Nothing Special   »   [go: up one dir, main page]

JP3986871B2 - Anti-profiling device and anti-profiling program - Google Patents

Anti-profiling device and anti-profiling program Download PDF

Info

Publication number
JP3986871B2
JP3986871B2 JP2002115340A JP2002115340A JP3986871B2 JP 3986871 B2 JP3986871 B2 JP 3986871B2 JP 2002115340 A JP2002115340 A JP 2002115340A JP 2002115340 A JP2002115340 A JP 2002115340A JP 3986871 B2 JP3986871 B2 JP 3986871B2
Authority
JP
Japan
Prior art keywords
response
information
packet
determination
legitimacy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2002115340A
Other languages
Japanese (ja)
Other versions
JP2003309607A (en
Inventor
尚通 大谷
喜隆 桑田
慎一郎 田野島
グレン マンスフィールド キニ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cyber Solutions Inc
NTT Data Group Corp
Original Assignee
NTT Data Corp
Cyber Solutions Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp, Cyber Solutions Inc filed Critical NTT Data Corp
Priority to JP2002115340A priority Critical patent/JP3986871B2/en
Publication of JP2003309607A publication Critical patent/JP2003309607A/en
Application granted granted Critical
Publication of JP3986871B2 publication Critical patent/JP3986871B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は、コンピュータネットワークにおける不正侵入を目的とした情報収集に対して対抗処理を行うアンチプロファイリング装置およびアンチプロファイリングプログラムに関する。
【0002】
【従来の技術】
近年、インターネットによるネットワークサービスが拡大し、多様なサービスを広く提供できるようになった。ネットワークサービスにより、HTTP(Hyper Text Transfer Protocol)やFTP(File Transfer Protocol)によるWebページやファイル、SMTP(Simple Mail Transfer Protocol) による電子メールなど多様なリソースを広くユーザに提供できる反面、ネットワークを介してユーザに情報を提供するサーバは、常に不正侵入や攻撃によって被害を受ける危険にさらされている。不正侵入は、事前に必要な情報を収集する過程を経て行われることが多い。この情報収集によって侵入対象のサーバの設定ミスやソフトウェアの脆弱な個所の情報を取得した上で不正侵入が試みられる。インターネット上には、多数の情報収集のためのツールが公開されており、このようなツール、例えば、ポートスキャンツールを使えば、誰でも、コンピュータやルータなどネットワークに接続された機器の情報やサービスを提供しているアプリケーションの名称やバージョンなどの情報を簡単に知ることができ、不正侵入の手がかりとすることができる。
【0003】
これらの情報により情報収集の対象とした機器の脆弱個所(弱点)がわかり、サービス妨害、不正侵入などが可能になる。ポートスキャンツールの中でも機能の多いnmap(Network Mapper)を使うと、ポートスキャンのほかにネットワークに接続された機器のTCP/IP(Transmission Control Protocol/Internet Protocol) スタックの実装の特徴(フィンガープリントと呼んでいる)を取得して、OS(オペレーティングシステム)やアプリケーションのバージョンなどの外部に公開してない情報までも取得されてしまう。また、WebやFTPなど、外部の不特定多数に向けて必要な情報を提供し、接続を許可しなければならないアプリケーションは、外部からの全ての接続要求に対して、正しく返答している。これは、通常の通信に対しても、悪意のある通信に対してもそのアプリケーションの情報を公開することになる。
【0004】
従来、上述のような情報収集に対抗する手段として、WebサーバなどTCPサービスの場合、コネクション確立後にアプリケーションが提供する情報であるバナー返答を無効にしたり、バナー情報を制限したりあるいは偽りの情報を返したりする方法が取られている。また、普段使用しないアプリケーションを設定から削除して通信を行わせないようにしたり、ネットワークに接続された機器にパケットが届く前にファイアウォールで遮断するなどにより、情報の流出を防いでいる。
【0005】
【発明が解決しようとする課題】
しかしながら、上述のように、従来の情報流出を防ぐ方法では、高度な情報収集機能を持つツールを用いると、容易にこれを回避して目的の情報を収集することができるため、十分な効果を上げることができないという問題があった。また、不特定多数に向けて情報を提供している場合、攻撃者によって取得された情報は、不正侵入の手がかりとして利用される恐れがある。さらに、ファイアウォールで通信を許可しないネットワークに接続された機器への通信を遮断して防御する場合、これは、一方で外部と通信できるコンピュータ、アプリケーションを明らかにしているため、攻撃者に標的を絞り込むときに有利な情報を与えてしまうことになる。また、このような情報からファイアウォール自身の設定不備や脆弱な部分が調べられて侵入されるという問題があった。
【0006】
この発明は、上記の点に鑑みてなされたもので、その目的は、受信されたパケットを解析してその通信の正当性を判定し、信頼度に応じて提供する情報を制御して不正侵入や攻撃の手がかりとなる情報を提供しない、あるいは偽の情報を提供して、攻撃を防ぐだけでなく、攻撃者を混乱させるアンチプロファイリング装置およびアンチプロファイリングプログラムを提供することにある。
【0007】
【課題を解決するための手段】
上記の課題を解決するために、ネットワークに接続された機器に向けた通信におけるパケットを受信し、受信したパケットに対する正当性判定方式を、前記パケットの解析結果と返答する側(管理側)の管理方針を元に策定した安全性基準に基づいて設定した判定ルールとにより決定する正当性判定方式決定手段と、前記正当性判定方式決定手段が決定した正当性判定方式により、前記パケットの信頼度を求める正当性判定手段と、前記信頼度に基づいて前記パケットに対する応答方式を定める応答方式決定手段と、指示情報が入力されると前記パケットに対して応答する応答情報を、予め定められるフィルタルールに基づいてフィルタリングして限定した限定応答情報を生成して提供する限定情報返答手段と、指示情報が入力されると前記パケットに対して前記応答情報を返答する無変更情報返答手段と、前記応答方式決定手段が決定した前記応答方式に基づいて、前記パケットに対する応答として、前記限定情報返答手段あるいは前記無変更情報返答手段のいずれかを選択して前記指示情報を入力する手段と、を具備することを特徴とするアンチプロファイリング装置である。
【0008】
本発明は、上記に記載の発明において、前記正当性判定方式決定手段は、前記判定ルールに基づいて、即応する即応型処理、あるいは、安全を重視する慎重型処理を選択し、当該選択した処理に対応する正当性判定方式を決定することを特徴とする。
【0009】
本発明は、上記に記載の発明において、前記正当性判定手段は、前記パケットの通信元のアドレス記述したブラックリストに基づいて前記信頼度を求め、前記信頼度に基づいて前記パケットを分類することを特徴とする。
【0010】
本発明は、上記に記載の発明において、指示情報が入力されると前記パケットに対して偽情報を生成して提供する疑似情報応答手段と、指示情報が入力されると前記パケットに対して応答しない無応答手段と、を更に備え、前記入力する手段は、前記応答方式決定手段が決定した前記応答方式に基づいて、前記パケットに対する応答として、前記限定情報返答手段あるいは前記無変更情報返答手段あるいは前記擬似情報応答手段あるいは前記無応答手段のいずれかを選択して前記指示情報を入力することを特徴とする。
【0011】
本発明は、コンピュータに、ネットワークに接続された機器に向けた通信におけるパケットを受信し、受信したパケットに対する正当性判定方式を、前記パケットの解析結果と返答する側(管理側)の管理方針を元に策定した安全性基準に基づいて設定した判定ルールとにより決定する正当性判定方式決定ステップと、前記正当性判定方式決定ステップにて決定した正当性判定方式により、前記パケットの信頼度を求める正当性判定ステップと、前記信頼度に基づいて前記パケットに対する応答方式を定める応答方式決定ステップと、指示情報が入力されると前記パケットに対して応答する応答情報を、予め定められるフィルタルールに基づいてフィルタリングして限定した限定応答情報を生成して提供する限定情報返答ステップと、指示情報が入力されると前記パケットに対して前記応答情報を返答する無変更情報返答ステップと、前記応答方式決定ステップにて決定した前記応答方式に基づいて、前記パケットに対する応答として、前記限定情報返答ステップあるいは前記無変更情報返答ステップのいずれかを選択して前記指示情報を入力するステップと、を実行させるためのアンチプロファイリングプログラムである。
【0012】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照して説明する。図1は、同実施形態によるアンチプロファイリング装置10の構成を示すブロック図である。同図において、14は、外部ネットワーク100を介して内部ネットワーク70に送られてきたパケットを受信するパケット取得処理部である。11は、通信の種類毎にパケットの処理方式を設定した判定ルールであり、12は、通信を許可しない通信元のアドレス、通信元のポート番号などを記述したブラックリストである。ブラックリスト12は、記述する情報の取得期間により短期、中期、長期の3種類作成される。13は、どのパケットを処理しているか、少し前にどのようなパケットを処理したかなどのパケットの取得・判定の履歴を記述した処理パケット履歴である。
【0013】
15は、入力された受信パケットの種類に応じて、判定ルール11に基づき処理方式を定める対応方法判定処理部である。また、対応方法判定処理部15は、各処理方式に応じて、ブラックリスト12と処理パケット履歴13を照合して受信されたパケットの正当性判定を行い通信信頼度を求める。そして、求めた通信信頼度に応じて受信パケットに対する応答方法を定める。応答方法は、次の4つの方法から選択される。最小限情報提供:通信要求などに対する応答内容から特徴的な情報、冗長な情報を削除して送る、無応答:通信要求などに対して、全く応答しない、処理なし:アンチプロファイリング処理をせずに通常どおりの応答を行う、偽情報提供:通信要求などに対する応答内容に、ランダム、正しい応答とは異なる形、あるいは有得ない異常な形の特徴的な情報、冗長な情報を付加して応答する。
【0014】
16は、正しい通信と判断された受信パケットを内部ネットワーク70に転送するパケット転送処理部である。17は、内部ネットワーク70から送られてきたパケットを受信するパケット受信処理部であり、19は、入力されたパケットの送信処理を行い、外部ネットワーク100へ送信するパケット返答処理部である。18は、対応方法判定処理部15の指示に基づいて偽情報を生成し、パケット返答処理部19に出力する擬似返答生成処理部である。20は、サービス情報取得処理部21と、パケット送受信処理部22と、サービス情報フィルタ処理部23と、フィルタルール24とを備えた最小限情報生成処理部である。
【0015】
サービス情報取得処理部21は、対応方法判定処理部15の指示に基づいて、パケット送受信処理部22を介して、内部ネットワーク70に接続されたパケットの送信先ホストから応答するサービス情報を取得する。フィルタルール24は、外部に提供できない情報と提供可能な情報を記述し、出力される情報を制限するルールである。サービス情報フィルタ処理部23は、取得されたサービス情報をフィルタルール24に基づいてフィルタリングし、限定されたサービス情報を生成する。
【0016】
図2および図3は、アンチプロファイリング装置10の設置例を示す図である。図2は、ネットワークシステムにおけるアンチプロファイリング装置10の配置例を示す。アンチプロファイリング装置10は、内部ネットワークのファイアウォール50の前に、パケットがアプリケーションに届くより前の位置に設置され、インターネット100を介して受信された全てのパケットに対して統括して処理を行う。図3に示す配置例では、アンチプロファイリング装置10は、端末60に設置され、端末60内にあるアプリケーション向けに届いた通信全てに対して処理を行う。図2および図3に示すアンチプロファイリング装置10の処理方式に違いはない。
【0017】
以下、アンチプロファイリング装置10の動作を説明する。図4は、アンチプロファイリング装置10の処理フローを示す図である。図1および図4を参照して説明する。先ず、パケット取得処理部14は、転送されてきたパケットを受信して対応方法判定処理部15に出力する。対応方法判定処理部15は、入力されたパケットを解析して、プロトコルが異常かどうか判断する(ステップS110)。プロトコルに異常があり判断結果がYESの場合、ステップS111に進み応答を返さずステップS112に進む。応答履歴を保存する場合(ステップS112:YES)、応答方式履歴25に記録される。一方、プロトコルに異常がなくステップS110においてNOの場合、ステップS120で発信元のIPアドレスをブラックリスト12−1と照合して調べる。許可されていないIPアドレスからの通信の場合、ステップS111に進み、さらに、応答履歴を保存する場合(ステップS112:YES)、応答方式履歴25に記録される。
【0018】
ステップS120において許可されているIPアドレスと判断された場合(ステップS120:NO)、ステップS130に進み応答方法について判定済みか否か判断される。既に、受信したパケットと関係があり応答方法が判定されており、判断結果がYESのとき、ステップS131において応答方式履歴25を参照して判定済みの応答方法による処理を行う。ステップS130でNOの場合、ステップS140に進み各ポートに設定された判定ルールに基づき、パケットの接続要求に応じてランダム処理を行うか、または定型処理を行うか判断される。
【0019】
ステップS140において、ランダム処理に判断されると、ステップS161〜S164、S181〜S184のいずれかの処理がランダムに選択される。ここで、ステップS161が選択されたものとして説明する。ステップS161は、安全を重視した情報無提供方式であり、次に、正当性判定方式Aによって通信信頼度が求められる。図5(A)に正当性判定方式Aの処理の流れを示す。先ず、受信パケットのアドレス情報がブラックリストに載っているか否か、長期ブラックリスト12−4と照合して判断される(ステップS201)。判断結果がYESの場合、不正接続A4と判定される。一方、ブラックリストに載っていない場合、ステップS202に進み、処理パケット履歴13を参照して関連する通信が記述されているか否か判断する。関連する通信が記述されてなくNOの場合、正常接続A1と判断される。ステップS202の判断結果、YESの場合、さらに、中期ブラックリストを照合して疑わしい接続要求か否か判断して、正常接続A3、または疑わしい接続A2に判定する。
【0020】
正当性判定方式Aによって、正常接続A1、A3と判定された場合、ステップS171に進み、最小限情報生成処理部20に指示が出力される。また、ステップS112において応答履歴を保存するか否か判断され、保存する場合は、応答方式履歴25に記録される。最小限情報生成処理部20は対応方法判定処理部15からの指示を受けて接続先のホストから受信パケットに対する応答を取得し、フィルタルール24に基づき応答する情報をフィルタリングして、最小限情報を生成する。パケット返答処理部19は、この最小限情報をネットワーク100に発信する。
【0021】
一方、ステップS140において、定型処理に判断されると、ステップS150で、さらに、即応型処理を行うか、慎重型処理を行うか決定される。即応型処理の場合、安全性を重視するか、サービス性を重視するかなどにより、ステップS161〜164のいずれかの方式が選択される。ステップS161は、最も安全を重視した情報無提供方式であり、ステップS162は、サービスを重視した正規サービス重視方式である。ステップS163は、不正接続に対抗する偽情報提供方式であり、ステップS164は、標準としての最小限情報提供方式である。ステップS161〜164に続くステップS165〜168では、応答に顕著な遅延を発生させないように、判断アルゴリズムの簡潔な上述の正当性判定方式Aが用いられる。
【0022】
ここで、ステップS162の正規サービス重視方式が選択されたものとして説明する。ステップS162が選択されると、正当性判定方式Aにより、通信信頼度が判定される。判定の結果、正常接続A1、A3の場合、ステップS170に進み、アンチプロファイリング処理なしに、応答がパケット受信処理部17からパケット返送処理部19を介して送信される。正当性判定方式Aにより、疑わしい接続A2と判定された場合、ステップS171に進む。ステップS171において、最小限情報の生成指示が最小限情報生成処理部20に出され、生成された最小限情報は、パケット返答処理部19を介して送信される。また、不正接続A4と判定された場合、ステップS169に進み、応答は返されない。
【0023】
次に、ステップS150において、慎重型処理(ステップS180)が選択された場合について説明する。慎重型処理の場合、安全性を重視するか、サービス性を重視するかなどにより、ステップS181〜184のいずれかの方式が選択される。ステップS181は、最小限情報提供方式であり、ステップS182は、正規サービス重視方式である。ステップS183は、偽情報提供方式であり、ステップS184は、安全を重視した情報提供慎重方式である。ここで、ステップS181の最小限情報提供方式が選択されたものとして説明する。ステップS181〜184に続くステップS185〜188では、応答速度よりも安全性を重視した判断アルゴリズムの正当性判定方式Bが用いられる。正当性判定方式Bの処理の流れを図5(B)に示す。ステップS181に続き、ステップS185において正当性判定方式Bにより通信信頼度が求められる。
【0024】
正当性判定方式Bは、先ず、受信パケットのアドレス情報を長期ブラックリスト12−4と照合して、ブラックリストに載っているか否かを判断する(ステップS301)。判断結果がYESの場合、不正接続B6と判断される。長期ブラックリスト12−4に載っていない場合(ステップS301:NO)、ステップS302で処理パケット履歴13を参照して関連通信の有無を調べる。YESの場合は、ステップS303に進み、短期ブラックリスト12−2と照合して疑わしい接続B5か、あるいは正常接続B4かを判定する。
【0025】
ステップS302でNOの場合、100〜1000ms位判断を保留した後、受信パケットを処理パケット履歴13と照合する(ステップS305)。照合結果がYESの場合、ステップS306に進み、短期ブラックリスト12−2と照合して疑わしい接続B3か、あるいは正常接続B2かを判定する。ステップS305においてNOの場合、正常接続B1と判定する。ステップS185の正当性判定により正常接続B1、B2、B4と判定された場合、ステップS191に進み、最小限情報生成処理部20に最小限情報生成の指示が出力され、フィルタルール24によって制限された情報が送出される。正当性判定により疑わしい接続B3、B5または不正接続B6と判定された場合、ステップS189に進み、応答は返されない。
【0026】
図6は、上述の対応方法判定処理部15における処理方法判断、正当性判定処理および処理内容の組み合わせの一例を示す図である。同図における、処理方法判断1は、ステップ140の処理であり、処理方法判断2は、ステップS150の処理である。処理方法判断2の即応型処理に続く処理方法判断3(ステップS160)では、情報無提供方式(ステップS161)、正規サービス重視方式(ステップS162)、偽情報提供方式(ステップS163)、最小限情報提供方式(S164)のいずれかの方式が選択される。
【0027】
慎重型処理に対する処理方法判断3(ステップS180)では、安全を重視した情報提供慎重方式(ステップS184)、正規サービス重視方式(ステップS182)、偽情報提供方式(ステップS183)、最小限情報提供方式(ステップS181)のいずれかの方式が選択される。正当性判定処理方式A,Bによる通信信頼度判定結果は、正規(正常接続)、不明(疑わしい接続)および不正(不正接続)に分類される。そして、この判定結果に応じて、最小限情報提供、無応答、処理なし、偽情報提供のいずれかの応答処理が行われる。なお、判定ルール11に設定される処理方法判断、正当性判定処理、処理内容の構成は、図6に示す構成に限られるものではなく、ネットワーク管理者の判断により、最適と考えられる構成を設定することができる。
【0028】
次に、アンチプロファイリング装置10による不正接続に対する具体的な処理例を図7〜12に示す。図7は、攻撃者110がスキャニングツールによってポートスキャンを行った状態を示す。ユーザ120に対しては、正しい返答がなされるが、攻撃者110のスキャニングに対しては、偽情報を返すなどして情報収集を混乱させる。図8に示すように、攻撃者110は、DNSなどを使用せずに直接IPアドレスを生成して、網羅的にスキャニングを試みる方法が一般的である。例えば、nmapなどのスキャニングツールを用いて、大量のIPアドレス、ポートに対してスキャニングをおこない、人手をかけずに攻撃対象の弱点の情報を得ようとする。アンチプロファイリング装置10は、このようなスキャニング対象の全てのIPアドレス、ポート番号の応答として偽情報を返すことによって対抗する。
【0029】
図9は、存在しないIPアドレス(アドレスB)、あるいは使用していないポートに対して通信が発生した場合であり、明らかに不正アクセスのための事前の情報収集が目的と解釈できるため、アンチプロファイリング装置10から偽情報を発信する。図10は、複数のIPアドレスやポート番号に対して、短時間に連続して通信が発生している場合であり、機械的にIPアドレスを生成して、通信を試みている分かりやすい例である。この場合は、存在しないIPアドレスやポートに対する通信だけでなく、存在するIPアドレスやサービスが行われているポート番号への通信もスキャンの一部であるため偽の情報を返す。
【0030】
図11は、攻撃者110がスキャンツールによってフィンガープリントを収集しようとしている例である。スキャンツールから4つのスキャンパターンを送り、フィンガープリント(Fingerprint)判別表に示すように、その応答の組み合わせによってOSを判別する。この場合、アンチプロファイリング装置10からツールが分析できないパターンになるような偽情報を返し、スキャンツールを混乱、停止させる。図12は、アンチプロファイリング装置10をファイアウォール50とネットワーク100の間に設置する場合である。スキャンに対してアンチプロファイリング装置10から偽情報を返すか、あるいは応答しないことによってファイアウォール50の設定を隠蔽して情報を与えないようにする。
【0031】
【発明の効果】
以上説明したように、本発明によれば、受信パケットを解析してその通信の信頼度に応じて提供する情報を制御するので、不正なアクセスに対して攻撃の手がかりとなる情報の漏洩を防ぐことができる。また、悪意で行った情報収集に対して不正確な情報を返すことによって情報収集を妨げ、スキャニングツールの判断を混乱させることにより、情報収集の次の段階である攻撃を抑制し、十分な防御を行うまで遅延させたり、あるいは回避することができるため管理下のネットワークのセキュリティを大幅に高めることができるという効果が得られる。また、内部ネットワークへのアクセスに対して一箇所で統括的に対処できるため、アプリケーションや端末毎に設定を管理する必要がなく、セキュリティシステムの運用・管理コストを大幅に削減できるという効果が得られる。
【図面の簡単な説明】
【図1】 本発明の一実施の形態によるアンチプロファイリング装置のブロック図である。
【図2】 同実施形態のアンチプロファイリング装置をファイアウォールの前に設置した例を示す図である。
【図3】 同実施形態のアンチプロファイリング装置を端末に設置した例を示す図である。
【図4】 アンチプロファイリング装置の処理フローを示す図である。
【図5】 正当性判定方式A、Bのフローチャートである。
【図6】 対応方法判定処理部の処理の組み合わせを示す図である。
【図7】 本実施形態のアンチプロファイリング装置の処理の例を示す図である。
【図8】 本実施形態のアンチプロファイリング装置のポートスキャンに対する処理を示す図である。
【図9】 本実施形態のアンチプロファイリング装置の処理の例を示す図である。
【図10】 本実施形態のアンチプロファイリング装置のポートスキャンに対する処理を示す図である。
【図11】 本実施形態のアンチプロファイリング装置のフインガープリント収集に対する処理を示す図である。
【図12】 本実施形態のアンチプロファイリング装置のファイアウォール隠蔽処理を示す図である。
【符号の説明】
10 アンチプロファイリング装置
11 判定ルール
12、12−1〜4 ブラックリスト
13 処理パケット履歴
14 パケット取得処理部
15 対応方法判定処理部
16 パケット転送処理部
17 パケット受信処理部
18 擬似返答生成処理部
19 パケット返答処理部
20 最小限情報生成処理部
21 サービス情報取得処理部
22 パケット送受信処理部
23 サービス情報フィルタ処理部
24 フィルタルール
25 応答方式履歴[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an anti-profiling apparatus and an anti-profiling program that perform countermeasure processing against information collection for the purpose of unauthorized intrusion in a computer network.
[0002]
[Prior art]
In recent years, network services using the Internet have expanded and various services can be widely provided. Network services can provide a wide variety of resources to users, such as Web pages and files using HTTP (Hyper Text Transfer Protocol) and FTP (File Transfer Protocol), and email using SMTP (Simple Mail Transfer Protocol). Servers that provide information to users are always at risk of being damaged by unauthorized intrusions and attacks. Unauthorized intrusion is often performed through a process of collecting necessary information in advance. This information collection attempts to make unauthorized intrusions after acquiring information on misconfiguration of the server to be intruded and information on vulnerable parts of the software. Many tools for collecting information are available on the Internet. If you use such tools, for example, port scan tools, anyone can access information and services on computers and routers connected to the network. It is possible to easily know information such as the name and version of the application that provides the service, and use it as a clue to unauthorized intrusion.
[0003]
With this information, the vulnerable parts (weaknesses) of the equipment that is the target of information collection can be identified, enabling service disruption and unauthorized intrusion. When using nmap (Network Mapper), which has many functions among port scan tools, in addition to port scan, features of TCP / IP (Transmission Control Protocol / Internet Protocol) stack implementation of devices connected to the network (called fingerprints) Information that is not disclosed to the outside, such as the OS (operating system) and application version. In addition, an application that provides necessary information to an external unspecified number of people such as Web and FTP and must permit the connection correctly responds to all external connection requests. This makes the application information public for both normal communication and malicious communication.
[0004]
Conventionally, as a means to counter the above-mentioned information collection, in the case of a TCP service such as a Web server, the banner response, which is information provided by the application after the connection is established, is invalidated, the banner information is restricted, or false information is displayed. The way to return is taken. In addition, information is prevented from being leaked by removing applications that are not normally used from the settings so that communication is not performed, or blocking by a firewall before a packet reaches a device connected to the network.
[0005]
[Problems to be solved by the invention]
However, as described above, in the conventional method for preventing information leakage, if a tool having an advanced information collection function is used, target information can be easily collected by avoiding this, so that a sufficient effect can be obtained. There was a problem that it could not be raised. In addition, when information is provided for an unspecified number of people, information obtained by an attacker may be used as a clue for unauthorized intrusion. In addition, when blocking and preventing communication to devices connected to a network that does not allow communication by a firewall, this reveals computers and applications that can communicate with the outside, so narrow the target to attackers Sometimes it gives useful information. In addition, there is a problem that the incomplete setting of the firewall itself and the vulnerable part are examined from such information and intruded.
[0006]
The present invention has been made in view of the above points, and its purpose is to analyze received packets to determine the legitimacy of the communication, and to control the information provided in accordance with the degree of reliability for unauthorized intrusion. It is another object of the present invention to provide an anti-profiling apparatus and an anti-profiling program that not only prevent attacks but also provide confusion to attackers by not providing information that provides clues to attacks or providing false information.
[0007]
[Means for Solving the Problems]
In order to solve the above-mentioned problem, management of a side (management side) that receives a packet in communication directed to a device connected to a network and responds to a validity determination method for the received packet and an analysis result of the packet. The validity determination method determining means determined by the determination rule set based on the safety standard established based on the policy, and the validity determination method determined by the validity determination method determining means, the reliability of the packet is determined. The correctness determination means to be obtained, the response method determining means for determining the response method for the packet based on the reliability, and the response information for responding to the packet when the instruction information is input into predetermined filter rules the basis of the limited information response unit generates and provides limited response information is limited by filtering, and instruction information is input wherein And non-change information reply means for replying the response information to the packet, based on the response method in which the response method determination means has determined, in response to the packet, the limited information response means or the non-change information reply means An anti-profiling apparatus comprising: means for selecting any of the above and inputting the instruction information.
[0008]
According to the present invention, in the invention described above, the legitimacy determination method determination unit selects an immediate response process that responds promptly or a careful process that emphasizes safety based on the determination rule , and the selected process. It is characterized in that a legitimacy determination method corresponding to is determined .
[0009]
The present invention, in the invention described above, the validity judging means obtains the reliability based on a black list describing the communication source address of the packet, classifying the packet based on the reliability It is characterized by that.
[0010]
According to the present invention, in the above-described invention, pseudo information response means for generating and providing false information for the packet when the instruction information is input, and responding to the packet when the instruction information is input Non-response means, and the means for inputting, as the response to the packet, based on the response method determined by the response method determination means, the limited information response means or the no-change information response means or Either the pseudo information response means or the non-response means is selected and the instruction information is input.
[0011]
According to the present invention, a management policy on the side (management side) that receives a packet in communication directed to a device connected to a network and returns a validity determination method for the received packet and the analysis result of the packet is received. The reliability of the packet is obtained by a legitimacy determination method determination step determined by a determination rule set based on the originally established safety standard and a legitimacy determination method determined in the legitimacy determination method determination step. Based on a predetermined filter rule, a legitimacy determining step, a response method determining step for determining a response method for the packet based on the reliability, and response information for responding to the packet when instruction information is input and limited information response step generates and provides limited response information is limited by filtering Te, instruction information There the non-change information reply step of replying the response information to the an input packet, based on said response scheme determined by the response type determining step, in response to the packet, the limited information response step Alternatively, an anti-profiling program for executing the step of selecting any one of the non-change information reply steps and inputting the instruction information.
[0012]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is a block diagram showing a configuration of an anti-profiling apparatus 10 according to the embodiment. In the figure, reference numeral 14 denotes a packet acquisition processing unit that receives a packet sent to the internal network 70 via the external network 100. Reference numeral 11 denotes a determination rule in which a packet processing method is set for each type of communication, and reference numeral 12 denotes a black list describing a communication source address, a communication source port number, and the like that do not permit communication. The black list 12 is created in three types, short-term, medium-term, and long-term, depending on the acquisition period of information to be described. Reference numeral 13 denotes a processing packet history describing a history of packet acquisition / determination such as which packet is being processed and what packet was processed a while ago.
[0013]
Reference numeral 15 denotes a corresponding method determination processing unit that determines a processing method based on the determination rule 11 in accordance with the type of input received packet. Further, the handling method determination processing unit 15 determines the validity of the received packet by collating the black list 12 and the processing packet history 13 according to each processing method, and obtains the communication reliability. And the response method with respect to a received packet is defined according to the calculated | required communication reliability. The response method is selected from the following four methods. Minimal information provision: Characteristic information and redundant information are deleted from the response content to the communication request and sent, no response: No response to the communication request, etc. No processing: No anti-profiling processing Provision of fake information that responds as usual: Responses to communication requests etc. are added by adding random or unusual forms of characteristic information or redundant information that are different from the correct response. .
[0014]
Reference numeral 16 denotes a packet transfer processing unit that transfers a received packet determined to be correct communication to the internal network 70. Reference numeral 17 denotes a packet reception processing unit that receives a packet sent from the internal network 70, and reference numeral 19 denotes a packet response processing unit that performs transmission processing of the input packet and transmits the packet to the external network 100. Reference numeral 18 denotes a pseudo response generation processing unit that generates false information based on an instruction from the handling method determination processing unit 15 and outputs the false information to the packet response processing unit 19. A minimum information generation processing unit 20 includes a service information acquisition processing unit 21, a packet transmission / reception processing unit 22, a service information filter processing unit 23, and a filter rule 24.
[0015]
The service information acquisition processing unit 21 acquires service information responding from the transmission destination host of the packet connected to the internal network 70 via the packet transmission / reception processing unit 22 based on the instruction of the handling method determination processing unit 15. The filter rule 24 is a rule that describes information that cannot be provided to the outside and information that can be provided, and restricts output information. The service information filter processing unit 23 filters the acquired service information based on the filter rule 24 to generate limited service information.
[0016]
2 and 3 are diagrams illustrating an installation example of the anti-profiling apparatus 10. FIG. 2 shows an arrangement example of the anti-profiling apparatus 10 in the network system. The anti-profiling device 10 is installed in front of the firewall 50 of the internal network before the packet reaches the application, and performs overall processing on all packets received via the Internet 100. In the arrangement example shown in FIG. 3, the anti-profiling device 10 is installed in the terminal 60 and performs processing for all communications that reach the application in the terminal 60. There is no difference in the processing method of the anti-profiling apparatus 10 shown in FIGS.
[0017]
Hereinafter, the operation of the anti-profiling apparatus 10 will be described. FIG. 4 is a diagram illustrating a processing flow of the anti-profiling apparatus 10. This will be described with reference to FIGS. 1 and 4. First, the packet acquisition processing unit 14 receives the transferred packet and outputs it to the handling method determination processing unit 15. The handling method determination processing unit 15 analyzes the input packet and determines whether or not the protocol is abnormal (step S110). If the protocol is abnormal and the determination result is YES, the process proceeds to step S111 and returns to step S112 without returning a response. When the response history is stored (step S112: YES), it is recorded in the response method history 25. On the other hand, if the protocol is normal and NO in step S110, the source IP address is checked against the blacklist 12-1 in step S120. In the case of communication from an IP address that is not permitted, the process proceeds to step S111, and when the response history is stored (step S112: YES), it is recorded in the response method history 25.
[0018]
If it is determined in step S120 that the IP address is permitted (step S120: NO), the process proceeds to step S130 to determine whether or not the response method has been determined. If the response method has already been determined because it is related to the received packet and the determination result is YES, the response method history 25 is referred to in step S131 to perform the process according to the determined response method. In the case of NO in step S130, the process proceeds to step S140, and based on the determination rule set for each port, it is determined whether to perform random processing or routine processing according to the packet connection request.
[0019]
If it is determined in step S140 that the process is random, one of steps S161 to S164 and S181 to S184 is selected at random. Here, a description will be given assuming that step S161 is selected. Step S161 is an information non-providing system that places importance on safety. Next, communication reliability is determined by the validity determination system A. FIG. 5A shows a processing flow of the validity determination method A. First, it is determined whether the address information of the received packet is on the black list by checking with the long-term black list 12-4 (step S201). If the determination result is YES, it is determined that the connection is unauthorized connection A4. On the other hand, if it is not on the black list, the process proceeds to step S202, and it is determined whether or not related communication is described with reference to the processing packet history 13. If the related communication is not described and NO, it is determined that the connection is normal A1. If the determination result in step S202 is YES, it is further determined whether the connection request is a suspicious connection A3 or a suspicious connection A2 by checking the medium term blacklist.
[0020]
When the normality determination method A determines that the connection is normal connection A1 or A3, the process proceeds to step S171, and an instruction is output to the minimum information generation processing unit 20. In step S112, it is determined whether or not the response history is to be saved, and if so, the response history is recorded in the response method history 25. The minimum information generation processing unit 20 receives an instruction from the handling method determination processing unit 15, acquires a response to the received packet from the connection destination host, filters the response information based on the filter rule 24, and obtains the minimum information. Generate. The packet response processing unit 19 transmits this minimum information to the network 100.
[0021]
On the other hand, if it is determined in step S140 that the routine process is performed, it is further determined in step S150 whether to perform an immediate process or a careful process. In the case of quick response processing, one of the methods in steps S161 to S164 is selected depending on whether safety is important or service is important. Step S161 is a method for providing no information with the highest priority on safety, and step S162 is a method for emphasizing regular services with emphasis on services. Step S163 is a fake information provision method that counters unauthorized connections, and step S164 is a minimum information provision method as a standard. In steps S165 to 168 following steps S161 to 164, the above-described correctness determination method A with a simple determination algorithm is used so as not to cause a significant delay in the response.
[0022]
Here, it is assumed that the regular service emphasis method in step S162 is selected. When step S162 is selected, the communication reliability is determined by the validity determination method A. As a result of the determination, in the case of normal connections A1 and A3, the process proceeds to step S170, and a response is transmitted from the packet reception processing unit 17 via the packet return processing unit 19 without anti-profiling processing. If it is determined that the connection A2 is suspicious by the validity determination method A, the process proceeds to step S171. In step S 171, a minimum information generation instruction is issued to the minimum information generation processing unit 20, and the generated minimum information is transmitted via the packet response processing unit 19. If it is determined that the connection is unauthorized connection A4, the process proceeds to step S169, and no response is returned.
[0023]
Next, the case where the careful type process (step S180) is selected in step S150 will be described. In the case of careful processing, one of the methods in steps S181 to S184 is selected depending on whether safety is important or serviceability is important. Step S181 is a minimum information providing method, and step S182 is a regular service-oriented method. Step S183 is a fake information provision method, and step S184 is an information provision careful method that emphasizes safety. Here, description will be made assuming that the minimum information providing method in step S181 is selected. In steps S185 to 188 subsequent to steps S181 to 184, the validity determination method B of the determination algorithm in which safety is more important than response speed is used. FIG. 5B shows the flow of processing in the validity determination method B. Subsequent to step S181, the communication reliability is obtained by the legitimacy determination method B in step S185.
[0024]
In the legitimacy determination method B, first, the address information of the received packet is checked against the long-term black list 12-4 to determine whether it is on the black list (step S301). When the determination result is YES, it is determined that the connection is unauthorized connection B6. If it is not on the long-term blacklist 12-4 (step S301: NO), the process packet history 13 is referred to in step S302 to check whether there is a related communication. In the case of YES, the process proceeds to step S303, and it is determined whether the connection is a suspicious connection B5 or a normal connection B4 by checking with the short-term blacklist 12-2.
[0025]
In the case of NO in step S302, after the determination of about 100 to 1000 ms is suspended, the received packet is checked against the processing packet history 13 (step S305). If the collation result is YES, the process proceeds to step S306, where it is collated with the short-term black list 12-2 to determine whether the connection B3 is suspicious or normal connection B2. If NO in step S305, it is determined as normal connection B1. If it is determined that the normal connection is B1, B2, or B4 by the legitimacy determination in step S185, the process proceeds to step S191, where the minimum information generation instruction is output to the minimum information generation processing unit 20 and is limited by the filter rule 24 Information is sent out. If it is determined that the connection B3, B5 or unauthorized connection B6 is suspicious by the validity determination, the process proceeds to step S189, and no response is returned.
[0026]
FIG. 6 is a diagram illustrating an example of a combination of processing method determination, correctness determination processing, and processing content in the above-described handling method determination processing unit 15. In the figure, processing method determination 1 is the processing of step 140, and processing method determination 2 is the processing of step S150. In the processing method determination 3 (step S160) following the quick response processing of the processing method determination 2, the information non-providing method (step S161), the regular service emphasis method (step S162), the fake information providing method (step S163), and the minimum information One of the providing methods (S164) is selected.
[0027]
In the processing method judgment 3 (step S180) for the cautious type processing, the information provision cautious method (step S184) that emphasizes safety, the regular service emphasis method (step S182), the fake information provision method (step S183), and the minimum information provision method One of the methods in (Step S181) is selected. The communication reliability determination results by the validity determination processing methods A and B are classified into regular (normal connection), unknown (suspicious connection), and illegal (unauthorized connection). Then, according to the determination result, any one of response processing of minimum information provision, no response, no processing, and provision of false information is performed. Note that the configuration of the processing method determination, correctness determination processing, and processing content set in the determination rule 11 is not limited to the configuration shown in FIG. 6, and a configuration that is considered optimal is set by the network administrator's determination. can do.
[0028]
Next, specific processing examples for unauthorized connection by the anti-profiling apparatus 10 are shown in FIGS. FIG. 7 shows a state in which the attacker 110 has performed a port scan using a scanning tool. A correct response is made to the user 120, but the scanning of the attacker 110 confuses information collection by returning false information. As shown in FIG. 8, the attacker 110 generally generates an IP address directly without using DNS or the like, and tries to scan comprehensively. For example, a scanning tool such as nmap is used to scan a large number of IP addresses and ports to obtain information on the weak points of the attack target without manpower. The anti-profiling apparatus 10 counters by returning false information as responses of all IP addresses and port numbers to be scanned.
[0029]
FIG. 9 shows a case where communication occurs to a nonexistent IP address (address B) or a port that is not used, and it can be clearly understood that the purpose of collecting information for unauthorized access is anti-profiling. False information is transmitted from the device 10. FIG. 10 shows a case in which communication is continuously generated for a plurality of IP addresses and port numbers in a short time, and is an easy-to-understand example in which communication is attempted by mechanically generating an IP address. is there. In this case, not only the communication to the nonexistent IP address and port but also the communication to the existing IP address and the port number where the service is performed is a part of the scan, so false information is returned.
[0030]
FIG. 11 shows an example in which the attacker 110 is trying to collect fingerprints using a scanning tool. Four scan patterns are sent from the scan tool, and the OS is discriminated based on the combination of the responses as shown in the fingerprint discrimination table. In this case, the anti-profiling apparatus 10 returns false information that causes a pattern that cannot be analyzed by the tool, and confuses and stops the scanning tool. FIG. 12 shows a case where the anti-profiling apparatus 10 is installed between the firewall 50 and the network 100. By returning false information from the anti-profiling device 10 or not responding to the scan, the setting of the firewall 50 is concealed so that no information is given.
[0031]
【The invention's effect】
As described above, according to the present invention, since the received packet is analyzed and the information provided according to the reliability of the communication is controlled, the leakage of information that is a clue to attacks against unauthorized access is prevented. be able to. It also prevents information collection by returning inaccurate information to maliciously collected information, and confuses the scanning tool's judgment, thereby suppressing the next stage of information collection and providing sufficient protection. Since it can be delayed until it is performed or it can be avoided, the security of the managed network can be greatly increased. In addition, since it is possible to handle the access to the internal network in one place, there is no need to manage the settings for each application or terminal, and it is possible to significantly reduce the operation and management costs of the security system. .
[Brief description of the drawings]
FIG. 1 is a block diagram of an anti-profiling apparatus according to an embodiment of the present invention.
FIG. 2 is a diagram showing an example in which the anti-profiling apparatus of the embodiment is installed in front of a firewall.
FIG. 3 is a diagram showing an example in which the anti-profiling apparatus of the embodiment is installed in a terminal.
FIG. 4 is a diagram showing a processing flow of the anti-profiling apparatus.
FIG. 5 is a flowchart of correctness determination methods A and B;
FIG. 6 is a diagram illustrating a combination of processes of a handling method determination processing unit.
FIG. 7 is a diagram illustrating an example of processing of the anti-profiling apparatus of the present embodiment.
FIG. 8 is a diagram illustrating processing for port scanning of the anti-profiling apparatus of the present embodiment.
FIG. 9 is a diagram illustrating an example of processing of the anti-profiling apparatus of the present embodiment.
FIG. 10 is a diagram showing processing for port scanning of the anti-profiling apparatus of the present embodiment.
FIG. 11 is a diagram illustrating processing for collecting fingerprint prints of the anti-profiling apparatus of the present embodiment.
FIG. 12 is a diagram illustrating firewall concealment processing of the anti-profiling apparatus of the present embodiment.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 10 Anti-profiling apparatus 11 Determination rule 12, 12-1-4 Black list 13 Process packet history 14 Packet acquisition process part 15 Corresponding method determination process part 16 Packet transfer process part 17 Packet reception process part 18 Pseudo reply generation process part 19 Packet response Processing unit 20 Minimum information generation processing unit 21 Service information acquisition processing unit 22 Packet transmission / reception processing unit 23 Service information filter processing unit 24 Filter rule 25 Response method history

Claims (5)

ネットワークに接続された機器に向けた通信におけるパケットを受信し、受信したパケットに対する正当性判定方式を、前記パケットの解析結果と返答する側(管理側)の管理方針を元に策定した安全性基準に基づいて設定した判定ルールとにより決定する正当性判定方式決定手段と、
前記正当性判定方式決定手段が決定した正当性判定方式により、前記パケットの信頼度を求める正当性判定手段と、
前記信頼度に基づいて前記パケットに対する応答方式を定める応答方式決定手段と、
指示情報が入力されると前記パケットに対して応答する応答情報を、予め定められるフィルタルールに基づいてフィルタリングして限定した限定応答情報を生成して提供する限定情報返答手段と、
指示情報が入力されると前記パケットに対して前記応答情報を返答する無変更情報返答手段と、
前記応答方式決定手段が決定した前記応答方式に基づいて、前記パケットに対する応答として、前記限定情報返答手段あるいは前記無変更情報返答手段のいずれかを選択して前記指示情報を入力する手段と、
を具備することを特徴とするアンチプロファイリング装置。Safety standards established based on the management policy of the side (management side) that receives packets in communications directed to devices connected to the network and determines the validity judgment method for the received packets and returns the analysis results of the packets. A legitimacy determination method determination means that is determined by a determination rule set based on
A legitimacy judging means for determining the reliability of the packet by the legitimacy judging system determined by the legitimacy judging system determining means;
Response method determining means for determining a response method for the packet based on the reliability;
Limited information response means for generating and providing limited response information obtained by filtering response information responding to the packet when instruction information is input based on a predetermined filter rule ;
Unchanged information reply means for replying the response information to the packet when instruction information is input;
Based on the response method determined by the response method determination unit, as a response to the packet, selecting either the limited information response unit or the non-change information response unit and inputting the instruction information;
An anti-profiling apparatus comprising: 前記正当性判定方式決定手段は、前記判定ルールに基づいて、即応する即応型処理、あるいは、安全を重視する慎重型処理を選択し、当該選択した処理に対応する正当性判定方式を決定する
ことを特徴とする請求項1に記載のアンチプロファイリング装置。The legitimacy determination method determination means selects an immediate response process that responds promptly or a careful process that emphasizes safety based on the determination rule, and determines a legitimacy determination method that corresponds to the selected process. The anti-profiling apparatus according to claim 1. 前記正当性判定手段は、前記パケットの通信元のアドレスを記述したブラックリストに基づいて前記信頼度を求め、前記信頼度に基づいて前記パケットを分類する
ことを特徴とする請求項1に記載のアンチプロファイリング装置。The said correctness determination means calculates | requires the said reliability based on the black list which described the communication origin address of the said packet, and classifies the said packet based on the said reliability. Anti-profiling device. 指示情報が入力されると前記パケットに対して偽情報を生成して提供する疑似情報応答手段と、
指示情報が入力されると前記パケットに対して応答しない無応答手段と、
を更に備え、
前記入力する手段は、
前記応答方式決定手段が決定した前記応答方式に基づいて、前記パケットに対する応答として、前記限定情報返答手段あるいは前記無変更情報返答手段あるいは前記擬似情報応答手段あるいは前記無応答手段のいずれかを選択して前記指示情報を入力する
ことを特徴とする請求項1に記載のアンチプロファイリング装置。Pseudo information response means for generating and providing false information for the packet when the instruction information is input;
No-response means that does not respond to the packet when the instruction information is input;
Further comprising
The input means is:
Based on the response method determined by the response method determination unit, the response to the packet is selected from the limited information response unit, the non-change information response unit, the pseudo information response unit, or the no response unit. The anti-profiling apparatus according to claim 1, wherein the instruction information is input. コンピュータに、
ネットワークに接続された機器に向けた通信におけるパケットを受信し、受信したパケットに対する正当性判定方式を、前記パケットの解析結果と返答する側(管理側)の管理方針を元に策定した安全性基準に基づいて設定した判定ルールとにより決定する正当性判定方式決定ステップと、
前記正当性判定方式決定ステップにて決定した正当性判定方式により、前記パケットの信頼度を求める正当性判定ステップと、
前記信頼度に基づいて前記パケットに対する応答方式を定める応答方式決定ステップと、
指示情報が入力されると前記パケットに対して応答する応答情報を、予め定められるフィルタルールに基づいてフィルタリングして限定した限定応答情報を生成して提供する限定情報返答ステップと、
指示情報が入力されると前記パケットに対して前記応答情報を返答する無変更情報返答ステップと、
前記応答方式決定ステップにて決定した前記応答方式に基づいて、前記パケットに対する応答として、前記限定情報返答ステップあるいは前記無変更情報返答ステップのいずれかを選択して前記指示情報を入力するステップと、
を実行させるためのアンチプロファイリングプログラム。On the computer,
Safety standards established based on the management policy of the side (management side) that receives packets in communications directed to devices connected to the network and determines the validity judgment method for the received packets and returns the analysis results of the packets. A legitimacy determination method determination step determined by a determination rule set based on
A legitimacy determination step for determining the reliability of the packet by the legitimacy determination scheme determined in the legitimacy determination scheme determination step;
A response method determining step for determining a response method for the packet based on the reliability;
A limited information response step of generating and providing limited response information obtained by filtering response information responding to the packet when instruction information is input , based on a predetermined filter rule ;
A non-change information response step of returning the response information to the packet when the instruction information is input;
Based on the response method determined in the response method determination step, as a response to the packet, selecting either the limited information response step or the non-change information response step and inputting the instruction information;
Anti-profiling program for running.
JP2002115340A 2002-04-17 2002-04-17 Anti-profiling device and anti-profiling program Expired - Lifetime JP3986871B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002115340A JP3986871B2 (en) 2002-04-17 2002-04-17 Anti-profiling device and anti-profiling program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002115340A JP3986871B2 (en) 2002-04-17 2002-04-17 Anti-profiling device and anti-profiling program

Publications (2)

Publication Number Publication Date
JP2003309607A JP2003309607A (en) 2003-10-31
JP3986871B2 true JP3986871B2 (en) 2007-10-03

Family

ID=29396717

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002115340A Expired - Lifetime JP3986871B2 (en) 2002-04-17 2002-04-17 Anti-profiling device and anti-profiling program

Country Status (1)

Country Link
JP (1) JP3986871B2 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3794491B2 (en) 2002-08-20 2006-07-05 日本電気株式会社 Attack defense system and attack defense method
JP4800272B2 (en) * 2007-08-16 2011-10-26 日本電信電話株式会社 Number scanning detection device and number scanning detection program
JP5197344B2 (en) * 2008-12-19 2013-05-15 キヤノンItソリューションズ株式会社 Information processing apparatus, information processing method, and computer program
JP6101525B2 (en) * 2013-03-19 2017-03-22 株式会社エヌ・ティ・ティ・データ COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, COMMUNICATION CONTROL PROGRAM
US9436652B2 (en) * 2013-06-01 2016-09-06 General Electric Company Honeyport active network security
JP6220709B2 (en) * 2014-03-18 2017-10-25 株式会社エヌ・ティ・ティ・データ COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
JP2000138703A (en) * 1998-10-30 2000-05-16 Toshiba Corp Information providing device and storage medium
EP1149339A1 (en) * 1998-12-09 2001-10-31 Network Ice Corporation A method and apparatus for providing network and computer system security
JP2001313640A (en) * 2000-05-02 2001-11-09 Ntt Data Corp Method and system for deciding access type in communication network and recording medium
JP2002007233A (en) * 2000-06-16 2002-01-11 Ionos:Kk Switch connection controller for communication line
JP2002007234A (en) * 2000-06-20 2002-01-11 Mitsubishi Electric Corp Detection device, countermeasure system, detecting method, and countermeasure method for illegal message, and computer-readable recording medium
JP2002073433A (en) * 2000-08-28 2002-03-12 Mitsubishi Electric Corp Break-in detecting device and illegal break-in measures management system and break-in detecting method
DE60127978T2 (en) * 2000-09-01 2008-01-17 Top Layer Networks, Inc., Westboro System and method of defense against denial of service attacks on the network nodes

Also Published As

Publication number Publication date
JP2003309607A (en) 2003-10-31

Similar Documents

Publication Publication Date Title
US11330000B2 (en) Malware detector
RU2495486C1 (en) Method of analysing and detecting malicious intermediate nodes in network
Ndatinya et al. Network forensics analysis using Wireshark
JP4742144B2 (en) Method and computer program for identifying a device attempting to penetrate a TCP / IP protocol based network
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
AU2008207926B2 (en) Correlation and analysis of entity attributes
EP2147390B1 (en) Detection of adversaries through collection and correlation of assessments
Al-Hammadi et al. DCA for bot detection
US20170257339A1 (en) Logical / physical address state lifecycle management
US11258812B2 (en) Automatic characterization of malicious data flows
JP2019021294A (en) SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS
JP7388613B2 (en) Packet processing method and apparatus, device, and computer readable storage medium
US20080134300A1 (en) Method for Improving Security of Computer Networks
WO2008091984A1 (en) Detecting image spam
EP2115689A1 (en) Multi-dimensional reputation scoring
CN113079185B (en) Industrial firewall control method and equipment for realizing deep data packet detection control
CN110266673B (en) Security policy optimization processing method and device based on big data
CN106789882A (en) Defence method and system that a kind of domain name request is attacked
KR20200109875A (en) Harmful ip determining method
JP3986871B2 (en) Anti-profiling device and anti-profiling program
KR20230139984A (en) Malicious file detection mathod using honeypot and system using the same
Ivanova et al. Method of fuzzing testing of firewalls using the gray box method
JP3760919B2 (en) Unauthorized access prevention method, apparatus and program
Chang A proactive approach to detect IoT based flooding attacks by using software defined networks and manufacturer usage descriptions
KR100772177B1 (en) Method and apparatus for generating intrusion detection event for security function test

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050224

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060919

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061003

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070227

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070703

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070711

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 3986871

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100720

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110720

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110720

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120720

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120720

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130720

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term