JP2008054204A - 接続装置及び端末装置及びデータ確認プログラム - Google Patents
接続装置及び端末装置及びデータ確認プログラム Download PDFInfo
- Publication number
- JP2008054204A JP2008054204A JP2006230723A JP2006230723A JP2008054204A JP 2008054204 A JP2008054204 A JP 2008054204A JP 2006230723 A JP2006230723 A JP 2006230723A JP 2006230723 A JP2006230723 A JP 2006230723A JP 2008054204 A JP2008054204 A JP 2008054204A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- address
- unauthorized
- sgw
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】不正な端末のみを個別に隔離し、隔離した不正端末をオンラインにおいて治療サーバによる治療を可能とする。
【解決手段】SGW3には複数の端末装置が接続する。SGW3は、前記端末装置の各アドレスを含む端末接続情報を格納するSGW側端末接続情報格納部32と、定められた管理ポリシーに基づき前記複数の端末装置を管理するとともに前記端末装置のいずれかが管理ポリシーに反する不正端末となった場合に不正端末のアドレスを含む隔離要求情報を送信する管理装置から隔離要求情報を受信する通信部と、隔離要求情報に含まれる不正端末のアドレスを格納するSGW側隔離端末MACリスト格納部31と、SGW側端末接続情報格納部32が格納する端末接続情報を参照し、SGW側隔離端末MACリスト格納部31が格納した不正端末のアドレスを前記端末装置うちの所定の端末装置に前記通信部を介して通知するアドレス通知部とを備えた。
【選択図】図2
【解決手段】SGW3には複数の端末装置が接続する。SGW3は、前記端末装置の各アドレスを含む端末接続情報を格納するSGW側端末接続情報格納部32と、定められた管理ポリシーに基づき前記複数の端末装置を管理するとともに前記端末装置のいずれかが管理ポリシーに反する不正端末となった場合に不正端末のアドレスを含む隔離要求情報を送信する管理装置から隔離要求情報を受信する通信部と、隔離要求情報に含まれる不正端末のアドレスを格納するSGW側隔離端末MACリスト格納部31と、SGW側端末接続情報格納部32が格納する端末接続情報を参照し、SGW側隔離端末MACリスト格納部31が格納した不正端末のアドレスを前記端末装置うちの所定の端末装置に前記通信部を介して通知するアドレス通知部とを備えた。
【選択図】図2
Description
この発明は、内部ネットワークに存在する不正な端末を隔離するネットワーク中継装置及びこのネットワーク中継装置に接続する端末装置に関する。
ワーム拡散防止を目的とした感染端末の隔離の手段として、いくつかの従来技術がある。例えば、特開2006−33140号公報(特許文献1)では、不正パケットの発信元となっている端末の属するセグメント単位で、接続インタフェースを遮断する手段を提案している。
特開2005−260612号公報(特許文献2)では、ワームに感染した端末が接続されたポートを切り離すスイッチ制御方式を提案している。また、特開2005−204055号公報(特許文献3)では、ネットワーク装置が物理ポート番号と端末のIPアドレスの組を管理し、該当するIPアドレスの接続先ポートを切り離す方式を提案している。これらは、接続されている端末をポート別に遮断・隔離するものであり、端末単位での隔離を実現するものではない。
また、偽パケットを生成・応答することにより、感染もしくは不正端末のパケットが他の端末に及ばないようにする方式としては、特開2000−261483号公報(特許文献4)のネットワーク機器による不正端末パケットの偽サーバへの転送がある。これは、外部ネットワークから内部に侵入しようとする不正パケットの流入を防ぐことを目的としたもので、ネットワーク機器を越えてアクセスしようとするパケットを取得しない限り、転送の仕組みは実行されないため、内部ネットワークで発生した不正イベントには対応できない。
特開2006−33140号公報
特開2005−260612号公報
特開2005−204055号公報
特開2000−261483号公報
従来の特定ポートを遮断・隔離する手段では、1ポート単位の遮断・隔離を行っているため、1ポートに複数の端末が接続されている環境では、本来遮断・隔離する必要のない端末まで遮断・隔離されてしまう可能性があり、同じポートに接続された他の端末への被害は防ぐことができなかった。また、1ポートに一つの端末という接続にするためには、ネットワーク機器の必要数が増え、想定環境によってはネットワーク構成の組換えも必要なことから、ネットワーク管理コストが増大する。さらに、単に不正端末を遮断・隔離してしまうと、オフラインでの手作業でしか不正端末の復旧作業ができなくなるため、復旧までの時間がかかるという課題があった。
この発明は、ネットワーク機器の管理セグメントに依存せず不正な端末のみを個別に隔離するとともに、不正な端末を隔離はするが、隔離された端末が治療サーバ、管理装置といった特定相手装置と通信する余地のあるシステムの提供を目的とする。
この発明の接続装置は、
ネットワークを構成する複数の端末装置が接続する接続装置において、
前記複数の端末装置のそれぞれのアドレスを含む端末接続情報を格納する端末接続情報格納部と、
定められた管理ポリシーに基づいて前記複数の端末装置を管理するとともに前記複数の端末装置のいずれかが前記管理ポリシーに反する不正端末であると判定した場合には前記不正端末のアドレスを含む情報であって前記不正端末の隔離を要求する隔離要求情報を送信する管理装置から前記隔離要求情報を受信する通信部と、
前記通信部が受信した前記隔離要求情報に含まれる前記不正端末の前記アドレスを格納する不正端末情報格納部と、
前記端末接続情報格納部が格納する前記端末接続情報を参照することにより前記不正端末情報格納部が格納した前記不正端末の前記アドレスを前記複数の端末装置うちの所定の端末装置に、前記通信部を介して通知するアドレス通知部と
を備えたことを特徴とする。
ネットワークを構成する複数の端末装置が接続する接続装置において、
前記複数の端末装置のそれぞれのアドレスを含む端末接続情報を格納する端末接続情報格納部と、
定められた管理ポリシーに基づいて前記複数の端末装置を管理するとともに前記複数の端末装置のいずれかが前記管理ポリシーに反する不正端末であると判定した場合には前記不正端末のアドレスを含む情報であって前記不正端末の隔離を要求する隔離要求情報を送信する管理装置から前記隔離要求情報を受信する通信部と、
前記通信部が受信した前記隔離要求情報に含まれる前記不正端末の前記アドレスを格納する不正端末情報格納部と、
前記端末接続情報格納部が格納する前記端末接続情報を参照することにより前記不正端末情報格納部が格納した前記不正端末の前記アドレスを前記複数の端末装置うちの所定の端末装置に、前記通信部を介して通知するアドレス通知部と
を備えたことを特徴とする。
この発明により、不正な端末のみを個別に隔離することができる。
実施の形態1.
図1〜図7を用いて実施の形態1を説明する。実施の形態1は、正常な端末がMAC(Media Access Control)アドレスに基づき不正端末フレームを廃棄する実施形態である。これにより、不正端末を個別に隔離するとともに、不正端末は特定の装置(例えば治療サーバ)との通信が可能になる。
図1〜図7を用いて実施の形態1を説明する。実施の形態1は、正常な端末がMAC(Media Access Control)アドレスに基づき不正端末フレームを廃棄する実施形態である。これにより、不正端末を個別に隔離するとともに、不正端末は特定の装置(例えば治療サーバ)との通信が可能になる。
図1は、本実施の形態1におけるコンピュータであるSGW3のハードウェア資源の一例を示す図である。なおAgent端末等の端末装置もコンピュータであり、ハードウェア資源は、ネットワーク中継装置であるSGW(Security Gate Way)3と同様である。以下、ネットワーク中継装置をSGWと呼ぶこととする。
図1において、SGW3は、プログラムを実行するCPU810(Central Processing Unit)を備えている。CPU810は、バス825を介してROM811(Read Only Memory)、RAM812(Random Access Memory)、通信ボード816、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、フラッシュメモリなどの記憶装置でもよい。
RAM812は、揮発性メモリの一例であり、ROM811、磁気ディスク装置820、フラッシュメモリ等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部の一例である。
磁気ディスク装置820には、オペレーティングシステム821(OS)、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821により実行される。
上記プログラム群823には、以下の実施の形態の説明において「〜部」として述べる機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。
ファイル群824には、後述するSGW側隔離端末MACリスト、端末接続情報、送信動作パラメータなどが格納されている。また、ファイル群824には、以下の実施の形態で述べる「〜の判定結果」、「〜の確認結果」、「〜の処理結果」として説明する情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下の実施の形態で「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明したものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以下の説明で述べる「〜部」としてコンピュータを機能させるものである。
(以下の実施の形態が想定する条件)
図2は、以下の実施の形態が想定する環境を示すネットワーク構成図である。図2において、
(1)管理装置1は、端末装置4,端末装置5,端末装置6(以下、端末装置を端末という)や、ネットワーク中継装置であるSGW3の挙動を監視し、管理ネットワークのSGW3や端末の不正な挙動および障害を検知する。
(2)治療サーバ2は、管理装置1やSGW3によってウィルスに感染した端末や今後ウィルスに感染する可能性のある端末がネットワークに発見された場合に、ウィルス対策プログラムやOS(オペレーティングシステム)の自動更新、アプリケーションに固有の修復ファイルの配信を行う役割を果たす。治療サーバ2は、管理装置1に統合されることもある。
(3)SGW3は、フィルタ情報10を持つネットワーク中継装置である。SGW3は、フィルタ情報10に基づいて送受信フレームの精査を行い、内部ネットワーク、もしくは外部ネットワークに危険を及ぼす可能性のある送受信を制御する役割を果たす。
図2は、以下の実施の形態が想定する環境を示すネットワーク構成図である。図2において、
(1)管理装置1は、端末装置4,端末装置5,端末装置6(以下、端末装置を端末という)や、ネットワーク中継装置であるSGW3の挙動を監視し、管理ネットワークのSGW3や端末の不正な挙動および障害を検知する。
(2)治療サーバ2は、管理装置1やSGW3によってウィルスに感染した端末や今後ウィルスに感染する可能性のある端末がネットワークに発見された場合に、ウィルス対策プログラムやOS(オペレーティングシステム)の自動更新、アプリケーションに固有の修復ファイルの配信を行う役割を果たす。治療サーバ2は、管理装置1に統合されることもある。
(3)SGW3は、フィルタ情報10を持つネットワーク中継装置である。SGW3は、フィルタ情報10に基づいて送受信フレームの精査を行い、内部ネットワーク、もしくは外部ネットワークに危険を及ぼす可能性のある送受信を制御する役割を果たす。
(端末装置について)
ネットワークを管理する上では、管理装置1やSGW3だけでなく、端末に専用の監視ソフトウェア(以下、Agentと呼ぶ)をインストールし、ネットワークの安全性を総合的に診断するものがある。Agentソフトウェアは、端末のユーザ情報・ネットワーク情報・OS情報・稼動ソフトウェア情報をSGW3や管理装置1に配信する役割を果たす。SGW3は、上記の機能の他、内部ネットワークに属する端末のAgentからの端末情報を収集し、管理装置1に通知する役割も担っている。以下では、Agentの組み込まれた端末をAgent端末と呼ぶこととする。
ネットワークを管理する上では、管理装置1やSGW3だけでなく、端末に専用の監視ソフトウェア(以下、Agentと呼ぶ)をインストールし、ネットワークの安全性を総合的に診断するものがある。Agentソフトウェアは、端末のユーザ情報・ネットワーク情報・OS情報・稼動ソフトウェア情報をSGW3や管理装置1に配信する役割を果たす。SGW3は、上記の機能の他、内部ネットワークに属する端末のAgentからの端末情報を収集し、管理装置1に通知する役割も担っている。以下では、Agentの組み込まれた端末をAgent端末と呼ぶこととする。
(不正端末の定義)
図2において、不正端末が発見された場合の対処方法について考える。不正端末の検知は、管理装置1が行う。ここでいう「不正端末」とは、ウィルスに感染した端末や、ユーザの無意識・故意にかかわらず、「ネットワークの管理ポリシーに違反した端末」を意味する。管理装置1は、定められた管理ポリシーに基づいて複数の端末装置を管理するとともに前記複数の端末装置のいずれかが前記管理ポリシーに反する不正端末であると判定した場合には前記不正端末のアドレスを含む情報であって前記不正端末の隔離を要求する隔離要求情報を送信する。
図2において、不正端末が発見された場合の対処方法について考える。不正端末の検知は、管理装置1が行う。ここでいう「不正端末」とは、ウィルスに感染した端末や、ユーザの無意識・故意にかかわらず、「ネットワークの管理ポリシーに違反した端末」を意味する。管理装置1は、定められた管理ポリシーに基づいて複数の端末装置を管理するとともに前記複数の端末装置のいずれかが前記管理ポリシーに反する不正端末であると判定した場合には前記不正端末のアドレスを含む情報であって前記不正端末の隔離を要求する隔離要求情報を送信する。
図2の端末5aにおいて不正が検知された場合、AgentソフトがインストールされているAgent端末には、Agent端末のポリシー違反を検知するソフトウェアやウィルス対策ソフトウェアのインストールを義務付ける運用が一般的である。このため、Agent端末自身が不正を検知・対策することができる。また仮に、そのようなソフトウェアがインストールされていなくとも、Agentからの情報を元にした管理装置1での解析により、セキュリティ被害の発見が早い。一方で、端末4のような何も対処するソフトウェアがインストールされていない端末が不正端末となった場合、不正端末自身への処置・治療の前に、周辺機器が自分自身を防御することが先決である。まずは被害を最小限に食い止めるため、SGW3での対処が最優先される。
SGW3の外部ネットワークからの不正端末の侵入や、内部ネットワークの不正端末4の外部ネットワークへのアクセスを防御する手段については、SGW3がプロトコル解析やフィルタ情報10の参照により精査する先行事例が多数存在する。しかし、通常、SGW3は内部ネットワークと外部ネットワークの境界に関わる対処をするだけのため、ウィルスに感染した不正端末から内部ネットワークのAgent端末5や端末6へのワーム拡散には無力であり、端末4が内部ネットワークに及ぼす被害も深刻である。そして、端末4,Agent端末5,端末6が同じ管理セグメントに属する場合、SGW3に関する従来技術では、不正でないAgent端末5,端末6も遮断・隔離されてしまう。
以下の実施の形態ではこのような不都合を解決するため、不正でない端末の稼動は正常に維持しながら、不正端末の被害が内部ネットワークで蔓延するのを不正端末単位で防ぐと同時に、不正端末と特定サーバ(例えば治療サーバ)との通信は確保することを目的とする。以下の実施の形態では、周辺端末によるMACアドレスにもとづく不正端末フレームの廃棄(実施の形態1)と、SGW3による偽ARPフレーム応答を用いた通信パケットの転送を行う(実施の形態2)。
図3は、実施の形態1におけるシステムの構成を示す。図3は図2の破線で囲んだ部分に相当する。端末4と、Agent端末5aと、Agent端末5bとが内部ネットワークを構成している。端末4、Agent端末5a、Agent端末5bは、スイッチ8を介してネットワーク中継装置であるSGW3に接続されている。また、SGW3は、外部ネットワークにおいて、管理装置1と治療サーバ2とに接続している。管理装置1は、管理側隔離端末MAC全リスト11を備える。管理側隔離端末MAC全リスト11は、すべての不正端末のMACアドレスが記載されたリストである。
図4は、SGW3の構成を示すブロック図である。SGW3は、SGW側隔離端末MACリスト311を格納するSGW側隔離端末MACリスト格納部31(不正端末情報格納部の一例)、端末接続情報321を格納するSGW側端末接続情報格納部32、送信動作パラメータ331を格納するSGW側送信動作パラメータ格納部33、SGW側通信部34、SGW側アドレス通知部35を備える。
(1)SGW側隔離端末MACリスト格納部31が格納するSGW側隔離端末MACリスト311は、不正端末のMACアドレスのリストである。後述のように、このリストは管理装置1から受信する。
(2)SGW側端末接続情報格納部32が格納する端末接続情報321には、SGW3の内部ネットワークに属する端末の情報が格納されている。
(3)SGW側送信動作パラメータ格納部33が格納する送信動作パラメータ331は、Agent端末5a,5bに隔離端末のMACアドレス情報を送信するタイミングを記述したものである。
(4)SGW側通信部34は、他の装置との間でデータを送受信する。
(5)SGW側アドレス通知部35は、Agent端末5a,5bにSGW側通信部34を介して不正端末のアドレス情報を通知する。これらの構成要素の具体的な機能は、以下の動作の説明で述べる。
(2)SGW側端末接続情報格納部32が格納する端末接続情報321には、SGW3の内部ネットワークに属する端末の情報が格納されている。
(3)SGW側送信動作パラメータ格納部33が格納する送信動作パラメータ331は、Agent端末5a,5bに隔離端末のMACアドレス情報を送信するタイミングを記述したものである。
(4)SGW側通信部34は、他の装置との間でデータを送受信する。
(5)SGW側アドレス通知部35は、Agent端末5a,5bにSGW側通信部34を介して不正端末のアドレス情報を通知する。これらの構成要素の具体的な機能は、以下の動作の説明で述べる。
図5はAgent端末5aの構成を示すブロック図である。Agent端末5bの構成は、Agent端末5aと同一である。
Agent端末5aは、端末側隔離端末MACリスト511を格納する端末側隔離端末MACリスト格納部51(記憶部の一例)、端末側通信部52(受信部の一例)、端末側データ確認部53を備える。
(1)端末側隔離端末MACリスト格納部51が格納する端末側隔離端末MACリスト511は、Agent端末5aが保持する送受信しないMACアドレスリストである。
(2)端末側通信部52は、他の装置とデータの送受信を行なう。
(3)端末側データ確認部53は、端末側通信部52が送信元アドレスを含むデータを受信した場合には、端末側隔離端末MACリスト格納部51が格納する端末側隔離端末MACリストに前記受信部が受信した前記データに含まれる前記送信元アドレスが存在するかどうかを確認し、存在する場合には、前記受信部が受信した前記データを廃棄する。これらの構成要素の具体的な機能は、以下の動作の説明で述べる。
(2)端末側通信部52は、他の装置とデータの送受信を行なう。
(3)端末側データ確認部53は、端末側通信部52が送信元アドレスを含むデータを受信した場合には、端末側隔離端末MACリスト格納部51が格納する端末側隔離端末MACリストに前記受信部が受信した前記データに含まれる前記送信元アドレスが存在するかどうかを確認し、存在する場合には、前記受信部が受信した前記データを廃棄する。これらの構成要素の具体的な機能は、以下の動作の説明で述べる。
本実施の形態1では、ネットワーク管理ポリシーの要件の一つとして、SGW3の内部ネットワークに属する端末は、管理装置が認めた例外を除いてAgentがインストールされている環境を想定する。Agentがインストールされているとしても不正パケットを浴びることはAgent端末にとって大きな負荷となるため、不正端末の個別隔離は必要である。
第1に、図6を参照して、端末隔離実行に関する動作について説明する。端末4が不正端末とする。なお、Agent端末5aとAgent端末5bの動作は同様であるので、Agent端末5aを主体として説明する。
(管理装置1)
(1)管理装置1は、SGW3やAgent端末5a(及び5b)からのネットワーク情報を集積して、ネットワークの挙動を監視している。管理装置1は、それらの情報から端末4の不正を検知し、端末4の隔離を決定したものとする(S101)。
(2)まず、管理装置1は、管理側隔離端末MAC全リスト11に端末4のMACアドレス情報を追加する(S102)。
(3)次に、管理装置1は、端末4に関する隔離要求コマンド(隔離要求情報)をSGW3に通知する(S103)。このとき、隔離要求コマンドである送信パケットには、端末4が動的IPを使用している可能性も考慮し、端末4のMACアドレス情報(物理アドレス)が含まれる。論理アドレスでも構わないが、前記のよう動的IPを使用している可能性があるのでMACアドレス情報(物理アドレス)の方が好ましい。また、送信処理(S103)において、送信パケットを署名・暗号化してもよい。
(1)管理装置1は、SGW3やAgent端末5a(及び5b)からのネットワーク情報を集積して、ネットワークの挙動を監視している。管理装置1は、それらの情報から端末4の不正を検知し、端末4の隔離を決定したものとする(S101)。
(2)まず、管理装置1は、管理側隔離端末MAC全リスト11に端末4のMACアドレス情報を追加する(S102)。
(3)次に、管理装置1は、端末4に関する隔離要求コマンド(隔離要求情報)をSGW3に通知する(S103)。このとき、隔離要求コマンドである送信パケットには、端末4が動的IPを使用している可能性も考慮し、端末4のMACアドレス情報(物理アドレス)が含まれる。論理アドレスでも構わないが、前記のよう動的IPを使用している可能性があるのでMACアドレス情報(物理アドレス)の方が好ましい。また、送信処理(S103)において、送信パケットを署名・暗号化してもよい。
(SGW3)
(1)SGW側通信部34は、管理装置1から隔離要求コマンドを受信する(S105)。このとき、送信パケット104が暗号パケットの場合は、受信処理(S105)で復号処理を行う必要がある。
(2)SGW側アドレス通知部35は、端末4のMACアドレス情報をSGW側隔離端末MACリスト格納部31が格納するSGW側隔離端末MACリスト311に登録する(S106)。
(3)次に、SGW側アドレス通知部35は、SGW側端末接続情報格納部32が格納する端末接続情報321から内部ネットワークに属する端末のアドレス情報を読み出し、SGW側送信動作パラメータ格納部33が格納する送信動作パラメータ331から送信間隔を読み出す。SGW側アドレス通知部35は、読み出した情報をもとに、内部ネットワークに接続されたAgent端末5a(及び5b)に、送信動作パラメータに設定された送信間隔で、SGW側隔離端末MACリスト格納部31に格納された端末4を含む最新のSGW側隔離端末MACリスト311を一斉配信する(S107)。動作パラメータの送信間隔が0の場合は、1回しか配信しない。送信間隔に、有効数字Nが設定されている場合は、N分間隔で配信を行う。このとき、送信処理(S107)において、送信パケットを署名・暗号化してもよい。
(1)SGW側通信部34は、管理装置1から隔離要求コマンドを受信する(S105)。このとき、送信パケット104が暗号パケットの場合は、受信処理(S105)で復号処理を行う必要がある。
(2)SGW側アドレス通知部35は、端末4のMACアドレス情報をSGW側隔離端末MACリスト格納部31が格納するSGW側隔離端末MACリスト311に登録する(S106)。
(3)次に、SGW側アドレス通知部35は、SGW側端末接続情報格納部32が格納する端末接続情報321から内部ネットワークに属する端末のアドレス情報を読み出し、SGW側送信動作パラメータ格納部33が格納する送信動作パラメータ331から送信間隔を読み出す。SGW側アドレス通知部35は、読み出した情報をもとに、内部ネットワークに接続されたAgent端末5a(及び5b)に、送信動作パラメータに設定された送信間隔で、SGW側隔離端末MACリスト格納部31に格納された端末4を含む最新のSGW側隔離端末MACリスト311を一斉配信する(S107)。動作パラメータの送信間隔が0の場合は、1回しか配信しない。送信間隔に、有効数字Nが設定されている場合は、N分間隔で配信を行う。このとき、送信処理(S107)において、送信パケットを署名・暗号化してもよい。
(Agent端末5a(及び5b))
(1)端末側通信部52は、SGW側隔離端末MACリスト311を受信する(S109)。
(2)SGW側隔離端末MACリスト311である送信パケット108が暗号パケットの場合は、受信処理(S109)で復号処理を行う必要がある。Agent端末5a(及び5b)は、端末4のMACアドレス情報を端末側隔離端末MACリスト格納部51の端末側隔離端末MACリスト511に登録する(S110)。Agent端末5a(及び5b)の端末側データ確認部53では、端末側隔離端末MACリスト格納部51に格納された端末側隔離端末MACリスト511に含まれるMACアドレスの送受信フレームを破棄する(S111)。即ち、端末側データ確認部53は、端末側通信部52が送信元アドレスを含むデータを受信した場合には、端末側隔離端末MACリスト511に端末側通信部52が受信したデータに含まれる送信元アドレスが存在するかどうかを確認し、一致するMACアドレスが存在する場合には、前記データを廃棄する。
(1)端末側通信部52は、SGW側隔離端末MACリスト311を受信する(S109)。
(2)SGW側隔離端末MACリスト311である送信パケット108が暗号パケットの場合は、受信処理(S109)で復号処理を行う必要がある。Agent端末5a(及び5b)は、端末4のMACアドレス情報を端末側隔離端末MACリスト格納部51の端末側隔離端末MACリスト511に登録する(S110)。Agent端末5a(及び5b)の端末側データ確認部53では、端末側隔離端末MACリスト格納部51に格納された端末側隔離端末MACリスト511に含まれるMACアドレスの送受信フレームを破棄する(S111)。即ち、端末側データ確認部53は、端末側通信部52が送信元アドレスを含むデータを受信した場合には、端末側隔離端末MACリスト511に端末側通信部52が受信したデータに含まれる送信元アドレスが存在するかどうかを確認し、一致するMACアドレスが存在する場合には、前記データを廃棄する。
以上のように、隔離端末4とAgent端末5a(及び5b)は、通信を一切行わない。このため、端末5a(及び5b)に端末4の被害が及ぶことはない。ただし、隔離端末4は治療サーバ2や管理装置1との特定通信は、端末5a(及び5b)のようなAgent端末には関係ない通信のため、SGW3での制御により通常どおり確保される。
第2に、図7を参照して、端末隔離解除に関する動作について説明する。
(管理装置1)
(1)管理装置1は、治療サーバ2による不正端末4の治療終了を確認し、端末4の隔離解除を決定したものとする(S201)。即ち、管理装置1は、不正端末であると判定した端末4が、治療サーバ2による治療の結果、管理ポリシーに合致する正常端末になったと判定した場合には、以下のように、この正常端末となった端末4のMACアドレスを含む情報であって隔離の解除を要求する解除要求情報を送信SGW3に送信する。
(2)まず、管理装置1は、管理側隔離端末MAC全リスト11から端末4のMACアドレス情報を削除する(S202)。
(3)次に管理装置1は、端末4に関する隔離解除コマンド(隔離解除情報)をSGW3に通知する(S203)。このとき、送信パケット204(隔離解除コマンド)には、端末4が動的IPを使用している可能性も考慮し、端末4のMACアドレス情報(物理アドレス)が含まれる。論理アドレスでも構わないが、前記のよう動的IPを使用している可能性があるのでMACアドレス情報(物理アドレス)の方が好ましい。なお、MACアドレスか論理アドレスかという解除要求コマンドに含まれるアドレスの種別は、隔離要求コマンドに含まれるアドレスの種類に対応する。また、送信処理(S203)において、送信パケット204を署名・暗号化してもよい。
(1)管理装置1は、治療サーバ2による不正端末4の治療終了を確認し、端末4の隔離解除を決定したものとする(S201)。即ち、管理装置1は、不正端末であると判定した端末4が、治療サーバ2による治療の結果、管理ポリシーに合致する正常端末になったと判定した場合には、以下のように、この正常端末となった端末4のMACアドレスを含む情報であって隔離の解除を要求する解除要求情報を送信SGW3に送信する。
(2)まず、管理装置1は、管理側隔離端末MAC全リスト11から端末4のMACアドレス情報を削除する(S202)。
(3)次に管理装置1は、端末4に関する隔離解除コマンド(隔離解除情報)をSGW3に通知する(S203)。このとき、送信パケット204(隔離解除コマンド)には、端末4が動的IPを使用している可能性も考慮し、端末4のMACアドレス情報(物理アドレス)が含まれる。論理アドレスでも構わないが、前記のよう動的IPを使用している可能性があるのでMACアドレス情報(物理アドレス)の方が好ましい。なお、MACアドレスか論理アドレスかという解除要求コマンドに含まれるアドレスの種別は、隔離要求コマンドに含まれるアドレスの種類に対応する。また、送信処理(S203)において、送信パケット204を署名・暗号化してもよい。
(SGW3)
(1)SGW側通信部34は、隔離解除コマンドを受信する(S205)。このとき、送信パケット204が暗号パケットの場合は、受信処理(S205)で復号処理を行う必要がある。
(2)SGW側アドレス通知部35は、端末4のMACアドレス情報をSGW側隔離端末MACリスト311から削除する(S206)。即ち、SGW側アドレス通知部35は、SGW側通信部34が解除要求コマンドを受信した場合には、解除要求コマンドに含まれる正常に復帰した不正端末のMACアドレスがSGW側隔離端末MACリスト311に含まれるいずれかのMACアドレスと一致するかどうかを確認し、一致する場合にはその不正端末のMACアドレスをSGW側隔離端末MACリスト311から削除する。
(3)次に、SGW側アドレス通知部35は、SGW側端末接続情報格納部32が格納する端末接続情報321から内部ネットワークに属する端末のアドレス情報を読み出し、またSGW側送信動作パラメータ格納部33が格納する送信動作パラメータ331から送信間隔を読み出す。
(4)SGW側アドレス通知部35は、読み出した情報をもとに、内部ネットワークに接続されたAgent端末5a(及び5b)に、送信動作パラメータ331に設定された送信間隔で、「端末4を含まないSGW側隔離端末MACリスト311」(削除通知情報の一例)を一斉配信する(S207)。動作パラメータの送信間隔が0の場合は、1回しか配信しない。送信間隔に、有効数字Nが設定されている場合は、N分間隔で配信を行う。このとき、送信処理(S207)において、送信パケットを署名・暗号化してもよい。
(1)SGW側通信部34は、隔離解除コマンドを受信する(S205)。このとき、送信パケット204が暗号パケットの場合は、受信処理(S205)で復号処理を行う必要がある。
(2)SGW側アドレス通知部35は、端末4のMACアドレス情報をSGW側隔離端末MACリスト311から削除する(S206)。即ち、SGW側アドレス通知部35は、SGW側通信部34が解除要求コマンドを受信した場合には、解除要求コマンドに含まれる正常に復帰した不正端末のMACアドレスがSGW側隔離端末MACリスト311に含まれるいずれかのMACアドレスと一致するかどうかを確認し、一致する場合にはその不正端末のMACアドレスをSGW側隔離端末MACリスト311から削除する。
(3)次に、SGW側アドレス通知部35は、SGW側端末接続情報格納部32が格納する端末接続情報321から内部ネットワークに属する端末のアドレス情報を読み出し、またSGW側送信動作パラメータ格納部33が格納する送信動作パラメータ331から送信間隔を読み出す。
(4)SGW側アドレス通知部35は、読み出した情報をもとに、内部ネットワークに接続されたAgent端末5a(及び5b)に、送信動作パラメータ331に設定された送信間隔で、「端末4を含まないSGW側隔離端末MACリスト311」(削除通知情報の一例)を一斉配信する(S207)。動作パラメータの送信間隔が0の場合は、1回しか配信しない。送信間隔に、有効数字Nが設定されている場合は、N分間隔で配信を行う。このとき、送信処理(S207)において、送信パケットを署名・暗号化してもよい。
(Agent端末5a,5b)
(1)Agent端末5a(及び5b)の端末側通信部52は、更新されたSGW側隔離端末MACリスト311を受信する(S209)。送信パケット208が暗号パケットの場合は、受信処理(S209)で復号処理を行う必要がある。
(2)Agent端末5a(及び5b)の端末側データ確認部53は、端末側通信部52が受信したSGW側隔離端末MACリスト311に基づき、端末側隔離端末MACリスト511を、端末4のMACアドレスを含まないMACアドレス情報に更新する(S210)。
(3)Agent端末5a(及び5b)の端末側データ確認部53では、端末側隔離端末MACリスト511に含まれるMACアドレスの送受信フレームを破棄する。しかしながら、更新後の端末側隔離端末MACリスト511には既に端末4のMACアドレスは存在しないため、端末側データ確認部53は、端末4の送受信フレームは透過する(S211)。これにより、端末4とAgent端末5a(及び5b)との通信は回復する(S211)。
(1)Agent端末5a(及び5b)の端末側通信部52は、更新されたSGW側隔離端末MACリスト311を受信する(S209)。送信パケット208が暗号パケットの場合は、受信処理(S209)で復号処理を行う必要がある。
(2)Agent端末5a(及び5b)の端末側データ確認部53は、端末側通信部52が受信したSGW側隔離端末MACリスト311に基づき、端末側隔離端末MACリスト511を、端末4のMACアドレスを含まないMACアドレス情報に更新する(S210)。
(3)Agent端末5a(及び5b)の端末側データ確認部53では、端末側隔離端末MACリスト511に含まれるMACアドレスの送受信フレームを破棄する。しかしながら、更新後の端末側隔離端末MACリスト511には既に端末4のMACアドレスは存在しないため、端末側データ確認部53は、端末4の送受信フレームは透過する(S211)。これにより、端末4とAgent端末5a(及び5b)との通信は回復する(S211)。
なお、Agent端末については装置として説明したが、Agent端末の構成要素の一連の動作をコンピュータに実行させる処理と把握することで、Agent端末をデータ確認プログラムとして把握することも可能である。すなわち、コンピュータに、
(1)データを受信する処理、
(2)SGW3が通知した不正端末のアドレスを受信した場合には、前記不正端末の前記アドレスを記憶する処理、
(3)送信元アドレスを含むデータを受信した場合には、記憶した前記不正端末の前記アドレスと受信した前記データに含まれる前記送信元アドレスとが一致するかどうかを確認し、一致する場合には、受信した前記データを廃棄する処理、
を実行させるデータ確認プログラムとして把握することができる。
(1)データを受信する処理、
(2)SGW3が通知した不正端末のアドレスを受信した場合には、前記不正端末の前記アドレスを記憶する処理、
(3)送信元アドレスを含むデータを受信した場合には、記憶した前記不正端末の前記アドレスと受信した前記データに含まれる前記送信元アドレスとが一致するかどうかを確認し、一致する場合には、受信した前記データを廃棄する処理、
を実行させるデータ確認プログラムとして把握することができる。
以上の実施の形態1では、既存ネットワークに影響を与えることのないリピータタイプのSGWと、端末情報を収集して端末の通信を制御するソフトウェア(Agent)とを連携させ、周囲の端末が問題の端末と通信しないようにする構成を説明した。SGWから、配下のAgent端末に対して隔離対象となる端末のMACアドレスを通知し、隔離対象の端末からのフレームを廃棄させることで隔離を実現する構成を説明した。
実施の形態1のSGWは、アドレス通知部が、管理装置から送られてきた隔離対象となる端末のMACアドレスを配下の端末に通知するので、配下の端末は隔離対象の端末を認識できる。このため、隔離対象の端末を個別に隔離することができる。隔離対象の端末は、特定の装置との通信は継続することができる。
実施の形態1のSGWは、アドレス通知部が、管理装置から送られてきた不正端末から正常端末となった端末のMACアドレスを配下の端末に通知するので、配下の端末は不正端末から正常端末となった端末を容易に認識できる。このため、不正端末から正常端末に復帰した端末と他の端末との通信を容易に復帰することができる。
実施の形態1のAgent端末は、データ確認部が、SGWから送られてきた隔離対象となる端末のMACアドレスを記憶し、このMACアドレスに基づき送受信フレームを破棄する。このため、隔離対象の端末を個別に隔離することができる。また、隔離対象の端末は、特定の装置との通信は継続することができる。
実施の形態1のデータ確認プログラムは、データ確認部が、SGWから送られてきた隔離対象となる端末のMACアドレスを記憶し、このMACアドレスに基づき送受信フレームを破棄する。このため、隔離対象の端末を個別に隔離することができる。また、隔離対象の端末は、特定の装置との通信は継続することができる。
実施の形態2.
図8〜図13を用いて実施の形態2を説明する。実施の形態2は、SGW3による「偽ARPフレーム応答」を用いた通信パケットの転送を行う実施形態である。これにより、不正な端末のみを個別に隔離するとともに、不正な端末を隔離はするが、隔離された端末が治療サーバと通信することが可能である。
図8〜図13を用いて実施の形態2を説明する。実施の形態2は、SGW3による「偽ARPフレーム応答」を用いた通信パケットの転送を行う実施形態である。これにより、不正な端末のみを個別に隔離するとともに、不正な端末を隔離はするが、隔離された端末が治療サーバと通信することが可能である。
実施形態1では、Agent端末5a,5bで構成されたネットワーク内部のワーム拡散を防御するようにしたものであるが、実施の形態2は、Agentや特別なソフトウェアがインストールされていない端末6が内部ネットワークに存在する場合に、内部ネットワークでのワーム拡散を防御する実施形態を示す。
図8は、実施の形態2のシステム構成を示す図である。実施の形態1を示す図3に対して、端末装置にAgent端末を含まない点が異なる。端末4、端末6a,端末6bは、いずれも端末側隔離端末MACリストを持たない。なお、図8では、それぞれの端末装置がARPテーブルを持つことを明示した。なお、SGW3の構成は実施の形態1の図4と同様である。
SGW側端末接続情報格納部32が格納する端末接続情報321には、SGW3の内部ネットワークに属する端末の情報が格納されている。また、SGW側送信動作パラメータ格納部33が格納する送信動作パラメータ331には、「偽ARP応答フレーム」および「偽ARP広告フレーム」の送信間隔と送信回数とが記述されている。
第1に、図9を参照して、管理装置1がSGW3に端末隔離実行を指示するまでの動作について説明する。なお図9のS301〜S306は、実施の形態1の図6と同様である。
(管理装置1)
(1)管理装置1は、端末4の不正を検知し、端末4の隔離を決定した(S301)。
(2)まず、管理装置1は、管理側隔離端末MAC全リスト11に端末4のMACアドレス情報を追加する(S302)。
(3)次に管理装置1は、端末4に関する隔離要求コマンドをSGW3に通知する(S303)。このとき、送信パケット304には、端末4が動的IPを使用している可能性も考慮し、端末4のMACアドレス情報が含まれる。また、送信処理(S303)において、署名・暗号化してもよい。
(1)管理装置1は、端末4の不正を検知し、端末4の隔離を決定した(S301)。
(2)まず、管理装置1は、管理側隔離端末MAC全リスト11に端末4のMACアドレス情報を追加する(S302)。
(3)次に管理装置1は、端末4に関する隔離要求コマンドをSGW3に通知する(S303)。このとき、送信パケット304には、端末4が動的IPを使用している可能性も考慮し、端末4のMACアドレス情報が含まれる。また、送信処理(S303)において、署名・暗号化してもよい。
(SGW3)
(1)SGW側通信部34は、隔離要求コマンドを受信する(S305)。このとき、送信パケット304が暗号パケットの場合は、受信処理(S305)で復号処理を行う必要がある。
(2)SGW側アドレス通知部35は、端末4のMACアドレス情報をSGW側隔離端末MACリスト311に登録する(S306)。このSGW側隔離端末MACリスト311を元に、SGW3はARP受信待ち状態に入る。
(1)SGW側通信部34は、隔離要求コマンドを受信する(S305)。このとき、送信パケット304が暗号パケットの場合は、受信処理(S305)で復号処理を行う必要がある。
(2)SGW側アドレス通知部35は、端末4のMACアドレス情報をSGW側隔離端末MACリスト311に登録する(S306)。このSGW側隔離端末MACリスト311を元に、SGW3はARP受信待ち状態に入る。
第2に、図10を参照して、管理装置1がSGW3に端末解除実行を指示するまでの動作について説明する。なお図7のS401〜S407は、実施の形態1の図7と同様である。
(管理装置1)
(1)管理装置1は、治療サーバ2による端末4の治療を確認し、端末4の隔離解除を決定した(S401)。
(2)まず、管理装置1は、管理側隔離端末MAC全リスト11から端末4のMACアドレス情報を削除する(S402)。
(3)次に管理装置1は、端末4に関する隔離解除コマンドをSGW3に通知する(S403)。このとき、送信パケット404には、端末4が動的IPを使用している可能性も考慮し、端末4のMACアドレス情報が含まれる。また、送信処理(S403)において、署名・暗号化してもよい。
(1)管理装置1は、治療サーバ2による端末4の治療を確認し、端末4の隔離解除を決定した(S401)。
(2)まず、管理装置1は、管理側隔離端末MAC全リスト11から端末4のMACアドレス情報を削除する(S402)。
(3)次に管理装置1は、端末4に関する隔離解除コマンドをSGW3に通知する(S403)。このとき、送信パケット404には、端末4が動的IPを使用している可能性も考慮し、端末4のMACアドレス情報が含まれる。また、送信処理(S403)において、署名・暗号化してもよい。
(SGW3)
(1)SGW側通信部34は、隔離解除コマンドを受信する(S405)。このとき、送信パケット404が暗号パケットの場合は、受信処理(S405)で復号処理を行う必要がある。
(2)SGW側アドレス通知部35は、端末4のMACアドレス情報をSGW側隔離端末MACリスト311から削除する(S406)。このSGW側隔離端末MACリスト311を元に、SGW3は再びARP受信待ち状態に入る。
(1)SGW側通信部34は、隔離解除コマンドを受信する(S405)。このとき、送信パケット404が暗号パケットの場合は、受信処理(S405)で復号処理を行う必要がある。
(2)SGW側アドレス通知部35は、端末4のMACアドレス情報をSGW側隔離端末MACリスト311から削除する(S406)。このSGW側隔離端末MACリスト311を元に、SGW3は再びARP受信待ち状態に入る。
次に、SGW3に到達したARPフレームの内容別にARP受信処理について述べる。まず、図11を参照して、隔離端末4からのARPリクエストを受信したときのSGW3の動作を説明する。なお、以下では端末4を隔離端末4と呼んでいる。また、端末6aと端末6bとのうち、端末6aへのARP要求を想定した。
(隔離端末4)
隔離端末4が端末6aと通信を行う場合、最初に端末6aに関するARP(Address Resolution Protocol)要求(ARPリクエスト)を送信する(S501)。ARP要求はブロードキャストで送信されるので、端末6aだけでなく、SGW3にも到達する(S505、507)。
隔離端末4が端末6aと通信を行う場合、最初に端末6aに関するARP(Address Resolution Protocol)要求(ARPリクエスト)を送信する(S501)。ARP要求はブロードキャストで送信されるので、端末6aだけでなく、SGW3にも到達する(S505、507)。
(端末6a)
隔離端末4からのARP要求を受信した端末6aでは、ARP応答(ARPリプライ)を隔離端末4に対して送信する(S508)。
隔離端末4からのARP要求を受信した端末6aでは、ARP応答(ARPリプライ)を隔離端末4に対して送信する(S508)。
(隔離端末4)
この応答によって、隔離端末4では、端末6aのMACアドレスを知り(S502)、隔離端末4のARPテーブル41に登録するので、隔離端末4と端末6aとの通信が成立してしまう。
この応答によって、隔離端末4では、端末6aのMACアドレスを知り(S502)、隔離端末4のARPテーブル41に登録するので、隔離端末4と端末6aとの通信が成立してしまう。
(SGW3)
これを防ぐため、SGW3では、SGW側通信部34が端末6aに関するARP要求を受信すると、SGW側アドレス通知部35が、SGW側隔離端末MACリスト311と端末接続情報321やARPフレームの受信ポートを参照し、ARP要求の「送信元」、「送信先」を確認する。SGW側アドレス通知部35は、ARP要求の「送信元」がSGW側隔離端末MACリスト311に登録された隔離端末4であり、ARP要求の「送信先」が端末6aであることを知るとともに、そのアドレスから端末6aが自分の内側のネットワークに接続された端末であることを判別すると、IPアドレスには要求された端末6aのIPアドレスを設定し、MACアドレスは自分(SGW3)のMACアドレスを設定した「偽のARP応答」を生成し、SGW側通信部34を介して、隔離端末4に送信する(S506)。
これを防ぐため、SGW3では、SGW側通信部34が端末6aに関するARP要求を受信すると、SGW側アドレス通知部35が、SGW側隔離端末MACリスト311と端末接続情報321やARPフレームの受信ポートを参照し、ARP要求の「送信元」、「送信先」を確認する。SGW側アドレス通知部35は、ARP要求の「送信元」がSGW側隔離端末MACリスト311に登録された隔離端末4であり、ARP要求の「送信先」が端末6aであることを知るとともに、そのアドレスから端末6aが自分の内側のネットワークに接続された端末であることを判別すると、IPアドレスには要求された端末6aのIPアドレスを設定し、MACアドレスは自分(SGW3)のMACアドレスを設定した「偽のARP応答」を生成し、SGW側通信部34を介して、隔離端末4に送信する(S506)。
(隔離端末4)
隔離端末4では、SGW3からの「偽のARP応答」を受信(S503)し、ARPテーブル41を更新する。なお、後述のように、本来のARP応答よりも先に「偽のARP応答」が送信されることのないように、「偽のARP応答」の送信タイミングは制御される。このARPテーブル41を参照することによって、隔離端末4は、端末6a宛にパケットを送るときに、SGW3のMACアドレスを指定し、SGW3が端末6aであると誤認する(S504)。隔離端末4は、端末6aと通信しているつもりでも、実際の通信パケットはSGW3に送られてしまうため、正常な端末6aを隔離端末4から守ることができる。
隔離端末4では、SGW3からの「偽のARP応答」を受信(S503)し、ARPテーブル41を更新する。なお、後述のように、本来のARP応答よりも先に「偽のARP応答」が送信されることのないように、「偽のARP応答」の送信タイミングは制御される。このARPテーブル41を参照することによって、隔離端末4は、端末6a宛にパケットを送るときに、SGW3のMACアドレスを指定し、SGW3が端末6aであると誤認する(S504)。隔離端末4は、端末6aと通信しているつもりでも、実際の通信パケットはSGW3に送られてしまうため、正常な端末6aを隔離端末4から守ることができる。
SGW3からの「偽のARP応答」の送信は、SGW側アドレス通知部35がSGW側送信動作パラメータ格納部33の送信動作パラメータ331を参照し、送信動作パラメータ331に記述された送信間隔と送信回数に従って行う。これは、本来の端末6aからのARP応答が「偽のARP応答」より後に到着し、正しい情報で端末4のARPテーブル41が再び上書きされることも考えられるので、偽ARP応答の効果が消失するのを防ぐためである。
次に、図12において、SGW3が端末6aから隔離端末4へのARPリクエストを受信したときの動作を説明する。この動作は図11の場合と同様であり、図11に対して隔離端末4と端末6aとを置き換えた動作である。
(端末6a)
端末6aは、隔離端末4が隔離の必要がある危険な端末だとは知らない。端末6aは隔離端末4と通信を行う場合、最初に端末4に関するARP要求を送信する(S605)。ARP要求はブロードキャストで送信されるので、隔離端末4だけでなく、SGW3にも到達する(S601、603)。
端末6aは、隔離端末4が隔離の必要がある危険な端末だとは知らない。端末6aは隔離端末4と通信を行う場合、最初に端末4に関するARP要求を送信する(S605)。ARP要求はブロードキャストで送信されるので、隔離端末4だけでなく、SGW3にも到達する(S601、603)。
(隔離端末4)
端末6aからのARP要求を受信した隔離端末4は、ARP応答を端末6aに対して送信する(S602)。
端末6aからのARP要求を受信した隔離端末4は、ARP応答を端末6aに対して送信する(S602)。
(端末6a)
この応答によって、端末6aでは、隔離端末4のMACアドレスを知り(S606)、ARPテーブル61に登録するので、隔離端末4と端末6aとの通信が成立してしまう。
この応答によって、端末6aでは、隔離端末4のMACアドレスを知り(S606)、ARPテーブル61に登録するので、隔離端末4と端末6aとの通信が成立してしまう。
(SGW3)
これを防ぐため、SGW3では、SGW側通信部34が端末4に関するARP要求を受信すると、SGW側アドレス通知部35が、SGW側隔離端末MACリスト311と端末接続情報321やARPフレームの受信ポートを参照し、ARP要求の「送信先」がSGW側隔離端末MACリスト311に登録された隔離端末4であり「送信元」が端末6aであることを知るとともに、端末6aが自分の内側のネットワークに接続された端末であることを判別すると、SGW側アドレス通知部35は、IPアドレスは要求された隔離端末4のIPアドレス、MACアドレスは自分(SGW3)のMACアドレスとした「偽のARP応答」を生成し、SGW側通信部34を介して、端末6aに送信する(S604)。
これを防ぐため、SGW3では、SGW側通信部34が端末4に関するARP要求を受信すると、SGW側アドレス通知部35が、SGW側隔離端末MACリスト311と端末接続情報321やARPフレームの受信ポートを参照し、ARP要求の「送信先」がSGW側隔離端末MACリスト311に登録された隔離端末4であり「送信元」が端末6aであることを知るとともに、端末6aが自分の内側のネットワークに接続された端末であることを判別すると、SGW側アドレス通知部35は、IPアドレスは要求された隔離端末4のIPアドレス、MACアドレスは自分(SGW3)のMACアドレスとした「偽のARP応答」を生成し、SGW側通信部34を介して、端末6aに送信する(S604)。
(端末6a)
端末6aでは、SGW3からの「偽のARP応答」を受信(S607)し、ARPテーブル61を更新する。このARPテーブル61を参照することによって、端末6aは、隔離端末4宛にパケットを送るときに、SGW3のMACアドレスを指定し、SGW3が隔離端末4であると誤認する(S608)。端末6aは、隔離端末4と通信しているつもりでも、実際の通信パケットはSGW3に送られてしまうため、端末6aを隔離端末4から守ることができる。
端末6aでは、SGW3からの「偽のARP応答」を受信(S607)し、ARPテーブル61を更新する。このARPテーブル61を参照することによって、端末6aは、隔離端末4宛にパケットを送るときに、SGW3のMACアドレスを指定し、SGW3が隔離端末4であると誤認する(S608)。端末6aは、隔離端末4と通信しているつもりでも、実際の通信パケットはSGW3に送られてしまうため、端末6aを隔離端末4から守ることができる。
また、図11の場合と同様に、SGW3からの「偽のARP応答の送信」は、SGW側送信動作パラメータ格納部33が格納する送信動作パラメータ331を参照し、送信動作パラメータ331に記述された送信間隔と送信回数で行われる。これは、本来の隔離端末4からのARP応答が偽ARP応答より後に到着し、正しい情報で端末AのARPテーブル61が再び上書きされることも考えられるので、偽ARP応答の効果が消失するのを防ぐためである。
(ARP広告に対する対処)
最後に、ARP広告の対処方法について説明する。「ARP広告(Gratuitous ARP)」とは、IPアドレスの重複を防ぐため、自分のIPアドレスを周囲の端末にブロードキャストで通知する仕組みである。端末をネットワークに接続するとARP広告を送信するのが一般的である。ARP広告を受信すると、ARP応答を受信したときと同様に、端末はARPテーブルを更新してしまうので、対策を講じなければならない。SGW3では、SGW側隔離端末MACリスト311に自分の内側ネットワークに属する端末4が含まれることを認識した後(S306の時点)、単純に端末4のIPアドレスを利用したARP広告(偽のARP広告)を送信し続ける方法が有効である。さらに、図13では、隔離端末4からのARP広告を受信したときのSGW3の動作を示す。
最後に、ARP広告の対処方法について説明する。「ARP広告(Gratuitous ARP)」とは、IPアドレスの重複を防ぐため、自分のIPアドレスを周囲の端末にブロードキャストで通知する仕組みである。端末をネットワークに接続するとARP広告を送信するのが一般的である。ARP広告を受信すると、ARP応答を受信したときと同様に、端末はARPテーブルを更新してしまうので、対策を講じなければならない。SGW3では、SGW側隔離端末MACリスト311に自分の内側ネットワークに属する端末4が含まれることを認識した後(S306の時点)、単純に端末4のIPアドレスを利用したARP広告(偽のARP広告)を送信し続ける方法が有効である。さらに、図13では、隔離端末4からのARP広告を受信したときのSGW3の動作を示す。
図13では端末6aと端末6bとの動作は同様であるので、端末6aを主体に説明する。
(隔離端末4)
隔離端末4がARP広告を送信する(S701)。ARP広告はブロードキャストで送信されるので、端末6a(及び6b)だけでなく、SGW3にも到達する(S704、706)。
隔離端末4がARP広告を送信する(S701)。ARP広告はブロードキャストで送信されるので、端末6a(及び6b)だけでなく、SGW3にも到達する(S704、706)。
(端末6a)
端末6a(及び6b)では、ARP広告により隔離端末4のMACアドレスを知り(S706)、ARPテーブル61(及びARPテーブル62)に登録するので、隔離端末4と端末6a(及び6b)との通信が成立してしまう。
端末6a(及び6b)では、ARP広告により隔離端末4のMACアドレスを知り(S706)、ARPテーブル61(及びARPテーブル62)に登録するので、隔離端末4と端末6a(及び6b)との通信が成立してしまう。
(SGW3)
これを防ぐため、SGW3では、SGW側通信部34がARP広告を受信すると、SGW側アドレス通知部35が、SGW側隔離端末MACリスト311を参照し、ARP広告の「送信元」がSGW側隔離端末MACリスト311に登録された隔離端末4であるどうかを確認する。SGW側アドレス通知部35は、ARP広告の「送信元」がSGW側隔離端末MACリスト311に登録された隔離端末4であることを判別すると、IPアドレスは要求された隔離端末4のIPアドレス、MACアドレスは自分(SGW3)のMACアドレスとした「偽のARP広告」を生成し、ブロードキャスト送信(S705)する。
これを防ぐため、SGW3では、SGW側通信部34がARP広告を受信すると、SGW側アドレス通知部35が、SGW側隔離端末MACリスト311を参照し、ARP広告の「送信元」がSGW側隔離端末MACリスト311に登録された隔離端末4であるどうかを確認する。SGW側アドレス通知部35は、ARP広告の「送信元」がSGW側隔離端末MACリスト311に登録された隔離端末4であることを判別すると、IPアドレスは要求された隔離端末4のIPアドレス、MACアドレスは自分(SGW3)のMACアドレスとした「偽のARP広告」を生成し、ブロードキャスト送信(S705)する。
(端末6a)
端末6a(及び6b)では、SGW3からの「偽のARP広告」を受信(S707)し、ARPテーブル61(及びARPテーブル62)を更新する。このARPテーブル61(及びARPテーブル62)を参照することによって、端末6a(及び6b)は、隔離端末4宛にパケットを送るときに、SGW3のMACアドレスを指定し、SGW3が隔離端末4であると誤認する(S708)。端末6a(及び6b)は、隔離端末4と通信しているつもりでも、実際の通信パケットはSGW3に送られてしまうため、端末6a(及び6b)を隔離端末4から守ることができる。
端末6a(及び6b)では、SGW3からの「偽のARP広告」を受信(S707)し、ARPテーブル61(及びARPテーブル62)を更新する。このARPテーブル61(及びARPテーブル62)を参照することによって、端末6a(及び6b)は、隔離端末4宛にパケットを送るときに、SGW3のMACアドレスを指定し、SGW3が隔離端末4であると誤認する(S708)。端末6a(及び6b)は、隔離端末4と通信しているつもりでも、実際の通信パケットはSGW3に送られてしまうため、端末6a(及び6b)を隔離端末4から守ることができる。
(隔離端末4)
一方で、「偽のARP広告」は隔離端末4にも到達し(S702)、隔離端末4ではIPの重複を検出するが(S703)、重複先がSGW3なのでSGW3の中継処理において隔離端末4と外部との通信フレームを操作することが可能なため問題はない。
一方で、「偽のARP広告」は隔離端末4にも到達し(S702)、隔離端末4ではIPの重複を検出するが(S703)、重複先がSGW3なのでSGW3の中継処理において隔離端末4と外部との通信フレームを操作することが可能なため問題はない。
以上のように、SGW3が偽のARPフレームを使って隔離対象端末や狙われた一般端末の代わりをすることによって、隔離対象端末の通信パケットが同じ内側のネットワークに流入するのを防ぐことが可能となり、ワーム拡散などの被害を抑えることができる。外側ネットワークと隔離端末との通信処理は変わらないので治療サーバ2との通信には影響を与えない。
以上の実施の形態2では、SGWが、隔離対象となる端末のIPに成りすまし、周囲の端末に通信パケットが到達することを防する構成を説明した。具体的には、隔離対象の端末からARPリクエストが送信された場合、SGWは偽りのARPリプライを返すことにより、隔離対象端末に誤認させる構成を説明した。また、隔離対象の端末からARP広告が送信された場合、SGWは偽りのARP広告をブロードキャスト送信することにより、隔離対象の端末以外の正常な端末に誤認させる構成を説明した。
実施の形態2のSGWは、アドレス通知部が、ARP要求に対してARP要求の送信元に偽のARP応答を返信するので、不正端末が正常な端末と通信することを、不正端末個々に防止することができる。また、不正端末と治療サーバのような特定の装置との通信は維持することができる。
実施の形態2のSGWは、アドレス通知部が、不正端末からのARP広告に対して偽のARP広告をブロードキャスト送信するので、不正端末が正常な端末と通信することを、不正端末個々に防止することができる。また、不正端末と治療サーバのような特定の装置との通信は維持することができる。
以上の実施の形態では、ネットワーク管理装置から隔離要求指示のあった端末が内部ネットワークに接続されている場合、要求のあったMACアドレスの情報を隔離対象MAC一覧情報に追加し、隔離対象MAC一覧を内部ネットワークの端末に一斉通知するネットワーク中継装置を説明した。
以上の実施の形態では、ネットワーク管理装置から隔離解除指示のあった端末が内部ネットワークに接続されている場合、要求のあったMACアドレスの情報を隔離対象MAC一覧情報から削除し、更新した隔離対象MAC一覧を内部ネットワークの端末に一斉通知するネットワーク中継装置を説明した。
以上の実施の形態では、上記ネットワーク中継装置から取得した隔離対象MAC一覧を保持し、一覧に含まれる端末からの送受信フレームを廃棄する端末内蔵型監視ソフトウェアプログラムを格納した端末装置を説明した。
以上の実施の形態では、ネットワーク管理装置から隔離要求指示のあった端末が内部ネットワークに接続されている場合、要求のあったMACアドレスの情報を隔離対象MAC一覧情報に追加し、隔離対象端末からのARP要求を受信したとき、隔離対象端末に偽のARP応答を一定間隔で複数回返答するネットワーク中継装置を説明した。
以上の実施の形態では、ネットワーク管理装置から隔離要求指示のあった端末が内部ネットワークに接続されている場合、要求のあったMACアドレスの情報を隔離対象MAC一覧情報に追加し、内部ネットワークに属する端末から隔離対象端末へのARP要求を受信したとき、ARP要求を出した端末に偽のARP応答を一定間隔で複数回返答するネットワーク中継装置を説明した。
以上の実施の形態では、ネットワーク管理装置から隔離要求指示のあった端末が内部ネットワークに接続されている場合、要求のあったMACアドレスの情報を隔離対象MAC一覧情報に追加し、隔離対象端末からのARP広告を受信したとき、隔離対象端末に偽のARP広告を一定間隔で複数回返答するネットワーク中継装置を説明した。
1 管理装置、10 フィルタ情報、11 管理側隔離端末MAC全リスト、2 治療サーバ、3 SGW、31 SGW側隔離端末MACリスト格納部、311 SGW側隔離端末MACリスト、32 SGW側端末接続情報格納部、321 端末接続情報、33 SGW側送信動作パラメータ格納部、331 送信動作パラメータ、34 SGW側通信部、35 SGW側アドレス通知部、4 不正端末、41 ARPテーブル、5a,5b Agent端末、51 端末側隔離端末MACリスト格納部、511 端末側隔離端末MACリスト、52 端末側通信部、53 端末側データ確認部、6a,6b 端末、61,62 ARPテーブル、8 スイッチ。
Claims (10)
- ネットワークを構成する複数の端末装置が接続する接続装置において、
前記複数の端末装置のそれぞれのアドレスを含む端末接続情報を格納する端末接続情報格納部と、
定められた管理ポリシーに基づいて前記複数の端末装置を管理するとともに前記複数の端末装置のいずれかが前記管理ポリシーに反する不正端末であると判定した場合には前記不正端末のアドレスを含む情報であって前記不正端末の隔離を要求する隔離要求情報を送信する管理装置から前記隔離要求情報を受信する通信部と、
前記通信部が受信した前記隔離要求情報に含まれる前記不正端末の前記アドレスを格納する不正端末情報格納部と、
前記端末接続情報格納部が格納する前記端末接続情報を参照することにより前記不正端末情報格納部が格納した前記不正端末の前記アドレスを前記複数の端末装置うちの所定の端末装置に、前記通信部を介して通知するアドレス通知部と
を備えたことを特徴とする接続装置。 - 前記管理装置は、
前記不正端末であると判定した前記端末装置が前記管理ポリシーに合致する正常端末になったと判定した場合には前記正常端末のアドレスを含む情報であって隔離の解除を要求する解除要求情報を送信し、
前記通信部は、
前記管理装置から前記解除要求情報を受信し、
前記アドレス通知部は、
前記通信部が前記解除要求情報を受信した場合には、前記解除要求情報に含まれる前記正常端末の前記アドレスと前記不正端末情報格納部が格納した前記不正端末の前記アドレスとが一致するかどうかを確認し、一致する場合には前記不正端末の前記アドレスを削除するとともに前記不正端末の前記アドレスを削除したことを示す削除通知情報を前記不正端末の前記アドレスを通知した前記所定の端末に通知することを特徴とする請求項1記載の接続装置。 - 前記隔離要求情報に含まれる前記不正端末の前記アドレスは、
物理アドレスであることを特徴とする請求項1記載の接続装置。 - 前記隔離要求情報に含まれる前記不正端末の前記アドレスと前記解除要求情報に含まれる前記正常端末の前記アドレスとは、
いずれも物理アドレスであることを特徴とする請求項2記載の接続装置。 - データを受信する受信部と、
前記受信部が前記請求項1記載の接続装置が通知した前記不正端末の前記アドレスを受信した場合には、前記不正端末の前記アドレスを記憶する記憶部と、
前記受信部が送信元アドレスを含むデータを受信した場合には、前記記憶部に記憶された前記不正端末の前記アドレスと前記受信部が受信した前記データに含まれる前記送信元アドレスとが一致するかどうかを確認し、一致する場合には、前記受信部が受信した前記データを廃棄するデータ確認部と
を備えた端末装置。 - コンピュータに以下の処理を実行させるデータ確認プログラム
(1)データを受信する処理
(2)前記請求項1記載の接続装置が通知した前記不正端末の前記アドレスを受信した場合には、前記不正端末の前記アドレスを記憶する処理
(3)送信元アドレスを含むデータを受信した場合には、記憶した前記不正端末の前記アドレスと受信した前記データに含まれる前記送信元アドレスとが一致するかどうかを確認し、一致する場合には、受信した前記データを廃棄する処理 - ネットワークを構成する複数の端末装置が接続する接続装置において、
前記複数の端末装置のそれぞれのアドレスを含む端末接続情報を格納する端末接続情報格納部と、
定められた管理ポリシーに基づいて前記複数の端末装置を管理するとともに前記複数の端末装置のいずれかが前記管理ポリシーに反する不正端末であると判定した場合には前記不正端末のアドレスを含む情報であって前記不正端末の隔離を要求する隔離要求情報を送信する管理装置から前記隔離要求情報を受信するとともに、他のデータを送受信する通信部と、
前記通信部が前記隔離要求情報を受信した場合に、前記隔離要求情報に含まれる前記不正端末の前記アドレスを格納する不正端末情報格納部と、
前記通信部が前記他のデータとして物理アドレスの取得を求めるARP(Address Resolution Protocol)要求を受信した場合には、前記不正端末情報格納部と前記端末接続情報格納部とを参照することにより前記ARP要求に含まれる送信元アドレスと送信先アドレスとを確認し、確認の結果、前記送信元アドレスが前記不正端末のアドレスであり、かつ、前記送信先アドレスが前記複数の端末装置のいずれかのアドレスである場合、あるいは、送信元アドレスが前記不正端末以外の前記複数の端末装置のいずれかのアドレスであり、かつ、前記送信先アドレスが前記不正端末のアドレスである場合とのいずれかのときに、偽のARP応答情報を生成し、生成した前記偽のARP応答情報を、前記通信部を介して、前記ARP要求の送信元アドレスの装置に通知するアドレス通知部と
を備えたことを特徴とする接続装置。 - 前記隔離要求情報に含まれる前記不正端末の前記アドレスは、IP(Internet Protocol)アドレスと物理アドレスとのいずれかであることを特徴とする請求項7記載の接続装置。
- ネットワークを構成する複数の端末装置が接続する接続装置において、
前記複数の端末装置のそれぞれのアドレスを含む端末接続情報を格納する端末接続情報格納部と、
定められた管理ポリシーに基づいて前記複数の端末装置を管理するとともに前記複数の端末装置のいずれかが前記管理ポリシーに反する不正端末であると判定した場合には前記不正端末のアドレスを含む情報であって前記不正端末の隔離を要求する隔離要求情報を送信する管理装置から前記隔離要求情報を受信するとともに、他のデータを送受信する通信部と、
前記通信部が前記隔離要求情報を受信した場合に、前記隔離要求情報に含まれる前記不正端末の前記アドレスを格納する不正端末情報格納部と、
前記通信部が前記他のデータとして装置が自己の論理アドレスをブロードキャストで通知するARP広告(Gratuitous Address Resolution Protocol)を受信した場合には、前記不正端末情報格納部を参照することにより前記ARP広告に含まれる送信元アドレスを確認し、確認の結果、前記送信元アドレスが前記不正端末のアドレスである場合には、前記ARP広告に対する偽のARP広告を生成し、生成した偽のARP広告を、前記通信部を介して、ブロードキャスト送信するアドレス通知部と
を備えたことを特徴とする接続装置。 - 前記隔離要求情報に含まれる前記不正端末の前記アドレスは、IP(Internet Protocol)アドレスと物理アドレスとのいずれかであることを特徴とする請求項9記載の接続装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006230723A JP2008054204A (ja) | 2006-08-28 | 2006-08-28 | 接続装置及び端末装置及びデータ確認プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006230723A JP2008054204A (ja) | 2006-08-28 | 2006-08-28 | 接続装置及び端末装置及びデータ確認プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008054204A true JP2008054204A (ja) | 2008-03-06 |
Family
ID=39237784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006230723A Pending JP2008054204A (ja) | 2006-08-28 | 2006-08-28 | 接続装置及び端末装置及びデータ確認プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008054204A (ja) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2098405A2 (en) | 2008-03-05 | 2009-09-09 | FUJI KIKO Co., Ltd. | Automotive seat reclining device |
| JP2009225046A (ja) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
| JP2009225045A (ja) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
| JP2010118745A (ja) * | 2008-11-11 | 2010-05-27 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラムセット、及び誤学習処理方法 |
| WO2010140222A1 (ja) * | 2009-06-02 | 2010-12-09 | 富士通株式会社 | 情報処理システム、管理装置および情報処理方法 |
| JP2012222383A (ja) * | 2011-04-04 | 2012-11-12 | Nec Corp | 検疫ネットワークシステム及び検疫方法 |
| US8644309B2 (en) | 2010-09-30 | 2014-02-04 | Nec Corporation | Quarantine device, quarantine method, and computer-readable storage medium |
| JP2017204721A (ja) * | 2016-05-11 | 2017-11-16 | アライドテレシス株式会社 | セキュリティシステム |
| JP2019041176A (ja) * | 2017-08-23 | 2019-03-14 | 株式会社ソフトクリエイト | 不正接続遮断装置及び不正接続遮断方法 |
| JP2019165411A (ja) * | 2018-03-20 | 2019-09-26 | 富士ゼロックス株式会社 | 情報処理装置、方法及びプログラム |
-
2006
- 2006-08-28 JP JP2006230723A patent/JP2008054204A/ja active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2098405A2 (en) | 2008-03-05 | 2009-09-09 | FUJI KIKO Co., Ltd. | Automotive seat reclining device |
| JP2009225046A (ja) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
| JP2009225045A (ja) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
| JP2010118745A (ja) * | 2008-11-11 | 2010-05-27 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラムセット、及び誤学習処理方法 |
| WO2010140222A1 (ja) * | 2009-06-02 | 2010-12-09 | 富士通株式会社 | 情報処理システム、管理装置および情報処理方法 |
| US8644309B2 (en) | 2010-09-30 | 2014-02-04 | Nec Corporation | Quarantine device, quarantine method, and computer-readable storage medium |
| JP2012222383A (ja) * | 2011-04-04 | 2012-11-12 | Nec Corp | 検疫ネットワークシステム及び検疫方法 |
| JP2017204721A (ja) * | 2016-05-11 | 2017-11-16 | アライドテレシス株式会社 | セキュリティシステム |
| JP2019041176A (ja) * | 2017-08-23 | 2019-03-14 | 株式会社ソフトクリエイト | 不正接続遮断装置及び不正接続遮断方法 |
| JP2019165411A (ja) * | 2018-03-20 | 2019-09-26 | 富士ゼロックス株式会社 | 情報処理装置、方法及びプログラム |
| JP7059733B2 (ja) | 2018-03-20 | 2022-04-26 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置、方法及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2008054204A (ja) | 接続装置及び端末装置及びデータ確認プログラム | |
| KR101263329B1 (ko) | 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법 | |
| US7617533B1 (en) | Self-quarantining network | |
| TWI362196B (en) | Network isolation techniques suitable for virus protection | |
| KR100952350B1 (ko) | 지능망 인터페이스 컨트롤러 | |
| US9118716B2 (en) | Computer system, controller and network monitoring method | |
| JP4429218B2 (ja) | ネットワーク遮断制御プログラム及びネットワーク遮断装置 | |
| US20070166051A1 (en) | Repeater, repeating method, repeating program, and network attack defending system | |
| JP2006243878A (ja) | 不正アクセス検知システム | |
| JP6256773B2 (ja) | セキュリティシステム | |
| US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
| JP2007323428A (ja) | ボット検出装置、ボット検出方法、およびプログラム | |
| JP4636345B2 (ja) | セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム | |
| JP2008276457A (ja) | ネットワーク保護プログラム、ネットワーク保護装置およびネットワーク保護方法 | |
| US11159533B2 (en) | Relay apparatus | |
| JP2003099339A (ja) | 侵入検知・防御装置及びプログラム | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| JP2008011008A (ja) | 不正アクセス防止システム | |
| JP2008141352A (ja) | ネットワークセキュリティシステム | |
| JP6851211B2 (ja) | ネットワーク監視システム | |
| JP2008165601A (ja) | 通信監視システム、通信監視装置、及び通信制御装置 | |
| JP2004104739A (ja) | ウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置 | |
| JP4084317B2 (ja) | ワーム検出方法 | |
| JP4158777B2 (ja) | ファイアウォールサーバにおけるフィルタリングルール変更方法、ファイアウォールサーバおよびプログラム | |
| KR102628441B1 (ko) | 네트워크 보호 장치 및 그 방법 |