JP7151552B2 - Support control device, support control program, and support control system - Google Patents
Support control device, support control program, and support control system Download PDFInfo
- Publication number
- JP7151552B2 JP7151552B2 JP2019036775A JP2019036775A JP7151552B2 JP 7151552 B2 JP7151552 B2 JP 7151552B2 JP 2019036775 A JP2019036775 A JP 2019036775A JP 2019036775 A JP2019036775 A JP 2019036775A JP 7151552 B2 JP7151552 B2 JP 7151552B2
- Authority
- JP
- Japan
- Prior art keywords
- support
- address
- terminal
- unit
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、支援制御装置、支援制御プログラム、及び支援制御システムに関する。 The present invention relates to a support control device, a support control program, and a support control system.
近年、インターネットを利用したサービスの増加に伴い、インターネットを経由したコンピュータへの不正アクセスと、不正アクセスにより生じる情報漏洩、改ざん、及び破壊等とが問題となっている。 In recent years, with the increase in services using the Internet, there have been problems of unauthorized access to computers via the Internet and information leakage, falsification, destruction, etc. caused by the unauthorized access.
例えば、不正アクセスを防止する技術として、不正侵入検知サーバと、不正侵入検知サーバ及び端末を接続するLAN(Local Area Network)を設置し、端末への不正アクセスを検知する技術がある(特許文献1参照)。特許文献1では、不正侵入検知サーバに接続されている端末に不正アクセスがあった場合、不正侵入検知サーバが侵入方法の記憶、不正アクセスによる通信の遮断、及び反撃プログラムを返送することで、不正アクセスを防止する技術について開示されている。 For example, as a technique for preventing unauthorized access, there is a technique for installing an unauthorized intrusion detection server and a LAN (Local Area Network) that connects the unauthorized intrusion detection server and the terminal, and detecting unauthorized access to the terminal (Patent Document 1). reference). In Patent Document 1, when a terminal connected to an intrusion detection server is accessed illegally, the intrusion detection server stores an intrusion method, blocks communication due to the unauthorized access, and returns a counterattack program. Techniques for preventing access are disclosed.
しかしながら、特許文献1に記載の技術では、不正アクセスに応じた不正侵入検知サーバの設備が必要であり、大規模な不正アクセスを想定した場合、設備を拡張及び維持する費用が膨大となり、設備を設置できるとは限らなかった。 However, the technology described in Patent Document 1 requires equipment for an unauthorized intrusion detection server that responds to unauthorized access. I wasn't able to install it.
本開示は、以上の事情を鑑みて成されたものであり、大規模な不正アクセス想定した場合でも、設備を維持及び拡張する費用を抑制することができる支援制御装置、支援制御プログラム、及び支援制御システムを提供することを目的とする。 The present disclosure has been made in view of the above circumstances, and is a support control device, support control program, and support that can reduce the cost of maintaining and expanding equipment even when large-scale unauthorized access is assumed. The object is to provide a control system.
上記目的を達成するために、支援制御装置は、ネットワークに接続されている対象端末にサイバー攻撃を行っている不正端末を検出した通知を受け付ける受付部と、受付部が受け付けた通知に応じて、不正端末に対する対抗措置の支援を行う支援ソフトウェアを読み込んだ支援装置に、対抗措置のための所定の処理の実行を指示する指示部と、を備えている。 In order to achieve the above object, the support control device includes a reception unit that receives a notification that an unauthorized terminal that is conducting a cyber attack on a target terminal connected to the network is detected, and in response to the notification received by the reception unit, and an instruction unit for instructing a support device loaded with support software for supporting countermeasures against an unauthorized terminal to execute predetermined processing for countermeasures.
また、支援制御装置は、指示部が指示した支援装置に対して、報酬を支払う支払部をさらに備えている。 The support control device further includes a payment unit that pays a reward to the support device instructed by the instruction unit.
また、支援制御装置において、支払部は、報酬として、ネットワーク上で貨幣の役割をする暗号通貨、又は貨幣の価値を電子化した電子マネーを支援装置に対して支払う。 In addition, in the support control device, the payment unit pays the support device cryptocurrency, which serves as money on the network, or electronic money, in which the value of money is digitized, as a reward.
また、支援制御装置において、支払部は、所定の処理が完了した場合、支援装置に対して、報酬を支払う。 Also, in the support control device, the payment unit pays a reward to the support device when the predetermined processing is completed.
また、支援制御装置は、支援ソフトウェアを記憶した記憶部をさらに備え、受付部は、支援装置から支援ソフトウェアを読み込むための要求をさらに受け付け、指示部は、受付部に要求を出した支援装置に対して、記憶部に記憶された支援ソフトウェアを配信する。 In addition, the support control device further includes a storage unit storing support software, the reception unit further receives a request for reading the support software from the support device, and the instruction unit sends the request to the support device, In response, the support software stored in the storage unit is distributed.
また、支援制御装置において、所定の処理は、対象端末及び不正端末の通信を遮断する処理、支援装置から送信される情報である対抗措置パケットに含まれる支援装置のIPアドレスを無作為に選択する処理、対抗措置パケットに含まれるIPオプションを設定する処理、及び不正端末に対して、攻撃を実行する処理の少なくとも1つを含む。 Further, in the support control device, the predetermined processing includes processing for blocking communication between the target terminal and the unauthorized terminal, and randomly selecting the IP address of the support device included in the countermeasure packet, which is information transmitted from the support device. processing, processing of setting IP options included in the countermeasure packet, and processing of executing an attack against an unauthorized terminal.
また、支援制御装置において、指示部は、所定の処理の実行を指示する場合、不正端末のIPアドレスを支援装置に送信する。 Further, in the support control device, the instruction unit transmits the IP address of the unauthorized terminal to the support device when instructing execution of the predetermined process.
上記目的を達成するために、支援制御システムは、上記の支援制御装置と、ネットワークに接続されている対象端末にサイバー攻撃を行っている不正端末による攻撃を検出し、支援制御装置に通知する検出装置と、不正端末に対する対抗措置の支援を行う支援ソフトウェアを読み込んでおり、支援制御装置による指示に応じて、対抗措置のための所定の処理を実行する支援装置と、を備える。 In order to achieve the above object, a support control system detects an attack by an unauthorized terminal that is conducting a cyber attack on the support control device and a target terminal connected to the network, and notifies the support control device. and a support device that loads support software for supporting countermeasures against unauthorized terminals and that executes predetermined processing for countermeasures in accordance with instructions from the support control device.
また、支援制御システムにおいて、検出装置は、ネットワーク上のファイルを取り込み、ファイルを仮想的に構築されたコンピュータ環境である仮想環境上で実行し、ファイルが不正なファイルか否かを判定する判定部と、判定部により、不正なファイルと判定されたファイルを送信した端末のIPアドレスを不正IPアドレスとして記憶する記憶部と、を備える。 Further, in the support control system, the detection device captures a file on the network, executes the file in a virtual environment, which is a virtual computer environment, and determines whether the file is an illegal file. and a storage unit that stores, as an unauthorized IP address, an IP address of a terminal that has transmitted a file that is judged to be an unauthorized file by the judgment unit.
また、支援制御システムにおいて、検出装置は、保護対象である端末に対する他の端末のアクセスが発生する度に、他の端末のIPアドレスと、記憶部に記憶された不正IPアドレスとを比較する比較部と、他の端末のIPアドレスと、記憶部に記憶された不正IPアドレスとが一致する場合、他の端末のIPアドレスを支援制御装置に通知する通知部と、を備える。 In addition, in the support control system, the detection device compares the IP address of the other terminal with the illegal IP address stored in the storage unit each time the terminal to be protected is accessed by another terminal. and a notification unit that notifies the support control device of the IP address of the other terminal when the IP address of the other terminal matches the illegal IP address stored in the storage unit.
また、支援制御システムにおいて、支援装置から対抗措置パケットを受信する通信部と、通信部によって受信した対抗措置パケットに含まれるIPオプションの設定の有無に応じて、対抗措置パケットに含まれる支援端末のIPアドレスを無作為に変換する変換部と、を含むIPアドレス変換装置をさらに備える。 Also, in the support control system, a communication unit that receives a countermeasure packet from the support device, and a support terminal included in the countermeasure packet according to the presence or absence of IP option settings included in the countermeasure packet received by the communication unit. and a conversion unit that randomly converts IP addresses.
また、支援制御システムにおいて、通信部は、受信した対抗措置パケット、及び変換部により変換した支援端末のIPアドレスを含む対抗措置パケットの少なくとも一方をさらに送信する。 In addition, in the support control system, the communication unit further transmits at least one of the received countermeasure packet and the countermeasure packet containing the IP address of the support terminal converted by the conversion unit.
一方、上記目的を達成するために、支援制御プログラムは、ネットワークに接続されている対象端末にサイバー攻撃を行っている不正端末を検出した通知を受け付ける受付ステップと、受付部が受け付けた通知に応じて、不正端末に対する対抗措置の支援を行う支援ソフトウェアを読み込んだ支援装置に、対抗措置のための所定の処理の実行を指示する指示ステップと、をコンピュータに実行させる。 On the other hand, in order to achieve the above object, the support control program includes a reception step of receiving a notification that an unauthorized terminal that is conducting a cyber attack on a target terminal connected to the network is detected, and an instruction step for instructing a support device loaded with support software for supporting countermeasures against an unauthorized terminal to execute a predetermined process for countermeasures.
本開示によれば、大規模な不正アクセス想定した場合でも、設備を維持及び拡張する費用を抑制することができる。 According to the present disclosure, even when large-scale unauthorized access is assumed, the cost of maintaining and expanding facilities can be suppressed.
以下、図面を参照して、本開示の技術を実施するための形態例を詳細に説明する。 Embodiments for implementing the technology of the present disclosure will be described in detail below with reference to the drawings.
図1は、本実施形態に係る支援制御システム10の構成の一例を示す概略図である。図1に示すように、本実施形態に係る支援制御システム10は、IXP(Internet Exchange Provider)100、検出装置110、IP(Internet Protocol)アドレス変換装置120、ASP(Application Service Provider)200、支援制御装置210、ISP(Internet Service Provider)300、FW(FireWall)301、支援サーバ400、支援ユーザ端末500、及びユーザ端末600を有する。IXP100は、ASP200及びISP300とネットワークに介して接続され、さらにインターネットに接続されている。また、ISP300は、FW301及び支援サーバ400とネットワークを介して接続されている。また、FW301は、支援ユーザ端末500及びユーザ端末600とネットワークを介して接続されている。
FIG. 1 is a schematic diagram showing an example of the configuration of a
IXP100は、ネットワーク上のASP200、ISP300、及びインターネット等を相互接続するインターネット接続点である。本実施形態に係る一例として、IXP100は、検出装置110、及びIPアドレス変換装置120を含んで構成されている。
The IXP 100 is an Internet connection point that interconnects the ASP 200,
検出装置110は、ネットワークに接続されているユーザ端末600にサイバー攻撃を行っている端末(以下、「不正端末」という。)700を検出し、支援制御装置210に通知する。また、検出装置110は、サイバー攻撃を受けているユーザ端末(以下、「対象端末」という。)600のIPアドレスを取得し、支援制御装置210に通知する。
The
IPアドレス変換装置120は、支援サーバ400及び支援ユーザ端末500(以下、「支援端末」という。)が送信したパケットを受信し、パケットに含まれる設定に応じて、パケットのIPヘッダに含まれる送信元IPアドレスの変換を行い。不正端末700に送信する。
The IP
ASP200は、インターネットを通じて、ソフトウェア等を配信、及び遠隔で操作させるプロバイダである。本実施形態に係る一例として、ASP200は、支援制御装置210を含んで構成されている。支援制御装置210は、検出装置110から不正端末700を検出した通知に応じて、支援サーバ400、及び支援ユーザ端末500に不正端末に対抗するための指示を行う。
The ASP 200 is a provider that distributes software and the like via the Internet and remotely operates the software. As an example according to this embodiment, the ASP 200 is configured including a
ISP300は、ネットワークを介してIXP100、ASP200、支援サーバ400、支援ユーザ端末500、ユーザ端末600等を相互接続するプロバイダである。FW301は、支援ユーザ端末500及びユーザ端末600等を保護するために、必要に応じて通信を遮断するシステムである。
支援サーバ400、及び支援ユーザ端末500は、ネットワークに接続されているIXP100、ASP200、ISP300、及びユーザ端末600と通信を行っている端末である。本実施形態に係る一例として、不正端末700に対する対抗措置の支援を行う支援ソフトウェアをダウンロードした支援サーバ400、及び支援ユーザ端末500は、支援制御装置210による不正端末700に対抗するための指示を受信する。また、支援サーバ400、及び支援ユーザ端末500は、指示に応じて、対抗措置を講じたデータ(以下、「対抗措置パケット」という。)を不正端末700に送信する。
The
次に、支援制御システム10のハードウェア構成について説明する。図2は、本実施形態に係る支援制御システム10のハードウェアの構成の一例を示すブロック図である。
Next, the hardware configuration of the
検出装置110は、CPU(Central Processing Unit)111、ROM(Read Only Memory)112、RAM(Random Access Memory)113、ストレージ114、及び通信インターフェース(通信I/F)115を含んで構成されている。CPU111、ROM112、RAM113、ストレージ114、及び通信I/F115の各々はバス116により相互に接続されている。
The
CPU111は、検出装置110の全体を統括し、制御する。ROM112は、本実施形態で用いる検出プログラムを含む各種プログラム及びデータ等を記憶している。RAM113は、各種プログラムの実行時のワークエリアとして用いられるメモリである。CPU111は、ROM112に記憶されたプログラムをRAM113に展開して実行することにより、処理の制御を行う。ストレージ114は、一例としてHDD(Hard Disk Drive)、SSD(Solid State Drive)、又はフラッシュメモリ等である。なお、ストレージ114には、検出プログラム等を記憶してもよい。通信I/F115は、データの送受信を行う。
The
IPアドレス変換装置120は、CPU121、ROM122、RAM123、ストレージ124、及び通信I/F125を含んで構成されている。CPU121、ROM122、RAM123、ストレージ124、及び通信I/F125の各々はバス126により相互に接続されている。
The IP
CPU121は、IPアドレス変換装置120の全体を統括し、制御する。ROM122は、本実施形態で用いる検出プログラムを含む各種プログラム及びデータ等を記憶している。RAM123、ストレージ124、及び通信I/F125は、上述のRAM113、ストレージ114、及び通信I/F125と同様の機能を有する。
The
なお、本実施形態では、検出装置110及びIPアドレス変換装置を別々の装置とした形態について説明する。しかし、これに限定されない。IPアドレス変換装置は、検出装置110に含まれる形態としてもよいし、検出装置110は、IPアドレス変換装置に含まれる形態としてもよい。
In this embodiment, a form in which the
支援制御装置210は、CPU211、ROM212、RAM213、ストレージ214、及び通信I/F215を含んで構成されている。CPU211、ROM212、RAM213、ストレージ214、及び通信I/F215の各々はバス216により相互に接続されている。
The
CPU211は、支援制御装置210の全体を統括し、制御する。ROM212は、本実施形態で用いる支援制御プログラムを含む各種プログラム及びデータ等を記憶している。RAM213、ストレージ214、及び通信I/F215は、上述のRAM113、ストレージ114、及び通信I/F125と同様の機能を有する。
The
ストレージ214は、第1支援ソフトウェア214A及び第2支援ソフトウェア214B(以下、「支援ソフトウェア」という。)を記憶している。第1支援ソフトウェア214A及び第2支援ソフトウェア214Bは、支援サーバ400、及び支援ユーザ端末500にインストールされ、支援制御装置からの指示に応じて、対抗措置を実行するプログラムである。
The
支援サーバ400は、CPU401、ROM402、RAM403、ストレージ404、通信I/F405、及び表示部406を含んで構成されている。CPU401、ROM402、RAM403、ストレージ404、通信I/F405、及び表示部406の各々はバス407により相互に接続されている。
The
CPU401は、支援サーバ400の全体を統括し、制御する。ROM402は、本実施形態で用いる第1支援ソフトウェア214Aを含む各種プログラム及びデータ等を記憶している。RAM403、ストレージ404、及び通信I/F405は、上述のRAM113、ストレージ114及び通信I/F115と同様の機能を有する。ストレージ404には、第1支援ソフトウェア214A等を記憶してもよい。
The
表示部406は、例えば、液晶モニタ、CRT(Cathode Ray Tube)モニタ、FPD(Flat Panel Display)モニタ等である。
The
支援ユーザ端末500は、CPU501、ROM502、RAM503、ストレージ504、通信I/F505、及び表示部506を含んで構成されている。CPU501、ROM502、RAM503、ストレージ504、通信I/F505、及び表示部506の各々はバス507により相互に接続されている。
The
CPU501は、支援ユーザ端末500の全体を統括し、制御する。ROM502は、本実施形態で用いる第2支援ソフトウェア214Bを含む各種プログラム及びデータ等を記憶している。RAM503、ストレージ504、通信I/F505、及び表示部506は、上述のRAM113、ストレージ114、通信I/F115及び表示部406と同様の機能を有する。なお、ストレージ504には、第2支援ソフトウェア214B等を記憶してもよい。
The
次に、支援制御システム10の機能構成について説明する。図3は、本実施形態に係る支援制御システム10の機能的な構成の一例を示すブロック図である。図3に示すように、支援制御システム10は、検出装置110と、IPアドレス変換装置120と、支援制御装置210と、支援サーバ400と、支援ユーザ端末500と、ユーザ端末600とを含んで構成されている。各装置の機能構成は、各装置が有するCPUが、ROM又はストレージからプログラムを読み込むことにより、実現される。
Next, the functional configuration of the
検出装置110は、判定部131、不正端末DB132、比較部133、及び通知部134を含んで構成されている。判定部131は、ネットワーク上のファイルを取り込み、仮想的に構築されたコンピュータ環境である仮想環境上でファイルを実行し、ファイルが不正なファイルか否かを判定する。具体的には、ファイルを保護された仮想環境上で実行し、実行した端末に対して悪影響を及ぼすウイルス及びマルウェア等のプログラムが起動されるか否かで判定する。
The
不正端末DB132は、判定部131により、不正なファイルと判定されたファイルを送信した端末のIPアドレスを不正IPアドレスとして記憶する。
The
比較部133は、保護対象である端末に対する他の端末のアクセスが発生する度に、他の端末のIPアドレスと、不正端末DBに記憶された不正IPアドレスとを比較する。具体的には、比較部133は、インターネットからIXP100を経由して、ユーザ端末600等にアクセスしている他の端末のIPアドレスを取得し、取得したIPアドレスと、不正端末DB132に記憶されているIPアドレスとの比較を行う。また、比較部133は、取得したIPアドレスと、不正IPアドレスとが一致した場合、他の端末を不正端末として判断し、不正端末からアクセスされているユーザ端末600(以下、「対象端末」という。)のIPアドレスを取得する。通知部134は、不正IPアドレスと、対象端末のIPアドレスを支援制御装置210に通知する。
The
IPアドレス変換装置120は、変換部141、及び通信部142を含んで構成されている。変換部141は、支援端末から送信される対抗措置パケットに含まれるIPオプションの設定の有無に応じて、対抗措置パケットに含まれる支援端末のIPアドレスを無作為に変換する。具体的には、変換部141は、対抗措置パケットにIPオプションが設定されているか否かを判定し、IPオプションが設定されている場合、送信元のIPアドレスをランダムに変換する。
The IP
通信部142は、支援装置から送信される情報である対抗措置パケットを受信する。また、通信部142は、受信した対抗措置パケット、及び変換部141により変換した支援端末のIPアドレスを含む対抗措置パケットの少なくとも一方を送信する。具体的には、通信部142は、支援サーバ400、及び支援ユーザ端末500から対抗措置パケットを受信する。また、通信部142は、変換部141によって送信元IPアドレスが変換された場合、変換された対抗措置パケットを不正端末700に送信する。また、通信部142は、変換部141によって送信元IPアドレスが変換されなかった場合、受信した対抗措置パケットを不正端末700に送信する。
The
支援制御装置210は、受付部221、記憶部222、指示部223、及び支払部224を含んで構成される。受付部221は、ネットワークに接続されている対象端末にサイバー攻撃を行っている不正端末を検出した通知を受け付ける。また、受付部221は、支援端末から支援ソフトウェアを読み込むための要求を受け付ける。また、受付部221は、支援装置から支援が完了した通知(以下、「支援完了通知」という)を受け付ける。
The
具体的には、受付部221は、検出装置110から送信された不正端末700のIPアドレス及び対象端末のIPアドレスを受け付ける。また、受付部221は、支援サーバ400、又は支援ユーザ端末500からの第1支援ソフトウェア214A、又は第2支援ソフトウェア214Bのインストールの要求と、支援サーバ400及び支援ユーザ端末500の支援完了通知とを受け付ける。
Specifically, the receiving
記憶部222は、不正端末700に対する対抗措置の支援を行う支援ソフトウェアを記憶している。具体的には、記憶部222は、支援サーバ400、又は支援ユーザ端末500にインストールさせるための第1支援ソフトウェア214A、及び第2支援ソフトウェア214Bを記憶している。
The
指示部223は、受付部221が受け付けた通知に応じて、不正端末700に対する対抗措置の支援を行う支援ソフトウェアを読み込んだ支援端末に、対抗措置のための所定の処理の実行を指示する。また、指示部223は、受付部221に要求を出した支援装置に対して、記憶部222に記憶された支援ソフトウェアを配信する。
In response to the notification received by the
具体的には、指示部223は、受付部221が受け付けた不正端末700のIPアドレス、及び対象端末のIPアドレスを、支援サーバ400及び支援ユーザ端末500に送信する。また、指示部223は、第1支援ソフトウェア214A、又は第2支援ソフトウェア214Bのインストールする要求を出したユーザ端末600等に対して、第1支援ソフトウェア214A、又は第2支援ソフトウェア214Bを配信する。
Specifically, the
支払部224は、所定の処理が完了した場合、指示部223が指示した支援装置に対して、報酬を支払う。また、支払部224は、報酬として、ネットワーク上で貨幣の役割をする暗号通貨、又は貨幣の価値を電子化した電子マネーを支援装置に対して支払う。
The
支援サーバ400は、支援制御装置210から配信された第1支援ソフトウェア214Aをインストールしている。支援サーバ400は、第1支援ソフトウェア214Aを実行することで、支援制御装置210に支援の要否を問い合わせるポーリング通信を行い、支援制御装置210からの支援の指示に応じて、不正端末700に対して、対抗措置パケットを送信する。
The
支援ユーザ端末500は、支援制御装置210から配信された第2支援ソフトウェア214Bをインストールしている。支援ユーザ端末500は、第2支援ソフトウェア214Bを実行することで、支援制御装置210に支援の要否を問い合わせるポーリング通信を行い、支援制御装置210からの支援の指示に応じて、不正端末700に対して、対抗措置パケットを送信する。
The
次に、図4及び図5を参照して、支援ソフトウェアにより各装置において実現される機能構成について説明する。図4は、本実施形態に係る第1支援ソフトウェア214Aの機能的な構成の一例を示すブロック図である。
Next, with reference to FIGS. 4 and 5, a functional configuration implemented in each device by support software will be described. FIG. 4 is a block diagram showing an example of the functional configuration of the
第1支援ソフトウェア214Aは、グローバルIPアドレスを有した支援サーバ400等がインストールすることで、不正端末700に対する、対抗措置のための所定の処理を実行するプログラムである。本実施形態に係る第1支援ソフトウェア214Aは、所定の処理として、送信元IPアドレス選択処理231、RST発信処理232、輻輳トラフィック発信処理233、脆弱性コード発信処理234、及びRAT型プログラム発信処理235を含んでいる。
The
送信元IPアドレス選択処理231は、不正端末700に対して対抗措置パケットを送信する場合、送信元IPアドレスをランダムに設定する。RST発信処理232は、対抗措置パケットとして、TCP(Transmission Control Protocol)のRST(Reset)を不正端末700及び対象端末に対して発信して不正アクセスを遮断する。輻輳トラフィック発信処理233は、対抗措置パケットとして、不正端末700に対して、TCPのSYN(SYNchronize)パケット及びICMP(Internet Control Message Protocol)パケット等を連続して発信して、不正端末700の通信に負荷をかける。脆弱性コード発信処理234は、対抗措置パケットとして、不正端末700に対して、OS(Operating System)等の脆弱性に対応したコードを含んだパケットを発信して、ハングアップさせて処理を停止させる。RAT(Remote Access Tool)型プログラム発信処理235は、対抗措置パケットとして、不正端末700に対して、RAT型のプログラムを発信し、不正端末700内にプロセスとして常駐させることで、遠隔で不正端末700の処理及びログの監視を行う。
Source IP
次に、第2支援ソフトウェア214Bにより実現される機能構成について説明する。図5は、本実施形態に係る第2支援ソフトウェア214Bの機能的な構成の一例を示すブロック図である。
Next, a functional configuration realized by the
第2支援ソフトウェア214Bは、ローカルIPアドレスを有した支援ユーザ端末500等がインストールすることで、不正端末700に対する、対抗措置のための所定の処理を実行するプログラムである。本実施形態に係る第2支援ソフトウェア214Bは、所定の処理として、IPオプション設定処理236、輻輳トラフィック発信処理233、脆弱性コード発信処理234、及びRAT型プログラム発信処理235を含んでいる。
The
IPオプション設定処理236は、不正端末700に対する対抗措置パケットを送信する場合、対抗措置パケットのIPヘッダに含まれるIPオプションに対抗措置であることを示すデータを設定する。IPオプションを設定された対抗措置パケットは、IPアドレス変換装置120によって、IPヘッダに含まれる送信元IPアドレスが変換される。
When transmitting a countermeasure packet to
なお、本実施形態に係る支援サーバ400は、第1支援ソフトウェア214Aをインストールし、支援ユーザ端末500は、第2支援ソフトウェア214Bをインストールする形態について説明した。しかし、これに限定されない。グローバルIPアドレスを有している場合、支援ユーザ端末500は、第1支援ソフトウェア214Aをインストールする形態としてもよい。また、ローカルIPアドレスを有している場合、支援サーバ400は、第2支援ソフトウェア214Bをインストールする形態としてもよい。
It should be noted that the
次に、不正端末700に対して送信する対抗措置パケットについて説明する。図6は、本実施形態に係るIPアドレス変換装置の説明に供する対抗措置パケットに付与するIPヘッダの構成の一例を示すブロック図である。
Next, countermeasure packets to be transmitted to
支援サーバ400及び支援ユーザ端末500は、支援制御装置210からの支援の指示に応じて、不正端末700に対して、対抗措置パケットを送信する。支援サーバ400及び支援ユーザ端末500は、対抗措置パケットを送信する際に、IPヘッダ及び対抗措置を講じたデータを含んだペイロードを設定して送信する。また、IPアドレス変換装置120は、支援サーバ400及び支援ユーザ端末500が送信したIPヘッダ及びペイロードを受信し、IPヘッダにIPオプションが設定されているか否かで、IPアドレスの変換の要否を判定する。また、IPアドレス変換装置120は、不正端末700にIPヘッダ及びペイロードを送信する。
The
本実施形態に係る支援サーバ400は、グローバルIPアドレスを有しているため、IPヘッダの送信元IPアドレスにグローバルIPアドレスG1を設定し、不正端末700(送信先IPアドレス:X)にIPヘッダ及びペイロードを送信する。IPアドレス変換装置120は、支援サーバ400から送信されたIPヘッダ及びペイロードを受信し、IPアドレスの変換を行わずに、不正端末700にIPヘッダ及びペイロードを送信する。なお、本実施形態に係る支援サーバ400が設定するグローバルIPアドレスG1は、送信元IPアドレス選択処理231によって、ランダムに設定されている
Since the
一方、本実施形態に係る支援ユーザ端末500は、ローカルIPアドレスを有しているため、ローカルIPアドレスをグローバルIPアドレスに変換する必要がある。支援ユーザ端末500は、IPヘッダを設定する際に、IPヘッダの送信元IPアドレスにローカルIPアドレスP、及びIPヘッダに含まれるIPオプションを設定する。また、支援ユーザ端末500は、不正端末700(送信先IPアドレス:X)にIPヘッダ及びペイロードを送信する。
On the other hand, since the
FW301は、支援ユーザ端末500から送信されたIPヘッダ及びペイロードを受信し、送信元IPアドレスにグローバルIPアドレスG2を設定して、不正端末700にIPヘッダ及びペイロードを送信する。
The
IPアドレス変換装置120は、支援ユーザ端末500から送信されたIPヘッダ及びペイロードを受信してIPオプションが設定されていることを確認し、送信元IPアドレスにランダムなグローバルIPアドレスG3を設定する。また、IPアドレス変換装置120は、不正端末700にIPヘッダ及びペイロードを送信する。
The IP
次に、図7、8、9、10、11を参照して、本実施形態に係る支援制御プログラムの作用について説明する。まず、図7を参照して、判定処理の作用について説明する。図7は、本実施形態に係る判定処理の一例を示すフローチャート図である。CPU111が判定処理プログラムを実行することによって、図7に示す判定処理が実行される。図7に示す判定処理は、例えば、ユーザが判定処理を実行する指示を行った場合、検出装置110に判定処理を実行する指示が入力され、実行される。また、判定処理は、IXP100を介した通信を検出する度、実行されてもよい。
Next, with reference to FIGS. 7, 8, 9, 10 and 11, the action of the support control program according to this embodiment will be described. First, with reference to FIG. 7, the action of the determination process will be described. FIG. 7 is a flowchart showing an example of determination processing according to this embodiment. The determination processing shown in FIG. 7 is executed by the
ステップS101で、CPU111は、IXP100を介した通信を検出し、検出した通信にファイルが付与されているか否かの判定を行う。ファイルが付与されている場合(ステップS101:YES)、CPU111は、ステップS102に移行する。一方、ファイルが付与されていない場合(ステップS101:NO)、CPU111は、ファイルが付与された通信を検出するまで待機する。
In step S101, the
ステップS102で、CPU111は、取得したファイルを仮想的に構築されたコンピュータ環境である仮想環境上で実行する。
In step S102, the
ステップS103で、CPU111は、実行したファイルにマルウェア等、コンピュータに影響を及ぼすプログラムが含まれているか否かの判定を行う。ファイルにマルウェア等、コンピュータに影響を及ぼすプログラムが含まれている場合(ステップS103:YES)、CPU111は、ステップS104に移行する。一方、ファイルにマルウェア等、コンピュータに影響を及ぼすプログラムが含まれていない場合(ステップS103:NO)、CPU111は、ステップS106に移行する。
In step S103, the
ステップS104で、CPU111は、ファイルを送信した送信元IPアドレスを取得する。ステップS105で、CPU111は、取得したIPアドレスを不正端末DB132に記憶する。
In step S104, the
ステップS106で、CPU111は、判定処理を終了するか否かの判定を行う。他の通信がなく、判定処理を終了する場合(ステップS106:YES)、CPU111は、判定処理を終了する。他の通信があり、判定処理を終了しない場合(ステップS106:NO)、CPU111は、ステップS101に移行する。
In step S106, the
次に、図8を参照して、検出処理の作用について説明する。図8は、本実施形態に係る検出処理の一例を示すフローチャート図である。CPU111が検出処理プログラムを実行することによって、図8に示す検出処理が実行される。図8に示す検出処理は、例えば、ユーザが判定処理の実行する指示を行った場合、検出装置110に検出処理の実行する指示が入力され、実行される。また、検出処理は、IXP100を介した通信を検出する度、実行されてもよい。
Next, referring to FIG. 8, the action of the detection process will be described. FIG. 8 is a flowchart showing an example of detection processing according to this embodiment. The detection processing shown in FIG. 8 is executed by the
ステップS110で、CPU111は、IXP100を介した通信を検出したか否かの判定を行う。IXP100を介した通信を検出した場合(ステップS110:YES)、CPU111は、ステップS111に移行する。一方、IXP100を介した通信を検出していない場合(ステップS110:NO)、CPU111は、IXP100を介した通信を検出するまで待機する。
In step S110, the
ステップS111で、CPU111は、IXP100を介した通信の送信元IPアドレス及び送信先IPアドレスを取得する。
In step S<b>111 , the
ステップS112で、CPU111は、取得した送信元IPアドレスと、不正端末DB132に記憶されているIPアドレスとの比較を行う。
In step S<b>112 , the
ステップS113で、CPU111は、取得した送信元IPアドレスと、不正端末DB132に記憶されているIPアドレスとの比較結果が一致したか否かの判定を行う。IPアドレスの比較結果が一致した場合(ステップS113:YES)、CPU111は、ステップS114に移行する。一方、IPアドレスの比較結果が一致しなかった場合(ステップS113:NO)、CPU111は、ステップS115に移行する。
In step S113, the
ステップS114で、CPU111は、取得した送信元IPアドレス及び送信先IPアドレスを支援制御装置210に通知する。
In step S114, the
ステップS115で、CPU111は、他の通信がなく、検出処理を終了するか否かの判定を行う。他の通信がなく、検出処理を終了する場合(ステップS115:YES)、CPU111は、検出処理を終了する。他の通信があり、検出処理を終了しない場合(ステップS115:NO)、CPU111は、ステップS110に移行する。
In step S115, the
次に、図9を参照して、支援制御処理の作用について説明する。図9は、本実施形態に係る支援制御処理の一例を示すフローチャート図である。CPU211が支援制御処理プログラムを実行することによって、図9に示す支援制御処理が実行される。図9に示す支援制御処理は、例えば、ユーザが支援制御処理の実行する指示を行った場合、支援制御装置210に支援制御処理の実行する指示が入力され、実行される。また、支援制御処理は、検出装置110から不正端末700を検出した通知を受信する度、又は支援サーバ400及び支援ユーザ端末500から支援ソフトウェアをインストールする要求を受信する度、実行されてもよい。
Next, referring to FIG. 9, the action of the support control process will be described. FIG. 9 is a flowchart showing an example of support control processing according to this embodiment. The support control process shown in FIG. 9 is executed by the
ステップS201で、CPU211は、検出装置110、支援サーバ400、支援ユーザ端末500、又はユーザ端末600から通信を受信したか否かの判定を行う。通信を受信した場合(ステップS201:YES)、CPU211は、ステップS202に移行する。一方、通信を受信していない場合(ステップS201:NO)、CPU211は、検出装置110、支援サーバ400、又は支援ユーザ端末500から通信を受信するまで待機する。
In step S<b>201 , the
ステップS202で、CPU211は、送信元IPアドレス及び送信先IPアドレスを受信したか否かの判定を行う。送信元IPアドレス及び送信先IPアドレスを受信した場合(ステップS202:YES)、CPU211は、ステップS203に移行する。一方、送信元IPアドレス及び送信先IPアドレスを受信していない場合(ステップS202:NO)、CPU211は、ステップS206に移行する。
In step S202, the
ステップS203で、CPU211は、送信元IPアドレス及び送信先IPアドレスを取得する。ステップS204で、CPU211は、支援サーバ400、又は支援ユーザ端末500からのポーリング通信を受信したか否かの判定を行う。ポーリング通信を受信した場合(ステップS204:YES)、CPU211は、ステップS205に移行する。一方、ポーリング通信を受信していない場合(ステップS204:NO)、CPU211は、支援サーバ400、又は支援ユーザ端末500からのポーリング通信を受信するまで待機する。ステップS205で、CPU211は、ポーリング通信を送信した支援サーバ400、又は支援ユーザ端末500に送信元IPアドレス及び送信先IPアドレスを送信する。
In step S203, the
ステップS206で、CPU211は、支援サーバ400、又は支援ユーザ端末500から支援が完了した通知を受信したか否かの判定を行う。支援が完了した通知を受信した場合(ステップS206:YES)、CPU211は、ステップS207に移行する。一方、支援が完了した通知を受信していない場合(ステップS206:NO)、CPU211は、ステップS208に移行する。
In step S<b>206 , the
ステップS207で、CPU211は、指示部223が行った支援処理の指示に応じて、支援処理を実行し、処理が完了した通知を送信した支援サーバ400、又は支援ユーザ端末500に対して、報酬を支払う。
In step S207, the
ステップS208で、CPU211は、ユーザ端末600から第1支援ソフトウェア214A、又は第2支援ソフトウェア214Bのインストールの要求を受信したか否かの判定を行う。インストールの要求を受信した場合(ステップS208:YES)、CPU211は、ステップS209に移行する。一方、インストールの要求を受信していない場合(ステップS208:NO)、CPU211は、ステップS210に移行する。
In step S208, the
ステップS209で、CPU211は、支援サーバ400、及び支援ユーザ端末500からのインストールの要求に応じて、第1支援ソフトウェア214A、又は第2支援ソフトウェア214Bをユーザ端末600に配信する。
In step S<b>209 , the
ステップS210で、CPU211は、検出装置110、支援サーバ400、支援ユーザ端末500、又はユーザ端末600からの通信はなく、支援制御処理を終了するか否かの判定を行う。支援制御処理を終了する場合(ステップS210:YES)、CPU211は、支援制御処理を終了する。一方、支援サーバ400、又は支援ユーザ端末500からの通信があり、支援制御処理を終了しない場合(ステップS210:NO)、CPU211は、ステップS201に移行する。
In step S210, the
次に、図10を参照して、支援処理の作用について説明する。図10は、本実施形態に係る支援処理の一例を示すフローチャート図である。CPU401又はCPU501が支援処理プログラムを実行することによって、図10に示す支援処理が実行される。図10に示す支援処理は、例えば、支援制御装置210から支援処理を実行する指示が入力され、実行される。また、支援処理は、支援サーバ400、及び支援ユーザ端末500に支援処理の実行する指示が入力された場合に実行されてもよい。以下では、CPU400が支援処理プログラムを実行する場合について説明する。
Next, with reference to FIG. 10, the action of the support processing will be described. FIG. 10 is a flowchart showing an example of support processing according to this embodiment. The support processing shown in FIG. 10 is executed by the
ステップS301で、CPU401は、支援制御装置210に対して、支援を行うか問い合わせを行う。
In step S301, the
ステップS302で、CPU401は、支援制御装置210から送信元IPアドレス及び送信先IPアドレスを受信し、支援を実行する指示を受信したか否かの判定を行う。送信元IPアドレス及び送信先IPアドレスを受信した場合(ステップS302:YES)、CPU401は、ステップS303に移行する。一方、送信元IPアドレス及び送信先IPアドレスを受信していない場合(ステップS302:NO)、CPU401は、支援を実行する指示を受信するまで待機する。
In step S302, the
ステップS303で、CPU401は、送信元IPアドレス及び送信先IPアドレスを取得する。
In step S303, the
ステップS304で、CPU401は、インストールしている支援ソフトウェアが第1支援ソフトウェア214Aか否かの判定を行う。第1支援ソフトウェア214Aをインストールしている場合(ステップS304:YES)、CPU401は、ステップS305に移行する。一方、第1支援ソフトウェア214Aをインストールしていない場合(ステップS304:NO)、CPU401は、ステップS307に移行する。
In step S304, the
ステップS305で、CPU401は、取得した送信元IPアドレス及び送信先IPアドレスに対して、RST発信処理232によるRSTパケットを送信する。ステップS306で、CPU401は、送信元IPアドレス選択処理231によってグローバルIPアドレスをランダムに設定し、対抗措置パケットのIPヘッダの送信元IPアドレスに設定する。
In step S305, the
ステップS307で、CPU401は、対抗措置パケットのIPヘッダの送信元IPアドレスに自端末のローカルIPアドレス、及びIPヘッダのIPオプションに対抗措置パケットであることを示すデータを設定する。
In step S307, the
ステップS308で、CPU401は、不正端末700に攻撃を実行する処理として、輻輳トラフィック発信機能、脆弱性コード発信機能、RAT型プログラム発信機能の少なくとも1つの対抗措置を選択する。また、CPU401は、取得した送信元IPアドレスをIPヘッダの送信先IPアドレスに設定し、IPヘッダ及び選択した対抗措置を含むペイロードを送信する。
In step S308, the
ステップS309で、CPU401は、支援が完了した通知を支援制御装置210に送信する。
In step S<b>309 , the
ステップS310で、CPU401は、支援制御装置210から報酬を受信する。
In step S<b>310 , the
ステップS311で、CPU401は、ポーリング通信を終了して支援処理を終了するか否かの判定を行う。ポーリング通信を終了して支援処理を終了する場合(ステップS311:YES)、CPU401は、支援処理を終了する。一方、支援処理を終了しない場合(ステップS311:NO)、CPU401は、ステップS301に移行する。
In step S311, the
次に、図11を参照して、IPアドレス変換処理の作用について説明する。図11は、本実施形態に係るIPアドレス変換処理の一例を示すフローチャート図である。CPU121がIPアドレス変換処理プログラムを実行することによって、図11に示すIPアドレス変換処理が実行される。図11に示すIPアドレス変換処理は、例えば、支援サーバ400、又は支援ユーザ端末500からの通信を受信した場合、実行される。また、IPアドレス変換処理は、支援サーバ400、又は支援ユーザ端末500によって、IPアドレス変換処理を実行する指示が入力された場合に実行されてもよい。
Next, with reference to FIG. 11, the operation of IP address conversion processing will be described. FIG. 11 is a flowchart showing an example of IP address conversion processing according to this embodiment. The IP address conversion processing shown in FIG. 11 is executed by the
ステップS401で、CPU121は、パケットを受信したか否かの判定を行う。パケットを受信した場合(ステップS401:YES)、CPU121は、ステップS402に移行する。一方、パケットを受信していない場合(ステップS401:NO)、CPU121は、パケットを受信するまで待機する。
In step S401, the
ステップS402で、CPU121は、受信したパケットのIPヘッダのIPオプションに対抗措置であることを示すデータが設定されているか否かの判定を行う。対抗措置であることを示すデータが設定されている場合(ステップS402:YES)、CPU121は、ステップS403に移行する。一方、対抗措置であることを示すデータが設定されていない場合(ステップS402:NO)、CPU121は、ステップS405に移行する。
In step S402, the
ステップS403で、CPU121は、受信した対抗措置パケットを取得する。ステップS404で、CPU121は、受信した対抗措置パケットのIPヘッダの送信元IPアドレスに、ランダムに変換したグローバルIPアドレスを設定する。
In step S403, the
ステップS405で、CPU121は、受信した対抗措置パケット、又は送信元IPアドレスをランダムに変換した対抗措置パケットを送信する。
In step S405, the
ステップS406で、CPU121は、受信したパケットがなく、IPアドレス変換処理を終了するか否かの判定を行う。受信したパケットがなく、IPアドレス変換処理を終了する場合(ステップS406:YES)、CPU121は、IPアドレス変換処理を終了する。一方、他に受信したパケットがあり、IPアドレス変換処理を終了しない場合(ステップS406:NO)、CPU121は、ステップS401に移行する。
In step S406, the
なお、本実施形態では、IPヘッダに設定する送信元IPアドレスをランダムに設定する形態について、説明した。しかし、これに限定されない。送信元IPアドレスを設定する変換テーブルを備え、設定されている送信元IPアドレス、又はIPオプションに設定されているデータに応じて、送信元IPアドレスを変換してもよい。また、送信元IPアドレスに不正端末700のIPアドレスを設定してもよい。
Note that, in the present embodiment, a form in which the source IP address to be set in the IP header is set randomly has been described. However, it is not limited to this. A conversion table for setting the source IP address may be provided, and the source IP address may be converted according to the set source IP address or the data set in the IP option. Alternatively, the IP address of the
以上説明したように、本実施形態によれば、支援ソフトウェアをインストールした支援端末に、対抗措置の支援を実行する指示を行うことで、不正端末700に対抗することができる。このように、専用の設備を維持及び拡張しなくても、支援端末に対抗措置の役割を分散できる。結果として、専用の設備を維持及び拡張する費用を抑制することができる。
As described above, according to the present embodiment, it is possible to counter the
また、支援制御システム10は、複数の不正端末700による大規模攻撃が発生した場合、平時は通常業務に使用されているサーバ及び端末が支援端末として機能することで、迅速かつ柔軟に対抗能力を拡張することができる。
In addition, in the event of a large-scale attack by a plurality of
また、支援制御システム10は、対抗措置を行った支援端末に報酬を支払うことで、支援ソフトウェアをダウンロードする動機が高まり、対抗能力の拡張を容易に行うことができる。
In addition, the
また、支援制御システム10は、送信元IPアドレスをランダムに設定することで、支援端末が送信した対抗措置パケットから支援端末のIPアドレスを特定されるのを防ぎ、不正端末からの攻撃を回避することができる。
The
その他、上記実施形態で説明した支援制御システムの構成は、一例であり、主旨を逸脱しない範囲内において状況に応じて変更してもよい。 In addition, the configuration of the support control system described in the above embodiment is an example, and may be changed according to the situation without departing from the scope.
また、上記実施形態で説明したプログラムの処理の流れも、一例であり、主旨を逸脱しない範囲内において不要なステップを削除したり、新たなステップを追加したり、処理順序を入れ替えたりしてもよい。 Further, the flow of processing of the program described in the above embodiment is also an example, and unnecessary steps may be deleted, new steps added, or the processing order changed without departing from the scope of the invention. good.
なお、上記各実施形態でCPUがソフトウェア(プログラム)を読み込んで実行した、検出処理、支援制御処理、支援処理、及びIPアドレス変換処理を、CPU以外の各種のプロセッサが実行してもよい。この場合のプロセッサとしては、FPGA(Field Programmable Gate Array)等の製造後に回路構成を変更可能なPLD(Programmable Logic Device)、及びASIC(Application Specific Integrated Circuit)等の特定の処理を実行させるために専用に設計された回路構成を有するプロセッサである専用電気回路等が例示される。また、支援制御処理を、これらの各種のプロセッサのうちの1つで実行してもよいし、同種又は異種の2つ以上のプロセッサの組み合わせ(例えば、複数のFPGA、及びCPUとFPGAとの組み合わせ等)で実行してもよい。また、これらの各種のプロセッサのハードウェア的な構造は、より具体的には、半導体素子等の回路素子を組み合わせた電気回路である。 Various processors other than the CPU may execute the detection processing, the support control processing, the support processing, and the IP address conversion processing which the CPU reads and executes the software (program) in each of the above embodiments. In this case, the processor is a PLD (Programmable Logic Device) whose circuit configuration can be changed after manufacturing, such as an FPGA (Field Programmable Gate Array), and an ASIC (Application Specific Integrated Circuit), which is dedicated to executing specific processing. An example is a dedicated electric circuit, which is a processor having a circuit configuration designed for Also, the support control processing may be performed by one of these various processors, or by a combination of two or more processors of the same or different type (e.g., multiple FPGAs, and CPU and FPGA combinations). etc.). More specifically, the hardware structure of these various processors is an electric circuit in which circuit elements such as semiconductor elements are combined.
また、上記実施形態では、検出処理、支援制御処理、IPアドレス変換処理のプログラムがストレージ214に予め記憶(インストール)されている態様を説明したが、これに限定されない。プログラムは、CD-ROM(Compact Disk Read Only Memory)、DVD-ROM(Digital Versatile Disk Read Only Memory)、及びUSB(Universal Serial Bus)メモリ等の記録媒体に記録された形態で提供されてもよい。また、プログラムは、ネットワークを介して外部装置からダウンロードされる形態としてもよい。
Further, in the above-described embodiment, the detection processing, support control processing, and IP address conversion processing programs are stored (installed) in advance in the
10 支援制御システム
110 検出装置
111、121、211、401、501、601 CPU
112、122、212、402、502、602 ROM
113、123、213、403、503、603 RAM
114、124、214、404、504、604 ストレージ
115、125、215、405、505、605 通信I/F
116、126、216、407、507、607 バス
120 IPアドレス変換装置
131 判定部
132 不正端末DB
133 比較部
134 通知部
141 変換部
142 通信部
210 支援制御装置
214A 第1支援ソフトウェア
214B 第2支援ソフトウェア
221 受付部
222 記憶部
223 指示部
224 支払部
231 アドレス選択処理
232 RST発信処理
233 輻輳トラフィック発信処理
234 脆弱性コード発信処理
235 RAT型プログラム発信処理
236 IPオプション設定処理
300 ISP
301 FW
400 支援サーバ
406、506、606 表示部
500 支援ユーザ端末
505 通信部
600 ユーザ端末
700 不正端末
10
112, 122, 212, 402, 502, 602 ROMs
113, 123, 213, 403, 503, 603 RAM
114, 124, 214, 404, 504, 604
116, 126, 216, 407, 507, 607
133
301FW
400
Claims (13)
前記受付部が受け付けた通知に応じて、前記不正端末に対する対抗措置の支援を行う支援ソフトウェアを読み込んだ支援装置に、前記対抗措置のための所定の処理の実行を指示する指示部と、
を備える支援制御装置。 a reception unit that receives a notification that an unauthorized terminal that is conducting a cyber attack on a target terminal connected to the network is detected;
an instruction unit that, in response to the notification received by the reception unit, instructs a support device loaded with support software for supporting countermeasures against the unauthorized terminal to execute a predetermined process for the countermeasures;
A support control device comprising:
前記受付部は、前記支援装置から前記支援ソフトウェアを読み込むための要求をさらに受け付け、
前記指示部は、前記受付部に前記要求を出した前記支援装置に対して、前記記憶部に記憶された前記支援ソフトウェアを配信する請求項1から請求項4の何れか1項に記載の支援制御装置。 further comprising a storage unit storing the support software,
The reception unit further receives a request for reading the support software from the support device,
5. The support according to any one of claims 1 to 4, wherein the instruction unit distributes the support software stored in the storage unit to the support device that has issued the request to the reception unit. Control device.
ネットワークに接続されている対象端末にサイバー攻撃を行っている不正端末による攻撃を検出し、前記支援制御装置に通知する検出装置と、
前記不正端末に対する対抗措置の支援を行う支援ソフトウェアを読み込んでおり、前記支援制御装置による指示に応じて、前記対抗措置のための所定の処理を実行する支援装置と、
を備える支援制御システム。 a support control device according to any one of claims 1 to 7;
a detection device that detects an attack by an unauthorized terminal performing a cyber attack on a target terminal connected to a network and notifies the support control device;
a support device that loads support software for supporting countermeasures against the unauthorized terminal and executes predetermined processing for the countermeasures in accordance with instructions from the support control device;
A support control system comprising:
ネットワーク上のファイルを取り込み、前記ファイルを仮想的に構築されたコンピュータ環境である仮想環境上で実行し、前記ファイルが不正なファイルか否かを判定する判定部と、
前記判定部により、不正なファイルと判定された前記ファイルを送信した端末のIPアドレスを不正IPアドレスとして記憶する記憶部と、
を備える請求項8に記載の支援制御システム。 The detection device is
a determination unit that captures a file on a network, executes the file in a virtual environment that is a virtual computer environment, and determines whether the file is an unauthorized file;
a storage unit that stores, as an unauthorized IP address, an IP address of a terminal that has transmitted the file that is judged to be an unauthorized file by the judgment unit;
9. The assistance control system of claim 8, comprising:
保護対象である端末に対する他の端末のアクセスが発生する度に、前記他の端末のIPアドレスと、前記記憶部に記憶された不正IPアドレスとを比較する比較部と、
前記他の端末のIPアドレスと、前記記憶部に記憶された不正IPアドレスとが一致する場合、前記他の端末のIPアドレスを前記支援制御装置に通知する通知部と、
を備える請求項9に記載の支援制御システム。 The detection device is
a comparison unit that compares the IP address of the other terminal with the unauthorized IP address stored in the storage unit each time another terminal accesses the terminal to be protected;
a notification unit that notifies the support control device of the IP address of the other terminal when the IP address of the other terminal matches the illegal IP address stored in the storage unit;
10. The assistance control system of claim 9, comprising:
前記通信部によって受信した前記対抗措置パケットに含まれるIPオプションの設定の有無に応じて、前記対抗措置パケットに含まれる前記支援装置のIPアドレスを無作為に変換する変換部と、
を含むIPアドレス変換装置をさらに備える請求項8から請求項10の何れか1項に記載の支援制御システム。 a communication unit that receives a countermeasure packet that is information transmitted from the support device;
a conversion unit that randomly converts the IP address of the support device included in the countermeasure packet according to whether or not the IP option included in the countermeasure packet received by the communication unit is set;
11. The support control system according to any one of claims 8 to 10, further comprising an IP address translation device comprising:
受け付けた通知に応じて、前記不正端末に対する対抗措置の支援を行う支援ソフトウェアを読み込んだ支援装置に、前記対抗措置のための所定の処理の実行を指示する指示ステップと、
をコンピュータに実行させる支援制御プログラム。 a reception step of receiving a notification that an unauthorized terminal that is conducting a cyber attack on a target terminal connected to a network is detected;
an instruction step of instructing a support device loaded with support software for supporting countermeasures against said unauthorized terminal to execute a predetermined process for said countermeasures in response to the received notification;
A support control program that causes a computer to execute
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019036775A JP7151552B2 (en) | 2019-02-28 | 2019-02-28 | Support control device, support control program, and support control system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019036775A JP7151552B2 (en) | 2019-02-28 | 2019-02-28 | Support control device, support control program, and support control system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020140550A JP2020140550A (en) | 2020-09-03 |
| JP7151552B2 true JP7151552B2 (en) | 2022-10-12 |
Family
ID=72280487
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019036775A Active JP7151552B2 (en) | 2019-02-28 | 2019-02-28 | Support control device, support control program, and support control system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7151552B2 (en) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003186763A (en) | 2001-12-21 | 2003-07-04 | Toyo Commun Equip Co Ltd | Detection and prevention method of breaking into computer system |
| JP2004094723A (en) | 2002-09-02 | 2004-03-25 | Nec Fielding Ltd | Firewall use system, firewall using method, and firewall use program |
| US20100205487A1 (en) | 2009-02-10 | 2010-08-12 | Sony Corporation | Information processing apparatus, information processing method, program and information processing system |
| JP2011519435A (en) | 2007-10-10 | 2011-07-07 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Apparatus for reconfiguring a technical system based on security analysis, and corresponding technical decision support system and computer program product |
| JP2013186643A (en) | 2012-03-07 | 2013-09-19 | Fujitsu Ltd | Distribution device, distribution processing method and program, information processing device, information processing method and program |
| JP2017079042A (en) | 2015-10-22 | 2017-04-27 | 富士通株式会社 | Attention alert action support program, attention alert action support device, and attention alert action support method |
| JP2018129594A (en) | 2017-02-06 | 2018-08-16 | 日本電信電話株式会社 | Communication device, controller, communication method, and program |
| JP2018142927A (en) | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | System and method for addressing malware unauthorized communication |
-
2019
- 2019-02-28 JP JP2019036775A patent/JP7151552B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003186763A (en) | 2001-12-21 | 2003-07-04 | Toyo Commun Equip Co Ltd | Detection and prevention method of breaking into computer system |
| JP2004094723A (en) | 2002-09-02 | 2004-03-25 | Nec Fielding Ltd | Firewall use system, firewall using method, and firewall use program |
| JP2011519435A (en) | 2007-10-10 | 2011-07-07 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Apparatus for reconfiguring a technical system based on security analysis, and corresponding technical decision support system and computer program product |
| US20100205487A1 (en) | 2009-02-10 | 2010-08-12 | Sony Corporation | Information processing apparatus, information processing method, program and information processing system |
| JP2013186643A (en) | 2012-03-07 | 2013-09-19 | Fujitsu Ltd | Distribution device, distribution processing method and program, information processing device, information processing method and program |
| JP2017079042A (en) | 2015-10-22 | 2017-04-27 | 富士通株式会社 | Attention alert action support program, attention alert action support device, and attention alert action support method |
| JP2018129594A (en) | 2017-02-06 | 2018-08-16 | 日本電信電話株式会社 | Communication device, controller, communication method, and program |
| JP2018142927A (en) | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | System and method for addressing malware unauthorized communication |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020140550A (en) | 2020-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2017208282A1 (en) | Internet isolation for avoiding internet security threats | |
| RU2726879C2 (en) | System and method of connecting secure dns resolution protocol | |
| US11316861B2 (en) | Automatic device selection for private network security | |
| CN109688153B (en) | Zero-day threat detection using host application/program to user agent mapping | |
| JP2014086821A (en) | Unauthorized connection detection method, network monitoring device, and program | |
| US20210112093A1 (en) | Measuring address resolution protocol spoofing success | |
| WO2008040223A1 (en) | Method for filtering harmfulness data transferred between terminal and destination host in network | |
| JP5476578B2 (en) | Network monitoring system and method | |
| JP7151552B2 (en) | Support control device, support control program, and support control system | |
| JP2006209505A (en) | Management apparatus, management method, information processor, method for reporting information, and program | |
| US20180020017A1 (en) | Advanced persistent threat mitigation | |
| JP2007124258A (en) | Network relay program, network relay method, network repeater and communication control program | |
| US11936738B2 (en) | System, method, and computer program product for managing a connection between a device and a network | |
| JP2019152912A (en) | Unauthorized communication handling system and method | |
| JP2018142927A (en) | System and method for addressing malware unauthorized communication | |
| JP4882030B1 (en) | Connection destination restriction system, connection destination restriction method | |
| JP6286314B2 (en) | Malware communication control device | |
| JP5456636B2 (en) | File collection monitoring method, file collection monitoring apparatus, and file collection monitoring program | |
| US20230344798A1 (en) | Roaming dns firewall | |
| JP2019092106A (en) | Network monitoring device, network monitoring method, and network monitoring program | |
| Scholten | Hacking the router: characterizing attacks targeting low-cost routers using a honeypot router | |
| JP4005047B2 (en) | Server computer protection device | |
| CN116467709A (en) | Computer virus cleaning method, system, device and electronic equipment | |
| JP2019029939A (en) | Address change method, route change method, server unit and security device | |
| JP2012199758A (en) | Quarantine management device, quarantine system, quarantine management method, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211110 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220824 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220830 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220912 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7151552 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |