JP2005142692A - 端末装置、ネットワーク監視装置およびコンピュータシステム - Google Patents
端末装置、ネットワーク監視装置およびコンピュータシステム Download PDFInfo
- Publication number
- JP2005142692A JP2005142692A JP2003375154A JP2003375154A JP2005142692A JP 2005142692 A JP2005142692 A JP 2005142692A JP 2003375154 A JP2003375154 A JP 2003375154A JP 2003375154 A JP2003375154 A JP 2003375154A JP 2005142692 A JP2005142692 A JP 2005142692A
- Authority
- JP
- Japan
- Prior art keywords
- transmission
- network
- data
- packet
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 不正な通信データをネットワークへ送信し続けてしまわないようにすること。
【解決手段】 端末装置2,3,4の付加手段43は、端末装置2,3,4からネットワーク6を介して他の端末装置2,3,4へ送信する送信データに、その送信データを送信するためのヘッダデータを付加し、パケットを生成する。送信判定手段45は、一連のパケットにおけるヘッダデータに基づいてパケットの送信を許可するか否かを判定する。通信デバイス41は、送信判定手段45において送信が許可されたパケットをネットワーク6へ送信する。送信禁止手段45は、送信判定手段45において送信が許可されないパケットが発生した場合に、少なくともその許可されなかったパケットの通信デバイス41からネットワーク6への送信を禁止する。
【選択図】 図5
【解決手段】 端末装置2,3,4の付加手段43は、端末装置2,3,4からネットワーク6を介して他の端末装置2,3,4へ送信する送信データに、その送信データを送信するためのヘッダデータを付加し、パケットを生成する。送信判定手段45は、一連のパケットにおけるヘッダデータに基づいてパケットの送信を許可するか否かを判定する。通信デバイス41は、送信判定手段45において送信が許可されたパケットをネットワーク6へ送信する。送信禁止手段45は、送信判定手段45において送信が許可されないパケットが発生した場合に、少なくともその許可されなかったパケットの通信デバイス41からネットワーク6への送信を禁止する。
【選択図】 図5
Description
本発明は、ネットワークに接続される端末装置、ネットワーク監視装置およびコンピュータシステムに関する。
特許文献1には、コンピュータウィルスを検知するため最新の検知パターンデータを更新する機能を有し、該最新の検知パターンデータに基づいてネットワークを介して受信するデータからコンピュータウィルスを検知し、駆除するアプリケーションプログラムを有するコンピュータが開示されている。
しかしながら、このような検知パターンデータに基づいてコンピュータウィルスを駆除する場合には、その検知パターンデータが最新のコンピュータウィルスに対応するまでの期間において、その最新のコンピュータウィルスに感染してしまったコンピュータからそのコンピュータウィルスを駆除することは困難である。
そして、このようなコンピュータウィルスの中には、その感染したコンピュータに、ネットワークへ大量の不正なパケットを送信させたり、他のコンピュータへ自身のコードのコピーを送信させたりすることがある。そして、このような大量の不正なパケットがネットワークに送信されてしまうと、ネットワークに高いトラフィックが発生する。特に、複数のコンピュータが同時にコンピュータウィルスに感染してしまうと、ネットワークに送信されるパケット量が倍増するので、パケットの輻輳が発生してしまうこともある。この不正なパケットによってパケット輻輳が発生すると、業務上の正当なパケットが伝送されなくなり、コンピュータシステムの全体がダウンしてしまうことになる。
ところで、このようなコンピュータウィルスが、たとえばフロッピー(登録商標)ディスクなどの携帯情報記録媒体を介して会社のイントラネットのコンピュータシステムなどに侵入することが考えられる。そして、社内のネットワークでは、インターネットに接続する場合のようにネットワーク内部にファイアウォールなどを導入したりすることは現実的ではなく、しかも、そのようなファイアウォールを導入したとしても業務に必要な通信データを阻止しないように設定する必要があるので、現実的には、不正なパケットを効果的に阻止できるように設定することは非常に難しい。
また、このようなコンピュータウィルスの駆除システムとは別に、ネットワークを監視する装置をコンピュータシステムに導入することも考えられる。しかしながら、このようなネットワークの監視装置をコンピュータシステムに導入したとしても、実際にネットワークに送信されてしまっているパケットをネットワークから削除することは困難である。さらに、コンピュータシステム内でのウィルスの蔓延を阻止するためには、ネットワークのセグメント単位で監視装置を導入する必要があるので、現実的に難しい。しかも、このような監視装置を用いてコンピュータウィルスの感染源を特定しようとする場合には、セグメント単位で設置される監視装置の設置場所にその専門の知識を有する者が出向いて解析をする必要があり、その間にコンピュータウィルスに再感染してしまうコンピュータが発生してしまったりする。しかも、セグメントを越えてネットワークの全体がコンピュータウィルスに感染してしまったような状況では、セグメント単位で設置される監視装置によって感染源を特定するのは非常に困難である。
本発明は、以上の問題に鑑みなされたものであり、不正なパケットをネットワークへ送信し続けてしまわないようにすることができる端末装置、ネットワーク監視装置およびコンピュータシステムを得ることを目的とする。
本発明に係る端末装置は、該端末装置からネットワークを介して他の端末装置へ送信する送信データに、その送信データを送信するためのヘッダデータを付加し、パケットを生成する付加手段と、一連のパケットにおけるヘッダデータに基づいてパケットの送信を許可するか否かを判定する送信判定手段と、送信判定手段において送信が許可されたパケットをネットワークへ送信する通信デバイスと、送信判定手段において送信が許可されないパケットが発生した場合に、少なくともその許可されなかったパケットの通信デバイスからネットワークへの送信を禁止する送信禁止手段と、を有するものである。
この構成を採用すれば、コンピュータの通信デバイスからネットワークへ、不正な通信データが送信されない。
本発明に係る端末装置は、上述した発明の構成に加えて、送信判定手段が、データリンク層あるいはそれ以下の層において、その層よりも上位の層でパケットに付加されるヘッダデータに基づいて、パケットの送信を許可するか否かを判定するものである。
この構成を採用すれば、データリンク層より上位の層で付加されるたとえばTCPヘッダデータおよびIPヘッダデータに基づいてパケットの送信の可否を判定することができる。しかも、データリンク層より上位の層が他のプロトコルによるヘッダデータであったとしても、そのパケットの送信の可否を判定することができる。その結果、データリンク層より上位の層のプロトコルに依存することなく、パケットの送信の可否を判定することができる。
本発明に係る端末装置は、上述した各発明の構成に加えて、送信判定手段が、一定期間内での同一宛先へのパケット量が所定の最大値を超える場合、一定期間内に不特定の宛先へのパケットの量が所定の最大値を超える場合、アクセスが禁止されている端末装置へのパケットの場合、および所定時間あたりの異なる端末装置への接続数が所定の最大値を上回る場合の中の少なくとも1つの場合には、パケットの送信を許可しないと判定するものである。
この構成を採用すれば、この端末装置が多量のパケットをネットワークへ不正に送信してしまうことや、他の端末装置を攻撃することを防止することができる。
本発明に係る端末装置は、上述した各発明の構成に加えて、送信判定手段が、一連のパケットがポートスキャンに使用されていると判定した場合、パケットの送信を許可せず、送信禁止手段が、全パケットの送信を禁止するものである。
この構成を採用すれば、ポートスキャンを使用するウィルスの感染の抑制、ユーザによる端末装置の不正使用の防止を図ることができる。
本発明に係る端末装置は、上述した各発明の構成に加えて、送信判定手段が、所定の条件に基づき、判定結果を複数レベルのいずれかとし、送信禁止手段が、送信判定手段の判定したレベルに応じて、全パケットの送信を禁止するか、ある宛先へのパケットの送信のみを禁止するか、あるいは、あるTCPのポート番号宛へのパケットの送信のみを禁止するものである。
この構成を採用すれば、発生した事象に応じた規模でパケットの送信を禁止でき、軽度の場合には、正規な通信を続行することができる。
本発明に係るネットワーク監視装置は、ネットワーク上を伝送されているパケットを傍受する通信デバイスと、パケット内のヘッダデータに基づいて、パケットが不正通信のパケットか否かを判断するネットワーク判定手段と、ネットワーク判定手段において不正なパケットであると判定された場合に、そのパケットを送信した端末装置に、それ以降の一部のあるいはすべてのパケットの送信を禁止させる送信禁止指示手段と、を有するものである。
この構成を採用すれば、不正なパケットを送信した端末装置からネットワークへ、不正なパケットが送信され続けることはない。
本発明に係るネットワーク監視装置は、上述した発明の構成に加えて、ネットワーク判定手段が、一定期間内での同一宛先へのパケット量が所定の最大値を超える場合、一定期間内に不特定の宛先へのパケットの量が所定の最大値を超える場合、アクセスが禁止されている端末装置へのパケットの場合、および所定時間あたりの異なる端末装置への接続数が所定の最大値を上回る場合の中の少なくとも1つの場合には、そのパケットを不正と判断するものである。
この構成を採用すれば、ネットワーク監視装置が監視するネットワークに多量の不正なパケットが送信され続けてしまうことや、ある端末装置がそのネットワークを介して他の端末装置を攻撃することを防止することができる。
本発明に係るネットワーク監視装置は、上述した各発明の構成に加えて、ネットワーク判定手段が、あるの端末装置からの一連のパケットがポートスキャンに使用されていると判定した場合、その端末装置によるパケットの送信を許可せず、送信禁止指示手段が、その端末装置に全パケットの送信を禁止させるものである。
この構成を採用すれば、ポートスキャンを使用するウィルスの感染の抑制、ユーザによる端末装置の不正使用の防止を図ることができる。
本発明に係るネットワーク監視装置は、上述した各発明の構成に加えて、ネットワーク判定手段が、所定の条件に基づき、判定結果を複数レベルのいずれかとし、送信禁止指示手段が、送信判定手段の判定したレベルに応じて、端末装置に全パケットの送信を禁止させるか、ある宛先へのパケットの送信のみを禁止させるか、あるいは、あるTCPのポート番号宛へのパケットの送信のみを禁止させるものである。
この構成を採用すれば、発生した事象に応じた規模でパケットの送信を禁止でき、軽度の場合には、正規な通信を続行することができる。
本発明に係るコンピュータシステムは、上述したいずれか1つの端末装置と、ネットワークに接続される通信デバイス、およびこの通信デバイスにより受信された端末装置からの通知をログデータとして記録する記録手段を有する管理端末とを備え、先の端末装置は、通信判定手段により送信が許可されないパケットが発生した場合に、通信デバイスに、その旨の通知を管理端末へ送信させるクライアント通知手段を有するものである。
この構成を採用すれば、端末装置において送信が許可されなかったパケットが発生した場合には、その旨がログデータに記録され、そのログデータを管理端末の出力デバイスから出力することができる。したがって、コンピュータシステムの管理者などは、この管理端末から出力されるログデータに基づいて、障害が発生している端末装置やネットワークを特定することができる。
本発明に係るコンピュータシステムは、上述した発明の構成に加えて、管理端末が、ネットワークに接続された端末装置の情報を収集する収集手段と、収集手段により収集された情報に基づき、送信禁止手段が実行されていない端末装置を検出し、その端末装置へ、送信禁止手段を実現するためのプログラムを送信し、そのプログラムをインストールさせることでその端末装置に送信禁止手段を実装させるインストール手段とを有するものである。
この構成を採用すれば、送信禁止手段がインストールされていない新たな端末装置がネットワークに接続されたら、その新たな端末装置に送信禁止手段をインストールすることができる。したがって、ネットワークに接続されているすべての端末装置に送信禁止手段をインストールすることが可能となり、送信禁止手段がインストールされていない端末装置によるネットワークでのパケット輻輳などを効果的に予防することができる。
本発明に係るコンピュータシステムは、上述した各発明の構成に加えて、管理端末が、端末装置の送信判定手段における判定条件の情報を端末装置へ送信し、端末装置が、管理端末からの判定条件の情報を受信し、その判定条件に基づいて判定を行うものである。
この構成を採用すれば、管理装置から送信された判定パターンに基づいて、送信判定手段は判定をするので、管理端末においてその判定パターンを管理することができる。
本発明に係る他のコンピュータシステムは、上述したいずれか1つのネットワーク監視装置と、ネットワークに接続される通信デバイス、およびこの通信デバイスにより受信されたネットワーク監視装置からの通知をログデータとして記録する記録手段を有する管理端末とを備え、先のネットワーク監視装置は、ネットワーク判定手段により不正パケットが検出された場合に、通信デバイスに、その旨の通知を管理端末へ送信させるネットワーク通知手段を有するものである。
この構成を採用すれば、ネットワーク監視装置において送信が許可されなかったパケットが発生した場合には、その旨がログデータに記録され、そのログデータを管理端末の出力デバイスから出力することができる。したがって、コンピュータシステムの管理者などは、この管理端末から出力されるログデータに基づいて、障害が発生している端末装置やネットワークを特定することができる。
本発明に係る他のコンピュータシステムは、上述した発明の構成に加えて、管理端末が、ネットワーク監視装置のネットワーク判定手段における判定条件の情報をネットワーク監視装置へ送信し、ネットワーク監視装置が、管理端末からの判定条件の情報を受信し、その判定条件に基づいて判定を行うものである。
この構成を採用すれば、管理装置から送信された判定パターンに基づいて、ネットワーク判定手段は判定をするので、管理端末においてその判定パターンを管理することができる。
本発明では、不正なパケットをネットワークへ送信し続けてしまわないようにすることができる。
以下、本発明の実施の形態に係る端末装置、ネットワーク監視装置およびコンピュータシステムを、図面に基づいて説明する。
実施の形態1.
図1は、本発明の実施の形態1に係るコンピュータシステム1を示す構成図である。このコンピュータシステム1は、ネットワーク6と、ネットワーク6に接続される3台の端末装置2,3,4と、ネットワーク6に接続される1台の管理端末5と、を有する。なお、コンピュータシステム1を構成する端末装置の台数は、2以下であっても、4以上であってもよい。
図1は、本発明の実施の形態1に係るコンピュータシステム1を示す構成図である。このコンピュータシステム1は、ネットワーク6と、ネットワーク6に接続される3台の端末装置2,3,4と、ネットワーク6に接続される1台の管理端末5と、を有する。なお、コンピュータシステム1を構成する端末装置の台数は、2以下であっても、4以上であってもよい。
ネットワーク6は、各端末装置2,3,4および管理端末5に接続される4本のケーブル7と、この4本のケーブル7が接続されるハブ機器8と、を有する。ハブ機器8は、いずれかのケーブル7から信号が入力されると、その入力された信号をその他のすべてのケーブル7へ出力する。なお、ハブ機器8に接続可能な台数以上の端末装置および管理端末が存在する場合には、たとえば、複数のハブ機器8同士をブリッジ接続などで接続し、各端末装置および管理端末をいずれか1つのハブ機器8に接続すればよい。なお、ネットワークとしては、たとえばイーサネット(登録商標)が使用される。
また、ハブ機器8は、別のケーブル7によってモデム機器9に接続される。このモデム機器9は、インターネットに接続されており、このネットワーク6のゲートウェイとして機能する。また、モデム機器9は、DHCP(Dynamic Host Configuration Protocol)サーバとしても機能する。DHCPサーバは、IPアドレスの取得リクエストを受信すると、未使用のIPアドレスを付与する。
なお、これらハブ機器8およびモデム機器9は、それぞれの処理を専用に行う装置によって実現されていても、それぞれの処理を実行する端末装置において実現されていてもよい。端末装置において実現する場合には、それら通信処理を実行する端末装置もコンピュータシステム1のネットワーク6に接続されている端末装置の中の1台となるので、少なくとも後述する端末装置2,3,4と同様の構成とするのが好ましい。
図2は、図1中の端末装置2,3,4のハードウェア構成を示すブロック図である。端末装置2,3,4は、コンピュータにより実現され、プログラムを実行する中央処理装置(CPU:Central Processing Unit)11と、中央処理装置11によって実行されるプログラムなどを記憶するRAM(Random Access Memory)12と、プログラムやデータを記憶するハードディスク装置などの記憶デバイス13と、ケーブル7が接続される通信デバイス(NIC:Network Interface Card)14と、キーボードなどの入力デバイス15やモニタなどの出力デバイス16などが接続されるI/O(Input/Output:入出力)ポート17と、これらを接続するバス18と、を有する。
通信デバイス14は、MAC(Media Access Control)アドレスを記憶する。MACアドレスは、データリンク層の通信デバイス14の間で互いを区別するために通信デバイス14毎に固有に割り当てられるアドレスであり、図1中の4つの端末装置2,3,4および管理端末5の間でも互いに異なるアドレス値になっている。また、図1中のモデム機器9にも、これら4つの端末装置2,3,4および管理端末5とは異なる固有のMACアドレスが割り当てられている。
そして、通信デバイス14は、中央処理装置11からのパケットとしてのイーサネット(登録商標)フレームがバス18を介して入力されると、これをケーブル7へCSMA/CD(Carrier Sense Multiple Access/Collision Detect)方式にて送信する。CSMA/CD方式では、通信デバイス14は、ケーブル7にて何の信号も伝送されていないことを確認してからデータの送信を開始する。そして、通信デバイス14は、送信しているデータを自身でも受信し、受信したデータと送信したデータとが一致している間はデータの送信を続ける。逆に、たとえばデータの送信途中において他の端末装置2,3,4が送信したデータが重畳されてしまうことで受信したデータと送信したデータとが一致しなくなると、通信デバイス14は、その送信を中断し、任意のある時間の後にデータの再送を試みる。また、通信デバイス14は、ケーブル7からイーサネット(登録商標)フレームを受信すると、そのイーサネット(登録商標)フレームを中央処理装置11へ出力する。
図3は、図2中の記憶デバイス13に記憶されている記憶データを示す図である。端末装置2,3,4の記憶デバイス13には、オペレーティングシステムプログラム群(以下、OSプログラム群と記載する。)と、アプリケーションプログラム群(以下、APプログラム群と記載する。)と、データ群と、が記憶されている。
端末装置2,3,4のOSプログラム群には、プログラム実行管理プログラム21と、通信管理プログラム群と、が含まれる。通信管理プログラム群には、データリンクプログラム22と、クライアントモニタプログラム23と、インターネットプロトコルプログラム(以下、IPプログラムと記載する。)24と、トランスポートコントロールプロトコルプログラム(以下、TCPプログラムと記載する。)25と、が含まれる。
端末装置2,3,4のAPプログラム群には、文章作成プログラム26と、表計算プログラム27と、ブラウザプログラム28と、が含まれる。なお、ネットワーク6に接続されるすべての端末装置に、このすべてのAPプログラムが含まれていなくてもよく、また、これ以外のAPプログラムが含まれている端末装置がネットワーク6に接続されていてもよい。
端末装置2,3,4のデータ群には、送信判定パターンデータ29が含まれる。送信判定パターンデータ29は、後述する送信IPパケットの送信の可否を判定するための判定パターンを示すデータによって構成されている。
具体的にはたとえば、端末装置2,3,4の送信判定パターンデータ29には、以下の5つのパターンが禁止パターンとして定義されている。なお、禁止パターンに替えて、許可パターンを定義しても、あるいは、禁止パターンと組み合わせて例外許可事項となる許可パターンを定義してもよい。たとえば、下記の4番目のパターンの代わりに、許可パターンとして、アクセス可能なIPアドレス(あるいはその範囲(アドレスレンジ))を定義することができる。
1. 所定時間あたりの最大送信パケット量,
2. 同一宛先IPアドレスの異なるポート番号への連続したアクセスの禁止,
3. ブロードキャストアドレスの禁止,
4. アクセス禁止のIPアドレス(あるいはその範囲(アドレスレンジ)),
5. 所定時間あたりの異なるIPアドレスへの接続数が所定の最大値を上回る接続の禁止
2. 同一宛先IPアドレスの異なるポート番号への連続したアクセスの禁止,
3. ブロードキャストアドレスの禁止,
4. アクセス禁止のIPアドレス(あるいはその範囲(アドレスレンジ)),
5. 所定時間あたりの異なるIPアドレスへの接続数が所定の最大値を上回る接続の禁止
管理端末5は、端末装置2,3,4と同様のハードウェア構成を有する。そのため、管理端末5のハードウェア構成には、端末装置2,3,4と同一の符号を付してその図示および説明を省略する。なお、管理端末5の通信デバイス14には、端末装置2,3,4のものとは異なる固有のMACアドレスが割り当てられる。
図4は、図1中の管理端末5の記憶デバイス13に記憶されている記憶データを示す図である。管理端末5のAPプログラム群には、コントローラプログラム31と、インストーラプログラム32とが含まれる。管理端末5のデータ群には、端末装置リスト33と、モニタデータ34と、障害ログデータ35と、インストールデータ36と、が含まれる。これ以外のプログラムおよびデータは、図3に示す端末装置2,3,4のものと同じ機能を実現するものであり、図3と同一の符号を付してその説明を省略する。
端末装置リスト33は、ネットワーク6に接続されたことがある端末装置2,3,4に関する管理情報が、端末装置別に整理されているリストである。端末装置2,3,4に関する管理情報としては、たとえば、その端末装置2,3,4のMACアドレス、端末装置2,3,4のコンピュータ名、ユーザ、設置場所、端末装置2,3,4の各種の設定状態などがある。
モニタデータ34は、現在、ネットワーク6に接続し、イーサネット(登録商標)フレームを送受信することが可能な状態にある端末装置2,3,4のMACアドレスのリストを含むデータである。
障害ログデータ35は、端末装置2,3,4から通知された障害の通知を蓄積したデータである。障害ログデータ35には、具体的にはたとえば、その障害通知を受信した日時と、障害の発生した端末装置2,3,4のMACアドレスとを対応付けたレコードがリストされている。
インストールデータ36は、ネットワーク6を介して端末装置2,3,4にクライアントモニタプログラム23および送信判定パターンデータ29をインストールするためのデータである。
次に、図1に示すコンピュータシステム1の動作を説明する。まず、端末装置2,3,4の動作について説明する。
端末装置2,3,4では、その電源が投入されると、中央処理装置11がOSプログラム群に含まれるプログラム実行管理プログラム21を記憶デバイス13からRAM12へ読み込んで実行する。これにより、プログラム実行管理手段が実現される。プログラム実行管理手段は、プログラムの実行指示待ち状態となる。
このプログラムの実行待ち状態において、たとえばユーザによる入力デバイス15に対する操作に基づいて入力デバイス15からブラウザプログラム28の起動指示が入力されると、プログラム実行管理手段は、ブラウザプログラム28を記憶デバイス13からRAM12へ読み込んで実行する。これにより、ブラウザ手段が実現される。
そして、このブラウザ手段に対して、入力デバイス15から所定のURL(Uniform Resource Locator)のホームページの閲覧要求が入力されると、ブラウザ手段は、そのURLを含む閲覧要求データを送信データとして生成する。
閲覧要求データが生成されると、端末装置2,3,4の中央処理装置11は、通信管理プログラム群におけるデータリンクプログラム22と、クライアントモニタプログラム23と、IPプログラム24と、TCPプログラム25とをRAM12に読み込んで実行する。これにより、データリンク手段と、送信判定手段および送信禁止手段としてのクライアントモニタ45と、付加手段としてのIP通信手段と、付加手段としてのTCP通信手段と、が実現される。
図5は、図1中のコンピュータシステム1において実現される通信プロトコルのスタック構造を示す図である。各端末装置2,3,4では、通信デバイス14による物理層41の上に、データリンク手段によるデータリンク層42と、TCP通信手段およびIP通信手段によるTCP/IP層43と、文章作成手段などからなるアプリケーション層44とが積層されたプロトコルスタックが実現される。また、データリンク層42には、上位層のTCP/IP層43とのインタフェースとしてクライアントモニタ45が含まれている。
そして、まず、TCP通信手段が、アプリケーション層44で生成された閲覧要求データに、TCPヘッダデータを付加する。以下、送信データにTCPヘッダデータが付加されたものをTCPデータと記載する。TCPヘッダデータには、送信元ポート番号、宛先ポート番号、シーケンス番号などが含まれる。送信元ポート番号は、TCPデータの送信元となる自身のポート番号である。宛先ポート番号は、TCPデータの送信先となる他の端末装置2,3,4におけるポート番号である。なお、閲覧要求データを生成するクライアントでは、自身のポート番号は送信データ毎や1回の送信処理毎に異なる番号が割り当てられる。シーケンス番号は、送信データの位置(順番)を示すものであり、送信データ毎に変化する番号である。
次に、IP通信手段は、TCPデータを適宜分割し、分割後の各データにIPヘッダデータを付加して、IPパケットを生成する。以下、送信データにTCPヘッダデータおよびIPヘッダデータが付加されたものをIPデータと記載する。IPヘッダデータには、プロトコル番号、送信元IPアドレス、宛先IPアドレスなどが含まれる。プロトコル番号は、IP通信手段の上位層となるトランスポート層のプロトコルに応じて予め定められた番号が格納される。この場合には、IP通信手段の上位層はTCPなので、「6」が格納される。送信元IPアドレスは、IPデータの送信元となる自身のIPアドレスである。宛先IPアドレスは、閲覧要求データに含まれるURLが割り当てられた他の端末装置2,3,4のIPアドレスである。なお、この他の端末装置2,3,4のIPアドレスが不明である場合には、IP通信手段は、このIPデータの生成に先立って、閲覧要求データに含まれるURLにおけるホスト名に対応するIPアドレスの問合せコマンドを送信し、そのIPアドレスを取得すればよい。
次に、クライアントモニタ45は、送信判定パターンデータ29を参照して、IPヘッダデータおよび/またはTCPヘッダデータに基づいてIPパケット(IPデータ)について、送信しても良いか否かを判定する。
具体的にはたとえば、クライアントモニタ45は、そのIPデータを送信することで所定時間内の合計パケット量が送信判定パターンデータ29に定義されている最大送信パケット量を超えてしまう場合には、そのIPデータの送信を止めるか遅らせる。通常の閲覧要求データの場合には、最大送信パケット量を超えてしまうことは無く、閲覧要求データのIPパケットの送信は止められない。
また、クライアントモニタ45は、そのIPデータを送信することで同一宛先IPアドレスの異なるポート番号への連続したアクセスとなる場合には、そのIPデータの送信を止める。通常の閲覧要求データの場合には、閲覧要求データについての一連のTCPデータ(TCPにおけるパケット)の宛先ポート番号は同一であるので、送信は止められない。
また、クライアントモニタ45は、そのIPデータの宛先IPアドレスがブロードキャストアドレスである場合には、そのIPデータの送信を止める。あるいは、所定時間内に、ブロードキャストアドレスを指定したIPパケットが所定数以上出現した場合に、IPデータの送信を止める。通常の閲覧要求データの場合には、閲覧対象のURLに対応した一意のIPアドレスとなっているので、送信は止められない。
また、クライアントモニタ45は、そのIPデータの宛先IPアドレスがアクセスを禁止されたIPアドレス(あるいはその範囲(アドレスレンジ))である場合には、そのIPデータの送信を止める。通常の閲覧要求データの場合には、閲覧対象のURLに対応したIPアドレスが禁止されていなければ、送信は止められない(通常は、禁止されていない。)。
また、クライアントモニタ45は、そのIPデータの宛先IPアドレスに基づいて、所定時間あたりの異なるIPアドレスへの接続数が所定の最大値を上回る場合には、そのIPデータの送信を止める。通常の閲覧要求データの場合には、接続数の最大値を超えてしまうことは無く、閲覧要求データのIPパケットの送信は止められない。
以上のように、閲覧要求データはすべての禁止パターンに合致しないので、クライアントモニタ45は、これを含むIPデータを送信しても良いと判定する。
次に、データリンク手段は、クライアントモニタ45において送信しても良いと判断されたIPデータに、イーサネット(登録商標)のヘッダを付加してイーサネット(登録商標)フレームを生成し、このイーサネット(登録商標)フレームを通信デバイス14へ出力する。イーサネット(登録商標)のヘッダには、宛先MACアドレス、送信元MACアドレス、タイプヘッダあるいはLLC/SNAPヘッダなどが含まれる。LLC/SNAPヘッダには、タイプヘッダが含まれる。タイプヘッダは、上位層のプロトコルを示す値が含まれる。この例では、データリンク層42の上位層はIP層になっているので、タイプヘッダの値は、IP(IPv4)を示す「0800」となる。なお、送信データがURLを含む閲覧要求データである場合には、宛先IPアドレスはインターネット上のIPアドレスとなるので、宛先MACアドレスは、モデム機器9のMACアドレスとなる。
イーサネット(登録商標)フレームがバス18から入力されると、通信デバイス14は、このイーサネット(登録商標)フレームをCSMA/CD方式にて送信する。通信デバイス14から送信されたイーサネット(登録商標)フレームは、端末装置2,3,4に接続されたケーブル7を介してハブ機器8に入力される。ハブ機器8は、このハブ機器8に接続されている他のすべてのケーブル7へイーサネット(登録商標)フレームを送出する。モデム機器9は、宛先MACアドレスに自身のMACアドレスが指定されているので、このイーサネット(登録商標)フレームを受信する。
また、モデム機器9は、インターネットから閲覧対象のURLのホームページデータを取得したら、宛先MACアドレスを先の端末装置2,3,4のMACアドレスとしたイーサネット(登録商標)フレームを生成し、このイーサネット(登録商標)フレームをネットワーク6へ送信する。
閲覧要求データを含むイーサネット(登録商標)フレームをネットワーク6へ送信した先の端末装置2,3,4の通信デバイス14は、ネットワーク6上のイーサネット(登録商標)フレームを受信し、これを中央処理装置11へ出力する。端末装置2,3,4の中央処理装置11にて実現されるデータリンク手段は、受信したイーサネット(登録商標)フレームの宛先MACアドレスが自分のMACアドレスである場合には、そのイーサネット(登録商標)フレームに含まれるIPデータをクライアントモニタ45に引き渡す。なお、宛先MACアドレスがそれ以外のものである場合には、これを破棄する。
クライアントモニタ45は、このIPデータを自身宛てのものであるか否かをチェックする。そして、先のモデム機器9が生成したイーサネット(登録商標)フレームは自身当てのものではないので、クライアントモニタ45は、IPデータをIP通信手段へ引き渡す。IP通信手段は、このIPデータに含まれるTCPデータをTCP通信手段へ引き渡す。TCP通信手段は、TCPデータに含まれるパケットを、ブラウザ手段へ引き渡す。ブラウザ手段は、パケットに含まれるホームページデータに基づいて表示データを生成し、この表示データに基づく画像を出力デバイス16に出力させる。
以上の一連の通信処理によって、ユーザは、端末装置2,3,4に指定したURLのホームページを、端末装置2,3,4において閲覧することができる。なお、他のAPプログラムにおいてパケットが発生した場合も、端末装置2,3,4においては、基本的に同様の手順にて通信処理が行われる。
ところで、このようなコンピュータシステム1では、閲覧したホームページのデータには、所謂ウィルスプログラムのデータが含まれていることがある。また、図示外のフロッピー(登録商標)ディスクを介して、端末装置2,3,4に所謂ウィルスプログラムのデータが持ち込まれてしまうこともある。これらのウィルスプログラムは、OSプログラム群やAPプログラム群を構成するプログラムなどに組み込まれ、それらの組み込まれてしまったプログラムの実行の際に中央処理装置11に実行され、端末装置2,3,4のユーザなどにとって好ましくない動作を端末装置2,3,4にさせる。
その結果として、ウィルスプログラムが組み込まれてしまった端末装置2,3,4では、ウィルスプログラムが起動すると、その記憶デバイス13が初期化(フォーマット)されてしまったり、他の特定の端末装置2,3,4などに対して攻撃のために送信される多量なパケットが生成されてしまったり、他の任意の端末装置2,3,4などに自身をコピーさせるパケットが生成されてしまったりする。このような不正なパケットがネットワーク6へ送信されてしまうと、コンピュータシステム1内にウィルスが蔓延してしまったり、ネットワーク6のトラフィックが上昇してコンピュータシステム1がダウンしてしまったりすることがある。
この実施の形態1に係る端末装置2,3,4では、上述したように、IP通信手段から出力されるすべての送信のIPパケットは、クライアントモニタ45によってチェックされる。
具体的にはたとえば、この実施の形態1に係る端末装置2,3,4では、送信判定パターンデータ29に、禁止パターンとして最大送信パケット量が定義されている。そして、クライアントモニタ45は、そのIPデータを送信することで所定時間当たりのデータ送信量がその定義されている最大送信パケット量を超えてしまう場合には、そのIPデータの送信を止めるか遅らせる。これにより、クライアントモニタ45は、たとえばブラウザプログラム28などがウィルスなどに感染して一度に多量の送信IPデータを送信しようとしても、その送信を阻止することができる。また、ウィルスに感染した端末装置2,3,4から一度に大量の送信が送信されてしまうことを阻止されるので、ネットワーク6におけるパケットの輻輳を防止することができる。
他にもたとえば、この実施の形態1に係る端末装置2,3,4では、送信判定パターンデータ29に、禁止パターンとして、同一宛先IPアドレスの異なるポート番号への連続したアクセスの禁止が定義されている。そして、クライアントモニタ45は、そのようなIPデータが連続していることを検出したら、そのIPデータの送信を止める。これにより、クライアントモニタ45は、たとえばブラウザプログラム28などがウィルスなどに感染して他の端末装置2,3,4のポートをスキャンしようとしても、そのための送信を阻止することができる。
他にもたとえば、この実施の形態1に係る端末装置2,3,4では、送信判定パターンデータ29に、禁止パターンとして、ブロードキャストアドレスの禁止が定義されている。そして、クライアントモニタ45は、宛先TCPアドレスにそのブロードキャストアドレスが含まれているIPデータを検出したら、そのIPデータの送信を止める。これにより、クライアントモニタ45は、たとえばブラウザプログラム28などがウィルスなどに感染し、その結果として通常のアプリケーションプログラムでは使用しないブロードキャストアドレスを含むIPデータを生成したとしても、その送信を阻止することができる。
他にもたとえば、この実施の形態1に係る端末装置2,3,4では、送信判定パターンデータ29に、禁止パターンとしてアクセスを禁止するIPアドレス(あるいはその範囲(アドレスレンジ))が定義されている。そして、クライアントモニタ45は、宛先TCPアドレスがそのアクセスを禁止するIPアドレスとなっているIPデータを検出したら、そのIPデータの送信を止める。これにより、クライアントモニタ45は、たとえばブラウザプログラム28などがウィルスなどに感染し、その結果としてアクセスを禁止する端末装置2,3,4のIPアドレスを含むIPデータを生成したとしても、その送信を阻止することができる。また、その結果として、クライアントモニタ45は、不特定多数の他の端末装置2,3,4への送信を阻止することができる。
他にもたとえば、この実施の形態1に係る端末装置2,3,4では、送信判定パターンデータ29に、禁止パターンとして所定時間あたりの異なるIPアドレスへの接続数の最大値が定義されている。そして、クライアントモニタ45は、そのIPデータを送信することで所定時間当たりの異なるIPアドレスへの接続数がその定義されている最大値を超えてしまう場合には、そのIPデータの送信を止める。これにより、クライアントモニタ45は、たとえばブラウザプログラム28などがウィルスなどに感染して一度に多量の送信IPデータを送信しようとしても、その送信を阻止することができる。また、ウィルスに感染した端末装置2,3,4から一度に大量の送信が送信されてしまうことを阻止されるので、ネットワーク6におけるパケットの輻輳を防止することができる。
したがって、この実施の形態1の各端末装置2,3,4では、送信判定パターンデータ29に禁止パターンとして定義されたIPデータ以外のもののみがデータリンクへ引き渡され、通信デバイス14からネットワーク6へ実際に送信されることになる。また、この実施の形態1では、ウィルスプログラムが組み込まれてしまった端末装置2,3,4から不正なパケットがネットワーク6へ送信され難くなる。その結果、この実施の形態1に係るコンピュータシステム1では、コンピュータシステム1内にウィルスが蔓延してしまったり、ネットワーク6のトラフィックの上昇によってコンピュータシステム1がダウンしてしまったりすることを効果的に防止することができる。
また、この実施の形態1では、クライアントモニタ45は、データリンク層42において、送信データに付加されているTCPヘッダデータおよびIPヘッダデータに基づいて、送信データの送信を許可するか否かを判定している。したがって、データリンク層42より上位の層で付加されるTCPヘッダデータおよびIPヘッダデータについて送信データの送信の可否を判定することができる。しかも、データリンク層42より上位の層が他のプロトコルによるヘッダデータであったとしても、その異なるプロトコルによるヘッダデータに基づいて、送信データの送信の可否を判定することができる。その結果、クライアントモニタ45は、データリンク層42より上位の層のプロトコルに依存することなく、送信データの送信の可否を判定することができる。
また、この実施の形態1では、各端末装置2,3,4に個別に送信判定パターンデータ29が記憶されている。したがって、端末装置2,3,4毎の利用のされ方に応じてこの送信判定パターンデータ29の内容を端末装置2,3,4毎に設定し、最適な送信判定パターンを設定することができる。
以上のように、この実施の形態1では、クライアントモニタ45は、不正に生成されたIPデータをデータリンク手段へ出力しないようにするので、その不正に生成されたIPデータがネットワーク6に送信されてしまうことを防止している。この他にもたとえば、クライアントモニタ45は、不正なIPデータを検出したら、アドレス(MACアドレス,IPアドレス,TCPのポート番号)単位あるいはプロトコル単位でのデータの送信を禁止したり、ネットワーク6へのすべてのデータの送信を停止したり、APプログラムを終了させたり、自身の端末装置2,3,4を強制的に終了したり、通信デバイス14を強制的に停止させたり、自身の端末装置2,3,4をネットワーク6から切断したり、自身の端末装置2,3,4をネットワーク6から強制的にロックアウトさせたりしてもよい。
また、クライアントモニタ45は、所定の条件に基づき、判定結果を複数レベルのいずれかとし、送信するパケットの判定レベルに応じて、全パケットの送信を禁止するか、ある宛先へのパケットの送信のみを禁止するか、あるいは、あるTCPのポート番号宛へのパケットの送信のみを選択して禁止するようにしてもよい。これにより、発生した事象に応じた規模でパケットの送信を禁止でき、軽度の場合には、正規な通信を続行することができる。
次に、管理端末5のコントローラ46を中心とした実施の形態1に係るコンピュータシステム1の動作を説明する。図5に示すように、管理端末5では、通信デバイス14による物理層41の上に、データリンク層42と、TCP/IP層43と、コントローラ46およびインストーラ47によるアプリケーション層とが積層されたプロトコルスタックが実現される。なお、データリンク層42に、クライアントモニタが含まれていてもよい。
送信禁止指示手段としてのコントローラ46は、周期的にネットワーク6に接続されている端末装置2,3,4の検出処理を行う。たとえば、モデム機器9が割り付けるすべてのIPアドレスに対して通信デバイス14に応答要求を送信させたり、ブロードキャストアドレスにて通信デバイス14に応答要求を送信させたりする。なお、コントローラ46などがブロードキャストアドレスを使用する場合には、このコントローラ46の送信判定パターンデータ29の禁止パターンからブロードキャストアドレスを削除しておく必要がある。そして、コントローラ46は、この応答要求に応じて各端末装置2,3,4が返送してきたイーサネット(登録商標)フレームの送信元MACアドレスをモニタデータ34に記録する。なお、コントローラ46は、ネットワーク6上を伝送されているパケットを傍受し、このパケットに含まれている送信元MACアドレスをモニタデータ34に記録してもよい。
端末装置2,3,4におけるクライアント通知手段としてのクライアントモニタ45は、送信するIPデータのデータリンク手段への引き渡しを止めた場合には、その旨を通知するIPデータを生成し、これをデータリンク手段へ引き渡す。このクライアントモニタ45が生成したIPデータの宛先IPアドレスには、コントローラ46(管理端末5)のIPアドレスが割り付けられている。データリンク手段は、このIPデータを含むイーサネット(登録商標)フレームを生成し、通信デバイス14は、これをネットワーク6へ送信する。管理端末5の通信デバイス14がこのイーサネット(登録商標)フレームを受信すると、記録手段としてのコントローラ46は、そのイーサネット(登録商標)フレームの送信元MACアドレスと日時とを障害ログデータ35に記録する。
そして、ユーザによる入力デバイス15の操作などに応じて、コントローラ46は、端末装置リスト33に登録されている情報、モニタデータ34に登録されている情報、障害ログデータ35に登録されている情報を、出力デバイス16に表示する。特に、障害ログデータ35に登録されているMACアドレスの端末装置2,3,4については、反転表示などによって強調して表示するとよい。これにより、ユーザは、動作中のすべての端末装置2,3,4や、障害が発生しているあるいは発生した端末装置2,3,4を、管理端末5において一元的に把握することができる。
また、コントローラ46は、モニタデータ34のMACアドレスを検索キーとして端末装置リスト33から動作中の端末装置2,3,4の登録情報を抽出し、障害ログデータ35に基づく順番にて端末装置2,3,4の登録情報を出力デバイス16に表示させる。これにより、ユーザが理解し易い情報にて障害ログを出力することができ、ユーザは迅速に障害の発生常態を把握して対応することができる。
次に、管理端末5のインストーラ47を中心とした実施の形態1に係るコンピュータシステム1の動作を説明する。
収集手段およびインストール手段としてのインストーラ47は、ネットワーク6上のすべてのイーサネット(登録商標)フレームを監視し、このネットワーク6上のイーサネット(登録商標)フレームの送信元MACアドレスと、端末装置リスト33に登録されているすべての端末装置2,3,4のMACアドレスとを比較する。そして、端末装置リスト33に登録されていない新たなMACアドレスが収集された場合には、インストーラ47は、その端末装置の管理情報を取得し、これを端末装置リスト33に追加登録する。
また、インストーラ47は、この新たな端末装置に対して、インストールデータ36を送信する。このインストールデータ36は、ネットワーク6を介してその端末装置により受信され、クライアントモニタ45のインストールが自動的にあるいはユーザ認証の後にその端末装置にて実行される。その結果、ネットワーク6に新たに接続された端末装置の記憶デバイス13には、クライアントモニタプログラム23と、送信判定パターンデータ29とが新たに記憶される。そして、この新たな端末装置においてもクライアントモニタ45によって不正なイーサネット(登録商標)フレームの送信が禁止される。
以上のように、この実施の形態1に係るコンピュータシステム1を用いることで、ユーザは、管理端末5において、ネットワーク6に接続されているすべての端末装置2,3,4、その端末装置2,3,4の障害発生状態などを一元的に把握することができる。また、ネットワークに接続されている複数の端末装置2,3,4にウィルスなどによる障害が広がったとしても、その障害を引き起こした端末装置2,3,4のユーザや、端末装置2,3,4の障害発生の順番を、完全ではない場合があるにせよ特定することができる。その結果、その障害を引き起こした端末装置2,3,4のユーザなどに対して個別にウィルス対策などの指導や啓蒙活動を行うことができ、最終的にはコンピュータシステム1のすべての利用者のセキュリティに対する意識の向上を期待することができる。
また、この実施の形態1に係るコンピュータシステム1を用いることで、クライアントモニタ45がインストールされていない端末装置がネットワーク6に接続された場合には、その端末装置に対してクライアントモニタ45および送信判定パターンデータ29を強制的にインストールすることができる。また、インストーラ47によって送信判定パターンデータ29を各端末装置にインストールするので、管理端末5においてその判定パターンデータを管理し、複数の端末装置2,3,4に共通の送信判定パターンデータ29を設定したりすることが可能である。
実施の形態2.
図6は、本発明の実施の形態2に係るコンピュータシステム1の構成を示す構成図である。このコンピュータシステム1は、ネットワーク6と、ネットワーク6に接続される2台の端末装置2,3と、ネットワーク6に接続される1台の管理端末5と、ネットワーク6に接続される1台のネットワーク監視装置10と、を有する。
図6は、本発明の実施の形態2に係るコンピュータシステム1の構成を示す構成図である。このコンピュータシステム1は、ネットワーク6と、ネットワーク6に接続される2台の端末装置2,3と、ネットワーク6に接続される1台の管理端末5と、ネットワーク6に接続される1台のネットワーク監視装置10と、を有する。
ネットワーク6は、実施の形態1の同名のものと同一の機能を有するものであり、これらと同一の符号を付してその図示および説明を省略する。また、端末装置2,3、管理端末5およびネットワーク監視装置10のハードウェア構成は、図2に示す端末装置2,3のハードウェア構成と同じであり、これらと同一の符号を付してその図示および説明を省略する。
図7は、図6中のネットワーク監視装置10の記憶デバイス13に記憶されている記憶データを示す図である。ネットワーク監視装置10のAPプログラム群には、ネットワークモニタプログラム51が含まれる。ネットワーク監視装置10のデータ群には、ネットワーク判定パターンデータ52が含まれる。これ以外のプログラムおよびデータは、図3に示す端末装置2,3のものと同じ機能を実現するものであり、図3と同一の符号を付してその説明を省略する。なお、このネットワーク監視装置10に、後述するクライアントモニタプログラム61を記憶させてもよい。
ネットワーク判定パターンデータ52には、ネットワーク6に不正なIPパケットが伝送されているか否かを判定するための判定パターンを示すデータによって構成されている。具体的にはたとえば、ネットワーク判定パターンデータ52には、以下の5つのパターンが禁止パターンとして定義されている。なお、禁止パターンに替えて、あるいは、禁止パターンと組み合わせて許可パターンを定義してもよい。
1. 端末装置毎の、所定時間あたりの最大送信パケット量,
2. 端末装置毎の、同一宛先IPアドレスの異なるポート番号への連続したアクセスの禁止,
3. 端末装置でのブロードキャストアドレスの使用の禁止,
4. 端末装置毎の、アクセス禁止のIPアドレス(あるいはその範囲(アドレスレンジ))
5. 端末装置毎の、所定時間あたりの異なるIPアドレスへの接続数が所定の最大値を上回る接続の禁止
2. 端末装置毎の、同一宛先IPアドレスの異なるポート番号への連続したアクセスの禁止,
3. 端末装置でのブロードキャストアドレスの使用の禁止,
4. 端末装置毎の、アクセス禁止のIPアドレス(あるいはその範囲(アドレスレンジ))
5. 端末装置毎の、所定時間あたりの異なるIPアドレスへの接続数が所定の最大値を上回る接続の禁止
図8は、図6中の端末装置2,3の記憶デバイス13に記憶されている記憶データを示す図である。端末装置2,3の通信管理プログラム群には、クライアントモニタプログラム61が含まれる。これ以外のプログラムおよびデータは、図3に示す実施の形態1の端末装置2,3,4のものと同じ機能を実現するものであり、図3と同一の符号を付してその説明を省略する。
図9は、図6中の管理端末5の記憶デバイス13に記憶されている記憶データを示す図である。管理端末5のAPプログラム群には、コントローラプログラム71が含まれる。管理端末5のデータ群には、インストールデータ72が含まれる。これ以外のプログラムおよびデータは、図4に示す実施の形態1の管理端末5のものと同じ機能を実現するものであり、図4と同一の符号を付してその説明を省略する。なお、この管理端末5に、クライアントモニタプログラム61を記憶させてもよい。
インストールデータ72は、ネットワーク6を介して端末装置2,3にクライアントモニタプログラム61をインストールするためのデータである。
次に、実施の形態2に係るコンピュータシステム1の動作を説明する。
ネットワーク監視装置10において、中央処理装置11がプログラム実行管理プログラム21を実行し、さらにネットワークモニタプログラム51を実行する。これにより、ネットワーク監視装置10には、図10に示すようなプロトコルスタックが実現される。ネットワーク監視装置10では、通信デバイス14による物理層41の上に、データリンク層42と、TCP/IP層43と、ネットワークモニタ81によるアプリケーション層44とが積層されたプロトコルスタックが実現される。
同様に、端末装置2,3において、中央処理装置11がプログラム実行管理プログラム21を実行し、さらにブラウザプログラム28などのアプリケーションプログラムを実行する。これにより、端末装置2,3には、通信デバイス14による物理層41の上に、クライアントモニタ84を有するデータリンク層42と、TCP/IP層43と、アプリケーションプログラムによるアプリケーション層44とが積層されたプロトコルスタックが実現される。
さらに、管理端末5において、中央処理装置11がプログラム実行管理プログラム21を実行し、さらにコントローラプログラム71およびインストーラプログラム32を実行する。これにより、管理端末5には、通信デバイス14による物理層41の上に、データリンク層42と、TCP/IP層43と、コントローラ82およびインストーラ83によるアプリケーション層44とが積層されたプロトコルスタックが実現される。
そして、ネットワーク監視装置10の通信デバイス14は、ネットワーク6上のイーサネット(登録商標)フレームを受信し、これを中央処理装置11へ出力する。ネットワーク監視装置10の中央処理装置11にて実現されるデータリンク手段は、受信したすべてのイーサネット(登録商標)フレームに含まれるIPデータをIP通信手段およびネットワークモニタ81へ引き渡す。IP通信手段は、このIPデータに含まれるTCPデータをTCP通信手段およびネットワークモニタ81へ引き渡す。
ネットワークモニタ81は、データリンク手段から引き渡されたIPデータおよび/またはIP通信手段から引き渡されたTCPデータとについて、ネットワーク判定パターンデータ52に基づく判定を行う。
具体的にはたとえば、ネットワークモニタ81は、IPデータおよびTCPデータとに基づいて、各端末装置2,3の所定時間あたりの送信パケット量を積算し、これが各端末装置2,3の所定時間あたりの最大送信パケット量を超える場合には、その送信元の端末装置2,3などの通信停止を管理端末5へ要求するための送信データを生成する。
また、ネットワークモニタ81は、IPデータおよびTCPデータとに基づいて、ある端末装置2,3から他のコンピュータの異なるポート番号へ連続したアクセスをしている場合には、その送信元の端末装置2,3の通信停止を管理端末5へ要求するための送信データを生成する。
また、ネットワークモニタ81は、IPデータに、ブロードキャストアドレスが含まれている場合には、その送信元の端末装置2,3の通信停止を管理端末5へ要求するための送信データを生成する。
また、ネットワークモニタ81は、IPデータに、各端末装置2,3がアクセスできないIPアドレス(あるいはその範囲(アドレスレンジ))が含まれる場合には、その送信元の端末装置2,3の通信停止を管理端末5へ要求するための送信データを生成する。
また、ネットワークモニタ81は、IPデータに基づいて、各端末装置2,3の所定時間あたりの送信パケット量をIPアドレス毎に積算し、これが各端末装置2,3の所定時間あたりの接続数の最大値を超える場合には、その送信元の端末装置2,3などの通信停止を管理端末5へ要求するための送信データを生成する。
引き続き、ネットワーク通知手段としてのネットワークモニタ81は、この停止要求を含む送信データを、通信デバイス14から管理端末5へ送信させる。管理端末5の通信デバイス14は、このネットワークモニタ81からのイーサネット(登録商標)フレームを受信し、記録手段としてのコントローラ82は、そのイーサネット(登録商標)フレームの送信元MACアドレスと日時とを障害ログデータ35に記録する。なお、この障害ログデータ35には、実施の形態1と同様に、クライアントモニタ2,3などのクライアントモニタ84から直接に通知された障害も記録される。
また、ユーザによる入力デバイス15の操作などに応じて、コントローラ82は、端末装置リスト33に登録されている情報、モニタデータ34に登録されている情報、障害ログデータ35に登録されている情報を、出力デバイス16に表示する。特に、障害ログデータ35に登録されているMACアドレスの端末装置2,3については、反転表示などによって強調して表示するとよい。これにより、ユーザは、動作中のすべての端末装置2,3や、障害が発生しているあるいは発生した端末装置2,3を、障害ログデータ35の記録などに基づいて、管理端末5において一元的に把握することができる。
また、管理端末5の通信デバイス14がネットワークモニタ81からの不正データの送信元の端末装置2,3の停止要求を含む送信データを受信すると、ユーザ通知手段としてのコントローラ82は、出力デバイス16に停止指示の入力画面を表示するとともに、停止要否を通知する電子メールを生成し、予め登録されているメールアドレスへその電子メールを送信する。
そして、管理端末5の入力デバイス15に停止指示が入力されるか、あるいは、電子メールの返信応答があると、コントローラ82は、不正データの送信元の端末装置2,3の停止指示を含む送信データを生成する。この送信データには、管理端末5のTCP通信手段によってTCPヘッダデータが付加され、IP通信手段によってIPヘッダデータが付加され、データリンク手段によってイーサネット(登録商標)用のヘッダが付加される。このイーサネット(登録商標)フレームは、管理端末5の通信デバイス14からネットワーク6に送信される。このイーサネット(登録商標)フレームの宛先は、不正データの送信元の端末装置2,3とされる。
不正なイーサネット(登録商標)フレームを送信したことをネットワーク監視装置10によって検出された端末装置2,3の通信デバイス14は、管理端末5が送出したイーサネット(登録商標)フレームを受信し、これを中央処理装置11へ出力する。端末装置2,3の中央処理装置11にて実現されるデータリンク手段は、受信したイーサネット(登録商標)フレームの宛先MACアドレスが自分のMACアドレスであるため、そのイーサネット(登録商標)フレームに含まれるIPデータをクライアントモニタ84に引き渡す。そのイーサネット(登録商標)フレームに含まれるIPデータは、クライアントモニタ84に引き渡される。クライアントモニタ84は、停止指示を含むデータが自身宛てのものであるので、これに基づいてすべての送信のIPデータのデータリンク手段への引渡しを停止する。これにより、不正なイーサネット(登録商標)フレームを送信していた端末装置2,3からのイーサネット(登録商標)フレームの送信が、停止する。
以上のように、この実施の形態2に係るコンピュータシステム1では、ネットワーク監視装置10が、ネットワークモニタ81における異常なパケット送信の検出に基づいて、その異常なパケット送信を行っている端末装置2,3からのイーサネット(登録商標)フレームの送信を停止することができる。
それゆえ、この実施の形態2に係るコンピュータシステム1では、ウィルスプログラムが組み込まれてしまった端末装置2,3から不正なパケットがネットワーク6へ送信され続けられることがなくなり、コンピュータシステム1内のウィルスの蔓延や、ネットワーク6のトラフィックの恒常的な上昇を効果的に防止することができる。
なお、コントローラ82によるネットワーク6の管理と、インストーラ83によるネットワーク6に新たに接続された端末装置2,3へのクライアントモニタプログラム61のインストール処理とは、実施の形態1と同様の処理であり、その説明を省略する。
なお、この実施の形態2では、ネットワークモニタ81は、ネットワーク6上の不正なイーサネット(登録商標)フレームを検出したらその送信元の端末装置2,3からのデータ送信を停止させるようにしているが、ネットワークモニタ81は、入力デバイス15などからの停止操作に基づいて停止指示を含む送信データを生成し、これにより任意の端末装置2,3を手動にて停止できるようにしてもよい。
また、この実施の形態2では、ネットワークモニタ81がネットワーク判定パターンデータ52に基づいてネットワーク6全体での異常を判定し、各端末装置2,3のクライアントモニタ84は、このネットワークモニタ81での検出に基づいてパケットの送信を停止している。この他にもたとえば、端末装置2,3のクライアントモニタ84は、実施の形態1のように独自の異常判定に基づいて、パケットの送信を停止するようにしてもよい。
また、この実施の形態2では、ネットワーク監視装置10からの停止要求に基づいて、管理端末5はユーザにその旨を通知するための画面や電子メールを出力している。この他にもたとえば、各端末装置2,3は、不正パケットを検出したときに停止要求を送信し、管理端末5は、これらの停止要求に基づいてユーザにその旨を通知するための画面や電子メールを出力するようにしてもよい。さらに、管理端末5は、これに対して所定の応答があった場合に先の端末装置2,3へ停止指示を送信し、先の端末装置2,3は、この停止指示によって所定の通信停止処理を行うようにしてもよい。
以上の各実施の形態は、本発明の好適な実施の形態の例であるが、本発明はこれに限定されるものではなく、種々の変形、変更が可能である。
上記各実施の形態では、クライアントモニタ45,84が設けられるデータリンク層42は、イーサネット(登録商標)フレームを生成するデータリンク手段で構成されている。この他にもたとえば、クライアントモニタ45,84が設けられるデータリンク層42は、FDDI(Fiber Distributed Data Interface)用のデータリンク手段、ATM(Asynchronous Transfer Mode)用のデータリンク手段、トークンリング用のデータリンク手段などであってもよい。
上記各実施の形態では、クライアントモニタ45,84が設けられるデータリンク層42の上位層は、TCP/IP層43になっている。この他にもたとえば、クライアントモニタ45,84が設けられるデータリンク層42の上位層は、NETBIOS、SNA(DLC)などのTCP/IP以外のプロトコルによって実現されていてもよい。さらに、複数のプロトコルがデータリンク層42の上位層となっていてもよい。
上記各実施の形態では、クライアントモニタ45,84は、データリンク層42と、その上位のネットワーク層との間に実現されている。この他にもたとえば、クライアントモニタ84は、ネットワーク層とその上位のトランスポート層との間に実現されても、トランスポート層とその上位のセッション層(アプリケーション層44)との間に実現されても、アプリケーション層44として実現されてもよい。ただし、上位層になればなるほど、それより下位の層で使用するヘッダ情報にのみ含まれる情報を送信判定パターンに利用することができなくなるので、クライアントモニタ84は、データリンク層42とその上位のネットワーク層との間か、あるいは、それより下位となる物理層41とデータリンク層42との間において実現するのが望ましい。
上記実施の形態2では、ネットワークモニタ81は、アプリケーション層44にて実現されている。この他にもたとえば、ネットワークモニタ81は、トランスポート層とセッション層(アプリケーション層44)との間に実現されても、ネットワーク層とトランスポート層との間に実現されても、データリンク層42とネットワーク層との間に実現されても、物理層41とデータリンク層42との間に実現されてもよい。ただし、下位層になればなるほど、ネットワークモニタ81自身においてイーサネット(登録商標)フレーム毎に分割された送信データの再結合処理などをしなければならなくなるので、ネットワークモニタ81は、なるべく上位層において実現するのが望ましい。
上記実施の形態2において、ネットワーク監視装置10の代わりに、ネットワーク6に接続されたある端末装置に、ネットワーク監視装置10と同様の機能を追加するようにしてもよい。
上記各実施の形態において、管理端末5の代わりに、ネットワーク6に接続されたある端末装置に、管理端末5と同様の機能を追加するようにしてもよい。また、この管理端末5やこの管理者用の端末装置は、端末装置2,3,4と同一にネットワーク(セグメント)に接続されていなくてもよく、通信可能な別のネットワーク(セグメント)に接続されていてもよい。
上記各実施の形態におけるネットワーク6の形態は、ツリー型であるが、バス型など他の形態でもよい。また、インターネットなどの広域網を介して複数の拠点間をL2トンネリングやL3トンネリングにより接続した場合にも、いずれの拠点に存在する端末装置2,3を上述の端末装置2,3,4と同様にし、一括して管理することが可能である。
なお、上述の説明中、「パケット」とは、あるレイヤにおけるデータの通信単位をいい、IPパケット、イーサネット(登録商標)フレームなどを含む概念である。
本発明に係る端末装置、ネットワーク監視装置およびコンピュータシステムは、社内ネットワークを有するコンピュータシステムなどで利用することができる。
1 コンピュータシステム
2,3,4 端末装置
5 管理端末
6 ネットワーク
10 ネットワーク監視装置
11 中央処理装置(付加手段の一部)
14 通信デバイス
16 出力デバイス
24 インターネットプロトコルプログラム(付加手段の一部)
25 トランスポートコントロールプロトコルプログラム(付加手段の一部)
32 データリンク層
35,84 クライアントモニタ(送信判定手段、送信禁止手段)
81 ネットワークモニタ(ネットワーク判定手段、送信禁止指示手段、クライアント通知手段、ネットワーク通知手段)
82 コントローラ(記録手段、ユーザ通知手段)
83 インストーラ(収集手段、インストール手段)
2,3,4 端末装置
5 管理端末
6 ネットワーク
10 ネットワーク監視装置
11 中央処理装置(付加手段の一部)
14 通信デバイス
16 出力デバイス
24 インターネットプロトコルプログラム(付加手段の一部)
25 トランスポートコントロールプロトコルプログラム(付加手段の一部)
32 データリンク層
35,84 クライアントモニタ(送信判定手段、送信禁止手段)
81 ネットワークモニタ(ネットワーク判定手段、送信禁止指示手段、クライアント通知手段、ネットワーク通知手段)
82 コントローラ(記録手段、ユーザ通知手段)
83 インストーラ(収集手段、インストール手段)
Claims (14)
- 該端末装置からネットワークを介して他の端末装置へ送信する送信データに、その送信データを送信するためのヘッダデータを付加し、パケットを生成する付加手段と、
一連のパケットにおける上記ヘッダデータに基づいて上記パケットの送信を許可するか否かを判定する送信判定手段と、
上記送信判定手段において送信が許可されたパケットを上記ネットワークへ送信する通信デバイスと、
上記送信判定手段において送信が許可されないパケットが発生した場合に、少なくともその許可されなかったパケットの上記通信デバイスから上記ネットワークへの送信を禁止する送信禁止手段と、
を有することを特徴とする端末装置。 - 前記送信判定手段は、データリンク層あるいはそれ以下の層において、その層よりも上位の層でパケットに付加されるヘッダデータに基づいて、パケットの送信を許可するか否かを判定することを特徴とする請求項1記載の端末装置。
- 前記送信判定手段は、一定期間内での同一宛先へのパケット量が所定の最大値を超える場合、一定期間内に不特定の宛先へのパケットの量が所定の最大値を超える場合、アクセスが禁止されている端末装置へのパケットの場合、および所定時間あたりの異なる端末装置への接続数が所定の最大値を上回る場合の中の少なくとも1つの場合には、パケットの送信を許可しないと判定することを特徴とする請求項1記載の端末装置。
- 前記送信判定手段は、一連のパケットがポートスキャンに使用されていると判定した場合、パケットの送信を許可せず、
前記送信禁止手段は、全パケットの送信を禁止すること、
を特徴とする請求項1記載の端末装置。 - 前記送信判定手段は、所定の条件に基づき、判定結果を複数レベルのいずれかとし、
前記送信禁止手段は、前記送信判定手段の判定したレベルに応じて、全パケットの送信を禁止するか、ある宛先へのパケットの送信のみを禁止するか、あるいは、あるTCPのポート番号宛へのパケットの送信のみを禁止すること、
を特徴とする請求項1記載の端末装置。 - ネットワーク上を伝送されているパケットを傍受する通信デバイスと、
上記パケット内のヘッダデータに基づいて、上記パケットが不正通信のパケットか否かを判断するネットワーク判定手段と、
上記ネットワーク判定手段において不正なパケットであると判定された場合に、そのパケットを送信した端末装置に、それ以降の一部のあるいはすべてのパケットの送信を禁止させる送信禁止指示手段と、
を有することを特徴とするネットワーク監視装置。 - 前記ネットワーク判定手段は、一定期間内での同一宛先へのパケット量が所定の最大値を超える場合、一定期間内に不特定の宛先へのパケットの量が所定の最大値を超える場合、アクセスが禁止されている端末装置へのパケットの場合、および所定時間あたりの異なる端末装置への接続数が所定の最大値を上回る場合の中の少なくとも1つの場合には、そのパケットを不正と判断することを特徴とする請求項6記載のネットワーク監視装置。
- 前記ネットワーク判定手段は、あるの端末装置からの一連のパケットがポートスキャンに使用されていると判定した場合、その端末装置によるパケットの送信を許可せず、
前記送信禁止指示手段は、その端末装置に全パケットの送信を禁止させること、
を特徴とする請求項6記載のネットワーク監視装置。 - 前記ネットワーク判定手段は、所定の条件に基づき、判定結果を複数レベルのいずれかとし、
前記送信禁止指示手段は、前記送信判定手段の判定したレベルに応じて、前記端末装置に全パケットの送信を禁止させるか、ある宛先へのパケットの送信のみを禁止させるか、あるいは、あるTCPのポート番号宛へのパケットの送信のみを禁止させること、
を特徴とする請求項6記載のネットワーク監視装置。 - 請求項1記載の端末装置と、
前記ネットワークに接続される通信デバイス、およびこの通信デバイスにより受信された前記端末装置からの通知をログデータとして記録する記録手段を有する管理端末とを備え、
前記端末装置は、前記通信判定手段により送信が許可されないパケットが発生した場合に、前記通信デバイスに、その旨の通知を上記管理端末へ送信させるクライアント通知手段を有すること、
を特徴とするコンピュータシステム。 - 前記管理端末は、前記ネットワークに接続された端末装置の情報を収集する収集手段と、上記収集手段により収集された情報に基づき、前記送信禁止手段が実行されていない端末装置を検出し、その端末装置へ、前記送信禁止手段を実現するためのプログラムを送信し、そのプログラムをインストールさせることでその端末装置に前記送信禁止手段を実装させるインストール手段とを有することを特徴とする請求項10記載のコンピュータシステム。
- 前記管理端末は、前記端末装置の送信判定手段における判定条件の情報を前記端末装置へ送信し、
前記端末装置は、前記管理端末からの判定条件の情報を受信し、その判定条件に基づいて判定を行うこと、
を特徴とする請求項10記載のコンピュータシステム。 - 請求項4記載のネットワーク監視装置と、
前記ネットワークに接続される通信デバイス、およびこの通信デバイスにより受信された前記ネットワーク監視装置からの通知をログデータとして記録する記録手段を有する管理端末とを備え、
前記ネットワーク監視装置は、前記ネットワーク判定手段により不正パケットが検出された場合に、前記通信デバイスに、その旨の通知を上記管理端末へ送信させるネットワーク通知手段を有すること、
を特徴とするコンピュータシステム。 - 前記管理端末は、前記ネットワーク監視装置のネットワーク判定手段における判定条件の情報を前記ネットワーク監視装置へ送信し、
前記ネットワーク監視装置は、前記管理端末からの判定条件の情報を受信し、その判定条件に基づいて判定を行うこと、
を特徴とする請求項13記載のコンピュータシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003375154A JP2005142692A (ja) | 2003-11-05 | 2003-11-05 | 端末装置、ネットワーク監視装置およびコンピュータシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003375154A JP2005142692A (ja) | 2003-11-05 | 2003-11-05 | 端末装置、ネットワーク監視装置およびコンピュータシステム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005142692A true JP2005142692A (ja) | 2005-06-02 |
Family
ID=34686597
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003375154A Pending JP2005142692A (ja) | 2003-11-05 | 2003-11-05 | 端末装置、ネットワーク監視装置およびコンピュータシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005142692A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012015762A (ja) * | 2010-06-30 | 2012-01-19 | Hitachi Systems Ltd | リモート監視システムにおけるエージェント実装方式 |
-
2003
- 2003-11-05 JP JP2003375154A patent/JP2005142692A/ja active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012015762A (ja) * | 2010-06-30 | 2012-01-19 | Hitachi Systems Ltd | リモート監視システムにおけるエージェント実装方式 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4327698B2 (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
JP4072150B2 (ja) | ホストベースのネットワーク侵入検出システム | |
JP4827972B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
US20060230456A1 (en) | Methods and apparatus to maintain telecommunication system integrity | |
JP2008177714A (ja) | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 | |
JP2004304752A (ja) | 攻撃防御システムおよび攻撃防御方法 | |
SE524963C2 (sv) | Nod och mobil anordning för ett mobiltelekommunikationsnätverk som tillhandahåller intrångsdetektering | |
WO2010003317A1 (zh) | 一种防止网页被篡改的设备、方法和系统 | |
KR20050120875A (ko) | 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템 | |
JP2008092465A (ja) | コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 | |
JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
EP1720315B1 (en) | Network management and administration by monitoring network traffic and vulnerability scanning | |
JP2007183773A (ja) | サーバ監視プログラム、サーバ監視装置、サーバ監視方法 | |
US8234503B2 (en) | Method and systems for computer security | |
JP2007323428A (ja) | ボット検出装置、ボット検出方法、およびプログラム | |
JP2007325293A (ja) | 攻撃検知システムおよび攻撃検知方法 | |
JP4437107B2 (ja) | コンピュータシステム | |
JP2003258795A (ja) | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム | |
CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
JP2008141352A (ja) | ネットワークセキュリティシステム | |
US8149723B2 (en) | Systems and methods for discovering machines | |
JP2005142692A (ja) | 端末装置、ネットワーク監視装置およびコンピュータシステム | |
JP2007174406A (ja) | 不正アクセス防止装置および不正アクセス防止プログラム | |
JP2006330926A (ja) | ウィルス感染検知装置 |