JP2003348113A - Switch and lan - Google Patents
Switch and lanInfo
- Publication number
- JP2003348113A JP2003348113A JP2002147651A JP2002147651A JP2003348113A JP 2003348113 A JP2003348113 A JP 2003348113A JP 2002147651 A JP2002147651 A JP 2002147651A JP 2002147651 A JP2002147651 A JP 2002147651A JP 2003348113 A JP2003348113 A JP 2003348113A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- fraudulent
- illegal
- virus
- pattern
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、不正パケット(コ
ンピュータウィルス等)の、局所ネットワーク(LA
N)内から広域ネットワーク(WAN)への送出や、L
AN内のコンピュータ間での受け渡しを検出すること
で、当該不正パケットの拡散拡大等を防止することがで
きるスイッチおよび局所ネットワークに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a local network (LA) for illegal packets (such as computer viruses)
N) Transmission from inside to wide area network (WAN), L
The present invention relates to a switch and a local network which can prevent the spread and the like of an illegal packet by detecting the transfer between computers in an AN.
【0002】[0002]
【従来の技術】いわゆるワクチン・ソフトをインターネ
ットに接続されたLAN内の端末コンピュータやプロク
シサーバ(以下、「端末コンピュータ等」と言う)に導
入することで、LAN内の端末コンピュータ等をウィル
スの感染から防ぐことができ、また、ウィルスに感染し
たファイルを修復することができる。2. Description of the Related Art By introducing so-called vaccine software to a terminal computer or a proxy server (hereinafter referred to as "terminal computer, etc.") in a LAN connected to the Internet, a terminal computer in the LAN is infected with a virus. And can repair infected files.
【0003】ところが、上記のようなウィルス対策を、
端末コンピュータ等において個別に行う場合には、各端
末コンピュータ等のすべてに、ワクチン・ソフトを導入
しなければならない。しかも、新種ウィルスに対して
は、ワクチン・ソフトをそれぞれ頻繁にバージョンアッ
プせねばならない。[0003] However, anti-virus measures as described above,
In the case of performing individually on terminal computers, etc., vaccine software must be introduced into all terminal computers, etc. In addition, for new viruses, vaccine software must be upgraded frequently.
【0004】特に、端末コンピュータ側でウィルスの監
視を行う場合には、新種ウィルスのパターンの更新やウ
ィルスチェックの時期設定は、端末コンピュータのユー
ザに任されるため、LANにおける完全なウィルス対策
を実現することは容易ではない。[0004] In particular, when monitoring a virus on the terminal computer side, complete updating of the pattern of new viruses and time setting of the virus check are left to the user of the terminal computer, so that a complete virus countermeasure in the LAN is realized. It is not easy to do.
【0005】このために、LAN側のインターネットと
の接続経路中にウィルスチェックサーバを配置し、ウィ
ルスの侵入を未然に防ぐこともと行われている。この種
のウィルスチェックサーバは、通過するパケットのデー
タをバッファに取り込み、予めレジスタ等にセットされ
ているウィルスパターンと比較し、ウィルスチェックを
行う。これにより、原理上は各端末コンピュータをウィ
ルスの感染から防ぐことができる。[0005] For this purpose, a virus check server is arranged in a connection path with the Internet on the LAN side to prevent the invasion of viruses. This type of virus check server captures data of passing packets into a buffer, compares the data with a virus pattern set in a register or the like in advance, and performs a virus check. Thereby, in principle, each terminal computer can be prevented from being infected by a virus.
【0006】[0006]
【発明が解決しようとする課題】しかし、実際には、ウ
ィルスチェックサーバにトラフィックが集中した場合に
は、ウィルスチェックの取りこぼしが生じることがあ
る。また、ウィルスチェックサーバでは、LAN内での
コンピュータ間同士でのウィルスの感染を防止すること
ができない。However, in practice, when traffic concentrates on the virus check server, the virus check may be missed. Further, the virus check server cannot prevent virus infection between computers in the LAN.
【0007】本発明の目的は、コンピュータウィルス等
の不正パケットのLANからWANへの送出、またはL
AN内のコンピュータ間での不正パケットの受け渡しを
検出することで、当該不正パケットの拡散を防止するこ
とができるスイッチおよびLANを提供することにあ
る。An object of the present invention is to send an illegal packet such as a computer virus from a LAN to a WAN,
An object of the present invention is to provide a switch and a LAN capable of detecting the transfer of an illegal packet between computers in an AN and preventing the illegal packet from spreading.
【0008】[0008]
【課題を解決するための手段】本発明のスイッチは、L
AN内の少なくとも1つのコンピュータをWAN接続装
置に接続し、または当該LAN内の所定のコンピュータ
間を接続するものであって、前記コンピュータからWA
N接続装置に送出されるパケット、および/または前記
コンピュータ間で受け渡しされるパケットからコンピュ
ータウィルスにかかる不正パケットを検出する不正パタ
ーン検出手段、および、前記不正パターン検出手段が前
記不正パケットを検出したときに、ポートの遮断を行う
ポート遮断手段(ポートからのコンピュータの遮断、ポ
ート自体を使用不可とする処理を含む)、前記不正パケ
ットを破棄する不正パケット破棄手段、前記不正パケッ
トの検出を管理コンピュータ、送信元コンピュータ、あ
て先コンピュータの少なくとも1つに通知する不正パケ
ット検出通知手段の少なくとも一つの手段を備えてなる
ことを特徴とする。According to the present invention, there is provided a switch comprising:
At least one computer in the AN is connected to a WAN connection device, or predetermined computers in the LAN are connected to each other.
A fraudulent pattern detecting means for detecting a fraudulent packet related to a computer virus from a packet transmitted to the N connection device and / or a packet passed between the computers, and when the fraudulent pattern detecting means detects the fraudulent packet A port blocking unit for blocking a port (including a process of blocking a computer from a port and a process of disabling a port itself), a fraudulent packet discarding unit for discarding the fraudulent packet, a management computer for detecting the fraudulent packet, It is characterized by comprising at least one means of an unauthorized packet detection notifying means for notifying at least one of a transmission source computer and a destination computer.
【0009】本発明では、スイッチを経由して転送され
るパケットに含まれる不正パターンをスイッチが検出す
るので、たとえばウィルスチェックサーバや端末コンピ
ュータに導入されているウィルスチェックソフトによる
ウィルス検出に取りこぼしが発生するような場合であっ
ても、極力ウィルスの検出の確度を高めることができ
る。なお、不正パケット検出通知手段は、管理コンピュ
ータ、送信元コンピュータ、あるいは、あて先コンピュ
ータに送信するときは、たとえばパケットに含まれるI
Pアドレスに基づき各コンピュータに通知を行うことが
できる。この場合には、通知先のコンピュータ側に対応
する通信アプリケーションが備えられる。In the present invention, since the switch detects an illegal pattern included in a packet transferred via the switch, for example, a virus check by a virus check server or a virus check software installed in a terminal computer may fail to detect a virus. Even in such a case, the accuracy of virus detection can be increased as much as possible. When transmitting to the management computer, the transmission source computer, or the destination computer, the unauthorized packet detection notifying means may transmit, for example, an I
Each computer can be notified based on the P address. In this case, a communication application corresponding to the notification destination computer is provided.
【0010】また、本発明のスイッチでは、前記不正パ
ターン検出手段は、複数の不正パターンを記憶する不正
パターン記憶手段と、前記不正パターン記憶手段に記憶
された各不正パターンとパケットデータとを比較する比
較手段とを備えることができる。Further, in the switch according to the present invention, the fraudulent pattern detecting means compares fraudulent pattern storing means for storing a plurality of fraudulent patterns with each fraudulent pattern stored in the fraudulent pattern storing means. Comparison means.
【0011】また、本発明のLANは、WANを介して
接続された不正パケットデータベースホスト装置からコ
ンピュータウィルス等の不正パターンを複数取得して蓄
積する不正パターンデータベースと、前記不正パターン
データベースに蓄積された不正パターンが複数セットさ
れる上記のスイッチとを備えたことを特徴とする。Further, the LAN according to the present invention obtains and stores a plurality of fraudulent patterns such as computer viruses from a fraudulent packet database host connected via a WAN, and accumulates in the fraudulent pattern database. A switch for setting a plurality of unauthorized patterns.
【0012】本発明のLANは、不正パターンデータベ
ースに蓄積された不正パターンが複数セットされる不正
パケット検出サーバを介して、前記WANに接続するこ
とができる。この場合、不正パケット検出サーバと、本
発明のスイッチとは、同一の不正データパターンをチェ
ックすることもできるし、非同一の(異なる)不正デー
タパターンをチェックすることもできる。不正パケット
検出サーバと、本発明のスイッチとが、非同一または一
部非同一(一部同一)の不正パターンをチェックするこ
とでLANシステム全体の不正パターンチェック動作の
最適化を図ることができる。[0012] The LAN of the present invention can be connected to the WAN via a fraudulent packet detection server in which a plurality of fraudulent patterns stored in a fraudulent pattern database are set. In this case, the illegal packet detection server and the switch of the present invention can check the same illegal data pattern or can check non-identical (different) illegal data patterns. The illegal packet detection server and the switch of the present invention check non-identical or partially non-identical (partially identical) illegal patterns to optimize the illegal pattern check operation of the entire LAN system.
【0013】[0013]
【発明の実施の形態】図1は本発明のLANが、WAN
(インターネット)に接続されたシステムの説明図であ
る。DESCRIPTION OF THE PREFERRED EMBODIMENTS FIG. 1 shows that the LAN of the present invention is a WAN.
It is an explanatory view of a system connected to (Internet).
【0014】図1においてインターネット200には、
ゲートウェイGW1を介してLAN100が接続され、
ゲートウェイGW2を介してウィルスパターンデータベ
ースサーバ300が接続されている。LAN100は、
ウィルスチェックサーバ11と、コアスイッチ12と、
複数のスイッチ(図1では符号131,132で示され
る2つを示す)とを備えている。In FIG. 1, the Internet 200 includes:
LAN 100 is connected via gateway GW1,
The virus pattern database server 300 is connected via the gateway GW2. LAN 100 is
A virus check server 11, a core switch 12,
A plurality of switches (two indicated by reference numerals 131 and 132 in FIG. 1) are provided.
【0015】図1ではウィルスチェックサーバ11は、
ウィルスパターンデータベースサーバ300からウィル
スパターンを一定時間間隔でダウンロードしており、通
過するパケットから所定のウィルスを検出することがで
きる。In FIG. 1, the virus check server 11
The virus pattern is downloaded from the virus pattern database server 300 at regular time intervals, and a predetermined virus can be detected from the passing packets.
【0016】図1のLAN100において、コアスイッ
チ12にはスイッチ131,132が分岐接続され、そ
れぞれのスイッチ131,132には端末コンピュータ
やハブが接続可能に構成されている。図1では、説明の
便宜上、スイッチ131に接続された端末コンピュータ
1411,1412およびハブ1413が、スイッチ1
32に接続された端末コンピュータ1421,1422
およびハブ1423がそれぞれ示されている。In the LAN 100 shown in FIG. 1, switches 131 and 132 are branched and connected to the core switch 12, and terminal computers and hubs can be connected to the respective switches 131 and 132. In FIG. 1, for convenience of explanation, the terminal computers 1411, 1412 and the hub 1413 connected to the switch 131 are connected to the switch 1
Terminal computers 1421 and 1422 connected to
And hub 1423, respectively.
【0017】また、スイッチ131,132には、ウィ
ルスデータベース151,152がそれぞれ接続されて
いる。図1では、スイッチ131,132は、ウィルス
データベース151,152に、ウィルスパターンデー
タベースサーバ300から、ウィルスパターンを一定時
間間隔でダウンロードしている。The switches 131 and 132 are connected to virus databases 151 and 152, respectively. In FIG. 1, the switches 131 and 132 download virus patterns from the virus pattern database server 300 to the virus databases 151 and 152 at regular time intervals.
【0018】図2は、スイッチ131,132(図2で
は符号130で示す)の機能ブロック図であり、パケッ
ト受信手段1301と、パケットバッファ1302と、
パケット転送手段1303と、あて先ポート決定手段1
304と、エラーパケット・ウィルス検出手段(本発明
の不正パターン検出手段としても機能する)1305
と、ポート遮断手段1306と、パケット破棄手段(本
発明の不正パケット破棄手段としても機能する)130
7と、ウィルス検出通知手段(本発明の不正パケット検
出通知手段)1308と、MACアドレステーブル13
09と、パターン記憶手段1310とを備えている。FIG. 2 is a functional block diagram of switches 131 and 132 (indicated by reference numeral 130 in FIG. 2), and includes a packet receiving unit 1301, a packet buffer 1302,
Packet transfer means 1303 and destination port determination means 1
304 and error packet / virus detection means (which also functions as an unauthorized pattern detection means of the present invention) 1305
, A port blocking unit 1306, a packet discarding unit (which also functions as an unauthorized packet discarding unit of the present invention) 130
7, a virus detection notification unit (illegal packet detection notification unit of the present invention) 1308, and a MAC address table 13
09 and a pattern storage unit 1310.
【0019】あて先ポート決定手段1304は、ポート
番号記憶手段を備えており、ウィルス検出通知手段13
08は、管理コンピュータのメールアドレスを格納する
手段を備えることができ、パケット破棄手段1307
は、パケットを廃棄したときにリセットフラグ(パケッ
トを破棄した旨を示す信号)を送出するリセットフラグ
送出手段を備えることができる。また、MACアドレス
テーブル1309には、図3(C),(D)に示すよう
に、ポート番号と、各ポートに接続された端末コンピュ
ータ等のMACアドレスが記録される(なお、コアスイ
ッチ12も、図3(B)に示すようなMACアドレステ
ーブルを有している)。The destination port determining means 1304 includes a port number storing means, and the virus detection notifying means 13
08 can include means for storing the mail address of the management computer, and the packet discarding means 1307
May have a reset flag transmitting means for transmitting a reset flag (a signal indicating that the packet has been discarded) when the packet is discarded. Further, as shown in FIGS. 3C and 3D, the MAC address table 1309 records a port number and a MAC address of a terminal computer or the like connected to each port. And a MAC address table as shown in FIG. 3B).
【0020】あて先ポート決定手段1304は、MAC
アドレステーブル1309を参照して、あて先ポートを
決定することができる。あて先ポート決定手段1304
は、MACアドレステーブル1309にあて先のMAC
アドレスが書き込まれていないときは、ポートに接続さ
れている端末コンピュータ等の全てにパケットを送信す
る(すなわち、フラッディングを行う)。あて先ポート
決定手段1304は、あて先記憶手段を備えており、決
定したあて先は当該記憶手段に一時記憶される。The destination port determining means 1304 includes a MAC
The destination port can be determined with reference to the address table 1309. Destination port determination means 1304
Is the destination MAC in the MAC address table 1309.
When the address is not written, the packet is transmitted to all terminal computers connected to the port (that is, flooding is performed). The destination port determination unit 1304 includes a destination storage unit, and the determined destination is temporarily stored in the storage unit.
【0021】以下に、図2のスイッチ130の作用を、
図3および一部図4を参照して説明する。なお、スイッ
チ130の処理の全部をソフトウェアで行うこともでき
るし、処理の全部または一部をハードウェア(ASI
C)で行うこともできる。The operation of the switch 130 shown in FIG.
This will be described with reference to FIG. 3 and partly in FIG. Note that all of the processing of the switch 130 can be performed by software, and all or part of the processing can be performed by hardware (ASI
C) can also be performed.
【0022】図3(A)は、パケットフォーマットを示
している。パケット受信手段1301がパケットを受信
すると、当該パケットはパケットバッファ1302に格
納される。FIG. 3A shows a packet format. When the packet receiving unit 1301 receives a packet, the packet is stored in the packet buffer 1302.
【0023】パケットバッファ1302にパケットが取
り込まれたときは(図4のS101)、エラーパケット
・ウィルス検出手段1305は、パターン記憶手段13
20に記憶されたエラーパターンを参照して、受信した
パケットのエラーパターンをチェックする(S10
2)。受信したパケットがエラーパケットである場合
(S103の「YES」)には、当該パケットを破棄し
(S104)、エラーパケットでない場合(S103の
「NO」)には、エラーパケット・ウィルス検出手段1
305は、パターン記憶手段1320に記憶されたウィ
ルスパターンを参照して、受信したパケットのウィルス
パターンのチェックを行う(S105)。ウィルスパタ
ーンが検出されないときは(S106の「NO」)、パ
ケット転送手段1303は、宛先ポート決定手段130
4の決定に従って宛先MACアドレスに対応するポート
(あて先記憶手段に記憶されているポート番号に応じた
ポート)にパケットを送信する(S107)。When a packet is fetched into the packet buffer 1302 (S101 in FIG. 4), the error packet / virus detection means 1305 sets the pattern storage means 13
The error pattern of the received packet is checked with reference to the error pattern stored in S20 (S10).
2). If the received packet is an error packet ("YES" in S103), the packet is discarded (S104). If the received packet is not an error packet ("NO" in S103), the error packet / virus detection means 1 is used.
305 checks the virus pattern of the received packet with reference to the virus pattern stored in the pattern storage unit 1320 (S105). If no virus pattern is detected (“NO” in S106), the packet transfer unit 1303 sets the destination port determination unit 130
The packet is transmitted to the port corresponding to the destination MAC address (the port corresponding to the port number stored in the destination storage unit) in accordance with the determination of S4 (S107).
【0024】ステップS105においてウィルスパター
ンが検出されたときは(S106の「NO」)、送信
元コンピュータが接続されているポートの遮断スクリプ
ト、パケット破棄スクリプト、LAN100内の管
理コンピュータへのウィルス検出の通知(警告)スクリ
プトの少なくとも一つのスクリプトによる処理を選択し
(S108)、当該選択した処理を実行する(S10
9)。なお、のスクリプトは図2のポート遮断手段1
306に、のスクリプトは図2のパケット破棄手段1
307に、のスクリプトは図2のウィルス検出通知手
段108に対応する。これらのスクリプトのどれを選択
するかは、たとえばスイッチの管理者(あるいはシステ
ムの管理者)等が、予め設定できる。また、上記管理者
等が、適宜そのスクリプトの定義等(ポート遮断を即時
に行うかの設定、警告の内容定義等)の変更ができるよ
うにすることが好ましい。If a virus pattern is detected in step S105 ("NO" in S106), a blocking script for a port to which the source computer is connected, a packet discarding script, and a notification of virus detection to a management computer in the LAN 100 are sent. (Warning) A process by at least one script of the script is selected (S108), and the selected process is executed (S10).
9). In addition, the script of FIG.
At 306, the script is the packet discarding means 1 of FIG.
The script 307 corresponds to the virus detection notification unit 108 in FIG. Which of these scripts to select can be set in advance by, for example, a switch administrator (or a system administrator) or the like. Further, it is preferable that the administrator or the like can appropriately change the definition of the script and the like (setting of whether or not to immediately shut down the port, definition of the content of the warning, etc.).
【0025】パケット破棄手段1307は、パケットを
破棄するときは、リセットフラグ送出手段によりパケッ
ト送信元の端末コンピュータにリセットフラグを送出す
ることができる。When discarding a packet, the packet discarding means 1307 can send a reset flag to the terminal computer of the packet transmission source by the reset flag sending means.
【0026】LAN100内の管理コンピュータは、
におけるウィルス検出の通知を受けることで、LAN1
00内の、どの端末コンピュータがウィルスによる感染
したかを、通知に含まれるMACアドレスを参照して知
ることができ、通知されたMACアドレスからLAN1
00内でのウィルス感染の経路や感染状況を把握するこ
とができる。通常は、エラーパケット・ウィルス検出手
段1305によるウィルス検出よりも前に、パケットが
送信されることはない。しかし、スイッチ130にトラ
フィックが集中すること等により、エラーパケット・ウ
ィルス検出手段1305によるウィルス検出がパケット
のポートからの送信に間に合わず、パケット送信後にウ
ィルスが検出されることもある。この場合には、ポート
遮断を直ちに行い、またはウィルス検出通知手段108
による通知の後にポート遮断を速やかに行うことができ
る。The management computer in the LAN 100
LAN1 by receiving notification of virus detection
00, it is possible to know which terminal computer has been infected by the virus by referring to the MAC address included in the notification.
It is possible to grasp the route of virus infection and the status of infection within 00. Normally, no packet is transmitted before the error packet / virus detection unit 1305 detects a virus. However, due to the concentration of traffic on the switch 130, virus detection by the error packet / virus detection unit 1305 may not be in time for transmission of a packet from a port, and a virus may be detected after packet transmission. In this case, the port is immediately shut off, or the virus detection
Port notification can be promptly performed after the notification by the server.
【0027】上記の例では、ウィルス検出通知手段10
8は、ウィルス検出を管理コンピュータに通知している
が、パケットに含まれるIPアドレスに基づき、送信元
コンピュータ、あるいは、あて先コンピュータにウィル
ス検出を通知することもできる。この場合には、通常、
送信元コンピュータ、あるいは、あて先コンピュータに
コンピュータに対応する通信アプリケーションを導入し
ておく必要がある。In the above example, the virus detection notification means 10
8, the virus detection is notified to the management computer, but the virus detection can also be notified to the transmission source computer or the destination computer based on the IP address included in the packet. In this case,
It is necessary to install a communication application corresponding to the computer in the source computer or the destination computer.
【0028】図1に示したシステムでは、ゲートウェイ
GW1にトラフィックが集中した場合には、ウィルスチ
ェックサーバ11におけるウィルス検出に取りこぼしが
生じることがある。エラーパケット・ウィルス検出手段
1305がウィルスチェックに際して参照するウィルス
パターンと、ウィルスチェックサーバ11がウィルスチ
ェックに際して参照するウィルスパターンとを同一とす
ることで、上記の取りこぼしによるウィルス感染を回避
することができる。もちろん、エラーパケット・ウィル
ス検出手段1305がウィルスチェックに際して参照す
るウィルスパターンと、ウィルスチェックサーバ11が
ウィルスチェックに際して参照するウィルスパターンと
を非同一または一部非同一とすることで、システム全体
のウィルス検出の最適化を図ること(これにより転送速
度が低下することを防止すること)ができる。なお、上
記実施形態では、コアスイッチ12はウィルス検出機能
は備えていないが、コアスイッチ13にウィルス検出機
能を持たせることもできる。In the system shown in FIG. 1, when the traffic concentrates on the gateway GW1, the virus check by the virus check server 11 may be missed. By making the virus pattern referred to by the error packet / virus detection unit 1305 at the time of virus check and the virus pattern referred to by the virus check server 11 at the time of virus check the same, the virus infection due to the above-mentioned missing can be avoided. Of course, by making the virus pattern referred to by the error packet / virus detecting means 1305 at the time of virus check and the virus pattern referenced by the virus check server 11 at the time of virus check non-identical or partially non-identical, virus detection of the entire system can be performed. (Which prevents the transfer speed from being reduced). In the above embodiment, the core switch 12 does not have a virus detection function, but the core switch 13 may have a virus detection function.
【0029】[0029]
【発明の効果】本発明のスイッチでは、コンピュータウ
ィルス等の不正パケットのLANからWANへの送出、
またはLAN内のコンピュータ間での不正パケットの受
け渡しを検出し、不正パケットが検出されたときはポー
トの遮断、管理コンピュータへの通知をただちに行うの
で、当該不正パケットの拡散を効率よく防止することが
できる。According to the switch of the present invention, transmission of an illegal packet such as a computer virus from the LAN to the WAN,
Alternatively, since the transfer of an illegal packet between the computers in the LAN is detected, and when the illegal packet is detected, the port is shut off and the notification to the management computer is immediately performed, so that the spread of the illegal packet can be prevented efficiently. it can.
【0030】本発明のLANシステムでは、ウィルスチ
ェックサーバによりウィルスのチェックを行うとともに
本発明のスイッチによりウィルスのチェックを行うこと
ができるので、ウィルスチェックをより完全に行うこと
ができる。しかも、LAN内の端末コンピュータ間でや
り取りされるパケットについてウィルスチェックを行う
ので、LAN内での感染拡大を防止することができる。In the LAN system of the present invention, a virus check can be performed by the virus check server and a virus can be checked by the switch of the present invention, so that the virus check can be performed more completely. In addition, since virus check is performed on packets exchanged between terminal computers in the LAN, the spread of infection in the LAN can be prevented.
【図1】本発明の一実施形態を示すネットワークシステ
ムを示す図である。FIG. 1 is a diagram showing a network system according to an embodiment of the present invention.
【図2】本発明のスイッチの一実施形態を示す機能ブロ
ック図である。FIG. 2 is a functional block diagram showing an embodiment of the switch of the present invention.
【図3】(A)はパケットのフォーマット図、(B)〜
(D)はスイッチのMACアドレステーブルを示す図で
ある。FIG. 3A is a format diagram of a packet, and FIGS.
(D) is a diagram showing a MAC address table of the switch.
【図4】図2のスイッチの処理を説明するためのフロー
チャートである。FIG. 4 is a flowchart illustrating a process of the switch in FIG. 2;
100 LAN
200 インターネット
300 ウィルスパターンデータベースサーバ
100 LAN
11 ウィルスチェックサーバ
12 コアスイッチ
131,132(130) スイッチ
1411,1412,1421,1422 端末コンピ
ュータ
1413,1423 ハブ
151,152 ウィルスデータベース
1301 パケット受信手段
1302 パケットバッファ
1303 パケット転送手段
1304 あて先ポート決定手段
1305 エラーパケット・ウィルス検出手段
1306 ポート遮断手段
1307 パケット破棄手段
1308 ウィルス検出通知手段
1309 MACアドレステーブル
1310 パターン記憶手段
GW1,GW2 ゲートウェイ100 LAN 200 Internet 300 Virus pattern database server 100 LAN 11 Virus check server 12 Core switches 131, 132 (130) Switches 1411, 1412, 1421, 1422 Terminal computers 1413, 1423 Hubs 151, 152 Virus database 1301 Packet receiving means 1302 Packet buffer 1303 Packet transfer means 1304 Destination port determination means 1305 Error packet / virus detection means 1306 Port blocking means 1307 Packet discarding means 1308 Virus detection notification means 1309 MAC address table 1310 Pattern storage means GW1, GW2 Gateway
Claims (5)
コンピュータを広域ネットワーク接続装置に接続し、ま
たは当該局所ネットワーク内の所定のコンピュータ間を
接続するスイッチであって、 前記コンピュータから広域ネットワーク接続装置に送出
されるパケット、および/または前記コンピュータ間で
受け渡しされるパケットから不正パケットを検出する不
正パターン検出手段、および、 前記不正パターン検出手段が前記不正パケットを検出し
たときに、 ポートの遮断を行うポート遮断手段、 前記不正パケットを破棄する不正パケット破棄手段、 前記不正パケットの検出を管理コンピュータ、送信元コ
ンピュータ、あて先コンピュータの少なくとも1つに通
知する不正パケット検出通知手段、の少なくとも一つの
手段、を備えてなることを特徴とするスイッチ。1. A switch for connecting at least one computer in a local network to a wide area network connection device or connecting predetermined computers in the local network, and transmitted from the computer to the wide area network connection device. Pattern detecting means for detecting an illegal packet from a packet received and / or a packet transferred between the computers, and a port blocking means for blocking a port when the illegal pattern detecting means detects the illegal packet. An illegal packet discarding unit that discards the illegal packet; and an illegal packet detection notifying unit that notifies at least one of a management computer, a transmission source computer, and a destination computer of the detection of the illegal packet. Switch, wherein the door.
と、 前記不正パターン記憶手段に記憶された各不正パターン
とパケットデータとを比較する比較手段と、を備えたこ
とを特徴とする請求項1に記載のスイッチ。2. The fraudulent pattern detecting means includes fraudulent pattern storage means for storing a plurality of fraudulent patterns, and comparing means for comparing each fraudulent pattern stored in the fraudulent pattern storage means with packet data. The switch according to claim 1, wherein:
正パケットデータベースホスト装置から複数の不正パタ
ーンを取得して蓄積する不正パターンデータベースと、 前記不正パターンデータベースに蓄積された不正パター
ンが複数セットされる請求項1または2に記載のスイッ
チと、を備えたことを特徴とする局所ネットワーク。3. A fraudulent pattern database for acquiring and accumulating a plurality of fraudulent patterns from a fraudulent packet database host device connected via a wide area network, and a plurality of fraudulent patterns stored in the fraudulent pattern database are set. 3. A local network, comprising: the switch according to item 1 or 2.
れた不正パターンが複数セットされる不正パケット検出
サーバを介して、前記広域ネットワークに接続されてな
ることを特徴とする請求項3に記載の局所ネットワー
ク。4. The local network according to claim 3, wherein the local network is connected to the wide area network via a fraudulent packet detection server in which a plurality of fraud patterns stored in the fraud pattern database are set.
パターンと、前記不正パケットチェックサーバにセット
された複数の不正パターンとが、少なくとも一部が異な
るように選ばれてなることを特徴とする請求項3または
4に記載の局所ネットワーク。5. A plurality of fraudulent patterns set in the switch and a plurality of fraudulent patterns set in the fraudulent packet check server are selected so as to be at least partially different. Item 5. The local network according to item 3 or 4.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002147651A JP2003348113A (en) | 2002-05-22 | 2002-05-22 | Switch and lan |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002147651A JP2003348113A (en) | 2002-05-22 | 2002-05-22 | Switch and lan |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003348113A true JP2003348113A (en) | 2003-12-05 |
Family
ID=29766615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002147651A Pending JP2003348113A (en) | 2002-05-22 | 2002-05-22 | Switch and lan |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003348113A (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100627852B1 (en) * | 2004-07-19 | 2006-09-26 | (주)넷맨 | Method and System for Detection/Isolation of Warm Virus on Network |
| JP2008066945A (en) * | 2006-09-06 | 2008-03-21 | Fujitsu Ltd | Attack detection system and attack detection method |
| US7474655B2 (en) | 2004-09-06 | 2009-01-06 | International Business Machines Corporation | Restricting communication service |
| US7523028B2 (en) | 2006-11-30 | 2009-04-21 | International Business Machines Corporation | Method of and system for simulating a light-emitting device |
| US7937763B2 (en) | 2005-02-25 | 2011-05-03 | Panasonic Corporation | Processor and processing apparatus performing virus protection |
| US7975300B2 (en) | 2005-04-15 | 2011-07-05 | Toshiba America Research, Inc. | Secure isolation and recovery in wireless networks |
| JP2011523822A (en) * | 2008-05-29 | 2011-08-18 | ハンドリームネット カンパニー リミテッド | Access level security device and security system |
| US9160771B2 (en) | 2009-07-22 | 2015-10-13 | International Business Machines Corporation | Method and apparatus for dynamic destination address control in a computer network |
-
2002
- 2002-05-22 JP JP2002147651A patent/JP2003348113A/en active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100627852B1 (en) * | 2004-07-19 | 2006-09-26 | (주)넷맨 | Method and System for Detection/Isolation of Warm Virus on Network |
| US7474655B2 (en) | 2004-09-06 | 2009-01-06 | International Business Machines Corporation | Restricting communication service |
| US7725932B2 (en) | 2004-09-06 | 2010-05-25 | International Business Machines Corporation | Restricting communication service |
| US7937763B2 (en) | 2005-02-25 | 2011-05-03 | Panasonic Corporation | Processor and processing apparatus performing virus protection |
| US7975300B2 (en) | 2005-04-15 | 2011-07-05 | Toshiba America Research, Inc. | Secure isolation and recovery in wireless networks |
| JP2008066945A (en) * | 2006-09-06 | 2008-03-21 | Fujitsu Ltd | Attack detection system and attack detection method |
| JP4664257B2 (en) * | 2006-09-06 | 2011-04-06 | 富士通株式会社 | Attack detection system and attack detection method |
| US7523028B2 (en) | 2006-11-30 | 2009-04-21 | International Business Machines Corporation | Method of and system for simulating a light-emitting device |
| JP2011523822A (en) * | 2008-05-29 | 2011-08-18 | ハンドリームネット カンパニー リミテッド | Access level security device and security system |
| US9160771B2 (en) | 2009-07-22 | 2015-10-13 | International Business Machines Corporation | Method and apparatus for dynamic destination address control in a computer network |
| US10079894B2 (en) | 2009-07-22 | 2018-09-18 | International Business Machines Corporation | Method and apparatus for dynamic destination address control in a computer network |
| US10469596B2 (en) | 2009-07-22 | 2019-11-05 | International Business Machines Corporation | Method and apparatus for dynamic destination address control in a computer network |
| US11165869B2 (en) | 2009-07-22 | 2021-11-02 | International Business Machines Corporation | Method and apparatus for dynamic destination address control in a computer network |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7797436B2 (en) | Network intrusion prevention by disabling a network interface | |
| US8154987B2 (en) | Self-isolating and self-healing networked devices | |
| US7797749B2 (en) | Defending against worm or virus attacks on networks | |
| US7703138B2 (en) | Use of application signature to identify trusted traffic | |
| US7757285B2 (en) | Intrusion detection and prevention system | |
| US7832010B2 (en) | Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus | |
| US7444679B2 (en) | Network, method and computer readable medium for distributing security updates to select nodes on a network | |
| US7564837B2 (en) | Recording medium recording a network shutdown control program, and network shutdown device | |
| US20080295173A1 (en) | Pattern-based network defense mechanism | |
| US20030084321A1 (en) | Node and mobile device for a mobile telecommunications network providing intrusion detection | |
| US20120005743A1 (en) | Internal network management system, internal network management method, and program | |
| JP2006135963A (en) | Malignant code detecting apparatus and method | |
| US20080044018A1 (en) | Method and system to detect and prevent computer network intrusion | |
| JP4195480B2 (en) | An apparatus and method for managing and controlling the communication of a computer terminal connected to a network. | |
| US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
| WO2011063729A1 (en) | Method, equipment and system for early warning about unknown malicious codes | |
| JP2005506736A (en) | A method and apparatus for providing node security in a router of a packet network. | |
| JP2003241989A (en) | Computer virus occurrence detecting device, method and program | |
| JP2006119754A (en) | Network-type virus activity detection program, processing method and system | |
| JP2004172871A (en) | Concentrator preventing virus spread and program for the same | |
| JP2002073433A (en) | Break-in detecting device and illegal break-in measures management system and break-in detecting method | |
| JP2002252654A (en) | Intrusion detection device, system, and router | |
| JP2004302538A (en) | Network security system and network security management method | |
| US8763121B2 (en) | Mitigating multiple advanced evasion technique attacks | |
| JP2003348113A (en) | Switch and lan |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050523 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070406 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070828 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071022 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20071218 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080215 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20080416 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20080704 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100423 |