JP2016058906A - 通信制御装置、通信制御方法、通信制御プログラム、及び、通信システム - Google Patents
通信制御装置、通信制御方法、通信制御プログラム、及び、通信システム Download PDFInfo
- Publication number
- JP2016058906A JP2016058906A JP2014184089A JP2014184089A JP2016058906A JP 2016058906 A JP2016058906 A JP 2016058906A JP 2014184089 A JP2014184089 A JP 2014184089A JP 2014184089 A JP2014184089 A JP 2014184089A JP 2016058906 A JP2016058906 A JP 2016058906A
- Authority
- JP
- Japan
- Prior art keywords
- information
- information processing
- communication
- estimated
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】
副次的な感染のリスクを低減する通信制御装置等を提供する。
【解決手段】
通信制御装置101は、情報処理装置501が所定のセキュリティ条件を満たすか否かに関して推定された推定情報に基づき、通信する制御手順を表す制御情報を作成するコントローラ102と、制御情報に従い、情報処理装置501に関する信号が通る通信経路を制御するスイッチ103とを有する。
【選択図】 図1
副次的な感染のリスクを低減する通信制御装置等を提供する。
【解決手段】
通信制御装置101は、情報処理装置501が所定のセキュリティ条件を満たすか否かに関して推定された推定情報に基づき、通信する制御手順を表す制御情報を作成するコントローラ102と、制御情報に従い、情報処理装置501に関する信号が通る通信経路を制御するスイッチ103とを有する。
【選択図】 図1
Description
本発明は、たとえば、複数の情報処理装置間における通信を制御可能な通信制御装置等に関する。
企業や社会インフラストラクチャへのサイバー攻撃は、年々、増加しているとともに、その種類も多様化している。日々高度化するサイバー攻撃に関して侵入・感染の全容を直ちに検知することは、技術的に困難である一方、解決しなければならない課題である。以降、インフラストラクチャを「インフラ」と表す。したがって、悪意のあるソフトウェア(マルウェア)が、企業、または、社会インフラにおける通信ネットワークに、侵入・感染する、または、すでに、侵入・感染していることを前提として、悪意のあるソフトウェアに対する防衛策を講じる必要がある。
悪意のあるソフトウェアに対する防衛策の1つとして、特許文献1または特許文献2に開示されるように、あるセキュリティポリシに従い、クライアントを監視する検疫システムがある。
特許文献1は、セキュリティポリシに適合しないクライアントと、通信ネットワークとを隔離し、該クライアントに対してセキュリティポリシに対応することを促すネットワーク検疫クライアントを開示する。該ネットワーク検疫クライアントによれば、上述した催促を実行することにより、セキュリティレベルが向上する。
特許文献2は、通信ネットワークにおいて、セキュリティポリシが更新されてから、クライアントコンピュータに該更新が反映されるまでに要する時間を短く抑制可能な検疫管理装置を開示する。該検疫管理装置は、クライアントコンピュータとの通信接続を確立し、該通信接続を維持した状態にて、セキュリティポリシと、監視する命令とを該クライアントコンピュータに送信する。クライアントコンピュータは、該セキュリティポリシと、該監視する命令と受信し、受信したセキュリティポリシに基づいて、該監視する命令を実行する。
一方、通信ネットワークを構成する技術も変化しており、たとえば、特許文献3に示すような、ソフトウェアに従い、通信ネットワークの構成を変更可能なSoftware−Defined Network (「SDN」)もある。
特許文献3は、オープンフロー技術を利用するコンピュータシステムを開示する。該コンピュータシステムは、コントローラと、スイッチとを有する。スイッチは、パケットを受信し、受信したパケットがフローエントリーに適合するか否かを判定する。スイッチは、適合すると判定する場合に、該フローエントリーにて規定された中継手順(制御情報)に従い、該パケットを送信する。
また、該スイッチは、適合しないと判定する場合に、該パケットをコントローラに送信する。コントローラは、該パケットを受信し、受信したパケットに含まれる送信元に関するフローエントリーを作成し、新たに、作成したフローエントリーを制御情報に設定する。次に、コントローラは、受信したパケットをスイッチに送信する。スイッチは、該受信したパケットを受信し、適合するフローエントリー(すなわち、コントローラが新たに設定したフローエントリー)にて規定された中継手順に従い、受信したパケットを目的地に送信する。
通信ネットワークを構成する技術が変化するにつれ、あるいは、サイバー攻撃の種類が多様化するにつれ、悪意のあるソフトウェアに対する防衛策も変える必要がある。
たとえば、悪意のあるソフトウェアが副次的に感染することに対する防衛策に関しては、必ずしも、現状で十分な装置が提供されているとは限らない。副次的な感染は、悪意のあるソフトウェアが、該ソフトウェアに感染した情報処理装置(以降、「感染計算機」と表す)から、他の情報処理装置(以降、「計算機」と表す)に感染することを表す。
特許文献1または特許文献2に開示される検疫システムは、通信システムにおいて、各計算機が悪意のあるソフトウェアが感染するのを、あらかじめ、防止する効果を有するものの、副次的な感染を防止することはできない。これは、該通信システムにおいて、1つのセキュリティポリシに従う限り、感染源であるソフトウェアに対する防衛策とならないからである。
そこで、本発明の主たる目的は、副次的な感染のリスクを低減する通信制御装置等を提供することである。
前述の目的を達成するために、本発明の一態様において、通信制御装置は、以下の構成を備える。
すなわち、通信制御装置は、
情報処理装置が所定のセキュリティ条件を満たすか否かに関して推定された推定情報に基づき、通信する制御手順を表す制御情報を作成するコントローラと、
前記制御情報に従い、前記情報処理装置に関する信号が通る通信経路を制御するスイッチと
を備える。
情報処理装置が所定のセキュリティ条件を満たすか否かに関して推定された推定情報に基づき、通信する制御手順を表す制御情報を作成するコントローラと、
前記制御情報に従い、前記情報処理装置に関する信号が通る通信経路を制御するスイッチと
を備える。
また、本発明の他の見地として、
通信制御方法は、通信を制御可能なスイッチを用いて、情報処理装置が所定のセキュリティ条件を満たすか否かに関して推定された推定情報に基づき、通信する制御手順を表す制御情報を作成し、前記制御情報に従い、前記情報処理装置に関する信号が通る通信経路を制御する。
通信制御方法は、通信を制御可能なスイッチを用いて、情報処理装置が所定のセキュリティ条件を満たすか否かに関して推定された推定情報に基づき、通信する制御手順を表す制御情報を作成し、前記制御情報に従い、前記情報処理装置に関する信号が通る通信経路を制御する。
さらに、同目的は、係る通信制御プログラム、および、そのプログラムを記録するコンピュータ読み取り可能な記録媒体によっても実現される。
本発明に係る通信制御装置システム等によれば、副次的な感染のリスクを低減することができる。
次に、本発明を実施する実施形態について図面を参照しながら詳細に説明する。
<第1の実施形態>
本発明の第1の実施形態に係る通信制御装置101が有する構成と、通信制御装置101が行う処理とについて、図1乃至図3を参照しながら詳細に説明する。図1は、本発明の第1の実施形態に係る通信制御装置101が有する構成を示すブロック図である。図2は、第1の実施形態に係る通信制御装置101における処理の流れを示すフローチャートである。図3は、通信制御装置101を含む処理の流れを示すシーケンス図である。
本発明の第1の実施形態に係る通信制御装置101が有する構成と、通信制御装置101が行う処理とについて、図1乃至図3を参照しながら詳細に説明する。図1は、本発明の第1の実施形態に係る通信制御装置101が有する構成を示すブロック図である。図2は、第1の実施形態に係る通信制御装置101における処理の流れを示すフローチャートである。図3は、通信制御装置101を含む処理の流れを示すシーケンス図である。
第1の実施形態に係る通信制御装置101は、コントローラ102と、スイッチ103とを有する。通信制御装置101は、複数の情報処理装置501が、相互に情報を通信する場合に、通信に関する制御を実行する。
通信制御装置101は、さらに、推定情報作成部104を有してもよい。尚、推定情報作成部104は、必ずしも、通信制御装置101に含まれる必要はなく、推定情報作成部104が作成する情報を送受信可能であればよい。
尚、通信制御装置101が推定情報作成部104を含まない場合に、図4に例示するように、通信システム105は、通信制御装置101と、推定情報作成部104とを有してもよい。図4は、第1の実施形態に係る通信システム105が有する構成を示すブロック図である。
以降の説明においては、説明の便宜上、通信制御装置101は、推定情報作成部104を有するとする。
通信制御装置101は、通信ネットワークにおいて、複数の情報処理装置501が相互に通信する場合のフローを制御する。たとえば、通信制御装置101は、オープンフロー(OpenFlow)コントローラ(以降、「コントローラ」と表す)等を用いて実現することができる。コントローラ102は、スイッチ103に関する制御手順を表す制御情報を作成することにより、スイッチ103を制御し、この結果として、複数の情報処理装置501が相互に通信する場合における通信フロー(以降、単に、「フロー」と表す)を制御する。
ここで、OpenFlowは、通信ネットワークにおいて経由する通信経路(以降、「経路」と表す)に関する設定等に関して、通信ネットワークを構成するスイッチ103等の装置を、フローと呼ばれる単位にて制御する制御装置を有する。OpenFlowは、通信を実行するたびにフローを変更することが可能である。
スイッチ103は、コントローラ102が作成する制御情報に従い、通信ネットワークにおけるパケットの内容、及び、経路を制御する。
スイッチ103は、たとえば、オープンフロースイッチである。この場合に、オープンフロースイッチは、オープンフローコントローラが作成する制御情報(フロー)に従い処理を実行する。
説明の便宜上、情報処理装置1(以降、「端末1」と表す)は、複数の情報処理装置501のうち、情報処理装置2(以降、「端末2」と表す)に情報(たとえば、パケット、以降、パケットを用いて説明する)を送信するとする。端末2は、端末1と同じネットワークセグメントに属するとする。情報処理装置3(以降、「端末3」と表す)は、端末1と異なるネットワークセグメントに属する情報処理装置であるとする。また、各情報処理装置は、インターネットプロトコル(IP)アドレスと、MAC(Media_Access_Control)アドレスとを用いて一意に識別可能であるとする。尚、上述した情報は、たとえば、図7に例示するアドレス情報に格納される。図7は、アドレス情報の一例を概念的に表す図である。
また、以降の説明においては、情報処理装置を、端末と表すが、ファイルサーバ、メールサーバ等のサーバ装置であってもよい。すなわち、端末は、サーバ装置を含む。
アドレス情報は、情報処理装置と、該情報処理装置に関するIPアドレスと、該情報処理装置に関するMACアドレスと、該情報処理装置が属するネットワークセグメントとを関連付ける。尚、アドレス情報は、必ずしも、上述したすべての項目を含む必要はなく、また、上述した項目以外の情報を含んでもよい。
たとえば、アドレス情報は、情報処理装置CL1と、IP1と、MAC1と、ID1とを関連付ける。これは、CL1に関するIPアドレスがIP1であり、CL1に関するMACアドレスがMAC1であり、CL1がID1なるネットワークセグメントに属することを表す。たとえば、アドレス情報は、CL3と、IP3と、MAC3と、ID2とを関連付ける。これは、情報処理装置CL3に関するIPアドレスがIP3であり、CL3に関するMACアドレスがMAC3であり、CL3がID2なるネットワークセグメントに属することを表す。
尚、ネットワークセグメントを一意に識別可能な識別子(ID)は、IPアドレス等に基づき算出してもよいし、管理者が設定してもよい。
まず、端末1は、パケットを端末2に送信する(ステップS201)。
尚、通信ネットワークにおいて、情報処理装置、及び、スイッチ103等のポートが通信接続(以降、単に、「接続」とも表す)する状況は、たとえば、図6に例示するトポロジ情報として表すことができる。図6は、トポロジ情報の一例を概念的に表す図である。すなわち、トポロジ情報は、通信ネットワークにおいて、情報処理装置、及び、スイッチ103等が通信接続する状況を表す情報である。トポロジ情報は、スイッチを表す識別子と、ポート番号と、該ポート番号に通信接続する情報処理装置を表す識別子とを関連付ける情報である。
尚、トポロジ情報は、上述した項目以外の項目を含んでもよい。
たとえば、トポロジ情報は、SW1と、p1と、CL1とを関連付ける。これは、スイッチSW1におけるポートp1と、情報処理装置CL1とが通信接続することを表す。また、トポロジ情報は、SW1と、p3と、CL3とを関連付ける。これは、スイッチSW1におけるポートp3と、情報処理装置CL3とが通信接続することを表す。
スイッチ103は、端末1に通信接続するポートを経由して、該パケットを受信する(ステップS202)。次に、スイッチ103は、図8または図9に例示する制御情報を参照する(ステップS203)。図8及び図9は、制御情報の一例を概念的に表す図である。尚、制御情報は、フローテーブルとも呼ばれる。
図8、または、図9を参照すると、制御情報は、たとえば、ある通信を識別可能な特定情報(Match)と、該通信に係る処理情報(Action)とを関連付ける。制御情報は、さらに、該通信と、該通信処理に係る制限時間(タイムアウト)とを関連づけてもよい。たとえば、タイムアウトは、該通信処理を適用するのを中止するまでに要する時間を表す。また、制御情報は、さらに、通信に関するパラメタ等を含んでもよい。
特定情報は、たとえば、以下の情報が関連付けされた情報である。すなわち、
対象情報を受信する場合に経由するポート、
該対象情報を送信するIPアドレス、
該対象情報を送信するMACアドレス、
該対象情報を受信するIPアドレス、
該対象情報を受信するMACアドレス。
対象情報を受信する場合に経由するポート、
該対象情報を送信するIPアドレス、
該対象情報を送信するMACアドレス、
該対象情報を受信するIPアドレス、
該対象情報を受信するMACアドレス。
処理情報は、たとえば、以下の情報が関連付けされた情報である。すなわち、
該対象情報を送信する場合に経由するポート、
該対象情報を送信する(Forward)か、否(Drop)か。
該対象情報を送信する場合に経由するポート、
該対象情報を送信する(Forward)か、否(Drop)か。
尚、特定情報、及び、処理情報は、上述した項目以外の項目を含んでもよい。特定情報は、通信を特定可能な情報であればよいので、上述した例に限定されない。処理情報は、通信する処理に係る情報であればよいので、上述した例に限定されない。
たとえば、図9の1行目は、p1、IP1、MAC1、IP2、MAC2、及び、Dropが関連付けされている。これは、IP1及びMAC1が表す情報処理装置が、p1を経由して、IP2及びMAC2が表す情報処理装置に、対象情報を送信することを表す。該特定情報は、Dropと関連付けされているので、IP2及びMAC2が表す情報処理装置に送信されないことを表す。
また、図9の4行目は、p3、IP3、MAC3、IP2、MAC2、p2、及び、Forwardが関連付けされている。これは、IP3及びMAC3が表す情報処理装置が、p3を経由して、IP2及びMAC2が表す情報処理装置に、対象情報を送信することを表す。該特定情報は、Forwardと関連付けされているので、p2を経由して、IP2及びMAC2が表す情報処理装置に送信されることを表す。
スイッチ103は、図6に例示するトポロジ情報、及び、図7に例示するアドレス情報等に基づき、端末1に関するIPアドレスがIP1であり、端末1に関するMACアドレスがMAC1であることを特定する。同様に、スイッチ103は、トポロジ情報及びアドレス情報等に基づき、端末2に関するIPアドレスがIP2であり、端末2に関するMACアドレスがMAC2であることを特定する。また、スイッチ103は、端末1に通信接続するポートがp1であることを特定する。
次に、スイッチ103は、参照した制御情報に、受信したパケットに関する情報が含まれるか否かを判定する(ステップS204)。たとえば、スイッチ103は、上述したように特定した特定情報(すなわち、p1、IP1、MAC1、IP2、MAC2)が、制御情報に含まれるか否かを判定する(ステップS204)。図8に例示する制御情報が上述した特定情報を含む(ステップS204にてYESと判定)ので、スイッチ103は、該パケットを、該特定情報に関連付けされた処理情報に従い送信する(ステップS210)。この例において、スイッチ103は、p2を介して、端末2に該パケットを送信(すなわち、Forward)する。
次に、端末2は、該パケットを受信する(ステップS211)。
参照した制御情報に、受信したパケットに関する情報が含まれないと、スイッチ103が判定する場合(ステップS204にてNOと判定)における処理について説明する。
推定情報作成部104は、端末1からスイッチ103を経由して送信されるパケット等の情報に基づき、端末1が正規の情報処理装置であるか否かを表す推定情報を作成する(ステップS205、ステップS101)。
たとえば、推定情報作成部104は、正規の情報処理装置であるか否かを表す認証情報(図5)に基づき、推定情報を作成する。図5は、認証情報の一例を概念的に表す図である。認証情報は、通信ネットワークを経由する通信において用いられるアプリケーションに関して、該アプリケーションのプロセス名と、該アプリケーションのバージョン情報と、該アプリケーションに関する更新日時等とが関連付けされた情報である。認証情報は、さらに、該アプリケーション(アプリケーションプログラム)に関する実行ファイルのハッシュ値、該実行ファイルが参照するライブラリのハッシュ値等のパラメタ等と関連付けされていてもよい。
認証情報には、たとえば、悪意のあるソフトウェア(マルウェア)ではないと推定されるアプリケーションに関する情報(いわゆる、「ホワイトリスト」)が格納される。たとえば、通信ネットワークに関する運用を開始する場合に、あるいは、運用の開始以降に定期的に該認証情報を作成してもよい。
推定情報作成部104は、たとえば、端末1において実行された各アプリケーションに関して、認証情報に含まれるアプリケーションであるか否かを判定する。次に、端末1が認証情報に含まれないアプリケーションを実行する場合に、推定情報作成部104は、該端末1が正規の情報処理装置でないと推定する。すなわち、この場合に、推定情報作成部104は、認証情報に基づき、端末1が正規の情報処理装置でないことを表す推定情報を作成する。
アプリケーション等、情報処理装置に関する情報は、たとえば、情報処理装置501が、該情報を収集及び送受信するエージェントを有することにより可能である。たとえば、推定情報作成部104は、該情報を収集するリクエストをエージェントに送信し、該リクエストに呼応して送信される情報に基づき、上述したような情報を取得する。
情報処理装置に関する情報を取得する方法は、上述した方法に限定されない。たとえば、通信ネットワークに係るドメインに関して、読み取り、及び、書き込み等の権限を付与することにより、該ドメインコントローラ等と連携しながら、情報処理装置に関する情報を取得する方法であってもよい。
コントローラ102は、推定情報作成部104が作成する推定情報に基づき、スイッチ103に関する制御情報(フローエントリー)を作成する(ステップS208、ステップS102)。
コントローラ102は、該端末1が正規の情報処理装置であることを該推定情報が表す場合に、たとえば、図8の1行目に示す制御情報を作成する。この例では、すなわち、コントローラ102は、該通信に関して、p1、IP1、MAC1、IP2、MAC2、p2、及び、Forward等が関連付けされた制御情報を作成する。
スイッチ103は、コントローラ102が作成したフローエントリーを、制御情報に格納(更新)する(ステップS209)。次に、スイッチ103は、該制御情報に従い、受信したパケットを端末2に送信する(ステップS210)。すなわち、スイッチ103は、制御情報に従い、通信経路(経路)を制御する(ステップS103)。
一方、コントローラ102は、該端末1が正規の情報処理装置でないことを該推定情報が表す場合に、後述のように制御情報を更新することにより、端末1に関する通信を制限する。
この場合に、コントローラ102は、たとえば、図9に例示する制御情報を作成する。
たとえば、図9の第1行は、端末1から端末2へパケットを送信する処理を実行しないことを表す。図9の第2行は、端末1から端末3へパケットを送信する処理を実行しないことを表す。図9の第5行は、端末2から端末1へパケットを送信する処理を実行しないことを表す。図9の第6行は、端末3から端末1へパケットを送信する処理を実行しないことを表す。
また、図9の第3行は、端末2から端末3へパケットを送信する処理を実行することを表す。図9の第4行は、端末3から端末2へパケットを送信する処理を実行することを表す。
すなわち、この結果、制御情報は、ネットワークセグメントを、2つのネットワークセグメント(CL1のみ、及び、CL2とCL3)に分けることを表す
尚、コントローラ102は、制御情報を更新するのに応じて、更新後の制御情報に基づきアドレス情報、及び、トポロジ情報を更新してもよい。または、コントローラ102は、アドレス情報、及び、トポロジ情報を更新せずに、制御情報を更新するのに応じて、更新部分に関して、別途、アドレス情報、及び、トポロジ情報を作成してもよい。
尚、コントローラ102は、制御情報を更新するのに応じて、更新後の制御情報に基づきアドレス情報、及び、トポロジ情報を更新してもよい。または、コントローラ102は、アドレス情報、及び、トポロジ情報を更新せずに、制御情報を更新するのに応じて、更新部分に関して、別途、アドレス情報、及び、トポロジ情報を作成してもよい。
また、コントローラ102は、上述した更新を契機とするのではなく、特定のタイミングにてアドレス情報、及び、トポロジ情報を作成してもよい。
次に、第1の実施形態に係る通信制御装置101に関する効果について説明する。
通信制御装置101によれば、副次的な感染のリスクを低減することができる。
この理由は、情報処理装置501が、たとえば、マルウェアに感染していると推定される場合に、コントローラ102が、通信ネットワークにおいて通信可能な情報処理装置501を制限する等、通信経路を制御するからである。
この場合に、たとえば、マルウェアに感染していると推定される情報処理装置(以降、「疑装置」と表す)は、通信ネットワークを介して、他の情報処理装置と通信することができない。したがって、疑装置は、実際にマルウェアに感染しているとしても、通信ネットワークを介して、他の情報処理装置を攻撃することができない。したがって、本実施形態に係る通信制御装置101によれば、通信ネットワークにおける脅威から受ける被害のリスクを低減することができる。
尚、情報処理装置501がマルウェアに感染している例等を用いて、本実施形態に係る通信制御装置101について説明したが、必ずしも、マルウェアに感染しているか否かに限定されない。すなわち、通信制御装置101は、情報処理装置501が所定のセキュリティ条件を満たすか否かに関して推定された推定情報に基づき、処理を行ってもよい。
<第2の実施形態>
次に、上述した第1の実施形態を基本とする本発明の第2の実施形態について説明する。
次に、上述した第1の実施形態を基本とする本発明の第2の実施形態について説明する。
以降の説明においては、本実施形態に係る特徴的な部分を中心に説明すると共に、上述した第1の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明を省略する。
図10乃至図12を参照しながら、第2の実施形態に係る通信制御装置111が有する構成と、通信制御装置111が行う処理とについて説明する。図10は、本発明の第2の実施形態に係る通信制御装置111が有する構成を示すブロック図である。図11は、第2の実施形態に係る通信制御装置111における処理の流れを示すフローチャートである。図12は、通信制御装置111を含む処理の流れを示すシーケンス図である。
第2の実施形態に係る通信制御装置111は、コントローラ112と、スイッチ103とを有する。通信制御装置111は、複数の情報処理装置501が、相互に情報を通信する場合に、通信に関する制御を実行する。
通信制御装置111は、さらに、推定情報作成部104を有してもよい。尚、推定情報作成部104は、必ずしも、通信制御装置111に含まれる必要はなく、推定情報作成部104が作成する情報を送受信可能であればよい。
推定情報作成部104は、推定情報を作成する(ステップS205)。
コントローラ112は、端末1が正規の情報処理装置でないことを該推定情報が表す場合に、第1の実施形態に示したように制御情報を更新することにより、端末1に関する通信を制限する(ステップS208)。それとともに、コントローラ112は、端末1が通信可能であることを表す情報を、該端末1に送信する(ステップS206、ステップS111)。すなわち、コントローラ112は、端末1が属するネットワークセグメントに、他の情報処理装置が存在するという情報を端末1に送信する(ステップS206)。コントローラ112は、たとえば、トポロジ情報、及び、アドレス情報等に基づき、IPアドレス及びMACアドレス等に関して該情報を作成する。
たとえば、コントローラ112は、端末1が属するネットワークセグメントに、仮想的な端末4、及び、仮想的な端末5等が属するという情報を作成する。
端末1は、該情報を受信する(ステップS207)。
コントローラ112は、端末1に関する通信を制限している状況において、端末1から端末4へ通信が発生する場合、あるいは、端末1から端末5へ通信が発生する場合に、該通信を、不正な通信として検知してもよい。
該処理によれば、端末1が不正な情報処理装置であるか否かを、さらに、正確に判定することができる。これは、上述したホワイトリストに基づく推定の他に、実際に、端末1から通信が生じるという事象に基づき推定するからである。
また、端末1が特定のサーバ(不図示)に通信する場合に、コントローラ112は、該端末1とサーバとの通信のみを許可する制御情報を作成してもよい。
該処理によれば、推定情報作成部104が誤った推定情報を作成する場合であっても、端末1に係る処理を妨げる可能性を低くすることができる。これは、たとえば、端末1が正規の情報処理装置である場合に、上述した処理により、端末1とサーバとの通信が可能になり、処理を妨げることがないからである。
あるいは、該処理によれば、悪意のあるソフトウェアを検知しやすくなる。これは、悪意のあるソフトウェアが、端末1とサーバとの通信接続が制限されたことを検知する場合に、該ソフトウェアが、通信制御装置111における処理を検知しにくくなるからである。したがって、悪意のあるソフトウェアが、端末1から他の情報処理装置へ通信を実行しようとするので、通信制御装置111によれば、悪意のあるソフトウェアを検知しやすくなる。
さらに、コントローラ112は、設定した制御情報におけるフローエントリーを、格納後から、所定の時間を過ぎる場合に削除してもよい。また、コントローラ112は、制御情報が更新されるのに応じて、アドレス情報、及び、トポロジ情報を更新してもよい。
まとめると、コントローラ112は、主に、以下の制御を実行する。すなわち、
・コントローラ112が管理する通信ネットワークにおける通信に関する転送、
・ネットワークセグメントの分割、及び、復元。すなわち、正規でないと推定される情報処理装置に関する通信を制限する。あるいは、該制限を解除する、
・制限されたネットワークセグメントに対して、通信が可能であるという情報(すなわち、見せかけの情報)に関する処理。
・コントローラ112が管理する通信ネットワークにおける通信に関する転送、
・ネットワークセグメントの分割、及び、復元。すなわち、正規でないと推定される情報処理装置に関する通信を制限する。あるいは、該制限を解除する、
・制限されたネットワークセグメントに対して、通信が可能であるという情報(すなわち、見せかけの情報)に関する処理。
次に、第2の実施形態に係る通信制御装置111に関する効果について説明する。
本実施形態に係る通信制御装置111によれば、副次的な感染のリスクを低減することができる。さらに、本実施形態に係る通信制御装置111によれば、疑装置が、通信ネットワークに関する構成に基づき処理を変える機能を有するとしても、実際にマルウェアに感染しているか否かをより正確に判定することができる。
この理由は、理由1及び理由2である。すなわち、
(理由1)第2の実施形態に係る通信制御装置111が有する構成は、第1の実施形態に係る通信制御装置101が有する構成を含むからである、
(理由2)通信制御装置111が、他の情報処理装置と通信可能であるという見せかけの情報を疑装置に送信するからである。
(理由1)第2の実施形態に係る通信制御装置111が有する構成は、第1の実施形態に係る通信制御装置101が有する構成を含むからである、
(理由2)通信制御装置111が、他の情報処理装置と通信可能であるという見せかけの情報を疑装置に送信するからである。
この場合に、疑装置は、該見せかけの情報を受信し、受信した情報に基づき、通信ネットワークを介して他の情報処理装置と通信可能であると判定する。この場合に、疑装置は、通信ネットワークに関する構成に基づき処理を変える機能を有するとしても、他の情報処理装置と通信可能と判定するので、攻撃する等の機能を停止しない。この結果、通信制御装置111によれば、該疑装置が実行する攻撃等に基づき、より正確に、疑装置が実際にマルウェアに感染しているか否かを、より正確に判定することができる。
<第3の実施形態>
次に、上述した第1の実施形態を基本とする本発明の第3の実施形態について説明する。
次に、上述した第1の実施形態を基本とする本発明の第3の実施形態について説明する。
以降の説明においては、本実施形態に係る特徴的な部分を中心に説明すると共に、上述した第1の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明を省略する。
図13と図14とを参照しながら、第3の実施形態に係る通信システム121が有する構成と、通信システム121が行う処理とについて説明する。図13は、本発明の第3の実施形態に係る通信システム121が有する構成を示すブロック図である。図14は、第3の実施形態に係る通信システム121における処理の流れを示すフローチャートである。
第3の実施形態に係る通信システム121は、通信制御装置122と、推定情報作成部104と、第2情報処理装置125とを有する。通信制御装置122は、コントローラ123と、スイッチ124とを有する。
通信システム121は、図15に示すような通信ネットワークに設置される。図15は、通信システムを含む通信ネットワーク構成を示すブロック図である。
情報処理装置502は、たとえば、通信ネットワークにおいて、1つのネットワークセグメントに属するクライアント端末である。情報処理装置503は、上述したような、見せかけ情報に関する端末を概念的に表す。
第2情報処理装置125は、たとえば、上述した、ファイルサーバ、メールサーバ等のサーバセグメントに属するサーバ装置である。また、図15における、p1乃至p7は、ポート番号を表す。たとえば、スイッチ124は、ポート番号p1を経由して1つの情報処理装置502と通信することができる。ポート番号p1乃至ポート番号p7に関しても、同様である。
通信制御装置122は、複数の情報処理装置501が、相互に情報を通信する場合に、通信に関する制御を実行する。
推定情報作成部104は、推定情報作成部104と同様の処理を実行することにより、推定情報を作成する(ステップS101)。
コントローラ123は、端末1が正規の情報処理装置でないことを該推定情報が表す場合に、第1の実施形態に示したように制御情報を更新することにより、端末1に関する通信を制限する(ステップS123、ステップS208に相当する)。それとともに、コントローラ112は、端末1が端末2と通信可能であることを表す情報を、該端末1に送信する。さらに、コントローラ112は、該端末1が第2情報処理装置125と通信可能であるという制御情報を作成する(ステップS122)。
したがって、端末1が端末2との通信を試行するのに応じて、通信制御装置122は、端末1と第2情報処理装置125とを通信接続する。
この場合に、第2情報処理装置125は、端末1と通信接続する間に、端末1に関する情報を取得してもよい。この場合に、第2情報処理装置125は、いわゆる、「おとりサーバ」である。
次に、第3の実施形態に係る通信システム121に関する効果について説明する。
本実施形態に係る通信システム121によれば、副次的な感染のリスクを低減することができる。さらに、本実施形態に係る通信システム121によれば、より強固に通信ネットワークにおける脅威から受ける被害のリスクを低減することができる。
この理由は、理由1及び理由2である。すなわち、
(理由1)第3の実施形態に係る通信システム121が有する構成は、第1の実施形態に係る通信制御装置101が有する構成を含むからである、
(理由2)疑装置が、第2情報処理装置125のみと通信可能であるからである。
(理由1)第3の実施形態に係る通信システム121が有する構成は、第1の実施形態に係る通信制御装置101が有する構成を含むからである、
(理由2)疑装置が、第2情報処理装置125のみと通信可能であるからである。
すなわち、疑装置は、第2情報処理装置125と異なる情報処理装置に通信することができない。したがって、本実施形態に係る通信システム121によれば、より強固に通信ネットワークにおける脅威(悪意のあるソフトウェア)から受ける被害のリスクを低減することができる。
さらに、第2情報処理装置125は、通信先の情報処理装置に関する情報を取得する機能を有する(いわゆる、おとりサーバ)場合に、該疑装置に関する情報を、さらに多く取得することができる。本実施形態に係る通信システム121によれば、この場合に、疑装置が、実際にマルウェアに感染しているのか否かを該取得した情報に基づき、より正確に判定することができる。
(ハードウェア構成例)
上述した本発明の各実施形態における通信制御装置または通信システムを、1つの計算処理装置(情報処理装置、コンピュータ)を用いて実現するハードウェア資源の構成例について説明する。但し、係る通信制御装置または通信システムは、物理的または機能的に少なくとも2つの計算処理装置を用いて実現してもよい。また、係る通信制御装置または通信システムは、専用の装置として実現してもよい。
上述した本発明の各実施形態における通信制御装置または通信システムを、1つの計算処理装置(情報処理装置、コンピュータ)を用いて実現するハードウェア資源の構成例について説明する。但し、係る通信制御装置または通信システムは、物理的または機能的に少なくとも2つの計算処理装置を用いて実現してもよい。また、係る通信制御装置または通信システムは、専用の装置として実現してもよい。
図16は、第1及び2の実施形態に係る通信制御装置、または、第3の実施形態に係る通信システムを実現可能な計算処理装置のハードウェア構成を概略的に示す図である。計算処理装置20は、中央処理演算装置(Central_Processing_Unit、以降「CPU」と表す)21、メモリ22、ディスク23、及び、不揮発性記録媒体24を有する。計算処理装置20は、さらに、入力装置25、出力装置26、及び、通信インターフェース(以降、「通信IF」と表す。)27を有する。計算処理装置20は、通信IF27を介して、他の計算処理装置、及び、通信制御装置と情報を送受信することができる。
不揮発性記録媒体24は、コンピュータが読み取り可能な、たとえば、コンパクトディスク(Compact Disc)、デジタルバーサタイルディスク(Digital_Versatile_Disc)であってもよい。また、不揮発性記録媒体24は、ブルーレイディスク(Blu−ray Disc。登録商標)、ユニバーサルシリアルバスメモリ(USBメモリ)、ソリッドステートドライブ(Solid State Drive)等であってもよい。不揮発性記録媒体24は、電源を供給しなくても係るプログラムを保持し、持ち運びを可能にする。不揮発性記録媒体24は、上述した媒体に限定されない。また、不揮発性記録媒体24の代わりに、通信IF27を介して、通信ネットワークを介して係るプログラムを持ち運びしてもよい。
すなわち、CPU21は、ディスク23が記憶するソフトウェア・プログラム(コンピュータ・プログラム:以下、単に「プログラム」と称する)を、実行する際にメモリ22にコピーし、演算処理を実行する。CPU21は、プログラム実行に必要なデータをメモリ22から読み取る。表示が必要な場合には、CPU21は、出力装置26に出力結果を表示する。外部からプログラムを入力する場合、CPU21は、入力装置25からプログラムを読み取る。CPU21は、上述した図1、図10、または、図13に示す各部が表す機能(処理)に対応するところのメモリ22にある通信制御プログラム(図2、図11、図14、または、図3(図12)におけるスイッチの処理とコントローラの処理)を解釈し実行する。CPU21は、上述した本発明の各実施形態において説明した処理を順次行う。
すなわち、このような場合、本発明は、係る通信制御プログラムによっても成し得ると捉えることができる。更に、係る通信制御プログラムが記録されたコンピュータ読み取り可能な不揮発性の記録媒体によっても、本発明は成し得ると捉えることができる。
101 通信制御装置
102 コントローラ
103 スイッチ
104 推定情報作成部
501 情報処理装置
105 通信システム
111 通信制御装置
112 コントローラ
121 通信システム
122 通信制御装置
123 コントローラ
124 スイッチ
125 第2情報処理装置
p1 ポート番号
p2 ポート番号
p3 ポート番号
p4 ポート番号
p5 ポート番号
p6 ポート番号
p7 ポート番号
502 情報処理装置
503 情報処理装置
20 計算処理装置
21 CPU
22 メモリ
23 ディスク
24 不揮発性記録媒体
25 入力装置
26 出力装置
27 通信IF
102 コントローラ
103 スイッチ
104 推定情報作成部
501 情報処理装置
105 通信システム
111 通信制御装置
112 コントローラ
121 通信システム
122 通信制御装置
123 コントローラ
124 スイッチ
125 第2情報処理装置
p1 ポート番号
p2 ポート番号
p3 ポート番号
p4 ポート番号
p5 ポート番号
p6 ポート番号
p7 ポート番号
502 情報処理装置
503 情報処理装置
20 計算処理装置
21 CPU
22 メモリ
23 ディスク
24 不揮発性記録媒体
25 入力装置
26 出力装置
27 通信IF
Claims (10)
- 情報処理装置が所定のセキュリティ条件を満たすか否かに関して推定された推定情報に基づき、通信する制御手順を表す制御情報を作成するコントローラと、
前記制御情報に従い、前記情報処理装置に関する信号が通る通信経路を制御するスイッチと
を備えることを特徴とする通信制御装置。 - 前記コントローラは、前記推定情報において前記情報処理装置が前記所定のセキュリティ条件を満たすと推定される場合に、前記情報処理装置に関する通信を制限する前記制御情報を作成し、
前記スイッチは、前記制御情報に従い、前記通信経路において前記情報処理装置に関する通信を制限する
ことを特徴とする請求項1に記載の通信制御装置。 - 前記コントローラは、前記推定情報が前記所定のセキュリティ条件を満たすと推定される場合に、前記所定のセキュリティ条件を満たすと推定される前記情報処理装置に、通信可能であることを表す情報処理装置に関する情報を送信する
ことを特徴とする請求項1または請求項2に記載の通信制御装置。 - 前記情報処理装置が特定の情報処理装置と通信し、さらに、前記情報処理装置が前記所定のセキュリティ条件を満たすと推定される場合に、
前記コントローラは、前記推定情報において前記情報処理装置が前記所定のセキュリティ条件を満たすと推定される場合に、前記情報処理装置と前記特定の情報処理装置との通信を可能にするとともに、前記特定の情報処理装置と異なる前記情報処理装置との通信を不可能にする前記制御情報を作成し、
前記スイッチは、前記制御情報に従い、前記通信経路において前記情報処理装置に関する通信を制限する
ことを特徴とする請求項1に記載の通信制御装置。 - 前記情報処理装置が特定の情報処理装置と通信すると推定され、さらに、前記情報処理装置が所定のセキュリティ条件を満たすと推定される場合に、
前記コントローラは、前記所定のセキュリティ条件を満たすと推定される情報処理装置と、前記特定の情報処理装置とは異なる情報処理装置を表す第2情報処理装置との通信を可能にするとともに、前記第2情報処理装置と異なる前記情報処理装置との通信を不可能にする前記制御情報を作成し、さらに、前記所定のセキュリティ条件を満たすと推定される前記情報処理装置に、前記特定の情報処理装置と通信可能であることを表す情報を送信し、
前記スイッチは、前記制御情報に従い、前記所定のセキュリティ条件を満たすと推定される情報処理装置が前記特定の情報処理装置との通信を試行する場合に、前記第2情報処理装置と通信する前記通信経路を選択する
ことを特徴とする請求項1に記載の通信制御装置。 - 前記コントローラは、オープンフローコントローラであり、
前記スイッチは、オープンフロースイッチであり、
前記制御情報は、前記オープンフローコントローラが作成する前記オープンフロースイッチに対するフローである、
ことを特徴とする請求項1から請求項6のいずれかに記載の通信制御装置。 - 請求項1乃至請求項6のいずれかに記載の通信制御装置と、
前記情報処理装置が前記所定のセキュリティ条件を満たすか否かを推定する推定手段と
を備え、
前記通信制御装置は、前記推定手段が推定する結果に基づき、前記通信経路を制御する
ことを特徴とする通信システム。 - 請求項5に記載の通信制御装置と、
前記情報処理装置が前記所定のセキュリティ条件を満たすか否かを推定する推定手段と、
前記第2情報処理装置と
を備え、
前記通信制御装置は、前記推定手段が推定する結果に基づき、前記通信経路を制御し、
前記第2情報処理装置は、前記情報処理装置と通信するのに応じて、前記情報処理装置に関する情報を取得する
ことを特徴とする通信システム。 - 通信を制御可能なスイッチを用いて、情報処理装置が所定のセキュリティ条件を満たすか否かに関して推定された推定情報に基づき、通信する制御手順を表す制御情報を作成し、前記制御情報に従い、前記情報処理装置に関する信号が通る通信経路を制御することを特徴とする通信制御方法。
- 情報処理装置が所定のセキュリティ条件を満たすか否かに関して推定された推定情報に基づき、通信する制御手順を表す制御情報を作成するコントローラ機能と、
前記制御情報に従い、前記情報処理装置に関する信号が通る通信経路を制御するスイッチ機能と
コンピュータに実現させることを特徴とする通信制御プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014184089A JP2016058906A (ja) | 2014-09-10 | 2014-09-10 | 通信制御装置、通信制御方法、通信制御プログラム、及び、通信システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014184089A JP2016058906A (ja) | 2014-09-10 | 2014-09-10 | 通信制御装置、通信制御方法、通信制御プログラム、及び、通信システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016058906A true JP2016058906A (ja) | 2016-04-21 |
Family
ID=55757457
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014184089A Pending JP2016058906A (ja) | 2014-09-10 | 2014-09-10 | 通信制御装置、通信制御方法、通信制御プログラム、及び、通信システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016058906A (ja) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080098476A1 (en) * | 2005-04-04 | 2008-04-24 | Bae Systems Information And Electronic Systems Integration Inc. | Method and Apparatus for Defending Against Zero-Day Worm-Based Attacks |
| JP2013009185A (ja) * | 2011-06-24 | 2013-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム |
-
2014
- 2014-09-10 JP JP2014184089A patent/JP2016058906A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080098476A1 (en) * | 2005-04-04 | 2008-04-24 | Bae Systems Information And Electronic Systems Integration Inc. | Method and Apparatus for Defending Against Zero-Day Worm-Based Attacks |
| JP2013009185A (ja) * | 2011-06-24 | 2013-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム |
Non-Patent Citations (3)
| Title |
|---|
| 山田 建史 KENJI YAMADA: "OpenFlowスイッチによる悪意のある通信の集約 Collecting Malicious Traffic with OpenFlow Switc", CSS2011コンピュータセキュリティシンポジウム2011論文集 併催 マルウェア対策研究人材育成ワ, vol. 第2011巻, JPN6018023010, 2011, JP, pages 第301〜306頁 * |
| 田島 伸一 SHINICHI TAJIMA: "OpenFlowを用いた未使用IPアドレスへの通信をハニーポットに集約する方法の検討", 第75回(平成25年)全国大会講演論文集(3) ネットワーク セキュリティ, JPN6018023011, 2013, pages 第3-541〜3-542頁 * |
| 遠藤 哲: "仕組みを知れば見えてくる 検疫ネットワークの光と影", NETWORK MAGAZINE, vol. 第10巻第2号, JPN6018050293, 2005, JP, pages 第136-143頁 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11843666B2 (en) | Sub-networks based security method, apparatus and product | |
| US9385866B2 (en) | System and method for replacing software components with corresponding known-good software components without regard to whether the software components have been compromised or potentially compromised | |
| JP2017520194A (ja) | ソフトウェア定義ネットワークにおけるセキュリティ | |
| JP2013191199A (ja) | ネットワーク接続装置を侵入から保護するための方法およびシステム | |
| JP6379013B2 (ja) | ネットワーク制御システム、ネットワーク制御方法及びプログラム | |
| US11196634B2 (en) | Establishing trust relationships of IPv6 neighbors using attestation-based methods in IPv6 neighbor discovery | |
| JP6256773B2 (ja) | セキュリティシステム | |
| CN105490995A (zh) | 一种在nvo3网络中nve转发报文的方法和设备 | |
| JP2008054204A (ja) | 接続装置及び端末装置及びデータ確認プログラム | |
| JP6289656B2 (ja) | セキュアなコンピュータシステム間の通信のための方法及びコンピュータネットワーク・インフラストラクチャ | |
| US11159533B2 (en) | Relay apparatus | |
| WO2015136842A1 (ja) | ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法および記録媒体 | |
| JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
| JP2016058906A (ja) | 通信制御装置、通信制御方法、通信制御プログラム、及び、通信システム | |
| JP6101525B2 (ja) | 通信制御装置、通信制御方法、通信制御プログラム | |
| RU2776349C1 (ru) | Системы и способы использования сообщений dns для селективного сбора компьютерных криминалистических данных | |
| JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム | |
| JP2018038083A (ja) | セキュリティシステム | |
| JP2008244808A (ja) | 通信セキュリティシステム及び通信セキュリティ装置 | |
| JP2011186728A (ja) | ユーザ端末保護方法、およびシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170809 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180613 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180626 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180821 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181225 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20190702 |