JP2006262019A - ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 - Google Patents
ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 Download PDFInfo
- Publication number
- JP2006262019A JP2006262019A JP2005076074A JP2005076074A JP2006262019A JP 2006262019 A JP2006262019 A JP 2006262019A JP 2005076074 A JP2005076074 A JP 2005076074A JP 2005076074 A JP2005076074 A JP 2005076074A JP 2006262019 A JP2006262019 A JP 2006262019A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- network
- authenticated
- quarantine
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】低廉な検疫ネットワークを簡単に導入して検疫ネットワークを実現することによりセキュリティの向上を図ること。
【解決手段】ネットワーク検疫装置Mでは、まず、受信部402においてパケットが受信された場合、通信プロトコル判定部403により、受信パケットの通信プロトコル判定処理を実行する。このあと、認証判定部406により認証判定処理を実行して、偽造arp応答送信部407により、偽造arp応答を送信元端末に送信する。そして、所定時間経過した場合、偽造arp要求送信部408により、偽造arp要求を送信先端末に送信する。送信先端末から偽造arp要求に対するarp応答が受信された場合、受信されたarp応答を廃棄する。
【選択図】 図4
【解決手段】ネットワーク検疫装置Mでは、まず、受信部402においてパケットが受信された場合、通信プロトコル判定部403により、受信パケットの通信プロトコル判定処理を実行する。このあと、認証判定部406により認証判定処理を実行して、偽造arp応答送信部407により、偽造arp応答を送信元端末に送信する。そして、所定時間経過した場合、偽造arp要求送信部408により、偽造arp要求を送信先端末に送信する。送信先端末から偽造arp要求に対するarp応答が受信された場合、受信されたarp応答を廃棄する。
【選択図】 図4
Description
この発明は、ネットワーク内において通信サーバに接続されている端末間の通信を検疫するネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク内における端末間の通信を検疫するネットワーク検疫装置に関する。
近年、インターネットを介したウイルス(ワーム)の感染拡大や不正侵入をはじめとするサイバーアタックといった被害が頻発しており、ネットワークセキュリティに関する問題への対応は、ますます重要となっている。これらの問題は、端末をネットワークに接続するだけで簡単に内部ネットワークにアクセスできる環境に原因があると考えられている。
このような脅威からネットワークを守るために、検疫ネットワークが利用され始めている。検疫ネットワークを導入している環境では、端末が物理的にネットワークに接続したとしても、認証されていない場合はネットワーク内のサーバや他の端末へのアクセスを行わせず、ネットワークとは隔離した「検疫ネットワーク」に接続して認証を行い、認証された端末のみが通常のネットワークにアクセスできるようにする技術である。
すなわち、検疫ネットワークを用いたシステムでは、社内LANなどのネットワークに接続しているコンピュータが、最新のセキュリティ・パッチを適用していなかったり、ウイルスに感染している場合に、ネットワークから切り離し隔離することができる。また、外部からの侵入だけでなく、LAN内部の感染、たとえば、持込PCによる不正アクセスを防御することもできる。
この検疫ネットワークを実現する方法として、スイッチなどの中継装置を用いる方式が提案されている。この方式は、認証機能付きの中継装置を用いて、ネットワークに接続してきた端末に対して検疫用のネットワークに接続させて認証を行い、認証した端末のみを通常のネットワークに接続させている。
また、中継装置を用いた方式とは別に、DHCP(Dynamic Host Configuration Protocol)サーバと認証サーバを連携することで、端末からのIPアドレス取得要求時に認証・検疫を行う方式も提案されている。この方式ではIPアドレス要求時の認証だけでなく、不正にIPアドレスを静的設定している端末が存在するかどうかを確認する機能を追加することができる。
また、従来においては、サーバにクライアント端末の端末名、IPアドレスおよびMACアドレスからなるレコードを格納した端末データベースを備え、サーバのインタフェースプログラムにクライアント端末からの呼び出しがあった場合、IPアドレスを基に端末データベースからMACアドレスを取得し、IPアドレスとMACアドレスの組み合わせが正しいか否か判定する端末認証装置が提案されている(たとえば、下記特許文献1を参照。)。さらに、アドレステーブルにIPアドレスを記述し、端末の不正(IPアドレスの重複,なりすまし等)を防止するMACブリッジも提案されている(たとえば、下記特許文献2を参照。)。
しかしながら、上述した従来技術では、認証機能付きの中継装置を導入する必要がある。この認証機能付き中継装置は高価なため、検疫ネットワークの導入を躊躇してしまう、また、導入をあきらめてしまうという問題があった。これにより、ネットワーク内において、ウイルス(ワーム)の感染拡大や不正侵入をはじめとするサイバーアタックによる被害を防止することができないという問題があった。
また、認証機能付き中継装置の導入に際しスイッチを置き換える必要があり、設置作業が面倒であるという問題があった。さらに、上述した従来技術においては、IPアドレスを不正に静的設定している端末を検知することは可能だが、当該端末の通信を防ぐことはできず、依然として、サイバーアタックによる被害を防止することができないという問題があった。
この発明は、上述した従来技術による問題点を解消するため、低廉な検疫ネットワークを簡単に導入して検疫ネットワークを実現することによりセキュリティの向上を図ることができるネットワーク検疫方法、ネットワーク検疫プログラム、該プログラムを記録した記録媒体、およびネットワーク検疫装置を提供することを目的とする。
上述した課題を解決し、目的を達成するため、この発明にかかるネットワーク検疫プログラム、該プログラムを記録した記録媒体、およびネットワーク検疫方法は、ネットワーク内において通信サーバに接続されている端末間の通信を検疫するネットワーク検疫方法、ネットワーク検疫プログラム、および該プログラムを記録した記録媒体であって、任意のarp要求を受信し、受信されたarp要求の送信元端末と前記arp要求によって宛先に指定された送信先端末が、前記ネットワーク内での通信許可に関して認証されているか否かを判定し、判定された判定結果に基づいて、前記通信サーバのMACアドレスおよび前記送信先端末のIPアドレスを送信元アドレス情報とする偽造arp応答を、前記送信元端末に送信することを特徴とする。
この発明によれば、通信サーバが送信先端末になりすまして、送信元端末からのarp要求に応答することができる。
また、上記発明において、前記送信元端末のみが未認証であると判定された場合、前記偽造arp応答を、未認証の前記送信元端末に送信する。
この発明によれば、通信サーバが認証済みの送信先端末(認証済み端末)になりすまして、未認証の送信元端末(未認証端末)からのarp要求に応答することができる。
また、上記発明において、前記arp要求に対するarp応答が認証済みの前記送信先端末から未認証の前記送信元端末に送信された後に、前記偽造arp応答を、未認証の前記送信元端末に送信する。
この発明によれば、未認証の送信元端末(未認証端末)からの認証済みの送信先端末(認証済み端末)宛のデータを、通信サーバに送信させることができる。
また、上記発明において、前記通信サーバのMACアドレスおよび前記送信元端末のIPアドレスを送信元アドレス情報とする偽造arp要求を、認証済みの前記送信先端末に送信する。
この発明によれば、送信先端末(認証済み端末)からの、未認証の送信元端末(未認証端末)宛のarp応答を、通信サーバに送信させることができる。
また、上記発明において、前記偽造arp応答を受信した未認証の前記送信元端末から、認証済みの前記送信先端末を宛先とするデータが受信された場合、前記送信先端末に対する通信拒否に関する情報を送信することとしてもよい。
この発明によれば、送信先端末(認証済み端末)と未認証の送信元端末(未認証端末)との通信ができないことを通知することができる。
また、上記発明において、前記送信先端末のみが未認証端末であると判定された場合、前記偽造arp応答を、認証済みの前記送信元端末に送信する。
この発明によれば、通信サーバが未認証の送信先端末(未認証端末)になりすまして、認証済みの送信元端末(認証済み端末)からのarp要求に応答することができる。
また、上記発明において、前記arp要求に対するarp応答が未認証の前記送信先端末から認証済みの前記送信元端末に送信された後に、前記偽造arp応答を、認証済みの前記送信元端末に送信する。
この発明によれば、認証済みの送信元端末(認証済み端末)からの未認証の送信先端末(未認証端末)宛のデータを、通信サーバに送信させることができる。
また、上記発明において、前記通信サーバのMACアドレスおよび前記送信元端末のIPアドレスを送信元アドレス情報とする偽造arp要求を、未認証の前記送信先端末に送信する。
この発明によれば、未認証の送信先端末(未認証端末)からの、送信元端末(認証済み端末)宛のarp応答を、通信サーバに送信させることができる。
また、上記発明において、前記偽造arp応答を受信した認証済みの前記送信元端末から、未認証の前記送信先端末宛のデータが受信された場合、当該データを廃棄することとしてもよい。
この発明によれば、送信元端末(認証済み端末)から未認証の送信先端末(未認証端末)へのデータの送信を防止することができる。
また、上記発明において、前記送信元端末および前記送信先端末がともに認証済みであると判定された場合、前記偽造arp応答を送信しないこととしてもよい。
この発明によれば、認証済みの端末間の通信を保証することができる。
また、この発明にかかるネットワーク検疫プログラム、該プログラムを記録した記録媒体、およびネットワーク検疫方法は、ネットワーク内において通信サーバに接続されている端末間の通信を検疫するネットワーク検疫方法、ネットワーク検疫プログラム、および該プログラムを記録した記録媒体であって、前記ネットワーク内での通信許可に関して認証されていない未認証端末と前記ネットワーク内での通信許可に関して認証されている認証済み端末との間の通信に先立って、前記通信サーバのMACアドレスおよび前記未認証端末のIPアドレスを送信元アドレス情報とする偽造arp要求を、前記認証済み端末に送信することを特徴とする。
この発明によれば、定期的に未認証端末になりすまして、未認証端末宛のarp応答を通信サーバに送信させることができる。
また、上記発明において、前記未認証端末から前記認証済み端末へarp要求が送信された後、前記偽造arp要求を前記認証済み端末に送信することとしてもよい。
この発明によれば、認証済み端末にarp要求を送信した未認証端末になりすまして、未認証端末宛のarp応答を通信サーバに送信させることができる。
また、上記発明において、前記認証済み端末から前記未認証端末へ前記arp要求に対するarp応答が送信される前に、前記偽造arp要求を前記認証済み端末に送信することとしてもよい。
この発明によれば、認証済み端末にarp要求を送信した未認証端末になりすまして、未認証端末宛のarp応答を受信することができる。
また、この発明にかかるネットワーク検疫装置は、ネットワーク内における端末間の通信を検疫するネットワーク検疫装置であって、任意のarp要求を受信する受信手段と、前記受信手段によって受信されたarp要求の送信元端末と前記arp要求によって宛先に指定された送信先端末が、前記ネットワーク内での通信許可に関して認証されているか否かを判定する判定手段と、前記判定手段によって判定された判定結果に基づいて、前記通信サーバのMACアドレスおよび前記送信先端末のIPアドレスを送信元アドレス情報とする偽造arp応答を、前記送信元端末に送信する偽造arp応答送信手段と、を備えることを特徴とする。
この発明によれば、通信サーバが送信先端末になりすまして、送信元端末からのarp要求に応答することができる。
また、この発明にかかるネットワーク検疫装置は、ネットワーク内における端末間の通信を検疫するネットワーク検疫装置であって、前記ネットワーク内での通信許可に関して認証されていない未認証端末のIPアドレスを記憶する記憶手段と、前記通信サーバのMACアドレスおよび前記記憶手段に記憶されているIPアドレスを送信元アドレス情報とする偽造arp要求を、前記ネットワーク内での通信許可に関して認証されている認証済み端末に送信する偽造arp要求送信手段と、を備えることを特徴とする。
この発明によれば、定期的に未認証端末になりすまして、未認証端末宛のarp応答を通信サーバに送信させることができる。
本発明にかかるネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置によれば、低廉な検疫ネットワークを簡単に導入して検疫ネットワークを実現することによりセキュリティの向上を図ることができるという効果を奏する。
以下に添付図面を参照して、この発明にかかるネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置の好適な実施の形態を詳細に説明する。本実施の形態は、後述するように実施の形態1および実施の形態2を有するが、まず、実施の形態1および実施の形態2に共通する内容について説明する。
(ネットワーク検疫システムのシステム構成図)
まず、この発明の実施の形態にかかるネットワーク検疫システムについて説明する。図1は、ネットワーク検疫システムのシステム構成図である。図1において、ネットワーク検疫システム100は、ネットワーク検疫装置Mと、複数の端末T,Xと、ルータRと、セキュリティサーバSと、これらを接続するスイッチSWとによって、LAN,WANなどのネットワークを構成している。
まず、この発明の実施の形態にかかるネットワーク検疫システムについて説明する。図1は、ネットワーク検疫システムのシステム構成図である。図1において、ネットワーク検疫システム100は、ネットワーク検疫装置Mと、複数の端末T,Xと、ルータRと、セキュリティサーバSと、これらを接続するスイッチSWとによって、LAN,WANなどのネットワークを構成している。
ネットワーク検疫装置Mは、複数の端末T,X、ルータR、およびセキュリティサーバSを管理する通信サーバであり、ネットワーク内における端末間の通信を検疫する。具体的には、複数の端末T,X、ルータRおよびセキュリティサーバSのIPアドレスおよびMACアドレスを管理している。また、端末T(T1,・・・,Tj,・・・,Tn)は、ネットワーク検疫装置Mによってネットワーク内の通信許可が認証された認証済み端末である(以下、端末Tを「認証済み端末T」と称す)。また、端末X(X1,・・・,Xi,・・・,Xk)は、ネットワーク検疫装置Mによってネットワーク内の通信許可が認証されていない未認証端末である(以下、端末Xを「未認証端末X」と称す)。
ルータRは、ネットワーク内の通信経路から最適な経路を選択する。セキュリティサーバSは、未認証端末Xに対して各種検疫サービスを実行する。検疫サービスとしては、たとえば、HTTPによる通信拒否ページの配信、セキュリティチェックなどを実行する。セキュリティチェック項目としては、ウイルスの感染状況、ウイルス対策ソフトのパターン・ファイルの更新状況、OSのパッチ適用状況などが挙げられる。なお、セキュリティサーバSの機能を通信サーバに持たせて一体化することとしてもよい。
(ネットワーク検疫装置M等のハードウェア構成)
つぎに、この発明の実施の形態にかかるネットワーク検疫システム100を構成するネットワーク検疫装置M、セキュリティサーバS、認証済み端末T、および未認証端末X(以下、「ネットワーク検疫装置M等」と称す。)のハードウェア構成について説明する。図2は、この発明の実施の形態にかかるネットワーク検疫装置M等のハードウェア構成を示すブロック図である。
つぎに、この発明の実施の形態にかかるネットワーク検疫システム100を構成するネットワーク検疫装置M、セキュリティサーバS、認証済み端末T、および未認証端末X(以下、「ネットワーク検疫装置M等」と称す。)のハードウェア構成について説明する。図2は、この発明の実施の形態にかかるネットワーク検疫装置M等のハードウェア構成を示すブロック図である。
図2において、ネットワーク検疫装置M等は、CPU201と、ROM202と、RAM203と、HDD(ハードディスクドライブ)204と、HD(ハードディスク)205と、FDD(フレキシブルディスクドライブ)206と、着脱可能な記録媒体の一例としてのFD(フレキシブルディスク)207と、ディスプレイ208と、I/F(インターフェース)209と、キーボード210と、マウス211と、スキャナ212と、プリンタ213と、を備えて構成されている。また、各構成部は、バス200によってそれぞれ接続されている。
ここで、CPU201は、ネットワーク検疫装置M等の全体の制御を司る。ROM202は、ブートソフトウェアなどのソフトウェアを記憶している。RAM203は、CPU201のワークエリアとして使用される。HDD204は、CPU201の制御にしたがってHD205に対するデータのリード/ライトを制御する。HD205は、HDD204の制御で書き込まれたデータを記憶する。
FDD206は、CPU201の制御にしたがってFD207に対するデータのリード/ライトを制御する。FD207は、FDD206の制御で書き込まれたデータを記憶したり、FD207に記憶されたデータをネットワーク検疫装置M等に読み取らせたりする。
また、着脱可能な記録媒体として、FD207のほか、CD−ROM(CD−R、CD−RW)、MO、DVD(Digital Versatile Disk)、メモリーカードなどであってもよい。ディスプレイ208は、カーソル、アイコンあるいはツールボックスをはじめ、文書、画像、機能情報などのデータを表示する。このディスプレイ208は、たとえばCRT、TFT液晶ディスプレイ、プラズマディスプレイなどを採用することができる。
I/F209は、通信回線を通じてネットワーク214に接続され、このネットワーク214を介して他の装置に接続される。そして、I/F209は、ネットワーク214との内部インターフェースを司り、外部装置などからのデータの入出力を制御することができる。I/F209には、たとえばモデムやLANアダプタなどを採用することができる。
キーボード210は、文字、数字、各種指示などの入力のためのキーを備え、データの入力をおこなう。また、タッチパネル式の入力パッドやテンキーなどであってもよい。マウス211は、カーソルの移動や範囲選択、あるいはウィンドウの移動やサイズ変更などをおこなう。このマウス211は、ポインティングデバイスとして同様に機能を備えるものであれば、たとえばトラックボールやジョイスティックなどであってもよい。
スキャナ212は、画像を光学的に読み取り、ネットワーク検疫装置M等内に画像データを取り込む。なお、スキャナ212は、OCR機能を持たせてもよい。また、プリンタ213は、画像データや文書データを印刷する。プリンタ213には、たとえばレーザプリンタやインクジェットプリンタを採用することができる。
(実施の形態1)
つぎに、この発明の実施の形態1にかかるネットワーク検疫装置Mのアドレス情報リスト(図3を参照)、機能的構成(図4を参照)、ネットワーク検疫処理手順(図5〜図7を参照)、およびシーケンス(図8〜図10を参照)について説明する。
つぎに、この発明の実施の形態1にかかるネットワーク検疫装置Mのアドレス情報リスト(図3を参照)、機能的構成(図4を参照)、ネットワーク検疫処理手順(図5〜図7を参照)、およびシーケンス(図8〜図10を参照)について説明する。
(アドレス情報リストの内容)
まず、この発明の実施の形態1にかかるアドレス情報リストについて説明する。図3は、この発明の実施の形態1にかかるアドレス情報リストを示す説明図である。図3において、このアドレス情報リスト300は、認証済み端末T、ルータRおよびセキュリティサーバSのMACアドレスとIPアドレスとの組み合わせをあらわしている。たとえば、認証済み端末Tjについては、MACアドレスが『macj』、IPアドレスが『ipj』である。
まず、この発明の実施の形態1にかかるアドレス情報リストについて説明する。図3は、この発明の実施の形態1にかかるアドレス情報リストを示す説明図である。図3において、このアドレス情報リスト300は、認証済み端末T、ルータRおよびセキュリティサーバSのMACアドレスとIPアドレスとの組み合わせをあらわしている。たとえば、認証済み端末Tjについては、MACアドレスが『macj』、IPアドレスが『ipj』である。
つぎに、この発明の実施の形態1にかかるネットワーク検疫装置Mの機能的構成について説明する。図4は、この発明の実施の形態1にかかるネットワーク検疫装置Mの機能的構成を示すブロック図である。図4において、ネットワーク検疫装置Mは、記憶部401と、受信部402と、通信プロトコル判定部403と、検疫サービス処理部404と、通信拒否情報送信部405と、認証判定部406と、偽造arp応答送信部407と、偽造arp要求送信部408と、から構成されている。
記憶部401は、図3に示したアドレス情報リスト300を記憶する。この記憶部401は、具体的には、たとえば、図2に示したROM202、RAM203、HD205などの記録媒体によって、その機能を実現する。
受信部402は、任意のarp要求パケット(以下、単に、「arp要求」と称す。)やその他のパケットを受信する。具体的には、未認証端末Xや認証済み端末Tからブロードキャスト配信されたarp要求を受信する。なお、arp(Address Resolution Protocol:アドレス解決プロトコル)とは、ネットワーク上に存在するコンピュータ装置(上述したネットワーク検疫装置M、未認証端末X、認証済み端末T、およびセキュリティサーバS)を特定するために用いられる通信規約である。
具体的には、TCP/IPを用いたLANにおいて、ブロードキャストを利用することにより、論理的に割り当てられているIPアドレスを手掛かりとしてコンピュータ装置のMACアドレスを特定する通信プロトコルである。また、arp要求は、IPネットワーク上の端末のIPアドレスに対応する物理的な位置を特定するために、ネットワーク全体にブロードキャスト配信されるアドレス解決プロトコル上の通信パケットである。
このarp要求が配信されると、そのarp要求に含まれるIPアドレスを有するコンピュータは、arp要求を送信したコンピュータにarp応答パケット(以下、単に、「arp応答」と称す。)を送信する。arp応答には、arp要求に記述されているIPアドレスに対するMACアドレスが記述される。
また、通信プロトコル判定部403は、受信部402によって受信されたパケット(受信パケット)の通信プロトコルを判定する。このネットワーク検疫装置Mは、受信部402によって受信されたarp要求の送信元端末や送信先端末が、認証済み端末Tか未認証端末Xかを判定している。一方で、ネットワーク検疫装置Mの検疫機能(後述する認証判定部406、偽造arp応答送信部407、偽造arp要求送信部408、検疫サービス処理部404、通信拒否情報送信部405)はソフトウェアとして提供することが可能である。
従って、検疫機能だけでなく、認証済み端末T向けに他のサービス(たとえば、DHCPサービスやWWWサービスなど)も提供している場合がある。この場合、ネットワーク検疫装置Mは、arp要求だけでなく、他のサービスからのパケットも受信する。このように、ネットワーク検疫装置Mで受け取るパケットはarp要求だけではない。また、受け取ったパケットの種類によって次に実行すべき処理は異なってくる。したがって、通信の種類は、受信パケットに記述されているプロトコルで判定可能である。
具体的には、この通信プロトコル判定部403では、受信パケットの宛先IPアドレスがネットワーク検疫装置MのIPアドレスか否か、受信パケットがarp要求か否か、受信パケットがarp応答か否か、受信パケットに記述されている送信元端末のIPアドレスが図3に示したアドレス情報リスト300に存在するか否かを判定する。そして、これらの判定結果に基づいて、受信パケットの廃棄、検疫サービス処理部404の実行指示、認証判定部406の事項指示をおこなう。
また、検疫サービス処理部404は、上述したセキュリティサーバSへのセキュリティチェック指示をセキュリティサーバSに対して出力する。また、ネットワーク検疫装置MがセキュリティサーバSの機能を有する場合には、上述したセキュリティサーバSと同様、セキュリティチェックを実行する。また、ネットワーク検疫装置MのHTTP用ポートに転送し、HTTPによる通信拒否ページの配信指示などを実行することとしてもよい。
この場合、通信拒否情報送信部405は、未認証端末Xに対して通信拒否ページ情報を送信する。これにより、未認証端末Xのディスプレイ208に、送信先端末との通信が拒否された旨のページ情報が表示される。
また、認証判定部406は、受信部402によって受信されたarp要求の送信元端末とarp要求によって宛先に指定された送信先端末が、ネットワーク内での通信許可に関して認証されているか否かを判定する。ここで、arp要求には、送信元アドレス情報として、送信元端末のMACアドレス(以下、「送信元MACアドレス」と称す。)およびIPアドレス(以下、「送信元IPアドレス」と称す。)が記述されている。また、宛先アドレス情報として送信先端末のIPアドレス(以下、「宛先IPアドレス」と称す。)が記述されている。
したがって、認証判定部406では、arp要求の送信元端末についての通信許可に関する認証を判定する場合、arp要求に記述されている送信元アドレス情報が、アドレス情報リスト300に存在するか否かを判定する。アドレス情報リスト300に存在する場合は、送信元端末は認証済み端末T、存在しない場合は、送信元端末は未認証端末Xと判定する。
また、送信元端末がアクセスしたい送信先端末についての通信許可に関する認証を判定する場合、arp要求に記述されている宛先アドレス情報のIPアドレスが、アドレス情報リスト300に存在するか否かを判定する。そして、アドレス情報リスト300に存在する場合は、送信先端末は認証済み端末T、存在しない場合は、送信先端末は未認証端末Xと判定する。
なお、送信元端末および送信先端末がともに認証済み端末Tであると判定された場合、正常な通信であるため、arp要求を廃棄する。また、送信元端末および送信先端末がともに未認証端末Xであると判定された場合、検疫サービス処理部404を実行する。
また、偽造arp応答送信部407は、ネットワーク検疫装置MのMACアドレス『macm』およびarp要求の宛先IPアドレスを送信元アドレス情報とするarp応答(以下、単に「偽造arp応答」と称す。)を、arp要求の送信元端末に送信する。
すなわち、arp要求の送信元端末は、ネットワーク検疫装置Mから送信される偽造arp応答を受信することにより、送信元端末のarpキャッシュと呼ばれるarpテーブルに、宛先アドレス情報として、ネットワーク検疫装置MのMACアドレス『macm』とarp要求の宛先IPアドレスが書き込まれる。したがって、ネットワーク検疫装置Mは、偽造arp応答を送信することにより送信先端末になりすまして、送信元端末と通信することができる。
また、送信元端末のarpテーブルには、常に最新の宛先アドレス情報が書き込まれる。すなわち、送信元端末に対しては送信先端末から正規のarp応答が返信されるため、この送信先端末からのarp応答が、偽造arp応答よりも後に送信元端末に受信された場合、送信元端末のarpテーブルの宛先アドレス情報は、送信先端末からのarp応答の送信元アドレス情報となる。
したがって、偽造arp応答送信部407は、所定時間経過するまで、偽造arp応答を送信する。これにより、送信先端末からのarp応答が送信元端末に受信された後に、送信元端末に偽造arp応答を送信することができ、送信元端末のarpテーブルに書き込まれる宛先アドレス情報を、偽造arp応答の送信元アドレス情報にすることができる。
また、偽造arp要求送信部408は、ネットワーク検疫装置MのMACアドレス『macm』および送信元端末のIPアドレスを送信元アドレス情報とするarp要求(以下、単に「偽造arp要求」と称す。)を、送信先端末に送信する。具体的には、偽造arp要求送信部408は、ネットワーク内において偽造arp要求をブロードキャスト配信する。
すなわち、arp要求の宛先IPアドレスによって特定される送信先端末は、ネットワーク検疫装置Mから送信される偽造arp要求を受信することにより、送信先端末のarpテーブルに、宛先アドレス情報として、ネットワーク検疫装置MのMACアドレス『macm』と送信元IPアドレスが書き込まれる。したがって、ネットワーク検疫装置Mは、偽造arp要求を送信することにより、送信元端末になりすまして送信先端末からarp応答を受信することができる。
なお、上述した受信部402、通信プロトコル判定部403、検疫サービス処理部404、通信拒否情報送信部405、認証判定部406、偽造arp応答送信部407および偽造arp要求送信部408は、具体的には、たとえば、図2に示したROM202、RAM203、HD205などの記録媒体に記録されたプログラムを、CPU201が実行することによって、またはI/F209によって、その機能を実現する。
(ネットワーク検疫処理手順)
つぎに、この発明の実施の形態1にかかるネットワーク検疫処理手順について説明する。図5は、この発明の実施の形態1にかかるネットワーク検疫処理手順を示すフローチャートである。図5において、まず、受信部402においてパケットが受信された場合(ステップS501:Yes)、通信プロトコル判定部403により、受信パケットの通信プロトコル判定処理を実行する(ステップS502)。
つぎに、この発明の実施の形態1にかかるネットワーク検疫処理手順について説明する。図5は、この発明の実施の形態1にかかるネットワーク検疫処理手順を示すフローチャートである。図5において、まず、受信部402においてパケットが受信された場合(ステップS501:Yes)、通信プロトコル判定部403により、受信パケットの通信プロトコル判定処理を実行する(ステップS502)。
このあと、認証判定部406により認証判定処理を実行して(ステップS503)、偽造arp応答を送信元端末に送信する(ステップS504)。そして、所定時間経過していない場合(ステップS505:No)、ステップS504において偽造arp応答を送信し、所定時間経過した場合(ステップS505:Yes)、偽造arp要求を送信先端末に送信する(ステップS506)。そして、送信先端末から偽造arp要求に対するarp応答が受信された場合(ステップS507:Yes)、受信されたarp応答を廃棄する(ステップS508)。そして、ステップS501に移行する。
つぎに、図5のステップS502において示した通信プロトコル判定処理手順について説明する。図6は、通信プロトコル判定処理手順を示すフローチャートである。図6において、図5のステップS501のあと、当該受信パケットがarp要求であるか否かを判定する(ステップS601)。arp要求である場合(ステップS601:Yes)、ステップS503の認証判定処理に移行する。一方、arp要求でない場合(ステップS601:No)、受信パケットがarp応答であるか否かを判定する(ステップS602)。
arp応答でない場合(ステップS602:No)、受信パケットの送信元端末のIPアドレスがアドレス情報リスト300に存在するか否かを判定する(ステップS603)。アドレス情報リスト300に存在しない場合(ステップS603:No)、検疫サービス処理部404により検疫サービス処理を実行して(ステップS604)、一連の処理を終了する。一方、アドレス情報リスト300に存在する場合(ステップS603:Yes)、受信パケットを廃棄する(ステップS605)。また、ステップS602において、受信パケットがarp応答である場合(ステップS602:Yes)、ステップS605に移行して、受信パケット(arp応答)を廃棄して、一連の処理を終了する。
つぎに、図5のステップS503において示した認証判定処理手順について説明する。図7は、認証判定処理手順を示すフローチャートである。図6において図5のステップS502(ステップS601:Yes)のあと、arp要求の送信元アドレス情報(送信元IPアドレスおよび送信元MACアドレス)が、アドレス情報リスト300に存在するか否かを判定する(ステップS701)。
アドレス情報リスト300に存在しない場合(ステップS701:No)、arp要求の送信元アドレス情報の送信元IPアドレスのみがアドレス情報リスト300に存在するか否かを判定する(ステップS702)。送信元IPアドレスがアドレス情報リスト300に存在する場合(ステップS702:Yes)、IPアドレスが重複しているため、既存のIPアドレス重複対応処理を実行する(ステップS703)。これにより、一連の処理を終了する。
一方、送信元IPアドレスがアドレス情報リスト300に存在しない場合(ステップS702:No)、arp要求の送信元端末は、未認証端末Xとなる。そして、arp要求の宛先IPアドレスがアドレス情報リスト300に存在するか否かを判定する(ステップS704)。アドレス情報リスト300に存在しない場合(ステップS704:No)、arp要求の送信元端末および宛先IPアドレスによって特定される送信先端末がともに未認証端末Xであることから、検疫サービス処理部404により検疫サービス処理を実行し(ステップS705)、一連の処理を終了する。
一方、アドレス情報リスト300に存在する場合(ステップS704:Yes)、arp要求の送信元端末は未認証端末Xであることから、宛先IPアドレスによって特定される送信先端末は認証済み端末Tとなり、ステップS504に移行する。
また、ステップS701において、arp要求の送信元アドレス情報(送信元IPアドレスおよび送信元MACアドレス)が、アドレス情報リスト300に存在する場合(ステップS701:Yes)、arp要求の宛先IPアドレスがアドレス情報リスト300に存在するか否かを判定する(ステップS706)。
arp要求の宛先IPアドレスがアドレス情報リスト300に存在する場合(ステップS706:Yes)、arp要求の送信元端末および宛先IPアドレスによって特定される送信先端末がともに認証済み端末Tである。したがって、認証済み端末T間の通信となるため、arp要求を廃棄し(ステップS707)、一連の処理を終了する。
一方、arp要求の宛先IPアドレスがアドレス情報リスト300に存在しない場合(ステップS706:No)、arp要求の送信元端末は認証済み端末Tとなり、宛先IPアドレスによって特定される送信先端末は未認証端末Xとなるため、ステップS504に移行する。
このように、この発明の実施の形態1によれば、ネットワーク検疫装置Mが送信先端末になりすまして、arp要求の送信元端末に偽造arp応答を送信することができる。また、ネットワーク検疫装置Mがarp要求の送信元端末になりすまして、送信先端末に偽造arp要求を送信することができる。
(ネットワーク検疫処理のシーケンス)
つぎに、この発明の実施の形態1にかかるネットワーク検疫処理のシーケンスについて説明する。図8は、この発明の実施の形態1にかかるネットワーク検疫処理のシーケンス図である。このシーケンスは、未認証端末Xiから認証済み端末Tjへの通信に先立って行われるネットワーク検疫処理を示している。
つぎに、この発明の実施の形態1にかかるネットワーク検疫処理のシーケンスについて説明する。図8は、この発明の実施の形態1にかかるネットワーク検疫処理のシーケンス図である。このシーケンスは、未認証端末Xiから認証済み端末Tjへの通信に先立って行われるネットワーク検疫処理を示している。
まず、未認証端末Xiからネットワーク内のコンピュータ装置に対してarp要求801をブロードキャスト配信する(S81)。このarp要求801は、未認証端末XiのMACアドレス『macxi』およびIPアドレス『ipxi』からなる送信元アドレス情報と、認証済み端末TjのIPアドレス『ipj』からなる宛先アドレス情報とを有している。このarp要求801を認証済み端末Tjが受信すると、認証済み端末Tjのarpテーブル810内における空の登録情報810Aが、arp要求801の送信元アドレス情報と同一の登録情報810Bに更新される。
認証済み端末Tjは、arp要求801を受信すると、更新された登録情報810Bを参照して、arp応答802を未認証端末Xiに送信する(S82)。このarp応答802は、認証済み端末TjのMACアドレス『macj』およびIPアドレス『ipj』からなる送信元アドレス情報と、未認証端末XiのMACアドレス『macxi』およびIPアドレス『ipxi』からなる宛先アドレス情報とを有している。未認証端末Xiは、arp応答802を受信すると、未認証端末Xiのarpテーブル820内における空の登録情報820Aが、arp応答802の送信元アドレス情報と同一の登録情報820Bに更新される。
このあと、ネットワーク検疫装置Mは、未認証端末Xiに偽造arp応答803をユニキャスト送信する(S83)。この偽造arp応答803は、未認証端末XiのMACアドレス『macxi』およびIPアドレス『ipxi』からなる宛先アドレス情報を有している。一方、送信元アドレス情報のIPアドレスが偽造され、送信元アドレス情報は、ネットワーク検疫装置MのMACアドレス『macm』および認証済み端末TjのIPアドレス『ipj』からなる。これにより、ネットワーク検疫装置Mは、認証済み端末Tjになりすましてarp要求801に応答することができる。
未認証端末Xiは、偽造arp応答803を受信すると、未認証端末Xiのarpテーブル820内における登録情報820Bが、偽造arp応答803の送信元アドレス情報と同一の登録情報820Cに更新される。これ以降、未認証端末Xiから認証済み端末Tjへデータを送信する場合、arpテーブル820の登録情報820Cがデータのヘッダ情報として記述されるため、当該データは認証済み端末Tjに送信されず、ネットワーク検疫装置Mに送信されることとなる。
また、ネットワーク検疫装置Mは、認証済み端末Tjに偽造arp要求804を送信する(S84)。この偽造arp要求804は、認証済み端末TjのIPアドレス『ipj』からなる宛先アドレス情報を有している。一方、送信元アドレス情報のIPアドレスが偽造され、送信元アドレス情報は、ネットワーク検疫装置MのMACアドレス『macm』および未認証端末XiのIPアドレス『ipxi』からなる。これにより、ネットワーク検疫装置Mは、未認証端末Xiになりすまして偽造arp要求804を送信することができる。
認証済み端末Tjは、偽造arp要求804を受信すると、認証済み端末Tjのarpテーブル810内における登録情報810Bが、偽造arp要求804の送信元アドレス情報と同一の登録情報810Cに更新される。したがって、認証済み端末Tjは、この偽造arp要求804に応答してarp応答805を送信することとなる(S85)。このarp応答805は、arpテーブル810の登録情報810Cを宛先アドレス情報としているため、arp応答805は、ネットワーク検疫装置Mに送信されることとなる。
これ以降、認証済み端末Tjから未認証端末Xiへデータを送信する場合、arpテーブル810の登録情報810Cがデータのヘッダ情報として記述されるため、当該データは未認証端末Xiに送信されず、ネットワーク検疫装置Mに送信されることとなる。
このあと、未認証端末Xiから認証済み端末Tjへのデータは、ネットワーク検疫装置Mに送信されることとなる(S86)。ネットワーク検疫装置Mでは、検疫サービス処理部404により検疫サービス処理をおこない、未認証端末Xiに通信拒否ページ情報を送信する(S87)。このように、未認証端末Xiと認証済み端末Tjとの間の通信を防止して、未認証端末Xiからのデータを検疫することにより、認証済み端末Tjをサイバーアタックによる被害から防止することができ、検疫ネットワークを実現することができる。
つぎに、この発明の実施の形態1にかかるネットワーク検疫処理の他のシーケンスについて説明する。図9は、この発明の実施の形態1にかかるネットワーク検疫処理の他のシーケンス図である。このシーケンスは、認証済み端末Tjから未認証端末Xiへの通信に先立って行われるネットワーク検疫処理を示している。
まず、認証済み端末Tjからネットワーク内のコンピュータ装置に対してarp要求901をブロードキャスト配信する(S91)。このarp要求901は、認証済み端末TjのMACアドレス『macj』およびIPアドレス『ipj』から送信元アドレス情報と、未認証端末XiのIPアドレス『ipxi』からなる宛先アドレス情報とを有している。このarp要求901を未認証端末Xiが受信すると、未認証端末Xiのarpテーブル820内における空の登録情報920Aが、arp要求901の送信元アドレス情報と同一の登録情報920Bに更新される。
未認証端末Xiは、arp要求901を受信すると、更新された登録情報920Bを参照して、arp応答902を認証済み端末Tjに送信する(S92)。このarp応答902は、未認証端末XiのMACアドレス『macxi』およびIPアドレス『ipxi』からなる送信元アドレス情報と、認証済み端末TjのMACアドレス『macj』およびIPアドレス『ipj』からなる宛先アドレス情報とを有している。認証済み端末Tjは、arp応答902を受信すると、認証済み端末Tjのarpテーブル810内における空の登録情報910Aが、arp応答902の送信元アドレス情報と同一の登録情報910Bに更新される。
このあと、ネットワーク検疫装置Mは、認証済み端末Tjに偽造arp応答903をユニキャスト送信する(S93)。この偽造arp応答903は、認証済み端末TjのMACアドレス『macj』およびIPアドレス『ipj』からなる宛先アドレス情報を有している。一方、送信元アドレス情報のIPアドレスが偽造され、送信元アドレス情報は、ネットワーク検疫装置MのMACアドレス『macm』および認証済み端末TjのIPアドレス『ipxi』からなる。これにより、ネットワーク検疫装置Mは、未認証端末Xiになりすましてarp要求901に応答することができる。
認証済み端末Tjは、偽造arp応答903を受信すると、認証済み端末Tjのarpテーブル810内における登録情報910Bが、偽造arp応答903の送信元アドレス情報と同一の登録情報910Cに更新される。これ以降、認証済み端末Tjから未認証端末Xiへデータを送信する場合、arpテーブル810の登録情報910Cがデータのヘッダ情報として記述されるため、当該データは未認証端末Xiに送信されず、ネットワーク検疫装置Mに送信されることとなる。
また、ネットワーク検疫装置Mは、未認証端末Xiに偽造arp要求904を送信する(S94)。この偽造arp要求904は、未認証端末XiのIPアドレス『ipxi』からなる宛先アドレス情報を有している。一方、送信元アドレス情報のIPアドレスが偽造され、送信元アドレス情報は、ネットワーク検疫装置MのMACアドレス『macm』および認証済み端末TjのIPアドレス『ipj』からなる。これにより、ネットワーク検疫装置Mは、認証済み端末Tjになりすまして偽造arp要求904を送信することができる。
未認証端末Xiは、偽造arp要求904を受信すると、未認証端末Xiのarpテーブル820内における登録情報920Bが、偽造arp要求904の送信元アドレス情報と同一の登録情報920Cに更新される。したがって、未認証端末Xiは、この偽造arp要求904に応答してarp応答905を送信することとなる(S95)。このarp応答905は、arpテーブル820の登録情報920Cを宛先アドレス情報としているため、arp応答905は、ネットワーク検疫装置Mに送信されることとなる。
これ以降、未認証端末Xiから認証済み端末Tjへデータを送信する場合、arpテーブル820の登録情報920Cがデータのヘッダ情報として記述されるため、当該データは認証済み端末Tjに送信されず、ネットワーク検疫装置Mに送信されることとなる。
このあと、認証済み端末Tjから未認証端末Xi宛のデータは、ネットワーク検疫装置Mに送信されることとなる(S96)。ネットワーク検疫装置Mでは、認証済み端末Tjから未認証端末Xi宛のデータを廃棄する。このように、未認証端末Xiと認証済み端末Tjとの間の通信を防止して、認証済み端末Tjからのデータを廃棄することにより、認証済み端末Tjをサイバーアタックによる被害から防止することができ、検疫ネットワークを実現することができる。
つぎに、図8および図9に示したシーケンス図の後半部分の変形例について説明する。図10は、図8および図9に示したシーケンス図の後半部分の変形例を示すシーケンス図である。なお、未認証端末Xiのarpテーブル820は、登録情報820C(920C)が書き込まれている状態とする。
未認証端末Xiが認証済み端末Tj宛にデータを送信しようとすると、登録情報820C(920C)により、ネットワーク検疫装置Mに送信されることとなる(S101)。ネットワーク検疫装置Mでは、通信プロトコル判定処理1001、すなわち、通信プロトコル判定部403による通信プロトコル判定処理(図5のステップS502)を実行する。
ネットワーク検疫装置Mは、未認証端末Xiを検疫対象端末とし、そのアドレス情報をセキュリティサーバSに転送する(S102)。セキュリティサーバSは、未認証端末Xiにセキュリティチェックツールを送信し(S103)、未認証端末XiはWebブラウザでセキュリティチェックツールの読込処理1002を実行する。
このあと、セキュリティサーバSと未認証端末Xiとの間でセキュリティ状態のチェックおよび治療をおこない(S104)、セキュリティサーバSは、未認証端末Xiの安全性確認処理1003を実行する。そして、セキュリティサーバSは、未認証端末Xiにセキュリティチェック完了通知を送信し(S105)、ネットワーク検疫装置Mにセキュリティ対策終了通知を送信する(S106)。
ネットワーク検疫装置Mは認証処理1004を実行する。具体的には、図3で示したアドレス情報リスト300に、セキュリティチェックされた未認証端末XiのMACアドレス『macxi』およびIPアドレス『ipxi』からなるアドレス情報を追加する。これにより、セキュリティサーバSと連携して検疫ネットワークを実現することができる。
(実施の形態2)
つぎに、この発明の実施の形態2にかかるネットワーク検疫装置について説明する。実施の形態2では、未認証端末Xiのarpテーブル820が静的に設定されている場合の不正対策を示している。なお、実施の形態1と同一構成には同一符号を付し、その説明を省略する。
つぎに、この発明の実施の形態2にかかるネットワーク検疫装置について説明する。実施の形態2では、未認証端末Xiのarpテーブル820が静的に設定されている場合の不正対策を示している。なお、実施の形態1と同一構成には同一符号を付し、その説明を省略する。
(アドレス情報リストの内容)
まず、この発明の実施の形態2にかかるアドレス情報リストについて説明する。図11は、この発明の実施の形態2にかかるアドレス情報リストを示す説明図である。図11において、このアドレス情報リスト1100は、未認証端末のIPアドレスipxi(i=1,・・・,k)を有している。このアドレス情報リスト1100は、図3に示したアドレス情報リスト300に記憶されている認証済み端末以外の端末のIPアドレスを記憶している。
まず、この発明の実施の形態2にかかるアドレス情報リストについて説明する。図11は、この発明の実施の形態2にかかるアドレス情報リストを示す説明図である。図11において、このアドレス情報リスト1100は、未認証端末のIPアドレスipxi(i=1,・・・,k)を有している。このアドレス情報リスト1100は、図3に示したアドレス情報リスト300に記憶されている認証済み端末以外の端末のIPアドレスを記憶している。
つぎに、この発明の実施の形態2にかかるネットワーク検疫装置Mの機能的構成について説明する。図12は、この発明の実施の形態2にかかるネットワーク検疫装置Mの機能的構成を示すブロック図である。図12において、ネットワーク検疫装置Mは、記憶部1201と、抽出部1202と、偽造arp要求送信部1203とから構成されている。
記憶部1201は、図3に示したアドレス情報リスト300と、ネットワーク内での通信許可に関して認証されていない未認証端末XのIPアドレス、具体的には、図11に示したアドレス情報リスト1100を記憶する。この記憶部1201は、具体的には、たとえば、図2に示したROM202、RAM203、HD205などの記録媒体によって、その機能を実現する。
また、抽出部1202は、記憶部1201からアドレス情報リスト1100内のIPアドレス(未認証IPアドレス)を抽出する。また、偽造arp要求送信部1203は、ネットワーク検疫装置MのMACアドレスおよびアドレス情報リスト1100のIPアドレスを送信元アドレス情報とする偽造arp要求を、ネットワーク内での通信許可に関して認証されている認証済み端末T(T1,・・・,Tj,・・・・,Tn)に送信する。
この偽造arp要求は、未認証IPアドレスを使用している端末Xと認証済み端末Tとの間の通信に先立って送信されるパケットであり、その送信元アドレス情報は、ネットワーク検疫装置MのMACアドレスと各未認証端末のIPアドレスからなり、宛先IPアドレスは、任意の認証済み端末Tjである。
また、偽造arp要求送信部1203は、未認証IPアドレスを使用している端末Xから認証済み端末Tへarp要求が送信された後、偽造arp要求を認証済み端末Tに送信することが好ましく、さらに、認証済み端末Tから未認証IPアドレスを使用している端末Xへarp要求に対するarp応答が送信される前に、偽造arp要求を認証済み端末Tに送信することとしてもよい。
なお、上述した抽出部1202および偽造arp要求送信部1203は、具体的には、たとえば、図2に示したROM202、RAM203、HD205などの記録媒体に記録されたプログラムを、CPU201が実行することによって、またはI/F209によって、その機能を実現する。
(ネットワーク検疫処理手順)
つぎに、この発明の実施の形態2にかかるネットワーク検疫処理手順について説明する。図13は、この発明の実施の形態2にかかるネットワーク検疫処理手順を示すフローチャートである。図13において、偽造arp要求送信部1203による偽造arp要求の配信時刻か否かを判定する(ステップS1301)。偽造arp要求の配信時刻である場合(ステップS1301:Yes)、アドレス情報リスト300を基に未認証IPアドレスを抽出し(ステップS1302)、未認証IPアドレスごとに、任意の認証済み端末Tjに偽造arp要求をブロードキャスト送信する(ステップS1303)。この後、ステップS1301に移行する。
つぎに、この発明の実施の形態2にかかるネットワーク検疫処理手順について説明する。図13は、この発明の実施の形態2にかかるネットワーク検疫処理手順を示すフローチャートである。図13において、偽造arp要求送信部1203による偽造arp要求の配信時刻か否かを判定する(ステップS1301)。偽造arp要求の配信時刻である場合(ステップS1301:Yes)、アドレス情報リスト300を基に未認証IPアドレスを抽出し(ステップS1302)、未認証IPアドレスごとに、任意の認証済み端末Tjに偽造arp要求をブロードキャスト送信する(ステップS1303)。この後、ステップS1301に移行する。
(ネットワーク検疫処理のシーケンス)
つぎに、この発明の実施の形態2にかかるネットワーク検疫処理のシーケンスについて説明する。図14は、この発明の実施の形態2にかかるネットワーク検疫処理のシーケンス図である。図14において、未認証IPアドレスを使用している端末Xiは、arpテーブル820の登録情報1220Aによって特定される認証済み端末Tj宛にarp要求1401を送信する(S141)。認証済み端末Tjは、arp要求1401を受信すると、認証済み端末Tjのarpテーブル810内における空の登録情報1410Aが、arp要求1401の送信元アドレス情報と同一の登録情報1410Bに更新される。
つぎに、この発明の実施の形態2にかかるネットワーク検疫処理のシーケンスについて説明する。図14は、この発明の実施の形態2にかかるネットワーク検疫処理のシーケンス図である。図14において、未認証IPアドレスを使用している端末Xiは、arpテーブル820の登録情報1220Aによって特定される認証済み端末Tj宛にarp要求1401を送信する(S141)。認証済み端末Tjは、arp要求1401を受信すると、認証済み端末Tjのarpテーブル810内における空の登録情報1410Aが、arp要求1401の送信元アドレス情報と同一の登録情報1410Bに更新される。
つぎに、ネットワーク検疫装置Mは、未認証IPアドレスごとに偽造arp要求1402(1402−1,・・・,1402−i,・・・,1402−k)を認証済み端末Tjに送信する(S142)。これにより、arpテーブル810は、偽造arp要求1402(1402−1,・・・,1402−i,・・・,1402−k)の各送信元アドレス情報からなる登録情報1410Cに更新される。
このあと、認証済み端末Tjは、arp要求1401を送信した未認証IPアドレスを使用している端末Xi宛にarp応答をしようするが、arpテーブル810は、登録情報1410Cに更新されているため、MACアドレス『macm』およびIPアドレス『ipxi』を宛先アドレス情報とするarp応答143をネットワーク検疫装置Mに送信する(S143)。このように、常時、偽造arp要求1402を認証済み端末Tjに送信することにより、未認証IPアドレスを使用している端末と認証済み端末Tjとの間の通信を防止することができる。したがって、認証済み端末Tjをサイバーアタックによる被害から防止することができ、検疫ネットワークを実現することができる。
以上説明したように、ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置Mによれば、ネットワーク内において、ウイルス(ワーム)の感染拡大や不正侵入をはじめとするサイバーアタックによる被害を防止することができる。また、このようなネットワーク検疫処理をソフトウェアによって実現することができるため、認証機能付き中継装置の導入に際しスイッチSWの置き換え作業や設置作業が不要である。したがって、低廉な検疫ネットワークを簡単に導入して検疫ネットワークを実現することによりセキュリティの向上を図ることができる。
なお、本実施の形態で説明したネットワーク検疫方法は、予め用意されたプログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。またこのプログラムは、インターネット等のネットワークを介して配布することが可能な伝送媒体であってもよい。
(付記1)コンピュータに、ネットワーク内において通信サーバに接続されている端末間の通信を検疫させるネットワーク検疫プログラムであって、
任意のarp要求を受信させるarp要求受信工程と、
前記arp要求受信工程によって受信されたarp要求の送信元端末と前記arp要求によって宛先に指定された送信先端末が、前記ネットワーク内での通信許可に関して認証されているか否かを判定させる判定工程と、
前記判定工程によって判定された判定結果に基づいて、前記通信サーバのMACアドレスおよび前記送信先端末のIPアドレスを送信元アドレス情報とする偽造arp応答を、前記送信元端末に送信させる偽造arp応答送信工程と、
を前記コンピュータに実行させることを特徴とするネットワーク検疫プログラム。
任意のarp要求を受信させるarp要求受信工程と、
前記arp要求受信工程によって受信されたarp要求の送信元端末と前記arp要求によって宛先に指定された送信先端末が、前記ネットワーク内での通信許可に関して認証されているか否かを判定させる判定工程と、
前記判定工程によって判定された判定結果に基づいて、前記通信サーバのMACアドレスおよび前記送信先端末のIPアドレスを送信元アドレス情報とする偽造arp応答を、前記送信元端末に送信させる偽造arp応答送信工程と、
を前記コンピュータに実行させることを特徴とするネットワーク検疫プログラム。
(付記2)前記偽造arp応答送信工程は、
前記判定工程によって前記送信元端末のみが未認証であると判定された場合、前記偽造arp応答を、未認証の前記送信元端末に送信させることを特徴とする付記1に記載のネットワーク検疫プログラム。
前記判定工程によって前記送信元端末のみが未認証であると判定された場合、前記偽造arp応答を、未認証の前記送信元端末に送信させることを特徴とする付記1に記載のネットワーク検疫プログラム。
(付記3)前記偽造arp応答送信工程は、
前記arp要求に対するarp応答が認証済みの前記送信先端末から未認証の前記送信元端末に送信された後に、前記偽造arp応答を、未認証の前記送信元端末に送信させることを特徴とする付記2に記載のネットワーク検疫プログラム。
前記arp要求に対するarp応答が認証済みの前記送信先端末から未認証の前記送信元端末に送信された後に、前記偽造arp応答を、未認証の前記送信元端末に送信させることを特徴とする付記2に記載のネットワーク検疫プログラム。
(付記4)前記通信サーバのMACアドレスおよび前記送信元端末のIPアドレスを送信元アドレス情報とする偽造arp要求を、認証済みの前記送信先端末に送信させる偽造arp要求送信工程をコンピュータに実行させることを特徴とする付記2または3に記載のネットワーク検疫プログラム。
(付記5)前記偽造arp応答を受信した未認証の前記送信元端末から、認証済みの前記送信先端末を宛先とするデータが受信された場合、前記送信先端末に対する通信拒否に関する情報を送信させる通信拒否情報送信工程をコンピュータに実行させることを特徴とする付記2〜4のいずれか一つに記載のネットワーク検疫プログラム。
(付記6)前記偽造arp応答送信工程は、
前記判定工程によって前記送信先端末のみが未認証端末であると判定された場合、前記偽造arp応答を、認証済みの前記送信元端末に送信させることを特徴とする付記1に記載のネットワーク検疫プログラム。
前記判定工程によって前記送信先端末のみが未認証端末であると判定された場合、前記偽造arp応答を、認証済みの前記送信元端末に送信させることを特徴とする付記1に記載のネットワーク検疫プログラム。
(付記7)前記偽造arp応答送信工程は、
前記arp要求に対するarp応答が未認証の前記送信先端末から認証済みの前記送信元端末に送信された後に、前記偽造arp応答を、認証済みの前記送信元端末に送信させることを特徴とする付記6に記載のネットワーク検疫プログラム。
前記arp要求に対するarp応答が未認証の前記送信先端末から認証済みの前記送信元端末に送信された後に、前記偽造arp応答を、認証済みの前記送信元端末に送信させることを特徴とする付記6に記載のネットワーク検疫プログラム。
(付記8)前記通信サーバのMACアドレスおよび前記送信元端末のIPアドレスを送信元アドレス情報とする偽造arp要求を、未認証の前記送信先端末に送信する偽造arp要求送信工程をコンピュータに実行させることを特徴とする付記6または7に記載のネットワーク検疫プログラム。
(付記9)前記偽造arp応答を受信した認証済みの前記送信元端末から、未認証の前記送信先端末宛のデータが受信された場合、当該データを廃棄するデータ廃棄工程をコンピュータに実行させることを特徴とする付記6〜8のいずれか一つに記載のネットワーク検疫プログラム。
(付記10)前記偽造arp応答送信工程は、
前記判定工程によって前記送信元端末および前記送信先端末がともに認証済みであると判定された場合、前記偽造arp応答を送信させないことを特徴とする付記1に記載のネットワーク検疫プログラム。
前記判定工程によって前記送信元端末および前記送信先端末がともに認証済みであると判定された場合、前記偽造arp応答を送信させないことを特徴とする付記1に記載のネットワーク検疫プログラム。
(付記11)コンピュータに、ネットワーク内において通信サーバに接続されている端末間の通信を検疫させるネットワーク検疫プログラムであって、
前記コンピュータに、前記ネットワーク内での通信許可に関して認証されていない未認証端末と前記ネットワーク内での通信許可に関して認証されている認証済み端末との間の通信に先立って、前記通信サーバのMACアドレスおよび前記未認証端末のIPアドレスを送信元アドレス情報とする偽造arp要求を、前記認証済み端末に送信させることを特徴とするネットワーク検疫プログラム。
前記コンピュータに、前記ネットワーク内での通信許可に関して認証されていない未認証端末と前記ネットワーク内での通信許可に関して認証されている認証済み端末との間の通信に先立って、前記通信サーバのMACアドレスおよび前記未認証端末のIPアドレスを送信元アドレス情報とする偽造arp要求を、前記認証済み端末に送信させることを特徴とするネットワーク検疫プログラム。
(付記12)前記コンピュータに、前記未認証端末から前記認証済み端末へarp要求が送信された後、前記偽造arp要求を前記認証済み端末に送信させることを特徴とする付記11に記載のネットワーク検疫プログラム。
(付記13)前記コンピュータに、前記認証済み端末から前記未認証端末へ前記arp要求に対するarp応答が送信された後に、前記偽造arp要求を前記認証済み端末に送信させることを特徴とする付記11または12に記載のネットワーク検疫プログラム。
(付記14)付記1〜13のいずれか一つに記載のネットワーク検疫プログラムを記録したコンピュータに読み取り可能な記録媒体。
(付記15)ネットワーク内において通信サーバに接続されている端末間の通信を検疫するネットワーク検疫方法であって、
任意のarp要求を受信するarp要求受信工程と、
前記arp要求受信工程によって受信されたarp要求の送信元端末と前記arp要求によって宛先に指定された送信先端末が、前記ネットワーク内での通信許可に関して認証されているか否かを判定する判定工程と、
前記判定工程によって判定された判定結果に基づいて、前記通信サーバのMACアドレスおよび前記送信先端末のIPアドレスを送信元アドレス情報とする偽造arp応答を、前記送信元端末に送信する偽造arp応答送信工程と、
を含んだことを特徴とするネットワーク検疫方法。
任意のarp要求を受信するarp要求受信工程と、
前記arp要求受信工程によって受信されたarp要求の送信元端末と前記arp要求によって宛先に指定された送信先端末が、前記ネットワーク内での通信許可に関して認証されているか否かを判定する判定工程と、
前記判定工程によって判定された判定結果に基づいて、前記通信サーバのMACアドレスおよび前記送信先端末のIPアドレスを送信元アドレス情報とする偽造arp応答を、前記送信元端末に送信する偽造arp応答送信工程と、
を含んだことを特徴とするネットワーク検疫方法。
(付記16)ネットワーク内において通信サーバに接続されている端末間の通信を検疫するネットワーク検疫方法であって、
前記ネットワーク内での通信許可に関して認証されていない未認証端末と前記ネットワーク内での通信許可に関して認証されている認証済み端末との間の通信に先立って、前記通信サーバのMACアドレスおよび前記未認証端末のIPアドレスを送信元アドレス情報とする偽造arp要求を、前記認証済み端末に送信することを特徴とするネットワーク検疫方法。
前記ネットワーク内での通信許可に関して認証されていない未認証端末と前記ネットワーク内での通信許可に関して認証されている認証済み端末との間の通信に先立って、前記通信サーバのMACアドレスおよび前記未認証端末のIPアドレスを送信元アドレス情報とする偽造arp要求を、前記認証済み端末に送信することを特徴とするネットワーク検疫方法。
(付記17)ネットワーク内における端末間の通信を検疫するネットワーク検疫装置であって、
任意のarp要求を受信する受信手段と、
前記受信手段によって受信されたarp要求の送信元端末と前記arp要求によって宛先に指定された送信先端末が、前記ネットワーク内での通信許可に関して認証されているか否かを判定する判定手段と、
前記判定手段によって判定された判定結果に基づいて、前記ネットワーク検疫装置のMACアドレスおよび前記送信先端末のIPアドレスを送信元アドレス情報とする偽造arp応答を、前記送信元端末に送信する偽造arp応答送信手段と、
を備えることを特徴とするネットワーク検疫装置。
任意のarp要求を受信する受信手段と、
前記受信手段によって受信されたarp要求の送信元端末と前記arp要求によって宛先に指定された送信先端末が、前記ネットワーク内での通信許可に関して認証されているか否かを判定する判定手段と、
前記判定手段によって判定された判定結果に基づいて、前記ネットワーク検疫装置のMACアドレスおよび前記送信先端末のIPアドレスを送信元アドレス情報とする偽造arp応答を、前記送信元端末に送信する偽造arp応答送信手段と、
を備えることを特徴とするネットワーク検疫装置。
(付記18)ネットワーク内における端末間の通信を検疫するネットワーク検疫装置であって、
前記ネットワーク内での通信許可に関して認証されていない未認証端末のIPアドレスを記憶する記憶手段と、
前記ネットワーク検疫装置のMACアドレスおよび前記記憶手段に記憶されているIPアドレスを送信元アドレス情報とする偽造arp要求を、前記ネットワーク内での通信許可に関して認証されている認証済み端末に送信する偽造arp要求送信手段と、
を備えることを特徴とするネットワーク検疫装置。
前記ネットワーク内での通信許可に関して認証されていない未認証端末のIPアドレスを記憶する記憶手段と、
前記ネットワーク検疫装置のMACアドレスおよび前記記憶手段に記憶されているIPアドレスを送信元アドレス情報とする偽造arp要求を、前記ネットワーク内での通信許可に関して認証されている認証済み端末に送信する偽造arp要求送信手段と、
を備えることを特徴とするネットワーク検疫装置。
以上のように、本発明にかかるネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置は、ネットワーク内のコンピュータ装置の検疫に有用であり、特に、TCP/IPネットワークに適している。
100 ネットワーク検疫システム
300,1100 アドレス情報リスト
401,1201 記憶部
402 受信部
403 通信プロトコル判定部
404 検疫サービス処理部
405 通信拒否情報送信部
406 認証判定部
407 偽造arp応答送信部
408,1203 偽造arp要求送信部
1202 抽出部
M ネットワーク検疫装置
R ルータ
S セキュリティサーバ
SW スイッチ
T(T1,・・・,Tj,・・・,Tn) 認証済み端末
X(X1,・・・,Xi,・・・,Tk) 未認証端末
300,1100 アドレス情報リスト
401,1201 記憶部
402 受信部
403 通信プロトコル判定部
404 検疫サービス処理部
405 通信拒否情報送信部
406 認証判定部
407 偽造arp応答送信部
408,1203 偽造arp要求送信部
1202 抽出部
M ネットワーク検疫装置
R ルータ
S セキュリティサーバ
SW スイッチ
T(T1,・・・,Tj,・・・,Tn) 認証済み端末
X(X1,・・・,Xi,・・・,Tk) 未認証端末
Claims (10)
- コンピュータに、ネットワーク内において通信サーバに接続されている端末間の通信を検疫させるネットワーク検疫プログラムであって、
任意のarp要求を受信させるarp要求受信工程と、
前記arp要求受信工程によって受信されたarp要求の送信元端末と前記arp要求によって宛先に指定された送信先端末が、前記ネットワーク内での通信許可に関して認証されているか否かを判定させる判定工程と、
前記判定工程によって判定された判定結果に基づいて、前記通信サーバのMACアドレスおよび前記送信先端末のIPアドレスを送信元アドレス情報とする偽造arp応答を、前記送信元端末に送信させる偽造arp応答送信工程と、
を前記コンピュータに実行させることを特徴とするネットワーク検疫プログラム。 - 前記偽造arp応答送信工程は、
前記判定工程によって前記送信元端末のみが未認証であると判定された場合、前記偽造arp応答を、未認証の前記送信元端末に送信させることを特徴とする請求項1に記載のネットワーク検疫プログラム。 - 前記偽造arp応答送信工程は、
前記判定工程によって前記送信先端末のみが未認証端末であると判定された場合、前記偽造arp応答を、認証済みの前記送信元端末に送信させすることを特徴とする請求項1に記載のネットワーク検疫プログラム。 - 前記偽造arp応答送信工程は、
前記判定工程によって前記送信元端末および前記送信先端末がともに認証済みであると判定された場合、前記偽造arp応答を送信させないことを特徴とする請求項1に記載のネットワーク検疫プログラム。 - コンピュータに、ネットワーク内において通信サーバに接続されている端末間の通信を検疫させるネットワーク検疫プログラムであって、
前記コンピュータに、
前記ネットワーク内での通信許可に関して認証されていない未認証端末と前記ネットワーク内での通信許可に関して認証されている認証済み端末との間の通信に先立って、前記通信サーバのMACアドレスおよび前記未認証端末のIPアドレスを送信元アドレス情報とする偽造arp要求を、前記認証済み端末に送信させることを特徴とするネットワーク検疫プログラム。 - 請求項1から5に記載のネットワーク検疫プログラムを記録したコンピュータに読み取り可能な記録媒体。
- ネットワーク内において通信サーバに接続されている端末間の通信を検疫するネットワーク検疫方法であって、
任意のarp要求を受信するarp要求受信工程と、
前記arp要求受信工程によって受信されたarp要求の送信元端末と前記arp要求によって宛先に指定された送信先端末が、前記ネットワーク内での通信許可に関して認証されているか否かを判定する判定工程と、
前記判定工程によって判定された判定結果に基づいて、前記通信サーバのMACアドレスおよび前記送信先端末のIPアドレスを送信元アドレス情報とする偽造arp応答を、前記送信元端末に送信する偽造arp応答送信工程と、
を含んだことを特徴とするネットワーク検疫方法。 - ネットワーク内において通信サーバに接続されている端末間の通信を検疫するネットワーク検疫方法であって、
前記ネットワーク内での通信許可に関して認証されていない未認証端末と前記ネットワーク内での通信許可に関して認証されている認証済み端末との間の通信に先立って、前記通信サーバのMACアドレスおよび前記未認証端末のIPアドレスを送信元アドレス情報とする偽造arp要求を、前記認証済み端末に送信することを特徴とするネットワーク検疫方法。 - ネットワーク内における端末間の通信を検疫するネットワーク検疫装置であって、
任意のarp要求を受信する受信手段と、
前記受信手段によって受信されたarp要求の送信元端末と前記arp要求によって宛先に指定された送信先端末が、前記ネットワーク内での通信許可に関して認証されているか否かを判定する判定手段と、
前記判定手段によって判定された判定結果に基づいて、前記ネットワーク検疫装置のMACアドレスおよび前記送信先端末のIPアドレスを送信元アドレス情報とする偽造arp応答を、前記送信元端末に送信する偽造arp応答送信手段と、
を備えることを特徴とするネットワーク検疫装置。 - ネットワーク内における端末間の通信を検疫するネットワーク検疫装置であって、
前記ネットワーク内での通信許可に関して認証されていない未認証端末のIPアドレスを記憶する記憶手段と、
前記ネットワーク検疫装置のMACアドレスおよび前記記憶手段に記憶されているIPアドレスを送信元アドレス情報とする偽造arp要求を、前記ネットワーク内での通信許可に関して認証されている認証済み端末に送信する偽造arp要求送信手段と、
を備えることを特徴とするネットワーク検疫装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005076074A JP2006262019A (ja) | 2005-03-16 | 2005-03-16 | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005076074A JP2006262019A (ja) | 2005-03-16 | 2005-03-16 | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006262019A true JP2006262019A (ja) | 2006-09-28 |
Family
ID=37100767
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005076074A Pending JP2006262019A (ja) | 2005-03-16 | 2005-03-16 | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006262019A (ja) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008154012A (ja) * | 2006-12-19 | 2008-07-03 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワーク通信方法,ネットワーク検疫システム |
| JP2008244765A (ja) * | 2007-03-27 | 2008-10-09 | Toshiba Corp | 動的ホスト構成プロトコルサーバ及びipアドレス割り当て方法 |
| JP2008244808A (ja) * | 2007-03-27 | 2008-10-09 | Matsushita Electric Works Ltd | 通信セキュリティシステム及び通信セキュリティ装置 |
| JP2008278134A (ja) * | 2007-04-27 | 2008-11-13 | Chuden Cti Co Ltd | ネットワーク制御装置、ネットワーク制御方法及びコンピュータプログラム |
| JP2008278133A (ja) * | 2007-04-27 | 2008-11-13 | Chuden Cti Co Ltd | ネットワーク認証手段、端末装置、ネットワーク認証システム及び認証方法 |
| JP2009159045A (ja) * | 2007-12-25 | 2009-07-16 | Nec Corp | 接続制御装置及び接続制御方法並びに制御プログラム |
| JP2011124774A (ja) * | 2009-12-10 | 2011-06-23 | Toshiba Corp | ネットワーク監視装置、ネットワーク監視方法 |
| JP2011205560A (ja) * | 2010-03-26 | 2011-10-13 | Nec Corp | 不正接続防止装置及びプログラム |
| JP2011223256A (ja) * | 2010-04-08 | 2011-11-04 | Pfu Ltd | 通信監視装置、方法およびプログラム |
| JP2011248673A (ja) * | 2010-05-27 | 2011-12-08 | Canon Inc | サービス公開装置、方法、及び、プログラム |
| JP2012138727A (ja) * | 2010-12-27 | 2012-07-19 | Pfu Ltd | 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム |
| JP2019041176A (ja) * | 2017-08-23 | 2019-03-14 | 株式会社ソフトクリエイト | 不正接続遮断装置及び不正接続遮断方法 |
| CN114024716A (zh) * | 2021-10-05 | 2022-02-08 | 广州非凡信息安全技术有限公司 | 一种基于mac地址动态欺骗实现定向微隔离的方法和装置 |
-
2005
- 2005-03-16 JP JP2005076074A patent/JP2006262019A/ja active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008154012A (ja) * | 2006-12-19 | 2008-07-03 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワーク通信方法,ネットワーク検疫システム |
| JP2008244765A (ja) * | 2007-03-27 | 2008-10-09 | Toshiba Corp | 動的ホスト構成プロトコルサーバ及びipアドレス割り当て方法 |
| JP2008244808A (ja) * | 2007-03-27 | 2008-10-09 | Matsushita Electric Works Ltd | 通信セキュリティシステム及び通信セキュリティ装置 |
| JP2008278134A (ja) * | 2007-04-27 | 2008-11-13 | Chuden Cti Co Ltd | ネットワーク制御装置、ネットワーク制御方法及びコンピュータプログラム |
| JP2008278133A (ja) * | 2007-04-27 | 2008-11-13 | Chuden Cti Co Ltd | ネットワーク認証手段、端末装置、ネットワーク認証システム及び認証方法 |
| JP2009159045A (ja) * | 2007-12-25 | 2009-07-16 | Nec Corp | 接続制御装置及び接続制御方法並びに制御プログラム |
| JP2011124774A (ja) * | 2009-12-10 | 2011-06-23 | Toshiba Corp | ネットワーク監視装置、ネットワーク監視方法 |
| JP2011205560A (ja) * | 2010-03-26 | 2011-10-13 | Nec Corp | 不正接続防止装置及びプログラム |
| JP2011223256A (ja) * | 2010-04-08 | 2011-11-04 | Pfu Ltd | 通信監視装置、方法およびプログラム |
| JP2011248673A (ja) * | 2010-05-27 | 2011-12-08 | Canon Inc | サービス公開装置、方法、及び、プログラム |
| US8725817B2 (en) | 2010-05-27 | 2014-05-13 | Canon Kabushiki Kaisha | Service disclosure device, service disclosure method, and program |
| JP2012138727A (ja) * | 2010-12-27 | 2012-07-19 | Pfu Ltd | 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム |
| JP2019041176A (ja) * | 2017-08-23 | 2019-03-14 | 株式会社ソフトクリエイト | 不正接続遮断装置及び不正接続遮断方法 |
| CN114024716A (zh) * | 2021-10-05 | 2022-02-08 | 广州非凡信息安全技术有限公司 | 一种基于mac地址动态欺骗实现定向微隔离的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2006262019A (ja) | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 | |
| JP7084778B2 (ja) | 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法 | |
| US20210234837A1 (en) | System and method to detect and prevent Phishing attacks | |
| EP3127301B1 (en) | Using trust profiles for network breach detection | |
| EP2401849B1 (en) | Detecting malicious behaviour on a computer network | |
| US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
| US9628498B1 (en) | System and method for bot detection | |
| EP2156361B1 (en) | Reduction of false positive reputations through collection of overrides from customer deployments | |
| US8893278B1 (en) | Detecting malware communication on an infected computing device | |
| JP4327698B2 (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
| EP1844399B1 (en) | Distributed traffic scanning through data stream security tagging | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| GB2512954A (en) | Detecting and marking client devices | |
| WO2006107320A1 (en) | Latency free scanning of malware at a network transit point | |
| EP2754081A1 (en) | Dynamic cleaning for malware using cloud technology | |
| JP2010026662A (ja) | 情報漏洩防止システム | |
| Bajpai et al. | The art of mapping IoT devices in networks | |
| JP5549281B2 (ja) | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム | |
| Ganame et al. | Network behavioral analysis for zero-day malware detection–a case study | |
| JP4298622B2 (ja) | 不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラム | |
| JP2011258018A (ja) | セキュリティサーバシステム | |
| JP3836472B2 (ja) | 通信妨害サーバ、通信妨害プログラム、通信妨害方法、情報通信システム及び情報通信方法 | |
| JP4447479B2 (ja) | データ処理装置 | |
| JP5456636B2 (ja) | ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム | |
| JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080527 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080603 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080804 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080909 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081110 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090113 |