JP2013030880A - Quarantine control device, quarantine control computer program and quarantine method - Google Patents
Quarantine control device, quarantine control computer program and quarantine method Download PDFInfo
- Publication number
- JP2013030880A JP2013030880A JP2011164116A JP2011164116A JP2013030880A JP 2013030880 A JP2013030880 A JP 2013030880A JP 2011164116 A JP2011164116 A JP 2011164116A JP 2011164116 A JP2011164116 A JP 2011164116A JP 2013030880 A JP2013030880 A JP 2013030880A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- terminal device
- quarantine
- unit
- grace
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ネットワーク検疫に用いられる検疫制御装置等に関するものである。 The present invention relates to a quarantine control device and the like used for network quarantine.
ネットワーク検疫は、許可のない不正なPC等の端末装置によるネットワークアクセスを排除するものである。このようなネットワーク検疫を行うものとしては、下記特許文献1に記載のものがある。
Network quarantine eliminates network access by unauthorized unauthorized terminal devices such as PCs. There exists a thing of the following
上記の従来技術では、検疫対象の端末装置にインストールされたエージェントプログラムの応答機能によって、検疫制御装置が、通信を妨害して隔離すべき端末装置か否かを判定する。検疫制御装置は、隔離すべき端末装置に対して、通信を妨害するためのデータを送信することで隔離し、ネットワーク検疫を実現している。 In the above-described conventional technology, the quarantine control device determines whether or not the terminal device should be isolated by interfering with communication by using the response function of the agent program installed in the terminal device to be quarantined. The quarantine control device isolates the terminal device to be isolated by transmitting data for interfering with communication, thereby realizing network quarantine.
ここで、端末装置が停止状態から動作状態となる際においては、通常、端末装置のオペレーションシステムが起動してからエージェントプログラムが起動し動作を開始するという手順をとるので、端末装置のオペレーションシステムが起動してから、エージェントプログラムの起動するまでにタイムラグが生じる。 Here, when the terminal device is changed from the stopped state to the operating state, normally, since the operation program of the terminal device is started and then the agent program is started and the operation is started, the operation system of the terminal device is There is a time lag between starting and starting the agent program.
しかし、上記従来技術では、端末装置のエージェントプログラムが動作していなければ、当該エージェントプログラムは検疫制御装置の要求に対して応答できない。
このため、端末装置のオペレーションシステムが起動してから、エージェントプログラムが起動するまでのタイムラグの期間では、エージェントプログラムが動作していないので、当該端末装置がたとえ正常な端末であったとしても、検疫制御装置は隔離すべき端末装置と判定してしまう。
また、端末装置が動作状態から停止状態となる際においても、同様に、エージェントプログラムが終了してから、オペレーションシステムが終了するまでにタイムラグが生じ、このタイムラグの期間では、検疫制御装置は、当該端末装置を隔離すべき端末装置と判定してしまう。
However, in the above prior art, if the agent program of the terminal device is not operating, the agent program cannot respond to the request of the quarantine control device.
For this reason, since the agent program is not operating during the time lag from when the operation system of the terminal device is activated until the agent program is activated, even if the terminal device is a normal terminal, The control device determines that the terminal device should be isolated.
Similarly, when the terminal device is changed from the operating state to the stopped state, a time lag occurs between the end of the agent program and the end of the operation system. During this time lag, the quarantine control device The terminal device is determined as a terminal device to be isolated.
上記のように検疫制御装置が誤って正常な端末装置を隔離すべき端末装置と判定すると、当該端末装置に対して、通信を妨害するためのデータを送信し続けるので、ネットワークに無用な負荷をかけてしまうことになる上、当該正常な端末装置が隔離すべき端末装置として検疫制御装置に登録されてしまうため、このような誤登録を訂正するための管理上の処理や作業が発生してしまう。 If the quarantine control device mistakenly determines that a normal terminal device should be isolated as described above, data for interfering with communication is continuously transmitted to the terminal device. In addition, since the normal terminal device is registered in the quarantine control device as a terminal device to be isolated, administrative processing and work for correcting such erroneous registration occurs. End up.
本発明はこのような事情に鑑みてなされたものであり、通信を妨害すべき端末装置の判定をより適切に行うことができる検疫制御装置、検疫制御コンピュータプログラム、及び検疫方法を提供することを目的とする。 The present invention has been made in view of such circumstances, and provides a quarantine control device, a quarantine control computer program, and a quarantine method that can more appropriately determine a terminal device that should interfere with communication. Objective.
(1)本発明は、ネットワークに接続された端末装置の通信の妨害を行う検疫制御装置であって、前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求部と、前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定部と、前記判定部によって前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を実行する通信妨害部と、前記通信妨害部による妨害処理の実行を所定時間猶予させるための猶予処理部と、を備えていることを特徴としている。 (1) The present invention provides a quarantine control device that interferes with communication of a terminal device connected to a network, wherein the terminal device transmits an inspection result obtained by inspecting an internal state in accordance with a predetermined inspection policy. Whether or not the terminal device satisfies a predetermined condition for the inspection result based on the inspection result transmission requesting unit requested to the device and the response of the terminal device to the inspection result transmission request A determination unit that performs the determination, and a communication disturbing unit that executes a communication disturbing process of the terminal device when the determining unit determines that the terminal is not an acceptable terminal, and the execution of the disturbing process by the communication disturbing unit for a predetermined time And a grace processing unit for grace.
上記のように構成された検疫制御装置によれば、通信妨害部による妨害処理の実行を所定時間猶予させるための猶予処理部を備えているので、検疫対象の端末装置が、例えば、起動中であって未だ応答送信部が動作していない場合にも、所定時間猶予することによって、その後の再度の判定の際には、応答送信部が動作した状態で判定することができる。この結果、合格端末であるにも関わらず、妨害処理の実行対象と判定されてしまうのを防止することができ、通信を妨害すべき端末装置の判定をより適切に行うことができる。 According to the quarantine control device configured as described above, the quarantine target terminal device is running, for example, because it includes a grace processing unit for suspending execution of interference processing by the communication interference unit for a predetermined time. Even when the response transmission unit is not yet operating, it is possible to make a determination in a state where the response transmission unit is operating in the subsequent re-determination by delaying the predetermined time. As a result, it is possible to prevent the terminal device from being determined as an execution target of the interference process even though the terminal is a successful terminal, and to more appropriately determine the terminal device that should interfere with the communication.
(2)(3)上記検疫制御装置において、前記猶予処理部は、前記判定部によって前記端末装置が前記合格端末でないと判定されると、妨害処理の実行を猶予するか否かの判定を行うものであることが好ましい。
さらに、前記妨害処理を猶予すべき前記端末装置を特定するための情報が登録された端末情報テーブルと、前記判定部によって前記合格端末でないと判定された前記端末装置が前記端末情報テーブルに登録されていない場合、前記端末装置に関する情報を前記端末情報テーブルに登録するテーブル更新部と、をさらに備え、前記テーブル更新部は、前記判定部によって登録後に前記合格端末でないと判定されかつ、前記猶予処理部によって妨害処理の実行を猶予しないと判定された前記端末装置に関する情報を前記端末情報テーブルから削除し、前記猶予処理部は、前記端末情報テーブルから削除された前記端末装置に対する妨害処理を前記通信妨害部に実行させるものであることが好ましい。
(2) (3) In the quarantine control device, when the determination unit determines that the terminal device is not the acceptable terminal, the grace processing unit determines whether or not to postpone execution of interference processing. It is preferable.
Furthermore, a terminal information table in which information for specifying the terminal device that should postpone the disturbance processing is registered in the terminal information table, and the terminal device determined by the determination unit as not being a passing terminal is registered in the terminal information table. A table updating unit that registers information related to the terminal device in the terminal information table, the table updating unit is determined by the determination unit to be not the passed terminal after registration, and the grace process Information about the terminal device determined not to postpone execution of interference processing by the unit from the terminal information table, and the grace processing unit performs interference processing on the terminal device deleted from the terminal information table. It is preferable that the blocking unit be executed.
この場合、端末情報テーブルは、登録後に合格端末でないと判定され、かつ前記猶予処理部によって妨害処理の実行を猶予しないと判定された場合に端末装置の情報が削除されるため、端末装置の起動又は終了によっては、登録された情報が削除されない。従って、前記テーブルに登録されている端末装置は、動作状態から停止状態となった後、再度、動作状態となったとしても、端末情報テーブルに登録されていることとなる。このため、終了時に妨害処理の実行が猶予されれば、起動時も同様に猶予することができる。 In this case, since it is determined that the terminal information table is not a successful terminal after registration and the grace processing unit determines that the execution of the interference process is not suspended, the terminal device information is deleted. Or, depending on the end, the registered information is not deleted. Therefore, the terminal device registered in the table is registered in the terminal information table even if the terminal device enters the operation state again after being changed from the operation state to the stop state. For this reason, if execution of the obstruction processing is delayed at the end, it can also be delayed at startup.
(4)検疫対象の端末装置が、起動中であって未だ応答送信部が動作していない場合、端末装置として認識されるが、検査結果の応答送信が送信できない状態にある。
よって、前記猶予処理部は、前記検査結果の送信要求に対する前記端末装置の応答がないと判断することで前記端末装置が前記合格端末でないと判定されたときに、妨害処理の実行を猶予するか否かの判定を行うものであることが好ましい。
この場合、起動中であって未だ応答送信部が動作していない状態の端末装置を、確実に特定し、妨害処理の実行を猶予することができる。
(4) If the terminal device to be quarantined is activated and the response transmission unit is not yet operating, the terminal device is recognized as a terminal device, but it is in a state where it cannot transmit the response transmission of the inspection result.
Therefore, whether the grace processing unit graces the execution of the disturbing process when it is determined that the terminal device is not the successful terminal by judging that the terminal device does not respond to the inspection result transmission request. It is preferable to determine whether or not.
In this case, it is possible to reliably identify the terminal device that is being activated and in which the response transmission unit is not yet operating, and to postpone the execution of the disturbance process.
(5)さらに、前記テーブル更新部は、前記検査結果の送信要求に対する前記端末装置の応答がないと判断することで前記端末装置が前記合格端末でないと判定されたときに、当該端末装置を特定するための情報を前記端末情報テーブルに登録するように構成されていることが好ましい。
この場合、端末情報テーブルに登録されていない端末装置が起動し送信要求を受けた場合においても、妨害処理の実行が一定期間猶予されるので、誤って、定常な端末装置に妨害処理を実行してしまうのを防止することができる。
(5) Furthermore, the table update unit identifies the terminal device when it is determined that the terminal device is not the passing terminal by determining that there is no response from the terminal device to the inspection result transmission request. It is preferable that the information to be registered is registered in the terminal information table.
In this case, even when a terminal device that is not registered in the terminal information table is activated and receives a transmission request, the execution of the interference process is delayed for a certain period of time. Can be prevented.
(6)また、本発明は、ネットワークに接続された端末装置の通信の妨害を行う検疫方法を実行する、前記ネットワークに接続された検疫制御装置として、コンピュータを機能させるための検疫制御コンピュータプログラムであって、前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求ステップと、前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定ステップと、前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を行う通信妨害ステップと、前記判定ステップで前記合格端末でないと判定されると、前記通信妨害ステップの実行を所定時間猶予させる猶予処理ステップを含むことを特徴としている。 (6) Further, the present invention is a quarantine control computer program for causing a computer to function as a quarantine control device connected to the network, which executes a quarantine method for interfering with communication of a terminal device connected to the network. A test result transmission requesting step for requesting the terminal device to transmit a test result of the terminal device inspecting its internal state according to a predetermined test policy; Based on the response, a determination step for determining whether or not the terminal device is a passing terminal that satisfies a predetermined condition with respect to the inspection result, and if it is determined that the terminal device is not the passing terminal, communication of the terminal device If it is determined that the terminal is not a passing terminal in the communication blocking step for performing blocking processing and the determining step, the communication blocking step is performed. It is characterized in that it comprises a grace processing step of the execution a predetermined time grace.
(7)また、本発明は、ネットワークに接続された検疫制御装置が、前記ネットワークに接続された端末装置の通信の妨害を行う検疫方法であって、前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求ステップと、前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定ステップと、前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を行う通信妨害ステップと、前記判定ステップで前記合格端末でないと判定されると、前記通信妨害ステップの実行を所定時間猶予させる猶予処理ステップを含むことを特徴としている。 (7) Further, the present invention is a quarantine method in which a quarantine control device connected to a network interferes with communication of a terminal device connected to the network, and the terminal device checks its internal state in a predetermined inspection. Based on an inspection result transmission request step for requesting the terminal device to transmit an inspection result inspected according to a policy, and the terminal device responding to the inspection result transmission request, the terminal device determines a predetermined result for the inspection result. A determination step for determining whether or not the terminal is a passing terminal that satisfies the above condition, a communication blocking step for performing a communication blocking process for the terminal device when it is determined that the terminal is not the passing terminal, and the determination step If it is determined that the terminal is not a passing terminal, a grace processing step of gracefully executing the communication blocking step for a predetermined time is included.
上記構成の検疫制御コンピュータプログラム及び検疫方法によれば、上記検疫制御装置と同様の作用効果を奏する。 According to the quarantine control computer program and the quarantine method of the above configuration, the same operational effects as the quarantine control device are obtained.
本発明によれば、通信を妨害すべき端末装置の判定をより適切に行うことができる。 ADVANTAGE OF THE INVENTION According to this invention, determination of the terminal device which should interfere with communication can be performed more appropriately.
以下、本発明の実施形態を図面に基づいて説明する。
[1.検疫システムの全体構成]
図1は、検疫システム1の全体を示している。この検疫システム1は、LAN等のネットワーク(TCP/IPネットワーク)に、ネットワーク検疫制御を行う検疫制御装置2、ネットワーク検疫の対象となるPC等の検疫対象端末装置3a,3b、及び検疫管理サーバ4を接続して構成されている。なお、複数の検疫対象端末装置3a,3bを特に区別しない場合には、「検疫対象端末装置3」と総称する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[1. Overall configuration of the quarantine system]
FIG. 1 shows the
また、検疫制御装置2による検疫対象となる同一ネットワークセグメントN内には、前記検疫対象端末装置3a,3bとしては機能しないが検疫の対象にできるプリンタ7等の什器や、同じく検疫対象端末装置3a,3bとしては機能しないが検疫の対象にできるPC等の端末装置8が存在していてもよい。また、検疫対象端末装置3、プリンタ7等の什器、及び端末装置8は、ネットワークにおける「端末装置」という点では共通しているため、必要に応じて、これらを総称して、「端末装置」ということもある。
また、図1には、社内サーバ5、ルータ6を示しているが、これらは検疫システム1には直接関係のない構成要素である。
Further, in the same network segment N to be quarantined by the
FIG. 1 shows the in-
[2.検疫システムコンピュータプログラムセット]
検疫制御装置2、検疫対象端末装置3、及び検疫管理サーバ4は、コンピュータプログラムを実行可能なコンピュータによって構成されており、それぞれ、コンピュータプログラムが記憶されるハードディスクやメモリ等の記憶部(図示省略)と、コンピュータプログラムを実行するためのCPU等の演算部(図示省略)とを有している。
[2. Quarantine system computer program set]
The
図1に示すように、検疫制御装置2には検疫制御コンピュータプログラムP1がインストールされている。検疫対象端末装置3にはエージェントプログラムP2がインストールされている。また、検疫管理サーバ4には検疫管理コンピュータプログラムP3がインストールされている。
これらのコンピュータプログラムP1,P2、及び必要であればP3、を総称して、検疫システムコンピュータプログラムセットという。
なお、ネットワークセグメントN内の装置のうち、プリンタ7等の什器や端末装置8には、エージェントコンピュータプログラムP2がインストールされていない。
As shown in FIG. 1, a quarantine control computer program P1 is installed in the
These computer programs P1, P2 and, if necessary, P3 are collectively referred to as a quarantine system computer program set.
Of the devices in the network segment N, the agent computer program P2 is not installed in the fixture such as the
図2に示すように、検疫システムプログラムセットは、1又は複数のコンピュータが読み取り可能な記録媒体(CD−ROM等)C1,C2,C3に記録されて、検疫システムのユーザに提供される。なお、検疫システムプログラムセット又は個々のプログラムP1,P2,P3のユーザへの提供は、インターネット上の図示しないプログラム提供サーバから、装置2,3,4がプログラムP1,P2,P3をダウンロードすることによって行っても良い。
また、検疫制御プログラムP2は、CD−ROM等の可搬型記録媒体C2ではなく、検疫制御装置2にプリインストールされた状態で、ユーザに提供することも可能である。
As shown in FIG. 2, the quarantine system program set is recorded on one or a plurality of computer-readable recording media (CD-ROM or the like) C1, C2, C3 and provided to the user of the quarantine system. The quarantine system program set or the individual programs P1, P2, and P3 are provided to the user when the
Further, the quarantine control program P2 can be provided to the user in a state preinstalled in the
[3.検疫制御装置2]
検疫制御装置2は、TCP/IPによるネットワーク通信をサポートするOS(例えばWindows(登録商標),Linux(登録商標))がインストールされたコンピュータに、検疫制御コンピュータプログラムP1をインストールして構成されている。
[3. Quarantine control device 2]
The
図3は、検疫制御コンピュータプログラムP1がコンピュータによって実行されることで、当該コンピュータが発揮する検疫制御装置2としての様々な機能を示している。
図3に示すように、検疫制御装置2は、検査部210、判定部220、端末情報テーブル230、テーブル更新部240、通信監視部(ARP要求監視部)、通信妨害部260、通信正常化部270、例外通信部280、及び未登録端末装置処理部290を備えている。
FIG. 3 shows various functions as the
As shown in FIG. 3, the
[3.1 端末情報テーブル230]
図3の端末情報テーブル230の詳細を図4に示す。端末情報テーブル230は、ネットワーク上の端末装置の通信の妨害処理の要否を判定するために用いられるものであり、合格端末情報テーブル231、隔離端末情報テーブル232、許可端末情報テーブル233、禁止端末情報テーブル234、例外情報テーブル235、及び隔離猶予端末情報テーブル236を有している。
[3.1 Terminal information table 230]
Details of the terminal information table 230 of FIG. 3 are shown in FIG. The terminal information table 230 is used to determine whether or not the communication interference process of the terminal device on the network is necessary. The terminal information table 231, the quarantine terminal information table 232, the permitted terminal information table 233, the prohibited terminal It has an information table 234, an exception information table 235, and a quarantine postponement terminal information table 236.
[3.1.1 合格端末情報テーブル231]
合格端末情報テーブル231は、検疫対象端末装置3がその内部状態を所定の検査ポリシーに従って検査した検査結果が「合格」である検疫対象端末3の一覧情報(MACアドレス及びIPアドレスの一覧)を保持する領域である。なお、合格端末情報テーブル231に登録されている端末装置は、「合格端末」というものとする。
検査結果(検査ポリシーチェック結果)は、後述する「エージェントping」機能により、検疫対象端末(エージェントコンピュータプログラムP2)3から取得する。
[3.1.1 Passed terminal information table 231]
The passed terminal information table 231 holds list information (a list of MAC addresses and IP addresses) of the
The inspection result (inspection policy check result) is acquired from the quarantine target terminal (agent computer program P2) 3 by an “agent ping” function described later.
[3.1.2 隔離端末情報テーブル232]
隔離端末情報テーブル232は、検疫対象端末装置3がその内部状態を所定の検査ポリシーに従って検査した検査結果が「隔離」(=「不合格」)である検疫対象端末3、エージェントプログラムP2がインストールされていない不正端末装置8の情報、又は、隔離して通信を妨害すべきその他の端末装置、の一覧情報(MACアドレス若しくはIPアドレスのいずれか、又は、MACアドレス及びIPアドレスの両方の一覧)232aを保持する領域である。
なお、隔離端末情報テーブル232に登録されている端末装置は、「隔離端末」というものとする。
また、検疫対象端末装置3からの検査結果の取得や、不正端末装置か否かの判断は、後述する「エージェントping」機能により行う。
[3.1.2 Quarantine terminal information table 232]
In the quarantine terminal information table 232, the
The terminal device registered in the quarantine terminal information table 232 is referred to as “quarantine terminal”.
Further, the acquisition of the inspection result from the quarantine
隔離端末情報テーブル232は、隔離端末一覧情報232aに加えて、隔離端末装置毎に、エージェントping応答の有無を記憶する領域232bを有している。この領域232bは、エージェントping機能による端末装置の確認時に、端末装置のエージェント機能(エージェントコンピュータプログラムによる機能)からの応答があったか否かを記録するためのものである。この領域232bを設けることで、隔離端末が、検査結果に基づいて隔離されたものか、エージェントコンピュータプログラムがインストールされていないためにエージェントping応答ができないことから、隔離されたものかを区別することができる。
In addition to the quarantine
[3.1.3 隔離猶予端末情報テーブル236]
隔離猶予端末情報テーブル236は、エージェント機能による検疫対象端末装置3からの応答がなかったときに、隔離端末情報テーブル232に登録されて隔離されるのを猶予すべき端末装置3に関する情報を保持する領域である。
隔離猶予端末情報テーブル236は、隔離猶予すべき端末装置を特定する情報として、MACアドレス若しくはIPアドレスのいずれか、又は、MACアドレス及びIPアドレスの両方を保持している。
[3.1.3 Quarantine postponement terminal information table 236]
The grace isolation terminal information table 236 holds information related to the
The isolation postponement terminal information table 236 holds either a MAC address or an IP address, or both a MAC address and an IP address, as information for specifying a terminal apparatus to be postponed.
図5は、隔離猶予端末情報テーブル236の一例を示す図である。隔離猶予端末情報テーブル236は、上記隔離すべき端末装置を特定する情報であるMACアドレス及びIPアドレスと、隔離猶予の状態を示す猶予状態と、現状の猶予状態が開始された開始時刻とを関連付けて保持する。
猶予状態には、「発見時」「猶予前」、「終了時」、及び「起動時」の4つの状態が定義されている。これら各状態については、後に説明する。
FIG. 5 is a diagram illustrating an example of the quarantine postponement terminal information table 236. The grace isolation terminal information table 236 associates the MAC address and the IP address, which are information for identifying the terminal device to be isolated, the grace state indicating the grace period, and the start time when the current grace state is started. Hold.
In the grace state, four states of “when discovered”, “before grace”, “when finished”, and “when activated” are defined. Each of these states will be described later.
[3.1.4 許可端末情報テーブル233]
図4に戻って、許可端末情報テーブル233は、常に、通常のネットワーク通信を許可する端末装置の一覧情報(MACアドレス又はIPアドレスの一覧)を保持する領域である。ここで、許可端末情報テーブル233に登録されている端末装置は、「許可端末」というものとする。
[3.1.4 Permitted terminal information table 233]
Returning to FIG. 4, the permitted terminal information table 233 is an area that always holds list information (a list of MAC addresses or IP addresses) of terminal devices that are permitted to perform normal network communication. Here, the terminal device registered in the permitted terminal information table 233 is referred to as “permitted terminal”.
許可端末には、プリンタ7等の什器や、エージェントコンピュータプログラムP2をサポートしないOSを搭載する端末装置8などがなり得る。また、許可端末には、検疫対象端末装置3を含めても良い。許可端末とされている端末装置については、検査結果の如何又は検査結果の有無にかかわらず、通信が許可される。
なお、許可端末情報は、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
The permitted terminal may be a fixture such as the
The authorized terminal information is acquired from the
[3.1.5 禁止端末情報テーブル234]
禁止端末情報テーブル234には、無条件に通常の通信を禁止する(妨害する)端末装置の一覧情報(MACアドレス又はIPアドレスの一覧)を保持する領域である。ここで、禁止端末情報テーブル234に登録されている端末装置は、「禁止端末」というものとする。禁止端末とされている端末装置については、当該端末装置から受信した検査結果にかかわらず、妨害処理が必要であると判定される。
なお、禁止端末情報は、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
[3.1.5 Prohibited terminal information table 234]
The prohibited terminal information table 234 is an area for holding list information (a list of MAC addresses or IP addresses) of terminal devices that unconditionally prohibit (disturb) normal communication. Here, the terminal device registered in the prohibited terminal information table 234 is referred to as a “prohibited terminal”. For terminal devices that are prohibited terminals, it is determined that interference processing is necessary regardless of the inspection result received from the terminal device.
The prohibited terminal information is acquired from the
[3.1.6 例外情報テーブル235]
例外情報テーブル235は、検疫対象端末の検査結果が「隔離」(=「不合格」)であった検疫対象端末3からでも通信できる、例外的な通信相手の一覧情報(IPアドレスの一覧)を保持する領域である。
なお、例外情報テーブルは、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
[3.1.6 Exception information table 235]
The exception information table 235 includes list information (list of IP addresses) of exceptional communication partners that can communicate even from the
The exception information table is acquired from the
[3.1.7 端末情報テーブルについての補捉説明]
端末情報テーブル230を構成する各テーブル231,232,233,234,235,236のうち、合格端末情報テーブル231、隔離端末情報テーブル232、及び隔離猶予端末情報テーブル236は、エージェントping応答に基づいて、テーブルの内容が更新されるものであり、これらのテーブル231,232を総称して第1テーブル230aというものとする。
また、各テーブル231〜235のうち、許可端末情報テーブル233、禁止端末情報テーブル234、及び例外情報テーブル235は、検疫管理サーバ4から取得されるものであり、これらのテーブル233,234,235を総称して第2テーブル230bというものとする。
[3.1.7 Capture information about terminal information table]
Of the tables 231, 232, 233, 234, 235, and 236 that constitute the terminal information table 230, the passed terminal information table 231, the quarantine terminal information table 232, and the grace terminal information table 236 are based on the agent ping response. The contents of the table are updated, and these tables 231 and 232 are collectively referred to as a first table 230a.
Among the tables 231 to 235, the permitted terminal information table 233, the prohibited terminal information table 234, and the exception information table 235 are acquired from the
また、端末情報テーブル230を構成する各テーブル231〜236のうち、合格端末情報テーブル231及び許可端末情報テーブル233は、通信の妨害を行わない端末装置に関する情報を有しており、これらのテーブル231,233を総称して非妨害対象情報テーブルというものとする。
さらに、各テーブル231〜236のうち、隔離端末情報テーブル232,禁止端末情報テーブル234は、通信の妨害を行う端末装置に関する情報を有しており、これらのテーブル232,234を総称して妨害対象情報テーブルというものとする。
In addition, among the tables 231 to 236 constituting the terminal information table 230, the passed terminal information table 231 and the permitted terminal information table 233 have information regarding terminal devices that do not interfere with communication, and these tables 231. , 233 are collectively referred to as a non-disturbance target information table.
Further, out of the tables 231 to 236, the quarantine terminal information table 232 and the prohibited terminal information table 234 have information on terminal devices that interfere with communication. These tables 232 and 234 are collectively referred to as obstruction targets. This is called an information table.
[3.2検疫制御装置の主要な機能]
検疫制御装置2の主要な機能は、エージェントping機能、検疫管理サーバ4との間で行う管理用通信機能、及びネットワーク内の通信妨害処理等を行うネットワーク通信制御機能であり、これらの機能は、図3に示す各部によって実現される。
[3.2 Main functions of quarantine controller]
The main functions of the
[3.2.1 検疫制御装置のエージェントping機能(検査結果送信要求機能)]
検疫制御装置2は、独自のネットワークプロトコルとして、「エージェントping」を有している。エージェントpingは、検疫対象装置3に対し、検査結果の送信を要求するものである。
エージェントpingに関する処理は、図3に示す検査部(エージェントping機能部)210によって行われる。
[3.2.1 Agent ping function (inspection result transmission request function) of quarantine controller]
The
Processing related to the agent ping is performed by the inspection unit (agent ping function unit) 210 illustrated in FIG.
検査部210は、エージェントping(検査結果送信要求)を送信するエージェントping送信部(検査結果送信要求部)211を備えている。このエージェントping送信部211は、検査結果が必要な端末装置に対してエージェントpingを送信する。
The inspection unit 210 includes an agent ping transmission unit (inspection result transmission request unit) 211 that transmits an agent ping (inspection result transmission request). The agent
エージェントping送信のタイミング等は、エージェントping送信管理部212によって管理される。エージェントping送信は、例えば、合格端末情報テーブル231、隔離端末情報テーブル232、及び隔離猶予端末情報テーブル236に登録されている端末装置(不正端末装置を含む)に対して定期的に行われる他、検疫制御装置2にとって未知の端末装置(いずれの端末情報テーブルにも登録されていない端末装置)による通信データがネットワーク上に流れていることを通信監視部250が補捉したときにも行われる。これらの、エージェントping送信のタイミングの詳細については後述する。
The agent ping transmission timing and the like are managed by the agent ping transmission management unit 212. For example, the agent ping transmission is periodically performed for terminal devices (including unauthorized terminal devices) registered in the passed terminal information table 231, the quarantine terminal information table 232, and the grace terminal information table 236, It is also performed when the
検疫対象装置3(のエージェントコンピュータプログラム)は、エージェントpingによる要求を受け付けると、検査結果を「エージェントping応答」として送信する。この応答は、検査部210のエージェントping応答受信部(検査結果受信部)213によって受信される。 When the quarantine target apparatus 3 (the agent computer program) receives a request from the agent ping, the inspection result is transmitted as an “agent ping response”. This response is received by the agent ping response reception unit (inspection result reception unit) 213 of the inspection unit 210.
検疫制御装置2は、エージェントping応答を解析して、受信した検査結果に基づいて、端末装置の状態を判定し、当該端末装置の情報(IPアドレス及び/又はMACアドレス)を、合格端末情報テーブル231又は隔離端末情報テーブル232のいずれかに登録する。なお、合格端末情報テーブル231に登録される端末装置は、原則として、隔離猶予端末情報テーブル236に登録される。また、エージェントpingを送信しても、エージェントping応答のない端末装置8については、後述の隔離猶予すべきか否かの判定の結果に基づいて、隔離端末情報テーブル232又は隔離猶予端末情報テーブル236のいずれかに登録される。
なお、端末装置の判定は検疫制御装置2の判定部2によって行われ、情報テーブルへの登録は、テーブル更新部240によって行われる(図3参照)。
The
The determination of the terminal device is performed by the
また、検査部210は、検疫対象端末装置3からのエージェントpingの送信開始の要求を受信するエージェントping開始要求受信部(開始要求受信部)214を有している。検疫制御装置2がエージェントping開始要求を受信すると、当該開始要求を送信した検疫対象端末装置3に対し、エージェントpingを送信する。
Further, the inspection unit 210 includes an agent ping start request reception unit (start request reception unit) 214 that receives a request to start transmission of an agent ping from the quarantine
[3.2.2 検疫制御装置2の管理用通信機能]
検疫制御装置2は、検疫管理サーバ4との間で、端末情報テーブル230のうち、第2テーブル230b(許可端末情報テーブル233,禁止端末情報テーブル234,例外情報テーブル235)の各内容のやりとりを行うことができる。第2テーブル230bのやりとりは、検疫制御装置2の第2テーブル更新部(管理用通信部)242によって行われる(図3参照)。
第2テーブル更新部242は、検疫管理サーバ4から取得した第2テーブル230bの内容を検疫制御装置2の第2テーブル230bの各テーブル233,234,235に保存する。
[3.2.2 Communication function for management of quarantine controller 2]
The
The second
第2テーブル230bの内容は、後述のように検疫管理サーバ4上で、管理者によってメンテナンスされ、管理者からの要求によって検疫管理サーバ4から、検疫制御装置2に送信される。また、検疫制御装置2(の第2テーブル更新部242)が必要に応じて、検疫管理サーバ4から第2テーブル230bを取得してもよい。
The contents of the second table 230b are maintained by the administrator on the
[3.2.3 検疫制御装置2の通信妨害機能]
検疫制御装置2は、通信の妨害処理が必要な端末装置に対して、通信妨害を行う通信妨害部260を備えている(図3参照)。通信妨害処理は、MACアドレス又はIPアドレスが許可端末情報テーブル233に登録されている端末装置(許可端末)、又は検査結果が合格である端末装置(合格端末)に対しては、行わない。
逆に、禁止端末情報テーブル234に登録されている端末装置(禁止端末)、又は検査結果が隔離(=不合格)である端末装置(隔離端末)には、通信妨害処理を行う。
また、エージェントpingに応答せず検査結果を特定できない端末装置、及び隔離猶予端末情報テーブル236に登録されている端末装置の内の合格端末以外の端末装置については、隔離猶予に関する判定の結果、隔離すべきと判定された場合には、隔離端末であるとして通信妨害処理を行う。一方、隔離猶予すると判定された端末装置(隔離猶予端末)には、通信妨害処理は行われない。
[3.2.3 Communication jamming function of quarantine controller 2]
The
On the contrary, the communication interference process is performed on the terminal device (prohibited terminal) registered in the prohibited terminal information table 234 or the terminal device (isolated terminal) whose inspection result is isolation (= fail).
For terminal devices that do not respond to the agent ping and whose test results cannot be specified, and terminal devices other than the accepted terminals among the terminal devices registered in the quarantine postponement terminal information table 236, as a result of the determination regarding the grace period, If it is determined that it should be, the communication jamming process is performed as an isolated terminal. On the other hand, the communication interruption process is not performed on the terminal device (isolation grace terminal) determined to be graceful.
ただし、禁止端末又は隔離端末の通信相手が、例外情報テーブル235に登録されている装置である場合には、その通信に限り、通信妨害処理は行わない。このような例外的な通信許可のため検疫制御装置2は、例外通信部280を備えている(図3参照)。
However, when the communication partner of the prohibited terminal or the quarantine terminal is a device registered in the exception information table 235, the communication disturbance process is not performed only for the communication. For such exceptional communication permission, the
また、検疫制御装置2は、一旦、通信妨害処理を行った端末装置について妨害処理の必要がなくなった場合には、通信を正常化することができる。このような通信正常化のため、検疫制御装置2は、通信正常化部270を備えている(図3参照)。
In addition, the
[4.検疫対象端末装置3]
検疫対象端末装置3は、TCP/IPによるネットワーク通信をサポートするOSがインストールされたコンピュータに、当該コンピュータの内部状態を所定の検査ポリシーに従って検査するためのエージェントコンピュータプログラムP2をインストールして構成されている。
[4. Quarantine target terminal device 3]
The quarantine
図6は、エージェントコンピュータプログラムP2がコンピュータによって実行されることで、当該コンピュータが発揮する検疫対象端末装置3としての様々な機能を示している。
図6に示すように、検疫対象端末装置3は、検査制御部310、検査ポリシー受信部320、及び検査部330を備えている。
FIG. 6 shows various functions as the quarantine
As illustrated in FIG. 6, the quarantine
検査制御部310は、検疫対象端末装置3が、所定の検査ポリシーに従って検査するタイミング等の検査処理に関する制御を行う。検査は、例えば、定期的又は必要に応じて随時行われる。
検査ポリシー受信部320は、予め検疫管理サーバ4から検査ポリシーを取得する。なお、検査ポリシー受信部320は、検査を行うときに、検査ポリシーを取得してもよい。また、検査時に検疫対象端末装置3と検疫管理サーバ4が直接通信を行う必要はない。
The
The inspection
検査部330は、所定の検査ポリシー(検疫ポリシー)に従って、エージェントコンピュータプログラムP2がインストールされたコンピュータ(検疫対象端末装置3)の内部状態の検査を行う。
The
検査ポリシーとしては、例えば、エージェントコンピュータプログラムP2が最新かどうか、エージェントから検疫管理サーバ4へイベントリ送信が行われているかどうか、OSの自動ログオン設定が無効になっているかどうか、OSのスクリーンセーバ設定及びパスワードロックが有効になっているかどうか、管理者により指定されたソフトウェアが検疫対象端末装置3にインストールされているかどうか、管理者により使用禁止に指定されているソフトウェアが検疫対象端末装置3にインストールされていないかどうか、ウィルス対策ソフトウェアのリアルタイムスキャン機能が有効になっているかどうか、ウィルス対策ソフトウェア・当該ソフトウェアのエンジン及び当該ソフトウェアのパターンファイルがそれぞれ最新かどうか、OSのUpdateが実施されているかどうか、最新のOS月例パッチが適用されているかどうか、検疫対象端末装置3上の指定のファイルが存在するかどうか(或いは存在しないかどうか)、検疫対象端末装置3の指定のOSレジストリ・キーが存在するかどうか(或いは存在しないかどうか)、が挙げられる。
As the inspection policy, for example, whether or not the agent computer program P2 is the latest, whether or not an event is being transmitted from the agent to the
検疫対象端末装置3における検査部330の検査実行部331は、前記検査ポリシーに従って、検疫対象端末装置3の内部状態の検査を行う。この検査は、定期的又は必要に応じて随時行われる。
The
前記検査部330は、検疫制御装置2からエージェントpingをネットワーク経由で受信するエージェントping受信部(検査結果送信要求受信部)332と、検査結果からエージェントping応答を生成するエージェントping応答生成部333と、エージェントpingを受信するとエージェントping応答を前記検疫制御装置2へ送信するエージェントping応答送信部(検査結果送信部)334を備えている。
The
検疫対象端末装置3の検査部330は、検疫制御装置2に対し、エージェントpingの送信開始を積極的に要求するエージェントping開始要求送信部(開始要求送信部)335を有している。検疫対象端末装置3は、一度、エージェントpingを受信すると、当該エージェントpingから検疫制御装置2のMACアドレス及びIPアドレスを取得することができるので、それ以降は、検疫対象端末装置3から、エージェントping送信開始の要求を、検疫制御装置2に対して行うことができる。
The
エージェントping送信開始の要求は、例えば、検疫対象端末装置3が自らを検査したときに、その結果が前回の検査結果と異なる度に行うことができる。検疫対象端末装置3が、積極的に、エージェントping送信開始の要求を行うことで、検査結果が変化した場合、直ちに、検疫制御装置2に結果変化を把握させることができる。
For example, when the quarantine
[5.検疫管理サーバ4]
検疫管理サーバ(検疫管理コンピュータ)4は、TCP/IPによるネットワーク通信をサポートするOSがインストールされたコンピュータに、検疫管理コンピュータプログラムP3をインストールして構成されている。
[5. Quarantine management server 4]
The quarantine management server (quarantine management computer) 4 is configured by installing a quarantine management computer program P3 on a computer in which an OS supporting network communication by TCP / IP is installed.
図7は、検疫管理コンピュータプログラムP3がコンピュータによって実行されることで、当該コンピュータが発揮する検疫管理サーバ4としての様々な機能を示している。
図7に示すように、検疫管理サーバ4は、テーブル作成部410、テーブル送信部420、検査ポリシー生成部430、及び検査ポリシー送信部440を備えている。
FIG. 7 shows various functions as the
As illustrated in FIG. 7, the
テーブル作成部410は、管理者が、第2テーブル230b(許可端末情報テーブル233、禁止端末情報テーブル234、例外情報テーブル235)の作成及び/又は管理を行うためのものである。
テーブル送信部420は、作成された第2テーブル230bを検疫制御装置2へ送信するためのものである。
The
The
検査ポリシー生成部430は、管理者が、検査ポリシーの作成及び/又は管理を行うためのものである。
検査ポリシー送信部440は、作成された検査ポリシーを検疫対象端末装置2へ送信するためのものである。
The inspection
The inspection
[6.検疫システムにおける各種処理]
[6.1 ARP:Address Resolution Protocol]
検疫制御装置2及び検疫対象端末装置3に搭載されたOSがサポートするTCP/IPにおけるプロトコルの一つとしてARP(Address Resolution Protocol;アドレス解決プロトコル)がある。このARPは、ある端末のIPアドレスから、当該端末のMACアドレスを取得するためのプロトコルである。ARPは、OSがサポートする機能であるが、検疫システム1において用いられるため、以下で説明する。
[6. Various processes in the quarantine system]
[6.1 ARP: Address Resolution Protocol]
One of the TCP / IP protocols supported by the OS installed in the
図8は、ARPの概要シーケンスを示している。ここでは、図8に示すIPアドレス及びMACアドレスを有する端末A及び端末Bを想定する。図8は、端末Aが、端末BのIPアドレスから端末BのMACアドレスを取得する過程を示している。なお、端末Aは、端末BのIPアドレスをDNSなどから予め取得しているものとする。 FIG. 8 shows an outline sequence of ARP. Here, terminal A and terminal B having the IP address and the MAC address shown in FIG. 8 are assumed. FIG. 8 shows a process in which the terminal A acquires the MAC address of the terminal B from the IP address of the terminal B. It is assumed that terminal A has previously acquired the IP address of terminal B from DNS or the like.
まず、端末Aは、自分のARPテーブルに端末Bに関するエントリがあるかどうかを確認する。エントリがなければ、端末BのMACアドレスを取得するため、ARP要求パケットを載せたイーサフレームをネットワークにブロードキャストする(ステップS1−1)。 First, terminal A checks whether there is an entry for terminal B in its ARP table. If there is no entry, in order to acquire the MAC address of the terminal B, an Ethernet frame carrying an ARP request packet is broadcast to the network (step S1-1).
端末Bを含む同一ネットワークセグメント内の全端末は、(端末Aからの)ARP要求パケットを受信した時点で、自身のARPテーブルに送信元(=端末A)のIPアドレス及びMACアドレスをエントリする。このエントリは、端末Aとの間の通信が一定時間なければ削除される。なお、すでに端末Aがエントリされていた場合は、MACアドレスを最新の情報に上書きする(ステップS1−2)。 All terminals in the same network segment including terminal B enter the IP address and MAC address of the transmission source (= terminal A) in their ARP table when receiving the ARP request packet (from terminal A). This entry is deleted if there is no communication with terminal A for a certain time. If terminal A has already been entered, the MAC address is overwritten with the latest information (step S1-2).
ARPを要求されている端末(=端末B)は、送信元情報に自身のIPアドレス及びMACアドレスを設定したARP応答パケットを作成し、当該ARP応答パケットを元々の送信元(=端末A)に対して送信する(ステップS1−3)。 The terminal that is requested for ARP (= terminal B) creates an ARP response packet in which its own IP address and MAC address are set in the transmission source information, and sends the ARP response packet to the original transmission source (= terminal A). It transmits to (step S1-3).
端末Aは、(端末Bからの)ARPパケットを受信した時点で、自身のARPテーブルに送信元(=端末B)のIPアドレス及びMACアドレスをエントリする(ステップS1−4)。
以上によって、ある端末Aが、ネットワーク上の他の端末BのMACアドレスを取得することができる。
When the terminal A receives the ARP packet (from the terminal B), the terminal A enters the IP address and MAC address of the transmission source (= terminal B) in its ARP table (step S1-4).
As described above, a certain terminal A can acquire the MAC address of another terminal B on the network.
[6.2 ARP要求パケット監視処理]
図9及び図10は、検疫制御装置2の通信監視部250がネットワーク上を流れるARPパケットを監視・補捉し、通信妨害部260による通信の妨害の要否を、判定部220が判定する処理の流れを示している。
[6.2 ARP request packet monitoring processing]
9 and 10 are processes in which the
検疫制御装置2の通信監視部(ARP要求監視部)250は、ネットワーク上を流れるブロードキャストARP要求パケットを補捉するARP要求補捉部251を備えている(図3参照)。このARP要求補捉部251が、ブロードキャストARP要求パケットを受信すると(ステップS2−1)、通信監視部250のARP要求解析部252が受信したARP要求パケットから、そのパケットの送信元IPアドレス及びMACアドレス、そして送信先IPアドレスをそれぞれ取得する(ステップS2−2)。なお、ARP要求から、送信先MACアドレスを知ることはできない。
The communication monitoring unit (ARP request monitoring unit) 250 of the
解析部252が、送信元情報及び送信先情報を取得すると、送信元確認処理(ステップS2−3)、及び送信先確認処理(ステップS2−4,S2−5)が、検疫制御装置2の判定部220等によって行われ、ARP要求の送信元及び送信先のそれぞれについて通信の妨害が必要か否か判定され、必要であれば妨害処理が行われる。
When the analysis unit 252 acquires the transmission source information and the transmission destination information, the transmission source confirmation processing (step S2-3) and the transmission destination confirmation processing (steps S2-4 and S2-5) are performed by the
また、判定部220は、端末情報テーブル230を用いた判定を行う第1判定部220aと、エージェントpingを用いた判定を行う第2判定部220bと、後述する隔離猶予判定の処理を行う猶予処理部220cとを備えている。送信元確認処理と送信先確認処理では、それぞれの判定部220a,220bによる判定が行われる。
なお、送信先確認処理としては、送信先IPアドレス確認処理(ステップS2−4)と、送信先MACアドレス確認処理(ステップS2−5)が行われる。
In addition, the
As the destination confirmation process, a destination IP address confirmation process (step S2-4) and a destination MAC address confirmation process (step S2-5) are performed.
[6.2.1 送信元確認処理(ステップS2−3)]
送信元確認処理では、まず、第1判定部220aが、ARP要求の送信元IPアドレス又はMACアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−3−1)。すなわち、送信元が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−3−7に進み、登録されていなければステップS2−3−2に進む。
[6.2.1 Source Confirmation Process (Step S2-3)]
In the transmission source confirmation process, first, the first determination unit 220a confirms whether or not the transmission source IP address or MAC address of the ARP request is registered in the prohibited terminal information table 234 (step S2-3-1). That is, it is determined whether or not the transmission source is a prohibited terminal.
If registered, the process proceeds to step S2-3-7, and if not registered, the process proceeds to step S2-3-2.
ステップS2−3−2では、ARP要求の送信元IPアドレス又はMACアドレスが、隔離端末情報テーブル232に登録されているかどうかを第1判定部220aが確認する。すなわち、送信元が隔離端末であるか否かを判定する。
登録されていれば、ステップS2−3−7に進み、登録されていなければ、ステップS2−3−3に進む。
In step S <b> 2-3-2, the first determination unit 220 a confirms whether the transmission source IP address or MAC address of the ARP request is registered in the quarantine terminal information table 232. That is, it is determined whether the transmission source is an isolated terminal.
If registered, the process proceeds to step S2-3-7, and if not registered, the process proceeds to step S2-3-3.
ステップS2−3−3では、ARP要求の送信元IPアドレス又はMACアドレスが、許可端末情報テーブル233に登録されているかどうかを第1判定部220aが確認する。すなわち、送信元が許可端末であるか否かを判定する。
登録されていれば、ステップS2−4−1(送信先IPアドレス確認処理)に進み、送信元に対する妨害処理は行わない。登録されていなければ、ステップS2−3−4へ進む。
In step S2-3-3, the first determination unit 220a checks whether the transmission source IP address or MAC address of the ARP request is registered in the permitted terminal information table 233. That is, it is determined whether the transmission source is a permitted terminal.
If registered, the process proceeds to step S2-4-1 (destination IP address confirmation processing), and no interference processing is performed on the transmission source. If not registered, the process proceeds to step S2-3-4.
ステップS2−3−4では、ARP要求の送信元IPアドレス又はMACアドレスが、合格端末情報テーブル231に登録されているかどうかを第1判定部220aが確認する。すなわち、送信元が合格端末であるか否かを判定する。
登録されていれば、ステップS2−4−1(送信元IPアドレス確認処理)に進み、送信元に対する妨害処理は行わない。登録されていなければ、ステップS2−3−5へ進む。
In step S2-3-4, the first determination unit 220a checks whether the transmission source IP address or the MAC address of the ARP request is registered in the passed terminal information table 231. That is, it is determined whether the transmission source is a passing terminal.
If registered, the process proceeds to step S2-4-1 (source IP address confirmation processing), and no interference processing is performed on the source. If not registered, the process proceeds to step S2-3-5.
処理がステップS2−3−5に来た場合、送信元は、端末情報テーブル230に登録されていない、検疫制御装置2にとって未知の端末装置であったと判定されたことになる。
そこで、ステップS2−3−5では、未知の送信元に対して、エージェントpingを行って、通信妨害すべきか否かを判定するのに必要な送信元(端末装置)の検査結果の取得を試みる。なお、ステップS2−3−5の処理の詳細については後述する。
When the process comes to step S2-3-5, it is determined that the transmission source is a terminal device that is not registered in the terminal information table 230 and is unknown to the
Therefore, in step S2-3-5, an agent ping is performed on an unknown transmission source, and an attempt is made to acquire the inspection result of the transmission source (terminal device) necessary to determine whether communication should be interrupted. . Details of the processing in step S2-3-5 will be described later.
ARP要求の送信元に対してエージェントpingを行った結果は、第2判定部220bによって判定される。判定結果が、隔離判定であればステップS2−3−7へ進み、合格判定であればステップS2−4−1(送信先IPドレス確認処理)に進み、送信元に対する妨害処理は行わない。
また、判定結果が、隔離猶予判定であれば、合格判定と同様、ステップS2−4−1に進み、送信元に対する妨害処理は行わない。
The result of performing the agent ping on the transmission source of the ARP request is determined by the
Further, if the determination result is the isolation postponement determination, the process proceeds to step S2-4-1 as in the case of the pass determination, and the interference process for the transmission source is not performed.
ステップS2−3−7では、検疫制御装置2の通信妨害部260によって疑似ARP応答を送信する処理が行われる。この処理を行うため、通信妨害部260は、疑似ARP応答送信部261と、疑似ARP応答送信管理部262を備えている。
In step S2-3-7, processing for transmitting a pseudo ARP response is performed by the
ここで送信される疑似ARP応答は、アドレス部分が図11に示すように設定されたARP応答として生成される。すなわち、疑似ARP応答の「送信元IPアドレス」としてARP要求の送信元端末のIPアドレスが設定され、疑似ARP応答の「送信元MACアドレス」として検疫制御装置2のMACアドレスが設定される。
また、疑似ARP応答の「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれブロードキャストアドレスが設定される。したがって、疑似ARP応答は、ネットワークに対してブロードキャスト送信される。
The pseudo ARP response transmitted here is generated as an ARP response in which the address portion is set as shown in FIG. That is, the IP address of the source terminal of the ARP request is set as the “source IP address” of the pseudo ARP response, and the MAC address of the
Also, broadcast addresses are set as the “destination IP address” and “destination MAC address” of the pseudo ARP response, respectively. Therefore, the pseudo ARP response is broadcast to the network.
疑似ARP応答送信部261が、前記疑似ARP応答をブロードキャスト送信すると、ARP要求の送信元端末が通信する可能性のあるネットワーク上のすべての通信相手端末装置に対して、送信元端末のMACアドレスを誤って学習させる結果となる。
When the pseudo ARP
そのため、前記通信相手端末装置から送信された送信元端末向けのパケットはすべて送信先として検疫制御装置2のMACアドレスが誤って設定されていることになる。ARP要求の送信元端末では、MACアドレスが誤っているのでパケットを受信できなくなる。 一方、ARP要求の送信元端末向けのパケットは、MACアドレスが検疫制御装置2のものであるから、すべて検疫制御装置2で受信可能である。検疫制御装置2は、このような自己のMACアドレスが送信先に設定されたパケットを収集、破棄する。よって、ARP要求の送信元端末とその相手先の通信を妨害することができる。
しかも、検疫制御装置2は、妨害処理として、疑似ARP「応答」を送るので、他の端末装置3からのARP応答を受ける必要がなく、通信負荷の増加を避けることができる。
For this reason, the MAC address of the
In addition, since the
ステップS2−3−7の疑似ARP応答送信が終了すると、送信元確認処理(ステップS2−3)は終了し、送信先IPアドレス確認処理S2−4に移行する。 When the pseudo ARP response transmission in step S2-3-7 ends, the transmission source confirmation process (step S2-3) ends, and the process proceeds to the transmission destination IP address confirmation process S2-4.
[6.2.2 送信先IPアドレス確認処理(ステップS2−4)]
送信先IPアドレス確認処理では、まず、第1判定部220aが、ARP要求の送信先IPアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−4−1)。すなわち、送信先が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければステップS2−4−2に進む。
[6.2.2 Destination IP Address Confirmation Process (Step S2-4)]
In the transmission destination IP address confirmation process, first, the first determination unit 220a confirms whether or not the transmission destination IP address of the ARP request is registered in the prohibited terminal information table 234 (step S2-4-1). That is, it is determined whether or not the transmission destination is a prohibited terminal.
If registered, the process proceeds to step S2-6, and if not registered, the process proceeds to step S2-4-2.
ステップS2−4−2では、ARP要求の送信先IPアドレスが、隔離端末情報テーブル232に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が隔離端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければ、ステップS2−4−3に進む。
In step S2-4-2, the first determination unit 220a checks whether or not the transmission destination IP address of the ARP request is registered in the quarantine terminal information table 232. That is, it is determined whether the transmission destination is an isolated terminal.
If registered, the process proceeds to step S2-6, and if not registered, the process proceeds to step S2-4-3.
ステップS2−4−3では、ARP要求の送信先IPアドレスが、許可端末情報テーブル233に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が許可端末であるか否かを判定する。
登録されていれば、送信先に対する妨害処理が不要であるのでAPR要求パケット確認処理を終了する。登録されていなければ、ステップS2−4−4へ進む。
In step S2-4-3, the first determination unit 220a checks whether or not the transmission destination IP address of the ARP request is registered in the permitted terminal information table 233. That is, it is determined whether or not the transmission destination is a permitted terminal.
If it is registered, the APR request packet confirmation process is terminated because the disturbance process for the transmission destination is unnecessary. If not registered, the process proceeds to step S2-4-4.
ステップS2−4−4では、ARP要求の送信先IPアドレスが、合格端末情報テーブル231に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が合格端末であるか否かを判定する。
登録されていれば、送信先に対する妨害処理が不要であるのでAPR要求パケット確認処理を終了する。登録されていなければ、ステップS2−4−5へ進む。
In step S2-4-4, the first determination unit 220a checks whether or not the destination IP address of the ARP request is registered in the passed terminal information table 231. That is, it is determined whether or not the transmission destination is a passing terminal.
If it is registered, the APR request packet confirmation process is terminated because the disturbance process for the transmission destination is unnecessary. If not registered, the process proceeds to step S2-4-5.
処理がステップS2−4−5に来た場合、送信先は、端末情報テーブル230に登録されていない、検疫制御装置2にとって未知の端末装置であったと判定されたことになる。
そこで、ステップS2−4−5では、未知の送信先に対して、図12に示すARP要求を送信する。ステップS2−4−5の処理は、検疫制御装置2の未登録端末装置処理部290(図3参照)が行う。未登録端末装置処理部290は、APR要求送信部291を備えており、このARP要求送信部291は、未知の送信先のMACアドレスを得るため、図12に示すようにアドレス設定したARP要求パケットをブロードキャスト送信する。
When the process comes to step S2-4-5, it is determined that the transmission destination is a terminal device that is not registered in the terminal information table 230 and is unknown to the
Therefore, in step S2-4-5, an ARP request shown in FIG. 12 is transmitted to an unknown transmission destination. The process of step S2-4-5 is performed by the unregistered terminal apparatus processing unit 290 (see FIG. 3) of the
検疫制御装置2は、図12の前記ARP要求パケットを送信した後、ARP要求パケットに対するARP応答パケットを一定期間待つ(ステップS2−4−6)。検疫制御装置2が、一定期間待っても、ARP応答パケットを受信しなかった場合は、APR要求パケット確認処理を終了し、一定期間内にARP応答パケットを受信すれば、ステップS2−4−8に進む。
After transmitting the ARP request packet of FIG. 12, the
ステップS2−4−6において、ARP応答を受信した場合、検疫制御装置2は、当該ARP応答から、未知の送信先のMACアドレスを取得し(ステップS2−4−8)、送信先MACアドレス確認処理S2−5へ移行する。
In step S2-4-6, when the ARP response is received, the
[6.2.3 送信先MACアドレス確認処理(ステップS2−5)]
送信先MACアドレス確認処理では、まず、第1判定部220aが、ARP要求の送信先MACアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−5−1)。すなわち、送信先が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければステップS2−5−2に進む。
[6.2.3 Destination MAC Address Confirmation Process (Step S2-5)]
In the transmission destination MAC address confirmation process, first, the first determination unit 220a confirms whether or not the transmission destination MAC address of the ARP request is registered in the prohibited terminal information table 234 (step S2-5-1). That is, it is determined whether or not the transmission destination is a prohibited terminal.
If registered, the process proceeds to step S2-6, and if not registered, the process proceeds to step S2-5-2.
ステップS2−5−2では、ARP要求の送信先MACアドレスが、隔離端末情報テーブル232に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が隔離端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければ、ステップS2−5−3に進む。
In step S2-5-2, the first determination unit 220a checks whether or not the transmission destination MAC address of the ARP request is registered in the quarantine terminal information table 232. That is, it is determined whether the transmission destination is an isolated terminal.
If registered, the process proceeds to step S2-6, and if not registered, the process proceeds to step S2-5-3.
ステップS2−5−3では、ARP要求の送信先MACアドレスが、許可端末情報テーブル233に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が許可端末であるか否かを判定する。
登録されていれば、送信先に対する妨害処理を行う必要がないので、ARP要求パケット監視処理を終了する。登録されていなければ、ステップS2−5−4へ進む。
In step S2-5-3, the first determination unit 220a checks whether or not the transmission destination MAC address of the ARP request is registered in the permitted terminal information table 233. That is, it is determined whether or not the transmission destination is a permitted terminal.
If it is registered, it is not necessary to perform the disturbing process for the transmission destination, so the ARP request packet monitoring process is terminated. If not registered, the process proceeds to step S2-5-4.
ステップS2−5−4では、ARP要求の送信先MACアドレスが、合格端末情報テーブル231に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が合格端末であるか否かを判定する。
登録されていれば、送信先に対する妨害処理を行う必要がないので、ARP要求パケット監視処理を終了する。登録されていなければ、ステップS2−5−5へ進む。
In step S2-5-4, the first determination unit 220a checks whether or not the transmission destination MAC address of the ARP request is registered in the passed terminal information table 231. That is, it is determined whether or not the transmission destination is a passing terminal.
If it is registered, it is not necessary to perform the disturbing process for the transmission destination, so the ARP request packet monitoring process is terminated. If not registered, the process proceeds to step S2-5-5.
処理がステップS2−5−5に来た場合、送信先は、端末情報テーブル230にIPアドレスもMACアドレスも登録されていない、検疫制御装置2にとって未知の端末装置であったと判定されたことになる。
そこで、ステップS2−5−5では、未知の送信先に対して、エージェントpingを行って、通信妨害すべきか否かを判定するのに必要な送信先(端末装置)の検査結果の取得を試みる。なお、ステップS2−5−5の処理の詳細については後述する。
When the processing has come to step S2-5-5, it is determined that the transmission destination is a terminal device that is not registered in the terminal information table 230 and is unknown to the
Therefore, in step S2-5-5, an agent ping is performed on an unknown destination, and an attempt is made to acquire the inspection result of the destination (terminal device) necessary to determine whether or not communication should be interrupted. . Details of the processing in step S2-5-5 will be described later.
ARP要求の送信先に対してエージェントpingを行った結果は、第2判定部220bによって判定される。判定結果が、隔離判定であればステップS2−6へ進み、合格判定であれば、送信先に対する妨害処理を行う必要がないので、ARP要求パケット監視処理を終了する。
また、判定結果が、隔離猶予判定であれば、合格判定と同様、送信先に対する妨害処理を行わず、ARP要求パケット監視処理を終了する。
The result of performing the agent ping to the transmission destination of the ARP request is determined by the
Further, if the determination result is the isolation postponement determination, the ARP request packet monitoring process is terminated without performing the interference process for the transmission destination as in the case of the pass determination.
ステップS2−6では、通信妨害部260の疑似ARP応答送信部261によって疑似ARP応答を送信する処理が行われる。
In step S2-6, a pseudo ARP response is transmitted by the pseudo ARP
ここで送信される疑似ARP応答は、アドレス部分が図13に示すように設定されたARP応答として生成される。すなわち、疑似ARP応答の「送信元IPアドレス」としてARP要求の送信先端末のIPアドレスが設定され、疑似ARP応答の「送信元MACアドレス」として検疫制御装置2のMACアドレスが設定される。
また、疑似ARP応答の「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれブロードキャストアドレスが設定される。したがって、疑似ARP応答は、ネットワークに対してブロードキャスト送信される。
The pseudo ARP response transmitted here is generated as an ARP response in which the address portion is set as shown in FIG. That is, the IP address of the destination terminal of the ARP request is set as the “source IP address” of the pseudo ARP response, and the MAC address of the
Also, broadcast addresses are set as the “destination IP address” and “destination MAC address” of the pseudo ARP response, respectively. Therefore, the pseudo ARP response is broadcast to the network.
疑似ARP応答送信部261が、前記疑似ARP応答をブロードキャスト送信すると、ARP要求の送信先端末が通信する可能性のあるネットワーク上のすべての通信相手端末装置に対して、送信先端末のMACアドレスを誤って学習させる結果となる。
When the pseudo ARP
そのため、前記通信相手端末装置から送信された送信先端末向けのパケットはすべて送信先として検疫制御装置2のMACアドレスが誤って設定されていることになる。また、ARP要求の送信先端末では、MACアドレスが誤っているのでパケットを受信できなくなる。
一方、ARP要求の送信先端末向けのパケットは、MACアドレスが検疫制御装置2のものであるから、すべて検疫制御装置2で受信可能である。検疫制御装置2は、このような自己のMACアドレスが送信先に設定されたパケットを収集、破棄する。よって、ARP要求の送信先端末とその相手先の通信を妨害することができる。
しかも、検疫制御装置2は、妨害処理として、疑似ARP「応答」を送るので、他の端末装置3からの応答を受ける必要がなく、通信負荷の増加を避けることができる。
For this reason, the MAC address of the
On the other hand, since the MAC address of the packet for the destination terminal of the ARP request is that of the
In addition, since the
ステップS2−6の疑似ARP応答送信が終了すると、ARP要求パケット監視処理は終了する。 When the pseudo ARP response transmission in step S2-6 ends, the ARP request packet monitoring process ends.
[6.2.4 エージェントping処理(ステップS2−3−5,S2−5−5等)]
図14は、エージェントping処理を示している。エージェントping処理では、まず、エージェントping送信部211が、隔離すべきかどうかの判断の対象である端末装置(のエージェントコンピュータプログラムP2)に向けて、エージェントpingを送信する(ステップS3−1)。
[6.2.4 Agent ping process (steps S2-3-5, S2-5-5, etc.)]
FIG. 14 shows the agent ping process. In the agent ping process, first, the agent
エージェントping応答受信部213は、端末装置のエージェントコンピュータプログラムP2からの応答(エージェントping応答)を一定期間待つ(ステップS3−2)。一定期間内に応答があればステップS3−3に進み、一定期間待っても応答が無い場合にはステップS3−11に進む。
The agent ping
ステップS3−2で受信したエージェントping応答パケットが正常であれば、ステップS3−4に進む。エージェントping応答が不正であれば、ステップS3−8へ進む。 If the agent ping response packet received in step S3-2 is normal, the process proceeds to step S3-4. If the agent ping response is invalid, the process proceeds to step S3-8.
エージェントping応答受信部213が受信した、エージェントping応答は、判定部220の第2判定部220b(図3参照)によって、隔離すべきか否か判定される。第2判定部220bは、エージェントping応答に含まれる「検査結果」を確認することで、隔離すべきか否かを判定する(ステップS3−4)。
受信した検査結果が、「合格」を示している場合には、ステップS3−5へ進み、「隔離」(=「不合格」)を示している場合には、ステップS3−8へ進む。
The agent ping response received by the agent ping
When the received inspection result indicates “pass”, the process proceeds to step S3-5, and when it indicates “isolation” (= “failure”), the process proceeds to step S3-8.
ステップS3−5では、第1テーブル更新部241が、エージェントping応答を送信してきた検疫対象端末装置3のIPアドレス及びMACアドレスを、隔離猶予端末情報テーブル236に登録する。このとき、第1テーブル更新部241は、当該検疫対象端末装置3の猶予状態を「猶予前」に設定するとともに、登録する際の時刻を開始時刻として登録する。
この「猶予前」とは、現段階では、合格判定を受けているために隔離猶予の必要がないが、将来、動作状態から停止状態となる際、又は停止状態から動作状態となる際に隔離猶予が必要になる端末装置3であることを検疫制御装置2が認識するための設定である。
また、停止状態とは、例えば、電源がオフにされる等、端末装置のOSが停止することで、端末装置としての機能を完全に停止させている状態をいう。
また、動作状態とは、端末装置のOSが起動し、かつ少なくともエージェントプログラムが起動し、端末装置として機能している状態をいう。
In step S3-5, the first
The term “before grace” means that there is no need for grace separation at the present stage because it has been accepted, but it will be quarantined when the operation state is changed to the stop state or when it is changed from the stop state to the operation state in the future. This is a setting for the
The stopped state refers to a state in which the function of the terminal device is completely stopped by stopping the OS of the terminal device, for example, the power is turned off.
The operating state is a state in which the OS of the terminal device is activated and at least the agent program is activated and functions as the terminal device.
ステップS3−5に次いで行われるステップS3−6では、第1テーブル更新部241が、エージェントping応答を送信してきた検疫対象端末装置3のIPアドレス及びMACアドレスを、合格端末情報テーブル231に登録し、ステップS3−7へ進む。なお、ステップS3−6において、合格端末情報テーブル231に登録しようとするIPアドレス又はMACアドレスが、既に合格端末情報テーブル231に登録されている場合には、登録しようとするIPアドレス又はMACアドレスを、合格端末情報テーブル231に上書きする。
In step S3-6 performed after step S3-5, the first
処理がステップS3−7に来ると、第2判定部220bは、エージェントping応答を送信してきた検疫対象端末装置3は、「合格」であると判定し、エージェントping処理を終了する。
When the process comes to step S3-7, the
ステップS3−8では、検疫対象端末装置3が、隔離猶予端末情報テーブル236に登録されているか否かを第1テーブル更新部241が確認し、登録されていれば、当該検疫対象端末装置3に関する情報を削除する。隔離端末に対して、隔離猶予する必要はないからである。
In step S3-8, the first
ステップS3−8に次いで行われるステップS3−9では、第1テーブル更新部241が、エージェントping応答を送信してきた検疫対象端末装置3のIPアドレス及びMACアドレスを、隔離端末情報テーブル232に登録し、ステップS3−10へ進む。なお、ステップS3−9において、隔離端末情報テーブル232に登録しようとするIPアドレス又はMACアドレスが、既に隔離端末情報テーブル232に登録されている場合には、登録しようとするIPアドレス又はMACアドレスを、隔離端末情報テーブル232に上書きする。
In step S3-9 performed after step S3-8, the first
処理がステップS3−10に来ると、第2判定部220bは、エージェントping応答を送信してきた検疫対象端末装置3が、「隔離」であると判定し、エージェントping処理を終了する。
When the process comes to step S3-10, the
ステップS3−2において、エージェントping応答を一定期間待っても応答がない場合、ステップS3−11に進み、隔離猶予判定を行う。このステップS3−11の隔離猶予判定では、検疫対象端末装置3に対して、隔離猶予を実行するか否かを判定する。処理内容については、後述する。
In step S3-2, if there is no response even after waiting for an agent ping response for a certain period of time, the process proceeds to step S3-11 and a grace period is determined. In the quarantine grace determination of this step S3-11, it is determined whether or not the quarantine
ステップS3−11にて隔離猶予判定を行うと、ステップS3−12に進み、上記判定の結果が、隔離である場合、ステップS3−8に進む。また、上記判定の結果、隔離猶予である場合、ステップS3−13に進む。 If the isolation postponement determination is performed in step S3-11, the process proceeds to step S3-12. If the determination result is isolation, the process proceeds to step S3-8. If the result of the determination is that there is a grace period, the process proceeds to step S3-13.
処理がステップS3−13に来ると、第2判定部220bは、エージェントping応答を送信してきた検疫対象端末装置3が、「隔離猶予」であると判定し、エージェントping処理を終了する。
以上のように、エージェントping処理では、端末装置からのエージェントping応答に基づいて、当該端末装置が検査結果について所定の条件を満たした合格端末であるか否かの判定を行う。
When the process comes to step S3-13, the
As described above, in the agent ping process, based on the agent ping response from the terminal device, it is determined whether or not the terminal device is a passing terminal that satisfies a predetermined condition for the inspection result.
[6.2.4.1 隔離猶予判定処理(ステップS3−11)]
図15は、図14中、ステップS3−11の隔離猶予判定処理を示すフローチャートである。この隔離猶予判定処理は、図9、図10で示した、ARP要求パケット監視処理において、禁止端末、隔離端末、許可端末、及び合格端末のいずれにも当てはまらず、かつ、上記エージェントping処理において、第2判定部220bによってエージェントping応答送信がないと判断された検疫対象端末装置3が対象となる。
[6.2.4.1 Isolation grace determination process (step S3-11)]
FIG. 15 is a flowchart showing the isolation postponement determination process in step S3-11 in FIG. This grace period determination process does not apply to any of prohibited terminals, quarantine terminals, permitted terminals, and accepted terminals in the ARP request packet monitoring process shown in FIGS. 9 and 10, and in the agent ping process, The quarantine
この隔離猶予判定処理では、まず、判定部220の猶予処理部220cが、隔離猶予端末情報テーブル236を参照し、エージェントping処理においてエージェントping応答送信がなかった検疫対象端末装置3のIPアドレス及び/又はMACアドレスが登録されているか否かを確認する(ステップS3−11−1)。すなわち、対象の端末装置3が隔離猶予端末であるか否かを判定する。
In this quarantine grace determination process, first, the
登録されていなければ、第1テーブル更新部241は、当該検疫対象端末装置3のIPアドレス及び/又はMACアドレスを隔離猶予端末情報テーブル236に登録する(ステップS3−11−2)。この際、当該端末装置の猶予状態を「発見時」に設定し、設定した現在時刻を開始時刻として登録する。
「発見時」とは、端末情報テーブル230に登録されておらず、かつエージェントping応答の送信がない端末装置3を隔離猶予端末情報テーブル236に登録する際に設定される猶予状態である。検疫制御装置2は、この状態の端末装置が、エージェントプログラムがインストールされていないのか、停止状態から動作状態となる際でOSが起動した直後でエージェントプログラムがこれから起動する状態(「起動中」)なのか、また、動作状態から停止状態となる際でOSを終了させる直前であってエージェントプログラムが終了した状態(「終了中」)なのかを判断することができない。第1テーブル更新部241は、このような状態の端末であることを認識可能とするために猶予状態として「発見時」と設定する。
If not registered, the first
“At the time of discovery” is a grace state set when a
ステップS3−11−2の後、猶予処理部220cは、検疫対象端末装置3について、隔離猶予する旨を決定し(ステップS3−11−3)、戻る。
一方、ステップS3―11−1において、検疫対象端末装置3が、隔離猶予端末情報テーブル236に登録されている場合、猶予処理部220cは、その猶予状態を確認し(ステップS3−11−4)、「猶予前」の場合、ステップS3−11−5に進む。
ステップS3−11−5では、隔離猶予端末情報テーブル236における、当該端末装置の猶予状態を「猶予前」から「終了中」に変更し、設定した現在時刻を開始時刻として登録する。ステップS3−11−5の後、猶予処理部220cは、検疫対象端末装置3について、隔離猶予する旨を決定し(ステップS3−11−3)、戻る。
After step S3-11-2, the
On the other hand, when the quarantine
In step S3-11-5, the grace state of the terminal device in the quarantine grace terminal information table 236 is changed from “before grace” to “ending”, and the set current time is registered as the start time. After step S3-11-5, the
ステップS3−11−4、及びS3−11−5では、その端末装置が動作状態から停止状態になる際に、猶予状態が「猶予前」から「終了中」に変更されずに停止状態となる場合があるので、このような端末装置が動作状態になったときに、適切に隔離猶予可能とするために、猶予状態を「終了中」に変更する。 In steps S3-11-4 and S3-11-5, when the terminal device is changed from the operating state to the stopped state, the grace state is not changed from "before grace" to "being finished" but is stopped. In some cases, when such a terminal device is in an operating state, the grace state is changed to “ending” in order to enable appropriate grace isolation.
ステップS3−11−4において、検疫対象端末装置3の猶予状態が「猶予前」でないと判定された場合、ステップS3−11−6において、さらに、猶予状態を確認し、「終了中」の場合、ステップS3−11−7に進む。
なお、「終了中」とは、上述のように、端末装置が、動作状態から停止状態となる際、OSを停止させる直前に、エージェントプログラムが終了したと判断される状態のときに設定される猶予状態をいう。つまり、猶予状態が「終了中」に設定されている端末装置は、OSを停止させる直前であって、エージェントプログラムが終了している状態である。
この状態の端末装置は、OSは起動しているがエージェントプログラムが終了しているので、エージェントping応答の送信ができない。
When it is determined in step S3-11-4 that the grace state of the quarantine
Note that “being terminated” is set when the terminal device is in a state where it is determined that the agent program has been terminated immediately before the OS is stopped when the terminal device is stopped from the operating state, as described above. A grace state. That is, the terminal device whose grace state is set to “being finished” is a state immediately before the OS is stopped and the agent program is finished.
The terminal device in this state cannot transmit an agent ping response because the OS is activated but the agent program is terminated.
端末装置の状態が「終了中」に該当するか否かの判断は、後述する合格端末に対する定期的なエージェントPing実行処理(図20)において行われる。この処理において、合格端末であった端末装置がエージェントPingの応答を送信しなくなったときに、「猶予前」と判断される状態から「終了中」と判断される状態に変わったと判断する。 The determination as to whether or not the state of the terminal device corresponds to “being completed” is performed in a periodic agent ping execution process (FIG. 20) for a passing terminal described later. In this process, when the terminal device that has passed is no longer transmitting the agent Ping response, it is determined that the state determined to be “before grace” has changed to the state determined to be “ending”.
ステップS3−11−7では、猶予処理部220cは、対応する現在の状態の開始時刻を参照し、この開始時刻から現時刻までの経過時間が、予め定められた第1猶予時間内か否かを判定する。
前記経過時間が第1猶予時間内である場合には、猶予処理部220cは、ステップS3−11−3に進み、検疫対象端末装置3について、隔離猶予する旨を決定して戻る。
In step S3-11-7, the
If the elapsed time is within the first grace time, the
「終了中」の状態にある端末装置は、いずれ、停止状態となるので、図9中、ステップS2−1によるARP要求捕捉によって、捕捉されなくなるため、第1猶予時間は、端末装置が確実に停止する程度の時間に設定される。
なお、この対象の端末装置が停止状態になったとしても、隔離猶予端末情報テーブル236に登録されている各情報は、そのまま維持される。よって、猶予状態も「終了中」のまま維持される。
Since the terminal device in the “ending” state will eventually be stopped, in FIG. 9, the terminal device will not be captured by capturing the ARP request in step S 2-1. It is set to the time to stop.
Even if the target terminal device is stopped, the information registered in the quarantine postponement terminal information table 236 is maintained as it is. Therefore, the grace state is also maintained as “ending”.
一方、前記経過時間が第1猶予時間内でない場合、第1テーブル更新部241が、隔離猶予端末情報テーブル236における、当該端末装置の猶予状態を「起動中」に変更し(ステップS3−11−8)、変更した現在の時刻を開始時刻として登録する。次いで、猶予処理部220cは、ステップS3−11−3に進み、検疫対象端末装置3について、隔離猶予する旨を決定して戻る。
なお、「起動中」とは、上述のように、端末装置が、停止状態から動作状態となる際、OSが動作開始した直後で未だエージェントプログラムが起動しておらずこれから起動すると判断される状態のときに設定される猶予状態をいう。
この状態の端末装置は、OSは起動しているがエージェントプログラムが終了しているので、エージェントping応答の送信ができない。
On the other hand, if the elapsed time is not within the first grace period, the first
Note that “being activated” means that, as described above, when the terminal device changes from the stopped state to the operating state, the agent program is not started yet immediately after the OS starts operating, and is determined to start from now on. This is the grace state set when.
The terminal device in this state cannot transmit an agent ping response because the OS is activated but the agent program is terminated.
ステップS3−11−8において、猶予状態を「終了中」から「起動中」に変更することができる理由は、以下の通りである。
例えば、合格端末である端末装置が、動作状態から停止状態となり、さらに動作状態となるべく起動しようとする場合、上記「起動中」のようにOSが動作状態にあるのにエージェントプログラムが未だ起動していなければ、ARP要求パケット監視処理(図9)のステップS2−1によるARP要求捕捉によって捕捉される。
ここで、合格端末は、停止状態となる際に合格端末情報テーブルから削除されるので、この合格端末であった「起動中」と判断されうる状態の端末装置は、ARP要求パケット監視処理の各判定で全て未登録と判定され、隔離猶予判定処理に入る。
In step S3-11-8, the reason why the grace state can be changed from “being finished” to “being activated” is as follows.
For example, when a terminal device that is a passing terminal changes from an operating state to a stopped state and tries to start up as much as possible, the agent program is still started even though the OS is in the operating state as described above. If not, it is captured by capturing the ARP request in step S2-1 of the ARP request packet monitoring process (FIG. 9).
Here, since the passing terminal is deleted from the passing terminal information table when it enters the stop state, the terminal device in a state that can be determined to be “starting up”, which was the passing terminal, is in each of the ARP request packet monitoring processes. In the determination, all are determined to be unregistered, and the grace period determination process is started.
上述のように合格端末が停止状態となると、隔離猶予端末情報テーブル236にて登録されている猶予状態は、「終了中」に変更されるので、ステップS3−11−6からステップS3−11−7へと進む。電源をオフする等することにより端末装置を停止状態としてから再度起動する場合、端末装置が停止状態のときは、ARP要求によって捕捉されないので、再度起動し捕捉される状態となったときには、通常長時間経過している場合が多い。猶予状態は、停止状態から起動するまでの間、更新等はされないので、「終了中」のままである。
よって、猶予状態が「終了中」の状態で、端末装置が確実に停止する程度の時間に設定された第1猶予時間よりも長時間経過している場合、停止状態を経て、再度動作状態となるために起動を開始したと判断できる。
以上により、ステップS3−11−8においては、猶予状態を「終了中」から「起動中」に変更することができる。
As described above, when the passing terminal is in the stopped state, the grace state registered in the quarantine grace terminal information table 236 is changed to “being completed”, so the steps S3-11-6 to S3-11- Proceed to 7. When the terminal device is restarted after being turned off by turning off the power, etc., when the terminal device is in the stopped state, it is not captured by the ARP request. Many times have passed. Since the grace state is not updated during the period from the stop state to the start-up, it remains “ending”.
Therefore, when the grace state is in the state of “ending” and the terminal device has been stopped for a longer period of time than the first grace time set to the extent that the terminal device is surely stopped, the operation state is again set through the stop state. Therefore, it can be determined that activation has started.
As described above, in step S3-11-8, the postponement state can be changed from “being completed” to “being activated”.
ステップS3−11−6において、猶予状態が、「起動中」、又は「発見時」であると判定された場合、ステップS3−11−9に進み、猶予処理部220cは、対応する現在の状態の開始時刻を参照し、この開始時刻から現時刻までの経過時間が、予め定められた第2猶予時間内か否かを判定する。
前記経過時間が第2猶予時間内である場合、猶予処理部220cは、ステップS3−11−3に進み、検疫対象端末装置3について、判定結果を隔離猶予するものと決定して戻る。
一方、前記経過時間が第2猶予時間内でない場合、猶予処理部220cは、ステップS3−11−10に進み、検疫対象端末装置3について、判定結果を隔離猶予しないものと決定して戻る。
If it is determined in step S3-11-6 that the grace state is “starting up” or “at the time of discovery”, the process proceeds to step S3-11-9, and the
If the elapsed time is within the second grace time, the
On the other hand, if the elapsed time is not within the second grace time, the
第2猶予時間は、停止状態の端末装置が、OSが起動してから、少なくともエージェントとが起動した動作状態となるまでに必要な時間よりも若干長い時間に設定される。従って、このステップS3−11−9では、第2猶予時間を基準として、停止状態の端末装置が、「起動中」または、「発見時」であるか否かを判定しており、動作状態となるまで第2猶予時間の間内で隔離するのを猶予している。猶予状態が「起動中」であって元は合格端末であった端末装置は、第2猶予時間内に合格端末と判定される。合格端末と判定され合格端末情報テーブルに登録されれば、本処理に進まないからである。 The second grace period is set to a time slightly longer than the time necessary for the terminal device in the stopped state to be in the operating state in which at least the agent is activated after the OS is activated. Therefore, in this step S3-11-9, it is determined whether the terminal device in the stopped state is “starting up” or “at the time of discovery” based on the second grace period, Until it becomes, it is postponed to isolate within the second grace period. A terminal device whose grace state is “starting up” and was originally a passing terminal is determined to be a passing terminal within the second grace period. This is because if the terminal is determined to be a pass terminal and registered in the pass terminal information table, the process does not proceed.
以上のようにして、猶予処理部220cは、第2判定部220bによってエージェントping応答送信がないと判断された検疫対象端末装置3について、隔離猶予を実行するか否かを判定する。
As described above, the
[6.2.4.2 エージェントpingプロトコル]
図16は、エージェントpingプロトコルのシーケンスと、エージェントpingのデータ構造を示している。
なお、ここでは、検疫制御装置2が送出するエージェントpingを、「エージェントping要求」というものとする。
[6.2.4.2 Agent ping protocol]
FIG. 16 shows the sequence of the agent ping protocol and the data structure of the agent ping.
Here, the agent ping sent by the
エージェントpingパケットの実体は、通常のIPパケットのデータ部に、後述のタイプや検査結果(チェック結果)等の必要な情報を格納したものである。 The entity of the agent ping packet is obtained by storing necessary information such as the type and inspection result (check result) described later in the data part of a normal IP packet.
エージェントpingパケットには、エージェントping要求パケット(ステップS4−2)、エージェントping応答パケット(ステップS4−3)、及びエージェントping開始要求パケット(ステップS4−1)の計3種類がある。
これら3つのパケットを区別するため、エージェントpingは、そのデータ構造として「タイプ」というフラグ値領域を有している。図17に示すように、タイプには、「要求」「応答」「開始要求」の3種類を示す情報があり、いずれかの情報がエージェントpingパケットの「タイプ」領域に格納される。
There are three types of agent ping packets: an agent ping request packet (step S4-2), an agent ping response packet (step S4-3), and an agent ping start request packet (step S4-1).
In order to distinguish these three packets, the agent ping has a flag value area of “type” as its data structure. As shown in FIG. 17, the type includes information indicating three types of “request”, “response”, and “start request”, and any one of the information is stored in the “type” area of the agent ping packet.
なお、図16に示すエージェントpingデータ構造のうち、プロトコルバージョンは、エージェントpingプロトコルのバージョン情報を示す。
また、エージェントping応答には、プロトコルバージョン及びタイプ以外に、検査結果に関する情報が含まれる。
In the agent ping data structure shown in FIG. 16, the protocol version indicates version information of the agent ping protocol.
In addition to the protocol version and type, the agent ping response includes information related to the inspection result.
図16に示すように、検査結果に関する情報には、エージェントID、チェック結果(検査結果)、ポリシーファイル更新日時が含まれる。エージェントIDは、エージェントコンピュータプログラムP2の識別子であり、任意長のASCII文字列によって構成されている。チェック結果は、検疫対象端末3による検査結果を示すフラグ値であり、図18に示すように「合格」と「隔離」を示す情報があり、いずれかの情報が「チェック結果」領域に格納される。ポリシーファイル更新日時は、検査に用いた検査ポリシーの更新日時を示したものである。
As illustrated in FIG. 16, the information regarding the inspection result includes an agent ID, a check result (inspection result), and a policy file update date and time. The agent ID is an identifier of the agent computer program P2 and is composed of an arbitrary length ASCII character string. The check result is a flag value indicating an inspection result by the
[6.2.4.3 エージェントping開始要求]
エージェントpingは、検疫制御装置2が定期的に実施するものである。しかしそれだけでは、検疫対象端末装置3が定期的に又は必要時に行う検査の結果が、前回値と異なった場合(例えば、隔離すべき状態から合格の状態に変わった時)、検疫制御装置2は、それに応じた検疫制御の変更を瞬時に行うことができない。
[6.2.4.3 Agent ping start request]
The agent ping is regularly executed by the
そのため、検疫対象端末装置3は、このような検査結果の変化が起きた場合、またはその他必要な場合に、検疫制御装置2に対して、エージェントpingの送信開始を要求することができる。
特に、検疫対象端末装置3において、エージェントコンピュータプログラムP2が起動した時、及び、検疫対象端末装置3の利用者が、エージェントコンピュータプログラムP2に対して、検査の実施を要求し、その検査が終了した時には、必ず、エージェントping開始要求送信部335は、エージェントping開始要求を行う。図19は、このエージェントping開始要求のシーケンスを示している。
Therefore, the quarantine
In particular, in the quarantine
[6.3 合格端末に対する定期的なエージェントping処理]
図20に示すように、検疫制御装置2のエージェントping送信管理部212(図3参照)は、合格端末情報テーブル231に登録されている端末装置に対して定期的にエージェントpingを行うことで、妨害処理の要否を判断すると共に、テーブル230をメンテナンスする。
[6.3 Periodic Agent Ping Process for Passed Terminals]
As shown in FIG. 20, the agent ping transmission management unit 212 (see FIG. 3) of the
定期的エージェントping処理では、まず、管理部212が、合格端末情報テーブル231を参照する(ステップS5−1)。
合格端末情報テーブル231に、内部状態を確認すべき合格端末がある場合には、ステップS5−3に進み、合格端末情報テーブル231上のすべての端末装置の状態を確認した場合は、定期的エージェントping処理を終了する(ステップS5−2)。
In the periodic agent ping process, first, the management unit 212 refers to the passed terminal information table 231 (step S5-1).
If there is a passing terminal whose internal state is to be confirmed in the passing terminal information table 231, the process proceeds to step S5-3. If the states of all the terminal devices on the passing terminal information table 231 are confirmed, the periodic agent The ping process is terminated (step S5-2).
ステップS5−3では、エージェントping送信部211が、状態確認が必要な端末装置(合格端末)に対して、エージェントping要求を送信する(ステップS5−3)。
In step S5-3, the agent
エージェントping応答受信部213は、状態確認が必要な端末装置(状態確認対象端末装置)からのエージェントping応答を一定期間待つ(ステップS5−4)。一定期間待っても応答が無ければ、ステップ5−5に進み、一定期間内に応答があればステップS5−8へ進む。
The agent ping
ステップS5−5では、応答がない状態確認対象端末装置に対して、エージェントping要求を再送するかどうか判断する。当該シーケンスにおける再送回数が、検疫制御装置2の外部から指定された最大送出回数未満であれば、ステップS5−3に戻る。一方、当該シーケンスにおける再送回数が、前記最大送出回数に達していれば、ステップS5−6へ進む。
In step S5-5, it is determined whether or not to resend the agent ping request to the state confirmation target terminal device that does not respond. If the number of retransmissions in the sequence is less than the maximum number of transmissions designated from the outside of the
処理がステップS5−6に来た場合、合格端末であった状態確認対象端末装置からエージェントping応答がなかったことになるので、当該端末装置のIPアドレス及びMACアドレスを、合格端末情報テーブル231から削除し、ステップS5−7に進む。 When the processing has come to step S5-6, it means that there is no agent ping response from the state confirmation target terminal device that was a successful terminal, so the IP address and MAC address of the terminal device are obtained from the accepted terminal information table 231. Delete and proceed to step S5-7.
ステップS5−7では、隔離猶予端末情報テーブル236における、当該端末装置の猶予状態を「終了中」に変更する。なお、端末装置は、エージェントping処理において、合格端末として登録される際に、猶予状態を「猶予前」として隔離猶予端末情報テーブル236に登録されるので(図14中、ステップS3−5)、合格端末であった端末装置は、猶予状態が「猶予前」であり、ステップS5−7にて「猶予前」から「終了中」に変更される。 In step S5-7, the grace state of the terminal device in the quarantine grace terminal information table 236 is changed to “ending”. When the terminal device is registered as a passing terminal in the agent ping process, the terminal device is registered in the quarantine terminal device information table 236 with the grace state “before grace” (step S3-5 in FIG. 14). The terminal device that was a successful terminal has a grace state of “before grace”, and is changed from “before grace” to “ending” in step S5-7.
合格端末として登録されていた端末装置が、エージェントping応答を送信しなくなる理由は、動作状態から停止状態となる際に、OSを停止させる直前であってOSが起動した状態でエージェントプログラムが終了したことによることが大半と考えられる。
このため、ステップS5−6で合格端末としての登録が削除されたときには、その端末装置はOSが停止する直前であって、エージェントプログラムが終了している状態であると判断できるので、ステップS5−7において、猶予状態を「猶予前」から「終了中」に変更する。
The reason why the terminal device registered as a passing terminal does not send the agent ping response is that the agent program ends when the OS is started immediately before the OS is stopped when the operating state is changed to the stopped state. It is thought that the majority is due to this.
For this reason, when the registration as a successful terminal is deleted in step S5-6, it can be determined that the terminal device is in a state immediately before the OS is stopped and the agent program has ended. 7, the grace state is changed from “before grace” to “ending”.
ステップS5−8では、受信したエージェントping応答が正常であるかどうかを判断する。正常であれば、ステップS5−9へ進み、不正であれば、ステップS5−10へ進む。 In step S5-8, it is determined whether the received agent ping response is normal. If normal, the process proceeds to step S5-9, and if invalid, the process proceeds to step S5-10.
ステップS5−9では、第2判定部220bが、エージェントping応答に含まれる「ポリシーチェック結果」を確認する。「ポリシーチェック結果」が「合格」を意味している場合は、ステップS5−2に戻り、「隔離」を意味している場合は、ステップS5−10へ進む。
In step S5-9, the
ステップS5−10では、状態確認対象端末装置のIPアドレス及びMACアドレスを、合格端末情報テーブル231から削除し、ステップS5−11へ進む。
ステップS5−11では、状態確認対象端末装置のIPアドレス及びMACアドレスを、隔離端末情報テーブル232に登録し、ステップS5−12へ進む。
In step S5-10, the IP address and MAC address of the state confirmation target terminal device are deleted from the passed terminal information table 231, and the process proceeds to step S5-11.
In step S5-11, the IP address and MAC address of the status check target terminal device are registered in the quarantine terminal information table 232, and the process proceeds to step S5-12.
ステップS5−12では、隔離と判定された状態確認対象端末装置の通信を妨害するため、疑似ARP応答をブロードキャストし、ステップS5−2に戻る。
ここで送信される疑似ARP応答は、図21に示すように、「送信元IPアドレス」に状態確認対象端末装置のIPアドレス、「送信元MACアドレス」に検疫制御装置2のMACアドレス、「送信先IPアドレス」および「送信先MACアドレス」にそれぞれブロードキャストアドレスを設定したものである。
このように、疑似ARP応答が、ブロードキャスト送信されることで、ネットワーク内の全端末装置が、補捉したARP要求の送信元のMACアドレスを誤って認識・学習することになる。
In step S5-12, a pseudo ARP response is broadcast in order to disturb the communication of the state confirmation target terminal device determined to be isolated, and the process returns to step S5-2.
As shown in FIG. 21, the pseudo ARP response transmitted here includes the “source IP address” as the IP address of the state confirmation target terminal device, the “source MAC address” as the MAC address of the
As described above, the pseudo ARP response is broadcasted, so that all terminal devices in the network erroneously recognize and learn the MAC address of the source of the captured ARP request.
[6.4 隔離端末に対する定期的なエージェントping処理]
図22に示すように、検疫制御装置2のエージェントping送信管理部212(図3参照)は、隔離端末情報テーブル231に登録されている端末装置に対して定期的にエージェントpingを行うことで、妨害処理の要否を判断すると共に、テーブル230をメンテナンスする。
[6.4 Periodic agent ping process for isolated terminals]
As shown in FIG. 22, the agent ping transmission management unit 212 (see FIG. 3) of the
まず、管理部212は、隔離端末情報テーブル232を参照し、ステップS6−2に進む(ステップS6−1)。
隔離端末情報テーブル232に、内部状態を確認すべき隔離端末がある場合は、ステップS6−3に進み、隔離端末情報テーブル232上のすべての端末装置の状態を確認した場合は、定期的エージェントping処理を終了する(ステップS6−2)。
First, the management unit 212 refers to the isolated terminal information table 232 and proceeds to step S6-2 (step S6-1).
If there is a quarantine terminal whose internal state is to be confirmed in the quarantine terminal information table 232, the process proceeds to step S6-3. If the state of all terminal devices on the quarantine terminal information table 232 is confirmed, the periodic agent ping The process ends (step S6-2).
ステップS6−3では、エージェントping送信部211が、状態を確認する必要がある端末(状態確認対象端末装置)に対して、エージェントping要求を送信し、ステップS6−4に進む。
In step S6-3, the agent
ステップS6−4では、状態確認対象端末装置からのエージェントping応答を一定期間待つ。一定期間待っても応答がなければ、ステップS6−5へ進み、一定期間内に応答があれば、ステップS6−8へ進む。 In step S6-4, an agent ping response from the state confirmation target terminal device is waited for a certain period. If there is no response after waiting for a certain period, the process proceeds to step S6-5, and if there is a response within the certain period, the process proceeds to step S6-8.
ステップS6−5では、状態確認対象端末装置に対して、エージェントping要求を再送するかどうか判断する。当該シーケンスにおける再送回数が、検疫制御装置の外部から指定する最大送出回数未満ならば、ステップS6−3に戻る。当該シーケンスにおける再送回数が、前記最大送出回数に達していれば、ステップS6−6に進む。 In step S6-5, it is determined whether to resend the agent ping request to the state check target terminal device. If the number of retransmissions in the sequence is less than the maximum number of transmissions designated from outside the quarantine control device, the process returns to step S6-3. If the number of retransmissions in the sequence has reached the maximum number of transmissions, the process proceeds to step S6-6.
ステップS6−6では、状態確認対象端末装置が、前回のポーリングで応答無しだった場合(つまり、隔離端末情報テーブル232の「エージェントping応答の有無」欄の値が、「応答無し」を示している場合)、ステップS6−2に戻る。なお、ここで、「前回のポーリング」とは、前回行った「隔離端末に対する定期的なエージェントping処理」をいい、以下同様である。
状態確認対象端末装置が、前回のポーリングで応答有りだった場合(つまり、隔離端末情報テーブル232の「エージェントping応答の有無」欄の値が、「応答有り」を示している場合)、ステップS6−7に進む。
In step S6-6, when the status confirmation target terminal device has not responded in the previous polling (that is, the value in the “presence / absence of agent ping response” column of the isolated terminal information table 232 indicates “no response”). If so, the process returns to step S6-2. Here, “previous polling” refers to “periodic agent ping processing for isolated terminals” performed previously, and so on.
When the status confirmation target terminal device has responded in the previous polling (that is, when the value in the “presence / absence of agent ping response” column of the quarantine terminal information table 232 indicates “response present”), step S6 Proceed to -7.
処理がステップS6−7に来た場合、状態確認対象端末装置のIPアドレス又はMACアドレス、或いはそれら両方を隔離端末情報テーブル232から削除し、ステップS6−2に戻る。前回のポーリングで「応答有り」であった端末装置については、夜間マシン停止など、正常オペレーションの範囲で応答できなかった可能性が高い。したがって、前回のポーリングで「応答有り」であった端末装置については、隔離端末情報テーブル232から削除することで、当該端末装置を隔離端末として隔離端末情報テーブル232に記憶し続けるのを避けることができる。 When the processing has come to step S6-7, the IP address and / or MAC address of the state confirmation target terminal device is deleted from the quarantine terminal information table 232, and the process returns to step S6-2. There is a high possibility that the terminal device that was “response” in the previous polling could not respond within the range of normal operation such as machine stop at night. Therefore, it is possible to avoid storing the terminal device as a quarantine terminal in the quarantine terminal information table 232 by deleting it from the quarantine terminal information table 232. it can.
ステップS6−8では、受信したエージェントping応答が正常であるかどうかを判断する。正常であれば、ステップS6−9へ進み、不正であれば、ステップS6−2に戻る。 In step S6-8, it is determined whether the received agent ping response is normal. If normal, the process proceeds to step S6-9. If invalid, the process returns to step S6-2.
ステップS6−9では、第2判定部220bが、エージェントping応答に含まれる「ポリシーチェック結果」を確認する。「ポリシーチェック結果」が「隔離」を意味している場合は、ステップS6−10に進み、「合格」を意味している場合は、ステップS6−11へ進む。
In step S6-9, the
ステップS6−10では、隔離端末情報テーブル232にある状態確認端末装置の「エージェントping応答の有無の欄」の値を、「応答有り」を示す値に更新し、ステップS6−2に戻る。 In step S6-10, the value of the “agent ping response presence / absence column” of the status check terminal device in the quarantine terminal information table 232 is updated to a value indicating “response present”, and the process returns to step S6-2.
ステップS6−11では、状態確認対象端末装置のIPアドレス又はMACアドレス、或いはそれら両方を、隔離端末情報テーブル232から削除し、ステップS6−12へ進む。
ステップS6−12では、状態確認対象端末装置のIPアドレス及びMACアドレスを、合格端末情報テーブル232に登録し、ステップS6−13へ進む。
In step S6-11, the IP address and / or MAC address of the state confirmation target terminal device is deleted from the quarantine terminal information table 232, and the process proceeds to step S6-12.
In step S6-12, the IP address and MAC address of the state confirmation target terminal device are registered in the passed terminal information table 232, and the process proceeds to step S6-13.
以上によって、隔離端末と判定されていた状態確認対象端末装置が合格端末に変化したことから、ステップS6−13では、状態確認対象端末に対する妨害処理を解除するため、通信正常化部270の正常ARP応答送信部271(図3参照)によって、正常ARP応答をブロードキャスト送信し、ステップS6−13にもどる。
ここで送信される正常ARP応答は、図23に示すように、「送信元IPアドレス」に状態確認対象端末装置のIPアドレス、「送信元MACアドレス」に状態確認対象端末装置のMACアドレス、「送信先IPアドレス」および「送信先MACアドレス」にそれぞれブロードキャストアドレスを設定したものである。
As described above, since the state confirmation target terminal device that has been determined to be an isolated terminal has changed to a passing terminal, in step S6-13, the normalization ARP of the
As shown in FIG. 23, the normal ARP response transmitted here includes the “source IP address” of the IP address of the state confirmation target terminal device, the “source MAC address” the MAC address of the state confirmation target terminal device, “ A broadcast address is set for each of “destination IP address” and “destination MAC address”.
正常ARP応答のブロードキャスト送信により、ネットワーク内の全端末は、状態確認対象端末装置のMACアドレスを正しく学習できるため、状態確認対象端末装置との間の通信が正常に行える。 By broadcast transmission of the normal ARP response, all terminals in the network can correctly learn the MAC address of the state check target terminal device, and thus can communicate normally with the state check target terminal device.
[6.5 隔離猶予端末に対する定期的なエージェントping処理]
図24に示すように、検疫制御装置2のエージェントping送信管理部212(図3参照)は、隔離猶予端末情報テーブル236に登録されている端末装置に対して定期的にエージェントpingを行うことで、妨害処理の要否を判断すると共に、テーブル230をメンテナンスする。
[6.5 Regular Agent Ping Process for Quarantine Postponed Terminals]
As shown in FIG. 24, the agent ping transmission management unit 212 (see FIG. 3) of the
まず、管理部212は隔離猶予端末情報テーブル236を参照し、ステップS20−2に進む(ステップS20−1)。
隔離猶予端末情報テーブル236に、「猶予前」以外の猶予状態で登録されている隔離端末がある場合は、ステップS20−3に進み、隔離猶予端末情報テーブル236上のすべての端末装置の状態を確認した場合は、定期的エージェントping処理を終了する(ステップS20−2)。
First, the management unit 212 refers to the grace isolation terminal information table 236 and proceeds to step S20-2 (step S20-1).
If there is a quarantine terminal registered in the grace period terminal information table 236 in a grace state other than “before grace”, the process proceeds to step S20-3, and the statuses of all terminal devices on the grace period terminal information table 236 are displayed. If confirmed, the periodic agent ping process is terminated (step S20-2).
ステップS20−3では、エージェントping送信部211が、状態を確認する必要がある端末(状態確認対象端末装置)に対して、エージェントping要求を送信し、ステップS20−4に進む。
In step S20-3, the agent
ステップS20−4では、状態確認対象端末装置からのエージェントping応答を一定期間待つ。一定期間待っても応答がなければ、ステップS20−5へ進み、一定期間内に応答があれば、ステップS20−8へ進む。 In step S20-4, an agent ping response from the state confirmation target terminal device is waited for a certain period. If there is no response after waiting for a certain period, the process proceeds to step S20-5, and if there is a response within the certain period, the process proceeds to step S20-8.
ステップS20−5では、状態確認対象端末装置に対して、エージェントping要求を再送するかどうか判断する。当該シーケンスにおける再送回数が、検疫制御装置の外部から指定する最大送出回数未満ならば、ステップS20−3に戻る。当該シーケンスにおける再送回数が、前記最大送出回数に達していれば、ステップS20−6に進む。 In step S20-5, it is determined whether to resend the agent ping request to the state check target terminal device. If the number of retransmissions in the sequence is less than the maximum number of transmissions designated from outside the quarantine control device, the process returns to step S20-3. If the number of retransmissions in the sequence has reached the maximum number of transmissions, the process proceeds to step S20-6.
ステップS20−6では、隔離猶予判定を行う。このステップS20−6の隔離猶予判定では、状態確認対象端末装置に対して、隔離猶予を実行するか否かを判定する。
図25は、図24中、ステップS20−6の隔離猶予判定処理を示すフローチャートである。ステップS20−6では、猶予状態が「猶予前」である端末装置は除外されるため、猶予状態が「終了中」、「起動中」、及び「発見時」である端末装置に限られる。
なお、図25のフローチャート中のステップS20−6−1、S20−6−2、S20−6−4、S20−6−5、S20−6−6は、図15中、ステップS3−11−6〜S3−11−10と同様の処理であり、図25のステップS20−6−3は、図15中、ステップS3−11−3と同様の処理であるので、ここでは説明を省略する。
In step S20-6, isolation postponement determination is performed. In the isolation postponement determination of step S20-6, it is determined whether or not to perform the isolation postponement for the state confirmation target terminal device.
FIG. 25 is a flowchart showing the isolation postponement determination process in step S20-6 in FIG. In step S20-6, since the terminal device whose grace state is “before grace” is excluded, the terminal device is limited to the terminal devices whose grace state is “ending”, “starting up”, and “when discovered”.
Note that steps S20-6-1, S20-6-2, S20-6-4, S20-6-5, and S20-6-6 in the flowchart of FIG. 25 are the same as steps S3-11-6 in FIG. ~ S3-11-10, and step S20-6-3 in FIG. 25 is the same as step S3-11-3 in FIG.
ステップS20−6にて隔離猶予判定を行うと、ステップS20−7に進み、隔離猶予判定の結果、隔離である場合、後述するステップS20−10に進む。また、上記判定の結果、隔離猶予である場合、ステップS20−2に戻る。 If the isolation postponement determination is performed in step S20-6, the process proceeds to step S20-7. If the isolation postponement determination results in isolation, the process proceeds to step S20-10 described later. If the result of the determination is that there is a grace period, the process returns to step S20-2.
ステップS20−8では、受信したエージェントping応答が正常であるかどうかを判断する。正常であれば、ステップS20−9へ進み、不正であれば、ステップS20−10に進む。
ここで、状態確認対象端末装置からエージェントping応答があるということは、当該状態確認対象端末装置は、動作状態にあると判断できる。つまり、この状態確認対象端末装置は、誤って隔離猶予端末情報テーブル236に登録されていると判断できる。
In step S20-8, it is determined whether the received agent ping response is normal. If normal, the process proceeds to step S20-9, and if invalid, the process proceeds to step S20-10.
Here, when there is an agent ping response from the state confirmation target terminal device, it can be determined that the state confirmation target terminal device is in an operating state. That is, it can be determined that this state confirmation target terminal device is erroneously registered in the quarantine postponement terminal information table 236.
そこで、ステップS20−9では、第2判定部220bが、エージェントping応答に含まれる「ポリシーチェック結果」を確認する。「ポリシーチェック結果」が「隔離」を意味している場合は、ステップS20−10に進み、「合格」を意味している場合は、ステップS20−13へ進む。
Therefore, in step S20-9, the
ステップS20−10では、隔離猶予端末情報テーブル236から、当該状態確認対象端末装置に関する情報を削除する。隔離端末に対して、隔離猶予する必要はないからである。
ステップS20−10に次いで行われるステップS20−11では、第1テーブル更新部241が、エージェントping応答を送信してきた状態確認対象端末装置のIPアドレス及びMACアドレスを、隔離端末情報テーブル232に登録し、ステップS20−12へ進む。
ステップS20−12では、隔離と判定された状態確認対象端末装置の通信を妨害するため、疑似ARP応答をブロードキャストし、ステップS20−2に戻る。なお、ステップS20−12の処理は、図20中、ステップS5−12と同様である。
In step S20-10, information related to the state confirmation target terminal device is deleted from the quarantine postponement terminal information table 236. This is because there is no need for a grace period for the quarantine terminal.
In step S20-11 performed after step S20-10, the first
In step S20-12, a pseudo ARP response is broadcast in order to disturb the communication of the state confirmation target terminal device determined to be isolated, and the process returns to step S20-2. Note that the processing in step S20-12 is the same as that in step S5-12 in FIG.
一方、ステップS20−9において「合格」と判断された場合に進むステップS20−13では、隔離猶予端末情報テーブル236における、状態確認対象端末装置の猶予状態を「猶予前」に変更する。
さらに、ステップS20−14では、状態確認対象端末装置のIPアドレス及びMACアドレスを、合格端末情報テーブル232に登録し、ステップS20−2へ進む。
On the other hand, in step S20-13 which proceeds when it is determined as “passed” in step S20-9, the grace state of the state confirmation target terminal device in the quarantine grace terminal information table 236 is changed to “before grace”.
Furthermore, in step S20-14, the IP address and MAC address of the state confirmation target terminal device are registered in the passed terminal information table 232, and the process proceeds to step S20-2.
以上のように、隔離猶予端末に対する定期的なエージェントping処理を行うことで、誤って、猶予状態が「終了中」、「起動中」、及び「発見時」と判断されて隔離猶予端末情報テーブル236に登録された、動作状態にある端末装置を発見することができる。さらに、動作状態と判断された状態確認対象端末装置に対して、隔離端末か否かの判定を行うことで、各端末装置に対する処理の適正化を図ることができる。 As described above, by performing the periodic agent ping process for the grace terminal, the grace state is erroneously determined as “ending”, “starting up”, and “when discovered”, and the grace terminal information table The terminal device registered in H.236 and in the operating state can be found. Furthermore, it is possible to optimize the processing for each terminal device by determining whether or not the state confirmation target terminal device determined to be in the operating state is an isolated terminal.
[6.6 検疫対象端末装置における内部状態の検査]
図26は、検疫対象端末装置3の検査制御部310による、検査ポリシーに従った検査の処理手順を示している。
[6.6 Inspection of internal status of quarantined terminal device]
FIG. 26 shows an inspection processing procedure according to the inspection policy by the
所定の検査トリガが発生すると(ステップS7−1)、検査実行部331が、検査ポリシーに従って、検疫対象端末装置3の内部状態の検査(ポリシーチェック)を実行する(ステップS7−2)。
When a predetermined inspection trigger occurs (step S7-1), the
検査トリガとしては、例えば、エージェントコンピュータプログラムP2の起動時、検疫対象端末装置3の利用者による手動実行、エージェントコンピュータプログラムP2の制御部310による定期的実行、などがある。
The inspection trigger includes, for example, when the agent computer program P2 is started, manual execution by the user of the quarantine
検査(ポリシーチェック)結果が、前回検査時と異なっていた場合(ステップS7−3)、エージェントping開始要求送信部335は、エージェントping開始要求を、検疫制御装置2に送信する(ステップS7−5)。ただし、検疫制御装置2のIPアドレス及びMACアドレスは、検疫制御装置2からのエージェントpingによって取得するため、それまでにエージェントpingを受信していなければ、エージェントping開始要求を送信できない(ステップS7−4)。
その後、検疫制御装置からエージェントping要求を受信したら、エージェントping応答として、検査結果を検疫制御装置2に送信する。
When the inspection (policy check) result is different from the previous inspection (step S7-3), the agent ping start
Thereafter, when an agent ping request is received from the quarantine control device, the inspection result is transmitted to the
[6.7 第2テーブルの登録処理]
図27に示すように、検疫管理サーバ4のテーブル生成部410(図7参照)では、管理者が、第2テーブル230bのテーブル情報を入力装置から入力することができる(ステップS8−1)。
入力された第2テーブル230bのテーブル情報は、テーブル送信部420(図7参照)によって、検疫制御装置2に送信される(ステップS8−2)。
[6.7 Second Table Registration Process]
As shown in FIG. 27, in the table generation unit 410 (see FIG. 7) of the
The input table information of the second table 230b is transmitted to the
図28に示すように、検疫制御装置2では、第2テーブル更新部232(図3参照)が、第2テーブル230bのテーブル情報を受信し(ステップS9−1)、第2テーブル領域230bの内容を更新する(ステップS9−2)。
As shown in FIG. 28, in the
[6.8 通信妨害処理]
[6.8.1 妨害の実現方法]
図29は、既述の疑似ARP応答パケットのデータ構造を示している。この疑似ARP応答パケットは、送信元IPアドレスを格納する第1領域D1に妨害対象端末装置のIPアドレスが格納され、送信元MACアドレスを格納する第2領域D2に検疫制御装置2のMACアドレスが格納され、送信先IPアドレスを格納する第3領域D3及び送信先MACアドレスを格納する第4領域D4に、それぞれ、ブロードキャストアドレスが格納されている。
検疫制御装置2が、この疑似ARP応答をブロードキャストすることで、妨害対象端末装置の通信妨害がおこなわれる。なお、送信元MACアドレスが格納される第2領域D2には、検疫制御装置2のMACアドレスに代えて、パケット収集・破棄用の別の装置のMACアドレスであってもよい。すなわち、第2領域には、妨害対象端末の正しいMACアドレス以外の偽MACアドレスが格納されていればよい。
[6.8 Communication jamming processing]
[6.8.1 Interfering method]
FIG. 29 shows the data structure of the above-described pseudo ARP response packet. In this pseudo ARP response packet, the IP address of the terminal device to be disturbed is stored in the first area D1 where the source IP address is stored, and the MAC address of the
The
疑似ARP応答のブロードキャスト送信によって、検疫制御装置2の周囲にある端末装置は、疑似ARP応答を受信して、妨害対象端末装置のMACアドレスとして、検疫制御装置のMACアドレス(又は別の装置のMACアドレス)を誤って認識・学習する。
これにより、周囲の端末装置から妨害対象端末装置へ向けて送信されたデータパケットはすべて検疫制御装置2(又は別の装置)に届くようになる。検疫制御装置は、そのデータパケットを破棄することにより、データパケットが妨害対象端末装置に届かなくなる。その結果、妨害対象端末装置とその通信相手との間での双方向通信(TCP)或いは通信相手から妨害対象端末装置への片方向通信(UDP)が成立せず、妨害となる。
By broadcast transmission of the pseudo ARP response, the terminal devices around the
As a result, all data packets transmitted from the surrounding terminal devices to the interference target terminal device reach the quarantine control device 2 (or another device). The quarantine control apparatus discards the data packet, so that the data packet does not reach the disturbance target terminal apparatus. As a result, two-way communication (TCP) or one-way communication (UDP) from the communication partner to the disturbance target terminal device is not established between the disturbance target terminal device and the communication partner, resulting in interference.
図30は、妨害すべき端末Aから、ARP要求パケットが送出されてから、妨害が成立するまでのARPの流れを示している。
まず、端末Aから端末BのMACアドレスを取得するためのARP要求パケットが送出される(ステップS10−1)。これにより、端末Bは、一旦は、端末AのMACアドレスを正しく学習する。
なお、このARP要求パケットは、検疫制御装置2によって補捉される(ステップS10−2)。
FIG. 30 shows the flow of ARP from the time when an ARP request packet is transmitted from the terminal A to be blocked until the blocking is established.
First, an ARP request packet for acquiring the MAC address of terminal B is transmitted from terminal A (step S10-1). Thereby, the terminal B once correctly learns the MAC address of the terminal A.
The ARP request packet is captured by the quarantine control device 2 (step S10-2).
端末Bは、通常のARP応答を、端末Aに送信する(ステップS10−3)。これにより、端末Aは、端末BのMACアドレスを学習する。 Terminal B transmits a normal ARP response to terminal A (step S10-3). Thereby, the terminal A learns the MAC address of the terminal B.
検疫制御装置2は、補捉したARP要求パケットに基づき、必要であればエージェントpingを行って、端末Aは妨害が必要な妨害対象端末であると判定する(ステップS10―4)。
すると、検疫制御装置2は、図30に示すように、送信元MACアドレスを、自己のMACアドレスとし、送信元IPアドレスを端末AのIPアドレスとした、疑似ARP応答をブロードキャスト送信する(ステップS10−5)。これにより、端末Bを含むネットワーク上の全端末(端末Aを除く)は、端末AのMACアドレスを誤って学習し、妨害が成立する。
The
Then, as shown in FIG. 30, the
なお、疑似ARP応答は、ブロードキャストされるものの、妨害対象端末装置のIPアドレスが送信先IPアドレスに設定されるため、妨害対象端末装置は受信できない。 Although the pseudo ARP response is broadcast, since the IP address of the target terminal device to be disturbed is set as the destination IP address, the target terminal device cannot be received.
図31は、図30とは逆に、通信相手(非妨害対象端末)B側が、妨害対象端末装置Aと通信するために、当該通信相手BがARP要求を送出してから、妨害が成立するまでのARPの流れを示している。 In FIG. 31, contrary to FIG. 30, since the communication partner (non-disturbance target terminal) B communicates with the interference target terminal device A, the communication partner B sends out an ARP request, and the interference is established. The flow of ARP until is shown.
まず、通信相手である端末Bから端末AのMACアドレスを取得するためのARP要求パケットが送出される(ステップS11−1)。このARP要求パケットは、検疫制御装置2によって補捉される。
First, an ARP request packet for acquiring the MAC address of terminal A is transmitted from terminal B, which is a communication partner (step S11-1). This ARP request packet is captured by the
端末Aは、通常のARP応答を、端末Bに送信する(ステップS11−2)。これにより、端末Bは、一旦は、端末AのMACアドレスを正しく学習する。 Terminal A transmits a normal ARP response to terminal B (step S11-2). Thereby, the terminal B once correctly learns the MAC address of the terminal A.
検疫制御装置2は、端末AのMACアドレスが不明であるので、未登録端末装置処理部290のARP要求送信部291(図3参照)により、ARP要求を端末Aに送信する(ステップS11−3)。
すると、端末Aは、ARP応答を検疫制御装置2に送信してくる(ステップS11−4)ので、これをARP応答受信部292により受信する。これにより、検疫制御装置2は、端末AのMACアドレスを取得できる。
Since the MAC address of the terminal A is unknown, the
Then, since the terminal A transmits an ARP response to the quarantine control apparatus 2 (step S11-4), the terminal A receives this by the ARP
そして、検疫制御装置2は、必要であればエージェントpingを行って、端末Aは妨害が必要な妨害対象端末であると判定する(ステップS11―5)。
すると、検疫制御装置2は、図29に示すように、送信元MACアドレスを、自己のMACアドレスとし、送信元IPアドレスを端末AのIPアドレスとした、疑似ARP応答をブロードキャスト送信する(ステップS11−6)。これにより、端末Bを含むネットワーク上の全端末(端末Aを除く)は、端末AのMACアドレスを誤って学習し、妨害が成立する。
Then, the
Then, as shown in FIG. 29, the
なお、疑似ARP応答は、ブロードキャストされるものの、妨害対象端末装置のIPアドレスが送信先IPアドレスに設定されるため、妨害対象端末装置は受信できない。 Although the pseudo ARP response is broadcast, since the IP address of the target terminal device to be disturbed is set as the destination IP address, the target terminal device cannot be received.
上記のような妨害処理を行うことで、妨害対象端末装置のARPテーブルが静的に設定されており、妨害対象端末装置がARP要求パケットを送出しないようにされている場合であっても、通信相手に誤学習させることで、通信を妨害できる。 By performing the interference processing as described above, even if the ARP table of the interference target terminal device is statically set and the interference target terminal device is configured not to transmit the ARP request packet, the communication is performed. Communication can be interrupted by having the other party mislearn.
[6.8.2 疑似ARP応答パケットの定期的な送信]
図30及び図31のステップ10−6及びステップS11−7に示したように、検疫制御装置2は、定期的に疑似ARP応答パケットのブロードキャスト送信を行う。各端末装置が学習したARPテーブルの内容は、その通信相手との通信が一定期間以上無いと自動的に削除されてしまう。そのため、検疫制御装置2の疑似ARP応答送信管理部262は、禁止端末情報テーブル234又は隔離端末情報テーブル232に登録されている端末装置の通信を妨害するための疑似ARP応答を定期的にブロードキャスト送信する。
[6.8.2 Periodic transmission of pseudo ARP response packet]
As shown in Step 10-6 and Step S11-7 of FIGS. 30 and 31, the
[6.8.3 中継機能]
妨害対象端末装置宛として検疫制御装置2(又は他の収集・破棄用装置)に送られてくるデータパケットのうち、送信元(=検疫制御装置の周囲の端末装置)のIPアドレスが、例外情報テーブル235に登録されている場合、検疫制御装置2(又は他の収集・破棄用装置)の通信中継部281は、そのデータパケットを破棄せずに、妨害対象端末装置に転送する。つまり、妨害対象端末装置であっても、例外に指定された端末装置との間だけは通信を成立させる(妨害しない)。
[6.8.3 Relay function]
Among the data packets sent to the quarantine control device 2 (or other collection / discard device) addressed to the interference target terminal device, the IP address of the transmission source (= terminal devices around the quarantine control device) is the exception information. When registered in the table 235, the
例外通信を許可することで、隔離端末と判断された検疫対象端末装置3の内部状態を改善するためのリソース(OSの月例パッチ(Hotfix))やウィルス対策ソフトウェアのパターンファイルなど)が、特定の社内サーバーやインターネット上のサーバにある場合に、隔離端末が当該リソース又はファイル等を取得することができる。
つまり、当該リソース又はファイル等があるサーバを例外情報テーブルに登録しておくことで、当該リソース又はファイル等を当該サーバからネットワーク経由で取得することができ、隔離端末の内部状態改善を容易に行える。
By allowing exception communication, resources (such as OS monthly patch (hotfix)) and anti-virus software pattern files for improving the internal state of the quarantine
In other words, by registering a server with the resource or file in the exception information table, the resource or file can be acquired from the server via the network, and the internal state of the isolated terminal can be easily improved. .
仮に、例外通信を許可しない場合、内部状態を改善するためのリソース等は、CD−ROMなどオフラインで入手するほか無く、内部状態改善のための手間が著しく増加するが、例外通信を許可することで、こうした手間が低減される。 If exception communication is not permitted, resources for improving the internal state must be obtained offline, such as a CD-ROM, and the effort for improving the internal state will increase significantly, but allow exception communication. Thus, such trouble is reduced.
[6.9 通信妨害処理の猶予]
図32は、合格端末である端末Aが、動作状態から停止状態となり、再度、動作状態となる際の、通信妨害処理の実行の猶予の態様を説明するためのシーケンス図である。
図32中、OS、及びエージェントプログラムが共に起動し動作状態にある合格端末である端末Aは、検疫制御装置2の合格端末情報テーブル231に合格端末として登録されるとともに隔離猶予端末情報テーブル236に猶予状態が「猶予前」として登録されている。
[6.9 Postponement of communication interference processing]
FIG. 32 is a sequence diagram for explaining a postponement of execution of communication interference processing when the terminal A, which is a passing terminal, changes from the operating state to the stopped state and then enters the operating state again.
In FIG. 32, the terminal A, which is a passing terminal in which the OS and the agent program are both activated and in an operating state, is registered as a passing terminal in the passing terminal information table 231 of the
従って、図32のように、仮に端末AのARP要求パケット(ステップS12−1)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となったとしても、合格端末に登録されているので、そのまま当該処理を終える。
また、検疫制御装置2から定期的なエージェントping要求(ステップS12−2)を受信すると、端末Aは、合格端末なので、エージェントping応答を送信するので(ステップS12−3)、この場合もそのまま処理を終える。
Therefore, as shown in FIG. 32, even if the ARP request packet (step S12-1) of the terminal A is captured by the
In addition, when a periodic agent ping request (step S12-2) is received from the
ここで、端末Aが動作状態から停止状態となるための処理を開始すると、まず、OSが起動した状態でエージェントプログラムが先に終了する(ステップS12−4)。
このときに、検疫制御装置2から定期的なエージェントping要求(ステップS12−5)を受信すると、端末Aは、エージェントプログラムが終了しているため、エージェントping応答を送信できない。
すると、定期的エージェントping実行処理では、所定期間エージェントping応答を待つとともに、エージェントping要求を所定回数再送した後、応答がなければ、合格端末情報テーブル231から端末Aの情報が削除され、隔離猶予端末情報テーブル236の猶予状態が「終了中」に変更される(図20中ステップS5−3〜S5−7)。
よって、検疫制御装置2の合格端末情報テーブル231における端末Aの情報は、合格端末情報テーブル231から削除されるとともに隔離猶予端末情報テーブル236における猶予状態が「終了中」として登録される(ステップS12−6)。
Here, when the process for the terminal A to change from the operating state to the stopped state is started, first, the agent program ends first with the OS activated (step S12-4).
At this time, if a periodic agent ping request (step S12-5) is received from the
Then, in the periodic agent ping execution process, after waiting for an agent ping response for a predetermined period and resending the agent ping request a predetermined number of times, if there is no response, the information of the terminal A is deleted from the passed terminal information table 231 and the grace period The grace state of the terminal information table 236 is changed to “ending” (steps S5-3 to S5-7 in FIG. 20).
Therefore, the information of the terminal A in the accepted terminal information table 231 of the
なお、その後、端末Aは、合格端末としても隔離端末としても登録されていないので、定期的エージェントping実行処理の対象とはならない。また、ARP要求パケット監視処理の対象となった場合、エージェントping処理(図14)において隔離猶予判定される。このとき、隔離猶予端末情報テーブル236における猶予状態が「終了中」として登録されているので、以降、第1猶予時間の範囲で、隔離猶予される(図15中、ステップS3−11−1〜S3−11−7)。つまり、端末Aは、エージェントプログラムが終了したことでエージェントping応答が送信できなくとも、隔離端末として隔離されることが猶予される(妨害処理の実行が猶予される)。 After that, since the terminal A is not registered as a passing terminal or an isolated terminal, the terminal A is not a target of the periodic agent ping execution process. Further, when it becomes a target of the ARP request packet monitoring process, the isolation grace period is determined in the agent ping process (FIG. 14). At this time, since the grace state in the quarantine grace terminal information table 236 is registered as “being completed”, quarantine grace is subsequently performed within the range of the first grace time (step S3-11-1 in FIG. 15). S3-11-7). That is, the terminal A is graced to be isolated as an isolated terminal even if the agent ping response cannot be transmitted due to the termination of the agent program (the execution of the disturbing process is delayed).
その後、OSが終了すると(ステップS12−7)、端末Aは、停止状態となる。この停止状態の期間中は、端末Aについての隔離猶予端末情報テーブル236の登録内容が維持される。 Thereafter, when the OS ends (step S12-7), the terminal A enters a stopped state. During the period of the stop state, the registered content of the grace period terminal information table 236 for the terminal A is maintained.
さらに、時間をおいて、端末Aが停止状態から動作状態となるための処理を開始すると、まず、エージェントプログラムに先行してOSが先に起動する(ステップS12−8)。
この状態で、端末AのARP要求パケット(ステップS12−9)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Aは、合格端末としても隔離端末としても登録されていないので、エージェントping処理において隔離猶予判定(図14中、ステップS3−11)される。
このとき、隔離猶予端末情報テーブル236における猶予状態が「終了中」として登録されているとともに、「終了中」とされた時である開始時間から現時刻までの期間よりも、第1猶予時間が長ければ、猶予状態が「起動中」に変更される(ステップS12−10)。
Further, when the process for the terminal A to change from the stopped state to the operating state is started after a while, the OS is first started prior to the agent program (step S12-8).
In this state, when the ARP request packet (step S12-9) of the terminal A is captured by the
At this time, the grace state in the quarantine grace terminal information table 236 is registered as “being finished”, and the first grace time is longer than the period from the start time to the current time when it is “finished”. If it is longer, the grace state is changed to “active” (step S12-10).
なお、上述のように、第1猶予時間は、エージェントプログラムが終了してからOSが終了するまでのタイムラグ程度の期間であるため、一度端末Aを停止状態とすれば、前記経過時間は、通常第1猶予時間を超えることになる。 As described above, since the first grace period is a period of time lag from the end of the agent program to the end of the OS, once the terminal A is stopped, the elapsed time is normally The first grace time will be exceeded.
端末Aは、隔離猶予端末情報テーブル236における猶予状態が「起動中」として登録されてから、第2猶予時間の間は、隔離猶予される(図15中、ステップS3−11−3、S3−11−6、S3−11−9)。つまり、端末Aは、エージェントプログラムが未だ起動していないためにエージェントping応答が送信できなくとも、隔離端末として隔離されることが猶予される(妨害処理の実行が猶予される)。 The terminal A is quarantined during the second grace period after the grace state in the quarantine grace terminal information table 236 is registered as “active” (steps S3-11-3 and S3-in FIG. 15). 11-6, S3-11-9). That is, the terminal A is graced to be isolated as an isolated terminal even if the agent ping response cannot be transmitted because the agent program has not yet been activated (the execution of the disturbing process is delayed).
その後、エージェントプログラムが起動し(ステップS12−11)、ARP要求パケット(ステップS12−12)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Aは、検疫制御装置2からのエージェントping要求(ステップS12−13に対して、エージェントping応答(ステップS12−14)を送信する。
これによって、検疫制御装置2は、端末Aを合格端末として登録するとともに、猶予状態を「猶予前」として隔離猶予端末情報テーブル236に登録する(ステップS12−15)。
Thereafter, when the agent program is activated (step S12-11) and the ARP request packet (step S12-12) is captured by the
As a result, the
このように、本実施形態の検疫制御装置2によれば、通信妨害部260による妨害処理の実行を所定時間猶予させるための猶予処理部220cを備えているので、検疫対象の端末装置3が、例えば、起動中であって未だエージェントプログラムが動作しておらずエージェントping応答が送信できない場合にも、所定時間猶予することによって、その後のエージェントping要求の際には、エージェントプログラムが動作した状態で応答することができる。この結果、合格端末であるにも関わらず、妨害処理の実行対象と判定されてしまうのを防止することができ、通信を妨害すべき端末装置の判定をより適切に行うことができる。
なお、そもそも合格端末でない端末装置は、妨害処理の実行が猶予されたとしても、その猶予時間が経過した後、妨害処理の実行対象となり隔離される。
Thus, according to the
In addition, even if the terminal device that is not a passable terminal is delayed, even if the execution of the interference process is delayed, the terminal device is isolated from being subjected to the interference process after the grace period elapses.
また、本実施形態では、ステップS3−2において、エージェントping応答を一定期間待っても応答がない場合、ステップS3−11に進み、猶予処理部220cが隔離猶予判定を行う。猶予処理部220cが行う、ステップS3−11の隔離猶予判定では、検疫対象端末装置3に対して、隔離、すなわち妨害処理の実行を猶予するか否かを判定する。このため、起動中であって未だエージェントプログラムが動作していない状態の端末装置3を、確実に特定し、妨害処理の実行を猶予することができる。
In this embodiment, if there is no response even after waiting for an agent ping response for a certain period in step S3-2, the process proceeds to step S3-11, and the
また、本実施形態の検疫制御装置2は、妨害処理を猶予すべき端末装置3を特定するための情報が登録された端末情報テーブル230に含まれる隔離猶予端末情報テーブル236と、妨害処理が必要であると判定された場合にのみ判定対象の端末装置3に関する情報を、隔離猶予端末情報テーブル236から削除するテーブル更新部240と、をさらに備え、猶予処理部220cは、隔離猶予端末情報テーブル236に登録された端末装置3について妨害処理の実行を猶予させるか否かの判定を行うように構成されている。
In addition, the
この場合、隔離猶予端末情報テーブル236は、妨害処理が必要であると判定された場合にのみ端末装置3の情報が削除されるため、端末装置3の起動又は終了によっては、登録された情報が削除されない。従って、隔離猶予端末情報テーブル236に登録されている端末装置3は、動作状態から停止状態となった後、再度、動作状態となったとしても、端末情報テーブルに登録されていることとなる。このため、終了時に妨害処理の実行が猶予されれば、起動時も同様に猶予することができる。
In this case, since the information on the
図33(a)は、エージェントプログラムがインストールされていない端末Bが、初めてネットワークに接続されて停止状態から動作状態となる際の、通信妨害処理の猶予の態様を説明するためのシーケンス図である。
まず、端末Bが停止状態から動作状態となるための処理を開始することで、OSが起動する(ステップS13−1)。
次いで、端末BのARP要求パケット(ステップS13−2)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Bは、合格端末としても隔離端末としても登録されていないので、エージェントping処理において隔離猶予判定(図14中、ステップS3−11)される。このとき、隔離猶予端末情報テーブル236に端末Bは登録されていないので、猶予状態が「発見時」として登録されるとともに現在時刻を開始時間として登録され(ステップS13−3)、隔離猶予、すなわち通信妨害処理の実行が猶予される。
FIG. 33 (a) is a sequence diagram for explaining a mode of postponement of the communication jamming process when the terminal B in which the agent program is not installed is connected to the network for the first time and changes from the stopped state to the operating state. .
First, the OS is started by starting processing for the terminal B to change from the stopped state to the operating state (step S13-1).
Next, when the ARP request packet (step S13-2) of the terminal B is captured by the
なお、端末Bは、エージェントプログラムがインストールされていないので、ARP要求パケット監視処理の対象となったとしても、合格端末として登録されることはない。よって、その後、例えば、ステップS202にて隔離猶予端末情報テーブル236に登録されてから、第2猶予時間以上経過後に、ARP要求パケット監視処理の対象となった場合(ステップS13−4)、端末Bは、合格端末としても隔離端末としても登録されていないので、エージェントping処理において隔離猶予判定(図14中、ステップS3−11)される。
隔離判定の結果、猶予状態が「発見時」であってかつ開始時刻から現在時刻までの経過時間が第2猶予時間以上であるため、端末Bは、隔離猶予しないこととする旨の判定がなされる(図15中、ステップS3−11−10)。
Note that since the agent program is not installed in the terminal B, the terminal B is not registered as a passing terminal even if it is a target of the ARP request packet monitoring process. Therefore, for example, after being registered in the quarantine postponement terminal information table 236 in step S202, if the ARP request packet monitoring process is to be performed after the elapse of the second grace period (step S13-4), the terminal B Is not registered as a passing terminal or a quarantine terminal, and therefore, a grace period is determined in the agent ping process (step S3-11 in FIG. 14).
As a result of the quarantine determination, since the grace state is “at the time of discovery” and the elapsed time from the start time to the current time is equal to or longer than the second grace time, the terminal B is determined not to suspend the quarantine. (Step S3-11-10 in FIG. 15).
これによって、端末Bは、隔離端末と判定され、ステップS13−5において、隔離猶予端末情報テーブル236から削除されるとともに、隔離端末情報テーブル232に登録される(図14中、ステップS3−8、ステップS3−9)。
このようにして、エージェントプログラムがインストールされていない端末Bは、ARP要求パケット監視処理によって、初めて捕捉されたときは、隔離、すなわち通信妨害処理の実行が猶予される。しかし、第2猶予時間以上を経過すると、この端末Bは、正常ではないい端末と判断され、通信妨害処理の対象となる。
As a result, the terminal B is determined to be a quarantine terminal, and is deleted from the quarantine postponement terminal information table 236 and registered in the quarantine terminal information table 232 in step S13-5 (step S3-8 in FIG. 14, Step S3-9).
In this way, when the terminal B in which the agent program is not installed is captured for the first time by the ARP request packet monitoring process, the terminal B is suspended from executing the isolation, that is, the communication blocking process. However, when the second grace period or more elapses, this terminal B is determined as a terminal that is not normal, and is subject to communication interference processing.
図33(b)は、合格端末とされるべき端末Aが、初めてネットワークに接続されて停止状態から動作状態となる際の、通信妨害処理の猶予の態様を説明するためのシーケンス図である。この端末Aは、エージェントプログラムがインストールされ、かつ、合格端末と判定される状態であるものとする。 FIG. 33B is a sequence diagram for explaining a mode of postponement of communication interference processing when the terminal A to be a passing terminal is connected to the network for the first time and changes from the stopped state to the operating state. This terminal A is assumed to be in a state where an agent program is installed and it is determined as a passing terminal.
まず、端末Aが停止状態から動作状態となるための処理を開始することで、OSが起動する(ステップS14−1)。
次いで、端末AのARP要求パケット(ステップS14−2)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Aは、合格端末としても隔離端末としても登録されていないので、エージェントping処理において隔離猶予判定(図14中、ステップS3−11)される。このとき、隔離猶予端末情報テーブル236に端末Aは登録されていないので、猶予状態が「発見時」として登録されるとともに現在時刻を開始時間として登録され(ステップS14−3)、隔離猶予、すなわち通信妨害処理の実行が猶予される。
First, the OS is started by starting processing for the terminal A to change from the stopped state to the operating state (step S14-1).
Next, when the ARP request packet (step S14-2) of the terminal A is captured by the
その後、端末Aのエージェントプログラムが起動し(ステップS14−4)、ARP要求パケット(ステップS14−5)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Aは、検疫制御装置2からのエージェントping要求(ステップS14−6)に対して、エージェントping応答(ステップS14−7)を送信する。
これによって、検疫制御装置2は、端末Aを合格端末として登録するとともに、猶予状態を「発見時」から「猶予前」として隔離猶予端末情報テーブル236に登録する(ステップSS14−8)。
After that, the agent program of the terminal A is activated (step S14-4), and when the ARP request packet (step S14-5) is captured by the
As a result, the
上記のように、エージェントping要求に対する応答がないと判断された端末装置3が、隔離猶予端末情報テーブル236に登録されていない場合、当該端末装置3は、隔離猶予端末情報テーブル236に登録されるので、隔離猶予端末情報テーブル236に登録されていない端末装置3が起動しエージェントping要求を受けた場合においても、妨害処理の実行が一定期間猶予されるので、定常な端末装置3に妨害処理を実行してしまうのを防止することができる。
As described above, when the
なお、本発明は上記実施形態に限定されるものではなく、様々な変形が可能である。例えば、通信監視部250は、ネットワークを流れるARP要求ではなく、他種類のIPパケットを監視してもよい。この場合、他の種類のIPパケットの送信元及び/又は送信先に対して、妨害の要否を判定すればよい。
In addition, this invention is not limited to the said embodiment, A various deformation | transformation is possible. For example, the
なお、今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。 The embodiment disclosed this time should be considered as illustrative in all points and not restrictive. The scope of the present invention is defined by the terms of the claims, and is intended to include any modifications within the scope and meaning equivalent to the terms of the claims.
2 検疫制御装置
3 端末装置
211 エージェントping送信部(検査結果送信要求部)
220 判定部
220a 第1判定部
220b 第2判定部
220c 猶予処理部
236 隔離猶予端末情報テーブル(端末情報テーブル)
240 テーブル更新部
260 通信妨害部
2
220 determination unit 220a
240
Claims (7)
前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求部と、
前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定部と、
前記判定部によって前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を実行する通信妨害部と、
前記通信妨害部による妨害処理の実行を所定時間猶予させるための猶予処理部と、を備えていることを特徴とする検疫制御装置。 A quarantine control device that interferes with communication of a terminal device connected to a network,
An inspection result transmission requesting unit for requesting the terminal device to transmit an inspection result in which the terminal device inspects the internal state in accordance with a predetermined inspection policy;
Based on a response of the terminal device to the transmission request for the inspection result, a determination unit that determines whether the terminal device is a passing terminal that satisfies a predetermined condition for the inspection result;
When the determination unit determines that the terminal is not an acceptable terminal, a communication disturbance unit that executes a communication disturbance process of the terminal device;
A quarantine control device comprising: a grace processing unit for suspending execution of the interference processing by the communication interference unit for a predetermined time.
前記判定部によって前記合格端末でないと判定された前記端末装置が前記端末情報テーブルに登録されていない場合、前記端末装置に関する情報を前記端末情報テーブルに登録するテーブル更新部と、をさらに備え、
前記テーブル更新部は、前記判定部によって登録後に前記合格端末でないと判定され、かつ前記猶予処理部によって妨害処理の実行を猶予しないと判定された前記端末装置に関する情報を前記端末情報テーブルから削除し、
前記猶予処理部は、前記端末情報テーブルから削除された前記端末装置に対する妨害処理を前記通信妨害部に実行させる請求項2に記載の検疫制御装置。 A terminal information table in which information for specifying the terminal device for which the jamming process should be suspended is registered;
A table updating unit that registers information about the terminal device in the terminal information table when the terminal device determined by the determination unit as not being the passing terminal is not registered in the terminal information table;
The table update unit deletes, from the terminal information table, information related to the terminal device that is determined not to be the successful terminal after registration by the determination unit and that is determined not to postpone execution of interference processing by the grace processing unit. ,
The quarantine control device according to claim 2, wherein the grace processing unit causes the communication jamming unit to perform a jamming process for the terminal device deleted from the terminal information table.
前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求ステップと、
前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定ステップと、
前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を行う通信妨害ステップと、
前記判定ステップで前記合格端末でないと判定されると、前記通信妨害ステップの実行を所定時間猶予させる猶予処理ステップを含むことを特徴とする検疫制御コンピュータプログラム。 A quarantine control computer program for causing a computer to function as a quarantine control device connected to the network, which executes a quarantine method for interfering with communication of a terminal device connected to the network,
An inspection result transmission request step for requesting the terminal device to transmit an inspection result obtained by inspecting the internal state of the terminal device according to a predetermined inspection policy;
A determination step of determining whether or not the terminal device is a passing terminal that satisfies a predetermined condition for the inspection result, based on a response of the terminal device to the transmission request for the inspection result;
If it is determined that the terminal is not an acceptable terminal, a communication blocking step for performing a communication blocking process of the terminal device,
A quarantine control computer program comprising a grace processing step of suspending the execution of the communication blocking step for a predetermined time when it is determined in the determining step that the terminal is not an acceptable terminal.
前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求ステップと、
前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定ステップと、
前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を行う通信妨害ステップと、
前記判定ステップで前記合格端末でないと判定されると、前記通信妨害ステップの実行を所定時間猶予させる猶予処理ステップを含むことを特徴とする検疫方法。 A quarantine control device connected to a network is a quarantine method for interfering with communication of a terminal device connected to the network,
An inspection result transmission request step for requesting the terminal device to transmit an inspection result obtained by inspecting the internal state of the terminal device according to a predetermined inspection policy;
A determination step of determining whether or not the terminal device is a passing terminal that satisfies a predetermined condition for the inspection result, based on a response of the terminal device to the transmission request for the inspection result;
If it is determined that the terminal is not an acceptable terminal, a communication blocking step for performing a communication blocking process of the terminal device,
A quarantine method comprising a grace processing step of gracefully executing the communication blocking step for a predetermined time when it is determined in the determination step that the terminal is not an acceptable terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011164116A JP5769301B2 (en) | 2011-07-27 | 2011-07-27 | Quarantine control device, quarantine control computer program, and quarantine method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011164116A JP5769301B2 (en) | 2011-07-27 | 2011-07-27 | Quarantine control device, quarantine control computer program, and quarantine method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013030880A true JP2013030880A (en) | 2013-02-07 |
JP5769301B2 JP5769301B2 (en) | 2015-08-26 |
Family
ID=47787527
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011164116A Expired - Fee Related JP5769301B2 (en) | 2011-07-27 | 2011-07-27 | Quarantine control device, quarantine control computer program, and quarantine method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5769301B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016220138A (en) * | 2015-05-25 | 2016-12-22 | 日本電気通信システム株式会社 | Communication device, relay method, and validity confirmation response method, and computer program |
JP2017021704A (en) * | 2015-07-14 | 2017-01-26 | 富士通株式会社 | Information processor and information processor control method |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007122228A (en) * | 2005-10-26 | 2007-05-17 | Pfu Ltd | Network medical inspection system |
JP2008278193A (en) * | 2007-04-27 | 2008-11-13 | Sumitomo Electric System Solutions Co Ltd | Quarantine control device, quarantine control computer program, quarantine method, terminal device to be quarantined, agent computer program, inspection method, computer program set, and packet data structure |
JP2011035535A (en) * | 2009-07-30 | 2011-02-17 | Pfu Ltd | Communication cutoff device, server device, method, and program |
-
2011
- 2011-07-27 JP JP2011164116A patent/JP5769301B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007122228A (en) * | 2005-10-26 | 2007-05-17 | Pfu Ltd | Network medical inspection system |
JP2008278193A (en) * | 2007-04-27 | 2008-11-13 | Sumitomo Electric System Solutions Co Ltd | Quarantine control device, quarantine control computer program, quarantine method, terminal device to be quarantined, agent computer program, inspection method, computer program set, and packet data structure |
JP2011035535A (en) * | 2009-07-30 | 2011-02-17 | Pfu Ltd | Communication cutoff device, server device, method, and program |
Non-Patent Citations (2)
Title |
---|
CSND200700430023; 'RC1504 オムロン' ネットワーク マガジン 第12巻 第3号 , 20070301, pp.130-131, 株式会社アスキー * |
JPN6015009301; 'RC1504 オムロン' ネットワーク マガジン 第12巻 第3号 , 20070301, pp.130-131, 株式会社アスキー * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016220138A (en) * | 2015-05-25 | 2016-12-22 | 日本電気通信システム株式会社 | Communication device, relay method, and validity confirmation response method, and computer program |
JP2017021704A (en) * | 2015-07-14 | 2017-01-26 | 富士通株式会社 | Information processor and information processor control method |
Also Published As
Publication number | Publication date |
---|---|
JP5769301B2 (en) | 2015-08-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8910248B2 (en) | Terminal connection status management with network authentication | |
US8935419B2 (en) | Filtering device for detecting HTTP request and disconnecting TCP connection | |
JP4734592B2 (en) | Method and system for providing secure access to private network by client redirection | |
RU2364925C2 (en) | Seamless detection of remote applications installed on workstation from extranet | |
JP2006262141A (en) | Ip address applying method, vlan changing device, vlan changing system and quarantine processing system | |
JP2008278193A (en) | Quarantine control device, quarantine control computer program, quarantine method, terminal device to be quarantined, agent computer program, inspection method, computer program set, and packet data structure | |
JP5340041B2 (en) | Access control system, access control method, and program | |
JP5002259B2 (en) | Authentication system | |
JP5769301B2 (en) | Quarantine control device, quarantine control computer program, and quarantine method | |
CN105323259A (en) | Method and device for preventing synchronous packet attack | |
JP5163984B2 (en) | Quarantine control device, quarantine control computer program, communication interruption method, terminal device, agent computer program, computer program, and erroneous learning processing method | |
JP7367793B2 (en) | Communication relay device and data relay method | |
JP5822161B2 (en) | Quarantine control device, quarantine control computer program, and quarantine method | |
JP5018969B2 (en) | COMMUNICATION CONTROL PROGRAM, COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL SYSTEM, AND COMMUNICATION CONTROL METHOD | |
KR20170034219A (en) | Method for providing service trough solution server under secure environment, apparatus and system for performing the same | |
JP2005033358A (en) | Packet communication control apparatus and packet communication control method | |
US20200177544A1 (en) | Secure internet gateway | |
JP4921864B2 (en) | Communication control device, authentication system, and communication control program | |
US20100287278A1 (en) | Automatic Proxy Detection and Traversal | |
JP2006277633A (en) | Computer network with function of guaranteeing security, method for guaranteeing security, and program | |
CN113691591B (en) | Data transmission method, device and computer readable storage medium | |
JP2015019320A (en) | Management system, management device, and computer program | |
JP5979304B2 (en) | Program, information processing apparatus and update method | |
WO2009110327A1 (en) | Network monitor system, network monitor method, and network monitor program | |
JP2019103118A (en) | Communication relay device, communication relay program, and communication relay method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A625 | Written request for application examination (by other person) |
Free format text: JAPANESE INTERMEDIATE CODE: A625 Effective date: 20140422 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150310 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150508 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150526 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150619 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5769301 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |