JP2006332997A - Communication management device, network system, communication disconnecting method, and program - Google Patents

Communication management device, network system, communication disconnecting method, and program Download PDF

Info

Publication number
JP2006332997A
JP2006332997A JP2005152820A JP2005152820A JP2006332997A JP 2006332997 A JP2006332997 A JP 2006332997A JP 2005152820 A JP2005152820 A JP 2005152820A JP 2005152820 A JP2005152820 A JP 2005152820A JP 2006332997 A JP2006332997 A JP 2006332997A
Authority
JP
Japan
Prior art keywords
communication
connection port
relay device
network
relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005152820A
Other languages
Japanese (ja)
Inventor
Satoshi Tanimura
聡 谷村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005152820A priority Critical patent/JP2006332997A/en
Publication of JP2006332997A publication Critical patent/JP2006332997A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a communication device that gathers terminal information at low cost to disconnect illegal communication and has a small decrease in serviceability. <P>SOLUTION: The communication management device 10, an illegal communication detecting device 30, and a communication repeating device 40 are connected to a TCP/IP network 20. The communication management device 10 is equipped with a device connection constitution management section 11 which manages information on a connection between the illegal communication device 30 and communication repeating device 40, an illegal communication record gathering and analysis section 12 which gathers and analyzes illegal communication records related to a communication device that the illegal communication detecting device 30 has and then specifies the communication device having performed illegal communication, a communication repeating device retrieval section 13 which specifies the communication repeating device 40 and a connection port 45 to which the communication device is connected based upon information regarding the specified communication device, and a communication repeating device connection port disconnection section 14 which instructs the communication repeating device 40 to place the connection port 45 in an unusable state. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、通信管理装置、ネットワークシステム、ネットワークシステムにおける通信遮断方法、およびプログラムに係り、特に、不正な通信を遮断するネットワークシステム、このネットワークシステムにおける通信管理装置、ネットワークシステムにおける不正な通信を遮断する方法、およびにプログラム係る。   The present invention relates to a communication management device, a network system, a communication blocking method in a network system, and a program, and in particular, a network system that blocks unauthorized communication, a communication management device in the network system, and blocking unauthorized communication in a network system. A method and a program.

インターネットの普及と共に、様々な電子メールのやり取りやWEBサイトへのアクセスが急激な拡大を見せている。これに伴い、不正な攻撃や侵入、情報改竄といった不当なアクセスも増大している。これらは、ウィルスやワームに感染した装置がユーザの意図と関わりなく不当なアクセスを行う場合も多く、このような装置からの不正な通信を遮断するシステムが必要とされる。   With the spread of the Internet, the exchange of various e-mails and access to WEB sites are rapidly increasing. Along with this, unauthorized access such as unauthorized attacks, intrusions, and information tampering is also increasing. In many cases, a device infected with a virus or worm performs unauthorized access regardless of the user's intention, and a system for blocking unauthorized communication from such a device is required.

このようなシステムとして、例えば、特許文献1にネットワーク管理システムが開示されている。このシステムは、ホスト名(識別キー)、ユーザID(Identification Number)、IP(Internet Protocol)アドレス、MAC(Media Access Control)アドレス等の端末情報によって認証されている端末のみがネットワークにアクセスできるようにし、ネットワークのセキュリティを確保するものである。   As such a system, for example, Patent Document 1 discloses a network management system. This system allows only terminals authenticated by terminal information such as host name (identification key), user ID (Identification Number), IP (Internet Protocol) address, MAC (Media Access Control) address, etc. to access the network. , To ensure network security.

また、特許文献2には、管理対象ネットワーク及び管理対象ネットワーク内の計算機に対して攻撃が行われる前に、攻撃を仕掛けてくる可能性のある攻撃元計算機や攻撃元計算機が接続されているネットワークを認識することにより、実際に攻撃を受ける前に適切な予防措置をとれるようにするネットワーク遮断システムが開示されている。   Further, Patent Document 2 discloses an attack source computer or a network to which an attack source computer that may be attacked before an attack is performed on the management target network and the computers in the management target network. By recognizing the network, a network blocking system is disclosed that enables appropriate precautions to be taken before an actual attack.

このシステムは、管理対象ネットワーク以外のネットワークに設置されたネットワーク監視装置によって、管理対象ネットワーク以外のネットワークに対して攻撃を行っている攻撃元計算機或いは攻撃元計算機が接続されている攻撃元ネットワークが検出されると、管理対象ネットワークに対する攻撃が行われていなくとも、ネットワーク遮断判定装置が管理対象ネットワークと攻撃元計算機との間の通信或いは管理対象ネットワークと攻撃元ネットワークとの間の通信を遮断するものである。   This system detects an attack source computer that is attacking a network other than the managed network or an attack source network to which the attack source computer is connected by a network monitoring device installed in a network other than the managed network. If the managed network is not attacked, the network blockage judgment device blocks communication between the managed network and the attack source computer or between the managed network and the attack source network. It is.

特開2002-141916号公報JP 2002-141916 A 特開2005-12606号公報Japanese Patent Laid-Open No. 2005-12606

ところで特許文献1に記載のネットワーク管理システムは、接続されている端末の情報を収集して管理テーブルに保持している。そしてこの管理テーブルの内容に基づいてポートの使用の許可/禁止を決定している。このため端末情報を収集する手順が必要となり、端末の数が多い場合に、いわば収集のためのコストが増大することになる。   Incidentally, the network management system described in Patent Document 1 collects information of connected terminals and holds it in a management table. Based on the contents of this management table, permission / prohibition of port use is determined. For this reason, a procedure for collecting terminal information is necessary, and when the number of terminals is large, the cost for collection increases.

一方、特許文献2に記載のネットワーク遮断システムは、管理対象ネットワークと監視対象のネットワークとが分かれており、ネットワーク監視装置とネットワーク中継装置もそれぞれのネットワークに設置されている。このようなネットワーク遮断システムでは、管理対象ネットワークに対する攻撃が行われていない場合であっても、管理対象ネットワークと攻撃元計算機あるいは攻撃元ネットワークとの間の通信を遮断することがある。したがって、管理対象ネットワークに接続している攻撃元ではない計算機(端末)の通信も遮断される可能性があり、サービス性が低下する虞がある。   On the other hand, in the network interruption system described in Patent Document 2, a management target network and a monitoring target network are separated, and a network monitoring device and a network relay device are also installed in each network. In such a network blocking system, communication between the managed network and the attack source computer or the attack source network may be blocked even when an attack is not performed on the managed network. Therefore, there is a possibility that communication of a computer (terminal) that is not an attack source connected to the management target network may be blocked, and serviceability may be deteriorated.

したがって、本発明の目的は、不正な通信を遮断するために端末情報の収集を行う際のコストが低く、サービス性の低下の少ない通信管理装置、ネットワークシステム、ネットワークシステムにおける通信遮断方法、およびプログラムを提供することにある。   Accordingly, an object of the present invention is to provide a communication management device, a network system, a communication blocking method in a network system, and a program that are low in the cost of collecting terminal information to block unauthorized communication and have little deterioration in serviceability. Is to provide.

本発明の一つのアスペクトに係る通信管理装置は、ネットワークに接続され、該ネットワークに接続される通信検出装置と通信中継装置との接続情報を管理する通信管理装置である。この装置は、通信検出装置において検出条件に適合する通信を検出して保持される通信記録を参照する手段と、通信記録の内容を元に、検出条件に適合する通信を実行した通信装置が接続されている通信中継装置の接続口を特定する手段と、該接続口の状態を使用不可能な状態に変更するように該通信中継装置に指示する手段と、を備える。   A communication management apparatus according to one aspect of the present invention is a communication management apparatus that is connected to a network and manages connection information between a communication detection apparatus and a communication relay apparatus connected to the network. This device is connected to means for referring to a communication record that is detected and held in a communication that matches the detection condition in the communication detection device, and a communication device that has executed communication that matches the detection condition based on the content of the communication record. Means for specifying the connection port of the communication relay device being used, and means for instructing the communication relay device to change the state of the connection port to an unusable state.

第1の展開形態の通信管理装置において、通信中継装置は、接続する通信装置の通信を許可するあるいは拒否することを表す中継規則保持部を含み、検出条件に適合する通信を実行した通信装置に関する中継規則保持部の内容を許可から拒否に変更させることが好ましい。   In the communication management apparatus according to the first development mode, the communication relay apparatus includes a relay rule holding unit that represents permission or denial of communication of a connected communication apparatus, and relates to a communication apparatus that has performed communication that meets detection conditions. It is preferable to change the content of the relay rule holding unit from permission to rejection.

本発明の他のアスペクトに係る通信管理装置は、ネットワークに接続される通信検出装置と通信中継装置との接続情報を管理する装置接続構成管理部と、通信検出装置が有する通信装置に関する通信記録を収集して分析し、分析結果に基づく通信を実行した通信装置を特定する通信記録収集分析部と、通信記録収集分析部が特定した通信装置に関する情報を元に、通信装置が接続されている通信中継装置および該通信中継装置の接続口を特定する通信中継装置検索部と、特定した接続口の状態を使用不可能な状態にするように該通信中継装置に指示する通信中継装置接続口遮断部と、を備える。   A communication management device according to another aspect of the present invention includes a device connection configuration management unit that manages connection information between a communication detection device connected to a network and a communication relay device, and a communication record related to the communication device included in the communication detection device. A communication record collection analysis unit that identifies a communication device that has collected, analyzed, and executed communication based on the analysis result, and a communication to which the communication device is connected based on information about the communication device specified by the communication record collection analysis unit Communication relay device search unit for specifying a relay device and a connection port of the communication relay device, and a communication relay device connection port blocking unit for instructing the communication relay device to make the specified connection port unusable And comprising.

第2の展開形態の通信管理装置において、接続口は、IPアドレスを有し、通信装置を接続するポートであってもよい。   In the communication management apparatus according to the second development form, the connection port may be an IP address and a port for connecting the communication apparatus.

本発明の一つのアスペクトに係るネットワークシステムは、通信管理装置と、通信記録を記録する通信記録部を備える通信検出装置と、通信装置を接続して、ネットワークに中継する通信中継装置と、を備える。   A network system according to an aspect of the present invention includes a communication management device, a communication detection device including a communication recording unit that records communication records, and a communication relay device that connects the communication devices and relays them to the network. .

本発明の一つのアスペクトに係るネットワークシステムにおける通信遮断方法は、ネットワークに接続される通信検出装置と通信中継装置との接続情報を管理するステップと、通信検出装置から通信記録を収集して分析し、分析結果に基づく通信を実行した通信装置を特定するステップと、ネットワーク上の全通信中継装置から、それぞれの通信中継装置が持つ各接続口のIPアドレス情報を検索するステップと、特定した通信装置が接続されている通信中継装置と該通信中継装置の接続口とを特定するステップと、特定された接続口の状態を使用可能から使用不可能に変更するステップと、を含む。   A communication blocking method in a network system according to an aspect of the present invention includes a step of managing connection information between a communication detection device connected to a network and a communication relay device, and collecting and analyzing communication records from the communication detection device. A step of identifying a communication device that has performed communication based on the analysis result, a step of retrieving IP address information of each connection port of each communication relay device from all communication relay devices on the network, and the identified communication device Including a step of identifying a communication relay device to which the communication relay is connected and a connection port of the communication relay device, and a step of changing the state of the identified connection port from usable to unusable.

本発明の他のアスペクトに係るネットワークシステムにおける通信遮断方法は、ネットワークに接続され、該ネットワークに接続される通信検出装置と通信中継装置との接続情報を管理する通信管理装置が該通信中継装置に接続される通信装置の通信を遮断する方法であって、通信検出装置が有する検出条件に適合して検出された通信の記録の内容に基づいて、該検出された通信を実行した通信装置を割り出すステップと、通信を実行した通信装置が接続されている通信中継装置と該通信中継装置の接続口を特定するステップと、特定した接続口の状態を使用不可能な状態に変更するように指示するステップと、を含む。   According to another aspect of the present invention, there is provided a communication blocking method in a network system, wherein a communication management apparatus that manages connection information between a communication detection apparatus and a communication relay apparatus connected to the network is connected to the communication relay apparatus. A method of blocking communication of a connected communication device, and determining a communication device that has executed the detected communication based on the content of a communication record detected in conformity with a detection condition of the communication detection device Specifying a communication relay device to which a communication device that has performed communication is connected and a connection port of the communication relay device; and instructing to change the status of the specified connection port to an unusable state Steps.

第1の展開形態のネットワークシステムにおける通信遮断方法において、特定された通信中継装置における中継規則の内容に関し、通信を実行した通信装置の通信を許可から拒否に変更するステップをさらに含んでもよい。   The communication blocking method in the network system according to the first development mode may further include a step of changing the communication of the communication device that has performed communication from permitted to denied regarding the contents of the relay rule in the identified communication relay device.

本発明の一つのアスペクトに係るプログラムは、ネットワークに接続され、該ネットワークに接続される通信検出装置と通信中継装置との接続情報を管理する通信管理装置のコンピュータを、通信検出装置において検出条件に適合する通信を検出して保持される通信記録を参照する手段、通信記録の内容を元に、検出条件に適合する通信を実行した通信装置が接続されている通信中継装置の接続口を特定する手段、該接続口の状態を使用不可能な状態に変更するように該通信中継装置に指示する手段、として機能させる。   According to one aspect of the present invention, a program for a communication management device that manages connection information between a communication detection device and a communication relay device connected to a network is used as a detection condition in the communication detection device. A means for referring to a communication record that is detected and held by matching communication, and identifying a connection port of a communication relay device to which a communication device that has performed communication that meets the detection condition is connected based on the content of the communication record And means for instructing the communication relay apparatus to change the state of the connection port to an unusable state.

本発明の他のアスペクトに係るプログラムは、ネットワークに接続され、該ネットワークに接続される通信検出装置と通信中継装置との接続情報を管理する通信管理装置のコンピュータが該通信中継装置に接続される通信装置の通信を遮断するために、通信検出装置が検出した通信の記録の内容に基づいて、検出した通信を実行した通信装置を割り出す処理と、通信を実行した通信装置が接続されている通信中継装置と該通信中継装置の接続口を特定する処理と、特定した接続口の状態を使用不可能な状態に変更するように該通信中継装置に指示する処理と、を実行する。   A program according to another aspect of the present invention is connected to a network, and a computer of a communication management apparatus that manages connection information between a communication detection apparatus and a communication relay apparatus connected to the network is connected to the communication relay apparatus. In order to cut off the communication of the communication device, a process for determining the communication device that has executed the detected communication based on the content of the communication record detected by the communication detection device, and the communication to which the communication device that has executed the communication is connected Processing for specifying the relay device and the connection port of the communication relay device, and processing for instructing the communication relay device to change the state of the specified connection port to an unusable state are executed.

本発明によれば、不正な通信の記録の内容に基づいて不正な通信を実行した通信装置の通信を遮断して通信装置を切り離す。したがって、全ての通信装置の情報を収集する必要がないので、情報収集のためのコストが低い。また、管理対象となるネットワークに接続している攻撃元ではない通信装置の通信が遮断される可能性が少なく、サービス性の低下が軽減される。   According to the present invention, communication of a communication device that has executed unauthorized communication based on the content of the unauthorized communication record is blocked and the communication device is disconnected. Therefore, since it is not necessary to collect information of all communication devices, the cost for collecting information is low. In addition, there is little possibility that communication of a communication device that is not an attack source connected to the network to be managed is blocked, and a reduction in serviceability is reduced.

本発明の実施形態に係るネットワークシステムは、通信管理装置(図1の10)、不正通信検出装置(図1の30)、通信中継装置(図1の40)をTCP/IP(Transmission Control Protocol/Internet Protocol)ネットワーク(図1の20)で接続している。通信中継装置(図1の40)は、通信装置(図1の50)の通信を中継し、TCP/IPネットワーク(図1の20)に接続する。通信管理装置(図1の10)は、装置接続構成管理部(図1の11)と不正通信記録収集分析部(図1の12)と通信中継装置検索部(図1の13)と通信中継装置接続口遮断部(図1の14)を含む。装置接続構成管理部(図1の11)は、TCP/IPネットワーク(図1の20)に接続される不正通信検出装置(図1の30)と通信中継装置(図1の40)との接続情報を管理する。不正通信記録収集分析部(図1の12)は、装置接続構成管理部(図1の11)が管理している不正通信検出装置(図1の30)が持つ不正通信記録を収集して分析し、不正通信を実行した通信装置を特定する。通信中継装置検索部(図1の13)は、不正通信記録収集分析部(図1の12)が特定した通信装置の情報について不正通信を実行した通信装置が接続されている通信中継装置および通信中継装置の接続口を特定する。通信中継装置接続口遮断部(図1の14)は、通信中継装置検索部(図1の13)が検出した通信中継装置の接続口の状態を使用不可能な状態にするように通信中継装置(図1の40)に指示する。通信中継装置(図1の40)は、指示された接続口の状態を使用不可能にする。なお、ここで不正な通信あるいは不正通信とは、予め定めた検出条件に適合する通信、具体的には予め定めたパターンに符合する内容や順序であるデータを含んで通信されるものをいう。   The network system according to the embodiment of the present invention includes a communication management device (10 in FIG. 1), an unauthorized communication detection device (30 in FIG. 1), and a communication relay device (40 in FIG. 1) as TCP / IP (Transmission Control Protocol / Internet Protocol) network (20 in FIG. 1). The communication relay device (40 in FIG. 1) relays communication of the communication device (50 in FIG. 1) and connects to the TCP / IP network (20 in FIG. 1). The communication management device (10 in FIG. 1) includes a device connection configuration management unit (11 in FIG. 1), an unauthorized communication record collection / analysis unit (12 in FIG. 1), a communication relay device search unit (13 in FIG. 1), and a communication relay. It includes a device connection port blocking part (14 in FIG. 1). The device connection configuration management unit (11 in FIG. 1) connects the unauthorized communication detection device (30 in FIG. 1) and the communication relay device (40 in FIG. 1) connected to the TCP / IP network (20 in FIG. 1). Manage information. The unauthorized communication record collection / analysis unit (12 in FIG. 1) collects and analyzes the unauthorized communication records held by the unauthorized communication detection device (30 in FIG. 1) managed by the device connection configuration management unit (11 in FIG. 1). Then, the communication device that has performed unauthorized communication is identified. The communication relay device search unit (13 in FIG. 1) is connected to the communication relay device and the communication to which the communication device that has performed unauthorized communication with respect to information on the communication device specified by the unauthorized communication record collection analysis unit (12 in FIG. 1) is connected. Identify the connection port of the relay device. The communication relay device connection port blocking unit (14 in FIG. 1) sets the communication relay device connection port detected by the communication relay device search unit (13 in FIG. 1) to an unusable state. (40 in FIG. 1). The communication relay device (40 in FIG. 1) disables the designated connection port status. Here, the unauthorized communication or the unauthorized communication refers to communication that conforms to a predetermined detection condition, specifically, communication that includes data that is content or order that conforms to a predetermined pattern.

以上のように通信管理装置(図1の10)は、不正通信検出装置(図1の30)が検出した不正な通信の記録の内容に基づいて不正な通信を実行した装置を割り出し、不正な通信を実行した装置が接続されている通信中継装置(図1の40)とその接続口(図1の45)を特定する。そして通信管理装置(図1の10)は、検出した接続口の状態を使用不可能な状態に変更させる。これにより、不正な通信を実行する通信装置がネットワークから切り離され、不正な通信によるネットワーク上への被害の拡大が防止される。この際、通信管理装置(図1の10)は、全ての通信装置の情報を収集することがないので、情報収集のためのコストが低い。また、管理対象となるネットワークに接続している攻撃元ではない通信装置の通信が遮断される可能性が少なく、サービス性の低下が軽減される。以下、実施例に即し、図面を参照して詳しく説明する。   As described above, the communication management device (10 in FIG. 1) determines the device that has executed unauthorized communication based on the content of the unauthorized communication record detected by the unauthorized communication detection device (30 in FIG. 1). The communication relay device (40 in FIG. 1) and the connection port (45 in FIG. 1) to which the device that has performed communication is connected are specified. Then, the communication management device (10 in FIG. 1) changes the detected connection port state to an unusable state. As a result, the communication device that executes unauthorized communication is disconnected from the network, and the spread of damage on the network due to unauthorized communication is prevented. At this time, since the communication management device (10 in FIG. 1) does not collect information of all the communication devices, the cost for collecting information is low. In addition, there is little possibility that communication of a communication device that is not an attack source connected to the network to be managed is blocked, and a reduction in serviceability is reduced. Hereinafter, it will be described in detail with reference to the drawings in accordance with embodiments.

図1は、本発明の第1の実施例に係るネットワークシステムの構成を示すブロック図である。図1において、ネットワークシステムは、通信管理装置10とTCP/IPネットワーク20と不正通信検出装置30と通信中継装置40と通信装置50とから構成される。   FIG. 1 is a block diagram showing the configuration of a network system according to the first embodiment of the present invention. In FIG. 1, the network system includes a communication management device 10, a TCP / IP network 20, an unauthorized communication detection device 30, a communication relay device 40, and a communication device 50.

通信管理装置10は、装置接続構成管理部11と不正通信記録収集分析部12と通信中継装置検索部13と通信中継装置接続口遮断部14とを備え、TCP/IPネットワーク20に接続される。   The communication management device 10 includes a device connection configuration management unit 11, an unauthorized communication record collection / analysis unit 12, a communication relay device search unit 13, and a communication relay device connection port blocking unit 14, and is connected to the TCP / IP network 20.

装置接続構成管理部11は、TCP/IPネットワーク20に接続される不正通信検出装置30との接続情報を管理する。   The device connection configuration management unit 11 manages connection information with the unauthorized communication detection device 30 connected to the TCP / IP network 20.

不正通信記録収集分析部12は、不正通信検出装置30の不正通信記録部31において記録されている不正通信記録を収集し、収集した記録情報を基に不正通信を実行した通信装置、例えば通信装置50を特定する。   The unauthorized communication record collection / analysis unit 12 collects unauthorized communication records recorded in the unauthorized communication recording unit 31 of the unauthorized communication detection device 30, and executes a communication device based on the collected record information, for example, a communication device. 50 is specified.

通信中継装置検索部13は、不正通信記録収集分析部12が特定した通信装置50の情報を元に、通信装置50が接続されている通信中継装置40と、通信中継装置40における接続口45を特定する。この特定のために、例えば、通信中継装置40のMIB(Management Information Base)情報を収集して分析する。なお、MIB情報とは、インターネット標準化団体であるIETF(Internet Engineering Task Force)にて定められている、ネットワーク管理情報の構造とそのデータベースに関する情報である。   Based on the information on the communication device 50 specified by the unauthorized communication record collection / analysis unit 12, the communication relay device search unit 13 determines the communication relay device 40 to which the communication device 50 is connected and the connection port 45 in the communication relay device 40. Identify. For this identification, for example, MIB (Management Information Base) information of the communication relay device 40 is collected and analyzed. The MIB information is information relating to the structure of the network management information and the database defined by the Internet Engineering Task Force (IETF), which is an Internet standardization organization.

より具体的には、通信中継装置40の有するMIB情報を読み取って、以下のような情報を取得する。
・装置名
・接続口インデックス識別子
・接続口に接続されている通信装置のIPアドレス
・接続口の使用状態(接続/切断) More specifically, the following information is acquired by reading the MIB information of the communication relay device 40.
-Device name-Connection port index identifier-IP address of the communication device connected to the connection port-Connection port usage status (connected / disconnected)

通信中継装置接続口遮断部14は、通信中継装置検索部13が取得した情報を元に、必要に応じて通信中継装置40が持つMIB情報を書き換える。例えば、「接続口の使用状態」の情報を「接続」から「切断」に書き換える。この書き換えによって、通信中継装置40の接続口45を使用した通信が不可能となり、結果として通信装置50の通信が遮断されることになる。このとき、通信中継装置40の接続口45に通信装置50が接続されていても通信自体が不可能の状態になる。したがって、通信装置50の利用者から見れば、該当の通信中継装置40は、通信装置50が接続されているにもかかわらず使用できないため、あたかも物理的に遮断されているかのように見えることとなる。   The communication relay device connection port blocking unit 14 rewrites the MIB information of the communication relay device 40 as necessary based on the information acquired by the communication relay device search unit 13. For example, the “connection port usage state” information is rewritten from “connected” to “disconnected”. By this rewriting, communication using the connection port 45 of the communication relay device 40 becomes impossible, and as a result, communication of the communication device 50 is cut off. At this time, even if the communication device 50 is connected to the connection port 45 of the communication relay device 40, communication itself becomes impossible. Therefore, from the viewpoint of the user of the communication device 50, since the corresponding communication relay device 40 cannot be used even though the communication device 50 is connected, it appears as if it is physically blocked. Become.

不正通信検出装置30は、IPアドレス32を持ち、TCP/IPネットワーク20に接続されている。また、不正通信検出装置30は、不正通信記録を記録する不正通信記録部31を有する。   The unauthorized communication detection device 30 has an IP address 32 and is connected to the TCP / IP network 20. The unauthorized communication detection device 30 also includes an unauthorized communication recording unit 31 that records unauthorized communication records.

ここで不正通信記録部31に記録されている不正通信記録とは、IDS(Intrusion Detection System)のログを想定している。不正通信検出装置30は、通信中継装置40を通過するデータ(パケット)を監視する。そして、そのデータの内容や順序が、不正通信検出装置30が有するパターン(例えばシグネチャ)に符合する内容や順序であった場合には、例えば、以下のような内容の通信記録を不正通信記録部31に記録する。
・攻撃パターン識別子
・攻撃パターン名
・攻撃とみなす通信を検出した不正通信検出装置名
・攻撃とみなす通信を発生させている装置のIPアドレス
・攻撃先とみなされる装置のIPアドレス Here, the unauthorized communication record recorded in the unauthorized communication recording unit 31 is assumed to be an IDS (Intrusion Detection System) log. The unauthorized communication detection device 30 monitors data (packets) passing through the communication relay device 40. If the data content or order is the content or order that matches the pattern (for example, signature) of the unauthorized communication detection device 30, for example, the unauthorized communication recording unit 31.
・ Attack pattern identifier ・ Attack pattern name ・ Unauthorized communication detection device name that detected communication regarded as an attack ・ IP address of a device generating communication regarded as an attack ・ IP address of a device regarded as an attack destination

通信管理装置10は、上記のような不正通信記録部31の情報を収集して監視する。通信管理装置10は、まず「攻撃とみなす通信を検出した不正通信検出装置名」を見て、管理対象としている不正通信検出装置の不正通信記録かどうかを確認する。該当の装置の不正通信記録であった場合には「攻撃パターン名」を見て、接続口を遮断する必要があるかどうかを判断する。遮断の必要があると判断した場合は、先に説明した手順で接続口に関するMIB情報等を取得し、接続口の遮断を実行させる。なお、通信管理装置10は、コンピュータとプログラムを内蔵し、コンピュータがプログラムを実行することで機能するように構成されていてもよい。   The communication management apparatus 10 collects and monitors the information of the unauthorized communication recording unit 31 as described above. The communication management device 10 first checks the “unauthorized communication detection device name that has detected communication regarded as an attack” and confirms whether or not the unauthorized communication record of the unauthorized communication detection device to be managed is recorded. If it is an unauthorized communication record of the corresponding device, it is determined whether or not it is necessary to block the connection port by looking at the “attack pattern name”. When it is determined that it is necessary to block, the MIB information or the like related to the connection port is acquired by the procedure described above, and the connection port is blocked. Note that the communication management apparatus 10 may be configured to incorporate a computer and a program and to function by the computer executing the program.

通信中継装置40は、TCP/IPネットワーク20に接続されるスイッチング機能を有する装置であって、他の通信装置の通信を中継するための接続口45を持つ。接続口45は、IPアドレス42を持ち、通信装置を接続するポートである。具体的には、図2に示すようなIPアドレスと各接続口に関する情報を持つ。図2の例では、通信中継装置40は、IPアドレス41を持ち、接続口を16個備え、その内の接続口45は、IPアドレス42を持ち、サブネットマスクが255.255.255.0で、使用可能状態にあることを表す。なお、図2では、接続口45の情報のみを示しているが、他の接続口についても、同様な情報を表すものとする。また、図1では、通信中継装置40は、1台のみを示しているが、複数台存在していても良い。   The communication relay device 40 is a device having a switching function connected to the TCP / IP network 20, and has a connection port 45 for relaying communication of other communication devices. The connection port 45 has an IP address 42 and is a port for connecting a communication device. Specifically, it has information on the IP address and each connection port as shown in FIG. In the example of FIG. 2, the communication relay device 40 has an IP address 41 and 16 connection ports, of which the connection port 45 has an IP address 42 and the subnet mask is 255.255.255.0. , Indicating that it is in a usable state. In FIG. 2, only the information of the connection port 45 is shown, but the same information is also expressed for the other connection ports. In FIG. 1, only one communication relay device 40 is shown, but a plurality of communication relay devices 40 may exist.

通信装置50は、IPアドレス51を持ち、通信中継装置40の接続口45に接続され、通信中継装置40を介してTCP/IPネットワーク20に接続されている。なお、図示されない同様の通信装置が通信中継装置40の接続口45あるいは他の接続口に接続されているものとする。ここでは、通信装置50がTCP/IPネットワーク20に接続されている自身以外の装置へ不正な通信を実行するものとする。   The communication device 50 has an IP address 51, is connected to the connection port 45 of the communication relay device 40, and is connected to the TCP / IP network 20 via the communication relay device 40. It is assumed that a similar communication device (not shown) is connected to the connection port 45 of the communication relay device 40 or another connection port. Here, it is assumed that the communication device 50 performs unauthorized communication to a device other than itself connected to the TCP / IP network 20.

次に、本発明の第1の実施例に係る通信管理装置の動作について説明する。図3は、本発明の第1の実施例に係る通信管理装置の動作を表すフローチャートである。ここでは通信装置50が不正な通信を実行し、不正通信検出装置30は、不正な通信を検出して不正通信記録部31に不正通信記録として記録しているものとする。また、装置接続構成管理部11は、TCP/IPネットワーク20と不正通信検出装置30と通信中継装置40と通信装置50との間の接続情報を管理しているものとする。   Next, the operation of the communication management apparatus according to the first embodiment of the present invention will be described. FIG. 3 is a flowchart showing the operation of the communication management apparatus according to the first embodiment of the present invention. Here, it is assumed that the communication device 50 performs unauthorized communication, and the unauthorized communication detection device 30 detects unauthorized communication and records it in the unauthorized communication recording unit 31 as an unauthorized communication record. Further, it is assumed that the apparatus connection configuration management unit 11 manages connection information among the TCP / IP network 20, the unauthorized communication detection apparatus 30, the communication relay apparatus 40, and the communication apparatus 50.

まず、不正通信記録収集分析部12は、不正通信検出装置30から不正通信記録を収集して分析し、不正な通信を実行した通信装置50のIPアドレス51を特定する(ステップS11)。   First, the unauthorized communication record collection / analysis unit 12 collects and analyzes unauthorized communication records from the unauthorized communication detection device 30, and specifies the IP address 51 of the communication device 50 that has performed unauthorized communication (step S11).

次に、通信中継装置検索部13は、装置接続構成管理部11が管理するTCP/IPネットワーク20上の全通信中継装置から、個々の通信中継装置が持つ図2で示したような各接続口のIPアドレス情報を検索する(ステップS12)。そして、不正通信記録収集分析部12が特定した通信装置50が接続されている通信中継装置40と接続口45を特定する(ステップS13)。   Next, the communication relay device search unit 13 selects each connection port as shown in FIG. 2 of each communication relay device from all communication relay devices on the TCP / IP network 20 managed by the device connection configuration management unit 11. The IP address information is searched (step S12). Then, the communication relay device 40 and the connection port 45 to which the communication device 50 specified by the unauthorized communication record collection / analysis unit 12 is connected are specified (step S13).

最後に、通信中継装置接続口遮断部14は、通信中継装置検索部13が特定した通信中継装置40に対し接続口45の状態を使用可能から使用不可能に変更(遮断)させる(ステップS14)。接続口45が遮断され、IPアドレス51を持つ通信装置50は、通信中継装置40の接続口45を使用しての通信が不可能な状態となる(ステップS15)。   Finally, the communication relay device connection port blocking unit 14 changes (blocks) the state of the connection port 45 from usable to unusable for the communication relay device 40 specified by the communication relay device searching unit 13 (step S14). . The connection port 45 is blocked, and the communication device 50 having the IP address 51 cannot communicate using the connection port 45 of the communication relay device 40 (step S15).

通信管理装置10は、以上のように動作し、不正通信検出装置30が検出した攻撃とみなされる不正な通信の記録の内容に基づいて不正な通信を実行した装置を割り出し、攻撃を実行した通信装置が接続されている通信中継装置40とその接続口45を特定する。そして通信管理装置10は、検出した接続口45の状態を使用不可能な状態に変更させる。これによって、不正な通信によるネットワーク上への被害の拡大を防ぐことができる。   The communication management device 10 operates as described above, finds a device that has performed unauthorized communication based on the content of the unauthorized communication recorded as an attack detected by the unauthorized communication detection device 30, and has performed the attack. The communication relay device 40 to which the device is connected and its connection port 45 are specified. Then, the communication management device 10 changes the detected state of the connection port 45 to an unusable state. As a result, it is possible to prevent the spread of damage on the network due to unauthorized communication.

図4は、本発明の第2の実施例に係るネットワークシステムの構成を示すブロック図である。図4において、図1と同一の符号は、同一物を表す。第2の実施例のネットワークシステムでは、図1の通信中継装置40の代わりに、中継規則保持部43を追加した通信中継装置40aを備える点が第1の実施例のネットワークシステムと異なる。   FIG. 4 is a block diagram showing the configuration of the network system according to the second embodiment of the present invention. In FIG. 4, the same reference numerals as those in FIG. The network system according to the second embodiment is different from the network system according to the first embodiment in that a communication relay device 40a to which a relay rule holding unit 43 is added is provided instead of the communication relay device 40 of FIG.

通信中継装置40aは、TCP/IPネットワーク20に接続されており、他の通信装置の通信を中継するための接続口45を持つ。接続口45は、IPアドレス42を持つ。   The communication relay device 40a is connected to the TCP / IP network 20, and has a connection port 45 for relaying communication of other communication devices. The connection port 45 has an IP address 42.

また、通信中継装置40aは、接続する通信装置単位に通信の許可/拒否を定める中継規則を中継規則保持部43に保持している。ここで中継規則とは、ACL(Access Control List)を想定している。具体的な例としては、図5に示すような規則であって、通信中継装置40aにおける装置からの通信に対し許可/拒否を表す通信(アクセス)権限を装置ごとに与えるものである。例えば、通信中継装置40aに接続されている装置Aは、「許可」であって、通信することができるが、装置Bは、「拒否」であって、通信中継装置40aを通じて通信することができないことを示している。なお、通信装置50の通信は、「許可」であるものとする。   In addition, the communication relay device 40 a holds a relay rule that determines permission / rejection of communication for each connected communication device in the relay rule holding unit 43. Here, the relay rule assumes an ACL (Access Control List). As a specific example, the rule as shown in FIG. 5 is given to each device with a communication (access) authority indicating permission / denial for communication from the device in the communication relay device 40a. For example, the device A connected to the communication relay device 40a is “permitted” and can communicate, but the device B is “rejected” and cannot communicate through the communication relay device 40a. It is shown that. Note that the communication of the communication device 50 is “permitted”.

次に、本発明の第2の実施例に係る通信管理装置の動作について説明する。図6は、本発明の第2の実施例に係る通信管理装置の動作を表すフローチャートである。なお、図6において、図3と同一の符号のステップは、同一の処理内容を表し、その説明を省略する。   Next, the operation of the communication management apparatus according to the second embodiment of the present invention will be described. FIG. 6 is a flowchart showing the operation of the communication management apparatus according to the second embodiment of the present invention. In FIG. 6, steps denoted by the same reference numerals as those in FIG. 3 represent the same processing contents, and description thereof is omitted.

ステップ17において、通信中継装置接続口遮断部14は、通信中継装置検索部13が特定した通信中継装置40aの中継規則保持部43の内容を、通信装置50の通信を許可するから許可しない(拒否する)に変更させる。「拒否」に変更されることで、IPアドレス51を持つ通信装置50は、通信中継装置40aを使用しての通信が不可能となる。   In step 17, the communication relay device connection port blocking unit 14 does not allow the content of the relay rule holding unit 43 of the communication relay device 40 a specified by the communication relay device search unit 13 because the communication of the communication device 50 is permitted (rejection). To change). By changing to “reject”, the communication device 50 having the IP address 51 becomes unable to communicate using the communication relay device 40a.

一般には、接続口を使用不可能の状態にすることで、通信中継装置40aに接続されている通信装置からの通信を遮断することができる。しかし、使用不可能の状態にある接続口は、使用不可能となっている一つだけであって、他の接続口は使用可能の状態であり、かつ何も接続されていない可能性がある。したがって、このような場合に、通信を遮断された通信装置が通信中継装置40aの、使用不可能となった接続口とは別の使用可能の接続口に接続し直した場合、結果として通信を遮断することができない。   In general, communication from a communication device connected to the communication relay device 40a can be blocked by making the connection port unusable. However, there is only one connection port that cannot be used, and the other connection port may be used and nothing may be connected. . Therefore, in such a case, when a communication device whose communication is interrupted reconnects to a usable connection port different from the unusable connection port of the communication relay device 40a, communication is performed as a result. It cannot be blocked.

しかしながら、上述したような中継規則を適用し、該当する通信装置に対する規則を「拒否」に設定しておく。このように設定しておくことで、接続口を変更して通信を試みた場合であっても、中継規則により通信が拒否され、結果として該当する通信装置からの通信を遮断することができる。   However, the relay rule as described above is applied, and the rule for the corresponding communication device is set to “reject”. By setting in this way, even when the connection port is changed and communication is attempted, communication is rejected by the relay rule, and as a result, communication from the corresponding communication device can be blocked.

本発明の第1の実施例に係るネットワークシステムの構成を示すブロック図である。1 is a block diagram showing a configuration of a network system according to a first example of the present invention. 通信中継装置についてのIPアドレスと各接続口に関する情報を表す図である。It is a figure showing the information regarding the IP address and each connection port about a communication relay apparatus. 本発明の第1の実施例に係るネットワークシステムの動作を表すフローチャートである。It is a flowchart showing operation | movement of the network system which concerns on 1st Example of this invention. 本発明の第2の実施例に係るネットワークシステムの構成を示すブロック図である。It is a block diagram which shows the structure of the network system which concerns on 2nd Example of this invention. 中継規則の構成例を示す図である。It is a figure which shows the structural example of a relay rule. 本発明の第2の実施例に係るネットワークシステムの動作を表すフローチャートである。It is a flowchart showing operation | movement of the network system which concerns on 2nd Example of this invention.

符号の説明Explanation of symbols

10 通信管理装置
11 装置接続構成管理部
12 不正通信記録収集分析部
13 通信中継装置検索部
14 通信中継装置接続口遮断部
20 TCP/IPネットワーク
30 不正通信検出装置
31 不正通信記録部
32、41、42、51 IPアドレス
40、40a 通信中継装置
43 中継規則保持部
45 接続口
50 通信装置 DESCRIPTION OF SYMBOLS 10 Communication management apparatus 11 Device connection structure management part 12 Unauthorized communication record collection analysis part 13 Communication relay apparatus search part 14 Communication relay apparatus connection port blocking part 20 TCP / IP network 30 Unauthorized communication detection apparatus 31 Unauthorized communication recording parts 32, 41, 42, 51 IP address 40, 40a Communication relay device 43 Relay rule holding unit 45 Connection port 50 Communication device

Claims (11)

ネットワークに接続され、該ネットワークに接続される通信検出装置と通信中継装置との接続情報を管理する通信管理装置であって、
前記通信検出装置において検出条件に適合する通信を検出して保持される通信記録を参照する手段と、
前記通信記録の内容を元に、前記検出条件に適合する通信を実行した通信装置が接続されている通信中継装置の接続口を特定する手段と、
該接続口の状態を使用不可能な状態に変更するように該通信中継装置に指示する手段と、
を備えることを特徴とする通信管理装置。 A communication management device that is connected to a network and manages connection information between a communication detection device and a communication relay device connected to the network,
Means for referring to a communication record that is detected and held in the communication detecting device for detecting a communication that meets a detection condition;
Based on the content of the communication record, means for identifying a connection port of a communication relay device to which a communication device that has performed communication that meets the detection condition is connected;
Means for instructing the communication relay device to change the state of the connection port to an unusable state;
A communication management device comprising: 前記通信中継装置は、接続する通信装置の通信を許可するあるいは拒否することを表す中継規則保持部を含み、前記検出条件に適合する通信を実行した通信装置に関する前記中継規則保持部の内容を許可から拒否に変更させることを特徴とする請求項1記載の通信管理装置。   The communication relay device includes a relay rule holding unit indicating that communication of a connected communication device is permitted or denied, and permits the contents of the relay rule holding unit related to a communication device that has executed communication that meets the detection condition. The communication management apparatus according to claim 1, wherein the communication management apparatus is changed from refusal to rejection. ネットワークに接続される通信検出装置と通信中継装置との接続情報を管理する装置接続構成管理部と、
前記通信検出装置が有する通信装置に関する通信記録を収集して分析し、分析結果に基づく通信を実行した通信装置を特定する通信記録収集分析部と、
前記通信記録収集分析部が特定した前記通信装置に関する情報を元に、前記通信装置が接続されている通信中継装置および該通信中継装置の接続口を特定する通信中継装置検索部と、
特定した前記接続口の状態を使用不可能な状態にするように該通信中継装置に指示する通信中継装置接続口遮断部と、
を備えることを特徴とする通信管理装置。 A device connection configuration management unit for managing connection information between a communication detection device and a communication relay device connected to the network;
Collecting and analyzing communication records related to communication devices included in the communication detection device, and identifying a communication device that has performed communication based on the analysis result; and
Based on information related to the communication device identified by the communication record collection and analysis unit, a communication relay device to which the communication device is connected and a communication relay device search unit that identifies a connection port of the communication relay device;
A communication relay device connection port blocking unit that instructs the communication relay device to make the specified connection port unusable;
A communication management device comprising: 前記通信中継装置は、接続する通信装置の通信を許可するあるいは拒否することを表す中継規則保持部を含み、前記通信中継装置接続口遮断部は、前記分析結果に基づく通信を実行した通信装置に関する前記中継規則保持部の内容を許可から拒否に変更させることを特徴とする請求項3記載の通信管理装置。   The communication relay device includes a relay rule holding unit that represents permitting or rejecting communication of a connected communication device, and the communication relay device connection port blocking unit relates to a communication device that has performed communication based on the analysis result 4. The communication management apparatus according to claim 3, wherein the contents of the relay rule holding unit are changed from permitted to denied. 前記接続口は、IP(Internet Protocol)アドレスを有し、通信装置を接続するポートであることを特徴とする請求項1または3記載の通信管理装置。   4. The communication management device according to claim 1, wherein the connection port has an IP (Internet Protocol) address and is a port for connecting a communication device. 請求項1〜5のいずれか一に記載の通信管理装置と、
前記通信記録を記録する通信記録部を備える前記通信検出装置と、
通信装置を接続して、前記ネットワークに中継する前記通信中継装置と、
を備えることを特徴とするネットワークシステム。 The communication management device according to any one of claims 1 to 5,
The communication detection device comprising a communication recording unit for recording the communication record;
Connecting the communication device and relaying to the network, the communication relay device;
A network system comprising: ネットワークに接続される通信検出装置と通信中継装置との接続情報を管理するステップと、
前記通信検出装置から通信記録を収集して分析し、分析結果に基づく通信を実行した通信装置を特定するステップと、
前記ネットワーク上の全通信中継装置から、それぞれの通信中継装置が持つ各接続口のIP(Internet Protocol)アドレス情報を検索するステップと、
前記特定した通信装置が接続されている通信中継装置と該通信中継装置の接続口とを特定するステップと、
特定された前記接続口の状態を使用可能から使用不可能に変更するステップと、
を含むことを特徴とするネットワークシステムにおける通信遮断方法。 Managing connection information between a communication detection device and a communication relay device connected to the network;
Collecting and analyzing communication records from the communication detection device, identifying a communication device that has performed communication based on the analysis result; and
Searching IP (Internet Protocol) address information of each connection port of each communication relay device from all communication relay devices on the network;
Identifying the communication relay device to which the identified communication device is connected and the connection port of the communication relay device;
Changing the state of the identified connection port from usable to unusable;
A communication blocking method in a network system, comprising: ネットワークに接続され、該ネットワークに接続される通信検出装置と通信中継装置との接続情報を管理する通信管理装置が該通信中継装置に接続される通信装置の通信を遮断する方法であって、
前記通信検出装置が有する検出条件に適合して検出された通信の記録の内容に基づいて、該検出された通信を実行した通信装置を割り出すステップと、
前記通信を実行した通信装置が接続されている通信中継装置と該通信中継装置の接続口を特定するステップと、
特定した前記接続口の状態を使用不可能な状態に変更するように指示するステップと、
を含むことを特徴とするネットワークシステムにおける通信遮断方法。 A communication management device that is connected to a network and manages connection information between a communication detection device and a communication relay device connected to the network is a method of blocking communication of the communication device connected to the communication relay device,
Determining the communication device that has executed the detected communication based on the content of the communication record detected in conformity with the detection condition of the communication detection device;
Identifying a communication relay device to which the communication device that has performed the communication is connected and a connection port of the communication relay device;
Instructing to change the state of the identified connection port to an unusable state;
A communication blocking method in a network system, comprising: 特定された前記通信中継装置における中継規則の内容に関し、前記通信を実行した通信装置の通信を許可から拒否に変更するステップをさらに含むことを特徴とする請求項7または8記載のネットワークシステムにおける通信遮断方法。   The communication in the network system according to claim 7 or 8, further comprising a step of changing the communication of the communication device that has performed the communication from permission to rejection regarding the contents of the specified relay rule in the communication relay device. Blocking method. ネットワークに接続され、該ネットワークに接続される通信検出装置と通信中継装置との接続情報を管理する通信管理装置のコンピュータを、
前記通信検出装置において検出条件に適合する通信を検出して保持される通信記録を参照する手段、
前記通信記録の内容を元に、前記検出条件に適合する通信を実行した通信装置が接続されている通信中継装置の接続口を特定する手段、
該接続口の状態を使用不可能な状態に変更するように該通信中継装置に指示する手段、
として機能させるためのプログラム。 A computer of a communication management apparatus that is connected to a network and manages connection information between a communication detection apparatus and a communication relay apparatus connected to the network,
Means for referring to a communication record that is detected and held in the communication detecting device for detecting a communication that meets a detection condition;
Based on the content of the communication record, means for identifying a connection port of a communication relay device to which a communication device that has executed communication that meets the detection condition is connected;
Means for instructing the communication relay device to change the state of the connection port to an unusable state;
Program to function as. ネットワークに接続され、該ネットワークに接続される通信検出装置と通信中継装置との接続情報を管理する通信管理装置のコンピュータが該通信中継装置に接続される通信装置の通信を遮断するために、
通信検出装置が検出した通信の記録の内容に基づいて、該検出した通信を実行した通信装置を割り出す処理と、
前記通信を実行した通信装置が接続されている通信中継装置と該通信中継装置の接続口を特定する処理と、
特定した前記接続口の状態を使用不可能な状態に変更するように該通信中継装置に指示する処理と、
を実行するためのプログラム。
In order for the computer of the communication management device that is connected to the network and manages the connection information between the communication detection device connected to the network and the communication relay device to block communication of the communication device connected to the communication relay device,
Based on the content of the communication record detected by the communication detection device, a process for determining the communication device that has executed the detected communication;
A process for identifying a communication relay device to which the communication device that has performed the communication is connected and a connection port of the communication relay device;
Processing for instructing the communication relay device to change the state of the identified connection port to an unusable state;
A program for running.
JP2005152820A 2005-05-25 2005-05-25 Communication management device, network system, communication disconnecting method, and program Pending JP2006332997A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005152820A JP2006332997A (en) 2005-05-25 2005-05-25 Communication management device, network system, communication disconnecting method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005152820A JP2006332997A (en) 2005-05-25 2005-05-25 Communication management device, network system, communication disconnecting method, and program

Publications (1)

Publication Number Publication Date
JP2006332997A true JP2006332997A (en) 2006-12-07

Family

ID=37554219

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005152820A Pending JP2006332997A (en) 2005-05-25 2005-05-25 Communication management device, network system, communication disconnecting method, and program

Country Status (1)

Country Link
JP (1) JP2006332997A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010081610A (en) * 2008-09-25 2010-04-08 Fisher Rosemount Syst Inc Method and apparatus for secure communication of process control data
JP2011523822A (en) * 2008-05-29 2011-08-18 ハンドリームネット カンパニー リミテッド Access level security device and security system
JP2019083478A (en) * 2017-10-31 2019-05-30 エヌ・ティ・ティ・コミュニケーションズ株式会社 Communication system, control device, gateway, communication control method, and program
KR102199209B1 (en) * 2019-08-05 2021-01-06 에스케이플래닛 주식회사 Service providing system and method for preventing a hidden camera, a service providing apparatus therefor and non-transitory computer readable medium having computer program recorded thereon
US11381459B2 (en) 2019-08-05 2022-07-05 Sk Planet Co., Ltd. Service providing system and method for preventing hidden camera, service providing apparatus therefor, and non-transitory computer readable medium having computer program recorded thereon

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011523822A (en) * 2008-05-29 2011-08-18 ハンドリームネット カンパニー リミテッド Access level security device and security system
JP2010081610A (en) * 2008-09-25 2010-04-08 Fisher Rosemount Syst Inc Method and apparatus for secure communication of process control data
JP2019083478A (en) * 2017-10-31 2019-05-30 エヌ・ティ・ティ・コミュニケーションズ株式会社 Communication system, control device, gateway, communication control method, and program
JP7150425B2 (en) 2017-10-31 2022-10-11 エヌ・ティ・ティ・コミュニケーションズ株式会社 COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM
KR102199209B1 (en) * 2019-08-05 2021-01-06 에스케이플래닛 주식회사 Service providing system and method for preventing a hidden camera, a service providing apparatus therefor and non-transitory computer readable medium having computer program recorded thereon
US11381459B2 (en) 2019-08-05 2022-07-05 Sk Planet Co., Ltd. Service providing system and method for preventing hidden camera, service providing apparatus therefor, and non-transitory computer readable medium having computer program recorded thereon

Similar Documents

Publication Publication Date Title
JP4327698B2 (en) Network type virus activity detection program, processing method and system
KR100351306B1 (en) Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
US6895432B2 (en) IP network system having unauthorized intrusion safeguard function
KR100358518B1 (en) Firewall system combined with embeded hardware and general-purpose computer
KR101236822B1 (en) Method for detecting arp spoofing attack by using arp locking function and recordable medium which program for executing method is recorded
US20050216956A1 (en) Method and system for authentication event security policy generation
US20050005017A1 (en) Method and system for reducing scope of self-propagating attack code in network
CN104244249A (en) Techniques for providing security protection in wireless network by switching modes
WO2017034072A1 (en) Network security system and security method
US20220070185A1 (en) Method for responding to threat transmitted through communication network
CN109995727B (en) Active protection method, device, equipment and medium for penetration attack behavior
JP2004302538A (en) Network security system and network security management method
JP4680931B2 (en) Unauthorized access program monitoring processing method, unauthorized access program monitoring program, and unauthorized access program monitoring apparatus
JP2006332997A (en) Communication management device, network system, communication disconnecting method, and program
KR20040065674A (en) Host-based security system and method
JP4655028B2 (en) Worm infection prevention system
KR101872605B1 (en) Network recovery system in advanced persistent threat
JP2006330926A (en) Virus infection detection device
JP2005056243A (en) Worm infection preventing system
JP2005318037A (en) Unauthorized use monitoring system, unauthorized use monitoring/alarming apparatus, and unauthorized use monitoring method
JPWO2020195229A1 (en) Analytical systems, methods and programs
KR101904415B1 (en) System recovery method in advanced persistent threat
KR20050095147A (en) Hacking defense apparatus and method with hacking type scenario
JP4418211B2 (en) Network security maintenance method, connection permission server, and connection permission server program
JP2003186763A (en) Detection and prevention method of breaking into computer system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080417

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080422

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080620

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20081028

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081120

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20081120

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20081121

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090107

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20090213

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20090508