JP2008028740A - Communication control apparatus, communication control method, and computer program - Google Patents
Communication control apparatus, communication control method, and computer program Download PDFInfo
- Publication number
- JP2008028740A JP2008028740A JP2006199679A JP2006199679A JP2008028740A JP 2008028740 A JP2008028740 A JP 2008028740A JP 2006199679 A JP2006199679 A JP 2006199679A JP 2006199679 A JP2006199679 A JP 2006199679A JP 2008028740 A JP2008028740 A JP 2008028740A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- data
- frame
- determined
- communication control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、複数の通信装置間で送受信されるフレームに基づいて通信制御を行う通信制御装置、通信制御方法、及びコンピュータプログラムに関する。 The present invention relates to a communication control apparatus, a communication control method, and a computer program that perform communication control based on frames transmitted and received between a plurality of communication apparatuses.
従来、企業内ネットワーク、組織内ネットワーク等の内部ネットワークのセキュリティを確保する手法として、ファイアウォールを外部ネットワークとの境界に設置する手法が知られている(例えば、特許文献1参照)。 Conventionally, as a technique for ensuring the security of an internal network such as an in-company network or an in-house network, a technique of installing a firewall at the boundary with an external network is known (for example, see Patent Document 1).
ファイアウォールは、予め設定されたフィルタリングルールに基づいて、IPパケットをフィルタリングする機能をもっている。フィルタリングルールは、送信元IPパケット、送信先IPパケット、プロトコル等のヘッダ情報と、そのヘッダ情報に対する対応するアクション(受け入れ又は拒絶)との集合である。 The firewall has a function of filtering IP packets based on preset filtering rules. The filtering rule is a set of header information such as a source IP packet, a destination IP packet, and a protocol, and a corresponding action (acceptance or rejection) for the header information.
ファイアウォールは、IPパケットのヘッダ情報に適合するフィルタリングルールの内容に基づいて、当該IPパケットを受け入れ又は拒絶することにより、内部ネットワークを不適切なIPパケットの侵入から防御可能としている。 The firewall accepts or rejects the IP packet based on the content of the filtering rule that matches the header information of the IP packet, thereby enabling the internal network to be protected from inappropriate IP packet intrusion.
しかしながら、ファイアウォールは、フィルタリングルールに従ってアクションを決定するため、受け入れに対応したヘッダ情報をもつIPパケットに関しては、不正なIPパケットであっても侵入を防御することができないという問題点を有している。 However, since the firewall determines the action according to the filtering rule, the IP packet having header information corresponding to the acceptance has a problem that even an illegal IP packet cannot be prevented from intrusion. .
そこで近年では、ファイアーウォールの後段の内部ネットワークに分岐接続されたネットワーク傍受型の侵入検知システム(IDS:Intrusion Detection System)が提案されている(例えば、特許文献2参照)。 In recent years, therefore, a network interception type intrusion detection system (IDS: Intrusion Detection System) branched and connected to the internal network downstream of the firewall has been proposed (for example, see Patent Document 2).
このIDSでは、予め攻撃パターンのデータベースを保持しており、内部ネットワークから傍受したIPパケットをそのデータベースと照合し、攻撃となるIPパケットか否かを判定する。傍受したパケットが攻撃となるIPパケットであると判定した場合、IDSは攻撃パケットが侵入した旨を管理者に通知する。
しかしながら、前述したような侵入検知システムでは、攻撃パケットの侵入を検知して管理者に通知したとしても、通知が管理者に届くまでに、内部ネットワーク上の該当通信装置が攻撃パケットによる攻撃を受けてしまう虞があるという問題点を有している。 However, in the intrusion detection system as described above, even if the intrusion of the attack packet is detected and notified to the administrator, the communication device on the internal network is attacked by the attack packet before the notification reaches the administrator. There is a problem that there is a possibility of being.
本発明は斯かる事情に鑑みてなされたものであり、通信装置間で送受信されるフレームから順次的にデータを抽出し、抽出したデータに基づいて通信制御すべきであるか否かを判定し、通信制御すべきでないと判定した場合に抽出したデータを送信する構成とすることにより、ファイアウォールを通過するようなパケットであっても通信制御を行い、不正アクセスなどを未然に防止することができる通信制御装置、通信制御方法、及びコンピュータプログラムを提供することを目的とする。 The present invention has been made in view of such circumstances, and sequentially extracts data from frames transmitted and received between communication devices, and determines whether or not to perform communication control based on the extracted data. By adopting a configuration that transmits the extracted data when it is determined that communication control should not be performed, communication control is performed even for packets that pass through a firewall, and unauthorized access and the like can be prevented in advance. An object is to provide a communication control device, a communication control method, and a computer program.
本発明に係る通信制御装置は、複数の通信装置を接続可能になしてあり、接続された複数の通信装置のうち、一の通信装置から他の通信装置へ送信されるフレームに基づいて通信制御を行う装置において、前記フレームから順次的にデータを抽出する抽出手段と、該抽出手段により抽出されたデータに基づいて通信を制御すべきであるか否かを判定する判定手段とを備え、該判定手段が通信を制御すべきでないと判定した場合、抽出したデータを前記他の通信装置へ送信するようにしてあることを特徴とする。 The communication control device according to the present invention is capable of connecting a plurality of communication devices, and controls communication based on a frame transmitted from one communication device to another communication device among the plurality of connected communication devices. An extraction unit that sequentially extracts data from the frame, and a determination unit that determines whether communication should be controlled based on the data extracted by the extraction unit, When the determination means determines that communication should not be controlled, the extracted data is transmitted to the other communication device.
本発明にあっては、通信装置間で送受信されるフレームから順次的にデータを抽出し、抽出したデータに基づいて通信を制御すべきであるか否かを判定し、通信を制御すべきであると判定した場合に抽出したデータを送信する構成とすることにより、ファイアウォールを通過するようなパケットであっても、通信制御を行うことができるため、不正アクセスに係るデータの送信等を停止することができ、不正アクセス等が未然に防止される。 In the present invention, data should be extracted sequentially from frames transmitted and received between communication devices, whether or not communication should be controlled based on the extracted data, and communication should be controlled. By configuring the configuration to transmit the extracted data when it is determined that there is, communication control can be performed even for packets that pass through the firewall, so transmission of data related to unauthorized access is stopped. And unauthorized access can be prevented.
本発明に係る通信制御装置は、前記抽出手段にて抽出されたデータを検査すべく、検査装置を接続するインタフェースを更に備えることを特徴とする。 The communication control device according to the present invention further includes an interface for connecting the inspection device in order to inspect the data extracted by the extraction means.
本発明にあっては、検査装置を接続するインタフェースを備えるため、セキュリティの有無などを検査する場合には、FPGA(Field Programmable Gate Array)、ASIC(Application Specific Integrated Circuit)などの専用のハードウェアにより構成される検査装置を接続し、その検査装置に検査を依頼することができる。 In the present invention, since an interface for connecting an inspection device is provided, when inspecting the presence or absence of security or the like, dedicated hardware such as an FPGA (Field Programmable Gate Array) or an ASIC (Application Specific Integrated Circuit) is used. A configured inspection apparatus can be connected and the inspection apparatus can be inspected.
本発明に係る通信制御装置は、前記判定手段は、前記データが前記他の通信装置内の任意のアプリケーションに渡される契機となるデータであるか否かを判定する手段を備え、前記アプリケーションに渡される契機となるデータであると判定した場合、通信を制御すべきであると判定するようにしてあることを特徴とする。 In the communication control apparatus according to the present invention, the determination unit includes a unit that determines whether or not the data is data that is an opportunity to be passed to any application in the other communication device, and is passed to the application. When it is determined that the data is a trigger for communication, it is determined that communication should be controlled.
本発明にあっては、送信先の通信装置内にインストールされている任意のアプリケーションに渡される契機となるようなデータを検出した場合、通信を制御すべきであると判定するため、通信装置内で不具合を生じさせるような攻撃コードの送信が未然に防止される。 In the present invention, when data that triggers an arbitrary application installed in the destination communication device is detected, the communication device determines that the communication should be controlled. The transmission of attack codes that can cause problems is prevented in advance.
本発明に係る通信制御装置は、前記フレームは、連続するシーケンス番号が付された複数のセグメントからなり、前記抽出手段は、各セグメントからデータを抽出するようにしており、抽出したデータを、抽出元のセグメントに付されたシーケンス番号に関連付けて記憶する手段と、前記データを記憶した結果、前記アプリケーションに渡すことができる一連のバイト列が完成したか否かを前記シーケンス番号に基づいて判断する手段とを備え、前記バイト列が完成したと判断した場合、前記判定手段は通信を制御すべきであると判定するようにしてあることを特徴とする。 In the communication control apparatus according to the present invention, the frame includes a plurality of segments assigned consecutive sequence numbers, and the extraction unit extracts data from each segment, and extracts the extracted data. Means for storing in association with the sequence number assigned to the original segment, and determining whether or not a series of byte strings that can be passed to the application is completed as a result of storing the data based on the sequence number Means for determining that the byte sequence is completed, the determination means determines that communication should be controlled.
本発明にあっては、各セグメントから抽出したデータを、抽出元のセグメントに付されたシーケンス番号に関連付けて記憶し、記憶した結果、送信先の通信装置内にインストールされているアプリケーションに渡すことができる一連のバイト列が完成したか否かを判定し、バイト列が完成したと判断した場合、通信を制御すべきであると判定するため、セグメントのシーケンス番号を管理することによって通信制御すべきであるか否かが判定される。 In the present invention, the data extracted from each segment is stored in association with the sequence number assigned to the segment of the extraction source, and the stored result is passed to the application installed in the destination communication device. It is determined whether or not a series of byte sequences that can be completed, and if it is determined that the byte sequence is completed, communication control is performed by managing the sequence number of the segment in order to determine that communication should be controlled. It is determined whether it should be.
本発明に係る通信制御装置は、前記判定手段が通信を制御すべきと判定した場合、前記他の通信装置に対してアクセスの遮断を要求する信号を送信する手段を備えることを特徴とする。 The communication control apparatus according to the present invention is characterized by comprising means for transmitting a signal for requesting blocking of access to the other communication apparatus when the determination means determines to control communication.
本発明にあっては、通信を制御すべきと判定した場合、送信先の通信装置に対してアクセスの遮断を要求する信号を送信するため、不正アクセスに係るデータなどが通信装置へ受け渡される前に通信が遮断される。 In the present invention, when it is determined that communication should be controlled, a signal requesting to block access is transmitted to the destination communication device, so that data relating to unauthorized access is delivered to the communication device. Communication is interrupted before.
本発明に係る通信制御装置は、前記判定手段が通信を制御すべきと判定した場合、前記一の通信装置及び他の通信装置に対してアクセスの遮断を要求する信号を送信する手段を備えることを特徴とする。 The communication control apparatus according to the present invention comprises means for transmitting a signal requesting to block access to the one communication apparatus and the other communication apparatus when the determination means determines that communication should be controlled. It is characterized by.
本発明にあっては、通信を制御すべきと判定した場合、送信元及び送信先の双方に対してアクセスの遮断を要求する信号を送信するため、不正アクセスに係るデータなどが通信装置へ受け渡される前に通信が確実に遮断される。 In the present invention, when it is determined that communication should be controlled, a signal requesting to block access is transmitted to both the transmission source and the transmission destination, so that data relating to unauthorized access is received by the communication device. Communication is securely interrupted before being passed.
本発明に係る通信制御装置は、前記判定手段が通信を制御すべきと判定した場合、抽出したデータの一部又は全部を他のデータにより置換する手段と、置換したデータを前記他の通信装置へ送信する手段とを備えることを特徴とする。 In the communication control device according to the present invention, when the determination means determines that communication should be controlled, a means for replacing part or all of the extracted data with other data, and the replaced data for the other communication apparatus Means for transmitting to.
本発明にあっては、通信を制御すべきであると判定した場合、抽出したデータの一部又は全部を他のデータにより置換し、置換したデータを送信するようにしているため、通信を遮断することなく不正アクセスなどが防止される。 In the present invention, when it is determined that the communication should be controlled, a part or all of the extracted data is replaced with other data, and the replaced data is transmitted. Unauthorized access is prevented without doing so.
本発明に係る通信制御方法は、一の通信装置から他の通信装置へ送信されるフレームに基づいて通信制御を行う方法において、前記フレームから順次的にデータを抽出し、抽出したデータに基づいて通信を制御すべきであるか否か判定し、通信を制御すべきでないと判定した場合、抽出したデータを他の通信装置へ送信することを特徴とする。 The communication control method according to the present invention is a method of performing communication control based on a frame transmitted from one communication device to another communication device, and sequentially extracts data from the frame, and based on the extracted data It is determined whether or not the communication should be controlled, and when it is determined that the communication should not be controlled, the extracted data is transmitted to another communication device.
本発明にあっては、通信装置間で送受信されるフレームから順次的にデータを抽出し、抽出したデータに基づいて通信を制御すべきであるか否かを判定し、通信を制御すべきであると判定した場合に抽出したデータを送信する構成とすることにより、ファイアウォールを通過するようなパケットであっても、通信制御を行うことができるため、不正アクセスに係るデータの送信等を停止することができ、不正アクセス等が未然に防止される。 In the present invention, data should be extracted sequentially from frames transmitted and received between communication devices, whether or not communication should be controlled based on the extracted data, and communication should be controlled. By configuring the configuration to transmit the extracted data when it is determined that there is, communication control can be performed even for packets that pass through the firewall, so transmission of data related to unauthorized access is stopped. And unauthorized access can be prevented.
本発明に係るコンピュータプログラムは、コンピュータに、一の通信装置から他の通信装置へ送信されるフレームに基づいて通信制御を行わせるコンピュータプログラムにおいて、コンピュータに、前記フレームから順次的にデータを抽出させるステップと、コンピュータに、抽出させたデータに基づいて通信を制御させるべきであるかを判定させるステップと、コンピュータに、通信を制御させるべきでないと判定された場合、抽出させたデータを他の通信装置へ送信させるステップとを有することを特徴とする。 A computer program according to the present invention is a computer program for causing a computer to perform communication control based on a frame transmitted from one communication device to another communication device, and causing the computer to sequentially extract data from the frame. A step, causing the computer to determine whether to control communication based on the extracted data; and, if it is determined that the computer should not control communication, the extracted data to other communication And transmitting to the apparatus.
本発明にあっては、通信装置間で送受信されるフレームから順次的にデータを抽出し、抽出したデータに基づいて通信を制御すべきであるか否かを判定し、通信を制御すべきであると判定した場合に抽出したデータを送信する構成とすることにより、ファイアウォールを通過するようなパケットであっても、通信制御を行うことができるため、不正アクセスに係るデータの送信等を停止することができ、不正アクセス等が未然に防止される。 In the present invention, data should be extracted sequentially from frames transmitted and received between communication devices, whether or not communication should be controlled based on the extracted data, and communication should be controlled. By configuring the configuration to transmit the extracted data when it is determined that there is, communication control can be performed even for packets that pass through the firewall, so transmission of data related to unauthorized access is stopped. And unauthorized access can be prevented.
本発明に係るコンピュータプログラムは、コンピュータに、前記データが前記他の通信装置内の任意のアプリケーションに渡される契機となるデータであるか否かを判定させるステップを有することを特徴とする。 The computer program according to the present invention includes a step of causing a computer to determine whether or not the data is data that triggers an arbitrary application in the other communication device.
本発明にあっては、送信先の通信装置内にインストールされている任意のアプリケーションに渡される契機となるようなデータが検出された場合、通信を制御すべきと判定されるため、通信装置内で不具合を生じさせるような攻撃コードの送信が未然に防止される。 In the present invention, it is determined that communication should be controlled when data that triggers an arbitrary application installed in the destination communication device is detected. The transmission of attack codes that can cause problems is prevented in advance.
本発明に係るコンピュータプログラムは、前記フレームは、連続するシーケンス番号が付された複数のセグメントからなり、各セグメントからデータを抽出させるようにしており、コンピュータに、抽出させたデータを、抽出元のセグメントに付されたシーケンス番号に関連付けて記憶させるステップと、コンピュータに、前記データを記憶させた結果、前記アプリケーションに渡すことができる一連のバイト列が完成したか否かを前記シーケンス番号に基づいて判断させるステップとを有することを特徴とする。 In the computer program according to the present invention, the frame is composed of a plurality of segments with consecutive sequence numbers, and data is extracted from each segment, and the computer extracts the extracted data from the source. Based on the sequence number, a step of storing in association with a sequence number assigned to a segment and whether or not a series of byte sequences that can be passed to the application are completed as a result of storing the data in a computer And a step of making a judgment.
本発明にあっては、各セグメントから抽出したデータを、抽出元のセグメントに付されたシーケンス番号に関連付けて記憶し、記憶した結果、送信先の通信装置内にインストールされているアプリケーションに渡すことができる一連のバイト列が完成したか否かを判定し、バイト列が完成したと判断した場合、通信を制御すべきであると判定するため、セグメントのシーケンス番号を管理することによって通信制御すべきであるか否かが判定される。 In the present invention, the data extracted from each segment is stored in association with the sequence number assigned to the segment of the extraction source, and the stored result is passed to the application installed in the destination communication device. It is determined whether or not a series of byte sequences that can be completed, and if it is determined that the byte sequence is completed, communication control is performed by managing the sequence number of the segment in order to determine that communication should be controlled. It is determined whether it should be.
本発明に係るコンピュータプログラムは、コンピュータに、通信を制御させるべきと判定された場合、前記他の通信装置に対してアクセスの遮断を要求する信号を送信させるステップを有することを特徴とする。 The computer program according to the present invention includes a step of causing a computer to transmit a signal requesting to block access when it is determined that the computer should control communication.
本発明にあっては、通信を制御すべきと判定した場合、送信先の通信装置に対してアクセスの遮断を要求する信号を送信するため、不正アクセスに係るデータなどが通信装置へ受け渡される前に通信が遮断される。 In the present invention, when it is determined that communication should be controlled, a signal requesting to block access is transmitted to the destination communication device, so that data relating to unauthorized access is delivered to the communication device. Communication is interrupted before.
本発明に係るコンピュータプログラムは、コンピュータに、通信を制御させるべきと判定された場合、前記一の通信装置及び他の通信装置に対してアクセスの遮断を要求する信号を送信させるステップを有することを特徴とする。 The computer program according to the present invention includes a step of causing the computer to transmit a signal requesting to block access to the one communication device and the other communication device when it is determined that the communication should be controlled. Features.
本発明にあっては、通信を制御すべきと判定した場合、送信元及び送信先の双方に対してアクセスの遮断を要求する信号を送信するため、不正アクセスに係るデータなどが通信装置へ受け渡される前に通信が確実に遮断される。 In the present invention, when it is determined that communication should be controlled, a signal requesting to block access is transmitted to both the transmission source and the transmission destination, so that data relating to unauthorized access is received by the communication device. Communication is securely interrupted before being passed.
本発明に係るコンピュータプログラムは、コンピュータに、通信を制御させるべきと判定された場合、抽出させたデータの一部又は全部を他のデータにより置換させるステップと、コンピュータに、置換させたデータを前記他の通信装置へ送信させるステップとを有することを特徴とする。 When it is determined that the computer should control communication, the computer program according to the present invention replaces a part or all of the extracted data with other data, and the computer replaces the replaced data with the data. And transmitting to another communication device.
本発明にあっては、通信を制御すべきであると判定した場合、抽出したデータの一部又は全部を他のデータにより置換し、置換したデータを送信するようにしているため、通信を遮断することなく不正アクセスなどが防止される。 In the present invention, when it is determined that the communication should be controlled, a part or all of the extracted data is replaced with other data, and the replaced data is transmitted. Unauthorized access is prevented without doing so.
本発明による場合は、通信装置間で送受信されるフレームから順次的にデータを抽出し、抽出したデータに基づいて通信を制御すべきであるか否かを判定し、通信を制御すべきであると判定した場合に抽出したデータを送信する構成としている。したがって、ファイアウォールを通過するようなパケットであっても、不正アクセスに係るデータの送信等を停止することができ、不正アクセス等を未然に防止することができる。特に、本発明に係る通信制御装置は、任意の通信経路上にインラインで挿入することができるため、既存のネットワーク構成及び設定を変更することなく使用することができる。 In the case of the present invention, data should be extracted sequentially from frames transmitted and received between communication devices, it should be determined whether communication should be controlled based on the extracted data, and communication should be controlled. The data extracted when it is determined to be transmitted is transmitted. Therefore, even if the packet passes through the firewall, transmission of data related to unauthorized access can be stopped, and unauthorized access can be prevented in advance. In particular, since the communication control device according to the present invention can be inserted inline on any communication path, it can be used without changing the existing network configuration and settings.
本発明による場合は、検査装置を接続するインタフェースを備えるため、セキュリティの有無などを検査する場合には、FPGA、ASICなどの専用のハードウェアにより構成される検査装置を接続し、その検査装置に検査を依頼することができる。また、フレームからのデータの抽出、再構成するときの重複、欠落、及び順序逆転への対応を検査装置で行う必要がなくなり、検査装置を独立して開発することができる。そのため、将来的に新たな検査手法が見出されたときに全体の構成を容易にアップデートすることができる。また、検査装置では、通常のデータファイルを処理するプログラムによって行うことができる。 In the case of the present invention, since the interface for connecting the inspection apparatus is provided, when inspecting the presence or absence of security, an inspection apparatus constituted by dedicated hardware such as FPGA and ASIC is connected and connected to the inspection apparatus. You can request an inspection. In addition, it is not necessary for the inspection apparatus to deal with duplication, omission, and order reversal when extracting data from the frame and reconstructing, and the inspection apparatus can be independently developed. Therefore, when a new inspection method is found in the future, the entire configuration can be easily updated. Further, in the inspection apparatus, it can be performed by a program for processing a normal data file.
本発明による場合は、送信先の通信装置内にインストールされている任意のアプリケーションに渡される契機となるようなデータを検出した場合、通信を制御すべきであると判定する。したがって、通信装置内のアプリケーションがクラッシュして不具合を招くような攻撃コードの送信を未然に防止することができる。 In the case of the present invention, it is determined that communication should be controlled when data that triggers an arbitrary application installed in a destination communication device is detected. Therefore, it is possible to prevent transmission of an attack code that causes an application in the communication apparatus to crash and cause a malfunction.
本発明による場合は、各セグメントから抽出したデータを、抽出元のセグメントに付されたシーケンス番号に関連付けて記憶し、記憶した結果、送信先の通信装置内にインストールされているアプリケーションに渡すことができる一連のバイト列が完成したか否かを判定し、バイト列が完成したと判断した場合、通信を制御すべきであると判定する。したがって、セグメントのシーケンス番号を管理することにより、通信を制御すべきであるか否かを判定することができる。 In the case of the present invention, the data extracted from each segment is stored in association with the sequence number assigned to the segment of the extraction source, and as a result of the storage, it can be passed to the application installed in the destination communication device. It is determined whether or not a series of possible byte strings has been completed. If it is determined that the byte string has been completed, it is determined that communication should be controlled. Therefore, it is possible to determine whether or not the communication should be controlled by managing the sequence number of the segment.
本発明による場合は、通信を制御すべきであると判定した場合、送信先の通信装置に対してアクセスの遮断を要求する信号を送信する。したがって、不正アクセスに係るデータ等を受け渡す前に通信を遮断することができ、不正アクセス等による被害を最小限に抑えることができる。 In the case of the present invention, when it is determined that the communication should be controlled, a signal requesting to block access is transmitted to the destination communication device. Therefore, communication can be cut off before transferring data related to unauthorized access, and damage caused by unauthorized access can be minimized.
本発明による場合は、通信を制御すべきであると判定した場合、送信元及び送信先の双方に対してアクセスの遮断を要求する信号を送信する。したがって、コネクション確立時の最初のパケットで通信制御すべきと判定した場合、コネクションを確立させる前に通信を遮断することができる。また、フレームの送信元に対して通信相手がクローズド状態であるかの如くみせることができ、通信の遮断を確実なものにすることができる。 In the case of the present invention, when it is determined that the communication should be controlled, a signal requesting to block access is transmitted to both the transmission source and the transmission destination. Therefore, when it is determined that communication control should be performed with the first packet at the time of connection establishment, communication can be blocked before the connection is established. Further, the communication partner can be shown to the frame transmission source as if it were in a closed state, so that the communication can be surely cut off.
本発明による場合は、通信を制御すべきであると判定した場合、抽出したデータの一部又は全部を他のデータにより置換し、置換したデータを送信する。したがって、通信を遮断することなく不正アクセス等を防止することができ、通信を遮断することが望ましくない状況下で使用することができる。また、データの一部又は全部を他のデータにより置換するため、有害な情報を無害化したり、情報漏洩を防止することができる。 According to the present invention, when it is determined that communication should be controlled, a part or all of the extracted data is replaced with other data, and the replaced data is transmitted. Therefore, unauthorized access or the like can be prevented without blocking communication, and can be used in situations where it is not desirable to block communication. Further, since part or all of the data is replaced with other data, harmful information can be rendered harmless or information leakage can be prevented.
以下、本発明をその実施の形態を示す図面に基づいて具体的に説明する。
実施の形態1.
図1は本実施の形態に係る通信制御システムの概略構成を説明する模式図である。図中10は、インターネット網などの外部ネットワークN1に接続された通信装置、20は、企業内ネットワーク、組織内ネットワークなどの内部ネットワークN2に接続された通信装置である。通信装置10,20としては、通信手段を備えた装置であれば如何なる装置であってもよく、例えば、パーソナルコンピュータ、電話機、情報家電、ゲーム機等が含まれる。
Hereinafter, the present invention will be specifically described with reference to the drawings showing embodiments thereof.
FIG. 1 is a schematic diagram illustrating a schematic configuration of a communication control system according to the present embodiment. In the figure,
外部ネットワークN1及び内部ネットワークN2は、本発明に係る通信制御装置110を内蔵したネットワークデバイス100により接続されている。このネットワークデバイス100は、スイッチ、ルータ等の通信ネットワーク上で送受信されるフレームを中継するための装置である。
The external network N1 and the internal network N2 are connected by a
ネットワークデバイス100は、CPU101、フォワーディングエンジン102の他に、外部ネットワークN1側のPHY103及びMAC104、並びに内部ネットワークN2側のPHY106及びMAC105を備える。なお、図1では簡略化する目的で内部ネットワークN2側に1組のPHY106及びMAC105を設けた構成としたが、複数組のPHY及びMACを設けて複数の通信装置を接続できるようにしてもよいことは勿論のことである。
In addition to the
CPU101は、受信したフレームのチェックを行った後に最適な通信経路を設定し、設定した情報をフォワーディングエンジン102に通知する。フォワーディングエンジン102は、CPU101から通知される情報と、受信したフレームのヘッダ情報とを参照して、受信したフレームの出力先を決定する。
The
ネットワークデバイス100が、外部ネットワークN1側のPHY103又は内部ネットワーク側のPHY106を通じてフレームを受信した場合、インラインで挿入された通信制御装置110がそのフレームに基づいて通信制御を行う。
When the
通信制御装置110は、内部ネットワークN2側のMAC105とPHY106と間に接続されており、制御部111、検査部112、及びMAC113,114を備えている。
The communication control device 110 is connected between the
制御部111は、MAC113又は114を通じて入力されたフレームの転送を一時的に保留し、フレームからデータを順次的に抽出し、抽出したデータとコネクションに関する情報とを検査部112へ渡して検査依頼を行う。なお、制御部111については、後に詳述することとする。
The
検査部112は、主としてデータのセキュリティに関する検査を行う。検査手法としては、既存の検査手法を用いることもでき、また、将来的に開発される如何なる検査手法を用いることも可能である。検査手法の例としては、本願出願人が特願2005−502932号明細書、及び特願2005−502935号明細書において提案している不正処理判定方法を挙げることができる。検査部112の検査対象は、制御部111によって抽出されるデータであるため、通常のデータファイルを処理するプログラムによって検査することができる。
The inspecting
次に、制御部111の詳細について説明する。図2は制御部111に入力されるフレームの詳細を示す模式図であり、図3は制御部111の内部構成を説明するブロック図である。例えば、通信装置10と通信装置20との間でTCPにより通信を行う場合、図2(a)に示したように、受信フレームは、MACヘッダ、IPヘッダ、及びTCPヘッダからなるヘッダ部分と、ヘッダ以外のデータとにより構成される。制御部111は、検査部112に検査依頼を行うために受信フレームからヘッダ以外のデータを抽出する。同様に、通信装置10と通信装置20との間でUDPにより通信を行う場合、図2(b)に示したように、受信フレームは、MACヘッダ、IPヘッダ、及びUDPヘッダからなるヘッダ部分と、ヘッダ以外のデータにより構成される。制御部111は、検査部112に検査依頼を行うために受信フレームからヘッダ以外のデータを抽出する。また、ヘッダ部分を参照した場合にエラーがあることが検証されたとき、制御部111は、検査部112に検査依頼を行うために、受信フレームの全体を検査依頼の対象データとして抽出する。
Next, details of the
図3に示すように、受信フレームは制御部111内のフレーム受信部11に入力される。フレーム受信部11は、入力されたフレームをバッファメモリ14へ格納し、バッファ管理テーブル15及びフレーム管理テーブル16へ管理情報を書き込む処理を行う。また、それと同時にフレームの種別判定、ヘッダのチェック、チェックサムのチェックを行い、フレームの種別、ヘッダエラーの有無に応じて後のどのブロックにフレームを渡すかの判断を行う。
As shown in FIG. 3, the received frame is input to the frame receiving unit 11 in the
テーブルマネージャ12は、各処理部が次に行うべきフレームの処理キューの管理を行う。また、バッファ管理テーブル15、フレーム管理テーブル16の空き管理、並びに各テーブルへの書き込み及び読み込みを行う。 The table manager 12 manages the processing queue of the frame that each processing unit should perform next. In addition, the buffer management table 15 and the frame management table 16 are vacantly managed, and writing to and reading from each table are performed.
バッファメモリインタフェース13は、バッファメモリ14への書き込み、及びバッファメモリ14からの読み込みを行う。
The
フラグメント処理部17は、フラグメント化されたIPフレームをIP SA,IP DA,Protocol,IDの情報を元にIPフラグメントの組み立ての管理を行う。管理情報はフラグメント管理テーブル20に保持し、受信したフレームの情報に従って適宜情報の新規設定、更新を行う。なお、フラグメントの組み立てを行うのはTCP又はUDPのフレームだけである。フラグメント化されたTCPフレームに限り、ここでチェックサムのチェックを行う。更に、IPフラグメントのオーバラップ部分の同一性検査を行ってもよい。
The
コネクション管理部18は、TCPのコネクション管理とTCPフレームをシーケンス番号順に並び替えて再構築を行うためのフレームの順序の管理を行う。管理情報は、コネクション管理テーブル21に保持し、受信したフレームの情報に従って適宜情報の新規設定、更新を行う。更に、TCPフレームのオーバラップ部分の同一性検査を行う。 The connection management unit 18 manages TCP connection management and the order of frames for rearranging TCP frames in order of sequence numbers and reconstructing them. The management information is held in the connection management table 21, and new information is appropriately set and updated according to the received frame information. Further, an identity check is performed on the overlapping portion of the TCP frame.
管理マネージャ19は、フラグメント管理テーブル20、コネクション管理テーブル21の空き管理を行うと共に、これらのテーブルに対してアクセスし、データの書き込み及び読み込みを行う。
The
検査部インタフェース22は、受信したフレームを前段の処理で判定したフレーム形式、検査依頼形態に従って検査依頼用のヘッダ情報の作成、及びフレームのデータをバッファメモリ14から取り出し、検査部インタフェース22から検査部112に対して検査依頼データの送信を行う。また、検査部112から送信される検査結果をフレーム管理テーブル16及びコネクション管理テーブル21に反映し、フレームの処理を決定する。
The
フレーム送信部23は、検査部112による検査結果に応じてフレームの送信、RST置換、破棄を行う。また、送信、RST置換したフレームのフレーム管理テーブル16、バッファ管理テーブル15上の管理情報の解放を行う。
The
以下、通信制御装置110により実行される処理の手順について説明する。図4及び図5は通信制御装置110が実行する処理の手順を説明するフローチャートである。通信制御装置110が、MAC113又は114を通じてネットワークデバイス100の外部から送信されるフレームをフレーム受信部11にて受信した場合(ステップS11)、そのフレームをバッファメモリ14に保持する(ステップS12)。このとき、テーブルマネージャ12はバッファ管理テーブル15及びフレーム管理テーブル16に対して管理情報の書き込みを行う。
Hereinafter, a procedure of processing executed by the communication control apparatus 110 will be described. 4 and 5 are flowcharts for explaining the procedure of processing executed by the communication control apparatus 110. FIG. When the communication control apparatus 110 receives a frame transmitted from the outside of the
制御部111は、フレーム受信部11でのフレーム種別の判定、ヘッダのチェック、チェックサムのチェックの結果、エラーのないIPパケットであるか否かを判断する(ステップS13)。エラーを含んだIPパケットであると判断した場合(S13:NO)、受信したフレームの全体について検査部112に検査を依頼する(ステップS14)。そして、検査部112による検査結果に応じて処理を実行する(ステップS15)。ここで、実行する処理は、フレームの送信、破棄、リセット置換、データ置換である。
The
一方、ステップS13でエラーのないIPパケットであると判断した場合(S13:YES)、テーブルマネージャ12は、フレーム受信部11での処理を受けてそのIPパケットがフラグメント化されているか否かを判断する(ステップS16)。フラグメント化されていると判断した場合(S16:YES)、後述するフラグメント処理を行う(ステップS17)。 On the other hand, if it is determined in step S13 that the packet is an error-free IP packet (S13: YES), the table manager 12 determines whether the IP packet has been fragmented by receiving processing in the frame receiving unit 11. (Step S16). If it is determined that it is fragmented (S16: YES), fragment processing described later is performed (step S17).
フラグメント処理の結果、全てのフラグメントが集まったか否かを判断する(ステップS18)。全てのフラグメントが集まっていないと判断した場合(S18:NO)、受信フレームが破棄されているか否かを判断する(ステップS19)。受信フレームが破棄されていない場合(S19:NO)、バッファメモリ14から読み込んだ受信フレームをフレーム送信部23からMAC113又は114へ出力することにより受信フレームの送信を行う(ステップS20)。また、受信フレームが破棄されている場合には(S20:YES)、本フローチャートによる処理を終了する。
It is determined whether all fragments have been collected as a result of the fragment processing (step S18). If it is determined that all the fragments are not collected (S18: NO), it is determined whether or not the received frame is discarded (step S19). When the received frame is not discarded (S19: NO), the received frame is transmitted by outputting the received frame read from the
ステップS16において、IPパケットがフラグメント化されていないと判断した場合(S16:NO)、又はステップS18において、全てのフラグメントが集まったと判断した場合(S18:YES)、テーブルマネージャ12は、通信プロトコルがTCPであるか否かを判断する(ステップS21)。TCPであるか否かはIPパケットのヘッダをチェックすることにより判断することができる。 If it is determined in step S16 that the IP packet is not fragmented (S16: NO), or if it is determined in step S18 that all fragments have been collected (S18: YES), the table manager 12 determines that the communication protocol is It is determined whether it is TCP (step S21). Whether it is TCP or not can be determined by checking the header of the IP packet.
通信プロトコルがTCPであると判断した場合(S21:YES)、後述するTCPセグメント処理を行い(ステップS22)、ストリーム断片が抽出されるか否かを判断する(ステップS24)。 When it is determined that the communication protocol is TCP (S21: YES), TCP segment processing described later is performed (step S22), and it is determined whether or not a stream fragment is extracted (step S24).
図6はストリーム断片の生成の様子を示す模式図である。一般に、2つの装置間を伝送される通信パケットは、失われたり、重複したり、順序が入れ替われる場合がある。TCPは、信頼性のないネットワーク上で信頼性のあるストリーム配送サービスを提供するプロトコルであり、送信者側アプリケーションが送出した一連のバイトの並び(ストリーム)を受信側アプリケーションがそのまま受け取ることを保証する。このような信頼性のあるストリーム配送サービスでは、受信側で受信したデータは重なりなく順番通りになるように並び替えられるため、必ずしもパケットの到達ごとにデータがアプリケーションに渡されるわけではない。あるパケットの受信により受信側アプリケーションに渡された直前のデータ末尾から連続する一連のバイト列が得られるとき、これらのバイト列を受信側アプリケーションへ渡すことが可能となる。本明細書では、この一連のバイト列をデータストリーム断片と定義している。 FIG. 6 is a schematic diagram showing how stream fragments are generated. In general, communication packets transmitted between two devices may be lost, duplicated, or reordered. TCP is a protocol that provides a reliable stream delivery service on an unreliable network, and guarantees that the receiving application receives the sequence of bytes (stream) sent by the sending application. . In such a reliable stream delivery service, the data received on the receiving side is rearranged in order without overlapping, so that the data is not necessarily delivered to the application every time the packet arrives. When a series of consecutive byte strings is obtained from the end of the data immediately before being passed to the receiving application by receiving a certain packet, these byte strings can be passed to the receiving application. In this specification, this series of byte strings is defined as a data stream fragment.
したがって、図6(a)に示したように、「aaaaaaaa」というデータがアプリケーションに渡された状況下で、セグメントが連続しないデータ「cccccccc」を受信した場合、そのデータをアプリケーションに渡すことはできず、データストリーム断片は発生しない。次に、「aaaaaaaa」及び「cccccccc」に連続するデータ「bbbbbbbb」を受信した場合、パケットの受信によってアプリケーションに渡すことができる連続する一連のバイト列が得られたため、データストリーム断片が発生することになる。 Therefore, as shown in FIG. 6A, when data “ccaaacc” is received in a situation where data “aaaaaaaaa” is passed to the application, the data cannot be passed to the application. No data stream fragmentation occurs. Next, when data “bbbbbbbbb” continuous to “aaaaaaaaa” and “cccccccc” is received, a continuous series of byte sequences that can be passed to the application is obtained by receiving the packet, so that a data stream fragment is generated. become.
コネクション管理テーブル21の登録状況を参照することにより、ストリーム断片が抽出されたと判断した場合(S23:YES)、検査部インタフェース22を通じてTCPストリームの検査依頼を行い(ステップS24)、検査部112による検査結果に応じて処理を実行する(ステップS25)。ここで、実行する処理は、フレームの送信、破棄、リセット置換、内容置換である。ストリーム断片が抽出されない場合は(S23:NO)、処理をステップS19に移行させる。
When it is determined that a stream fragment has been extracted by referring to the registration status of the connection management table 21 (S23: YES), a TCP stream inspection request is made through the inspection unit interface 22 (step S24), and the inspection by the
ステップS21において、通信プロトコルがTCPでないと判断した場合(S21:NO)、テーブルマネージャ12は、通信プロトコルがUDPであるか否かを判断する(ステップS26)。通信プロトコルがUDPであると判断した場合(S26:YES)、検査部インタフェース22を通じてUDPの検査依頼を行い(ステップS27)、検査部112による検査結果に応じて処理を実行する(S25)。一方、通信プロトコルがUDPでないと判断した場合(S26:NO)、処理をステップS14へ移行させ、フレーム全体について検査依頼を行い(S14)、検査結果に応じた処理を実行する(S15)。 If it is determined in step S21 that the communication protocol is not TCP (S21: NO), the table manager 12 determines whether or not the communication protocol is UDP (step S26). When it is determined that the communication protocol is UDP (S26: YES), a UDP inspection request is made through the inspection unit interface 22 (step S27), and processing is executed according to the inspection result by the inspection unit 112 (S25). On the other hand, if it is determined that the communication protocol is not UDP (S26: NO), the process proceeds to step S14, an inspection request is made for the entire frame (S14), and a process according to the inspection result is executed (S15).
前述したフローチャートのステップS15及びステップS25で、検査結果が望ましくない状況である場合、すなわち、送信先に対する攻撃コードが検出された場合、送信先で管理している情報が漏洩する虞があると検出された場合などにおいて、本実施の形態では、(1)順方向RST置換、(2)逆方向RST置換、(3)順方向内容置換、(4)パケットの破棄、の何れかの処理を行い、送信先での不具合の発生を抑える。 In step S15 and step S25 of the flowchart described above, if the inspection result is not desirable, that is, if an attack code against the transmission destination is detected, it is detected that there is a risk of leakage of information managed by the transmission destination. In this embodiment, any one of (1) forward RST replacement, (2) reverse RST replacement, (3) forward content replacement, and (4) packet discarding is performed. , Suppress the occurrence of problems at the destination.
図7は順方向RST置換及び逆方向RST置換を説明する説明図である。順方向RST置換では、悪意のあるデータが検出されたとき、そのデータの送信先に対してリセット信号を送信し、データをアプリケーションへ渡す前にコネクションを切断する処理を行う。一方、逆方向RST置換では、コネクション確立時の最初のパケット、すなわち、SYNフラグがセットされたパケットにより悪意のある接続である確信できる場合、コネクションを確立させる前に通信を切断する。逆方向RST置換では、送信元に対して通信相手がクローズ状態であるかの如くみせかけることができるため、コネクションの切断を確実なものにする。 FIG. 7 is an explanatory diagram for explaining forward RST replacement and backward RST replacement. In the forward RST replacement, when malicious data is detected, a reset signal is transmitted to the destination of the data, and the connection is disconnected before passing the data to the application. On the other hand, in the reverse direction RST replacement, when it can be confirmed that the connection is malicious by the first packet at the time of establishing the connection, that is, the packet in which the SYN flag is set, the communication is disconnected before the connection is established. In the reverse direction RST replacement, since the communication partner can appear as if it is in a closed state to the transmission source, the disconnection of the connection is ensured.
図7に示した例について説明する。(a)外部ネットワークN1に接続された通信装置10は、内部ネットワークに接続された通信装置20に対してTCPパケットを送信する。そのパケットを中継する際にネットワークデバイス100内の通信制御装置110はTCPストリームに対して検査を行う。(b)悪意のあるデータを検出した場合、順RST置換を行い、通信先である通信装置20に対してリセット信号を送信する。また、悪意のあるデータを検出してから所定時間は、通信装置10からのアクセス(d)、及び通信装置20からのアクセス(f)の何れに対してもリセット信号を送信することにより(e,g)、確実にコネクションを接続する。また、通信装置10から送信されたTCPパケットを所定時間が経過した後に受信した場合、ネットワークデバイス100内の通信制御装置110は、再度、検査を行う。悪意のデータが検出されない場合、そのデータを通信装置20へ送信する。
The example shown in FIG. 7 will be described. (A) The
図8は順方向内容置換を説明する説明図である。ある特定のバイト列を等長の他のバイト列へ置換する。図8に示した例では、受信したデータの下位ビットを予め定めた「xxxx」により置換する様子を示している。このように、内容置換したデータを送信するため、有害な情報を無害化したり、情報の漏洩を防止したりすることができ、コネクションを切断することが望ましくない状況下で使用することができる。 FIG. 8 is an explanatory diagram for explaining forward content replacement. Replace a specific byte sequence with another byte sequence of equal length. In the example illustrated in FIG. 8, the lower-order bits of the received data are replaced with “xxx” determined in advance. As described above, since the data whose contents are replaced is transmitted, harmful information can be made harmless, information leakage can be prevented, and it can be used in a situation where it is not desirable to disconnect the connection.
図9はフラグメント処理の手順を説明するフローチャートである。フラグメント処理部17は、フラグメント化されたIPパケットが、再構成IPパケットのフラグメントであるか否かを判断する(ステップS31)。再構成IPパケットのフラグメントでないと判断した場合(S31:NO)、フラグメント管理テーブル20への登録を行い(ステップS37)、再構成リストを初期化した上で(ステップS38)、図に示していないタイマを起動する(ステップS39)。そして、処理を後述するステップS34へ移行させる。
FIG. 9 is a flowchart for explaining the procedure of fragment processing. The
ステップS31で再構成IPパケットのフラグメントであると判断した場合(S31:YES)、IPパケットは既に完成しているか否かを判断する(ステップS32)。IPパケットが完成していないと判断した場合(S32:NO)、タイマを起動させてから所定時間が経過したか否かを判断することにより、タイムアウトとなったか否かを判断する(ステップS33)。なお、IPパケットが既に完成していると判断した場合(S32:YES)、及びタイムアウトとなったと判断した場合(S33:YES)、受信フレームを破棄し(ステップS36)、本フローチャートによる処理を終了する。 If it is determined in step S31 that it is a fragment of a reconstructed IP packet (S31: YES), it is determined whether or not the IP packet has already been completed (step S32). If it is determined that the IP packet is not completed (S32: NO), it is determined whether or not a predetermined time has elapsed since the timer was started, thereby determining whether or not a timeout has occurred (step S33). . If it is determined that the IP packet has already been completed (S32: YES) and if it is determined that a time-out has occurred (S33: YES), the received frame is discarded (step S36), and the processing according to this flowchart ends. To do.
タイムアウトとなっていないと判断した場合(S33:NO)、再構成リストへの挿入位置を決定し(ステップS34)、データのオーバラップ部分に矛盾があるか否かを判断する(ステップS35)。データのオーバラップ部分に矛盾があると判断した場合(S35:YES)、受信フレームを破棄し(S36)、本フローチャートによる処理を終了する。また、データのオーバラップ部分に矛盾がないと判断した場合(S35:NO)、受信フレームを破棄することなく本フローチャートによる処理を終了する。 If it is determined that the time-out has not occurred (S33: NO), the insertion position in the reconfiguration list is determined (step S34), and it is determined whether or not there is a contradiction in the overlapping portion of the data (step S35). If it is determined that there is a contradiction in the overlapped portion of data (S35: YES), the received frame is discarded (S36), and the processing according to this flowchart is terminated. If it is determined that there is no contradiction in the overlapping portion of data (S35: NO), the processing according to this flowchart is terminated without discarding the received frame.
図10はTCPセグメント処理の手順を説明するフローチャートである。TCPに準拠したパケットを受信した場合、まず、コネクション管理されているTCPセグメントであるか否かを判断する(ステップS41)。コネクション管理されているTCPセグメントでないと判断した場合(S41:NO)、そのセグメントがコネクション開始のセグメントであるか否かを判断する(ステップS44)。コネクション開始のセグメントでないと判断した場合(S44:NO)、図4に示したフローチャートのステップS14へ処理を移行させる。 FIG. 10 is a flowchart for explaining the procedure of TCP segment processing. When a packet conforming to TCP is received, it is first determined whether or not the TCP segment is connection-managed (step S41). If it is determined that the TCP segment is not managed by the connection (S41: NO), it is determined whether or not the segment is a connection start segment (step S44). If it is determined that the segment is not a connection start segment (S44: NO), the process proceeds to step S14 in the flowchart shown in FIG.
ステップS41でコネクション管理されているTCPセグメントであると判断した場合(S41:YES)、又はステップS44でコネクション開始のTCPセグメントであると判断した場合(S44:YES)、コネクション管理テーブル21への登録を行い(ステップS42)、キューイングリストの初期化を行う(ステップS43)。 If it is determined in step S41 that the TCP segment is connection-managed (S41: YES) or if it is determined in step S44 that the TCP segment is a connection start (S44: YES), registration in the connection management table 21 (Step S42), and the queuing list is initialized (step S43).
そして、コネクション管理テーブル21の登録内容を参照することにより、次に期待されるシーケンス番号を有するか否かを判断する(ステップS45)。次に期待されるシーケンス番号を有すると判断した場合(S45:YES)、ストリーム断片とすべきデータを特定する(ステップS46)。すなわち、TCPセグメントのデータがキューイングされているデータと連続する場合は、キューイングされているものを連結したデータをストリーム断片とし、連続していない場合には、TCPセグメントのデータをストリーム断片とする。また、データがなければストリーム断片は空とする。ストリーム断片とすべきデータを特定した後、次に期待されるシーケンス番号を更新する(ステップS47)。 Then, by referring to the registered contents of the connection management table 21, it is determined whether or not it has the next expected sequence number (step S45). Next, when it is determined that the sequence number is expected (S45: YES), data to be a stream fragment is specified (step S46). That is, when the TCP segment data is continuous with the queued data, the data obtained by concatenating the queued data is defined as a stream fragment, and when the TCP segment data is not continuous, the TCP segment data is defined as a stream fragment. To do. If there is no data, the stream fragment is empty. After specifying data to be stream fragments, the next expected sequence number is updated (step S47).
一方、ステップS45で次に有するシーケンス番号を持たないと判断した場合(S45:NO)、TCPセグメントのデータをキューイングリストへ追加し、データのオーバラップ部分に矛盾があるか否かを判断する(ステップS49)。データのオーバラップ部分に矛盾があると判断した場合(S49:YES)、受信したフレームを破棄し(ステップS50)、本フローチャートによる処理を終了する。また、データのオーバラップ部分に矛盾がないと判断した場合(S49:NO)、本フローチャートによる処理を終了する。 On the other hand, if it is determined in step S45 that it does not have the next sequence number (S45: NO), the data of the TCP segment is added to the queuing list, and it is determined whether or not there is a contradiction in the overlapping portion of the data. (Step S49). If it is determined that there is a contradiction in the overlapping portion of the data (S49: YES), the received frame is discarded (step S50), and the processing according to this flowchart is terminated. If it is determined that there is no contradiction in the overlapping portion of data (S49: NO), the processing according to this flowchart is terminated.
実施の形態2.
実施の形態1では、受信したフレームのセキュリティ検査を行うために、通信制御装置110内に専用のハードウェア(検査部112)を設ける構成としたが、スイッチ、ルータなどのネットワークデバイスの全体を制御するCPUにその検査を行わせる構成としてもよい。
In the first embodiment, a dedicated hardware (inspection unit 112) is provided in the communication control apparatus 110 in order to perform security inspection of received frames. However, the entire network device such as a switch and a router is controlled. It is good also as a structure which makes CPU to perform the inspection.
図11は本実施の形態に係る通信制御システムの概略構成を説明する模式図である。実施の形態1と同様に、本発明に係る通信制御装置210を備えたネットワークデバイス200が、外部ネットワークN1に接続された通信装置10、及び内部ネットワークN2に接続されたN2に接続された通信装置20に接続されている。
FIG. 11 is a schematic diagram illustrating a schematic configuration of the communication control system according to the present embodiment. As in the first embodiment, the
ネットワークデバイス200は、CPU201、フォワーディングエンジン202の他に、外部ネットワークN1側のPHY203及びMAC204、並びに内部ネットワークN2側のPHY206及びMAC205を備える。なお、図11では簡略化する目的で内部ネットワークN2側に1組のPHY206及びMAC205を設けた構成としたが、複数組のPHY及びMACを設けて複数の通信装置を接続できるようにしてもよいことは勿論のことである。
In addition to the
ネットワークデバイス200が、外部ネットワークN1側のPHY203又は内部ネットワーク側のPHY206を通じてフレームを受信した場合、インラインで挿入された通信制御装置210がそのフレームに基づいて通信制御を行う。通信制御装置210がストリーム断片などのセキュリティ検査を行う場合、実施の形態1と異なり、本実施の形態ではネットワークデバイス200のCPU201に対して検査依頼を行う。なお、制御部211の内部構成については、実施の形態1で説明したものと全く同様であるため、その説明を省略することとする。
When the
実施の形態3
実施の形態1及び実施の形態2では、ネットワークデバイスの内部にインラインで挿入される構成としたが、専用のハードウェアとして構成することも可能である。
In the first embodiment and the second embodiment, the network device is inserted in-line, but it may be configured as dedicated hardware.
図12は本実施の形態に係る通信制御装置の内部構成を説明するブロック図である。図12に示した通信制御装置300は、制御部301、検査部302、並びに受信側のPHY305a、MAC306a、及び送信側のPHY305b、MAC306bを備えている。
FIG. 12 is a block diagram illustrating the internal configuration of the communication control apparatus according to the present embodiment. The
制御部301は、PHY305a及びMAC306aを通じて受信したフレームの転送を一時的に保留し、フレームからデータを順次的に抽出し、抽出したデータとコネクションに関する情報とを検査部302に渡して検査依頼を行う。
The
検査結果が望ましくない状況である場合、実施の形態1と同様に、フレームの破棄、リセット置換、内容置換などを行い、不具合を発生させるようなアプリケーションにデータが渡る前にコネクションの切断を行ったり、情報の漏洩を防止したりする。 If the inspection result is not desirable, as in the first embodiment, the frame is discarded, the reset is replaced, the contents are replaced, and the connection is disconnected before the data is passed to the application causing the failure. Or prevent information leakage.
なお、このような通信制御装置300をパーソナルコンピュータなどの情報処理装置に組み込み、一部のセキュリティ検査を、その情報処理装置が備えるCPUに検査させる構成であってもよい。
Note that such a
実施の形態4.
前述した実施の形態では、何れもハードウェアの処理により検査を行わせる構成としたが、ソフトウェアの処理により判定処理を行う構成であってもよい。
Embodiment 4 FIG.
In the above-described embodiments, the inspection is performed by hardware processing, but the determination processing may be performed by software processing.
図13は本発明のコンピュータプログラムがインストールされた情報処理装置の内部構成を説明するブロック図である。図中400は、パーソナルコンピュータなどの情報処理装置である。この情報処理装置400は、CPU401、メモリ403、ハードディスク404、ネットワークカード405、ネットワークカード406を備え、これらのハードウェアが互いにバス402を介して接続されている。
FIG. 13 is a block diagram illustrating the internal configuration of the information processing apparatus in which the computer program of the present invention is installed. In the figure,
ハードディスク404には、本発明のコンピュータが予めインストールされており、CPU401が、このプログラムをメモリ403上にロードして実行することにより、装置全体を本発明に係る通信制御装置として機能させる。 The hard disk 404 is preinstalled with the computer of the present invention, and the CPU 401 loads the program onto the memory 403 and executes it, thereby causing the entire apparatus to function as the communication control apparatus according to the present invention.
判定手順等は実施の形態1に示したものと全く同様であり、例えば、ネットワークカード405を通じて受信したフレームの転送を一時的に保留し、フレームから順次的にデータを抽出し、抽出したデータとコネクションに関する情報とをCPU401に渡して検査依頼を行う。
The determination procedure is exactly the same as that shown in the first embodiment. For example, the transfer of the frame received through the
10,20 通信装置
100 ネットワークデバイス
101 CPU
102 フォワーディングエンジン
103,106 PHY
104,05 MAC
110 通信制御装置
111 制御部
112 検査部
113,114 MAC
N1 外部ネットワーク
N2 内部ネットワーク
10, 20 Communication device
100
102 Forwarding engine 103,106 PHY
104,05 MAC
110
N1 external network N2 internal network
Claims (14)
前記フレームから順次的にデータを抽出する抽出手段と、該抽出手段により抽出されたデータに基づいて通信を制御すべきであるか否かを判定する判定手段とを備え、該判定手段が通信を制御すべきでないと判定した場合、抽出したデータを前記他の通信装置へ送信するようにしてあることを特徴とする通信制御装置。 In a device capable of connecting a plurality of communication devices and performing communication control based on a frame transmitted from one communication device to another communication device among the plurality of connected communication devices,
Extracting means for sequentially extracting data from the frame; and determining means for determining whether or not to control communication based on the data extracted by the extracting means, the determining means communicating A communication control device, wherein when it is determined that the control should not be performed, the extracted data is transmitted to the other communication device.
前記フレームから順次的にデータを抽出し、抽出したデータに基づいて通信を制御すべきであるか否か判定し、通信を制御すべきでないと判定した場合、抽出したデータを他の通信装置へ送信することを特徴とする通信制御方法。 In a method of performing communication control based on a frame transmitted from one communication device to another communication device,
If data is sequentially extracted from the frame, it is determined whether communication should be controlled based on the extracted data, and if it is determined that communication should not be controlled, the extracted data is transferred to another communication device. A communication control method characterized by transmitting.
コンピュータに、前記フレームから順次的にデータを抽出させるステップと、コンピュータに、抽出させたデータに基づいて通信を制御させるべきであるかを判定させるステップと、コンピュータに、通信を制御させるべきでないと判定された場合、抽出させたデータを他の通信装置へ送信させるステップとを有することを特徴とするコンピュータプログラム。 In a computer program for causing a computer to perform communication control based on a frame transmitted from one communication device to another communication device,
Having the computer sequentially extract data from the frame, causing the computer to determine whether to control communication based on the extracted data, and not allowing the computer to control communication. And a step of transmitting the extracted data to another communication device when it is determined.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006199679A JP2008028740A (en) | 2006-07-21 | 2006-07-21 | Communication control apparatus, communication control method, and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006199679A JP2008028740A (en) | 2006-07-21 | 2006-07-21 | Communication control apparatus, communication control method, and computer program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008028740A true JP2008028740A (en) | 2008-02-07 |
Family
ID=39118930
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006199679A Pending JP2008028740A (en) | 2006-07-21 | 2006-07-21 | Communication control apparatus, communication control method, and computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008028740A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010109746A (en) * | 2008-10-30 | 2010-05-13 | Toshiba Corp | Data receiving apparatus, data receiving method, and data receiving program |
JP2011022985A (en) * | 2009-07-14 | 2011-02-03 | Korea Electronics Telecommun | Method and apparatus for protecting application layer in computer network system |
JP2020523950A (en) * | 2017-06-08 | 2020-08-06 | ハイアニス・ポート・リサーチ・インコーポレーテッドHyannis Port Research,Inc | Dynamic TCP stream processing with change notification |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10136025A (en) * | 1996-11-01 | 1998-05-22 | Hitachi Software Eng Co Ltd | Inter-network communication repeating method and repeater |
JP2002073433A (en) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | Break-in detecting device and illegal break-in measures management system and break-in detecting method |
WO2004051946A1 (en) * | 2002-12-02 | 2004-06-17 | Fujitsu Limited | Source address spoofing packet detecting apparatus, source address spoofing packet detecting method, and source address spoofing packet detecting program |
JP2005167793A (en) * | 2003-12-04 | 2005-06-23 | Osaka Gas Co Ltd | System and program for managing transmission information |
WO2005117374A1 (en) * | 2004-05-31 | 2005-12-08 | Japan Science And Technology Agency | Relay device, packet filtering method, and packet filtering program |
JP2006060599A (en) * | 2004-08-20 | 2006-03-02 | Nippon Telegr & Teleph Corp <Ntt> | Application service refusal attack defense method, system and its program |
-
2006
- 2006-07-21 JP JP2006199679A patent/JP2008028740A/en active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10136025A (en) * | 1996-11-01 | 1998-05-22 | Hitachi Software Eng Co Ltd | Inter-network communication repeating method and repeater |
JP2002073433A (en) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | Break-in detecting device and illegal break-in measures management system and break-in detecting method |
WO2004051946A1 (en) * | 2002-12-02 | 2004-06-17 | Fujitsu Limited | Source address spoofing packet detecting apparatus, source address spoofing packet detecting method, and source address spoofing packet detecting program |
JP2005167793A (en) * | 2003-12-04 | 2005-06-23 | Osaka Gas Co Ltd | System and program for managing transmission information |
WO2005117374A1 (en) * | 2004-05-31 | 2005-12-08 | Japan Science And Technology Agency | Relay device, packet filtering method, and packet filtering program |
JP2006060599A (en) * | 2004-08-20 | 2006-03-02 | Nippon Telegr & Teleph Corp <Ntt> | Application service refusal attack defense method, system and its program |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010109746A (en) * | 2008-10-30 | 2010-05-13 | Toshiba Corp | Data receiving apparatus, data receiving method, and data receiving program |
JP2011022985A (en) * | 2009-07-14 | 2011-02-03 | Korea Electronics Telecommun | Method and apparatus for protecting application layer in computer network system |
JP2020523950A (en) * | 2017-06-08 | 2020-08-06 | ハイアニス・ポート・リサーチ・インコーポレーテッドHyannis Port Research,Inc | Dynamic TCP stream processing with change notification |
JP7184881B2 (en) | 2017-06-08 | 2022-12-06 | ハイアニス・ポート・リサーチ・インコーポレーテッド | TCP stream dynamic processing with change notification |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Iyengar et al. | QUIC: A UDP-based multiplexed and secure transport | |
US8745723B2 (en) | System and method for providing unified transport and security protocols | |
Dingledine et al. | Tor: The second-generation onion router. | |
US10243928B2 (en) | Detection of stale encryption policy by group members | |
US8291258B2 (en) | High availability for network security devices | |
Syverson et al. | Tor: The secondgeneration onion router | |
CN1954545B (en) | Method of authentication of communication flows and device | |
CN101390064B (en) | Preventing network reset denial of service attacks using embedded authentication information | |
EP1706955B1 (en) | Method and apparatus for preventing network data injection attacks | |
CA2548476C (en) | Preventing network data injection attacks using duplicate-ack and reassembly gap approaches | |
JP2012109996A (en) | Methods and apparatus for delivering control messages during malicious attack in one or more packet networks | |
Bock et al. | Come as you are: Helping unmodified clients bypass censorship with server-side evasion | |
US11689543B2 (en) | System and method for detecting transmission of a covert payload of data | |
US20210400060A1 (en) | System and methods for storage intrusion mitigation with data transport overlay tunnels and secure vaulting | |
JP2008028740A (en) | Communication control apparatus, communication control method, and computer program | |
JP4823728B2 (en) | Frame relay device and frame inspection device | |
EP1728349A2 (en) | A method for speeding up the pass time of an executable through a checkpoint | |
JP3725140B2 (en) | Packet transfer apparatus and packet transfer method | |
JP2011009994A (en) | Diagnostic program, diagnostic device and diagnostic method | |
JP6101525B2 (en) | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, COMMUNICATION CONTROL PROGRAM | |
JP5879223B2 (en) | Gateway device, gateway system and computer system | |
US20230247032A1 (en) | Aiops guided, quantum-safe zero trust data transfer methods in-motion with segmented, data transfer across an overlay network | |
JP2006165877A (en) | Communication system, communication method, and communication program | |
JP3725139B2 (en) | Packet transfer apparatus and packet transfer method | |
KR20100026721A (en) | Apparatus and method for providing network interface information in stream control transmission protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090603 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101116 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110315 |