JP2008278357A - 通信回線切断装置 - Google Patents
通信回線切断装置 Download PDFInfo
- Publication number
- JP2008278357A JP2008278357A JP2007121574A JP2007121574A JP2008278357A JP 2008278357 A JP2008278357 A JP 2008278357A JP 2007121574 A JP2007121574 A JP 2007121574A JP 2007121574 A JP2007121574 A JP 2007121574A JP 2008278357 A JP2008278357 A JP 2008278357A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- state
- network interface
- switch
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】異常な通信が発生した場合にネットワーク回線を電気的に切断することでコンピュータをネットワークから完全に隔離すると共に、異常な通信が収束した場合に即座に回線を接続することが可能な通信回線切断装置を提供することを課題とする。
【解決手段】通信回線切断装置7に、カウンタ71によってカウントされたパケット数が異常通信を検出するための閾値を超えている場合にネットワークインターフェースを切断状態へ切り換え、ネットワークインターフェースが切断状態である間は、カウンタ71によってカウントされたパケット数が異常通信の終了を検出するための閾値を下回った場合にネットワークインターフェースを接続状態へ切り換える、ブレークスイッチ73およびブレークスイッチ制御部72を備えた。
【選択図】図1
【解決手段】通信回線切断装置7に、カウンタ71によってカウントされたパケット数が異常通信を検出するための閾値を超えている場合にネットワークインターフェースを切断状態へ切り換え、ネットワークインターフェースが切断状態である間は、カウンタ71によってカウントされたパケット数が異常通信の終了を検出するための閾値を下回った場合にネットワークインターフェースを接続状態へ切り換える、ブレークスイッチ73およびブレークスイッチ制御部72を備えた。
【選択図】図1
Description
本発明は、コンピュータ間通信に用いられる通信回線を切断状態とすることでコンピュータを保護する通信回線切断装置に関する。
従来、複数の通信ポートのうち何れかを通じて受け付けたパケット信号に基づいて、所定の判別基準に従って異常アクセスか否かを判定し、異常事象が検出されない場合に、パケット信号を転送するスイッチングハブ装置がある。
特開2006−135950号公報
従来、外部からの攻撃等、異常な通信が検出された場合に、パケットの転送を停止し、ネットワークやコンピュータを保護する技術は多く用いられている。しかし、受信したパケットをソフトウェア制御によって廃棄する等の従来の手法では、パケット廃棄に伴う処理でコンピュータのリソースが使い切られてしまうことがあるという問題や、電気的には通信可能な状態であるために、システムへの侵入を許してしまう可能性が残るといった問題がある。このため、ネットワークやコンピュータが攻撃を受けている、またはそのコンピュータから異常なトラフィックが発生している、等の問題が発生した場合に最も安全且つ確実な対処方法として行われているのが、コンピュータからネットワーク回線を引き抜く(無線通信の場合は、無線ユニットを取り外す)ことである。
ネットワーク回線を引き抜くことによって、ネットワークとコンピュータを物理的に完全に隔離することが可能である。しかし、この対処方法を用いた場合、問題の原因が解消された場合や、異常な通信が収束した場合にも、人手によってネットワーク回線を再接続する必要があるため、即座にサービスを再開することが出来ない。
本発明は、上記した問題に鑑み、異常な通信が発生した場合にネットワーク回線を電気的に切断(break)することでコンピュータをネットワークから完全に隔離すると共に、前記異常な通信が収束した場合に即座に回線を接続することが可能な通信回線切断装置を提供することを課題とする。
本発明は、上記した課題を解決するために、以下の構成を採用した。即ち、本発明は、コンピュータのネットワークインターフェースを介して行われる通信に係る通信状態を取得する取得部と、前記ネットワークインターフェースを、電気的に接続された接続状態から電気的に切断された切断状態へ切り換え、および前記切断状態から前記接続状態へ切り換えるスイッチ部と、前記取得部によって取得された前記通信状態が、異常通信を検出するための異常検出条件に合致するか否かを判定し、該異常検出条件に合致すると判定された場合に、前記ネットワークインターフェースを前記切断状態へ切り換えるよう前記スイッチ部を制御するスイッチ制御部と、を備え、前記スイッチ制御部は、前記ネットワークインターフェースが切断状態である場合に、前記取得部によって取得された前記通信状態が、前記異常通信の終了を検出するための復帰条件に合致するか否かを判定し、該復帰条件に合致すると判定された場合に、前記ネットワークインターフェースを前記接続状態へ切り換えるよう前記スイッチ部を制御する、通信回線切断装置である。
ここで、通信状態とは、ネットワークインターフェースを通過する通信の単位時間当た
りのデータサイズやパケット数等の通信量、またはネットワークインターフェースを通過する通信に含まれる情報(データ)である。一般に、通信量の単位としてはbps(bits per second)やpps(packets per second)等が用いられるが、その他の単位が用いられてもよい。通信に含まれる情報には、例えばパケットに含まれるユーザデータの他に、ヘッダ情報も含まれるものとする。
りのデータサイズやパケット数等の通信量、またはネットワークインターフェースを通過する通信に含まれる情報(データ)である。一般に、通信量の単位としてはbps(bits per second)やpps(packets per second)等が用いられるが、その他の単位が用いられてもよい。通信に含まれる情報には、例えばパケットに含まれるユーザデータの他に、ヘッダ情報も含まれるものとする。
スイッチ制御部によって参照される異常検出条件は、取得された通信状態が、保護対象のコンピュータやネットワークの処理能力を超えるパケットを送りつけることでコンピュータやネットワークをサービス提供不能とするDoS(Denial of Service)攻撃や、悪意あるプログラムを含む内容、またはシステム侵入の試み等の異常な通信であるか否かを判定するための条件である。本発明に拠れば、取得された通信状態が異常検出条件に合致した場合に、スイッチ制御部がスイッチ部を制御してネットワークインターフェースを切断状態とすることで、従来のパケット廃棄等による通信遮断よりも確実かつ消費リソースの少ない方法で保護対象のコンピュータを保護することが可能となる。
また、スイッチ制御部は、ネットワークインターフェースが切断状態である間も、通信状態を監視し、復帰条件に合致した場合に、スイッチ制御部を制御してネットワークインターフェースを接続状態とする。ここで、復帰条件とは、異常検出条件によって検出された異常通信が収束したか否かを判定するための条件である。このようにすることで、従来、ネットワークインターフェースを切断した場合には、異常な通信が収束した場合にも、人手によってネットワーク回線を再接続する必要があったところ、本発明に拠れば、即座に回線を接続し、サービスの提供を再開することが出来る。
また、本発明に係る通信回線切断装置において、前記取得部は、前記ネットワークインターフェースの物理層において、前記通信状態を取得してもよい。
通信回線の切断は、上記した異常な通信を遮断する目的で行われるものであるため、異常検出後、検出された異常な通信に係るパケット等が通過してしまう前に回線が切断されることが好ましい。本発明に拠れば、ネットワークインターフェースの物理層から通信状態を取得することで、異常の検出から回線の切断までの時間を短縮し、異常な通信に係るパケット等が通過する前に回線を切断することを可能としている。
また、本発明に係る通信回線切断装置は、前記ネットワークインターフェースを介して受信されたパケットを一時的に蓄積し、蓄積されたパケットの送信タイミングを調整することで通信の流量を制御する流量制御部を更に備えてもよい。
流量制御部を備えることで、通信量が大量ではあるが、送信タイミングを制御することでコンピュータのリソースを使い切ってしまう状況は回避可能な程度である場合には流量制御を行い、通信量が破壊的といえるほど大量である場合には回線を切断する、2段階の対処を行うことが可能となる。このような2段階の対処とすることで、一時的または偶発的な通信量の増加をDoS攻撃等と誤認し、誤ってネットワークインターフェースを切断状態としてしまうことを防止することが出来る。
また、本発明に係る通信回線切断装置において、前記スイッチ部は、前記ネットワークインターフェースを介して接続された他のコンピュータによって、該ネットワークインターフェースは通信可能であると認識された状態が維持されるように、前記ネットワークインターフェースを前記切断状態へ切り換え、前記取得部は、前記ネットワークインターフェースが前記切断状態にある場合に、前記ネットワークインターフェースを通信可能であると認識する前記他のコンピュータより送信された通信に係る前記通信状態を取得してもよい。
通常、コンピュータからネットワーク回線を引き抜く等の、電気的に通信を遮断する対処をとった場合、このコンピュータに接続された他のコンピュータは、回線の状態に基づいてこのコンピュータとの通信は不可能であると判断し、パケット等の送信を中止する。そこで本発明に係る通信回線切断装置は、他のコンピュータがこのネットワークインターフェースについて通信可能と認識した状態が維持されるように、ネットワークインターフェースを切断状態へ切り換える。これによって、異常な通信に係るパケット等がコンピュータまたはネットワーク内に侵入または転送されてしまうことを防止しつつ、切断状態にある間も通信状態を監視し、復帰条件に合致するか否かを判定することが可能となる。また、切断状態でも他のコンピュータは通信可能であると認識するため、復帰(再接続)時に、他のコンピュータに復帰を認識させるための処理や、通信再開までにかかるタイムラグが不要である。
更に、本発明は、コンピュータが実行する方法、又はコンピュータに実行させるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
本発明によって、異常な通信が発生した場合にネットワーク回線を電気的に切断することでコンピュータをネットワークから完全に隔離すると共に、前記異常な通信が収束した場合に即座に回線を接続することが可能な通信回線切断装置を提供することが可能となる。
本発明に係る通信回線切断装置を備えたコンピュータの実施の形態について、図面に基づいて説明する。
<第一の実施形態>
図1は、本実施形態における通信回線切断装置を備えたスイッチングハブ(レイヤ2スイッチ)の構成の概要を示す図である。本実施形態に係るスイッチングハブ1は、IEEE802.3ネットワークにおけるMAC(Media Access Control)層において通信を中継する4ポートのスイッチングハブ1であり、CPU(Central Processing Unit)11と、主記憶装置としてのRAM(Random Accesss Memory)12と、補助記憶装置としてのEEPROM(Electrically Erasable Programmable ROM)13と、L2制御チップ14とを有する。
図1は、本実施形態における通信回線切断装置を備えたスイッチングハブ(レイヤ2スイッチ)の構成の概要を示す図である。本実施形態に係るスイッチングハブ1は、IEEE802.3ネットワークにおけるMAC(Media Access Control)層において通信を中継する4ポートのスイッチングハブ1であり、CPU(Central Processing Unit)11と、主記憶装置としてのRAM(Random Accesss Memory)12と、補助記憶装置としてのEEPROM(Electrically Erasable Programmable ROM)13と、L2制御チップ14とを有する。
CPU11は、RAM12等に展開されたプログラムを解釈、実行することで、スイッチングハブ1を管理する。また、CPU11は、図示しないユーザインターフェースを介して入力された設定をL2制御チップ14へ入力することで、L2制御チップ14の設定を行う。なお、ユーザインターフェースとしては、シリアルインターフェースを介して提供されるコマンドラインインターフェースや、LANに接続されたポートを介して提供されるグラフィカルインターフェース等が提供される。但し、ユーザインターフェースは提供されなくともよいし、提供される場合も、ユーザによって設定や管理が可能なインターフェースが提供されていればよく、その方法は問わない。また、ユーザインターフェースを介して設定された内容は、EEPROM13によって記憶される。
L2制御チップ14は、ポート(ネットワークインターフェース)ごとに設けられた、物理層における通信を制御する物理層インターフェース15−1〜15−4(以降、ポート番号に関係なく、何れかの物理層インターフェースを示す場合は、符号15を付す。)と、MAC層における通信を制御するMAC層インターフェース16−1〜16−4(以降、ポート番号に関係なく、何れかのMAC層インターフェースを示す場合は、符号16を付す。)とを有し、更に、何れかのポートにおいて受信されたパケットのMACヘッダを参照して転送先を決定し、転送先のポートへ出力するパケット制御部17と、通信状態を監視して異常な量の通信を検出した場合に、該当するポートを切断状態とする通信回線切断装置7と、を有する。
物理層インターフェース15−1〜15−4およびMAC層インターフェース16−1〜16−4は、通信回線を介して対向する(直接接続された)他のコンピュータから電気信号を受信してビット列に変換し、パケット制御部17からビット列として与えられた情報を電気信号に変換して対向する他のコンピュータに送信する。また、コリジョン制御を初めとするIEEE802.3規格に準拠した通信制御を行い、受信した情報をパケットとしてMACヘッダごとパケット制御部17へ出力する。
パケット制御部17は、各ポートの先に接続された他のコンピュータのMACアドレスと、そのコンピュータが接続されたポート番号とを対応付けて管理するMACアドレステーブルを保持する。その上で、パケット制御部17は、MAC層インターフェース16−1〜16−4より出力されたパケットを受け付け、MACヘッダ中の宛先MACアドレス基にMACアドレステーブルを参照して、パケットを送出するポートを決定する。送出ポート決定後、パケット制御部17は、決定されたポートのMAC層インターフェース16へパケットを出力する。
通信回線切断装置7は、カウンタ71と、ポートごとに設けられたブレークスイッチ73−1〜73−4(以降、ポート番号に関係なく、何れかのブレークスイッチを示す場合は、符号73を付す。)と、ブレークスイッチ制御部72と、ポートごとに設けられた流量制御部74−1〜74−4(以降、ポート番号に関係なく、何れかの流量制御部を示す場合は、符号74を付す。)とを備える。カウンタ71は、本発明の取得部に相当し、MAC層インターフェース16−1〜16−4よりMAC層インターフェース16−1〜16−4において受信されたパケットの数を取得することで、ポートごとの単位時間当り通信量(本実施形態では、パケット数)を取得する。ここで、通信量は、pps(packets per second)等の一般に用いられる単位で取得されてもよいし、独自に設定された単位時間当りの通信量が取得されることとしてもよい。
ブレークスイッチ73−1〜73−4は、本発明のスイッチ部に相当し、ブレークスイッチ制御部72によって制御されることで、MAC層インターフェース16とパケット制御部17との間において、ネットワークインターフェースを、電気的に接続された状態である接続状態と、電気的に切断された状態である切断状態との何れかの状態へ切り替える。また、ブレークスイッチ73−1〜73−4は、ポートごとに設けられているため、ポートごとに切断状態と接続状態との切替を行うことが可能である。このため、異常通信が検出されたポートのみを切断することで、切断されたポートを除く他のポート間では互いに通信を行うことが出来る。例えば、ポート1が切断状態となっても、ポート2、3、4は夫々通信が可能である。更に、ブレークスイッチ73−1〜73−4は、切断状態であっても、切断に係るポートに接続された他のコンピュータからMAC層インターフェース16までは電気的に接続された状態が維持されるように切断を行う。このようにすることで、切断状態であっても、他のコンピュータにパケットを送信させ、カウンタ71にパケット数をカウントさせることが可能となる。
ブレークスイッチ制御部72は、本発明のスイッチ制御部に相当し、カウンタ71によって取得された通信量を、予め設定された異常検出用閾値(異常検出条件)と比較することで、コンピュータまたはネットワークの処理能力を超える異常な量のパケットが発生しているか否かを判定する。ここで、異常検出用閾値には、経験的にDoS攻撃等の異常通信であると判断してよいパケット数が設定される。更に、ブレークスイッチ制御部72は、この判定結果に基づいてブレークスイッチ73を制御し、ポートを切断状態とする。
また、カウンタ71は、ポートが切断状態である間も、通信量を取得する。そして、ブレークスイッチ制御部72は、カウンタ71によって取得された通信量を、予め設定された収束検出用閾値(復帰条件)と比較することで、異常通信が収束しているか否かを判定し、収束したと判定された場合、ブレークスイッチ73を制御して、ポートを接続状態とする。即ち、本実施形態における通信回線切断装置7では、回線の切断後も通信状態を監視し、切断の原因となった異常が収束した場合、切断した回線を再び接続する。なお、異常通信の収束を確実に検出するため、本実施形態では、収束検出用閾値には異常検出用閾値よりも低い値が設定されているものとする。但し、収束検出用閾値は必ずしも異常検出用閾値よりも低い値である必要はなく、実施の形態、設置されるネットワークの特性等に基づいて適宜最適な設定値が選択されることが好ましい。
流量制御部74−1〜74−4は、受信されたパケットを一時的に保持するためのバッファメモリと、バッファメモリからパケットを読み出して出力するタイミングを制御するタイミング制御部とを有することで、簡易的な流量制御装置として機能する。即ち、本実施形態に係るスイッチングハブ1は、ブレークスイッチ制御部72と流量制御部74とを備えることで、大量のパケットが発生する問題に対する2段階の対処方法を提供する。一時的または偶発的なパケット量の増加であったり、大量ではあるがDoS攻撃等の悪意ある攻撃とは判断できない程度のパケット量であったりする場合には、流量制御部74によってパケットの転送間隔を調整する対処が行われる。持続的なパケット量の増加や、悪意ある攻撃と判断できる程度のパケットが発生した場合には、流量制御部74によってパケットの転送間隔を調整したとしても、コンピュータまたはネットワークのリソースが使い切られてしまうことを防止できないため、ブレークスイッチ制御部72によって、回線が切断状態へ切り替えられる対処が行われる。なお、バッファメモリおよびタイミング制御部については図示を省略する。また、上記2段階の制御とするために、異常検出用閾値は、流量制御が開始されるパケット数より大きい値に設定されることが好ましい。
図2は、本実施形態に係るスイッチングハブ1が設置されるネットワークの構成の一例を示す図である。本実施形態に係るネットワークは、IEEE802.3ネットワークであり、スイッチングハブ1、サーバ3、パーソナルコンピュータ2が接続されることで構成されたLAN4である。また、LAN4は、ゲートウェイ6を介してインターネット5に接続されている。図中、スイッチングハブ1の各ポートに付されている数字は、ポート番号である。なお、図中では全て有線回線として記載されているが、適宜無線回線が選択されてもよい。
このようなネットワークを、通信回線切断装置7を有するスイッチングハブ1を用いて構成することで、インターネット5からサーバ3に対してDoS攻撃等の大量のトラフィックを伴う攻撃が行われたり、ウイルス等のマルウェア(malware)に感染したパーソナルコンピュータ2から大量の電子メールが送信されたりといった事態に対処し、問題のトラフィックをスイッチングハブ1において遮断することが可能となる。また、大量のトラフィックの発生と同時に通信回線が切断され、トラフィックの収束と同時に通信回線が接続されるため、問題解決後、サーバ3は即座にサービスの提供を再開することが可能である。
また、インターネット5よりDoS攻撃等を受けた場合にも、ゲートウェイ6が接続されたポート1のみ切断状態とすることで、他のパーソナルコンピュータ2およびサーバ3が接続されたポート2〜4を接続状態とすることが可能である。このため、パーソナルコンピュータ2およびサーバ3は、互いに通信を行うことが可能である。
なお、本実施形態では、通信回線切断装置7が設けられるコンピュータはスイッチングハブ1であるが、通信回線切断装置7を設けることが可能なコンピュータは、スイッチングハブ1に限定されない。例えば、ルータやレイヤ3スイッチに設けてもよいし、サーバ、パーソナルコンピュータ等のNICやマザーボードに内蔵することで、直接これらのコンピュータを保護することとしてもよい。また、図2にはIEEE802.3ネットワークが示されているが、通信回線切断装置7を備えるコンピュータが接続されるネットワークはIEEE802.3ネットワークに限定されない。例えば、ATMネットワークや、リング型のネットワークに適用することも可能である。
図3は、本実施形態に係る通信回線切断/接続処理の流れを示すフローチャートである。本フローチャートに示された処理は、スイッチングハブ1の電源投入後、通信回線切断装置7によって、ユーザによる設定で有効化されている(即ち、通信を行っている)ポートごとに実行される。なお、初期状態で、ブレークスイッチ73は接続状態となっている。
ステップS101では、通信量が取得される。カウンタ71は、MAC層インターフェース16より、MAC層インターフェース16によって受信されたパケットの数を取得する。より具体的には、カウンタ71は、MAC層インターフェース16よりパケット数を取得して積算するカウンタ71であって、積算されたカウンタ71の値は所定の単位時間ごとにリセット(0で初期化)される。即ち、リセット直前にカウンタ71が示す値が、単位時間当たりの通信量である。但し、通信量を取得するための具体的な方法は、その他の方法が採用されてもよい。その後、処理はステップS102へ進む。
ステップS102では、カウンタ71によって取得された通信量が判定される。ブレークスイッチ制御部72は、カウンタ71によって取得された通信量と、予め設定された異常検出用閾値とを比較することで、異常な通信の有無を判定する。なお、本実施形態では、異常検出用閾値と通信量とを比較して、通信量が異常検出用閾値を上回った場合に異常通信が発生していると判定するが、判定方法はこの方法に限定されない。例えば、異常検出用閾値以上の通信量が所定時間以上持続することを、異常通信を判定する条件としてもよい。このようにすることで、異常検出の確実性が向上する。異常通信が発生していると判定された場合、処理はステップS103へ進む。異常通信が発生していないと判定された場合、処理はステップS101へ進む。即ち、異常通信が発生していない通常の状態において、ステップS101およびS102に示す処理が繰り返されることによって、DoS攻撃等の有無が監視される。
なお、本実施形態では、DoS攻撃等の大量のトラフィックを伴う攻撃からシステムを保護することを主な目的としているため、通信量に基づいて判定を行っているが、MAC層インターフェース16より通信内容を取得して、コンピュータウイルス検出ソフトウェアにおいて従来使用されているウイルス定義ファイルや、IDS(Intrusion Detection System)において従来使用されている攻撃パターン定義ファイル等と比較し、異常通信を検出することとしてもよい。
ステップS103では、ポートが切断状態へ切り替わる。ブレークスイッチ制御部72は、ステップS102において異常な通信が検出されたことを受けて、ブレークスイッチ73を制御し、ポートを切断状態へ切り替える。ポートが切断状態へ切り替わることによ
って、MAC層インターフェース16と、フィルタ部およびパケット制御部17とが電気的に切断され、異常な通信に係るパケットがパケット制御部17へ侵入することを防止出来る。
って、MAC層インターフェース16と、フィルタ部およびパケット制御部17とが電気的に切断され、異常な通信に係るパケットがパケット制御部17へ侵入することを防止出来る。
ステップS104では、通信量が取得される。ポートが切断状態へ切り替わった場合でも、本実施形態における物理層インターフェース15およびMAC層インターフェース16は、該当ポートに接続された他のコンピュータから電気的に通信可能であると認識され、他のコンピュータより送信されたパケットを受信する。このため、切断状態へ切り替わった場合でも、カウンタ71は、他のコンピュータから送信されるパケットに係る通信情報を取得することが可能である。カウンタ71は、MAC層インターフェース16よりMAC層インターフェース16によって受信されたパケットの数を取得する。具体的な処理については、ステップS101において説明した処理と概略同様であるため、説明を省略する。その後、処理はステップS105へ進む。
ステップS105では、カウンタ71によって取得された通信量が判定される。ブレークスイッチ制御部72は、カウンタ71によって取得された通信量と、予め設定された収束検出用閾値とを比較することで、DoS攻撃等の収束を検出する。なお、本実施形態では、収束検出用閾値と通信量とを比較して、通信量が収束検出用閾値を下回った場合に異常通信が収束したと判定するが、判定方法はこの方法に限定されない例えば、収束検出用閾値未満の通信量が所定時間以上持続することを、異常通信の収束を判定する条件としてもよい。異常通信が収束したと判定された場合、処理はステップS106へ進む。異常通信が収束していないと判定された場合、処理はステップS104へ進む。即ち、異常通信が収束していない状態において、ステップS104およびS105に示す処理が繰り返されることによって、異常な通信の収束が監視される。
ステップS106では、ポートが接続状態へ切り替わる。ブレークスイッチ制御部72は、ステップS105において異常通信の収束が検出されたことを受けて、ブレークスイッチ73を制御し、ポートを接続状態へ切り替える。ポートが接続状態へ切り替わることによって、MAC層インターフェース16と、フィルタ部およびパケット制御部17とが電気的に接続され、該当するポートを介した通信が再開される。
本実施形態に拠れば、DoS攻撃等の異常な量のトラフィックを伴う攻撃等に対し、ポートを電気的に切断することでインターネット5等からの攻撃を完全に遮断すると共に、DoS攻撃等が収束した場合に即座にポートを接続し、サービスの提供を再開することが可能である。
また、本実施形態では、ポートごとに流量制御部74を備え、一時的または偶発的なパケット数の増加に対処することが可能であるため、異常検出用閾値を比較的高めに設定し、異常通信の誤検出による誤切断を回避しつつ、パケット数の増加に対処することが可能となる。
なお、上記実施形態では、MAC層インターフェース16より受信された全ての種類のパケットの数をカウントし、閾値と比較することとしているが、パケットの種類ごとにパケット数をカウントし、パケットの種類ごとにパケット数と閾値とを比較することで、より正確に異常検出を行うこととしてもよい。例えば、単位時間当たりのTCP(Transmission Control Protocol)のSYNパケット数を閾値と比較することとしてもよい。
<第二の実施形態>
図4は、本実施形態における通信回線切断装置7bを備えたスイッチングハブ1bの構
成の概要を示す図である。本実施形態に係るスイッチングハブ1bは、第一の実施形態において説明したスイッチングハブ1と概略同様の構成を有するが、カウンタ71bが、MAC層インターフェース16−1〜16−4ではなく、物理層インターフェース15−1〜15−4よりパケット数を取得してカウントする点で第一の実施形態に係るスイッチングハブ1と異なる。物理層インターフェース15−1〜15−4よりパケット数を取得することで、異常通信の検出速度を向上させ、より早い段階で通信を遮断することが可能となる。具体的には、カウンタ71bは、物理層インターフェース15−1〜15−4において電気信号を監視し、パケット受信を示すパターンを検出することでパケット数をカウントアップする等の方法を採用することで、物理層インターフェース15−1〜15−4において受信パケット数をカウントすることが可能である。
図4は、本実施形態における通信回線切断装置7bを備えたスイッチングハブ1bの構
成の概要を示す図である。本実施形態に係るスイッチングハブ1bは、第一の実施形態において説明したスイッチングハブ1と概略同様の構成を有するが、カウンタ71bが、MAC層インターフェース16−1〜16−4ではなく、物理層インターフェース15−1〜15−4よりパケット数を取得してカウントする点で第一の実施形態に係るスイッチングハブ1と異なる。物理層インターフェース15−1〜15−4よりパケット数を取得することで、異常通信の検出速度を向上させ、より早い段階で通信を遮断することが可能となる。具体的には、カウンタ71bは、物理層インターフェース15−1〜15−4において電気信号を監視し、パケット受信を示すパターンを検出することでパケット数をカウントアップする等の方法を採用することで、物理層インターフェース15−1〜15−4において受信パケット数をカウントすることが可能である。
更に、ブレークスイッチ制御部72における、単位時間当たりのカウント数が所定値を超えたことを検出し、ブレークスイッチ73を切断へ制御する部分をワイヤードロジックで構築する等することで、異常検出から回線切断までの速度を向上させることが出来る。
<第三の実施形態>
図5は、本実施形態における通信回線切断装置7cを備えたバックアップ回線への切替装置8の構成の概要を示す図である。本実施形態に係る切断装置は、物理層インターフェース15c−1〜15c−4を有し、物理層インターフェース15c−1はインターネットやLAN等のクライアント側ネットワークへ、物理層インターフェース15c−2はクライアントへサービスを提供するメインサーバ3mへ、物理層インターフェース15c−3、15c−4はバックアップサーバ3ba、3bbへ接続されているものとする(図6を参照)。
図5は、本実施形態における通信回線切断装置7cを備えたバックアップ回線への切替装置8の構成の概要を示す図である。本実施形態に係る切断装置は、物理層インターフェース15c−1〜15c−4を有し、物理層インターフェース15c−1はインターネットやLAN等のクライアント側ネットワークへ、物理層インターフェース15c−2はクライアントへサービスを提供するメインサーバ3mへ、物理層インターフェース15c−3、15c−4はバックアップサーバ3ba、3bbへ接続されているものとする(図6を参照)。
本実施形態におけるブレークスイッチは、ロータリースイッチ方式のブレークスイッチ73cであり、メインサーバ3mが接続された物理層インターフェース15c−2と物理層インターフェース15c−1とを切断状態とした場合に、バックアップサーバ3ba、3bbが接続された物理層インターフェース15c−3または物理層インターフェース15c−4と物理層インターフェース15c−1とを接続状態とする。即ち、本実施形態に係る切替装置8に拠れば、異常通信が検出された場合に即座にメインサーバ3mへの回線が切断されることでメインサーバ3mを保護し、同時にバックアップサーバ3ba、3bbへの回線に接続されることでサービスの提供を継続することが可能である。
1・・・スイッチングハブ
7・・・通信回線切断装置
8・・・切替装置
14・・・L2制御チップ
15−1〜15−4・・・物理層インターフェース
16−1〜16−4・・・MAC層インターフェース
17・・・パケット制御部
71・・・カウンタ
72・・・ブレークスイッチ制御部
73−1〜73−4・・・ブレークスイッチ
74−1〜74−4・・・流量制御部
7・・・通信回線切断装置
8・・・切替装置
14・・・L2制御チップ
15−1〜15−4・・・物理層インターフェース
16−1〜16−4・・・MAC層インターフェース
17・・・パケット制御部
71・・・カウンタ
72・・・ブレークスイッチ制御部
73−1〜73−4・・・ブレークスイッチ
74−1〜74−4・・・流量制御部
Claims (4)
- コンピュータのネットワークインターフェースを介して行われる通信に係る通信状態を取得する取得部と、
前記ネットワークインターフェースを、電気的に接続された接続状態から電気的に切断された切断状態へ切り換え、および前記切断状態から前記接続状態へ切り換えるスイッチ部と、
前記取得部によって取得された前記通信状態が、異常通信を検出するための異常検出条件に合致するか否かを判定し、該異常検出条件に合致すると判定された場合に、前記ネットワークインターフェースを前記切断状態へ切り換えるよう前記スイッチ部を制御するスイッチ制御部と、
を備え、
前記スイッチ制御部は、前記ネットワークインターフェースが切断状態である場合に、前記取得部によって取得された前記通信状態が、前記異常通信の終了を検出するための復帰条件に合致するか否かを判定し、該復帰条件に合致すると判定された場合に、前記ネットワークインターフェースを前記接続状態へ切り換えるよう前記スイッチ部を制御する、
通信回線切断装置。 - 前記取得部は、前記ネットワークインターフェースの物理層において、前記通信状態を取得する、
請求項1に記載の通信回線切断装置。 - 前記ネットワークインターフェースを介して受信されたパケットを一時的に蓄積し、蓄積されたパケットの送信タイミングを調整することで通信の流量を制御する流量制御部を更に備える、
請求項1または請求項2に記載の通信回線切断装置。 - 前記スイッチ部は、前記ネットワークインターフェースを介して接続された他のコンピュータによって、該ネットワークインターフェースは通信可能であると認識された状態が維持されるように、前記ネットワークインターフェースを前記切断状態へ切り換え、
前記取得部は、前記ネットワークインターフェースが前記切断状態にある場合に、前記ネットワークインターフェースを通信可能であると認識する前記他のコンピュータより送信された通信に係る前記通信状態を取得する、
請求項1から請求項3の何れかに記載の通信回線切断装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007121574A JP2008278357A (ja) | 2007-05-02 | 2007-05-02 | 通信回線切断装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007121574A JP2008278357A (ja) | 2007-05-02 | 2007-05-02 | 通信回線切断装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008278357A true JP2008278357A (ja) | 2008-11-13 |
Family
ID=40055745
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007121574A Pending JP2008278357A (ja) | 2007-05-02 | 2007-05-02 | 通信回線切断装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008278357A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014217123A (ja) * | 2013-04-24 | 2014-11-17 | 日新電機株式会社 | ディジタル形保護継電器 |
| JP2015231138A (ja) * | 2014-06-05 | 2015-12-21 | 日本電信電話株式会社 | サイバー攻撃演習システム、演習環境提供方法、および、演習環境提供プログラム |
| JP2016143963A (ja) * | 2015-01-30 | 2016-08-08 | 株式会社デンソー | 車載通信システム |
| JP2016220213A (ja) * | 2015-05-22 | 2016-12-22 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | プラントセキュリティシステムにおける構成可能なロバスト性エージェント |
| JP2018207467A (ja) * | 2017-06-02 | 2018-12-27 | 株式会社三菱Ufj銀行 | 通信経路制御システム |
| CN113079158A (zh) * | 2021-04-01 | 2021-07-06 | 南京微亚讯信息科技有限公司 | 一种基于深度学习的网络大数据安全防护方法 |
-
2007
- 2007-05-02 JP JP2007121574A patent/JP2008278357A/ja active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014217123A (ja) * | 2013-04-24 | 2014-11-17 | 日新電機株式会社 | ディジタル形保護継電器 |
| JP2015231138A (ja) * | 2014-06-05 | 2015-12-21 | 日本電信電話株式会社 | サイバー攻撃演習システム、演習環境提供方法、および、演習環境提供プログラム |
| JP2016143963A (ja) * | 2015-01-30 | 2016-08-08 | 株式会社デンソー | 車載通信システム |
| JP2016220213A (ja) * | 2015-05-22 | 2016-12-22 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | プラントセキュリティシステムにおける構成可能なロバスト性エージェント |
| US11363035B2 (en) | 2015-05-22 | 2022-06-14 | Fisher-Rosemount Systems, Inc. | Configurable robustness agent in a plant security system |
| JP2018207467A (ja) * | 2017-06-02 | 2018-12-27 | 株式会社三菱Ufj銀行 | 通信経路制御システム |
| CN113079158A (zh) * | 2021-04-01 | 2021-07-06 | 南京微亚讯信息科技有限公司 | 一种基于深度学习的网络大数据安全防护方法 |
| CN113079158B (zh) * | 2021-04-01 | 2022-01-11 | 南京微亚讯信息科技有限公司 | 一种基于深度学习的网络大数据安全防护方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9749011B2 (en) | Physical unidirectional communication apparatus and method | |
| KR100952350B1 (ko) | 지능망 인터페이스 컨트롤러 | |
| US20140325648A1 (en) | Attack Defense Method and Device | |
| JP5305045B2 (ja) | スイッチングハブ及び検疫ネットワークシステム | |
| JP2007006054A (ja) | パケット中継装置及びパケット中継システム | |
| KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
| JP2006243878A (ja) | 不正アクセス検知システム | |
| JP2008278357A (ja) | 通信回線切断装置 | |
| EP2079196A1 (en) | Method for protecting a network configuration set up by a spanning tree protocol | |
| US20050180421A1 (en) | Source address-fabricated packet detection unit, source address-fabricated packet detection method, and source address-fabricated packet detection program | |
| US10834125B2 (en) | Method for defending against attack, defense device, and computer readable storage medium | |
| WO2016139910A1 (ja) | 通信システム、通信方法、及びプログラムを格納した非一時的なコンピュータ可読媒体 | |
| JP6923809B2 (ja) | 通信制御システム、ネットワークコントローラ及びコンピュータプログラム | |
| JP2008054204A (ja) | 接続装置及び端末装置及びデータ確認プログラム | |
| US20130081131A1 (en) | Communication system, communication device, server, and communication method | |
| JP4620070B2 (ja) | トラヒック制御システムおよびトラヒック制御方法 | |
| JP2008276457A (ja) | ネットワーク保護プログラム、ネットワーク保護装置およびネットワーク保護方法 | |
| JP2007259223A (ja) | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム | |
| JP2003152806A (ja) | 通信路のスイッチ接続制御システム | |
| US11159533B2 (en) | Relay apparatus | |
| JP2008178100A (ja) | コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム | |
| JP7028543B2 (ja) | 通信システム | |
| JP5879223B2 (ja) | ゲートウェイ装置、ゲートウェイシステムおよび計算機システム | |
| US10616094B2 (en) | Redirecting flow control packets | |
| JP4421462B2 (ja) | 不正侵入検知システムおよび管理装置 |