JP2008060766A - Device, program and method for monitoring network, and quarantine system and secure gateway - Google Patents
Device, program and method for monitoring network, and quarantine system and secure gateway Download PDFInfo
- Publication number
- JP2008060766A JP2008060766A JP2006233255A JP2006233255A JP2008060766A JP 2008060766 A JP2008060766 A JP 2008060766A JP 2006233255 A JP2006233255 A JP 2006233255A JP 2006233255 A JP2006233255 A JP 2006233255A JP 2008060766 A JP2008060766 A JP 2008060766A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- quarantine
- network
- connection request
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、例えば、コンピュータがネットワークを介して接続されているネットワークシステムにおいて、不正端末を検出し排除する検疫システムに関する。 The present invention relates to a quarantine system that detects and eliminates unauthorized terminals in a network system in which computers are connected via a network, for example.
従来、VLAN(Virtual Local Area Network)対応スイッチ(Switch)を用いたVLAN制御による検疫システムがある。しかし、既存のネットワークVLAN対応スイッチを用いたVLAN制御による検疫システムを導入するには、新たにVLAN対応のスイッチを導入しなければならない。これには導入コストが必要であるのみならず、ネットワークに関する各種の設定変更や、既存ネットワークからの変更に伴う障害発生の危険など、多くのリスクがある。 2. Description of the Related Art Conventionally, there is a quarantine system based on VLAN control using a switch (Switch) compatible with a Virtual Local Network (VLAN). However, in order to introduce a quarantine system based on VLAN control using an existing network VLAN compatible switch, a new VLAN compatible switch must be introduced. This not only requires introduction costs, but also has many risks, such as various setting changes related to the network and the risk of failure due to changes from the existing network.
また、特許文献1には、クライアントのセキュリティチェック方法についての記載がある。特許文献1では、クライアントには何らかのセキュリティチェックツールが備わっていることを前提としている。しかし、攻撃者が攻撃を目的としてクライアントをネットワークに接続した場合、この前提は成立せず、検疫完了前のクライアントから攻撃を受ける可能性がある。
VLAN対応スイッチを用いたVLAN制御による検疫システムにおいては、VLAN対応のスイッチを導入しなければならない。また、ネットワークに関する設定変更をしなければならない。したがって、既存のネットワークへ検疫機能を追加することが難しい。
また、特許文献1に記載されたクライアントのセキュリティチェック方法においては、接続したクライアントの検疫完了前には攻撃を受け得る。そのため、接続したクライアントの検疫を完了するまでに、クライアントには何らかのセキュリティチェックツールが備わっているという前提を必要としない他の防御方式が必要である。
In a quarantine system based on VLAN control using a VLAN compatible switch, a VLAN compatible switch must be introduced. In addition, the network settings must be changed. Therefore, it is difficult to add a quarantine function to an existing network.
Further, in the client security check method described in
本発明は、例えば、新たなVLAN対応スイッチを導入することなく、既存のネットワークへ検疫システムを追加可能とするとともに、新規端末が攻撃端末であった場合に、その端末のみを端末レベルで隔離することを目的とする。
また新規にネットワークに接続された端末が不正端末であった場合など、不正端末に何らセキュリティチェックツールが備わっていなくても、不正端末を検出し排除することを目的とする。
さらに、新規にネットワークに接続された端末を不正であると判断する前に、上記端末が攻撃を開始した場合であっても、検疫済の端末が被害を受けない検疫システムを構築することを目的とする。
The present invention enables, for example, adding a quarantine system to an existing network without introducing a new VLAN-compatible switch, and isolates only the terminal at the terminal level when the new terminal is an attack terminal For the purpose.
It is another object of the present invention to detect and eliminate unauthorized terminals even if the unauthorized terminal is not equipped with any security check tool, such as when the newly connected terminal is an unauthorized terminal.
Furthermore, it is intended to construct a quarantine system in which a quarantined terminal is not damaged even if the terminal starts an attack before it is determined that the terminal newly connected to the network is illegal. And
本発明に係るネットワーク監視装置は、例えば、送信元端末から接続要求を受信しても応答の指示がされない限り接続要求に対して応答しない送信先端末に宛てられた接続要求を、ネットワークを介して通信装置により受信する接続要求受信部と、
端末が検疫済か否かを示す検疫判定情報を記憶装置に記憶する検疫判定情報記憶部と、
上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、送信元端末が検疫済か否かを処理装置により判定する検疫判定部と、
上記送信元端末が検疫済であると上記検疫判定部が判定した場合、接続要求に対して応答するように送信先端末へ処理装置により指示する応答指示部と
を備えることを特徴とする。
The network monitoring apparatus according to the present invention, for example, sends a connection request addressed to a transmission destination terminal that does not respond to the connection request even when a connection instruction is received from the transmission source terminal, unless a response instruction is issued, via the network. A connection request receiver that is received by the communication device;
A quarantine determination information storage unit that stores quarantine determination information indicating whether or not the terminal is quarantined in a storage device;
Based on the quarantine determination information stored in the quarantine determination information storage unit, a quarantine determination unit that determines whether or not the transmission source terminal is quarantined by the processing device;
When the said quarantine determination part determines that the said transmission origin terminal is quarantined, the response instruction | indication part which instruct | indicates by a processing apparatus to a transmission destination terminal so that it may respond to a connection request is provided.
本発明に係るネットワーク監視装置によれば、応答指示部が指示した送信先端末以外は送信元端末からの接続要求に対して応答しない。そのため、VLAN制御を用いることなく、不正端末を検出し排除することができる。また、VLAN制御を用いる必要がないので、既存のネットワークへ容易に検疫機能を追加することができる。 The network monitoring apparatus according to the present invention does not respond to a connection request from a transmission source terminal other than the transmission destination terminal specified by the response instruction unit. Therefore, unauthorized terminals can be detected and eliminated without using VLAN control. Moreover, since it is not necessary to use VLAN control, a quarantine function can be easily added to an existing network.
図1は、実施の形態における検疫システム1000の外観の一例を示す図である。
図1において、検疫システム1000は、サーバA910A、サーバB910B、サーバC910C、PC(パーソナルコンピュータ)A909A、PCB909B、PCC909Cなどを備える。また、PCA909A、PCB909B、PCC909Cは、LCD(液晶)901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disc・Drive)などのハードウェア資源を備え、これらのハードウェア資源はケーブルや信号線で接続されている。
サーバA910A、サーバB910B、サーバC910C、PCA909A、PCB909B、PCC909Cは、コンピュータであり、ローカルエリアネットワーク942(LAN)やインターネット940により接続されている。
ここで、サーバA910Aは、SGW100(セキュアゲートウェイ、ネットワーク監視装置)の一例である。また、PCA909A、PCB909B、PCC909C、サーバC910Cは、エージェント端末300の一例である。また、サーバB910Bは、管理サーバ200の一例である。
FIG. 1 is a diagram illustrating an example of an appearance of a quarantine system 1000 according to an embodiment.
In FIG. 1, a quarantine system 1000 includes a server A 910A, a server B 910B, a server C 910C, a PC (personal computer) A 909A, a PCB 909B, a PCC 909C, and the like. The PCA 909A, PCB 909B, and PCC 909C include hardware resources such as an LCD (liquid crystal) 901, a keyboard 902 (Key / Board: K / B), a
Server A 910A, server B 910B, server C 910C, PCA 909A, PCB 909B, and PCC 909C are computers and are connected by a local area network 942 (LAN) and the Internet 940.
Here, the server A 910A is an example of the SGW 100 (secure gateway, network monitoring device). The PCA 909A, PCB 909B, PCC 909C, and server C 910C are examples of the
図2は、実施の形態におけるSGW100、管理サーバ200及びエージェント端末300のハードウェア資源の一例を示す図である。
図2において、SGW100、管理サーバ200及びエージェント端末300は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、LCD901、キーボード902、マウス903、FDD904、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
FIG. 2 is a diagram illustrating an example of hardware resources of the SGW 100, the
In FIG. 2, the SGW 100, the
RAM914は、揮発性メモリの一例である。ROM913、FDD904、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置984の一例である。
通信ボード915、キーボード902、FDD904などは、入力装置982の一例である。
The
The
通信ボード915は、LAN942等に接続されている。通信ボード915は、LAN942に限らず、インターネット940、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。
磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
The
An operating system 921 (OS), a
上記プログラム群923には、以下に述べる実施の形態の説明において「ネットワーク監視部110」、「管理サーバ処理部210」、「端末制御部310」として説明する機能を実行するプログラムがそれぞれ記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「判定」「指示」として説明する情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶されている。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、コンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disc)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
The
In the
In addition, the arrows in the flowcharts described in the following description of the embodiments mainly indicate input / output of data and signals, and the data and signal values are the
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。
In addition, what is described as “to part” in the description of the embodiment described below may be “to circuit”, “to device”, “to device”, and “to means”. It may be “step”, “˜procedure”, “˜processing”. That is, what is described as “˜unit” may be realized by firmware stored in the
実施の形態1.
実施の形態1では、VLAN機能を使用することなく不正端末を検出し排除する検疫システム1000について説明する。
In the first embodiment, a quarantine system 1000 that detects and eliminates unauthorized terminals without using a VLAN function will be described.
まず、図3に基づき実施の形態1に係る検疫システム1000の構成を説明する。
検疫システム1000は、監視下のネットワークを保護するSGW100と、端末が監視下のネットワークのセキュリティポリシーに合致する正常端末であるかを判断する管理サーバ200と、各端末に設定(インストール)され、当該端末がセキュリティポリシーに合致するものであることを保証するエージェント3とを備える。
図3において、不正端末500はエージェント3がインストールされておらず、また未検疫の端末である。その他のエージェント3がインストールされたエージェント端末300は検疫済の正常端末である。
First, the configuration of the quarantine system 1000 according to the first embodiment will be described with reference to FIG.
The quarantine system 1000 is set (installed) on each terminal, the
In FIG. 3, the
検疫システム1000の構成要素について簡単に説明する。
SGW100は、保護対象のネットワークである監視ネットワークの通信を監視する。SGW100は、未検疫端末を検出し検疫判定を行う機能と、通信を監視し、検疫済端末の通信は透過、未検疫端末の通信は遮断する機能とを有する。図3においては、不正端末500はエージェント3がインストールされておらず、未検疫であるため、SGW100は不正端末500の通信を遮断する。一方、SGW100は、正常端末であるエージェント端末300の通信を透過する。
エージェント3は、端末にインストールされ、端末が安全な状態であることを監視する。また、エージェント3は、OS等のパッチや、ウィルス駆除ソフトの定義ファイルなどが最新であることをチェックし、管理サーバ200に通知する機能と、SGW100が検疫判定を行う際に、端末にエージェント3をインストール済みであることをSGW100へ通知する機能とを有する。
管理サーバ200は、SGW100やエージェント3へ必要な情報を配布する機能と、SGW100やエージェント3からの情報を収集し管理する機能とを有する。
検疫システム1000は、以上の構成要素を用いて、外部から端末を持ち込んでも、自由に通信することを防止するシステムである。
The components of the quarantine system 1000 will be briefly described.
The
The
The
The quarantine system 1000 is a system that uses the above components to prevent free communication even if a terminal is brought in from the outside.
次に、図4に基づき検疫システム1000が未検疫端末を検出した場合の動作について説明する。図4は、図3に示す検疫システム1000が未検疫端末を検出した場合の動作を示す図である。
検疫システム1000は、未検疫端末を検出した場合、以下の動作により検疫判定を行う。
1.端末が通信を開始する。SGW100は、この通信を拾い、端末が検疫済か未検疫かを判定する(1)。SGW100は端末が未検疫であると判定すると検疫処理を管理サーバ200へ依頼する。管理サーバ200は、エージェント3がインストールされているか否か、及びパッチ情報を端末へ問合せする(2)。ここでは、管理サーバ200は、SGW100経由で端末へ問合せを行っているが、直接端末へ問合せを行っても構わない。
2.端末にインストールされたエージェント3は、必要な情報を管理サーバ200へ通知する(3,4)。
3.管理サーバ200は、SGW100へ検疫結果を通知する(5)。
4.SWG1は、検疫結果に従い、通信を透過もしくは破棄する。図4において、SGW100は、不正端末500の通信であれば破棄し、エージェント端末300の通信であれば透過する(6)。
SGW100は、一度検疫済みとなった端末を記憶し、それ以降記憶された端末は、SGW100にて透過中継される。
Next, an operation when the quarantine system 1000 detects an unquarantined terminal will be described based on FIG. FIG. 4 is a diagram illustrating an operation when the quarantine system 1000 illustrated in FIG. 3 detects an unquarantined terminal.
When the quarantine system 1000 detects an unquarantined terminal, the quarantine determination is performed by the following operation.
1. The terminal starts communication. The
2. The
3. The
4). The
The
上記の説明において、SGW100は、端末が開始した通信を拾うことで、検疫判定を行った。端末は、通常、通信に先立ちARP(Address Resolution Protocol) Requestをブロードキャストして、相手先のMAC(Media Access Control)アドレスを解決しようとする。そこで、SGW100は、このARP Requestを拾うことで上述した検疫判定を開始することが可能である。
In the above description, the
ここで、実施の形態1に係る検疫システム1000に使用されるスイッチは、VLAN機能を有さないことを特徴とする。しかし、上述した検疫システム1000の動作を単純に行う場合、スイッチがVLAN機能を有さないために弊害を伴うことになる。そこで、まず、スイッチがVLAN機能を有さないことによる弊害について説明し、次に、この弊害の解決方法について説明する。
図5及び図6において、各々の端末はスイッチ4により接続される。あるシステムを初めから検疫システムとして構築する場合、一般にスイッチ4はVLAN機能を持つものが用いられる。この理由は、未検疫端末と検疫済端末とを分けるためである。スイッチ4がVLAN機能を持つことにより、仮に新規接続された端末が攻撃端末(不正端末500)であった場合でも、検疫済端末であるエージェント端末300とはVLANが異なり、攻撃端末が接続されてもエージェント端末300に被害が及ぶことは無い。
一方で、VLAN機能が無い環境でそのまま検疫システム1000を構築しようとした場合、検疫済端末と新規接続端末は同じネットワークに存在するため、検疫済端末であるか否かを問わず通信が成立してしまう。
Here, the switch used in the quarantine system 1000 according to
5 and 6, each terminal is connected by a
On the other hand, if an attempt is made to construct the quarantine system 1000 as it is in an environment without a VLAN function, the quarantined terminal and the newly connected terminal exist in the same network, and therefore communication is established regardless of whether or not the terminal is a quarantined terminal. End up.
図5及び図6に示すように、新規にネットワークに接続された端末が攻撃端末である場合、ネットワーク内に存在する端末を探索するため大量にARP Requestを送信することが考えられる。同じスイッチ4に接続されている端末は、このARP RequestにARP Replyを返してしまうため、攻撃端末にその存在が知られる。その結果、攻撃端末の攻撃が成立するのみならず、スイッチ4で区切られているため、SGW100からは内部で攻撃が行なわれていることさえも知ることができない。
As shown in FIGS. 5 and 6, when a terminal newly connected to the network is an attack terminal, it is conceivable to transmit a large amount of ARP Requests in order to search for a terminal existing in the network. Since the terminal connected to the
また、仮に攻撃端末がネットワークに接続されたことを判断できたとしても、VLAN機能を有さないため、VLANによる隔離が不可能である。そのため、攻撃端末のみを隔離することは出来ず、正常なエージェント端末300も含めてスイッチ4以下のすべての端末を隔離することになる。つまり、スイッチ4以下の正常なエージェント端末300は、正常であるにもかかわらず他のネットワークから隔離されることになる。また、エージェント3は監視下のエージェント端末300が攻撃されていることを判断できたとしても、攻撃を受けているのでそれを通知することが困難となることが考えられる。そのため、被害が拡大するおそれがある。
Further, even if it can be determined that the attacking terminal is connected to the network, since it does not have a VLAN function, isolation by VLAN is impossible. For this reason, it is impossible to isolate only the attacking terminal, and all the terminals below the
VLAN機能を有さないことによりこのような弊害がある。そこで、次に、上述したVLAN機能を有さないことによる弊害を解決する方法について説明する。
エージェント3とSGW100とが次の動作を行うことにより上記弊害を解決する。
There is such an adverse effect by not having the VLAN function. Therefore, a method for solving the adverse effects caused by not having the VLAN function described above will be described next.
The
まず、エージェント3の動作について説明する。
エージェント端末300にインストールされたエージェント3は、エージェント端末300が以下の動作となるように制御する。
(1)エージェント端末300は、SGW100から誘導(指示)がない限り、すべてのARP Requestに対してARP Replyを返さない。また、エージェント端末300は、ARP Requestを受信してもARPキャッシュは更新しない。
(2)エージェント端末300は、SGW100からのARP誘導があった場合のみARP Replyを出力する。
(3)エージェント端末300は、エージェント端末300が出したARP Requestに対するARP Replyだけを受取る。
First, the operation of the
The
(1) The
(2) The
(3) The
上記(1)については、エージェント端末300が所属するサブネット以外からのARP RequestにはARP Replyを出力することも可能である。しかし、通常、攻撃者は攻撃端末のアドレスを詐称する。そのため、ここでは、すべてのARP Requestに対してARP Replyを返さないこととする。
また、エージェント端末300のARPキャッシュについては、ARP Replyを受信することで通常のARPプロトコルスタックが更新する。
As for (1) above, it is also possible to output an ARP Reply to an ARP Request from other than the subnet to which the
Further, the ARP cache of the
次に、SGW100の動作について説明する。
まず、SGW100の動作の概要を説明する。SGW100は、ARP Requestを受信した後、ARP Requestの出力元が正常端末であるか否かの判定を終えるまでこれを保持する。SGW100は、ARP Requestの出力元が正常端末であると判断した場合、ARP Requestの送信先の端末をARP Replyを出力するように誘導する。SGW100は、ARP Requestの出力元が不正端末であると判定した場合、ARP Requestを破棄し、これ以降はどの端末もその出力元の端末へARP Replyを出力しない。
Next, the operation of the
First, the outline | summary of operation | movement of SGW100 is demonstrated. After receiving the ARP request, the
次に、SGW100の動作を詳細に説明する。
(1)監視(防御対象)ネットワーク内の、検疫済みのすべてのエージェント端末300についてIP(Internet Protocol)アドレスとMACアドレスの対応表を持つ。この表をARP解決テーブルと呼ぶ。SGW100は検疫判定後にARP解決テーブルを更新する。つまり、SGW100は、端末が正常なエージェント端末300であると判定した場合、ARP解決テーブルにIPアドレスとMACアドレスとを追加する。
(2)監視ネットワークから、送信元の端末が監視ネットワーク以外のアドレスを持つARP Requestを受信した場合、送信元端末を不正端末としてARP Requestを破棄する。
(3)監視ネットワークから、送信元端末と送信先端末との両方が監視ネットワークのアドレスであるARP Requestを受信した場合
(3.1)送信元端末と送信先端末とがいずれも検疫済の場合、ARP Replyを出力するように送信先端末を誘導する。ここで、端末が検疫済か否かはARP解決テーブルによって判定できる。
(3.2)送信先端末は検疫済だが送信元端末が未検疫の場合、管理サーバ200へ検疫処理を依頼する。管理サーバ200による検疫処理の結果、送信元端末が正常端末であると判定された場合、ARP Replyを出力するように送信先端末を誘導する。
(3.3)上記(3.1)及び(3.2)以外の場合、ARP Requestを破棄する。つまり、送信先端末をARP Replyを出力するように誘導しない。すなわち、送信先端末はARP Replyを出力しない。
(4)監視ネットワークから、送信元端末が監視ネットワークのアドレスで、送信先端末が外部ネットワークのARP Requestを受信した場合
(4.1)送信元端末が検疫済端末の場合、ARP Requestを中継する。送信元端末が未検疫端末の場合、管理サーバ200へ検疫処理を依頼する。管理サーバ200による検疫処理の結果、送信元端末が正常端末であると判定された場合、ARP Replyを出力するように送信先端末を誘導する。
(4.2)上記(4.1)以外の場合、(3.3)の場合と同様にARP Requestを破棄する。
(5)監視ネットワーク外からARP Requestを受信した場合
(5.1)送信先端末が検疫済の場合、ARP Replyを出力するように送信先端末を誘導する。送信先端末が出力した外部に出て行くARP Replyは、SGW100にて単に中継する。
(5.2)上記(5.1)以外の場合、(3.3)の場合と同様にARP Requestを破棄する。
Next, the operation of the
(1) It has a correspondence table of IP (Internet Protocol) addresses and MAC addresses for all quarantined
(2) When the transmission source terminal receives an ARP request having an address other than that of the monitoring network from the monitoring network, the ARP request is discarded with the transmission source terminal as an unauthorized terminal.
(3) When both the transmission source terminal and the transmission destination terminal receive the ARP Request that is the address of the monitoring network from the monitoring network (3.1) When both the transmission source terminal and the transmission destination terminal are quarantined , The destination terminal is guided to output ARP Reply. Here, whether or not the terminal has been quarantined can be determined based on the ARP resolution table.
(3.2) When the transmission destination terminal is quarantined but the transmission source terminal is not quarantined, the
(3.3) In cases other than the above (3.1) and (3.2), the ARP Request is discarded. That is, the destination terminal is not guided to output ARP Reply. That is, the destination terminal does not output ARP Reply.
(4) When the transmission source terminal receives the ARP request of the external network from the monitoring network and the transmission destination terminal receives the ARP request of the external network (4.1) When the transmission source terminal is a quarantined terminal, the ARP request is relayed . If the transmission source terminal is an unquarantined terminal, the
(4.2) In cases other than the above (4.1), the ARP Request is discarded as in the case of (3.3).
(5) When ARP Request is received from outside the monitoring network (5.1) When the transmission destination terminal is quarantined, the transmission destination terminal is guided to output ARP Reply. The ARP Reply that is output from the destination terminal and goes out is simply relayed by the
(5.2) In cases other than (5.1) above, the ARP Request is discarded as in (3.3).
つまり、端末にインストールされたエージェント3は、ARP Requestを端末が受信してもARP Replyを返さないように端末を制御する。そして、端末にインストールされたエージェント3に、SGW100が働きかけることにより、端末がARP Replyを生成する。
That is, the
この方法によれば、端末はSGW100から指示されない限りARP Replyを返さないため、上述したVLAN機能を有さないことによる弊害を解決することが可能である。また、新規にネットワークに接続された端末が不正であると判断する前に、上記端末が攻撃を開始した場合にも監視ネットワークの端末は被害を受けることはない。
また、エージェント3がARP解決テーブルのような情報を持つ必要がない。そのため、エージェント3の処理負荷が軽い。また、エージェント3がARP解決テーブルのような情報持たないので、検疫済の端末の増減に伴うARP解決テーブルの変更時に、エージェント3に変更情報を何度も再配信する煩雑さも無い。
According to this method, since the terminal does not return an ARP reply unless instructed by the
Further, the
次に、図7から図9に基づき、上述したSGW100、管理サーバ200及びエージェント3の動作を実現する検疫システム1000の機能及び処理の一例について詳細に説明する。
Next, an example of functions and processing of the quarantine system 1000 that realizes the operations of the
図7は、実施の形態1に係る検疫システム1000の機能を示す機能ブロック図である。検疫システム1000は、SGW100、管理サーバ200、エージェント端末300を備える。
SGW100は、ネットワーク監視部110、表示装置A986A、処理装置A980A、入力装置A982A、記憶装置A984A、通信装置A988Aを備える。ネットワーク監視部110は、接続要求受信部112、ネットワーク判定部114、アドレス判定部116、検疫判定情報記憶部118、検疫判定部120、検疫処理指示部122、検疫処理結果受信部124、検疫処理結果判定部126、応答指示部128を備える。
管理サーバ200は、管理サーバ処理部210、処理装置B980B、入力装置B982B、記憶装置B984B、通信装置B988Bを備える。管理サーバ処理部210は、検疫処理実施部212、検疫処理結果送信部214を備える。
エージェント端末300は、端末制御部310、処理装置C980C、入力装置C982C、記憶装置C984C、通信装置C988Cを備える。端末制御部310は、上述したエージェント3である。
FIG. 7 is a functional block diagram illustrating functions of the quarantine system 1000 according to the first embodiment. The quarantine system 1000 includes an
The
The
The
図8は、実施の形態1に係るSGW100の動作であるネットワーク監視処理を表すフローチャートである。ネットワーク監視処理は、上述したSGW100の動作を実現する。
FIG. 8 is a flowchart showing network monitoring processing that is an operation of
まず、接続要求受信処理(S110)では、接続要求受信部112は、送信元端末から送信先端末に宛てられた接続要求であるARP Requestを、ネットワークを介して通信装置A988Aにより受信する。ここで、送信先端末もARP Request受信している。しかし、上述したように送信先端末が、エージェント3がインストールされたエージェント端末300であれば、送信先端末はエージェント3(端末制御部310)の制御により、接続要求を受信しても応答の指示がされない限り接続要求に対して応答しない。
First, in the connection request reception process (S110), the connection
次に、ネットワーク判定処理(S120)では、ネットワーク判定部114は、ARP Requestが監視ネットワークに接続された端末から送信されたか否かを処理装置A980Aにより判定する。つまり、ネットワーク判定部114は、送信元端末が監視ネットワークの内部の端末であるか外部の端末であるかを判定する。また、ネットワーク判定部114は、ARP Requestの宛先の端末である送信先端末が監視ネットワークの内部の端末であるか外部の端末であるかを判定する。
送信元端末が内部の端末であり、送信先端末が内部の端末である場合、ネットワーク判定部114は、(S130)へ進む。送信元端末が内部の端末であり、送信先端末が外部の端末である場合、ネットワーク判定部114は、(S131)へ進む。送信元端末が外部の端末であり、送信先端末が内部の端末である場合、ネットワーク判定部114は、(S142)へ進む。ここで、送信元端末が外部の端末であり、送信先端末が外部の端末であるARP Requestについては、監視ネットワークへの影響がない。そのため、送信先端末が外部の端末であるARP Requestは、SGW100は受信しないか、あるいは受信したとしても特に処理は行わない。
Next, in the network determination process (S120), the
When the transmission source terminal is an internal terminal and the transmission destination terminal is an internal terminal, the
まず、送信元端末が内部の端末であり、送信先端末が内部の端末である場合について説明する。上述したSGW100の動作では(3)の処理に該当する。
まず、上述したSGW100の(3)の動作の前に、アドレス判定処理(S130)において上述したSGW100の(2)の動作を行う。アドレス判定処理(S130)では、アドレス判定部116は、ARP Requestに含まれる送信元端末のアドレスが監視ネットワークのアドレスであるか否かを判定する。アドレス判定部116は、ARP Requestに含まれるアドレスが監視ネットワークの内部のアドレスでないと判定した場合、送信元端末を不正端末であると判定し、受信したARP Requestを破棄する。つまり、送信元端末が内部の端末であるとネットワーク判定部114が判定した場合、すなわち、ARP Requestが監視ネットワークに接続された端末から送信されたとネットワーク判定部114が判定した場合に、ARP Requestに含まれるアドレスが監視ネットワークの外部のアドレスである場合には、送信元端末を不正端末であると判定して、受信したARP Requestを破棄する。
次に、検疫判定処理(S140)では、検疫判定部120は、ARP解決テーブル(検疫判定情報の一例)に基づき、送信元端末及び送信先端末が検疫済か否かを処理装置A980Aにより判定する。送信元端末が検疫済であり、かつ、送信先端末が検疫済であると判定した場合、検疫判定部120は(S180)へ進む。送信先端末は検疫済だが、送信元端末が未検疫であると判定した場合、検疫判定部120は(S150)へ進む。その他の場合には、検疫判定部120は受信したARP Requestを破棄する。
次に、検疫処理指示処理(S150)では、検疫処理指示部122は、管理サーバ200へ送信元端末の検疫処理の指示を処理装置A980Aにより行う。検疫処理の指示を受けた管理サーバ200の動作については後述する。
次に、検疫処理結果受信処理(S160)では、検疫処理結果受信部124は、検疫処理指示部122が指示した検疫処理を、後述する管理サーバ200の検疫処理結果送信部214が行った結果である、送信元端末が不正端末であるか否かを示す検疫処理結果を管理サーバ200から通信装置A988Aにより受信する。
そして、検疫処理結果判定処理(S170)では、検疫処理結果判定部126は、検疫処理結果受信部124が受信した検疫処理結果が送信元端末を不正端末である示しているか否かを処理装置A980Aにより判定する。検疫処理結果が送信元端末を不正端末である示していると判定した場合、検疫処理結果判定部126は受信したARP Requestを破棄する。検疫処理結果が送信元端末を不正端末である示していないと判定した場合、検疫処理結果判定部126は(S180)へ進む。
そして、応答指示処理(S180)では、応答指示部128は、ARP Requestに対して応答する(ARP Replyを出力する)ように送信先端末へ処理装置A980Aにより指示する。ここで送信先端末は、上記の処理によりエージェント3がインストールされたエージェント端末300に限定されている。送信先端末にインストールされたエージェント3(端末制御部310)は、応答指示部128からARP Requestに対して応答するように指示された場合に、ARP Requestに対して応答するように制御する。つまり、送信先端末は、エージェント3(端末制御部310)の制御により、応答指示部128から指示を受けることにより、ARP Replyを送信元端末へ出力する。
First, a case where the transmission source terminal is an internal terminal and the transmission destination terminal is an internal terminal will be described. The above-described operation of the
First, before the above-described operation (3) of the
Next, in the quarantine determination process (S140), the
Next, in the quarantine process instruction process (S150), the quarantine
Next, in the quarantine process result receiving process (S160), the quarantine process
In the quarantine process result determination process (S170), the quarantine process result
Then, in the response instruction process (S180), the
次に、送信元端末が内部の端末であり、送信先端末が外部の端末である場合について説明する。上述したSGW100の動作では(4)の処理に該当する。
まず、上述したSGW100の(4)の動作の前に、アドレス判定処理(S131)において上述したSGW100の(2)の動作を行う。(S131)は上述した(S130)と同様である。
次に、検疫判定処理(S141)では、検疫判定部120は、ARP解決テーブルに基づき、送信元端末が検疫済か否かを処理装置A980Aにより判定する。送信元端末が検疫済であると判定した場合、検疫判定部120は(S181)へ進む。送信元端末が未検疫であると判定した場合、検疫判定部120は(S151)へ進む。
(S151)から(S171)までは、上述した(S150)から(S170)までと同様である。
そして、応答指示処理(S181)では、応答指示部128は、ARP Requestを透過する。つまり、応答指示部128は、送信先端末へARP Requestを送信する。
Next, a case where the transmission source terminal is an internal terminal and the transmission destination terminal is an external terminal will be described. The above-described operation of the
First, before the operation (4) of the
Next, in the quarantine determination process (S141), the
(S151) to (S171) are the same as (S150) to (S170) described above.
In the response instruction process (S181), the
次に、送信元端末が外部の端末であり、送信先端末が内部の端末である場合について説明する。上述したSGW100の動作では(5)の処理に該当する。
検疫判定処理(S142)では、検疫判定部120は、ARP解決テーブルに基づき、送信元端末が検疫済か否かを処理装置A980Aにより判定する。送信先端末が検疫済であると判定した場合、検疫判定部120は(S182)へ進む。送信元端末が未検疫であると判定した場合、監視ネットワークの内部に未だ検出されていない不正端末が潜伏している可能性があり、かつ、その不正端末と連絡を取り合おうとする外部の端末がARP Requestを送信したと考えられる。そのため、検疫判定部120は受信したARP Requestを破棄する。
(S182)は、(S180)と同様である。
Next, a case where the transmission source terminal is an external terminal and the transmission destination terminal is an internal terminal will be described. The above-described operation of the
In the quarantine determination process (S142), the
(S182) is the same as (S180).
また、(S180)、(S181)及び(S182)それぞれの前に、検疫判定情報記憶部118は、端末が検疫済か否かを示す端末のIPアドレスとMACアドレスのペアをARP解決テーブルに記憶する処理を加えても構わない。
In addition, before each of (S180), (S181), and (S182), the quarantine determination
図9は、実施の形態1に係る管理サーバ200の動作である管理サーバ処理を表すフローチャートである。管理サーバ処理は、SGW100がネットワーク監視処理の(S150)及び(S151)において、管理サーバ200へ検疫処理の指示をした場合に実行される。
まず、検疫実施処理(S210)では、検疫処理実施部212は、SGW100の検疫処理指示部122の指示を受け、端末が監視ネットワークのセキュリティポリシーに合致しない不正端末であるか否かを処理装置B980Bにより判定する。ここで、検疫処理実施部212は、端末等からエージェント3がインストールされているか否かを示す情報や、OSのパッチのバージョン情報等を受信し、端末が不正端末か否かを判定する。
次に、検疫処理結果送信処理(S220)では、検疫処理結果送信部214は、検疫処理実施部212が判定した結果である検疫処理結果を通信装置B988Bにより送信する。
FIG. 9 is a flowchart showing a management server process that is an operation of the
First, in the quarantine execution process (S210), the quarantine
Next, in the quarantine process result transmission process (S220), the quarantine process
次に、図10、図11を使用してSGW100の動作の一例を具体的に説明する。ここでは、特に、監視ネットワークの内部の端末が攻撃されるおそれのある2つのケースについて説明する。
まず、図10に基づき、監視ネットワークに正常であるか不正であるか不明な未検疫の端末が接続され、監視ネットワークの内部の端末へアクセスする場合の動作について説明する。つまり、送信元端末が内部の端末であり、送信先端末が内部の端末である場合であり、上述したSGW100の動作では(3)の処理に該当する。
Next, an example of the operation of the
First, based on FIG. 10, an operation in the case where an unquarantined terminal that is unknown whether normal or illegal is connected to the monitoring network and accesses a terminal inside the monitoring network will be described. That is, this is a case where the transmission source terminal is an internal terminal and the transmission destination terminal is an internal terminal, and corresponds to the process (3) in the operation of the
まず、図10(A)に示すように、監視ネットワークに接続された未検疫の端末が監視ネットワークの内部の端末へのアクセスを開始する場合、まず、相手先のMACアドレスを知るためにARP Requestを出力する。ここでは、例えば、端末Aが端末Bへアクセスしようとしていると仮定する。端末Aは端末BへARP Requestを送信するが、ARP Requestは同一ネットワーク(監視ネットワーク)へブロードキャストされるので、SGW100まで到達する。SGW100はこのARP Requestを受信する(S110)。送信元の端末Aは上述したように監視ネットワークの内部の端末である(S120)。次に、SGW100は、受信したARP Requestに含まれる送信元の端末AのIPアドレスが監視ネットワークのアドレスであることを確認する(S130)。ここでは、ARP Requestに含まれる送信元の端末AのIPアドレスが監視ネットワークのアドレスであったとする。次に、SGW100は、送信元の端末Aが新規端末(未検疫端末)であることをARP解決テーブルから知る(S140)。しかし、この段階では、端末Aはエージェント3が搭載された端末かどうかを判定できない。
First, as shown in FIG. 10A, when an unquarantined terminal connected to the monitoring network starts access to a terminal inside the monitoring network, first, in order to know the MAC address of the other party, an ARP Request is sent. Is output. Here, for example, it is assumed that terminal A is trying to access terminal B. The terminal A transmits an ARP request to the terminal B. However, since the ARP request is broadcast to the same network (monitoring network), the terminal A reaches the
そこで次に、図10(B)に示すように、SGW100は、新規端末であると検出した端末Aについて、ARP Request情報を管理サーバ200に送信して、検疫処理の指示をする(S150)。そして、SGW100は、管理サーバ200から検疫結果を得る(S160)。
Then, next, as shown in FIG. 10B, the
そして、図10(C)に示すように、端末Aがエージェント3の搭載された正常端末であると判定された場合(S170でOK)、端末AのMACアドレスとIPアドレスのペアをARP解決テーブルに格納する。その後、端末Aが出力したARP Requestに対して応答するように宛先であった端末Bを誘導する。端末AのMACアドレス、IPアドレスによってARP Replyを誘導することができる(S180)。
一方、端末Aが不正端末であると判定された場合(S170でNG)、SGW100は端末BへのARP Reply誘導しない。また、端末Bは、自発的にARP Replyを返すことはない。したがって、端末Aに対して端末BからARP Replyが送られることはなく、端末Aは端末Bの存在を知ることができない。そのため、端末Bは端末A等からの攻撃を免れることが可能となる。
Then, as shown in FIG. 10C, when it is determined that the terminal A is a normal terminal on which the
On the other hand, when it is determined that the terminal A is an unauthorized terminal (NG in S170), the
次に、図11に基づき、監視ネットワークの外部から監視ネットワークの内部の端末宛にARP Requestが到達した場合の動作について説明する。つまり、送信元端末が外部の端末であり、送信先端末が内部の端末である場合であり、上述したSGW100の動作では(5)の処理に該当する。
Next, based on FIG. 11, an operation when an ARP Request arrives at a terminal inside the monitoring network from outside the monitoring network will be described. That is, this is a case where the transmission source terminal is an external terminal and the transmission destination terminal is an internal terminal, and corresponds to the process (5) in the operation of the
SGW100は、ARP Requestを受信する(1)(S110)。送信元端末は上述したように監視ネットワークの外部の端末である(S120)。ここで、受信したARP Requestの送信元が監視ネットワークの外部であることは、ARP Requestの送信元IPアドレスにより判断できる。そこで、SGW100は、送信先の端末が検疫済であるか否かを判定する(S142)。送信先の端末が検疫済であるか否かはARP解決テーブルを参照し、ARP解決テーブルに送信先の端末のMACアドレスがあるか否かにより判定できる。送信先の端末が検疫済の場合(S142でYES)、SGW100監視ネットワークにある宛先端末にARP Replyを出力させるようエージェント3を誘導する(3)(S182)。宛先端末が出力した外部に出て行くARP Replyは、SGW100にて単に中継する(4)。
一方、送信先の端末についてARP解決テーブルを参照し、ARP解決テーブルに送信先のMACアドレスが無い場合、送信先の端末は未検疫であると判定される(S142でNO)。つまり、この場合、監視ネットワークの内部に未だ検出されていない不正端末が潜伏している可能性があり、かつ、その不正端末と連絡を取り合おうとする外部の端末がARP Requestを送信したと考えられる。そのため、SGW100は、受信したARP Requestを破棄する。
The
On the other hand, with reference to the ARP resolution table for the destination terminal, if there is no destination MAC address in the ARP resolution table, it is determined that the destination terminal has not been quarantined (NO in S142). In other words, in this case, there is a possibility that an unauthorized terminal that has not yet been detected is hidden inside the monitoring network, and that an external terminal that wants to communicate with the unauthorized terminal transmits an ARP Request. It is done. Therefore, the
実施の形態1に係る検疫システム1000によれば、VLAN制御を用いることなく、不正端末を検出し排除することができる。
また、VLAN制御を用いる必要がないので、既存のネットワークへ容易に検疫機能を追加することができる。
さらに、各端末にインストールされるエージェント3は、ARP解決テーブルのような情報を持つ必要がない。そのため、各端末の処理負荷が軽く、ARP解決テーブルの変更情報を各端末へ再配信する必要も無いためネットワーク負荷もかからない。
また、さらに、端末はARP Requestを受信しても、SGW100から誘導されるまではARP Replyを出力しない。そのため、新規にネットワークに接続された端末を不正であると判断する前に、上記端末が攻撃を開始した場合であっても、被害を受けることはない。
According to the quarantine system 1000 according to the first embodiment, it is possible to detect and eliminate unauthorized terminals without using VLAN control.
Moreover, since it is not necessary to use VLAN control, a quarantine function can be easily added to an existing network.
Furthermore, the
Furthermore, even if the terminal receives the ARP Request, the terminal does not output the ARP Reply until it is guided from the
実施の形態1に係る検疫システム1000をまとめると、不正端末を検出し排除する検疫システム1000において、監視ネットワークを保護するためのSGW100と、端末が監視ネットワークのセキュリティポリシーに合致する正常端末であるかどうかを判断する管理サーバ200と、各端末に設定して当該端末がセキュリティポリシーに合致するものであることを保証するエージェント3とからなり、
該エージェント3は、端末がARP Requestに応答することを防ぐ機構と、SGW100から誘導された時のみ誘導されたARP Replyを端末に出力させる機構を有し、
該SGW100は、ARP Requestを受取った際に、それが未検疫端末からであれば先ず検疫判定を行い、次にARP Requestの送信者の検疫結果が正常であれば、ARP Requestの宛先に設定されたエージェント3へARP Replyを出力するように誘導する機構を有することを特徴とする。
また、実施の形態1に係る検疫システム1000は、未検疫端末の検疫判定の実施期間中に未検疫端末が攻撃を開始してもこれを防ぐことを可能とすることを特徴とする。
さらに、実施の形態1に係る検疫システム1000は、検疫ネットワークを想定していない、VLAN機能の無いスイッチネットワークへも、容易に検疫機能をアドオンすることを可能とするアドオン型検疫ネットワークシステムであることを特徴とする。
Summarizing the quarantine system 1000 according to the first embodiment, in the quarantine system 1000 that detects and eliminates unauthorized terminals, is the
The
When the
In addition, the quarantine system 1000 according to the first embodiment is characterized in that it is possible to prevent an unquarantined terminal from starting an attack during the quarantine determination period of the unquarantined terminal.
Furthermore, the quarantine system 1000 according to the first embodiment is an add-on type quarantine network system that allows a quarantine function to be easily added to a switch network that does not assume a quarantine network and does not have a VLAN function. It is characterized by.
実施の形態2.
実施の形態2では、不正端末をおとりネットワークに誘導し、不正端末の挙動の解析を行う方法について説明する。
In the second embodiment, a method of guiding an unauthorized terminal to a decoy network and analyzing the behavior of the unauthorized terminal will be described.
図12に基づき不正端末をおとりネットワークに誘導する動作について説明する。図12は、図3に示す検疫システム1000におとり端末71を接続した検疫システム1000である。
スイッチ4には、予めおとりネットワーク7のおとり端末71を接続する。例えば、図10(B)に示す検疫処理で端末Aが不正端末であると判定された場合等、送信元端末が不正端末であると判定された場合にはARP Requestを破棄するとした。しかし、ARP Requestを破棄する代わりに、応答指示部128がARP Requestに対してARP Replyを返すようにおとり端末71を誘導する。これにより、不正端末は以後おとり端末71と通信を開始する。以上により、おとりネットワーク7に不正端末を誘い込み、不正端末の挙動を解析することが可能となる。
An operation for guiding an unauthorized terminal to the decoy network will be described with reference to FIG. FIG. 12 shows a quarantine system 1000 in which a
A
つまり、実施の形態2に係る検疫システム1000は、未検疫端末を端末単位で隔離することを可能とすることを特徴とする。 That is, the quarantine system 1000 according to the second embodiment is characterized in that it is possible to isolate unquarantined terminals in units of terminals.
実施の形態3.
実施の形態3では、同一ネットワークでの重複したアドレスの使用を防止するgratuitous ARPを上記実施の形態で説明した検疫システム1000で実現する方法について説明する。
In the third embodiment, a method for realizing the gratuitous ARP that prevents the use of duplicate addresses in the same network in the quarantine system 1000 described in the above embodiment will be described.
端末に搭載されたOSの種類によっては、同一ネットワークでの重複したアドレスの使用を防止する目的で、端末の起動時に自分宛のARP RequestあるいはARP Replyを出力することがある。この時に出力されるARPはgratuitous ARPと呼ばれる。 Depending on the type of OS installed in the terminal, in order to prevent the use of duplicate addresses in the same network, an ARP Request or ARP Reply addressed to the terminal may be output when the terminal is activated. The ARP output at this time is called gravitational ARP.
通常の環境におけるgratuitous ARPの目的と動作について説明する。
gratuitous ARPの目的は、IPアドレスの重複チェックと、ネットワークの内部の端末やスイッチ等の機器のARPキャッシュを更新することである。
gratuitous ARPの動作は、ある端末がネットワークに接続した際に、自分自身へARP Requestを送信し、自分自身でそのARP Requestに対してARP Replyを返すものである。自分が送信したARP Reply以外にARP Replyを受信しなければ、スイッチ以下のネットワークでIPアドレスが重複していないことがわかる。
The purpose and operation of the gratuitous ARP in a normal environment will be described.
The purpose of gratuitous ARP is to check IP address duplication and update the ARP cache of devices such as terminals and switches in the network.
The operation of the gratuitous ARP is to send an ARP Request to itself when a certain terminal is connected to the network and return an ARP Reply to the ARP Request by itself. If no ARP Reply is received in addition to the ARP Reply transmitted by the user, it can be understood that the IP address is not duplicated in the network below the switch.
次に、上記実施の形態で説明した検疫システム1000を構築したネットワークにおけるgratuitous ARPの動作について説明する。
gratuitous ARP Requestを受取った、送信者以外のすべてのエージェント端末300は、このARP Requestに対してARP Replyを出力しないようにエージェント3が制御する。また、エージェント3はエージェント端末300のARPキャッシュを更新しないように制御する。このようにすることにより、上記実施の形態で説明した検疫システム1000が機能する。一方で、このままではgratuitous ARPの目的であるIPアドレス重複チェックが機能しない。
しかし、gratuitous ARPの目的であるIPアドレス重複チェックは、SGW100のARP解決テーブルを使用することにより実現する。
SGW100は、検疫判定後の端末のIPアドレスはARP解決テーブルで管理している。gratuitous ARP Requestを受信したSGW100は、gratuitous ARP Requestに含まれるIPアドレスが既に検疫済の端末と同一であればIPの重複が発生している。この場合、上記実施の形態で説明したSGW100がARP Requestに対してARP Replyを出力するか否かを判定した動作と同様に、gratuitous ARP Requestに対してARP Replyを出力するか否かを判定する。ここで、上記実施の形態における送信先端末に該当するのは、gratuitous ARP Requestの送信元端末と同じIPアドレスを持つ別の端末である。つまり、SGW100は、gratuitous ARP Requestの送信者と同じIPアドレスを持つ別の端末を、ARP Replyを出力するように誘導するか否かを判定する。ここで、gratuitous ARP Requestの送信元端末が不正端末でないと判定された場合、gratuitous ARP Requestの送信者と同じIPアドレスを持つ別の端末にARP Replyの出力が指示される。その結果出力されたARP Replyをgratuitous ARP Requestの送信元端末が受信し、IPアドレスの重複が検出される。
Next, the operation of the gratuitous ARP in the network in which the quarantine system 1000 described in the above embodiment is constructed will be described.
The
However, the IP address duplication check that is the purpose of the gratuitous ARP is realized by using the ARP resolution table of the
The
また、gratuitous ARP Requestを受信したSGW100は、そのIPアドレスがARP解決テーブルに存在しなければ、受信したgratuitous ARP Request情報を用いて送信元端末の検疫判定を実施する。判定の結果、正常端末であれば、SGW100はgratuitous ARP Requestの送信元端末自身に、gratuitous ARP Requestに対してgratuitous ARPのReplyを作成するように指示する。そして、送信元端末自身がARP Replyを出力しこれを送信元端末自身が受信する。gratuitous ARP Requestの送信元端末は、他の端末からARP Replyを受信しないため、IPアドレスが重複していないことを確認できる。
In addition, if the IP address does not exist in the ARP resolution table, the
つまり、初めからgratuitous ARP Replyを出力する端末では、そのIPアドレスがSGW100のARP解決テーブルに無い場合は通常の検疫を行う。IPアドレスが重複している場合は後者を不正端末として扱う。また、gratuitous ARPの送信元端末が不正端末であった場合、SGW100は不正端末として扱うのみである。
また、gratuitous ARP Replyを出力した端末が、gratuitous ARPに期待するIPの重複チェックを実施させるために、既に存在している端末から1回のReplyを出力させるようエージェント3を誘導しても良い。
That is, a terminal that outputs a gratuitous ARP reply from the beginning performs normal quarantine if the IP address is not in the ARP resolution table of the
Alternatively, the terminal that has output the gratuitous ARP reply may induce the
このように動作することにより、上記実施の形態で説明した検疫システム1000によってgratuitous ARPは正常に動作する。 By operating in this way, the gratuitous ARP operates normally by the quarantine system 1000 described in the above embodiment.
実施の形態4.
実施の形態4では、外部から到達するARP Requestについて、すべての場合に内部の端末からARP Replyを返すことが危険である場合に、送信元のネットワークの安全性を確認する方法について説明する。
In the fourth embodiment, a method for confirming the security of a transmission source network when it is dangerous to return an ARP Reply from an internal terminal in all cases for an ARP Request that arrives from outside will be described.
SGW100は、内部の端末へARP Replyを誘導する前に、送信元端末のネットワークについてホワイトリスト照合を実施して相手の素性をチェックする。
Before inducing ARP Reply to the internal terminal, the
図13、図14に基づき送信元のネットワークの安全性を確認する機能を備えた検疫システム1000の機能と動作を詳細に説明する。 The function and operation of the quarantine system 1000 having the function of confirming the security of the transmission source network will be described in detail with reference to FIGS.
図13は、実施の形態4に係る検疫システム1000の機能を示す機能ブロック図である。図13に示す機能ブロック図について、図7に示す機能ブロック図と異なる部分のみ説明する。
SGW100のネットワーク監視部110は、ホワイトリスト記憶部130、ホワイトリスト判定部132を備える。ホワイトリスト記憶部130は、監視ネットワーク以外で安全なネットワークをホワイトリストとして記憶装置A984Aに記憶する。ホワイトリスト判定部132は、ARP Requestが監視ネットワークでないネットワークに接続された端末から送信された場合に、ホワイトリスト記憶部130が記憶したホワイトリストに基づき、ARP Requestを送信した端末が接続されたネットワークが安全なネットワークであるか否かを処理装置A980Aにより判定する。
FIG. 13 is a functional block diagram illustrating functions of the quarantine system 1000 according to the fourth embodiment. With respect to the functional block diagram shown in FIG. 13, only the parts different from the functional block diagram shown in FIG. 7 will be described.
The
図14は、実施の形態4に係るSGW100の動作であるネットワーク監視処理を表すフローチャートである。実施の形態4に係るネットワーク監視処理について、実施の形態1に係るネットワーク監視処理と異なる部分についてのみ説明する。
(S120)で、送信元端末が外部の端末であり、送信先端末が内部の端末であると判定された場合に、ネットワーク判定部114は(S190)へ進む。ホワイトリスト判定処理(S190)では、ホワイトリスト判定部132は、ホワイトリストに基づき、送信元端末が接続されたネットワークが安全なネットワークであるか否かを判定する。送信元端末が接続されたネットワークが安全なネットワークでないと判定した場合、ホワイトリスト判定部132はARP Requestを破棄する。送信元端末が接続されたネットワークが安全なネットワークであると判定した場合、ホワイトリスト判定部132は、(S142)へ進む。
FIG. 14 is a flowchart showing a network monitoring process that is an operation of the
When it is determined in (S120) that the transmission source terminal is an external terminal and the transmission destination terminal is an internal terminal, the
実施の形態4に係る検疫システム1000によれば、送信元が監視ネットワークの外部である場合に、送信元端末が接続されたネットワークの安全性を確認した上でARP Replyを出力するか否かを決定する。したがって、監視ネットワークのより高い安全性を確保することができる。 According to the quarantine system 1000 according to the fourth embodiment, when the transmission source is outside the monitoring network, whether or not to output the ARP reply after confirming the safety of the network to which the transmission source terminal is connected is determined. decide. Therefore, higher security of the monitoring network can be ensured.
上記実施の形態に係る検疫システム1000によれば、既存のスイッチネットワークへ容易に検疫ネットワーク(検疫システム)をアドオンすることが可能となる。すなわち、既存のネットワーク機器を用いたまま、不正端末を排除するための機能を実現することが可能となる。 According to the quarantine system 1000 according to the above embodiment, it is possible to easily add on a quarantine network (quarantine system) to an existing switch network. That is, it is possible to realize a function for eliminating unauthorized terminals while using existing network devices.
また、上記実施の形態に係る検疫システム1000は、VLANによる不正端末隔離の代わりに、ARPパケットを制御することで同様の機能を実現しアドオン性を高めたのみならず、検疫中に攻撃を開始されてもこの攻撃を防ぐことや、ARPパケットの制御により攻撃者をおとりネットワークに誘導することをも可能である。 In addition, the quarantine system 1000 according to the above embodiment realizes the same function by controlling the ARP packet instead of unauthorized terminal isolation by VLAN, and improves the add-on property, but also starts an attack during the quarantine. Even if this occurs, it is possible to prevent this attack and to guide the attacker to the decoy network by controlling the ARP packet.
ここで、SGW100は、ネットワーク監視装置の一例である。つまり、ネットワーク管理装置は、SGW100やゲートウェイに限定されず、ルータ、スイッチ、ファイアウォールやその他のコンピュータであっても構わない。また、ARP Requestは、接続要求の一例である。つまり、接続要求は、ARP Requestに限定されるわけではなく、例えば、他のプロトコルによるものであっても構わない。すなわち、接続要求に対する応答もARP Replyに限定されるわけではなく、接続要求によって異なるものである。
また、上記実施の形態で「〜処理」として説明したものは、「〜ステップ」と読み替えすることができるものである。
Here, the
Further, what has been described as “˜processing” in the above embodiment can be read as “˜step”.
1000 検疫システム、100 SGW、110 ネットワーク監視部、112 接続要求受信部、114 ネットワーク判定部、116 アドレス判定部、118 検疫判定情報記憶部、120 検疫判定部、122 検疫処理指示部、124 検疫処理結果受信部、126 検疫処理結果判定部、128 応答指示部、130 ホワイトリスト記憶部、132 ホワイトリスト判定部、200 管理サーバ、210 管理サーバ処理部、212 検疫処理実施部、214 検疫処理結果送信部、300 エージェント端末、310 端末制御部、3 エージェント、4 スイッチ、901A,901B,901C LCD、902A,902B,902C キーボード、903A,903B,903C マウス、904A,904B,904C FDD、909A PCA、909B PCB、909C PCC、910 サーバ、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、916A,916B 他のサーバ、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、940 インターネット、942 LAN、980A 処理装置A、980B 処理装置B、980C 処理装置C、982A 入力装置A、982B 入力装置B、982C 入力装置C、984A 記憶装置A、984B 記憶装置B、984C 記憶装置C、986A 表示装置A、988A 通信装置A、B988B 通信装置、988C 通信装置C。 1000 Quarantine system, 100 SGW, 110 Network monitoring unit, 112 Connection request receiving unit, 114 Network determination unit, 116 Address determination unit, 118 Quarantine determination information storage unit, 120 Quarantine determination unit, 122 Quarantine processing instruction unit, 124 Quarantine processing result Receiving unit, 126 quarantine processing result determination unit, 128 response instruction unit, 130 white list storage unit, 132 white list determination unit, 200 management server, 210 management server processing unit, 212 quarantine processing execution unit, 214 quarantine processing result transmission unit, 300 agent terminal, 310 terminal control unit, 3 agent, 4 switch, 901A, 901B, 901C LCD, 902A, 902B, 902C keyboard, 903A, 903B, 903C mouse, 904A, 904B, 904C FDD, 909A PCA, 909B PCB, 909C PCC, 910 server, 911 CPU, 912 bus, 913 ROM, 914 RAM, 915 communication board, 916A, 916B other server, 920 magnetic disk unit, 921 OS, 922 window system, 923 program group , 924 File group, 940 Internet, 942 LAN, 980A Processing device A, 980B Processing device B, 980C Processing device C, 982A Input device A, 982B Input device B, 982C Input device C, 984A Storage device A, 984B Storage device B 984C Storage device C, 986A Display device A, 988A Communication device A, B988B Communication device, 988C Communication device C.
Claims (11)
端末が検疫済か否かを示す検疫判定情報を記憶装置に記憶する検疫判定情報記憶部と、
上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、送信元端末が検疫済か否かを処理装置により判定する検疫判定部と、
上記送信元端末が検疫済であると上記検疫判定部が判定した場合、接続要求に対して応答するように送信先端末へ処理装置により指示する応答指示部と
を備えることを特徴とするネットワーク監視装置。 A connection request receiving unit that receives a connection request addressed to a destination terminal that does not respond to a connection request unless a response instruction is received even if a connection request is received from the transmission source terminal, via a network;
A quarantine determination information storage unit that stores quarantine determination information indicating whether or not the terminal is quarantined in a storage device;
Based on the quarantine determination information stored in the quarantine determination information storage unit, a quarantine determination unit that determines whether or not the transmission source terminal is quarantined by the processing device;
A network monitoring system comprising: a response instructing unit that instructs the transmission destination terminal to respond to the connection request when the quarantine determination unit determines that the transmission source terminal is quarantined. apparatus.
上記送信元端末が検疫済でないと上記検疫判定部が判定した場合、管理サーバへ上記送信元端末の検疫処理の指示を処理装置により行う検疫処理指示部と、
上記検疫処理指示部が指示した検疫処理を上記管理サーバが行った結果である、送信元端末が不正な端末であるか否かを示す検疫処理結果を上記管理サーバから通信装置により受信する検疫処理結果受信部とを備え、
送信元端末が不正な端末でないと上記検疫処理結果受信部が受信した検疫処理結果が示す場合、上記応答指示部は接続要求に対して応答するように送信先端末へ指示する
ことを特徴とする請求項1記載のネットワーク監視装置。 The network monitoring device further includes:
When the quarantine determination unit determines that the transmission source terminal is not quarantined, a quarantine processing instruction unit that instructs a quarantine process of the transmission source terminal to the management server by a processing device;
A quarantine process in which the communication server receives from the management server a quarantine process result indicating whether the transmission source terminal is an unauthorized terminal, which is a result of the quarantine process instructed by the quarantine process instruction unit. A result receiving unit,
When the quarantine processing result received by the quarantine processing result receiving unit indicates that the transmission source terminal is not an unauthorized terminal, the response instruction unit instructs the transmission destination terminal to respond to the connection request. The network monitoring apparatus according to claim 1.
上記応答指示部は、上記送信先端末が検疫済でないと上記検疫判定部が判定した場合、接続要求に対して応答するように送信先端末へ指示しない
ことを特徴とする請求項1記載のネットワーク監視装置。 The quarantine determination unit determines whether the transmission destination terminal is quarantined based on the quarantine determination information stored in the quarantine determination information storage unit,
The network according to claim 1, wherein the response instruction unit does not instruct the transmission destination terminal to respond to a connection request when the quarantine determination unit determines that the transmission destination terminal is not quarantined. Monitoring device.
上記ネットワーク監視装置は、さらに、
上記接続要求が監視ネットワークに接続された端末から送信されたか否かを判定するネットワーク判定部と、
上記接続要求に含まれる送信元端末のアドレスが上記監視ネットワークのアドレスであるか否かを処理装置により判定するアドレス判定部とを備え、
上記接続要求が監視ネットワークに接続された端末から送信されたと上記ネットワーク判定部が判定し、かつ、上記接続要求に含まれる送信元端末のアドレスが上記監視ネットワークのアドレスでないと上記アドレス判定部が判定した場合、上記応答指示部は、接続要求に対して応答するように送信先端末へ指示しない
ことを特徴とする請求項1記載のネットワーク監視装置。 The connection request receiving unit receives a connection request including an address of a transmission source terminal,
The network monitoring device further includes:
A network determination unit for determining whether or not the connection request is transmitted from a terminal connected to the monitoring network;
An address determination unit that determines whether or not the address of the transmission source terminal included in the connection request is an address of the monitoring network by a processing device;
The network determination unit determines that the connection request is transmitted from a terminal connected to the monitoring network, and the address determination unit determines that the address of the transmission source terminal included in the connection request is not the address of the monitoring network. 2. The network monitoring device according to claim 1, wherein the response instruction unit does not instruct the transmission destination terminal to respond to the connection request.
ことを特徴とする請求項2記載のネットワーク監視装置。 When the quarantine processing result received by the quarantine processing result receiving unit indicates that the transmission source terminal is an unauthorized terminal, the response instruction unit instructs to respond to a decoy terminal different from the transmission destination terminal. The network monitoring device according to claim 2, characterized in that:
監視ネットワーク以外で安全なネットワークをホワイトリストとして記憶装置に記憶するホワイトリスト記憶部と、
上記接続要求が監視ネットワークに接続された端末から送信されたか否かを判定するネットワーク判定部と、
上記接続要求が監視ネットワークでないネットワークに接続された端末から送信されたと上記ネットワーク判定部が判定した場合、上記ホワイトリスト記憶部が記憶したホワイトリストに基づき、上記接続要求を送信した端末が接続されたネットワークが安全なネットワークであるか否かを判定するホワイトリスト判定部とを備え、
上記接続要求を送信した端末が接続されたネットワークが安全なネットワークでないと上記ホワイトリスト判定部が判定した場合、上記応答指示部は、接続要求に対して応答するように送信先端末へ指示しない
ことを特徴とする請求項1記載のネットワーク監視装置。 The network monitoring device further includes:
A whitelist storage unit for storing a safe network other than the monitoring network as a whitelist in the storage device;
A network determination unit for determining whether or not the connection request is transmitted from a terminal connected to the monitoring network;
When the network determination unit determines that the connection request is transmitted from a terminal connected to a network that is not a monitoring network, the terminal that transmitted the connection request is connected based on the white list stored in the white list storage unit. A white list determination unit that determines whether or not the network is a secure network,
When the whitelist determination unit determines that the network to which the terminal that transmitted the connection request is connected is not a secure network, the response instruction unit does not instruct the destination terminal to respond to the connection request The network monitoring device according to claim 1.
端末は、
接続要求を受信しても応答しないように制御する端末制御部を備え、
ネットワーク監視装置は、
監視ネットワークに接続された送信先端末宛の接続要求を通信装置により受信する接続要求受信部と、
端末が検疫済か否かを示す検疫判定情報を記憶装置に記憶する検疫判定情報記憶部と、
上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、上記接続要求受信部が受信した接続要求の送信元の端末である送信元端末が検疫済か否かを処理装置により判定する検疫判定部と、
上記送信元端末が検疫済であると上記検疫判定部が判定した場合、接続要求に対して応答するように送信先端末へ処理装置により指示する応答指示部とを備え、
上記端末制御部は、上記応答指示部から接続要求に対して応答するように指示された場合に、接続要求に対して応答するように制御する
ことを特徴とする検疫システム。 In a quarantine system comprising a terminal connected to a monitoring network and a network monitoring device for monitoring the monitoring network,
The terminal
Provided with a terminal control unit that controls not to respond even when a connection request is received,
Network monitoring device
A connection request receiver for receiving a connection request addressed to a destination terminal connected to the monitoring network by the communication device;
A quarantine determination information storage unit that stores quarantine determination information indicating whether or not the terminal is quarantined in a storage device;
Based on the quarantine determination information stored in the quarantine determination information storage unit, the quarantine determination unit determines whether the transmission source terminal that is the transmission source terminal of the connection request received by the connection request reception unit is quarantined by the processing device. When,
When the quarantine determination unit determines that the transmission source terminal is quarantined, a response instruction unit that instructs the transmission destination terminal by the processing device to respond to the connection request,
The quarantine system, wherein the terminal control unit controls to respond to a connection request when instructed by the response instruction unit to respond to the connection request.
上記ネットワーク監視装置は、さらに、
上記送信元端末が検疫済でないと上記検疫判定部が判定した場合、管理サーバへ上記送信元端末の検疫処理の指示を処理装置により行う検疫処理指示部を備え、
管理サーバは、
上記検疫処理指示部の指示を受け、端末が監視ネットワークのセキュリティポリシーに合致しない不正な端末であるか否かを処理装置により判定する検疫処理実施部と、
上記検疫処理実施部が判定した結果である検疫処理結果を通信装置により送信する検疫処理結果送信部とを備え、
上記ネットワーク監視装置は、さらに、
上記検疫処理結果送信部が送信した検疫処理結果を通信装置により受信する検疫処理結果受信部を備え、
送信元端末が不正な端末でないと上記検疫処理結果受信部が受信した検疫処理結果が示す場合、上記応答指示部は、送信先端末を応答するように指示する
ことを特徴とする請求項7記載の検疫システム。 The quarantine system further includes a management server,
The network monitoring device further includes:
When the quarantine determination unit determines that the transmission source terminal is not quarantined, a quarantine processing instruction unit that instructs the management server to perform a quarantine process of the transmission source terminal to the management server,
The management server
A quarantine processing execution unit that receives an instruction from the quarantine processing instruction unit and determines whether the terminal is an unauthorized terminal that does not match the security policy of the monitoring network;
A quarantine processing result transmission unit that transmits a quarantine processing result, which is a result determined by the quarantine processing execution unit, through a communication device;
The network monitoring device further includes:
A quarantine processing result receiving unit for receiving the quarantine processing result transmitted by the quarantine processing result transmitting unit by a communication device;
8. The response instructing unit instructs the destination terminal to respond when the quarantine processing result received by the quarantine processing result receiving unit indicates that the transmission source terminal is not an unauthorized terminal. Quarantine system.
端末が検疫済か否かを示す検疫判定情報を記憶装置に記憶する検疫判定情報記憶部と、
上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、上記接続要求受信部が受信した接続要求の送信元の端末である送信元端末が検疫済か否かを処理装置により判定する検疫判定部と、
上記送信元端末が検疫済であると上記検疫判定部が判定した場合、ARP Requestに対してARP Replyを出力するように、送信先端末を処理装置により指示する応答指示部と
を備えることを特徴とするセキュアゲートウェイ。 A connection request received by a communication device that receives an ARP Request addressed to a destination terminal that is connected to the monitoring network and does not output an ARP Reply to the ARP Request unless instructed by the secure gateway even when receiving an ARP (Address Resolution Protocol) Request And
A quarantine determination information storage unit that stores quarantine determination information indicating whether or not the terminal is quarantined in a storage device;
Based on the quarantine determination information stored in the quarantine determination information storage unit, the quarantine determination unit determines whether the transmission source terminal that is the transmission source terminal of the connection request received by the connection request reception unit is quarantined by the processing device. When,
A response instructing unit for instructing the destination terminal by the processing device so as to output an ARP reply to the ARP request when the quarantine determining unit determines that the source terminal is quarantined. Secure gateway.
記憶装置に記憶した端末が検疫済か否かを示す検疫判定情報に基づき、送信元端末が検疫済か否かを処理装置により判定する検疫判定処理と、
上記送信元端末が検疫済であると上記検疫判定処理で判定した場合、接続要求に対して応答するように送信先端末を処理装置により指示する応答指示処理と
をコンピュータに実行させることを特徴とするネットワーク監視プログラム。 A connection request reception process for receiving a connection request addressed to a transmission destination terminal that does not respond to a connection request even if a response instruction is received even if a connection request is received from the transmission source terminal, via a network;
Based on quarantine determination information indicating whether or not the terminal stored in the storage device is quarantined, the processing device determines whether or not the transmission source terminal is quarantined,
When the quarantine determination process determines that the transmission source terminal is quarantined, the computer executes a response instruction process for instructing the transmission destination terminal by a processing device to respond to a connection request. Network monitoring program.
処理装置が、記憶装置に上記検疫判定情報記憶ステップで記憶した端末が検疫済か否かを示す検疫判定情報に基づき、送信元端末が検疫済か否かを判定する検疫判定ステップと、
処理装置が、上記送信元端末が検疫済であると上記検疫判定ステップで判定した場合、接続要求に対して応答するように送信先端末を指示する応答指示ステップと
を備えることを特徴とするネットワーク監視方法。 A connection request receiving step for receiving, via the network, a connection request addressed to a transmission destination terminal that does not respond to the connection request even if the communication device receives a connection request from the transmission source terminal unless a response instruction is given; ,
A quarantine determination step for determining whether or not the transmission source terminal is quarantined based on quarantine determination information indicating whether or not the terminal stored in the storage device in the quarantine determination information storage step is quarantined;
A processing apparatus, comprising: a response instruction step for instructing a transmission destination terminal to respond to a connection request when it is determined in the quarantine determination step that the transmission source terminal has been quarantined. Monitoring method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006233255A JP4745922B2 (en) | 2006-08-30 | 2006-08-30 | Network monitoring apparatus, quarantine system, secure gateway, network monitoring program, and network monitoring method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006233255A JP4745922B2 (en) | 2006-08-30 | 2006-08-30 | Network monitoring apparatus, quarantine system, secure gateway, network monitoring program, and network monitoring method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008060766A true JP2008060766A (en) | 2008-03-13 |
JP4745922B2 JP4745922B2 (en) | 2011-08-10 |
Family
ID=39243042
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006233255A Expired - Fee Related JP4745922B2 (en) | 2006-08-30 | 2006-08-30 | Network monitoring apparatus, quarantine system, secure gateway, network monitoring program, and network monitoring method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4745922B2 (en) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009225046A (en) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | Communication jamming apparatus and communication jamming program |
JP2009225045A (en) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | Communication jamming apparatus and communication jamming program |
JP2010118745A (en) * | 2008-11-11 | 2010-05-27 | Sumitomo Electric System Solutions Co Ltd | Quarantine control device, quarantine controlling computer program, communication jamming method, terminal device, agent computer program, computer program set, and incorrect learning processing method |
JP2011039850A (en) * | 2009-08-12 | 2011-02-24 | Nomura Research Institute Ltd | Communication agent and quarantine network system |
JP2012034129A (en) * | 2010-07-29 | 2012-02-16 | Pfu Ltd | Management server, communication interruption device, information processing system, method and program |
JP2012080216A (en) * | 2010-09-30 | 2012-04-19 | Nec Corp | Quarantine apparatus, quarantine system, quarantine method and program |
JP2013046214A (en) * | 2011-08-24 | 2013-03-04 | Mitsubishi Electric Corp | Quarantine system, gateway device, facility equipment, and facility lan implementation method |
KR101585342B1 (en) * | 2014-09-30 | 2016-01-14 | 한국전력공사 | Apparatus and method for detecting abnormal behavior |
US10356113B2 (en) | 2016-07-11 | 2019-07-16 | Korea Electric Power Corporation | Apparatus and method for detecting abnormal behavior |
JP2019160126A (en) * | 2018-03-16 | 2019-09-19 | デジタルア−ツ株式会社 | Information processing device, information processing program, recording medium, and information processing method |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09214550A (en) * | 1996-01-30 | 1997-08-15 | Fujitsu Ltd | Repeater system |
JP2002142004A (en) * | 2000-10-31 | 2002-05-17 | Toshiba Corp | Communication device |
JP2006050152A (en) * | 2004-08-03 | 2006-02-16 | Toshiba Corp | Information communication system, information communication method, packet transfer apparatus, packet transfer program, packet transfer method, defense object terminal, defense object program, and defense object method |
JP2006109101A (en) * | 2004-10-05 | 2006-04-20 | Ntt Docomo Inc | Mobile communication method, mobile communication system, session controller and origination terminal |
-
2006
- 2006-08-30 JP JP2006233255A patent/JP4745922B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09214550A (en) * | 1996-01-30 | 1997-08-15 | Fujitsu Ltd | Repeater system |
JP2002142004A (en) * | 2000-10-31 | 2002-05-17 | Toshiba Corp | Communication device |
JP2006050152A (en) * | 2004-08-03 | 2006-02-16 | Toshiba Corp | Information communication system, information communication method, packet transfer apparatus, packet transfer program, packet transfer method, defense object terminal, defense object program, and defense object method |
JP2006109101A (en) * | 2004-10-05 | 2006-04-20 | Ntt Docomo Inc | Mobile communication method, mobile communication system, session controller and origination terminal |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009225046A (en) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | Communication jamming apparatus and communication jamming program |
JP2009225045A (en) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | Communication jamming apparatus and communication jamming program |
JP2010118745A (en) * | 2008-11-11 | 2010-05-27 | Sumitomo Electric System Solutions Co Ltd | Quarantine control device, quarantine controlling computer program, communication jamming method, terminal device, agent computer program, computer program set, and incorrect learning processing method |
JP2011039850A (en) * | 2009-08-12 | 2011-02-24 | Nomura Research Institute Ltd | Communication agent and quarantine network system |
JP2012034129A (en) * | 2010-07-29 | 2012-02-16 | Pfu Ltd | Management server, communication interruption device, information processing system, method and program |
US9444821B2 (en) | 2010-07-29 | 2016-09-13 | Pfu Limited | Management server, communication cutoff device and information processing system |
JP2012080216A (en) * | 2010-09-30 | 2012-04-19 | Nec Corp | Quarantine apparatus, quarantine system, quarantine method and program |
JP2013046214A (en) * | 2011-08-24 | 2013-03-04 | Mitsubishi Electric Corp | Quarantine system, gateway device, facility equipment, and facility lan implementation method |
KR101585342B1 (en) * | 2014-09-30 | 2016-01-14 | 한국전력공사 | Apparatus and method for detecting abnormal behavior |
US10356113B2 (en) | 2016-07-11 | 2019-07-16 | Korea Electric Power Corporation | Apparatus and method for detecting abnormal behavior |
JP2019160126A (en) * | 2018-03-16 | 2019-09-19 | デジタルア−ツ株式会社 | Information processing device, information processing program, recording medium, and information processing method |
Also Published As
Publication number | Publication date |
---|---|
JP4745922B2 (en) | 2011-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4745922B2 (en) | Network monitoring apparatus, quarantine system, secure gateway, network monitoring program, and network monitoring method | |
KR102181185B1 (en) | System and method for providing secure network connection to devices | |
US10282548B1 (en) | Method for detecting malware within network content | |
US8539582B1 (en) | Malware containment and security analysis on connection | |
JP4746393B2 (en) | Method, system, and apparatus for isolating software distribution over a network from outside malicious intrusions | |
CN106797375B (en) | Behavior detection for malware agents | |
KR102364445B1 (en) | System for controlling network access based on controller and method of the same | |
US10509904B2 (en) | USB attack protection | |
US20170331842A1 (en) | Sdn controller | |
US20100071065A1 (en) | Infiltration of malware communications | |
JP6256773B2 (en) | Security system | |
KR102379720B1 (en) | System for controlling data flow in virtualization terminal and method of the same | |
KR102407136B1 (en) | System for controlling network access based on controller and method of the same | |
JP2008054204A (en) | Connection device, terminal device, and data confirmation program | |
US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
JP7166969B2 (en) | Router attack detection device, router attack detection program, and router attack detection method | |
JP2020119596A (en) | Log analysis system, analysis device, analysis method, and analysis program | |
US11159533B2 (en) | Relay apparatus | |
JP6635029B2 (en) | Information processing apparatus, information processing system, and communication history analysis method | |
JP6911723B2 (en) | Network monitoring device, network monitoring method and network monitoring program | |
JP7444596B2 (en) | information processing system | |
JP6286314B2 (en) | Malware communication control device | |
WO2023079731A1 (en) | Dos attack countermeasure device and dos attack countermeasure program | |
JP7067187B2 (en) | Communication control device, communication control method, and program | |
JP2006222662A (en) | Illegal-access preventive system, method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090414 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101222 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110111 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110222 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110322 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110413 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110510 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110512 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140520 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |