[go: up one dir, main page]

JP2006279930A - 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 - Google Patents

不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 Download PDF

Info

Publication number
JP2006279930A
JP2006279930A JP2006026872A JP2006026872A JP2006279930A JP 2006279930 A JP2006279930 A JP 2006279930A JP 2006026872 A JP2006026872 A JP 2006026872A JP 2006026872 A JP2006026872 A JP 2006026872A JP 2006279930 A JP2006279930 A JP 2006279930A
Authority
JP
Japan
Prior art keywords
traffic
unauthorized access
behavior
packet
access detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006026872A
Other languages
English (en)
Inventor
Tsutomu Kitamura
強 北村
Toshiya Okabe
稔哉 岡部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006026872A priority Critical patent/JP2006279930A/ja
Priority to US11/362,769 priority patent/US20060198313A1/en
Publication of JP2006279930A publication Critical patent/JP2006279930A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】TCPやUDPのポート番号を詐称した不正トラフィック、暗号化またはカプセル化されたトラフィックにおける不正トラフィック、及び、コンピュータウイルスや悪意ユーザーが送出する新規の悪意トラフィックを検出する。
【解決手段】ポート番号ごとにトラフィックの振る舞い(例えば、パケット長の平均値及び分散値、パケット到着時間間隔の平均値及び分散値)の期待値を格納するフロー特徴リスト格納部29と、トラフィックを受信して個々のデータパケットに分離する受信部26と、分離した個々のトラフィックの振る舞いを測定する各算出部21〜24,30〜35と、データパケットのポート番号を検出するポート番号検出部25と、検出されたポート番号に基づき、測定された振る舞いとフロー特徴リスト格納部29に格納された期待値とを比較し、不正トラフィックを判別するフロー比較部28と、を設ける。
【選択図】図1

Description

本発明は、ネットワークを介した不正なアクセスを検出し、遮断する方法及び装置に関し、特に、ネットワーク内を通過するデータトラフィックの種類を特徴ごとに分類し、不正なトラフィックを検出し遮断する、不正アクセス検出方法及び装置並びに不正アクセス遮断方法及び装置に関する。
近年、インターネットなどのネットワーク環境の普及に伴って、ネットワークを介した不正なアクセスが横行するようになってきており、このような不正なアクセスを検出し、遮断する技術が注目を浴びている。インターネット上では、通信プロトコルとしてTCP(Transmission control Protocol)やIP(Internet Protocol)、UDP(User Datagram Protocol)が使用され、データは、これらのプロトコルに基づいたパケットとして伝送される。パケットのヘッダには、送信元のIPアドレス及びポート番号と、送信先のIPアドレス及びポート番号などが格納される。パケットは、IPアドレスで指定された送信先に対して、IPに基づいて送信される。データパケットは、TCP及びUDPによって規定されるポート番号によって、どのアプリケーションのデータなのかが特定されるようになっている。
従来の不正アクセス検出装置や不正アクセス遮断装置は、不正アクセスに係るトラフィックを検出、遮断するために、例えば、ポート番号やIPアドレスなどに関して前もって登録しておいたビットパタンを含むトラフィックを不正フローと判断し、そのような不正フローのトラフィックを検出、遮断する処理を行っていた。
特開2004−38557号公報(特許文献1)には、外部ネットワークから受信した通信データとあらかじめ設定されている特徴情報とを比較し、特徴情報をすべて満たす通信データのみを正常であるとしてサーバに転送する不正アクセス遮断システムが開示されている。
特開2004−140618号公報(特許文献2)には、不正アクセスをパケットフィルタリングによって遮断する装置として、通信パケットを検出パターンと比較して一致不一致の数を求め、これを判定基準に照合して状態遷移を決定し、この状態遷移に基づいてパケットの通過または廃棄を行う装置が開示されている。
特開2003−218949号公報(特許文献3)には、送受信されるパケットの送信元のIPアドレス及びポート番号と、送信先のIPアドレス及びポート番号を記録するとともに、外部から内部ネットワークへのアクセスのパターンを解析し、解析したアクセスパターンがあらかじめ登録された複数種類の不正アクセスパターンのいずれかと一致するかどうかを比較することにより、不正アクセスを検出することが提案されている。ただしこの公報では、アクセスパターン自体については定義は与えられていない。
特開2004−356915号公報(特許文献4)には、不正アクセスを検出するために、不正アクセスの種類ごとにその不正アクセスによって生ずるトラフィック(データパケット量)の時間的な変化のパターンをあらかじめ記憶しておき、実際のトラフィックの時間的な変化のパターンとあらかじめ記憶しておいたパターンとを比較することによって、不正アクセスを検出するとともに不正アクセスの種類を判別することが開示されている。この手法では、新規の種類の不正アクセスの検出が困難である。
特開2004−38557号公報 特開2004−140618号公報 特開2003−218949号公報 特開2004−356915号公報
上述した従来の不正アクセス検出技術では、TCPやUDPのポート番号を詐称した不正トラフィックを検出できないという問題点がある。また、現在、セキュリティの向上のために、トラフィックの暗号化やカプセル化(例えば、Any over HTTPやMobile IPなどといった技術)が行われるようになってきているが、暗号化されたトラフィックやカプセル化されたトラフィックにおいて不正トラフィックを検出するために、個別にビットパターン(アクセスパターン)を指定する必要があり、指定したりあるいはあらかじめ記憶しておくべきパターン数が多くなる、という問題点が生じる。
さらに、上述した手法のうち、特許文献2〜4に記載のものは、過去の不正アクセスに基づくパターンと現在のパターンとを比較するという手法であるから、コンピュータウイルスや悪意ユーザーが送出する新規の悪意トラフィックを検出することができない。また、特許文献1に記載のものは、正常な通信データの特徴情報をあらかじめ用意しておく必要があるから、新規ではあるが正規のトラフィックまで遮断してしまうという、という問題点を有する。
いずれにせよ上述した従来の手法では、不正トラフィックを特定するために、保守者があらかじめビットパタン(アクセスパターン)を指定しなければならないため、保守が煩雑であり、また新たなトラフィック出現時の対応に手間と時間がかかる。
そこで本発明の目的は、ポート番号を詐称した不正トラフィックを検出でき、暗号化やカプセル化されたトラフィックからも不正トラフィックを検出でき、コンピュータウイルスなどに起因する新出の悪意トラフィックも検出できる、不正トラフィック検出方法及び装置並びに不正トラフィック遮断方法及び装置を提供することにある。
本発明の別の目的は、保守者の作業負担を軽減し、新規のトラフィックにも柔軟に対応できる不正トラフィック検出方法及び装置並びに不正トラフィック遮断方法及び装置を提供することにある。
本発明の不正アクセス検出方法は、ネットワークを介した不正トラフィックを検出する不正アクセス検出方法であって、あらかじめトラフィックの種別ごとの振る舞いの期待値を格納する段階と、ネットワークを介して通信を行う際に、個々のトラフィックを分離する段階と、分離した個々のトラフィックの振る舞いを測定する段階と、測定された振る舞いと、振る舞いの期待値とを比較する段階と、比較した結果から不正トラフィックを判別する段階と、を有する。
本発明の第1の不正アクセス検出装置は、ネットワークを介した不正トラフィックを検出する不正アクセス検出装置であって、ネットワークからトラフィックを受信する受信手段と、受信した個々のトラフィックの振る舞いを測定する測定手段と、測定手段による測定結果に応じて、個々のトラフィックが不正トラフィックか否かを識別する識別手段と、を有する。
本発明の第2の不正アクセス検出装置は、ネットワークを介した不正トラフィックを検出する不正アクセス検出装置であって、あらかじめトラフィックの種別ごとの振る舞いの期待値を格納する格納手段と、ネットワークを介してトラフィックを受信し、個々のトラフィックに分離する受信手段と、分離した個々のトラフィックの振る舞いを測定する測定手段と、測定された振る舞いと、格納手段に格納された期待値とを比較し、比較した結果から不正トラフィックを判別する比較手段と、を有する。
本発明においてトラフィックは、典型的にはTCP/IPによるデータパケットによって構成されている。そのようなパケットは、そのパケットを利用するアプリケーション(あるいはプログラム)に応じたパケット長やその分布、パケット到着時間間隔やその分布などで定義されるトラフィックの振る舞いを示すものと考えられる。またTCPやUDPでは、ポート番号がアプリケーションの識別子として用いられており、ポート番号とアプリケーションとは対応付けられている。
そこで本発明では、どのアプリケーションがトラフィックを生じさせているかに基づいてトラフィックの種類を考え、トラフィックの種類ごと(すなわちアプリケーションごと)に、トラフィックが示すであろう振る舞いをあらかじめデータベースに格納する。振る舞いとしては、例えば、トラフィックを構成するデータパケットのパケット長の平均値、パケット長の分散値、パケット到着時間間隔の平均値、パケット到着時間間隔の分散値が用いられる。このようにパケット長の平均値と分散値、パケット到着時間間隔の平均値と分散値を用いることにより、単に通信量やデータパケット量の変化を監視しただけでは検出できないような不正トラフィックを検出できるようになる。
上記説明では、トラフィックの振る舞いとして、トラフィックを構成するデータパケットのパケット長及びパケット到着時間間隔の平均値や分散値を用いるものとしたが、平均値や分散値だけでなく標準偏差などの他の基本統計量パラメータを使用することができる。また上記パラメータ以外にも、トラフィックを構成するデータパケットのパケット長の種類数をトラフィックの振る舞いとして用いてもよい。またTCPヘッダが暗号化されていないデータパケットであれば、TCPフラグにPUSHビット(転送強制ビット)がセットされたパケットであるPUSHパケットの出現率をトラフィックの振る舞いとして用いてもよい。また連続して送信される複数のデータパケットを1つのバーストとして定義することにより、バーストのバースト長及びバースト到着時間間隔の平均値や分散値などの基本統計量パラメータをトラフィックの振る舞いとして用いてもよい。
本発明では、例えば、TCPやUDPのポート番号の詐称を伴う不正トラフィックがあった場合、その不正トラフィックの振る舞いは、本来のアプリケーションに基づくトラフィックの振る舞いとは異なるので、詐称されたポート番号からデータベースを検索して得られる振る舞い期待値と、実際のトラフィックの振る舞いとが一致せず、不正トラフィックであると判断することができる。暗号化やカプセル化されたトラフィックについても、あらかじめ振る舞いの期待値を格納しておけば、上述と同様にして不正トラフィックを検出できる。コンピュータウィルスなどに起因して新出の悪意トラフィックが出現した場合であっても、そのようなトラフィックについては振る舞い期待値が登録されていないということから、不正トラフィックであると判断することができる。
さらに本発明では、格納手段に対してトラフィックの種別ごとの振る舞いの期待値を登録または削除する手段をさらに備え、ネットワークに接続した端末などからトラフィックの振る舞い期待値を登録したり削除したりできるようにすることにより、保守者の作業負担を軽減し、新規のトラフィックにも柔軟に対応できるようになる。
さらに本発明では、トラフィックの振る舞いを測定することによる不正トラフィック検出処理を実施する前に、個々のトラフィックにおける単位時間あたりの受信パケット数を測定し閾値を超えたトラフィックを不正トラフィックの可能性がある被疑トラフィックとする段階を設け、抽出された被疑トラフィックに対して不正トラフィック検出処理を実行するようにしてもよい。被疑トラフィックに対し不正トラフィック検出処理を行うようにすることにより、効率的に不正トラフィック検出処理を実施できるようになる。
さらに本発明では、ポート番号やIPアドレスなどに関するビットパタンをあらかじめ登録しておき、個々に分離されたトラフィックを暗号化トラフィックと非暗号化トラフィックとに分離し、暗号化トラフィックに対しては上述した不正アクセス検出処理を実行し、非暗号化トラフィックに対しては、登録されたビットパタンがその非暗号化トラフィックから検出されるかどうかで不正アクセス検出を行うようにしてもよい。このようにすれば、従来手法では対応できない暗号化されたトラフィックに対しても、不正トラフィック検出処理を実施できるようになる。
さらに本発明では、新規のトラフィックを検出した場合に、そのトラフィックの振る舞いを測定した結果を集計して新規のトラフィックの振る舞い期待値を生成する手段をさらに備えるようにしてもよい。そのような手段を設けることにより、振る舞い期待値の登録に関する保守者の作業負担を軽減することができる。
本発明の不正アクセス遮断方法は、ネットワークを介した不正トラフィックを遮断する不正アクセス遮断方法であって、上述した本発明の不正アクセス検出方法を実施して個々のトラフィックごとに不正なものかそうでないかを判別する段階と、不正と判断されたトラフィックを遮断する段階と、を有する。
本発明の不正アクセス遮断装置は、ネットワークを介した不正トラフィックを遮断する不正アクセス遮断装置であって、上述した本発明の不正アクセス検出装置と、不正アクセス検出装置によって不正と判断されたトラフィックを遮断する手段と、を有する。
本発明は、振る舞い期待値を用いて不正トラフィックを判別することにより、ポート番号を詐称した不正トラフィックや、暗号化やカプセリングした不正トラフィック、コンピュータウイルスなどに起因する新出の不正トラフィックを検出できる、という効果を有する。また本発明では、端末からトラフィックの振る舞い期待値を登録したり削除したりできるようにすることにより、新規トラフィックの登録に関して保守者の作業を軽減することができる。
また本発明では、新規トラフィックを検出した場合に、その新規トラフィックの振る舞いの測定結果から振る舞い期待値を自動生成できるようにすることにより、振る舞い期待値の登録に関して保守者の作業を軽減することができる。
次に、発明の好ましい実施の形態について、図面を参照して説明する。
図1は、本発明の第1の実施形態の不正アクセス遮断装置を示している。不正アクセス遮断装置2は、ネットワーク3からのサーバ4に対する不正アクセスを検出してそのような不正アクセスがサーバ4に到達しないように遮断するものであり、ネットワーク3とサーバ4との間に配置されている。ネットワーク3は、例えばインターネットであって、ネットワーク3には、さらに、端末1も接続している。ここでは1台の端末しか描かれていないが、当然のことながら、ネットワーク3には、多数の端末やサーバ、その他の機器が接続しており、これらの端末やサーバ、機器は、潜在的にサーバ4に対してアクセスする可能性があり、それらのアクセスには不正アクセスが含まれる可能性がある。ここでは、不正アクセス遮断装置2は、不正アクセスを検出して遮断するものとして説明するが、当然のことながら、不正アクセスの検出機能のみに着目すれば、不正アクセス遮断装置2は、不正アクセスを検出する不正アクセス検出装置として用いられることになる。
不正アクセス遮断装置2は、ネットワーク3からのトラフィックを受信する受信部26と、受信したトラフィックをサーバ4に転送する送信部27と、パケット長平均値算出部21と、パケット長分散値算出部22と、パケット到着時間間隔平均値算出部23と、パケット到着時間間隔分散値算出部24と、ポート番号検出部25と、フロー比較部28と、フロー特徴リスト格納部29と、パケット長種類数算出部30と、PUSHパケット出現率算出部31と、バースト長平均値算出部32と、バースト長分散値算出部33と、バースト到着時間間隔平均値34と、バースト到着時間間隔分散値35とを備えている。以下、不正アクセス遮断装置2の構成の詳細について説明する。
受信部26は、ネットワーク3からサーバ4に宛てられたトラフィックを受信し、トラフィックを構成するデータパケットのヘッダに含まれるポート番号ごとにトラフィックを分離し、パケット長平均値算出部21、パケット長分散値算出部22、パケット到着時間間隔平均値算出部23、パケット到着時間間隔分散値算出部24、ポート番号検出部25、パケット長種類数算出部30、PUSHパケット出現率算出部31、バースト長平均値算出部32、バースト長分散値算出部33、バースト到着時間間隔平均値34、及びバースト到着時間間隔分散値35にそのトラフィックのコピーを転送するとともに、そのトラフィックを送信部27に転送する。トラフィックは、例えば、端末1から送出されたものである。
パケット長平均値算出部21は、受信部26から転送されてきたトラフィックから、そのトラフィックを構成するデータパケットのパケット長の平均値を算出し、算出した値をフロー比較部28へ通知する。パケット長分散値算出部22は、転送されてきたトラフィックから、そのトラフィックを構成するデータパケットのパケット長の分散値を算出し、算出した値をフロー比較部28へ通知する。パケット到着時間間隔平均値算出部23は、転送されてきたトラフィックから、そのトラフィックを構成するデータパケットの到着時間間隔の平均値を算出し、算出した値をフロー比較部28へ通知する。パケット到着時間間隔分散値算出部24は、転送されてきたトラフィックから、そのトラフィックを構成するデータパケットの到着時間間隔の分散値を算出し、算出した値をフロー比較部28へ通知する。ポート番号検出部25は、転送されてきたトラフィックから、そのトラフィックを構成するデータパケットのポート番号を検出し、検出した値をフロー比較部28へ通知する。上記の説明では、パケット長及びパケット到着時間間隔に関する平均値や分散値を算出したが、これらの平均値や分散値の代わりに、標準偏差や中央値などの基本統計量パラメータを算出してもよい。
パケット長種類数算出部30は、転送されてきたトラフィックから、そのトラフィックを構成するデータパケットのパケット長の種類の数を算出し、算出した値をフロー比較部28へ通知する。PUSHパケット出現率算出部31は、転送されてきたトラフィックから、そのトラフィックを構成するデータパケットのうち、PUSHパケットの数をカウントし、全受信パケット数に対するPUSHパケット数の割合をPUSHパケット出現率として算出し、算出した値をフロー比較部28へ通知する。PUSHパケットとは、TCPフラグとして、TCPヘッダフィールドのコードビット領域において、PUSHビット、すなわち転送強制ビットが設定されているパケットのことである。バースト長平均値算出部32は、転送されてきたトラフィックから連続して受信したデータパケット群をバーストとし、そのバーストのバースト長平均値を算出し、算出した値をフロー比較部28へ通知する。バースト長分散値算出部33は、バーストのバースト長分散値を算出し、算出した値をフロー比較部28へ通知する。バースト到着時間間隔平均値34は、バーストの到着時間間隔平均値を算出し、算出した値をフロー比較部28へ通知する。バースト到着時間間隔分散値35は、バーストの到着時間間隔分散値を算出し、算出した値をフロー比較部28へ通知する。上記の説明では、バースト長およびバースト到着時間間隔に関する平均値や分散値を算出したが、これらの平均値や分散値の代わりに、標準偏差や中央値などの基本統計量パラメータを算出してもよい。
フロー特徴リスト格納部29は、ポート番号ごとに、そのポート番号と、パケット長平均値の期待値と、パケット長分散値の期待値と、パケット到着時間間隔平均値の期待値と、パケット到着時間間隔分散値の期待値と、パケット長種類数の期待値と、PUSHパケット出現率の期待値と、バースト長平均値の期待値と、バースト長分散値の期待値と、バースト到着時間間隔平均値と、バースト到着時間間隔分散値の期待値とによって定義される振る舞いの期待値のリストを保持する。以下の説明において、パケット長平均値、パケット長分散値、パケット到着時間間隔平均値、パケット到着時間間隔分散値、パケット長種類数、PUSHパケット出現率、バースト長平均値、バースト長分散値、バースト到着時間間隔平均値、及びバースト到着時間間隔分散値をまとめてトラフィックの「振る舞い」と呼ぶ。
フロー比較部28は、通知されたパケット長平均値、パケット長分散値、パケット到着時間間隔平均値、パケット到着時間間隔分散値、ポート番号、パケット長種類数、PUSHパケット出現率、バースト長平均値、バースト長分散値、バースト到着時間間隔平均値、バースト到着時間間隔分散値を、フロー特徴リスト格納部29に保持してある振る舞い期待値のリストと比較し、トラフィックの転送または廃棄の指示を送信部27に出す。後述するように、通知されてきた内容がリスト内の期待値の範囲内である場合には、正規のトラフィックと判断できるので、フロー比較部28は、トラフィックの転送を指示し、そうでないでない場合には、トラフィックの廃棄を指示する。この際、フロー比較部28は、指示内容を保守者へと通知する。
送信部27は、フロー比較部28の指示に従い、受信部26から転送されてきたトラフィックのサーバ4への転送または廃棄を行う。
次に図2のフローチャートを参照して、この不正アクセス遮断装置の動作を説明する。
ステップA1において受信部26がトラフィックを受信すると、受信部26は、受信したトラフィックを構成する各パケットのコピーをパケット長平均値算出部21、パケット長分散値算出部22、パケット到着時間間隔平均値算出部23、パケット到着時間間隔分散値算出部24、ポート番号検出部25、パケット長種類数算出部30、PUSHパケット出現率算出部31、バースト長平均値算出部32、バースト長分散値算出部33、バースト到着時間間隔平均値算出部34及びバースト到着時間間隔分散値算出部35へ転送する。その結果、ステップA2において、パケット長平均値算出部21はパケット長平均値を算出し、パケット長分散値算出部22はパケット長分散値を算出し、パケット到着時間間隔平均値算出部23はパケット到着時間間隔平均値を算出し、パケット到着時間間隔分散値算出部24はパケット到着時間間隔分散値を算出し、パケット長種類数算出部30はパケット長種類数を算出し、PUSHパケット出現率算出部31はPUSHパケット出現率を算出し、バースト長平均値算出部32はバースト長平均値を算出し、バースト長分散値算出部33はバースト長分散値を算出し、バースト到着時間間隔平均値算出部34はバースト長到着時間間隔平均値を算出し、バースト到着時間間隔分散値算出部35はバースト到着時間間隔分散値を算出する。またポート番号検出部25は、受信したトラフィックのデータパケットからポート番号を検出する。検出したポート番号と、各算出部21〜24,31〜35で算出されたそれぞれの値は、フロー比較部28へ通知される。
フロー比較部28は、ステップA3において、通知されたパケット長平均値、パケット長分散値、パケット到着時間間隔平均値、パケット到着時間間隔分散値、パケット長種類数、PUSHパケット出現率、バースト長平均値、バースト長分散値、バースト到着時間間隔平均値、バースト到着時間間隔分散値及びポート番号を、フロー特徴リスト格納部29に格納されている振る舞い期待値と比較し、ポート番号が既知であって、かつ、通知された各値がそのポート番号に対応した期待値の範囲内であるかどうかを判定する。
既知のポート番号であってかつ振る舞いが期待値内の場合には、フロー比較部28は、送信部27に転送指示を出し、送信部27は、ステップA4において、パケットをサーバ4に転送する。一方、ステップA3において、「既知ポート番号かつ振る舞いが期待値内」でない場合には、フロー比較部28は、ステップA5において、「ポート番号は既知であるが振る舞いが期待値外」であるかどうかを判定する。ポート番号は既知であるが、振る舞いがそのポート番号に対する期待値の範囲外である場合には、フロー比較部28は、そのトラフィックは不正トラフィックであるとして、送信部27に廃棄指示を出し、送信部27はステップA6においてパケットを廃棄する。
ステップA5において「ポート番号は既知であるが振る舞いが期待値外」ではない場合は、ポート番号が未知ということになるが、その場合、フロー比較部28は、ステップA7において、「未知ポート番号であり、かつ振る舞いがリストに登録されているいずれかの期待値の範囲内である」かどうかを判定する。ここで未知のポート番号ではあるが振る舞い自体はいずれかのポート番号に関して登録されている期待値内であれば、そのトラフィックは、不正トラフィックではなくて正規のトラフィックであるが、ポート番号が単にリストに登録されていない種類のものである可能性がある。そこで、「未知ポート番号であり、かつ振る舞いがリストに登録されているいずれかの期待値の範囲内である」場合には、フロー比較部29は、ステップA8において、保守者に対してポート番号登録とそのポート番号に対応付けられる振る舞いの期待値の登録を促すとともに、送信部27にトラフィックの廃棄指示を出し、送信部27は、ステップA9においてそのパケットを廃棄する。
上記いずれの条件にも合致しない場合、すなわち未知ポート番号かつ、振る舞いがいずれの期待値にも一致しない場合には、そのトラフィックは不正トラフィックであるとして、フロー比較部28は送信部27にトラフィックの廃棄指示を出し、送信部27は、ステップA10において、そのパケットを廃棄する。
次に、本実施の形態の効果について説明する。
本実施の形態では、ポート番号とそのポート番号に定義づけられたトラフィックの振る舞いに基づいて、不正トラフィックを検出する。したがって、ポート番号を詐称した不正なトラフィックも検出が可能である。また、暗号化やカプセル化されたトラフィックについても、期待した振る舞いと異なる場合には不正トラフィックとして検出することができる。
上記の説明では、フロー特徴リストにおいてポート番号に対してトラフィックの振る舞いを定義づけたが、送信元IPアドレス、送信先IPアドレスなどの送信端末、受信端末ごとにトラフィックの振る舞いを定義づけることもできる。またVLAN(仮想ローカルエリアネットワーク)やサブネットなどの端末のグループを示す識別子に対してトラフィックの振る舞いを定義づけることもできる。さらに、IPヘッダ内のTOS(Type of Service:サービス種別)フィールドの値などのトラフィックをグループ化する際に用いられる識別子に対して、振る舞いを定義づけることもできる。
次に、本発明の第2の実施形態の不正アクセス遮断装置について説明する。図3に示す第2の実施形態の不正アクセス遮断装置40は、図1に示した不正アクセス遮断装置2と同様のものであるが、端末1からの申告によってフロー特徴リストに振る舞い期待値を追加登録するフロー申請受付部41を備えている点で、図1に示した不正アクセス遮断装置2と異なっている。
フロー申請受付部41は、端末1からトラフィックの振る舞い期待値の申請を受ける機能を持つ。トラフィックの振る舞い期待値の申請を受け付けたフロー申請受付部41は、期待値をフロー特徴リスト格納部29に登録する。フロー申請受付部41は、フロー特徴リストから、特定のポート番号に係る期待値を削除する機能を備えていてもよい。
この不正アクセス遮断装置40において、フロー申請受付部41の以外の動作は第1の実施の形態の不正アクセス遮断装置2の動作と同じであるので、ここでは重複する説明は繰り返さない。
本実施形態のアクセス遮断装置40では、端末1が振る舞い期待値を申請でき、その申請に基づいて振る舞い期待値がフロー特徴リスト格納部29に登録されるので、保守者の介在なしに新たなトラフィックの登録が可能となる。そして、このように新たなトラフィックが登録された後は、そのトラフィックは正規のトラフィックとして扱われることになり、そのトラフィックのパケットは、廃棄されることなく、送信部27からサーバ4に転送されることになる。本実施形態によれば、端末からトラフィックの振る舞い期待値を登録したり削除したりできるようにすることにより、新規トラフィックの登録に関して保守者の作業を軽減することができる。
次に、本発明の第3の実施形態の不正アクセス遮断装置について説明する。図4に示す第3の実施形態の不正アクセス遮断装置50は、図1に示した不正アクセス遮断装置2と同様のものであるが、トラフィックの振る舞いを測定することによる不正トラフィック検出処理を実施する前に、個々のトラフィックにおける単位時間あたりの受信パケット数を測定し閾値を超えたトラフィックを不正トラフィックの可能性があるトラフィックを抽出するように構成されている。以下の説明では、不正トラフィックの可能性があるトラフィックのことを被疑トラフィックと呼ぶ。したがって、第3の実施形態の不正アクセス遮断装置50は、被疑トラフィックを不正トラフィック検出処理に転送する被疑トラフィック抽出部51と、被疑トラフィック条件を格納する被疑トラフィック条件格納部52を備えている点で、図1に示した不正アクセス遮断装置2と異なっている。被疑トラフィック条件とは、被疑トラフィック抽出部51において被疑トラフィックを抽出するために用いられる条件のことである。
被疑トラフィック抽出部51は、被疑トラフィック条件格納部52に格納された被疑トラフィック条件に基づいて、受信したトラフィックの中から不正トラフィックの可能性がある被疑トラフィックのみを抽出して、抽出された被疑トラフィックのコピーを後段の各算出部21〜24、30〜35およびポート番号検出部25に転送する機能を有する。例えば、被疑トラフィック抽出部51は、受信部26から転送されたトラフィックに対して、個々のトラフィックの単位時間あたりの受信パケット数をカウントし、その単位時間あたりの受信パケット数が被疑トラフィック条件格納部52において保持される閾値を超えたトラフィックを被疑トラフィックとし、そのような被疑トラフィックを抽出する。ここでは、被疑トラフィック条件格納部52において保持される被疑トラフィック条件は、単位時間あたりの受信パケット数であるとしたが、その他の被疑トラフィック条件を設定してもよい。
この不正アクセス遮断装置50において、被疑トラフィック抽出部51の以外の動作は第1の実施の形態の不正アクセス遮断装置2の動作と同じであるので、ここでは重複する説明は繰り返さない。第3の実施形態の不正アクセス遮断装置50では、受信した全てのトラフィックのうち、不正トラフィックの可能性がある被疑トラフィックに対してトラフィックの振る舞いを測定することによる不正トラフィック検出処理を実施することができるため、不正トラフィック検出処理を効率よく実施することができる。
次に、本発明の第4の実施形態の不正アクセス遮断装置について説明する。図5に示す第4の実施形態の不正アクセス遮断装置60は、図1に示した不正アクセス遮断装置2と同様のものであるが、ポート番号やIPアドレスなどに関して前もって登録しておいたビットパタンを格納するビットパタン格納部61、受信部26から転送されたデータパケットからビットパタン格納部61に登録されたビットパタンを検出するビットパタン検出部62と、個々に分離されたトラフィックを暗号化トラフィックと非暗号化トラフィックとに分離する暗号化トラフィック分離部63とを備えている点で、図1に示した不正アクセス遮断装置2と異なっている。
ここでいうポート番号やIPアドレスなどに関するビットパタンとは、パケットフィルタリングのために従来の公知の方法で用いられているビットパタンと同様のものであり、したがって、ビットパタン格納部61及びビットパタン検出部62は、それぞれ、従来のパケットフィルタリング装置においてビットパタンの格納に用いられる機能ブロックとビットパタンの検出に用いられる機能ブロックと同様のものである。すなわちビットパタン検出部62は、個々のトラフィックを構成するデータパケットのデータ部分から不正トラフィックを特定するために、そのデータパケットのデータ部分から抽出されるビットパタンが、ビットパタン検出部61にあらかじめ登録されているビットパタンと一致するかどうかを検出する機能を有する。
暗号化トラフィック分離部63は、受信部26によって受信されたトラフィックを送信部27へ転送すると同時に、暗号化トラフィックに対しては、トラフィックの振る舞いを測定するために、その暗号化トラフィックのそのコピーを各算出部21〜24、30〜35及びポート番号検出部25に送信し、非暗号化トラフィックに対してはそのコピーをビットパタン検出部62へ転送する機能を有する。ビットパタン検出部62は、暗号化トラフィック分離部63から転送された非暗号化トラフィックに対して、ビットパタン検出による不正トラフィック検出処理を実施する。
この不正アクセス遮断装置60において、被疑トラフィック抽出部51の以外の動作は第1の実施の形態の不正アクセス遮断装置2の動作と同じであるので、ここでは重複する説明は繰り返さない。第4の実施形態の不正アクセス遮断装置60では、受信したトラフィックを暗号化トラフィックと非暗号化トラフィックとに分離して、非暗号化トラフィックに対しては従来手法であるビットパタン検出による不正トラフィック検出処理を実施し、暗号化トラフィックに対してはトラフィックの振る舞いの測定による不正トラフィック検出処理を実施する。これにより、この不正アクセス遮断装置60は、従来手法では対応できない暗号化トラフィックに対しても不正トラフィック検出処理を実施することができる。
次に、本発明の第5の実施形態の不正アクセス遮断装置について説明する。図5に示す第5の実施形態の不正アクセス遮断装置70は、図1に示した不正アクセス遮断装置2と同様のものであるが、新規のトラフィックを検出した場合に、そのトラフィックの振る舞いを測定した結果からその新規トラフィックの振る舞い期待値を生成する期待値学習部71を備えている点で、図1に示した不正アクセス遮断装置2と異なっている。フロー比較部28は、測定された振る舞いとフロー特徴リスト格納部29に格納された期待値とを比較して不正トラフィックを判別する機能を上述したように備えるとともに、新規トラフィックを検出した場合にその新規トラフィックについての振る舞い測定結果を期待値学習部71へ転送する機能を備えている。具体的に言えば、フロー比較部28は、トラフィックの振る舞い測定による不正アクセス検出処理を実施した結果、「未知ポート番号かつ、振る舞いがいずれの期待値にも一致しない」新規トラフィックであると判定した場合には、期待値学習部71に対して新規トラフィックを検出したことを通知し、各算出部21〜24、30〜35及びポート番号検出部25から転送されたトラフィックの振る舞い測定結果をその期待値学習部71へ転送する。期待値学習部71は、フロー比較部28から新規トラフィックを検出したことを通知されると、各算出部21〜24、30〜35及びポート番号検出部25において算出された、その新規トラフィックの振る舞い測定結果を集計して、新規トラフィックの振る舞い期待値を生成し、生成した振る舞い期待値をフロー特徴リスト格納部29に格納する機能を有する。
この不正アクセス遮断装置70において、フロー比較部28における新規トラフィック検出時の動作及び期待値学習部71の動作以外の動作は第1の実施の形態の不正アクセス遮断装置2の動作と同等なので、ここでは重複する説明は繰り返さない。以下、図7のフローチャートを参照して、この不正アクセス遮断装置の動作を説明する。
ステップA1からステップA10までの各処理は、第1の実施の形態の不正アクセス遮断装置2における処理(図2参照)と同等なので、説明を省略する。フロー比較部28は、「未知ポート番号かつ、振る舞いがいずれの期待値にも一致しない」新規トラフィックであるとステップA7において判定した場合、期待値学習部71に対して新規トラフィック検出を通知すると同時に、各算出部21〜24、30〜35及びポート番号検出部25から受信した、トラフィックの振る舞い測定結果の期待値学習部71へ転送を開始する。期待値学習部71は、ステップA11において、フロー比較部28から新規トラフィック検出を通知されると、フロー比較部28から送られてきたトラフィックの振る舞い測定結果を集計してその新規トラフィックの振る舞い期待値を生成する。この新規トラフィックの振る舞い期待値を生成後、期待値学習部71は、ステップA12において、保守者に、ポート番号登録とそのポート番号に対応付けられる振る舞いの期待値の登録を促すための通知を行う。保守者から、ポート番号登録と振る舞い期待値の入力があれば、期待値学習部71は、その振る舞い期待値をそのポート番号に関連付けて、フロー特徴リスト格納部29に登録する。
本実施形態の不正パケット遮断装置70では、新規トラフィックの振る舞い期待値を自動生成することにより、振る舞い期待値の登録に関する保守者の作業負担を軽減することができる。
以上説明した各実施形態において、トラフィックの振る舞いとして、ポート番号と、パケット長平均値の期待値と、パケット長分散値の期待値と、パケット到着時間間隔平均値の期待値と、パケット到着時間間隔分散値の期待値と、パケット長種類数の期待値と、PUSHパケット出現率の期待値と、バースト長平均値の期待値と、バースト長分散値の期待値と、バースト到着時間間隔平均値と、バースト到着時間間隔分散値の期待値とを用いている。しかしながら、本発明においては、トラフィックの振る舞いとして、ここで列挙したもの以外のものを利用できることは当然のことである。また、必要に応じて、ポート番号、パケット長平均値の期待値、パケット長分散値の期待値、パケット到着時間間隔平均値の期待値、パケット到着時間間隔分散値の期待値、パケット長種類数の期待値、PUSHパケット出現率の期待値、バースト長平均値の期待値、バースト長分散値の期待値、バースト到着時間間隔平均値、及びバースト到着時間間隔分散値の期待値からなる群から選ばれた任意の1または複数のものをトラフィックの振る舞いとして用いてもよい。
図8は、本発明の別の実施形態の不正アクセス遮断装置を示している。図8に示す不正アクセス遮断装置80は、第1の実施形態の不正アクセス遮断装置2と同様のものであるが、トラフィックの振る舞いとして、ポート番号、パケット長平均値の期待値、パケット長分散値の期待値、到着時間間隔平均値の期待値、及び到着時間間隔分散値の期待値を用いる点で、第1の実施形態の不正アクセス遮断装置2とは異なっている。したがって、不正アクセス遮断装置80は、パケット長種類数算出部、PUSHパケット出現率算出部、バースト長平均値算出部、バースト長分散値算出部、バースト到着時間間隔平均値算出部、及びバースト到着時間間隔分散値算出部を備えていない。言い換えれば、不正アクセス遮断装置80は、受信部26と、送信部27と、パケット長平均値算出部21と、パケット長分散値算出部22と、パケット到着時間間隔平均値算出部23と、パケット到着時間間隔分散値算出部24と、ポート番号検出部25と、フロー比較部28と、フロー特徴リスト格納部29とを備えている。
この不正アクセス遮断装置80において、受信部26は、ネットワーク3からサーバ4に宛てられたトラフィックを受信し、トラフィックを構成するデータパケットのヘッダに含まれるポート番号ごとにトラフィックを分離し、パケット長平均値算出部21、パケット長分散値算出部22、パケット到着時間間隔平均値算出部23、パケット到着時間間隔分散値算出部24、及びポート番号検出部25にそのトラフィックのコピーを転送するとともに、そのトラフィックを送信部27に転送する。パケット長平均値算出部21、パケット長分散値算出部22、パケット到着時間間隔平均値算出部23、パケット到着時間間隔分散値算出部24、及びポート番号検出部25は、それぞれ、第1の実施形態の不正アクセス遮断装置2における場合と同じ処理を実行する。
フロー特徴リスト格納部29は、ポート番号ごとに、そのポート番号と、パケット長平均値の期待値と、パケット長分散値の期待値と、パケット到着時間間隔平均値の期待値と、パケット到着時間間隔分散値の期待値とによって定義される振る舞いの期待値のリストを保持する。上述のようにこの不正アクセス遮断装置80では、パケット長平均値、パケット長分散値、到着時間間隔平均値、及び到着時間間隔分散値をまとめてトラフィックの「振る舞い」と呼ぶ。
フロー比較部28は、通知されたパケット長平均値、パケット長分散値、パケット到着時間間隔平均値、パケット到着時間間隔分散値、ポート番号をフロー特徴リスト格納部29に保持してある振る舞い期待値のリストと比較し、トラフィックの転送または廃棄の指示を送信部27に出す。第1の実施形態の場合と同様に、通知されてきた内容がリスト内の期待値の範囲内である場合には、正規のトラフィックと判断できるので、フロー比較部28は、トラフィックの転送を指示し、そうでないでない場合には、トラフィックの廃棄を指示する。この際、フロー比較部28は、指示内容を保守者へと通知する。
送信部27は、フロー比較部28の指示に従い、受信部26から転送されてきたトラフィックのサーバ4への転送または廃棄を行う。
図9は、この不正アクセス遮断装置80の動作を説明するフローチャートである。ステップA1aにおいて受信部26がトラフィックを受信すると、受信部26は、受信したトラフィックを構成する各パケットのコピーをパケット長平均値算出部21、パケット長分散値算出部22、パケット到着時間間隔平均値算出部23、パケット到着時間間隔分散値算出部24及びポート番号検出部25へ転送する。その結果、ステップA2aにおいて、パケット長平均値算出部21はパケット長平均値を算出し、パケット長分散値算出部22はパケット長分散値を算出し、パケット到着時間間隔平均値算出部23はパケット到着時間間隔平均値を算出し、パケット到着時間間隔分散値算出部24はパケット到着時間間隔分散値を算出する。またポート番号検出部25は、受信したトラフィックのデータパケットからポート番号を検出する。検出したポート番号と、算出された各平均値及び各分散値はフロー比較部28へ通知される。
フロー比較部28は、ステップA3aにおいて、通知されたパケット長平均値、パケット長分散値、パケット到着時間間隔平均値、パケット到着時間間隔分散値及びポート番号を、フロー特徴リスト格納部29に格納されている振る舞い期待値と比較し、ポート番号が既知であって、かつ、平均値や分散値がそのポート番号に対応した期待値の範囲内であるかどうかを判定する。ステップA3aの実行後の処理、すなわち、ステップA4〜A10についての処理は、第1の実施形態の場合と同じであるから、説明を省略する。
図8に示す不正アクセス遮断装置80においても、ポート番号とそのポート番号に定義づけられたトラフィックの振る舞いに基づいて、不正トラフィックを検出する。したがって、ポート番号を詐称した不正なトラフィックも検出が可能である。また、暗号化やカプセル化されたトラフィックについても、期待した振る舞いと異なる場合には不正トラフィックとして検出することができる。
図10に示す不正アクセス遮断装置90は、図8に示した不正アクセス遮断装置80と同様のものであるが、端末1からの申告によってフロー特徴リストに振る舞い期待値を追加登録するフロー申請受付部41を備えている点で、図8に示した不正アクセス遮断装置80と異なっている。
フロー申請受付部41は、端末1からトラフィックの振る舞い期待値の申請を受ける機能を持つ。トラフィックの振る舞い期待値の申請を受け付けたフロー申請受付部41は、期待値をフロー特徴リスト格納部29に登録する。フロー申請受付部41は、フロー特徴リストから、特定のポート番号に係る期待値を削除する機能を備えていてもよい。
不正アクセス遮断装置90において、フロー申請受付部41の以外の動作は上述の不正アクセス遮断装置80の動作と同等なので、説明を省略する。不正アクセス遮断装置90によれば、端末1が振る舞い期待値を申請できるので、保守者の介在なしに新たなトラフィックの登録が可能である。
以上説明した各不正アクセス遮断装置は、それを実現するためのコンピュータプログラムを、サーバ用コンピュータなどのコンピュータに読み込ませ、そのプログラムを実行させることによっても実現できる。上述したようにして不正アクセスの検出と遮断を行うためのプログラムは、CD−ROMなどの記録媒体によって、あるいはネットワークを介してコンピュータに読み込まれる。
そのようなコンピュータは、一般に、CPU(中央処理装置)と、プログラムやデータを格納するためのハードディスク装置と、主メモリと、キーボードやマウスなどの入力装置と、液晶ディスプレイなどの表示装置と、CD−ROM等の記録媒体を読み取る読み取り装置と、ネットワークなどに接続するための通信インタフェースと、から構成されている。このコンピュータは、不正アクセスの検出と遮断を行うためのプログラムを格納した記録媒体を読み取り装置に装着し、記録媒体からプログラムを読み出してハードディスク装置に格納し、ハードディスク装置に格納されたプログラムをCPUが実行することにより、あるいはそのようなプログラムをネットワーク経由でハードディスク装置に格納してそのプログラムをCPUが実行することにより、上述した不正アクセス遮断装置として機能することになる。
本発明の第1の実施形態の不正アクセス遮断装置の構成を示すブロック図である。 図1に示した不正アクセス遮断装置での処理を示すフローチャートである。 本発明の第2の実施形態の不正アクセス遮断装置の構成を示すブロック図である。 本発明の第3の実施形態の不正アクセス遮断装置の構成を示すブロック図である。 本発明の第4の実施形態の不正アクセス遮断装置の構成を示すブロック図である。 本発明の第5の実施形態の不正アクセス遮断装置の構成を示すブロック図である。 図6に示した不正アクセス遮断装置での処理を示すフローチャートである。 本発明の別の実施形態の不正アクセス遮断装置の構成を示すブロック図である。 図8に示した不正アクセス遮断装置での処理を示すフローチャートである。 本発明のさらに別の実施形態の不正アクセス遮断装置の構成を示すブロック図である。
符号の説明
1 端末
2,30,50,60,70,80,90 不正アクセス遮断装置
3 ネットワーク
4 サーバ
21 パケット長平均値算出部
22 パケット長分散値算出部
23 パケット到着時間間隔平均値算出部
24 パケット到着時間間隔分散値算出部
25 ポート番号検出部
26 受信部
27 送信部
28 フロー比較部
29 フロー特徴リスト格納部
30 パケット長種類数算出部
31 PUSHパケット出現率算出部
32 バースト長平均値算出部
33 バースト長分散値算出部
34 バースト到着時間間隔平均値算出部
35 バースト到着時間間隔分散値算出部
41 フロー申請受付部
51 被疑トラフィック抽出部
52 被疑トラフィック条件格納部
61 ビットパタン格納部
62 ビットパタン検出部
63 暗号化トラフィック分離部
71 期待値学習部

Claims (34)

  1. ネットワークを介した不正トラフィックを検出する不正アクセス検出方法であって、
    あらかじめトラフィックの種別ごとの振る舞いの期待値を格納する段階と、
    前記ネットワークを介して通信を行う際に、個々のトラフィックを分離する段階と、
    分離した個々のトラフィックの振る舞いを測定する段階と、
    測定された振る舞いと、前記振る舞いの期待値とを比較する段階と、
    比較した結果から不正トラフィックを判別する段階と、
    を有する不正アクセス検出方法。
  2. 前記トラフィックの振る舞いを測定する段階において、当該トラフィックを構成するデータパケットにおけるパケット長及びパケット到着時間間隔に関する基本統計量パラメータを測定する、請求項1に記載の不正アクセス検出方法。
  3. 前記基本統計量パラメータは、前記トラフィックを構成するデータパケットのパケット長の平均値、パケット長の分散値、パケット到着時間間隔の平均値、及びパケット到着時間間隔の分散値を含む、請求項2に記載の不正アクセス検出方法。
  4. 前記トラフィックの振る舞いを測定する段階において、当該トラフィックを構成するデータパケットのパケット長の種類数を測定する、請求項1に記載の不正アクセス検出方法。
  5. 前記トラフィックの振る舞いを測定する段階において、TCPフラグにPUSHビットがセットされたパケットの出現率を測定する、請求項1に記載の不正アクセス検出方法。
  6. 前記トラフィックの振る舞いを測定する段階において、連続して送信された複数のデータパケット群をバーストとして観測し、バースト長及びバースト到着時間間隔に関する基本統計量パラメータを測定する、請求項1に記載の不正アクセス検出方法。
  7. 前記基本統計量パラメータは、前記観測されたバーストのバースト長の平均値、バースト長の分散値、バースト到着時間間隔の平均値、及びバースト到着時間間隔の平均値の分散値を含む、請求項6に記載の不正アクセス検出方法。
  8. 前記トラフィックを分離する段階において、当該トラフィックを構成するデータパケットに含まれるアプリケーションの識別子を用いてトラフィックを分離する、請求項1乃至7のいずれか1項に記載の不正アクセス検出方法。
  9. アプリケーションの識別子に基づいてトラフィックの種別が判別される、請求項8に記載の不正アクセス検出方法。
  10. 前記アプリケーションの識別子はポート番号である、請求項8または9に記載の不正アクセス検出方法。
  11. 前記トラフィックを分離する段階において、当該トラフィックを構成するデータパケットに含まれる送信端末と受信端末の識別子を用いてトラフィックを分離する、請求項1乃至7のいずれか1項に記載の不正アクセス検出方法。
  12. 前記トラフィックを分離する段階において、当該トラフィックを構成するデータパケットに含まれるトラフィックまたは端末の集合の識別子を用いてトラフィックを分離する、請求項1乃至7のいずれか1項に記載の不正アクセス検出方法。
  13. 外部端末から事前または事後にトラフィックの種別ごとの振る舞いの期待値を登録及び/または削除する段階をさらに有する、請求項1乃至12のいずれか1項に記載の不正アクセス検出方法。
  14. 個々のトラフィックにおける単位時間あたりの受信パケット数を測定し閾値を超えたトラフィックを不正トラフィックの可能性がある被疑トラフィックとし、該被疑トラフィックに対し、前記測定する段階と、前記比較する段階と、前記判別する段階を実行する、請求項1乃至12のいずれか1項に記載の不正アクセス検出方法。
  15. 前記個々に分離されたトラフィックを暗号化トラフィックと非暗号化トラフィックとに分離する段階と、
    前記暗号化トラフィックに対して前記測定する段階と、前記比較する段階と、前記判別する段階を実行する段階と、
    前記非暗号化トラフィックに対し、あらかじめ登録されたビットパタンを当該非暗号化トラフィックから検出することによって不正アクセス検出を行う段階と、
    をさらに有する、請求項1乃至12のいずれか1項に記載の不正アクセス検出方法。
  16. 新規のトラフィックを検出した場合に、そのトラフィックの振る舞いを測定した結果を集計して前記新規のトラフィックの振る舞い期待値を生成する段階をさらに有する、請求項1乃至12のいずれか1項に記載の不正アクセス検出方法。
  17. ネットワークを介した不正トラフィックを検出する不正アクセス検出装置であって、
    前記ネットワークからトラフィックを受信する受信手段と、
    受信した個々のトラフィックの振る舞いを測定する測定手段と、
    前記測定手段による測定結果に応じて、個々のトラフィックが不正トラフィックか否かを識別する識別手段と、
    を有する不正アクセス検出装置。
  18. ネットワークを介した不正トラフィックを検出する不正アクセス検出装置であって、
    あらかじめトラフィックの種別ごとの振る舞いの期待値を格納する格納手段と、
    前記ネットワークを介してトラフィックを受信し、個々のトラフィックに分離する受信手段と、
    分離した個々のトラフィックの振る舞いを測定する測定手段と、
    測定された振る舞いと、前記格納手段に格納された期待値とを比較し、比較した結果から不正トラフィックを判別する比較手段と、
    を有する不正アクセス検出装置。
  19. 前記測定手段は、個々のトラフィックを構成するデータパケットにおけるパケット長及びパケット到着時間間隔に関する基本統計量パラメータを測定する、請求項18に記載の不正アクセス検出装置。
  20. 前記基本統計量パラメータは、前記トラフィックを構成するデータパケットのパケット長の平均値、パケット長の分散値、パケット到着時間間隔の平均値、及びパケット到着時間間隔の分散値を含む、請求項19に記載の不正アクセス検出装置。
  21. 前記測定手段は、個々のトラフィックを構成するデータパケットのパケット長の種類数を測定する、請求項18に記載の不正アクセス検出装置。
  22. 前記測定手段は、個々のトラフィックを構成するデータパケットのうち、TCPフラグにPUSHビットがセットされたパケットの出現率を測定する、請求項18に記載の不正アクセス検出装置。
  23. 前記測定手段は、連続して送信された複数のデータパケット群をバーストとして観測し、バースト長及びバースト到着時間間隔に関する基本統計量パラメータを測定する、請求項18に記載の不正アクセス検出装置。
  24. 前記基本統計量パラメータは、前記観測されたバーストのバースト長の平均値、バースト長の分散値、バースト到着時間間隔の平均値、及びバースト到着時間間隔の平均値の分散値を含む、請求項23に記載の不正アクセス検出装置。
  25. 前記受信手段は、トラフィックを構成するデータパケットに含まれるアプリケーションの識別子を用いてトラフィックを分離する、請求項18乃至24のいずれか1項に記載の不正アクセス検出装置。
  26. アプリケーションの識別子に基づいてトラフィックの種別が定められる、請求項25に記載の不正アクセス検出装置。
  27. 前記アプリケーションの識別子はポート番号である、請求項25または26に記載の不正アクセス検出装置。
  28. 前記格納手段に対してトラフィックの種別ごとの振る舞いの期待値を登録及び/または削除する手段をさらに備える、請求項18乃至27のいずれか1項に記載の不正アクセス検出装置。
  29. 個々のトラフィックにおける単位時間あたりの受信パケット数を測定し閾値を超えたトラフィックを不正トラフィックの可能性がある被疑トラフィックとし、該被疑トラフィックを前記測定手段に転送する手段をさらに備える、請求項18乃至27のいずれか1項に記載の不正アクセス検出装置。
  30. あらかじめ登録されたビットパタンを検出するビットパタン検出手段と、
    前記個々に分離されたトラフィックを暗号化トラフィックと非暗号化トラフィックとに分離し、前記暗号化トラフィックを前記測定手段に転送し、前記非暗号化トラフィックを前記ビットパタン検出手段に転送する手段と、
    をさらに備える、請求項18乃至27のいずれか1項に記載の不正アクセス検出装置。
  31. 新規のトラフィックを検出した場合に、そのトラフィックの振る舞いを測定した結果を集計して前記新規のトラフィックの振る舞い期待値を生成する手段をさらに備える、請求項18乃至27のいずれか1項に記載の不正アクセス検出装置。
  32. ネットワークを介した不正トラフィックを遮断する不正アクセス遮断方法であって、
    請求項1乃至16のいずれか1項に記載の不正アクセス検出方法を実施して個々のトラフィックごとに不正なものかそうでないかを判別する段階と、
    不正と判断されたトラフィックを遮断する段階と、
    を有する、不正アクセス遮断方法。
  33. ネットワークを介した不正トラフィックを遮断する不正アクセス遮断装置であって、
    請求項17乃至31のいずれか1項に記載の不正アクセス検出装置と、
    前記不正アクセス検出装置によって不正と判断されたトラフィックを遮断する手段と、
    を有する、不正アクセス遮断装置。
  34. コンピュータを、
    あらかじめトラフィックの種別ごとの振る舞いの期待値を格納する格納手段、
    前記ネットワークを介してトラフィックを受信し、個々のトラフィックに分離する受信手段、
    分離した個々のトラフィックの振る舞いを測定する測定手段、
    測定された振る舞いと、前記格納手段に格納された期待値とを比較し、比較した結果から不正トラフィックを判別する比較手段、
    として機能させるプログラム。
JP2006026872A 2005-03-01 2006-02-03 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 Pending JP2006279930A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006026872A JP2006279930A (ja) 2005-03-01 2006-02-03 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
US11/362,769 US20060198313A1 (en) 2005-03-01 2006-02-28 Method and device for detecting and blocking unauthorized access

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2005056221 2005-03-01
JP2006026872A JP2006279930A (ja) 2005-03-01 2006-02-03 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置

Publications (1)

Publication Number Publication Date
JP2006279930A true JP2006279930A (ja) 2006-10-12

Family

ID=36944041

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006026872A Pending JP2006279930A (ja) 2005-03-01 2006-02-03 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置

Country Status (2)

Country Link
US (1) US20060198313A1 (ja)
JP (1) JP2006279930A (ja)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007028526A (ja) * 2005-07-21 2007-02-01 Nec Corp トラフィック検出装置、通信品質監視装置、方法、及び、プログラム
JP2009027508A (ja) * 2007-07-20 2009-02-05 Nec Commun Syst Ltd 制御装置、制御システム、制御方法及び制御プログラム
US8095789B2 (en) 2007-08-10 2012-01-10 Fujitsu Limited Unauthorized communication detection method
US8490173B2 (en) 2007-08-10 2013-07-16 Fujitsu Limited Unauthorized communication detection method
JP2015029173A (ja) * 2013-07-30 2015-02-12 株式会社日立製作所 監視システム及び方法、キャプチャ装置
JP2017503293A (ja) * 2014-11-27 2017-01-26 シャオミ・インコーポレイテッド ユーザ行為識別方法及びユーザ行為識別装置、プログラム、及び記録媒体
JPWO2014128840A1 (ja) * 2013-02-20 2017-02-02 株式会社日立製作所 データ中継装置、ネットワークシステム、および、データ中継方法
JP2017216664A (ja) * 2016-06-02 2017-12-07 アラクサラネットワークス株式会社 パケット中継装置
JP2018520524A (ja) * 2016-06-22 2018-07-26 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法
JP2018142197A (ja) * 2017-02-28 2018-09-13 沖電気工業株式会社 情報処理装置、方法およびプログラム
KR101919762B1 (ko) 2017-09-29 2018-11-19 주식회사 젠틸리언 암호화 트래픽의 복호화를 위한 암호화 트래픽 관리장치 및 그 방법
JP2019165493A (ja) * 2019-05-28 2019-09-26 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法
JP2020155990A (ja) * 2019-03-20 2020-09-24 富士ゼロックス株式会社 通信装置、通信システム、及びプログラム
US12407696B2 (en) 2022-08-31 2025-09-02 Nec Corporation Suspicious communication detection apparatus, suspicious communication detection method, and suspicious communication detection program

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9864752B2 (en) * 2005-12-29 2018-01-09 Nextlabs, Inc. Multilayer policy language structure
JP4905395B2 (ja) * 2008-03-21 2012-03-28 富士通株式会社 通信監視装置、通信監視プログラム、および通信監視方法
US9294560B2 (en) 2009-06-04 2016-03-22 Bae Systems Plc System and method of analysing transfer of data over at least one network
US10007768B2 (en) * 2009-11-27 2018-06-26 Isaac Daniel Inventorship Group Llc System and method for distributing broadcast media based on a number of viewers
CN102984664B (zh) * 2011-09-05 2015-07-22 普天信息技术研究院有限公司 一种控制终端的方法
US9548993B2 (en) * 2013-08-28 2017-01-17 Verizon Patent And Licensing Inc. Automated security gateway
US10594725B2 (en) * 2017-07-27 2020-03-17 Cypress Semiconductor Corporation Generating and analyzing network profile data
US10936700B2 (en) * 2018-10-03 2021-03-02 Matthew John Tooley Method and system for detecting pirated video network traffic
CN109040141B (zh) * 2018-10-17 2019-11-12 腾讯科技(深圳)有限公司 异常流量的检测方法、装置、计算机设备和存储介质
AU2021479523B2 (en) * 2021-12-17 2025-07-03 Ntt, Inc. Estimation device, estimation method, and estimation program
CN116015765A (zh) * 2022-12-09 2023-04-25 北京网太科技发展有限公司 一种网络攻击预警方法、装置、电子设备和存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US20020133586A1 (en) * 2001-01-16 2002-09-19 Carter Shanklin Method and device for monitoring data traffic and preventing unauthorized access to a network
US7463590B2 (en) * 2003-07-25 2008-12-09 Reflex Security, Inc. System and method for threat detection and response

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007028526A (ja) * 2005-07-21 2007-02-01 Nec Corp トラフィック検出装置、通信品質監視装置、方法、及び、プログラム
JP2009027508A (ja) * 2007-07-20 2009-02-05 Nec Commun Syst Ltd 制御装置、制御システム、制御方法及び制御プログラム
US8095789B2 (en) 2007-08-10 2012-01-10 Fujitsu Limited Unauthorized communication detection method
US8490173B2 (en) 2007-08-10 2013-07-16 Fujitsu Limited Unauthorized communication detection method
JPWO2014128840A1 (ja) * 2013-02-20 2017-02-02 株式会社日立製作所 データ中継装置、ネットワークシステム、および、データ中継方法
JP2015029173A (ja) * 2013-07-30 2015-02-12 株式会社日立製作所 監視システム及び方法、キャプチャ装置
JP2017503293A (ja) * 2014-11-27 2017-01-26 シャオミ・インコーポレイテッド ユーザ行為識別方法及びユーザ行為識別装置、プログラム、及び記録媒体
US10693890B2 (en) 2016-06-02 2020-06-23 Alaxala Networks Corporation Packet relay apparatus
JP2017216664A (ja) * 2016-06-02 2017-12-07 アラクサラネットワークス株式会社 パケット中継装置
JP2018520524A (ja) * 2016-06-22 2018-07-26 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法
US11399034B2 (en) 2016-06-22 2022-07-26 Huawei Cloud Computing Technologies Co., Ltd. System and method for detecting and preventing network intrusion of malicious data flows
JP2018142197A (ja) * 2017-02-28 2018-09-13 沖電気工業株式会社 情報処理装置、方法およびプログラム
KR101919762B1 (ko) 2017-09-29 2018-11-19 주식회사 젠틸리언 암호화 트래픽의 복호화를 위한 암호화 트래픽 관리장치 및 그 방법
JP2020155990A (ja) * 2019-03-20 2020-09-24 富士ゼロックス株式会社 通信装置、通信システム、及びプログラム
JP7234726B2 (ja) 2019-03-20 2023-03-08 富士フイルムビジネスイノベーション株式会社 通信装置、通信システム、及びプログラム
JP2019165493A (ja) * 2019-05-28 2019-09-26 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法
US12407696B2 (en) 2022-08-31 2025-09-02 Nec Corporation Suspicious communication detection apparatus, suspicious communication detection method, and suspicious communication detection program

Also Published As

Publication number Publication date
US20060198313A1 (en) 2006-09-07

Similar Documents

Publication Publication Date Title
JP2006279930A (ja) 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
CN107454109B (zh) 一种基于http流量分析的网络窃密行为检测方法
CN109951500B (zh) 网络攻击检测方法及装置
EP2633646B1 (en) Methods and systems for detecting suspected data leakage using traffic samples
US11777971B2 (en) Bind shell attack detection
US8205259B2 (en) Adaptive behavioral intrusion detection systems and methods
JP4547342B2 (ja) ネットワーク制御装置と制御システム並びに制御方法
US7440406B2 (en) Apparatus for displaying network status
JP3957712B2 (ja) 通信監視システム
CN104937886A (zh) 日志分析装置、信息处理方法以及程序
US10440035B2 (en) Identifying malicious communication channels in network traffic by generating data based on adaptive sampling
JP2014057307A (ja) 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出
CN108600003B (zh) 一种面向视频监控网络的入侵检测方法、装置及系统
CN105027510A (zh) 网络监视装置、网络监视方法以及网络监视程序
JP6970344B2 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
CN109361673B (zh) 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法
CN106603326B (zh) 基于异常反馈的NetFlow采样处理方法
US20210234871A1 (en) Infection-spreading attack detection system and method, and program
CN115086068B (zh) 一种网络入侵检测方法和装置
JP4161989B2 (ja) ネットワーク監視システム
Bellaïche et al. SYN flooding attack detection by TCP handshake anomalies
CN100505648C (zh) 用于检测和阻止越权访问的方法和装置
KR20180101868A (ko) 악성 행위 의심 정보 탐지 장치 및 방법
CN119766487B (zh) 一种加密恶意流量检测方法、装置及电子设备
CN118432854B (zh) 一种网络封装检测系统及方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071031

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071227

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080312