JP2016015676A - 監視装置、監視システム、および、監視方法 - Google Patents

監視装置、監視システム、および、監視方法 Download PDF

Info

Publication number
JP2016015676A
JP2016015676A JP2014137663A JP2014137663A JP2016015676A JP 2016015676 A JP2016015676 A JP 2016015676A JP 2014137663 A JP2014137663 A JP 2014137663A JP 2014137663 A JP2014137663 A JP 2014137663A JP 2016015676 A JP2016015676 A JP 2016015676A
Authority
JP
Japan
Prior art keywords
communication
monitoring
network
communication device
monitoring device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014137663A
Other languages
English (en)
Inventor
加古 鎭治
Shinji Kako
鎭治 加古
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2014137663A priority Critical patent/JP2016015676A/ja
Priority to US14/722,639 priority patent/US9560058B2/en
Priority to CN201510333834.9A priority patent/CN105245397A/zh
Publication of JP2016015676A publication Critical patent/JP2016015676A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/185Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】ネットワークへの不正アクセスを簡便に検出する。
【解決手段】監視装置は、複数の通信装置と複数の監視装置を含むネットワークで第1の監視装置として動作し、取得部、送信部、判定部を備える。取得部は、監視対象の通信装置が行う通信の情報である通信情報を取得する。送信部は、監視対象の通信装置のうちの第1の通信装置が、ネットワークに含まれていない装置である外部装置と通信を開始した後に、ネットワーク中の第2の監視装置が監視する第2の通信装置との通信を開始すると、参加要求を送信する。送信される参加要求は、第2の監視装置が監視する通信装置の通信情報を通知するマルチキャストグループへの参加要求である。判定部は、第2の監視装置からマルチキャストグループ宛てに送信されたパケットを用いて、外部装置が第1の通信装置を介してネットワーク中の装置への不正アクセスを行っているかを判定する。
【選択図】図2

Description

本発明は、複数のネットワーク間で行われる通信の監視方法に関する。
社内ネットワークなどのLocal Area Network(LAN)において、LANに含まれていない装置による不正アクセスを検出するために、ネットワーク中の各通信装置が送受信するパケットを監視装置が分析することがある。この場合、不正アクセスを検出する対象となるネットワークの規模が大きくなると、監視装置への負荷が高くなるため、ネットワーク中の通信装置によって送受信されるパケットを複数の監視装置で分析することもある。複数の監視装置が使用される場合、監視装置同士で解析結果を交換することにより、全ての監視装置で得られた分析結果を用いてネットワークへの不正アクセスを検出することができる。
図1は、ネットワークの例を示す。社内ネットワーク1は、アクセスネットワーク2を介してインターネット3に接続されている。社内ネットワーク1には、ファイアウォール装置20、通信装置10(10m、10n、10x〜10z)、スイッチ15(15x〜15z)、監視装置25(25x〜25z)が含まれている。社内ネットワーク1中の通信装置10同士は通信サービスネットワーク12を介して通信し、監視装置25x〜25zは監視ネットワーク17を介して通信するものとする。図1の例では、監視装置25xは通信装置10x〜10zで送受信されるパケットを分析する。また、監視装置25yは通信装置10m、10nで送受信されるパケットを分析し、監視装置25zはファイアウォール装置20が送受信するパケットを分析するものとする。以下の例では、通信装置10x〜10zには機密データが格納されているとする。例えば、インターネット3に接続されている通信装置5a〜5cのうち、通信装置5cが社内ネットワーク1中の通信装置10zに不正アクセスしようとして、通信装置5cと通信装置10mとの間で通信を確立したとする。その後、通信装置10mが通信装置10zとの間で通信を確立したとする。すると、監視装置25yは、通信装置10mが社内ネットワーク1に含まれていない通信装置5cと通信していることと、通信装置10mが通信装置10zと通信していることを認識する。さらに、通信装置10zが通信装置5cとの間で、通信装置10mを経由しない経路を用いた通信を確立したとする。このとき、監視装置25xは、通信装置10zの通信先が通信装置10mと通信装置5cであることを認識する。さらに、監視装置25zも、通信装置10zと通信装置5cの間に通信が確立していることを認識する。このような場合、監視装置25x〜25zの各々での分析結果を総合することにより、図1に示すように、通信装置5cが通信装置10mを介して通信装置10zにアクセスし、通信装置10zからパケットを受信していることが特定される。
関連する技術として、サーバ、クライアント、おとりサーバを含むネットワークシステムが提案されている。このシステムでは、おとりサーバのアドレスはクライアントに公開されていないので、おとりサーバへアクセスしようとするクライアントはウイルスに感染しているといえる。そこで、おとりサーバは、おとりサーバへのアクセスを試みるクライアントを検出すると、ネットワーク中の装置に、ウイルス攻撃が進行中であるという警告を同報送信する(例えば、特許文献1など)。複数の自律システムを備えるネットワークの境界に位置する境界中継装置は、再侵入による不正パケットを廃棄するとともに、不正パケットを廃棄するためのフィルタリング情報を全ての境界中継装置に送信することも提案されている(例えば、特許文献2など)。
特表2004−531812号公報 特開2002−185539号公報
ネットワークの規模が大きくなると送受信されるパケットの数も多くなるため、パケットを解析する監視装置の数も増大する。このため、監視装置間での分析結果の通知や、得られた分析結果の解析処理が煩雑になる。このような問題は、関連する技術として述べたいずれの技術を用いても解決できない。
本発明は、ネットワークへの不正アクセスを簡便に検出することを目的とする。
実施形態にかかる監視装置は、複数の通信装置と複数の監視装置を含むネットワークで第1の監視装置として動作し、取得部、送信部、判定部を備える。取得部は、監視対象の通信装置が行う通信の情報である通信情報を取得する。送信部は、前記監視対象の通信装置のうちの第1の通信装置が、前記ネットワークに含まれていない装置である外部装置と通信を開始した後に、前記ネットワーク中の第2の監視装置が監視する第2の通信装置との通信を開始すると、参加要求を送信する。ここで送信される参加要求は、前記第2の監視装置が監視する通信装置の通信情報を通知するマルチキャストグループへの参加要求である。判定部は、前記第2の監視装置から前記マルチキャストグループ宛てに送信されたパケットを用いて、前記外部装置が前記第1の通信装置を介して前記ネットワーク中の装置への不正アクセスを行っているかを判定する。
ネットワークへの不正アクセスを簡便に検出できる。
ネットワークの例を示す図である。 実施形態にかかる監視方法の例を説明する図である。 監視装置の構成の例を示す図である。 監視装置のハードウェア構成の例を示す図である。 監視対象の通信状況の分析処理の例を説明するフローチャートである。 監視対象の通信状況の分析処理の例を説明するフローチャートである。 監視装置テーブルの例を示す図である。 通信状態テーブルの例を示す図である。 状態通知メッセージの例を示す図である。 監視装置を含むネットワークの例を示す図である。 通信処理の例を説明するシーケンス図である。 監視装置が保持する情報の例を説明する図である。 監視装置が保持する情報の例を説明する図である。 監視装置が保持する情報の例を説明する図である。 参加要求メッセージの例を示す図である。 監視装置が保持する情報の例を説明する図である。 監視装置が保持する情報の例を説明する図である。 監視装置が保持する情報の例を説明する図である。 監視装置が保持する情報の例を説明する図である。 状態通知メッセージを送信する監視装置で行われる処理の例を説明するフローチャートである。 状態通知メッセージを受信した監視装置で行われる処理の例を説明するフローチャートである。 ユニキャスト通信で状態通知が行われる場合の例を説明する図である。 通信装置が社内ネットワーク外の通信装置との通信を終了する際に行われる処理の例を説明するシーケンス図である。 監視装置が保持する情報の例を説明する図である。 監視装置が保持する情報の例を説明する図である。 離脱要求メッセージの例を示す図である。 通信装置が外部との通信開始後に開始した社内ネットワーク内の通信を終了する場合に行われる処理の例を説明するシーケンス図である。 監視装置が保持する情報の例を説明する図である。 社内ネットワーク内の一部の通信装置との通信を終了する通信装置を監視する監視装置で行われる処理の例を説明するシーケンス図である。 監視装置が保持する情報の例を説明する図である。 監視装置が保持する情報の例を説明する図である。 監視装置が保持する情報の例を説明する図である。 監視装置が保持する情報の例を説明する図である。 接続中の経路の検索方法の例を説明する図である。 接続中の経路の検索方法の例を説明する図である。 接続中の経路の検索方法の例を説明する図である。 接続中の経路の検索方法の例を説明する図である。 接続中の経路の検索方法の例を説明する図である。 接続中の経路の検索方法の例を説明するフローチャートである。 通信終了を検出した監視装置の処理の例を説明するフローチャートである。 通信終了を検出した監視装置の処理の例を説明するフローチャートである。 通信終了を通知する状態通知メッセージを受信した監視装置の処理の例を説明するフローチャートである。
図2は、実施形態にかかる監視方法の例を説明する図である。図2のケースC1とケースC2は、LANに含まれていない通信装置5aが不正アクセスを行う場合に使用する通信路の例である。ケースC1では、通信装置10bが機密情報を保持しており、ケースC2では通信装置10cが機密情報を保持しているものとする。なお、通信装置10a〜10cは、LANに含まれているものとする。
ケースC1では、通信装置5aは、通信装置5aから通信装置10aに向けた通信路を確保し、通信装置10aに通信装置10cへのアクセスを要求する。さらに、通信装置5aは、通信装置10cに、通信装置10cが保持している情報を、通信装置10aを介さない経路で通信装置5aに送信させる。このため、ケースC1では、通信装置5aは、通信装置10bが保持している機密情報を、通信装置10aを介さずに取得する。
ケースC2では、通信装置5aと通信装置10aの間で双方向の通信路を確保し、通信装置10aに通信装置10bとの間での双方向の通信路を確保させる。さらに、通信装置5aは、通信装置10aを介して、通信装置10bに対し、通信装置10bと通信装置10cの間の双方向の通信路の確立を要求する。通信装置10cは、機密情報が通信装置10bから要求されると、通信装置10bがLANに含まれている装置なので、機密情報を通信装置10bに転送する。通信装置10bは、通信装置10cから取得した情報を通信装置10aに転送する。通信装置10aは、通信装置10bから取得した情報に通信装置10cに格納されている機密情報が含まれていても受信した情報に機密情報が含まれているかを判定できないため、通信装置10bからの受信データを通信装置5aに送信する。この結果、通信装置5aは、通信装置10aと通信装置10bを介して通信装置10cに格納された機密情報を取得できる。
以下、図2のシーケンスを参照しながら、監視装置30aがケースC1とケースC2のいずれのケースの不正アクセスも簡便かつ効率的に検出するための監視方法の例を説明する。以下、監視装置30aが通信装置10aでの通信を監視しており、監視装置30bが通信装置10bでの通信を監視しているものとする。また、各監視装置30は、監視対象の通信装置10での通信状況を示す情報をマルチキャストするものとする。ここでは、図2のシーケンスを参照しながら、通信装置10aが通信装置10bとの通信を開始した場合を例として説明するが、通信装置10aがネットワーク中の装置のうちで監視装置30aの監視対象以外の装置と通信を開始したときは同様の処理が行われる。
ステップS1において、通信装置10aがネットワーク(LAN)外の通信装置5aと通信を開始したとする。監視装置30aは、通信装置10aがネットワーク外の通信装置5aとの間で通信を開始したことを検出する(ステップS2)。
ステップS3において、通信装置10aがネットワーク内の通信装置10bと通信を開始したとする。監視装置30aは、通信装置10aと通信装置10bの間での通信の開始を検出する(ステップS4)。このとき、監視装置30aは、通信装置10aがネットワーク外の装置と通信しているため、通信装置10aを介した不正アクセスが行われる可能性があると判定する。監視装置30aは、通信装置10aの通信先である通信装置10bを監視している監視装置が監視装置30bであることを特定する(ステップS5)。そこで、監視装置30aは、監視装置30bの監視先の情報を通知しているマルチキャストグループへの参加を要求する(ステップS6)。
ステップS7において、通信装置10bがパケットの送信または受信を行ったとする。監視装置30bは、通信装置10bの通信状況をモニタしており、通信装置10bの通信状況を取得する(ステップS8)。通信装置10bがパケットを送信または受信した場合、監視装置30bは、マルチキャストグループに参加している装置に向けて、通信装置10bの通信状況をマルチキャストする(ステップS9)。
ステップS10において、監視装置30aは、監視装置30bから受信した情報に基づいて、通信装置10aと通信装置10bを用いた不正アクセスの発生の可能性があるかを判定する。
このため、通信装置10bが機密情報を保持している場合、通信装置10bが通信装置5aと通信を開始すると、監視装置30aは、ケースC1に示すようなルートによる不正アクセスが発生したと判定し、管理装置(図示せず)に通知できる。一方、通信装置10bが機密情報を保持していない場合でも、通信装置10bが機密情報を保持している通信装置10cとの通信を開始すると、監視装置30aは、ケースC2に示すようなルートによる不正アクセスが発生したと判定できる。監視装置30aが管理装置に不正アクセスの発生を通知すると、管理装置を用いた処理をしているオペレータは、不正アクセスを排除するための処理を行う。なお、監視装置は、監視対象の通信状況に応じて、監視装置30aの処理として述べた処理と監視装置30bの処理として述べた処理のいずれも行うことができるものとする。
このように、各監視装置は、その監視装置の監視対象の通信装置10を介して不正アクセスが行われるかを判定するための情報を、監視下の通信装置10の通信先を監視している監視装置から取得できる。また、各監視装置は、監視対象の通信装置10の通信状況をマルチキャストするので、ある監視装置が他の監視装置で得られた情報を中継しなくてもよい。このため、各監視装置は、他の監視装置に送信するデータ量の増大を防ぎつつ、簡便に通信状況の通知ができる。さらに、ある監視装置が送信する通信状況を表わす情報の送信先となるマルチキャストグループには、その通信状況を使用しない監視装置は含まれていない。このため、監視装置が処理対象とする通信状況を表わす情報を効率的に送受信し、不正アクセスの検出を行うことができる。
<装置構成>
図3は、監視装置30の構成の例を示す図である。以下、外部からの不正アクセスを防止する対象となるLANが社内ネットワーク1である場合を例として説明する。監視装置30は、通信部33、取得部34、制御部40、記憶部50を備え、オプションとして、さらに、入出力処理部35を備えても良い。通信部33は、受信部31と送信部32を有する。制御部40は、分析処理部41、参加要求部42、判定部44、通知部45を有し、オプションとして生成部46を有する。記憶部50は、監視装置テーブル51、ネットワーク間通信状況テーブル52、ネットワーク内通信状況テーブル53、参加状況テーブル54、通信状態テーブル55、アドレス情報56を記憶する。
受信部31は、監視ネットワーク17を介して、他の監視装置30からパケットを受信する。送信部32は、監視ネットワーク17を介して、他の監視装置30にパケットを送信する。取得部34は、監視対象の通信装置10が送受信しているパケットの情報を取得する。入出力処理部35は、オペレータが監視装置30に対して設定情報を入力する際に使用される。
分析処理部41は、取得部34を介して取得したパケットを分析することにより、監視対象の通信装置10の通信先が社内ネットワーク1に含まれているかを判定する。参加要求部42は、監視対象の通信装置10が社内ネットワーク1に含まれていない通信装置5と通信中に、社内ネットワーク1中の他の通信装置10との通信を開始すると、通信先の通信装置10での通信状況を取得するために参加要求を生成する。ここで、参加要求は、通信先の通信装置10を監視する監視装置30から送信された通信状況を受信するマルチキャストグループへの参加の要求である。判定部44は、他の監視装置30から受信した情報と、分析処理部41の分析結果を用いて、監視対象の通信装置10を介して、社内ネットワーク1に含まれていない通信装置5による不正アクセスが行われているかを判定する。通知部45は、分析処理部41の分析結果を、マルチキャストグループに含まれている監視装置30にマルチキャストする。生成部46は、監視対象の通信装置10が社内ネットワーク1の外部の通信装置5との通信を終了したなどの理由により、通信装置10が不正アクセスに使用される可能性がなくなると、マルチキャストグループから離脱するための離脱要求を生成する。
監視装置テーブル51は、社内ネットワーク1中の通信装置10の各々について、監視処理を行う監視装置30を特定する情報を記録している。ネットワーク間通信状況テーブル52は、監視対象の通信装置10と、社内ネットワーク1に含まれていない通信装置5との間の通信状況を記録している。ネットワーク内通信状況テーブル53は、監視対象の通信装置10についての、社内ネットワーク1中の他の通信装置10との通信状況を記録している。参加状況テーブル54は、監視装置30が参加しているマルチキャストグループの各々についての、マルチキャストパケットの送信元アドレスを記録する。通信状態テーブル55は、監視対象の通信装置10と通信先の各々に割り当てられたアドレスと通信に使用しているポートのポート番号を記憶する。アドレス情報56は、通信情報の通知に使用されるマルチキャストアドレスである。なお、通信情報は、いずれの監視装置30も共通のマルチキャストアドレスを使用し、各監視装置30や社内ネットワーク1中のスイッチ等は、マルチキャストアドレスと送信元アドレスの組み合わせによりマルチキャストグループの識別を行う。
図4は、監視装置30のハードウェア構成の例を示す図である。監視装置30は、プロセッサ61、メモリ62、入出力装置63、通信インタフェース64、取得処理回路65を備える。プロセッサ61は、Central Processing Unit(CPU)を含む任意のプロセッサであり、制御部40として動作する。メモリ62は、プロセッサ61での処理に使用されるデータを保持し、記憶部50として動作する。入出力装置63は入出力処理部35として動作する。通信インタフェース64は通信部33として動作する。取得処理回路65は、監視対象の通信装置10が送受信するパケットの情報をスヌーピングなどにより取得する任意の処理回路であり、取得部34として動作する。
<第1の実施形態>
以下、監視装置30で行われる不正アクセスの検出の例を、各監視装置30による監視対象での通信の検出、および、通知された通信状況を用いた不正アクセスの検出に分けて説明する。以下の説明では、処理を行っている装置を区別し易くするために、符号の後に動作を行っている装置に割り当てられたアルファベットを記載する。例えば、取得部34aは、監視装置30aに含まれている取得部34のことを示す。
(1)各監視装置30による監視対象での通信の検出
まず、通信装置10aと通信装置10dを含む社内ネットワーク1において、通信装置10aが通信装置10dとの間の通信を開始したとする。通信装置10aでのパケットの送受信が行われると、監視装置30aの取得部34aは、スヌーピングやミラーリングなどの処理により、送受信されたパケット中の情報を取得する。
図5Aと図5Bは、監視対象での通信状況の分析処理の例を説明するフローチャートである。分析処理部41は、取得部34から通信パケットの情報を取得すると、通信パケットの送信元が監視対象の通信装置10であるかを判定する(ステップS21、S22)。
図6は、監視装置テーブル51の例を示す。監視装置テーブル51は、社内ネットワーク1に含まれている全ての通信装置10の各々について、機密エリア表示、マルチキャストソースアドレス(M−ソースアドレス)、監視装置を対応付けている。機密エリア表示は、通信装置10が機密エリアに含まれているかを示す。機密エリアに含まれている通信装置10は、機密情報を保持しているものとする。監視装置の欄には、通信装置10を監視している監視装置を一意に識別する情報が格納される。マルチキャストソースアドレスは、通信装置10についての通信状況を通知するマルチキャストパケットの送信元に割り当てられたアドレスである。以下の説明では、各監視装置30は、通信状況の通知の対象となる通信装置10ごとに、異なる送信元アドレスを使用するものとする。すなわち、マルチキャストパケットの送信元アドレスにより、通信状況の通知対象となっている通信装置10が一意に特定され得る。
図5AのステップS22において、分析処理部41は、取得部34から取得したヘッダ情報に含まれているパケットの送信元の識別情報をキーとして監視装置テーブル51を検索することにより、送信元の通信装置10を監視している監視装置30を特定する。なお、監視装置テーブル51は、社内ネットワーク1中の全ての監視装置30が共通に保持している。分析処理部41は、送信元の通信装置10が自装置の監視対象の場合、取得部34から取得した情報から接続情報を作成する(ステップS22で一致、ステップS23)。ここで、「接続情報」は、取得部34を介して得られたパケットの送信元アドレス、送信元ポート番号、宛先アドレス、宛先ポート番号の組み合わせである。ステップS23で生成される接続情報では、送信元が自装置の監視対象の通信装置である場合の接続情報が生成される。
一方、送信元の通信装置10が自装置の監視対象ではない場合、分析処理部41は、監視装置テーブル51を用いて、取得部34から取得したパケットの宛先が自装置の監視対象であるかを判定する(ステップS22で不一致、ステップS24)。宛先の通信装置10が監視対象の場合も、分析処理部41は、接続情報を生成する(ステップS24で一致、ステップS25)。なお、送信元と宛先のいずれも監視対象ではない場合、分析処理部41は処理を終了する(ステップS24で不一致)。分析処理部41は、生成した接続情報が通信状態テーブル55に含まれているかを判定する(ステップS26)。
図7は、通信状態テーブル55の例を示す。通信状態テーブル55は、監視対象の通信装置10の装置と、監視対象の装置の通信先を記録している。図7の例では、通信状態テーブル55は、監視対象の通信装置10と通信先の各々について、アドレスなどの識別情報と通信に使用しているポート番号の組み合わせを記録している。例えば、図7の1番目のエントリでは、監視対象である通信装置10aが80番ポートを用いて、通信装置10bの20021番ポートを介して通信装置10bと通信していることが記録されている。
分析処理部41は、生成した接続情報が通信状態テーブル55に含まれていない場合、取得部34から取得したパケットが通信の開始に使用されるパケットであるかを判定する(ステップS26でNo、ステップS27)。図5Bでは、分析処理部41は、TCP(Transmission Control Protocol)ヘッダ中のフラグのうち、SYNビットとACKビットが1に設定されている場合に、通信の開始に使用されるパケットであると判定するものとする。SYNビットとACKビットが1に設定されていない場合、分析処理部41は、通信開始に使用されるパケットではないと判定して処理を終了する(ステップS27でNo)。取得部34から入力されたパケットにおいて、SYNビットとACKビットが1に設定されている場合、分析処理部41は、接続情報と一致するエントリを通信状態テーブル55に追加する(ステップS27でYes、ステップS28)。分析処理部41は、通信を検出したことと、得られた接続情報を通知部45に出力する。すると、通知部45は、状態通知メッセージを生成する(ステップS30)。
図8は、状態通知メッセージの例を示す。状態通知メッセージは、L2ヘッダ、IP(Internet Protocol)ヘッダを含み、データ部分に、監視対象の通信装置10での通信状況を表わす情報(通信情報)が記録される。通信情報は、監視対象の通信装置10の識別情報、監視対象の通信装置10の通信先の識別情報、通信状態、タイムスタンプを含む。通信状態は、通信中と通信終了の2種類のいずれかに設定される。ステップS30で生成される状態通知メッセージでは、通信状態は通信中に設定されている。
一方、図5BのステップS26において接続情報が通信状態テーブル55に含まれていると判定された場合、分析処理部41は、取得部34から取得したパケットが通信を終了するためのパケットであるかを判定する(ステップS26でYes、ステップS29)。図5Bでは、分析処理部41は、TCPヘッダ中のFINビットが1に設定されている場合に通信の終了に使用されるパケットであると判定する。FINビットが1に設定されていない場合、通知部45は通信状態=通信中の状態通知メッセージを生成する(ステップS29でNo、ステップS30)。取得部34から入力されたパケットではFINビットが1に設定されている場合、分析処理部41は、接続情報で識別できる通信が終了すると判定し、通信状態テーブル55から接続情報と一致するエントリを削除する(ステップS29でYes、ステップS31)。分析処理部41は、通信の終了を検出したことと、得られた接続情報を通知部45に出力する。通知部45は、接続情報の削除により通信状態テーブル55中にエントリが無くなった通信装置10については、通信状態=全通信終了を含む状態通知メッセージを生成する(ステップS32、S33)。
(2)通知された通信状況を用いた不正アクセスの検出
次に、図9と図10を参照しながら、各監視装置30が監視対象の通信装置10の通信状況を送受信することにより、不正アクセスを検出する場合の処理について説明する。なお、各監視装置30は、図5〜図8を用いて説明した処理により通信の開始や終了を検出するものとする。
図9は、監視装置30を含むネットワークの例を示す図である。図9に示すネットワークでは、社内ネットワーク1には通信装置10a〜10dと、監視装置30a〜30dが含まれている。さらに、通信装置10dが機密情報を格納する装置であるものとする。図9では、通信装置10dを含むエリアが機密エリアとして表わされている。監視装置30aは通信装置10aの通信状況を監視する。同様に、監視装置30bは通信装置10b、監視装置30cは通信装置10c、監視装置30dは通信装置10dの通信状況を監視する。図9では、説明を分かりやすくするために各監視装置30の監視対象のうちの1台を図示しているが、各監視装置30が監視する通信装置10の数は任意である。図9には、外部ネットワークに含まれている通信装置5a〜5cも示す。図9の矢印A1〜A18に示す矢印はパケットの送受信を示す。実線の矢印は通信装置同士の通信を示す。さらに、一点鎖線の矢印はマルチキャストグループへの参加要求の送信を示し、破線の矢印はマルチキャストグループに参加している装置への通信状況の通知を示す。なお、図9などでは、説明の便宜上、参加要求をマルチキャストパケットの送信元に向けた矢印で示しているが、参加要求は、マルチキャストパケットのフィルタリングを行うスイッチなどでも処理される。
図10は、通信処理の例を説明するシーケンス図である。なお、図10の矢印A1〜A18は、図9の矢印A1〜A18に対応している。なお、図10の二重丸は、パケットの送信元と送信先を示す。
矢印A1に示すように、通信装置10aが通信装置10dとの間で通信を確立したとする。すると、図5〜図8を参照しながら説明した処理により、監視装置30aの分析処理部41aは、通信の開始を検出するとともに、検出した情報を通知部45aに出力する。通知部45aは、ネットワーク内通信状況テーブル53aに社内ネットワーク1中の他の通信装置10との通信に関するエントリが無いので、検出した通信状況を使用する監視装置30が無いと判定して、通信状況をマルチキャストせずに処理を終了する。
分析処理部41aは、監視装置テーブル51a(図6)を用いて、通信装置10aの通信先が社内ネットワーク1に含まれているかを判定する。この例では、通信装置10aの通信先となっている通信装置10dは、監視装置30dに監視されている社内ネットワーク1中の装置である。そこで、分析処理部41aは、通信装置10aと通信装置10dとの間の通信の情報を、ネットワーク内通信状況テーブル53aに記録する。
図11のT30a−1は、矢印A1の通信についての処理により監視装置30aが取得する情報の例を示す。一方、図11のT30d−1は、矢印A1の通信についての処理で監視装置30dが保持する情報の例である。
ネットワーク内通信状況テーブル53は、監視対象、監視対象の通信先となっている社内ネットワーク1中の通信装置、検知条件対象表示を含む。検知条件対象表示はYesとNoのいずれかの値をとる。検知条件対象表示=Noに設定されている通信は、社内ネットワーク1外の装置との通信が開始される前に開始された社内ネットワーク1内の通信路であるため、不正アクセスに使用されないと考えられる。一方、検知条件対象表示=Yesの場合、社内ネットワーク1外の装置との通信の開始後に開始された社内ネットワーク1内の通信路であるため、不正アクセスに使用される恐れがある。このため、分析処理部41aは、通信装置10aと通信装置10dとの間で通信の情報を、T30a−1中のネットワーク内通信状況テーブル53a−1に示すように記録する。なお、矢印A1の通信の時点ではネットワーク間通信状況テーブル52a−1、参加状況テーブル54a−1に示すように、監視装置30aは社内ネットワーク1外との通信を検出しておらず、いずれのマルチキャストグループにも参加していないものとする。
監視装置30dでも監視装置30aと同様の処理が行われる。このため、監視装置30dは、図11のT30d−1に示すように、ネットワーク間通信状況テーブル52d−1、ネットワーク内通信状況テーブル53d−1、参加状況テーブル54d−1を備える。
図12のT30a−2は、矢印A2(図9、図10)の通信についての処理により監視装置30aが取得する情報の例である。矢印A2に示すように、通信装置10aが社内ネットワーク1外の通信装置5bとの間で通信を確立したとする。この時点では、ネットワーク内通信状況テーブル53a−1に通信装置10dとの通信に関するエントリがあるため、通知部45aは、通信装置10aの通信状況をマルチキャストする。なお、この段階では、いずれの監視装置30も監視装置30aのマルチキャストグループに参加していないので、状態通知メッセージはいずれの監視装置30にも届かない。
分析処理部41aは、監視装置テーブル51a(図6)を用いて、通信装置10aの通信先である通信装置5bが社内ネットワーク1に含まれていないと判定する。そこで、分析処理部41aは、ネットワーク間通信状況テーブル52a−1を、ネットワーク間通信状況テーブル52a−2に示すように変更して処理を終了する。
図12のT30a−4は、矢印A3、A4の通信についての処理が終わった時点で監視装置30aが保持する情報の例である。矢印A3、A4に示すように、通信装置10aが社内ネットワーク1外の通信装置5a、5cとの間で通信を確立した場合も、矢印A2の説明で述べた処理と同様の処理が行われる。このため、矢印A3、A4に示す通信についての処理により、監視装置30aは、ネットワーク間通信状況テーブル52a−2をネットワーク間通信状況テーブル52a−3に更新する。一方、ネットワーク内通信状況テーブル53と参加状況テーブル54は、矢印A3、A4に示す通信により更新されない。
図13は、矢印A5に示す通信についての処理により各監視装置30が保持する情報の例を説明する図である。T30a−5は矢印A5の通信の処理後に監視装置30aが保持する情報の例であり、T30b−5は矢印A5の通信の処理後に監視装置30bが保持する情報の例である。矢印A5の通信を開始する時点では、通信装置10bはいずれの装置とも通信していないので、監視装置30bが矢印A5に示す通信を処理するときに行う動作は、監視装置30aが矢印A1の通信に対する処理を行ったときの動作と同様である。このため、監視装置30bは、矢印A5の通信により、ネットワーク内通信状況テーブル53b−1を保持する。
一方、通信装置10aにとっては、矢印A5(図9、図10)は、通信装置10aが社内ネットワーク1外の通信装置5a〜5cとの通信を開始した後に開始した社内ネットワーク1内の装置との間の通信である。そこで、分析処理部41aは、通信装置10aの通信先(通信装置10b)が社内ネットワーク1中の装置であると判定すると、ネットワーク内通信状況テーブル53a−1を、ネットワーク内通信状況テーブル53a−2に更新する。ここで、分析処理部41aは、矢印A5の通信は、社内ネットワーク1外の装置との通信の開始後に開始された社内ネットワーク1内の通信であるため、検知条件対象表示=Yesに設定する。さらに、分析処理部41aは、社内ネットワーク1外の装置との通信の開始後に開始された社内ネットワーク1内の通信(検知条件対象表示=Yesの通信)が発生したことを参加要求部42aに通知する。
参加要求部42aは、監視装置テーブル51aを検索することにより、通信先の通信装置10bについての通信状況が通知されるマルチキャストグループの送信元アドレスを取得する。ここでは、図6に示すように、IP_M#Agent#2が、通信装置10bの通信状況が通知されるマルチキャストグループの送信元アドレスである。そこで、参加要求部42aは、参加状況テーブル54a−1を参加状況テーブル54a−2に更新し、参加要求メッセージを生成する。
図14は、参加要求メッセージの例を示す図である。図14は、MLDv2(Multicast Listener Discovery Version 2)を用いて参加要求が行われる場合の参加要求メッセージの例を示している。参加要求メッセージは、L2ヘッダ、IPヘッダ、データを含む。データ部分のTypeには、マルチキャストリスナーレポートであることを示す情報と、参加するマルチキャストグループについてのマルチキャストアドレスと送信元アドレスの組み合わせが含まれる。このため、図14の参加要求メッセージにより、マルチキャストアドレスがMulticastAddr#mであり、かつ、送信元アドレスがIP_M#Agent#2に設定されているパケットを、監視装置30aが受信できるように設定が行われる。図14に示す参加要求メッセージが送信される様子を矢印A6(図9、図10)に示す。
図15のT30a−9は、矢印A7〜A9(図9、図10)に示す通信の終了後に、監視装置30aが保持する情報の例である。同様に、矢印A9の通信が終了した時点において、監視装置30bはT30b−9、監視装置30cはT30c−9を保持する。矢印A7の通信を開始する時点では、通信装置10cはいずれの装置とも通信していないので、監視装置30cが矢印A7に示す通信を処理するときに行う動作は、監視装置30aが矢印A1の通信に対する処理を行ったときの動作と同様である。
図9および図10の矢印A7は、通信装置10bと通信装置10cとの間の通信の開始を示す。分析処理部41bは、監視装置テーブル51を用いて、通信装置10cが社内ネットワーク1中の装置であると判定し、ネットワーク内通信状況テーブル53b−1(図13)を、ネットワーク内通信状況テーブル53b−2(図15)に更新する。通信装置10bと通信装置10cの間の通信の開始時点では、通信装置10bは、社内ネットワーク1外の装置とは通信していないので、通信装置10bと通信装置10cの間の通信は、監視装置30bにおいては、検知条件対象表示=Noに設定される。さらに、矢印A7の通信が行われた時点では、通信装置10bと通信装置10aが通信中であるため、通知部45bは、通信装置10bの通信状況を含む状態通知メッセージをマルチキャストする。
図9および図10の矢印A8は、監視装置30bからマルチキャストされた状態通知メッセージの送信経路である。監視装置30aの判定部44aは、受信部31aを介して、矢印A8の状態通知メッセージを取得する。判定部44aは、状態通知メッセージから、通信装置10bが通信装置10cと通信を開始したことを特定する。さらに、判定部44aは、社内ネットワーク1に含まれていない装置が監視装置30aの監視対象を介して、機密エリア内の通信装置10と通信することができるかを判定する。この判定において、判定部44aは、監視対象の通信装置10と社内ネットワーク1外の装置の間の通信の開始以降に開始された通信を用いて、社内ネットワーク1外の装置が機密エリア中の通信装置10にアクセスできるかを判定する。図9、図10の例では、矢印A2〜A5と矢印A7により、社内ネットワーク1外の通信装置5a〜5cが機密エリア内の通信装置10dにアクセスできるかを判定する。ここでは、矢印A2〜A5と矢印A7の通信によっては、通信装置5a〜5cのいずれも、通信装置10dにアクセスできないので、判定部44aは、不正アクセスは発生していないと判定する。
さらに、判定部44aは、矢印A8により受信した状態通知メッセージから得られた情報を用いて、ネットワーク内通信状況テーブル53a−2(図13)をネットワーク内通信状況テーブル53a−3(図15)に更新する。ここで、判定部44aは、状態通知メッセージの送信元(監視装置30b)において監視されている通信装置10bの情報を、監視対象の欄に記録し、通信装置10cを通信装置10bの通信先としてネットワーク内通信状況テーブル53に記録する。通信装置10bと通信装置10cの間の通信も、通信装置10aが社内ネットワーク1外の通信装置5a〜5cと通信をした後に開始されているので、監視装置30aで不正アクセスの可能性を検討する対象(検知条件対象表示=Yes)に設定される。判定部44aは、新たに不正アクセスの可能性がある通信が検出されたので、参加要求部42aに、通信装置10bと通信装置10cの間の通信の情報を通知する。参加要求部42aは、図13を参照しながら説明した処理と同様の処理により、参加状況テーブル54a−2(図13)を参加状況テーブル54a−3(図15)に更新し、参加要求メッセージを生成する。このとき生成される参加要求メッセージにより、監視装置30aは、通信装置10cに関する通信情報の宛先となるマルチキャストグループに参加する(矢印A9)。
図16のT30a−12は、矢印A10〜A12(図9、図10)に示す通信の終了後に、監視装置30aが保持する情報の例である。同様に、矢印A12の通信が終了した時点において、監視装置30bはT30b−12、監視装置30dはT30d−12を保持する。
図9および図10の矢印A10に示すように、通信装置10bが通信装置10dとの間で通信を開始したとする。矢印A10に示す通信が開始される時点では、通信装置10bと通信装置10dのいずれも、社内ネットワーク1外の装置と通信していない。このため、監視装置30bと監視装置30dは、矢印A7の通信の開始の際に監視装置30bが行う処理と同様の処理を行う。このため、監視装置30bでは、ネットワーク内通信状況テーブル53b−2(図15)がネットワーク内通信状況テーブル53b−3(図16)に更新される。さらに、通信装置10dでは、ネットワーク内通信状況テーブル53d−1(図11)がネットワーク内通信状況テーブル53d−2(図16)に更新される。
矢印A10に示す通信が開始されると、図9および図10の矢印A11に示すように、監視装置30bは、通信装置10bが通信装置10dとの通信を開始したことを示す状態通知メッセージをマルチキャストする。監視装置30aの判定部44aは、矢印A11の状態通知メッセージを用いて不正アクセスが発生しているかを判定する。すなわち、判定部44aは、矢印A2〜A5、矢印A7、矢印A10の通信により、社内ネットワーク1外の通信装置5a〜5cが機密エリア内の通信装置10dにアクセスできるかを判定する。図9などに示すように、矢印A4、A5、A10に示す双方向通信により、通信装置5cは、通信装置10aと通信装置10bを介して、通信装置10dにアクセスできる。このため、判定部44aは、不正アクセスが発生したと判定する。
さらに、判定部44aは、矢印A11の状態通知メッセージを用いてネットワーク内通信状況テーブル53a−3(図15)を、ネットワーク内通信状況テーブル53a−4(図16)に更新する。ここで、通信装置10bと通信装置10dの間の通信も、通信装置10aが社内ネットワーク1外の通信装置5a〜5cと通信をした後に開始されているので、監視装置30aで不正アクセスの可能性を検討する対象(検知条件対象表示=Yes)に設定される。このため、参加要求部42aは、参加状況テーブル54a−3(図15)を参加状況テーブル54a−4(図16)に更新し、通信装置10dでの通信状態が通知されるマルチキャストグループへの参加要求メッセージを生成する。この参加要求メッセージを用いて、監視装置30aは、通信装置10dでの通信状況を含む状態通知メッセージが送信されるマルチキャストグループに参加する(矢印A12)。
図17は、矢印A13に示す通信が発生したときに監視装置30cが保持する情報の例を説明する図である。通信装置10cが通信装置5cとの間で通信を開始すると、監視装置30cの取得部34cは、新たに開始された通信のパケットの情報を、分析処理部41cに出力する。分析処理部41cは、監視装置テーブル51(図6)を用いて、通信装置10cの通信先(通信装置5c)が社内ネットワーク1に含まれていないと判定する。すると、分析処理部41cは、ネットワーク間通信状況テーブル52c−1(図15)をネットワーク間通信状況テーブル52c−2(図17)に更新する。
通知部45cは、通信装置10cが社内ネットワーク1中の通信装置10bと通信中であるため、通信装置10cが通信装置5cと通信を開始したことを通知するための状態通知メッセージを生成し、送信部32cを介して、マルチキャストする。この時点で、監視装置30aは、監視装置30cが通信装置10cの通信情報を通知するマルチキャストグループに参加している(矢印A9)。このため、監視装置30aは、通信装置10cについての状態通知メッセージを受信する(矢印A14)。
監視装置30aの判定部44aは、矢印A14に示す状態通知メッセージを用いて、新たに不正アクセスが発生したかを判定する。すなわち、判定部44aは、矢印A13に示す経路とともに、矢印A2〜A5、矢印A7、矢印A10のいずれかの通信経路を用いて、社内ネットワーク1外の通信装置5a〜5cが機密エリア内の通信装置10dにアクセスできるかを判定する。図9などに示すように、通信装置5cは、矢印A4、A5、A10の経路で通信装置10dにアクセスでき、さらに、矢印A10、A7、A13の経路で通信装置10d中のデータを通信装置5cに送信させることができる。そこで、判定部44aは、新たな不正アクセスが発生したと判定する。
図18は、矢印A15(図9、図10)に示すように、通信装置10cが通信装置10dと通信を開始したときに、各監視装置30が保持する情報の例を説明する図である。T30a−18は、矢印A15〜A18に示す通信の終了後に、監視装置30aが保持する情報の例である。同様に、矢印A18の通信が終了した時点において、監視装置30cはT30c−18、監視装置30dはT30d−18を保持する。
矢印A15に示す通信の発生により、監視装置30cの分析処理部41cは、ネットワーク内通信状況テーブル53cを更新する。このとき、通信装置10cはすでに社内ネットワーク1外の通信装置5cとの通信を行っているので、通信装置10dとの間の通信路が不正アクセスに使用される恐れがあると判定する(検知条件対象表示=Yes)。このため、ネットワーク内通信状況テーブル53c−1(図17)は、ネットワーク内通信状況テーブル53c−2(図18)に示すように更新される。通知部45cは、通信装置10cの通信状況についての状態通知メッセージを、送信部32cを介して、マルチキャストする(矢印A16)。さらに、分析処理部41cは、通信装置10cと通信装置10dの間に、不正アクセスに使用されうる通信が発生したことを参加要求部42cに通知する。参加要求部42cは、通信装置10dに関する状態通知メッセージのマルチキャストの送信元がIP_M#Target#21であることを、監視装置テーブル51を用いて特定する。さらに、参加要求部42cは、IP_M#Target#21から送信されたMulticastAddr#m宛てのマルチキャストパケットを受信するための参加要求を生成し、送信部32cを介して送信する(矢印A18)。
監視装置30dも、通信装置10cと通信装置10dとの間の通信の情報を、取得部34dを介して取得すると、ネットワーク内通信状況テーブル53d−2(図16)をネットワーク内通信状況テーブル53d−3(図18)に更新する。このときの処理は、監視装置30dが矢印A10の通信の開始の際に行う処理と同様である。さらに、通知部45dは、通信装置10dの通信状況についての状態通知メッセージを、送信部32dを介して、マルチキャストする(矢印A17)。
監視装置30aが矢印A16に示す状態通知メッセージを受信すると、判定部44aは、新たな不正アクセスが発生したかを判定する。ここでは、判定部44aは、矢印A15に示す経路とともに、矢印A2〜A5、矢印A7、矢印A10、矢印A13のいずれかの通信経路を用いて、社内ネットワーク1外の通信装置5a〜5cが機密エリア内の通信装置10dにアクセスできるかを判定する。図9などに示すように、通信装置5cは、矢印A4、A5、A10、A15、A13を用いると、通信装置5cから通信装置10a、通信装置10b、通信装置10d、通信装置10cを経て、通信装置5cに戻る通信路を確保できる。そこで、判定部44aは、新たな不正アクセスが発生したと判定する。
さらに、判定部44aは、矢印A18で通知された状態通知メッセージを用いて、ネットワーク内通信状況テーブル53a−4(図16)を、ネットワーク内通信状況テーブル53a−5(図18)に示すように更新する。
なお、図9〜図18を参照しながら説明した処理は一例である。例えば、矢印A16〜A18での状態通知メッセージや参加要求メッセージの送受信のタイミングは実装に応じて変更され得る。
図19は、状態通知メッセージを送信する監視装置30で行われる処理の例を説明するフローチャートである。なお、図19において、ネットワークは、社内ネットワーク1である。監視対象の通信装置10が通信を開始したことを分析処理部41から通知されると、通知部45は、通信を開始した監視対象の通信装置10は、ネットワーク中の装置と通信中かを判定する(ステップS41)。通信を開始した監視対象の通信装置10がネットワーク中の装置と通信を行っている場合、通知部45は、状態通知メッセージをマルチキャストする(ステップS41でYes、ステップS42)。分析処理部41は、通信を開始した装置の通信先はネットワーク内のノードであるかを判定する(ステップS43)。通信先がネットワーク内のノードではない場合、分析処理部41は、ネットワーク間通信状況テーブル52を更新して、処理を終了する(ステップS44)。
一方、通信先がネットワーク内のノードである場合、通信を開始した監視対象はネットワーク外の装置と通信中であるかを判定する(ステップS45)。通信を開始した監視対象はネットワーク外の装置と通信していない場合、分析処理部41は、新たに生成されたネットワーク内の通信経路は不正アクセスによって発生したものではないと判定する。そこで、分析処理部41は、新たに発生した通信の情報を、検知条件対象=Noに設定した上で追加することにより、ネットワーク内通信状況テーブル53を更新する(ステップS45でNo、ステップS46)。
ステップS45において、通信を開始した監視対象はネットワーク外の装置と通信していると判定された場合、分析処理部41は、新たに生成されたネットワーク内の通信経路は不正アクセスによって発生した可能性があると判定する。そこで、分析処理部41は、新たに発生した通信の情報を、検知条件対象=Yesに設定した上で追加することにより、ネットワーク内通信状況テーブル53を更新する(ステップS45でYes、ステップS47)。参加要求部42は、通信を開始した監視対象の通信先についての通信状況を示す状態通知メッセージの送信元を特定する(ステップS48)。参加要求部42は、特定した送信元から送信されるマルチキャストパケットを受信していない場合、送信元を用いて特定されるマルチキャストグループに参加するための参加要求を送信する(ステップS49でNo、ステップS50)。特定した送信元から送信されるマルチキャストパケットを受信中である場合、参加要求部42は処理を終了する(ステップS49でNo)。
図20は、状態通知メッセージを受信した監視装置30で行われる処理の例を説明するフローチャートである。なお、監視装置30は、監視対象の通信装置10が社内ネットワーク1外の装置と通信している場合に状態通知メッセージを受信する。なお、図20は処理の一例であり、実装に応じて、ステップS69とS70の処理をステップS65〜S68の処理の前に行うなどの変更が行われても良い。
受信部31は、状態通知メッセージを受信する(ステップS61)。判定部44は、状態通知メッセージの送信元が参加状況テーブル54に含まれているかを判定する(ステップS62)。状態通知メッセージの送信元が参加状況テーブル54に含まれていない場合、判定部44は処理を終了する(ステップS62でNo)。状態通知メッセージの送信元が参加状況テーブル54に含まれている場合、判定部44は、適宜、監視装置テーブル51を用いて、ネットワーク外の装置との通信の開始が通知されたかを判定する(ステップS62でYes、ステップS63)。ネットワーク外の装置との通信の開始が通知された場合、判定部44は、不正アクセスを感知したことをオペレータが運用する装置に通知する(ステップS63でYes、ステップS64)。
ネットワーク内の装置との通信の開始が通知された場合、判定部44は、通知された情報と一致するエントリがネットワーク内通信状況テーブル53に含まれているかを判定する(ステップS63でNo、ステップS65)。通知された情報と一致するエントリがネットワーク内通信状況テーブル53に含まれている場合、判定部44は、処理を終了する(ステップS65でYes)。通知された情報と一致するエントリが登録されていない場合、判定部44は、ネットワーク内通信状況テーブル53に通信状況を登録する(ステップS66)。このとき、判定部44は、新たに登録するエントリにおいて、検知条件対象表示=Yesに設定する。参加要求部42は、状態通知メッセージで通信先として通知されたノードについての状態通知メッセージの送信元アドレスを特定する(ステップS67)。参加要求部42は、特定したアドレスから送信されたマルチキャストパケットを受信するための参加要求を、送信部32を介して送信する(ステップS68)。判定部44は、状態通知メッセージで通信先として通知されたノードが機密エリア内にあるかを、監視装置テーブル51を用いて判定する(ステップS69)。通信先として通知されたノードが機密エリア内に無い場合、判定部44は処理を終了する(ステップS69でNo)。一方、通信先として通知されたノードが機密エリア内にある場合、判定部44は、不正アクセスを感知したことをオペレータが運用する装置に通知する(ステップS69でYes、ステップS70)。
図20のステップS63でYesと判定されるケースでは、監視装置30の監視対象が、社内ネットワーク1の外部と通信しており、監視対象が社内ネットワーク1中で通信している装置が社内ネットワーク1の外部と通信を開始している。従って、ステップS63の処理では、図2のケースC1のように、外部からの侵入経路とデータの送信経路が異なるタイプの不正アクセスを検出できる。一方、ステップS70でYesと判定されるケースでは、監視装置30の監視対象が、社内ネットワーク1の外部と通信しており、監視対象が社内ネットワーク1中で通信している装置が機密エリアにアクセスしている。このため、ステップS69の処理により、図2のケースC2のように、外部からの侵入経路とデータの送信経路が同じタイプの不正アクセスを検出できる。
このように、各監視装置30は、監視下の通信装置10を介した不正アクセスを検出するための情報を、監視下の通信装置10の通信先を監視している監視装置から取得できる。ここで、各監視装置30は、監視対象の通信装置10の通信状況をマルチキャストするので、通信状況の送受信が効率よく短時間で行われることが期待できる。
他方、図21は、ユニキャスト通信で状態通知が行われる場合の例である。図21では、監視装置30の代わりに監視装置25が使用される。監視装置25aは通信装置10aでの通信状況を監視し、監視装置25bは通信装置10bでの通信状況を監視しているものとする。図21では、通信経路を実線で示し、状態通知の送受信経路を点線の矢印で示している。また、図2〜図18を参照しながら説明した例と同様に、図21でも、通信装置5a〜5cは、社内ネットワーク1に含まれていない装置であり、通信装置10aと通信装置10bは社内ネットワーク1中の装置であるとする。
通信装置10aが通信装置5cとの間で通信x1を開始し、さらに、通信装置5aとの間で通信x31、通信装置5bとの間で通信x32を開始したとする。すると、監視装置30aは、社内ネットワーク1内で通信装置10aと通信中の装置を特定した上で、通信装置10aと通信中の装置の監視装置に向けて、通信装置10aの通信状況を通知することになる。図21では図を見やすくするために、社内ネットワーク1中での通信装置10aの通信先として通信装置10bだけを示しているが、通信先の数は任意であり、しかも動的に変化する。このため、監視装置がユニキャスト通信で状態通知を送信すると、監視対象の装置の情報を通知する監視装置の処理負担が大きい。
さらに、ユニキャスト通信による通信状況の通知を行うと、監視装置が他の監視装置に通信状況を中継することもある。図21の例では、監視装置25aは、通知(x1,x31,x32)を用いて、通信x1、x31、x32の情報を監視装置25bに通知している。一方、監視装置25bの監視対象である通信装置10bは、通信y1、y32、y31、z1、z21、z22を行っている。このため、監視装置25bは、例えば、通信y31の通信先を監視している監視装置25cに対しては、監視装置25aから取得した情報と、監視装置25bの監視対象から得られた情報の両方を送信することになる。すなわち、監視装置25bは、監視装置25cに対して、通信x1、x31、x32、y1、y32、z1、z21、z22の情報を含む通知Dを送信することになる。また、監視装置25dについても同様に、監視装置25bは、通信x1、x31、x32、y1、y31、z1、z21、z22の情報を含む通知Eを送信する。このように、監視情報をユニキャスト送信で中継すると、各監視装置での処理負担が大きい上、ある通信が始まってからその通信についての情報が通知されるまでの遅延時間も長くなる恐れがある。
ゆえに、第1の実施形態にかかる方法では、ある監視装置が他の監視装置で得られた情報を中継しなくてもよいため、監視装置が送信するデータ量の増大を防ぎつつ、簡便に通信状況の通知ができる。また、通信の開始から、開始された通信に対する情報が通知されるまでの遅延もユニキャストで通信状況が通知される場合に比べて短いので、迅速に不正アクセスの検出を行うことができる。
また、第1の実施形態では、図9や図10を参照しながら説明したように、社内ネットワーク1内の通信装置10が社内ネットワーク1外の通信装置5と通信を開始する前に開始した社内ネットワーク1内の通信についての情報は監視装置30間で送受信されない。ここで、社内ネットワーク1外の通信装置5との通信が行われる前に開始された社内ネットワーク1内での通信は、通信装置5からの不正アクセスにより開始された通信ではないと考えられる。つまり、第1の実施形態にかかる監視方法では、不正アクセスにより開始された可能性の高い通信以外の情報を監視装置30間で送受信しないので、効率的であり、監視装置30の処理負担も軽減されている。
また、監視装置30での処理対象の情報が少なくなることから、監視装置30での不正アクセスの検出処理が簡便になる。監視装置30の監視対象の通信装置10が社内ネットワーク1外の装置と通信した後に、監視対象からアクセス可能な通信装置10が社内ネットワーク1外の装置とアクセスすると図2に示すケースC1の不正アクセスの可能性がある。一方、監視装置30の監視対象の通信装置10が社内ネットワーク1外の装置と通信した後に、監視対象からアクセス可能な通信装置10が機密エリア中の装置とアクセスすると図2に示すケースC2の不正アクセスの可能性がある。そこで、図20に示すように、各監視装置30は、社内ネットワーク1中の通信装置10が社内ネットワーク1外の通信装置5か機密エリア中の通信装置10とアクセスしたことを通知されたときに不正アクセスを検出している(ステップS64、S70)。換言すると、監視装置30は、監視対象での社内ネットワーク1外の通信装置5との通信を検出するまでは、監視対象の通信装置10からアクセス可能な通信装置10での通信状況を取得しないことにより、判定処理を簡略化しているといえる。
<第2の実施形態>
第2の実施形態では、監視装置30の監視先の通信装置10が通信を終了することにより、状態通知メッセージの取得を終了する場合に行われる処理の例を説明する。なお、以下の説明でも、社内ネットワーク1や外部ネットワークに含まれている装置や、通信装置10と監視装置30の間の接続関係は、第1の実施形態と同様であるものとする。従って、通信装置5a〜5cは社内ネットワーク1に含まれていない装置である。また、初期状態では、図18に示すように監視装置30aはT30a−18、監視装置30cはT30c−18、監視装置30dはT30d−18を保持しているものとする。また、監視装置30bは、図16のT30b−12に示す情報を保持している。
(1)社内ネットワーク1外の装置との間の通信の終了
図22は、通信装置10aが社内ネットワーク1外の全ての通信装置5との通信を終了する際に行われる処理の例を説明するシーケンス図である。初期状態では、図9中の矢印A1〜A5、A7、A10、A13、A15の通信が行われているものとする。図22中のBに、通信中の経路を示す。
矢印A21に示すように、通信装置5bと通信装置10aとの間で通信を終了するための制御メッセージが送受信されると、監視装置30aは、通信装置5bと通信装置10aの間で通信が終了することを検出する。なお、通信の終了は、第1の実施形態の図5A、図5Bを参照しながら説明した手順により検出されるものとする。
図23のT30a−21は、矢印A21により通信の終了を検出したときに監視装置30aが保持する情報の例である。分析処理部41aは、終了する通信での通信装置10aの通信先(通信装置5a)が社内ネットワーク1内に含まれていないことを、監視装置テーブル51(図6)を用いて特定する。すると、分析処理部41は、終了する通信に対応するエントリをネットワーク間通信状況テーブル52aから削除する。従って、ネットワーク間通信状況テーブル52a−4(図18)がネットワーク間通信状況テーブル52a−5(図23)に示すように更新される。分析処理部41は、更新後のネットワーク間通信状況テーブル52a−5にエントリが残っているので、処理を終了する。
次に、矢印A22に示すように、監視装置30aが通信装置5aと通信装置10aの間で通信が終了することを検出したとする。監視装置30aでは矢印A21で説明した処理と同様の処理が行われるため、ネットワーク間通信状況テーブル52a−5がネットワーク間通信状況テーブル52a−6に更新される。このため、監視装置30aは、T30a−22に示す情報を保持する。
図24は、矢印A23に示すように、通信装置5cと通信装置10aの間で通信が終了する場合に監視装置30aが保持する情報の例である。通信装置5cと通信装置10aとの間の通信の終了を検出した分析処理部41aがネットワーク間通信状況テーブル52a−6をネットワーク間通信状況テーブル52a−7に更新すると、更新後のネットワーク間通信状況テーブル52aには、エントリが無くなる。分析処理部41aは、社内ネットワーク1外の装置との全ての通信が終了したので、通信装置10aと社内ネットワーク1外の装置の通信経路を用いた不正アクセスが発生する可能性はなくなったと判定する。このため、分析処理部41aは、通信装置10aが社内ネットワーク1外の装置との通信中に他の監視装置30から通信の開始が通知された通信区間の情報を、ネットワーク内通信状況テーブル53aから削除する。さらに、分析処理部41は、ネットワーク内通信状況テーブル53aに残った全てのエントリについて、検知条件対象表示=Noに設定する。このため、ネットワーク内通信状況テーブル53a−5(図23)は、ネットワーク内通信状況テーブル53a−6に示すように更新される。分析処理部41aは、通信装置10aが社内ネットワーク1外の装置と通信していないことを生成部46aに通知する。
生成部46aは、参加状況テーブル54aから全てのエントリを削除することにより、参加状況テーブル54a−4(図23)を参加状況テーブル54a−5に更新する。さらに、参加状況テーブル54a−4に含まれていた全ての送信元から送信されるマルチキャストパケットの受信を終了するために、離脱要求メッセージを生成する。
図25は、離脱要求メッセージの例である。図25は、MLDv2(Multicast Listener Discovery Version 2)を用いて離脱要求が行われる場合の離脱要求メッセージの例を示している。離脱要求メッセージは、L2ヘッダ、IPヘッダ、データを含む。データ部分のTypeには、マルチキャストリスナーレポートであることを示す情報と、離脱するマルチキャストグループについてのマルチキャストアドレスと送信元アドレスの組み合わせが含まれる。このため、図25の離脱要求メッセージにより、マルチキャストアドレスがMulticastAddr#m、かつ、送信元アドレスがIP_M#Agent#2に設定されているパケットが監視装置30aに転送されなくなるようにする設定が行われる。同様に、マルチキャストアドレスがMulticastAddr#mであり、送信元アドレスがIP_M#TargetかIP_M#Target#2のパケットについても、監視装置30aに転送されなくなるような設定が行われる。図22の矢印A24〜A25に、離脱要求メッセージが送信される様子を示す。なお、離脱要求メッセージについても、マルチキャストパケットの送信元に離脱要求メッセージに送信されているように図示しているが、離脱要求メッセージはマルチキャストパケットを転送しているパケット等での設定に用いられる。
(2)外部との通信開始後に開始した社内ネットワーク1内の通信の終了
図26は、通信装置10が外部との通信開始後に開始した社内ネットワーク1内の通信を終了する場合に監視装置30で行われる処理の例を説明するシーケンス図である。図26でも、初期状態はBに示す通信が確立しているものとする。従って、図9中の矢印A1〜A5、A7、A10、A13、A15で示すように、通信装置10aは、通信装置10bと通信装置10d以外の社内ネットワーク1中の装置とは直接通信しておらず、通信装置10bを介して通信している。
矢印A31に示すように、通信装置10bと通信装置10aとの間の通信が終了したとする。通信装置10bと通信装置10aとの間の通信の終了を検出した分析処理部41aは、アクセス可能な通信装置10を、通信装置10aが通信装置10bを介してアクセスしている通信装置10と、通信装置10aが直接通信している端末に分類する。なお、アクセス可能な通信装置10は、ネットワーク内通信状況テーブル53a−5(図18)に記録されている通信装置10である。分類方法の具体例については後述する。分析処理部41aは、ネットワーク内通信状況テーブル53aから、通信が終了した通信装置10bとの通信の情報と、通信装置10bを介してアクセスしている通信装置10の情報を削除する。
図27は、通信装置10aと通信装置10bの間の通信が終了したときに監視装置30aが保持する情報の例である。分析処理部41aの処理により、ネットワーク内通信状況テーブル53a−5は、図27中のネットワーク内通信状況テーブル53a−7に示すように更新される。生成部46aは、通信装置10aと通信装置10bとの通信の終了により、ネットワーク内通信状況テーブル53aから削除されたエントリに含まれる装置での通信状況を取得するために受信していたマルチキャストパケットの送信元を特定する。なお、生成部46aは、適宜、監視装置テーブル51を用いて送信元アドレスを特定できる。生成部46aは、特定した送信元アドレスを含むエントリを参加状況テーブル54aから削除することにより、参加状況テーブル54a−4(図18)を参加状況テーブル54a−6(図27)に更新する。さらに、参加状況テーブル54a−4から削除した送信元から送信されるマルチキャストパケットの受信を終了するために、離脱要求メッセージを生成する。ここでは、マルチキャストアドレスがMulticastAddr#mであり、送信元アドレスがIP_M#Agent#2、IP_M#Target、IP_M#Target#2のいずれかのパケットについても離脱要求メッセージが生成される。図26の矢印A32〜A34に、離脱要求メッセージが送信される様子を示す。図26の例では、矢印A31に示す通信終了に対応して監視装置30bから送信された状態通知メッセージは監視装置30aに送信されるが、その後に監視装置30b〜30dにより生成された状態通知メッセージは監視装置30aに到達しなくなっている。
(3)社内ネットワーク1内の一部の装置との間の通信の終了
図28は、社内ネットワーク1内の一部の装置との通信を終了する通信装置10を監視する監視装置30で行われる処理の例を説明するシーケンス図である。図28でも、初期状態はBに示す通信が確立しているものとする。以下、通信装置10a以外の装置間での通信の終了に伴って、社内ネットワーク1内の一部の装置との間の通信を終了する場合の処理を説明する。
矢印A40に示すように、通信装置10bと通信装置10cとの間の通信が終了したとする。すると、監視装置30bと監視装置30cの両方から、通信装置10bと通信装置10cの間の通信の終了を通知する状態通知メッセージが送信される(矢印A41、A42)。判定部44aは、状態通知メッセージを用いて、通信装置10bと通信装置10cの間の通信終了により通信できなくなる通信装置10を特定する。この例では、図9に示すように、通信装置10bと通信装置10cの通信が切断されても、通信装置10aは、通信装置10bとは矢印A5の経路を介して通信できる。さらに、通信装置10aは、通信装置10dと矢印A5、A10で示す通信経路、通信装置10cとは矢印A5、A10、A15で示す通信経路で双方向通信することによりアクセス可能である。このため、判定部44は、アクセスできなくなる通信装置10が無いと判定する。そこで、判定部44aは、状態通知メッセージで通信の終了が通知された区間の情報をネットワーク内通信状況テーブル53aから削除して、処理を終了する。
図29AのT30a−42は、矢印A41とA42に示す情報通知メッセージの処理後に監視装置30aが保持する情報の例である。判定部44aの処理により、ネットワーク内通信状況テーブル53a−5(図18)は、ネットワーク内通信状況テーブル53a−8に示すように更新されている。また、矢印A40〜A42により、監視装置30bと監視装置30cでも情報の更新が行われる。
図29AのT30b−42は、監視装置30bが保持する情報の例である。監視装置30bの分析処理部41bは、取得部34bを介して、通信装置10bと通信装置10cの間の通信が終了したことを認識すると、ネットワーク内通信状況テーブル53bから通信装置10bと通信装置10cの間の通信に関する情報を削除する。このため、ネットワーク内通信状況テーブル53b−3(図16)は、ネットワーク内通信状況テーブル53b−4に示すように更新される。
図29BのT30c−42は、矢印A42の処理後の段階で監視装置30cが保持する情報の例である。監視装置30cの分析処理部41cは、取得部34cを介して、通信装置10bと通信装置10cの間の通信が終了したことを認識すると、ネットワーク内通信状況テーブル53cから通信装置10bと通信装置10cの間の通信に関する情報を削除する。このため、ネットワーク内通信状況テーブル53c−2(図18)は、ネットワーク内通信状況テーブル53c−3に示すように更新される。なお、通信装置10cは通信装置10bを介して他の通信装置10にアクセスする経路を、社内ネットワーク1外の装置との通信確立後に生成していない。このため、通信装置10bと通信装置10cの間の通信が終了しても、参加状況テーブル54c−2は更新されない。なお、通信装置10dでは矢印A40〜A42の通信に基づく情報の変更は行われないので、通信装置10dは、図29BのT30d−42に示す情報を保持する。
次に、図28の矢印A43に示すように、通信装置10bと通信装置10dとの間の通信が終了したとする。すると、監視装置30aは、監視装置30bと監視装置30dの両方から、通信装置10bと通信装置10dの間の通信の終了を通知する状態通知メッセージを受信する(矢印A44、A45)。
判定部44aは、状態通知メッセージを用いて、通信装置10bと通信装置10dの間の通信終了により通信できなくなる通信装置10を特定する。この例では、すでに図9の矢印A7で示す経路が切断された後に、矢印A10に示す経路も切断されている。このため、通信装置10aは、通信装置10aが社内ネットワーク1外の装置との通信確立後に生成された社内ネットワーク1内の通信経路のうちで切断されない経路によって、通信装置10cと通信装置10dにアクセスすることができなくなる。そこで、判定部44aは、ネットワーク内通信状況テーブル53aから、社内ネットワーク1外の装置との通信後に確立された通信であって、かつ、通信装置10cと通信装置10dのいずれかを含む通信のエントリを削除する。
図30AのT30a−47は、矢印A47の処理後の段階で監視装置30aが保持する情報の例である。判定部44aでの処理により、ネットワーク内通信状況テーブル53a−8(図29A)は、ネットワーク内通信状況テーブル53a−9に示すように更新されている。生成部46aは、通信装置10bと通信装置10dの間の通信の終了により、ネットワーク内通信状況テーブル53aから削除されたエントリに含まれる通信状況を取得するために受信していたマルチキャストパケットの送信元を特定する。このときも、生成部46aは、適宜、監視装置テーブル51を使用する。生成部46aは、特定した送信元アドレスを含むエントリを参加状況テーブル54aから削除することにより、参加状況テーブル54a−4(図29A)を参加状況テーブル54a−7(図30A)に更新する。さらに、生成部46aは、参加状況テーブル54a−4から削除した送信元から送信されるマルチキャストパケットの受信を終了するために、離脱要求メッセージを生成する。ここでは、マルチキャストアドレスがMulticastAddr#mであり、送信元アドレスがIP_M#Target、IP_M#Target#2のいずれかのパケットについても離脱要求メッセージが送信される(矢印A46、A47)。
図30AのT30b−47は、矢印A47の処理後の段階で監視装置30bが保持する情報の例である。監視装置30bの分析処理部41bは、取得部34bを介して、通信装置10bと通信装置10dの間の通信が終了したことを認識すると、ネットワーク内通信状況テーブル53bから通信装置10bと通信装置10dの間の通信の情報を削除する。このため、ネットワーク内通信状況テーブル53b−4(図29A)は、ネットワーク内通信状況テーブル53b−5に示すように更新される。
図30Bは、矢印A47の処理後の段階で監視装置30dが保持する情報の例である。通信装置10bと通信装置10dの間の通信の終了に伴う監視装置30dでの処理は監視装置30bと同様である。このため、ネットワーク内通信状況テーブル53d−3(図29B)は、ネットワーク内通信状況テーブル53d−4に示すように更新される。
(4)アクセス可能な通信装置10の検出方法の例
以下、図28に示すように通信の終了が行われた場合を例として、接続中の経路の検索方法の例を説明する。なお、図26に示したように社内ネットワーク1内の通信が終了された場合も、同様の処理が行われる。以下の説明では、判定部44は、連結判定テーブルA、連結判定テーブルB、連結ノードテーブルの3種類のテーブルを使用する。連結判定テーブルAは、起点として指定したノード(起点ノード)から、社内ネットワーク1外の装置との通信中に確立された通信経路を用いてアクセスできる通信区間を記録する。一方、連結判定テーブルBは、起点ノードから、社内ネットワーク1外の装置との通信中に確立された通信経路を用いてアクセスできない通信区間を記録する。連結ノードテーブルは、起点ノードから、社内ネットワーク1外の装置との通信中に確立された通信経路を用いてアクセスできるノードのリストである。
図31は、監視装置30aの判定部44aが、矢印A41、A42に示す状態通知メッセージを受信したときに保持するデータの例を示す。ケースc11は、判定部44aが矢印A41、A42に示す状態通知メッセージを取得したときに生成される処理用のデータである。判定部44aは、ネットワーク内通信状況テーブル53aのうち、他の通信装置10を介してアクセス可能な通信区間の情報を、アクセスできない通信区間であると仮定する。なお、判定部44aは、状態通知メッセージにより通信の終了が通知された通信区間については、判定対象から除外する。すなわち、判定部44aは、ネットワーク内通信状況テーブル53a中で検知条件対象表示=Yesに設定されている区間のうち、状態通知メッセージで通信の終了が通知された区間以外の情報を、連結判定テーブルBにコピーする。矢印A41、A42の状態通知メッセージの受信の際に、監視装置30aは、ネットワーク内通信状況テーブル53a−5(図18)を保持しているので、判定部44aは、連結判定テーブルBをケースc11に示すように生成する。さらに、判定部44aは、起点ノードとして、通信の終了が通知された通信区間の両端のいずれかの装置を指定する。ケースc11の例では、判定部44aは、通信装置10bを起点ノードとして連結ノードテーブルに登録している。
次に、判定部44aは、連結ノードテーブル中に含まれている装置がノード1かノード2に設定されている区間は、通信が可能な区間であると判定する。そこで、判定部44aは、連結ノードテーブル中に含まれている装置がノード1かノード2に設定されている区間の情報を連結判定テーブルBから削除するとともに、連結判定テーブルAに記録する。また、判定部44aは、連結判定テーブルAに記録された区間の両端のうち、連結ノードテーブルに登録されていない装置の情報を、連結ノードテーブルに追加する。このため、ケースc11に示す情報は、ケースc12に示すように更新される。
さらに、判定部44aは、連結ノードテーブル中の起点ノード以外の装置の1つを、連結判定対象の装置に設定する。ここでは通信装置10dが連結判定対象に選択されたとする。判定部44aは、連結判定対象を含む通信区間は通信可能な区間として、連結判定テーブルBから削除するとともに連結判定テーブルAに記録する。判定部44aは、連結判定対象を変更しながら、同様の判定処理を、連結判定テーブルBにエントリがなくなるか、連結ノードテーブル中の起点ノード以外の全ての装置を連結判定対象として判定処理を行うまで繰り返す。判定処理の終了時点で連結判定テーブルBに残っている区間は、通信の終了により、社内ネットワーク1外の装置との通信中に確立された通信路からは、起点ノードがアクセスできなくなった区間である。一方、判定処理の終了時点で連結判定テーブルAに含まれている区間は、状況通知メッセージで通知された通信の終了後でも、起点ノードが社内ネットワーク1外の装置との通信中に確立された通信路からアクセス可能な通信区間である。
ここでは、通信装置10dが連結判定対象となっているため、ケースc12の連結判定テーブルA、連結判定テーブルB、連結ノードテーブルは、ケースc13に示すように更新される。判定部44aは、監視対象の通信装置10aが連結ノードテーブルに含まれている場合、連結ノードテーブルに含まれている装置に通信装置10aがアクセス可能であると判定する。また、連結判定テーブルBにエントリが無いので、矢印A40〜A42の通信が行われた時点では、通信装置10aがアクセスできなくなった区間は、通信が終了した通信装置10bと通信装置10cの間の区間以外には無いと判定される。
なお、図31を参照しながら通信装置10bが起点ノードの場合を説明したが、起点ノードは通信装置10cに設定されても良い。
図32Aと図32Bは、矢印A41、A42に示す状態通知メッセージを受信したときに、判定部44aが起点ノードを通信装置10cに設定して接続中の経路を検索する場合の例である。判定部44aは、起点ノードを通信装置10cに設定してケースc11と同様の処理を行うことにより、ケースc21に示す情報を生成する。次に、判定部44aは、通信装置10cがノード1かノード2に設定されている区間の情報を連結判定テーブルBから削除するとともに、連結判定テーブルAに記録する。また、判定部44aは、通信装置10c以外で連結判定テーブルAに記録された区間の両端のうち、連結ノードテーブルに登録されていない装置の情報を、連結ノードテーブルに追加する。このため、ケースc21に示す情報は、ケースc22に示すように更新される。さらに、判定部44aは、通信装置10dを連結判定対象の装置に設定し、通信装置10dと通信装置10bの間の通信区間を連結判定テーブルBから削除するとともに連結判定テーブルAに記録する。また、判定部44aは、通信装置10bを連結ノードテーブルに追加する。このため、ケースc22に示す情報は、ケースc23に示すように更新される。その後、判定部44aは、通信装置10bを連結判定対象の装置に設定し、通信装置10bと通信装置10aの間の通信区間を連結判定テーブルBから削除するとともに連結判定テーブルAに記録する。また、判定部44aは、通信装置10aを連結ノードテーブルに追加する。このため、ケースc23に示す情報は、ケースc24に示すように更新される。
図31〜図32Bを参照しながら説明したように、ある通信区間での通信の終了に伴って監視対象の通信装置10がアクセスできなくなる通信区間が無い場合、終了する区間のいずれを起点ノードとしても監視対象がアクセス可能な装置は変わらない。しかし、通信の終了に伴って監視対象の通信装置10がアクセスできなくなる通信区間がある場合は、起点ノードによって、監視対象がアクセス可能な装置(連結ノード)が異なる。
図33は、監視装置30aの判定部44aが、矢印A45、A46に示す状態通知メッセージを受信したときに保持するデータの例を示す。矢印A45、A46の状態通知メッセージの受信の際に、監視装置30aは、ネットワーク内通信状況テーブル53a−8(図29A)を保持しているので、判定部44aは、連結判定テーブルBをケースc31に示すように生成する。ケースc31では、起点ノードとして通信装置10bが連結ノードテーブルに登録されている。
次に、判定部44aは、通信装置10aと通信装置10bの間の区間の情報を連結判定テーブルBから削除するとともに、連結判定テーブルAに記録する。また、判定部44aは、通信装置10aの情報を、連結ノードテーブルに追加する。このため、ケースc31に示す情報は、ケースc32に示すように更新される。
さらに、判定部44aは、通信装置10aを連結判定対象とし、連結判定テーブルB中で通信装置10aを含む区間を検索する。ここでは、連結判定テーブルB中で通信装置10aを含む区間がない。このため、ケースc33に示すように、連結判定テーブルB中には、通信装置10cと通信装置10dの間の通信区間が残る。そこで、判定部44aは、監視装置30aの監視対象の通信装置10aが通信装置10cと通信装置10dの間の通信区間にアクセスできないと判定する。このため、通信装置10dは、連結判定テーブルBに残った区間と通信の終了が通知された区間を、ネットワーク内通信状況テーブル53a−8(図29A)から削除し、ネットワーク内通信状況テーブル53a−9(図30a)を生成する。
図34のケースc41は、判定部44aが矢印A45、A46に示す状態通知メッセージに基づいて、起点ノードを通信装置10dに指定した場合に生成するデータの例を示す。判定部44aは、ネットワーク内通信状況テーブル53a−8(図29A)を用いて、連結判定テーブルBをケースc41に示すように生成する。次に、判定部44aは、通信装置10dと通信装置10cの間の区間の情報を連結判定テーブルBから削除するとともに、連結判定テーブルAに記録する。また、判定部44aは、通信装置10cの情報を、連結ノードテーブルに追加する。このため、ケースc41に示す情報は、ケースc42に示すように更新される。さらに、判定部44aは、通信装置10cを連結判定対象とし、連結判定テーブルB中で通信装置10cを含む区間を検索するが、連結判定テーブルB中で通信装置10cを含む区間がない。このため、ケースc42の連結判定テーブルB中に含まれている通信装置10aと通信装置10bの間の通信区間が通信装置10dから通信できない区間として残る。しかし、図34に示す処理では、連結ノードテーブルには、通信装置10aが含まれていない。このため、ケースc42に示す連結ノードテーブルに含まれている装置に対して、通信装置10aは社内ネットワーク1外の装置の通信中に確立した通信路からアクセスすることはできないことが分かる。また、判定部44aは、連結判定テーブルAに含まれている区間を、社内ネットワーク1外の装置との通信中に確立された通信路を介して通信装置10aがアクセスできない区間として特定できる。
図35は、接続中の経路の検索方法の例を説明するフローチャートである。判定部44は、通信の終了を検出すると、連結判定テーブルA、連結判定テーブルB、連結ノードテーブルを、作業エリアとして初期化する(ステップS81)。さらに、判定部44は、起点ノードを登録し、変数pと変数qを1に設定する(ステップS82)。ここで、変数pは、連結ノードテーブル中で起点ノードまたは連結判定対象となったノードの数を計数するために使用され、変数qは、連結判定テーブルB中で判定処理の対象となったエントリの数を計数するために使用される。判定部44は、連結判定テーブルBに、ネットワーク内通信状況テーブル53中で、通信の終了が通知された区間以外で、検知条件対象表示=Yesに設定されているエントリをコピーする(ステップS83)。判定部44は、連結判定テーブルBのq番目のエントリのノード1が連結ノードテーブルのp番目のエントリ(ノードX)であるかを判定する(ステップS84)。連結判定テーブルBのq番目のエントリのノード1とノードXが一致する場合、判定部44は、連結判定テーブルBのq番目のエントリのノード2を連結ノードに設定する(ステップS84でYes、ステップS85)。
一方、連結判定テーブルBのq番目のエントリのノード1とノードXが一致しない場合、判定部44は、連結判定テーブルBのq番目のエントリのノード2がノードXと一致するかを判定する(ステップS84でNo、ステップS86)。連結判定テーブルBのq番目のエントリのノード2とノードXが一致する場合、判定部44は、連結判定テーブルBのq番目のエントリのノード1を連結ノードに設定する(ステップS86でYes、ステップS87)。ステップS85かステップS87の処理後、判定部44は、連結判定テーブルBのq番目のエントリを、連結判定テーブルAに移動する(ステップS88)。判定部44は、連結ノードテーブルに、ステップS85かステップS87で設定した連結ノードが登録されているかを判定する(ステップS89)。連結ノードテーブルに、ステップS85かステップS87で設定した連結ノードが登録されていない場合、判定部44は、連結ノードを連結ノードテーブルに追加する(ステップS89で登録なし、ステップS90)。その後、変数qを1つインクリメントして、定数Qと比較する(ステップS91、S92)。ここで、定数Qは、連結判定テーブルB中のエントリの総数である。変数qが定数Qを超えるまで、ステップS84〜S91の処理が繰り返される(ステップS92でNo)。一方、変数qが定数Qを超えると、判定部44は、変数pを1つインクリメントして、定数Pと比較する(ステップS92でYes、ステップS93、S94)。ここで、定数Pは、現在の連結ノードテーブル中のエントリの総数である。変数pが定数P以下の場合、判定部44は、変数qを1に設定して、ステップS84以降の処理を繰り返す(ステップS94でNo、ステップS95)。一方、変数pが定数Pを超えると、判定部44は、処理を終了する(ステップS94でYes)。なお、ステップS86において、連結判定テーブルBのq番目のエントリのノード2とノードXが一致しない場合、ステップS91以降の処理が行われる。
図36Aと図36Bは、通信終了を検出した監視装置30の処理の例を説明するフローチャートである。通信を終了する通信装置10を監視している監視装置30の通知部45は、終了する通信の情報を、マルチキャストグループに参加している装置に通知する(ステップS101)。分析処理部41は、終了する通信において監視対象の通信先はネットワーク外のノードであるかを判定する(ステップS102)。監視対象の通信先がネットワーク外のノードである場合、分析処理部41は、終了する通信の情報を、ネットワーク間通信状況テーブル52から削除する(ステップS102でYes、ステップS111)。分析処理部41は、ネットワーク間通信状況テーブル52にエントリが残っている場合、処理を終了する(ステップS112で「あり」)。ネットワーク間通信状況テーブル52にエントリが残っていない場合、分析処理部41は、自装置が直接監視している装置を含まない通信情報をネットワーク内通信状況テーブル53から削除する(ステップS113)。さらに、分析処理部41は、ネットワーク内通信状況テーブル53中の全てのエントリについて、検知条件対象表示=Noに設定する(ステップS114)。生成部46は、参加状況テーブル54に送信元が含まれる全てのマルチキャストグループに対しての離脱要求を、送信部32を介して送信する(ステップS115)。生成部46は、参加状況テーブル54中の全てのエントリを削除する(ステップS116)。
一方、監視対象の通信先がネットワーク内のノードである場合、分析処理部41は、終了した通信での監視対象の通信先を監視するマルチキャストグループに参加しているかを判定する(ステップS103)。通信先を監視するマルチキャストグループに参加していない場合、分析処理部41は、終了した通信についての情報をネットワーク内通信状況テーブル53から削除して、処理を終了する(ステップS103でNo、ステップS104)。
通信先を監視するマルチキャストグループに参加している場合も、分析処理部41は、終了した通信についての情報をネットワーク内通信状況テーブル53から削除して、処理を終了する(ステップS103でYes、ステップS105)。分析処理部41は、終了した通信での監視対象の通信先のノードを起点ノードとして、起点ノードが通信可能なノードをリストアップする(ステップS106)。終了した通信での監視対象のノードがリストに含まれている場合、分析処理部41は、処理を終了する(ステップS107で連結)。終了した通信での監視対象のノードがリストに含まれていない場合、分析処理部41は、リストアップしたノードを含む情報を、ネットワーク内通信状況テーブル53から削除する(ステップS107で非連結、ステップS108)。生成部46は、リストアップされたノードを監視している監視装置30に、離脱要求を送信する(ステップS109)。さらに、生成部46は、離脱したマルチキャストグループの送信元の情報を、参加状況テーブル54から削除する(ステップS110)。
図37は、通信終了を通知する状態通知メッセージを受信した監視装置30で行われる処理の例を説明するフローチャートである。判定部44は、状態通知メッセージにより終了が通知された通信について、状態通知メッセージの送信元の監視対象の通信先はネットワーク内の装置であるかを判定する(ステップS121)。状態通知メッセージの送信元の監視対象の通信先がネットワーク外の装置である場合、判定部44は処理を終了する(ステップS121でNo)。状態通知メッセージの送信元の監視対象の通信先がネットワーク内の装置である場合、判定部44は、終了した通信での通信先は、自装置の監視対象であるかを判定する(ステップS121でYes、ステップS122)。終了する通信での通信先が自装置の監視対象である場合、判定部44は処理を終了する(ステップS122でNo)。
一方、終了する通信での通信先が自装置の監視対象ではない場合、判定部44は、状態通知メッセージにより終了が通知された通信の情報を、ネットワーク内通信状況テーブル53から削除する(ステップS122でYes、ステップS123)。判定部44は、連結ノード判定処理を行う(ステップS124)。連結ノード判定処理の詳細は、図31〜図35を用いて説明したとおりである。なお、図37の例では、連結ノード判定処理において、判定部44は、状態通知メッセージの送信元の監視装置30が監視している装置の通信先を起点ノードに設定するものとする。連結ノードテーブルに、状態通知メッセージの送信元の監視装置30が監視している装置が含まれている場合、判定部44は、処理を終了する(ステップS125で連結)。
連結ノードテーブルに、状態通知メッセージの送信元の監視装置30が監視している装置が含まれていない場合、判定部44は、連結ノードテーブルに、自装置の監視対象が含まれているかを判定する(ステップS126)。連結ノードテーブルに自装置の監視対象が含まれていない場合、判定部44は、連結判定テーブルAに含まれているエントリに一致するエントリを、ネットワーク内通信状況テーブル53から削除する(ステップS126で「含まれない」、ステップS127)。生成部46は、ネットワーク内通信状況テーブル53から削除されたエントリの装置に対応付けられた送信元の情報を用いて、マルチキャストグループから離脱するための処理を行う(ステップS128)。生成部46は、離脱したマルチキャストグループの情報を参加状況テーブル54から削除する(ステップS129)。
ステップS126において連結ノードテーブルに自装置の監視対象が含まれていると判定された場合(ステップS126でNo)、判定部44は、起点ノードを、状態通知メッセージの送信元の監視装置30が監視している装置に変更する。さらに、判定部44は、連結ノードテーブルを再作成する(ステップS130)。その後、ステップS130で作成された連結ノードテーブルや連結判定テーブルAを用いてステップS127以降の処理が行われる。
第2の実施形態で説明したように、生成部46が離脱要求を生成することにより、通信の終了によって監視対象がアクセスしなくなった区間についての情報の通知に使用されるマルチキャストパケットの受信を早期に停止することができる。このため、第2の実施形態では、監視装置30に無駄なマルチキャストパケットが送信されるのを防ぐことができ、監視装置30の負荷が軽減され、さらに、ネットワーク中のトラフィックの増大も軽減される。また、監視装置30は、離脱要求を用いて、外部の通信装置5が通信装置10を介してアクセス可能な区間の通信情報を取得するためのマルチキャストグループに参加したまま、監視対象を介してアクセスできない区間のマルチキャストグループから離脱できる。このため、監視装置30は無駄なパケットの受信を防ぎつつ、不正アクセスの検出に用いる情報を取得できる。
<その他>
以上の説明では、TCPを用いた通信が行われる場合を例として説明したが、通信の開始と終了が検出できる場合、他の任意のプロトコルを使用するように変形されうる。
以上の説明で述べたテーブルやメッセージのフォーマットは一例であり、テーブルや各メッセージに含まれる情報要素は、実装に応じて変更され得る。
1 社内ネットワーク
2 アクセスネットワーク
3 インターネット
5 通信装置
10 通信装置
12 通信サービスネットワーク
15 スイッチ
17 監視ネットワーク
20 ファイアウォール装置
25、30 監視装置
31 受信部
32 送信部
33 通信部
34 取得部
35 入出力処理部
40 制御部
41 分析処理部
42 参加要求部
44 判定部
45 通知部
46 生成部
50 記憶部
51 監視装置テーブル
52 ネットワーク間通信状況テーブル
53 ネットワーク内通信状況テーブル
54 参加状況テーブル
55 通信状態テーブル
56 アドレス情報
61 プロセッサ
62 メモリ
63 入出力装置
64 通信インタフェース
65 取得処理回路

Claims (8)

  1. 複数の通信装置と複数の監視装置を含むネットワークで第1の監視装置として動作する監視装置であって、
    監視対象の通信装置が行う通信の情報である通信情報を取得する取得部と、
    前記監視対象の通信装置のうちの第1の通信装置が、前記ネットワークに含まれていない装置である外部装置と通信を開始した後に、前記ネットワーク中の第2の監視装置が監視する第2の通信装置との通信を開始すると、前記第2の監視装置が監視する通信装置の通信情報を通知するマルチキャストグループへの参加要求を送信する送信部と、
    前記第2の監視装置から前記マルチキャストグループ宛てに送信されたパケットを用いて、前記外部装置が前記第1の通信装置を介して前記ネットワーク中の装置への不正アクセスを行っているかを判定する判定部
    を備えることを特徴とする監視装置。
  2. 前記第2の監視装置から前記第2の通信装置の通信状況を受信する受信部と、
    前記第2の通信装置が新たに開始した通信の通信先が前記ネットワークに含まれている場合、前記通信先を監視する第3の監視装置が前記通信先の通信状況を送信するマルチキャストグループへの参加を要求するための他の参加要求を生成する参加要求部
    を備え、
    前記送信部は、前記他の参加要求を送信し、
    前記判定部は、前記第2および第3の監視装置から送信されたパケットを用いて、前記外部装置が前記第1および第2の通信装置を介した不正アクセスを行っているかを判定する
    ことを特徴とする請求項1に記載の監視装置。
  3. 前記判定部は、前記第1の監視装置が参加しているマルチキャストグループ宛のパケットにより、前記ネットワークに含まれていない装置との通信の開始、または、前記ネットワークに含まれていない装置からのアクセスを許可していない情報を記憶する装置との通信の開始が通知されると、前記第1の通信装置を介した前記ネットワーク中の装置への不正アクセスが発生したと判定する
    ことを特徴とする請求項1または2に記載の監視装置。
  4. 前記取得部が取得した通信情報を、前記第1の監視装置が取得した通信情報の通知先である他のマルチキャストグループに通知するための状態通知を生成する通知部
    をさらに備え、
    前記送信部は、前記状態通知を前記他のマルチキャストグループに送信する
    ことを特徴とする請求項1〜3のいずれか1項に記載の監視装置。
  5. 第1の通信装置が前記外部装置との通信を終了したことにより、前記第1の通信装置が前記ネットワークに含まれていない装置と通信しなくなると、前記第1の監視装置が参加したマルチキャストグループからの離脱を要求する離脱要求を生成する生成部
    を備え、
    前記送信部は、前記離脱要求を送信する
    ことを特徴とする請求項1〜4のいずれか1項に記載の監視装置。
  6. 前記第2の監視装置が通信情報を通知する第1のマルチキャストグループと、第4の監視装置が通信情報を通知する第2のマルチキャストグループとに、前記第1の監視装置が参加した後で、前記第1の通信装置と前記第2の通信装置との通信が終了すると、前記生成部は、前記ネットワーク中で前記第1の通信装置が前記第2の通信装置を介さずに通信できない装置である対象装置を特定し、
    前記生成部は、前記第4の監視装置の監視対象のうちで前記第1の通信装置と通信している装置に、前記対象装置ではない装置が含まれている場合、前記第2のマルチキャストグループからは離脱せずに、前記第1のマルチキャストグループから離脱するための離脱要求を生成する
    ことを特徴とする請求項5に記載の監視装置。
  7. 複数の通信装置と複数の監視装置を含むネットワークと、
    前記ネットワークの外から前記複数の通信装置にアクセスする外部装置
    を含む監視システムであって、
    前記ネットワーク中で、前記外部装置と通信している第1の通信装置を監視する第1の監視装置は、
    前記外部装置との通信中に、前記第1の通信装置が、前記ネットワーク中の第2の監視装置が監視する第2の通信装置との通信を開始すると、前記第2の監視装置が監視する通信装置の通信情報を通知するマルチキャストグループへの参加要求を送信し、
    前記第2の監視装置から前記マルチキャストグループ宛てに送信されたパケットを用いて、前記外部装置が前記第1の通信装置を介して前記ネットワーク中の装置への不正アクセスを行っているかを判定する
    ことを特徴とする監視システム。
  8. 複数の通信装置と複数の監視装置を含むネットワークで第1の監視装置として動作する監視装置に、
    監視対象の通信装置が行う通信の情報である通信情報を取得し、
    前記監視対象の通信装置のうちの第1の通信装置が、前記ネットワークに含まれていない装置である外部装置と通信を開始した後に、前記ネットワーク中の第2の監視装置が監視する第2の通信装置との通信を開始すると、前記第2の監視装置が監視する通信装置の通信情報を通知するマルチキャストグループへの参加要求を送信し、
    前記第2の監視装置から前記マルチキャストグループ宛てに送信されたパケットを用いて、前記外部装置が前記第1の通信装置を介して前記ネットワーク中の装置への不正アクセスを行っているかを判定する
    処理を行わせることを特徴とする監視方法。
JP2014137663A 2014-07-03 2014-07-03 監視装置、監視システム、および、監視方法 Pending JP2016015676A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2014137663A JP2016015676A (ja) 2014-07-03 2014-07-03 監視装置、監視システム、および、監視方法
US14/722,639 US9560058B2 (en) 2014-07-03 2015-05-27 Monitoring device and monitoring method
CN201510333834.9A CN105245397A (zh) 2014-07-03 2015-06-16 监视装置和监视方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014137663A JP2016015676A (ja) 2014-07-03 2014-07-03 監視装置、監視システム、および、監視方法

Publications (1)

Publication Number Publication Date
JP2016015676A true JP2016015676A (ja) 2016-01-28

Family

ID=55017832

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014137663A Pending JP2016015676A (ja) 2014-07-03 2014-07-03 監視装置、監視システム、および、監視方法

Country Status (3)

Country Link
US (1) US9560058B2 (ja)
JP (1) JP2016015676A (ja)
CN (1) CN105245397A (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107735987A (zh) * 2015-06-02 2018-02-23 三菱电机大楼技术服务株式会社 中继装置、网络监视系统和程序
US10374933B2 (en) * 2015-07-31 2019-08-06 Verizon Patent And Licensing Inc. Systems and methods for monitoring operational statuses of network services
WO2023239590A1 (en) * 2022-06-05 2023-12-14 Apple Inc. Prioritized resident electronic device in home

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003258910A (ja) * 2002-03-04 2003-09-12 Mitsubishi Electric Corp 不正アクセス経路解析システム及び不正アクセス経路解析方法
US20050157662A1 (en) * 2004-01-20 2005-07-21 Justin Bingham Systems and methods for detecting a compromised network
JP2006033472A (ja) * 2004-07-16 2006-02-02 Kddi Corp 不正アクセス検知装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3723076B2 (ja) * 2000-12-15 2005-12-07 富士通株式会社 不正侵入防御機能を有するip通信ネットワークシステム
US7089589B2 (en) 2001-04-10 2006-08-08 Lenovo (Singapore) Pte. Ltd. Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003258910A (ja) * 2002-03-04 2003-09-12 Mitsubishi Electric Corp 不正アクセス経路解析システム及び不正アクセス経路解析方法
US20050157662A1 (en) * 2004-01-20 2005-07-21 Justin Bingham Systems and methods for detecting a compromised network
JP2006033472A (ja) * 2004-07-16 2006-02-02 Kddi Corp 不正アクセス検知装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
梅津 高朗 TAKAAKI UMEDU: "セグメント間での自律的なグループ形成機構を用いた分散型ネットワークモニタの実現 A Distributed Networ", マルチメディア,分散,協調とモバイル(DICOMO)シンポジウム論文集 1997年〜2006年版 V, vol. 第2003巻 第9号, JPN6018008090, 4 June 2003 (2003-06-04), JP, pages 625 - 628 *
竹尾 大輔 DAISUKE TAKEO: "FPNにおける渡り歩きの検出方法の検討 Researches on Detection Method of Island Hop in Flexible Pri", 電子情報通信学会技術研究報告 VOL.104 NO.200 IEICE TECHNICAL REPORT, vol. 第104巻 第200号, JPN6018008089, 14 July 2004 (2004-07-14), JP, pages 81 - 86 *

Also Published As

Publication number Publication date
US9560058B2 (en) 2017-01-31
US20160006692A1 (en) 2016-01-07
CN105245397A (zh) 2016-01-13

Similar Documents

Publication Publication Date Title
US8626912B1 (en) Automated passive discovery of applications
JP4759389B2 (ja) パケット通信装置
US8238288B2 (en) Duplicate detection method for ad hoc network
EP3900280B1 (en) User data traffic handling
US20150271270A1 (en) Tunnel broker in a service oriented architecture
JP2007519375A (ja) ピアツーピア・ネットワーク通信の改善方法
EP2922274B1 (en) Finding services in a service-oriented architecture (SOA) network
JP4902878B2 (ja) リンク管理システム
US20210314246A1 (en) Data packet loss detection
CN103117930B (zh) 静态路由配置的检测方法和装置
EP3226516B1 (en) Unified data networking across heterogeneous networks
CN107241379B (zh) 跨异构网络的内容传递
WO2013189414A2 (zh) 网络拓扑自动获取方法及系统、网络查询及管理系统
JP2016015676A (ja) 監視装置、監視システム、および、監視方法
CA2595438C (en) Method for improving peer to peer network communication
JP6378121B2 (ja) ゲートウェイ装置及び通信方法
JP6458512B2 (ja) 通信機器
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
GB2414907A (en) Deleting Security Associations according to traffic levels
JP2015204538A (ja) 呼処理シーケンスの解析装置および通信システム
WO2014132774A1 (ja) ノード情報検出装置、ノード情報検出方法、及びプログラム
KR20040003977A (ko) 아이피 충돌 검출/차단 시스템 및 그 방법
JP2008227600A (ja) 通信妨害装置及び通信妨害プログラム
JP5135292B2 (ja) Ip電話交換機及びip電話システム
JP2016208162A (ja) 判定方法および情報処理装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170406

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180306

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180925