中継個所で、前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄するステップと、
    前記フィルタリング情報を同一自律システム内の他の全ての中継個所に配布するステップとを更に有する
    請求項7または8記載の不正侵入防御方法。
  10. 独立のドメインのIPネットワークを構成し、かつIPパケットのインテリア伝送及びエクステリア伝送を行う自律システムの境界個所において、
    伝送されてきた前記IPパケットが不正侵入の不正パケットである場合、
    前記不正パケットの再侵入を検出するためのフィルタリング情報に基づいて前記再侵入を検出したときは、前記不正パケットを廃棄するステップと、
    前記フィルタリング情報を前記自律システム内の他の全ての境界個所に配布するステップとを有する
    不正侵入防御方法。
JP2000382597A 2000-12-15 2000-12-15 不正侵入防御機能を有するip通信ネットワークシステム Expired - Fee Related JP3723076B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2000382597A JP3723076B2 (ja) 2000-12-15 2000-12-15 不正侵入防御機能を有するip通信ネットワークシステム
US09/848,891 US6895432B2 (en) 2000-12-15 2001-05-04 IP network system having unauthorized intrusion safeguard function

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000382597A JP3723076B2 (ja) 2000-12-15 2000-12-15 不正侵入防御機能を有するip通信ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2002185539A JP2002185539A (ja) 2002-06-28
JP3723076B2 true JP3723076B2 (ja) 2005-12-07

Family

ID=18850394

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000382597A Expired - Fee Related JP3723076B2 (ja) 2000-12-15 2000-12-15 不正侵入防御機能を有するip通信ネットワークシステム

Country Status (2)

Country Link
US (1) US6895432B2 (ja)
JP (1) JP3723076B2 (ja)

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6549918B1 (en) * 1998-09-21 2003-04-15 Microsoft Corporation Dynamic information format conversion
US8051199B2 (en) * 2001-06-08 2011-11-01 The University Of Hong Kong Self-routing address assignment in packet-switched networks
WO2002101516A2 (en) * 2001-06-13 2002-12-19 Intruvert Networks, Inc. Method and apparatus for distributed network security
US20030065943A1 (en) * 2001-09-28 2003-04-03 Christoph Geis Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network
US7181765B2 (en) * 2001-10-12 2007-02-20 Motorola, Inc. Method and apparatus for providing node security in a router of a packet network
US20030084340A1 (en) * 2001-10-31 2003-05-01 Schertz Richard L. System and method of graphically displaying data for an intrusion protection system
US20030084318A1 (en) * 2001-10-31 2003-05-01 Schertz Richard L. System and method of graphically correlating data for an intrusion protection system
SE526312C2 (sv) * 2001-12-21 2005-08-23 Anna Oestberg Med Anna Oestber Spärranordning för oönskad nättrafik i öppna telekommunikationsnät
US7657934B2 (en) * 2002-01-31 2010-02-02 Riverbed Technology, Inc. Architecture to thwart denial of service attacks
US20030229703A1 (en) * 2002-06-06 2003-12-11 International Business Machines Corporation Method and apparatus for identifying intrusions into a network data processing system
US7367055B2 (en) * 2002-06-11 2008-04-29 Motorola, Inc. Communication systems automated security detection based on protocol cause codes
US7327690B2 (en) * 2002-08-12 2008-02-05 Harris Corporation Wireless local or metropolitan area network with intrusion detection features and related methods
US20040068559A1 (en) * 2002-10-04 2004-04-08 Shaw Terry D. Method for detection of unauthorized computer system usage
US7660980B2 (en) * 2002-11-18 2010-02-09 Liquidware Labs, Inc. Establishing secure TCP/IP communications using embedded IDs
US7591001B2 (en) * 2004-05-14 2009-09-15 Liquidware Labs, Inc. System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing a network connection
US7386889B2 (en) * 2002-11-18 2008-06-10 Trusted Network Technologies, Inc. System and method for intrusion prevention in a communications network
US7549159B2 (en) * 2004-05-10 2009-06-16 Liquidware Labs, Inc. System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing connection thereto
US20040148520A1 (en) * 2003-01-29 2004-07-29 Rajesh Talpade Mitigating denial of service attacks
JP4354201B2 (ja) 2003-03-18 2009-10-28 富士通株式会社 不正アクセス対処システム、及び不正アクセス対処処理プログラム
JP4520703B2 (ja) * 2003-03-31 2010-08-11 富士通株式会社 不正アクセス対処システム、及び不正アクセス対処処理プログラム
JP2004348292A (ja) * 2003-05-20 2004-12-09 Nec Corp サイバーセキュリティシステム、サイバーセキュリティ提供方法及び制御プログラム
JP4268453B2 (ja) * 2003-05-29 2009-05-27 株式会社ルートレック・ネットワークス 通信制御方法及び装置
JP2005012710A (ja) 2003-06-20 2005-01-13 Sony Corp 無線通信方法及び装置
US7840698B2 (en) * 2003-09-12 2010-11-23 Avaya Inc. Detection of hidden wireless routers
JP3758661B2 (ja) * 2003-11-17 2006-03-22 株式会社インテリジェントウェイブ 不正監視プログラム、不正監視の方法及び不正監視システム
US20050193429A1 (en) * 2004-01-23 2005-09-01 The Barrier Group Integrated data traffic monitoring system
US7814546B1 (en) * 2004-03-19 2010-10-12 Verizon Corporate Services Group, Inc. Method and system for integrated computer networking attack attribution
WO2005116851A2 (en) * 2004-05-25 2005-12-08 Postini, Inc. Electronic message source information reputation system
US8074277B2 (en) * 2004-06-07 2011-12-06 Check Point Software Technologies, Inc. System and methodology for intrusion detection and prevention
JP2006013827A (ja) * 2004-06-25 2006-01-12 Hitachi Communication Technologies Ltd パケット転送装置
JP4376711B2 (ja) * 2004-07-09 2009-12-02 富士通株式会社 アクセス管理方法及びその装置
WO2006042424A1 (en) * 2004-10-19 2006-04-27 Eidgenössische Technische Hochschule Zürich Distributed internet traffic control system
KR100612452B1 (ko) * 2004-11-08 2006-08-16 삼성전자주식회사 악성 코드 탐지 장치 및 그 방법
US7610610B2 (en) 2005-01-10 2009-10-27 Mcafee, Inc. Integrated firewall, IPS, and virus scanner system and method
JP4190508B2 (ja) * 2005-02-23 2008-12-03 日本電信電話株式会社 ネットワーク制御システムおよびネットワーク制御方法
JP4641848B2 (ja) * 2005-03-30 2011-03-02 富士通株式会社 不正アクセス探索方法及び装置
CN100399773C (zh) * 2005-04-29 2008-07-02 华为技术有限公司 实现ip域跨域互通的方法
JP4547340B2 (ja) * 2006-01-30 2010-09-22 アラクサラネットワークス株式会社 トラフィック制御方式、装置及びシステム
US8245304B1 (en) * 2006-06-26 2012-08-14 Trend Micro Incorporated Autonomous system-based phishing and pharming detection
US7681132B2 (en) * 2006-07-13 2010-03-16 International Business Machines Corporation System, method and program product for visually presenting data describing network intrusions
US8281405B1 (en) 2007-06-13 2012-10-02 Mcafee, Inc. System, method, and computer program product for securing data on a server based on a heuristic analysis
US8042183B2 (en) * 2007-07-18 2011-10-18 At&T Intellectual Property Ii, L.P. Method and apparatus for detecting computer-related attacks
WO2009041686A1 (ja) 2007-09-28 2009-04-02 Nippon Telegraph And Telephone Corporation ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
JP2009090471A (ja) * 2007-10-03 2009-04-30 Fuji Xerox Co Ltd 画像形成装置、画像形成システムおよびセキュリティプログラム
US8458648B2 (en) * 2007-12-10 2013-06-04 International Business Machines Corporation Graphical modelization of user interfaces for data intensive applications
US20100031093A1 (en) * 2008-01-29 2010-02-04 Inventec Corporation Internal tracing method for network attack detection
US8136160B2 (en) * 2008-11-25 2012-03-13 At&T Intellectual Property I, Lp System and method to select monitors that detect prefix hijacking events
US8327444B2 (en) * 2009-04-13 2012-12-04 Verizon Patent And Licensing Inc. Suspicious autonomous system path detection
JP4814988B2 (ja) * 2009-11-02 2011-11-16 富士通株式会社 不正アクセス対処システム、及び不正アクセス対処処理プログラム
JP2011151514A (ja) * 2010-01-20 2011-08-04 Hitachi Ltd トラフィック量監視システム
JP5000733B2 (ja) * 2010-02-12 2012-08-15 Kddi株式会社 通信制御装置、通信端末および通信制御システム
US8281397B2 (en) * 2010-04-29 2012-10-02 Telcordia Technologies, Inc. Method and apparatus for detecting spoofed network traffic
JP5088403B2 (ja) * 2010-08-02 2012-12-05 横河電機株式会社 不正通信検出システム
JP2016015676A (ja) 2014-07-03 2016-01-28 富士通株式会社 監視装置、監視システム、および、監視方法
WO2016153997A1 (en) * 2015-03-20 2016-09-29 Convida Wireless, Llc Methods to support message routing at service layer
JP6709909B2 (ja) * 2016-02-29 2020-06-17 パナソニックIpマネジメント株式会社 検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0818582A (ja) 1994-06-30 1996-01-19 Toshiba Corp ネットワーク中継装置およびこれを使用したネットワークシステム
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
US5905859A (en) * 1997-01-09 1999-05-18 International Business Machines Corporation Managed network device security method and apparatus
JP3483782B2 (ja) 1998-10-15 2004-01-06 株式会社エヌ・ティ・ティ・データ 電子データの追跡システム及びデータ中継装置
US6363489B1 (en) * 1999-11-29 2002-03-26 Forescout Technologies Inc. Method for automatic intrusion detection and deflection in a network
US6944673B2 (en) * 2000-09-08 2005-09-13 The Regents Of The University Of Michigan Method and system for profiling network flows at a measurement point within a computer network

Also Published As

Publication number Publication date
US6895432B2 (en) 2005-05-17
JP2002185539A (ja) 2002-06-28
US20020078202A1 (en) 2002-06-20

Similar Documents

Publication Publication Date Title
JP3723076B2 (ja) 不正侵入防御機能を有するip通信ネットワークシステム
CN101411156B (zh) 对网络入侵者的自动阻止
US6654882B1 (en) Network security system protecting against disclosure of information to unauthorized agents
US20040078592A1 (en) System and method for deploying honeypot systems in a network
Varadharajan A practical method to counteract denial of service attacks
JP3618245B2 (ja) ネットワーク監視システム
JP2006319982A (ja) 通信ネットワーク内ワーム特定及び不活化方法及び装置
JPH09269930A (ja) ネットワークシステムの防疫方法及びその装置
KR100523483B1 (ko) 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
JP2004302538A (ja) ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
KR200201184Y1 (ko) 네트워크 모니터링을 위한 네트워크 시스템
EP1804447A1 (en) Protect device, protect method, protect program, and network attack protect system
JP3966231B2 (ja) ネットワークシステムと不正アクセス制御方法およびプログラム
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
US20080109902A1 (en) Methods and apparatus for overriding denunciations of unwanted traffic in one or more packet networks
US8646081B1 (en) Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network
JP2004164107A (ja) 不正アクセス監視システム
JP2003333092A (ja) ネットワークシステム、攻撃パケット追跡方法および攻撃パケット防御方法
JP2008141352A (ja) ネットワークセキュリティシステム
JP4641848B2 (ja) 不正アクセス探索方法及び装置
Tupakula et al. Tracing DDoS floods: An automated approach
JP4421462B2 (ja) 不正侵入検知システムおよび管理装置
JP3947138B2 (ja) DDoS防御方法及びDDoS防御機能付きルータ装置
JP4167866B2 (ja) データ伝送方法、データ伝送システム及びデータ伝送装置
JP2008028720A (ja) 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040324

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050831

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050906

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050914

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080922

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090922

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090922

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100922

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100922

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110922

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120922

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120922

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130922

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees