JP2007266960A - Communication control apparatus, communication control program - Google Patents
Communication control apparatus, communication control program Download PDFInfo
- Publication number
- JP2007266960A JP2007266960A JP2006088748A JP2006088748A JP2007266960A JP 2007266960 A JP2007266960 A JP 2007266960A JP 2006088748 A JP2006088748 A JP 2006088748A JP 2006088748 A JP2006088748 A JP 2006088748A JP 2007266960 A JP2007266960 A JP 2007266960A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- address
- packet
- network layer
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、端末がワームに感染していることが検知された場合に、当該感染を他の端末に拡大されることを防止するために当該端末の通信を制御する通信制御装置、通信制御プログラムに関する。 The present invention relates to a communication control device and a communication control program for controlling communication of a terminal in order to prevent the infection from being spread to other terminals when it is detected that the terminal is infected with a worm. About.
従来より、ウィルス検知技術としては、既知のウィルスについて定義ファイルと呼ばれる特徴情報を記述したデータを予め用意しておき、ウィルスに感染している可能性のあるファイルと定義ファイルとをパターンマッチングするものが知られている。この定義ファイルは、コンピュータウイルスに感染したファイルや、ネットワーク上で自己複製を繰り返すワームプログラムの特徴を収録したファイルであって、アンチウィルスソフト(ワクチンソフト)がコンピュータウイルスやワームを検出するために、定義ファイル内に収録された各ウイルスのパターンが検査対象のファイルと照合されて、パターンとの一致が見られるとそのファイルがウイルスに感染していると判断する。 Conventionally, as virus detection technology, data that describes characteristic information called definition file for a known virus is prepared in advance, and a file that may be infected with a virus is pattern-matched with the definition file. It has been known. This definition file is a file that contains the characteristics of a computer virus-infected file or a worm program that repeats itself over the network, and is defined by anti-virus software (vaccine software) to detect computer viruses and worms. Each virus pattern recorded in the file is compared with the file to be inspected, and if a match with the pattern is found, it is determined that the file is infected with the virus.
また、従来から知られているウィルスの一種であるワーム対策としては、例えば、下記の非特許文献1に記載されているようなものも挙げられる。
しかしながら、端末がワームに感染していることが検知された場合に、ネットワーク内の他の端末への感染の拡大を防ぐために感染端末の通信を遮断又は制限する必要があるが、感染を検知したと同時に感染端末の通信の全てを遮断してしまうと、感染端末の利用者の業務を妨げてしまう。 However, when it is detected that the terminal is infected with a worm, it is necessary to block or limit the communication of the infected terminal in order to prevent the spread of infection to other terminals in the network. At the same time, if all communication of the infected terminal is blocked, the work of the user of the infected terminal is hindered.
また、感染端末が検知された場合に、ファイアウォールによって当該感染端末の通信を遮断・制限する技術があるものの、一般的なファイアウォールでは、通過する全てのパケットについて遮断・制限を行ってしまうために、高い処理能力が必要となる。 In addition, when an infected terminal is detected, there is a technology that blocks / limits the communication of the infected terminal by a firewall, but a general firewall blocks / limits all packets that pass, High processing capacity is required.
そこで、本発明は、上述した実情に鑑みて提案されたものであり、感染端末を検知した場合に、当該感染端末による感染活動に関わる通信のみを制限することができる通信制御装置、通信制御プログラムを提供することを目的とする。 Therefore, the present invention has been proposed in view of the above-described circumstances, and when detecting an infected terminal, a communication control device and a communication control program capable of restricting only communication related to infection activity by the infected terminal The purpose is to provide.
本発明は、不正な通信を検知する不正通信検知手段によって、ネットワークに接続された通信端末が不正な通信をしたことが検知された場合に、当該通信端末の通信を制御する通信制御装置であって、上述の課題を解決するために、不正通信検知手段から、当該不正な通信を行った通信端末のネットワーク層の通信アドレスを取得するネットワーク層アドレス取得手段と、受信した通信パケットの送信元アドレスが、ネットワーク層アドレス取得手段で取得されたネットワーク層の通信アドレスである場合に、当該通信パケットに含まれる情報に、予め設定されたセキュリティポリシーに合致する情報が含まれているかを判別する判別手段と、判別手段によって、通信パケットに含まれる情報がセキュリティポリシーに合致すると判別された場合に、当該通信パケットの宛先への転送を停止する通信制限手段とを備える。 The present invention is a communication control device that controls communication of a communication terminal when the communication terminal connected to the network detects that the communication terminal is connected illegally by the unauthorized communication detection unit that detects unauthorized communication. In order to solve the above-described problem, the network layer address acquisition unit that acquires the communication address of the network layer of the communication terminal that performed the unauthorized communication from the unauthorized communication detection unit, and the source address of the received communication packet Is a network layer communication address acquired by the network layer address acquisition means, and the determination means for determining whether the information included in the communication packet includes information that matches a preset security policy And the determining means determines that the information included in the communication packet matches the security policy. The case, and a communication limiting means for stopping the transfer to the destination of the communication packet.
本発明は、不正な通信を検知する不正通信検知モジュールによって、ネットワークに接続された通信端末が不正な通信をしたことが検知された場合に、当該通信端末の通信を制御する機能をコンピュータに実装させる通信制御プログラムであって、上述の課題を解決するために、不正通信検知モジュールから、当該不正な通信を行った通信端末のネットワーク層の通信アドレスを取得するネットワーク層アドレス取得機能と、受信した通信パケットの送信元アドレスが、ネットワーク層アドレス取得機能で取得されたネットワーク層の通信アドレスである場合に、当該通信パケットに含まれる情報に、予め設定されたセキュリティポリシーに合致する情報が含まれているかを判別する判別機能と、判別機能によって、通信パケットに含まれる情報がセキュリティポリシーに合致する場合に、当該通信パケットの宛先への転送を停止する通信制限機能とをコンピュータに実装させる。 In the present invention, when an unauthorized communication detection module for detecting unauthorized communication detects that a communication terminal connected to the network has performed unauthorized communication, a function for controlling communication of the communication terminal is implemented in a computer. In order to solve the above-described problem, a communication control program for acquiring a network layer address acquisition function for acquiring a communication address of a network layer of a communication terminal that has performed the unauthorized communication from the unauthorized communication detection module, and received When the transmission source address of the communication packet is a network layer communication address acquired by the network layer address acquisition function, the information included in the communication packet includes information that matches a preset security policy. Included in the communication packet by the determination function and the determination function Distribution is if it meets the security policy, thereby implementing the communication limiting and stopping the transfer to the destination of the communication packet to the computer.
本発明に係る通信制御装置、通信制御プログラムによれば、受信した通信パケットの送信元アドレスが不正な通信を行った通信端末の通信アドレスであり、通信パケットに含まれる情報がセキュリティポリシーに合致する場合に、当該通信パケットの宛先への転送を停止するので、不正な通信を行った通信端末を検知した場合に、当該不正な通信を行った通信端末による感染活動に関わる通信のみを制限することができる。 According to the communication control device and the communication control program according to the present invention, the transmission source address of the received communication packet is the communication address of the communication terminal that performed unauthorized communication, and the information included in the communication packet matches the security policy. In this case, since the transfer of the communication packet to the destination is stopped, when a communication terminal that performs unauthorized communication is detected, only communication related to infection activity by the communication terminal that performed unauthorized communication is restricted. Can do.
以下、本発明の実施の形態について図面を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
本発明は、図1に示すように、通信端末1によるHTTP(HyperText Transfer Protocol)通信、POP3(Post Office Protocol Version 3)通信、SMTP(Simple Mail Transfer Protocol)通信といった所定種類の通信を傍受でき、図2に示すように、通信端末1がスイッチ31,ルータ32,スイッチ33を介してセグメント外部のメールサーバやウェブサーバ等のサーバ群34と通信する通信システムにおいて、当該通信端末1がワームに感染したことに対して、当該感染した通信端末1(以下、感染端末1と呼ぶ)の通信を制限するワーム遮断装置2に適用される。このワーム遮断装置2は、図1に示すように、感染端末1とWebサーバ3、POP3サーバ4、SMTPサーバ5との間に設けられて、感染端末1のサーバ群34であるWebサーバ3、POP3サーバ4、SMTPサーバ5に対する通信を傍受できるようになっている。なお、ワーム遮断装置2は、感染端末1の通信パケットを全て傍受できなくても、後述するように感染端末1の通信を誘導できるように構成されていても良い。
As shown in FIG. 1, the present invention can intercept predetermined types of communication such as HTTP (HyperText Transfer Protocol) communication, POP3 (Post Office Protocol Version 3) communication, and SMTP (Simple Mail Transfer Protocol) communication by the
このような図2に示す通信システムにおいて、ワーム遮断装置2は、管理装置36から、当該不正な通信を行った感染端末1のネットワーク層通信アドレスであるIPアドレスを取得し、傍受している通信パケットの送信元アドレスが、感染端末1のIPアドレスである場合に、当該通信パケットに含まれる情報に、予め設定されたセキュリティポリシーに合致する情報が含まれているかを判別し、含まれている場合には当該通信パケットの宛先への転送を停止する通信制限を行う。このセキュリティポリシーとしては、アプリケーションの種類、宛先、ファイルデータの種類などが挙げられ、ワームによる感染活動を拡大させるようなパラメータが設定されている。
In the communication system shown in FIG. 2, the
例えば、ワーム遮断装置2は、セキュリティポリシーとして通信を停止するアプリケーションの種類を設定しておき、管理装置36から感染端末1のIPアドレスが通知された場合に、送信元アドレスが感染端末1のIPアドレスである通信パケットに含まれるトランスポート層ヘッダの情報から、アプリケーションの種類を指定するポート番号(識別子)を検出して、当該アプリケーションの種類が、予め設定されたアプリケーションの種類である場合に、当該通信パケットの転送を停止する。また、ワーム遮断装置2は、セキュリティポリシーとして通信パケットの宛先、すなわち感染端末1の通信相手を設定しておき、管理装置36から感染端末1のIPアドレスが通知された場合に、送信先アドレスが感染端末1のIPアドレスである通信パケットに含まれる送信先IPアドレスが予め設定されたIPアドレスである場合に、当該通信パケットの転送を停止する。更に、ワーム遮断装置2は、セキュリティポリシーとして通信を停止するファイルデータの種類を設定しておき、管理装置36から感染端末1のIPアドレスが通知された場合に、感染端末1で送受されるファイルデータが予め設定されたファイルデータである場合に、当該通信パケットの転送を停止する。これによって、ワーム遮断装置2は、感染端末1の通信のうち、予め設定された特定の通信のみを制限する。
For example, the
この通信システムにおいて、感染端末1のワームの動作としては、サーバ群34に対するポートスキャン、サーバ群34等に対する不正パケットの送信、他の通信端末に対するウィルスを添付ファイルとして含む不正なメールの送信などが挙げられる。
In this communication system, the worm operation of the infected
例えば、感染端末1から送信された不正な通信データS1は、サーバ群34のIPアドレスを宛先とし、スイッチ31、ルータ32及びスイッチ33を経由して、サーバ群34に送信される。すると、ワーム検知装置35は、スイッチ33を通過する通信データS1をコピーした通信データS2を取得し、当該コピーした通信データS2が不正な通信データであるか否かを判定する。ワーム検知装置35は、コピーした通信データS2から、感染端末1の特有の振る舞いを検知することによって、感染端末1がワームに感染しているかを検知する。例えば、感染端末1から直接的にネームサービスを受けるMXレコードを含む通信データS2を検知した場合や、感染していない通信端末などであれば送信されない宛先を含む通信データS2を検知した場合に、当該通信データS2を送信した感染端末1を検知する。そして、ワーム検知装置35は、通信データS2に含まれるIPアドレスを取得し、感染端末1のIPアドレスを含むワーム検知報告メッセージS3を管理装置36に通知する。
For example, the unauthorized communication data S1 transmitted from the infected
具体的には、ワーム検知装置35は、通信データS2に含まれるアプリケーションデータの種類を指定するポート番号を取得し、当該ポート番号がホスト名をネットワーク層アドレスに変換するネームサービスのアプリケーションを示すものであり、且つ、当該通信データS2のアプリケーションデータに、サーバ群34のネットワーク層アドレスを問い合わせるデータが含まれている場合に、不正にサーバ群34にアクセスしようとしている感染端末1を検知できる。更に他の具体例を挙げると、ワーム検知装置35は、コンピュータウィルスによって、不正な通信データが配信されることを検知するために、感染端末1に予め正規の設定情報に加えて、ダミーの設定情報を記憶させておき、ワームによる動作によって、ダミーの設定情報を用いて通信データを作成されて送信された場合には、感染端末1がワームに感染していることを判断できる。
Specifically, the
管理装置36は、ネットワーク管理者が運営するサーバであり、ワーム検知装置35からのワーム検知報告メッセージS3を受けて、当該ワーム検知報告メッセージS3に含まれる感染端末1のIPアドレスを蓄積すると共に、ワーム遮断装置2に通知する。管理装置36は、ワーム検知報告メッセージS3を受信したことに応じて、感染端末1のIPアドレスを含む通信遮断命令S4をワーム遮断装置2に通知する。
The
このワーム遮断装置2は、その内部構成を図3に示すように、基本ソフトウェアと通信制限アプリケーションがインストールされることによって、基本ソフトウェア処理部11と、通信制限アプリケーション処理部12とを備えて構成されている。
As shown in FIG. 3, the
基本ソフトウェア処理部11は、ネットワークと接続された通信インターフェース部21とTCP(Transmission Control Protocol)/IP(Internet Protocol)通信制御部22とを備える。基本ソフトウェア処理部11は、スイッチ31やルータ32等を介してネットワークから通信データを通信インターフェース部21で受信すると、TCP/IP通信制御部22によって、TCPヘッダのポート番号に応じて通信制限アプリケーション処理部12に通信データを渡す。また、基本ソフトウェア処理部11は、通信制限アプリケーション処理部12からアプリケーションデータが渡されると、TCP/IP通信制御部22によって、当該アプリケーションデータにTCPヘッダ及びIPヘッダを付加して、通信インターフェース部21からネットワークに送信させる。
The basic software processing unit 11 includes a
ワーム遮断装置2は、図2におけるスイッチ31を通過する通信データをコピーして傍受するように配置されており、感染端末1からの通信データを傍受すると、当該通信データを基本ソフトウェア処理部11で受信できるようになっている。また、TCP/IP通信制御部22は、外部ネットワークの管理装置36からの通信遮断命令S4を通信制限アプリケーション処理部12に渡す。
The
通信制限アプリケーション処理部12は、感染端末1の通信のうち予め設定されたセキュリティポリシーに合致する通信のみを停止する通信制限を行う。通信制限アプリケーション処理部12は、通信制限モジュール23と、感染端末情報受信部24と、通信制限ポリシー情報記憶部25と、感染端末情報リスト26とを備える。
The communication restriction
通信制限アプリケーション処理部12は、基本ソフトウェア処理部11によって管理装置36からの通信遮断命令S4を受信した場合に、通信遮断命令S4を感染端末情報受信部24で受信する。感染端末情報受信部24は、通信遮断命令S4を受け取ると、通信遮断命令S4に含まれる感染端末1のIPアドレスを感染端末情報リスト26に追加する。
When the basic software processing unit 11 receives the communication cutoff command S4 from the
感染端末情報リスト26は、記憶媒体に格納されたリストデータであり、通信遮断命令S4に含まれるIPアドレスをリスト化してなる。なお、この感染端末情報リスト26には、感染端末1と通信するために感染端末1のIPアドレスとMACアドレスとの対応関係、メールアドレス、時刻情報等も記憶していても良い。
The infected
このように感染端末情報リスト26に感染端末1のIPアドレスが格納されると、通信制限モジュール23は、送信元IPアドレスが感染端末1のIPアドレスであって、所定のセキュリティポリシーに合致する通信パケットの監視を行う。通信制限モジュール23は、送信元IPアドレスが感染端末1のIPアドレスで送信されている通信パケットを検知した場合に、当該通信パケットにセキュリティポリシーに合致する情報が含まれているか否かを判定する。このセキュリティポリシーの情報は、予めネットワーク管理者等によって通信制限ポリシー情報記憶部25に格納されている。
When the IP address of the
通信制限ポリシー情報記憶部25には、通信を停止するセキュリティポリシーとして、サーバ群34への転送を停止するアプリケーションの種類を示すポート番号、基幹サーバであるサーバ群34のIPアドレス、メール送信時の添付ファイルを削除すること、ファイルデータの種類などが記憶されている。なお、このセキュリティポリシーの情報としては、送信元IPアドレスが感染端末1であってもサーバ群34に転送しても良い条件を記載し、実質的に通信を停止するセキュリティポリシーの情報としても良い。
In the communication restriction policy information storage unit 25, as a security policy for stopping communication, a port number indicating the type of application for which transfer to the server group 34 is stopped, the IP address of the server group 34 serving as a core server, and the mail transmission time The deletion of the attached file and the type of file data are stored. The security policy information may include information on conditions that may be transferred to the server group 34 even if the transmission source IP address is the
そして、通信制限モジュール23は、基本ソフトウェア処理部11からの通信パケットの送信元IPアドレスが感染端末情報リスト26に登録されている場合に、通信制限ポリシー情報記憶部25を参照して、当該通信パケットにセキュリティポリシーに合致する情報が含まれているか否かを判定する。当該通信パケットにセキュリティポリシーに合致する情報が含まれている場合、通信制限モジュール23は、当該通信パケットを転送させないように基本ソフトウェア処理部11を制御する。一方、当該通信パケットにセキュリティポリシーに合致する情報が含まれていない場合、当該通信パケットを転送するように基本ソフトウェア処理部11を制御する。これによって、通信制限モジュール23は、感染端末1のIPアドレスが送信元IPアドレスとなっている通信パケットのうち、感染を拡大させるような通信パケットのみを遮断する。
Then, when the transmission source IP address of the communication packet from the basic software processing unit 11 is registered in the infected
このように、通信制限アプリケーション処理部12は、感染端末1を検知した場合に、当該感染端末1による感染活動に関わる通信のみを制限することができる。したがって、端末が感染したと同時に全ての通信を遮断することなく、利用者の業務を完全に停止させることを回避できる。また、感染端末1から送信された全ての通信について遮断・制限することなく、高い処理能力を必要とすることなく感染活動の拡大を防止できる。
Thus, when the communication restriction
また、ワーム遮断装置2によって通信遮断命令S4を受信した後の感染端末1の通信をサーバ群34以外に誘導する場合、通信制限アプリケーション処理部12は、感染端末1がDNS(Domain Name System)サーバ(図示せず)にアクセスして通信相手のホスト名からIPアドレスを取得する処理、ICMP(Internet Control Message Protocol)の仕組みにおけるICMP Redirectメッセージを利用して感染端末1が通信相手のIPアドレスから最適経路のルータのIPアドレスを取得する処理、ARP(Address Resolution Protocol)の仕組みを利用して通信相手のIPアドレスからMACアドレスを取得する処理のうち、何れかによって、感染端末1の通信パケットを誘導して、不正な通信を遮断する。すなわち、感染端末1からのDNS問い合わせを受けた場合には、感染端末1が知りたいIPアドレスとしてワーム遮断装置2のIPアドレスを応答し、感染端末1からのICMP Redirectメッセージに対してワーム遮断装置2が最適経路のゲートウェイルータであることを偽装し、感染端末1からのARPリクエストに対してワーム遮断装置2のMACアドレスを含むARPリプライを返信する。これによって、ワーム遮断装置2は、感染端末1からの所定のセキュリティポリシーに合致する情報を含む通信パケットを自己宛に誘導できる。
Further, when the communication of the
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。 The above-described embodiment is an example of the present invention. For this reason, the present invention is not limited to the above-described embodiment, and various modifications can be made depending on the design and the like as long as the technical idea according to the present invention is not deviated from this embodiment. Of course, it is possible to change.
すなわち、上述したワーム遮断装置2は、スイッチ31と接続された配置を示したが、これに限らず、図4に示すように、スイッチ51、ブリッジ装置52,ルータ53,横付け型機器54に、ワーム遮断装置2と同じ機能を実装させるための通信制御プログラムをインストールしても、上述の感染端末1による感染活動に関わる通信のみを停止するという効果を発揮させることができる。特に、通信装置間を接続する通信線、又は、通信装置間で通信される通信データを中継するスイッチ等の中継装置に接続され、当該通信線又は中継装置を通過する通信データを監視する横付け機器としてワーム遮断装置2を構成する場合には、不正な通信を行った通信端末の感染活動に関わる通信のみを停止する機能をシステムに導入するコスト等を低減できる。
That is, the above-described
また、上述した実施形態における感染端末1の感染活動に関わる通信のみを停止する機能は、家電機器群がネットワーク接続されたホームネットワークや、設備装置群がネットワーク接続された設備ネットワークなどにも適用できる。例えば、ホームネットワークに接続されてアプリケーションとしてウェブ機能やメール機能を具備する家電機器がワームに感染した場合であっても、当該家電機器によって不正な通信がなされることを防止することができる。
In addition, the function of stopping only the communication related to the infection activity of the
ここで、ホームネットワークを構築する技術としては、ECHOネットの他、エミット(EMIT(Embedded Micro Internetworking Technology))と称される機器組み込み型ネットワーク技術などがあげられる。この組み込み型ネットワーク技術は、ネットワーク機器にEMITミドルウェアを組み込んでネットワークに接続できる機能を備え、EMIT技術と称されている。 Here, as a technology for constructing a home network, in addition to the ECHO network, an embedded network technology called EMIT (Embedded Micro Internetworking Technology) can be used. This embedded network technology has a function of incorporating EMIT middleware into a network device and connecting it to a network, and is called EMIT technology.
より具体的には、上述した感染端末1の感染活動に関わる通信のみを停止する機能を有するワーム遮断装置2,管理装置36や、スイッチ、ルータ等のネットワーク機器にEMIT技術を実現するEMITソフトウェアを搭載して、当該EMITソフトウェアを搭載した通信端末や管理装置36、ワーム遮断装置2と、当該端末、中継装置、横付け機器を遠隔で制御又は監視するユーザ機器とをインターネット上に設けられたセンターサーバ(図示せず)を介して通信接続する。このユーザ機器は、例えば、携帯電話、PC(Personal Computer)、PDA(Personal Digital Assistant)、PHS(Personal Handy phone System)等の外部端末(図示せず)である。
More specifically, the
1 感染端末
2 ワーム遮断装置
3 Webサーバ
4 POP3サーバ
5 SMTPサーバ
11 基本ソフトウェア処理部
12 通信制限アプリケーション処理部
21 通信インターフェース部
22 TCP/IP通信制御部
23 通信制限モジュール
24 感染端末情報受信部
25 通信制限ポリシー情報記憶部
26 感染端末情報リスト
31 スイッチ
32 ルータ
33 スイッチ
34 サーバ群
35 ワーム検知装置
36 管理装置
DESCRIPTION OF
Claims (6)
前記不正通信検知手段から、当該不正な通信を行った通信端末のネットワーク層の通信アドレスを取得するネットワーク層アドレス取得手段と、
受信した通信パケットの送信元アドレスが、前記ネットワーク層アドレス取得手段で取得されたネットワーク層の通信アドレスである場合に、当該通信パケットに含まれる情報に、予め設定されたセキュリティポリシーに合致する情報が含まれているかを判別する判別手段と、
前記判別手段によって、通信パケットに含まれる情報がセキュリティポリシーに合致すると判別された場合に、当該通信パケットの宛先への転送を停止する通信制限手段と
を備えることを特徴とする通信制御装置。 A communication control device that controls communication of the communication terminal when it is detected by the unauthorized communication detection means that detects unauthorized communication that the communication terminal connected to the network has performed unauthorized communication,
Network layer address acquisition means for acquiring the communication address of the network layer of the communication terminal that performed the unauthorized communication from the unauthorized communication detection means;
When the transmission source address of the received communication packet is the network layer communication address acquired by the network layer address acquisition unit, the information included in the communication packet includes information that matches a preset security policy. A determination means for determining whether it is included;
A communication control apparatus comprising: a communication restriction unit that stops transfer of a communication packet to a destination when the determination unit determines that information included in the communication packet matches a security policy.
前記不正通信検知モジュールから、当該不正な通信を行った通信端末のネットワーク層の通信アドレスを取得するネットワーク層アドレス取得機能と、
受信した通信パケットの送信元アドレスが、前記ネットワーク層アドレス取得機能で取得されたネットワーク層の通信アドレスである場合に、当該通信パケットに含まれる情報に、予め設定されたセキュリティポリシーに合致する情報が含まれているかを判別する判別機能と、
前記判別機能によって、通信パケットに含まれる情報がセキュリティポリシーに合致する場合に、当該通信パケットの宛先への転送を停止する通信制限機能と
をコンピュータに実装させることを特徴とする通信制御プログラム。 A communication control program that, when an unauthorized communication detection module that detects unauthorized communication detects that a communication terminal connected to the network has performed unauthorized communication, implements a function for controlling communication of the communication terminal on the computer. Because
A network layer address acquisition function for acquiring a network layer communication address of a communication terminal that has performed the unauthorized communication from the unauthorized communication detection module;
When the transmission source address of the received communication packet is the network layer communication address acquired by the network layer address acquisition function, the information included in the communication packet includes information that matches a preset security policy. A discriminating function to discriminate whether it is included;
A communication control program for causing a computer to implement a communication restriction function for stopping transfer of a communication packet to a destination when information included in the communication packet matches a security policy by the determination function.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006088748A JP2007266960A (en) | 2006-03-28 | 2006-03-28 | Communication control apparatus, communication control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006088748A JP2007266960A (en) | 2006-03-28 | 2006-03-28 | Communication control apparatus, communication control program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007266960A true JP2007266960A (en) | 2007-10-11 |
Family
ID=38639519
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006088748A Pending JP2007266960A (en) | 2006-03-28 | 2006-03-28 | Communication control apparatus, communication control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007266960A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012015684A (en) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | Internal network management system and internal network management method and program |
-
2006
- 2006-03-28 JP JP2006088748A patent/JP2007266960A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012015684A (en) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | Internal network management system and internal network management method and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8341739B2 (en) | Managing network security | |
US7552478B2 (en) | Network unauthorized access preventing system and network unauthorized access preventing apparatus | |
US7617533B1 (en) | Self-quarantining network | |
EP1956463A2 (en) | Method and apparatus for providing network security based on device security status | |
US20070033645A1 (en) | DNS based enforcement for confinement and detection of network malicious activities | |
JP2005044277A (en) | Unauthorized communication detection device | |
JP2008177714A (en) | Network system, server, ddns server, and packet relay device | |
US11316861B2 (en) | Automatic device selection for private network security | |
JP2006319982A (en) | Worm-specifying and non-activating method and apparatus in communications network | |
US20070192593A1 (en) | Method and system for transparent bridging and bi-directional management of network data | |
JP4082613B2 (en) | Device for restricting communication services | |
US20210112093A1 (en) | Measuring address resolution protocol spoofing success | |
JP2007266931A (en) | Communication interruption apparatus, and communication interruption program | |
JP5624136B2 (en) | Programmable device for network-based packet filter | |
EP1742438A1 (en) | Network device for secure packet dispatching via port isolation | |
US9686311B2 (en) | Interdicting undesired service | |
JP2007264990A (en) | Automatic notification device of illegal communication and automatic notification program of unauthorized communication | |
KR101065800B1 (en) | Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof | |
JP2007266960A (en) | Communication control apparatus, communication control program | |
Riordan et al. | Building and deploying billy goat, a worm detection system | |
JP6476530B2 (en) | Information processing apparatus, method, and program | |
JP2008141352A (en) | Network security system | |
JP2007102747A (en) | Packet detector, message detection program, shutdown program of unauthorized e-mail | |
JP4084317B2 (en) | Worm detection method | |
JP2007266957A (en) | Address acquisition apparatus, and address acquisition program |