不正アクセス探索方法及び装置
【課題】 大メモリ容量を必要とせずに簡易な構成で不正アクセスの探索を行う。
【解決手段】 自分がエンドポイントの探索装置に設定されていない場合、エンドポイントの探索装置でアドレス詐称されていないと見なされた不正アクセスを検知するか、又は不正アクセスの通知を受けた時、エンドポイントの探索装置に不正アクセスの端末アドレスを含む探索依頼を発行。エンドポイントの探索装置に設定されている場合、探索依頼を受けた時、探索依頼に含まれる不正アクセス端末を収容している下位層スイッチに対処処理を行う。エンドポイントに設定されていない場合に探索依頼を受けた時、次ホップの探索装置に探索依頼を発行。或いは、探索依頼の発行を開始した探索装置が、エンドポイントの探索装置を確認できるまで両探索装置の中間のホップの探索装置に対して順次、探索依頼を行う。
【解決手段】 自分がエンドポイントの探索装置に設定されていない場合、エンドポイントの探索装置でアドレス詐称されていないと見なされた不正アクセスを検知するか、又は不正アクセスの通知を受けた時、エンドポイントの探索装置に不正アクセスの端末アドレスを含む探索依頼を発行。エンドポイントの探索装置に設定されている場合、探索依頼を受けた時、探索依頼に含まれる不正アクセス端末を収容している下位層スイッチに対処処理を行う。エンドポイントに設定されていない場合に探索依頼を受けた時、次ホップの探索装置に探索依頼を発行。或いは、探索依頼の発行を開始した探索装置が、エンドポイントの探索装置を確認できるまで両探索装置の中間のホップの探索装置に対して順次、探索依頼を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正アクセス探索方法及び装置に関し、特にネットワークシステム上においてDos攻撃などの悪意のあるユーザからの不正アクセスを探索(Security Chase)する方法及び装置に関するものである。
【背景技術】
【0002】
従来より、不正アクセスに対して採られている対策は、iTracebackという方式が知られており、この方式の場合には全てのパケットを記憶しておき、何か問題が発生したとき、これらの記憶しておいたパケット情報を人手で調査し、不正アクセスを検出するというものであった。
【0003】
このような方式の従来例として、被害者装置が攻撃者装置から各ルータ装置を介してサービス妨害攻撃を受けつつあるときでも、要求側追跡装置が、応答側追跡装置をもつルータ装置に追跡要求メッセージを送信し、応答側追跡装置が、1種類以上の受動型追跡方式及び1種類以上の能動型追跡方式のうち、選択された追跡方式を実行する発信源追跡装置及びプログラムがある(例えば、特許文献1参照。)。
【0004】
また、被攻撃者のコンピュータを防御するため、可変なレベル数で分散されたシールドを配置する。これらシールドは、被攻撃者のコンピュータに関連するパケットを分析し、検査によって、疑わしいトラフィックの帯域を絞るとともに攻撃を検出し、攻撃が検出されると、シールドは、プローブのプログラムを攻撃の上流に向かって転送し、プローブは、攻撃のパケットを見つけるとそのパケットを破棄するとともに、さらに上流に向かってプローブのプログラムを転送するサービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラムもある(例えば、特許文献2参照。)。
【0005】
さらには、ネットワーク上で連鎖状に接続された複数のデータ中継装置と、各データ中継装置と双方向通信を行う手段を備えた管理システムとを含んでデータ追跡システムを構成し、個々のデータ中継装置は、ネットワーク上で電子データを運ぶ下位層の識別子を解析し、この解析結果に基づいて当該電子データが通過した一つ前の装置を特定し、特定した装置が自装置と同等の機能を備えている装置である場合は、当該電子データがさらに一つ前に通過した他の装置を特定させ、また、自装置での解析結果を所定の識別情報と共に管理システムに通知すると共に、管理システムは、各データ中継装置から通知された情報をもとに当該電子データの流通経路を特定する電子データの追跡方法及びシステム、記録媒体もある(例えば、特許文献3参照。)。
【特許文献1】特開2004-274481号公報
【特許文献2】特開2000-124952号公報
【特許文献3】特開2003-283571号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
上記のような従来技術においては、全てのパケット情報を記憶する必要があるため、大容量のメモリが必要であると共に、誤ったアドレスのパケットも同時に記憶してしまうという課題があった。
【0007】
従って本発明は、大きなメモリ容量を必要とせずに簡易な構成で不正アクセスの探索(又は追跡)を行う方法及び装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記の目的を達成するため、本発明に係る不正アクセス探索方法(又は装置)は、自分が不正アクセスの端末を収容するサブネットのエンドポイントの探索装置に設定されているか否かを判断するステップ(手段)と、自分が該エンドポイントの探索装置に設定されていない場合、該エンドポイントの探索でアドレス詐称されていないと見なされた不正アクセスを検知するか、又は該不正アクセスの通知を受けるステップ(又は手段)と、該不正アクセスが検知されたとき又は該通知を受けたとき、該エンドポイントの探索装置に向って該不正アクセスの端末のアドレスを含む探索依頼を発行するステップ(又は手段)と、を備えたことを特徴としている。
【0009】
すなわち本発明においては、不正アクセスのユーザ端末を収容するサブネットのエンドポイント(アクセスエンド)の探索装置において、従来から知られているように、アドレス詐称されているパケットは破棄する。
【0010】
従って、該エンドポイント以外の探索装置では、該エンドポイントの探索装置においてアドレス詐称されていないと見なされた不正アクセスのパケットを検知したとき、或いは該不正アクセスの通知を受けたとき探索依頼を発行する。この探索依頼は、該不正アクセスの端末のアドレスを含むため、このアドレスに対応する(不正アクセスのユーザ端末を収容するサブネットに設置されているエンドポイントの)探索装置に向って発行されるものである。
【0011】
従って、この探索依頼を受けたエンドポイントの探索装置は、その不正アクセスの端末を収容している下位層のスイッチ(例えばL2スイッチ)に対して対処処理を行うことができる。
【0012】
このようにして、不正アクセスを行った端末の探索を実行することが出来るが、探索依頼を行う装置とエンドポイントの装置との間は、以下のように他の探索装置又は探索装置ではない、例えばL3スイッチなどが存在する場合があり、これについて説明する。なお、複数の探索装置を不正アクセスのパケットが通過するのは、探索装置に、不正アクセスを検知する機能(例えばファイアウォール)を備えていないものが存在するためである。
【0013】
まず、探索依頼を受けたとき、自分がエンドポイントに設定されていない探索装置は、次ホップの探索装置に対して探索依頼を発行する。従って、この探索依頼を受けた探索装置がエンドポイントに設定されていないときにはホップバイホップで順次探索依頼の発行を移して行くことになる。
【0014】
また、上記のように、探索依頼を受けた探索装置がホップバイホップで次々と探索依頼を発行する装置を変更して行く場合の他に、探索依頼を開始した探索装置のみが、そのエンドポイントの探索装置を確認できるまで中間のホップの探索装置に対してその探索依頼を順次行うようにしてもよい。
【0015】
また、上記のように、探索装置間には探索装置でない、例えばL3スイッチなどが存在し得るので、次ホップの探索装置に対して探索依頼を発行するとき、その前にその次ホップが探索装置であるか否かを確認し、探索装置でないとき(例えば上記のようにL3スイッチの場合)には、そこで探索依頼を止めないでさらに次のホップの探索装置に対して探索装置であるか否かを確認するようにしてもよい。
【0016】
このようにして、最後のエンドポイントの探索装置まで探索依頼を伝達することが可能となる。
【0017】
また、上記の不正アクセスを検知した探索装置は1つだけではなく複数存在する場合がある。これは、各探索装置に不正アクセス検知のための保護段を設けていることが原因であり、その保護段に達する前にはその不正アクセスに係るパケットがその探索装置を通過してしまうので、各探索装置において不正アクセスを検知する場合がある。
【0018】
このような場合には、同一の不正アクセスに関する探索依頼を受ける場合があり、これに対しては、探索依頼を発行した探索装置に対して不正アクセス検知済の通知を行うことも可能である。
【0019】
このようにすれば、探索依頼を発行した後の無駄な処理を減少させることが可能となる。
【0020】
なお、次ホップの存在を確認したとき、該次ホップに対して認証の手順を実行した後に該探索依頼を発行することもできる。
【0021】
該対処処理は、telnetでフィルタ設定することにより行うことができる。
【0022】
さらに、このフィルタ設定後、一定時間経過時に該フィルタ設定の解除を行うこともできる。
【発明の効果】
【0023】
本発明によれば、アドレス詐称されていないとエンドポイントの探索装置で見なされた不正アクセスを検知して、そのような不正アクセスのユーザ端末を特定し、対処することが可能となる。従って、余分な情報をプールしておくというようなことが無くなり、極めて簡素な構成により不正アクセスの探索を実現することが可能となる。
【発明を実施するための最良の形態】
【0024】
図1は、本発明に係る不正アクセス探索方法を実現するための装置の構成実施例を示したものである。図中、探索装置1は、不正アクセス検知部11と、アドレス詐称検知部12と、これらの検知部11及び12に接続された探索部13と、アドレス詐称検知部12及び探索部13に接続された対処部14とを備えている。また、探索部13は、外部の侵入検知システム(IDS)16に接続されている。検知部11及び12はL2スイッチ又は端末(PC)17からIPパケットを入力し、L2スイッチ又は端末(PC)17は対処部14から対処処理を受けるように接続されている。
【0025】
ここで、不正アクセス検知部11は、例えばファイアウォールであり、例えばIP Spoofing攻撃、SYN Flood攻撃、UPD Bomb攻撃、LAND攻撃等のDos攻撃を主として検知するものである。従って、必ずしも探索装置1内部に設ける必要はなく、外部から不正アクセス検知信号をもらってもよい、ということから点線で示してある。また、この不正アクセス検知部11は、ワームやウィルスを検知することも可能である。但し、ワームやウィルスに関しては、侵入検知システム16がその役割を担うことが多い。
【0026】
また、アドレス詐称検知部12は、送信元IPアドレスの自サブネット内収容検査や、送信元アドレスの経路情報検査等の機能を有しており、エンドポイントの探索装置においてのみ動作し、その他の探索装置においては動作しないように予め設定されている。
【0027】
また、探索部13は、ホップバイホップ探索、エンドポイント探索、近隣探索、等の機能を備えている。さらに対処部14は、TRAP発行、syslog発行、管理サーバ通知、メール通知、L2スイッチフィルタリング指示等の対処処理を実行するものである。
【0028】
なお、この探索装置1は、図示していないが、TCP/IPプロトコルスタックを備えており、TCPヘッダのチェックやUDPヘッダのチェック等を行っている。
【0029】
このような本発明に係る探索装置の種々の機能を、いろいろな不正アクセス例に基づいて以下に説明する。
【0030】
送信元IPアドレスを詐称した不正アクセス例:
このような不正アクセス例が図2に示されており、この例では、探索装置1_1〜1_5(以下、符号「1」で総称することがある。)と、通常のL3スイッチ(L3SW)2_1〜2_4(以下、符号「2」で総称することがある。)と、L2スイッチ(L2SW)3_1〜3_4(以下、符号「3」で総称することがある。)と、ユーザ端末(PC)4_1〜4_26(以下、符号「4」で総称することがある。)とで構成されたネットワークを示している。なお、このネットワークにおける探索装置1は、L3スイッチ2において探索機能を付加したものに相当し、さらに、この探索装置1の中には、不正アクセス検知部11を備えていないものがある。
【0031】
また、図示のように、探索装置1_3, 1_1, 1_4, 1_2, 1_5は、それぞれサブネットSN1, 3, 4, 7, 8を形成し、L3スイッチは2_1, 2_2, 2_3, 2_4は、それぞれサブネットSN2, 5, 6, 9を形成している。
【0032】
このようなネットワークにおいて、例えば不正アクセス者(攻撃者)ATKがPC4_7から送信元IPアドレスを詐称したパケットをL2スイッチ3_1を経由して探索装置1_1に送ると、サブネットSN3のエンドポイントである探索装置1_1では、この不正アクセス(ステップS1)に対して、アドレス詐称検知をアドレス詐称検知部12で行い(ステップS2)、この通知を受けた対処部14は、この不正アクセスパケットを破棄する。
【0033】
なお、このアドレス詐称パケットは、自サブネットSN3からのものである場合には、検知できないので、そのような場合は、通常MACアドレスとの組合せで検知する。このような処理は、従来から知られているアドレス詐称検知処理である。
【0034】
エンドポイントの探索装置で不正アクセスを検知し対処した例:
このような例が図3に示されている。この例の場合にも、図2で示した例と同様にP C4_7から不正アクセス(ステップS1)がL2スイッチ3_1を経由して探索装置1_1に送られるが、今度は上記のようなアドレス詐称の不正アクセスではなく、DoS攻撃のような不正アクセスであるので、そのパケットを今度はアドレス詐称検知部12ではなく、不正アクセス検知部11が検知する(ステップS2)。
【0035】
不正アクセス検知部11から不正アクセスが検知されたことを知らされた対処部14は、PC4_7を収容しているL2スイッチ3_1に対して対処処理を実行する。
【0036】
この場合の対処処理の一例が図4に示されている。なお、この対処処理は従来から知られているtelnet方式を用いることが出来る。すなわち、探索装置1_1は、L2スイッチ3_1にtelnet接続し(ステップS101)、これに応答してL2スイッチ3_1において3_1からプロンプトが返って来る(ステップS102)ので、ユーザ名を入力し(ステップS103)、これに対してもプロンプトが返って来る(ステップS104)ので、さらにパスワードを入力し(ステップS105)、これに対するプロンプトが返って来る(ステップS106)時点で、acl番号を採番し、不正アクセス者のMACアドレスでaclを作成して(ステップS107)、L2スイッチ3_1へ送ると、このときのプロンプトが返る(ステップS108)ことにより、探索装置1_1はログアウトする(ステップS109)。
【0037】
この後、ステップS111〜S116までは上記のステップS101〜S106と同様の手順が繰り返された後、ステップS117において作成したaclでVLANでフィルタリング設定を行い、これに対してL2スイッチ3_1からプロンプトが返る(ステップS118)ことにより、ログアウトすることになる(ステップS119)。
【0038】
なお、このように対処処理としてフィルタリング設定を行った後は、例えば一定時間経過した時点で、探索装置1_1からL2スイッチ3_1に対してそのフィルタ設定を解除する処理を行うことになる。
【0039】
ホップバイホップ探索例(遠隔探知装置で検知):
このような例が図5に示されており、この例では、図2及び図3に示したネットワーク構成例と同様のネットワーク構成において、探索装置1_1において不正アクセス検知部11が設けられていない場合(エンドポイントなのでアドレス詐称検知部12は有る。)を扱ったもので、このような場合にはPC4_8からL2スイッチ3_1を経由した不正アクセス(ステップS1)は探索装置1_1を素通りして次段の探索装置1_2に送られる。この探索装置1_2は不正アクセス検知部11を備えているので不正アクセス検知部11が不正アクセス検知を行う(ステップS2)。このとき、アドレス詐称検知部12が、その不正アクセスパケットが自サブネットSN7からの攻撃ではないと判定するので、探索装置1_2は、探索装置1_1に対して不正アクセス者ATKの端末4_7のIPアドレスを含んだ探索依頼を行う(ステップS3)。
【0040】
このような探索依頼(ステップS3)を受理した探索装置1_1は、図3の例と同様に、不正アクセス者ATKのPC4_7を収容しているL2スイッチ3に対して対処処理(ステップS4)を行う。この対処処理は図4に示したように、例えばフィルタリング設定によって行われる。このような対処処理は、やはり図3の例と同様に一定時間後に探索装置1_1からL2スイッチ3_1に対して解除されることとなる。
【0041】
このような図5に示したホップバイホップ探索例の変形例が図6のシーケンスに示されている。このシーケンス例では、4つの探索装置1_1〜1_4を用いてホップバイホップ探索する動作手順を示しているが、基本的な考え方は図5の例と同様である。
【0042】
すなわち、不正アクセス者のPC4_7から不正アクセス(ステップS1)がL2スイッチ3_1を経由して探索装置1_1に送られると、この探索装置1_1は図5の例と同様に次の探索装置1_2に送るが、この例では探索装置1_2は不正アクセス検知部11を備えていないものとすると、さらに次の探索装置1_3にその不正アクセスパケットを転送する。この探索装置1_3も同様に不正アクセス検知部11を備えていないとすると、この不正アクセスパケットはさらに探索装置1_4に転送される。そして、探索装置1_4において不正アクセス検知部11が不正アクセス検知を行う(ステップS2)。
【0043】
なお、探索装置1_1ではアドレス詐称検知部12がアドレス詐称検知を行うが、この例でも図5と同様にアドレスは正しいものとして処理している。探索装置1_2〜1_4においては、エンドポイントではないのでアドレス詐称検知部12は不動作に設定されており、アドレス詐称検知は行われない。図6の上部に示す“End”及び“Hop”はこの意味である。
【0044】
探索装置1_4においては、不正アクセス検知(ステップS2)に基づき、探索部13がホップバイホップ探索を下記の通り実行する。
【0045】
ステップS11:探索部13は不正アクセス者の方向に向って次ホップが存在するか否かを調べる。これは、下記の表1に示すようなICMPメッセージを用いることにより行われる。この場合、次ホップの存在を確認するため、エコーリクエスト(Echo Request)において、TTL(Time-to-live)=1に設定したICMPメッセージを探索装置1_3に向って送る。
【0046】
【表1】
【0047】
ステップS12:探索装置1_3においては、探索装置1_4からのICMPエコーリクエストを受けて、エコーリクエストの1パケットに対して1回ずつ応答パケットを返す。これは、保護動作として3回実行される。
【0048】
ステップS13:探索装置1_3からICMP応答メッセージを受けた探索装置1_4は、次ホップの存在を確認できたので、この探索装置1_3に対して認証用のチャレンジコードを送ってもらうように依頼する。このように、探索装置間での認証時においてパスワードの暗号化を行うために事前にやりとりするメッセージの例が下記の表2に示されている。
【0049】
【表2】
【0050】
ステップS14:このようなチャレンジ依頼を探索装置1_4から受けた探索装置1_3は、やはり表2に示すメッセージを用いて、このメッセージに乱数を入れて応答(チャレンジ応答)を探索装置1_4に返す。この場合、1回の依頼に対して同一の応答を3発投げる。この後、探索依頼で認証を行うため、この乱数は記憶しておく。なお、応答済みの同一の依頼は破棄される。これについては後述する。
【0051】
ステップS15:チャレンジ応答を受けた探索装置1_4では、下記の表3に示すメッセージにおいて、チャレンジコード+パスワードにハッシュ演算を行って探索依頼を発行する。
【0052】
【表3】
【0053】
ステップS16:この場合の探索依頼パケットの内容は、探索装置のIPアドレス、不正アクセス者のIPアドレス、及び対処の要否である。
【0054】
ステップS17:探索装置1_4からの1回の探索依頼に対して同一の受理応答を3発だけ探索装置1_3は探索装置1_4に対して投げる。また、既に受理・応答済みの応答は破棄する。
【0055】
このように、探索装置1_4から探索依頼を受けた探索装置1_3は、さらに、次ホップである探索装置1_2に対して、探索装置1_4が探索装置1_3に対して行ったのと同様の手順を実行する。これは、探索装置1_2と探索装置1_1の関係においても全く同様である。
【0056】
ステップS18:このようにして探索装置1_2から探索依頼を受け、受理応答を行った探索装置1_1においては、探索部13において、自分がエンドポイントに予め設定されていることを知っており、このエンドポイントが探索依頼に含まれる不正アドレス端末4_7のIPアドレス(下記の表4のメッセージ参照。)が属するサブネットのエンドポイントであることを確認した後、対処処理を実行する。
【0057】
すなわち、図6の上部に示すように、探索装置1_1と1_4はエンドポイントインタフェースEndと探索可能インタフェースHopを有し、中間の探索装置1_2及び1_3は探索可能インタフェースHopのみを備えていることが示されている。
【0058】
なお、上記の対処処理は、図4に示したような手順で実行される。
【0059】
ステップS19:
探索装置1_1は対処処理が完了したら、不正アクセスを検知した探索装置1_4に対して完了通知を発行する。この場合に用いるメッセージ例が下記の表4に示されている。
【0060】
【表4】
【0061】
なお、ステップS18及びS19においては、探索依頼の内容を見て、L2スイッチ3_1への対処要である不正アクセスであれば対処処理を実行し、「対処要否」で対処不要となっていれば探索完了通知のみを送ればよい。
【0062】
エンドポイント探索例(遠隔探索装置で検知):
このネットワーク構成例が図7に示されている。この例では、探索装置1_3のサブネットSN1に、L2スイッチ3_5が設けられている点が、上記の例と異なっている。この図7の探索例は、図8に示したシーケンス図と対応しているので、以下、これらの図7及び図8を参照して、この探索例の動作手順を説明する。
【0063】
まず、この例においては、図示のように、不正アクセス(ステップS1)は、不正アクセス者PC4_15から、L2スイッチ3_2、探索装置1_2、L3スイッチ2_2、及び探索装置1_1のルートで通過し、探索装置1_3において不正アクセス検知(ステップS2)がなされたものとする。すなわち、それまでの各装置においては、不正アクセス検知がなされず、またエンドポイントの探索装置1_2ではアドレス詐称の検査結果がOKであったことを示している。また、各探索装置はエンドポイント探索に設定(Acs)されている。
【0064】
ステップS21:これは、図6に示したステップS11と同様に不正アクセス者の方向へ向って次ホップが存在するか否かを調べるものである。
【0065】
ステップS22:上記のステップS21の結果、次ホップの存在が確認されたが、さらに次ホップがエンドポイントであるか否かを確認するための手順を実行する。この場合に用いるUDPメッセージ例が下記の表5に示されている。
【0066】
【表5】
【0067】
なお、このUDPメッセージにおける“Datagram” 中に、下記の表6に示すメッセージが格納されることになる。
【0068】
【表6】
【0069】
ステップS23:探索装置1_3からエンドポイントか否かの問合せを受けた探索装置1_1は、確認依頼に含まれる不正アクセス者のIPアドレスを基に自分がエンドポイントか否かの判断を行い応答する。この場合、1回の確認依頼に対して1つのパケットを返す。これも上記の表6に示すメッセージによって行う。
【0070】
ステップS24:このように、探索を開始した探索装置1_3の設定が「エンドポイント探索」になっているので、途中の装置の探索設定は関係なくエンドポイント探索を開始した装置がエンドポイントまで一気に探索を開始する。また、上記のホップバイホップ探索や後述する近隣探索で探索を開始した場合でも途中で探索依頼を受理した装置がエンドポイント探索になっていればそれ以降の中継装置の探索手順は無視される。
【0071】
従って、探索装置1_3は、探索装置1_1がエンドポイントではないことを知るので、今度はL3スイッチ2_2に対して、ICMPエコーリクエスト(TTL=2)を送ることによりエンドポイントか否かを調べる。この結果、L3スイッチ2_2は上記と同様に応答を返すので、探索装置1_3はさらに上記のステップS22と同様にエンドポイントの確認手順を実行する。
【0072】
ステップS25:これに対し、L3スイッチ2_2は、開いていないUDPポートへのリクエストに対しては"Port Unreachable"を返す。従って、探索装置1_3はさらに次ホップである探索装置1_2に対して同様のICMPエコーリクエスト(TTL=3)を探索装置1_2に対して送信する。
【0073】
これに対して探索装置1_2は応答を返すので、探索装置1_3はさらに上記と同様にエンドポイント確認のメッセージを送る。
【0074】
ステップS26:このようなエンドポイント確認メッセージを受けた探索装置1_2は、図8の上部に示すように、エンドポイントインタフェースEndを備えているので、自分がエンドポイントであることを知っており、不正アクセス者PC4_15が自サブネット内に存在するため、エンドポイント応答を探索装置1_3へ返す。この場合も1パケットに対して1回の応答を出す。
【0075】
そして、探索装置1_3と1_2との間において、図6のステップS13及びS14で示したのと同様にチャレンジ依頼及びチャレンジ応答が行われる。
【0076】
ステップS27:探索装置1_3は、上記のステップS15と同様に探索装置1_2に対して探索依頼を発行する。
【0077】
ステップS28:探索装置1_2においては、1回の探索依頼に対して3発の受理応答を投げる。既に受理・応答済みの依頼は破棄する。これは上記の例と同様である。
【0078】
この後、探索装置1_2は、図6に示したステップS18及びS19と同様に不正アクセス者に対するエンドポイントなので対処処理を実行し、対処処理が完了したら、不正アクセスを検知した探索装置1_4に対して完了通知を送る。
【0079】
近隣探索例(遠隔探索装置で検知):
この例が図9に示されており、この図9のパケットの流れは、図10に示したシーケンス図に対応している。また、図9のネットワーク例は、図7に示したネットワーク例と同様である。以下、図9及び図10を参照して、この近隣探索例のシーケンスを説明する。
【0080】
まず、不正アクセス者PC4_15からの不正アクセス(ステップS1)は、図8と同様に探索装置1_3において不正アクセス検知される(ステップS2)。
【0081】
ステップS41:上記のステップS21と同様に不正アクセス者の方向へ次ホップが存在するか否かを調べる。この結果、探索装置1_1がこれに応答する。
【0082】
ステップS42:応答して来た次ホップが探索装置1_1か否かを確認する。この場合のメッセージも上記の表6に示したメッセージを用いて行われる。
【0083】
ステップS43:探索装置1_3からの探索装置確認のメッセージに対して、探索装置1_1は、自分がエンドポイントであるか否かに拘らず探索装置としての応答を返す。この場合、1回の確認依頼に対して1パケット返す。
【0084】
このように探索装置1_1が探索装置であることを応答したことを受けて、探索装置1_3は上記と同様にチャレンジ依頼及び応答による認証を行った後、探索依頼を探索装置1_1に対して行い、探索装置1_1からその受理応答を受ける。
【0085】
この後、探索装置1_1は次ホップを調べ、次ホップの存在を知ることにより探索装置確認を行うが、次ホップは通常のL3スイッチ2_2であるので、ここから返って来るメッセージはICMP Port Unreachableであることが探索装置1_1に知らされる。従って、探索装置1_1は、ICMPエコーリクエストをTTL=2にして探索装置1_2に対して次ホップであるか否かを調べる。
【0086】
そして探索装置1_1と1_2の間で探索装置確認及び応答を行い、さらにチャレンジ依頼と応答を行った後、探索装置1_1は探索装置1_2に対して探索依頼を行う。
【0087】
この後は、図6に示したステップS18及びS19と同様に、探索装置1_2は、探索依頼の内容を見てL2スイッチ3_2への対処が必要である不正アクセスであれば対処処理を行い、対処不要であれば探索完了通知のみを探索装置1_3へ送ることとなる。
【0088】
なお、この近隣探索例は、探索装置確認を行う点を除けば図6に示したホップバイホップ探索例と同様であるが、この探索装置確認を行うことにより、中間にL3スイッチが存在していてもホップバイホップ探索例と異なり、探索手順が中止されない利点がある。
【0089】
複数の探索装置による不正アクセス検知・探索例:
この例が図11に示されており、このネットワーク例に対応したのが図12に示すシーケンス図である。これは、探索装置の全てが探索依頼を送信する状態(不正アクセス検知に保護段を付けた場合、その保護段数時間中は不正アクセスパケットが通過してしまう状態がある。)を扱ったものであり、この場合、転送した「探索依頼」か或いは自分が発行した「探索依頼」かは問わない。以下、図11及び図12を参照してこのシーケンス例を説明する。
【0090】
まず、不正アクセス者PC4_18からの不正アクセス(ステップS1)は、L2スイッチ3_3を経由した後、探索装置1_2, 1_1, 1_3のいずれにおいても不正アクセス検知(ステップS2_1, S2_2, S2_3)がなされた後、図示しない探索装置1_6に送られる。この探索装置1_6は不正アクセス検知をしないものとする。
【0091】
次に、各探索装置1_2, 1_1, 1_3は、それぞれ次ホップの確認を行うが、図を簡略化するため図示を省略してある。
【0092】
ステップS51:探索装置1_2は、不正アクセス検知部11において不正アクセス検知を行うので、これに基づき上述した対処処理を実行する。従って、探索装置1_2は自分からはこれ以上の処理は行わない。
【0093】
一方、この図12に示した例では、探索装置1_1が不正アクセス検知を行うので次ホップの確認及び探索装置であることの確認を経た後、チャレンジ依頼No.30及び応答No.30を行い、探索依頼No.30を探索装置1_2に対して送る。
【0094】
ステップS52:探索装置1_2においては、探索装置1_1からの探索依頼No.30はとりあえず受理するが、自装置で検知・対処済みであるので、完了通知を発行して探索装置1_1へ送る。
【0095】
一方、探索装置1_3においても同様に不正アクセス検知を行うので、この探索装置1_3においても次ホップの確認及び探索装置の確認を経た後、チャレンジ依頼No.50を探索装置1_1に対して行い、これに対して探索装置1_1はチャレンジ応答No.50を返すので、探索装置1_3は探索依頼No.50を行い、探索装置1_1は探索応答No.50を探索装置1_3に返す。
【0096】
従って、探索装置1_1は、この探索依頼が、自分の既に行っている探索依頼と同じであれば処理をここで終了する。
【0097】
探索依頼No.30と探索依頼No.50の同一性をチェック出来ない場合には、探索装置1_1は探索装置1_2に対して上記と同様に、チャレンジ依頼No.31を行い、チャレンジ応答No.31を受けるので、さらに探索依頼No.31を行い、これに対して受理応答No.31を受ける。
【0098】
ステップS53:この場合も、ステップS52と同様に探索依頼No.31はとりあえず受理するが、自装置で検知及び対処済みなので完了通知を探索装置1_3に対して発行する。
【0099】
図13は、図12の変形例を示しており、図12のシーケンス例がホップバイホップ方式によるものであったが、図13の場合には、エンドポイント探索方式による点が異なっている。この場合のパケットの流通過程は図8に示したものと同様である。
【0100】
すなわち、不正アクセス者PC4_15からの不正アクセス(ステップS1)は、L2スイッチ3_2を経由して探索装置1_2において不正アクセス検知(ステップS2_1)され、さらに通常のL3スイッチ2_2を経由した後探索装置1_1において不正アクセス検知され(ステップS2_2)、さらに最後の探索装置1_3において不正アクセス検知される(ステップS2_3)。
【0101】
ステップS61:この場合も、探索装置1_2は、図12のステップS51と同様に対処処理を実行する。一方、探索装置1_1は、本方式がエンドポイント探索方式であるので、次ホップ探索等の手順(図示せず)を経た後、エンドポイントの確認をL3スイッチ2_2に対して行う。これに対し、L3スイッチ2_2はICMP Port Unreachableを返して来るので、探索装置1_1は、さらに探索装置1_2に対してエンドポイント確認を行い、これに対して探索装置1_2からエンドポイント応答を受ける。従って、探索装置1_1は探索装置1_2に対してチャレンジ依頼を行いチャレンジ応答を受けるので、さらに探索依頼を行う。
【0102】
ステップS62:探索装置1_2は、上記のステップS52と同様に探索依頼はとりあえず受理するが、自装置で検知・対処済みであるので完了通知を発行して探索装置1_1に送る。
【0103】
このような手順を探索装置1_3と探索装置1_1の間においても同様にして行う。
【0104】
ステップS63:従って、探索装置1_2においては、ステップS53と同様に探索依頼はとりあえず受理し、検知・対処済みであるとして完了通知を探索装置1_3に送る。
【0105】
タイムアウト発生時のシーケンス例:
この例が図14に示されている。これは、例えば図13に示したようなパケットの流通経路において、やはり不正アクセスが不正アクセス者PC4_15から探索装置1_3に送られ、ここで不正アクセス検知がされる(ステップS2)ことを前提としている。
【0106】
ステップS91:
次ホップを探すための手順を実行する。このときのシーケンスはホップバイホップ探索と同様である。
【0107】
ステップS92:
そして、探索装置確認を行うが、このときのメッセージを探索装置1_3から探索装置1_1に送ったとき、一定の時間が経過しても応答が無い場合、探索失敗とみなすことになる。また、再び不正アクセス通知があった場合には探索を開始する。
【0108】
(付記1)
自分が不正アクセスの端末を収容するサブネットのエンドポイントの探索装置に設定されているか否かを判定するステップと、
自分が該エンドポイントの探索装置に設定されていない場合、該エンドポイントの探索装置でアドレス詐称されていないと見なされた不正アクセスを検知するか、又は該不正アクセスの通知を受けるステップと、
該不正アクセスが検知されたとき又は該通知を受けたとき、該エンドポイントの探索装置に向って該不正アクセスの端末のアドレスを含む探索依頼を発行するステップと、
を備えたことを特徴とする不正アクセス探索方法。
(付記2)付記1において、
自分が該エンドポイントの探索装置に設定されている場合に該探索依頼を受けたとき、該探索依頼に含まれる該不正アクセスの端末を収容している下位層のスイッチに対して対処処理を行うステップをさらに含むことを特徴とした不正アクセス探索方法。
(付記3)付記1において、
自分が該エンドポイントに設定されていない場合に該探索依頼を受けたとき、次ホップの探索装置に対して該探索依頼を発行するステップをさらに有することを特徴とした不正アクセス探索方法。
(付記4)付記1において、
該探索依頼の発行を開始した探索装置が、該エンドポイントの探索装置を確認できるまで両探索装置の中間のホップの探索装置に対して順次、該探索依頼を行うステップをさらに有することを特徴とした不正アクセス探索方法。
(付記5)付記3において、
該次ホップの探索装置に探索依頼を発行するとき、その前に該次ホップが探索機能を備えた探索装置であるか否かを確認し、該探索装置でないときには、さらに次ホップに対して探索装置であるか否かを確認するステップをさらに有することを特徴とした不正アクセス探索方法。
(付記6)付記1又は3において、
該不正アクセスを検知した他の探索装置から同一の不正アクセスに関する探索依頼を受けたとき、該探索依頼を発行した探索装置に対して検知済の通知を行うステップをさらに有することを特徴とした不正アクセス探索方法。
(付記7)付記1において、
該エンドポイントの探索装置が、アドレス詐称のパケットを検知したとき、該パケットを破棄することを特徴とした不正アクセス探索方法。
(付記8)付記1において、
該探索装置が、該不正アクセスを検知する機能を有さない探索装置を含むことを特徴とした不正アクセス探索方法。
(付記9)付記3から5のいずれか1つにおいて、
次ホップの存在を確認したとき、該次ホップに対して認証の手順を実行した後に該探索依頼を発行するステップをさらに有することを特徴とした不正アクセス探索方法。
(付記10)付記1において、
該対処処理ステップが、telnetでフィルタ設定するステップを含むことを特徴とした不正アクセス探索方法。
(付記11)付記10において、
該フィルタ設定後、一定時間経過時に該フィルタ設定の解除を行うステップをさらに有することを特徴とした不正アクセス探索方法。
(付記12)
自分が不正アクセスの端末を収容するサブネットのエンドポイントの探索装置に設定されているか否かを判定する手段と、
自分が該エンドポイントの探索装置に設定されていない場合、該エンドポイントの探索装置でアドレス詐称されていないと見なされた不正アクセスを検知するか、又は該不正アクセスの通知を受ける手段と、
該不正アクセスが検知されたとき又は該通知を受けたとき、該エンドポイントの探索装置に向って該不正アクセスの端末のアドレスを含む探索依頼を発行する手段と、
を備えたことを特徴とする不正アクセス探索装置。
(付記13)付記12において、
自分が該エンドポイントの探索装置に設定されている場合に該探索依頼を受けたとき、該探索依頼に含まれる該不正アクセスの端末を収容している下位層のスイッチに対して対処処理を行う手段をさらに含むことを特徴とした不正アクセス探索装置。
(付記14)付記12において、
自分が該エンドポイントに設定されていない場合に該探索依頼を受けたとき、次ホップの探索装置に対して該探索依頼を発行する手段をさらに有することを特徴とした不正アクセス探索装置。
(付記15)付記12において、
該探索依頼の発行を開始した探索装置が、該エンドポイントの探索装置を確認できるまで両探索装置の中間のホップの探索装置に対して順次、該探索依頼を行う手段をさらに有することを特徴とした不正アクセス探索装置。
(付記16)付記14において、
該次ホップの探索装置に探索依頼を発行するとき、その前に同時に該次ホップが探索機能を備えた探索装置であるか否かを確認し、該探索装置でないときには、さらに次ホップに対して探索装置であるか否かを確認する手段をさらに有することを特徴とした不正アクセス探索装置。
(付記17)付記12又は15において、
該不正アクセスを検知した他の探索装置から同一の不正アクセスに関する探索依頼を受けたとき、該探索依頼を発行した探索装置に対して検知済の通知を行う手段をさらに有することを特徴とした不正アクセス探索装置。
(付記18)付記12において、
該エンドポイントの探索装置が、アドレス詐称のパケットを検知したとき、該パケットを破棄することを特徴とした不正アクセス探索装置。
(付記19)付記12において、
該探索装置が、該不正アクセスを検知する機能を有さない探索装置を含むことを特徴とした不正アクセス探索装置。
(付記20)付記14から16のいずれか1つにおいて、
次ホップの存在を確認したとき、該次ホップに対して認証の手順を実行した後に該探索依頼を発行する手段をさらに有することを特徴とした不正アクセス探索装置。
(付記21)付記12において、
該対処処理手段が、telnetでフィルタ設定する手段を含むことを特徴とした不正アクセス探索装置。
(付記22)付記21において、
該フィルタ設定後、一定時間経過時に該フィルタ設定の解除を行う手段をさらに有することを特徴とした不正アクセス探索装置。
【図面の簡単な説明】
【0109】
【図1】本発明に係る不正アクセス探索装置の構成例を示したブロック図である。
【図2】送信元IPアドレスを詐称して不正アクセスしたときのネットワーク構成例を示したブロック図である。
【図3】L2スイッチに隣接した探索装置で不正アクセスを検知し、これに対処した例を示したネットワーク構成例を示すブロック図である。
【図4】探索装置からL2スイッチへの対処処理例を示したシーケンスブロック図である。
【図5】本発明によるホップバイホップ探索(遠隔探索装置で検知)を実行するネットワーク構成例を示したブロック図である。
【図6】図5に示したホップバイホップ探索例の変形例を示したシーケンス図である。
【図7】本発明によるエンドポイント探索例(遠隔探索装置で検知)を実行するネットワーク構成例を示したブロック図である。
【図8】図7に示したエンドポイント探索例のシーケンス図である。
【図9】本発明に係る近隣探索例(遠隔探索装置で検知)を実行するネットワーク構成例を示したブロック図である。
【図10】図9に示した近隣探索例のシーケンス図である。
【図11】本発明に係る複数の探索装置による不正アクセス検知・探索例を実行するネットワーク構成例を示したブロック図である。
【図12】図11に示した検知・探索例のシーケンス図である。
【図13】図12に示した検知・探索例のシーケンス例をエンドポイント探索例に適用したときのシーケンス図である。
【図14】上記の各シーケンス例においてタイムアウトが発生した場合のシーケンス図である。
【符号の説明】
【0110】
1 探索装置
11 不正アクセス検知部
12 アドレス詐称検知部
13 探索部
14 対処部
16 侵入検知システム(IDS)
17 L2スイッチ又はPC(ユーザ端末)
図中、同一符号は同一又は相当部分を示す。
【技術分野】
【0001】
本発明は、不正アクセス探索方法及び装置に関し、特にネットワークシステム上においてDos攻撃などの悪意のあるユーザからの不正アクセスを探索(Security Chase)する方法及び装置に関するものである。
【背景技術】
【0002】
従来より、不正アクセスに対して採られている対策は、iTracebackという方式が知られており、この方式の場合には全てのパケットを記憶しておき、何か問題が発生したとき、これらの記憶しておいたパケット情報を人手で調査し、不正アクセスを検出するというものであった。
【0003】
このような方式の従来例として、被害者装置が攻撃者装置から各ルータ装置を介してサービス妨害攻撃を受けつつあるときでも、要求側追跡装置が、応答側追跡装置をもつルータ装置に追跡要求メッセージを送信し、応答側追跡装置が、1種類以上の受動型追跡方式及び1種類以上の能動型追跡方式のうち、選択された追跡方式を実行する発信源追跡装置及びプログラムがある(例えば、特許文献1参照。)。
【0004】
また、被攻撃者のコンピュータを防御するため、可変なレベル数で分散されたシールドを配置する。これらシールドは、被攻撃者のコンピュータに関連するパケットを分析し、検査によって、疑わしいトラフィックの帯域を絞るとともに攻撃を検出し、攻撃が検出されると、シールドは、プローブのプログラムを攻撃の上流に向かって転送し、プローブは、攻撃のパケットを見つけるとそのパケットを破棄するとともに、さらに上流に向かってプローブのプログラムを転送するサービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラムもある(例えば、特許文献2参照。)。
【0005】
さらには、ネットワーク上で連鎖状に接続された複数のデータ中継装置と、各データ中継装置と双方向通信を行う手段を備えた管理システムとを含んでデータ追跡システムを構成し、個々のデータ中継装置は、ネットワーク上で電子データを運ぶ下位層の識別子を解析し、この解析結果に基づいて当該電子データが通過した一つ前の装置を特定し、特定した装置が自装置と同等の機能を備えている装置である場合は、当該電子データがさらに一つ前に通過した他の装置を特定させ、また、自装置での解析結果を所定の識別情報と共に管理システムに通知すると共に、管理システムは、各データ中継装置から通知された情報をもとに当該電子データの流通経路を特定する電子データの追跡方法及びシステム、記録媒体もある(例えば、特許文献3参照。)。
【特許文献1】特開2004-274481号公報
【特許文献2】特開2000-124952号公報
【特許文献3】特開2003-283571号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
上記のような従来技術においては、全てのパケット情報を記憶する必要があるため、大容量のメモリが必要であると共に、誤ったアドレスのパケットも同時に記憶してしまうという課題があった。
【0007】
従って本発明は、大きなメモリ容量を必要とせずに簡易な構成で不正アクセスの探索(又は追跡)を行う方法及び装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記の目的を達成するため、本発明に係る不正アクセス探索方法(又は装置)は、自分が不正アクセスの端末を収容するサブネットのエンドポイントの探索装置に設定されているか否かを判断するステップ(手段)と、自分が該エンドポイントの探索装置に設定されていない場合、該エンドポイントの探索でアドレス詐称されていないと見なされた不正アクセスを検知するか、又は該不正アクセスの通知を受けるステップ(又は手段)と、該不正アクセスが検知されたとき又は該通知を受けたとき、該エンドポイントの探索装置に向って該不正アクセスの端末のアドレスを含む探索依頼を発行するステップ(又は手段)と、を備えたことを特徴としている。
【0009】
すなわち本発明においては、不正アクセスのユーザ端末を収容するサブネットのエンドポイント(アクセスエンド)の探索装置において、従来から知られているように、アドレス詐称されているパケットは破棄する。
【0010】
従って、該エンドポイント以外の探索装置では、該エンドポイントの探索装置においてアドレス詐称されていないと見なされた不正アクセスのパケットを検知したとき、或いは該不正アクセスの通知を受けたとき探索依頼を発行する。この探索依頼は、該不正アクセスの端末のアドレスを含むため、このアドレスに対応する(不正アクセスのユーザ端末を収容するサブネットに設置されているエンドポイントの)探索装置に向って発行されるものである。
【0011】
従って、この探索依頼を受けたエンドポイントの探索装置は、その不正アクセスの端末を収容している下位層のスイッチ(例えばL2スイッチ)に対して対処処理を行うことができる。
【0012】
このようにして、不正アクセスを行った端末の探索を実行することが出来るが、探索依頼を行う装置とエンドポイントの装置との間は、以下のように他の探索装置又は探索装置ではない、例えばL3スイッチなどが存在する場合があり、これについて説明する。なお、複数の探索装置を不正アクセスのパケットが通過するのは、探索装置に、不正アクセスを検知する機能(例えばファイアウォール)を備えていないものが存在するためである。
【0013】
まず、探索依頼を受けたとき、自分がエンドポイントに設定されていない探索装置は、次ホップの探索装置に対して探索依頼を発行する。従って、この探索依頼を受けた探索装置がエンドポイントに設定されていないときにはホップバイホップで順次探索依頼の発行を移して行くことになる。
【0014】
また、上記のように、探索依頼を受けた探索装置がホップバイホップで次々と探索依頼を発行する装置を変更して行く場合の他に、探索依頼を開始した探索装置のみが、そのエンドポイントの探索装置を確認できるまで中間のホップの探索装置に対してその探索依頼を順次行うようにしてもよい。
【0015】
また、上記のように、探索装置間には探索装置でない、例えばL3スイッチなどが存在し得るので、次ホップの探索装置に対して探索依頼を発行するとき、その前にその次ホップが探索装置であるか否かを確認し、探索装置でないとき(例えば上記のようにL3スイッチの場合)には、そこで探索依頼を止めないでさらに次のホップの探索装置に対して探索装置であるか否かを確認するようにしてもよい。
【0016】
このようにして、最後のエンドポイントの探索装置まで探索依頼を伝達することが可能となる。
【0017】
また、上記の不正アクセスを検知した探索装置は1つだけではなく複数存在する場合がある。これは、各探索装置に不正アクセス検知のための保護段を設けていることが原因であり、その保護段に達する前にはその不正アクセスに係るパケットがその探索装置を通過してしまうので、各探索装置において不正アクセスを検知する場合がある。
【0018】
このような場合には、同一の不正アクセスに関する探索依頼を受ける場合があり、これに対しては、探索依頼を発行した探索装置に対して不正アクセス検知済の通知を行うことも可能である。
【0019】
このようにすれば、探索依頼を発行した後の無駄な処理を減少させることが可能となる。
【0020】
なお、次ホップの存在を確認したとき、該次ホップに対して認証の手順を実行した後に該探索依頼を発行することもできる。
【0021】
該対処処理は、telnetでフィルタ設定することにより行うことができる。
【0022】
さらに、このフィルタ設定後、一定時間経過時に該フィルタ設定の解除を行うこともできる。
【発明の効果】
【0023】
本発明によれば、アドレス詐称されていないとエンドポイントの探索装置で見なされた不正アクセスを検知して、そのような不正アクセスのユーザ端末を特定し、対処することが可能となる。従って、余分な情報をプールしておくというようなことが無くなり、極めて簡素な構成により不正アクセスの探索を実現することが可能となる。
【発明を実施するための最良の形態】
【0024】
図1は、本発明に係る不正アクセス探索方法を実現するための装置の構成実施例を示したものである。図中、探索装置1は、不正アクセス検知部11と、アドレス詐称検知部12と、これらの検知部11及び12に接続された探索部13と、アドレス詐称検知部12及び探索部13に接続された対処部14とを備えている。また、探索部13は、外部の侵入検知システム(IDS)16に接続されている。検知部11及び12はL2スイッチ又は端末(PC)17からIPパケットを入力し、L2スイッチ又は端末(PC)17は対処部14から対処処理を受けるように接続されている。
【0025】
ここで、不正アクセス検知部11は、例えばファイアウォールであり、例えばIP Spoofing攻撃、SYN Flood攻撃、UPD Bomb攻撃、LAND攻撃等のDos攻撃を主として検知するものである。従って、必ずしも探索装置1内部に設ける必要はなく、外部から不正アクセス検知信号をもらってもよい、ということから点線で示してある。また、この不正アクセス検知部11は、ワームやウィルスを検知することも可能である。但し、ワームやウィルスに関しては、侵入検知システム16がその役割を担うことが多い。
【0026】
また、アドレス詐称検知部12は、送信元IPアドレスの自サブネット内収容検査や、送信元アドレスの経路情報検査等の機能を有しており、エンドポイントの探索装置においてのみ動作し、その他の探索装置においては動作しないように予め設定されている。
【0027】
また、探索部13は、ホップバイホップ探索、エンドポイント探索、近隣探索、等の機能を備えている。さらに対処部14は、TRAP発行、syslog発行、管理サーバ通知、メール通知、L2スイッチフィルタリング指示等の対処処理を実行するものである。
【0028】
なお、この探索装置1は、図示していないが、TCP/IPプロトコルスタックを備えており、TCPヘッダのチェックやUDPヘッダのチェック等を行っている。
【0029】
このような本発明に係る探索装置の種々の機能を、いろいろな不正アクセス例に基づいて以下に説明する。
【0030】
送信元IPアドレスを詐称した不正アクセス例:
このような不正アクセス例が図2に示されており、この例では、探索装置1_1〜1_5(以下、符号「1」で総称することがある。)と、通常のL3スイッチ(L3SW)2_1〜2_4(以下、符号「2」で総称することがある。)と、L2スイッチ(L2SW)3_1〜3_4(以下、符号「3」で総称することがある。)と、ユーザ端末(PC)4_1〜4_26(以下、符号「4」で総称することがある。)とで構成されたネットワークを示している。なお、このネットワークにおける探索装置1は、L3スイッチ2において探索機能を付加したものに相当し、さらに、この探索装置1の中には、不正アクセス検知部11を備えていないものがある。
【0031】
また、図示のように、探索装置1_3, 1_1, 1_4, 1_2, 1_5は、それぞれサブネットSN1, 3, 4, 7, 8を形成し、L3スイッチは2_1, 2_2, 2_3, 2_4は、それぞれサブネットSN2, 5, 6, 9を形成している。
【0032】
このようなネットワークにおいて、例えば不正アクセス者(攻撃者)ATKがPC4_7から送信元IPアドレスを詐称したパケットをL2スイッチ3_1を経由して探索装置1_1に送ると、サブネットSN3のエンドポイントである探索装置1_1では、この不正アクセス(ステップS1)に対して、アドレス詐称検知をアドレス詐称検知部12で行い(ステップS2)、この通知を受けた対処部14は、この不正アクセスパケットを破棄する。
【0033】
なお、このアドレス詐称パケットは、自サブネットSN3からのものである場合には、検知できないので、そのような場合は、通常MACアドレスとの組合せで検知する。このような処理は、従来から知られているアドレス詐称検知処理である。
【0034】
エンドポイントの探索装置で不正アクセスを検知し対処した例:
このような例が図3に示されている。この例の場合にも、図2で示した例と同様にP C4_7から不正アクセス(ステップS1)がL2スイッチ3_1を経由して探索装置1_1に送られるが、今度は上記のようなアドレス詐称の不正アクセスではなく、DoS攻撃のような不正アクセスであるので、そのパケットを今度はアドレス詐称検知部12ではなく、不正アクセス検知部11が検知する(ステップS2)。
【0035】
不正アクセス検知部11から不正アクセスが検知されたことを知らされた対処部14は、PC4_7を収容しているL2スイッチ3_1に対して対処処理を実行する。
【0036】
この場合の対処処理の一例が図4に示されている。なお、この対処処理は従来から知られているtelnet方式を用いることが出来る。すなわち、探索装置1_1は、L2スイッチ3_1にtelnet接続し(ステップS101)、これに応答してL2スイッチ3_1において3_1からプロンプトが返って来る(ステップS102)ので、ユーザ名を入力し(ステップS103)、これに対してもプロンプトが返って来る(ステップS104)ので、さらにパスワードを入力し(ステップS105)、これに対するプロンプトが返って来る(ステップS106)時点で、acl番号を採番し、不正アクセス者のMACアドレスでaclを作成して(ステップS107)、L2スイッチ3_1へ送ると、このときのプロンプトが返る(ステップS108)ことにより、探索装置1_1はログアウトする(ステップS109)。
【0037】
この後、ステップS111〜S116までは上記のステップS101〜S106と同様の手順が繰り返された後、ステップS117において作成したaclでVLANでフィルタリング設定を行い、これに対してL2スイッチ3_1からプロンプトが返る(ステップS118)ことにより、ログアウトすることになる(ステップS119)。
【0038】
なお、このように対処処理としてフィルタリング設定を行った後は、例えば一定時間経過した時点で、探索装置1_1からL2スイッチ3_1に対してそのフィルタ設定を解除する処理を行うことになる。
【0039】
ホップバイホップ探索例(遠隔探知装置で検知):
このような例が図5に示されており、この例では、図2及び図3に示したネットワーク構成例と同様のネットワーク構成において、探索装置1_1において不正アクセス検知部11が設けられていない場合(エンドポイントなのでアドレス詐称検知部12は有る。)を扱ったもので、このような場合にはPC4_8からL2スイッチ3_1を経由した不正アクセス(ステップS1)は探索装置1_1を素通りして次段の探索装置1_2に送られる。この探索装置1_2は不正アクセス検知部11を備えているので不正アクセス検知部11が不正アクセス検知を行う(ステップS2)。このとき、アドレス詐称検知部12が、その不正アクセスパケットが自サブネットSN7からの攻撃ではないと判定するので、探索装置1_2は、探索装置1_1に対して不正アクセス者ATKの端末4_7のIPアドレスを含んだ探索依頼を行う(ステップS3)。
【0040】
このような探索依頼(ステップS3)を受理した探索装置1_1は、図3の例と同様に、不正アクセス者ATKのPC4_7を収容しているL2スイッチ3に対して対処処理(ステップS4)を行う。この対処処理は図4に示したように、例えばフィルタリング設定によって行われる。このような対処処理は、やはり図3の例と同様に一定時間後に探索装置1_1からL2スイッチ3_1に対して解除されることとなる。
【0041】
このような図5に示したホップバイホップ探索例の変形例が図6のシーケンスに示されている。このシーケンス例では、4つの探索装置1_1〜1_4を用いてホップバイホップ探索する動作手順を示しているが、基本的な考え方は図5の例と同様である。
【0042】
すなわち、不正アクセス者のPC4_7から不正アクセス(ステップS1)がL2スイッチ3_1を経由して探索装置1_1に送られると、この探索装置1_1は図5の例と同様に次の探索装置1_2に送るが、この例では探索装置1_2は不正アクセス検知部11を備えていないものとすると、さらに次の探索装置1_3にその不正アクセスパケットを転送する。この探索装置1_3も同様に不正アクセス検知部11を備えていないとすると、この不正アクセスパケットはさらに探索装置1_4に転送される。そして、探索装置1_4において不正アクセス検知部11が不正アクセス検知を行う(ステップS2)。
【0043】
なお、探索装置1_1ではアドレス詐称検知部12がアドレス詐称検知を行うが、この例でも図5と同様にアドレスは正しいものとして処理している。探索装置1_2〜1_4においては、エンドポイントではないのでアドレス詐称検知部12は不動作に設定されており、アドレス詐称検知は行われない。図6の上部に示す“End”及び“Hop”はこの意味である。
【0044】
探索装置1_4においては、不正アクセス検知(ステップS2)に基づき、探索部13がホップバイホップ探索を下記の通り実行する。
【0045】
ステップS11:探索部13は不正アクセス者の方向に向って次ホップが存在するか否かを調べる。これは、下記の表1に示すようなICMPメッセージを用いることにより行われる。この場合、次ホップの存在を確認するため、エコーリクエスト(Echo Request)において、TTL(Time-to-live)=1に設定したICMPメッセージを探索装置1_3に向って送る。
【0046】
【表1】
【0047】
ステップS12:探索装置1_3においては、探索装置1_4からのICMPエコーリクエストを受けて、エコーリクエストの1パケットに対して1回ずつ応答パケットを返す。これは、保護動作として3回実行される。
【0048】
ステップS13:探索装置1_3からICMP応答メッセージを受けた探索装置1_4は、次ホップの存在を確認できたので、この探索装置1_3に対して認証用のチャレンジコードを送ってもらうように依頼する。このように、探索装置間での認証時においてパスワードの暗号化を行うために事前にやりとりするメッセージの例が下記の表2に示されている。
【0049】
【表2】
【0050】
ステップS14:このようなチャレンジ依頼を探索装置1_4から受けた探索装置1_3は、やはり表2に示すメッセージを用いて、このメッセージに乱数を入れて応答(チャレンジ応答)を探索装置1_4に返す。この場合、1回の依頼に対して同一の応答を3発投げる。この後、探索依頼で認証を行うため、この乱数は記憶しておく。なお、応答済みの同一の依頼は破棄される。これについては後述する。
【0051】
ステップS15:チャレンジ応答を受けた探索装置1_4では、下記の表3に示すメッセージにおいて、チャレンジコード+パスワードにハッシュ演算を行って探索依頼を発行する。
【0052】
【表3】
【0053】
ステップS16:この場合の探索依頼パケットの内容は、探索装置のIPアドレス、不正アクセス者のIPアドレス、及び対処の要否である。
【0054】
ステップS17:探索装置1_4からの1回の探索依頼に対して同一の受理応答を3発だけ探索装置1_3は探索装置1_4に対して投げる。また、既に受理・応答済みの応答は破棄する。
【0055】
このように、探索装置1_4から探索依頼を受けた探索装置1_3は、さらに、次ホップである探索装置1_2に対して、探索装置1_4が探索装置1_3に対して行ったのと同様の手順を実行する。これは、探索装置1_2と探索装置1_1の関係においても全く同様である。
【0056】
ステップS18:このようにして探索装置1_2から探索依頼を受け、受理応答を行った探索装置1_1においては、探索部13において、自分がエンドポイントに予め設定されていることを知っており、このエンドポイントが探索依頼に含まれる不正アドレス端末4_7のIPアドレス(下記の表4のメッセージ参照。)が属するサブネットのエンドポイントであることを確認した後、対処処理を実行する。
【0057】
すなわち、図6の上部に示すように、探索装置1_1と1_4はエンドポイントインタフェースEndと探索可能インタフェースHopを有し、中間の探索装置1_2及び1_3は探索可能インタフェースHopのみを備えていることが示されている。
【0058】
なお、上記の対処処理は、図4に示したような手順で実行される。
【0059】
ステップS19:
探索装置1_1は対処処理が完了したら、不正アクセスを検知した探索装置1_4に対して完了通知を発行する。この場合に用いるメッセージ例が下記の表4に示されている。
【0060】
【表4】
【0061】
なお、ステップS18及びS19においては、探索依頼の内容を見て、L2スイッチ3_1への対処要である不正アクセスであれば対処処理を実行し、「対処要否」で対処不要となっていれば探索完了通知のみを送ればよい。
【0062】
エンドポイント探索例(遠隔探索装置で検知):
このネットワーク構成例が図7に示されている。この例では、探索装置1_3のサブネットSN1に、L2スイッチ3_5が設けられている点が、上記の例と異なっている。この図7の探索例は、図8に示したシーケンス図と対応しているので、以下、これらの図7及び図8を参照して、この探索例の動作手順を説明する。
【0063】
まず、この例においては、図示のように、不正アクセス(ステップS1)は、不正アクセス者PC4_15から、L2スイッチ3_2、探索装置1_2、L3スイッチ2_2、及び探索装置1_1のルートで通過し、探索装置1_3において不正アクセス検知(ステップS2)がなされたものとする。すなわち、それまでの各装置においては、不正アクセス検知がなされず、またエンドポイントの探索装置1_2ではアドレス詐称の検査結果がOKであったことを示している。また、各探索装置はエンドポイント探索に設定(Acs)されている。
【0064】
ステップS21:これは、図6に示したステップS11と同様に不正アクセス者の方向へ向って次ホップが存在するか否かを調べるものである。
【0065】
ステップS22:上記のステップS21の結果、次ホップの存在が確認されたが、さらに次ホップがエンドポイントであるか否かを確認するための手順を実行する。この場合に用いるUDPメッセージ例が下記の表5に示されている。
【0066】
【表5】
【0067】
なお、このUDPメッセージにおける“Datagram” 中に、下記の表6に示すメッセージが格納されることになる。
【0068】
【表6】
【0069】
ステップS23:探索装置1_3からエンドポイントか否かの問合せを受けた探索装置1_1は、確認依頼に含まれる不正アクセス者のIPアドレスを基に自分がエンドポイントか否かの判断を行い応答する。この場合、1回の確認依頼に対して1つのパケットを返す。これも上記の表6に示すメッセージによって行う。
【0070】
ステップS24:このように、探索を開始した探索装置1_3の設定が「エンドポイント探索」になっているので、途中の装置の探索設定は関係なくエンドポイント探索を開始した装置がエンドポイントまで一気に探索を開始する。また、上記のホップバイホップ探索や後述する近隣探索で探索を開始した場合でも途中で探索依頼を受理した装置がエンドポイント探索になっていればそれ以降の中継装置の探索手順は無視される。
【0071】
従って、探索装置1_3は、探索装置1_1がエンドポイントではないことを知るので、今度はL3スイッチ2_2に対して、ICMPエコーリクエスト(TTL=2)を送ることによりエンドポイントか否かを調べる。この結果、L3スイッチ2_2は上記と同様に応答を返すので、探索装置1_3はさらに上記のステップS22と同様にエンドポイントの確認手順を実行する。
【0072】
ステップS25:これに対し、L3スイッチ2_2は、開いていないUDPポートへのリクエストに対しては"Port Unreachable"を返す。従って、探索装置1_3はさらに次ホップである探索装置1_2に対して同様のICMPエコーリクエスト(TTL=3)を探索装置1_2に対して送信する。
【0073】
これに対して探索装置1_2は応答を返すので、探索装置1_3はさらに上記と同様にエンドポイント確認のメッセージを送る。
【0074】
ステップS26:このようなエンドポイント確認メッセージを受けた探索装置1_2は、図8の上部に示すように、エンドポイントインタフェースEndを備えているので、自分がエンドポイントであることを知っており、不正アクセス者PC4_15が自サブネット内に存在するため、エンドポイント応答を探索装置1_3へ返す。この場合も1パケットに対して1回の応答を出す。
【0075】
そして、探索装置1_3と1_2との間において、図6のステップS13及びS14で示したのと同様にチャレンジ依頼及びチャレンジ応答が行われる。
【0076】
ステップS27:探索装置1_3は、上記のステップS15と同様に探索装置1_2に対して探索依頼を発行する。
【0077】
ステップS28:探索装置1_2においては、1回の探索依頼に対して3発の受理応答を投げる。既に受理・応答済みの依頼は破棄する。これは上記の例と同様である。
【0078】
この後、探索装置1_2は、図6に示したステップS18及びS19と同様に不正アクセス者に対するエンドポイントなので対処処理を実行し、対処処理が完了したら、不正アクセスを検知した探索装置1_4に対して完了通知を送る。
【0079】
近隣探索例(遠隔探索装置で検知):
この例が図9に示されており、この図9のパケットの流れは、図10に示したシーケンス図に対応している。また、図9のネットワーク例は、図7に示したネットワーク例と同様である。以下、図9及び図10を参照して、この近隣探索例のシーケンスを説明する。
【0080】
まず、不正アクセス者PC4_15からの不正アクセス(ステップS1)は、図8と同様に探索装置1_3において不正アクセス検知される(ステップS2)。
【0081】
ステップS41:上記のステップS21と同様に不正アクセス者の方向へ次ホップが存在するか否かを調べる。この結果、探索装置1_1がこれに応答する。
【0082】
ステップS42:応答して来た次ホップが探索装置1_1か否かを確認する。この場合のメッセージも上記の表6に示したメッセージを用いて行われる。
【0083】
ステップS43:探索装置1_3からの探索装置確認のメッセージに対して、探索装置1_1は、自分がエンドポイントであるか否かに拘らず探索装置としての応答を返す。この場合、1回の確認依頼に対して1パケット返す。
【0084】
このように探索装置1_1が探索装置であることを応答したことを受けて、探索装置1_3は上記と同様にチャレンジ依頼及び応答による認証を行った後、探索依頼を探索装置1_1に対して行い、探索装置1_1からその受理応答を受ける。
【0085】
この後、探索装置1_1は次ホップを調べ、次ホップの存在を知ることにより探索装置確認を行うが、次ホップは通常のL3スイッチ2_2であるので、ここから返って来るメッセージはICMP Port Unreachableであることが探索装置1_1に知らされる。従って、探索装置1_1は、ICMPエコーリクエストをTTL=2にして探索装置1_2に対して次ホップであるか否かを調べる。
【0086】
そして探索装置1_1と1_2の間で探索装置確認及び応答を行い、さらにチャレンジ依頼と応答を行った後、探索装置1_1は探索装置1_2に対して探索依頼を行う。
【0087】
この後は、図6に示したステップS18及びS19と同様に、探索装置1_2は、探索依頼の内容を見てL2スイッチ3_2への対処が必要である不正アクセスであれば対処処理を行い、対処不要であれば探索完了通知のみを探索装置1_3へ送ることとなる。
【0088】
なお、この近隣探索例は、探索装置確認を行う点を除けば図6に示したホップバイホップ探索例と同様であるが、この探索装置確認を行うことにより、中間にL3スイッチが存在していてもホップバイホップ探索例と異なり、探索手順が中止されない利点がある。
【0089】
複数の探索装置による不正アクセス検知・探索例:
この例が図11に示されており、このネットワーク例に対応したのが図12に示すシーケンス図である。これは、探索装置の全てが探索依頼を送信する状態(不正アクセス検知に保護段を付けた場合、その保護段数時間中は不正アクセスパケットが通過してしまう状態がある。)を扱ったものであり、この場合、転送した「探索依頼」か或いは自分が発行した「探索依頼」かは問わない。以下、図11及び図12を参照してこのシーケンス例を説明する。
【0090】
まず、不正アクセス者PC4_18からの不正アクセス(ステップS1)は、L2スイッチ3_3を経由した後、探索装置1_2, 1_1, 1_3のいずれにおいても不正アクセス検知(ステップS2_1, S2_2, S2_3)がなされた後、図示しない探索装置1_6に送られる。この探索装置1_6は不正アクセス検知をしないものとする。
【0091】
次に、各探索装置1_2, 1_1, 1_3は、それぞれ次ホップの確認を行うが、図を簡略化するため図示を省略してある。
【0092】
ステップS51:探索装置1_2は、不正アクセス検知部11において不正アクセス検知を行うので、これに基づき上述した対処処理を実行する。従って、探索装置1_2は自分からはこれ以上の処理は行わない。
【0093】
一方、この図12に示した例では、探索装置1_1が不正アクセス検知を行うので次ホップの確認及び探索装置であることの確認を経た後、チャレンジ依頼No.30及び応答No.30を行い、探索依頼No.30を探索装置1_2に対して送る。
【0094】
ステップS52:探索装置1_2においては、探索装置1_1からの探索依頼No.30はとりあえず受理するが、自装置で検知・対処済みであるので、完了通知を発行して探索装置1_1へ送る。
【0095】
一方、探索装置1_3においても同様に不正アクセス検知を行うので、この探索装置1_3においても次ホップの確認及び探索装置の確認を経た後、チャレンジ依頼No.50を探索装置1_1に対して行い、これに対して探索装置1_1はチャレンジ応答No.50を返すので、探索装置1_3は探索依頼No.50を行い、探索装置1_1は探索応答No.50を探索装置1_3に返す。
【0096】
従って、探索装置1_1は、この探索依頼が、自分の既に行っている探索依頼と同じであれば処理をここで終了する。
【0097】
探索依頼No.30と探索依頼No.50の同一性をチェック出来ない場合には、探索装置1_1は探索装置1_2に対して上記と同様に、チャレンジ依頼No.31を行い、チャレンジ応答No.31を受けるので、さらに探索依頼No.31を行い、これに対して受理応答No.31を受ける。
【0098】
ステップS53:この場合も、ステップS52と同様に探索依頼No.31はとりあえず受理するが、自装置で検知及び対処済みなので完了通知を探索装置1_3に対して発行する。
【0099】
図13は、図12の変形例を示しており、図12のシーケンス例がホップバイホップ方式によるものであったが、図13の場合には、エンドポイント探索方式による点が異なっている。この場合のパケットの流通過程は図8に示したものと同様である。
【0100】
すなわち、不正アクセス者PC4_15からの不正アクセス(ステップS1)は、L2スイッチ3_2を経由して探索装置1_2において不正アクセス検知(ステップS2_1)され、さらに通常のL3スイッチ2_2を経由した後探索装置1_1において不正アクセス検知され(ステップS2_2)、さらに最後の探索装置1_3において不正アクセス検知される(ステップS2_3)。
【0101】
ステップS61:この場合も、探索装置1_2は、図12のステップS51と同様に対処処理を実行する。一方、探索装置1_1は、本方式がエンドポイント探索方式であるので、次ホップ探索等の手順(図示せず)を経た後、エンドポイントの確認をL3スイッチ2_2に対して行う。これに対し、L3スイッチ2_2はICMP Port Unreachableを返して来るので、探索装置1_1は、さらに探索装置1_2に対してエンドポイント確認を行い、これに対して探索装置1_2からエンドポイント応答を受ける。従って、探索装置1_1は探索装置1_2に対してチャレンジ依頼を行いチャレンジ応答を受けるので、さらに探索依頼を行う。
【0102】
ステップS62:探索装置1_2は、上記のステップS52と同様に探索依頼はとりあえず受理するが、自装置で検知・対処済みであるので完了通知を発行して探索装置1_1に送る。
【0103】
このような手順を探索装置1_3と探索装置1_1の間においても同様にして行う。
【0104】
ステップS63:従って、探索装置1_2においては、ステップS53と同様に探索依頼はとりあえず受理し、検知・対処済みであるとして完了通知を探索装置1_3に送る。
【0105】
タイムアウト発生時のシーケンス例:
この例が図14に示されている。これは、例えば図13に示したようなパケットの流通経路において、やはり不正アクセスが不正アクセス者PC4_15から探索装置1_3に送られ、ここで不正アクセス検知がされる(ステップS2)ことを前提としている。
【0106】
ステップS91:
次ホップを探すための手順を実行する。このときのシーケンスはホップバイホップ探索と同様である。
【0107】
ステップS92:
そして、探索装置確認を行うが、このときのメッセージを探索装置1_3から探索装置1_1に送ったとき、一定の時間が経過しても応答が無い場合、探索失敗とみなすことになる。また、再び不正アクセス通知があった場合には探索を開始する。
【0108】
(付記1)
自分が不正アクセスの端末を収容するサブネットのエンドポイントの探索装置に設定されているか否かを判定するステップと、
自分が該エンドポイントの探索装置に設定されていない場合、該エンドポイントの探索装置でアドレス詐称されていないと見なされた不正アクセスを検知するか、又は該不正アクセスの通知を受けるステップと、
該不正アクセスが検知されたとき又は該通知を受けたとき、該エンドポイントの探索装置に向って該不正アクセスの端末のアドレスを含む探索依頼を発行するステップと、
を備えたことを特徴とする不正アクセス探索方法。
(付記2)付記1において、
自分が該エンドポイントの探索装置に設定されている場合に該探索依頼を受けたとき、該探索依頼に含まれる該不正アクセスの端末を収容している下位層のスイッチに対して対処処理を行うステップをさらに含むことを特徴とした不正アクセス探索方法。
(付記3)付記1において、
自分が該エンドポイントに設定されていない場合に該探索依頼を受けたとき、次ホップの探索装置に対して該探索依頼を発行するステップをさらに有することを特徴とした不正アクセス探索方法。
(付記4)付記1において、
該探索依頼の発行を開始した探索装置が、該エンドポイントの探索装置を確認できるまで両探索装置の中間のホップの探索装置に対して順次、該探索依頼を行うステップをさらに有することを特徴とした不正アクセス探索方法。
(付記5)付記3において、
該次ホップの探索装置に探索依頼を発行するとき、その前に該次ホップが探索機能を備えた探索装置であるか否かを確認し、該探索装置でないときには、さらに次ホップに対して探索装置であるか否かを確認するステップをさらに有することを特徴とした不正アクセス探索方法。
(付記6)付記1又は3において、
該不正アクセスを検知した他の探索装置から同一の不正アクセスに関する探索依頼を受けたとき、該探索依頼を発行した探索装置に対して検知済の通知を行うステップをさらに有することを特徴とした不正アクセス探索方法。
(付記7)付記1において、
該エンドポイントの探索装置が、アドレス詐称のパケットを検知したとき、該パケットを破棄することを特徴とした不正アクセス探索方法。
(付記8)付記1において、
該探索装置が、該不正アクセスを検知する機能を有さない探索装置を含むことを特徴とした不正アクセス探索方法。
(付記9)付記3から5のいずれか1つにおいて、
次ホップの存在を確認したとき、該次ホップに対して認証の手順を実行した後に該探索依頼を発行するステップをさらに有することを特徴とした不正アクセス探索方法。
(付記10)付記1において、
該対処処理ステップが、telnetでフィルタ設定するステップを含むことを特徴とした不正アクセス探索方法。
(付記11)付記10において、
該フィルタ設定後、一定時間経過時に該フィルタ設定の解除を行うステップをさらに有することを特徴とした不正アクセス探索方法。
(付記12)
自分が不正アクセスの端末を収容するサブネットのエンドポイントの探索装置に設定されているか否かを判定する手段と、
自分が該エンドポイントの探索装置に設定されていない場合、該エンドポイントの探索装置でアドレス詐称されていないと見なされた不正アクセスを検知するか、又は該不正アクセスの通知を受ける手段と、
該不正アクセスが検知されたとき又は該通知を受けたとき、該エンドポイントの探索装置に向って該不正アクセスの端末のアドレスを含む探索依頼を発行する手段と、
を備えたことを特徴とする不正アクセス探索装置。
(付記13)付記12において、
自分が該エンドポイントの探索装置に設定されている場合に該探索依頼を受けたとき、該探索依頼に含まれる該不正アクセスの端末を収容している下位層のスイッチに対して対処処理を行う手段をさらに含むことを特徴とした不正アクセス探索装置。
(付記14)付記12において、
自分が該エンドポイントに設定されていない場合に該探索依頼を受けたとき、次ホップの探索装置に対して該探索依頼を発行する手段をさらに有することを特徴とした不正アクセス探索装置。
(付記15)付記12において、
該探索依頼の発行を開始した探索装置が、該エンドポイントの探索装置を確認できるまで両探索装置の中間のホップの探索装置に対して順次、該探索依頼を行う手段をさらに有することを特徴とした不正アクセス探索装置。
(付記16)付記14において、
該次ホップの探索装置に探索依頼を発行するとき、その前に同時に該次ホップが探索機能を備えた探索装置であるか否かを確認し、該探索装置でないときには、さらに次ホップに対して探索装置であるか否かを確認する手段をさらに有することを特徴とした不正アクセス探索装置。
(付記17)付記12又は15において、
該不正アクセスを検知した他の探索装置から同一の不正アクセスに関する探索依頼を受けたとき、該探索依頼を発行した探索装置に対して検知済の通知を行う手段をさらに有することを特徴とした不正アクセス探索装置。
(付記18)付記12において、
該エンドポイントの探索装置が、アドレス詐称のパケットを検知したとき、該パケットを破棄することを特徴とした不正アクセス探索装置。
(付記19)付記12において、
該探索装置が、該不正アクセスを検知する機能を有さない探索装置を含むことを特徴とした不正アクセス探索装置。
(付記20)付記14から16のいずれか1つにおいて、
次ホップの存在を確認したとき、該次ホップに対して認証の手順を実行した後に該探索依頼を発行する手段をさらに有することを特徴とした不正アクセス探索装置。
(付記21)付記12において、
該対処処理手段が、telnetでフィルタ設定する手段を含むことを特徴とした不正アクセス探索装置。
(付記22)付記21において、
該フィルタ設定後、一定時間経過時に該フィルタ設定の解除を行う手段をさらに有することを特徴とした不正アクセス探索装置。
【図面の簡単な説明】
【0109】
【図1】本発明に係る不正アクセス探索装置の構成例を示したブロック図である。
【図2】送信元IPアドレスを詐称して不正アクセスしたときのネットワーク構成例を示したブロック図である。
【図3】L2スイッチに隣接した探索装置で不正アクセスを検知し、これに対処した例を示したネットワーク構成例を示すブロック図である。
【図4】探索装置からL2スイッチへの対処処理例を示したシーケンスブロック図である。
【図5】本発明によるホップバイホップ探索(遠隔探索装置で検知)を実行するネットワーク構成例を示したブロック図である。
【図6】図5に示したホップバイホップ探索例の変形例を示したシーケンス図である。
【図7】本発明によるエンドポイント探索例(遠隔探索装置で検知)を実行するネットワーク構成例を示したブロック図である。
【図8】図7に示したエンドポイント探索例のシーケンス図である。
【図9】本発明に係る近隣探索例(遠隔探索装置で検知)を実行するネットワーク構成例を示したブロック図である。
【図10】図9に示した近隣探索例のシーケンス図である。
【図11】本発明に係る複数の探索装置による不正アクセス検知・探索例を実行するネットワーク構成例を示したブロック図である。
【図12】図11に示した検知・探索例のシーケンス図である。
【図13】図12に示した検知・探索例のシーケンス例をエンドポイント探索例に適用したときのシーケンス図である。
【図14】上記の各シーケンス例においてタイムアウトが発生した場合のシーケンス図である。
【符号の説明】
【0110】
1 探索装置
11 不正アクセス検知部
12 アドレス詐称検知部
13 探索部
14 対処部
16 侵入検知システム(IDS)
17 L2スイッチ又はPC(ユーザ端末)
図中、同一符号は同一又は相当部分を示す。
【特許請求の範囲】
【請求項1】
自分が不正アクセスの端末を収容するサブネットのエンドポイントの探索装置に設定されているか否かを判定するステップと、
自分が該エンドポイントの探索装置に設定されていない場合、該エンドポイントの探索装置でアドレス詐称されていないと見なされた不正アクセスを検知するか、又は該不正アクセスの通知を受けるステップと、
該不正アクセスが検知されたとき又は該通知を受けたとき、該エンドポイントの探索装置に向って該不正アクセスの端末のアドレスを含む探索依頼を発行するステップと、
を備えたことを特徴とする不正アクセス探索方法。
【請求項2】
請求項1において、
自分が該エンドポイントの探索装置に設定されている場合に該探索依頼を受けたとき、該探索依頼に含まれる該不正アクセスの端末を収容している下位層のスイッチに対して対処処理を行うステップをさらに含むことを特徴とした不正アクセス探索方法。
【請求項3】
請求項1において、
自分が該エンドポイントに設定されていない場合に該探索依頼を受けたとき、次ホップの探索装置に対して該探索依頼を発行するステップをさらに有することを特徴とした不正アクセス探索方法。
【請求項4】
自分が不正アクセスの端末を収容するサブネットのエンドポイントの探索装置に設定されているか否かを判定する手段と、
自分が該エンドポイントの探索装置に設定されていない場合、該エンドポイントの探索装置でアドレス詐称されていないと見なされた不正アクセスを検知するか、又は該不正アクセスの通知を受ける手段と、
該不正アクセスが検知されたとき又は該通知を受けたとき、該エンドポイントの探索装置に向って該不正アクセスの端末のアドレスを含む探索依頼を発行する手段と、
を備えたことを特徴とする不正アクセス探索装置。
【請求項5】
請求項4において、
自分が該エンドポイントの探索装置に設定されている場合に該探索依頼を受けたとき、該探索依頼に含まれる該不正アクセスの端末を収容している下位層のスイッチに対して対処処理を行う手段をさらに含むことを特徴とした不正アクセス探索装置。
【請求項1】
自分が不正アクセスの端末を収容するサブネットのエンドポイントの探索装置に設定されているか否かを判定するステップと、
自分が該エンドポイントの探索装置に設定されていない場合、該エンドポイントの探索装置でアドレス詐称されていないと見なされた不正アクセスを検知するか、又は該不正アクセスの通知を受けるステップと、
該不正アクセスが検知されたとき又は該通知を受けたとき、該エンドポイントの探索装置に向って該不正アクセスの端末のアドレスを含む探索依頼を発行するステップと、
を備えたことを特徴とする不正アクセス探索方法。
【請求項2】
請求項1において、
自分が該エンドポイントの探索装置に設定されている場合に該探索依頼を受けたとき、該探索依頼に含まれる該不正アクセスの端末を収容している下位層のスイッチに対して対処処理を行うステップをさらに含むことを特徴とした不正アクセス探索方法。
【請求項3】
請求項1において、
自分が該エンドポイントに設定されていない場合に該探索依頼を受けたとき、次ホップの探索装置に対して該探索依頼を発行するステップをさらに有することを特徴とした不正アクセス探索方法。
【請求項4】
自分が不正アクセスの端末を収容するサブネットのエンドポイントの探索装置に設定されているか否かを判定する手段と、
自分が該エンドポイントの探索装置に設定されていない場合、該エンドポイントの探索装置でアドレス詐称されていないと見なされた不正アクセスを検知するか、又は該不正アクセスの通知を受ける手段と、
該不正アクセスが検知されたとき又は該通知を受けたとき、該エンドポイントの探索装置に向って該不正アクセスの端末のアドレスを含む探索依頼を発行する手段と、
を備えたことを特徴とする不正アクセス探索装置。
【請求項5】
請求項4において、
自分が該エンドポイントの探索装置に設定されている場合に該探索依頼を受けたとき、該探索依頼に含まれる該不正アクセスの端末を収容している下位層のスイッチに対して対処処理を行う手段をさらに含むことを特徴とした不正アクセス探索装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2006−279691(P2006−279691A)
【公開日】平成18年10月12日(2006.10.12)
【国際特許分類】
【出願番号】特願2005−97705(P2005−97705)
【出願日】平成17年3月30日(2005.3.30)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成18年10月12日(2006.10.12)
【国際特許分類】
【出願日】平成17年3月30日(2005.3.30)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]