JP2017204721A - セキュリティシステム - Google Patents

セキュリティシステム Download PDF

Info

Publication number
JP2017204721A
JP2017204721A JP2016095060A JP2016095060A JP2017204721A JP 2017204721 A JP2017204721 A JP 2017204721A JP 2016095060 A JP2016095060 A JP 2016095060A JP 2016095060 A JP2016095060 A JP 2016095060A JP 2017204721 A JP2017204721 A JP 2017204721A
Authority
JP
Japan
Prior art keywords
threat
private network
security system
address
global address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016095060A
Other languages
English (en)
Other versions
JP6256773B2 (ja
Inventor
潤 川北
Jun Kawakita
潤 川北
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Allied Telesis Holdings KK
Original Assignee
Allied Telesis KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Allied Telesis KK filed Critical Allied Telesis KK
Priority to JP2016095060A priority Critical patent/JP6256773B2/ja
Priority to US15/456,192 priority patent/US20170331853A1/en
Publication of JP2017204721A publication Critical patent/JP2017204721A/ja
Application granted granted Critical
Publication of JP6256773B2 publication Critical patent/JP6256773B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】
ネットワークにおけるセキュリティシステムを提供することを目的とする。
【解決手段】
プライベートネットワーク内のコンピュータに対して所定の制御処理を実行する,プライベートネットワークの外側にあるセキュリティシステムであって,セキュリティシステムは,不正攻撃サーバからの脅威を検知した脅威検知システムから,脅威の対象となるグローバルアドレスを受け取り,グローバルアドレスとローカルアドレスとの変換テーブルを備える,プライベートネットワークのゲートウェイに対し,受け取ったグローバルアドレスを用いて変換テーブルを参照することで,グローバルアドレスに対応するローカルアドレスを特定し,プライベートネットワークの外側から,プライベートネットワーク内にある,特定したローカルアドレスを利用するコンピュータの通信に対して,所定の制御処理を実行する,セキュリティシステムである。
【選択図】 図1

Description

本発明はネットワークにおけるセキュリティシステムに関する。とくに,インターネットなどのグローバルネットワークのコンピュータから,LANなどのプライベートネットワーク内のコンピュータ端末(以下,「クライアント端末」という)に対する不正な攻撃などの脅威を受けた場合に,プライベートネットワークの外から,プライベートネットワーク内のクライアント端末の通信を遮断等し,セキュリティを保持するセキュリティシステムに関する。
ネットワーク上でコンピュータを特定する情報としてIPアドレスなどのアドレス情報がある。アドレス情報は,プライベートネットワークで用いるローカルアドレスと,グローバルネットワークで用いるグローバルアドレスとがある。プライベートネットワーク内のクライアント端末がグローバルネットワークにアクセスする場合,クライアント端末のローカルアドレスをNAT/PAT変換をしてグローバルアドレスとし,それをアクセスの際に用いることが一般的である。
NAT/PAT変換はゲートウェイと呼ばれる装置で行われ,ゲートウェイではローカルアドレスとグローバルアドレスとを対応づけたNAT/PATテーブルを備えている。
一方,グローバルネットワークには,クライアント端末に対してサイバー攻撃を行うためのコンピュータがある。ネットワークの管理者はサイバー攻撃から自社のプライベートネットワークおよびそこにあるクライアント端末を防衛するため,サイバー攻撃などの脅威を検知するシステム(以下,「脅威検知システム」という)やさまざまな機能を有するセキュリティシステムを稼働させている。セキュリティシステムの役割としては,ファイアウォールやスパイウェア対策などの機能のほか,ウィルス感染等を防止する機能などがある。かかるセキュリティシステムでは,あるクライアント端末がウィルスに感染した場合,ほかのクライアント端末への感染を防止することが求められている。
プライベートネットワークの外でセキュリティシステムを稼働させる場合,脅威検知システムでサイバー攻撃を検知したとしても,その通信はグローバルアドレスによって行われており,攻撃を受けているクライアント端末のローカルアドレスが把握できなかったので,攻撃を受けているクライアント端末の通信のみを遮断等するなどの防衛ができなかった。その結果,プライベートネットワーク自体の通信を遮断しなければならず,攻撃を受けていない,プライベートネットワーク内のほかのクライアント端末まで通信が遮断され,業務などに与える影響が大きかった。
このことから,従来はセキュリティシステムはプライベートネットワーク内で稼働していることが多かった。しかし,近年ではより広範な脅威に対応し,複数のプライベートネットワークの監視を行うため,プライベートネットワークの外でセキュリティシステムを稼働させることが求められる場合もある。
そこで特許文献1に記載の発明では,LAN内にあるルータが通信するパケットにおけるヘッダ情報に含まれる送信元MACアドレスを識別,変換することによって,パケットを送信したホスト(クライアント端末)を識別している。
特開2011−109186号
しかし特許文献1に記載の発明は,異なるネットワークに属するホスト相互間で通信を行う場合,従来は,送信始端のホストからNATルータ(パケット中継装置)にパケットが送られた際に,NATルータが,送信元MACアドレスとして,当該ホストのMACアドレスから当該ルータのMACアドレスに書き換えて送信していたので,送信始端のホストが属するネットワークのほかのホストからパケットが送られた際に,それら各ホストを区別することができない,といった問題があった点を解決したものである。すなわち,送信始端のホストからNATルータにパケットが送られた際に,NATルータが,送信元MACアドレスとして,当該ルータのMACアドレスではなく,当該ホストのMACアドレスとして送信することにより,上記問題点を解決したものである。
しかし,NATルーターの外側のグローバルネットワークに,ホストの特定を可能とするホストのMACアドレスを常に流してしまうことから,それを利用したホストへの不正アクセスが可能となり,セキュリティ上の問題が発生する。また,アクセス管理装置の故障や設定の誤りにより,グローバルネットワークに規格外の不正なパケットを送信する可能性があり,システム上好ましいとはいえない問題点がある。また,パケットの送信元MACアドレスに基づいて送信元のホストを識別するため,ホストから送られたすべてのパケットについて,パケット中継装置でMACアドレスの付加機能が必要となる。
そこで本発明者は上記課題に鑑み,本発明のセキュリティシステムを発明した。
第1の発明は,プライベートネットワーク内のコンピュータに対して所定の制御処理を実行する,前記プライベートネットワークの外側にあるセキュリティシステムであって,前記セキュリティシステムは,不正攻撃サーバからの脅威を検知した脅威検知システムから,脅威の対象となるグローバルアドレスを受け取り,グローバルアドレスとローカルアドレスとの変換テーブルを備える,前記プライベートネットワークのゲートウェイに対し,前記受け取ったグローバルアドレスを用いて前記変換テーブルを参照することで,前記グローバルアドレスに対応するローカルアドレスを特定し,前記プライベートネットワークの外側から,前記プライベートネットワーク内にある,前記特定したローカルアドレスを利用するコンピュータの通信に対して,所定の制御処理を実行する,セキュリティシステムである。
本発明のように構成することで,セキュリティシステムがプライベートネットワークの外側にあっても,プライベートネットワーク内のコンピュータのローカルアドレスを把握することができる。これによって,ローカルアドレスに基づいて,脅威の対象となっているコンピュータのみを特定し,その通信を遮断するなど,所定の制御を行うことができる。そのため,プライベートネットワーク全体の通信を遮断する等が不要となり,ほかのコンピュータへの影響を減らすことができる。
上述の発明において,前記セキュリティシステムは,前記プライベートネットワーク内のコンピュータに対して実行した制御処理とその日時情報とを通知することで,ログサーバに制御処理実行を記録させる,セキュリティシステムのように構成することができる。
本発明のように構成することで,セキュリティシステムが行った防御のための制御処理を記録することができる。これによって,フォレンジック対応をすることができる。
上述の発明の別の態様として,本発明のように構成することもできる。すなわち,プライベートネットワークの外側にあるセキュリティシステムであって,前記セキュリティシステムは,不正攻撃サーバからの脅威を検知した脅威検知システムから,脅威の対象となるグローバルアドレスと前記脅威を検知した日時情報とを受け取り,前記受け取った日時情報とグローバルアドレスとに基づいて,前記プライベートネットワークのゲートウェイにおけるグローバルアドレスとローカルアドレスとの変換の情報とタイムスタンプとの対応関係を記録するログサーバを参照することで,前記脅威を検知した時点における前記グローバルアドレスに対応するローカルアドレスを特定する,セキュリティシステムである。
本発明のように構成することで,いつからいつまでグローバルアドレスがどのローカルアドレスに対応していたのかを特定することができ,デジタルフォレンジックへの対応をすることができる。また,脅威検知システムが脅威を検知したタイミングと,その通知のタイミングとがずれ,セキュリティシステムが脅威の通知を受けた段階では,ゲートウェイのNAT/PAT変換テーブルが書き換わってしまっている場合でも,脅威を検知した日時情報に基づいてログサーバを参照することで,正しいローカルアドレスを特定することができる。
本発明の処理方法を実行することで,第1の発明を実現することができる。すなわち,プライベートネットワークの外側にあるセキュリティシステムと,不正攻撃サーバからの脅威を検知する脅威検知システムと,グローバルアドレスとローカルアドレスとの変換テーブルを備える前記プライベートネットワークのゲートウェイと,を備えるコンピュータネットワークにおけるセキュリティ処理方法であって,前記セキュリティシステムが,前記不正攻撃サーバからの脅威を検知した脅威検知システムから,脅威の対象となるグローバルアドレスを受け取り,前記受け取ったグローバルアドレスを用いて前記ゲートウェイの変換テーブルを参照することで,前記グローバルアドレスに対応するローカルアドレスを特定し,前記プライベートネットワーク内にある,前記特定したローカルアドレスを利用するコンピュータの通信に対して,所定の制御処理を実行する,セキュリティ処理方法である。
本発明の処理方法を実行することで,第3の発明を実現することができる。すなわち,プライベートネットワークの外側にあるセキュリティシステムと,不正攻撃サーバからの脅威を検知する脅威検知システムと,グローバルアドレスとローカルアドレスとの変換を行う前記プライベートネットワークのゲートウェイにおけるグローバルアドレスとローカルアドレスとの変換の情報とタイムスタンプとの対応関係を記録するログサーバと,を備えるコンピュータネットワークにおけるセキュリティ処理方法であって,前記セキュリティシステムが,前記不正攻撃サーバからの脅威を検知した前記脅威検知システムから,脅威の対象となるグローバルアドレスと前記脅威を検知した日時情報とを受け取り,前記受け取った日時情報とグローバルアドレスとに基づいて,前記ログサーバを参照することで,前記脅威を検知した時点における前記グローバルアドレスに対応するローカルアドレスを特定する,セキュリティ処理方法である。
本発明のセキュリティシステムを用いることで,プライベートネットワークの外でセキュリティシステムを稼働させたとしても,プライベートネットワーク内のクライアント端末を特定することができる。そして,被害を受けたクライアント端末の特定によって,そのクライアント端末の通信のみを遮断等することができる。そのため,プライベートネットワーク内の攻撃を受けていないほかのクライアント端末に与える影響がない。
本発明の第1の実施態様における全体の構成を模式的に示す図である。 本発明のコンピュータのハードウェア構成の一例を模式的に示す図である。 本発明の第1の実施態様におけるフローチャートの一例を模式的に示す図である。 NAT/PAT変換テーブルの一例を模式的に示す図である。 本発明のセキュリティシステムを用いた場合の処理の一例を模式的に示す図である。
本発明のセキュリティシステム1を用いた全体の構成の一例を図1に模式的に示す。図1では,企業などが構成しているプライベートネットワークであるLANに3台のクライアント端末5(端末A乃至端末C)がある場合を説明している。また,脅威検知システム3および本発明のセキュリティシステム1が,プライベートネットワークの外側(後述するゲートウェイであるルータの外側)に設けられている。なお図示はしていないが,クライアント端末5が通信を行う場合には,プライベートネットワーク内でポート接続しているスイッチ(中継装置)を介して行っている。
脅威検知システム3はグローバルネットワークとプライベートネットワークとの間の通信を監視しており,グローバルネットワークからサイバー攻撃を行う不正攻撃サーバ6からのサイバー攻撃などの脅威を検知する。脅威を検知すると,その検知したパケットにおける送信先のIPアドレスを攻撃先となっているクライアント端末5のグローバルアドレスとしてセキュリティシステム1に通知する。サイバー攻撃にはさまざまなものがあり,たとえばDos(Denial of Servie)攻撃,DDoS(Distributed Denail of Service)攻撃,ポートスキャン(Port Scan)攻撃,PoD(Ping of Death)攻撃などが一例としてあるが,それに限定されない。
セキュリティシステム1は,不正攻撃サーバ6からの脅威に対し,通信の遮断,ウィルス(マルウェア)の検出,隔離,修復などの,脅威に対する防衛を行うコンピュータシステムである。なおセキュリティシステム1はプライベートネットワークの外側に位置していても,プライベートネットワーク内のコンピュータにアクセスすることは可能にネットワークが構築されている。
プライベートネットワークとグローバルネットワークとの境界には,NAT/PAT変換を行うゲートウェイ2となるルータがある。ゲートウェイ2となるルータでは,プライベートネットワーク内のクライアント端末5がグローバルネットワークにアクセスするため,グローバルアドレスとローカルアドレスとを対応づけて記憶している。なおゲートウェイ2となるルータでは,NAT変換またはPAT変換を行うが,いずれの変換方式を用いてもよく,これらをまとめてNAT/PAT変換という。図4にゲートウェイ2となるルータで管理するNAT/PATテーブルの一例を模式的に示す。また,グローバルアドレスとローカルアドレスとの変換を行うのであれば,NAT/PAT変換に限定されず,その場合,グローバルアドレスとローカルアドレスの変換テーブルを備えていれば良い。
ログサーバ4は,セキュリティシステム1がクライアント端末5の通信の遮断等の所定の防御のための制御処理を実行した場合に,その制御処理の内容をセキュリティシステム1から通知を受け,記録する。ログサーバ4では制御処理が行われた日時,制御処理を対応づけて記録する。制御処理として,対象となったクライアント端末5のローカルアドレス,その識別情報(MACアドレスなど),実行した制御処理の内容(通信の遮断,ウィルスの検出,隔離,修復など)がある。
また,ログサーバ4は,ゲートウェイ2からタイムスタンプとともにNAT/PAT変換の履歴を受け取り,それらを対応付けて記録する。
なお,本発明は,サーバやパーソナルコンピュータなどの各種のコンピュータにより実現される。図2にコンピュータのハードウェア構成の一例を示す。コンピュータは,プログラムの演算処理を実行するCPUなどの演算装置70と,情報を記憶するRAMやハードディスクなどの記憶装置71と,ディスプレイなどの表示装置72と,キーボードやポインティングデバイス(マウスやテンキーなど)などの入力装置73と,演算装置70の処理結果や記憶装置71に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置74とを有している。
なお,図1ではそれぞれが一台のコンピュータで実現される場合を示したが,複数台のコンピュータにその機能が分散配置され,実現されても良い。また,本発明における各手段は,その機能が論理的に区別されているのみであって,物理上あるいは事実上は同一の領域を為していても良い。
本発明における各処理部は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域をなしていても良い。
つぎに本発明のセキュリティシステム1の処理の一例を図5を用いて説明する。図5では,グローバルネットワーク上の不正攻撃サーバ6がクライアント端末5A,Bに対してサイバー攻撃を行っており,クライアント端末5のローカルアドレス,グローバルアドレスが図4であったとする。
脅威検知システム3はプライベートネットワークに対する通信を監視しており,不正攻撃サーバ6からの脅威があった場合,それを検知し,そのパケットから送信先のIPアドレスを特定する。そしてそのIPアドレスを攻撃先のクライアント端末5のグローバルアドレスとして認識する。たとえばグローバルアドレス「AA.BB.CC.DD:0001」,「AA.BB.CC.DD:0005」を利用しているクライアント端末5に対する脅威を検知したとする(S100)。
脅威検知システム3は脅威を検知すると,攻撃対象となっているグローバルアドレス「AA.BB.CC.DD:0001」,「AA.BB.CC.DD:0005」と脅威があったことをセキュリティシステム1に通知する(S110)。セキュリティシステム1は,脅威検知システム3から脅威があった通知と,その攻撃対象となっているグローバルアドレス「AA.BB.CC.DD:0001」,「AA.BB.CC.DD:0005」を受け取ると,受け取ったグローバルアドレス「AA.BB.CC.DD:0001」,「AA.BB.CC.DD:0005」を用いて,ゲートウェイ2であるNAT/PATルータのNAT/PAT変換テーブルを参照し,対応するローカルアドレスを特定する(S120)。
すなわち,受け取ったグローバルアドレス「AA.BB.CC.DD:0001」,「AA.BB.CC.DD:0005」に対応するローカルアドレスを特定する。図4および図5では,セキュリティシステム1は,グローバルアドレス「AA.BB.CC.DD:0001」にはローカルアドレス「11.22.33.44:xxxx」が対応しており,グローバルアドレス「AA.BB.CC.DD:0005」にはローカルアドレス「55.66.77.88:xxxx」が対応していることを特定する。
そしてセキュリティシステム1は,上記で特定したローカルアドレスに基づいて,プライベートネットワーク内において,そのローカルアドレスを利用しているクライアント端末5A,クライアント端末5Bの通信を遮断する(S130)。また,セキュリティシステム1は,ログサーバ4に対して,ローカルアドレス「11.22.33.44:xxxx」のクライアント端末5A,ローカルアドレス「55.66.77.88:xxxx」のクライアント端末5Bの通信を遮断する制御処理を実行したことを,その日時情報とともに通知し,ログサーバ4で記録させる。
なお,セキュリティシステム1がクライアント端末5A,クライアント端末5Bの通信を遮断する際には,プライベートネットワーク内において,それぞれのクライアント端末5とポート接続し,通信を中継しているスイッチが行う。そのためセキュリティシステム1はそのスイッチに対して,通信を遮断する制御指示を送り,スイッチはそれを受けて,通信を遮断する。
たとえばOpenFlowを一例とした,SDN(Software Defined Network)で構築されているネットワークの場合,セキュリティシステム1としてSDNコントローラ(OpenFlowコントローラ)を用いることができる。SDNコントローラは,ネットワークの制御や管理を行うソフトウェアであり,OpenFlowスイッチのようにLANなどのプライベートネットワークにおけるデータ転送をするネットワーク機器であるスイッチに対して,クライアント端末から受け取ったパケットをどのように制御するかの制御指示を行う。またスイッチではパケットをどのように制御するかのルールを示すルールテーブル(フローエントリ−)が記憶されており,スイッチはそれにしたがってパケットを処理する。ルールテーブルに記憶されていない場合には,当該パケットの処理を一時保留し,SDNコントローラに問い合わせをし,SDNコントローラからの制御指示に基づいて一時保留したパケットを処理する。また,場合によってはSDNコントローラに当該パケットを送り,SDNコントローラで当該パケットを書き換えるなどし,書き換えられたパケットをSDNコントローラから受け取って処理をする。
そのため,SDNで構築されているネットワークの場合,SDNコントローラであるセキュリティシステム1は,ローカルアドレスを特定すると,スイッチからパケットに対する処理の問い合わせを受けた場合,当該パケットの送信元のアドレスとして,当該ローカルアドレスを含むことを特定すると,そのローカルアドレスを含むパケットを破棄する制御指示をスイッチに行う。そしてスイッチは当該制御指示に基づいて,当該パケットを破棄する。また,セキュリティシステム1は,スイッチにおけるルールテーブルに,送信元に,当該特定したローカルアドレスを有するパケットを破棄する制御をするように書き込む。これによって,以後,当該特定したローカルアドレスを有するパケットがスイッチで,セキュリティシステム1に問い合わせをすることなく破棄でき,通信を遮断できる。
以上のような処理を実行することで,セキュリティシステム1がプライベートネットワークの外部にあっても,プライベートネットワーク内部のクライアント端末5の通信を遮断するなど,防衛のための所定の制御処理を実行することができる。またログサーバ4でかかる制御処理を記録しているので,後にその制御処理があったことを確認することもできる。
上述の説明では,セキュリティシステム1は,脅威検知システム3から受け取ったグローバルアドレスに基づいて,ゲートウェイ2であるNAT/PAT変換テーブルを参照し,対応するローカルアドレスを特定していたが,ログサーバ4から特定をしても良い。すなわち,ログサーバ4ではゲートウェイ2からタイムスタンプとともにNAT/PAT変換の履歴を受け取って記録しているので,脅威を検知した日時情報および脅威検知システム3から受け取ったグローバルアドレスに基づいてログサーバ4を参照し,対応するローカルアドレスを特定することもできる。さらに,特定したローカルアドレスに基づいて,そのローカルアドレスを利用するクライアント端末5に対する制御処理を特定しても良い。
また,セキュリティシステム1は,脅威検知システム3から脅威を検知した日時情報とグローバルアドレスとを受け取った際に,その受け取った日時情報と脅威を検知した日時情報とを比較して,所定の間隔(たとえば5分,10分,1時間など)がある場合には,ゲートウェイ2のNAT/PAT変換テーブルを参照するのではなく,脅威を検知した日時情報に基づいて,ログサーバ4における,ゲートウェイ2から受け取っているNAT/PAT変換とタイムスタンプの情報とを参照して当該脅威を検知した日時情報におけるローカルアドレスを特定する構成としても良い。何らかの理由で脅威検知システム3からセキュリティシステム1への通知が遅延した場合には,NAT/PAT変換テーブルが書き換わっている場合がある。その場合,通知を受けた段階でゲートウェイ2のNAT/PAT変換テーブルを参照したとしても,異なるローカルアドレスを特定してしまう可能性がある。そのため,ログサーバ4を参照することで,脅威検知時点におけるグローバルアドレスが対応するローカルアドレスを適切に特定でき,クライアント端末5に対する制御をセキュリティシステム1が行うことができる。
本発明のセキュリティシステム1を用いることで,プライベートネットワークの外でセキュリティシステム1を稼働させたとしても,プライベートネットワーク内のクライアント端末5を特定することができる。そして被害を受けたクライアント端末5の特定によって,そのクライアント端末5の通信のみを遮断等することができる。そのため,プライベートネットワーク内の攻撃を受けていないほかのクライアント端末5に与える影響がない。
1:セキュリティシステム
2:ゲートウェイ
3:脅威検知システム
4:ログサーバ
5:クライアント端末
6:不正攻撃サーバ
70:演算装置
71:記憶装置
72:表示装置
73:入力装置
74:通信装置

Claims (5)

  1. プライベートネットワーク内のコンピュータに対して所定の制御処理を実行する,前記プライベートネットワークの外側にあるセキュリティシステムであって,
    前記セキュリティシステムは,
    不正攻撃サーバからの脅威を検知した脅威検知システムから,脅威の対象となるグローバルアドレスを受け取り,
    グローバルアドレスとローカルアドレスとの変換テーブルを備える,前記プライベートネットワークのゲートウェイに対し,前記受け取ったグローバルアドレスを用いて前記変換テーブルを参照することで,前記グローバルアドレスに対応するローカルアドレスを特定し,
    前記プライベートネットワークの外側から,前記プライベートネットワーク内にある,前記特定したローカルアドレスを利用するコンピュータの通信に対して,所定の制御処理を実行する,
    ことを特徴とするセキュリティシステム。
  2. 前記セキュリティシステムは,
    前記プライベートネットワーク内のコンピュータに対して実行した制御処理とその日時情報とを通知することで,ログサーバに制御処理実行を記録させる,
    ことを特徴とする請求項1に記載のセキュリティシステム。
  3. プライベートネットワークの外側にあるセキュリティシステムであって,
    前記セキュリティシステムは,
    不正攻撃サーバからの脅威を検知した脅威検知システムから,脅威の対象となるグローバルアドレスと前記脅威を検知した日時情報とを受け取り,
    前記受け取った日時情報とグローバルアドレスとに基づいて,前記プライベートネットワークのゲートウェイにおけるグローバルアドレスとローカルアドレスとの変換の情報とタイムスタンプとの対応関係を記録するログサーバを参照することで,前記脅威を検知した時点における前記グローバルアドレスに対応するローカルアドレスを特定する,
    ことを特徴とするセキュリティシステム。
  4. プライベートネットワークの外側にあるセキュリティシステムと,不正攻撃サーバからの脅威を検知する脅威検知システムと,グローバルアドレスとローカルアドレスとの変換テーブルを備える前記プライベートネットワークのゲートウェイと,を備えるコンピュータネットワークにおけるセキュリティ処理方法であって,
    前記セキュリティシステムが,
    前記不正攻撃サーバからの脅威を検知した脅威検知システムから,脅威の対象となるグローバルアドレスを受け取り,
    前記受け取ったグローバルアドレスを用いて前記ゲートウェイの変換テーブルを参照することで,前記グローバルアドレスに対応するローカルアドレスを特定し,
    前記プライベートネットワーク内にある,前記特定したローカルアドレスを利用するコンピュータの通信に対して,所定の制御処理を実行する,
    ことを特徴とするセキュリティ処理方法。
  5. プライベートネットワークの外側にあるセキュリティシステムと,不正攻撃サーバからの脅威を検知する脅威検知システムと,グローバルアドレスとローカルアドレスとの変換を行う前記プライベートネットワークのゲートウェイにおけるグローバルアドレスとローカルアドレスとの変換の情報とタイムスタンプとの対応関係を記録するログサーバと,を備えるコンピュータネットワークにおけるセキュリティ処理方法であって,
    前記セキュリティシステムが,
    前記不正攻撃サーバからの脅威を検知した前記脅威検知システムから,脅威の対象となるグローバルアドレスと前記脅威を検知した日時情報とを受け取り,
    前記受け取った日時情報とグローバルアドレスとに基づいて,前記ログサーバを参照することで,前記脅威を検知した時点における前記グローバルアドレスに対応するローカルアドレスを特定する,
    ことを特徴とするセキュリティ処理方法。
JP2016095060A 2016-05-11 2016-05-11 セキュリティシステム Active JP6256773B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016095060A JP6256773B2 (ja) 2016-05-11 2016-05-11 セキュリティシステム
US15/456,192 US20170331853A1 (en) 2016-05-11 2017-03-10 Security system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016095060A JP6256773B2 (ja) 2016-05-11 2016-05-11 セキュリティシステム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2017224054A Division JP2018038083A (ja) 2017-11-21 2017-11-21 セキュリティシステム

Publications (2)

Publication Number Publication Date
JP2017204721A true JP2017204721A (ja) 2017-11-16
JP6256773B2 JP6256773B2 (ja) 2018-01-10

Family

ID=60294925

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016095060A Active JP6256773B2 (ja) 2016-05-11 2016-05-11 セキュリティシステム

Country Status (2)

Country Link
US (1) US20170331853A1 (ja)
JP (1) JP6256773B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112018005675T5 (de) 2017-10-23 2020-07-30 Koito Manufacturing Co., Ltd. Fahrzeug-Beleuchtungskörper

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6083009B1 (ja) * 2016-05-11 2017-02-22 アライドテレシスホールディングス株式会社 Sdnコントローラ
US10462170B1 (en) * 2016-11-21 2019-10-29 Alert Logic, Inc. Systems and methods for log and snort synchronized threat detection
US10594829B2 (en) * 2017-05-24 2020-03-17 At&T Intellectual Property I, L.P. Cloud workload proxy as link-local service configured to access a service proxy gateway via a link-local IP address to communicate with an external target service via a private network
WO2019240020A1 (ja) * 2018-06-13 2019-12-19 パナソニックIpマネジメント株式会社 不正通信検知装置、不正通信検知方法及び製造システム
US11228603B1 (en) * 2018-09-27 2022-01-18 Juniper Networks, Inc. Learning driven dynamic threat treatment for a software defined networking environment

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006180295A (ja) * 2004-12-22 2006-07-06 Matsushita Electric Ind Co Ltd アドレス変換装置およびアドレス変換方法
JP2006222662A (ja) * 2005-02-09 2006-08-24 Oki Techno Creation:Kk 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム
JP2008054204A (ja) * 2006-08-28 2008-03-06 Mitsubishi Electric Corp 接続装置及び端末装置及びデータ確認プログラム
JP2009267522A (ja) * 2008-04-22 2009-11-12 Ntt Communications Kk アドレス変換装置、アドレス変換プログラム
WO2016035644A1 (ja) * 2014-09-01 2016-03-10 日本電信電話株式会社 制御装置、制御システム、制御方法、および、制御プログラム
JP6083009B1 (ja) * 2016-05-11 2017-02-22 アライドテレシスホールディングス株式会社 Sdnコントローラ

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006180295A (ja) * 2004-12-22 2006-07-06 Matsushita Electric Ind Co Ltd アドレス変換装置およびアドレス変換方法
JP2006222662A (ja) * 2005-02-09 2006-08-24 Oki Techno Creation:Kk 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム
JP2008054204A (ja) * 2006-08-28 2008-03-06 Mitsubishi Electric Corp 接続装置及び端末装置及びデータ確認プログラム
JP2009267522A (ja) * 2008-04-22 2009-11-12 Ntt Communications Kk アドレス変換装置、アドレス変換プログラム
WO2016035644A1 (ja) * 2014-09-01 2016-03-10 日本電信電話株式会社 制御装置、制御システム、制御方法、および、制御プログラム
JP6083009B1 (ja) * 2016-05-11 2017-02-22 アライドテレシスホールディングス株式会社 Sdnコントローラ

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ももい やすなり YASUNARI MOMOI: "BSDで守るネットワークセキュリティ", BSD MAGAZINE 2004 NO.20, JPN6017035135, 2004, JP, ISSN: 0003641466 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112018005675T5 (de) 2017-10-23 2020-07-30 Koito Manufacturing Co., Ltd. Fahrzeug-Beleuchtungskörper

Also Published As

Publication number Publication date
US20170331853A1 (en) 2017-11-16
JP6256773B2 (ja) 2018-01-10

Similar Documents

Publication Publication Date Title
JP6083009B1 (ja) Sdnコントローラ
JP6256773B2 (ja) セキュリティシステム
JP6894003B2 (ja) Apt攻撃に対する防御
EP3171572B1 (en) Network security protection method and device
US7617533B1 (en) Self-quarantining network
US9407602B2 (en) Methods and apparatus for redirecting attacks on a network
CN105743878B (zh) 使用蜜罐的动态服务处理
US20140096229A1 (en) Virtual honeypot
US20100071065A1 (en) Infiltration of malware communications
JP2015528263A (ja) ネットワークトラフィック処理システム
KR101156005B1 (ko) 네트워크 공격 탐지 및 분석 시스템 및 그 방법
GB2427108A (en) Combating network virus attacks, such as DDoS, by automatically instructing a switch to interrupt an attacking computer's access to the network
JP2013191199A (ja) ネットワーク接続装置を侵入から保護するための方法およびシステム
US10142360B2 (en) System and method for iteratively updating network attack mitigation countermeasures
US10205738B2 (en) Advanced persistent threat mitigation
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
US9332023B1 (en) Uploading signatures to gateway level unified threat management devices after endpoint level behavior based detection of zero day threats
JP7150552B2 (ja) ネットワーク防御装置およびネットワーク防御システム
KR101006372B1 (ko) 유해 트래픽 격리 시스템 및 방법
JP2017117224A (ja) ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム
US11159533B2 (en) Relay apparatus
US20040093514A1 (en) Method for automatically isolating worm and hacker attacks within a local area network
KR100468374B1 (ko) 네트워크 유해 트래픽 제어 장치 및 방법
WO2016014178A1 (en) Identifying malware-infected network devices through traffic monitoring
JP2008011008A (ja) 不正アクセス防止システム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170919

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171013

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171031

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20171122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20171122

R150 Certificate of patent or registration of utility model

Ref document number: 6256773

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250