JP2011223256A - 通信監視装置、方法およびプログラム - Google Patents

通信監視装置、方法およびプログラム Download PDF

Info

Publication number
JP2011223256A
JP2011223256A JP2010089567A JP2010089567A JP2011223256A JP 2011223256 A JP2011223256 A JP 2011223256A JP 2010089567 A JP2010089567 A JP 2010089567A JP 2010089567 A JP2010089567 A JP 2010089567A JP 2011223256 A JP2011223256 A JP 2011223256A
Authority
JP
Japan
Prior art keywords
communication
guidance
guiding
target device
monitoring device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010089567A
Other languages
English (en)
Other versions
JP5420465B2 (ja
Inventor
Kazuhiro Koide
和弘 小出
Shinya Imamura
慎哉 今村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PFU Ltd
Original Assignee
PFU Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PFU Ltd filed Critical PFU Ltd
Priority to JP2010089567A priority Critical patent/JP5420465B2/ja
Priority to US12/906,452 priority patent/US8897142B2/en
Publication of JP2011223256A publication Critical patent/JP2011223256A/ja
Application granted granted Critical
Publication of JP5420465B2 publication Critical patent/JP5420465B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】通信監視装置への通信の誘導が困難な情報処理装置であっても、情報処理装置に係る通信を制限することを課題とする。
【解決手段】通信監視装置20において、検疫対象ノード90からの通信を通信監視装置20に誘導する、第一通信誘導部23と、他の情報処理装置からの検疫対象ノード90に対する通信を通信監視装置20に誘導する、第二通信誘導部24と、通信監視装置20を宛先とする通信を受信する送受信部25と、検疫対象ノード90からの通信監視装置20を宛先とする通信が受信された場合に、第一通信誘導部23による誘導が成功していると判断する誘導成功判断部26と、第一通信誘導部23による誘導が成功していると判断された場合に、第二通信誘導部24による通信の誘導を解除する通信誘導解除部28と、を備えた。
【選択図】図3

Description

本発明は、ネットワークを介して接続された情報処理装置による通信を監視する通信監視装置に関する。
従来、受信したARP(Address Resolution Protocol)要求パケットの送信元端末が検疫前の状態である場合に、自装置のMAC(Media Access Control)アドレスを応答することで、検疫前の端末からのパケットを自装置に誘導するネットワーク監視装置がある(特許文献1を参照)。
また、第1のコンピュータに記録された第2のコンピュータの通信アドレスを対策機器の通信アドレスに変更し、第2のコンピュータに記録された第1のコンピュータの通信アドレスを対策機器の通信アドレスに変更することで、コントロール対象コンピュータの通信サービスを制限する対策機器がある(特許文献2を参照)。
特開2008−271242号公報 特許第4082613号公報
従来、ネットワークに情報処理装置を参加させる場合に、参加する情報処理装置の環境(主にセキュリティ関連の環境が所定のセキュリティポリシーを満たしているか否か)を確認して、所定の条件を満たす場合にのみネットワークへの参加を許可する「検疫」や、ネットワークにおける通信のキャプチャ、制限、リダイレクト等、ネットワーク上の通信を監視し、状況に応じて制限する技術が用いられている。そして、このような通信の監視または制限を行うために、対象となる情報処理装置(以下、「対象装置」とも称する)からの通信を通信監視装置に誘導する技術が用いられており、例えば、対象装置に対して、この対象装置が通信を行いたい装置の物理アドレスとして通信監視装置の物理アドレスを通知することで、対象装置からの通信を通信監視装置に誘導する技術がある。
しかし、ネットワークに接続された情報処理装置の種類によっては、通信の誘導を行うことが出来ない場合がある。例えば、ネットワークに参加する情報処理装置を検疫等するために、誘導先の物理アドレスを通知することによる通信の誘導をしようとした場合にも、誘導用の通信を不正な通信と認識してしまい、正常な検疫等を受けることが出来ない情報処理装置がある。このような情報処理装置がネットワークに接続された場合、未検疫の状態で内部ネットワークや外部ネットワークとの通信が可能となるおそれがあり、ネットワークのセキュリティを低下させる可能性がある。
本発明は、上記した問題に鑑み、通信監視装置への通信の誘導が困難な情報処理装置であっても、該情報処理装置に係る通信を制限することを課題とする。
本発明は、以下の構成を備えることで、上記した課題を解決することとした。即ち、本発明は、ネットワークにおける情報処理装置による通信を監視する通信監視装置であって、前記情報処理装置のうちの対象装置からの通信を該通信監視装置に誘導する、第一の通
信誘導手段と、前記対象装置以外の情報処理装置からの該対象装置に対する通信を該通信監視装置に誘導する、第二の通信誘導手段と、該通信監視装置を宛先とする通信を受信する受信手段と、前記受信手段によって、前記対象装置からの該通信監視装置を宛先とする通信が受信された場合に、前記第一の通信誘導手段による誘導が成功していると判断する誘導成功判断手段と、前記誘導成功判断手段によって、前記第一の通信誘導手段による誘導が成功していると判断された場合に、前記第二の通信誘導手段による通信の誘導を解除する通信誘導解除手段と、を備える通信監視装置である。
本発明において、対象装置とは、通信の監視や制限の対象となる情報処理装置であり、本発明に係る通信監視装置は、対象装置に係る通信を、通信監視装置に誘導する。しかし、上述の通り、情報処理装置の種類によっては、通信の誘導を行うことが出来ず、内部ネットワークや外部ネットワークとの間で通信を行うことが可能なものがある。そこで、本発明では、対象装置以外の情報処理装置からの対象装置に対する通信を、通信監視装置に誘導することで、対象装置からの通信の誘導に成功しなかった場合であっても、対象装置に係る通信を制限することを可能とした。
更に、本発明では、対象装置からの通信監視装置を宛先とする通信が受信された場合に、対象装置に対する通信誘導が成功していると判断し、対象装置以外の情報処理装置に対する通信誘導を解除することとした。これによって、対象装置に対する通信誘導が成功している場合には不要な他の装置に対する通信誘導を行わず、リソースを節約するとともに、対象装置の検疫が完了する等して対象装置による通信が許可された場合に、即座に内部ネットワークおよび外部ネットワークとの通信を行わせることが可能となる。
また、本発明において、前記第一の通信誘導手段は、前記対象装置に対して、他の装置の物理アドレスとして該通信監視装置の物理アドレスを通知することで、該対象装置からの通信を該通信監視装置に誘導し、前記誘導成功判断手段は、前記受信手段によって、前記対象装置からの該通信監視装置の物理アドレスを宛先とする通信が受信された場合に、前記第一の通信誘導手段による誘導が成功していると判断してもよい。
対象装置に係る通信を、通信監視装置に誘導する具体的な方法としては、通信を誘導したい端末に対して、誘導先の物理アドレスを通知する方法があるが、通信の誘導には、その他の方法が採用されてもよい。また、物理アドレスを通知する方法としては、ARPが知られているが、通知に用いられるパケットは、ARP要求パケット(GARPパケットを含む)であってもよいし、ARP応答パケットであってもよい。このことは、以下に説明する第二の通信誘導手段による通信誘導についても同様である。
また、本発明において、前記第二の通信誘導手段は、前記対象装置以外の情報処理装置に対して、前記対象装置の物理アドレスとして該通信監視装置の物理アドレスを通知することで、前記対象装置以外の情報処理装置からの該対象装置に対する通信を該通信監視装置に誘導し、前記通信誘導解除手段は、前記対象装置以外の情報処理装置に対して、前記対象装置の物理アドレスを通知することで、前記第二の通信誘導手段による通信の誘導を解除してもよい。
また、本発明において、前記第二の通信誘導手段は、前記対象装置と外部ネットワークとの間の通信を仲介する通信仲介装置に対して、前記対象装置の物理アドレスとして該通信監視装置の物理アドレスを通知することで、該通信仲介装置によって仲介される、該外部ネットワークからの該対象装置に対する通信を該通信監視装置に誘導し、前記通信誘導解除手段は、前記通信仲介装置に対して、前記対象装置の物理アドレスを通知することで、前記第二の通信誘導手段による通信の誘導を解除してもよい。
即ち、第二の通信誘導手段によって通信誘導が行われる装置は、ネットワーク内の対象装置以外の情報処理装置であってもよいし、ルータやゲートウェイ等の通信仲介装置であってもよい。ルータやゲートウェイ等の通信仲介装置に対して通信誘導を行う場合には、これらの通信仲介装置によって通信が仲介される外部ネットワークからの通信を、まとめて誘導することが出来る。
また、本発明に係る通信監視装置は、前記第一の通信誘導手段による誘導に対する応答が所定の条件に従って受信されない場合に、前記第一の通信誘導手段による誘導が失敗していると判断する誘導失敗判断手段を更に備え、前記第二の通信誘導手段は、前記誘導失敗判断手段によって前記第一の通信誘導手段による誘導が失敗していると判断された場合に、前記対象装置以外の情報処理装置からの該対象装置に対する通信を該通信監視装置に誘導してもよい。
上記説明した通り、対象装置によっては、当該対象装置が備える通信内容の分析機能等により、第一の通信誘導手段による当該対象装置に対する通信誘導が失敗する場合がある。このため、本発明では、第一の通信誘導手段による通信誘導に対する、対象装置からの応答が所定の条件に従って受信されているか否かを判定することによって、第一の通信誘導手段による通信誘導の失敗を判断し、失敗したと判断された場合に、第二の通信誘導手段による、他の情報処理装置に対する通信誘導を行い、当該対象装置に係る通信を制限することとした。ここで、所定の条件とは、第一の通信誘導手段による通信誘導が成功しているか否かを判定するために設定される条件であり、例えば、通信誘導のための物理アドレスの通知等に対する応答率や、応答の有無、応答の内容、等が所定の条件として設定されてよい。これによって、第二の通信誘導手段による不必要な通信誘導を避けつつ、対象装置に係る通信を制限することが出来る。
また、本発明において、前記第一の通信誘導手段は、前記対象装置からの通信を定期的に該通信監視装置に誘導してもよい。
第一の通信誘導手段による通信誘導(具体的には、例えば物理アドレスの通知)を定期的に行うことで、定期的に通信誘導の失敗を判断し、時機に応じて第二の通信誘導手段による通信誘導を行うことが出来る。
また、本発明に係る通信監視装置は、前記誘導された通信の少なくとも一部を転送しないことで、前記対象装置に係る通信の少なくとも一部を遮断する通信遮断手段を更に備えてもよい。
ここで、通信の遮断とは、何らかの方法を用いて情報処理装置による通信を行わせないことを指す。通信を遮断する方法としては、他の情報処理装置から送信されたパケット等を横取りし、遮断の対象となる通信を転送しないことで通信を遮断する方法の他、通信を物理的に遮断する方法等、様々な方法が採用されてよい。
更に、本発明は、コンピュータが実行する方法、又はコンピュータに実行させるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
本発明によれば、通信監視装置への通信の誘導が困難な情報処理装置であっても、該情
報処理装置に係る通信を制限することが可能となる。
実施形態に係る検疫システムの構成を示す概略図である。 実施形態に係るネットワーク監視装置のハードウェア構成を示す図である。 実施形態に係るネットワーク監視装置の機能構成の概略を示す図である。 実施形態に係る通信誘導処理の流れを示すフローチャートである。 実施形態に係る定期誘導処理の流れを示すフローチャートである。 実施形態に係る通信誘導解除処理の流れを示すフローチャートである。 実施形態に係る通信遮断処理の流れを示すフローチャートである。
以下、本発明に係る通信監視装置を含む検疫システム1の実施の形態について、図面に基づいて説明する。但し、本発明に係る通信監視装置は、検疫を行わないシステムにおいても、通信の監視または制限を行うために用いることが出来る。
<システムの構成>
図1は、本実施形態に係る検疫システム1の構成を示す概略図である。本実施形態に係る検疫システム1は、検疫対象となる情報処理装置90(以下、「検疫対象ノード90」と称する)が接続されるネットワークセグメント2と、ルータ10を介してネットワークセグメント2と通信可能に接続されている業務サーバ50および検疫サーバ30と、を備える。そして、ネットワークセグメント2には、検疫が完了していない検疫対象ノード90による通信を遮断するためのネットワーク監視装置20が接続されている。
なお、ネットワーク監視装置20は、本発明に係る通信監視装置に相当し、ルータ10は、本発明に係る通信仲介装置に相当する。また、業務サーバ50は、検疫対象ノード90に対して業務のためのサービスを提供し、検疫サーバ30は、ネットワークセグメント2に接続された検疫対象ノード90に対して検疫サービスを提供する。
なお、本実施形態に係る検疫システム1では、検疫対象ノード90から接続される各種サーバは、インターネットや広域ネットワークを介して遠隔地において接続されたものであり、例えばASP(Application Service Provider)によって提供されるが、これらのサーバは、必ずしも遠隔地に接続されたものである必要はない。例えば、これらのサーバは、検疫対象ノード90やネットワーク監視装置20が存在するローカルネットワーク上に接続されていてもよい。
図2は、本実施形態に係るネットワーク監視装置20のハードウェア構成を示す図である。なお、図2においては、ネットワーク監視装置20以外の構成(ルータ10、検疫サーバ30、検疫対象ノード90、および業務サーバ50等)については、図示を省略している。ネットワーク監視装置20は、CPU(Central Processing Unit)11、RAM(Random Access Memory)13、ROM(Read Only Memory)12、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14、NIC(Network Interface Card)15等の通信ユニット、等を備えるコンピュータである。
図3は、本実施形態に係るネットワーク監視装置20の機能構成の概略を示す図である。ネットワーク監視装置20は、記憶装置14に記録されているプログラムが、RAM13に読み出され、CPU11によって実行されることで、通信遮断部21と、リダイレク
ト部22と、第一通信誘導部23と、第二通信誘導部24と、送受信部25と、誘導成功判断部26と、誘導失敗判断部27と、通信誘導解除部28と、を備える通信監視装置として機能する。なお、本実施形態では、通信監視装置の備える各機能は、汎用プロセッサであるCPU11によって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
なお、以下に説明する本実施形態に係る処理において、第一通信誘導部23および第二通信誘導部24は、誘導対象の装置のアクセスリストに正しい通信相手から通知されたMACアドレスが保持されることを防止するため、誘導用のMACアドレスを、時間をおいて複数回通知してもよい。複数回通知する場合の回数および時間間隔は、実施の形態に応じて適宜設定されることが好ましい。
<処理の流れ>
次に、本実施形態に係るネットワーク監視装置20によって実行される処理の流れを、フローチャートを用いて説明する。
図4は、本実施形態に係る通信誘導処理の流れを示すフローチャートである。本実施形態に係る通信誘導処理は、上記説明した検疫システム1において、ユーザの検疫対象ノード90が、ネットワークセグメント2に参加したことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
ステップS101およびステップS102では、未検疫の検疫対象ノード90の接続検出に伴って、検疫対象ノード90からの通信がネットワーク監視装置20に誘導される。ネットワークに参加した検疫対象ノード90は、自身のIPアドレスと重複するIPアドレスを有する端末がネットワーク内に存在するか否かを確認するために、GARP(Gratuitous ARP)パケットをブロードキャスト送信する。なお、GARPパケットとは、自装置(即ち、この場合は送信元の検疫対象ノード90)のIPアドレスを有する端末のMACアドレスを問合せるARPパケットであり、検疫対象ノード90は、他の装置からGARPに対する応答があった場合、ネットワークセグメント2内にIPアドレスが重複する他の端末が存在すると判断する。ネットワーク監視装置20は、検疫対象ノード90からブロードキャスト送信されたGARPパケットを受信すると、ネットワークに新たな端末が参加したと判断する(ステップS101)。
ネットワーク監視装置20は、GARPパケットの送信元の検疫対象ノード90のMACアドレスを、ネットワーク監視装置20によって保持されている検疫済み端末のMACアドレスと比較する等の方法で、GARPパケットの送信元の検疫対象ノード90が、検疫済みの端末であるか否かを判定する。そして、ネットワーク監視装置20の第一通信誘導部23は、GARPパケットの送信元が未検疫の検疫対象ノード90(本発明の対象装置に相当する)である場合、この検疫対象ノード90に対して、ルータ10のIPアドレスに対応するMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するARPのアドレス解決要求(以下、「ARP要求」と称する)を送信する(ステップS102)。即ち、ここでARP要求としてGARPの送信元端末へ通知されるMACアドレスは、デフォルトゲートウェイであるルータ10のMACアドレスを、ネットワーク監視装置20のMACアドレスで偽装するものである。換言すれば、ステップS102において送信されるARP要求は、検疫対象ノード90からの外部ネットワークに対する以降の通信をネットワーク監視装置20に誘導するための、通信誘導用のARP要求である。その後、処理はステップS103へ進む。
ネットワーク監視装置20から送信された通信誘導用のARP要求を受信した未検疫の検疫対象ノード90は、通常、通知された内容、即ち外部ネットワーク(業務サーバ50等)との通信に用いるMACアドレスとしてネットワーク監視装置20のMACアドレスをアドレスリストに登録し、保持する。このため、以降、検疫対象ノード90は、ルータ10を経由する通信(即ち、外部ネットワーク宛の通信)を試みる場合に、偽装されたネットワーク監視装置20のMACアドレス宛にパケットを送信することとなる。そして、ネットワーク監視装置20は、検疫のために必要な通信を除いて、原則として未検疫の検疫対象ノード90から送信されたパケットを転送せずに破棄する。換言すると、上記したような方法によって、ネットワーク監視装置20の通信遮断部21は、未検疫の検疫対象ノード90による通信を遮断する。
但し、検疫対象ノード90によっては、通信内容の整合性分析等を行って、ネットワーク監視装置20から送信された通信誘導用のARP要求を、正しいMACアドレスを通知するものではないと判断し、通知された内容を保持しない場合がある。
ステップS103では、外部ネットワークからの検疫対象ノード90に対する通信がネットワーク監視装置20に誘導される。ネットワーク監視装置20の第二通信誘導部24は、ルータ10に対して、検疫対象ノード90のIPアドレスに対応するMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための、GARPパケットを送信する。即ち、ここでGARPパケットを用いてルータ10へ通知されるMACアドレスは、検疫対象ノード90のMACアドレスを、ネットワーク監視装置20のMACアドレスで偽装するものである。換言すれば、このGARPパケットは、外部ネットワークからルータ10を経由して入ってきた検疫対象ノード90への以降の通信をネットワーク監視装置20に誘導するための、通信誘導用のGARPパケットである。
なお、ステップS103では、ルータ10のみならず、ネットワークセグメント2上の他の情報処理装置に対しても、ルータ10に送信されるものと同様のGARPパケット、即ち、検疫対象ノード90のIPアドレスに対応するMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための、通信誘導用のGARPパケットが送信されてよい。このようにすることで、ネットワークセグメント2上の他の情報処理装置からの通信についても、未検疫の検疫対象ノード90に対する通信をネットワーク監視装置20に誘導することが出来る。
ネットワーク監視装置20から送信された通信誘導用のGARPパケットを受信したルータ10やネットワークセグメント2上の他の情報処理装置は、通常、通知された内容、即ち未検疫の検疫対象ノード90のIPアドレスに対応するMACアドレスとしてネットワーク監視装置20のMACアドレスをアドレスリストに登録し、保持する。このため、以降、ルータ10は、検疫対象ノード90宛の通信が外部ネットワークから入ってきた場合に、偽装されたネットワーク監視装置20のMACアドレス宛にパケットを送信することとなる。また、ネットワークセグメント2上の他の情報処理装置は、検疫対象ノード90に送りたいパケットを、偽装されたネットワーク監視装置20のMACアドレス宛に送信することとなる。そして、ネットワーク監視装置20は、検疫のために必要な通信を除いて、原則として未検疫の検疫対象ノード90に対して送信されたパケットを転送せずに破棄する。換言すると、上記したような方法によって、ネットワーク監視装置20の通信遮断部21は、未検疫の検疫対象ノード90に対する通信を遮断する。その後、処理はステップS104へ進む。
なお、検疫対象ノード90が、IPアドレス重複の確認のためのGARPを送信しない種類の端末である場合、本フローチャートに示されたステップS101からステップS103までの処理は実行されない。このため、検疫対象ノード90の接続検出は、GARP
以外のパケット通信を検出することで行われてもよい。例えば、検疫対象ノード90から送信されたその他のブロードキャストパケットを受信することで検疫対象ノード90の接続を検出してもよいし、NIC15をプロミスキャスモードで動作させることで、ブロードキャストパケットでもネットワーク監視装置20宛のパケットでもないパケットについても取得し、検疫対象ノード90の接続を検出することとしてもよい。
ステップS104およびステップS105では、検疫対象ノード90からの通信検出に伴って、検疫対象ノード90からの通信がネットワーク監視装置20に誘導される。ステップS102における通信誘導が成功している場合、検疫対象ノード90は、外部ネットワークとの通信については、ARP要求を行わず、デフォルトゲートウェイであるルータ10のMACアドレスを宛先MACアドレスに設定して通信を行うが、検疫対象ノード90が通信したい端末がネットワークセグメント2に接続された他の情報処理端末である場合や、ステップS102における通信誘導が失敗している(成功していない)場合には、ネットワークに参加した検疫対象ノード90は、通信したい端末(例えば、業務サーバ50)と通信を行うために、ARP要求をブロードキャスト送信する。そして、ネットワーク監視装置20の送受信部25は、検疫対象ノード90によって送信されたARP要求を受信する(ステップS104)。
ここで、一般的なネットワークであれば、検疫対象ノード90が通信したい端末が、業務サーバ50等の外部ネットワーク(ネットワークセグメント2の外)にある端末である場合には、ルータ10が自身のMACアドレスを通知することとなり、また、検疫対象ノード90が通信したい端末が、ネットワークセグメント2上の情報処理装置である場合には、通信対象の情報処理装置が自身のMACアドレスを通知することとなる。しかし、本実施形態に係るネットワーク構成では、ネットワークセグメント2にはネットワーク監視装置20が接続されており、検疫対象ノード90によって送信されたARP要求が受信されると、ネットワーク監視装置20の第一通信誘導部23は、自身(ネットワーク監視装置20)のMACアドレスを検疫対象ノード90へ通知する(ステップS105)。
本実施形態に係るネットワーク監視装置20では、ネットワーク監視装置20による通信誘導用のMACアドレス通知には、ARP要求が用いられる。即ち、ネットワーク監視装置20の第一通信誘導部23は、検疫対象ノード90に対して、検疫対象ノード90が通信したい端末のIPアドレスに対応するMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための、ARP要求を送信する。即ち、ここでARP要求として検疫対象ノード90へ通知されるMACアドレスは、ネットワークセグメント2内の他の端末のMACアドレスを、ネットワーク監視装置20のMACアドレスで偽装するものである。このため、本実施形態に係るネットワーク監視装置20によれば、未検疫の検疫対象ノード90は、ネットワークセグメント2内の他の端末等のMACアドレスとしてネットワーク監視装置20のMACアドレスをアドレスリストに登録することとなる。換言すれば、ステップS105において送信されるARP要求は、検疫対象ノード90からの内部ネットワーク(ネットワークセグメント2)に対する以降の通信をネットワーク監視装置20に誘導するための、通信誘導用のARP要求である。その後、処理はステップS106へ進む。
なお、本実施形態では、検疫対象ノード90に対してARP要求を送信することで、通信誘導を行うこととしているが、このような方法に代えて、ステップS104で受信されたARP要求に対するARP応答を送信することで、通信誘導を行うこととしてもよい。また、検疫対象ノード90によっては、ネットワーク監視装置20から送信された通信誘導用のARP要求を、正しいMACアドレスを通知するものではないと判断して、通知された内容を保持しない場合があることは、ステップS102において説明した処理と同様である。
ステップS106では、外部ネットワークからの検疫対象ノード90に対する通信がネットワーク監視装置20に誘導される。ネットワーク監視装置20の第二通信誘導部24は、ルータ10に対して、検疫対象ノード90のIPアドレスに対応するMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための、通信誘導用のGARPパケットを送信する。これは、ステップS103において送信されたGARPパケットと同様のパケットである。また、ステップS106においても、ステップS103と同様、ネットワークセグメント2上の他の情報処理装置に対して、ルータ10に送信されるものと同様のGARPパケットが送信されてよい。このようにすることで、ネットワークセグメント2上の他の情報処理装置からの通信についても、未検疫の検疫対象ノード90に対する通信をネットワーク監視装置20に誘導することが出来る。その後、処理はステップS107へ進む。
ステップS107では、ARP応答が受信される。ネットワーク監視装置20の送受信部25は、ステップS105において送信されたARP要求に対するARP応答を受信する。このARP応答は、検疫対象ノード90から送信され、検疫対象ノード90のMACアドレスをネットワーク監視装置20に通知するものであるが、ARP要求に対する応答として送信されていることで、ステップS105において行われた通信誘導が検疫対象ノード90において破棄や遮断等されなかったことの判断の目安となる。なお、ステップS107において検疫対象ノード90からのARP応答が所定の条件に従って受信されない場合(例えば、応答率が閾値以下である場合や、応答がタイムアウト等した場合)、ネットワーク監視装置20は、通信誘導が失敗したと判断してもよい。通信誘導の失敗を判定するための所定の条件については、ステップS202の説明において後述する。その後、本フローチャートに示された処理は終了し、処理は図5を用いて説明する定期誘導処理へ進む。
なお、検疫対象ノード90からのARP応答が受信された場合、通信誘導が成功した可能性があるが、実際に通信誘導用のMACアドレスが検疫対象ノード90のアドレスリストに登録されたことまでは確認できない。但し、実施の形態によっては、検疫対象ノード90からのARP応答が受信されたことをもって、通信誘導が成功したと判断し、図6を用いて後述する通信誘導解除処理を行うこととしてもよい。
図4に示したフローチャートを用いて説明した通信誘導処理以降、未検疫の検疫対象ノード90は、検疫サーバ30による検疫が完了するまで、図5から図7を用いて説明する定期誘導処理、通信誘導解除処理および通信遮断処理の対象となる。なお、検疫サーバ30による検疫が完了した検疫対象ノード90については、MACアドレス等の端末識別情報がネットワーク監視装置20によって保持されることで、検疫済みの端末と認識され、以降、検疫の有効期限が徒過する等の理由で検疫済みのステータスが失われるまで、上記説明した通信誘導処理、および以下に説明する定期誘導処理、通信誘導解除処理および通信遮断処理の対象とはならない。
図5は、本実施形態に係る定期誘導処理の流れを示すフローチャートである。本実施形態に係る定期誘導処理は、図4を用いて説明した通信誘導処理が終了したことを契機として、未検疫の検疫対象ノード90に対して開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
ステップS201では、通信誘導用のARP要求が送信される。ネットワーク監視装置20の第一通信誘導部23は、定期的(例えば、1分毎)に通信誘導用のARP要求を検疫対象ノード90に対して送信する。ここで送信されるARP要求は、ステップS102
において説明したARP要求と同様、ルータ10のIPアドレスに対応するMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するARP要求である。その後、処理はステップS202へ進む。
ステップS202およびステップS203では、ARP応答が所定の条件に従って受信されているか否かが判定され、ARP応答が所定の条件に従って受信されていない場合、他の端末からの検疫対象ノード90に対する通信がネットワーク監視装置20に誘導される。ステップS201において、通信誘導用のARP要求が送信されると、誘導失敗判断部27は、送信されたARP要求に対するARP応答が所定の条件に従って受信されているか否かを判定する(ステップS202)。ここで、所定の条件とは、第一通信誘導部23による通信誘導が成功しているか否かを判定するために設定される条件であり、本実施形態では、250ミリ秒おきに3秒間ARP要求を送信したときの応答率が、予め設定された閾値(例えば50%)より大であること、が所定の条件として設定される。但し、第一通信誘導部23による通信誘導が成功しているか否かを判定するために設定される条件は、実施の形態に応じて適宜設定されることが好ましい。例えば、前記閾値は異なる値であってもよいし、所定の条件として、ARP要求の送信から所定時間内にARP応答が受信されたこと(換言すれば、タイムアウトせずにARP応答が受信されたこと)、等が設定されてもよい。
検疫対象ノード90からのARP応答が所定の条件に従って受信されない場合、誘導失敗判断部27は、通信誘導が失敗したと判断し、第二通信誘導部24は、ルータ10やネットワークセグメント2上の他の情報処理装置等の他の端末に対して、検疫対象ノード90のIPアドレスに対応するMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための、通信誘導用のGARPパケットを送信する(ステップS203)。これは、ステップS103やステップS106において送信されたGARPパケットと同様のパケットである。即ち、第二通信誘導部24は、誘導失敗判断部27によって、第一通信誘導部23による誘導が失敗していると判断された場合に、ルータ10やネットワークセグメント2上の他の情報処理装置等の他の端末からの検疫対象ノード90に対する通信を、ネットワーク監視装置20に誘導する。その後、本フローチャートに示された処理は、定期的(例えば、1分毎)に繰り返される。
本フローチャートを用いて説明した処理によれば、定期的に検疫対象ノード90における通信誘導の有効または無効を判断することで、例えば、セキュリティソフト等による通信内容の整合性分析等の機能(換言すれば、検疫対象ノード90に対する通信誘導の失敗の原因となる機能)が有効化または無効化されていることによる検疫対象ノード90の挙動の変化に応じて、必要な場合にのみ第二通信誘導部24によるルータ10や他の情報処理装置等に対する通信誘導を行い、不要な場合(検疫対象ノード90に対する通信誘導が成功していると考えられる場合)には、第二通信誘導部24によるルータ10や他の情報処理装置等に対する通信誘導を行わないようにすることが出来る。
なお、検疫対象ノード90からのARP応答が受信された場合、通信誘導が成功した可能性があるが、実際に通信誘導用のMACアドレスが検疫対象ノード90のアドレスリストに登録されたことまでは確認できていないため、判断は留保される。但し、実施の形態によっては、検疫対象ノード90からのARP応答が所定の条件に従って受信されたことをもって、通信誘導が成功したと判断し、図6を用いて後述する通信誘導解除処理を行うこととしてもよい。
図6は、本実施形態に係る通信誘導解除処理の流れを示すフローチャートである。本実施形態に係る通信誘導解除処理は、ネットワーク監視装置20の送受信部25によって、未検疫の検疫対象ノード90から、宛先MACアドレスにネットワーク監視装置20のM
ACアドレスが設定されたIPパケットが受信されたことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
ステップS301では、受信パケットの宛先IPアドレスおよび宛先MACアドレス等に基づいて、通信誘導が成功しているか否かが判定される。未検疫の検疫対象ノード90から送信されたパケット(即ち、送信元アドレスが検疫対象ノード90のアドレスであるパケット)が、送受信部25によって受信されると、ネットワーク監視装置20の誘導成功判断部26は、受信されたパケットが、宛先IPアドレスに任意の情報処理装置のIPアドレスが設定され、且つ宛先MACアドレスにネットワーク監視装置20のMACアドレスが設定されたパケットであるか否かを判定する。ここで、任意の情報処理装置とは、例えば、業務用サーバやネットワークセグメント2内の他の情報処理装置等、検疫対象ノード90が通信したい端末である。即ち、本ステップでは、任意の情報処理装置に対する通信が、宛先MACアドレスにネットワーク監視装置20のMACアドレスが設定されて行われていることを確認することで、ステップS102やステップS105において行った通信誘導が有効となっているか否かが判断される。
任意の情報処理装置を宛先とする受信パケットの宛先MACアドレスにネットワーク監視装置20のMACアドレスが設定されている場合、実際に通信誘導用のMACアドレスが検疫対象ノード90のアドレスリストに登録されており、通信誘導が成功していると判断することが出来る。この場合、処理はステップS302へ進む。それ以外の場合、本フローチャートに示された処理は終了する。
ステップS302では、第二通信誘導部24による通信誘導が解除される。第一通信誘導部23による通信誘導が成功していると判断された場合、ネットワーク監視装置20の通信誘導解除部28は、ルータ10やネットワークセグメント2上の他の情報処理装置等の他の端末に対して、検疫対象ノード90のIPアドレスに対応するMACアドレスとして検疫対象ノード90のMACアドレス(即ち、正しいMACアドレス)を通知するための、GARPパケットを送信する。即ち、このGARPパケットは、ステップS103やステップS106において行われた、第二通信誘導部24による通信誘導を解除するための、通信誘導解除用のGARPパケットである。その後、処理はステップS303へ進む。
ステップS303では、通信のリダイレクトが行われる。ネットワーク監視装置20のリダイレクト部22は、通信遮断中の検疫対象ノード90から取得した通信がHTTP(HyperText Transfer Protocol)通信であった場合、HTTPの接続要求に指定された通信相手に拘らず、検疫サーバ30へ接続するようリダイレクトする。検疫対象ノード90は、リダイレクトの要求を受信すると、ネットワーク監視装置20から通知された所定の検疫サーバ30へ接続する。なお、この際、検疫対象ノード90から送信されるパケットの宛先MACアドレスにはネットワーク監視装置20のMACアドレスが設定されているが、ネットワーク監視装置20は、宛先IPアドレスが検疫サーバ30であるパケットについては遮断(パケット破棄)することなく検疫対象ノード90へ転送する。
以後、検疫対象ノード90が未検疫である間、ネットワーク監視装置20は、宛先IPアドレスが検疫サーバ30であるパケットについては転送を行い、それ以外のパケットは転送することなく破棄(通信遮断)する。このような処理によって、検疫対象ノード90は、ネットワークセグメント2のセキュリティを確保しつつ、検疫サービスを受けることが出来る。なお、本実施形態では、パケット転送の要否は宛先IPアドレスを参照するこ
とで判断されるが、その他の方法が採用されてもよい。例えば、宛先IPアドレスに加えて、通信プロトコルの種類やポート番号、URL等を参照して、転送の要否が判断されてもよい。
上記リダイレクト処理によって検疫サーバ30に接続され、検疫サーバ30による検疫が完了すると、以降、検疫対象ノード90は検疫済みとなり、本実施形態において説明された通信の制限が解除され、上記説明した通信誘導処理、定期誘導処理、通信誘導解除処理および以下に説明する通信遮断処理の対象から外される。
また、ネットワーク監視装置20の通信誘導解除部28は、検疫対象ノード90が検疫済となると、検疫済みとなった検疫対象ノード90に対して、偽装されていた宛先(例えば、業務サーバ50や、他の情報処理装置)の正しいMACアドレスを通知し、また、ルータ10やネットワークセグメント2上の端末等に対して、検疫済みとなった検疫対象ノード90の正しいMACアドレスを通知することで、第一通信誘導部23および第二通信誘導部24による通信誘導を解除する。
図7は、本実施形態に係る通信遮断処理の流れを示すフローチャートである。本実施形態に係る通信遮断処理は、ネットワーク監視装置20によって、未検疫の検疫対象ノード90を通信対象とするIPパケットが受信されたことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
検疫対象ノード90は、ネットワーク監視装置20による通信誘導が有効に働いていない場合、業務サーバ50等の他の情報処理端末に対して、正しいIPアドレスおよび正しいMACアドレスを指定して、通信を行う。ここで、正しいMACアドレスとは、通信先がネットワークセグメント2上の端末である場合、通信先端末のMACアドレスであり、通信先が外部ネットワークの端末である場合、デフォルトゲートウェイであるルータ10のMACアドレスである。但し、通信先がネットワークセグメント2上の端末である場合、送信パケットは通信先に到着するが、通信先からの返信パケットは、通信先(例えば、ネットワークセグメント2上の端末等)によって送信される際に、宛先MACアドレスにネットワーク監視装置20のMACアドレスを付されてネットワークセグメント2へ送出される。また、通信がルータ10を経由して行われる場合、送信パケットは通信先(例えば、業務サーバ50等)に到着するが、通信先からの返信パケットは、ルータ10によって仲介される際に、宛先MACアドレスにネットワーク監視装置20のMACアドレスを付されてネットワークセグメント2へ送出される。これは、上述したステップS103およびステップS106における、ルータ10やネットワークセグメント2上の端末等に対する通信誘導が有効に働いているためである。
即ち、本実施形態に係るネットワーク監視装置20によれば、検疫対象ノード90に対する通信誘導が失敗している場合であっても、ルータ10に対する通信誘導が成功していれば、検疫対象ノード90と他の情報処理端末との間の通信のうち、当該他の情報処理端末から検疫対象ノード90に対して送信されたIPパケットを、ネットワーク監視装置20に誘導することが出来る。
ステップS401およびステップS402では、未検疫の検疫対象ノード90に対する返信パケットが受信および破棄されることで、未検疫の検疫対象ノード90に対する通信が遮断される。ネットワーク監視装置20の送受信部25は、ルータ10やネットワークセグメント2上の端末等から送信されたパケット(即ち、送信元MACアドレスがルータ10やネットワークセグメント2上の端末等のMACアドレスであるパケット)を受信す
る(ステップS401)。このパケットは、宛先IPアドレスに未検疫の検疫対象ノード90のIPアドレスが設定されたパケットであるが、ルータ10やネットワークセグメント2上の端末等に対する通信誘導が成功した結果として、これらの装置(ルータ10やネットワークセグメント2上の端末等)によって宛先MACアドレスにネットワーク監視装置20のMACアドレスが設定されているため、ネットワーク監視装置20によって受信される。
そして、ネットワーク監視装置20の通信遮断部21は、通信誘導の結果誘導された、検疫対象ノード90に対するパケットを受信すると、これを検疫対象ノード90に対して転送せず、破棄する(ステップS402)。即ち、本実施形態に係るネットワーク監視装置20によれば、ネットワーク監視装置20への通信の誘導が困難な検疫対象ノード90であっても、検疫対象ノード90に対する他の端末からの通信を遮断することで、検疫対象ノード90に係る通信を制限することが出来る。その後、本フローチャートに示された処理は終了する。
図4から図7に示されたフローチャートを用いて説明した上記実施形態において、通信誘導および通信誘導解除のためのMACアドレスの通知は、ARP要求(GARPを含む)やARP応答等を用いて行われたが、MACアドレスの通知に用いられる方法は、フローチャートを用いて説明した上記実施の形態に限定されない。例えば、ARP要求を用いてMACアドレスを通知していたステップにおいて、ARP応答を用いてMACアドレスを通知することも可能であるし、GARPを用いてMACアドレスを通知していたステップにおいて、通常のARP要求を用いてMACアドレスを通知することも可能である。また、MACアドレスの通知にその他のプロトコルが用いられてもよい。
1 検疫システム
20 ネットワーク監視装置(通信監視装置)
21 通信遮断部
22 リダイレクト部
23 第一通信誘導部
24 第二通信誘導部
25 送受信部
26 誘導成功判断部
27 誘導失敗判断部
28 通信誘導解除部
30 検疫サーバ
90 検疫対象ノード(情報処理装置)

Claims (9)

  1. ネットワークにおける情報処理装置による通信を監視する通信監視装置であって、
    前記情報処理装置のうちの対象装置からの通信を該通信監視装置に誘導する、第一の通信誘導手段と、
    前記対象装置以外の情報処理装置からの該対象装置に対する通信を該通信監視装置に誘導する、第二の通信誘導手段と、
    該通信監視装置を宛先とする通信を受信する受信手段と、
    前記受信手段によって、前記対象装置からの該通信監視装置を宛先とする通信が受信された場合に、前記第一の通信誘導手段による誘導が成功していると判断する誘導成功判断手段と、
    前記誘導成功判断手段によって、前記第一の通信誘導手段による誘導が成功していると判断された場合に、前記第二の通信誘導手段による通信の誘導を解除する通信誘導解除手段と、
    を備える通信監視装置。
  2. 前記第一の通信誘導手段は、前記対象装置に対して、他の装置の物理アドレスとして該通信監視装置の物理アドレスを通知することで、該対象装置からの通信を該通信監視装置に誘導し、
    前記誘導成功判断手段は、前記受信手段によって、前記対象装置からの該通信監視装置の物理アドレスを宛先とする通信が受信された場合に、前記第一の通信誘導手段による誘導が成功していると判断する、
    請求項1に記載の通信監視装置。
  3. 前記第二の通信誘導手段は、前記対象装置以外の情報処理装置に対して、前記対象装置の物理アドレスとして該通信監視装置の物理アドレスを通知することで、前記対象装置以外の情報処理装置からの該対象装置に対する通信を該通信監視装置に誘導し、
    前記通信誘導解除手段は、前記対象装置以外の情報処理装置に対して、前記対象装置の物理アドレスを通知することで、前記第二の通信誘導手段による通信の誘導を解除する、
    請求項1または2に記載の通信監視装置。
  4. 前記第二の通信誘導手段は、前記対象装置と外部ネットワークとの間の通信を仲介する通信仲介装置に対して、前記対象装置の物理アドレスとして該通信監視装置の物理アドレスを通知することで、該通信仲介装置によって仲介される、該外部ネットワークからの該対象装置に対する通信を該通信監視装置に誘導し、
    前記通信誘導解除手段は、前記通信仲介装置に対して、前記対象装置の物理アドレスを通知することで、前記第二の通信誘導手段による通信の誘導を解除する、
    請求項1から3の何れか一項に記載の通信監視装置。
  5. 前記第一の通信誘導手段による誘導に対する応答が所定の条件に従って受信されない場合に、前記第一の通信誘導手段による誘導が失敗していると判断する誘導失敗判断手段を更に備え、
    前記第二の通信誘導手段は、前記誘導失敗判断手段によって前記第一の通信誘導手段による誘導が失敗していると判断された場合に、前記対象装置以外の情報処理装置からの該対象装置に対する通信を該通信監視装置に誘導する、
    請求項1から4の何れか一項に記載の通信監視装置。
  6. 前記第一の通信誘導手段は、前記対象装置からの通信を定期的に該通信監視装置に誘導する、
    請求項5に記載の通信監視装置。
  7. 前記誘導された通信の少なくとも一部を転送しないことで、前記対象装置に係る通信の少なくとも一部を遮断する通信遮断手段を更に備える、
    請求項1から6の何れか一項に記載の通信監視装置。
  8. ネットワークにおける情報処理装置による通信を監視するコンピュータが、
    前記情報処理装置のうちの対象装置からの通信を該コンピュータに誘導する、第一の通信誘導ステップと、
    前記対象装置以外の情報処理装置からの該対象装置に対する通信を該コンピュータに誘導する、第二の通信誘導ステップと、
    該コンピュータを宛先とする通信を受信する受信ステップと、
    前記受信ステップにおいて、前記対象装置からの該コンピュータを宛先とする通信が受信された場合に、前記第一の通信誘導ステップでの誘導が成功していると判断する誘導成功判断ステップと、
    前記誘導成功判断ステップにおいて、前記第一の通信誘導ステップでの誘導が成功していると判断された場合に、前記第二の通信誘導ステップによる通信の誘導を解除する通信誘導解除ステップと、
    を実行する通信監視方法。
  9. ネットワークにおける情報処理装置による通信を監視するコンピュータに、
    前記情報処理装置のうちの対象装置からの通信を該コンピュータに誘導する、第一の通信誘導ステップと、
    前記対象装置以外の情報処理装置からの該対象装置に対する通信を該コンピュータに誘導する、第二の通信誘導ステップと、
    該コンピュータを宛先とする通信を受信する受信ステップと、
    前記受信ステップにおいて、前記対象装置からの該コンピュータを宛先とする通信が受信された場合に、前記第一の通信誘導ステップでの誘導が成功していると判断する誘導成功判断ステップと、
    前記誘導成功判断ステップにおいて、前記第一の通信誘導ステップでの誘導が成功していると判断された場合に、前記第二の通信誘導ステップによる通信の誘導を解除する通信誘導解除ステップと、
    を実行させる通信監視用プログラム。
JP2010089567A 2010-04-08 2010-04-08 通信監視装置、方法およびプログラム Active JP5420465B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2010089567A JP5420465B2 (ja) 2010-04-08 2010-04-08 通信監視装置、方法およびプログラム
US12/906,452 US8897142B2 (en) 2010-04-08 2010-10-18 Communication monitoring device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010089567A JP5420465B2 (ja) 2010-04-08 2010-04-08 通信監視装置、方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2011223256A true JP2011223256A (ja) 2011-11-04
JP5420465B2 JP5420465B2 (ja) 2014-02-19

Family

ID=44761725

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010089567A Active JP5420465B2 (ja) 2010-04-08 2010-04-08 通信監視装置、方法およびプログラム

Country Status (2)

Country Link
US (1) US8897142B2 (ja)
JP (1) JP5420465B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9521113B2 (en) * 2013-03-14 2016-12-13 Mcafee, Inc. Self-configuring local area network security
US10193899B1 (en) * 2015-06-24 2019-01-29 Symantec Corporation Electronic communication impersonation detection

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006050152A (ja) * 2004-08-03 2006-02-16 Toshiba Corp 情報通信システム、情報通信方法、パケット転送装置、パケット転送プログラム、パケット転送方法、防御対象端末、防御対象プログラム及び防御対象方法
JP2006262019A (ja) * 2005-03-16 2006-09-28 Fujitsu Ltd ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置
JP4082613B2 (ja) * 2004-09-06 2008-04-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信サービスを制限するための装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000079765A1 (en) * 1999-06-23 2000-12-28 At & T Wireless Services, Inc. Reverse tunneling methods and apparatus for use with private computer networks
US7979582B2 (en) * 2005-05-30 2011-07-12 Panasonic Corporation Communication device provided with ARP function
JP2008060971A (ja) * 2006-08-31 2008-03-13 Fujitsu Ltd 情報処理システム、情報処理装置、情報処理方法およびプログラム
JP2008271242A (ja) 2007-04-20 2008-11-06 Nippon Telegraph & Telephone East Corp ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
US7991860B2 (en) * 2008-04-07 2011-08-02 Hitachi, Ltd. Method and apparatus for HBA migration

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006050152A (ja) * 2004-08-03 2006-02-16 Toshiba Corp 情報通信システム、情報通信方法、パケット転送装置、パケット転送プログラム、パケット転送方法、防御対象端末、防御対象プログラム及び防御対象方法
JP4082613B2 (ja) * 2004-09-06 2008-04-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信サービスを制限するための装置
JP2006262019A (ja) * 2005-03-16 2006-09-28 Fujitsu Ltd ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置

Also Published As

Publication number Publication date
US8897142B2 (en) 2014-11-25
US20110252128A1 (en) 2011-10-13
JP5420465B2 (ja) 2014-02-19

Similar Documents

Publication Publication Date Title
JP5581141B2 (ja) 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム
JP4503934B2 (ja) サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
JP2008054204A (ja) 接続装置及び端末装置及びデータ確認プログラム
JP4259183B2 (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
JP5398404B2 (ja) 通信遮断装置、サーバ装置、方法およびプログラム
US20190014081A1 (en) Apparatus for supporting communication between separate networks and method for the same
JP2007267151A (ja) 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
JP5420465B2 (ja) 通信監視装置、方法およびプログラム
JP5551061B2 (ja) 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム
JP2008306610A (ja) 不正侵入・不正ソフトウェア調査システム、および通信振分装置
JP2007266931A (ja) 通信遮断装置、通信遮断プログラム
JP6476530B2 (ja) 情報処理装置、方法およびプログラム
JP6766017B2 (ja) 制御装置、通信システム、制御方法及びコンピュータプログラム
JP6870386B2 (ja) マルウェア不正通信対処システム及び方法
JP4677501B2 (ja) 中継装置および中継方法
JP2007264990A (ja) 不正通信の自動通知装置、不正通信の自動通知プログラム
JP2019152912A (ja) 不正通信対処システム及び方法
US11563816B2 (en) Methods for managing the traffic associated with a client domain and associated server, client node and computer program
CN110071905A (zh) 用于提供连接的方法、边界网络以及ip服务器
US10616094B2 (en) Redirecting flow control packets
JP4002276B2 (ja) 不正接続検知システム
Kavisankar et al. T-RAP:(TCP reply acknowledgement packet) a resilient filtering model for DDoS attack with spoofed IP address
JP7363503B2 (ja) 情報処理装置、情報処理方法、および情報処理システム
JP2006320024A (ja) 不正接続検知システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121214

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131009

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131022

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131120

R150 Certificate of patent or registration of utility model

Ref document number: 5420465

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150