• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 特許、登録しない。 H04L
管理番号 1246727
審判番号 不服2009-14316  
総通号数 145 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2012-01-27 
種別 拒絶査定不服の審決 
審判請求日 2009-08-07 
確定日 2011-11-09 
事件の表示 特願2004-514270「データトラフィックフィルタリング標識」拒絶査定不服審判事件〔平成15年12月24日国際公開、WO03/107590、平成17年10月 6日国内公表、特表2005-530398〕について、次のとおり審決する。 
結論 本件審判の請求は、成り立たない。 
理由 第1 手続の経緯
本願は、2003年6月9日(パリ条約による優先権主張外国庁受理2002年6月12日、米国)を国際出願日とする出願であって、平成20年7月24日付けで拒絶理由が通知され、平成21年1月29日付けで手続補正されたが、同年4月1日付けで拒絶査定がなされ、これに対し、同年8月7日に拒絶査定不服の審判が請求されるとともに、同日付けで手続補正されたものである。

第2 本願発明
特許請求の範囲の請求項1に係る発明(以下、「本願発明」という。)は、平成21年8月7日付けで手続補正された特許請求の範囲、明細書及び図面の記載からみて、その特許請求の範囲の請求項1に記載された以下のとおりのものと認める。

「ネットワークを介し通信するよう構成される装置であって、
不適切な動作に関係するパケットを特定するためのルールセットであって、該ルールセットの各ルールが不適切さのレベルを示す複数のクラスに分割されるルールセットを含むファイアウォールと、
前記ファイアウォールに関連付けされ、前記不適切な動作に関係するパケットのグループが前記ルールセットの複数のクラスの少なくとも1つのクラスに係る不適切さの閾値レベルを超えたことを同時的に示すようトリガーされる少なくとも1つのユーザ識別可能な標識と、
を有することを特徴とする装置。」

第3 引用発明
原審の拒絶理由に引用された特開2002-124996号公報(以下、「引用例」という。)には、図面とともに以下の事項が記載されている。

イ.「【001】
【発明の属する技術分野】 本発明は、クラッカーによるインターネットを介したネットワーク(LAN)への攻撃を監視し、さらにはその攻撃からネットワークを保護するためのシステムに関する。」(2頁1欄)

ロ.「【011】次ぎに具体的な攻撃について考えよう。まず、クラッカーによる第1の種類の攻撃として、一般にポートスキャン(Port Scan)と言われる種類の攻撃がある。この攻撃は、ネットワークに直接的な損害を及ぼすものではないが、その前段階の攻撃として用いられることが多い。この攻撃では、クラッカーは、自身の管理下にあるホストから、攻撃対象のネットワークに対して、パケット内の宛先IPアドレスや宛先ポート番号を適宜変更しながらIPパケットを繰り返し送信する。そして、それらのIPパケットに対する応答を上記ホストを介して観測する。これにより、攻撃対象のネットワークにおいて、ファイヤウォール等による制限を受けずに外部との通信に利用されているIPアドレスやポート番号を探索する。なお、ここで、前記ポート番号は、TCPあるいはUDP上で動作するアプリケーションソフトウェアのサービス種類(例えばtelnet、ftp、smtp、tftp等)を表すもので、IPパケット内のTCPヘッダあるいはUDPヘッダに付与されるデータである。この種の攻撃では、上記のようなIPパケットの送信は、通常、専用的なツールソフトウェアを用いて行われ、攻撃対象のネットワークには、宛先IPアドレスやポート番号が互いに異なり、且つ送信元IPアドレスが同一であるようなIPパケットが比較的短時間内に多数、送信される。そこで、本発明では、前記攻撃検知手段は、取得して保持した前記複数のIPパケットのうち、前記ネットワークにその外部から所定時間内に送信されてきた複数のIPパケットであって、少なくともその送信元IPアドレスが互いに同一で且つ宛先IPアドレス又は宛先ポート番号が互いに異なるものが所定数以上あるとき、第1の種類の前記攻撃がなされたことを検知する。これにより、ポートスキャンと言われる第1の種類の攻撃を確実に検知することができる。次に、クラッカーによる第2の種類の攻撃として、一般にSyn-floodと称される種類の攻撃がある。この攻撃は、TCPの特性を利用してネットワーク内の特定のホストをダウンさせるものである。すなわち、TCPでは二つのホスト間で通信を行う場合、まず、両ホスト間で論理的なコネクションの開設処理が行われる。このコネクション開設処理では、一方のホストから他方のホストに対してSyn用IPパケットを送信する。ここで、該Syn用IPパケットは、それを詳しく言えば、上記一方のホストのIPアドレスと他方のホストのIPアドレスとをそれぞれ送信元IPアドレス、宛先IPアドレスとしたIPパケットで、そのパケット内のTCPヘッダのSynビット及びAckビットのうちのSynビットのみを「1」としたものである。そして、コネクション開設処理では、このSyn用IPパケットを受けた他方のホストは、前記一方のホストに対してSyn/Ack用IPパケットを送信する。ここで、該Syn/Ack用IPパケットは、詳しくは、上記他方のホストのIPアドレスと一方のホストのIPアドレスとをそれぞれ送信元IPアドレス、宛先IPアドレスとしたIPパケットで、そのパケット内のTCPヘッダのSynビット及びAckビットを共に「1」としたものである。さらに、コネクション開設処理では、このSyn/Ack用IPパケットを受けた前記一方のホストは、前記他方のホストに対してAck用IPパケットを送信し、このAck用IPパケットを前記他方のホストが受けることで、両ホスト間の論理的なコネクションの開設がなされる。なお、上記Ack用IPパケットは、詳しくは、前記Syn用IPパケットと同一の送信元IPアドレス及び宛先IPアドレスを有するIPパケットで、そのパケット内のTCPヘッダのSynビット及びAckビットのうちのAckビットのみを「1」としたものである。
【012】前記Syn-floodは、このようなTCPの特性を利用する攻撃である。この攻撃では、クラッカーは、攻撃対象のネットワークの特定のホストに対して、比較的短い時間内に多数のSyn用IPパケットを送信する。そして、それらの各Syn用IPパケットに対して上記特定ホストからSyn/Ack用IPパケットが送信されてきても、Ack用IPパケットをその特定ホストに送信しない。このような攻撃がなされたとき、上記特定ホストは、最初に送信されてきたSyn用IPパケットに対するSyn/Ack用IPパケットを送信した後、所定時間(一般に2分)は、その時間内にAck用パケットが送信されてこない限り、そのAck用パケットの受信待ち状態となる。そして、この状態で新たなSyn用パケットが送信されてくる毎に、上記特定ホストは、新たなSyn用パケットに応じたコネクション開設処理を順番に完結すべくその新たなSyn用パケットの情報を通信処理用のバッファ領域に蓄積していく。ところが、バッファ領域の大きさには限界があり、該バッファ領域が満杯になると、前記特定ホストは、TCPの通信処理やTCP上のサービス処理を行うことができなくなる。これにより、特定ホストがダウンすることとなる。この種の攻撃(Syn-flood)では、前述のように、比較的短い時間内に、比較的多くのSyn用IPパケットが攻撃対象のネットワーク内の特定のホスト(特定のIPアドレスを有するホスト)に対して送信されてくる。また、これに応じて、当該特定のホストからネットワークの外部に向かって、比較的短い時間内に、多くのSyn/Ack用IPパケットが送信される。さらに、それらのSyn用IPパケットあるいはSyn/Ack用IPパケットに対応して最終的に前記特定ホストに送信されてくるべきAck用パケットがその特定ホストに送信されてこない。そこで、本発明では、前記攻撃検知手段は、取得して保持した前記複数のIPパケットのうち、前記ネットワークにその外部から所定時間内に送信されてきたTCP(Transmission Control Protocol)に基づく複数のSyn用IPパケットであって、少なくともその宛先IPアドレスが互いに同一であるものが所定数以上あり、且つ、その各Syn用IPパケットと同一の送信元IPアドレス及び宛先IPアドレスを有すると共に前記TCPに基づくAck用IPパケットが前記所定時間内に取得されていないとき、第2の種類の前記攻撃がなされたことを検知する。あるいは、前記攻撃検知手段は、取得して保持した前記複数のIPパケットのうち、前記ネットワークからその外部に所定時間内に送信されたTCP(Transmission Control Protocol)に基づく複数のSyn/Ack用IPパケットであって、少なくともその送信元IPアドレスがそれぞれ互いに同一であるものが所定数以上あり、且つ、前記TCPに基づくAck用IPパケットであって、前記各Syn/Ack用IPパケットの送信元IPアドレス及び宛先IPアドレスとそれぞれ同一の宛先IPアドレス及び送信元IPアドレスを有するものが前記所定時間内に取得されていないとき、第2の種類の前記攻撃がなされたことを検知する。これにより、Syn-floodといわれる第2の種類の攻撃を確実に検知することができる。次に、クラッカによる第3の種類の攻撃として、一般にTeardropと称される種類の攻撃がある。この攻撃は、IPパケットの分轄(所謂IPフラグメント)に係る処理の特性を利用してネットワーク内の特定のホストをダウンさせるものである。すなわち、IPパケットは、インターネット上をルータを介して転送される過程で、各ルータのデータ処理容量の関係上、分轄されることがある。また、各ルータにおいてIPパケットが転送される際にエラーが生じることもあり、このような場合には、ルータは、IPパケットの再送信を行う。このため、IPパケットの宛先IPアドレスのホストでは、分轄された一部の同じIPパケットが、複数受信されるということもある。このようなことから、IPに基づく通信では、最終的にIPパケットを受け取るホスト(宛先IPアドレスのホスト)は、受け取ったIPパケットが分轄されたものであるとき、残りの全ての分轄部分のIPパケットを受信するまで、各分割部分のIPパケットを蓄積保持する。そして、全ての分轄部分のIPパケットを受信してから、それらを整理して元のIPパケットのデータを復元する処理を行う。前記Teardropは、このようなIPパケットの分轄に係る処理の特性を利用する攻撃である。この攻撃では、クラッカーは、比較的短い時間内に、多数の同じ分轄部分のIPパケットを攻撃対象のネットワークの特定のホストに送信した上で、残りの分轄部分のIPパケットをその特定ホストに送信する。このような攻撃がなされたとき、上記特定ホストは、最終的に残りの分轄部分のIPパケットを受信したときに、そのIPパケットと、先に送信されてきた多量の分割部分のIPパケットとから元のIPパケットのデータを復元しようとする処理を行うため、その処理に長時間を要するものとなる。このため、該特定ホストは、事実上、ダウンしてしまうこととなる。この種の攻撃(Teardrop)では、前述の如く、比較的短い時間内に、多数の同じ分轄部分のIPパケットがネットワーク内の特定のホストに送信されてくる。そこで、本発明では、前記攻撃検知手段は、取得して保持した前記複数のIPパケットのうち、前記ネットワークにその外部から所定時間内に送信されてきた複数の分割されたIPパケットであって、同一の分割部分が所定数以上あるとき、第3の種類の前記攻撃がなされていることを検知する。これにより、Teardropといわれる第3の種類の攻撃を確実に検知することができる。次に、クラッカーによる第4の種類の攻撃として、一般にLandと称される種類の攻撃がある。この攻撃は、送信元IPアドレス及び宛先IPアドレスが同一であるような、正規にはあり得ないIPパケットを、攻撃対象のネットワークの特定のホストに送信する攻撃である。このようなIPパケットを送信された特定ホストは、そのIPパケットの処理に手間取ることが多く、ダウンしてしまうことがしばしばある。
【013】この種の攻撃では、上記の如く、送信元IPアドレス及び宛先IPアドレスが同一であるIPパケットが、ネットワーク内の特定のホストに送信される。しかも、一般には、そのようなIPパケットが比較的短い時間内に、複数、上記特定ホストに送信される。そこで、本発明では、前記攻撃検知手段は、取得して保持した前記複数のIPパケットのうち、前記ネットワークにその外部から所定時間内に送信されてきた複数のIPパケットであって、その送信元IPアドレスが宛先IPアドレスと同一のアドレスとなっているものが所定数以上あるとき、第4の種類の前記攻撃がなされていることを検知する。これにより、Landとわれる第4の種類の攻撃を確実に検知することができる。なお、前述したSyn-flood、Teardrop、Landといわれる攻撃は、一般に、DoS(Denial of Service)といわれる種類の攻撃に属するものである。そして、このDoSには、Syn-flood、Teardrop、Landのほかに、例えばSmurfといわれる種類の攻撃や、Floodieといわれる種類の攻撃等もある。本明細書では、DoSに属する種類の攻撃として、代表的にSyn-flood、Teardrop、Landを挙げたが、SmurfやFloodie等の攻撃を検知するようにすることも可能である。前述のようにクラッカーによる攻撃を検知する攻撃検知手段を備えた本発明では、前記処理手段が行う処理は、例えば前記攻撃が検知された旨を表す報知出力を発生する処理である。この報知出力の発生により、ネットワーク管理者やあるいは外部の専門技術者等が、検知された攻撃を排除するための処置を施すことが可能となる。あるいは、前記処理手段が行う処理は、前記攻撃検知手段が検知した前記攻撃に係る特定の送信元IPアドレス及び/又は宛先IPアドレスを有するIPパケットの前記ネットワークへの進入を、前記攻撃を検知してから所定時間阻止する処理である。」(6頁9欄?8頁13欄)

ハ.「【015】
【発明の実施の形態】 本発明の一実施形態を図1を参照して説明する。図1は本実施形態のシステム構成図である。図1において、1はネットワークとしてのLANである。このLAN1は、例えばイーサネット(登録商標)(Ethernet(登録商標))を用いて構築されたものであり、図示を省略する複数のホスト(コンピュータ)がイーサネット・ケーブルやハブ等を介して接続されている。各ホストには、それをイーサネット・ケーブルに接続するイーサネット・カードや、TCP/IPの処理を行うためのソフトウェア、TCP/IP上で機能する各種アプリケーションソフトウェア(例えば、telnet、ftp、smtp等)が実装され、IPに基づく通信を可能としている。なお、LAN1は、イーサネット上で構築されたものに限らず、トークンリング等、他の形態で構築されたものであってもよい。本実施形態のシステムでは、LAN1の入り口に、パケットフィルタとしてのファイヤウォールの機能をもたせたコンピュータ2(以下、このコンピュータ2を単にファイヤウォール2と称する)が設けられている。そして、LAN1はファイヤウォール2を介してインターネット3に接続されている。ファイヤウォール2は、どのような種類のIPパケットのLAN1への進入を禁止するかを規定するデータが書き込まれるファイル(以下、フィルタ設定ファイルという)を有している。そして、ファイヤウォール2は、このフィルタ設定ファイルで、LAN1への進入が禁止された種類のIPパケットがインターネット3側から送信されてきたときに、そのIPパケットを廃棄してLAN1への進入を阻止する。また、フィルタ設定ファイルで、LAN1への進入が禁止されていないIPパケットが送信されてきたときには、それをLAN1に転送する。ファイヤウォール2とインターネット3との間には、ハブ4が介装され、このハブ4に攻撃検知手段の機能をもたせたセンサ5が接続されている。また、このセンサ5には、前記ファイヤウォール2を制御する処理手段の機能を有するディレクタ6が接続されている。これらのセンサ5及びディレクタ6はそれぞれコンピュータにより構成されたものである。前記センサ5は例えばUNIXマシンにより構成され、イーサネットカード7を介して前記ハブ4に接続されている。この場合、センサ5には、tcpdumpといわれるソフトウェアが実装されている。このtcpdumpによって、ハブ4を通る全てのIPパケットをイーサネットカード7を介して取得する(ヒアリングする)ことができる。このような動作は、プロミス・キャス・モード(promise cast mode)といわれることが多い。そして、センサ5は、取得した各IPパケットをその取得時点の時刻データと共に図示しないハードディスクに記憶保持するようにしている。なお、ハードディスクに記憶保持したIPパケットの総量が所定の許容量に達したときには、センサ5は、最も古いIPパケットを消去し、新たに取得されたIPパケットをハードディスクに記憶保持する。また、センサ5は、IPアドレスを持たず、ARP(Adress Resolution Protocol)や、RARP(Reverse Adress Resolution Protocol)のパケット等、応答を促すパケットが送信されてきても、それに対する応答をしないようにソフトウェア的に設定されている。つまり、センサ5はIPパケットの受信(取り込み)のみを行うことできるものとされている。さらに、センサ5には、前述した第1?第6の種類の攻撃を検知するためのソフトウェア(以下、攻撃検知アルゴリズム)が実装されている。なお、この攻撃検知アルゴリズムは、ディレクタ6に実装しておき、該ディレクタ6とのデータ授受を行いつつ該攻撃検知アルゴリズムの処理をセンサ5に行わせるようにしてもよい。前記ディレクタ6には、前記ファイヤウォール2を制御するソフトウェア(以下、フィルタ制御アルゴリズムという)が実装されている。この場合、フィルタ制御アルゴリズムは、センサ5により検知される攻撃に応じて、前記フィルタ設定ファイルのデータを適宜書き換えることで、前記ファイヤウォール2を制御するものである。
【016】次に、かかる本実施形態の作動を説明する。前記センサ5は、取得されるIPパケットを前述の如くハードディスクに記憶保持しつつ、所定のサイクルタイム毎に次のような処理を行う。すなわち、センサ5は、ハードディスクから所定の時間間隔分の複数のIPパケットを、送信元IPアドレス及び宛先IPアドレスの値別に分類した上で、図示しないメモリに取り込んで保持する。つまり、所定の時間間隔分の複数のIPパケットのうち、同一の送信元IPアドレスを有するものをひとまとめにすると共に、同一の宛先IPアドレスを有すものをひとまとめにして、メモリに取り込む(以下の説明では、このようにひとまとめにされたIPパケットの組をIPパケット群という)。そして、このメモリに取り込んだ複数のIPパケットに対して、後述する攻撃検知の処理を行った上で、それらのIPパケットをメモリから消去する。この場合、各サイクルタイムにおいて、メモリに取り込むIPパケットは、前回のサイクルタイムでメモリに取り込んだIPパケットのうちの最も古いIPパケットの取得時刻から所定時間を経過した時刻以後に取得されたものである。各サイクルタイムにおけるセンサ5による攻撃検知の処理は、攻撃検知アルゴリズムに従って次のように行われる。センサ5は、まず、前記第1?第6の種類の攻撃のうち、例えば、第1の種類の攻撃、すなわちポートスキャンを検知する処理を行う。この処理では、センサ5は、メモリに前述のように取り込んだIPパケットのうち、送信元IPアドレスが同一で、且つ該送信元IPアドレスがLAN1の外部のものである各IPパケット群に対し、その各IPパケット群に含まれるIPパケットが有する全ての宛先IPアドレスの値(これはLAN1に属するIPアドレスの値である)を抽出する。そして、上記の各IPパケット群で抽出した宛先IPアドレスの各値に対し、そのIPパケット群(同一の送信元IPアドレスのIPパケット群)から、該宛先IPアドレスの値と同一の宛先IPアドレスを有し、且つTCPヘッダあるいはUDPヘッダ内の宛先ポート番号が互いに異なり、且つ、連続した所定時間内(例えば30秒内)に取得されたIPパケットの個数をカウントする。このとき、このカウント数が所定数(例えば20個)に達した場合には、センサ5は、ポートスキャンの攻撃がなされていることを検知する。そして、そのことを示すデータと、この攻撃が検知されたIPパケット群の送信元IPアドレスの値データとを(以下、これらのデータを第1種攻撃検知データという)前記ディレクタ6に与える。このような処理が送信元IPアドレスが同一で、且つ該送信元IPアドレスがLAN1に属さない全てのIPパケット群に対し順次行われる。なお、本実施形態におけるポートスキャンの検知では、ポート番号が互いに異なるIPパケットの個数をカウントするようにしたが、次のような処理によりポートスキャンを検知するようにしてもよい。すなわち、送信元IPアドレスが同一で、且つ、該送信元IPアドレスがLAN1外部のものである各IPパケット群に対し、その各IPパケット群に含まれるIPパケットが有する全ての宛先ポート番号の値を抽出する。さらに、その抽出した宛先ポート番号の各値に対し、該宛先ポート番号を抽出したIPパケット群から、該宛先ポート番号の値と同一の宛先ポート番号を有し、且つ宛先IPアドレスが互いに異なり、且つ、連続した所定時間内に取得されたIPパケットの個数をカウントする。そして、そのカウント数が所定数に達した場合にポートスキャンが行われていることを検知する。一方、センサ5から前述のような第1種攻撃検知データを与えられた前記ディレクタ6は、該第1種攻撃検知データに含まれる送信元IPアドレスと同一の送信元IPアドレスを有するIPパケットがLAN1に進入するのを現在から所定時間(例えば5分間)阻止するように前記ファイヤウォール2のフィルタ設定ファイルを書き換える。このとき、ファイヤウォール2は、上記送信元IPアドレスを有するIPパケットがインターネット3から送信されてくると、そのIPパケットを廃棄し、LAN1への進入を阻止する。これにより、ポートスキャンの攻撃からLAN1が保護される。なお、ディレクタ6は、上記所定時間(5分間)が経過するまでの間に、先に与えられた第1種攻撃検知データと同一の第1種攻撃検知データがセンサ5から再度与えられれば、その時点から上記所定時間(5分間)、該第1種攻撃検知データの送信元IPアドレスからのIPパケットのLAN1への進入を阻止するようにファイヤウォール2を制御する。従って、ポートスキャンの攻撃が続いている限り、その送信元IPアドレスからのIPパケットは、LAN1に進入することはできない。そして、ディレクタ6は、上記所定時間(5分間)が経過するまでに、前記第1種攻撃検知データが与えられなかった場合には、その第1種攻撃検知データの送信元IPアドレスからのIPパケットのLAN1への進入の阻止を解除する。前述のようにポートスキャンの攻撃の検知処理を行ったセンサ5は、次に、第2の種類の攻撃(Syn-flood)の検知処理を行う。
【017】この処理では、センサ5は、宛先IPアドレスが同一であるIPパケット群のうち、LAN1に属する宛先IPアドレスの各IPパケット群に対し、該IPパケット群に含まれるSyn用IPパケットをその取得時刻順に順次抽出する。そして、抽出した各Syn用IPパケットの取得時刻から所定時間(例えば2秒間)内に取得されたSyn用IPパケットが、同じ宛先IPアドレスのIPパケット群内に存在するか否か調べる。そして、そのようなSyn用IPパケットが存在する場合には、先に抽出したSyn用IPパケットを含めてそれらのSyn用IPパケットの個数をカウントする。さらに、そのカウントしたそれぞれのSyn用IPパケットに対して、それぞれに対応するAck用IPパケット(詳しくは該Syn用IPパケットと同一の送信元IPアドレスを有し、且つ、該Syn用IPパケットのTCPヘッダ中のシーケンス番号の次のシーケンス番号を有するAck用IPパケット)であって、且つ該Syn用IPパケットの取得時刻から上記所定時間(2秒間)内に取得されたものが、同じ宛先IPアドレスのIPパケット群内に存在するか否かを調べる。このとき、そのようなAck用IPパケットが存在する場合には、その都度、上記のカウント数を「1」づつ減少させる。そして、最終的に、対応するAck用IPパケットの存在を調べ終わったときに上記のカウント数が所定数(例えば16個)以上である場合には、Syn-floodの攻撃がなされていることを検知し、そのことを示すデータと、この攻撃が検知されたSyn用IPパケットの送信元IPアドレスの値データ及び宛先IPアドレスの値データとを(以下、これらのデータを第2種攻撃検知データという)前記ディレクタ6に与える。このような処理が宛先IPアドレスが同一で、且つ該宛先IPアドレスがLAN1に属する全てのIPパケット群に対して順次行われる。なお、本実施形態では、Syn用IPパケットの個数に基づいてSyn-floodを検知したが、次のような処理によりSyn-floodを検知するようにしてもよい。すなわち、送信元IPアドレスが同一で且つ、該送信元IPアドレスがLAN1に属する各IPパケット群に対し、該IPパケット群に含まれるSyn/Ack用IPパケットをその取得時刻順に順次抽出する。そして、抽出した各Syn/Ack用IPパケットの取得時刻から所定時間(例えば2秒間)内に取得されたSyn/Ack用IPパケットが、同じ送信元IPアドレスのIPパケット群内に存在するか否か調べる。このとき、そのようなSyn/Ack用IPパケットが存在する場合には、先に抽出したSyn/Ack用IPパケットを含めてそれらのSyn/Ack用IPパケットの個数をカウントする。さらに、そのカウントしたそれぞれのSyn/Ack用IPパケットに対して、該Syn/Ack用IPパケットの送信元IPアドレスと同一の宛先IPアドレスのIPパケット群を調べる。このとき、該Syn/Ack用IPパケットに対応するAck用IPパケット(詳しくは該Syn/Ack用IPパケットの送信元IPアドレスと同一の宛先IPアドレスを有し、且つ、該Syn/Ack用IPパケットのTCPヘッダ中のシーケンス番号の次のAck番号を有するAck用IPパケット)であって、且つ該Syn/Ack用IPパケットの取得時刻から上記所定時間(2秒間)内に取得されたものが、当該IPパケット群内に存在するか否かを調べる。そして、そのようなAck用パケットが存在する場合には、その都度、上記のカウント数を「1」づつ減少させる。そして、最終的に、対応するAck用IPパケットの存在を調べ終わったときに上記のカウント数が所定数(例えば16個)以上である場合には、Syn-floodの攻撃がなされていることを検知する。
【018】なお、この場合にセンサ5からディレクタ6に与えるデータは、Syn-floodの攻撃を検知したことを示すデータと、上記Syn/Ack用IPパケットの送信元IPアドレスの値データ及び宛先IPアドレスの値データである。この場合、Syn/Ack用IPパケットの送信元IPアドレスの値データ及び宛先IPアドレスの値データは、それぞれ、先に説明した前記第2種攻撃検知データにおけるSyn用IPパケット宛先IPアドレスの値データ、送信元IPアドレスの値データに相当するものである。一方、センサ5から前述のような第2種攻撃検知データを与えられた前記ディレクタ6は、該第2種攻撃検知データに含まれる送信元IPアドレスと同一の送信元IPアドレスを有するIPパケットがLAN1に進入するのを現在から所定時間(例えば2分間)阻止するように前記ファイヤウォール2のフィルタ設定ファイルを書き換える。同時に、ディレクタ6は、第2種攻撃検知データに含まれる宛先IPアドレスと同一の宛先IPアドレスを有するIPパケットがLAN1に進入するのを現在から所定時間(例えば2秒間)阻止するようにファイヤウォール2のフィルタ設定ファイルを書き換える。このとき、ファイヤウォール2は、上記送信元IPアドレスを有するIPパケット、あるいは上記宛先IPアドレスを有するIPパケットがインターネット3から送信されてくると、そのIPパケットを廃棄し、LAN1への進入を阻止する。これにより、Syn-floodの攻撃からLAN1が保護されると共に、この攻撃の対象とされていたIPアドレスのホストがダウンせずに正常状態に復帰することができる。なお、ポートスキャンの検知時の場合と同様、ディレクタ6は、第2種攻撃検知データにおける送信元IPアドレスを有するIPパケットの排除に係る上記所定時間(2分間)が経過するまでの間に、先に与えられた第2種攻撃検知データと同一の第2種攻撃検知データがセンサ5から再度与えられれば、その時点から上記所定時間(2分間)、該第2種攻撃検知データの送信元IPアドレスからのIPパケットのLAN1への進入を阻止するようにファイヤウォール2を制御する。このことは、第2種攻撃検知データにおける宛先IPアドレスを有するIPパケットの排除についても同様である。従って、Syn-floodの攻撃が続いている限り、その攻撃に係る送信元IPアドレスからのIPパケット、あるいはその攻撃に係る宛先IPアドレスへのIPパケットは、LAN1に進入することはできない。そして、ディレクタ6は、第2種攻撃検知データにおける送信元IPアドレスを有するIPパケットの排除と、第2種攻撃検知データにおける宛先IPアドレスを有するIPパケットの排除とのいずれについても、それぞれに対応する上記所定時間(2分間、2秒間)が経過するまでに、前記第2種攻撃検知データが与えられなかった場合には、その第2種攻撃検知データの送信元IPアドレスを有するIPパケット、あるいは、第2種攻撃検知データの宛先IPアドレスを有するIPパケットのLAN1への進入の阻止を解除する。前述のようにSyn-floodの攻撃の検知処理を行ったセンサ5は、次に、第3の種類の攻撃(Teardrop)の検知処理を行う。この処理では、センサ5は、宛先IPアドレスが同一であるIPパケット群のうち、LAN1に属する宛先IPアドレスの各IPパケット群に対し、該IPパケット群に含まれる分轄されたIPパケット(以下、単に、分轄パケットという)を順次抽出する。この場合、IPでは、分轄パケットは、そのIPヘッダ中の特定のフラグが「1」となっているか、もしくは、フラグメントオフセットといわれるデータが「0」より大きな値となっている。これにより、分轄パケットを見出すことができる。そして、センサ5は、抽出した各分轄パケットの取得時刻から所定時間(例えば5分間)内に取得され、且つ、該分轄パケットとIPヘッダ中のIP識別番号及びフラグメントオフセットの値がそれぞれ同一であるもの(抽出した分轄パケットと同一の分轄パケット)が、該分轄パケットと同じIPパケット群内にあるかを調べる。このとき、そのような分轄パケットがある場合には、先に抽出した分轄パケットを含めてそれらの分轄パケットの個数をカウントする。そして、このカウント数が所定数(例えば80個)以上である場合には、Teardropの攻撃がなされていることを検知し、そのことを示すデータと、この攻撃が検知された分轄パケットの送信元IPアドレスの値データ及び宛先IPアドレスの値データとを(以下、これらのデータを第3種攻撃検知データという)前記ディレクタ6に与える。このような処理が宛先IPアドレスが同一で、且つ該宛先IPアドレスがLAN1に属する全てのIPパケット群に対して順次行われる。一方、センサ5から前述のような第3種攻撃検知データを与えられた前記ディレクタ6は、前記Syn-floodが検知された場合と全く同じやり方で、ファイヤーウォール制御する。すなわち、第3種攻撃検知データに含まれる送信元IPアドレスと同一の送信元IPアドレスを有するIPパケットがLAN1に進入するのを現在から所定時間(2分間)阻止するように前記ファイヤウォール2のフィルタ設定ファイルを書き換える。同時に、第3種攻撃検知データに含まれる宛先IPアドレスと同一の宛先IPアドレスを有するIPパケットがLAN1に進入するのを現在から所定時間(2秒間)阻止するようにファイヤウォール2のフィルタ設定ファイルを書き換える。これにより、Teardropの攻撃からLAN1が保護されると共に、この攻撃の対象とされていたIPアドレスのホストがダウンせずに正常状態に復帰することができる。
【019】上記のようにTeardropの攻撃の検知処理を行ったセンサ5は、次に、第4の種類の攻撃(Land)の検知処理を行う。この処理では、センサ5は、宛先IPアドレスが同一であるIPパケット群のうち、LAN1に属する宛先IPアドレスの各IPパケット群から、該IPパケット群の宛先IPアドレスと同じ値の送信元IPアドレスを有するIPパケットを抽出する。さらに、その抽出したIPパケットと同じ宛先IPアドレスのIPパケット群の中から、該IPパケットと同じ送信元IPアドレスを有し、且つ該IPパケットの取得時刻から所定時間(例えば2分間)内に取得されたIPパケットが存在するか否かを調べる。そして、そのようなIPパケットが存在する場合には、先に抽出したIPパケットを含めてそれらのIPパケットの該IPパケットの個数をカウントする。このとき、該カウント数が所定数(例えば6個)以上である場合には、Landの攻撃がなされていることを検知し、そのことを示すデータと、この攻撃が検知されたIPパケットの送信元IPアドレスの値データを(以下、これらのデータを第4種攻撃検知データという)前記ディレクタ6に与える。このような処理が宛先IPアドレスが同一で、且つ該宛先IPアドレスがLAN1に属する全てのIPパケット群に対して順次行われる。一方、センサ5から前述のような第4種攻撃検知データを与えられた前記ディレクタ6は、第4種攻撃検知データに含まれる送信元IPアドレスと同一の送信元IPアドレスを有し、且つ、該送信元IPアドレスと同一の宛先IPアドレスを有するIPパケットがLAN1に進入するのを現在から所定時間(例えば3分間)阻止するように前記ファイヤウォール2のフィルタ設定ファイルを書き換える。このとき、ファイヤウォール2は、上記送信元IPアドレス及び宛先IPアドレスを有するIPパケットがインターネット3から送信されてくると、そのIPパケットを廃棄し、LAN1への進入を阻止する。これにより、Landの攻撃からLAN1が保護される。この場合、ポートスキャンの検知時の場合と同様、ディレクタ6は、第4種攻撃検知データにおける送信元IPアドレスと同一の送信元IPアドレス及び宛先IPアドレスを有するIPパケットの排除に係る上記所定時間(6分間)が経過するまでの間に、先に与えられた第4種攻撃検知データと同一の第4種攻撃検知データがセンサ5から再度与えられれば、その時点から上記所定時間(6分間)、該第4種攻撃検知データの送信元IPアドレス及び宛先IPアドレスを有するIPパケットのLAN1への進入を阻止するようにファイヤウォール2を制御する。従って、Landの攻撃が続いている限り、その攻撃に係る送信元IPアドレス及び宛先IPアドレスを有するIPパケットは、LAN1に進入することはできない。そして、ディレクタ6は、上記所定時間(6分間)が経過するまでに、前記第4種攻撃検知データが与えられなかった場合には、その第4種攻撃検知データの送信元IPアドレスと同一の送信元IPアドレス及び宛先IPアドレス有するIPパケットのLAN1への進入の阻止を解除する。なお、本実施形態では、第4種攻撃検知データとして、Landの攻撃に係るIPパケットの送信元IPアドレスの値データをディレクタ6に与えるようにしたが、Landの攻撃に係るIPパケットの送信元IPアドレスと、宛先IPアドレスとは同じ値である。従って、その送信元IPアドレスの値データの代わりに、宛先IPアドレスの値をディレクタ6に与えてもよいことはもちろんである。前述のように、Landの攻撃の検知処理を行ったセンサ5は、次に第5の種類の攻撃(パスワードの獲得)を検知する処理を行う。この処理では、センサ5は、宛先IPアドレスが同一であるIPパケット群のうち、LAN1に属する宛先IPアドレスの各IPパケット群に対し、LAN1のホストのユーザ名データ及びパスワードデータを含むIPパケットを抽出する。それらの抽出したIPパケットの中から、ユーザ名データが同一で、且つ、パスワードデータが互いに異なり、且つ、連続した所定時間(例えば2分間)内に取得されたIPパケットの個数をカウントする。このとき、このカウント数が所定数(例えば20個)以上であれば、クラッカーがパスワードを獲得するための第5の種類の攻撃がなされていることを検知し、そのことを示すデータと、この攻撃が検知されたIPパケットの送信元IPアドレスの値データ及び宛先IPアドレスの値データとを(以下、これらのデータを第5種攻撃検知データという)前記ディレクタ6に与える。このような処理が宛先IPアドレスが同一で、且つ該宛先IPアドレスがLAN1に属する全てのIPパケット群に対して順次行われる。一方、センサ5から前述のような第5種攻撃検知データを与えられた前記ディレクタ6は、該第5種攻撃検知データの送信元IPアドレス及び宛先IPアドレスとそれぞれ同一の送信元IPアドレス及び宛先IPアドレスを有するIPパケットがLAN1に進入するのを現在から所定時間(例えば1時間)阻止するように前記ファイヤウォール2のフィルタ設定ファイルを書き換える。このとき、ファイヤウォール2は、上記送信元IPアドレス及びIPアドレスを有するIPパケットがインターネット3から送信されてくると、そのIPパケットを廃棄し、LAN1への進入を阻止する。これにより、パスワードの獲得を狙った第5の種類の攻撃からLAN1が保護される。
【020】なお、ポートスキャンの検知時の場合と同様、ディレクタ6は、第5種攻撃検知データにおける送信元IPアドレス及び宛先IPアドレスを有するIPパケットの排除に係る上記所定時間(1時間)が経過するまでの間に、先に与えられた第5種攻撃検知データと同一の第5種攻撃検知データがセンサ5から再度与えられれば、その時点から上記所定時間(1時間)、該第5種攻撃検知データの送信元IPアドレス及び宛先IPアドレスを有するIPパケットのLAN1への進入を阻止するようにファイヤウォール2を制御する。従って、第5の種類の攻撃が続いている限り、その攻撃に係る送信元IPアドレス及び宛先IPアドレスを有するIPパケットは、LAN1に進入することはできない。そして、ディレクタ6は、上記所定時間(1時間)が経過するまでに、前記第5種攻撃検知データが与えられなかった場合には、その第5種攻撃検知データの送信元IPアドレス及び宛先IPアドレスを有するIPパケットのLAN1への進入の阻止を解除する。前述のように、第5の種類の攻撃の検知処理を行ったセンサ5は、次に第6の種類の攻撃(セキュリティホールの攻撃)を検知する処理を行う。この処理では、センサ5は、宛先IPアドレスが同一であるIPパケット群のうち、LAN1に属する宛先IPアドレスの各IPパケット群に対し、例えばプリンタの論理名である「Ipr」を有し、且つ、データサイズが128文字以上であるIPパケットを検索する。そして、そのようなIPパケットが見つかった場合には、LAN1のホストのスルーホールを攻撃する第6の種類の攻撃がなされていることを検知し、そのことを示すデータと、この攻撃が検知されたIPパケットの送信元IPアドレスの値データ及び宛先IPアドレスの値データとを(以下、これらのデータを第6種攻撃検知データという)前記ディレクタ6に与える。一方、センサ5から前述のような第6種攻撃検知データを与えられた前記ディレクタ6は、該第6種攻撃検知データの送信元IPアドレス及び宛先IPアドレスとそれぞれ同一の送信元IPアドレス及び宛先IPアドレスを有するIPパケットがLAN1に進入するのを現在から所定時間(例えば4時間)阻止するように前記ファイヤウォール2のフィルタ設定ファイルを書き換える。このとき、ファイヤウォール2は、上記送信元IPアドレス及びIPアドレスを有するIPパケットがインターネット3から送信されてくると、そのIPパケットを廃棄し、LAN1への進入を阻止する。これにより、LAN1のホストのスルーホールを攻撃する第6の種類の攻撃からLAN1が保護される。なお、ポートスキャンの検知時の場合と同様、ディレクタ6は、第6種攻撃検知データにおける送信元IPアドレス及び宛先IPアドレスを有するIPパケットの排除に係る上記所定時間(4時間)が経過するまでの間に、先に与えられた第6種攻撃検知データと同一の第5種攻撃検知データがセンサ5から再度与えられれば、その時点から上記所定時間(4時間)、該第6種攻撃検知データの送信元IPアドレス及び宛先IPアドレスを有するIPパケットのLAN1への進入を阻止するようにファイヤウォール2を制御する。従って、第6の種類の攻撃が続いている限り、その攻撃に係る送信元IPアドレス及び宛先IPアドレスを有するIPパケットは、LAN1に進入することはできない。そして、ディレクタ6は、上記所定時間(4時間)が経過するまでに、前記第6種攻撃検知データが与えられなかった場合には、その第5種攻撃検知データの送信元IPアドレス及び宛先IPアドレスを有するIPパケットIPパケットのLAN1への進入の阻止を解除する。以上説明したようにして、本実施形態のシステムによれば、センサ5や、ディレクタ6を導入するだけで、クラッカーによるLAN1への各種の攻撃をリアルタイムで検知しつつ、検知された攻撃からLAN1を保護する適正な処置を自動的に迅速に施すことができる。このため、ネットワーク管理者等は、クラッカーによる攻撃を考慮してLAN1を構築したり、頻繁にログファイルを参照したりする労力が大幅に削減され、ひいては、LAN1の維持管理のコストを低減することができる。また、クラッカーによる各種攻撃をリアルタイムで検知できることから、攻撃が検知されない状況では、LAN1と外部との通信を格別に制限する必要性が少なくなる。このため、通常時は、LAN1の通信の自由度を高めることができ、インターネット3上の情報資源を有用に活用することができる。なお、以上説明した実施形態では、LAN1の入り口にファイヤウォール3を設けておき、クラッカーによる攻撃が検知されてとき、該ファイヤウォール3を制御することで、検知された攻撃を自動的に排除する処置を行った。但し、クラッカーによる攻撃が検知されたときに、単に、その旨の報知をネットワーク管理者や、専門の警備管理者等に行うようにしてもよい。この場合には、例えば前記ディレクタ6あるいはセンサ5を公衆回線や専用回線を介してネットワーク管理者や、警備管理者等のホストに接続しておく。そして、攻撃が検知された場合に、前述した第1乃至第6種攻撃検知データのような情報をネットワーク管理者や警備管理者等のホストにディレクタ6あるいはセンサ5から送信する。このようにしたときには、検知された攻撃からLAN1を保護するための具体的な処置は、ネットワーク管理者等が直接的に行うこととなる。しかるに、この場合であっても、ネットワーク管理者等は、上記の報知を受けたときに処置を施せばよく、しかも攻撃の種類は検知されるので、攻撃に対する処置を比較的容易に施すことができる。また、前記実施形態では、第1乃至第6の種類の攻撃を順番に検知するものを示したが、それらの攻撃の検知処理を並列的に行うようにすることも可能である。また、前記実施形態では、前述したDoS(Denial of Service)に属する攻撃のうち、Syn-flood、Teardrop、Landを検知するものを示した。但し、この他にも、DDoS(distributed Denial of Service)SmurfやFloodieといわれるような攻撃を検知するようにすることも可能である。」(8頁14欄?13頁24欄)

上記引用例の記載及び図面ならびにこの分野における技術常識を考慮すると、上記摘記事項イ.、ハ.の【015】の記載、及び図1によれば、システムは、LAN(1)及びインターネット(3)を介し通信するように構成されるファイヤウォール(2)、センサ(5)、及びディレクタ(6)を備えている。
また、上記摘記事項ハ.の【016】における「第1の種類の攻撃、すなわちポートスキャンを検知する処理を行う。この処理では、センサ5は、メモリに前述のように取り込んだIPパケットのうち、送信元IPアドレスが同一で、且つ該送信元IPアドレスがLAN1の外部のものである各IPパケット群に対し、その各IPパケット群に含まれるIPパケットが有する全ての宛先IPアドレスの値(これはLAN1に属するIPアドレスの値である)を抽出する。そして、上記の各IPパケット群で抽出した宛先IPアドレスの各値に対し、そのIPパケット群(同一の送信元IPアドレスのIPパケット群)から、該宛先IPアドレスの値と同一の宛先IPアドレスを有し、且つTCPヘッダあるいはUDPヘッダ内の宛先ポート番号が互いに異なり、且つ、連続した所定時間内(例えば30秒内)に取得されたIPパケットの個数をカウントする。このとき、このカウント数が所定数(例えば20個)に達した場合には、センサ5は、ポートスキャンの攻撃がなされていることを検知する。」との記載によれば、「そのIPパケット群(同一の送信元IPアドレスのIPパケット群)から、該宛先IPアドレスの値と同一の宛先IPアドレスを有し、且つTCPヘッダあるいはUDPヘッダ内の宛先ポート番号が互いに異なり、且つ、連続した所定時間内(例えば30秒内)に取得されたIPパケットの個数をカウントする。このとき、このカウント数が所定数(例えば20個)に達した場合」に、その様なIPパケット群のIPパケットを特定するための検知規則は、これを第1の種類の攻撃(ポートスキャン)ルールということができる。
また、上記摘記事項ハ.の【017】における「宛先IPアドレスが同一であるIPパケット群のうち、LAN1に属する宛先IPアドレスの各IPパケット群に対し、該IPパケット群に含まれるSyn用IPパケットをその取得時刻順に順次抽出する。そして、抽出した各Syn用IPパケットの取得時刻から所定時間(例えば2秒間)内に取得されたSyn用IPパケットが、同じ宛先IPアドレスのIPパケット群内に存在するか否か調べる。そして、そのようなSyn用IPパケットが存在する場合には、先に抽出したSyn用IPパケットを含めてそれらのSyn用IPパケットの個数をカウントする。さらに、そのカウントしたそれぞれのSyn用IPパケットに対して、それぞれに対応するAck用IPパケット(詳しくは該Syn用IPパケットと同一の送信元IPアドレスを有し、且つ、該Syn用IPパケットのTCPヘッダ中のシーケンス番号の次のシーケンス番号を有するAck用IPパケット)であって、且つ該Syn用IPパケットの取得時刻から上記所定時間(2秒間)内に取得されたものが、同じ宛先IPアドレスのIPパケット群内に存在するか否かを調べる。このとき、そのようなAck用IPパケットが存在する場合には、その都度、上記のカウント数を「1」づつ減少させる。そして、最終的に、対応するAck用IPパケットの存在を調べ終わったときに上記のカウント数が所定数(例えば16個)以上である場合には、Syn-floodの攻撃がなされていることを検知し」との記載によれば、その様なIPパケット群のIPパケットを特定するための検知規則は、これを第2の種類の攻撃(Syn-flood)ルールということができる。
また、上記摘記事項ハ.の【018】における「宛先IPアドレスが同一であるIPパケット群のうち、LAN1に属する宛先IPアドレスの各IPパケット群に対し、該IPパケット群に含まれる分轄されたIPパケット(以下、単に、分轄パケットという)を順次抽出する。この場合、IPでは、分轄パケットは、そのIPヘッダ中の特定のフラグが「1」となっているか、もしくは、フラグメントオフセットといわれるデータが「0」より大きな値となっている。これにより、分轄パケットを見出すことができる。そして、センサ5は、抽出した各分轄パケットの取得時刻から所定時間(例えば5分間)内に取得され、且つ、該分轄パケットとIPヘッダ中のIP識別番号及びフラグメントオフセットの値がそれぞれ同一であるもの(抽出した分轄パケットと同一の分轄パケット)が、該分轄パケットと同じIPパケット群内にあるかを調べる。このとき、そのような分轄パケットがある場合には、先に抽出した分轄パケットを含めてそれらの分轄パケットの個数をカウントする。そして、このカウント数が所定数(例えば80個)以上である場合には、Teardropの攻撃がなされていることを検知し」との記載によれば、その様なIPパケット群のIPパケットを特定する検知規則は、これを第3の種類の攻撃(Teardrop)ルールということができる。
また、上記摘記事項ハ.の【019】における「宛先IPアドレスが同一であるIPパケット群のうち、LAN1に属する宛先IPアドレスの各IPパケット群から、該IPパケット群の宛先IPアドレスと同じ値の送信元IPアドレスを有するIPパケットを抽出する。さらに、その抽出したIPパケットと同じ宛先IPアドレスのIPパケット群の中から、該IPパケットと同じ送信元IPアドレスを有し、且つ該IPパケットの取得時刻から所定時間(例えば2分間)内に取得されたIPパケットが存在するか否かを調べる。そして、そのようなIPパケットが存在する場合には、先に抽出したIPパケットを含めてそれらのIPパケットの該IPパケットの個数をカウントする。このとき、該カウント数が所定数(例えば6個)以上である場合には、Landの攻撃がなされていることを検知し」との記載によれば、その様なIPパケット群のIPパケットを特定する検知規則は、これを第4の種類の攻撃(Land)ルールということができる。
また、上記摘記事項ハ.の【019】における「宛先IPアドレスが同一であるIPパケット群のうち、LAN1に属する宛先IPアドレスの各IPパケット群に対し、LAN1のホストのユーザ名データ及びパスワードデータを含むIPパケットを抽出する。それらの抽出したIPパケットの中から、ユーザ名データが同一で、且つ、パスワードデータが互いに異なり、且つ、連続した所定時間(例えば2分間)内に取得されたIPパケットの個数をカウントする。このとき、このカウント数が所定数(例えば20個)以上であれば、クラッカーがパスワードを獲得するための第5の種類の攻撃がなされていることを検知し」との記載によれば、その様なIPパケット群のIPパケットを特定するための検知規則は、これを第5の種類の攻撃(パスワードを獲得)ルールということができる。
また、上記摘記事項ハ.の【020】における「宛先IPアドレスが同一であるIPパケット群のうち、LAN1に属する宛先IPアドレスの各IPパケット群に対し、例えばプリンタの論理名である「Ipr」を有し、且つ、データサイズが128文字以上であるIPパケットを検索する。そして、そのようなIPパケットが見つかった場合には、LAN1のホストのスルーホールを攻撃する第6の種類の攻撃がなされていることを検知し」との記載によれば、その様なIPパケット群のIPパケットを特定するための検知規則は、これを第6の種類の攻撃(セキュリティホールの攻撃)ルールということができる。
また、上記摘記事項ロ.の【013】における「前述のようにクラッカーによる攻撃を検知する攻撃検知手段を備えた本発明では、前記処理手段が行う処理は、例えば前記攻撃が検知された旨を表す報知出力を発生する処理である。この報知出力の発生により、ネットワーク管理者やあるいは外部の専門技術者等が、検知された攻撃を排除するための処置を施すことが可能となる。」との記載によれば、システムは、前述の第1の種類の攻撃(ポートスキャン)乃至第6の種類の攻撃(セキュリティホールの攻撃)の検知を示すように、ネットワーク管理者が識別可能な報知出力を発生している。ここで、前述の第1の種類の攻撃(ポートスキャン)乃至第6の種類の攻撃(セキュリティホールの攻撃)が検知されるためには、IPパケット群の前述のIPパケットが所定数を超えることが必要である。
また、前述の第1の種類の攻撃(ポートスキャン)ルール乃至第6の種類の攻撃(セキュリティホールの攻撃)ルールは、これらを纏めて、ルールセットということができる。
したがって、引用例には以下の発明(以下、「引用発明」という。)が記載されている。

「LAN(1)及びインターネット(3)を介し通信するように構成されるシステムであって、
IPパケットを特定するためのルールセットであって、ルールセットを含むセンサ(5)と、
IPパケット群の前記IPパケットが所定数を超えたことを示すようネットワーク管理者が識別可能な報知出力と、
を有するシステム。」

第4 対比
本願発明と引用発明とを対比する。
a.引用発明の「LAN(1)及びインターネット(3)」は、本願発明の「ネットワーク」に相当する。
b.引用発明の「IPパケット」と、本願発明の「不適切な動作に関係するパケット」とは、いずれも、「特定のパケット」という点で一致する。
c.引用発明の「センサ(5)」と、本願発明の「ファイアウォール」とは、いずれも、「処理手段」という点で一致する。
d.引用発明の「IPパケット群」と、本願発明の「前記不適切な動作に関係するパケットのグループ」とは、上記b.の対比を考慮すれば、いずれも、「特定のパケットの集合」という点で一致する。
e.引用発明の「前記IPパケットが所定数」と、本願発明の「不適切さの閾値レベル」とは、いずれも、「特定の基準値」という点で一致する。
f.引用発明の「ネットワーク管理者が識別可能な報知出力」は、ネットワーク管理者は、ユーザに含まれ、また、報知出力は、標識(indicator)の一種であるから、「ユーザ識別可能な標識」ということができる。
g.引用発明の「システム」は、「装置」である。

したがって、本願発明と引用発明は、以下の点で一致ないし相違する。

<一致点>
「ネットワークを介し通信するよう構成される装置であって、
特定のパケットを特定するためのルールセットであって、ルールセットを含む処理手段と、
特定のパケットの集合が特定の基準値を超えたことを示すよう少なくとも1つのユーザ識別可能な標識と、
を有する装置。」

<相違点1>
「特定のパケット」に関し、
本願発明は、「不適切な動作に関係するパケット」であるのに対し、引用発明は、「IPパケット」である点。

<相違点2>
「ルールセット」に関し、
本願発明は、「該ルールセットの各ルールが不適切さのレベルを示す複数のクラスに分割される」ものであるのに対し、引用発明は、「該ルールセットの各ルールが不適切さのレベルを示す複数のクラスに分割される」ものであるか不明な点。

<相違点3>
「処理手段」に関し、
本願発明は、「ファイアウォール」であるのに対し、引用発明は、「センサ(5)」である点。

<相違点4>
「標識」に関し、
本願発明は、「前記ファイアウォールに関連付けされ」ているのに対し、引用発明は、「前記ファイアウォールに関連付けされ」ていない点。

<相違点5>
「特定のパケットの集合」に関し、
本願発明は、「前記不適切な動作に関係するパケットのグループ」であるのに対し、引用発明は、「IPパケット群」である点。

<相違点6>
「特定の基準値」に関し、
本願発明は、「前記ルールセットの複数のクラスの少なくとも1つのクラスに係る不適切さの閾値レベル」であるのに対し、引用発明は、「前記IPパケットが所定数」である点。

<相違点7>
「標識」に関し、
本願発明は、「同時的に」示すよう「トリガーされる」少なくとも1つのユーザ識別可能な標識であるのに対し、引用発明は、「ネットワーク管理者が識別可能な報知出力」(少なくとも1つのユーザ識別可能な標識)であるものの、「同時的に」示すよう「トリガーされる」ものか不明な点。

第5 判断
そこで、まず、上記相違点1について検討する。
引用発明は、「IPパケット」であるところ、これを特定するための「ルールセット」は、第1の種類の攻撃(ポートスキャン)ルール乃至第6の種類の攻撃(セキュリティホールの攻撃)ルールであり、また、第1の種類の攻撃(ポートスキャン)乃至第6の種類の攻撃(セキュリティホールの攻撃)は、不適切な動作(activity)ということができるから、引用発明の「IPパケット」を、本願発明のように「不適切な動作に関係するパケット」ということができることは当然である。

次に、上記相違点2について検討する。
引用発明の「ルールセット」は、第1の種類の攻撃(ポートスキャン)ルール乃至第6の種類の攻撃(セキュリティホールの攻撃)ルールであるところ、上記引用例の上記摘記事項ロ.の【011】における「クラッカーによる第1の種類の攻撃として、一般にポートスキャン(Port Scan)と言われる種類の攻撃がある。この攻撃は、ネットワークに直接的な損害を及ぼすものではないが、その前段階の攻撃として用いられることが多い。」との記載、及び【013】における「前述したSyn-flood、Teardrop、Landといわれる攻撃は、一般に、DoS(Denial of Service)といわれる種類の攻撃に属するものである。」との記載によれば、第1の種類の攻撃(ポートスキャン)ルール乃至第6の種類の攻撃(セキュリティホールの攻撃)ルールは、前段階の攻撃(第1レベル)、DoS攻撃(第2レベル)、及びその他の攻撃(第3レベル)に分けられ、それぞれが不適切さのレベルを示す複数のクラスということができるから、引用発明の「ルールセット」を、本願発明のように「該ルールセットの各ルールが不適切さのレベルを示す複数のクラスに分割される」ものということができることは当然である。
また、通信の不適切な動作(activity)において、不適切さのレベルを示す複数のクラスに分割することは、例えば、楠 正宏、あなたのPCは狙われているクラック防御入門前編、DOS/V magazine 第8巻 第1号、ソフトバンク株式会社、1999年1月1日、p.266-277(268頁、図1)に開示されるように周知であるから、引用発明の「ルールセット」に周知技術を付加して、本願発明のように「該ルールセットの各ルールが不適切さのレベルを示す複数のクラスに分割される」ものとすることは当業者が容易に成し得ることであるともいえる。

次に、上記相違点3について検討する。
引用発明は、「センサ(5)」であるところ、上記引用例の図1には、センサ(5)に加えて、ファイヤウォール(2)、及びディレクタ(6)が示されており、これらを一体として一つのファイアウォール(不正侵入が行われないようにする防火壁)の技術概念としてとらえることができるから、引用発明の「センサ(5)」を、本願発明のように「ファイアウォール」と称することができることは当然である。

次に、上記相違点4について検討する。
引用発明は、「ネットワーク管理者が識別可能な報知出力」(少なくとも1つのユーザ識別可能な標識)であるところ、第1の種類の攻撃(ポートスキャン)乃至第6の種類の攻撃(セキュリティホールの攻撃)の検知を示すように、ネットワーク管理者が識別可能な報知出力を発生しているものであり、また、上記相違点3についての検討を踏まえると、引用発明の「報知出力」(標識)に関し、本願発明のように「前記ファイアウォールに関連付けする」ことは当業者が容易に成し得ることである。

次に、上記相違点5について検討する。
引用発明は、「IPパケット群」であるところ、IPパケットは、IPパケット群(グループ)を構成しており、また、上記相違点1についての検討を考慮すれば、引用発明の「IPパケット群」を、本願発明のように「前記不適切な動作に関係するパケットのグループ」とすることは当業者が容易に成し得ることである。

次に、上記相違点6について検討する。
引用発明は、「前記IPパケットが所定数」であるところ、「所定数」は、第1の種類の攻撃(ポートスキャン)ルール乃至第6の種類の攻撃(セキュリティホールの攻撃)ルールにおける検知基準の境界値(閾値)ということができ、また、上記相違点2についての検討を考慮すれば、引用発明の「前記IPパケットが所定数」を、本願発明のように「前記ルールセットの複数のクラスの少なくとも1つのクラスに係る不適切さの閾値レベル」とすることは当業者が容易に成し得ることである。

次に、上記相違点7について検討する。
引用発明は、「ネットワーク管理者が識別可能な報知出力」(少なくとも1つのユーザ識別可能な標識)であるところ、上記引用例の上記摘記事項ロ.の【013】における「前述のようにクラッカーによる攻撃を検知する攻撃検知手段を備えた本発明では、前記処理手段が行う処理は、例えば前記攻撃が検知された旨を表す報知出力を発生する処理である。この報知出力の発生により、ネットワーク管理者やあるいは外部の専門技術者等が、検知された攻撃を排除するための処置を施すことが可能となる。」との記載によれば、報知出力(標識)は、攻撃の検知後、速やかにするべきものであるから、引用発明の「報知出力」(標識)を、本願発明のように「『同時的に』示すよう『トリガーされる』少なくとも1つのユーザ識別可能な標識」とすることは当業者が容易に成し得ることである。

そして、本願発明の作用効果も、引用発明及び周知技術から当業者が容易に予測できる範囲のものである。

第6 むすび
以上のとおり、本願発明は、引用発明及び周知技術に基いて当業者が容易に発明をすることができたものと認められるから、特許法第29条第2項の規定により特許を受けることができない。

よって、結論のとおり審決する。

 
審理終結日 2011-06-09 
結審通知日 2011-06-14 
審決日 2011-06-28 
出願番号 特願2004-514270(P2004-514270)
審決分類 P 1 8・ 121- Z (H04L)
最終処分 不成立  
前審関与審査官 保田 亨介矢頭 尚之  
特許庁審判長 藤井 浩
特許庁審判官 萩原 義則
宮田 繁仁
発明の名称 データトラフィックフィルタリング標識  
代理人 大貫 進介  
代理人 伊東 忠彦  
代理人 伊東 忠重  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ