JP6454224B2 - Communication device - Google Patents
Communication device Download PDFInfo
- Publication number
- JP6454224B2 JP6454224B2 JP2015115415A JP2015115415A JP6454224B2 JP 6454224 B2 JP6454224 B2 JP 6454224B2 JP 2015115415 A JP2015115415 A JP 2015115415A JP 2015115415 A JP2015115415 A JP 2015115415A JP 6454224 B2 JP6454224 B2 JP 6454224B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- information
- white list
- entry
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 66
- 238000012546 transfer Methods 0.000 claims description 146
- 238000003860 storage Methods 0.000 claims description 85
- 238000012545 processing Methods 0.000 description 49
- 238000004364 calculation method Methods 0.000 description 38
- 238000000034 method Methods 0.000 description 35
- 230000008569 process Effects 0.000 description 27
- 230000005540 biological transmission Effects 0.000 description 22
- 230000006870 function Effects 0.000 description 17
- 230000007704 transition Effects 0.000 description 16
- 230000000737 periodic effect Effects 0.000 description 13
- 230000004308 accommodation Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000001788 irregular Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- CURLTUGMZLYLDI-UHFFFAOYSA-N Carbon dioxide Chemical compound O=C=O CURLTUGMZLYLDI-UHFFFAOYSA-N 0.000 description 2
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 239000002184 metal Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 229910002092 carbon dioxide Inorganic materials 0.000 description 1
- 239000001569 carbon dioxide Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Description
本発明は、データを転送する通信装置に関する。 The present invention relates to a communication device for transferring data.
現在、IP(Internet Protocol)ネットワークを利用する際、広く普及した汎用品を利用することができる。このため、ネットワーク装置になんらかの制限をかけない場合、意図した端末だけでなく、さまざまな端末が容易にIPネットワークに接続することができる。そして、意図しない端末が、IPネットワークに接続されることによって、IPネットワークに不正なデータが流れたり、セキュリティが侵害されたりする可能性がある。 Currently, when using an IP (Internet Protocol) network, a widely used general-purpose product can be used. For this reason, when no restriction is imposed on the network device, not only the intended terminal but also various terminals can easily connect to the IP network. Then, if an unintended terminal is connected to the IP network, there is a possibility that illegal data may flow through the IP network or security may be violated.
セキュリティの侵害を防ぐ技術として、特開2009-239525号公報(特許文献1)に記載のホワイトリスト機能を利用する方法がある。ホワイトリスト機能は、ネットワークを流れる正規通信(正規データ)の通信内容情報から正規通信を特定する情報をホワイトリストとして登録し、登録完了後はホワイトリストに登録のない非正規通信を遮断(廃棄)するなどして制限することでセキュリティレベルを高める機能である。 As a technique for preventing security infringement, there is a method of using a white list function described in JP-A-2009-239525 (Patent Document 1). The whitelist function registers information that identifies regular communication from the communication content information of regular communication (regular data) that flows through the network as a whitelist, and blocks non-regular communication that is not registered in the whitelist after registration is complete (discard) This is a function that increases the security level by restricting it.
特許文献1には、パケットフィルタリング装置が受信するパケットの送信元IPアドレスや送信元MAC(Media Access Control)アドレスなどの、送信元端末を識別する識別子を使用して、パケットフィルタリング装置に搭載されたホワイトリストに正規端末を登録する形でホワイトリストを自動もしくは手動で生成することが開示されている。
In
また、特開2015-050767号公報(特許文献2)には、送信元IPアドレスや送信元MACアドレスに加え、送信元ポート番号、宛先IPアドレス、宛先MACアドレス、宛先ポート番号などの任意の組を含む事前に手動で作成されたホワイトリストを格納し、ホワイトリストに基づいて、ネットワークトラフィックを監視および遮断させるネットワークスイッチが開示されている。 In addition, in JP-A-2015-050767 (Patent Document 2), in addition to a transmission source IP address and a transmission source MAC address, an arbitrary set of a transmission source port number, a destination IP address, a destination MAC address, a destination port number, and the like. A network switch is disclosed that stores a pre-manufactured whitelist that includes and monitors and blocks network traffic based on the whitelist.
ホワイトリスト機能は、ホワイトリストに登録されていない非正規通信を制限することでセキュリティレベルを高め、脅威であるセキュリティの侵害を防ぐ。一方で、他の脅威として、ネットワークへの攻撃の技術であるリプレイ攻撃と呼ばれる手法がある。リプレイ攻撃は、ネットワーク上を流れる正規データを何らかの方法で攻撃者が傍受し、そのまま再送信することにより実行される。 The whitelist function increases the security level by restricting non-regular communication that is not registered in the whitelist, and prevents security infringement that is a threat. On the other hand, as another threat, there is a technique called a replay attack that is a technique for attacking a network. The replay attack is executed when the attacker intercepts the regular data flowing on the network by some method and retransmits the data as it is.
リプレイ攻撃に使用されるデータのヘッダ情報及びデータの内容は正規データと全く同じものであるため、従来のホワイトリストでは手動生成、自動生成に関わらず、ホワイトリストに登録するパラメータをどれだけ増やしても、正規データに偽装したリプレイ攻撃のデータを防御できないと言う問題がある。リプレイ攻撃の主な目的はDoS攻撃(Denial of Service attack)であり、偽装した正規データを大量に投げつけることでネットワーク上の負荷を上げたり、データの宛先であるサーバなどの負荷を上げたりすることで、サーバなどが提供するサービスを停止させる。 Since the header information and data contents of the data used for replay attacks are exactly the same as the regular data, the number of parameters to be registered in the white list is increased by the conventional white list regardless of whether it is generated manually or automatically. However, there is a problem that the data of the replay attack disguised as regular data cannot be protected. The main purpose of the replay attack is DoS attack (Denial of Service attack), which increases the load on the network by throwing a lot of spoofed regular data, or increases the load on the server that is the destination of the data The service provided by the server is stopped.
攻撃対象となる端末やサーバ側には、リプレイ攻撃対策として受信したデータの時刻情報を確認したり、データ内部にシーケンス番号を持たせて不正データと認識させたりする機能を搭載しているものも存在するが、大量のデータが届くことで時刻情報の確認やシーケンス番号の順序確認などの受信処理が逼迫し、結果としてサービスが提供不能になってしまう場合がある。 Some terminals and servers that are targeted for attack are equipped with functions that check the time information of data received as countermeasures against replay attacks, or have a sequence number inside the data to recognize it as illegal data. Although there is a large amount of data, reception processing such as time information confirmation and sequence number order confirmation is tight, and as a result, services may not be provided.
また、特許文献2のネットワークスイッチにおいて、従来のホワイトリストを自動生成した場合であっても、ホワイトリストに登録された正規通信と全く同じヘッダ情報を持つデータを使用した攻撃を防ぐことができない。
Further, in the network switch of
上記課題を解決するために、本発明の一態様である通信装置は、ネットワークに接続されるポートと、ポートを介して第1の期間中に受信したデータに含まれる少なくとも一部のヘッダ情報を格納するホワイトリストを記憶する記憶部と、ポートを介して第1の期間後の第2の期間中にデータを受信する場合、データに含まれる少なくとも一部のヘッダ情報がホワイトリストに格納されていないとき、データを宛先に向けて他のポートを介して転送することを許可せず、データに含まれる少なくとも一部のヘッダ情報がホワイトリストに格納されており、データの受信が第1の期間中に受信したデータの受信履歴に基づく、データに含まれる少なくとも一部のヘッダ情報のホワイトリストを用いた通信制御に関する時間幅であるとき、データを宛先に向けて他のポートを介して転送することを許可し、データに含まれる少なくとも一部のヘッダ情報がホワイトリストに格納されており、データの受信が時間幅ではないとき、データを宛先に向けて他のポートを介して転送することを許可しない転送部と、を備える。 In order to solve the above problem, a communication device according to one embodiment of the present invention includes a port connected to a network and at least a part of header information included in data received during the first period via the port. When data is received during a second period after the first period via the storage unit that stores the white list to be stored, at least a part of header information included in the data is stored in the white list. If not, data is not permitted to be transferred to another destination via another port, at least a part of header information included in the data is stored in the white list, and reception of the data is in the first period When it is a time width related to communication control using a white list of at least some header information included in the data based on the reception history of the data received during When forwarding to other destinations via other ports is permitted, and at least a part of the header information included in the data is stored in the white list and the reception of the data is not time span, the data is sent to the destination. And a transfer unit that does not permit transfer through the other port.
本発明によれば、通信装置をデータが通過するタイミングを限定し、ネットワークへの攻撃による影響を軽減できる。 According to the present invention, it is possible to limit the timing at which data passes through a communication device and reduce the influence of an attack on the network.
以下、図面を参照して実施例を説明する。 Embodiments will be described below with reference to the drawings.
(実施例1)
図1は、ネットワーク全体の構成例である。また、図1は、ネットワークの構成及びデータの中継(転送)・通信の許可リスト(以下、「ホワイトリスト」とも呼ぶ。)の生成を行う部分を中心に記載した説明図である。以下の説明では、データの具体的な形式としてパケットを用いるが、フレームであってもよい。
Example 1
FIG. 1 is a configuration example of the entire network. FIG. 1 is an explanatory diagram centered on a part for generating a network configuration and a data relay (transfer) / communication permission list (hereinafter also referred to as “white list”). In the following description, a packet is used as a specific data format, but it may be a frame.
パケット中継装置1は、ネットワーク13を介して所定の間隔で(定期的に)繰り返しパケットを送信してくる端末群14−1〜14−nと、ネットワーク11を介して端末群14−1〜14−nが送信するパケットを集約したり、保存したり、様々なサービスを提供したりするサーバ群12−1〜12−nと接続されている。パケット中継装置1は、スイッチ装置などである。所定の間隔とは、ある一定の時間間隔(例えば、10分間隔)であってもよいし、ある時間のうち異なる時間間隔の組み合わせ(例えば、1時間のうちに10分間隔、その後に20分間隔、さらにその後に30分間隔)であってもよい。本実施例では、一定の時間間隔の繰り返しを「定期的に」と表現する。
The
端末群14−1〜14−nの代表例として、端末の周辺の温度、湿度、二酸化炭素濃度などの環境や物理的状況を採取し、ネットワーク13を介してサーバ群12などの集約装置に採取した情報(センサ情報)を送信するセンサなどが挙げられる。近年では、様々な物質または生物にセンサを取り付け、センサで収集した情報をネットワークを介してモニタしたり、収集した情報を元にコントロールしたりするIoT(Internet of Things)技術が注目されている。つまり、端末群14−1〜14−nは、IoT技術によりネットワークに接続される、通信機能を有する監視カメラ、マシン、ウエアラブルデバイスのようなモノ(Things)であってもよい。センサ群で構成されるネットワークをセンサネットワークと呼び、複数のセンサ付無線端末を空間に散在させることで実現する。また、端末群14−1〜14−nの別の例として、携帯電話の通信技術であるTD-LTE(Time Division Long Term Evolution)技術などにおいて採用されており、上り(端末→基地局)と下り(基地局→端末)の通信を同時に行うために、同じ周波数帯を極めて短い単位時間(タイムスロット)に分割し、上りと下りで交互に切り替えて利用するTDD(Time Division Duplex)技術を用いる端末が挙げられる。なお、定期的なパケットの送信を実施する端末であれば、上記に限られない。本実施例では、端末群14−1〜14−nは、定期的に1パケットを送信するセンサとして説明する。
As representative examples of the terminal groups 14-1 to 14-n, the environment and physical conditions such as the temperature, humidity, and carbon dioxide concentration around the terminals are collected and collected in the aggregation device such as the server group 12 via the
パケット中継装置1は、パケットを中継(転送)する通信装置である。パケット中継装置1は、パケットを送受信する複数のポート2−1〜2−6と、受信ポート2−1〜2−6からパケットを受け取り転送先を決定して転送したり、ホワイトリストを参照してパケットの転送または廃棄などを行ったりするパケット転送部3と、時刻によってホワイトリストの適用・非適用の切替を実施するホワイトリスト適用切替部4と、ホワイトリストの生成の制御や後述する入出力装置10からの装置設定命令をパケット転送部3へ送信してパケット転送部3を制御する制御部5と、パケット中継装置1内の装置時刻を保持、管理する時刻管理部6と、を持つ。
The
なお、以下の説明で、ポート2−1〜2−6を区別しない場合は、ポート2と記載する。端末群14、サーバ群12なども同様である。また、受信ポート2の数は図1で示す数に限られない。端末群14およびサーバ群12もそれぞれ1つずつ(端末14およびサーバ12)であってもよい。
In the following description, when ports 2-1 to 2-6 are not distinguished, they are described as
ここで、ホワイトリストの適用・非適用について説明する。ホワイトリストの適用・非適用とは、パケット中継装置1が受信したパケットのうちホワイトリストにて許可されたパケットに対する転送可否(転送または廃棄)の決定(転送許可不許可の判定)を実行する状態のことである。つまり、ホワイトリストの適用とは、パケット転送部3がパケットを受信するとホワイトリストを参照して、ホワイトリストにて許可されたパケットの通信を許可する(パケットの転送を実行する)状態のことであり、ホワイトリストの非適用とは、パケット転送部3がパケットを受信するとホワイトリストを参照して、ホワイトリストにて許可されたパケットの通信を許可しない(パケットの転送を実行しない)状態のことである。なお、パケット中継装置1が受信したパケットのうちホワイトリストにて許可されないパケットの転送は、ホワイトリストの適用・非適用に依らず、許可されない。つまり、パケット転送部3がパケットを受信するとホワイトリストを参照して、ホワイトリストにて許可されないパケットの通信を許可しない。
Here, application / non-application of the whitelist will be described. Application / non-application of the white list is a state in which the
ホワイトリストの適用・非適用の切り替えとは、ホワイトリストにて許可されたパケットに対するホワイトリストを用いた通信制御(通信の許可不許可)の切り替えである。また、ホワイトリストの適用・非適用をホワイトリストの開け閉めとも表現する。また、ホワイトリストの適用・非適用をホワイトリストの有効・無効とも表現する。また、ホワイトリストの適用・非適用をホワイトリストが有効か否かとも表現する。また、ホワイトリストの適用・非適用をホワイトリストを適用するか否かとも表現する。 The switching of whitelist application / non-application is switching of communication control (permission or non-permission of communication) using a whitelist for a packet permitted in the whitelist. The application / non-application of the white list is also expressed as opening / closing the white list. In addition, white list application / non-application is also expressed as white list valid / invalid. The application / non-application of the white list is also expressed as whether the white list is valid. The application / non-application of the white list is also expressed as whether the white list is applied.
後述するように、パケット転送部3がホワイトリストを用いてパケットの転送可否の決定を実行するか否かは、パケット中継装置1の状態によって変わる。つまり、ホワイトリストを生成する状態(以下、「学習期間」または「学習状態」とも呼ぶ。)では、パケット中継装置1は、ホワイトリストの適用・非適用を動的に切り替えるが、パケット転送部3は、ホワイトリストの適用・非適用に関わらずパケットの転送を実行する。また、ホワイトリストの生成が完了した後の状態(以下、「運用期間」または「運用状態」とも呼ぶ。)では、パケット中継装置1は、ホワイトリストの適用・非適用を動的に切り替え、パケット転送部3は、動的に切り替わるホワイトリストの適用・非適用に応じてホワイトリストにて許可されたパケットの転送可否の決定を実行し、ホワイトリストの適用・非適用に依らずホワイトリストにて許可されないパケットの転送を許可しない。
As will be described later, whether or not the
パケット中継装置1は、外部端末との接続ポート8を持ち、ホワイトリストの生成に関する設定を実施したり、ホワイトリストの生成に関する情報を表示したりする入出力装置10と接続されている。尚、入出力装置10とパケット中継装置1の接続は、接続ポート8を用いた方法の他に、ポート2との接続や、telnetなどの従来技術を用いてネットワーク経由で接続する方法などがある。
The
ポート2−4〜2−6は、ネットワーク13を介して端末群14や他のパケット中継装置とメタルや光ケーブルなどで接続されており、ネットワーク13を介して端末群14を収容している。ポート2−1〜2−3は、ネットワーク11を介してサーバ群12や他のパケット中継装置とメタルや光ケーブルなどで接続されており、ネットワーク11を介してサーバ群12と接続されている。尚、図1では端末群14及びサーバ群12は、各々ネットワーク14及び11を介し接続されているが、これらはポート2−4〜2−6及びポート2−1〜2−3に直接接続されている形でも良い。また、ネットワーク13及びネットワーク11は、同一のネットワークでも良い。
The ports 2-4 to 2-6 are connected to the
パケット転送部3は、ホワイトリスト格納メモリ310と、転送先決定部32と、転送テーブルメモリ33と、設定メモリ340と、を持つ。
ホワイトリスト格納メモリ310は、後述する制御部5が生成したホワイトリストに格納する情報をホワイトリストとして格納する記憶部である。ホワイトリスト格納メモリ310の詳細は、図2で説明する。設定メモリ340は、ホワイトリストの設定に関する情報を格納する記憶部である。設定メモリ340の詳細は、図4で説明する。
The
The white
転送先決定部32は、ホワイトリスト格納メモリ310を検索(参照)することによるパケットの転送可否の制御や、転送テーブルメモリ33を検索することによるパケットの転送先(パケットを送信するポート(以下、「送信ポート」とも呼ぶ)2)の決定や、決定した転送先へのパケットの転送処理(転送の際に必要なパケットのヘッダ情報の更新を含む)などを実行する機能を備える。具体的には、適用・非適用が動的に切り替わるホワイトリストを用いてパケットの転送可否を決定する状態であるホワイトリスト運用状態(以下、「運用状態」とも呼ぶ。)中に、転送先決定部32がポート2からパケットを受け取ると、受け取ったパケットのヘッダ情報をキーにホワイトリスト格納メモリ310内のホワイトリストを検索(参照)してパケット転送可否を決定する。転送先決定部32は、ホワイトリストに登録(格納)された情報と一致するヘッダ情報を持つパケット、つまり、ホワイトリストに登録済みのパケット(ホワイトリスト登録パケット)をパケット転送可と判定し、パケットのヘッダ情報をキーに転送テーブルメモリ33を検索(参照)して転送先を決定し、決定した転送先に従ってパケットを転送する。
The transfer
また、転送先決定部32は、つまり、ホワイトリストに登録された情報と一致しないヘッダ情報を持つパケット、つまり、ホワイトリストに登録がないパケット(ホワイトリスト登録外パケット)を受け取ると、パケット転送否と判定してこのパケットを廃棄などする。また、転送先決定部32は、後述するホワイトリストを生成する状態であるホワイトリスト生成状態(以下、「生成状態」とも呼ぶ。)中にパケットを受信した際には、転送テーブルメモリ33を検索してパケットを転送するとともに、パケットのヘッダ情報とパケット中継装置1内の制御情報であるパケットを受信したポート(以下、「受信ポート」とも呼ぶ。)2の識別子(以下、「受信ポート識別子」とも呼ぶ。)を制御部5へと送信する。
In addition, when receiving a packet having header information that does not match information registered in the white list, that is, a packet not registered in the white list (a packet not registered in the white list), the transfer
ここで、ヘッダ情報とは、各装置がパケットを送受信する際に参照する制御情報である。
また、レイヤ毎にヘッダ情報となる情報が異なる。例えば、レイヤ2のヘッダ情報(L2ヘッダ)の場合、宛先MACアドレス、送信元MACアドレス、イーサタイプなどであり、レイヤ3のヘッダ情報(L3ヘッダ)の場合、バージョン、宛先IPアドレス、送信元IPアドレス、プロトコル番号、ToS(Type of Service)・VLAN(Virtual Local Area Network))IDなどであり、レイヤ4のヘッダ情報(L4ヘッダ)の場合、TCP(ack、fin、psh、rst、syn、urg、宛先ポート番号、送信元ポート番号)・UDP(宛先ポート番号、送信元ポート番号)・ICMP(Internet Control Message Protocol)(コード・メッセージ)などである。
Here, the header information is control information that is referred to when each device transmits and receives a packet.
Moreover, the information used as header information differs for every layer. For example, in the case of
転送テーブルメモリ33は、パケットの転送先に関する情報(パケットのヘッダ情報とヘッダ情報に基づく転送先)を格納する記憶部である。転送テーブルメモリ33は、一般的なパケット中継装置がパケットを転送する際に必要な情報である、レイヤ2の通信を実施するためのMAC Address Tableやレイヤ3の通信を実施するためのRouting Tableなどにより構成されるメモリである。また、転送テーブルメモリ33は、転送先決定部32からパケットのヘッダ情報を受け取ると、検索結果を転送先決定部32に返答する。
The
また、制御部5は、内部にCPU(Central Processing Unit)(不図示)と記憶部(メモリ)(不図示)とを備え、CPUが処理するホワイトリスト生成やインターバル算出などのソフトウェアプログラムは、メモリに格納(保持、記憶、記録)されている。制御部5は後述するように、設定メモリ340とホワイトリスト格納メモリ310に格納された情報を更新するが、制御部5が直接各メモリを制御して更新してもよいし、パケット転送部3は不図示の制御部を備え、制御部5が、パケット転送部3の制御部に対して各メモリを制御する指示を送信し、指示を受信したパケット転送部3の制御部が各メモリを制御して更新してもよい。
Further, the control unit 5 includes a CPU (Central Processing Unit) (not shown) and a storage unit (memory) (not shown), and software programs such as white list generation and interval calculation processed by the CPU are stored in the memory. Stored (held, stored, recorded). As will be described later, the control unit 5 updates the information stored in the
本実施例におけるパケット中継装置1の制御部5でのホワイトリストの生成は、パケット受信部2を介してパケットを受信すると、受信するパケットのヘッダ情報および受信ポート識別子を用いて自動で生成される。パケットのヘッダ情報からはパケットの送信元MACアドレス・宛先MACアドレス・送信元IPアドレス・宛先IPアドレス・送信元ポート番号・宛先ポート番号など各レイヤのヘッダ情報内の任意の情報を用いてホワイトリストの生成を行うことができるが、以降は説明のため、ヘッダ情報のうち、送信元IPアドレスをホワイトリストの生成に使用する情報とする。
The white list is generated by the control unit 5 of the
加えて、本実施例のパケット中継装置1では、初めてパケットを受信した時刻及び、1度目にパケットを受信してから2度目にパケットを受信するまでの時間差(以下、「インターバル」とも呼ぶ。)をホワイトリストの適用情報として使用する。パケット中継装置1は、パケットの受信時刻及びインターバルに基づいてパケットを受信するタイミングを算出する。パケットの受信時刻及びインターバルの格納、使用方法については後述とする。
In addition, in the
ホワイトリスト適用切替部4は、ホワイトリスト適用切替メモリ410と、計算処理部420と、を持つ。ホワイトリスト適用切替メモリ410は、パケット転送部3におけるホワイトリストを用いた通信制御に関する情報を格納するホワイトリスト制御情報である、ホワイトリストの適用・非適用を切り替える時刻に関する情報(適用時刻情報)を記憶する記憶部である。ホワイトリストを用いた通信制御に関する情報とは、ホワイトリストの適用・非適用を示す情報である。ホワイトリスト適用切替メモリ410の詳細は、図3で説明する。
The white list application switching unit 4 includes a white list
計算処理部420は、時刻管理部6から時刻情報を取得してホワイトリスト適用切替メモリ410の情報を更新し、更新したホワイトリスト適用切替メモリ410の情報に基づいてホワイトリスト格納メモリ310の情報を更新する。計算処理部420によるホワイトリスト格納メモリ310の更新は、計算処理部420が直接ホワイトリスト格納メモリ310を制御して更新してもよいし、計算処理部420が、パケット転送部3の制御部に対してホワイトリスト格納メモリ310を制御する指示を送信し、指示を受信したパケット転送部3の制御部がホワイトリスト格納メモリ310を制御して更新してもよい。
The
本実施例のパケット中継装置1においては、ホワイトリスト格納メモリ310に格納されたホワイトリストによって、各ポート2を介して受信するパケットについて、ホワイトリストに登録されていない通信(登録外通信)を許可せず廃棄することができる。ホワイトリスト適用切替部4によって、パケットの送信タイミングに応じたホワイトリストの適用・非適用を切り替えることができる。そして、ホワイトリスト及びホワイトリスト適用切替部4によって、端末群14が定期的に送信してくるパケットについて、ホワイトリストに登録済みの通信(登録通信)であってもホワイトリストが非適用の場合は、許可せず廃棄することができる。なお、パケット中継装置1は、ホワイトリストにより通信を許可されなかったパケットを廃棄する代わりに、本来のパケットの転送先とは異なるパケット中継装置1内外の特定の転送先の機能部あるいは装置に転送してもよい。この場合、特定の転送先の機能部あるいは装置にて、転送されたパケットを解析することができる。
In the
また、図1に示すネットワークは、データを所定の間隔で送信する端末14および端末14が送信するデータを集約するサーバ12に接続されるネットワークシステムであって、通信装置であるパケット中継装置1を有していてもよい。
The network shown in FIG. 1 is a network system connected to a terminal 14 that transmits data at a predetermined interval and a server 12 that aggregates data transmitted by the terminal 14, and includes a
図2は、ホワイトリスト格納メモリの詳細を示す説明図の例である。ホワイトリスト格納メモリ310は、通信を許可するパケットに関する情報のエントリを有するホワイトリストを格納する。ホワイトリスト格納メモリ310の各エントリは、エントリを識別する番号を示すエントリ番号317と、パケットを受信した受信ポートの受信ポート識別子を格納する受信ポート識別子311と、受信したパケットのヘッダ情報内に格納されている送信元IPアドレスを格納する送信元IPアドレス312と、当該エントリの有効・無効を示す有効無効情報である有効ビットを格納する有効ビット313と、ホワイトリスト運用状態中に、ホワイトリスト格納メモリ310を検索した際、当該エントリの有効ビット313の値が有効時にヒットした場合にインクリメントされる有効時ヒットカウンタ314と、同じくホワイトリスト運用状態中に、ホワイトリスト格納メモリ310を検索した際、当該エントリの有効ビット313の値が無効時にヒットした場合にインクリメントされる無効時ヒットカウンタ315と、有効ビット313が有効になった回数を示す有効ビットカウンタ316と、をもつ。エントリ番号317によって、ホワイトリスト格納メモリ310のホワイトリストに格納されたヘッダ情報が識別される。
FIG. 2 is an example of an explanatory diagram showing details of the white list storage memory. The white
図2の例では、ホワイトリスト格納メモリ310は、1〜nのn個(nは有限であり任意)のエントリを保持できるものとして記載している。また、図2のエントリ番号317が「1」であるエントリに、パケット受信部2−1(パケット受信部#1)に関するホワイトリストの一例を示している。
In the example of FIG. 2, the white
本実施例において、有効ビット313の値が「1」の場合は、「有効」状態を示し、「0」の場合は「無効」状態を示すが、これに限られない。パケット中継装置1は、有効ビット313の値を更新することで、エントリ単位でのホワイトリストの適用・非適用を切り替える。尚、ホワイトリスト格納メモリ310内の情報(ホワイトリスト)は、入出力装置10からの命令により制御部5によって引き出され、入出力装置10上での表示が可能である。
In this embodiment, when the value of the
図3は、ホワイトリスト適用切替メモリの詳細を示す説明図の例である。ホワイトリスト適用切替メモリ410は、ホワイトリスト制御情報である適用時刻情報を格納し、ホワイトリスト格納メモリ310と同じエントリ数を持つメモリである。なお、図3Aと図3Bは、ホワイトリスト適用切替メモリ410の時間変化を説明する図である。
FIG. 3 is an example of an explanatory diagram showing details of the white list application switching memory. The whitelist
ホワイトリスト適用切替メモリ410の各エントリは、ホワイトリスト格納メモリ310内のエントリ番号317と対応するエントリ番号414と、当該エントリのエントリ番号414の値と同じ値であるホワイトリスト格納メモリ310のエントリ番号317の有効ビット313の値を前回有効にした時刻を格納する前回時刻411と、ホワイトリストの生成状態中に、ホワイトリスト格納メモリ310に登録がないパケットを初めて受信した時刻と2度目に当該のパケットを受信した際のインターバルを格納するインターバル412と、ホワイトリスト格納メモリ310の有効ビット313の値を次に有効にする時刻を格納する次回時刻413と、を持つ。前回時刻411とインターバル412は、制御部5が、次回時刻413は、計算処理部420が更新する。
Each entry in the white list
計算処理部420は、前回時刻411及びインターバル412に格納された値に基づいて次回時刻413を算出して格納する。また、計算処理部420は、算出された次回時刻と、後述するホワイトリスト適用時間幅342に基づき、ホワイトリスト格納メモリ310内の有効ビット313の値の有効・無効の切替を行う。つまり、次回時刻413は、ホワイトリストを用いた通信制御を切り替える情報である。詳細は図8で説明する。
The
また、図3のエントリ番号414が「1」であるエントリに、ホワイトリスト適用切替メモリ410内の情報の一例を示している。尚、ホワイトリスト適用切替メモリ410内の情報は、入出力装置10からの命令により制御部5によって引き出され、入出力装置10上での表示が可能である。また、ホワイトリスト適用切替メモリ410に格納されるホワイトリスト制御情報は、時刻ではなく、パケットを受信するとき(時点、タイミング)に基づく情報であり、パケット中継装置1は、パケットを受信するとき(時点、タイミング)に基づいて、ホワイトリスト制御情報の各情報を算出してもよい。
Also, an example of information in the whitelist
例えば、パケット中継装置1は、最初のパケットを受信すると、カウンタを動作させて秒数またはクロック数に基づく値をカウントアップし、次のパケットを受信すると、最初と次のパケットを受信したタイミングそれぞれからインターバルを算出してもよい。この場合、パケット中継装置1は、前回パケットを受信したタイミングとインターバルに基づいて、次にパケットを受信するタイミングを算出する。また、設定メモリ340のホワイトリスト適用時間幅342は、インターバルを算出するカウンタの単位(秒数またはクロック数)に合わせて設定されればよい。
For example, when receiving the first packet, the
また、パケットを受信したタイミングとインターバルとに基づいて、次にパケットを受信する可能性のある時間幅(タイムウインドウ)、つまり、ホワイトリストを用いた通信制御を切り替える時間幅を算出してもよい。この場合、ホワイトリスト制御情報には、ホワイトリストを用いた通信制御を切り替える時間幅が含まれる。 Further, based on the timing and interval at which the packet is received, a time width (time window) that may be received next packet, that is, a time width for switching the communication control using the white list may be calculated. . In this case, the white list control information includes a time width for switching communication control using the white list.
また、ある時間のうち異なる時間間隔の組み合わせの繰り返しで受信するパケットからインターバルを算出する際には、生成状態中に受信した複数のパケットを受信したタイミングから異なる時間間隔を算出すればよい。 Further, when calculating an interval from a packet received by repeating a combination of different time intervals within a certain time, a different time interval may be calculated from the timing of receiving a plurality of packets received during the generation state.
図4は、設定メモリの詳細を示す説明図の例である。設定メモリ340は、ホワイトリストの設定に関する情報として、ホワイトリストの状態を格納する装置内ホワイトリスト状態341と、ホワイトリストの有効・無効を切り替える際にホワイトリストを適用する時間(ホワイトリスト適用時間)の幅を格納するホワイトリスト適用時間幅342と、を持つ。
FIG. 4 is an example of an explanatory diagram showing details of the setting memory. The setting
設定メモリ340は、ホワイトリストを使用しない無効状態と、ホワイトリストを生成する生成状態と、生成されたホワイトリストに基づいた通信を実施する運用状態の3状態とを、装置内ホワイトリスト状態341として持つ。装置内ホワイトリスト状態341の初期状態は、「無効状態」とする。
The setting
無効状態では、パケット中継装置1は、ホワイトリストを使用しない、一般的なパケット中継装置として転送テーブルメモリ33の検索結果に基づいた通信(パケットの転送)を実施する。つまり、無効状態では、パケット中継装置1は、ホワイトリストの登録状況(ホワイトリストのエントリの有無)に依らず、受信したパケットの通信許可不許可を判定せず、通信を実施する。また、運用状態では、パケット中継装置1は、ホワイトリストを使用し、ホワイトリストの登録状況に応じて、受信したパケットの通信許可不許可を判定して、通信を実施する。つまり、運用状態では、パケット中継装置1は、ホワイトリスト登録外パケットを受信すると、ホワイトリストの適用・非適用に依らず、通信を許可せず、ホワイトリスト登録パケットを受信すると、ホワイトリストが適用の場合は、通信を許可し、ホワイトリストが非適用の場合は、通信を許可しない。生成状態、運用状態のパケット中継装置1の動作概要については図5で、詳細動作については、図6〜8で説明する。
In the invalid state, the
状態の変更については、入出力装置10からのホワイトリストの状態を移行させる命令である状態移行命令により実施される。状態の変更の状態移行命令は、入出力装置10からネットワーク管理者等が実施し、状態移行命令を受信した制御部5から設定メモリ340に設定される。
The change of the state is performed by a state transition command that is a command for shifting the state of the white list from the input / output device 10. The state change command for changing the state is executed by the network administrator or the like from the input / output device 10 and is set in the
また、パケット中継装置1は、運用状態において、ホワイトリスト適用切替部4によりホワイトリストの適用・非適用の切替を実施する。切替の際、ホワイトリストの適用時刻に対し、ある一定の幅を持たせることができ、その幅をホワイトリスト適用時間幅342として設定メモリ340内で保持する。初期状態は、「1秒」とするが、これに限られない。
Further, in the operation state, the
ホワイトリスト適用時間幅342の変更については、入出力装置10からの変更命令により実施可能である。ホワイトリスト適用切替部4内の計算処理部410は、ホワイトリスト適用切替メモリ410内の次回時刻411に格納される値と、このホワイトリスト適用時間幅342により、ホワイトリスト格納メモリ310内の有効ビット313の有効・無効を切り替えることで、パケット転送部3が実行するパケットの転送可否の決定を制御する。
The change of the white list
図5は、ホワイトリストの各状態について、端末群からのパケット受信時及び入出力装置からの状態移行命令受信時の動作概要を示すシーケンス図の例である。 FIG. 5 is an example of a sequence diagram showing an outline of operations when receiving a packet from the terminal group and receiving a state transition command from the input / output device for each state of the white list.
パケット中継装置1の設定メモリ340内の装置内ホワイトリスト状態341が「無効状態」である、パケット中継装置1のホワイトリスト無効状態において、端末群14の特定の1台が、パケットを送信し(S101)、パケット中継装置1がパケットを受信すると、パケットの転送処理を実施する(S102)。パケット中継装置1は、受信したパケットの転送先を決定するため、転送テーブルメモリ33を検索し、検索結果に基づき、パケットの転送を実施し(S102)、宛先のサーバ12へパケットを送信する(S103)。
In the whitelist invalid state of the
また、パケット中継装置1のホワイトリスト無効状態において、入出力装置10が、状態移行命令の1つであり、ホワイトリストの状態を移行させる生成状態移行命令を送信し(S104)、パケット中継装置1が生成状態移行命令を受信すると、設定メモリ340の更新処理を実施する(S105)。パケット中継装置1は、設定メモリ340内の装置内ホワイトリスト状態341を無効状態から生成状態へと更新し(切りかえ)、移行が完了した旨を移行完了通知として入出力装置10へ送信する(S106)。
When the
パケット中継装置1の設定メモリ340内の装置内ホワイトリスト状態341が「生成状態」である、パケット中継装置1のホワイトリスト生成状態において、端末群14の特定の1台がパケットを送信し(S107、S110、S113)、パケット中継装置1がパケットを受信すると、パケット中継装置1は、ホワイトリスト格納メモリ33を参照し、受信したパケットのホワイトリスト格納状態に応じてステップS108〜S109、S111〜S112、S114〜S115のいずれかを実施する。
In the whitelist generation state of the
ステップS108は、受信したパケットのヘッダ情報がホワイトリスト格納メモリ33に格納されていない場合の処理である。パケット中継装置1は、ステップS102と同様にパケットの転送処理を実施し(S108)、宛先のサーバ12へパケットを送信する(S109)とともに、受信したパケットのヘッダ情報をホワイトリスト格納メモリ33に格納してホワイトリストを生成し、パケットの受信時刻を時刻管理部6から取得してホワイトリスト適用切替メモリ410の前回時刻411に格納する(S108)。
Step S108 is processing when the header information of the received packet is not stored in the
ステップS111は、受信したパケットのヘッダ情報がホワイトリスト格納メモリ33に格納されており、且つホワイトリスト適用切替メモリ410にインターバル412が格納されていない場合の処理である。パケット中継装置1は、ステップS102と同様にパケットの転送処理を実施し(S111)、宛先のサーバ12へパケットを送信する(S112)とともに、受信したパケットの受信時刻を時刻管理部6から取得して、この受信時刻と、ホワイトリスト適用切替メモリ410に格納されている前回パケットを受信した時刻である前回時刻411と、を元にインターバル及び次回ホワイトリストを適用する時刻である次回時刻を算出し、ホワイトリスト適用切替メモリ410のインターバル412及び次回時刻413それぞれに格納する(S111)。
Step S111 is processing when the header information of the received packet is stored in the
ステップS114は、受信したパケットのヘッダ情報がホワイトリスト格納メモリ33に格納されており、且つホワイトリスト適用切替メモリ410にインターバル412が格納されている場合の処理である。パケット中継装置1は、ステップS102と同様にパケットの転送処理を実施し(S114)、宛先のサーバ12へパケットを送信する(S115)。なお、この場合、パケット中継装置1は、ホワイトリスト格納メモリ33の有効ビット313が「有効」または「無効」に関わらず、パケットの転送処理を実施する。
Step S114 is processing when the header information of the received packet is stored in the
また、パケット中継装置1のホワイトリスト生成状態において、入出力装置10が状態移行命令の1つであり、ホワイトリストの状態を運用状態へ移行させる運用状態移行命令を送信し(S116)、パケット中継装置1が運用状態移行命令を受信すると、設定メモリ340の更新処理を実施する(S117)。パケット中継装置1は、設定メモリ340内の装置内ホワイトリスト状態341を生成状態から運用状態へと更新し(切りかえ)、移行が完了した旨を移行完了通知として入出力装置10へ送信する(S118)。
Also, in the whitelist generation state of the
パケット中継装置1の設定メモリ340内の装置内ホワイトリスト状態341が「運用状態」である、パケット中継装置1のホワイトリスト運用状態において、端末群14の特定の1台がパケットを送信し(S119、S122)、パケット中継装置1がパケットを受信すると、パケット中継装置1は、ホワイトリスト格納メモリ33を参照し、受信したパケットのホワイトリスト格納状態、または、ホワイトリスト格納状態およびホワイトリスト適用状態(ホワイトリストの適用・非適用)に応じて、ステップS120、S123のいずれかを実施する。
In the whitelist operation state of the
ステップS120は、受信したパケットのヘッダ情報がホワイトリスト格納メモリ33に格納されており、且つホワイトリスト格納メモリ33の有効ビット313が「有効」の場合の処理である。パケット中継装置1は、ホワイトリスト格納メモリ33を検索した後、ステップS102と同様にパケットの転送処理を実施する(S121)。
Step S120 is processing when the header information of the received packet is stored in the
ステップS123は、受信したパケットのヘッダ情報がホワイトリスト格納メモリ33上に格納されており、且つ、ホワイトリスト格納メモリ33上の有効ビット313が「無効」の場合、または、受信したパケットのヘッダ情報がホワイトリスト格納メモリ33上に格納されていない場合の処理である。パケット中継装置1は、ホワイトリスト格納メモリ33を検索した後、パケットの廃棄処理を実施する(S123)。
In step S123, when the header information of the received packet is stored in the
図5で概要を示したステップS108、S111、S114、S117、S120およびS123についての詳細動作については、図6〜図9でそれぞれ説明する。尚、図5においては、装置内ホワイトリスト状態341の一般的な状態遷移を記載しているが、装置内ホワイトリスト状態341は、現在の状態が「無効状態」、「生成状態」、「運用状態」のいずれであっても、他のどの2状態に遷移することが可能である。
Detailed operations of steps S108, S111, S114, S117, S120, and S123 outlined in FIG. 5 will be described with reference to FIGS. In FIG. 5, general state transitions of the in-device
図6は、ホワイトリスト生成状態時のパケット転送部の詳細動作を示すフローチャートの例である。
ステップS130では、パケット転送部3は、受信ポート2からパケットを受信するか、入出力装置10が送信したホワイトリストの装置内ホワイトリスト状態341を運用状態へと変更させる運用状態移行命令を制御部5から受信するかを待つ。尚、ステップS130においては、状態移行命令の1つであり、装置内ホワイトリスト状態341を無効状態に変更させる命令である無効状態移行命令を受信する可能性もあるが、フローチャート上は割愛している。
FIG. 6 is an example of a flowchart showing the detailed operation of the packet transfer unit in the white list generation state.
In step S130, the
パケット転送部3が、パケットを受信した場合(S131:YES)には、ステップS132へと移り、パケットを受信した転送先決定部32で、パケットのヘッダ情報及び受信ポート識別子をキーにホワイトリスト格納メモリ310を検索するとともに、パケットのヘッダ情報をキーに転送テーブルメモリ33内の検索を実施し、パケットの転送先を決定してパケットを転送する処理も実施する。
When the
そして、パケット転送部3は、ホワイトリスト格納メモリ310の検索結果より、既にホワイトリスト格納メモリ310内に登録されたエントリ(パケットのヘッダ情報及び受信ポート識別子に一致するエントリ)が存在するか否か、つまり、パケットのヘッダ情報及び受信ポート識別子がホワイトリスト格納メモリ310内に登録済みかを確認する(S133)。エントリが存在しなかった場合(S133:NO)、パケット中継装置1は、図5のステップS108の処理を実行することとなる。この場合、パケット転送部3は、パケットのヘッダ情報から送信元IPアドレスを抽出し、送信元IPアドレスとパケットの受信ポート識別子とを制御部5へと送信(S134)し、ステップS130へと戻る。
Then, based on the search result of the white
ステップS133でエントリが存在した場合(S133:YES)には、ホワイトリスト格納メモリ310に格納されていたエントリのエントリ番号317を特定し、このエントリ番号317と同じエントリ番号のホワイトリスト適用切替メモリ410のエントリのインターバル412にインターバルが既に登録(格納)済みか否かを確認する(S135)。
If there is an entry in step S133 (S133: YES), the
インターバルが既に登録済みの場合(S135:YES)、パケット中継装置1は、図5のステップS114の処理を実行することとなる。この場合、パケット転送部3は、当該パケットに関するホワイトリストの情報は全て登録済みとなり、ステップS130へと戻る。ステップS135でインターバルが登録済みでない場合(S135:NO)には、パケット中継装置1は、図5のステップS114の処理を実行することとなる。この場合、パケット転送部3は、ステップS135で特定したエントリ番号、つまり、パケットのヘッダ情報及び受信ポート識別子のエントリがホワイトリスト格納メモリ310に格納されているが、ホワイトリスト適用切替メモリ410のインターバル412には、インターバルが格納されていないエントリのエントリ番号(以下、「登録エントリ番号」とも呼ぶ。)を制御部5に送信(S136)し、ステップS130へと戻る。
When the interval has already been registered (S135: YES), the
ステップS130で運用状態移行命令を受信した場合(S131:NO)は、パケット中継装置1は、図5のステップS117の処理を実行することとなる。この場合、パケット転送部3は、設定メモリ340の装置内ホワイトリスト状態341を「生成状態」から「運用状態」へ更新(S137)し、パケット中継装置1の状態が運用状態へと移行する。その際、ステップS137でホワイトリスト格納メモリ310内の各カウンタ314〜316の値のクリアを行う。こうすることで、運用状態に移行してからの当該エントリにヒットするパケットのパケット受信数と当該エントリの有効ビット適用回数をカウントすることができる。
When the operation state transition command is received in step S130 (S131: NO), the
図7は、ホワイトリスト生成状態時の制御部の詳細動作を示すフローチャートの例である。
ステップS140では、制御部5は、図6のステップS134もしくはステップS136で説明した情報いずれかのパケット転送部3からの受信を待つ。つまり、制御部5は、送信元IPアドレス及び受信ポート識別子、または、登録エントリ番号のパケット転送部3からの受信を待つ。
FIG. 7 is an example of a flowchart showing the detailed operation of the control unit in the white list generation state.
In step S140, the control unit 5 waits for reception from the
制御部5が、送信元IPアドレス及び受信ポート識別子を受信した場合(S141:NO)には、パケット中継装置1は、図5のステップS108の処理を実行することとなる。この場合、制御部5は、受信した情報(送信元IPアドレス及び受信ポート識別子)を基に、ホワイトリストに格納する情報を生成するとともに、時刻管理部6からパケット中継装置1の現在時刻を取得する(S142)。
When the control unit 5 receives the transmission source IP address and the reception port identifier (S141: NO), the
そして、制御部5は、ホワイトリスト格納メモリ310の空きエントリに、ステップS142で生成したホワイトリストに格納する情報の書き込み(格納)を実施してホワイトリストを生成するとともに、ステップS142で取得した現在時刻をホワイトリスト適用切替メモリ410の前回時刻411に格納(S143)し、ステップS140へと戻る。この時、現在時刻を格納するホワイトリスト適用切替メモリ410のエントリ番号414は、ステップS142で生成したホワイトリストに格納する情報が格納されたホワイトスト格納メモリ310の空きエントリのエントリ番号317と同じものを使用する。
Then, the control unit 5 writes (stores) the information stored in the white list generated in step S142 into the empty entry in the white
また、ステップS143で空きエントリが存在しない場合は、装置の収容条件をオーバしているとしてエラー表示などを制御部5から入出力装置10に制御信号を送付する形態や、既に存在しているエントリを削除して新たに登録を実施するなどさまざまな形態が可能であるが、収容条件オーバ時の動作については、フローチャート上は割愛している。 If there is no empty entry in step S143, a control signal is sent from the control unit 5 to the input / output device 10 indicating that the device accommodation condition has been exceeded, or an entry that already exists. Various forms are possible, such as deleting the password and newly registering, but the operation when the accommodation condition is exceeded is omitted in the flowchart.
ステップS140で制御部5が登録エントリ番号を受信した場合(S141:YES)は、パケット中継装置1は、図5のステップS111の処理を実行することとなる。この場合、制御部5は、時刻管理部6から現在時刻を取得し、受信した登録エントリ番号と一致するホワイトリスト適用切替メモリ410のエントリ番号414の前回時刻411から前回時刻を取得する。そして、制御部5は、取得した現在時刻及び前回時刻よりインターバルを算出する(S144)。
When the control unit 5 receives the registered entry number in step S140 (S141: YES), the
そして、制御部5は、ステップS141で受信した登録エントリ番号と一致するホワイトリスト適用切替メモリ410のエントリ番号414のインターバル412にステップS144で算出したインターバルを書き込む(格納する)とともに、ステップS144で取得した現在時刻を登録エントリ番号と一致するホワイトリスト適用切替メモリ410のエントリ番号414の前回時刻411へと書き込む(S145)。制御部5は、計算処理部420へ、ホワイトリスト適用切替メモリ410への書き込みを完了した登録エントリ番号を通知(S146)し、ステップS140へと戻る。
Then, the control unit 5 writes (stores) the interval calculated in step S144 in the
図8は、ホワイトリスト生成状態時、及び運用状態時のホワイトリスト適用切替部内の計算処理部420が実施する処理を示すフローチャートの例である。
尚、図8のフローチャートは、ホワイトリスト格納メモリ310及びホワイトリスト適用切替メモリ410の1エントリ単位の動作を示している。
FIG. 8 is an example of a flowchart illustrating processing performed by the
Note that the flowchart of FIG. 8 shows the operation of the white
ステップS150では、計算処理部420は、図7のステップS146で説明した登録エントリ番号の通知の受信を待つ。計算処理部420は、登録エントリ番号の通知を受信すると、ステップS151に進む。ステップS151で、計算処理部420は、ホワイトリスト適用切替メモリ410の情報を取得する(S151)。具体的には、計算処理部420は、受信した登録エントリ番号と一致するホワイトリスト適用切替メモリ410の当該エントリを特定し、特定した当該エントリの前回時刻411及びインターバル412の値を取得する(S151)。
In step S150, the
次に計算処理部420は、ステップS151で取得した各値に基づいて次回時刻を下記計算により算出する(S152)。
次回時刻 = 前回時刻 + インターバル
上記計算により算出した次回時刻を、登録エントリ番号と一致するホワイトリスト適用切替メモリ410のエントリの次回時刻413に書き込む(S153)。
Next, the
Next time = previous time + interval The next time calculated by the above calculation is written in the
計算処理部420は、ステップS151〜S153の処理により、ホワイトリスト適用切替メモリ410の当該エントリの全ての領域に値が格納され、ホワイトリスト格納メモリ310内の有効ビット313の有効・無効を切り替える処理を実施できるようになる。また、ステップS153の処理により、ホワイトリスト適用切替メモリ410は、図3Aに示す状態となる。
The
計算処理部420は、時刻管理部6を監視し、当該エントリの次回時刻413が保持している時刻から設定メモリ340内のホワイトリスト適用時間幅342分前の時刻(以下、「ホワイトリスト適用開始時刻」とも呼ぶ。)を待つ(S154)。図3Aのホワイトリスト適用切替メモリ410のエントリ番号414が「1」のエントリと図4の設定メモリ340を用いてステップS153を具体的に説明する。次回時刻413が、「10時30分03秒」であり、ホワイトリスト適用時間幅342が「1秒」に設定されているので、計算処理部420は、ホワイトリスト適用開始時刻である10時30分02秒まで待つ(S154)。つまり、ホワイトリスト適用開始時刻は下記計算により算出される。
ホワイトリスト適用開始時刻 = 次回時刻 − ホワイトリスト適用時間幅
計算処理部420は、ホワイトリスト適用開始時刻になると、ホワイトリスト格納メモリ310の情報を更新する(S155)。具体的には、計算処理部420は、当該エントリのエントリ番号414と一致するホワイトリスト格納メモリ310のエントリ番号317の有効ビット313の値を「有効」に設定し、有効ビットカウンタ316の値をインクリメントする(S155)。計算処理部420が有効ビット313の値を「有効」に設定することで、パケット中継装置1は、「有効」と設定されたホワイトリストのエントリの適用を開始する。
The
White list application start time = next time−white list application time width When the white list application start time comes, the
次に計算処理部420は、時刻管理部6を監視し、当該エントリの次回時刻413が保持している時刻まで待つ(S156)。計算処理部420は、当該の時刻になると、ホワイトリスト適用切替メモリ410の情報を更新する(S157)。具体的には、計算処理部420は、ホワイトリスト適用切替メモリ410の当該エントリの次回時刻413の値を前回時刻411に書き込むとともに、次回時刻413の値とインターバル412の値を加算し、次回時刻413へと書き込む(S157)。ステップS157の処理により、当該エントリのエントリ番号414と一致するホワイトリスト格納メモリ310のエントリ番号317の有効ビット313を次に有効にする時刻が算出される。また、ステップS157の処理により、ホワイトリスト適用切替メモリ410は、図3Bに示す状態となる。
Next, the
そして、計算処理部420は、時刻管理部6を監視し、前回時刻411の値から設定メモリ340内のホワイトリスト適用時間幅342分後の時刻(以下、「ホワイトリスト適用終了時刻」とも呼ぶ。)を待つ(S158)。図3Bのホワイトリスト適用切替メモリ410のエントリ番号414が「1」のエントリと図4の設定メモリ340を用いてステップS153を具体的に説明する。前回時刻414が「10時30分03秒」であり、ホワイトリスト適用時間幅342が「1秒」に設定されているので、計算処理部420は、ホワイトリスト適用終了時刻である10時30分04秒まで待つ(S158)。つまり、ホワイトリスト適用終了時刻は下記計算により算出される。
ホワイトリスト適用終了時刻 = 前回時刻 + ホワイトリスト適用時間幅
計算処理部420は、ホワイトリスト適用終了時刻になると、ホワイトリスト格納メモリ310の情報を更新する(S159)。具体的には、計算処理部420は、当該エントリのエントリ番号414と一致するホワイトリスト格納メモリ310のエントリ番号317の有効ビット313を「無効」に設定(S159)し、ステップS154へと戻る。計算処理部420が有効ビット313の値を「無効」に設定することで、パケット中継装置1は、「無効」と設定されたホワイトリストのエントリの適用を終了する。
Then, the
Whitelist application end time = previous time + whitelist application time width When the whitelist application end time comes, the
ステップS154〜S159の繰り返しにより、有効ビット313の「有効」・「無効」をホワイトリスト格納メモリ310のエントリ単位に切り替えることが出来る。
By repeating steps S154 to S159, “valid” / “invalid” of the
図9は、運用状態時のパケット転送部の詳細動作を示すフローチャートの例である。
パケット転送部3は、受信ポート2のいずれかから受信するパケットを転送先決定部32で受信する(S160)。
FIG. 9 is an example of a flowchart showing the detailed operation of the packet transfer unit in the operating state.
The
受信ポート2からのパケットを受信した転送先決定部32は、当該パケットのヘッダ情報から送信元IPアドレスを抽出し、当該パケットを受信した受信ポート識別子と送信元IPアドレスを検索キーにし、ホワイトリスト格納メモリ310の検索を実施する(S161)。転送先決定部32は、ホワイトリスト格納メモリ310に検索キーに対応したエントリが存在するか否かを判定する(S162)。検索キーに対応したエントリが存在しない場合(S162:NO)には、パケット中継装置1は、図5のステップS123の処理を実行することとなる。この場合、転送先決定部32は、ホワイトリストに登録されていないパケット(ホワイトリスト登録外パケット)としてパケットの廃棄を行い(S163)、ステップS160へと戻る。
The transfer
ホワイトリスト格納メモリ310に検索キーに対応したエントリが存在した場合(S162:YES)には、転送先決定部32は、対応したエントリの有効ビット313の値が「有効」であるか、「無効」であるかの判別を実施する(S164)。有効ビット313の値が「無効」であった場合(S164:NO)には、パケット中継装置1は、図5のステップS123の処理を実行することとなる。この場合、転送先決定部32は、当該エントリの無効時ヒットカウンタ315の値をインクリメントするとともに、パケットの転送は実施せず、ホワイトリスト登録外パケットとしてパケットの廃棄を行い(S165)、ステップS160へと戻る。
If an entry corresponding to the search key exists in the whitelist storage memory 310 (S162: YES), the transfer
有効ビット313の値が「有効」である場合(S164:YES)には、パケット中継装置1は、図5のステップS120の処理を実行することとなる。この場合、転送先決定部32は、当該エントリの有効時ヒットカウンタ314の値をインクリメントするとともに、ホワイトリストに登録されているパケット(ホワイトリスト登録正規パケット)としてパケットのヘッダ情報を検索キーに転送テーブルメモリ33を検索する(S166)。転送先決定部32は、転送テーブルメモリ33の検索結果に従い、パケットのヘッダ情報を更新するなどパケットの転送に必要な処理を実施して、検索結果が示す送信ポート2のいずれかへパケットを転送(S167)し、ステップS160へと戻る。
When the value of the
図6〜図9で説明を行った動作により、パケット中継装置1は、定期的にパケットを送信してくるような端末群に対して、パケットの定期送信時間のみ通信を許すことを可能にする。これにより、リプレイ攻撃などの、ホワイトリストに登録されている情報と全く同じヘッダ情報をもち、ホワイトリスト登録正規パケットと同じ受信ポート2で受信した攻撃パケットについて、パケット中継装置1内を通過できる絶対数をパケットの定期送信時間のみに留めることができ、ネットワーク全体にかかる負荷及び、攻撃の宛先となるサーバなどへの負荷を大幅に削減することができる。
With the operations described with reference to FIGS. 6 to 9, the
有効ビット313の値が「有効」であり、ホワイトリスト登録正規パケットが本来通過する時間についても、ホワイトリストに基づく通信を実施するため、リプレイ攻撃以外の一般的な攻撃手法については防御可能である。尚、本実施例においては制御部5とホワイトリスト適用切替部4は説明のため別々に記載しているが、制御部5でホワイトリスト適用切替部4が行う処理も含めて実施し、ホワイトリスト適用切替部4が存在しない形態であってもよい。
Even when the value of the
また、本実施例のパケット中継装置1のホワイトリスト運用状態において、ホワイトリスト格納メモリ310内の有効時ヒットカウンタ314、無効時ヒットカウンタ315、有効ビットカウンタ316により、登録されたエントリに対し、パケットが定期的に到着(受信)しているか、攻撃を受けているか、もしくは、パケットが定期的に到着しているが到着時間がホワイトリスト適用時間からずれているか、など、パケットの受信状況をパケット中継装置1が自動で認識し、ホワイトリストを再構築することもできる。
Further, in the whitelist operation state of the
図10は、ホワイトリスト格納メモリ内の1エントリに関して、運用状態時のパケットの受信状況に応じた有効時ヒットカウンタ、無効時ヒットカウンタ、有効ビットカウンタの値を示した一例である。図10を用いて、パケット中継装置1が受信するパケットが正常であるか異常であるか、つまり、パケットを定期的に到着(受信)しているか攻撃を受けているかの判定について説明する。この判定は、例えば、パケット中継装置1の制御部5が行うが、他の機能部が行ってもよい。
FIG. 10 is an example showing the values of the valid hit counter, the invalid hit counter, and the valid bit counter according to the reception status of the packet in the operation state for one entry in the white list storage memory. With reference to FIG. 10, a description will be given of whether the packet received by the
図10のaのエントリについては、有効時ヒットカウンタ314と有効ビットカウンタ316の値が一致している。さらに無効時ヒットカウンタ315が「0」であることから、運用状態に移行した後、定期的にホワイトリスト適用時間内にパケットを受信し、なおかつ無効時(ホワイトリスト非適用時)に一切のパケットを受信していない。aのエントリについては、パケット中継装置1は、外部からの攻撃を受けておらず、ホワイトリストに基づく通信が出来ていると判断する。
For the entry a in FIG. 10, the values of the
次に、bのエントリについては、aのエントリ同様、無効時ヒットカウンタ315の値は「0」であり、パケット中継装置1は、外部からの攻撃の可能性はないと判断するが、有効時ヒットカウンタ314及び有効ビットカウンタ316の値が一致していない。これは、bのエントリに対応する端末(通信機器)が何らかの事象によりパケットの送信を行わなくなった可能性を示している。
Next, for the entry of b, as in the entry of a, the value of the
このような場合には、パケット中継装置1は、bのエントリの端末が故障している可能性があるとして、警告パケットを外部に出力したり、制御部5から入出力装置10の画面上に警告表示させることが可能である。
In such a case, the
cのエントリについては、有効時ヒットカウンタ314と無効時ヒットカウンタ315の値の総和が、有効ビットカウンタ316と一致している。このような場合には、パケット中継装置1は、cのエントリの端末からのパケットの定期送信タイミングがずれたものと判断し、当該エントリに対してのみ、もう一度ホワイトリスト生成状態に戻し、定期的に送信されるパケットからの受信時刻及びインターバルの学習を自動で再度実施し、当該エントリに対応するホワイトリスト適用切替メモリ410のエントリを自動で再生成する。この場合、パケット中継装置1は、ホワイトリスト格納メモリ310の当該エントリの受信ポート識別子311及び送信元IPアドレス312の再学習は、実施しない。
For the entry c, the sum of the values of the
受信時刻及びインターバルの学習の自動での実施については、有効時ヒットカウンタ314の値と無効時ヒットカウンタ315の値を加えると有効ビットカウンタ316の値となり、且つ無効時ビットカウンタ315が複数回連続でインクリメントされた場合に実施する形態でもよいし、有効時ヒットカウンタ314の値と無効時ヒットカウンタ315の値を加えると有効ビットカウンタ316の値となり、且つ無効時ビットカウンタ315がある一定の閾値を超えたタイミングで行ってもよい。また、セキュリティの観点から上記状態に陥った際に自動では受信時刻及びインターバルの再学習を実施せず、警告パケットを外部に出力したり、制御部5から入出力装置10の画面上に警告表示を行い、受信時刻及びインターバルの再学習は入出力装置10からの命令によって実施する形態をとってもよい。
For automatic execution of learning of the reception time and interval, the value of the
dのエントリについては、有効時ヒットカウンタ314の値及び無効時ヒットカウンタ315の値が、有効ビットカウンタ316の値をはるかに上回っている。これは、パケット中継装置1がリプレイ攻撃を受けている際の特徴的なカウンタの上がり方である。定期的にパケットを送信する端末群のパケットの定期送信タイミングに対応してホワイトリストの適用・非適用を動的に切り替えない従来のパケット中継装置では、リプレイ攻撃により有効時ヒットカウンタ314の値と無効時ヒットカウンタ315の値分のパケットがパケット中継装置内を通過し、攻撃対象のサーバなどに届くことになり、ネットワーク全体にも、攻撃対象のサーバなどにも多大なる負荷を与えてしまう。
For the entry d, the value of the
一方、本実施例のパケット中継装置1は、「無効」時であるホワイトリストの非適用時間中に受信するパケット(つまり、無効時ヒットカウンタ315の値分のパケット)を廃棄するため、攻撃パケットのほとんどを廃棄することが可能である。
On the other hand, the
以上のように実施例1によれば、パケット中継装置が、ホワイトリストの適用・非適用を時刻によって動的に切り替えることにより、定期的にパケットを送信してくる端末のセキュリティレベルを高めることができ、パケット中継装置をパケットが通過するタイミングを限定し、ネットワークへの攻撃による影響を軽減することができる。 As described above, according to the first embodiment, the packet relay apparatus can dynamically increase / decrease the security level of a terminal that periodically transmits packets by dynamically switching application / non-application of the white list according to time. It is possible to limit the timing at which a packet passes through the packet relay device, and to reduce the influence of an attack on the network.
なお、DPI(Deep Packet Inspection)機能を有するパケット中継装置(L7スイッチ)の場合、HTTP・FTPなどのアプリケーションレベルのプロトコルでホワイトリストを生成してもよい。 In the case of a packet relay apparatus (L7 switch) having a DPI (Deep Packet Inspection) function, a white list may be generated by an application level protocol such as HTTP / FTP.
(実施例2)
実施例2は、実施例1で説明したパケット中継装置1の変形であり、受信ポート単位で有効ビット313の値を、ホワイトリストに格納する情報として使用するか否かを判別する。なお、実施例1と同一の箇所または同様な機能を有する箇所には同一の参照符号を付し、重複する説明は省略して説明する。
(Example 2)
The second embodiment is a modification of the
図11は、実施例2における設定メモリの詳細を示す説明図の例である。
実施例2の設定メモリ340は、実施例1の図4で説明した装置内ホワイトリスト状態341及びホワイトリスト適用時間幅342に加え、定期的にパケットを送信する端末が収容されている受信ポート識別子の設定をビットマップ形式で格納する定期パケット端末収容ポート設定343を保持する。定期パケット端末収容ポート設定343の初期状態は、ビットマップの全ての値を「0」とし、定期的にパケットを送信してくる端末を収容するポートに対応するビットマップの値を「1」に設定することにより、判別が可能となる。なお、本実施例において、定期パケット端末収容ポート設定343のビットマップの値が「0」の場合は、ビットマップに対応するポートに、不定期にパケットを送信してくる端末が収容されることを示し、ビットマップの値が「1」の場合は、ビットマップに対応するポートに、定期的にパケットを送信してくる端末が収容されることを示すが、これに限られない。本実施例では、定期的ではない時間間隔を「不定期」と表現する。不定期とは、例えば、ある一定の時間間隔を繰り返しておらず、ある時間のうちある周期(パターン)の間隔を繰り返さない場合である。
FIG. 11 is an explanatory diagram illustrating details of the setting memory according to the second embodiment.
The setting
定期パケット端末収容ポート設定343の設定(更新)については、入出力装置10からの定期パケット端末収容ポート設定343の値を変更させる命令である設定命令により実施される。設定命令は、ネットワーク管理者等が実施し、設定命令を受信した制御部5から設定メモリ340に設定される。
The setting (updating) of the periodic packet terminal accommodation port setting 343 is performed by a setting instruction which is an instruction for changing the value of the periodic packet terminal accommodation port setting 343 from the input / output device 10. The setting command is executed by a network administrator or the like, and is set in the
実施例2では、ホワイトリストの生成時に、定期パケット端末収容ポート設定343のビットマップ値が「0」の受信ポート識別子の情報を持つエントリについて、有効ビット313を常に「1」に保つことにより、不定期にパケットを送信してくる端末群からのパケットの転送処理を可能とする。
In the second embodiment, at the time of generating the white list, by keeping the
図12は、実施例2におけるホワイトリスト生成状態時のパケット転送部の詳細動作を示すフローチャートの例である。図12のフローチャートは、図6のステップS133の後に定期パケット端末収容ポート設定343のビットマップの情報を確認するステップを追加したフローチャートである。 FIG. 12 is an example of a flowchart illustrating the detailed operation of the packet transfer unit in the whitelist generation state according to the second embodiment. The flowchart of FIG. 12 is a flowchart in which a step of confirming bitmap information of the regular packet terminal accommodating port setting 343 is added after step S133 of FIG.
パケット転送部3は、ステップS133で、パケットのヘッダ情報及び受信ポート識別子がホワイトリスト格納メモリ310内に登録済み(S133:YES)の場合、ステップS138に進む。パケット転送部3は、設定メモリ340の定期パケット端末収容ポート設定343を参照してホワイトリスト格納メモリ310内に登録済みの受信ポート識別子のビットマップの情報を確認する(S138)。具体的には、パケット転送部3は、受信ポート識別子に対応する定期パケット端末収容ポート設定343のビットマップの値が「1」であるかを確認する(S138)。ビットマップの値が「1」であれば(S138:YES)、パケット転送部3は、実施例1と同様にステップS135へと進む。また、「0」であれば(S138:NO)、パケット転送部3は、ステップS130へと戻る。
If the packet header information and the reception port identifier have already been registered in the whitelist storage memory 310 (S133: YES) in step S133, the
図13は、実施例2におけるホワイトリスト生成状態時の制御部の詳細動作を示すフローチャートの例である。図13のフローチャートは、図7のステップS142の後に定期パケット端末収容ポート設定343のビットマップの情報を確認するステップを追加したフローチャートである。 FIG. 13 is an example of a flowchart illustrating the detailed operation of the control unit in the whitelist generation state according to the second embodiment. The flowchart of FIG. 13 is a flowchart in which a step of confirming bitmap information of the regular packet terminal accommodation port setting 343 is added after step S142 of FIG.
制御部5は、ステップS142で、ホワイトリストに格納する情報を作成し、時刻管理部6からパケット中継装置1の現在時刻を取得する(S142)と、受信ポート識別子のビットマップの情報を確認する(S147)。具体的には、制御部5は、受信ポート識別子に対応する定期パケット端末収容ポート設定343のビットマップの値が「1」であるかを確認する(S147)。ビットマップの値が「1」であれば(S147:YES)、実施例1と同様にステップS143へと進む。また、「0」であれば(S147:NO)、制御部5は、ホワイトリスト格納メモリ310の空きエントリにステップS142で生成したホワイトリストに格納する情報を格納すると共に、ホワイトリストに格納する情報を格納したエントリの有効ビット313を「有効」に設定(S148)し、ステップS140へと戻る。
In step S142, the control unit 5 creates information to be stored in the white list, acquires the current time of the
以上のように、パケット中継装置1は、定期パケット端末収容ポート設定343のビットマップの値が「0」である不定期にパケットを送信してくる端末群から、まだホワイトリスト格納メモリ310に登録されていないパケットを最初に受信した際に、ホワイトリスト格納メモリ310に新たなエントリを登録するとともに、登録したエントリの有効ビット313を「有効」に設定することで、不定期にパケットを送信してくる端末群から2回目以降に受信するパケットに対して、ホワイトリスト適用切替部4に一切の情報を通知しないため、不定期にパケットを送信してくる端末群のホワイトリスト格納メモリ310のエントリについては、有効ビット313の「有効」・「無効」の切替を実施しない。
As described above, the
以上のように実施例2によれば、パケット中継装置が、定期的にパケットを送信してくる端末の所属する受信ポートと、不定期にパケットを送信してくる端末の所属する受信ポートを分離して管理することにより、定期的にパケットを送信してくる端末のセキュリティレベルを高めながら、不定期にパケットを送信してくる端末群もパケット中継装置に収容することができる。 As described above, according to the second embodiment, the packet relay apparatus separates the reception port to which the terminal that periodically transmits packets belongs and the reception port to which the terminal that transmits packets irregularly belongs. By managing in this manner, it is possible to accommodate a group of terminals that transmit packets irregularly in the packet relay device while increasing the security level of the terminals that transmit packets regularly.
尚、本実施例では、受信ポート単位に定期的にパケットを送信してくる端末と不定期にパケットを送信してくる端末を判別したが、これは例えばVLAN(Virtual Local Area Network)単位に判別してもよいし、パケットのヘッダ情報内の任意の情報により条件を分けて判別してもよい。また、本実施例では、定期的にパケットを送信してくる端末が収容されているポートと不定期にパケットを送信してくる端末が収容されているポートとを管理して、有効ビット313の「有効」・「無効」の切替、つまり、ホワイトリストの適用・非適用の切替を実施したが、端末からのパケットの送信が定期的または不定期であるかに関わらず、特定のポートに対するホワイトリストの適用・非適用の切替を実施しない場合は、このポートに対応するビットマップの値を「0」に設定して、有効ビット313の「有効」・「無効」の切替(ホワイトリストの適用・非適用の切替)を実施しないようにしてもよい。 In this embodiment, a terminal that periodically transmits a packet for each receiving port and a terminal that transmits a packet irregularly are determined, but this is determined, for example, for each VLAN (Virtual Local Area Network). Alternatively, the condition may be divided and discriminated based on arbitrary information in the header information of the packet. In the present embodiment, the port in which the terminal that regularly transmits the packet is accommodated and the port in which the terminal that irregularly transmits the packet are accommodated are managed. Switching between “valid” and “invalid”, that is, switching between whitelist application and non-application, was performed, but whitelisting for a specific port was performed regardless of whether the packet transmission from the terminal was regular or irregular. When switching between applying and not applying the list is not performed, the value of the bitmap corresponding to this port is set to “0”, and switching between “valid” and “invalid” of the valid bit 313 (application of the white list) (Non-application switching) may not be performed.
(実施例3)
実施例3は、実施例1または実施例2で説明したパケット中継装置1の変形であって、定期的に複数のパケットを送信してくる端末群14に対して、ホワイトリストの適用・非適用を時刻によって動的に切り替える。なお、実施例1と同一の箇所または同様な機能を有する箇所には同一の参照符号を付し、重複する説明は省略して説明する。
Example 3
The third embodiment is a modification of the
実施例1で説明した端末群14は、説明のため定期的に1パケットを送信してくるものとしたが、定期的に複数のパケットを送信してくる端末群14を収容するパケット中継装置1は、一度に受信するパケット数を設定メモリ340に情報(以下、「定期受信パケット数」とも呼ぶ。)として持たせ、図6のステップS130で説明したパケット受信時の処理を、1パケット単位ではなく、設定メモリ340の情報(定期受信パケット数)に基づいたパケット数単位に実施する。
The
また、この場合、有効時ヒットカウンタ314の値及び無効時ヒットカウンタ315の値と、有効ビットカウンタ316の値の整合性を取るため、計算処理部420は、有効ビットカウンタ316の値をインクリメントするたびに、設定メモリ340の情報(定期受信パケット数)に基づいたパケット数分を有効ビットカウンタ316の値に加算する。
In this case, the
以上のように実施例3によれば、定期的に複数のパケットを送信してくる端末群を収容するパケット中継装置は、端末群が定期的に送信してくるパケット数分に基づいて有効ビットカウンタの値をインクリメントすることにより、定期的に複数のパケットを送信してくる端末群に対してホワイトリストの適用・非適用の時刻による動的な切り替えを実現し、セキュリティレベルを高めることができる。また、パケット中継装置が、定期的に複数のパケットを送信してくる端末の所属する受信ポートと、不定期に複数のパケットを送信してくる端末の所属する受信ポートを分離して管理することにより、定期的に複数のパケットを送信してくる端末のセキュリティレベルを高めながら、不定期に複数のパケットを送信してくる端末群もパケット中継装置に収容することができる。 As described above, according to the third embodiment, the packet relay apparatus that accommodates a terminal group that periodically transmits a plurality of packets has effective bits based on the number of packets that the terminal group periodically transmits. By incrementing the counter value, it is possible to realize a dynamic switching according to whitelist application / non-application time for a terminal group that periodically transmits a plurality of packets, thereby increasing the security level. . Also, the packet relay device must manage the receiving port to which the terminal that regularly sends multiple packets belongs and the receiving port to which the terminal that sends multiple packets irregularly is separated. Thus, while increasing the security level of terminals that regularly transmit a plurality of packets, a group of terminals that transmit a plurality of packets irregularly can be accommodated in the packet relay apparatus.
また、本発明の各実施例において、例えば、IEEE1588で規定される時刻同期技術を採用して、パケット中継装置1と端末群14とが、時刻同期していてもよい。この場合、パケットを定期的に送信してくる端末群14を収容するポート2は、時刻同期ホワイトリスト適用ポートと呼ぶことができる。
Further, in each embodiment of the present invention, for example, the time synchronization technology defined by IEEE 1588 may be adopted, and the
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えばFPGA(field−programmable gate array)のような集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、IC(Integrated Circuit)カード、SDカード、DVD等の記録媒体に置くことができる。
また、「aaaテーブル」の表現にて各種情報を説明したが、各種情報は、テーブル以外のデータ構造で表現されていてもよい。データ構造に依存しないことを示すために「aaaテーブル」を「aaa情報」と呼ぶことができる。また、「格納する」の表現にて各種テーブルに各情報を記録することを説明したが、「登録する」または「設定する」と表現されてもよい。
In addition, this invention is not limited to an above-described Example, Various modifications are included. For example, the above-described embodiments have been described in detail for easy understanding of the present invention, and are not necessarily limited to those having all the configurations described. Further, a part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. Further, it is possible to add, delete, and replace other configurations for a part of the configuration of each embodiment. In addition, each of the above-described configurations, functions, processing units, processing means, and the like are realized by hardware by designing a part or all of them with an integrated circuit such as a field-programmable gate array (FPGA). Also good. Each of the above-described configurations, functions, and the like may be realized by software by interpreting and executing a program that realizes each function by the processor. Information such as programs, tables, and files that realize each function is stored in memory, a hard disk, a recording device such as an SSD (Solid State Drive), or a recording medium such as an IC (Integrated Circuit) card, SD card, or DVD. be able to.
Moreover, although various information was demonstrated by the expression of "aaa table", various information may be expressed by data structures other than a table. In order to show that it does not depend on the data structure, the “aaa table” can be called “aaa information”. Further, the description has been given of recording each information in various tables in the expression “store”, but it may be expressed as “register” or “set”.
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。 Further, the control lines and information lines indicate what is considered necessary for the explanation, and not all the control lines and information lines on the product are necessarily shown. Actually, it may be considered that almost all the components are connected to each other.
1…パケット中継装置
2…パケット受信部
3…パケット転送部
4…ホワイトリスト適用切替部
5…制御部
6…時刻管理部
32…転送先決定部
33…転送テーブルメモリ
310…ホワイトリスト格納メモリ
340…設定メモリ
410…ホワイトリスト適用切替メモリ
420…計算処理部
DESCRIPTION OF
Claims (8)
前記ポートを介して第1の期間中に受信したデータに含まれる少なくとも一部のヘッダ情報を、通信を許可するデータに関する情報のエントリとして、当該エントリが有効か無効かを示す情報とともに格納するホワイトリストを記憶する記憶部と、
前記ポートを介して前記第1の期間後の第2の期間中にデータを受信する場合、当該データに含まれる少なくとも一部のヘッダ情報が前記ホワイトリストに格納されていないとき、当該データを宛先に向けて他のポートを介して転送することを許可せず、当該データに含まれる少なくとも一部のヘッダ情報が前記ホワイトリストに格納されているとき、当該データを宛先に向けて他のポートを介して転送することを許可する転送部と、
時刻を保持、管理する時刻管理部と、
前記転送部が前記ホワイトリストに格納されたヘッダ情報を含むデータを受信すると、受信時刻を前記時刻管理部から取得してインターバルおよび次回受信時刻を求め、前記エントリと当該エントリの次回受信時刻を対応づけて格納したホワイトリスト制御情報を前記記憶部に記憶するホワイトリスト適用切替部と、
制御部とを有し、
前記制御部は、前記ホワイトリスト制御情報の各エントリについて、当該エントリの次回受信時刻と、予め定めた適用時間幅に基づいて、前記次回受信時刻において前記予め定めた適用時間幅の間、前記ホワイトリストの当該エントリが有効か無効かを示す情報を有効にし、その他の時刻においては無効にするよう切り替え制御することを特徴とする通信装置であって、
前記ホワイトリストは、
前記ホワイトリストのエントリが有効か無効かを示す第1の情報と、前記第1の情報が有効の場合に受信した前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報を有するデータの数を示す第2の情報と、前記第1の情報が有効に更新された回数を示す第3の情報と、前記第1の情報が無効の場合に受信した前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報を有するデータの数を示す第4の情報と、を前記エントリ毎にさらに格納し、
前記第2の期間中において、
前記制御部は、
前記ホワイトリスト制御情報の前記次回受信時刻および前記予め定めた適用時間幅に応じて、前記第1の情報を更新し、
前記転送部は、
前記ポートを介して前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報を有するデータを受信する場合、前記第1の情報が有効のとき、前記第2の情報を更新するとともに、当該データを宛先に転送し、
前記制御部は、
前記ホワイトリスト制御情報の前記エントリ毎に、前記次回受信時刻となると、前記第1の情報を無効から有効に更新するとともに前記第3の情報を更新し、前記予め定めた適用時間幅後に、前記第1の情報を有効から無効に更新し、
前記転送部は、
前記ポートを介して前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報を有するデータを受信する場合、当該データに含まれる少なくとも一部のヘッダ情報に対応する前記第1の情報が無効のとき、当該データに含まれる少なくとも一部のヘッダ情報に対応する前記第4の情報を更新するとともに、当該データを廃棄し、
前記制御部は、
前記ホワイトリストの前記エントリ毎に、前記第2の情報と前記第4の情報との合計が、前記第3の情報と一致する場合、前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報に対応する前記ホワイトリスト制御情報の前記インターバルを前記第2の期間中に受信したデータの受信履歴に基づいて再度算出する、
通信装置。 Multiple ports connected to the network;
White that stores at least a part of header information included in data received during the first period via the port, together with information indicating whether the entry is valid or invalid, as an entry of information on data for which communication is permitted. A storage unit for storing the list;
When data is received via the port during a second period after the first period, when at least part of header information included in the data is not stored in the white list, the data is addressed When at least a part of the header information included in the data is stored in the white list, the data is not sent to the destination. A transfer unit that allows transfer via,
A time management unit that holds and manages time;
When the transfer unit receives the data including the header information stored in the white list, the reception time is acquired from the time management unit to obtain the interval and the next reception time, and the entry corresponds to the next reception time of the entry. A whitelist application switching unit that stores the stored whitelist control information in the storage unit;
A control unit,
The control unit, for each entry of the white list control information, based on the next reception time of the entry and a predetermined application time width, during the predetermined application time width at the next reception time, A communication device characterized in that information indicating whether the entry in the list is valid or invalid is valid and is controlled to be invalid at other times ,
The whitelist is
The first information indicating whether the white list entry is valid or invalid, and the number of pieces of data including the at least some header information stored in the white list received when the first information is valid. Second information indicating, third information indicating the number of times the first information has been effectively updated, and at least a portion stored in the whitelist received when the first information is invalid And further storing, for each entry, fourth information indicating the number of pieces of data having header information of
During the second period,
The controller is
Updating the first information according to the next reception time of the whitelist control information and the predetermined application time width;
The transfer unit
When receiving the data having the at least part of header information stored in the white list via the port, when the first information is valid, the second information is updated and the data is updated. Forward to the destination,
The controller is
For each entry of the white list control information, when the next reception time is reached, the first information is updated from invalid to effective and the third information is updated.After the predetermined application time width, Update the first information from valid to invalid,
The transfer unit
When receiving data having at least a part of header information stored in the white list via the port, when the first information corresponding to at least a part of the header information included in the data is invalid , Updating the fourth information corresponding to at least a part of the header information included in the data, discarding the data,
The controller is
For each entry in the white list, if the sum of the second information and the fourth information matches the third information, the at least some header information stored in the white list Recalculating the corresponding whitelist control information interval based on the reception history of the data received during the second period;
Communication device.
前記制御部は、前記ホワイトリストの当該エントリが有効か無効かを示す情報が有効の場合、前記次回受信時刻において予め定めた適用時間幅の間、前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報を有するデータを、前記転送部が当該データの宛先に転送するように前記転送部を制御し、前記ホワイトリストの当該エントリが有効か無効かを示す情報が無効の場合、前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報を有するデータを、前記転送部が当該データの宛先に転送しないように前記転送部を制御することを特徴とする、
通信装置。 The communication device according to claim 1,
When the information indicating whether the entry in the white list is valid or invalid is valid, the control unit is configured to store the at least a part of the at least a part of the white list stored in the white list for a predetermined application time range at the next reception time. When the transfer unit controls the transfer unit so that the transfer unit transfers data having header information to the destination of the data, and the information indicating whether the entry in the white list is valid or invalid, the data is included in the white list. The transfer unit is controlled so that the transfer unit does not transfer the stored data having the at least part of header information to a destination of the data,
Communication device.
前記第1の期間中において、
前記制御部は、
前記転送部が前記ホワイトリストに格納されていないヘッダ情報を有するデータを受信すると、当該データに含まれる少なくとも一部のヘッダ情報を前記ホワイトリストに格納して前記ホワイトリストを生成し、前記転送部が前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報を有するデータを受信すると、前記ホワイトリスト適用切替部が時刻管理部から受信時刻を取得して、前記インターバルおよび前記次回受信時刻を算出するよう制御することを特徴とする
通信装置。 The communication device according to claim 2,
During the first period,
The controller is
When the transfer unit receives data having header information not stored in the white list, the transfer unit stores at least a part of header information included in the data in the white list and generates the white list. Receives the data having the at least part of header information stored in the white list, the white list application switching unit obtains the reception time from the time management unit, and calculates the interval and the next reception time. A communication apparatus characterized by controlling the communication.
前記第1の期間中において、
前記転送部は、
前記ホワイトリストに格納されていない前記ヘッダ情報を有するデータを受信すると、当該データに含まれる少なくとも一部のヘッダ情報を前記制御部に送信するとともに、当該データを宛先に転送し、
前記制御部は、
前記転送部から受信した前記少なくとも一部のヘッダ情報を前記ホワイトリストに格納するとともに、前記転送部から前記少なくとも一部のヘッダ情報を受信した時刻を前記時刻管理部から取得して前記少なくとも一部のヘッダ情報に対応する前回受信時刻として前記ホワイトリスト制御情報に格納し、
前記転送部は、
前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報を有するデータを受信すると、前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報を識別するエントリ番号を前記制御部に送信するとともに、当該データを宛先に転送し、
前記制御部は、
前記転送部から前記エントリ番号を受信した時点と前記エントリ番号に対応する前記前回受信時刻とに基づいてインターバルを算出し、前記前回受信時刻と前記インターバルとに基づいて次回受信時刻を算出する、
通信装置。 The communication device according to claim 3,
During the first period,
The transfer unit
When data having the header information not stored in the white list is received, the header information included in the data is transmitted to the control unit, and the data is transferred to a destination.
The controller is
The at least part of header information received from the transfer unit is stored in the white list, and the time at which the at least part of header information is received from the transfer unit is acquired from the time management unit and the at least part Stored in the whitelist control information as the previous reception time corresponding to the header information of
The transfer unit
Upon receiving data having the at least part of header information stored in the white list, an entry number identifying the at least part of header information stored in the white list is transmitted to the control unit, and Transfer data to the destination,
The controller is
An interval is calculated based on the time when the entry number is received from the transfer unit and the previous reception time corresponding to the entry number, and the next reception time is calculated based on the previous reception time and the interval.
Communication device.
前記第2の期間中において、
前記制御部は、
前記ホワイトリスト制御情報の前記次回受信時刻となると、当該次回受信時刻を前記ホワイトリスト制御情報の前回受信時刻として格納し、当該前回受信時刻を格納した前記ホワイトリスト制御情報の前記前回受信時刻と前記インターバルとに基づいて算出した次回受信時刻を前記ホワイトリスト制御情報の次回受信時刻として格納して前記ホワイトリスト制御情報を更新する、
通信装置。 The communication device according to claim 4,
During the second period,
The controller is
When the next reception time of the white list control information is reached, the next reception time is stored as the previous reception time of the white list control information, and the previous reception time of the white list control information storing the previous reception time and the Storing the next reception time calculated based on the interval as the next reception time of the whitelist control information and updating the whitelist control information;
Communication device.
前記ポートを複数備え、 A plurality of the ports;
前記ホワイトリストは、 The whitelist is
データを受信する前記複数のポートそれぞれを識別するポート識別情報を、前記少なくとも一部のヘッダ情報毎にさらに格納し、 Port identification information for identifying each of the plurality of ports that receive data is further stored for each of the at least some header information,
前記第2の期間中において、 During the second period,
前記転送部は、 The transfer unit
前記複数のポートのいずれかを介してデータを受信する場合、当該データを受信したポートのポート識別情報および当該データに含まれる少なくとも一部のヘッダ情報の少なくとも一方が前記ホワイトリストに格納されており、当該データの受信が前記次回受信時刻の前記予め定めた適用時間幅内であるとき、当該データを宛先に転送することを許可し、当該データを受信したポートのポート識別情報および当該データに含まれる少なくとも一部のヘッダ情報の少なくとも一方が前記ホワイトリストに格納されており、当該データの受信が前記次回受信時刻の前記予め定めた適用時間幅ではないとき、当該データを宛先に転送することを許可せず、当該データを受信したポートのポート識別情報および当該データに含まれる少なくとも一部のヘッダ情報のいずれも前記ホワイトリストに格納されていないとき、当該データを宛先に転送することを許可しない、 When receiving data via any of the plurality of ports, at least one of port identification information of a port that has received the data and at least some header information included in the data is stored in the white list. When the reception of the data is within the predetermined application time width of the next reception time, the data is permitted to be transferred to the destination and included in the port identification information of the port that received the data and the data When at least one of the header information is stored in the white list and the reception of the data is not within the predetermined application time width of the next reception time, the data is transferred to the destination. Without permission, the port identification information of the port that received the data and at least a part of the data When none of the header information is not stored in the white list, it does not allow the transfer of the data to the destination,
通信装置。 Communication device.
前記ポートを複数備え、 A plurality of the ports;
前記複数のポートそれぞれは、 Each of the plurality of ports is
データを定期的に受信する第1のポートまたはデータを不定期に受信する第2のポートの何れかのポートであり、 Either a first port that receives data periodically or a second port that receives data irregularly;
前記第2の期間中において、 During the second period,
前記転送部は、 The transfer unit
前記第1のポートを介してデータを受信する場合、当該データに含まれる少なくとも一部のヘッダ情報が前記ホワイトリストに格納されており、当該データのエントリが有効か無効かを示す情報が有効であるとき、前記第1のポートを介して受信した前記データを宛先に転送し、当該データに含まれる少なくとも一部のヘッダ情報が前記ホワイトリストに格納されており、当該データのエントリが有効か無効かを示す情報が無効であるとき、前記第1のポートを介して受信した前記データを宛先に転送せず、前記第2のポートを介して前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報を有するデータを受信する場合、当該データを宛先に転送する、 When data is received via the first port, at least a part of header information included in the data is stored in the white list, and information indicating whether the entry of the data is valid or invalid is valid. At some time, the data received via the first port is transferred to the destination, and at least a part of header information included in the data is stored in the white list, and the entry of the data is valid or invalid When the information indicating is invalid, the data received via the first port is not transferred to a destination, and the at least some headers stored in the whitelist via the second port When receiving data with information, transfer the data to the destination.
通信装置。 Communication device.
通信装置を有し、 Having a communication device,
前記通信装置は、 The communication device
前記端末が送信したデータを受信する第1のポートと、 A first port for receiving data transmitted by the terminal;
前記端末から受信したデータを前記サーバ宛に送信する第2のポートと、 A second port for transmitting data received from the terminal to the server;
前記第1のポートを介して第1の期間中に受信したデータに含まれる少なくとも一部のヘッダ情報を、通信を許可するデータに関する情報のエントリとして、当該エントリが有効か無効かを示す情報とともに格納するホワイトリストを記憶する記憶部と、 At least a part of header information included in data received during the first period via the first port is used as an entry for information on data that permits communication, together with information indicating whether the entry is valid or invalid. A storage unit for storing a white list to be stored;
前記ポートを介して前記第1の期間後の第2の期間中にデータを受信する場合、当該データに含まれる少なくとも一部のヘッダ情報が前記ホワイトリストに格納されていないとき、当該データを宛先に向けて他のポートを介して転送することを許可せず、当該データに含まれる少なくとも一部のヘッダ情報が前記ホワイトリストに格納されているとき、当該データを宛先に向けて他のポートを介して転送することを許可する転送部と、 When data is received via the port during a second period after the first period, when at least part of header information included in the data is not stored in the white list, the data is addressed When at least a part of the header information included in the data is stored in the white list, the data is not sent to the destination. A transfer unit that allows transfer via,
時刻を保持、管理する時刻管理部と、 A time management unit that holds and manages time;
前記転送部が前記ホワイトリストに格納されたヘッダ情報を含むデータを受信すると、受信時刻を前記時刻管理部から取得してインターバルおよび次回受信時刻を求め、前記エントリと当該エントリの次回受信時刻を対応づけて格納したホワイトリスト制御情報を前記記憶部に記憶するホワイトリスト適用切替部と、 When the transfer unit receives the data including the header information stored in the white list, the reception time is acquired from the time management unit to obtain the interval and the next reception time, and the entry corresponds to the next reception time of the entry. A whitelist application switching unit that stores the stored whitelist control information in the storage unit;
制御部とを有し、 A control unit,
前記制御部は、前記ホワイトリスト制御情報の各エントリについて、当該エントリの次回受信時刻と、予め定めた適用時間幅に基づいて、前記次回受信時刻において前記予め定めた適用時間幅の間、前記ホワイトリストの当該エントリが有効か無効かを示す情報を有効にし、その他の時刻においては無効にするよう切り替え制御をし、 The control unit, for each entry of the white list control information, based on the next reception time of the entry and a predetermined application time width, during the predetermined application time width at the next reception time, Enable the information indicating whether the entry in the list is valid or invalid, and switch to disable at other times,
前記ホワイトリストは、 The whitelist is
前記ホワイトリストのエントリが有効か無効かを示す第1の情報と、前記第1の情報が有効の場合に受信した前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報を有するデータの数を示す第2の情報と、前記第1の情報が有効に更新された回数を示す第3の情報と、前記第1の情報が無効の場合に受信した前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報を有するデータの数を示す第4の情報と、を前記エントリ毎にさらに格納し、 The first information indicating whether the white list entry is valid or invalid, and the number of pieces of data including the at least some header information stored in the white list received when the first information is valid. Second information indicating, third information indicating the number of times the first information has been effectively updated, and at least a portion stored in the whitelist received when the first information is invalid And further storing, for each entry, fourth information indicating the number of pieces of data having header information of
前記第2の期間中において、 During the second period,
前記制御部は、 The controller is
前記ホワイトリスト制御情報の前記次回受信時刻および前記予め定めた適用時間幅に応じて、前記第1の情報を更新し、 Updating the first information according to the next reception time of the whitelist control information and the predetermined application time width;
前記転送部は、 The transfer unit
前記ポートを介して前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報を有するデータを受信する場合、前記第1の情報が有効のとき、前記第2の情報を更新するとともに、当該データを宛先に転送し、 When receiving the data having the at least part of header information stored in the white list via the port, when the first information is valid, the second information is updated and the data is updated. Forward to the destination,
前記制御部は、 The controller is
前記ホワイトリスト制御情報の前記エントリ毎に、前記次回受信時刻となると、前記第1の情報を無効から有効に更新するとともに前記第3の情報を更新し、前記予め定めた適用時間幅後に、前記第1の情報を有効から無効に更新し、 For each entry of the white list control information, when the next reception time is reached, the first information is updated from invalid to effective and the third information is updated.After the predetermined application time width, Update the first information from valid to invalid,
前記転送部は、 The transfer unit
前記ポートを介して前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報を有するデータを受信する場合、当該データに含まれる少なくとも一部のヘッダ情報に対応する前記第1の情報が無効のとき、当該データに含まれる少なくとも一部のヘッダ情報に対応する前記第4の情報を更新するとともに、当該データを廃棄し、 When receiving data having at least a part of header information stored in the white list via the port, when the first information corresponding to at least a part of the header information included in the data is invalid , Updating the fourth information corresponding to at least a part of the header information included in the data, discarding the data,
前記制御部は、 The controller is
前記ホワイトリストの前記エントリ毎に、前記第2の情報と前記第4の情報との合計が、前記第3の情報と一致する場合、前記ホワイトリストに格納された前記少なくとも一部のヘッダ情報に対応する前記ホワイトリスト制御情報の前記インターバルを前記第2の期間中に受信したデータの受信履歴に基づいて再度算出する、 For each entry in the white list, if the sum of the second information and the fourth information matches the third information, the at least some header information stored in the white list Recalculating the corresponding whitelist control information interval based on the reception history of the data received during the second period;
ネットワークシステム。 Network system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015115415A JP6454224B2 (en) | 2015-06-08 | 2015-06-08 | Communication device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015115415A JP6454224B2 (en) | 2015-06-08 | 2015-06-08 | Communication device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017005402A JP2017005402A (en) | 2017-01-05 |
JP6454224B2 true JP6454224B2 (en) | 2019-01-16 |
Family
ID=57752854
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015115415A Active JP6454224B2 (en) | 2015-06-08 | 2015-06-08 | Communication device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6454224B2 (en) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6360221B1 (en) * | 2017-03-31 | 2018-07-18 | 西日本電信電話株式会社 | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL SYSTEM, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM |
WO2018212086A1 (en) * | 2017-05-15 | 2018-11-22 | 日本電気株式会社 | Control device, relay device, communication system, and communication control method |
JP6493475B1 (en) * | 2017-09-28 | 2019-04-03 | 日本電気株式会社 | Communication apparatus, communication system, communication control method, communication program and device connection control program |
JP2019125914A (en) * | 2018-01-16 | 2019-07-25 | アラクサラネットワークス株式会社 | Communication device and program |
JP7151516B2 (en) * | 2019-01-30 | 2022-10-12 | 株式会社リコー | COMMUNICATION DEVICE, COMMUNICATION PROGRAM, AND COMMUNICATION METHOD |
JP7301169B2 (en) * | 2020-01-15 | 2023-06-30 | 三菱電機株式会社 | Relay device and relay method |
JP7391727B2 (en) | 2020-03-11 | 2023-12-05 | アラクサラネットワークス株式会社 | relay device |
JP7273759B2 (en) * | 2020-03-19 | 2023-05-15 | 株式会社東芝 | Communication device, communication method, information processing system and program |
JP7403414B2 (en) | 2020-08-18 | 2023-12-22 | 株式会社日立製作所 | Communication relay device and communication relay method |
KR102428345B1 (en) * | 2020-09-29 | 2022-08-01 | 아주대학교산학협력단 | Method generating for whitelist between devices using profinet protocol and computing device thereof |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009239525A (en) * | 2008-03-26 | 2009-10-15 | Nippon Telegr & Teleph Corp <Ntt> | Filtering device, filtering method, and filtering program |
WO2012053135A1 (en) * | 2010-10-20 | 2012-04-26 | 日本電気株式会社 | Communication control apparatus, system, method, and non-transitory computer readable medium storing program thereon |
EP2797263B1 (en) * | 2011-12-22 | 2017-03-15 | Toyota Jidosha Kabushiki Kaisha | Communication system and communication method |
JP6142702B2 (en) * | 2013-07-04 | 2017-06-07 | 富士通株式会社 | Monitoring device, monitoring method and program |
KR101455167B1 (en) * | 2013-09-03 | 2014-10-27 | 한국전자통신연구원 | Network switch based on whitelist |
-
2015
- 2015-06-08 JP JP2015115415A patent/JP6454224B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017005402A (en) | 2017-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6454224B2 (en) | Communication device | |
JP6453976B2 (en) | Network system, control apparatus, communication control method, and communication control program | |
US8904535B2 (en) | Proactive worm containment (PWC) for enterprise networks | |
US7426634B2 (en) | Method and apparatus for rate based denial of service attack detection and prevention | |
JP5510687B2 (en) | Network system and communication traffic control method | |
KR100952350B1 (en) | Intelligent network interface controller | |
US11283831B2 (en) | Dynamic device isolation in a network | |
US7596097B1 (en) | Methods and apparatus to prevent network mapping | |
CN109768955B (en) | System and method for defending distributed denial of service attack based on software defined network | |
US20120044935A1 (en) | Relay control unit, relay control system, relay control method, and relay control program | |
JP6433865B2 (en) | Communication device | |
CN108353068B (en) | SDN controller assisted intrusion prevention system | |
US20150236752A1 (en) | Method for selection of unique next-time-interval internet protocol address and port | |
JP6737610B2 (en) | Communication device | |
KR20180030593A (en) | Network attack prevention methods, devices and systems | |
EP3070902A2 (en) | Mitigating neighbor discovery-based denial of service attacks | |
US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
JP6422677B2 (en) | Network relay device, DDoS protection method and load distribution method using the same | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
US10742602B2 (en) | Intrusion prevention | |
US11159533B2 (en) | Relay apparatus | |
US7769024B1 (en) | State-based traffic management for classifier-equipped silicon switches | |
JP2017212705A (en) | Communication controller, communication system, communication control method, and program | |
KR100468374B1 (en) | Device and method for controlling network harmful traffic | |
WO2016014178A1 (en) | Identifying malware-infected network devices through traffic monitoring |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20170119 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20170125 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170417 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170417 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180109 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20180223 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180309 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20180315 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180724 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181004 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20181011 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181127 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181214 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6454224 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |