CN109861961B - 网络防御装置以及网络防御系统 - Google Patents
网络防御装置以及网络防御系统 Download PDFInfo
- Publication number
- CN109861961B CN109861961B CN201811423370.0A CN201811423370A CN109861961B CN 109861961 B CN109861961 B CN 109861961B CN 201811423370 A CN201811423370 A CN 201811423370A CN 109861961 B CN109861961 B CN 109861961B
- Authority
- CN
- China
- Prior art keywords
- threat
- unit
- information
- communication
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Virology (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
网络防御装置以及网络防御系统,该网络防御装置具备:通信数据获得部(101),经由进行通信网络间的连接的智能交换机(20)获得通信数据(1010);通信分析部(102),检测通信数据(1010)的威胁;威胁除去部(105),除去通信数据(1010)的威胁;以及开关操作部(103),在威胁检测部(105)检测出威胁的情况下,将不经由威胁除去部(105)而连接发送源终端(302)与发送目的终端(301)的第一通信路径变更为,经由威胁除去部(105)连接发送源终端(302)与发送目的终端(301)的与第一通信路径不同的第二通信路径。
Description
技术领域
本公开涉及,用于监视通信网络,控制通信的网络防御装置以及网络防御系统。
背景技术
近几年,随着网络技术的发达,各种各样的设备与网络连接。据此,因恶意软件感染、恶意软件的从外部的侵入等的攻击而导致的损失也增大,安全对策变得非常重要。
一般而言,对于安全对策,采用监视网络的边界针对来自外部网络的访问进行防御的方法、监视终端本身来进行防御的方法等。具体而言,可以举出在互联网与LAN(LocalArea Network)的边界设置FW(Fire Wall)、IDS(Intrusion Detection System)、IPS(Intrution Prevention System)、UTM(Unified Threat Management)等的安全对策设备。并且,也可以举出向设置在LAN内的终端安装恶意软件对策软件,对操作系统以及应用软件适用最新的安全补丁等。
然而,在设施、工厂等的网络中,需要无停止运转的终端、由于对生产运转的延迟严格因此不允许一切软件的追加或变更的终端等的、难以进行一般的对策的终端与网络连接的例子越来越增加。这样的终端,不能进行安全对策,恶意软件容易侵入,受到恶意软件感染等的威胁的风险大。因此,在恶意软件侵入到LAN内部的情况下,感染更扩大,导致在LAN内部产生各种各样的障碍。因此,需要防止这样的感染扩大的新的安全对策。
以往,关于能够与包括第一计算机以及第二计算机的多个计算机进行通信的对策设备,在LAN内部设置对策设备,据此,对策设备在任意的时刻获得通信数据,判断是否将获得的通信数据发送给第一计算机或第二计算机。如此,公开对策设备,限制第一计算机和第二计算机的通信服务的技术(例如,参照专利文献1)。
并且,公开如下技术,即,将通过开关装置的通信数据,发送到具有混杂模式的安全设备进行监视,由SDN(Software Defined Network)开关装置控制通信(例如,参照专利文献2)。
现有技术文献
专利文献
专利文献1:日本专利第4082613号公报
专利文献2:日本专利第6364255号公报
非专利文献
非专利文件1:Wang,Ke,and Salvatore J.Stolfo.“Anomalous payload basednetwork intrusion detection.”RAID.Vol.4.2004.
然而,在专利文献1中,为了监视LAN内部全体,排除安全性的威胁,而需要将LAN内部的全通信数据输入到对策设备。若由专利文献1的对策设备想要实现此,则需要针对所有的终端的全组合继续发送通信控制数据包,需要控制的对以平方的次序增加。在此情况下,通信集中于对策设备,因此,通信困窘,对策设备的负载增大。因此,存在给所述的对延迟严格的终端带来坏影响的问题。
并且,在用于将通信数据输入到对策设备的控制用通信数据包的发送频度不充分时的状态下,会有不能可靠地将通信数据输入到对策设备的情况,因此,也存在不能完全除去包含威胁的通信数据的问题。
并且,在专利文献2中,由监视LAN内部的威胁的安全设备控制SDN开关装置来限制通信,因此,若施加到安全设备的负载增大,则存在威胁的检测延迟、或通信全体延迟的问题。
并且,安全设备按照检测出的威胁的内容,对包含正常的内容的通信数据的与检测出的终端有关的所有的通信数据也进行限制,因此,存在产生突发的通信遮断等,给控制带来坏影响的问题。
进而,仅由单一安全设备检测,因此,因误检测以及过度检测而导致给正常的通信带来坏影响让人担忧。
发明内容
本公开的目的在于,实现构成通信网络的终端的无停止运转和通信延迟的最小化,并且提高安全级别。
本公开的实施方案之一涉及的网络防御装置,具备:通信数据获得部,具备多个LAN(Local Area Network)的端口,将在进行通信网络间的连接的交换机中流动的、至少包括发送源终端的信息和发送目的终端的信息的通信数据,以混杂模式经由所述交换机获得;威胁检测部,检测所述通信数据的威胁;威胁除去部;以及路径变更部,在由所述威胁检测部检测出威胁的情况下,对所述交换机进行操作,以将第一通信路径变更为第二通信路径,所述第一通信路径是不经由所述威胁除去部而连接所述发送源终端与所述发送目的终端的路径,所述第二通信路径是经由所述威胁除去部连接所述发送源终端与所述发送目的终端、且与所述第一通信路径不同的路径,所述威胁除去部,在所述路径变更部变更通信路径之后,除去所述通信数据的威胁。
而且,它们的总括或具体的形态,也可以作为系统、方法、集成电路、计算机程序或计算机可读取的CD-ROM等的记录介质来实现,也可以任意组合系统、方法、集成电路、计算机程序以及记录介质来实现。
根据所述形态,实现构成通信网络的终端的无停止运转和通信延迟的最小化,并且提高安全级别。
附图说明
图1是示出实施例1的网络防御装置所属的通信网络的全体结构的图。
图2是示出实施例1的通信数据的结构的图。
图3是示出实施例1的通信分析部的结构的图。
图4是示出实施例1的终端通信信息的结构的图。
图5是示出实施例1的开关操作部的结构的图。
图6是示出实施例1的开关初始设定信息的结构的图。
图7是示出实施例1的开关信息的结构的图。
图8是示出实施例1的终端管理部的结构的图。
图9是示出实施例1的威胁分数信息的结构的图。
图10是示出实施例1的终端暂时信息的结构的图。
图11是示出实施例1的终端更新信息的结构的图。
图12A是示出实施例1的终端信息的结构的图。
图12B是示出实施例1的终端信息的结构的图。
图13A是示出实施例1的网络全体结构的逻辑的网络的结构的图。
图13B是示出实施例1的网络全体结构的逻辑的网络的结构的图。
图14是示出实施例1的网络防御装置的工作的流程图。
图15是示出实施例1的威胁分数的更新的工作的流程图。
图16是示出实施例1的终端信息的更新的工作的流程图。
图17A是示出实施例1的变形例1能放网络防御装置属于另外通信网络整体结构表示图是。
图17B是示出实施例1的变形例1的发送源终端和发送目的终端由检疫系网络进行通信的情况的图。
图17C是示出实施例1的变形例1的发送源终端和发送目的终端由通常类网络进行通信的情况的图。
图18是示出实施例1的变形例2的网络防御装置所属的还另一个通信网络的全体结构的图。
图19是示出实施例2的网络防御装置所属的通信网络的全体结构的图。
图20是示出实施例2的通信数据的结构的图。
图21是示出实施例2的终端通信信息的结构的图。
图22是示出实施例2的开关初始设定信息的结构的图。
图23是示出实施例2的开关信息的结构的图。
图24A是示出实施例2的终端信息的结构的图。
图24B是示出实施例2的终端信息的结构的图。
图25A是示出实施例2的网络全体结构的逻辑的网络的结构的图。
图25B是示出实施例2的网络全体结构的逻辑的网络的结构的图。
图26是示出实施例2的网络防御装置的工作的流程图。
图27是示出实施例2的数据包重写部的结构的图。
图28是示出实施例2的变形例1的网络防御装置所属的另一个通信网络全体结构的图。
图29是示出实施例2的变形例2的网络防御装置所属的还另一个通信网络全体结构的图。
符号说明
10、11 网络防御装置
101、111 通信数据获得部
1010 通信数据
1011 发送源地址信息
1011a 所属VLAN信息
1012 发送目的地址信息
10111 发送源MAC地址信息
10112 发送源IP地址信息
10113 发送源端口信息
1013 有效负载
10121 发送目的MAC地址信息
10122 发送目的IP地址信息
10123 发送目的端口信息
102、112 通信分析部(威胁检测部)
1020 终端地址确认部
1021 通信流程信息解析部
10211 黑名单通信检测部
10212 白名单外通信检测部
10213 IP 扫描检测部
10214 端口扫描检测部
1022 通信数据解析部
10221 脆弱性攻击检测部
10222 恶意软件检测部
10223 认证失败检测部
1023 终端通信信息
10230 终端号
10231 IP 地址信息
10232 MAC 地址信息
10232a VLAN 信息
10233 更新时刻信息
10234 威胁检测内容
103 开关操作部(路径变更部)
1031 开关初始设定信息
10310 开关识别信息表
10311 开关识别信息
10312 开关控制用IP地址
10313 VLAN 识别信息表
10314 VLAN 信息
10314a VLAN 组信息
10315 VLAN 网络种类
1032 开关信息获得部
10320 开关信息
10321 开关识别信息
10322 连接端口信息
10323 VLAN 信息
10324 MAC 地址信息
1033 路径变更部
104、114 终端信息管理部
1040 终端暂时信息
10401 开关识别信息
10402 连接端口信息
10402a 开关识别信息
10403 VLAN 信息
10403a 开关识别信息
10404 MAC 地址信息
10404a 开关识别信息
10405 IP地址信息
10405a 开关识别信息
10406 更新时刻信息
10407 威胁加法分数
1041 终端信息存储部
10410 终端信息
10411 管理ID信息
10412 开关识别信息
10413 连接端口信息
10414 VLAN 信息
10415 MAC 地址信息
10416 IP 地址信息
10417 更新时刻信息
10418 威胁分数
1042 终端信息更新部
10420 终端更新信息
10421 开关识别信息
10422 连接端口信息
10423 VLAN 信息
10424 MAC 地址信息
10425 IP 地址信息
10426 更新时刻信息
10427 威胁分数
1043 终端管理部设定信息
1043a 终端控制设定部
10430 威胁加法分数信息
104301 检测内容识别信息
104302 检测内容
104303 判断
104304 威胁加法分数
10431 终端管理部基准值信息
104311 基准值内容
104312 基准值
105 威胁除去部
106 数据包重写部(重写部)
20、21 智能交换机
301、303 终端
302、304 攻击终端
具体实施方式
(作为本公开的基础的知识)
存在于工厂等的工业机器等的控制终端,会有设计以及安装的时期早,没有考虑与互联网的连接的情况。对于这样的控制终端,针对来自互联网的安全性的威胁,没有考虑任何对策。
进而,对于这样的控制终端,强烈要求可用性,需要尽量防止生产运转的延迟增大以及运转停止,因此,不允许安全对策软件的导入以及安全补丁等、包括操作系统的软件的变更。
但是,现在,包括这样的控制终端的工业机器网络,与互联网连接,因此,面临安全性的威胁。
因此,需要监视工业机器网络全体的安全性的威胁,防止生产运转的延迟以及停止,并且,防止恶意软件的攻击的无害化以及受害扩大。监视通信网络数据来检测攻击、并且成为无害化的技术,例如,由所述的专利文献1、2公开。但是,没有估计工业机器网络所需要的、延迟增大以及停止的防止、以及突然的通信遮断对控制的坏影响等。
于是,本公开的目的在于,实现工厂等的控制系统网络所需要的终端的无停止运转和通信延迟的最小化、并且提高安全级别。
(本公开的实施方案之一)
本公开的实施方案之一涉及的网络防御装置,具备:通信数据获得部,具备多个LAN(Local Area Network)的端口,将在进行通信网络间的连接的交换机中流动的、至少包括发送源终端的信息和发送目的终端的信息的通信数据,以混杂模式经由所述交换机获得;威胁检测部,检测所述通信数据的威胁;威胁除去部;以及路径变更部,在由所述威胁检测部检测出威胁的情况下,对所述交换机进行操作,以将第一通信路径变更为第二通信路径,所述第一通信路径是不经由所述威胁除去部而连接所述发送源终端与所述发送目的终端的路径,所述第二通信路径是经由所述威胁除去部连接所述发送源终端与所述发送目的终端、且与所述第一通信路径不同的路径,所述威胁除去部,在所述路径变更部变更通信路径之后,除去所述通信数据的威胁。
根据该结构,经由交换机的通信数据的复制由通信分析部继续监视,从而能够检测威胁。若检测威胁,路径变更部,则变更交换机的设定,来将会包括威胁的发送源终端所属的通信网络、与发送目的终端所属的通信网络在逻辑上分开,变更为在会包括威胁的发送源终端与发送目的终端之间的路径,将威胁除去部在逻辑上连接。据此,能够从发送源终端发送的会包括威胁的通信数据中除去威胁。据此,能够不使终端的运转停止(不给正常的通信带来坏影响)而进行通信,并且,能够监视威胁来防止恶意软件等的扩散。
并且,为了继续进行发送源终端所属的通信网络与发送目的终端所属的通信网络的正常的通信,将检测威胁的通信分析部与除去威胁的威胁除去部分离。也就是说,将通信分析部与威胁除去部作为不同的处理部分离,因此,能够将各个处理部的处理负荷设为最小限度。据此,能够通信分析部由搜索行动等在达到威胁之前检测威胁后,适用由威胁除去部的威胁的除去。其结果为,能够更早期对应安全性的威胁。
因此,该网络防御装置,能够实现构成通信网络的终端的无停止运转和通信延迟的最小化,并且,提高安全级别。特别是,能够不给现有的设备带来影响,而实现现有的设备的无停止运转。
本公开的实施方案之一涉及的网络防御系统,通信数据获得部,具备多个LAN的端口,将在进行通信网络间的连接的交换机中流动的、至少包括发送源终端的信息和发送目的终端的信息的通信数据,以混杂模式经由所述交换机获得;威胁检测部,检测所述通信数据的威胁;威胁除去部;以及路径变更部,在由所述威胁检测部检测出威胁的情况下,对所述交换机进行操作,以将第一通信路径变更为第二通信路径,所述第一通信路径是连接所述发送源终端与所述发送目的终端的路径,所述第二通信路径是经由所述威胁除去部连接所述发送源终端与所述发送目的终端、且与所述第一通信路径不同的路径,所述威胁除去部,在所述路径变更部变更通信路径之后,除去所述通信数据的威胁。
根据该网络防御系统,也能够获得与所述同样的作用效果。
本公开的实施方案之一涉及的网络防御装置,所述交换机具有,与所述发送源终端连接的第一LAN的端口、与所述威胁检测部连接的第二LAN的端口及第三LAN的端口、以及与所述发送目的终端连接的第四LAN的端口,在所述威胁检测部没有检测到威胁的情况下,所述路径变更部,将从与所述第一LAN的端口连接的所述发送源终端、到与所述第四LAN的端口连接的所述发送目的终端为止的所述第一通信路径,设定为第一VLAN(Virtual LocalArea Network),在所述威胁检测部检测出威胁的情况下,所述路径变更部,将从与所述第一LAN的端口连接的所述发送源终端、到与所述第二LAN的端口连接的所述威胁除去部为止的、所述第二通信路径中包括的一部分的路径,设定为与所述第一VLAN不同的第二VLAN,将从与所述第三LAN的端口连接的所述威胁除去部、到与所述第四LAN的端口连接的所述发送目的终端为止的、所述第二通信路径中包括的一部分的路径,设定为所述第一VLAN。
据此,在威胁检测部没有检测到威胁的情况下,将发送源终端至发送目的终端设定为第一VLAN(第一通信路径)。并且,在威胁检测部检测出威胁的情况下,将发送源终端至威胁除去部设定为第二VLAN,将威胁除去部至发送目的终端的路径设定为第一VLAN(第一VLAN和第二VLAN成为第二通信路径)。据此,在检测出威胁的情况下,能够将威胁除去部介于发送源终端至发送目的终端之间。
本公开的实施方案之一涉及的网络防御装置,还具备,对通过所述威胁除去部的所述通信数据包括的通信网络的VLAN信息进行重写的重写部,所述交换机具有,与所述发送源终端连接的第五LAN的端口、与所述威胁除去部连接的第六LAN的端口、以及与所述发送目的终端连接的第七LAN的端口,在所述威胁检测部没有检测到威胁的情况下,所述路径变更部,将与所述第五LAN的端口连接的所述发送源终端、以及与所述第七LAN的端口连接的所述发送目的终端,设定到第一VLAN,在所述威胁检测部检测出威胁的情况下,所述路径变更部,将所述第二通信路径中包括的、与所述第五LAN的端口连接的所述发送源终端,设定到第二VLAN,将与所述第七LAN的端口连接的所述发送目的终端,设定到所述第一VLAN,经由所述第六LAN的端口,将示出所述发送源终端所属的所述第二VLAN的VLAN信息重写为示出所述发送目的终端所属的所述第一VLAN的VLAN信息,将包括重写后的VLAN信息的通信数据,输出到所述交换机。
如此,在威胁检测部检测出通信数据的威胁的情况下,将发送源终端设定为第二VLAN,将发送目的终端设定为第一VLAN。威胁除去部,除去经由第六端口获得的通信数据包括的威胁。重写部,重写除去威胁后的通信数据包括的通信网络的VLAN信息。也就是说,示出第一VLAN的VLAN信息与示出第二VLAN的VLAN信息不同,因此,重写部,将通信数据包括的VLAN信息重写为,对应于与发送目的终端连接的第七端口。据此,即使通过不同VLAN的通信数据,也能够从发送源终端发送到发送目的终端。
本公开的实施方案之一涉及的网络防御装置,所述第一VLAN是,不经由所述威胁除去部的通常类网络,所述第二VLAN是,由所述威胁除去部除去所述通信数据的威胁的检疫类网络,在所述威胁检测部检测出威胁的情况下,所述路径变更部,将所述第一VLAN的一部分从所述通常类网络变更为检疫类网络。
据此,在检测出威胁的情况下,从通常类网络变更为检疫类网络,因此,能够将发送源终端输出的通信数据包括的威胁,在达到发送目的终端之前除去。
本公开的实施方案之一涉及的网络防御装置,在所述威胁除去部中,除去所述通信数据的威胁的情况下,所述路径变更部,将从所述通常类网络变更后的所述检疫类网络,恢复为所述通常类网络。
若在除去通信数据的威胁之后,威胁除去部也介于发送源终端与发送目的终端的通信路径间,则在两者之间产生通信延迟。但是,该网络防御装置,若除去通信数据的威胁,则将检疫类网络,恢复为通常类网络。因此,能够抑制发送源终端与发送目的终端之间的通信延迟的发生。
本公开的实施方案之一涉及的网络防御装置,所述通信数据获得部,获得所述通信数据的复制,所述威胁检测部,以混杂模式监视所述通信数据的复制。
例如,若在发送源终端与发送目的终端的通信路径间配置威胁检测部,则威胁检测部监视所有的通信数据,因此,在两者之间产生通信延迟。但是,该网络防御装置,复制通信路径上的通信数据,以混杂模式监视,因此,能够抑制发送源终端与发送目的终端之间的通信延迟的发生。
本公开的实施方案之一涉及的网络防御装置,所述威胁除去部,从检测出威胁的所述通信数据中,除去包括威胁的无用的数据。
据此,从通信数据中除去了包括威胁的无用的数据的威胁除去后的通信数据发送到发送目的终端,因此,能够削减通信数据的通信量。
本公开的实施方案之一涉及的网络防御装置,所述威胁检测部,按照检测出的威胁内容,对检测出威胁的发送源终端赋予分数,所述路径变更部,在由所述威胁检测部赋予的所述分数超过第一值的情况下,使所述交换机变更通信路径,以使赋予了所述分数的该发送源终端所涉及的通信数据经由所述威胁除去部。
据此,以分数阶段性地分类威胁,从而能够仅使包括威胁的可能性高的通信数据经由威胁除去部。因此,能够不使包括威胁的可能性低的通信数据经由威胁除去部。其结果为,削减经由威胁除去部的通信数据的数量,因此,能够抑制发送源终端与发送目的终端的通信路径间的通信延迟的发生。
本公开的实施方案之一涉及的网络防御装置,所述威胁检测部,针对赋予的所述分数,在经过规定时间后,减去所述分数的规定值,在检测出的威胁的所述分数低于第二值的情况下,所述路径变更部,使所述交换机变更通信路径,以使所述发送源终端与所述发送目的终端的连接不经由所述威胁除去部。
据此,能够高精度地校正从通信数据检测出的威胁的内容(分数)。因此,随着时间的经过削减经由威胁除去部的通信数据的数量,因此,能够抑制发送源终端与发送目的终端的通信路径的通信延迟的发生。
本公开的实施方案之一涉及的网络防御装置,所述威胁检测部,在检测出的威胁的所述分数超过比所述第一值大的第三值的情况下,即使经过所述规定时间也不减去所述分数。
据此,对于包括威胁的可能性非常高的通信数据,可以认为误检测的可能性低,因此,不变更示出从通信数据检测出的威胁的分数,而维持分数。因此,能够抑制误检测的发生,并且,能够由威胁除去部可靠地除去检测出的威胁。
而且,以下说明的实施例,都示出本发明的一个具体例子。它们的总括或具体的形态,也可以作为系统、方法、集成电路、计算机程序或计算机可读取的记录介质来实现,也可以任意组合系统、方法、集成电路、计算机程序或记录介质来实现。以下的实施例示出的数值、形状、构成要素、步骤、步骤的顺序等是一个例子而不是限定本发明的宗旨。并且,对于以下的实施例的构成要素中的、示出最上位概念的实施方案中没有记载的构成要素,作为任意的构成要素而被说明。并且,在所有的实施例中,也能够组合各个内容。
(实施例1)
对于本实施例,参照附图进行说明。而且,对于各个附图的相同的构成要素,利用相同的符号。
1.通信网络的全体结构
图1是示出本实施例的网络防御装置所属的通信网络的全体结构的图。在本实施例的通信网络中,终端,在IEEE802.3所规定的Ethernet(注册商标)上按照TCP(Transmission Control Protocol)/IP(Internet Protocol)以及UDP(User DatagramProtocol)/IP等的应用,以适当的协议进行通信。
如图1示出,在通信网络中,针对智能交换机20,网络防御装置10、发送目的终端301、发送源终端302分别由LAN电缆连接而构成。在本实施例中,为了便于说明,将发送源终端302发送的后述的图2的通信数据1010的发送目的定义为发送目的终端301,以及,将向发送目的终端301发送的通信数据1010的发送源定义为发送源终端302,但是,发送目的终端也会成为发送源终端,也会有与其相反的情况。而且,在通信网络中,终端(也称为节点,在本实施例中,例如发送源终端、以及发送目的终端。)是,再分发点(数据线路终端装置等)以及端点(数据终端装置等)的任一个。
智能交换机20具备,用于连接终端的多个LAN的端口(0至7)。而且,以下,将LAN的端口简单地称为端口。在智能交换机20中,在智能交换机20和LAN电缆的连接点记载的数值示出,LAN电缆连接的端口的号码。而且,以下简单地称为“终端”时,终端是发送源终端302以及发送目的终端301的总称。
并且,智能交换机20具备,对各个端口设定所谓VLAN的逻辑的网络的功能。在智能交换机20中,在端口0具备能够输出通过智能交换机20的通信数据1010的复制的镜像功能。端口1至7,进行与一般的交换式集线器的端口同样的工作。而且,端口(LAN的端口)也可以,除了包括物理端口以外,还包括逻辑的软件端口。但是,软件端口也可以,不包括TCP/IP那样的端口。
智能交换机20的端口0至2,分别经由LAN电缆,与网络防御装置10连接。并且,智能交换机20的端口4,与发送目的终端301连接。进而,智能交换机20的端口7,与发送源终端302连接。端口7是第一端口的一个例子。端口4是第四端口的一个例子。
2.网络防御装置的结构
接着,详细说明网络防御装置10。
网络防御装置10具备,通信数据获得部101、通信分析部102、开关操作部103、终端信息管理部104、以及威胁除去部105。
通信数据获得部101,以混杂模式获得具备多个端口的智能交换机20中流动的通信数据1010。通信数据获得部101具备,将在发送源终端302与发送目的终端301之间进行通信的通信数据1010,通过来自端口0的输出来接收(获得),并输出到通信分析部102的功能。
通信分析部102,对从通信数据获得部101输出的通信数据1010进行分析。通信分析部102具备,将示出分析结果的信息(后述的终端通信信息)输出到终端信息管理部104的功能。终端的端口号是,终端与智能交换机20连接的端口的数值。
开关操作部103具备,获得智能交换机20保持的终端的端口号以及终端的地址对应的信息(后述的开关信息),向终端信息管理部104通知的功能。并且,开关操作部103,根据终端信息管理部104输出的信息(后述的终端信息),将智能交换机20的VLAN,从VLAN1切换(变更)为VLAN2,或者,从VLAN2切换(变更)为VLAN1。也就是说,开关操作部103具备,命令智能交换机20,将VLAN1和VLAN2相互切换的功能。在此,VLAN1是,通常类网络,VLAN2是,检疫类网络。VLAN1是,第一VLAN的一个例子,VLAN2是,第二VLAN的一个例子。
终端信息管理部104,合并管理从通信分析部102输出的示出分析结果的信息、以及从后述的开关操作部103的开关信息获得部1032输出的信息,以作为终端信息。终端信息管理部104具备,将该终端信息通知给开关操作部103的功能。
威胁除去部105具备,获得从发送目的终端301发送的通信数据1010,从获得的通信数据1010中除去威胁的功能。也就是说,威胁除去部105具备,从检测出威胁的通信数据1010中,除去包括威胁的无用的数据的功能。并且,威胁除去部105还具备,将除去威胁后的通信数据输出到发送目的终端301的功能。威胁除去部105,若通信数据1010本身为威胁,则除去通信数据1010,若通信数据1010包括的例如字符串等是威胁,则将除去字符串后的通信数据1010,输出到智能交换机20。
在此,威胁是,针对发送目的终端301以及发送目的终端301所存储的信息,产生破损、破坏、或访问拒绝等的有害或不希望的影响的计算机程序,例如恶意软件、病毒、或间谍软件等。
2-1.通信数据的结构
图2是示出本实施例的通信数据1010的结构的图。如图2示出,通信数据1010至少包括,发送源地址信息1011、发送目的地址信息1012以及有效负载1013。
发送源地址信息1011至少包括,发送源MAC(Media Access Control)地址信息10111、发送源IP地址信息10112、以及发送源端口信息10113。发送源地址信息1011是,发送源终端302的信息的一个例子。
发送目的地址信息1012至少包括,发送目的MAC地址信息10121、发送目的IP地址信息10122、以及发送目的端口信息10123。发送目的地址信息1012是,发送目的终端的信息的一个例子。
3.通信分析部的结构
接着,详细说明通信分析部102。
图3是示出本实施例的通信分析部102的结构的图。如图3示出,通信分析部102具备,终端地址确认部1020、通信流程信息解析部1021、以及通信数据解析部1022。
通信分析部102,从通信数据获得部101获得通信数据1010,利用终端地址确认部1020、通信流程信息解析部1021以及通信数据解析部1022,各自解析通信数据1010。通信分析部102,将总括终端地址确认部1020、通信流程信息解析部1021、以及通信数据解析部1022各自的威胁检测信息的终端通信信息1023,输出到终端信息管理部104。通信分析部102是,威胁检测部的一个例子。
3-1.终端地址确认部的结构
如图2以及图3示出,终端地址确认部1020获得,通信数据1010的发送源地址信息1011之中的至少发送源MAC地址信息10111以及发送源IP地址信息10112。终端地址确认部1020,根据获得的发送源地址信息1011,判断禁止访问的发送源终端302的MAC地址信息以及IP地址信息、与发送源MAC地址信息10111以及发送源IP地址信息10112是否一致,输出作为判断的结果的威胁检测信息。
3-2.通信流程信息解析部的结构
通信流程信息解析部1021,根据通信数据1010包括的发送目的地址信息1012,生成威胁检测信息。通信流程信息解析部1021,根据发送目的地址信息1012判断是否存在威胁,输出作为判断的结果的威胁检测信息。通信流程信息解析部1021包括,黑名单通信检测部10211、白名单外通信检测部10212、IP扫描检测部10213、以及端口扫描检测部10214。而且,通信流程信息解析部1021,也可以不包括所述检测部的全部,也可以是一部分的结构,也可以还包括其他的检测部。
黑名单通信检测部10211,判断禁止访问的发送目的地址信息与发送目的地址信息1012是否一致,在一致时检测为安全性异常。
白名单外通信检测部10212,判断允许访问的发送目的地址信息与发送目的地址信息1012是否一致,在不一致时检测为安全性异常。
IP扫描检测部10213,根据发送目的地址信息1012包括的发送目的IP地址信息10122,判断向通信网络内部的多数的IP地址的访问尝试的有无。IP扫描检测部10213,在存在这样的访问尝试的情况下,检测为安全性异常。
端口扫描检测部10214,根据发送目的地址信息1012包括的发送目的端口信息10123,判断向通信网络内部的针对特定IP地址的多数的端口的访问尝试的有无。端口扫描检测部10214,在存在这样的访问尝试的情况下,检测为安全性异常。
通信流程信息解析部1021也可以利用,黑名单通信检测部10211、白名单外通信检测部10212、IP扫描检测部10213、以及端口扫描检测部10214以外的其他的检测部。例如是,利用机器学习,以分数评价访问目的是否适当,若一定的分数以上则判断为安全性异常的检测部,将从分数最高的终端开始第几台的终端判断为存在安全性异常的可能性的检测部等。
3-3.通信数据解析部的结构
在通信分析部102中,通信数据解析部1022,根据通信数据1010包括的有效负载1013,生成威胁检测信息。通信数据解析部1022,根据有效负载1013,判断是否存在威胁,输出作为判断的结果的威胁检测信息。通信数据解析部1022包括,脆弱性攻击检测部10221、恶意软件检测部10222以及认证失败检测部10223。
而且,通信数据解析部1022,也可以不包括所述脆弱性攻击检测部10221、恶意软件检测部10222、以及认证失败检测部10223的全部,也可以还包括其他的检测部。
脆弱性攻击检测部10221,判断在有效负载1013中,攻击安装在终端中的软件的脆弱性的模式的有无。脆弱性攻击检测部10221,在通信数据1010中存在攻击软件的脆弱性的模式的情况下,检测为安全性异常。
恶意软件检测部10222,判断有效负载1013是否包括示出恶意软件的模式。恶意软件检测部10222,在包括示出恶意软件的模式的情况下,检测为安全性异常。
认证失败检测部10223,获得对终端的认证尝试信息,判断针对特定的终端在一定时间内是否反复发生认证尝试和认证失败。认证失败检测部10223,在反复发生认证失败的情况下,检测为安全性异常。
通信数据解析部1022也可以利用,脆弱性攻击检测部10221、恶意软件检测部10222、以及认证失败检测部10223以外的其他的检测部。可以考虑其他的检测部为,例如,非专利文件1所公开的对有效负载1013的比特模式的一部分,利用机器学习以分数评价,或对解读有效负载1013的内容而获得的信息,利用机器学习以分数评价等,若某一定以上的分数则检测为安全性异常的检测部,将分数高的几个模式检测为安全性异常的检测部等。
3-4.终端通信信息的结构
接着,详细说明终端通信信息1023。图4是示出本实施例的终端通信信息1023的结构的图。
如图3以及图4示出,终端地址确认部1020、通信流程信息解析部1021、以及通信数据解析部1022,解析通信数据1010,将解析的结果设为终端通信信息1023。如图4示出,终端通信信息1023,由终端号10230、IP地址信息10231、MAC地址信息10232、更新时刻信息10233以及威胁检测内容10234构成。
终端地址确认部1020,将发送源IP地址信息10112设为IP地址信息10231,将发送源MAC地址信息10111设为MAC地址信息10232。并且,将通信流程信息解析部1021和通信数据解析部1022的判断结果设为威胁检测内容10234。将获得IP地址信息10231、以及发送源的MAC地址信息10232的时刻设为,更新时刻信息10233。
4.开关操作部的结构
接着,详细说明开关操作部103。图5是示出本实施例的开关操作部103的结构。
如图5示出,开关操作部103,存储作为与智能交换机20有关的设定信息的开关初始设定信息1031。开关操作部103具备,开关信息获得部1032以及路径变更部1033。
开关信息获得部1032,根据开关初始设定信息1031获得智能交换机20保持的开关信息10320,将开关信息10320输出到终端信息管理部104。
路径变更部1033,根据开关初始设定信息1031以及来自终端信息管理部104的通知,变更智能交换机20的各个端口的VLAN设定。
4-1.开关初始设定信息的结构
接着,详细说明开关初始设定信息1031。图6是示出本实施例的开关初始设定信息1031的结构的图。如图6示出,开关初始设定信息1031,由开关识别信息10311和开关控制用IP地址10312对应的开关识别信息表10310、以及VLAN信息10314和VLAN网络种类10315对应的VLAN识别信息表10313构成。
开关识别信息10311是,识别各个智能交换机20的信息。
开关控制用IP地址10312是,利用SNMP(Simple Network Management Protocol),通过智能交换机20的端口1,对智能交换机20进行控制时使用的。
VLAN信息10314是,用于确定(识别)VLAN的信息,在本实施例中,存在VLAN1、以及VLAN2。
VLAN网络种类10315,与VLAN信息10314对应。例如,关于VLAN1,VLAN网络种类10315示出通常类网络,关于VLAN2,VLAN网络种类10315示出检疫类网络。
通常类网络是,在发送源终端302与发送目的终端301之间,不经由威胁除去部105的网络。
检疫类网络是,在发送源终端302与发送目的终端301之间,经由威胁除去部105的网络。
4-2.开关信息的结构
接着,详细说明开关信息10320。图7是示出本实施例的开关信息10320的结构的图。开关信息10320,由开关信息获得部1032生成。开关信息获得部1032,将从开关初始设定信息1031获得的开关识别信息10311设为开关识别信息10321,从智能交换机20,获得与开关识别信息10321对应的连接端口信息10322、VLAN信息10323、以及MAC地址信息10324。
连接端口信息10322是,示出与终端连接的智能交换机20的端口号的信息。
5.终端信息管理部的结构
接着,详细说明网络防御装置10的终端信息管理部104。图8是示出本实施例的终端信息管理部104的结构的图。如图8示出,终端信息管理部104,对作为管理对象的通信网络上存在的终端的信息的终端信息10410进行管理。终端信息管理部104具备,存储终端信息10410的终端信息存储部1041、终端信息更新部1042、以及终端管理设定部1043a。
终端信息更新部1042,根据从通信分析部102获得的图4的终端通信信息1023、从开关操作部103获得的图7的开关信息10320、以及后述的图9的威胁加法分数信息10430,生成终端暂时信息1040。终端信息更新部1042,根据终端暂时信息1040以及终端信息存储部1041所存储的终端信息10410,生成终端更新信息10420。终端信息更新部1042,将终端更新信息10420,通知给开关操作部103的路径变更部1033。进而,终端信息更新部1042,根据终端更新信息10420,更新终端信息存储部1041所存储的终端信息10410。
终端管理设定部1043a是,存储终端管理部设定信息1043的存储部。
5-1.终端管理部设定信息的结构
接着,详细说明终端管理部设定信息1043。图9是示出本实施例的终端管理部设定信息1043的结构的图。如图9示出,终端管理部设定信息1043包括,威胁加法分数信息10430、以及为了根据威胁分数变更各个端口的VLAN设定而需要的终端管理部基准值信息10431。
威胁加法分数信息10430包括,检测内容识别信息104301、检测内容104302、判断104303、以及威胁加法分数104304。
检测内容识别信息104301是,示出通信分析部102具有的终端地址确认部1020、通信流程信息解析部1021、通信数据解析部1022等的任一个判断的结果的信息。在检测内容识别信息104301中,以各个处理部的符号表示,附图所记载的符号是一个例子。
而且,对于检测内容识别信息104301,若能够识别哪个处理部判断的结果则也可以是任何信息,例如,也可以预先对检测部的检测内容赋予能够识别的号码,根据其号码识别。
检测内容104302示出,与检测内容识别信息104301对应的检测内容。检测内容104302,例如,关于检测内容识别信息104301的“1020”,示出新的发送源地址信息1011的终端信息存储部1041没有包括的“新的IP地址,MAC地址出现”。
判断104303,将判断为检测内容104302示出的检测结果为威胁的情况定义为黑,将虽存在威胁的可能性但不能明确地判断为威胁的情况定义为灰,将没有威胁的可能性的情况定义为白。
而且,判断104303,不仅以所述的三个级别定义检测结果,也可以根据需要,还追加利用判断级别,也可以以黑和白的两个级别定义。
而且,威胁加法分数信息10430,不仅限于所述的项目,也可以还包括其他的项目,也可以仅利用一部分的项目。并且,对于威胁加法分数信息10430的检测内容104302,也可以组合多个内容来利用。并且,威胁加法分数信息10430的威胁加法分数104304,不需要对所有的终端相同,也可以根据作用以及种类设定不同的值。
终端管理部基准值信息10431包括,基准值内容104311以及基准值104312。作为基准值内容104311,包括“减去威胁分数为止的时间t0”、“从VLAN1变更为VLAN2时的威胁分数值X”、“从VLAN2变更为VLAN1时的威胁分数值Y”、以及“将威胁级别的判断从灰变更为黑的分数值Z”。威胁分数值X是,第一值的一个例子。威胁分数值Y是,第二值的一个例子。分数值Z是,第三值的一个例子。
而且,终端管理部基准值信息10431的基准值内容104311,不仅限于所述内容,也可以包括所述内容以外的项目,也可以利用所述内容的一部分。也可以代替“减去威胁分数为止的时间t0”,而利用例如“通信容量M0”、“一定的通信数据包数P0”、“一定的TCP会话数S0”等。在基准值内容104311利用“通信容量M0”以及“一定的通信数据包数P0”的情况下,根据通信容量以及通信数据包数,也可以测量来自发送目的终端301的发送量,也可以测量来自发送源终端302以及发送目的终端301的收发量。
并且,在基准值内容104311中,也可以利用“减去威胁分数为止的时间t0”、“通信容量M0”、“一定的通信数据包数P0”以及“一定的TCP会话数S0”之中的任意的两个以上的组合。并且,终端管理部基准值信息10431的基准值104312的值,不需要对所有的终端相同,也可以根据作用以及种类设定不同的值。
关于终端管理部设定信息1043,通信网络运转开始时需要设定,但是,在通信网络运转开始后,也可以根据状况变更。图中没有示出,但是,也可以在终端信息更新部1042具备用于设定的信息显示部以及输入部进行设定,例如,也可以利用机器学习自动地变更威胁加法分数104304以及基准值104312等。
5-2.终端暂时信息的结构
接着,详细说明终端暂时信息1040。图10是示出本实施例的终端暂时信息1040的结构的图。如图10示出,终端暂时信息1040,由图8的终端信息管理部104管理。终端暂时信息1040包括,开关识别信息10401、连接端口信息10402、VLAN信息10403、MAC地址信息10404、IP地址信息10405、更新时刻信息10406、以及威胁加法分数10407。
5-3.终端更新信息的结构
接着,详细说明终端更新信息10420。图11是示出本实施例的终端更新信息10420的结构的图。图11是检测来自发送源终端302的威胁之后的信息。终端更新信息10420,由终端信息管理部104管理,由终端信息更新部1042保持。
终端更新信息10420包括,开关识别信息10421、连接端口信息10422、VLAN信息10423、MAC地址信息10424、IP地址信息10425、更新时刻信息10426、以及威胁分数10427。威胁分数10427示出,根据图9的威胁加法分数计算出的通信数据1010的威胁度。威胁分数10427是,分数的一个例子。
5-4.终端信息的结构
接着,详细说明终端信息10410。图12A以及图12B是示出本实施例的终端信息10410的结构的图。图12A的终端信息10410示出检测来自发送源终端302的威胁之前的信息,图12B的终端信息10410示出检测来自发送源终端302的威胁之后的信息。
如图12A以及图12B示出,终端信息10410,由终端信息管理部104管理,由终端信息存储部1041存储。终端信息10410包括,管理ID信息10411、开关识别信息10412、连接端口信息10413、VLAN信息10414、MAC地址信息10415、IP地址信息10416、更新时刻信息10417、以及威胁分数10418。
管理ID信息10411,将开关识别信息10412、连接端口信息10413、VLAN信息10414、以及MAC地址信息10415作为一个组,分配用于与其他的组识别的一个ID。
6.威胁检测前和威胁检测后的逻辑的网络的结构
接着,详细说明检测来自发送源终端302的威胁之前和之后的网络全体结构。图13A以及图13B是示出本实施例的网络全体结构的逻辑的网络结构的图。图13A示出检测来自发送源终端302的威胁之前的逻辑的网络全体结构,图13B示出检测来自发送源终端302的威胁之后的逻辑的网络结构。如图13A以及图13B示出,威胁除去部105,经由VLAN1包括的智能交换机20的端口1连接,并且,经由VLAN2包括的智能交换机20的端口2连接。而且,在图13A以及图13B中,为了便于说明,省略连接智能交换机20的端口0与网络防御装置10的LAN电缆。
图13A示出检测来自发送源终端302的威胁之前、或者检测威胁之后且从异常状态变化为正常状态之后的通常类网络。发送目的终端301和发送源终端302,都包括在VLAN1中,不经由威胁除去部105而进行通信。也就是说,图13A的VLAN1,发送目的终端301和发送源终端302经由智能交换机20连接,构成不对通信数据1010进行威胁除去的通常类网络。从异常状态向正常状态的变化意味着,从异常状态恢复为正常状态。
发送源终端302、智能交换机20的端口7、端口4、以及发送目的终端301是,第一通信路径的一个例子,属于VLAN1。发送源终端302、智能交换机20的端口7、端口4、以及发送目的终端301的路径是,检测前的正常状态。
图13B示出检测来自发送源终端302的威胁之后且从异常状态变化为正常状态之前的异常类网络。
发送目的终端301以与VLAN1连接的状态与威胁除去部105连接,发送源终端302在连接从VLAN1切换为VLAN2后与威胁除去部105连接。据此,发送源终端302,经由威胁除去部105与发送目的终端301进行通信。威胁除去部105,从发送源终端302涉及的通信数据1010中除去威胁,将威胁除去后的通信数据即修正后的通信数据,经由智能交换机20发送到发送目的终端301。
属于VLAN2的、发送源终端302、智能交换机20的端口7、端口2、威胁除去部105、以及、属于VLAN1的,威胁除去部105、智能交换机20的端口1、端口4、发送目的终端301是,第二通信路径的一个例子。发送源终端302、智能交换机20的端口7、端口2、威胁除去部105、以及、属于VLAN1的、威胁除去部105、智能交换机20的端口1、端口4、发送目的终端301的路径是,检测前的异常状态。端口1以及端口2是,第二端口以及第三端口的一个例子。
而且,网络防御装置10的开关操作部103,如图13A示出,从异常状态的异常类网络变更为正常状态的通常类网络。而且,发送源终端302,与发送目的终端301进行正常的通信。
7.网络防御装置的工作
接着,详细说明网络防御装置10的工作。图14是示出本实施例的网络防御装置10的工作的流程图。
如图14等示出,网络防御装置10,获得在发送源终端302与发送目的终端301之间进行通信的通信数据1010(步骤S001)。具体而言,网络防御装置10,经由与智能交换机20的端口0连接的LAN电缆,以混杂模式获得通信数据1010的复制。
网络防御装置10的通信数据获得部101,将监视对象的通信网络上获得的通信数据1010,输出到通信分析部102。
通信分析部102,分析通信数据1010(步骤S002)。通信分析部102,根据通信数据1010,利用终端地址确认部1020、通信流程信息解析部1021、以及通信数据解析部1022,生成作为各自判断的结果的各自的威胁检测信息。通信分析部102,根据各自的威胁检测信息,生成终端通信信息1023。
终端地址确认部1020,从通信数据1010提取发送源终端302的终端通信信息1023,确定发送源终端302的IP地址信息10231、MAC地址信息10232以及更新时刻信息10233。
在通信流程信息解析部1021中,黑名单通信检测部10211,在发送目的地址信息1012与禁止访问的发送目的一致的情况下,检测为安全性异常。并且,白名单外通信检测部10212,在发送目的地址信息1012不与允许访问的发送目的一致的情况下,检测为安全性异常。进而,IP扫描检测部10213,在根据发送目的IP地址信息存在向网络内部的多数的IP地址的访问尝试的情况下,检测为安全性异常。并且,端口扫描检测部10214,在根据发送目的端口信息存在向网络内部的特定的IP地址的多数的端口的访问尝试的情况下,检测为安全性异常。
在通信数据解析部1022中,脆弱性攻击检测部10221,在有效负载1013中,存在攻击安装在发送目的终端301的软件的脆弱性的模式的情况下,检测为安全性异常。恶意软件检测部10222,在有效负载1013包括示出恶意软件的模式的情况下,检测为安全性异常。认证失败检测部10223,在从特定的终端向需要认证的终端在一定时间内发生多数的认证尝试和失败的反复的情况下,检测为安全性异常。
而且,通信分析部102,将终端通信信息1023发送到终端信息管理部104。
终端信息更新部1042,根据终端通信信息1023、终端信息10410、以及终端管理部设定信息1043的威胁加法分数信息10430,生成终端暂时信息1040。
MAC地址信息10404利用终端通信信息1023的MAC地址信息10232,IP地址信息10405利用终端通信信息1023的IP地址信息10231,更新时刻信息10406利用终端通信信息1023的更新时刻信息10233。
终端信息更新部1042,根据终端信息10410,检索包括MAC地址信息10404和IP地址信息10405的组合。在存在符合的组合的情况下,终端信息更新部1042,将开关识别信息10401设为开关识别信息10412,将连接端口信息10402设为连接端口信息10413,将VLAN信息10403设为VLAN信息10414。终端控制设定部1043a,根据威胁加法分数信息10430,将威胁加法分数10407设为符合与威胁检测内容10234一致的检测内容104302的威胁加法分数104304(步骤S021)。
终端信息更新部1042,根据终端信息10410,检索包括MAC地址信息10404和IP地址信息10405的组合。在没有符合的组合的情况下,终端信息更新部1042,将作为符合终端管理部设定信息1043的威胁加法分数信息10430所示的检测内容104302的“新IP:MAC出现”的威胁加法分数104304的“1000”设为威胁加法分数10407(步骤S021)。在此,开关识别信息10401、连接端口信息10402以及VLAN信息10403仍然未定。
通信分析部102,判断是否检测出威胁(分支B003)。具体而言,脆弱性攻击检测部10221在通信数据1010中存在攻击软件的脆弱性的模式时,恶意软件检测部10222在包括示出恶意软件的模式时,认证失败检测部10223在发生认证失败的反复时,检测为安全性异常。
在没有检测到威胁的情况下(分支B003的“否”时),也就是说,在威胁分数小于分数值Z的情况下,终端信息管理部104,生成终端更新信息10420,根据威胁加法分数10407的值判断下一个步骤。
终端信息管理部104,根据终端暂时信息1040以及终端信息10410,生成终端更新信息10420。此时,开关识别信息10421成为开关识别信息10401,连接端口信息10422成为连接端口信息10402,VLAN信息10423成为VLAN信息10403,MAC地址信息10424成为MAC地址信息10404,IP地址信息10425成为IP地址信息10405,更新时刻信息10426成为更新时刻信息10406。终端信息管理部104,计算威胁加法分数10407与威胁分数10418相加的威胁分数10427。
终端信息管理部104的终端信息更新部1042,判断终端更新信息10420的威胁分数10427是否比0大(分支B030)。在威胁分数10427为0的情况下(分支B030的“否”时),终端信息更新部1042,返回到步骤S001进行下一个通信数据1010的获得。并且,在威胁分数10427比0大的情况下(分支B030的“是”时),终端信息更新部1042,判断威胁分数10427是否小于将威胁级别的判断从灰变更为黑的分数值Z(以下,设为分数值Z)(分支B031)。
在威胁分数10427为分数值Z以上的情况下(分支B031的“否”时),终端信息更新部1042,判断威胁级别为黑,返回到步骤S001进行下一个通信数据1010的获得。在威胁分数10427小于分数值Z的情况下(分支B031的“是”时),终端信息更新部1042,判断威胁级别为灰,对终端信息10410的更新时刻信息10417与终端更新信息10420的更新时刻信息10426进行比较,判断从上次的更新时刻是否经过时间t0(分支B032)。
在此,时间t0是,与终端管理部基准值信息10431的基准值内容104311中定义的值相同的、在通信运转之前需要规定的值。对于时间t0,也可以设为例如5分的一定值,也可以通信运转后按照状况的变化设定某种基准来变更。
并且,也可以代替分支B032的判断,而利用例如通信容量M0、一定的通信数据包数P0、一定的TCP会话数S0判断。在通信容量M0以及通信数据包数P0的情况下,根据通信容量以及通信数据包数,也可以测量从发送源终端302的发送量,也可以测量来自发送源终端302以及发送目的终端301的收发量。
并且,在分支B032的判断中,也可以利用时间t0、通信容量M0、一定的通信数据包数P0以及一定的TCP会话数S0的组合。并且,终端管理部基准值信息10431的基准值104312的值是,一个例子,也可以按照作用设定分别不同的值。
在没有经过时间t0的情况下(分支B032的“否”时),终端信息更新部1042,返回到步骤S001进行下一个通信数据1010的获得。在从上次的更新时刻经过时间t0的情况下(分支B032的“是”时),终端信息更新部1042,将终端更新信息10420的威胁分数10427设为从终端信息10410的威胁分数10427中减去1的值(步骤S033)。
在此,将减去的值设为1,但是,也可以按照检测出的威胁的种类以及终端的作用变更减去的数值,也可以将减去的数值设为威胁分数的一定比例,减去的值不仅限于1。
在检测出威胁的情况下(分支B003的“是”时),也就是说,在威胁分数为分数值Z以上的情况下,开关操作部103的开关信息获得部1032,从智能交换机20,获得最新的开关信息10320(步骤S004)。开关信息获得部1032,将最新的开关信息10320输出到终端信息管理部104。终端信息更新部1042,更新终端更新信息10420的开关识别信息10421和连接端口信息10422和VLAN信息10423。
在此,开关信息获得部1032能够,由例如SNMP(Simple Network ManagementProtocol)等,通过智能交换机20的端口1,获得最新的开关信息10320。而且,开关信息获得部1032也可以,由SNMP以外的专用的通信线等,获得最新的开关信息10320。
终端信息更新部1042,判断终端更新信息10420的VLAN信息10423是否为VLAN1(分支B005)。在VLAN是VLAN2的情况下(分支B005的“否”时),进入分支B006,在VLAN是VLAN1的情况下(分支B005的“是”时),进入分支B007。
终端信息更新部1042,判断终端更新信息10420的威胁分数10427,是否比从VLAN2变更为VLAN1时的威胁分数值Y大(分支B006)。
在威胁分数10427比威胁分数值Y大的情况下(分支B006的“是”时),路径变更部1033不切换连接端口信息10422所属的VLAN而进入步骤S008,在威胁分数10427为威胁分数值Y以下的情况下(分支B006的“否”时),进入步骤S061。
终端信息更新部1042,判断终端更新信息10420的威胁分数10427,是否比从VLAN1切换为VLAN2时的威胁分数值X小(分支B007)。在威胁分数10427比威胁分数值X小的情况下(分支B007的“是”时),进入步骤S008,在威胁分数10427为威胁分数值X以上的情况下(分支B007的“否”时),进入步骤S071。
在此,用于分支B006和分支B007的威胁分数值X以及威胁分数值Y,也可以是相同的值,也可以是不同值。
如图5、图11以及图14示出,根据终端更新信息10420的VLAN信息10423,路径变更部1033,将连接端口信息10422所属的VLAN从VLAN2切换为VLAN1(步骤S061)。步骤S061是,将作为检疫对象的发送源终端302,从检疫类网络恢复为通常类网络的处理,也是从图13B的发送源终端302所属的VLAN2切换为属于图13A的VLAN1的处理。
图13A示出,检测来自发送源终端302的威胁之前的,终端管理部基准值信息10431的威胁分数小于图9的威胁分数值X的状态,或者,从终端管理部基准值信息10431的威胁分数,超过图9的威胁分数值的状态变化为威胁分数值Y以下的状态之后的逻辑的网络。
路径变更部1033能够,例如,由SNMP等,通过智能交换机20的端口1,设定交换机的端口的VLAN。而且,路径变更部1033也可以,利用SNMP以外的专用的通信线等设定。
根据终端更新信息10420的VLAN信息10423,路径变更部1033,将连接端口信息10422所属的VLAN从VLAN1切换为VLAN2(步骤S071)。
步骤S071是,将属于通常类网络的发送源终端302切换为属于检疫类网络的处理,也是从属于图13A的发送源终端302所属的VLAN1切换为属于图13B的VLAN2的处理。
并且,图13B示出,检测来自发送源终端302的威胁之后的,从终端管理部基准值信息10431的威胁分数小于图9的威胁分数值X的状态,变化为威胁分数值X以上的状态,并且,仍然超过终端管理部基准值信息10431的图9的威胁分数值Y的状态的逻辑的网络。
终端信息更新部1042,根据终端更新信息10420,更新终端信息10410(步骤S008)。具体而言,终端信息更新部1042,确认是否开关识别信息10412与开关识别信息10421一致,连接端口信息10413与连接端口信息10422一致,VLAN信息10414与VLAN信息10423一致,MAC地址信息10415与MAC地址信息10424一致,IP地址信息10416与IP地址信息10425一致。在它们的全部一致的情况下,终端信息更新部1042,将具有一致的组合的管理ID的更新时刻信息10417更新为更新时刻信息10426,将威胁分数10418更新为威胁分数10427。另一方面,在并不它们的全部一致的情况下,终端信息更新部1042,分配新的管理ID,将开关识别信息10412设定为开关识别信息10421,将连接端口信息10413设定为连接端口信息10422,将VLAN信息10414设定为VLAN信息10423,将MAC地址信息10415设定为MAC地址信息10424,将IP地址信息10416设定为IP地址信息10425,将更新时刻信息10417设定为更新时刻信息10426,将威胁分数10418设定为威胁分数10427。终端信息更新部1042,在如此更新后,返回到步骤S001进行下一个通信数据1010的获得。图12B示出,图12A的状态的终端信息10410,由图11的终端更新信息10420更新的情况。而且,终端信息更新部1042,将处理返回到步骤S001。
7-1.威胁分数的更新工作
接着,详细说明威胁分数的更新的工作。图15是示出本实施例的更新威胁分数的处理的流程图。图15是示出图14的分支B003的终端更新信息10420的威胁分数10427的更新处理。
如图15等示出,终端信息更新部1042,确认是否开关识别信息10412与开关识别信息10421全部一致。该确认是,由终端信息更新部1042反复进行步骤S102至步骤S106的以下的循环处理进行的(S101)。具体而言,终端信息更新部1042,针对终端信息10410的管理ID的全部确认是否包括终端暂时信息1040的开关识别信息10401、连接端口信息10402、VLAN信息10403、MAC地址信息10404、以及IP地址信息10405的组合。
终端信息更新部1042,判断是否开关识别信息10401与开关识别信息10412一致(步骤S102)。在不一致的情况下(步骤S102的“否”时),示出包括的管理ID不存在,即,终端暂时信息1040没有包括在终端信息10410中。终端信息更新部1042,将威胁加法分数10407设为终端更新信息10420的威胁分数10427(步骤S108)。而且,终端信息更新部1042,结束处理。
在一致的情况下(步骤S102的“是”时),终端信息更新部1042,判断是否连接端口信息10402与连接端口信息10413一致(步骤S103)。在不一致的情况下(步骤S103的“否”时),终端信息更新部1042,进入步骤S108。
在一致的情况下(步骤S103的“是”时),终端信息更新部1042,判断是否VLAN信息10403与VLAN信息10414一致(步骤S104)。在不一致的情况下(步骤S104的“否”时),终端信息更新部1042,进入步骤S108。
在一致的情况下(步骤S104的“是”时),终端信息更新部1042,判断是否MAC地址信息10404与MAC地址信息10415一致(步骤S105)。在不一致的情况下(步骤S105的“否”时),终端信息更新部1042,进入步骤S108。
在一致的情况下(步骤S105的“是”时),终端信息更新部1042,判断是否IP地址信息10405与IP地址信息10416一致(步骤S106)。在不一致的情况下(步骤S106的“否”时),终端信息更新部1042,进入步骤S108。
在一致的情况下(步骤S106的“是”时),终端信息更新部1042,将符合的管理ID的威胁分数10418、与终端暂时信息1040的威胁加法分数10407之和,设为终端更新信息10420的威胁分数10427(步骤S107)。而且,终端信息更新部1042,结束处理。
7-2.终端信息的更新工作
接着,详细说明终端信息10410的更新的工作。图16是示出本实施例的终端信息的更新处理的流程图。图16示出图14的S009的终端信息10410的更新处理。对于与图15同样的处理,附加同一符号而适当地省略其说明。
如图16等示出,终端信息更新部1042,进行反复步骤S102至步骤S106的以下的循环处理(S101)。在步骤S102至步骤S106的处理中,终端信息10410的所有的项目一致的情况下(步骤S106的“是”时),终端信息更新部1042,将符合的管理ID中的图12A的更新时刻信息10417根据更新时刻信息10426更新,将图12A的威胁分数10418根据威胁分数10427更新(步骤S117)。而且,终端信息更新部1042,结束处理。
终端信息更新部1042,在包括的管理ID不存在的情况下(终端信息10410不包括终端暂时信息1040的情况下),追加新的管理ID,登记终端更新信息(步骤S118)。而且,终端信息更新部1042,结束处理。
8.威胁除去部的工作
威胁除去部105,与VLAN1和VLAN2的双方连接。威胁除去部105,从属于VLAN1的发送目的终端301与属于VLAN2的发送源终端302之间的通信中,除去包括威胁的通信数据1010。或者,威胁除去部105具有,从属于VLAN1的发送目的终端301与属于VLAN2的发送源终端302之间的通信中,使为了使包括威胁的通信数据1010成为无害化而废弃通信数据1010的有害的部分、或重写为无害的正常的通信数据1010通过的功能。
威胁除去部105,也可以是进行所谓透明方式的威胁除去部105在通信网络上不作为终端存在的工作的形态,在此情况下,即使切换发送源终端302的LAN的情况下,也能够仍然继续通信。
并且,网络防御装置10,也可以是进行作为VLAN1与VLAN2之间的路由器的工作的形态,在此情况下,在从发送目的终端301向发送源终端302通信时威胁除去部105作为发送源终端302进行工作,在从发送源终端302向发送目的终端301通信时威胁除去部105作为发送目的终端301进行工作即可。具体而言,也可以利用ARP命令。
9.实施例的效果
根据本实施例,经由智能交换机20的通信数据1010的复制由通信分析部102继续监视,从而能够检测威胁。并且,在检测出威胁的情况下,开关操作部能够,将会包括威胁的发送目的终端301所属的通信网络(VLAN2)、与发送源终端302所属的通信网络(VLAN1)逻辑上分开。也就是说,在会包括威胁的发送源终端302所属的VLAN2与发送目的终端301所属的VLAN1的边界,将威胁除去部105逻辑上连接。据此,能够从会包括威胁的发送源终端302发送的通信数据1010中除去威胁。据此,能够不给正常的通信带来坏影响而防止安全性异常的扩散。
并且,为了继续进行发送源终端302所属的通信网络与发送目的终端301所属的通信网络的正常的通信,将检测威胁的通信分析部102与除去威胁的威胁除去部105分离。因此,能够将各个处理部的处理负荷设为最小限度。据此,能够通信分析部102由搜索行动等在达到威胁之前检测威胁后,适用由威胁除去部105的威胁的除去。其结果为,能够更早期对应安全性的威胁。
因此,能够实现工厂等的控制系统网络所需要的终端的无停止运转和通信延迟的最小化。并且,监视通信网络内的威胁,或者,抑制威胁的扩散,从而能够提高安全级别。
10.实施例1的其他的变形例
根据所述实施例说明了本公开,但是,本公开,不仅限于所述实施例1,如下的实施例1的变形例1、实施例1的变形例2也包含在本公开中。
说明实施例1的变形例1(以下,本变形例)。对于网络的全体结构,在图1中,构成为网络防御装置10与一个智能交换机20连接,但是,也可以构成为连接多个智能交换机。图17A是示出本变形例的网络防御装置10所属的通信网络的全体结构的图。
如图17A示出,通信网络,除了网络防御装置10、智能交换机20、发送目的终端301、发送源终端302以外,还智能交换机21、发送目的终端303、发送源终端304由LAN电缆连接而构成。
在该通信网络中,智能交换机20的端口3与智能交换机21的端口0经由LAN电缆连接。并且,在该通信网络中,网络防御装置10经由LAN电缆与智能交换机21的端口1以及端口3分别连接。
智能交换机21,在发送源终端304与发送目的终端303的通信运转开始时,将智能交换机21的端口0、端口4以及端口7设定为VLAN1,将端口1设定为VLAN2,将与网络防御装置10连接的端口3设定为镜像功能。通信数据获得部101,也从智能交换机21的端口3获得通信数据1010。在网络防御装置10与智能交换机21的端口1之间,通信例如智能交换机21的控制用命令。
在发送源终端304与发送目的终端303由通常类网络进行通信的情况下,与所述的图13A同样。在由通信分析部102,从通信数据1010检测出威胁的情况下,如图17B,由检疫类网络进行通信。图17B是示出,在本变形例中,发送源终端与发送目的终端由检疫类网络进行通信时的图。开关操作部103,将会包括威胁的发送目的终端301所属的通信网络(VLAN2)、与发送源终端302所属的通信网络(VLAN1)逻辑上分开。
具体而言,开关操作部103切换为,发送源终端304经由智能交换机21的端口7、端口1与网络防御装置10的威胁除去部105连接的VLAN2,以及,网络防御装置10的威胁除去部105经由智能交换机20端口2、端口3、智能交换机21的端口0、端口4与发送目的终端303连接的VLAN1。如此,发送源终端304,经由智能交换机21的端口7、端口1、网络防御装置10、智能交换机20的端口2、端口3、智能交换机21的端口0、端口4与发送目的终端303连接。
并且,如图17C,在发送源终端304与发送目的终端301由通常类网络通信进行通信的情况下,发送源终端304,经由智能交换机21的端口7、端口0、智能交换机20的端口3、端口4与发送目的终端301连接。图17C是示出,在实施例1的变形例1中,发送源终端与发送目的终端由通常类网络进行通信时的图。图中没有示出,但是,在发送源终端304与发送目的终端301由检疫类网络进行通信的情况下,开关操作部103切换为,发送源终端304经由智能交换机21的端口7、端口0、智能交换机20的端口3、端口2与网络防御装置10的威胁除去部105连接的VLAN2,以及,网络防御装置10的威胁除去部105经由智能交换机20的端口0、端口4与发送目的终端301连接的VLAN1。
采用这样的结构,据此,本变形例的网络防御装置10,能够实现构成通信网络的终端的无停止运转,并且,能够实现发送源终端302、304与发送目的终端301、303之间那样的多个终端间的通信延迟的最小化,并且能够提高安全级别。
图17B那样的粗实线的路径是第二通信路径的一个例子,图17C那样的粗实线的路径是第一通信路径的一个例子。
说明实施例1的变形例2(以下,本变形例)。通信网络的全体结构也可以是,不同于网络防御装置10与多个智能交换机连接的图17A的结构。图18是示出本实施例的网络防御装置10所属的通信网络的全体结构的图。
如图18示出,通信网络,除了网络防御装置10、智能交换机20、发送目的终端301、发送源终端302以外,还智能交换机21、发送目的终端303、发送源终端304由LAN电缆连接而构成。
在该通信网络中,智能交换机20的端口3与智能交换机21的端口0经由LAN电缆连接。也可以根据需要,将不与智能交换机21连接的端口设定为镜像功能,与网络防御装置10连接。
智能交换机21,在发送源终端304与发送目的终端303的通信运转开始时,智能交换机20的端口3与智能交换机21的端口0设定为中继线,将智能交换机21的端口4和端口7设定为VLAN1。
在发送源终端304与发送目的终端303由通常类网络进行通信的情况下,与所述的图13A同样。在由检疫类网络进行通信的情况下,开关操作部103切换为,发送源终端304经由智能交换机21的端口7、端口0与网络防御装置10的威胁除去部105连接的VLAN2(粗实线所示),以及,网络防御装置10的威胁除去部105经由智能交换机20的端口1、端口3、智能交换机21的端口0、端口4与发送目的终端303连接的VLAN1。图18那样的路径成为第一通信路径的一个例子。
采用这样的结构,据此,网络防御装置10能够,防御与多个智能交换机(本变形例中的智能交换机20以及智能交换机21)连接的通信网络。
(实施例2)
[结构]
对于本实施例的其他的结构,在没有特别标明的情况下,与实施例1同样,对于同一结构,附加同一符号而省略说明详细结构。
21.通信网络的全体结构
网络防御装置10,除了具备通信数据获得部101、通信分析部102、开关操作部103、终端信息管理部104、以及威胁除去部105以外,还具备数据包重写部106。
智能交换机20的端口0具备,能够输出通过智能交换机20的通信数据1010的复制的镜像功能。端口1具备,向通信数据1010附加用于区别VLAN组的标签信息的标签端口功能。端口2至7是,进行与一般的交换集线器的端口同样的工作的通常端口。端口1是,第六端口的一个例子。
并且,网络防御装置10,与智能交换机20的端口0、端口1连接。发送目的终端301与端口4连接,发送源终端302与端口7连接,发送目的终端303与端口5连接,发送源终端304与端口6连接。端口7是,第五端口的一个例子。端口4是,第七端口的一个例子。
并且,从发送源终端302、智能交换机20的端口4、端口7、以及发送目的终端301,属于VLAN1a。从发送源终端304、端口5、端口6、以及发送目的终端303,属于与VLAN1a不同的VLAN1b。发送源终端302、304以及发送目的终端301、303,与同一智能交换机20连接,但是,在不同VLAN间、即在VLAN1a与VLAN1b之间不能进行通信。
并且,连接智能交换机20的端口1与网络防御装置10的通信路是,中继线,区别多个VLAN组、例如VLAN1a和VLAN1b,收发通信数据1010。在通信数据1010,插入确定VLAN组的标签信息。而且,在本实施例中,智能交换机20的端口2不与网络防御装置10连接。
智能交换机20,若作为通常端口的端口4至7接收通信数据1010,在通信数据1010包括的地址的发送目的终端301,不连接于与端口所属的VLAN(以后,称为所属VLAN)同一端口的情况下,将示出发送目的终端301的所属VLAN的标签信息附加到通信数据1010,从作为标签端口的端口1发送该通信数据1010。
并且,智能交换机20,若作为标签端口的端口1接收通信数据1010,则参照通信数据1010包括的示出所属VLAN的标签信息,选择属于与标签信息对应的VLAN组的通常端口。智能交换机20,从通信数据1010除去标签信息,经由与发送目的终端301连接的端口,向发送目的终端301发送通信数据1010。
22.网络防御装置的结构
接着,详细说明网络防御装置10。
开关操作部103,在切换端口的VLAN时,例如,从VLAN1a或VLAN1b切换为VLAN2a或VLAN2b(图25A、25B中后述),或者,从VLAN2a或VLAN2b切换为VLAN1a或VLAN1b。在此,VLAN1a和VLAN1b是,通常类网络,VLAN2a和VLAN2b是,检疫类网络。例如,发送目的终端301属于VLAN1a,发送源终端302属于VLAN2a,发送目的终端303属于VLAN1b,发送源终端304属于VLAN2b。
威胁除去部105具备,接收属于VLAN2a或VLAN2b的终端所涉及的通信数据1010,从通信数据1010除去威胁后向本来的发送目的终端301或发送目的终端303输出的功能。
数据包重写部106,重写通过威胁除去部105的威胁除去后的通信数据包括的通信网络的VLAN信息。具体而言,数据包重写部106,将从端口1输入并通过威胁除去部105的威胁除去后的通信数据的所属VLAN信息1011a,从VLAN1a或VLAN1b切换(变更)为VLAN2a或VLAN2b,或者从VLAN2a或VLAN2b切换(变更)为VLAN1a或VLAN1b。如此重写后,数据包重写部106,再次向智能交换机20的端口1,发送重写后的通信数据。数据包重写部106是,重写部的一个例子。
22-1.通信数据的结构
图20是示出本实施例的通信数据1010的结构的图。通信数据1010至少包括,所属VLAN信息1011a、发送源地址信息1011、发送目的地址信息1012以及有效负载1013。
所属VLAN信息1011a是,例如IEEE802.1Q所规定的标签信息,插入到Ethernet帧,用于VLAN的识别。
23.终端通信信息的结构
接着,详细说明终端通信信息1023。图21是示出本实施例的终端通信信息1023的结构的图。
如图21示出,终端通信信息1023,由终端号10230、IP地址信息10231、MAC地址信息10232、VLAN信息10232a、更新时刻信息10233以及威胁检测内容10234构成。
将从终端地址确认部1020获得的所属VLAN信息1011a设为VLAN信息10232a。将获得IP地址信息10231、发送源MAC地址信息10232、以及VLAN信息10232a的时刻,设为更新时刻信息10233。
24.开关初始设定信息的结构
接着,详细说明开关初始设定信息1031。图22是示出本实施例的开关初始设定信息1031的结构的图。
如图22示出,开关初始设定信息1031,由开关识别信息10311与开关控制用IP地址10312对应的开关识别信息表10310、以及VLAN信息10314与VLAN组信息10314a与VLAN网络种类10315分别对应的VLAN识别信息表10313构成。
VLAN识别信息表10313中定义的VLAN信息10314,针对作为智能交换机20的端口1的中继线,设定为成为通信数据1010的输出对象的VLAN。
VLAN组信息10314a是示出,分别分配到VLAN1a、VLAN1b、VLAN2a、以及VLAN2b的所属的组的信息。VLAN组信息10314a,与预先分配到网络的VLAN信息10314分别对应。
而且,VLAN组信息10314a也可以是,由通信分析部102,检测为分别不同的检测内容的信息。并且,通信分析部102也可以被设定为,仅在特定的VLAN组信息10314a中检测威胁。
终端管理部基准值信息10431包括,基准值内容104311以及基准值104312。作为基准值内容104311包括,“减去威胁分数为止的时间t0”、“VLAN网络种类从通常类网络变更为检疫类网络时的威胁分数值X”、“VLAN网络种类从检疫类网络变更为通常类网络时的威胁分数值Y”、以及“威胁级别的判断从灰变更为黑的分数值Z”。
25.终端信息的结构
接着,详细说明终端信息10410。图24A以及图24B是示出本实施例的终端信息10410的结构的图。图24A的终端信息10410示出,从发送源终端302检测威胁之前的信息,图24B的终端信息10410示出,从发送源终端302检测威胁之后的信息。
26.威胁检测前和威胁检测后的逻辑的网络的结构
接着,详细说明检测来自发送源终端302的威胁之前和之后的网络全体结构。图25A以及图25B是示出本实施例的网络全体结构的逻辑的网络结构的图。图25A示出检测来自发送源终端302的威胁之前的逻辑的网络结构,图25B示出检测来自发送源终端302的威胁之后的逻辑的网络结构。如图25A以及图25B示出,威胁除去部105以及数据包重写部106,经由设定在中继线TRUNK1的智能交换机20的端口1连接。而且,在图25A以及图25B中,为了便于说明,而省略连接智能交换机20的端口0与网络防御装置10的LAN电缆。
图25A示出,检测来自发送源终端302或发送源终端304的威胁之前的、终端管理部基准值信息10431的威胁分数低于图9的威胁分数值X的状态、或者从终端管理部基准值信息10431的威胁分数超过图9的威胁分数值Y的状态变化为威胁分数值Y以下的状态之后的逻辑的网络。发送目的终端301、端口4、端口7、以及发送源终端302,都包括在VLAN1a中,发送目的终端303、端口5、端口6、以及发送源终端304,都包括在VLAN1b中,不经由威胁除去部105以及数据包重写部106而进行通信。
发送目的终端301,与VLAN1a仍然连接。开关操作部103将与智能交换机20连接的端口7从VLAN1a切换为VLAN2a,从而发送源终端302,与VLAN2a连接。发送目的终端301以及发送源终端302,经由威胁除去部105以及数据包重写部106进行通信。
并且,发送目的终端303,与VLAN1b仍然连接。发送源终端304,将与智能交换机20连接的端口6从VLAN1b切换为VLAN2b,从而发送源终端304,与VLAN2b连接。发送目的终端303以及发送源终端304,经由威胁除去部105以及数据包重写部106进行通信。
图25A那样的粗实线的路径、以及粗虚线的路径是,第一通信路径的一个例子。
如图20、以及图25B示出,若端口的VLAN设定被切换,智能交换机20,向从端口7、或端口6输入的通信数据1010插入(附加标签)所属VLAN信息1011a,从端口1经由中继线TRUNK1输出到网络防御装置10。
网络防御装置10的威胁除去部105,从发送源终端302以及发送源终端304所涉及的通信数据1010除去威胁。在除去威胁之后,数据包重写部106,针对威胁除去后的通信数据的所属VLAN信息1011a,参照VLAN识别信息表10313,进行从VLAN1a向VLAN2a或从VLAN2a向VLAN1a、或者从VLAN1b向VLAN2b或从VLAN2b向VLAN1b等的、从通常类网络向检疫类网络、或者从检疫类网络向通常类网络的VLAN信息的重写。
重写VLAN信息之后的通信数据,通过中继线TRUNK1返回到智能交换机20的端口1。智能交换机20,参照重写的通信数据的所属VLAN信息1011a决定重写的通信数据的发送目的端口,并且,从重写的通信数据删除所属VLAN信息1011a。智能交换机20,将删除了所属VLAN信息1011a的通信数据从发送目的端口发送。
图25B那样的粗实线的路径、以及粗虚线的路径是,第二通信路径的一个例子。
如上所述,即使不变更终端侧的处理,发送源终端302与发送目的终端301也能够进行正常的通信,发送源终端304与发送目的终端303也能够进行正常的通信。
而且,在本实施例中,说明了同时检测来自发送源终端302以及发送源终端304的威胁的情况,但是,不仅限于此。例如,也可以在检测由发送源终端302或发送源终端304的任意一方的威胁的情况下,变更逻辑的网络结构。
27.网络防御装置的工作
接着,详细说明网络防御装置10的工作。图26是示出本实施例的网络防御装置的工作的流程图。
图26的工作与实施例1的图14同样,对于与图14同样的处理,附加同一符号而适当地省略其说明。
如图26示出,网络防御装置10,获得通信数据1010(步骤S001)。分析通信分析部102,通信数据1010(步骤S002)。终端信息管理部104,计算威胁分数10427(步骤S021)。通信分析部102,判断是否检测威胁(分支B003)。
在检测出威胁的情况下(分支B003的“是”时),开关信息获得部1032,从智能交换机20,获得最新的开关信息10320(步骤S004)。而且,处理,进入分支B105。
在没有检测到威胁的情况下(分支B003的“否”时),终端信息管理部104,判断威胁分数10427是否比0大(分支B030)。在威胁分数10427为0的情况下(分支B030的“否”时),返回到步骤S001。并且,在威胁分数10427比0大的情况下(分支B030的“是”时),终端信息更新部1042,判断威胁分数10427,是否小于将威胁级别的判断从灰变更为黑的分数值Z(以下,设为分数值Z)(分支B031)。
若威胁分数10427为分数值Z以上(分支B031的“否”时),返回到步骤S001。若威胁分数10427小于分数值Z(分支B031的“是”时),终端信息更新部1042,判断从上次的更新时刻是否经过时间t0(分支B032)。
在没有经过时间t0的情况下(分支B032的“否”时),返回到步骤S001。在从上次的更新时刻经过时间t0的情况下(分支B032的“是”时),终端信息更新部1042,设为从威胁分数10427中减去1的值(步骤S033)。
终端信息更新部1042,根据VLAN信息10423和VLAN识别信息表10313,判断VLAN网络种类是否是通常类网络(分支B105)。
在检疫类网络的情况下(分支B105的“否”时),进入分支B006,在VLAN网络种类为通常类网络的情况下(分支B105的“是”时),进入分支B007。
终端信息更新部1042,判断威胁分数10427是否比从检疫类网络切换为通常类网络时的威胁分数值Y大(分支B006)。
在威胁分数10427比威胁分数值Y大的情况下(分支B006的“是”时),路径变更部1033不切换连接端口信息10422所属的VLAN而进入步骤S008,在威胁分数10427为威胁分数值Y以下的情况下(分支B006的“否”时),进入步骤S161。
终端信息更新部1042,判断威胁分数10427是否比从通常类网络切换为检疫类网络时的威胁分数值X小(分支B007)。在威胁分数10427比威胁分数值X小的情况下(分支B007的“是”时),进入步骤S008,在威胁分数10427为威胁分数值X以上的情况下(分支B007的“否”时),进入步骤S171。
从终端更新信息10420的VLAN信息10423,根据与VLAN识别信息表10313的VLAN组信息10314a对应的VLAN信息10314,数据包重写部106,将连接端口信息10422所属的VLAN信息重写为通常类网络的VLAN信息(步骤S161)。
步骤S161,将作为检疫对象的发送源终端302、304,从检疫类网络恢复为通常类网络的处理。步骤S161是,将图25B的发送源终端302连接的智能交换机20的端口所属的VLAN信息,从属于VLAN2a重写为属于图25A的VLAN1a的处理。或者,步骤S161是,将图25B的发送源终端304连接的智能交换机20的端口所属的VLAN信息从VLAN2b重写为如图25A属于VLAN1b的处理。
从终端更新信息10420的VLAN信息10423,根据与VLAN识别信息表10313的VLAN组信息10314a对应的VLAN信息10314,数据包重写部106,将连接端口信息10422所属的VLAN重写为检疫类网络的VLAN信息(步骤S171)。
步骤S171是,将属于通常类网络的发送源终端304重写为,属于检疫类网络的处理,也是将图25A的与发送源终端302连接的智能交换机20的端口所属的VLAN信息从VLAN1a重写为属于图25B的VLAN2a的处理。或者,步骤S171是,将属于图25B的与发送源终端304连接的智能交换机的端口所属的VLAN信息从VLAN1b重写为如图25B属于VLAN2b的处理。
终端信息更新部1042,更新终端信息10410(步骤S008)。而且,终端信息更新部1042,将处理返回到步骤S001。
28.威胁除去部的工作
威胁除去部105,经由中继线连接。威胁除去部105具有,从在属于VLAN1a的发送目的终端301与属于VLAN2a的发送源终端302之间、以及在属于VLAN1b的发送目的终端303与属于VLAN2b的发送源终端304之间进行的通信中,除去成为威胁的通信数据1010、使正常的通信数据1010通过的功能。
威胁除去部105也可以是,进行所谓透明方式的威胁除去部105在通信网络上不作为终端存在的工作的形态。在此情况下,即使在切换发送源终端302以及发送源终端304的VLAN的情况下也能够仍然继续进行通信。
并且,威胁除去部105也可以是,进行作为通常类网络与检疫类网络之间的路由器的工作的形态。在此情况下,从发送目的终端301向发送源终端302通信时威胁除去部105作为发送源终端302工作,从发送源终端302向发送目的终端301通信时威胁除去部105作为发送目的终端301工作,或者,从发送目的终端303向发送源终端304通信时威胁除去部105作为发送源终端304工作,从发送源终端304向发送目的终端303通信时威胁除去部105作为发送目的终端303工作即可。具体而言,也可以是ARP命令。
29.数据包重写部的工作
接着,详细说明数据包重写部106的结构。图27是示出本实施例的数据包重写部106的结构的图。
如图27示出,数据包重写部106,被设置在智能交换机20的端口1的中继线TRUNK1与威胁除去部105之间,具有重写由威胁除去部105除去威胁后的通信数据的VLAN所属信息的功能。
向威胁除去部105输入的数据包的通信数据1010,所属VLAN信息在通常类网络的VLAN信息和检疫类网络的VLAN信息之间不同。因此,若仅从威胁除去部105向智能交换机20发送威胁除去后的通信数据,则发送目的终端301、303不与所属VLAN信息所示的端口连接,因此,在智能交换机20与发送目的终端301、303之间的通信不成立。于是,数据包重写部106,针对输入到威胁除去部105的数据包,参照VLAN识别信息表10313,相互变换为同一VLAN组信息包括的VLAN信息。
据此,在从发送源终端302向发送目的终端301通信时,通过威胁除去部105的威胁除去后的通信数据,所属VLAN信息由数据包重写部106从VLAN2a重写为VLAN1a。而且,智能交换机20的端口1接收的重写后的通信数据的发送目的,成为与发送目的终端301连接的VLAN1a的端口4。
并且,在从发送目的终端301向发送源终端302通信时,通过威胁除去部105的威胁除去后的通信数据,所属VLAN信息由数据包重写部106从VLAN1a重写为VLAN2a。而且,智能交换机20的端口1重写后的通信数据的发送目的,成为与发送源终端302连接的VLAN2a的端口7。
据此,在发送源终端302与发送目的终端301之间维持通信。
并且,在从发送源终端304向发送目的终端303通信时,通过威胁除去部105的威胁除去后的通信数据,所属VLAN信息由数据包重写部106从VLAN2b重写为VLAN1b。而且,智能交换机20的端口1接收的重写后的通信数据的发送目的,成为与发送目的终端303连接的VLAN1a的端口5。
并且,在从发送目的终端303向发送源终端304通信时,通过威胁除去部105的威胁除去后的通信数据的所属VLAN信息由数据包重写部106从VLAN1b重写为VLAN2b,智能交换机20的端口1接收的重写后的通信数据的发送目的,成为与发送源终端304连接的VLAN2b的端口6。
据此,在发送源终端304与发送目的终端303之间维持通信。
30.实施例2的其他的变形例
根据所述实施例说明了本公开,但是,本公开,不仅限于所述实施例,如下的实施例2的变形例1、实施例2的变形例2的情况也包含在本公开中。
说明实施例2的变形例1(以下,本变形例)。如图28示出,智能交换机20的端口3与智能交换机21的端口0,由中继线TRUNK2连接。网络防御装置10,经由中继线TRUNK1与智能交换机20的端口1连接。
智能交换机21,在发送源终端304与发送目的终端303的通信运转开始时,将智能交换机21的端口4和端口7设定为VLAN1a。并且,也可以设定为经由LAN电缆连接网络防御装置10与智能交换机21的任意的端口的镜像功能。此时,通信数据获得部101,也从智能交换机21的任意的端口获得通信数据1010。
在发送源终端304与发送目的终端303由通常类网络进行通信的情况下,与所述图13A同样。并且,在发送源终端304与发送目的终端303由检疫类网络进行通信的情况下,与所述图17B同样。图28那样的粗实线的路径是,第二通信路径的一个例子。
采用这样的结构,据此,网络防御装置10能够,防御与智能交换机20以及智能交换机21连接的通信网络。
说明实施例2的变形例2(以下,本变形例)。对于网络的全体结构,在图28中,构成为一个网络防御装置10与一个智能交换机20连接,但是,也可以是分散网络防御装置10的功能,具备多个网络防御装置的结构,还可以是如图29连接多个智能交换机20的结构。图29是示出本实施例的网络防御装置10、11所属的通信网络的全体结构的图。
如图29示出,通信网络构成为,除了网络防御装置10、11、智能交换机20、发送目的终端301、发送源终端302以外,还智能交换机21、发送目的终端303、发送源终端304由LAN电缆连接。在智能交换机21中,在端口3具备能够输出通过智能交换机21的通信数据1010的复制的镜像功能。并且,在智能交换机21中,构成为端口1和网络防御装置11由LAN电缆连接。在网络防御装置10与智能交换机21的端口1之间,通信例如智能交换机21的控制用命令。
在该通信网络中,与智能交换机21连接的网络防御装置11,由通信数据获得部111、通信分析部112、终端信息管理部114构成。
在发送源终端304与发送目的终端303由通常类网络进行通信的情况下,与所述图13A同样。在由检疫类网络进行通信的情况下,开关操作部103切换为,发送源终端304经由智能交换机21的端口7、端口0、智能交换机20的端口3、端口1与网络防御装置10的威胁除去部105连接的VLAN2b,以及,网络防御装置10的威胁除去部105经由智能交换机20的端口1、端口3、智能交换机21的端口0、端口4与发送目的终端303连接的VLAN1b。此时,数据包重写部106,通过威胁除去部105的通信数据1010的所属VLAN信息,由数据包重写部106从VLAN1b重写为VLAN2b。而且,智能交换机21的端口1被设定为镜像功能。图29那样的粗实线的路径是,第二通信路径的一个例子。
通过采用这样的结构,在由多个智能交换机20、21构成的网络中分散地执行威胁检测,从而针对通过各个智能交换机20、21的通信数据1010,不会集中于一台网络防御装置来进行威胁检测,因此,能够减轻网络的负载。
31.其他的变形例
(1)在所述实施例1、2以及实施例1、2的变形例1、2中,图中不示出,但是,在网络防御装置10中也可以,从由终端信息管理部104管理的所有的信息中获得终端信息10410等的任意的信息来适当地显示。并且,网络防御装置10也可以具备,利用者用于根据需要更新信息来进行设定的输入部。
例如,对于开关初始设定信息1031以及终端管理部设定信息1043,需要在通信运转之前一旦设定,但是,也可以设定为利用显示部和输入部能够确认,也可以设定为由网络防御装置10在通信运转中能够变更。
并且,网络防御装置10也可以具备,利用者进行用于提高特定的终端的威胁分数的输入,来能够进行切换该终端连接的端口的VLAN的设定的显示部和输入部。
并且,此时,网络防御装置10也可以,将终端信息10410的威胁分数10418按照时间序列显示为图表,进行终端的威胁的可见化,作为设定变更的基准利用。
(2)在所述实施例1、2以及实施例1、2的变形例1、2中示出,示出图1的网络防御装置10是一个装置,但是,也可以是与智能交换机20形成为一体的装置。并且,不需要网络防御装置10的所有的功能仅由单一机器实现,也可以利用多个机器构成网络防御装置10。并且,智能交换机20,也可以利用例如SDN开关,也可以利用OpenFlow那样的控制用通信协议。
(3)在所述实施例1、2以及实施例1、2的变形例1、2中,各个功能也可以构成为计算机程序,并且,也可以构成为所谓ASIC(Application Specific Integrated Circuit)的专用的LSI(Large Scale Integrated-circuit:集成电路),并且,也可以利用PLD(Programmable Logic Device)以及FPGA(Field Programmable Gate Array)那样的能够变更功能的LSI来构成,并且,也可以组合包括它们的多个方法来构成。并且,也可以将网络防御装置10包括的多个功能或所有的功能构成为单一的所谓SoC(System on a Chip:系统LSI)的LSI。并且,若存在实现与这样的计算机程序、LSI、FPGA、SoC同等的功能的技术,则也可以利用它们来构成。
(4)在所述实施例1、2以及实施例1、2的变形例1、2中,对于图3的通信流程信息解析部1021或通信数据解析部1022的一部分或全部,也可以利用出售的IDS。
(5)在所述实施例1、2以及实施例1、2的变形例1、2中,关于图3的通信分析部102的、通信流程信息解析部1021包括的检测部10211至10214、以及通信数据解析部1022包括的检测部10221至10223,也可以仅利用它们的一部分,并且,也可以利用它们以外的分析部。
例如,能够考虑以分数评价利用机器学习的模式解析结果来判断的方法、从通信分析部102包括的所有的方法中选择任意的方法来判断相关的方法、判断与过去的通信的分析结果的方法、提出过去的通信的模式以分数评价与它偏离的程度来判断的方法等。
(6)在所述实施例1、2以及实施例1、2的变形例1、2中,对于威胁除去部105,也可以利用一般的出售的IPS、FW、UTM等。
(7)在所述实施例1、2以及实施例1、2的变形例1、2中,威胁除去部105,也可以由IPS那样的所谓签名方式的方法仅除去成为威胁的通信数据1010,以白名单准备最小限度需要通过的通信信息,除去不与白名单一致的通信数据的全部。
(8)在所述实施例1、2以及实施例1、2的变形例1、2中,将IP地址记载为固定,但是,也可以利用例如DHCP(Dynamic Host Configuration Protocol)。
(9)在所述实施例1、2以及实施例1、2的变形例1、2中,威胁除去部105,除去通信数据1010包括的威胁,但是,也可以除去通信数据本身。在此情况下,也可以向发送目的终端,不发送通信数据。
如上所述,对于一个或多个形态涉及的网络防御装置以及网络防御系统,根据实施例1、2以及实施例1、2的变形例1、2进行了说明,但是,本公开,不仅限于该实施例1、2以及实施例1、2的变形例1、2。只要不脱离本公开的宗旨,对本实施例1、2以及实施例1、2的变形例1、2实施本领域技术人员想到的各种变形而得到的形态,以及组合不同实施例的构成要素来构筑的形态,也可以包含在一个或多个形态的范围内。
产业上的可利用性
本公开,能够从子网内的终端间的通信中检测威胁、或威胁的可能性,除去具有威胁的通信数据,进行分离了威胁的检测和威胁的除去的处理,从而能够实现更早期的检测以及更可靠的终端的隔离。并且,能够实现通信以及控制的延迟的最小化,设施、工厂等的控制系统的误工作风险的最小化,并且,能够提高子网内的安全级别。
Claims (16)
1.一种网络防御装置,
所述网络防御装置,具备:
通信数据获得部,具备多个LAN的端口,将在进行通信网络间的连接的交换机中流动的、至少包括发送源终端的信息和发送目的终端的信息的通信数据,以混杂模式经由所述交换机获得;
威胁检测部,检测所述通信数据的威胁;
威胁除去部;以及
路径变更部,在由所述威胁检测部检测出威胁的情况下,对所述交换机进行操作,以将第一通信路径变更为第二通信路径,所述第一通信路径是不经由所述威胁除去部而连接所述发送源终端与所述发送目的终端的路径,所述第二通信路径是经由所述威胁除去部连接所述发送源终端与所述发送目的终端、且与所述第一通信路径不同的路径,
所述威胁除去部,在所述路径变更部变更通信路径之后,除去所述通信数据的威胁,
所述交换机具有,与所述发送源终端连接的第一LAN的端口、与所述威胁检测部连接的第二LAN的端口及第三LAN的端口、以及与所述发送目的终端连接的第四LAN的端口,
在所述威胁检测部没有检测到威胁的情况下,所述路径变更部,将从与所述第一LAN的端口连接的所述发送源终端、到与所述第四LAN的端口连接的所述发送目的终端为止的所述第一通信路径,设定为第一VLAN,
在所述威胁检测部检测出威胁的情况下,所述路径变更部,
将从与所述第一LAN的端口连接的所述发送源终端、到与所述第二LAN的端口连接的所述威胁除去部为止的、所述第二通信路径中包括的一部分的路径,设定为与所述第一VLAN不同的第二VLAN,
将从与所述第三LAN的端口连接的所述威胁除去部、到与所述第四LAN的端口连接的所述发送目的终端为止的、所述第二通信路径中包括的一部分的路径,设定为所述第一VLAN。
2.如权利要求1所述的网络防御装置,
所述第一VLAN是,不经由所述威胁除去部的通常类网络,
所述第二VLAN是,由所述威胁除去部除去所述通信数据的威胁的检疫类网络,
在所述威胁检测部检测出威胁的情况下,所述路径变更部,将所述第一VLAN的一部分从所述通常类网络变更为检疫类网络。
3.如权利要求2所述的网络防御装置,
在所述威胁除去部中,除去所述通信数据的威胁的情况下,所述路径变更部,将从所述通常类网络变更后的所述检疫类网络,恢复为所述通常类网络。
4.如权利要求1所述的网络防御装置,
所述通信数据获得部,获得所述通信数据的复制,
所述威胁检测部,以混杂模式监视所述通信数据的复制。
5.如权利要求1所述的网络防御装置,
所述威胁除去部,从检测出威胁的所述通信数据中,除去包括威胁的无用的数据。
6.如权利要求1所述的网络防御装置,
所述威胁检测部,按照检测出的威胁内容,对检测出威胁的发送源终端赋予分数,
所述路径变更部,在由所述威胁检测部赋予的所述分数超过第一值的情况下,使所述交换机变更通信路径,以使赋予了所述分数的该发送源终端所涉及的通信数据经由所述威胁除去部。
7.如权利要求6所述的网络防御装置,
所述威胁检测部,针对赋予的所述分数,在经过规定时间后,减去所述分数的规定值,
在检测出的威胁的所述分数低于第二值的情况下,所述路径变更部,使所述交换机变更通信路径,以使所述发送源终端与所述发送目的终端的连接不经由所述威胁除去部。
8.如权利要求7所述的网络防御装置,
所述威胁检测部,在检测出的威胁的所述分数超过比所述第一值大的第三值的情况下,即使经过所述规定时间也不减去所述分数。
9.一种网络防御装置,
所述网络防御装置,具备:
通信数据获得部,具备多个LAN的端口,将在进行通信网络间的连接的交换机中流动的、至少包括发送源终端的信息和发送目的终端的信息的通信数据,以混杂模式经由所述交换机获得;
威胁检测部,检测所述通信数据的威胁;
威胁除去部;以及
路径变更部,在由所述威胁检测部检测出威胁的情况下,对所述交换机进行操作,以将第一通信路径变更为第二通信路径,所述第一通信路径是不经由所述威胁除去部而连接所述发送源终端与所述发送目的终端的路径,所述第二通信路径是经由所述威胁除去部连接所述发送源终端与所述发送目的终端、且与所述第一通信路径不同的路径,
所述威胁除去部,在所述路径变更部变更通信路径之后,除去所述通信数据的威胁,
所述网络防御装置还具备重写部,
所述重写部,对通过所述威胁除去部的所述通信数据中包括的通信网络的VLAN信息进行重写,
所述交换机具有,与所述发送源终端连接的第五LAN的端口、与所述威胁除去部连接的第六LAN的端口、以及与所述发送目的终端连接的第七LAN的端口,
在所述威胁检测部没有检测到威胁的情况下,所述路径变更部,将与所述第五LAN的端口连接的所述发送源终端、以及与所述第七LAN的端口连接的所述发送目的终端,设定到第一VLAN,
在所述威胁检测部检测出威胁的情况下,
所述路径变更部,将所述第二通信路径中包括的、与所述第五LAN的端口连接的所述发送源终端,设定到第二VLAN,将与所述第七LAN的端口连接的所述发送目的终端,设定到所述第一VLAN,
所述重写部,
经由所述第六LAN的端口,将示出所述发送源终端所属的所述第二VLAN的VLAN信息重写为示出所述发送目的终端所属的所述第一VLAN的VLAN信息,将包括重写后的VLAN信息的通信数据,输出到所述交换机。
10.如权利要求9所述的网络防御装置,
所述通信数据获得部,获得所述通信数据的复制,
所述威胁检测部,以混杂模式监视所述通信数据的复制。
11.如权利要求9所述的网络防御装置,
所述威胁除去部,从检测出威胁的所述通信数据中,除去包括威胁的无用的数据。
12.如权利要求9所述的网络防御装置,
所述威胁检测部,按照检测出的威胁内容,对检测出威胁的发送源终端赋予分数,
所述路径变更部,在由所述威胁检测部赋予的所述分数超过第一值的情况下,使所述交换机变更通信路径,以使赋予了所述分数的该发送源终端所涉及的通信数据经由所述威胁除去部。
13.如权利要求12所述的网络防御装置,
所述威胁检测部,针对赋予的所述分数,在经过规定时间后,减去所述分数的规定值,
在检测出的威胁的所述分数低于第二值的情况下,所述路径变更部,使所述交换机变更通信路径,以使所述发送源终端与所述发送目的终端的连接不经由所述威胁除去部。
14.如权利要求13所述的网络防御装置,
所述威胁检测部,在检测出的威胁的所述分数超过比所述第一值大的第三值的情况下,即使经过所述规定时间也不减去所述分数。
15.一种网络防御系统,
所述网络防御系统,具备:
通信数据获得部,具备多个LAN的端口,将在进行通信网络间的连接的交换机中流动的、至少包括发送源终端的信息和发送目的终端的信息的通信数据,以混杂模式经由所述交换机获得;
威胁检测部,检测所述通信数据的威胁;
威胁除去部;以及
路径变更部,在由所述威胁检测部检测出威胁的情况下,对所述交换机进行操作,以将第一通信路径变更为第二通信路径,所述第一通信路径是连接所述发送源终端与所述发送目的终端的路径,所述第二通信路径是经由所述威胁除去部连接所述发送源终端与所述发送目的终端、且与所述第一通信路径不同的路径,
所述威胁除去部,在所述路径变更部变更通信路径之后,除去所述通信数据的威胁,
所述交换机具有,与所述发送源终端连接的第一LAN的端口、与所述威胁检测部连接的第二LAN的端口及第三LAN的端口、以及与所述发送目的终端连接的第四LAN的端口,
在所述威胁检测部没有检测到威胁的情况下,所述路径变更部,将从与所述第一LAN的端口连接的所述发送源终端、到与所述第四LAN的端口连接的所述发送目的终端为止的所述第一通信路径,设定为第一VLAN,
在所述威胁检测部检测出威胁的情况下,所述路径变更部,
将从与所述第一LAN的端口连接的所述发送源终端、到与所述第二LAN的端口连接的所述威胁除去部为止的、所述第二通信路径中包括的一部分的路径,设定为与所述第一VLAN不同的第二VLAN,
将从与所述第三LAN的端口连接的所述威胁除去部、到与所述第四LAN的端口连接的所述发送目的终端为止的、所述第二通信路径中包括的一部分的路径,设定为所述第一VLAN。
16.一种网络防御系统,
所述网络防御系统,具备:
通信数据获得部,具备多个LAN的端口,将在进行通信网络间的连接的交换机中流动的、至少包括发送源终端的信息和发送目的终端的信息的通信数据,以混杂模式经由所述交换机获得;
威胁检测部,检测所述通信数据的威胁;
威胁除去部;以及
路径变更部,在由所述威胁检测部检测出威胁的情况下,对所述交换机进行操作,以将第一通信路径变更为第二通信路径,所述第一通信路径是连接所述发送源终端与所述发送目的终端的路径,所述第二通信路径是经由所述威胁除去部连接所述发送源终端与所述发送目的终端、且与所述第一通信路径不同的路径,
所述威胁除去部,在所述路径变更部变更通信路径之后,除去所述通信数据的威胁,
所述网络防御系统 还具备重写部,
所述重写部,对通过所述威胁除去部的所述通信数据中包括的通信网络的VLAN信息进行重写,
所述交换机具有,与所述发送源终端连接的第五LAN的端口、与所述威胁除去部连接的第六LAN的端口、以及与所述发送目的终端连接的第七LAN的端口,
在所述威胁检测部没有检测到威胁的情况下,所述路径变更部,将与所述第五LAN的端口连接的所述发送源终端、以及与所述第七LAN的端口连接的所述发送目的终端,设定到第一VLAN,
在所述威胁检测部检测出威胁的情况下,
所述路径变更部,将所述第二通信路径中包括的、与所述第五LAN的端口连接的所述发送源终端,设定到第二VLAN,将与所述第七LAN的端口连接的所述发送目的终端,设定到所述第一VLAN,
所述重写部,
经由所述第六LAN的端口,将示出所述发送源终端所属的所述第二VLAN的VLAN信息重写为示出所述发送目的终端所属的所述第一VLAN的VLAN信息,将包括重写后的VLAN信息的通信数据,输出到所述交换机。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017230201 | 2017-11-30 | ||
| JP2017-230201 | 2017-11-30 | ||
| JP2018-107964 | 2018-06-05 | ||
| JP2018107964 | 2018-06-05 | ||
| JP2018188227A JP7150552B2 (ja) | 2017-11-30 | 2018-10-03 | ネットワーク防御装置およびネットワーク防御システム |
| JP2018-188227 | 2018-10-03 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109861961A CN109861961A (zh) | 2019-06-07 |
| CN109861961B true CN109861961B (zh) | 2022-10-28 |
Family
ID=64556656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811423370.0A Active CN109861961B (zh) | 2017-11-30 | 2018-11-27 | 网络防御装置以及网络防御系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10911466B2 (zh) |
| EP (1) | EP3493503B1 (zh) |
| CN (1) | CN109861961B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10965699B2 (en) * | 2018-01-26 | 2021-03-30 | Rapid7, Inc. | Detecting anomalous network behavior |
| CN110890996B (zh) * | 2019-08-21 | 2021-08-13 | 研祥智能科技股份有限公司 | 网口状态的检测方法、设备及系统 |
| US11663500B2 (en) * | 2020-05-05 | 2023-05-30 | International Business Machines Corporation | Visualizing cybersecurity incidents using knowledge graph data |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN101690101A (zh) * | 2007-06-29 | 2010-03-31 | 极进网络有限公司 | 将分组重定向至网络交换机中的入侵防卸服务的方法和系统 |
| CN106411910A (zh) * | 2016-10-18 | 2017-02-15 | 上海优刻得信息科技有限公司 | 一种分布式拒绝服务攻击的防御方法与系统 |
| CN106534068A (zh) * | 2016-09-29 | 2017-03-22 | 广州华多网络科技有限公司 | 一种ddos防御系统中清洗伪造源ip的方法和装置 |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS58122113A (ja) | 1982-01-13 | 1983-07-20 | Nippon Steel Corp | 金属管の連続引抜機 |
| US7707305B2 (en) * | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| US7065482B2 (en) * | 2001-05-17 | 2006-06-20 | International Business Machines Corporation | Internet traffic analysis tool |
| US7353390B2 (en) * | 2004-08-20 | 2008-04-01 | Microsoft Corporation | Enabling network devices within a virtual network to communicate while the networks's communications are restricted due to security threats |
| JP4082613B2 (ja) | 2004-09-06 | 2008-04-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 通信サービスを制限するための装置 |
| US20060095961A1 (en) * | 2004-10-29 | 2006-05-04 | Priya Govindarajan | Auto-triage of potentially vulnerable network machines |
| WO2007044038A2 (en) * | 2004-12-13 | 2007-04-19 | Telcordia Technologies, Inc. | Lightweight packet-drop detection for ad hoc networks |
| US20070063683A1 (en) * | 2005-09-16 | 2007-03-22 | Galea Technologies Sa | Process and device for recharging portable electronic devices |
| US8255996B2 (en) * | 2005-12-30 | 2012-08-28 | Extreme Networks, Inc. | Network threat detection and mitigation |
| US7817549B1 (en) * | 2006-06-30 | 2010-10-19 | Extreme Networks, Inc. | Flexible flow-aging mechanism |
| US8310923B1 (en) * | 2007-03-27 | 2012-11-13 | Amazon Technologies, Inc. | Monitoring a network site to detect adverse network conditions |
| US9054990B2 (en) * | 2009-10-30 | 2015-06-09 | Iii Holdings 2, Llc | System and method for data center security enhancements leveraging server SOCs or server fabrics |
| US8874766B2 (en) * | 2012-03-09 | 2014-10-28 | Mcafee, Inc. | System and method for flexible network access control policies in a network environment |
| US8832831B2 (en) * | 2012-03-21 | 2014-09-09 | Radware, Ltd. | Method and system for detecting and mitigating attacks performed using cryptographic protocols |
| US9647938B2 (en) * | 2012-06-11 | 2017-05-09 | Radware, Ltd. | Techniques for providing value-added services in SDN-based networks |
| JP2014147066A (ja) * | 2013-01-25 | 2014-08-14 | Alexeo Corp | データネットワーク通信において冗長性を提供する方法およびシステム |
| CN104022960B (zh) * | 2013-02-28 | 2017-05-31 | 新华三技术有限公司 | 基于OpenFlow协议实现PVLAN的方法和装置 |
| US20140282542A1 (en) * | 2013-03-14 | 2014-09-18 | Infinio Systems Inc. | Hypervisor Storage Intercept Method |
| US10419454B2 (en) * | 2014-02-28 | 2019-09-17 | British Telecommunications Public Limited Company | Malicious encrypted traffic inhibitor |
| JP6364255B2 (ja) | 2014-06-17 | 2018-07-25 | 株式会社エヌ・ティ・ティ・データ | 通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラム |
| US10812632B2 (en) * | 2015-02-09 | 2020-10-20 | Avago Technologies International Sales Pte. Limited | Network interface controller with integrated network flow processing |
| US10432520B2 (en) * | 2015-08-28 | 2019-10-01 | Nicira, Inc. | Traffic forwarding between geographically dispersed sites |
| US9762610B1 (en) * | 2015-10-30 | 2017-09-12 | Palo Alto Networks, Inc. | Latency-based policy activation |
| US10063469B2 (en) * | 2015-12-16 | 2018-08-28 | Nicira, Inc. | Forwarding element implementation for containers |
| US10516694B1 (en) * | 2016-03-29 | 2019-12-24 | Amazon Technologies, Inc. | Hierarchical mitigation of denial of service attacks on communication networks |
| CN106789865B (zh) * | 2016-07-14 | 2020-06-02 | 深圳市永达电子信息股份有限公司 | 一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法 |
| US10855719B2 (en) * | 2016-09-22 | 2020-12-01 | Verisign, Inc. | Automated DDOS attack mitigation via BGP messaging |
| US10887347B2 (en) * | 2016-10-27 | 2021-01-05 | Radware, Ltd. | Network-based perimeter defense system and method |
| US10469528B2 (en) * | 2017-02-27 | 2019-11-05 | Arbor Networks, Inc. | Algorithmically detecting malicious packets in DDoS attacks |
| US10887341B2 (en) * | 2017-03-06 | 2021-01-05 | Radware, Ltd. | Detection and mitigation of slow application layer DDoS attacks |
-
2018
- 2018-11-27 CN CN201811423370.0A patent/CN109861961B/zh active Active
- 2018-11-27 EP EP18208423.6A patent/EP3493503B1/en active Active
- 2018-11-28 US US16/202,926 patent/US10911466B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101690101A (zh) * | 2007-06-29 | 2010-03-31 | 极进网络有限公司 | 将分组重定向至网络交换机中的入侵防卸服务的方法和系统 |
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN106534068A (zh) * | 2016-09-29 | 2017-03-22 | 广州华多网络科技有限公司 | 一种ddos防御系统中清洗伪造源ip的方法和装置 |
| CN106411910A (zh) * | 2016-10-18 | 2017-02-15 | 上海优刻得信息科技有限公司 | 一种分布式拒绝服务攻击的防御方法与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10911466B2 (en) | 2021-02-02 |
| CN109861961A (zh) | 2019-06-07 |
| EP3493503A1 (en) | 2019-06-05 |
| US20190166139A1 (en) | 2019-05-30 |
| EP3493503B1 (en) | 2022-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8181240B2 (en) | Method and apparatus for preventing DOS attacks on trunk interfaces | |
| JP6387195B2 (ja) | 通信装置及びシステム及び方法 | |
| CN108353068B (zh) | Sdn控制器辅助的入侵防御系统 | |
| US7617533B1 (en) | Self-quarantining network | |
| US8040872B2 (en) | Frame forwarding apparatus | |
| CN109861961B (zh) | 网络防御装置以及网络防御系统 | |
| KR100750377B1 (ko) | SoC기반의 네트워크 보안 시스템 및 그 방법 | |
| US20130347062A1 (en) | Secured network arrangement and methods thereof | |
| US20170063861A1 (en) | Communication apparatus | |
| JP7150552B2 (ja) | ネットワーク防御装置およびネットワーク防御システム | |
| Chiu et al. | Rapid detection of disobedient forwarding on compromised OpenFlow switches | |
| US20110214181A1 (en) | Dual bypass module and methods thereof | |
| Ubaid et al. | Mitigating address spoofing attacks in hybrid SDN | |
| US11159485B2 (en) | Communication system, communication control apparatus, and communication control method using IP addresses for relay server managing connections | |
| US11159533B2 (en) | Relay apparatus | |
| JP7060800B2 (ja) | 感染拡大攻撃検知システム及び方法、並びに、プログラム | |
| WO2019123523A1 (ja) | 通信装置、通信システム、通信制御方法、プログラム | |
| CN107634932B (zh) | 报文处理方法、装置及系统 | |
| CN113965343B (zh) | 一种基于局域网的终端设备隔离方法及装置 | |
| JP3715628B2 (ja) | パケット転送システム、パケット転送装置、プログラム及びパケット転送方法 | |
| JP7198617B2 (ja) | セキュリティシステム | |
| CN112671783B (zh) | 一种基于vlan用户组的防主机ip扫描方法 | |
| KR101236129B1 (ko) | 비정상 트래픽 제어 장치 및 방법 | |
| KR20160143086A (ko) | Sdn을 이용한 사이버 검역 시스템 및 방법 | |
| JP6476034B2 (ja) | 制御装置及び制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |