JP2007264990A - 不正通信の自動通知装置、不正通信の自動通知プログラム - Google Patents

不正通信の自動通知装置、不正通信の自動通知プログラム Download PDF

Info

Publication number
JP2007264990A
JP2007264990A JP2006088740A JP2006088740A JP2007264990A JP 2007264990 A JP2007264990 A JP 2007264990A JP 2006088740 A JP2006088740 A JP 2006088740A JP 2006088740 A JP2006088740 A JP 2006088740A JP 2007264990 A JP2007264990 A JP 2007264990A
Authority
JP
Japan
Prior art keywords
communication
application
unauthorized
terminal
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006088740A
Other languages
English (en)
Inventor
Toshibumi Kai
俊文 甲斐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2006088740A priority Critical patent/JP2007264990A/ja
Publication of JP2007264990A publication Critical patent/JP2007264990A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】感染端末の利用者に感染の事実などを簡単に伝達することができる不正通信の自動通知装置等を提供する。
【解決手段】ワーム遮断装置2は、ワーム検知装置35から感染端末1のIPアドレスを取得し、受信した通信パケットの送信元アドレスが感染端末1のIPアドレスであり、当該通信パケットにおけるアプリケーションの種類が予め設定されたアプリケーションの種類であることが判別された場合に、当該通信パケットの送信先とは異なる通信装置にリダイレクトすると共に、当該通信パケットの送信元の不正な通信を行った通信端末に不正な通信が検出されたことを通知する。
【選択図】図2

Description

本発明は、端末がワームに感染していることが検知された場合に、当該感染を他の端末に拡大されることを防止するために当該端末の利用者に感染の事実を通知する不正通信の自動通知装置、不正通信の自動通知プログラムに関する。
従来より、ウィルス検知技術としては、既知のウィルスについて定義ファイルと呼ばれる特徴情報を記述したデータを予め用意しておき、ウィルスに感染している可能性のあるファイルと定義ファイルとをパターンマッチングするものが知られている。この定義ファイルは、コンピュータウイルスに感染したファイルや、ネットワーク上で自己複製を繰り返すワームプログラムの特徴を収録したファイルであって、アンチウィルスソフト(ワクチンソフト)がコンピュータウイルスやワームを検出するために、定義ファイル内に収録された各ウイルスのパターンが検査対象のファイルと照合されて、パターンとの一致が見られるとそのファイルがウイルスに感染していると判断する。
また、従来から知られているウィルスの一種であるワーム対策としては、例えば、下記の非特許文献1に記載されているようなものも挙げられる。
http://www.nttdata.co.jp/netcom/pdf/nc04_ss_03.pdf
ところで、端末がワームに感染していることが検知された場合、ネットワーク内の他の端末への感染拡大を防ぐために、感染端末の通信を遮断又は制限する必要がある。しかし、通信の遮断や制限を予告なしに行うと、感染端末の利用者は事態の把握ができず適切な行動を取れない。また、感染端末の利用者への通知をネットワーク管理者が行うことで、利用者に事態を把握させることができるが、人手での連絡作業に時間が掛かるという問題がある。
そこで、本発明は、上述した実情に鑑みて提案されたものであり、感染端末の利用者に感染の事実などを簡単に伝達することができる不正通信の自動通知装置、不正通信の自動通知プログラムを提供することを目的とする。
本発明は、不正な通信を検知する不正通信検知手段によって、ネットワークに接続された通信端末が不正な通信をしたことが検知された場合に、当該通信端末に不正な通信を通知する不正通信の自動通知装置であって、上述の課題を解決するために、不正通信検知手段から、当該不正な通信を行った通信端末のネットワーク層の通信アドレスを取得するネットワーク層アドレス取得手段と、受信した通信パケットの送信元アドレスが、ネットワーク層アドレス取得手段で取得されたネットワーク層の通信アドレスである場合に、当該通信パケットに含まれるトランスポート層ヘッダの情報から、アプリケーションの種類を指定する識別子を検出して、当該アプリケーションの種類が、予め設定されたアプリケーションの種類であるかを判別するアプリケーション判別手段と、アプリケーション判別手段によって、アプリケーションの種類が予め設定されたアプリケーションの種類であることが判別された場合に、当該通信パケットの送信先とは異なる通信装置にリダイレクトすると共に、当該通信パケットの送信元の不正な通信を行った通信端末に不正な通信が検出されたことを通知する通知手段とを備える。
本発明は、不正な通信を検知する不正通信検知モジュールによって、ネットワークに接続された通信端末が不正な通信をしたことが検知された場合に、当該通信端末に不正な通信を通知する不正通信の自動通知プログラムであって、上述の課題を解決するために、不正通信検知モジュールから、当該不正な通信を行った通信端末のネットワーク層の通信アドレスを取得するネットワーク層アドレス取得機能と、受信した通信パケットの送信元アドレスが、ネットワーク層アドレス取得機能で取得されたネットワーク層の通信アドレスである場合に、当該通信パケットに含まれるトランスポート層ヘッダの情報から、アプリケーションの種類を指定する識別子を検出して、当該アプリケーションの種類が、予め設定されたアプリケーションの種類であるかを判別するアプリケーション判別機能と、アプリケーション判別機能によって、アプリケーションの種類が予め設定されたアプリケーションの種類であることが判別された場合に、当該通信パケットの送信先とは異なる通信装置にリダイレクトすると共に、当該通信パケットの送信元の不正な通信を行った通信端末に不正な通信が検出されたことを通知する通知機能とをコンピュータに実装させる。
本発明に係る不正通信の自動通知装置、不正通信の自動通知プログラムによれば、不正な通信を行った通信端末のネットワーク層の通信アドレスを取得し、受信した通信パケットの送信元アドレスが不正な通信を行った通信端末のネットワーク層の通信アドレスであり、当該通信パケットのアプリケーションの種類が予め設定されたアプリケーションの種類である場合に、当該通信パケットの送信先とは異なる通信装置にリダイレクトすると共に、当該通信パケットの送信元の不正な通信を行った通信端末に不正な通信が検出されたことを通知するので、不正な通信を行った通信端末の利用者に感染の事実などを簡単に伝達することができる。
以下、本発明の実施の形態について図面を参照して説明する。
本発明は、図1に示すように通信端末1によるHTTP(HyperText Transfer Protocol)通信やPOP3(Post Office Protocol Version 3)通信といった所定種類の通信を傍受でき、図2に示すように、通信端末1がスイッチ31,ルータ32,スイッチ33を介してセグメント外部のメールサーバやウェブサーバ等のサーバ34と通信する通信システムにおいて、当該通信端末1がワームに感染したことに対して、当該感染した通信端末1(以下、感染端末1と呼ぶ)に、自己が感染していることを通知するワーム遮断装置2に適用される。これによって、ワーム遮断装置2は、感染端末1の利用者に、自己の端末がワームなどに感染していることを通知して、感染端末1の利用者に通信停止、感染の復旧などを促す。なお、ワーム遮断装置2は、感染端末1の通信パケットを全て傍受できなくても、後述するように感染端末1の通信を誘導できるように構成されていても良い。
この感染端末1に対する通知内容としては、図3(a)に示すように、Webブラウザのポップアップ表示を利用して、感染端末1がウィルスに感染していることの通知情報、ネットワーク管理者への問い合わせ先情報、ウィルスの詳細情報へのリンク、ワクチンプログラムへのリンクなどを含む。また、メールによって感染端末1に通知をする場合には、図3(b)に示すように、メール本文に感染端末1が感染していることの通知、ネットワーク管理者への問い合わせ先情報を記載すると共に、ワクチンプログラムを添付ファイルとして付加する。このような感染端末1の利用者に対する通知内容は、予め感染端末1の利用者で設定できるとしてもよく、ネットワーク管理者によって設定できるとしても良い。
なお、ワーム遮断装置2は、感染端末1の通信を遮断する機能を有せずとも、感染端末1の感染の事実を利用者に通知する機能のみであっても良い。また、ワーム遮断装置2は、感染端末1から送信される通信データを傍受できる配置となっていればよく、図2のようにスイッチ31を通過する通信データをコピーして取得する配置が挙げられる。
このような図2に示す通信システムにおいて、ワーム遮断装置2は、管理装置36から、当該不正な通信を行った感染端末1のネットワーク層通信アドレスであるIPアドレスを取得し、傍受している通信パケットの送信元アドレスが、感染端末1のIPアドレスである場合に、当該通信パケットに含まれるトランスポート層ヘッダから、通信パケットのアプリケーションの種類を指定する識別子であるポート番号を検出して、当該アプリケーションの種類が、予め設定されたアプリケーションの種類であるかを判別する。アプリケーションの種類が予め設定されたHTTPやPOP3など、利用者が頻繁に利用するアプリケーションの種類であることが判別された場合、ワーム遮断装置2は、当該通信パケットの送信先とは異なる通信装置にリダイレクトすると共に、当該通信パケットの送信元の感染端末1に不正な通信が検出されたことを通知することを特徴とし、感染端末1を検知したことに応じて自動的に感染していることの通知等を行う。
この通信システムにおいて、感染端末1のワームの動作としては、サーバ34に対するポートスキャン、メールサーバ等に対する不正パケットの送信、他の通信端末に対するウィルスを添付ファイルとして含む不正なメールの送信などが挙げられる。
例えば、感染端末1から送信された不正な通信データS1は、サーバ34のIPアドレスを宛先とし、スイッチ31、ルータ32及びスイッチ33を経由して、サーバ34に送信される。すると、ワーム検知装置35は、スイッチ33を通過する通信データS1をコピーした通信データS2を取得し、当該コピーした通信データS2が不正な通信データであるか否かを判定する。ワーム検知装置35は、コピーした通信データS2から、感染端末1の特有の振る舞いを検知することによって、感染端末1がワームに感染しているかを検知する。例えば、感染端末1から直接的にネームサービスを受けるMXレコードを含む通信データS2を検知した場合や、感染していない通信端末などであれば送信されない宛先を含む通信データS2を検知した場合に、当該通信データS2を送信した感染端末1を検知する。そして、ワーム検知装置35は、通信データS2に含まれるIPアドレスを取得し、感染端末1のIPアドレスを含むワーム検知報告メッセージS3を管理装置36に通知する。
具体的には、ワーム検知装置35は、通信データS2に含まれるアプリケーションデータの種類を指定するポート番号を取得し、当該ポート番号がホスト名をネットワーク層アドレスに変換するネームサービスのアプリケーションを示すものであり、且つ、当該通信データS2のアプリケーションデータに、サーバ34のネットワーク層アドレスを問い合わせるデータが含まれている場合に、不正にサーバ34にアクセスしようとしている感染端末1を検知できる。更に他の具体例を挙げると、ワーム検知装置35は、コンピュータウィルスによって、不正な通信データが配信されることを検知するために、感染端末1に予め正規の設定情報に加えて、ダミーの設定情報を記憶させておき、ワームによる動作によって、ダミーの設定情報を用いて通信データを作成されて送信された場合には、感染端末1がワームに感染していることを判断できる。
管理装置36は、ネットワーク管理者が運営するサーバであり、ワーム検知装置35からのワーム検知報告メッセージS3を受けて、当該ワーム検知報告メッセージS3に含まれる感染端末1のIPアドレスを蓄積すると共に、ワーム遮断装置2に通知する。管理装置36は、ワーム検知報告メッセージS3を受信したことに応じて、感染端末1のIPアドレスを含む通信遮断命令S4をワーム遮断装置2に通知する。
このワーム遮断装置2は、その内部構成を図4に示すように、基本ソフトウェアと自動通知アプリケーションがインストールされることによって、基本ソフトウェア処理部11と、自動通知アプリケーション処理部12とを備えて構成されている。
基本ソフトウェア処理部11は、ネットワークと接続された通信インターフェース部21とTCP(Transmission Control Protocol)/IP(Internet Protocol)通信制御部22とを備える。基本ソフトウェア処理部11は、スイッチ31やルータ32等を介してネットワークから通信データを通信インターフェース部21で受信すると、TCP/IP通信制御部22によって、TCPヘッダのポート番号に応じて自動通知アプリケーション処理部12に通信データを渡す。また、基本ソフトウェア処理部11は、自動通知アプリケーション処理部12からアプリケーションデータが渡されると、TCP/IP通信制御部22によって、当該アプリケーションデータにTCPヘッダ及びIPヘッダを付加して、通信インターフェース部21からネットワークに送信させる。
ワーム遮断装置2は、図2におけるスイッチ31を通過する通信データをコピーして傍受するように配置されており、感染端末1から、所定のアプリケーションの通信データを傍受すると、当該通信データを基本ソフトウェア処理部11で受信できるようになっている。また、TCP/IP通信制御部22は、外部ネットワークの管理装置36からの通信遮断命令S4を自動通知アプリケーション処理部12に渡す。
自動通知アプリケーション処理部12は、感染端末1の利用者に、自身の端末が感染していることなどを自動通知する処理を行う。自動通知アプリケーション処理部12は、リダイレクトモジュール23と、Webサーバモジュール24と、メールサーバモジュール25と、感染端末情報受信部26と、感染端末情報リスト27とを備える。
自動通知アプリケーション処理部12は、基本ソフトウェア処理部11によって管理装置36からの通信遮断命令S4を受信した場合に、通信遮断命令S4を感染端末情報受信部26で受信する。感染端末情報受信部26は、通信遮断命令S4を受け取ると、通信遮断命令S4に含まれる感染端末1のIPアドレスを感染端末情報リスト27に追加する。
感染端末情報リスト27は、記憶媒体に格納されたリストデータであり、通信遮断命令S4に含まれるIPアドレスをリスト化してなる。なお、この感染端末情報リスト27には、感染端末1と通信するために感染端末1のIPアドレスとMACアドレスとの対応関係、メールアドレス、時刻情報等も記憶していても良い。
このように感染端末情報リスト27に感染端末1のIPアドレスが格納されると、リダイレクトモジュール23は、感染端末1から送信される通信データのうち、トランスポート層プロトコルがTCPであってウェブサーバへのHTTP通信やメールサーバへのPOP3通信といった所定のアプリケーションの通信データを監視する。リダイレクトモジュール23は、所定のアプリケーションの通信データの送信元が感染端末1のIPアドレスで送信されていることを検知した場合、当該通信データをWebサーバモジュール24又はメールサーバモジュール25に渡す。これらWebサーバモジュール24及びメールサーバモジュール25は、自前のWebサーバ及びメールサーバとして機能し、感染端末1からの通信データに対して、当該通信データの送信先とは異なる通信装置にリダイレクトする。また、リダイレクトモジュール23は、予め設定したアプリケーションの種類以外のアプリケーションデータを含む通信データである場合には、当該通信データの送信先に転送するように基本ソフトウェア処理部11を制御する。
Webサーバモジュール24は、感染端末1からの通信データのうちHTTPのポート宛の通信データが渡される。Webサーバモジュール24は、渡された通信データのアプリケーションデータがWebページ取得要求である場合、予め設定された図3(a)に示す内容を感染端末1の利用者に提示するWebページの情報を含む通信データを作成して、基本ソフトウェア処理部11から感染端末1に送信させる。
メールサーバモジュール25は、感染端末1からの通信データのうちPOP3のポート宛の通信データが渡される。メールサーバモジュール25は、渡された通信データのアプリケーションデータがメール受信要求である場合、予め設定された図3(b)に示す内容を感染端末1の利用者に提示するメール本文の情報を含む通信データを作成して、基本ソフトウェア処理部11から感染端末1に送信させる。このようにメールデータを感染端末1に送信する場合、自動通知アプリケーション処理部12は、感染端末情報リスト27に格納された感染端末1のIPアドレスを取得した後に、感染端末1によるPOP3通信を傍受して、POP3通信の通信データから感染端末1のメールデータを取得して感染端末情報リスト27に追加しておく。
このように、自動通知アプリケーション処理部12は、所定のアプリケーションの通信データについてはワーム遮断装置2がサーバ34になりすまして感染端末1と通信でき、感染端末1からの通信データのうち、所定のアプリケーションの種類の通信データについては転送をしないようにする。
このワーム遮断装置2によれば、感染端末1を検知した場合に、当該感染端末1から送信される通信データのうち、利用者が頻繁に利用するようなアプリケーションの種類の通信データについては転送をせずに感染端末1にリダイレクトして、感染端末1の利用者に感染していることを簡単に自動的に通知できる。また、利用者にとっては、自己の端末が感染端末1となった場合に、予告なしに通信遮断、通信制限が行われることなく、感染の事態、対処方法を把握して適切な行動をとれるというメリットがある。更に、ネットワーク管理者にとっては、ワーム遮断装置2によって自動的に感染端末1への通知ができ、人手を煩わすことはない。
また、ワーム遮断装置2は、予め複数種類のメッセージをメールサーバモジュール25及びWebサーバモジュール24に用意しておき、感染端末1のワームやウィルス、その他ネットワーク上のトラブルの種類に応じて、Webページやメールで表示させるメッセージを変化させても良い。更にWeb画面上にOKボタンを設ける設定をしておき、該OKボタンが操作されたことを検知したことに応じてリダイレクトを停止しても良い。ただし、リダイレクトを停止した後には、予め設定したセキュリティポリシーに従って通信制限をかけることになる。
更に、ワーム遮断装置2によって通信遮断命令S4を受信した後の感染端末1の通信をサーバ34以外に誘導する場合、自動通知アプリケーション処理部12は、感染端末1がDNS(Domain Name System)サーバ(図示せず)にアクセスして通信相手のホスト名からIPアドレスを取得する処理、ICMP(Internet Control Message Protocol)の仕組みにおけるICMP Redirectメッセージを利用して感染端末1が通信相手のIPアドレスから最適経路のルータのIPアドレスを取得する処理、ARP(Address Resolution Protocol)の仕組みを利用して通信相手のIPアドレスからMACアドレスを取得する処理のうち、何れかによって、感染端末1の通信データを誘導して、不正な通信を遮断する。すなわち、感染端末1からのDNS問い合わせを受けた場合には、感染端末1が知りたいIPアドレスとしてワーム遮断装置2のIPアドレスを応答し、感染端末1からのICMP Redirectメッセージに対してワーム遮断装置2が最適経路のゲートウェイルータであることを偽装し、感染端末1からのARPリクエストに対してワーム遮断装置2のMACアドレスを含むARPリプライを返信する。これによって、ワーム遮断装置2は、感染端末1からの所定のアプリケーションの種類の通信データを自己宛に誘導できる。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
すなわち、上述したワーム遮断装置2は、スイッチ31と接続された配置を示したが、これに限らず、図5に示すように、スイッチ51、ブリッジ装置52,ルータ53,横付け型機器54に、ワーム遮断装置2と同じ機能を実装させるための自動通知(通信制御)プログラムをインストールしても、上述の感染状況等を自動的に通知できるという効果を発揮させることができる。特に、通信装置間を接続する通信線、又は、通信装置間で通信される通信データを中継するスイッチ等の中継装置に接続され、当該通信線又は中継装置を通過する通信データを監視する横付け機器としてワーム遮断装置2を構成する場合には、不正な通信を行った通信端末に感染状況等を自動通知する機能をシステムに導入するコスト等を低減できる。
また、上述した実施形態における感染端末1に感染状況等を自動通知する機能は、家電機器群がネットワーク接続されたホームネットワークや、設備装置群がネットワーク接続された設備ネットワークなどにも適用できる。例えば、ホームネットワークに接続されてアプリケーションとしてウェブ機能やメール機能を具備する家電機器がワームに感染した場合であっても、当該家電機器によって不正な通信がなされることを防止することができる。
ここで、ホームネットワークを構築する技術としては、ECHOネットの他、エミット(EMIT(Embedded Micro Internetworking Technology))と称される機器組み込み型ネットワーク技術などがあげられる。この組み込み型ネットワーク技術は、ネットワーク機器にEMITミドルウェアを組み込んでネットワークに接続できる機能を備え、EMIT技術と称されている。
より具体的には、上述した感染端末1に感染状況等を自動通知する機能を有するワーム遮断装置2,管理装置36や、スイッチ、ルータ等のネットワーク機器にEMIT技術を実現するEMITソフトウェアを搭載して、当該EMITソフトウェアを搭載した通信端末や管理装置36、ワーム遮断装置2と、当該端末、中継装置、横付け機器を遠隔で制御又は監視するユーザ機器とをインターネット上に設けられたセンターサーバ(図示せず)を介して通信接続する。このユーザ機器は、例えば、携帯電話、PC(Personal Computer)、PDA(Personal Digital Assistant)、PHS(Personal Handy phone System)等の外部端末(図示せず)である。
本発明を適用したワーム遮断装置を含む通信システムの構成を示すブロック図である。 本発明を適用したワーム遮断装置を含む通信システムの他の一構成例を示すブロック図である。 本発明を適用したワーム遮断装置によって感染端末の利用者に通知するメッセージの一例を示す図である。 本発明を適用したワーム遮断装置の内部構成を示すブロック図である。 本発明を適用したワーム遮断装置が実装される他の形態を説明するための図である。
符号の説明
1 感染端末
2 ワーム遮断装置
11 基本ソフトウェア処理部
12 自動通知アプリケーション処理部
21 通信インターフェース部
22 TCP/IP通信制御部
23 リダイレクトモジュール
24 Webサーバモジュール
25 メールサーバモジュール
26 感染端末情報受信部
27 感染端末情報リスト
31 スイッチ
32 ルータ
33 スイッチ
34 サーバ
35 ワーム検知装置
36 管理装置

Claims (5)

  1. 不正な通信を検知する不正通信検知手段によって、ネットワークに接続された通信端末が不正な通信をしたことが検知された場合に、当該通信端末に不正な通信を通知する不正通信の自動通知装置であって、
    前記不正通信検知手段から、当該不正な通信を行った通信端末のネットワーク層の通信アドレスを取得するネットワーク層アドレス取得手段と、
    受信した通信パケットの送信元アドレスが、前記ネットワーク層アドレス取得手段で取得されたネットワーク層の通信アドレスである場合に、当該通信パケットに含まれるトランスポート層ヘッダの情報から、アプリケーションの種類を指定する識別子を検出して、当該アプリケーションの種類が、予め設定されたアプリケーションの種類であるかを判別するアプリケーション判別手段と、
    前記アプリケーション判別手段によって、アプリケーションの種類が予め設定されたアプリケーションの種類であることが判別された場合に、当該通信パケットの送信先とは異なる通信装置にリダイレクトすると共に、当該通信パケットの送信元の不正な通信を行った通信端末に不正な通信が検出されたことを通知する通知手段と
    を備えることを特徴とする不正通信の自動通知装置。
  2. 前記アプリケーション判別手段は、アプリケーションの種類がHTTP(HyperText Transfer Protocol)通信を行う要求であるかを判別し、
    前記通知手段は、前記アプリケーション判別手段によってアプリケーションの種類がHTTP通信であることが判別された場合に、不正な通信を行った通信端末に、不正な通信が検出されたことを通知するHTTPデータを送信すること
    を特徴とする請求項1に記載の不正通信の自動通知装置。
  3. 前記アプリケーション判別手段は、アプリケーションの種類がメールデータの受信を行う要求であるかを判別し、
    前記通知手段は、前記アプリケーション判別手段によってアプリケーションの種類がメールデータの受信を行う要求であることが判別された場合に、不正な通信を行った通信端末に、不正な通信が検出されたことを通知するメールデータを送信すること
    を特徴とする請求項1に記載の不正通信の自動通知装置。
  4. 前記通信端末間を接続する通信線、又は、前記通信端末間で通信される通信パケットを中継する中継装置に接続され、当該通信線又は中継装置を通過する通信パケットを監視する横付け機器からなることを特徴とする請求項1乃至請求項3の何れか一項に記載の不正通信の自動通知装置。
  5. 不正な通信を検知する不正通信検知モジュールによって、ネットワークに接続された通信端末が不正な通信をしたことが検知された場合に、当該通信端末に不正な通信を通知する不正通信の自動通知プログラムであって、
    前記不正通信検知モジュールから、当該不正な通信を行った通信端末のネットワーク層の通信アドレスを取得するネットワーク層アドレス取得機能と、
    受信した通信パケットの送信元アドレスが、前記ネットワーク層アドレス取得機能で取得されたネットワーク層の通信アドレスである場合に、当該通信パケットに含まれるトランスポート層ヘッダの情報から、アプリケーションの種類を指定する識別子を検出して、当該アプリケーションの種類が、予め設定されたアプリケーションの種類であるかを判別するアプリケーション判別機能と、
    前記アプリケーション判別機能によって、アプリケーションの種類が予め設定されたアプリケーションの種類であることが判別された場合に、当該通信パケットの送信先とは異なる通信装置にリダイレクトすると共に、当該通信パケットの送信元の不正な通信を行った通信端末に不正な通信が検出されたことを通知する通知機能と
    をコンピュータに実装させることを特徴とする不正通信の自動通知プログラム。
JP2006088740A 2006-03-28 2006-03-28 不正通信の自動通知装置、不正通信の自動通知プログラム Pending JP2007264990A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006088740A JP2007264990A (ja) 2006-03-28 2006-03-28 不正通信の自動通知装置、不正通信の自動通知プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006088740A JP2007264990A (ja) 2006-03-28 2006-03-28 不正通信の自動通知装置、不正通信の自動通知プログラム

Publications (1)

Publication Number Publication Date
JP2007264990A true JP2007264990A (ja) 2007-10-11

Family

ID=38637921

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006088740A Pending JP2007264990A (ja) 2006-03-28 2006-03-28 不正通信の自動通知装置、不正通信の自動通知プログラム

Country Status (1)

Country Link
JP (1) JP2007264990A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011198149A (ja) * 2010-03-19 2011-10-06 Toshiba Corp セキュリティリスク検出システム
JP2013532866A (ja) * 2010-07-26 2013-08-19 キヨン キム ハッカーウィルスセキュリティー統合管理機
JP2014523559A (ja) * 2011-05-31 2014-09-11 スティール、ロバート 多数の著作権侵害を特定し、印税を収集するシステム
JP2017212696A (ja) * 2016-05-27 2017-11-30 日本電信電話株式会社 端末隔離通知システム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011198149A (ja) * 2010-03-19 2011-10-06 Toshiba Corp セキュリティリスク検出システム
JP2013532866A (ja) * 2010-07-26 2013-08-19 キヨン キム ハッカーウィルスセキュリティー統合管理機
JP2014523559A (ja) * 2011-05-31 2014-09-11 スティール、ロバート 多数の著作権侵害を特定し、印税を収集するシステム
JP2017212696A (ja) * 2016-05-27 2017-11-30 日本電信電話株式会社 端末隔離通知システム

Similar Documents

Publication Publication Date Title
JP4174392B2 (ja) ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
EP2105003B1 (en) Method and apparatus to control application messages between a client and a server having a private network address
US20070033645A1 (en) DNS based enforcement for confinement and detection of network malicious activities
JP2008177714A (ja) ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
JP2005135420A (ja) ホストベースのネットワーク侵入検出システム、方法、およびコンピュータ可読媒体
JP2005044277A (ja) 不正通信検出装置
JP2006319982A (ja) 通信ネットワーク内ワーム特定及び不活化方法及び装置
AU2018243733A1 (en) Securing port forwarding through a network traffic hub
US20210112093A1 (en) Measuring address resolution protocol spoofing success
JP2007266931A (ja) 通信遮断装置、通信遮断プログラム
JP2007264990A (ja) 不正通信の自動通知装置、不正通信の自動通知プログラム
US20240064242A1 (en) Image processing apparatus, control method therefor, and medium
JP5551061B2 (ja) 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム
KR101088867B1 (ko) 네트워크 스위치 및 그 네트워크 스위치의 보안공지방법
JP6476530B2 (ja) 情報処理装置、方法およびプログラム
JP2007266960A (ja) 通信制御装置、通信制御プログラム
JP2008141352A (ja) ネットワークセキュリティシステム
JP2007102747A (ja) パケット検知装置、メッセージ検知プログラム、不正メールの遮断プログラム
JP2007266957A (ja) アドレス取得装置、アドレス取得プログラム
Song et al. Network iron curtain: hide enterprise networks with openflow
JP4084317B2 (ja) ワーム検出方法
JP2007266979A (ja) 感染端末検知装置、感染端末検知プログラム、通信制御装置、通信端末
JP2007266934A (ja) アドレス取得装置、アドレス取得プログラム
KR102005376B1 (ko) 가상 네트워크 오버레이 기반의 네트워크 보안 시스템
JP2011223256A (ja) 通信監視装置、方法およびプログラム