JP2007074383A - 情報システム - Google Patents

情報システム Download PDF

Info

Publication number
JP2007074383A
JP2007074383A JP2005259359A JP2005259359A JP2007074383A JP 2007074383 A JP2007074383 A JP 2007074383A JP 2005259359 A JP2005259359 A JP 2005259359A JP 2005259359 A JP2005259359 A JP 2005259359A JP 2007074383 A JP2007074383 A JP 2007074383A
Authority
JP
Japan
Prior art keywords
information
packet
traffic
limit value
transmitted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005259359A
Other languages
English (en)
Inventor
Kazuya Kubo
和也 久保
Nobuo Okabe
宣夫 岡部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2005259359A priority Critical patent/JP2007074383A/ja
Priority to PCT/JP2006/312236 priority patent/WO2007029396A1/ja
Publication of JP2007074383A publication Critical patent/JP2007074383A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】不正アクセスの検知及び対応を迅速且つ確実に行うことが可能な情報システムを提供する。
【解決手段】定常運用時におけるトラフィックの特徴を示した指標情報に基づいて、スイッチ10から送信されたパケット情報に係るトラフィックが異常か否かを判別し、異常と判別したトラフィックに係るスイッチ10の通信ポートの転送速度を制御する。
【選択図】図5

Description

本発明は、情報システムに関し、特に、ネットワーク上を流れるトラフィックの監視を行う情報システムに関する。
インターネット等のオープンな情報ネットワークの普及に伴い、悪意ある者による不正侵入やサービス不能攻撃(Dos Attack:Denial Of Service Attack)等の不正アクセスが、セキュリティ上の問題となっている。従来の情報ネットワークにおいては、上記したセキュリティ上の問題に対し、ファイアウォール(Firewall)等のアクセス制御を行うことが可能な装置をネットワーク経路上に設けることで、不正アクセスを防いでいる(例えば、特許文献1参照)。
以下、図10〜図12を参照して、従来の情報システム100のネットワーク構成を説明する。
図10に示すように、情報システム100は、内部ネットワークLANにおいてネットワークセグメントを構成し、各端末20から送信されるパケットを転送するスイッチ10a、10b及び10cと、内部ネットワークLANと外部ネットワークWANとの間におけるパケットの送受信を制御(アクセスコントロール)するファイアウォールFW、内部ネットワークLAN、外部ネットワークWAN間のパケット転送を中継するルータ30から構成されており、内部ネットワークLAN及び外部ネットワークWANは、ネットワークNを介して相互に通信可能に接続されている。なお、スイッチ内に示された矩形は当該スイッチが有する物理的な通信ポートを意味しており、矩形内の数値は各ポートを識別するための識別番号を意味している。
図11は、情報システム100のファイアウォールFWにより不正アクセスの検知が行われる際の動作を示したフローチャートである。
ファイアウォールFWは、外部ネットワークWANから送信されたパケットを受信すると(ステップS61)、内部ネットワークLAN−外部ネットワークWAN間におけるセキュリティポリシーが予め規定されたアクセスコントロールテーブル(例えば、送信元及び/又は送信先機器のIPアドレスやTCP/UDPポート番号等を対応付けたテーブル)を参照し(ステップS62)、このパケットに係る一連のトラフィックが許可されたものか否かを判定する(ステップS63)。ここで、許可されていない異常な通信と判定した場合には(ステップS13;No)、このパケットを破棄し(ステップS64)、本処理は終了する。一方、許可された正常なトラフィックと判定した場合には(ステップS63;Yes)、このパケットを内部ネットワークに転送し(ステップS65)、本処理は終了する。
また、情報システム100に接続された各端末20に不正アクセスを検知する不正検知ソフトウェアを導入することにより、ネットワークの末端において不正アクセスの検知を行うネットワークシステムが提案されている(例えば、特許文献2参照)。
図12は、情報システム100の各端末20により不正アクセスの検知が行われる際の動作を示したフローチャートである。
端末20は、スイッチ10a、10b又は10cからパケットを受信すると(ステップS71)、このパケットに係るトラフィックに異常があるか否かを判定する(ステップS72)。ここで、異常ありと判定した場合には(ステップS72;No)、このパケットを破棄し(ステップS73)、本処理は終了する。一方、異常なしと判定した場合には(ステップS72;Yes)、このパケットに基づいて所定の処理を実行し(ステップS74)、本処理は終了する。
一方、工場施設等のプラントの制御に係るプラント情報システムの分野においても、近年TCP/IP技術を用いた情報の送受信が行われるようになってきており、上述した情報システム同様のセキュリティ上の問題が懸念されている。特に、プラント情報システムにおいては、生産停止等の経済的な損失が甚大となるため可用性の維持は必須事項となっている。
特開2005−124055号公報 特開2004−54470号公報
しかしながら、従来のファイアウォールを用いたシステム構成では、内部ネットワークLAN−外部ネットワークWAN間を通過するトラフィックのみがアクセス制御対象となるため、内部ネットワークLAN内で発生する不正アクセスを検知することができず、不正アクセスに対応することができないため、システムの可用性を維持することが困難である。
また、端末にて不正アクセスの検知を行う構成では、各端末に不正アクセス検知ソフトウェアを導入する必要があるため、コストが増大するという問題がある。また、各端末の計算資源に制限があるため、不正アクセスを検知する機能を追加することが困難である場合がある。また、不正アクセスが検知された端末の物理的位置(どこのスイッチのどの通信ポートに接続されているか)を判定できず、その対応が遅れる可能性があるため、システムの可用性を維持することが困難である。
さらに、上述したファイアウォール等の従来技術は、単独或いは限られたセッションのみのパケットに基づいて不正アクセスか否かを判断するため、内部ネットワークLANに設けられた無線機器等のアクセスポイントや、スイッチの入り口(バックドア)を介してして不正アクセスが行われたことを検知することができず、内部ネットワーク内で行われる不正アクセスに対しては有効な手法とはなりえない。そのため、無線アクセスポイント等の内部ネットワーク内の入り口(バックドア)からの侵入トラフィックを含む各端末間のトラフィックを監視する必要があるが、不特定の端末から不定期に送受信が行われるような動的なトラフィック環境を有するオフィス等の一般の情報システムにおいては、その動的なトラフィック特性により、異常と判断する際の指標の確率が困難であるため、異常か否かの判断を有効に行うことができないという問題がある。
本発明の課題は、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能な情報システムを提供することである。
上記課題を解決するために、請求項1に記載の発明は、
複数の通信ポートに夫々接続される一又は複数の端末から送信されたパケットを他の端末に転送するスイッチング手段と、前記送信されたパケットに関するパケット情報を生成するパケット情報生成手段と、前記生成されたパケット情報を送信するパケット情報送信手段とを備えたネットワーク機器と、前記ネットワーク機器から送信されたパケット情報を記憶するトラフィック収集サーバと、を有した情報システムであって、
前記収集サーバは、定常運用時におけるトラフィックの特徴を示した指標情報を記憶する指標情報記憶手段と、前記記憶された指標情報と前記受信されたパケット情報とに基づいて当該パケット情報に係るトラフィックが異常か否かを判別する異常判別手段と、前記異常判別手段により異常と判別されたトラフィックに係るネットワーク機器の通信ポートの転送速度を変更する指示情報を生成し、当該ネットワーク機器に送信する異常対応手段と、を備え、
前記転送手段は、前記異常対応手段からの指示情報に基づいて、当該指示情報で指示された前記通信ポートの転送速度を制御することを特徴としている。
更に、請求項2に記載の発明は、請求項1に記載の発明において、
前記収集サーバは、前記記憶された複数のパケット情報から前記指標情報を生成し、前記指標情報記憶手段に記憶させるトラフィック解析手段を備えたことを特徴としている。
更に、請求項3に記載の発明は、請求項1又は2に記載の発明において、
前記パケット情報は、当該パケット情報を生成したネットワーク機器の識別情報、当該ネットワーク機器においてパケットが送信及び/又は受信された通信ポートの識別情報、前記パケットの送信元端末及び受信先端末の識別情報、前記パケットのパケットサイズ、前記パケットのヘッダ部に含まれたヘッダ情報、前記パケット情報の生成日時を示すタイムスタンプ、前記パケットのプロトコル種別に関する情報を少なくとも含むことを特徴としている。
更に、請求項4に記載の発明は、請求項1に記載の発明において
前記指標情報は、前記ネットワーク機器における特定の通信ポートにおいて送信及び/又は受信されるパケット数の上限値及び/又は下限値、特定の通信ポートにおいてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値、特定の通信ポートに接続される前記端末の識別情報の何れか又は全てを含むことを特徴としている。
更に、請求項5に記載の発明は、請求項1又は4に記載の発明において
前記指標情報は、前記複数の端末のうち、特定の端末間で送信及び/又は受信されるパケット数の上限値及び/又は下限値、前記特定の端末間においてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値の何れか又は全てを含むことを特徴としている。
更に、請求項6に記載の発明は、請求項1、4又は5に記載の発明において、
前記指標情報は、前記複数の端末間のうち、特定の端末間において予め定められた前記パケットの送信及び/又は受信に関する設定を含むことを特徴としている。
更に、請求項7に記載の発明は、請求項1に記載の発明において、
前記ネットワーク機器は、前記端末から送信されたパケットから一のパケットを所定のタイミング毎に抽出するパケットサンプリング手段を備え、
前記パケット情報生成手段は、前記抽出されたパケットのパケット情報を生成することを特徴としている。
請求項1に記載の発明によれば、定常運用時におけるトラフィックの特徴を示した指標情報に基づいて、ネットワーク機器から送信されたパケット情報に係るトラフィックが異常か否かを判別し、異常と判別したトラフィックに係るネットワーク機器の通信ポートの転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能であるため、システムの可用性を維持することができる。
請求項2に記載の発明によれば、指標情報を複数のパケット情報から生成する。これにより、本情報システムが適用されるネットワークのトラフィック環境に応じた指標情報を生成することができる。
請求項3に記載の発明によれば、パケット情報に、当該パケット情報を生成したネットワーク機器の識別情報、このネットワーク機器においてパケットが送信及び/又は受信された通信ポートの識別情報、パケットの送信元及び受信先端末の識別情報、前記パケットのパケットサイズ、前記パケットのヘッダ部に含まれたヘッダ情報、前記パケットの生成日時を示すタイムスタンプ、前記パケットのプロトコル種別に関する情報を少なくとも含めることができる。
請求項4に記載の発明によれば、前記ネットワーク機器における特定の通信ポートにおいて送信及び/又は受信されるパケット数の上限値及び/又は下限値、特定の通信ポートにおいてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値、特定の通信ポートに接続される前記端末の識別情報の何れか又は全てに基づいて,トラフィックが異常か否かを判断することができる。
請求項5に記載の発明によれば、特定の端末間で送信及び/又は受信されるパケット数の上限値及び/又は下限値、前記特定の端末間においてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値の何れか又は全てに基づいて、トラフィックが異常か否かを判断することができる。
請求項6に記載の発明によれば、複数の端末間において予め定められたパケットの送信及び/又は受信に関する設定に基づいて、トラフィックが異常か否かを判断することができる。
請求項7に記載の発明によれば、所定のタイミング毎に抽出した一のパケットに基づいて、パケット情報を生成することができるため、ネットワーク機器にかかる負荷を抑えることができる。
以下、図面を参照して本発明を実施するための最良の形態について詳細に説明する。ただし、発明の範囲は図示例に限定されないものとする。
<第1の実施形態>
まず、図1を参照して本実施形態における情報システム100の構成を説明する。なお、本実施形態における情報システム100は、プラントの稼働監視や、制御を行うプラント情報システムであるものとし、内部ネットワークLAN内のスイッチ10a、10b又は10cに接続される端末(ノード)20は、プラント内に設置されたフィールド機器や、当該フィールド機器から出力される各種プラントデータの収集や稼働監視を行うPC(Personal Computer)やサーバ等であるものとする。ここでフィールド機器とは、温度センサ、圧力センサ、流量センサ等の計測機器と、バルブ開閉器や火力調整器等の調整機器を含む意であって、当該フィールド機器により計測される計測量や、調整の度合いを示す調整量等のプロセス量がプロセスデータとして出力される。
図1に示すとおり、情報システム100は、内部ネットワークLANにおいてネットワークセグメントを構成し、各端末20において送信されたパケットを他の端末20に転送するとともに、当該パケットに係る統計情報を生成し送信するスイッチ10a、10b及び10c(以下、スイッチ10a、10b及び10cを総じてスイッチ10という)と、内部ネットワークLAN、外部ネットワークWAN間のパケット転送を中継するルータ30と、スイッチ10から送信された統計情報を受信し、管理するトラフィック収集サーバ40等から構成される。内部ネットワークLANと外部ネットワークWANとは、ネットワークNを介して相互に通信可能に接続されている。なお、情報システム100上での通信は、TCP/IP技術に準拠した形式で行われるものとし、その形式はIPv4、IPv6の何れかであってもよいものとする。また、IPSec(Security Architecture for Internet Protocol)等の暗号化通信がなされることとしてもよい。
ここで、情報システム100内に含まれる各機器には、夫々固有のIPアドレスが付与されており、各機器間はTCP/IP技術に基づいて情報の送受信が可能となっている。なお、各スイッチ10内に示された矩形は当該スイッチが有する物理的な通信ポートを意味しており、矩形内の数値は各通信ポートを識別するための識別番号を意味している。
図2は、スイッチ10の内部構成を示した図である。
同図に示すとおり、スイッチ10は、パケットサンプリング手段11、パケット情報生成手段12、パケット情報送信手段13、スイッチング手段14等を有して構成される。
パケットサンプリング手段11は、端末20から送信される複数のパケットから、一のパケットを所定のタイミング(例えば、500パケットに1パケット)で抽出(サンプリング)し、パケット情報生成手段12に出力する。なお、パケットサンプリング手段11にて抽出されなかった他のパケットに関しては、当該パケットサンプリング手段11を介してスイッチング手段14に出力されるようになっている。
パケット情報生成手段12は、パケットサンプリング手段11から入力されたパケットに関するパケット情報を生成しパケット情報送信手段13に出力するとともに、パケットサンプリング手段11から入力されたパケットをパケット情報送信手段13に出力する。
ここで、パケット情報はパケットのヘッダ部に含まれた情報等に基づいて生成される情報であって、当該パケット情報を生成したスイッチ10のIP(Internet Protocol)アドレス、このスイッチ10においてパケットを送信及び/又は受信した通信ポートの通信ポート識別番号、このパケットの送信元及び受信先端末のIPアドレス及びMAC(Media Access Control)アドレス、前記パケットのパケットサイズ、前記パケットのヘッダ部に含まれたIPヘッダ情報、前記パケットの生成日時を示すタイムスタンプ、前記パケットのプロトコル種別(TCP/UDPポート番号)に関する情報等を含むものとする。また、パケット情報は、スイッチ10(各通信ポート)の稼働状態を示した統計情報を含むこととしてもよい。ここで統計情報とは、SNMP(Simple Network Management Protocol)等のトラフィック監視技術に準拠したMIB(Management Information Base)等の管理情報データベースに基づいて生成される情報であって、本実施の形態では、パケット情報生成手段12により生成されるものとする。
パケット情報送信手段13は、パケット情報生成手段12で生成されたパケット情報をトラフィック収集サーバ40に送信するとともに、パケット情報生成手段12から入力されたパケットをスイッチング手段14に出力する。なお、上記したパケット情報の送信(収集)に係る一連の仕組みとしては、sFlow(RFC3176)やNetFlow(登録商標)等の規約に準拠した技術を用いることができる。
スイッチング手段14は、パケットサンプリング手段11及びパケット情報送信手段13から入力されたパケットのヘッダ部(イーサネット(登録商標)ヘッダ、IPヘッダ及びTCPヘッダ)に含まれる各種情報に基づいて、受信先端末へと転送する。この際に、受信先端末又は当該受信先端末に転送可能な他のスイッチに接続された通信ポートを介して転送が行われるものとする。
また、スイッチング手段14は、後述するトラフィック監視処理において、トラフィック収集サーバ40の異常対応手段47から送信される指示情報に基づいて、当該指示情報で指示された通信ポートの転送速度を制御する。
次に、図3を参照してトラフィック収集サーバ40について説明する。
図3は、トラフィック収集サーバ40の内部構成を示した図である。
同図に示すとおり、トラフィック収集サーバ40は、制御手段41、表示手段42、操作手段43、記憶手段44、トラフィック解析手段45、異常判別手段46、異常対応手段47、通信手段48等を有して構成されており、各部は制御バス49を介して接続されている。
制御手段41は、不図示のCPU(Central Processing Unit)、RAM(Random Access Memory)等から構成され、記憶手段44に記憶された各種制御プログラムを読み出してRAM内に形成されたワークメモリに展開し、該制御プログラムに従って、各部の動作を集中制御する。また、制御手段41は、RAMに展開した制御プログラムとの協働により、後述するトラフィック監視処理を実行する。
表示手段42は、LCD(Liquid Crystal Display)やELD(Electro Luminescence Display)パネル等により構成され、制御手段41から入力される表示データに基づいて画面表示を行う。
操作手段43は、文字入力キー,数字入力キーその他各種機能に対応付けられたキーを備えたキーボード、マウス等を含み、ユーザによる操作に応じた操作信号を制御手段41に出力する。
記憶手段44は、プログラムやデータ等が予め記憶された記録媒体(不図示)を有し、この記録媒体は磁気的、光学的記録媒体、若しくは半導体等の不揮発性メモリで構成されている。記録媒体は、記憶手段44に固定的に設けたもの、若しくは着脱自在に装着するものであり、記録媒体にはトラフィック収集サーバ40に対応するシステムプログラム、該システムプログラム上で実行可能な各種処理プログラム、これらのプログラムで処理されたデータ等を記憶する。これらの各処理プログラムは、読み取り可能なプログラムコードの形態で格納され、制御手段41は、当該プログラムコードに従った動作を逐次実行する。
また、記憶手段44の記憶媒体には、スイッチ10から送信されたパケット情報を、記憶・管理するためのデータベース441が構築されており、当該データベース441にパケット情報に含まれる各種情報が記憶(格納)される。なお、本実施の形態では、データベース441をトラフィック収集サーバ40内に備えた態様としたが、これに限らず、トラフィック収集サーバ40が接続可能な外部記憶手段にデータベース441を構築することとしてもよい。さらに、記憶手段44は、その記憶媒体に、トラフィック解析手段45により生成される指標情報442を記憶する。
トラフィック解析手段45は、データベース441に記憶された複数のパケット情報を、統計的手法を用いて解析することにより、定常運用時におけるトラフィック(通信)の特徴を導出する。ここで、定常運用時とは、情報システム100内において、各装置により予め定められた動作(通信)が正常に行われた時を意味する。
具体的に、トラフィック解析手段45は、パケット情報に含まれた各種情報に基づいて、特定の通信ポートにおいて送信及び/又は受信されるパケット数の上限値及び/又は下限値、特定の通信ポートにおいてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値、特定の通信ポートに接続される端末20のMACアドレス及び/又はIPアドレス等の、定常運用時におけるスイッチ10の通信ポートに関する情報を定常運用時におけるトラフィックの特徴として導出する。
また、トラフィック解析手段45は、パケット情報に含まれた各種情報に基づいて、特定の端末を示すMACアドレス又はIPアドレス間で送信及び/又は受信されるパケット数の上限値及び/又は下限値、特定の端末を示すMACアドレス又はIPアドレス間においてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値等の、定常運用時における通信フローに関する情報を定常運用時におけるトラフィックの特徴として導出する。
さらに、トラフィック解析手段45は、導出された定常運用時におけるトラフィック特徴を含んだ指標情報442を生成し、この指標情報442を記憶手段44の記憶媒体に記憶させる。ここで指標情報442には、導出された種々の特徴が、当該特徴の諸条件(例えば、スイッチ10のIPアドレス、通信ポート識別番号、端末20のIPアドレス、MACアドレス等)と対応づけて記憶されているものとする。
また、内部ネットワークLANにおいて、特定の端末20間で所定のトラフィックが発生することが予定されているような場合には、このパケットの送信及び/又は受信に関する設定を指標情報442に含めることとしてもよい。例えば、特定の端末20間において、所定の間隔(例えば、1分間に1回)で通信が必ず行われることが予定されているような場合、この特定の端末を示すMACアドレス又はIPアドレス間での通信を許可する旨の設定、当該端末間で送信及び/又は受信されるパケット数の上限値及び/又は下限値、当該端末間でパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値等を指標情報442に含めることができる。
なお、上記した指標情報442に含まれる各種情報の閾値(上限値及び/又は下限値)は、内部ネットワークLANの可用性の維持に影響を与えると想定される値が設定されることが好ましい。
異常判別手段46は、記憶手段44の記録媒体に記憶された指標情報442と、後述する通信手段48を介して受信されたパケット情報と、を比較することにより当該パケット情報に係るトラフィックが異常か否かを判別する。なお、本実施の形態では、異常判別手段46の機能を、制御手段41と記憶手段44の記録媒体に予め記憶された所定のプログラムとの協働により実現させることとするが、ASIC(Application Specific Integrated Circuit)等の専用回路により実現させる態様としてもよい。
異常対応手段47は、異常判別手段46により異常と判別されたトラフィックに係るスイッチ10の通信ポートの転送速度を変更する指示情報を生成し、当該スイッチ10に送信する。ここで、スイッチ10の転送速度を変更する手段としては、diffserv、IEEE802.lq、IPフィルタ等を用いることができる。なお、本実施の形態では、異常対応手段47の機能を、制御手段41と記憶手段44の記録媒体に予め記憶された所定のプログラムとの協働により実現させることとするが、ASIC等の専用回路により実現させる態様としてもよい。
通信手段48は、ルータやTA(Terminal Adapter)、LANアダプタ等によって構成され、スイッチ10との間で授受される各種情報の通信制御を行う。
次に、図4のフローチャートを参照して、スイッチ10で行われるパケット転送処理について説明する。
まず、一又は複数の端末20からパケットが夫々送信され、このパケットが通信ポートを介して受信されると(ステップS11)、パケットサンプリング手段11により、複数のパケットから一のパケットが所定のタイミング毎に抽出される(ステップS12)。
ここで、パケットサンプリング手段11によりパケットの抽出が行われた場合には(ステップS13;Yes)、パケット情報生成手段12により当該パケットに関するパケット情報が生成された後(ステップS14)、このパケット情報がパケット情報送信手段13によりトラフィック収集サーバ40に送信される(ステップS15)。そして、パケットのヘッダ部に含まれた各種情報に基づいて、このパケットがスイッチング手段14により受信先端末へと転送され(ステップS16)、本処理は終了する。
一方、パケットサンプリング手段11によりパケットが抽出されなかった場合には(ステップS13;No)、当該パケットのヘッダ部に含まれた各種情報に基づいて、このパケットがスイッチング手段14により受信先端末へと転送され(ステップS16)、本処理は終了する。
次に、図5を参照して、トラフィック収集サーバ40で行われるトラフィック監視処理について説明する。本実施形態のトラフィック監視処理は、指標情報442に含まれた特定の通信ポートにおいて受信されるパケット数の上限値(thresh_p(PPS:Packet Per Second))及び特定の通信ポートにおいてパケットが受信される際の転送速度の上限値(thresh_b(BPS:Bits Per Second))に基づいて行われる。なお、本トラフィック監視処理の各処理は、制御手段41と、不図示のRAMに展開された所定のプログラムとの協働により実行される処理を示している。
まず、スイッチ10から送信されたパケット情報が通信手段48を介して受信されると(ステップS21)、このパケット情報から、当該パケット情報が生成されたスイッチ10のIPアドレス、このパケット情報に係るパケットが受信された通信ポートの通信ポート識別番号が取得されるとともに(ステップS22)、この通信ポートが受信したパケット数(Pkts_IN(PPS))及びパケットを受信した際の転送速度(Bytes_IN(BPS))に関する情報が取得される(ステップS23)。
次いで、ステップS22で取得されたスイッチ10のIPアドレス通信ポートの通信ポート識別番号に対応するパケット数の上限値(thresh_p)及び転送速度の上限値(thresh_b)が指標情報442から読み出されて(ステップS24)、パケット数(Pkts_IN)とパケット数の上限値(thresh_p)、転送速度(Bytes_IN)と転送速度の上限値(thresh_b)が夫々比較される(ステップS25)。
ここで、パケット数情報(Pkts_IN)がパケット数の上限値(thresh_p)以下で、且つ、転送速度情報(Bytes_IN)が転送速度の上限値(thresh_b)以下と判定された場合には(ステップS25;Yes)、本処理は終了する。
一方、ステップS25において、パケット数(Pkts_IN)がパケット数の上限値(thresh_p)を上回る、或いは転送速度(Bytes_IN)が転送速度の上限値(thresh_b)を上回ると判定された場合には(ステップS25;No)、このパケット情報に係るトラフィックが異常と判別される(ステップS26)。そして、この異常と判別されたトラフィックに係る通信ポートを備えたスイッチ10に対して、この通信ポートの転送速度(転送帯域)を抑制或いは停止させる指示情報がスイッチ10に送信されるとともに(ステップS27)、このスイッチ10の通信ポートに接続された端末20から不正なアクセスが行われた旨を報知する画面が表示手段42に表示されて(ステップS28)、本処理は終了する。
このように、スイッチ10の通信ポートに関する情報に基づいてパケット情報に係るトラフィックの異常判別を行うため、特定の端末20から定常運用時の上限値を上回るパケット数が送信された場合や、定常運用時の上限値を上回る転送速度が確認された場合に、この通信に係るトラフィックを異常と判別できるため、不正アクセスの検知を迅速且つ確実に行うことができる。
以上のように、本実施形態によれば、定常運用時におけるトラフィックの特徴を示した指標情報442に基づいて、スイッチ10から送信されたパケット情報に係るトラフィックが異常か否かを判別し、異常と判別したトラフィックに係るスイッチ10の通信ポートの転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能であるため、システムの可用性を維持することができる。
<第2の実施形態>
次に、情報システム100の第2の実施形態について説明する。なお、説明の簡略化のため、上述した第1の実施形態と同一要素については同符号を付し、その詳細な説明は適宜省略する。
図6は、本実施形態のトラフィック収集サーバ40で行われるトラフィック監視処理の手順を示した図である。本実施形態のトラフィック監視処理は、指標情報442に含まれた特定の通信ポートに接続される端末20のMACアドレス(MAC_RefAddr)及びIPアドレス(IP_RefAddr)、特定の通信ポートにおいて受信されるパケット数の下限値(thresh_min_p(PPS)、特定の通信ポートにおいてパケットが受信される際の転送速度の下限値(thresh_min_b(BPS))に基づいて行われる。なお、本トラフィック監視処理の各処理は、制御手段41と、不図示のRAMに展開された所定のプログラムとの協働により実行される処理を示している。
まず、スイッチ10から送信されたパケット情報が通信手段48を介して受信されると(ステップS31)、このパケット情報から、当該パケット情報が生成されたスイッチ10のIPアドレス、当該パケット情報に係るパケットが受信された通信ポートの通信ポート識別番号が取得されるとともに(ステップS32)、この通信ポートに接続された端末のMACアドレス(MAC_Addr)、IPアドレス(IP_Addr)及び当該通信ポートにおいて受信されたパケット数(Pkts_IN)及び転送速度(Bytes_IN)に関する情報が取得される(ステップS33)。
次いで、ステップS32で取得されたスイッチ10のIPアドレス及び通信ポートの通信ポート識別番号に対応する規定のMACアドレス(MAC_RefAddr)、規定のIPアドレス(IP_RefAddr)、パケット数の下限値(thresh_min_p)、転送速度の下限値(thresh_min_b)が、指標情報442から読み出される(ステップS34)。
続いて、両MACアドレス(MAC_Addr)と(MAC_RefAddr)との値が一致するか否かが判定され、一致しないと判定された場合には(ステップS35;No)、ステップS39へと移行する。
一方、ステップS35において両MACアドレスが一致すると判定された場合には(ステップS35;Yes)、ステップS36へと移行し、両IPアドレス(IP_Addr)と(IP_RefAddr)との値が一致するか否かが判定され、一致しないと判定された場合には(ステップS36;No)、ステップS39へと移行する。
一方、ステップS36において、両IPアドレスが一致すると判定された場合には)ステップS36;Yes)、ステップS37へと移行し、パケット数(Pkts_IN)とパケット数の下限値(thresh_min_p)、転送速度(Bytes_IN)と転送速度の下限値(thresh_min_b)が夫々比較される(ステップS37)。ここで、パケット数(Pkts_IN)がパケット数の下限値(thresh_min_p)以上で、且つ、転送速度(Bytes_IN)が転送速度の下限値(thresh_MIN_b)以上と判定された場合には(ステップS37;Yes)、本処理は終了する。
また、ステップS37において、パケット数(Pkts_IN)がパケット数の下限値(thresh_min_p)を下回る、或いは転送速度(Bytes_IN)が転送速度の下限値(thresh_min_b)を下回ると判定された場合には(ステップS37;No)、ステップS38へと移行する。
ステップS38では、ステップS35、ステップS36又はステップS37で判定されたパケット情報に係るトラフィックが異常と判別される(ステップS38)。そして、この異常と判別されたトラフィックに係る通信ポートを備えたスイッチ10に対して、この通信ポートの転送速度(転送帯域)を抑制或いは停止させる指示情報がスイッチ10に送信されるとともに(ステップS39)、このスイッチ10の通信ポートに接続された端末20から不正なアクセスが行われた旨を報知する画面が表示手段42に表示されて(ステップS40)、本処理は終了する。
このように、スイッチ10の通信ポートに関する情報に基づいてパケット情報に係るトラフィックの異常判別を行うため、特定の端末20から定常運用時の上限値を上回るパケット数が送信された場合や、定常運用時の上限値を上回る転送速度が確認された場合に、この通信に係るトラフィックを異常と判別できるため、不正アクセスの検知及び対応を迅速且つ確実に行うことができる。
なお、上記したトラフィック監視処理において統計情報が取得されるスイッチ10(スイッチ10a、10b及び10c)は、所定の順序で順次取得される態様としてもよいし、全てのスイッチ10に対して同時に取得が行われる態様としてもよい。また、統計情報の取得が行われるタイミングは任意の設定可能であるものとする。
以上のように、本実施形態によれば、定常運用時におけるトラフィックの特徴を示した指標情報442に基づいて、スイッチ10から送信されたパケット情報に係るトラフィックが異常か否かを判別し、異常と判別したトラフィックに係るスイッチ10の通信ポートの転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能であるため、システムの可用性を維持することができる。
なお、ステップS35、ステップS36、ステップS37の判定処理の順序は、上記例に限らないものとし、任意の順序で行うことが可能であるものとする。
<第3の実施形態>
次に、情報システム100の第3の実施形態について説明する。なお、説明の簡略化のため、上述した第1の実施形態と同一要素については同符号を付し、その詳細な説明は適宜省略する。
図7は、本実施形態のトラフィック収集サーバ40で行われるトラフィック監視処理の手順を示した図である。本実施形態のトラフィック監視処理は、指標情報442に含まれた特定の端末(IPアドレス;IP_RefAddr)間で送信及び/又は受信されるパケット数の下限値と上限値との間の範囲を示す閾値(thresh_p_flow(PPS))、特定の端末間においてパケットが受信される際の転送速度の下限値と上限値との間の範囲を示す閾値(thresh_b_Flow(BPS))に基づいて行われる。なお、本トラフィック監視処理の各処理は、制御手段41と、不図示のRAMに展開された所定のプログラムとの協働により実行される処理を示している。
まず、スイッチ10から送信されたパケット情報が通信手段48を介して受信されると(ステップS51)、このパケット情報から、当該パケット情報が生成されたスイッチ10のIPアドレス、当該パケット情報に係るパケットが受信された通信ポートの通信ポート識別番号が取得されるとともに(ステップS52)、このパケット情報に係るパケットの送信元端末及び/又は受信先端末のIPアドレス(IP_Addr)、パケット数(Pkts_Flow(PPS))、転送速度(Bytes_Flow(BPS))に関する情報が取得される(ステップS53)。
次いで、ステップS52で取得されたIPアドレス(IP_Addr)の端末によるパケットの送信及び/又は受信が許可されているか否かが指標情報442に基づいて判定され、許可されていないと判定された場合には(ステップS54;No)、ステップS57へと移行する。
一方、ステップS54において、許可されていると判定された場合には(ステップS54;Yes)、このIPアドレス(IP_Addr)の端末間において送受信されるパケット数の閾値(thresh_p_flow)、転送速度の閾値(thresh_b_Flow)が指標情報442から読み出され(ステップS55)、パケット数(Pkts_Flow)とパケット数の閾値(thresh_flow)、転送速度(Bytes_Flow)と転送速度の閾値(thresh_b_Flow)が夫々比較される(ステップS56)。ここで、パケット数(Pkts_Flow)がパケット数の閾値(thresh_p_flow)の範囲内に適合し、且つ、転送速度(Bytes_Flow)が転送速度の閾値(thresh_b_Flow)の範囲内に適合すると判定された場合には(ステップS56;Yes)、本処理は終了する
また、ステップS56において、パケット数(Pkts_Flow)がパケット数の閾値(thresh_p_flow)の範囲内に適合しない、或いは転送速度(Bytes_Flow)が転送速度の閾値(thresh_b_Flow)の範囲内に適合しないと判定された場合には(ステップS56;No)、ステップS57へと移行する。
ステップS57では、ステップS54又はステップS56で判定されたパケット情報に係るトラフィックが異常と判別される(ステップS57)。そして、この異常と判別されたトラフィックに係る通信ポートを備えたスイッチ10に対して、この通信ポートの転送速度(転送帯域)を抑制或いは停止させる指示情報がスイッチ10に送信されるとともに(ステップS58)、このスイッチ10の通信ポートに接続された端末20から不正なアクセスが行われた旨を報知する画面が表示手段42に表示されて(ステップS59)、本処理は終了する。
このように、内部ネットワークLAN内において予め定められた各端末20のトラフィック特性に基づいてトラフィックの異常判別を行うため、所定の端末20間以外でパケットの送受信が行われた場合や、所定の端末20間において定常運用時の閾値を超えるパケット数が送信された場合、所定の端末20間において定常運用時の閾値を超える転送速度が確認された場合に、この通信に係るトラフィックを異常と判別できるため、不正アクセスの検知及び対応を迅速且つ確実に行うことができる。
以上のように、本実施形態によれば、定常運用時におけるトラフィックの特徴を示した指標情報442に基づいて、スイッチ10から送信されたパケット情報に係るトラフィックが異常か否かを判別し、異常と判別したトラフィックに係るスイッチ10の通信ポートの転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能であるため、システムの可用性を維持することができる。
なお、上述した第1の実施形態〜第3の実施形態のトラフィック監視処理は、送受信されるパケット数、転送速度がある程度一様であり、また特定の端末間においてのみパケットが送受信されるような静的なトラフィック環境を有するプラント情報システムにおいて特に好適である。なお、第1の実施形態〜第3の実施形態のトラフィック監視処理の全てがトラフィック収集サーバ40で実行されることとしてもよい。また、トラフィック監視処理におけるトラフィックの異常判別方法に関しては、情報システム100のシステム構成に適合する任意の条件を適宜追加、変更することが可能であるものとする。
本発明の適用は、上述した例に限らず、本発明の趣旨を逸脱しない範囲で適宜変更可能である。
例えば、上記実施形態では、トラフィック収集サーバ40がトラフィック解析手段45、異常判別手段46及び異常対応手段47を備えた態様を説明したが、これに限らず、トラフィック収集サーバ40のデータベース441に接続可能な他の装置が、トラフィック解析手段45、異常判別手段46、異常対応手段47の何れか又は全てを備える態様としてもよい。
例えば、図8に示すように、複数の内部ネットワークLAN1〜3の夫々に、トラフィック解析手段45及び異常判別手段46を備えたトラフィック収集サーバ40を設置し、各トラフィック収集サーバ40の異常判別手段46から送信されるトラフィックの異常を示す異常判別情報を外部ネットワークWANの遠隔監視装置50が送信可能な構成としてもよい。この場合、遠隔監視装置50に異常対応手段47を備えることで、異常判別手段46から送信された異常判別情報に応じて内部ネットワークLAN1〜3に接続されたスイッチ10(不図示)の転送速度を遠隔的に変更することが可能となる。
これにより、上記実施の形態と同様の効果を奏するのはもちろんのこと、複数の内部ネットワークLANサイトを外部ネットワークWANから同時に監視することができるため、トラフィック監視に係るコストを削減することが可能となる。特に、プラント制御に係るプラント情報システムにおいては、IPネットワーク技術に関する専門家も少なく、また、プラント運営にとっても非競争領域であることから専門家を育てることのインセンティブが働きにくいという実情がある。そのため、遠隔的に異常監視が行うことができれば、トラフィック監視業務のアウトソーシングが可能となるため、プラント運営側にとってはコストの削減、トラフィック監視業務側にとっては新たなサービス業務の提携が可能になるという効果を奏する。
また、上記実施の形態では、スイッチ10のみが統計情報を生成し送信する態様としたが、これに限らず、ルータ30等の他のネットワーク機器が、パケットサンプリング手段11、パケット情報生成手段12及びパケット情報送信手段13を備えることで、他のネットワーク機器が統計情報の生成、送信を行う態様としてもよい。例えば、図9に示すように、無線通信により内部ネットワークLAN内に接続された各機器との通信を可能にせしめる無線基地局60が内部ネットワークLANに接続されているような場合には、この無線基地局60に、当該無線基地局60と無線通信可能な端末との間で授受される通信の統計情報を生成可能な機能を備えることが好ましい。
また、IPSec等の暗号化通信でパケットの送受信が行われる場合、通信ポート識別番号は暗号化されてしまうが、IPv4ヘッダのTOS(Type Of Service)フィールドや、IPv6ヘッダのTraffic Classフィールドを利用し、このフィールドに通信ポート識別番号を格納してパケットを送信することで、トラフィック収集サーバ40にて通信ポート識別番号を識別することが可能となる。
情報システムの構成を示した図である。 スイッチの内部構成を示した図である。 トラフィック収集サーバの内部構成を示した図である。 パケット転送処理の手順を示したフローチャートである。 第1の実施形態におけるトラフィック監視処理の手順を示したフローチャートである。 第2の実施形態におけるトラフィック監視処理の手順を示したフローチャートである。 第3の実施形態におけるトラフィック監視処理の手順を示したフローチャートである。 情報システムの他の態様における構成を示した図である。 情報システムの他の態様における構成を示した図である。 従来の情報システムの構成を示した図である。 従来の情報システムにおいて、ファイアウォールにより不正アクセスの検知が行われる際の手順を示したフローチャートである。 従来の情報システムにおいて、各端末により不正アクセスの検知が行われる際の手順を示したフローチャートである。
符号の説明
100 情報システム
10 スイッチ
11 パケットサンプリング手段
12 パケット情報生成手段
13 パケット情報送信手段
14 スイッチング手段
20 端末
30 ルータ
40 トラフィック収集サーバ
41 制御手段
42 表示手段
43 操作手段
44 記憶手段
441 データベース
442 指標情報
45 トラフィック解析手段
46 異常判別手段
47 異常対応手段
48 通信手段
49 制御バス
50 遠隔監視装置
60 無線基地局
FW ファイアウォール
LAN、LAN1、LAN2、LAN3 内部ネットワーク
WAN 外部ネットワーク

Claims (7)

  1. 複数の通信ポートに夫々接続される一又は複数の端末から送信されたパケットを他の端末に転送するスイッチング手段と、前記送信されたパケットに関するパケット情報を生成するパケット情報生成手段と、前記生成されたパケット情報を送信するパケット情報送信手段とを備えたネットワーク機器と、前記ネットワーク機器から送信されたパケット情報を記憶するトラフィック収集サーバと、を有した情報システムであって、
    前記収集サーバは、定常運用時におけるトラフィックの特徴を示した指標情報を記憶する指標情報記憶手段と、前記記憶された指標情報と前記受信されたパケット情報とに基づいて当該パケット情報に係るトラフィックが異常か否かを判別する異常判別手段と、前記異常判別手段により異常と判別されたトラフィックに係るネットワーク機器の通信ポートの転送速度を変更する指示情報を生成し、当該ネットワーク機器に送信する異常対応手段と、を備え、
    前記転送手段は、前記異常対応手段からの指示情報に基づいて、当該指示情報で指示された前記通信ポートの転送速度を制御することを特徴とする情報システム。
  2. 前記収集サーバは、前記記憶された複数のパケット情報から前記指標情報を生成し、前記指標情報記憶手段に記憶させるトラフィック解析手段を備えたことを特徴とする請求項1に記載の情報システム。
  3. 前記パケット情報は、当該パケット情報を生成したネットワーク機器の識別情報、当該ネットワーク機器においてパケットが送信及び/又は受信された通信ポートの識別情報、前記パケットの送信元端末及び受信先端末の識別情報、前記パケットのパケットサイズ、前記パケットのヘッダ部に含まれたヘッダ情報、前記パケット情報の生成日時を示すタイムスタンプ、前記パケットのプロトコル種別に関する情報を少なくとも含むことを特徴とする請求項1又は2に記載の情報システム。
  4. 前記指標情報は、前記ネットワーク機器における特定の通信ポートにおいて送信及び/又は受信されるパケット数の上限値及び/又は下限値、特定の通信ポートにおいてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値、特定の通信ポートに接続される前記端末の識別情報の何れか又は全てを含むことを特徴とする請求項1に記載の情報システム。
  5. 前記指標情報は、前記複数の端末のうち、特定の端末間で送信及び/又は受信されるパケット数の上限値及び/又は下限値、前記特定の端末間においてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値の何れか又は全てを含むことを特徴とする請求項1又は4に記載の情報システム。
  6. 前記指標情報は、前記複数の端末間のうち、特定の端末間において予め定められた前記パケットの送信及び/又は受信に関する設定を含むことを特徴とする請求項1、4又は5に記載の情報システム。
  7. 前記ネットワーク機器は、前記端末から送信されたパケットから一のパケットを所定のタイミング毎に抽出するパケットサンプリング手段を備え、
    前記パケット情報生成手段は、前記抽出されたパケットのパケット情報を生成することを特徴とする請求項1に記載の情報システム。
JP2005259359A 2005-09-07 2005-09-07 情報システム Pending JP2007074383A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005259359A JP2007074383A (ja) 2005-09-07 2005-09-07 情報システム
PCT/JP2006/312236 WO2007029396A1 (ja) 2005-09-07 2006-06-19 情報システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005259359A JP2007074383A (ja) 2005-09-07 2005-09-07 情報システム

Publications (1)

Publication Number Publication Date
JP2007074383A true JP2007074383A (ja) 2007-03-22

Family

ID=37835527

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005259359A Pending JP2007074383A (ja) 2005-09-07 2005-09-07 情報システム

Country Status (2)

Country Link
JP (1) JP2007074383A (ja)
WO (1) WO2007029396A1 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009017393A (ja) * 2007-07-06 2009-01-22 Ntt Docomo Inc トラフィック監視システム
JP2010011382A (ja) * 2008-06-30 2010-01-14 Fujitsu Ltd 通信装置および通信方法
JP2014060722A (ja) * 2012-09-18 2014-04-03 Kddi Corp 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法
EP2991272A1 (en) 2014-08-27 2016-03-02 Yokogawa Electric Corporation Data transferring system, data transferring method, controller, controlling method, and non-transitory computer readable storage medium
US10397248B2 (en) 2015-09-15 2019-08-27 Fujitsu Limited Method and apparatus for monitoring network
JP2020053928A (ja) * 2018-09-28 2020-04-02 アズビル株式会社 不正アクセス監視装置および方法
JP2021503191A (ja) * 2018-10-01 2021-02-04 コリア ウォーター リソーシ コーポレーションKorea Water Resources Corporation ネットワークセキュリティ用l2スイッチ及びこれを用いた遠隔監視制御システム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW453072B (en) * 1999-08-18 2001-09-01 Alma Baba Technical Res Lab Co System for montoring network for cracker attacic
JP3731111B2 (ja) * 2001-02-23 2006-01-05 三菱電機株式会社 侵入検出装置およびシステムならびにルータ
JP2004282262A (ja) * 2003-03-13 2004-10-07 Mitsubishi Electric Corp 負荷攻撃防御装置
JP4341413B2 (ja) * 2003-07-11 2009-10-07 株式会社日立製作所 統計収集装置を備えたパケット転送装置および統計収集方法
JP2005223847A (ja) * 2004-02-09 2005-08-18 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009017393A (ja) * 2007-07-06 2009-01-22 Ntt Docomo Inc トラフィック監視システム
JP2010011382A (ja) * 2008-06-30 2010-01-14 Fujitsu Ltd 通信装置および通信方法
JP2014060722A (ja) * 2012-09-18 2014-04-03 Kddi Corp 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法
EP2991272A1 (en) 2014-08-27 2016-03-02 Yokogawa Electric Corporation Data transferring system, data transferring method, controller, controlling method, and non-transitory computer readable storage medium
US10104014B2 (en) 2014-08-27 2018-10-16 Yokogawa Electric Corporation Data transferring system, data transferring method, controller, controlling method, and non-transitory computer readable storage medium
US10397248B2 (en) 2015-09-15 2019-08-27 Fujitsu Limited Method and apparatus for monitoring network
JP2020053928A (ja) * 2018-09-28 2020-04-02 アズビル株式会社 不正アクセス監視装置および方法
JP7125317B2 (ja) 2018-09-28 2022-08-24 アズビル株式会社 不正アクセス監視装置および方法
JP2021503191A (ja) * 2018-10-01 2021-02-04 コリア ウォーター リソーシ コーポレーションKorea Water Resources Corporation ネットワークセキュリティ用l2スイッチ及びこれを用いた遠隔監視制御システム

Also Published As

Publication number Publication date
WO2007029396A1 (ja) 2007-03-15

Similar Documents

Publication Publication Date Title
US9369434B2 (en) Whitelist-based network switch
EP1964366B1 (en) Methods and devices for defending a 3g wireless network against malicious attacks
Xue et al. Linkscope: Toward detecting target link flooding attacks
US8584237B2 (en) Improper communication detection system
EP1906591B1 (en) Method, device, and system for detecting layer 2 loop
JP4827972B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
JP2006352831A (ja) ネットワーク制御装置およびその制御方法
WO2016172055A1 (en) Network security analysis for smart appliances
JP2007074383A (ja) 情報システム
JP5017440B2 (ja) ネットワーク制御装置およびその制御方法
Cheng et al. Machine learning based low-rate DDoS attack detection for SDN enabled IoT networks
KR100947211B1 (ko) 능동형 보안 감사 시스템
Segura et al. Centralized and distributed intrusion detection for resource-constrained wireless SDN networks
EP3286650B1 (en) Network security analysis for smart appliances
WO2020027250A1 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
WO2020132949A1 (zh) 用于工业控制系统的监测方法、装置、系统和计算机可读介质
KR20110067871A (ko) Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법
KR20220029142A (ko) Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법
US11895146B2 (en) Infection-spreading attack detection system and method, and program
JP2007074385A (ja) ネットワーク機器
JP2008079138A (ja) 通信監視システム、フロー収集装置、解析マネージャ装置及びプログラム
KR101448091B1 (ko) 보안 공격 감지에 의한 무선 센서네트워크 보안 방법 및 시스템
JP4421462B2 (ja) 不正侵入検知システムおよび管理装置
KR101021697B1 (ko) 6LoWPAN에서 봇넷 공격을 탐지하는 방법
CN114338110B (zh) 态势感知中威胁信息的预测防御方法、装置及系统