JP2017147575A - 制御プログラム、制御装置、および、制御方法 - Google Patents

制御プログラム、制御装置、および、制御方法 Download PDF

Info

Publication number
JP2017147575A
JP2017147575A JP2016027369A JP2016027369A JP2017147575A JP 2017147575 A JP2017147575 A JP 2017147575A JP 2016027369 A JP2016027369 A JP 2016027369A JP 2016027369 A JP2016027369 A JP 2016027369A JP 2017147575 A JP2017147575 A JP 2017147575A
Authority
JP
Japan
Prior art keywords
control
communication terminal
information
communication
transfer device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016027369A
Other languages
English (en)
Inventor
裕康 大崎
Hiroyasu Osaki
裕康 大崎
高広 島▲崎▼
Takahiro Shimazaki
高広 島▲崎▼
英彦 真弓
Hidehiko Mayumi
英彦 真弓
周 松岡
Shu Matsuoka
周 松岡
敬 岡村
Takashi Okamura
敬 岡村
満 岡島
Mitsuru Okajima
満 岡島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2016027369A priority Critical patent/JP2017147575A/ja
Priority to US15/421,703 priority patent/US10560452B2/en
Publication of JP2017147575A publication Critical patent/JP2017147575A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/216Handling conversation history, e.g. grouping of messages in sessions or threads
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/224Monitoring or handling of messages providing notification on incoming messages, e.g. pushed notifications of received messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】不正な通信の検出後に動的にネットワークを制御する。
【解決手段】通信端末と、通信端末で送受信されるパケットを転送する1つ以上の転送装置とを含むネットワーク中の転送装置を制御する制御装置は、通信端末の不正な通信を検知する検知サーバから通知される検知情報を受信する。制御装置は、検知情報から対象の通信端末と不正な通信の種類とを解析し、解析した対象の通信端末に対応付けられた転送装置を記憶する第1の記憶情報を参照して制御対象の転送装置を決定する。制御装置は、解析された不正な通信の種類に対応づけられた制御内容を記憶する第2の記憶情報を参照して、制御対象に決定した転送装置に対する制御を決定する。制御装置は、制御対象に決定された転送装置の種類ごとに、制御内容に対応する制御コマンドを記憶する第3の記憶情報から読み出した制御コマンドを含む制御パケットを転送装置に送信する。
【選択図】図1

Description

本発明は、制御プログラム、制御装置、および、制御方法に関する。
近年、悪意のあるソフトウェア(マルウェア)を用いた標的型攻撃が増えてきている。そこで、マルウェア感染の見落としや誤検知を防ぐために、端末による通信と、予め保持しているパターンとの比較結果に従って、端末が不正な活動をしていると推測される程度を示す評価値を用いる判定方法が提案されている(例えば、特許文献1など)。この方法では、情報処理装置が、評価値をフェーズごとに求め、フェーズごとの評価値の最大値を用いて、端末が不正な活動を行っているかを判定する。また、安全性や悪意のソフトウェアでないことが確実ではないデータを検疫し、検疫の前後での安全性や悪意のソフトウェアであるかの判定結果を比較することにより、データがマルウェアに関連するかを推定する方法も提案されている(例えば、特許文献2など)。この方法では、マルウェアではないと推定されたデータは、検疫から開放される。
また、近年、ソフトウェアを用いた仮想的なネットワークや、仮想的なネットワークの形成に用いられる技術であるSoftware Defined Networking(SDN)も注目されてきている。SDNでは、ネットワークのトポロジなどがソフトウェアで設定される。ここで、ネットワーク中のコントローラと呼ばれる制御装置がネットワーク中の装置の通信状況を監視し、各装置の状況に応じた制御を行う。
国際公開第2015/107861号 特表2015−530678号
多種多様のマルウェアが存在する上に、新たなマルウェアやマルウェアの亜種が次々に現れてきており、マルウェアの種類は爆発的に増えてきている。システム中でマルウェアに感染した装置が検出された場合、感染の拡大を防ぐための措置を取ることになるが、マルウェアの挙動は種類によって異なることが多いため、マルウェアへの感染を検出した後の措置も難しくなってきている。さらに、システム中に含まれる装置数が多いなど、システムが複雑化すると、マルウェア感染を検出した後の措置はさらに煩雑になり、適切な処理を迅速に行うことは難しくなる。さらに、マルウェアを検出する定義パターンが配布される前に感染し、感染を検出できない場合が発生しており、マルウェアに起因する不正な通信を検出する重要性が増している。さらにマルウェアの動作内容や、感染した装置に応じて対処する処置が異なり、不正な通信を検出した場合の措置には高度な専門知識を必要とする。
本発明は、ネットワークを制御する制御装置で対処可能な制御内容を蓄積しておくことにより、不正な通信の検出後に動的にネットワークを制御することを目的とする。
ある1つの態様にかかる制御プログラムは、通信端末と、前記通信端末で送受信されるパケットを転送する1つ以上の転送装置とを含むネットワーク中の前記転送装置を制御する制御装置で実行される。制御装置は、前記パケットを用いて通信端末の不正な通信を検知する検知サーバから通知される検知情報を受信する。制御装置は、前記検知情報から対象の通信端末と前記不正な通信の種類とを解析する。制御装置は、解析した対象の通信端末に対応付けられた転送装置を記憶する第1の記憶情報を参照して制御対象の転送装置を決定する。制御装置は、解析された前記不正な通信の種類に対応づけられた制御内容を記憶する第2の記憶情報を参照して制御対象に決定した転送装置に対する制御を決定する。制御装置は、前記制御対象に決定された転送装置の種類ごとに、前記制御内容に対応する制御コマンドを記憶する第3の記憶情報から制御コマンドを読み出して、当該転送装置に対して制御コマンドを含む制御パケットを送信する。
ネットワークに接続された個々の装置では対処が困難なマルウェアに対しても、ネットワーク制御を動的に行うことで、対処が可能になる。
実施形態にかかる通信方法の例を説明する図である。 制御装置の構成の例を説明する図である。 制御装置のハードウェア構成の例を説明する図である。 システムの例を説明する図である。 メールによる通知を受信したときの解析処理の例を説明する図である。 実行テーブルの例を説明する図である。 装置テーブルとコマンド情報の例を説明する図である。 コマンドの生成処理の例を説明する図である。 メールによる通知処理の例を説明する図である。 Syslogを受信したときの解析処理の例を説明する図である。 Trapを受信したときの解析処理の例を説明する図である。 装置の隔離の際に行われる処理の例を説明するフローチャートである。 隔離状況テーブルと実行テーブルの例を説明する図である。 コマンド情報の例を説明する図である。 隔離の解除の際に行われる処理の例を説明する図である。 メールによる通知処理の例を説明する図である。 隔離の解除の際に行われる処理の例を説明するフローチャートである。 第3の実施形態にかかる制御装置の構成の例を示す図である。 条件テーブルとポリシーマスタの例を説明する図である。 実行テーブルと装置テーブルの例を説明する図である。 コマンド情報の例を説明する図である。 通知先テーブルと隔離状況テーブルの例を説明する図である。 第3の実施形態で行われる処理の例を説明するフローチャートである。 制御装置が記憶する情報の変形例を説明する図である。
図1は、実施形態にかかる通信方法の例を説明する図である。図1に示すシステムでは、ネットワークN1とネットワークN2がWAN(Wide Area Network)5を介して接続されており、ネットワークN1はインターネット6に接続されている。C&Cサーバ(command and control server)7は、インターネット6を介して、ネットワークN1やネットワークN2にアクセスを試みるものとする。ネットワークN1には、制御装置20、検知サーバ8、スイッチ3a、ルータ4aが含まれている。一方、ネットワークN2には、通信端末10a、通信端末10b、検疫サーバ2、スイッチ3b、ルータ4bが含まれている。なお、図1はシステムの一例であり、ネットワークN1、N2中の装置は実装に応じて変更され得る。例えば、ネットワークN1には、制御装置20や検知サーバ8以外の通信端末10が含まれていても良い。また、検疫サーバ2は、ネットワークN2中に含まれていなくても良い。ネットワークN1、N2の形成にSDNが使用される場合、制御装置20は、SDNコントローラとして動作できるものとする。また、以下の説明では、スイッチ3やルータ4のように、通信端末10から送信されたパケットを転送する装置を「転送装置」と記載することがある。ネットワークN1、N2の形成にSDNが使用される場合、各転送装置は、SDNスイッチとして動作する。
手順P1において、C&Cサーバ7から通信端末10aを標的とした標的型攻撃が行われたとする。図1の例では、標的型攻撃の種類は任意である。例えば、標的型メールの送信が行われても良く、特定のウェブサイトを閲覧するように通信端末10aのユーザを誘導するための情報が通信端末10aに送信されても良い。標的型攻撃のために使用される情報は、インターネット6、スイッチ3a、ルータ4a、ルータ4b、スイッチ3bを介して、通信端末10aに転送される。その後、C&Cサーバ7から送信された情報を用いた処理が通信端末10aで行われたために、通信端末10aがマルウェアに感染したとする(手順P2)。
検知サーバ8は、システム中の装置の挙動を監視しており、システム内での不正な通信や不正な通信の原因となるマルウェアへの感染などを検出すると、不正な通信等が確認された通信端末10と、検出された事象の種類を特定する。なお、「不正な通信」には、マルウェアを含むファイルの送受信やマルウェアの実行に起因する通信などが含まれるとする。例えば、ウイルスなどのマルウェアへの感染、バックドアによるC&Cサーバへの通信、ネットワーク内の情報収集を試みる通信や、他の装置への感染の拡大を試みる通信などは、検知サーバ8によって、不正な通信の一種として特定されうる。図1の例では、検知サーバ8は、システム中で送受信されるパケットを用いて、通信端末10aでの不正な通信を検知したことなどにより、通信端末10aがマルウェアに感染したと判定する(手順P3)。検知サーバ8は、不正な通信等が確認された通信端末10と、検出された事象の種類を制御装置20に通知する(手順P4)。なお、手順P4での通知は、メール、SNMP(Simple Network Management Protocol)のTrap通知、Syslog通知などを含む任意の形式で行われ得る。
制御装置20は、検知サーバ8から通知された情報を用いて、通信端末10aがマルウェアに感染していることを特定する。さらに、制御装置20は、マルウェアの種類などに応じて、攻撃の種類を特定する。
制御装置20は、ネットワークN1とネットワークN2に含まれている通信端末10の各々に対して、その通信端末10での不正な通信が確認されたときに制御対象とする転送装置を記憶している。ここで、各通信端末10について、その通信端末10が他の通信端末10などとの通信を行う際の通信経路に含まれるスイッチ3やルータ4が、その通信端末10が不正な通信をしている場合の制御対象として対応付けられる。制御装置20は、検出される可能性のある不正な通信の種類ごとに実行する制御も記憶している。そこで、制御装置20は、検知サーバ8から通知された情報の解析結果と、制御装置20が記憶している情報を用いて、制御対象となる転送装置と各転送装置への制御の内容を決定する。例えば、通信端末10aに対してウイルスなどを用いた攻撃が行われたとする。そこで、制御装置20は、記憶している情報を用いて、スイッチ3bを制御対象の転送装置に決定し、通信端末10aが送信元か宛先に設定されているパケットを検疫サーバ2に転送する処理をスイッチ3bに行わせることを制御内容に決定したとする。
手順P5において、制御装置20は、制御対象に決定した転送装置の各々に対して、その転送装置に対する制御の命令を含む制御パケットを送信する。図1の例では、制御装置20は、スイッチ3bに対して、通信端末10aが送信元か宛先に設定されているパケットを検疫サーバ2に転送することを要求する制御パケットを送信する。
手順P6において、スイッチ3bは、制御装置20からの要求に応じて、パケットの転送処理を変更する。このため、手順P7に示すように、通信端末10aの通信に使用されるパケットが、強制的に検疫サーバ2に転送される。このため、攻撃された通信端末10aからのパケットがシステム中の他の通信端末10に到達することを防ぐことができる。
なお、図1を参照しながら述べた説明は通信処理の一例にすぎない。例えば、制御装置20は、検出された不正な通信の種類に応じて、不正な通信が検出された通信端末10が送受信に使用する通信速度を小さくするように転送装置を制御してもよい。さらに、制御装置20は、制御対象とする転送装置に、不正な通信が検出された通信端末10が送信元か宛先となっているパケット中のデータに応じてパケットを削除させてもよい。例えば、制御装置20は、制御対象となる転送装置に対して、不正な通信が検出された通信端末10との通信に使用されるパケットのうち、特定の文字列が含まれているパケットを廃棄させてもよい。この場合、個人情報の記載に使用されると予測される文字列が削除対象のパケットを選択する際に使用される特定の文字列に設定されていれば、不正な通信が検出された通信端末10と他の通信端末10との間での個人情報の送受信を中断させることができる。
このように、実施形態にかかる方法によると、ネットワーク中の転送装置に対して、攻撃の種類等に応じた制御を簡便に行うことができる。攻撃に使用されるマルウェアによっては、感染した装置を物理的に隔離すると解析等が困難になる場合もあるなど、マルウェアへの感染を検出した後の措置も難しくなってきている。実施形態にかかる方法を用いると、攻撃によりマルウェアに感染した通信端末10を隔離しつつ、検疫サーバ2での検疫処理を開始させるなど、不正な通信の種類に応じた適正な処理が制御装置20によって自律的に行われる。このため、システムの運用や管理が簡便になる。さらに、マルウェアに感染した通信端末10に対する措置は、制御装置20に対する設定に応じて変更されるので、マルウェアによる攻撃の種類に応じた対応が簡便に行われる。
<装置構成>
図2は、制御装置20の構成の例を説明する図である。制御装置20は、通信部21、制御部30、記憶部50を備える。通信部21は、受信部22と送信部23を有する。制御部30は、解析部31、処理決定部32、コマンド生成部40を有し、オプションとして通知処理部33を有する。記憶部50は、条件テーブル51、テンプレート情報52、装置テーブル53、コマンド情報55、隔離状況テーブル56、実行情報データベース60を格納する。制御装置20が通知処理部33を備える場合、記憶部50は、さらに、通知先テーブル54を格納する。
送信部23は、スイッチ3やルータ4などの他の装置にパケットを送信する。受信部22は、検知サーバ8などの他の装置からパケットを受信する。受信部22は受信パケットを解析部31に出力する。
解析部31は、入力されたパケットを、テンプレート情報52を用いて解析する。テンプレート情報52には、検知サーバ8から送信される通知の種類別に、不正な通信の対象となった通信端末10と、不正な通信の種類を特定するための情報が含まれている。テンプレート情報52の例は後で述べる。解析部31は、解析により得られた情報と条件テーブル51を用いて、処理の決定に使用する実行テーブルを決定する。実行情報データベース60は複数の実行テーブルを備えている。解析部31は、決定した実行テーブルの情報と、不正な通信の対象となった通信端末10の情報を処理決定部32に通知する。処理決定部32は、通知された実行テーブルを実行情報データベース60から選択し、選択した実行テーブルを用いて、制御対象となる転送装置と制御の内容を決定する。処理決定部32は、マルウェアに感染した通信端末10を隔離する場合には、決定した内容を、隔離状況テーブル56に記録する。コマンド生成部40は、処理決定部32で決定された情報を用い、適宜、コマンド情報55や装置テーブル53を用いて、制御対象の転送装置の各々に対して送信する制御パケットを生成する。装置テーブル53には、システム中の各装置の制御に使用される情報が記録されている。コマンド情報55は、装置の制御に使用される命令を記録している。コマンド生成部40は、生成した制御パケットを、送信部23を介して、制御対象の転送装置に送信する。
通知処理部33は、制御装置20が行った処理によりネットワーク中の通信端末10の通信状況が変化する場合、通知先テーブル54に記録されているアドレスが割り当てられた装置に、通信状況が変化する通信端末10と変化後の通信状況を通知する。例えば、通信端末10aがウイルスに感染したために通信端末10aをネットワーク中の他の装置から隔離する場合、通知処理部33は、通知先テーブル54に記録されている宛先に、通信端末10aを隔離することを通知する。通知先テーブル54には、例えば、システムのオペレータなどが使用する装置の情報が記録されている。
図3は、制御装置20のハードウェア構成の例を示す。制御装置20は、プロセッサ101、メモリ102、入力装置103、出力装置104、バス105、ネットワークインタフェース109を備える。制御装置20は、さらに、記憶装置106、可搬記憶媒体駆動装置107の1つ以上を有していても良い。プロセッサ101は、Central Processing Unit(CPU)を含む任意の処理回路であり、メモリ102や記憶装置106に記憶されたプログラムを実行することができる。プロセッサ101は制御部30を実現する。メモリ102や記憶装置106は、記憶部50として動作する。また、ネットワークインタフェース109は、通信部21として動作する。バス105は、プロセッサ101、メモリ102、入力装置103、出力装置104、記憶装置106、可搬記憶媒体駆動装置107、ネットワークインタフェース109を、相互にデータの送受信が可能になるように接続する。
入力装置103は、キーボードやマウスなど、情報の入力に使用される任意の装置であり、出力装置104は、ディスプレイを含む表示デバイスなど、データの出力に使用される任意の装置である。可搬記憶媒体駆動装置107は、メモリ102や記憶装置106のデータを可搬記憶媒体108に出力することができ、また、可搬記憶媒体108からプログラムやデータ等を読み出すことができる。ここで、可搬記憶媒体108は、Compact Disc Recordable(CD−R)やDigital Versatile Disk Recordable(DVD−R)を含む、持ち運びが可能な任意の記憶媒体とすることができる。
<第1の実施形態>
図4は、システムの例を説明する図である。図4に示すシステムでは、ネットワークN11とネットワークN12がWAN5を介して接続されており、ネットワークN11はインターネット6に接続されている。C&Cサーバ7は、インターネット6を介して、ネットワークN11やネットワークN12にアクセスを試みるものとする。ネットワークN11には、制御装置20、検知サーバ8、スイッチ3c、ルータ4cが含まれている。一方、ネットワークN12には、通信端末10c、通信端末10d、スイッチ3d、スイッチ3e、ルータ4d、検疫サーバ2が含まれている。なお、図4はシステムの一例であり、ネットワークN11、N12中の装置は実装に応じて変更され得る。以下、図4にかかるシステムにおいて実施形態にかかる通信制御が行われる場合を例として、制御装置20で行われる処理の詳細を説明する。なお、以下の説明では、スイッチ3dとスイッチ3eは、いずれもL3スイッチであり、スイッチ3dとスイッチ3eのいずれにもIP(Internet Protocol)アドレスが割り当てられるものとする。
図5は、メールによる通知を受信したときの制御装置20での解析処理の例を説明する図である。検知サーバ8は、ネットワークN11およびN12中の装置の挙動を監視することにより、通信端末10cがウイルスに感染したことを検出したとする。また、通信端末10cのアドレスは、172.16.1.1であるとする。図5では、検知サーバ8が不正な通信の検出の通知に使用するメールアドレスはserver@example.comであり、制御装置20で通知の受信に使用されるメールアドレスはclient@example.comであるとする。検知サーバ8は、図5中のメールM1を、制御装置20に送信する。
解析部31は、入力されたパケットを処理することにより受信メールを取得すると、受信メールを条件テーブル51中の各条件と比較する。条件テーブル51には、制御装置20が受信する可能性のある通知の形式に対応付けて、処理に使用する実行テーブルを選択するための情報が記録されている。図5は、図を見やすくするために、条件テーブル51のうちでメールによる通知に適用可能な1つの条件の例を抽出して示しているが、条件テーブル51中の条件の数は任意である。図5の例では、条件テーブル51には、メールの送信元、subject中の文字列、context中の文字列、通知対象の組み合わせが含まれる。解析部31は、メールの送信元、subject中の文字列、context中の文字列の組み合わせを用いて、不正な通信の種類を特定する。通知対象は、検知サーバ8からの通知で、不正な通信の検出が伝えられる通信端末10のアドレスの範囲である。通知対象には、そのエントリ中の条件を適用する場合に、不正な通信が検出されている通信端末10に割り当てられたアドレスが対応付けられている。
例えば、受信メールの送信元アドレスがserver@example.comであり、subjectに「virus detect」という文字列を含み、かつ、contextに「ウイルス検知」という文字列を含むとする。この場合、解析部31は、いずれかの通信端末10がウイルスに感染したと判定する。
次に、解析部31は、ウイルスの感染が通知されたので、ウイルスの感染を通知するメールの解析に使用するテンプレートをテンプレート情報52から選択する。図5の例では、解析部31は、メールテンプレートMT1を選択したとする。解析部31は、受信メールをメールテンプレートMT1と比較する。メールテンプレートMT1は、contextの記載を「%1にてウイルス検知」という文字列とした場合、受信メールのcontext中の「%1」に該当する文字列が、ウイルスに感染した通信端末10に割り当てられたアドレスであることを示している。図5の例では、解析部31は、メールテンプレートMT1とメールM1を比較することにより、172.16.1.1のアドレスが割り当てられた通信端末10(通信端末10c)がウイルスに感染したと判定する。
解析部31は、条件テーブル51中でウイルスへの感染が通知された場合に使用可能な条件の中から、IPアドレス=172.16.1.1の通信端末10が感染した場合に適用可能な条件を検索する。このとき、解析部31は、ウイルスへの感染が検出されたときに使用可能な条件の各々に対応付けられている通知対象の値と、ウイルスへの感染が検出された通信端末10のアドレスを比較する。図5に示す条件テーブル51中のエントリでは、通知対象が172.16.1.0/24である。すなわち、条件テーブル51には、172.16.1.0と第3オクテットまでが同じアドレスが割り当てられた装置でのウイルスへの感染が検出された場合に、実行テーブル61aが使用可能であることが示されている。ウイルスに感染した通信端末10cのIPアドレスは172.16.1.1であるので、解析部31は、条件テーブル51に基づいて、実行テーブル61aを使用可能であると判定する。解析部31は、実行テーブル61aを使用可能であることと、ウイルスに感染した通信端末10cに割り当てられているアドレスである172.16.1.1を、処理決定部32に出力する。
図6は、実行テーブル61の例を説明する図である。図6は、IPアドレス=172.16.1.0/24のアドレスが割り当てられた通信端末10の隔離に使用される情報を含む実行テーブル61を示している。実行テーブル61は、その実行テーブル61を使用して行われる処理の内容と、制御対象となる装置を記録している。例えば、実行テーブル61aでは、感染が検出された通信端末10の隔離と、隔離処理を行ったことをオペレータへ通知するためのメール通知処理とが、処理内容として記録されている。実行テーブル61aには、通信端末10の隔離を行うための制御対象となる装置と、各制御対象の装置の制御のために実施されるコマンドのグループが各装置の情報に対応付けられている。なお、コマンドのグループは、コマンド情報55に含まれている。ここで、隔離の対象となった通信端末10が冗長経路を使用した通信を行うことが可能である場合、隔離対象の通信端末10が使用可能な全ての経路で隔離処理を行うための装置の情報が実行テーブル61に記録される。
例えば、図4に示すネットワークでは、隔離対象となっている通信端末10cは、スイッチ3dとスイッチ3eのいずれを使用しても、他の装置と通信が可能である。そこで、実行テーブル61aの例では、通信端末10cの隔離を行うための制御対象として、ネットワークN2中のスイッチ3dとスイッチ3eが記録されている。スイッチ3dは、A社の製品であるとする。また、スイッチ3dの制御には、コマンドグループCG1の命令が使用されるとする。同様に、スイッチ3eはB社の製品であり、スイッチ3eに適用される命令はコマンドグループCG2の命令である。さらに、通知先テーブル54に含まれている通知先の各々に対して、メールテンプレートMT2を用いて生成した通知メールを送信することも、実行テーブル61aに記録されている。
なお、実行テーブル61中の制御情報は実装に応じて変更され得る。例えば、実行テーブル61には、不正な通信が検知された通信端末10を、VPN(Virtual Private Network)を介して、検疫サーバ2に接続する処理でも良い。また、実行テーブル61には、スイッチ3だけでなく、ルータ4など、任意の種類の転送装置の情報が含まれ得る。
処理決定部32は、解析部31から通知された実行テーブル61で通信端末10の隔離が制御内容として設定されていることから、隔離対象の通信端末10cの情報を、隔離状況テーブル56に記録する。例えば、処理決定部32は、隔離状況テーブル56に、隔離対象の装置のアドレスを記録する。なお、隔離状況テーブル56には、隔離対象の装置のアドレスとともに、隔離処理に使用する実行テーブル61中の情報を特定するエントリ番号などの識別情報が記録されても良い。例えば、図6の実行テーブル61aが使用される場合、隔離状況テーブル56には以下の情報が記録される。
隔離対象の装置のアドレス:172.16.1.1(通信端末10c)
隔離処理に使用する情報 :実行テーブル61a
なお、隔離状況テーブル56には、実装に応じてその他の情報が含まれてもよい。
処理決定部32は、解析部31から通知された実行テーブル61を用いて、制御対象となる装置と、制御対象の各装置に使用されるコマンドグループを特定すると、特定した情報をコマンド生成部40に出力する。このとき、処理決定部32は、不正な通信が検出された通信端末10のIPアドレスも、コマンド生成部40に通知するものとする。例えば、実行テーブル61aが使用される場合、コマンド生成部40には以下の情報が通知される。
不正な通信が検出された装置のアドレス:172.16.1.1(通信端末10c)
制御対象1 :スイッチ3d
制御対象1に適用するコマンド :コマンドグループCG1
制御対象2 :スイッチ3e
制御対象2に適用するコマンド :コマンドグループCG2
コマンド生成部40は、処理決定部32から取得した情報、装置テーブル53、コマンド情報55を用いて処理を行う。
図7は、装置テーブル53とコマンド情報55の例を説明する図である。図7には、コマンド情報55のうち、コマンドグループCG1とコマンドグループCG2に含まれるコマンドの情報を示している。なお、以下の説明では、IP ACL(Access Control List)を用いた処理が行われる場合を例としているが、実装に応じて、コマンド情報55にはIP ACL以外の任意の設定処理のコマンドが使用されうる。なお、以下の説明では、制御によって実現される処理ごとに、ACLの番号として異なる値が設定されているとする。以下、攻撃が検出される前の状態では、システム中のスイッチ3やルータ4でのフィルタリングはACL番号=101の条件で行われており、攻撃の検出により通信端末10の隔離を行う場合はACL番号=102の条件でフィルタリングされる場合を例とする。
装置テーブル53には、システム中の装置を制御する場合に使用される情報が、装置の識別情報に対応付けて記録されている。図7の例では、装置の識別情報に対して、その装置に割り当てられたIPアドレス、その装置を制御する際に使用されるプロトコル、制御用のIDとパスワードが記録されている。スイッチ3dには、10.0.0.1というIPアドレスが割り当てられており、サブネットマスクは24ビットである。さらに、スイッチ3dに対してはtelnet(Teletype network)を用いた制御が行われる。スイッチ3eに対しても、10.0.0.2というIPアドレスが割り当てられており、サブネットマスクは24ビットであることや、スイッチ3eの制御にtelnetが用いられることが装置テーブル53に記録されている。
コマンドグループCG1には、アクセス制御のための4つの条件文が含まれている。コマンドグループCG1では、通信端末10cの隔離のための処理が記載されるので、拡張ACL番号=120が使用されている。1つ目の条件文では、制御対象のパケットの送信元のIPアドレスとして$1が設定されている。ここで、$1は、不正な通信が検出された通信端末10のIPアドレスに置換される情報である。$1の後にワイルドカードマスクが指定されている。以下の説明では、ワイルドカードマスクの各ビットと$1で示されている各ビットの間でのAND演算によって得られた値を用いて、処理対象のパケットに設定されたアドレス情報が特定されるものとする。制御対象のパケットの宛先のIPアドレスとして10.0.10.15が設定されている。なお、以下の説明では、検疫サーバ2には、10.0.10.15というIPアドレスが割り当てられているとする。また、1つ目の条件文のコマンド引数は、パケットの許可を表わすpermitである。従って、1つ目の条件文では、不正な通信が検出された通信端末10を送信元とするIPパケットのうち、検疫サーバ2を宛先とするパケットを許可することが記載されている。一方、2つ目の条件文のコマンド引数は、パケットの拒否を表わすdenyに設定されている。このため、2つ目の条件文では、不正な通信が検出された通信端末10を送信元とするIPパケット全てを拒否することが記載されている。なお、1つ目の条件文が適用される場合、2つ目以降の条件文は処理対象とならないので、不正な通信が検出された通信端末10を送信元とするIPパケットのうち検疫サーバ2以外を宛先としたパケットが、2つ目の条件文によって拒否されることになる。3つ目の条件文では、送信元と宛先がいずれであっても、パケットを許可することが記載されており、4つ目の条件文には、送信元と宛先がいずれであっても、パケットを拒否することが記載されている。さらに、コマンドグループCG1には、これらの条件文をインタフェースFa0/1に着信してくるパケットに対するフィルタリングに適用することが記載されている。
コマンドグループCG2にもアクセス制御のための4つの条件文が含まれており、不正な通信が検出された通信端末10のIPアドレスに置換される情報として、$1が含められている。従って、コマンドグループGC2の1つ目の条件文は、不正な通信が検出された通信端末10を送信元とするIPパケットのうち、10.0.10.15(検疫サーバ2のIPアドレス)が宛先アドレスに設定されたパケットを許可することを記載している。一方、2つ目の条件文では、不正な通信が検出された通信端末10を送信元とするIPパケット全てを拒否することが記載されているので、不正な通信が検出された通信端末10から検疫サーバ2以外を宛先としたパケットは、2つ目の条件文によって拒否される。3つ目の条件文では、送信元と宛先がいずれであっても、パケットを許可することが記載されており、4つ目の条件文には、送信元と宛先がいずれであっても、パケットを拒否することが記載されている。さらに、コマンドグループCG2には、これらの条件文をインタフェースFa0/1に着信してくるパケットに対するフィルタリングに適用することが記載されている。
なお、図7の例では、コマンドグループCG1とCG2に含まれるコマンドが共通している場合を示しているが、1つの通信端末10の隔離の際に実行される複数のコマンドグループ中のコマンドは実装に応じて異なっていても同じであっても良い。さらに、各コマンドグループに含まれる条件文の数も任意である。
図8は、コマンドの生成処理の例を説明する図である。図8を参照しながら、コマンドを設定する設定ブロックが設定対象の装置を製造した会社ごとに異なる場合の処理の例を説明する。図8では、コマンド生成部40中に、設定ブロック41a、設定ブロック41b、プロトコル処理部42が含まれている。設定ブロック41aはA社の製品の制御処理のためのコマンドを設定し、設定ブロック41bはB社の製品の制御処理のためのコマンドを設定するものとする。さらに、制御装置20に備えられている装置テーブル53とコマンド情報55には、図7に示す情報が含まれているものとする。
処理決定部32は、図6に示す実行テーブル61aを用いて得られた情報のうち、以下の情報を設定ブロック41aに出力する(手順P21)。
不正な通信が検出された装置のアドレス:172.16.1.1(通信端末10c)
制御対象1 :スイッチ3d
制御対象1に適用するコマンド :コマンドグループCG1
設定ブロック41aは、これらの情報を取得すると、コマンドグループCG1(図7のCG1)のコマンド中の$1という文字列を、不正な通信が検出された装置のアドレスに置き換えることにより、制御処理に使用されるコマンドを生成する。図8中のGは、コマンドグループCG1中の条件文から、設定ブロック41aでスイッチ3dに送信する条件文が生成される場合の処理の例を示す。いずれの条件文においても、設定ブロック41aは、コマンドグループCG1中の条件文の$1を、不正な通信が検出された通信端末10cのアドレスで置き換える。このため、図8のGに示すように、172.16.1.1(通信端末10c)から送信されたパケットは、10.0.10.15(検疫サーバ2)以外には転送しないことを設定するためのコマンドが生成される。
同様に、処理決定部32は、実行テーブル61a(図6)を用いて得られた情報のうち、以下の情報を設定ブロック41bに出力する(手順P22)。
不正な通信が検出された装置のアドレス:172.16.1.1(通信端末10c)
制御対象2 :スイッチ3e
制御対象2に適用するコマンド :コマンドグループCG2
設定ブロック41bにおいても、コマンドグループCG2に含まれている条件文中の$1を、不正な通信が検出された通信端末10cのアドレスに置き換える処理が行われる。このため、通信端末10cから送信されたパケットを検疫サーバ2以外には転送しないことをスイッチ3eに設定するためのコマンドが生成される。
設定ブロック41aおよび設定ブロック41bは、生成したコマンドをプロトコル処理部42に出力する(手順P23、P24)。このとき、設定ブロック41aおよび設定ブロック41bは、コマンドの送信に使用される情報を、生成したコマンドに対応付けてプロトコル処理部42に出力する。例えば、設定ブロック41aは、装置テーブル53(図7)中のスイッチ3dのIPアドレス、制御に際して使用されるID、パスワードの組み合わせを、生成したコマンドと共に、プロトコル処理部42に出力する。設定ブロック41bも同様に、装置テーブル53中のスイッチ3eの情報と、スイッチ3e向けに生成したコマンドを、プロトコル処理部42に出力する。プロトコル処理部42は、入力されたコマンドを、そのコマンドの宛先との間の通信に使用するプロトコルに応じた形式の制御パケットに含める。図8の例では、制御装置20は、スイッチ3dとスイッチ3eのいずれともtelnetで制御情報を送受信するので、プロトコル処理部42は、入力されたコマンドからtelnetに合わせた形式の制御パケットを生成する。プロトコル処理部42は、生成した制御パケットを、送信部23を介して、宛先の装置に送信する(手順P25、P26)。
なお、以上の説明では、制御装置20と転送装置の間の通信にtelnetが用いられる場合を例として説明したが、制御装置20と転送装置の間の通信には、任意のプロトコルが使用されうる。例えば、制御装置20は、SSH(Secure Shell)、HTTP(Hypertext Transfer Protocol)などのプロトコルを用いて、ルータ4やスイッチ3での転送処理を制御しても良い。
さらに、コマンド生成部40は、設定ブロック41とプロトコル処理部42に分けられていなくても良い。この場合、コマンド生成部40が設定ブロック41とプロトコル処理部42の両方として動作する。
図9は、メールによる通知処理の例を説明する図である。処理決定部32は、不正な通信が検出された通信端末10のアドレスと、通知処理に使用するメールテンプレートを、通知処理部33に通知する。図9の例では、通知処理部33に対して、不正な通信が検出された装置のアドレスが172.16.1.1(通信端末10c)であることと、メールテンプレートMT2を使用することが通知されたとする。
通知処理部33は、メールテンプレートMT2のうち、不正な通信が検出された通信端末10のIPアドレスと置換する対象の文字列を、処理決定部32から通知されたIPアドレスに置き換える。図9中のMT2のうち、「%1」に該当する文字列は、不正な通信が検出された通信端末10のIPアドレスと置換する対象の文字列である。そこで、通知処理部33は、メールテンプレートMT2中の「%1」という文字列を、172.16.1.1というIPアドレスに置き換えることにより、メールM2を生成する。
次に、通知処理部33は、通知メールの宛先を特定するために通知先テーブル54を参照し、通知先テーブル54中のアドレスの各々に対して生成したメールを送信するための処理を行う。図9の例では、通知先テーブル54には、test1@example.comなどの3つのメールアドレスが記録されている。そこで、通知処理部33は、通知先テーブル54中の3つのアドレスの各々に対してメールM2に示す文面の通知メールを生成する。その後、通知処理部33は、生成したメールの情報を含むパケットを生成すると、生成したパケットを、送信部23を介して、宛先に送信する。例えば、オペレータが、通信端末10xにおいて、test1@example.comというアドレスを使用しているとする。すると、図8を参照しながら説明した隔離処理の実行に伴って、メールM2に示す文面の通知メールが通信端末10xに送信される。従って、オペレータは、172.16.1.1というIPアドレスが割り当てられた通信端末10(通信端末10c)でウイルスが検知されたことにより、通信端末10cが隔離されたことを認識できる。
図4〜図9を参照しながら、不正な通信の検出が検知サーバ8から制御装置20に対してメールで通知される場合の例を説明したが、検知サーバ8からの通知は、SyslogやSNMP Trapで行われても良い。以下、検知サーバ8からの通知がSyslogやSNMP Trapで行われる場合の処理の例を説明する。
図10は、制御装置20が検知サーバ8からSyslogを受信したときの解析処理の例を説明する図である。検知サーバ8は、IPアドレス=172.16.1.1(通信端末10c)がウイルスに感染したことを検出したとする。すると、検知サーバ8は、ウイルスを検出した時刻やウイルスが検出された通信端末10の情報を含むSyslogを制御装置20に送信する。図10のSYは、検知サーバ8から制御装置20に送信されるSyslogの例である。
制御装置20の解析部31は、受信部22を介してSyslogを取得すると、Syslogを条件テーブル51中の各条件と比較する。図10は、図を見やすくするために、条件テーブル51のうちでSyslogによる通知に適用可能な条件の1つの例を抽出して示している。図10の例では、条件テーブル51には、Syslog中のprotocol中の文字列と、通知対象の組み合わせが含まれる。解析部31は、protocol中の文字列を用いて、不正な通信の種類を特定する。例えば、Syslog中のprotocol中に「protocol: the unidentified terminal was detected」という文字列を含むとする。この場合、条件テーブル51は、いずれかの通信端末10がウイルスに感染したと判定する。なお、メールでの通知の際と同様に、Syslogの処理に使用される条件についても、通知対象として、その条件が使用されるときに不正な通信が検出された通信端末10のアドレスが対応付けられている。
次に、解析部31は、ウイルスの感染が通知されたので、ウイルスの感染を通知するSyslogの解析に使用するテンプレートをテンプレート情報52から選択する。図10の例では、解析部31は、SyslogテンプレートST1を選択したとする。解析部31は、SyslogをSyslogテンプレートST1と比較する。SyslogテンプレートST1は、protocolの記載を「protocol: the unidentified terminal was detected:IP=$含む」という文字列としたときの「$」に該当する文字列を、ウイルスに感染した通信端末10のアドレスとして指定している。図10の例では、解析部31は、SyslogテンプレートST1とSyslogの文字列を比較することにより、172.16.1.1のアドレスが割り当てられた通信端末10(通信端末10c)がウイルスに感染したと判定する。
解析部31がウイルスに感染した通信端末10を特定した後に行う処理は、検知サーバ8からの通知がメールで行われた場合と同様である。すなわち、条件テーブル51を用いて処理に適用する実行テーブル61を決定すると共に、適用する実行テーブル61の情報と、ウイルスに感染した通信端末10のアドレスを処理決定部32に通知する。また、処理決定部32、通知処理部33、コマンド生成部40の処理も、検知サーバ8からの通知がメールで行われた場合と同様である。
図11は、制御装置20が検知サーバ8からTrapを受信したときの解析処理の例を説明する図である。検知サーバ8は、IPアドレス=172.16.1.1(通信端末10c)がウイルスに感染したことを検出したとする。すると、検知サーバ8は、ウイルスを検出したことを通知するTrapを制御装置20に送信する。図11のTR1は、検知サーバ8から制御装置20に送信されるTrapの例である。TR1では、OID(Object Identifier)=1.3.6.1.2.3.4.5.6について、ウイルス検知の情報が通知されている。また、ウイルスが検知された通信端末10のアドレスが172.16.1.1であることもTR1に含められている。
制御装置20の解析部31は、受信部22を介してTrapを取得すると、Trapを条件テーブル51中の各条件と比較する。図11は、図を見やすくするために、条件テーブル51のうちでTrapによる通知に適用可能な条件の例を抽出して示している。図11の例では、条件テーブル51には、Trap中に「event:VIRUS Detect.ip-address」という文字列が含まれている場合、いずれかの通信端末10がウイルスに感染したと判定することが記載されている。なお、メールでの通知の際と同様に、Trapの処理に使用される条件についても、通知対象として、その条件が使用されるときに不正な通信が検出された通信端末10のアドレスが対応付けられている。
次に、解析部31は、ウイルスの感染が通知されたので、ウイルスの感染を通知するTrapの解析に使用するテンプレートをテンプレート情報52から選択する。図11の例では、条件テーブル51は、TrapテンプレートTT1を選択したとする。解析部31は、TrapをTrapテンプレートTT1と比較する。TrapテンプレートTT1は、Trap中のeventの記載を「event:VIRUS Detect.ip-address $1」という文字列としたときの「$1」に該当する文字列を、ウイルスに感染した通信端末10のアドレスとして指定している。図11の例では、解析部31は、TrapテンプレートTT1とTrapの文字列を比較することにより、172.16.1.1のアドレスが割り当てられた通信端末10(通信端末10c)がウイルスに感染したと判定する。
解析部31がウイルスに感染した通信端末10を特定した後に行う処理は、検知サーバ8からの通知がメールやSyslogで行われた場合と同様である。また、処理決定部32、通知処理部33、コマンド生成部40の処理も、検知サーバ8からの通知がメールで行われた場合と同様である。
図12は、装置の隔離の際に行われる処理の例を説明するフローチャートである。図12では、定数Nと変数nが使用される。定数Nは、攻撃の対象となった通信端末10を隔離するための制御の対象となる装置の総数であり、変数nは制御を行った装置の数を計数するために使用する変数である。
制御装置20中の受信部22は、検知サーバ8で検出された攻撃の情報を受信する(ステップS1)。なお、攻撃として受信される情報は、ウイルスに対する感染に限られず、任意の種類の不正な通信の検出が含まれる。解析部31は、検知サーバ8から受信した受信情報がメール形式であるかを判定する(ステップS2)。受信情報がメール形式である場合、解析部31は、メールテンプレートを用いて、ターゲットとなった通信端末10を特定する(ステップS2でYes、ステップS3)。なお、「ターゲット」は、不正な通信が検出された通信端末10であり、ウイルスなどのマルウェアによる攻撃のターゲットを含むものとする。検知サーバ8から受信した受信情報がメール形式ではない場合、解析部31は、検知サーバ8から受信した受信情報がSyslogであるかを判定する(ステップS2でNo、ステップS4)。受信情報がSyslogである場合、解析部31は、Syslogテンプレートを用いて、ターゲットとなった通信端末10を特定する(ステップS4でYes、ステップS5)。受信情報がSyslogではない場合、解析部31は、Trapテンプレートを用いて、ターゲットとなった通信端末10を特定する(ステップS4でNo、ステップS6)。
ステップS3、S5、S6のいずれかの処理が終わると、解析部31は、条件テーブル51を用いて、適用する実行テーブル61を選択する(ステップS7)。解析部31は、実行テーブル61の選択結果とターゲットとなった通信端末10を、処理決定部32に通知する。処理決定部32は、選択された実行テーブル61から、制御対象の装置の総数(N)と制御対象の装置の情報を取得する(ステップS8)。コマンド生成部40は、変数nを1に設定する(ステップS9)。コマンド生成部40は、n番目の制御対象に送信するコマンドを生成し、送信部23を介してコマンドを含む制御パケットをn番目の制御対象に送信する(ステップS10)。その後、コマンド生成部40は、変数nが定数N以上であるかを判定する(ステップS11)。変数nが定数N未満の場合、コマンド生成部40は、変数nを1つインクリメントして、ステップS10に戻る(ステップS11でNo、ステップS12)。一方、変数nが定数N以上の場合、コマンド生成部40は、制御対象の全ての装置にコマンドを送信したと判定して、処理を終了する(ステップS11でYes)。
このように、第1の実施形態にかかる方法によると、ネットワーク中の転送装置に対して、検出された不正通信の種類等に応じた制御を簡便に行うことができる。さらに、マルウェアの種類に応じて、適用されるテンプレートや実行テーブル61を変更することにより、マルウェアの種類等に応じても、ネットワークの制御内容を変更することもできる。従って、制御装置20を備えるシステムでは、簡便な処理で、様々な不正な通信に対して異なる対応を取ることができる。
ところで、検知サーバ8から受信した情報の処理は解析部31で行われ、各装置への制御処理はコマンド生成部40と送信部23の処理により行われる。このため、検知サーバ8やシステム中の転送装置の仕様が変更されても、制御装置20の変更は限定的になるので、制御装置20の開発が容易である。また、第1の実施形態にかかる制御装置20では、検知サーバ8からの通知に基づいて、攻撃が確認されたときの処理を自律的に実行することができるため、感染確認後の処理が迅速に行われる。
さらに、制御装置20には、制御装置20中に格納されている条件テーブル51や実行情報データベース60などの情報を変更することにより、制御の内容も柔軟に変更できるという利点もある。近年、マルウェアの種類も急増している上、例えば、ターゲットとなっている通信端末10のケーブルの接続を変更した場合や電源を切った場合に解析が困難になるマルウェアが開発されるなど、マルウェアの挙動も様々である。このため、制御内容を柔軟に変更可能な制御装置20を用いたシステムでは、オペレータの管理が簡便になる。
<第2の実施形態>
第2の実施形態では、ターゲットとなった通信端末10からマルウェアを駆除できた場合などに、制御装置20が、隔離した通信端末10が隔離前と同様に通信できるように、転送装置を制御する場合について説明する。まず、隔離の解除の際に使用される情報の例を説明する。なお、装置テーブル53は、通信端末10の隔離の解除の際と通信端末10の隔離の際で同じものが使用される。
図13は、隔離状況テーブル56と実行テーブル61の例を説明する図である。図13は、通信端末10cが隔離されている場合の隔離状況テーブル56の例を示している。図13の例では、隔離状況テーブル56には、隔離ID、IPアドレス、検知日時、実行テーブルが記録されている。ここで、隔離IDは、隔離処理ごとに対応付けられた識別情報であり、隔離の対象となった通信端末10ごとに異なるIDが割り当てられる。IPアドレスは、隔離の対象となっている通信端末10に割り当てられているIPアドレスである。図13の例では、IPアドレスの欄に、通信端末10cのアドレス(172.16.1.1)が記録されている。検知日時は、通信端末10cが隔離される原因となった不正な通信が検知された時刻の情報である。実行テーブルは、そのエントリ中の通信端末10の隔離に使用された実行テーブル61の情報を特定する際に使用される任意の情報である。図13の例では、実行テーブルとして実行テーブル61aが172.16.1.1のアドレスが割り当てられている装置(通信端末10c)の隔離に使用されたことが記録されている。
第2の実施形態では、処理決定部32は、隔離に使用される可能性のある実行テーブル61の各々について、その実行テーブル61で行った隔離処理を解除するために使用する処理を特定する情報を予め記憶しているとする。例えば、実行テーブル61aによって行われた隔離処理の解除には実行テーブル61bが使用可能であることを、処理決定部32が予め記憶しているとする。すると、図13の例では、通信端末10cの隔離処理に実行テーブル61aが使用されているので、処理決定部32は、通信端末10cの隔離の解除の際に実行テーブル61bを使用することを決定できる。
図13は、実行テーブル61bとして、IPアドレス=172.16.1.1のアドレスが割り当てられた通信端末10cの隔離を解除する際に使用される情報を含む実行テーブル61を示している。実行テーブル61bでは、感染が検出された通信端末10の隔離の解除と、隔離を解除したことをオペレータへ通知するためのメール通知処理とが、処理内容として記録されている。さらに、通信端末10の隔離を解除する際に制御対象となる装置と、各制御対象の装置の制御のために実施されるコマンドのグループが各装置の情報に対応付けられている。
例えば、図4に示すネットワークにおいて、通信端末10cに対する隔離を解除する際には、通信端末10cの隔離の際に制御対象となった、スイッチ3dとスイッチ3eに対して、通信端末10cを隔離する前の通信を再開させることになる。そこで、実行テーブル61bの例では、通信端末10cの隔離を解除するための制御対象として、ネットワークN2中のスイッチ3dとスイッチ3eが記録されている。実行テーブル61bでも、実行テーブル61a(図6)と同様に、スイッチ3dはA社の製品であることと、スイッチ3dの制御に使用されるコマンドグループの情報(CG11)が記録されている。同様に、スイッチ3eについても、B社の製品であることと、スイッチ3eの制御にはコマンドグループCG12が使用されることが登録されている。さらに、実行テーブル61bには、通知先テーブル54に含まれている通知先の各々に対して、メールテンプレートMT11を用いて生成した通知メールを送信することが登録されている。
図14は、コマンド情報55の例を説明する図である。コマンドグループCG11は、スイッチ3dにおいて、コマンドグループCG1(図7)による制御を解除するためのコマンドのグループである。コマンドグループCG11には、インタフェースFa0/1に着信してくるパケットに対するフィルタリングに、ACL番号=101の条件を適用することが記載されている。ここで、ACL番号=101の条件は、コマンドグループCG1による処理が行われる前に適用されていた条件である。すなわち、フィルタリングにACL番号=101の条件を適用する処理は、通信端末10の隔離を行う前のフィルタリングの条件を使用することを表わしている。さらに、コマンドグループCG11には、アクセス制御のための条件文を削除するためのコマンドが含まれている。コマンドグループCG11には、隔離の解除対象の通信端末10のIPアドレスに置換される情報として、$1が含められている。コマンドグループGC11のうち条件文の削除用の1つ目のコマンドは、隔離の解除対象の通信端末10を送信元とするIPパケットのうち、10.0.10.15(検疫サーバ2のIPアドレス)宛のパケットを許可する設定の削除を表わしている。条件文の削除用の2つ目のコマンドでは、隔離の解除対象の通信端末10を送信元とするIPパケット全てを拒否する設定を削除することが記載されている。条件文の削除用の3つ目のコマンドでは、ACL番号=102の条件において送信元と宛先がいずれであっても、パケットを許可する設定の削除が記載されている。条件文の削除用の4つ目のコマンドでは、ACL番号=102の条件において、送信元と宛先がいずれであっても、パケットを拒否する設定を削除することが記載されている。
設定ブロック41aは、コマンドグループCG11のコマンド中の$1という文字列を、隔離の解除対象として指定された装置のアドレスに置き換えることにより、制御処理に使用されるコマンドを生成する。図14中のC11は、コマンドグループCG11中の条件文中の$1という文字列が通信端末10c(IPアドレス=172.16.1.1)に置き換えられた場合のコマンドの例である。
図15は、隔離の解除の際に行われる処理の例を説明する図である。以下、図13と図14を参照しながら説明した情報が使用される場合について、通信端末10cの隔離が解除される場合の処理の例を説明する。なお、第2の実施形態においても、不正な通信の検出に伴う隔離のための制御は、第1の実施形態と同様に行われているものとする。
オペレータは、ターゲットとなった通信端末10からマルウェアを駆除できた場合などに、隔離の解除を制御装置20に要求するための処理を行う。オペレータは、例えば、制御装置20の入力装置103から、隔離の解除を要求する通信端末10に割り当てられたIPアドレスを入力しても良い。また、オペレータは、システムの管理に使用する管理端末80から制御装置20に対して、解除を要求する通信端末10に割り当てられたIPアドレスを含む要求パケットを送信しても良い。
手順P31において、解析部31は、管理装置80からの通知や入力装置103から入力された情報を取得すると、得られた情報から、隔離を解除する通信端末10のIPアドレスを特定する。解析部31は、特定したIPアドレスと、隔離の解除処理が要求されていることを、処理決定部32に通知する。
処理決定部32は、図13に示す隔離状況テーブル56と実行テーブル61bを用いて得られた情報のうち、以下の情報を設定ブロック41aに出力する(手順P32)。
隔離が解除される装置のアドレス:172.16.1.1(通信端末10c)
制御対象1 :スイッチ3d
制御対象1に適用するコマンド :コマンドグループCG11
設定ブロック41aは、これらの情報を取得すると、コマンドグループCG11(図14)のコマンド中の$1という文字列を、隔離の解除対象の装置のアドレスに置き換えることにより、制御処理に使用されるコマンド(図14のC11)を生成する。
同様に、処理決定部32は、実行テーブル61b(図13)を用いて得られた情報のうち、以下の情報を設定ブロック41bに出力する(手順P33)。
隔離が解除される装置のアドレス:172.16.1.1(通信端末10c)
制御対象2 :スイッチ3e
制御対象2に適用するコマンド :コマンドグループCG12
設定ブロック41bは、これらの情報を取得すると、コマンドグループCG12のコマンド中の$1という文字列を、隔離の解除対象の装置のアドレスに置き換えることにより、制御処理に使用されるコマンドを生成する。
設定ブロック41aおよび設定ブロック41bは、生成したコマンドをプロトコル処理部42に出力する(手順P34、P35)。このとき、設定ブロック41aと設定ブロック41bは、コマンドの送信に使用される情報を、装置テーブル53(図7)から取得すると共に、取得した情報をコマンドに対応付けてプロトコル処理部42に出力する。なお、装置テーブル53から設定ブロック41が取得する情報等は、図8を参照しながら説明した手順P23、P24と同様である。プロトコル処理部42は、入力されたコマンドを、そのコマンドの宛先との間の通信に使用するプロトコルに応じた形式の制御パケットに含める。プロトコル処理部42は、生成した制御パケットを、送信部23を介して、宛先の装置に送信する(手順P36、P37)。
手順P38において、処理決定部32は、隔離が解除される装置のアドレスと、通知処理に使用するメールテンプレートを、通知処理部33に通知する。通知処理部33は、通知されたテンプレートとアドレス情報を用いて、通知先テーブル54中に記録されている装置への通知メールを送信する(手順P39)。手順P38と手順P39で行われる処理の詳細は、図16を参照しながら説明する。
図16は、メールによる通知処理の例を説明する図である。図16の例では、通知処理部33に対して、隔離が解除される通信端末10のアドレスが172.16.1.1(通信端末10c)であることと、メールテンプレートMT11を使用することが通知されたとする。通知処理部33は、メールテンプレートMT11のうち、隔離が解除される通信端末10のIPアドレスと置換する対象の文字列を、処理決定部32から通知されたIPアドレスに置き換える。図16中のMT11のうち、「%1」に該当する文字列は、隔離が解除される通信端末10のIPアドレスと置換する対象の文字列である。そこで、通知処理部33は、メールテンプレートMT11中の「%1」という文字列を、172.16.1.1というIPアドレスに置き換えることにより、メールM11を生成する。
図17は、隔離の解除の際に行われる処理の例を説明するフローチャートである。図17において、定数Nは通信端末10の隔離状態を解除するための制御の対象となる装置の総数であり、変数nは制御を行った装置の数を計数するために使用する変数である。
制御装置20中の受信部22は、管理装置80から隔離の解除の要求(隔離解除要求)を受信する(ステップS21)。処理決定部32は、隔離状況テーブル56を用いて、適用する実行テーブル61を選択する(ステップS22)。処理決定部32は、選択した実行テーブル61から、制御対象の装置の総数(N)と制御対象の装置の情報を取得する(ステップS23)。コマンド生成部40は、変数nを1に設定する(ステップS24)。コマンド生成部40は、n番目の制御対象に送信するコマンドを生成し、送信部23を介して、n番目の制御対象にコマンドを含む制御パケットを送信する(ステップS25)。その後、コマンド生成部40は、変数nが定数N以上であるかを判定する(ステップS26)。変数nが定数N未満の場合、コマンド生成部40は、変数nを1つインクリメントして、ステップS25に戻る(ステップS26でNo、ステップS27)。一方、変数nが定数N以上の場合、コマンド生成部40は、制御対象の全ての装置にコマンドを送信したと判定して、処理を終了する(ステップS26でYes)。
なお、図13〜図17にかかる説明では、隔離された通信端末10に対して、隔離の解除を行う場合を例として説明したが、管理装置80などからの解除処理に応答して行われる処理は、隔離の解除に限られない。例えば、通信端末10が使用可能な経路が制限されていた場合や、通信端末10が使用可能な転送速度が制限されていた場合には、第2の実施形態で説明した処理と同様の処理により、これらの制限が解除され得る。なお、その場合には、制限が行われている通信端末10と現在行われている制限を解除するために使用する実行テーブル61を一意に特定できる情報が、隔離状況テーブル56と同様の形式で保持されているものとする。
このように、第2の実施形態にかかる方法によると、隔離された通信端末10などに対する処理の解除の際にも、ネットワーク中の転送装置に対して攻撃の種類等に応じた制御を簡便に行うことができる。従って、マルウェアの感染や不正な通信の検出後に行う処理だけでなく、不正な通信の検出に伴って行われた処理の解除も迅速に行われる。さらに、マルウェアの感染に対して行われる対処が多岐にわたっている場合、第2の実施形態で説明したように、マルウェアの感染に対する対処の解除に使用される実行テーブル61があらかじめ決定されていることにより、オペレータの負担は軽減される。従って、第2の実施形態を用いたシステムでは、オペレータの管理が簡便になる。
<第3の実施形態>
システム中に含まれる装置が多い場合や、転送装置の入れ替えが発生する可能性が高い場合などには、第1および第2の実施形態よりも、さらに柔軟にシステムの設定を行うことができることが望ましい。このため、制御装置が記憶している情報は、システム設定を行いやすいように、適宜、複数のテーブルが統一されてもよく、1つのテーブルやデータベースが複数に分割されてもよい。第3の実施形態では、このようなデータの変形の一例を、具体例を挙げて説明する。
図18は、第3の実施形態にかかる制御装置70の構成の例を示す図である。制御装置70は、通信部21、制御部30、記憶部45を備える。記憶部45は、条件テーブル73、実行情報データベース77、装置テーブル53、通知先テーブル54、コマンド情報55、隔離状況テーブル56、テンプレート情報78を備える。通信部21と制御部30は、第1の実施形態と同様である。
条件テーブル73は、テンプレート71と処理条件情報72を含む。テンプレート71は、第1の実施形態で説明したテンプレート情報52のうちで、検知サーバ8から送信された通知の解析に使用されるテンプレートに相当する。処理条件情報72は、第1の実施形態で説明した条件テーブル51の情報を含む。すなわち、第3の実施形態では、条件テーブル73は、条件テーブル51と通知の解析に使用するテンプレートを統合したテーブルとして、処理を適用する対象ごとに設定されている。なお、通知の解析に使用するテンプレート71として、通知メールの解析に使用されるメールテンプレート(MT1)、Syslogテンプレート(ST1)、Trapテンプレート(TT1)などが、条件テーブル73に含められる。一方、テンプレート情報78は、制御装置70が通知先テーブル54中の通知先に送信するメールの生成に使用するテンプレートである。
実行情報データベース77は、ポリシーマスタ75と実行テーブル76を含む。図18では図を見やすくするために、実行テーブル76を1つだけ図示しているが、実行情報データベース77には複数の実行テーブル76が含まれてもよい。ポリシーマスタ75は、実行情報データベース77に含まれている各実行テーブル76のいずれを適用するかを決定する際に使用される。装置テーブル53には、システム中の各転送装置の情報が、転送装置ごとに記録されている。制御装置70は、システム中の転送装置の数と同数の装置テーブル53を備えているものとする。
制御装置70も、制御装置20と同様のハードウェアを備えているものとする。プロセッサ101は制御部30を実現し、メモリ102と記憶装置106は、記憶部45として動作する。また、ネットワークインタフェース109は、通信部21として動作する。
図19は、条件テーブル73とポリシーマスタ75の例を説明する図である。条件テーブル73は、条件ID、情報ソースID、メールサーバID、メール差出人、メール件名、メールキーワード、IPアドレス、ポリシーID、条件有効フラグが含まれる。
条件IDは、条件ごとに設定される識別情報である。情報ソースIDは、不正な通信の検出の通知に使用される情報源の種類の特定に使用される。図19の例では、情報ソースIDの値は、テーブルT1に示すように、1〜3のいずれかの値に設定される。情報ソースID=1は、不正な通信の検出に関する情報がメールで制御装置70に通知されることを表す。同様に、情報ソースID=2は、不正な通信の検出に関する情報がSyslogで制御装置70に通知されることを表し、情報ソースID=3は、不正な通信の検出に関する情報がTrapで制御装置70に通知されることを表す。メールサーバIDは、不正な通信の検出に関する情報がメールで制御装置70に通知される場合の通知元となるメールサーバを識別する識別情報である。テーブルT2には、メールサーバIDに対応付けて、各メールサーバに関する詳細情報が記録されている。テーブルT2には、メールサーバIDに対応付けて、受信メールサーバのサーバ名、受信プロトコル、受信ポート、受信アカウント、ID、パスワードが記録されている。受信メールサーバのサーバ名はsample.comであり、受信プロトコルはPOP3(Post Office Protocol Version 3)、受信ポート番号は110である。さらに、受信アカウントはtest@example.comであり、メール受信の際に使用されるIDはtest、メール受信の際に使用されるパスワードはtestである。メール差出人は、不正な通信の検出に関する情報がメールで制御装置70に通知される場合の通知元となるメールサーバが使用するメールアドレスであり、図19の例ではsend@example.comである。
メール件名は、検知サーバ8から不正な通信の検出を制御装置70に通知するメールの件名に含まれる情報である。メールキーワードは、検知サーバ8が制御装置70に通知するメールの本文に含まれる情報であり、検知サーバ8がマルウェアを含むファイルや不正な通信に使用されているファイル等に対して行った処理の内容の通知に使用される定型文である。図19の例では、メール件名は「情報:ファイルの隔離」である。メールキーワードは、「ドメイン「FNETS」のコンピューター「%target_host」で次のイベントが発生しました:\nファイルの隔離\n結果:隔離しました」という文字列である。なお、メールキーワード中で、「¥n」は改行を表すものとする。メールキーワード中の「%target_host」は可変パラメータであり、不正な通信が検出された通信端末10に割り当てられたIPアドレスが設定される。すなわち、メール件名とメールキーワードの組み合わせは、第1の実施形態等のメールテンプレートMT1などに含まれる情報に相当する。
図19に示す条件テーブル73には、その条件を適用するIPアドレスの範囲が設定されている。従って、制御装置70が記憶している条件テーブル73中のエントリのうち、IPアドレスの範囲を含む全ての条件が合致したエントリの情報が、以後の処理に使用される。条件テーブル73の例では、メール件名、メールキーワードが合致した上、隔離される対象の通信端末10に割り当てられたIPアドレスが、192.168.0.1から192.168.0.99の範囲に含まれる場合に、条件ID=1の条件が適用される。ポリシーIDは、ポリシーマスタ75での実行テーブル76の分類に使用される値であり、実行テーブル76を一意に識別する値である。図19の例では、ポリシーID=1である。条件有効フラグは、設定された条件を有効にするかを示すフラグである。条件有効フラグ=enableの場合、設定された条件が使用可能な状態にシステムが設定されていることを表す。一方、条件有効フラグ=disableの場合、設定された条件が使用可能な状態にシステムが設定されていないことを表す。従って、条件有効フラグ=disableに設定された条件は、制御装置70での処理に使用されない。
解析部31は、検知サーバ8からの通知メールを取得すると、条件テーブル73中のメール件名とメールキーワードを用いて通知メールを解析することにより、ターゲットとなった通信端末10を特定する。さらに、解析部31は、通知メールの送信元などの情報をキーとして、条件テーブル73のうちで通知メールの処理に適用される可能性のある条件を絞り込む。さらに、解析部31は、絞り込んだ条件の中から、IPアドレスの適用範囲にターゲットとなった通信端末10のIPアドレスを含む条件を抽出する。抽出した条件の条件有効フラグがenableに設定されている場合、解析部31は、抽出した条件の中のポリシーIDをキーとして、ポリシーマスタ75を検索する。ここでは、解析部31がポリシーID=1の条件を適用することを決定したとする。
ポリシーマスタ75は、ポリシーID、ポリシー名、ポリシーファイル名を含む。ポリシーマスタ75は、個々の実行テーブル76を1つのポリシーとして、各ポリシーのメタデータを格納する。ポリシー名は、ポリシーIDで特定されるポリシーの名称であり、ポリシーファイル名は、ポリシーIDで特定されるポリシーに相当する実行テーブル76の識別情報である。図19の例では、ポリシーID=1のポリシーのポリシー名はPo1であり、ポリシーファイル名は実行テーブル76aである。
解析部31は、ポリシーID=1をキーとして、図19中の条件テーブル73を検索したとする。すると、解析部31は、ポリシーID=1を適用するために実行テーブル76aが使用できると認識する。解析部31は、処理決定部32に対して、実行テーブル76aを使用することを要求する。
図20は、実行テーブル76aと装置テーブル53aの例を説明する図である。実行テーブル76aには、実行テーブル76aに設定されているポリシーを実行する際の制御対象となる転送装置と各転送装置に対する処理が、処理対象リストとして含まれている。処理対象リストには、処理対象機器、設定コンフィグ、実行順などの情報が含まれる。実行テーブル76a中の設定処理機器の欄には、処理対象となる装置の情報を格納した装置テーブル53の識別情報が指定されている。以下の説明では、装置テーブル53aに情報が記録されている装置が、制御対象に選択されているとする。設定コンフィグは、処理対象の機器の設定に使用されるコマンド情報55を特定する情報である。図20の例では、設定コンフィグはコマンド情報55aである。実行順は、処理対象リストに複数の装置の情報が登録された場合の実行順序を表す。図20の例では、装置テーブル53aで特定される装置にコマンド情報55aを用いたコマンドによる設定を最初(実行順=1)に行うことが登録されている。
処理決定部32は、実行テーブル76aから得られた情報を、コマンド生成部40に出力する。すると、コマンド生成部40は、処理決定部32から通知された装置テーブル53aのファイル名と、コマンド情報55aを用いて、コマンドの生成を開始する。
装置テーブル53aには、機器種別、通信種別、接続先IPアドレス、接続先URL(Uniform Resource Locator)の他、装置テーブル53aに情報が登録されている装置に接続する際の実行権限ごとに使用可能な情報が含まれている。装置テーブル53aのうち、ユーザ名待ち受け、ユーザ名、パスワード待ち受け、パスワードは、設定変更を行わない一般のユーザ(User)としての権限でのアクセスに使用される。装置テーブル53aの例では、Userの権限でのアクセスの際に、処理対象の装置から「Login:」という情報が制御装置70に送信されると、制御装置70中のコマンド生成部40は、「admin」というユーザ名を出力する。同様に、Userの権限でのアクセスの際に、処理対象の装置から「Password:」という情報が制御装置70に送信されると、制御装置70中のコマンド生成部40は、「fnets」というデータを出力する。
管理モードコマンド、管理ユーザ名待ち受け、管理ユーザ名、管理パスワード待ち受け、管理パスワード、管理モード終了コマンドは、Userよりもアクセス権限の大きなユーザ(Enable)としての権限でのアクセスに使用される。制御装置70は、処理対象の装置から管理ユーザ名待ち受けが通知されると、その装置にアクセスするために管理ユーザ名を出力する。同様に、制御装置70は、処理対象の装置から管理パスワード待ち受けが通知されると、その装置にアクセスするために、管理パスワードを出力する。管理モードコマンドは、Enableとしての権限でのアクセス時に使用され、管理モード終了コマンドはEnableとしての権限でのアクセスの終了時に使用される。
コンフィグモードコマンド、コンフィグユーザ名待ち受け、コンフィグユーザ名、コンフィグパスワード待ち受け、コンフィグパスワード、コンフィグモード終了コマンド、設定保存コマンドは、Configとしての権限でのアクセスに使用される。ここで、「Config」は、設定変更の可能なユーザである。制御装置70は、処理対象の装置からコンフィグユーザ名待ち受けが通知されると、その装置にアクセスするためにコンフィグユーザ名を出力する。同様に、制御装置70は、処理対象の装置からコンフィグパスワード待ち受けが通知されると、その装置にアクセスするために、コンフィグパスワードを出力する。コンフィグモードコマンドは、Configとしての権限でのアクセス時に使用され、設定保存コマンドは設定した内容の保存の際に使用される。コンフィグモード終了コマンドはConfigとしての権限でのアクセスの終了時に使用される。
なお、装置テーブル53中の項目のうち、装置テーブル53に情報が格納されている装置に対して制御装置70のアクセスに使用される情報に対応付けられた項目についてはデータが登録されるが、全てのデータが登録されなくても良い。例えば、Enableとしての権限では制御装置70がアクセスしない転送装置については、Enableの権限でアクセスする際に使用される情報が装置テーブル53に登録されていなくても良い。
図21は、コマンド情報55aの例を説明する図である。コマンド情報55aは、コマンドリストを含む。コマンドリストには、コマンドの適用先の機器の情報に対応付けて、コマンドの実行順、実行権限、実行コマンド、種別が記録される。図21の例では、コマンドの実行順の1番目に、Configとしての実行権限でコマンドCO1が実行される。Configとしての実行権限でのアクセスの際には、適宜、装置テーブル53a(図20)においてConfigに対応付けられている情報が使用される。コマンドCO1の種類はBASEである。コマンドの種別には、BASEとACTIONがあるものとする。コマンドの種別=BASEに設定されているコマンドは、不正な通信が検出されていないときに使用されるコマンドである。一方、コマンドの種別=ACTIONに設定されているコマンドは、不正な通信が通知されたことにより制御の際に使用されるコマンドである。
図21中のコマンド情報55aには紙面の関係で1つのコマンドの登録例を示したが、コマンドの実行順に羅列すると、例えば、リストL1やリストL2に示すようなコマンドのリストが得られる。
コマンド生成部40は、得られたコマンドのリストを通知するための制御パケットを生成し、送信部23を介して、処理対象の装置に送信する。このため、処理対象の転送装置は、制御パケットで指定されたコマンドを実行することにより、第1の実施形態と同様に、処理対象の通信端末10を隔離できる。
図22は、通知先テーブル54と隔離状況テーブル56の例を説明する図である。処理決定部32は、実行テーブル76を用いて、ターゲットとなった通信端末10に対する隔離が行われるかを判定し、隔離が行われる場合には、ターゲットの通信端末10の情報を隔離状況テーブル56に記録する。なお、第1の実施形態や図19などを参照した説明では、ターゲットとなった通信端末10のIPアドレスだけが解析部31で検出されていたが、実装に応じて、ターゲットとなった通信端末10のホスト名も制御装置70などに通知されてもよい。この場合、解析部31は、メールテンプレート等の設定によっては、ターゲットとなった通信端末10のIPアドレスとともに、ホスト名も抽出できる。
隔離状況テーブル56は、隔離ID、ホスト名、IPアドレス、検知日時、ポリシーIDなどが含まれる。隔離IDは、隔離された通信端末10の情報に対するエントリ番号である。ホスト名は、隔離された通信端末10に設定されたホスト名である。IPアドレスは、隔離された通信端末10に設定されたIPアドレスである。検知日時は、隔離された通信端末10で不正な通信が検知された時刻を表す。
図22の例では、隔離ID=1として、okamura−pcというホスト名で、192.168.0.1というアドレスが割り当てられている通信端末10が隔離されたことが記録されている。さらに、okamura−pcというホスト名の通信端末10は2016年1月29日の11時29分に検出された攻撃により、ポリシーID=1で識別されるポリシー(実行テーブル76a)を用いて隔離されている。
通知処理部33は、処理決定部32から隔離状況テーブル56が更新されたことを通知されたとする。すると、通知処理部33は、隔離状況テーブル56を参照することにより、ターゲットとなった通信端末10の情報を特定する。すると、通知先テーブル54の情報を用いて、通知先に処理内容を通知するメールを送信する。
通知先テーブル54には、通知先ID、通知先名、通知先メールアドレスが含まれる。通知先IDは、通知先ごとのエントリ番号である。通知先名は、制御装置70での処理結果を送信する通知先のホスト名である。通知先メールアドレスは、制御装置70での処理結果を送信する通知先のメールアドレスである。図22の例では、通知先ID=1の情報として、検疫検知通知先というホスト名の装置に通知が送られる。なお、検疫検知通知先というホスト名の装置では、info@exsample.comというメールアドレスが使用されている。
このため、図22の例では、info@exsample.comに宛てて、okamura−pcというホスト名で、192.168.0.1というアドレスが割り当てられている通信端末10が隔離されたことを通知するメールが送信される。このため、検疫検知通知先というホスト名の装置では、制御装置70によって行われた処理の内容が特定される。
図23は、第3の実施形態で行われる処理の例を説明するフローチャートである。図23において、定数Nは通信端末10を隔離するための制御の対象となる装置の総数であり、変数nは制御を行った装置の数を計数するために使用する変数である。
制御装置70中の解析部31は、条件テーブル73を用いて、検知サーバ8から通知された不正な通信が検出された通信端末10であるターゲットと、適用するポリシーのポリシーIDを特定する(ステップS31)。さらに、解析部31は、ポリシーIDに対応付けられた実行テーブル76を、ポリシーマスタ75を用いて特定する(ステップS32)。処理決定部32は、適用対象となる実行テーブル76中の制御対象の装置の総数Nを取得する(ステップS33)。コマンド生成部40は、変数nを1に設定する(ステップS34)。コマンド生成部40は、n番目の制御対象に対応付けられた実行コマンドを読み込んで制御パケットを生成し、送信部23は、生成された制御パケットを宛先に送信する(ステップS35)。その後、コマンド生成部40は、変数nが定数N以上であるかを判定する(ステップS36)。変数nが定数N未満の場合、コマンド生成部40は、変数nを1つインクリメントして、ステップS35に戻る(ステップS36でNo、ステップS37)。一方、変数nが定数N以上の場合、コマンド生成部40は、制御対象の全ての装置にコマンドを送信したと判定して、処理を終了する(ステップS36でYes)。
なお、図18〜図23にかかる説明では、通信端末10に対して隔離が行われる場合を例として説明したが、第1の実施形態等と同様に、攻撃の対象となった通信端末10に対して行われる処理は、実装に応じて任意に変更され得る。
<その他>
第3の実施形態においても、第2の実施形態と同様の手順により、隔離などの解除を制御装置70が行っても良い。また、ワイルドカードマスクを用いた演算方法などの設定も、実装に応じて変更され得る。
第3の実施形態では、設定用に使用されるテーブル等の情報の設定方法の変更例の一例を示したが、これらの情報の設定方法は、実装に応じて任意に変更され得る。例えば、図6などに示した実行テーブル61には、制御対象の装置と、各装置に対する実施コマンドが対応付けて登録されているが、実行テーブル61を複数のテーブルに分割しても良い。
図24は、制御装置20や制御装置70が記憶する情報の変形例を説明する図である。図24は、実行テーブル61中の情報と条件テーブル51中の不正な通信の種別に関する情報とを、テーブルT11〜T13に分けて保持する場合の例を示している。
テーブルT11は、システム中の通信端末10の各々について、その通信端末10をターゲットとした不正な通信が検出された場合に、制御対象となる転送装置のリストを記録している。なお、テーブルT1の例では、検知サーバ8からの通知内容に基づいて転送装置を特定しやすくするために通信端末10のIPアドレスに対応付けて転送装置のリストを記憶する場合を示している。例えば、192.168.1.1(通信端末10c)をターゲットとする不正な通信が検出された場合、IPアドレス=10.0.0.1の装置(スイッチ3d)とIPアドレス=10.0.0.2の装置(スイッチ3e)が制御対象となる。
テーブルT12は、不正な通信の種別に対応付けて、行われる制御の種類を対応付けている。例えば、テーブルT12によると、ウイルス感染検知が通知された場合、ターゲットとなっている通信端末10を隔離する制御が行われる。一方、バックドア通信の検知が通知された場合、ターゲットとなっている通信端末10のIPアドレスを含むパケットの転送速度を閾値以下に制限するための制御が行われる。なお、テーブルT12の例では、不正な通信の種類に応じて制御が一意に特定できる場合を例として示しているが、同じ種別の不正な通信が通知されても、制御の内容をターゲットのアドレス等に応じて変更するように設定されていても良い。
テーブルT13は、制御対象の転送装置と制御の種類に応じて使用される制御コマンド(コマンドグループ)を対応付けている。例えば、IPアドレス=10.0.0.1の装置(スイッチ3d)がターゲットの隔離のために制御される場合、コマンドグループCG1(図7)が使用され、ターゲットの隔離の解除ために制御される場合、コマンドグループCG11(図14)が使用される。同様に、IPアドレス=10.0.0.2の装置(スイッチ3e)がターゲットの隔離のために制御される場合、コマンドグループCG2(図7)が使用される。また、ターゲットとなっている通信端末10のIPアドレスを含むパケットの転送速度を閾値以下に制限するためにIPアドレス=10.0.0.1の装置(スイッチ3d)が制御される場合、コマンドグループCG15が使用される。なお、テーブルT13の例では、ターゲットの隔離だけでなく、隔離等の解除の処理も制御の種類として含めているが、隔離等の解除の処理はテーブルT13とは異なるテーブルに格納されていても良い。
図24に示すようにテーブルが生成されている場合、解析部31は、検知サーバ8からの通知を用いて、ターゲットとなっている通信端末10と、不正な通信の種類を特定すると、特定した情報を処理決定部32に通知する。処理決定部32は、テーブルT11を参照して、制御対象とする転送装置を決定するとともに、不正な通信の種類をキーとしてテーブルT12を検索することにより、制御内容を特定する。処理決定部32は、制御対象とする転送装置と、制御内容の組み合わせをコマンド生成部40に通知する。すると、コマンド生成部40は、テーブルT13とコマンド情報55を用いて、制御対象となっている転送装置の各々について、処理決定部32で決定された制御内容に対応する制御コマンドを生成する。コマンド生成部40は、生成した制御コマンドを含む制御パケットを生成すると、送信部23を介して、制御対象の転送装置に制御パケットを送信する。
一方、隔離等の解除要求を制御装置20が受信した場合には、処理決定部32は、解除の対象となる通信端末10のアドレスをキーとしてテーブルT11を検索することにより、制御対象の転送装置を特定できる。すると、処理決定部32は、隔離の解除が要求されていることと、制御対象の転送装置の情報を、コマンド生成部40に出力する。コマンド生成部40は、処理決定部32から取得した情報を用いてテーブルT13を検索することにより、ターゲットとなっている通信端末10の隔離の解除に使用するコマンドグループを特定できる。このため、コマンド生成部40は、特定したコマンドを用いた制御パケットを生成し、送信部23を介して、制御対象の転送装置に制御パケットを送信できる。
図24に示すように変形されたデータが用いられている制御装置20や制御装置70を用いたシステムでも、第1〜第3の実施形態と同様に、不正な通信の検出後の処理が簡便になる。
上述の第1〜第3の実施形態を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
通信端末と、前記通信端末で送受信されるパケットを転送する1つ以上の転送装置とを含むネットワーク中の前記転送装置を制御する制御装置に、
前記パケットを用いて通信端末の不正な通信を検知する検知サーバから通知される検知情報を受信し、
前記検知情報から対象の通信端末と前記不正な通信の種類とを解析し、
解析した対象の通信端末に対応付けられた転送装置を記憶する第1の記憶情報を参照して制御対象の転送装置を決定し、
解析された前記不正な通信の種類に対応づけられた制御内容を記憶する第2の記憶情報を参照して制御対象に決定した転送装置に対する制御を決定し、
前記制御対象に決定された転送装置の種類ごとに、前記制御内容に対応する制御コマンドを記憶する第3の記憶情報から制御コマンドを読み出して、当該転送装置に対して制御コマンドを含む制御パケットを送信する
処理を実行させることを特徴とする制御プログラム。
(付記2)
前記対象の通信端末に対する前記制御内容の解除を要求する解除要求を受信すると、前記第3の記憶情報を参照して、前記制御内容の解除に際して前記制御対象の転送装置の各々に適用する制御コマンドを生成すると共に、当該転送装置に、生成した制御コマンドを含む制御パケットを送信する
処理を前記制御装置に実行させることを特徴とする付記1に記載の制御プログラム。
(付記3)
前記検知情報は、前記対象の通信端末と前記不正な通信の種類とを通知する通知メール、前記対象の通信端末で行われた通信履歴を表す履歴情報、または前記対象の通信端末と前記不正な通信の種類とを通知する制御情報のいずれかの形式から選択される
ことを特徴とする付記1または2に記載の制御プログラム。
(付記4)
前記通知メールに含まれる文字列のうちで前記不正な通信の種類と前記対象の通信端末の通知に使用される領域を特定する第1のテンプレート、前記履歴情報から前記不正な通信の種類と前記対象の通信端末の通知に使用される領域を特定する第2のテンプレート、および、前記制御情報から前記不正な通信の種類と前記対象の通信端末の通知に使用される領域を特定する第3のテンプレートを含み、
前記制御装置に、
前記通知メールを受信すると、前記第1のテンプレートを用いて前記不正な通信の種類と前記対象の通信端末を抽出し、
前記履歴情報を受信すると、前記第2のテンプレートを用いて前記不正な通信の種類と前記対象の通信端末を抽出し、
前記制御情報を受信すると、前記第3のテンプレートを用いて前記不正な通信の種類と前記対象の通信端末を抽出する
処理を行わせることを特徴とする付記3に記載の制御プログラム。
(付記5)
前記制御プログラムは、前記第1の記憶情報と前記第2の記憶情報とを、前記制御プログラムにより実行される情報を特定する実行テーブルとして備え、
前記実行テーブルは、前記複数の通信端末中の通信端末と前記不正な通信の種類との組み合わせに対応付けて、当該組み合わせが前記検知サーバから通知された場合に制御対象とする転送装置と、前記制御対象に決定された転送装置に対する制御を記憶する
ことを特徴とする付記1〜4のいずれか1項に記載の制御プログラム。
(付記6)
通信端末と、前記通信端末で送受信されるパケットを転送する1つ以上の転送装置とを含むネットワーク中の前記転送装置を制御する制御装置であって、
前記パケットを用いて通信端末の不正な通信を検知する検知サーバから通知される検知情報を受信する受信部と、
前記検知情報から対象の通信端末と前記不正な通信の種類とを解析する解析部と、
解析した対象の通信端末に対応付けられた転送装置を記憶する第1の記憶情報を参照して制御対象の転送装置を決定すると共に、解析された前記不正な通信の種類に対応づけられた制御内容を記憶する第2の記憶情報を参照して制御対象に決定した転送装置に対する制御を決定する決定部と、
前記制御対象に決定された転送装置の種類ごとに、前記制御内容に対応する制御コマンドを記憶する第3の記憶情報から制御コマンドを読み出して生成された制御パケットを、当該転送装置に送信する送信部
を備えることを特徴とする制御装置。
(付記7)
前記対象の通信端末に対する前記制御内容の解除を要求する解除要求を前記受信部が受信すると、前記第3の記憶情報を参照して、前記制御内容の解除に際して前記制御対象の転送装置の各々に適用する制御コマンドを生成すると共に、生成した制御コマンドを含む当該転送装置宛の他の制御パケットを生成する生成部
をさらに備え、
前記送信部は、前記他の制御パケットを送信する
ことを特徴とする付記6に記載の制御装置。
(付記8)
前記受信部は、前記対象の通信端末と前記不正な通信の種類とを通知する通知メール、前記対象の通信端末で行われた通信履歴を表す履歴情報、または前記対象の通信端末と前記不正な通信の種類とを通知する制御情報のいずれかの形式で前記検知情報を受信する
ことを特徴とする付記6または7に記載の制御装置。
(付記9)
前記通知メールに含まれる文字列のうちで前記不正な通信の種類と前記対象の通信端末の通知に使用される領域を特定する第1のテンプレート、前記履歴情報から前記不正な通信の種類と前記対象の通信端末の通知に使用される領域を特定する第2のテンプレート、および、前記制御情報から前記不正な通信の種類と前記対象の通信端末の通知に使用される領域を特定する第3のテンプレートを備え、
前記解析部は、
前記受信部が前記通知メールを受信すると、前記第1のテンプレートを用いて前記不正な通信の種類と前記対象の通信端末を抽出し、
前記受信部が前記履歴情報を受信すると、前記第2のテンプレートを用いて前記不正な通信の種類と前記対象の通信端末を抽出し、
前記受信部が前記制御情報を受信すると、前記第3のテンプレートを用いて前記不正な通信の種類と前記対象の通信端末を抽出する
ことを特徴とする付記8に記載の制御装置。
(付記10)
前記第1の記憶情報と前記第2の記憶情報とを、前記制御装置により実行される情報を特定する実行テーブルとして記憶する記憶部を備え、
前記実行テーブルは、前記複数の通信端末中の通信端末と前記不正な通信の種類との組み合わせに対応付けて、当該組み合わせが前記検知サーバから通知された場合に制御対象とする転送装置と、前記制御対象に決定された転送装置に対する制御を記憶する
ことを特徴とする付記6〜9のいずれか1項に記載の制御装置。
(付記11)
通信端末と、前記通信端末で送受信されるパケットを転送する1つ以上の転送装置とを含むネットワーク中の前記転送装置を制御する制御装置が、
前記パケットを用いて通信端末の不正な通信を検知する検知サーバから通知される検知情報を受信し、
前記検知情報から対象の通信端末と前記不正な通信の種類とを解析し、
解析した対象の通信端末に対応付けられた転送装置を記憶する第1の記憶情報を参照して制御対象の転送装置を決定し、
解析された前記不正な通信の種類に対応づけられた制御内容を記憶する第2の記憶情報を参照して制御対象に決定した転送装置に対する制御を決定し、
前記制御対象に決定された転送装置の種類ごとに、前記制御内容に対応する制御コマンドを記憶する第3の記憶情報から制御コマンドを読み出して、当該転送装置に対して制御コマンドを含む制御パケットを送信する
処理を行うことを特徴とする制御方法。
(付記12)
前記対象の通信端末に対する前記制御内容の解除を要求する解除要求を受信すると、前記第3の記憶情報を参照して、前記制御内容の解除に際して前記制御対象の転送装置の各々に適用する制御コマンドを生成すると共に、当該転送装置に、生成した制御コマンドを含む制御パケットを送信する
処理を前記制御装置が行うことを特徴とする付記11に記載の制御方法。
2 検疫サーバ
3 スイッチ
4 ルータ
5 WAN
6 インターネット
7 C&Cサーバ
8 検知サーバ
10 通信端末
20、70 制御装置
21 通信部
22 受信部
23 送信部
30 制御部
31 解析部
32 処理決定部
33 通知処理部
40 コマンド生成部
41 設定ブロック
42 プロトコル処理部
45、50 記憶部
51、73 条件テーブル
52、78 テンプレート情報
53 装置テーブル
54 通知先テーブル
55 コマンド情報
56 隔離状況テーブル
60、77 実行情報データベース
61、76 実行テーブル
71 テンプレート
72 処理条件情報
75 ポリシーマスタ
101 プロセッサ
102 メモリ
103 入力装置
104 出力装置
105 バス
106 記憶装置
107 可搬記憶媒体駆動装置
108 可搬記憶媒体
109 ネットワークインタフェース

Claims (7)

  1. 通信端末と、前記通信端末で送受信されるパケットを転送する1つ以上の転送装置とを含むネットワーク中の前記転送装置を制御する制御装置に、
    前記パケットを用いて通信端末の不正な通信を検知する検知サーバから通知される検知情報を受信し、
    前記検知情報から対象の通信端末と前記不正な通信の種類とを解析し、
    解析した対象の通信端末に対応付けられた転送装置を記憶する第1の記憶情報を参照して制御対象の転送装置を決定し、
    解析された前記不正な通信の種類に対応づけられた制御内容を記憶する第2の記憶情報を参照して制御対象に決定した転送装置に対する制御を決定し、
    前記制御対象に決定された転送装置の種類ごとに、前記制御内容に対応する制御コマンドを記憶する第3の記憶情報から制御コマンドを読み出して、当該転送装置に対して制御コマンドを含む制御パケットを送信する
    処理を行わせることを特徴とする制御プログラム。
  2. 前記対象の通信端末に対する前記制御内容の解除を要求する解除要求を受信すると、前記第3の記憶情報を参照して、前記制御内容の解除に際して前記制御対象の転送装置の各々に適用する制御コマンドを生成すると共に、当該転送装置に、生成した制御コマンドを含む制御パケットを送信する
    処理を前記制御装置に実行させることを特徴とする請求項1に記載の制御プログラム。
  3. 前記検知情報は、前記対象の通信端末と前記不正な通信の種類とを通知する通知メール、前記対象の通信端末で行われた通信履歴を表す履歴情報、または前記対象の通信端末と前記不正な通信の種類とを通知する制御情報のいずれかの形式から選択される
    ことを特徴とする請求項1または2に記載の制御プログラム。
  4. 前記通知メールに含まれる文字列のうちで前記不正な通信の種類と前記対象の通信端末の通知に使用される領域を特定する第1のテンプレート、前記履歴情報から前記不正な通信の種類と前記対象の通信端末の通知に使用される領域を特定する第2のテンプレート、および、前記制御情報から前記不正な通信の種類と前記対象の通信端末の通知に使用される領域を特定する第3のテンプレートを含み、
    前記制御装置に、
    前記通知メールを受信すると、前記第1のテンプレートを用いて前記不正な通信の種類と前記対象の通信端末を抽出し、
    前記履歴情報を受信すると、前記第2のテンプレートを用いて前記不正な通信の種類と前記対象の通信端末を抽出し、
    前記制御情報を受信すると、前記第3のテンプレートを用いて前記不正な通信の種類と前記対象の通信端末を抽出する
    処理を行わせることを特徴とする請求項3に記載の制御プログラム。
  5. 前記制御プログラムは、前記第1の記憶情報と前記第2の記憶情報とを、前記制御プログラムにより実行される情報を特定する実行テーブルとして備え、
    前記実行テーブルは、前記複数の通信端末中の通信端末と前記不正な通信の種類との組み合わせに対応付けて、当該組み合わせが前記検知サーバから通知された場合に制御対象とする転送装置と、前記制御対象に決定された転送装置に対する制御を記憶する
    ことを特徴とする請求項1〜4のいずれか1項に記載の制御プログラム。
  6. 通信端末と、前記通信端末で送受信されるパケットを転送する1つ以上の転送装置とを含むネットワーク中の前記転送装置を制御する制御装置であって、
    前記パケットを用いて通信端末の不正な通信を検知する検知サーバから通知される検知情報を受信する受信部と、
    前記検知情報から対象の通信端末と前記不正な通信の種類とを解析する解析部と、
    解析した対象の通信端末に対応付けられた転送装置を記憶する第1の記憶情報を参照して制御対象の転送装置を決定すると共に、解析された前記不正な通信の種類に対応づけられた制御内容を記憶する第2の記憶情報を参照して制御対象に決定した転送装置に対する制御を決定する決定部と、
    前記制御対象に決定された転送装置の種類ごとに、前記制御内容に対応する制御コマンドを記憶する第3の記憶情報から制御コマンドを読み出して生成された制御パケットを、当該転送装置に送信する送信部
    を備えることを特徴とする制御装置。
  7. 通信端末と、前記通信端末で送受信されるパケットを転送する1つ以上の転送装置とを含むネットワーク中の前記転送装置を制御する制御装置が、
    前記パケットを用いて通信端末の不正な通信を検知する検知サーバから通知される検知情報を受信し、
    前記検知情報から対象の通信端末と前記不正な通信の種類とを解析し、
    解析した対象の通信端末に対応付けられた転送装置を記憶する第1の記憶情報を参照して制御対象の転送装置を決定し、
    解析された前記不正な通信の種類に対応づけられた制御内容を記憶する第2の記憶情報を参照して制御対象に決定した転送装置に対する制御を決定し、
    前記制御対象に決定された転送装置の種類ごとに、前記制御内容に対応する制御コマンドを記憶する第3の記憶情報から制御コマンドを読み出して、当該転送装置に対して制御コマンドを含む制御パケットを送信する
    処理を行うことを特徴とする制御方法。
JP2016027369A 2016-02-16 2016-02-16 制御プログラム、制御装置、および、制御方法 Pending JP2017147575A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016027369A JP2017147575A (ja) 2016-02-16 2016-02-16 制御プログラム、制御装置、および、制御方法
US15/421,703 US10560452B2 (en) 2016-02-16 2017-02-01 Apparatus and method to control transfer apparatuses depending on a type of an unauthorized communication occurring in a network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016027369A JP2017147575A (ja) 2016-02-16 2016-02-16 制御プログラム、制御装置、および、制御方法

Publications (1)

Publication Number Publication Date
JP2017147575A true JP2017147575A (ja) 2017-08-24

Family

ID=59560419

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016027369A Pending JP2017147575A (ja) 2016-02-16 2016-02-16 制御プログラム、制御装置、および、制御方法

Country Status (2)

Country Link
US (1) US10560452B2 (ja)
JP (1) JP2017147575A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018157343A (ja) * 2017-03-16 2018-10-04 日本電信電話株式会社 対処指示装置、対処指示方法、対処指示プログラム
JP2020022066A (ja) * 2018-07-31 2020-02-06 株式会社リコー 通信制御システム、通信制御方法およびプログラム
JP2020072427A (ja) * 2018-11-01 2020-05-07 日本電気株式会社 ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム
JP2020167587A (ja) * 2019-03-29 2020-10-08 株式会社デンソー 中継装置
JP2021529489A (ja) * 2018-06-29 2021-10-28 フォアスカウト テクノロジーズ インコーポレイテッド 動的セグメンテーション管理
JP7449256B2 (ja) 2021-03-11 2024-03-13 株式会社日立製作所 不正通信対処システム及び方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6938205B2 (ja) * 2017-05-02 2021-09-22 アライドテレシスホールディングス株式会社 アクセス制御システム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005276042A (ja) * 2004-03-26 2005-10-06 Nomura Research Institute Ltd システム監視業務支援システム及び支援プログラム
JP2006033140A (ja) * 2004-07-13 2006-02-02 Fujitsu Ltd ネットワーク管理装置、ネットワーク管理方法、およびプログラム
JP2008083751A (ja) * 2006-09-25 2008-04-10 Hitachi Information Systems Ltd 不正アクセス対応ネットワークシステム
JP2015050717A (ja) * 2013-09-03 2015-03-16 ビッグローブ株式会社 コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020194489A1 (en) * 2001-06-18 2002-12-19 Gal Almogy System and method of virus containment in computer networks
US9392002B2 (en) * 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US20050193429A1 (en) * 2004-01-23 2005-09-01 The Barrier Group Integrated data traffic monitoring system
US7891001B1 (en) * 2005-08-26 2011-02-15 Perimeter Internetworking Corporation Methods and apparatus providing security within a network
WO2007070889A2 (en) * 2005-12-16 2007-06-21 Glt Corporation System and method for detection of data traffic on a network
US20070153696A1 (en) * 2006-01-03 2007-07-05 Alcatel Collaborative communication traffic control systems and methods
US8291495B1 (en) * 2007-08-08 2012-10-16 Juniper Networks, Inc. Identifying applications for intrusion detection systems
US9118689B1 (en) * 2012-04-13 2015-08-25 Zscaler, Inc. Archiving systems and methods for cloud based systems
US8914886B2 (en) * 2012-10-29 2014-12-16 Mcafee, Inc. Dynamic quarantining for malware detection
US20150071298A1 (en) * 2013-09-09 2015-03-12 Microsoft Corporation Hybrid Forwarding in a Virtual Switch
US9288221B2 (en) 2014-01-14 2016-03-15 Pfu Limited Information processing apparatus, method for determining unauthorized activity and computer-readable medium
US20160315866A1 (en) * 2015-04-27 2016-10-27 Telefonaktiebolaget L M Ericsson (Publ) Service based intelligent packet-in mechanism for openflow switches

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005276042A (ja) * 2004-03-26 2005-10-06 Nomura Research Institute Ltd システム監視業務支援システム及び支援プログラム
JP2006033140A (ja) * 2004-07-13 2006-02-02 Fujitsu Ltd ネットワーク管理装置、ネットワーク管理方法、およびプログラム
JP2008083751A (ja) * 2006-09-25 2008-04-10 Hitachi Information Systems Ltd 不正アクセス対応ネットワークシステム
JP2015050717A (ja) * 2013-09-03 2015-03-16 ビッグローブ株式会社 コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018157343A (ja) * 2017-03-16 2018-10-04 日本電信電話株式会社 対処指示装置、対処指示方法、対処指示プログラム
JP2021529489A (ja) * 2018-06-29 2021-10-28 フォアスカウト テクノロジーズ インコーポレイテッド 動的セグメンテーション管理
JP7282868B2 (ja) 2018-06-29 2023-05-29 フォアスカウト テクノロジーズ インコーポレイテッド 動的セグメンテーション管理
JP2020022066A (ja) * 2018-07-31 2020-02-06 株式会社リコー 通信制御システム、通信制御方法およびプログラム
JP7147337B2 (ja) 2018-07-31 2022-10-05 株式会社リコー 通信制御システム、通信制御方法およびプログラム
JP2020072427A (ja) * 2018-11-01 2020-05-07 日本電気株式会社 ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム
JP2020167587A (ja) * 2019-03-29 2020-10-08 株式会社デンソー 中継装置
JP7449256B2 (ja) 2021-03-11 2024-03-13 株式会社日立製作所 不正通信対処システム及び方法

Also Published As

Publication number Publication date
US10560452B2 (en) 2020-02-11
US20170237733A1 (en) 2017-08-17

Similar Documents

Publication Publication Date Title
JP2017147575A (ja) 制御プログラム、制御装置、および、制御方法
JP6053091B2 (ja) トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
JP4906504B2 (ja) インテリジェント統合ネットワークセキュリティ装置
US8204984B1 (en) Systems and methods for detecting encrypted bot command and control communication channels
US8893278B1 (en) Detecting malware communication on an infected computing device
US11290484B2 (en) Bot characteristic detection method and apparatus
JP6159018B2 (ja) 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム
JP2020017809A (ja) 通信装置及び通信システム
JP5980968B2 (ja) 情報処理装置、情報処理方法及びプログラム
JP2022554101A (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
US20230412591A1 (en) Traffic processing method and protection system
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JP6092759B2 (ja) 通信制御装置、通信制御方法、および通信制御プログラム
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
JP6877278B2 (ja) 中継装置
JP5385867B2 (ja) データ転送装置及びアクセス解析方法
JP2022541250A (ja) インラインマルウェア検出
JP6676790B2 (ja) リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム
JP5456636B2 (ja) ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム
JP6721542B2 (ja) トラヒック制御装置、方法、およびプログラム
JP2024038058A (ja) 情報処理システム
JP4526566B2 (ja) ネットワーク装置、データ中継方法およびプログラム
CN116723020A (zh) 网络服务模拟方法、装置、电子设备及存储介质
JP2018207435A (ja) トラヒック制御装置、方法、およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181011

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190726

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190820

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191009

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20191009

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20191009

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200331