JP2017208599A - Access restriction management device, access restriction management method, access restriction management program and information processing system - Google Patents

Access restriction management device, access restriction management method, access restriction management program and information processing system Download PDF

Info

Publication number
JP2017208599A
JP2017208599A JP2016097806A JP2016097806A JP2017208599A JP 2017208599 A JP2017208599 A JP 2017208599A JP 2016097806 A JP2016097806 A JP 2016097806A JP 2016097806 A JP2016097806 A JP 2016097806A JP 2017208599 A JP2017208599 A JP 2017208599A
Authority
JP
Japan
Prior art keywords
address
source address
management device
change
change management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016097806A
Other languages
Japanese (ja)
Inventor
悠 榊原
Hisashi Sakakibara
悠 榊原
秀治 八尋
Shuji Yahiro
秀治 八尋
健治 三橋
Kenji Mihashi
健治 三橋
博靖 山本
Hiroyasu Yamamoto
博靖 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2016097806A priority Critical patent/JP2017208599A/en
Publication of JP2017208599A publication Critical patent/JP2017208599A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

PROBLEM TO BE SOLVED: To restrict access from an attacker terminal, even when the IP address of the attacker terminal was changed.SOLUTION: An access restriction management device has a first communication unit for transmitting a first source address included in a received packet to an access controller performing access restriction based on the source address, an identification unit for identifying a first change management device from multiple change management devices each managing change of address assignment, based on the first source address, a second communication unit for transmitting the first source address to the first change management device identified by the identification unit, and a third communication unit for receiving a second source address from the first change management device which detected the fact that the address to be assigned for the source of the packet was changed from the first source address to a second source address, and transmitting the received second address to the access controller.SELECTED DRAWING: Figure 19

Description

本発明は、アクセス制限の管理技術に関する。   The present invention relates to an access restriction management technique.

インターネット上で発生する不正アクセスへの対策に関して、或る文献は以下のような技術を開示する。具体的には、ログデータの解析を行う管理サーバが、ログデータに含まれる送信元IP(Internet Protocol)アドレスを管理するプロバイダを特定し、特定したプロバイダが管理するIPアドレス貸出し情報から、送信元IPアドレスに係るクライアントを特定する。   As a countermeasure against unauthorized access that occurs on the Internet, a document discloses the following technique. Specifically, the management server that analyzes the log data specifies a provider that manages the source IP (Internet Protocol) address included in the log data, and the source is determined from the IP address lending information managed by the specified provider. The client related to the IP address is specified.

また、通信を許可されていない端末から加入者端末に対する攻撃への対策に関して、或る文献は以下のような技術を開示する。具体的には、プロバイダネットワーク上に追加されたセキュリティ管理装置が、加入者端末が使用中のIPアドレス、ホスト名および接続先のセキュリティ通信装置の対応関係を特定する。そして、セキュリティ管理装置は、加入者端末のセキュリティポリシに応じて、加入者端末が接続中のセキュリティ通信装置に対してファイアウォール設定を行う。   Further, as a countermeasure against an attack on a subscriber terminal from a terminal that is not permitted to communicate, a document discloses the following technique. Specifically, the security management device added on the provider network specifies the correspondence relationship between the IP address, the host name, and the connected security communication device being used by the subscriber terminal. Then, the security management device performs firewall setting for the security communication device to which the subscriber terminal is connected in accordance with the security policy of the subscriber terminal.

特開2007−156681号公報JP 2007-156681 A 特開2004−357234号公報JP 2004-357234 A

但し、これらの文献には、実際に攻撃に携わっていた攻撃者の端末(以下、攻撃者端末と呼ぶ)のアドレスが変更された場合への対処について開示は無い。   However, these documents do not disclose how to deal with a case where the address of an attacker's terminal (hereinafter referred to as an attacker terminal) actually engaged in an attack is changed.

本発明の目的は、1つの側面では、攻撃者端末のIPアドレスが変更された場合であっても攻撃者端末からのアクセスを制限するための技術を提供することである。   In one aspect, an object of the present invention is to provide a technique for restricting access from an attacker terminal even when the IP address of the attacker terminal is changed.

本発明に係るアクセス制限管理装置は、受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信する第1通信部と、各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、第1の送信元アドレスに基づいて第1の変更管理装置を特定する特定部と、特定部により特定された第1の変更管理装置に、第1の送信元アドレスを送信する第2通信部と、パケットの送信元に対して割り当てられるアドレスが第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した第1の変更管理装置から、第2の送信元アドレスを受信し、受信した第2のアドレスをアクセス制御装置に送信する第3通信部とを有する。   An access restriction management device according to the present invention includes: a first communication unit that transmits a first transmission source address included in a received packet to an access control device that performs access restriction based on the transmission source address; From a plurality of change management devices that manage the change of the first change management device to the specifying unit that specifies the first change management device based on the first transmission source address, and the first change management device specified by the specifying unit, Second communication unit that transmits the source address of the first packet, and first change management that detects that the address assigned to the source of the packet has been changed from the first source address to the second source address A third communication unit that receives the second source address from the device and transmits the received second address to the access control device;

1つの側面では、攻撃者端末のIPアドレスが変更された場合であっても攻撃者端末からのアクセスを制限できるようになる。   In one aspect, access from the attacker terminal can be restricted even when the IP address of the attacker terminal is changed.

図1は、攻撃者端末のIPアドレスが変更されたケースについて説明するための図である。FIG. 1 is a diagram for explaining a case where the IP address of the attacker terminal is changed. 図2は、本実施の形態のネットワーク構成を示す図である。FIG. 2 is a diagram illustrating a network configuration according to the present embodiment. 図3は、企業システムのシステム概要を示す図である。FIG. 3 is a diagram showing a system overview of the enterprise system. 図4は、ISPシステムのシステム概要を示す図である。FIG. 4 is a diagram showing a system overview of the ISP system. 図5は、変更制御装置の機能ブロック図である。FIG. 5 is a functional block diagram of the change control device. 図6は、変更管理装置の機能ブロック図である。FIG. 6 is a functional block diagram of the change management apparatus. 図7は、攻撃テーブル格納部に格納される攻撃テーブルの一例を示す図である。FIG. 7 is a diagram illustrating an example of an attack table stored in the attack table storage unit. 図8は、ISPテーブル格納部に格納されるISPテーブルの一例を示す図である。FIG. 8 is a diagram illustrating an example of the ISP table stored in the ISP table storage unit. 図9は、アクセス制御装置が管理するデータの一例を示す図である。FIG. 9 is a diagram illustrating an example of data managed by the access control apparatus. 図10は、攻撃元IPテーブル格納部に格納される攻撃元IPテーブルの一例を示す図である。FIG. 10 is a diagram illustrating an example of the attack source IP table stored in the attack source IP table storage unit. 図11は、加入者管理装置が管理するデータの一例を示す図である。FIG. 11 is a diagram illustrating an example of data managed by the subscriber management apparatus. 図12は、ISP特定システムが管理するデータの一例を示す図である。FIG. 12 is a diagram illustrating an example of data managed by the ISP identification system. 図13は、本実施の形態の概要を説明するための図である。FIG. 13 is a diagram for explaining the outline of the present embodiment. 図14は、攻撃パケットが検知された場合に変更制御装置によって実行される処理の処理フローを示す図である。FIG. 14 is a diagram illustrating a processing flow of processing executed by the change control device when an attack packet is detected. 図15は、ISPシステムの特定について説明するための図である。FIG. 15 is a diagram for explaining identification of an ISP system. 図16は、攻撃テーブル格納部に格納される攻撃テーブルの一例を示す図である。FIG. 16 is a diagram illustrating an example of an attack table stored in the attack table storage unit. 図17は、攻撃元IPアドレスを割り当てたISPシステムの変更管理装置が攻撃元IPアドレス等を受信した場合に実行する処理の処理フローを示す図である。FIG. 17 is a diagram illustrating a processing flow of processing executed when the change management apparatus of the ISP system to which the attack source IP address is assigned receives the attack source IP address and the like. 図18は、攻撃元IPテーブル格納部に格納される攻撃元IPテーブルの一例を示す図である。FIG. 18 is a diagram illustrating an example of an attack source IP table stored in the attack source IP table storage unit. 図19は、攻撃者端末に割り当てられたIPアドレスが変更された場合に変更制御装置によって実行される処理の処理フローを示す図である。FIG. 19 is a diagram illustrating a processing flow of processing executed by the change control device when the IP address assigned to the attacker terminal is changed. 図20は、攻撃元IPテーブル格納部に格納される攻撃元IPテーブルの一例を示す図である。FIG. 20 is a diagram illustrating an example of an attack source IP table stored in the attack source IP table storage unit. 図21は、攻撃テーブル格納部に格納される攻撃テーブルの一例を示す図である。FIG. 21 is a diagram illustrating an example of an attack table stored in the attack table storage unit. 図22は、攻撃者端末の情報を削除する場合に変更制御装置が実行する処理の処理フローを示す図である。FIG. 22 is a diagram illustrating a processing flow of processing executed by the change control device when information on the attacker terminal is deleted. 図23は、攻撃テーブル格納部に格納される攻撃テーブルの一例を示す図である。FIG. 23 is a diagram illustrating an example of an attack table stored in the attack table storage unit. 図24は、攻撃者端末の情報を削除する場合に変更管理装置が実行する処理の処理フローを示す図である。FIG. 24 is a diagram illustrating a processing flow of processing executed by the change management apparatus when deleting information on an attacker terminal. 図25は、攻撃元IPテーブル格納部に格納される攻撃元IPテーブルの一例を示す図である。FIG. 25 is a diagram illustrating an example of an attack source IP table stored in the attack source IP table storage unit. 図26は、変更制御装置からデータを受信した場合にアクセス制御装置が実行する処理の処理フローを示す図である。FIG. 26 is a diagram illustrating a processing flow of processing executed by the access control device when data is received from the change control device. 図27は、コンピュータの機能ブロック図である。FIG. 27 is a functional block diagram of a computer.

図1を用いて、攻撃者端末のIPアドレスが変更されるケースについて説明する。図1においては、元々のIPアドレスは「ad1」であったが、例えば攻撃者端末の接続が一旦切断された後に、ISP(Internet Service Provider)から割り当てられたIPアドレスは「ad2」に変更されている。変更前のアドレスを含む攻撃パケットが企業システムの公開サーバに対して送信された場合、最初はアクセス制御装置によるアクセス制限(例えば遮断)は行われない。但し、セキュリティ装置によって攻撃パケットが検知され、アクセス制御装置に対してアクセス制限の設定が行われた後は、攻撃パケットは公開サーバには到達しない。   A case where the IP address of the attacker terminal is changed will be described with reference to FIG. In FIG. 1, the original IP address was “ad1”. However, for example, after the attacker terminal is disconnected, the IP address assigned by ISP (Internet Service Provider) is changed to “ad2”. ing. When an attack packet including an address before change is transmitted to the public server of the enterprise system, access restriction (for example, blocking) by the access control device is not performed at first. However, after the attack packet is detected by the security device and the access restriction is set for the access control device, the attack packet does not reach the public server.

しかし、攻撃者端末のIPアドレスが変更されると、攻撃パケットに対してアクセス制御装置によるアクセス制限は行われないため、攻撃パケットは公開サーバまで到達する。そのため、攻撃者端末の操作者は意図的にIPアドレスを変更することで、アクセス制限を回避することができる。また、変更前のIPアドレス「ad1」はアクセス制御装置に登録されたままであるので、IPアドレス「ad1」を新たに割り当てられた、悪意を有さない第三者の端末が公開サーバにアクセスしようとすると、アクセスは制限される。   However, when the IP address of the attacker terminal is changed, the access control device does not restrict access to the attack packet, so the attack packet reaches the public server. Therefore, the operator of the attacker terminal can avoid the access restriction by intentionally changing the IP address. In addition, since the IP address “ad1” before the change remains registered in the access control apparatus, a non-malicious third-party terminal newly assigned with the IP address “ad1” tries to access the public server. Then, access is restricted.

そこで以下では、攻撃者端末のIPアドレスが変更された場合であっても攻撃者端末からのアクセスを適切に制限する方法について説明する。   Therefore, hereinafter, a method for appropriately restricting access from the attacker terminal even when the IP address of the attacker terminal is changed will be described.

図2に、本実施の形態のネットワーク構成を示す。ISPの情報処理システムであるISPシステム31乃至33は、インターネット9に接続される。加入者の端末は、ISPシステム31乃至33のいずれかから割り当てられたIPアドレスによってインターネット9に接続することができる。本実施の形態においては、サービス妨害攻撃(DoS(Denial of Service)攻撃とも呼ばれる)を行う攻撃者端末7のIPアドレスがISPシステム31から割り当てられ、攻撃者端末7は割り当てられたIPアドレスによってインターネット9に接続し、企業システム1に対する攻撃を行う。   FIG. 2 shows a network configuration of the present embodiment. ISP systems 31 to 33, which are ISP information processing systems, are connected to the Internet 9. The subscriber's terminal can be connected to the Internet 9 by an IP address assigned from any of the ISP systems 31 to 33. In the present embodiment, the IP address of the attacker terminal 7 that performs a denial of service attack (also called a DoS (Denial of Service) attack) is assigned from the ISP system 31, and the attacker terminal 7 is connected to the Internet by the assigned IP address. 9 to connect to the corporate system 1.

ISP特定システム5は、インターネット9に接続される。ISP特定システム5は、企業システム1から通知されたIPアドレスの割り当てを管理するISPシステムを特定する処理を行う。   The ISP specifying system 5 is connected to the Internet 9. The ISP specifying system 5 performs processing for specifying the ISP system that manages the IP address assignment notified from the enterprise system 1.

なお、図2においてはISPシステムの数が3であり、企業システムの数が1であるが、数に限定は無い。また、ISPシステム31乃至33に接続される加入者端末は攻撃者端末7以外にも存在するが、本実施の形態の主要な部分とは関係しないため省略する。   In FIG. 2, the number of ISP systems is 3, and the number of enterprise systems is 1, but the number is not limited. Further, subscriber terminals connected to the ISP systems 31 to 33 exist in addition to the attacker terminal 7, but are omitted because they are not related to the main part of the present embodiment.

図3に、企業システム1のシステム概要を示す。企業システム1は、変更制御装置10と、アクセス制御装置11と、セキュリティ装置12と、公開サーバ13とを含む。変更制御装置10、アクセス制御装置11、セキュリティ装置12および公開サーバ13は、LAN(Local Area Network)等によって接続される。   FIG. 3 shows a system overview of the enterprise system 1. The enterprise system 1 includes a change control device 10, an access control device 11, a security device 12, and a public server 13. The change control device 10, the access control device 11, the security device 12, and the public server 13 are connected by a LAN (Local Area Network) or the like.

アクセス制御装置11は、セキュリティポリシに従って企業システム1の外部からのアクセスを制御する処理を実行する。セキュリティ装置12は、攻撃者端末7が送信した攻撃パケットを検出する。セキュリティ装置12によって検出された攻撃パケットは、企業システム1の管理者によって監視されており、変更制御装置10は企業システム1の管理者から攻撃者端末7の情報の入力を受け付ける。変更制御装置10は、攻撃者端末7の送信元IPアドレスをアクセス制御装置11に送信し、攻撃者端末7が送信したパケットをアクセス制御装置11に遮断させる。公開サーバ13は例えばウェブサーバであり、企業システム1の外部の端末等に対して公開されるデータ等を有する。   The access control device 11 executes processing for controlling access from the outside of the enterprise system 1 in accordance with the security policy. The security device 12 detects an attack packet transmitted by the attacker terminal 7. The attack packet detected by the security device 12 is monitored by the administrator of the enterprise system 1, and the change control device 10 receives input of information on the attacker terminal 7 from the administrator of the enterprise system 1. The change control device 10 transmits the transmission source IP address of the attacker terminal 7 to the access control device 11 and causes the access control device 11 to block the packet transmitted by the attacker terminal 7. The public server 13 is, for example, a web server, and has data and the like that are disclosed to terminals external to the corporate system 1.

図4に、ISPシステム31のシステム概要を示す。ISPシステム31は、変更管理装置300と、DHCP(Dynamic Host Configuration Protocol)サーバ310と、加入者管理装置320とを含む。変更管理装置300、DHCPサーバ310および加入者管理装置320は、LAN等によって接続される。なお、ISPシステム31以外のISPシステムのシステム概要も、ISPシステム31のシステム概要と同じである。   FIG. 4 shows a system outline of the ISP system 31. The ISP system 31 includes a change management device 300, a DHCP (Dynamic Host Configuration Protocol) server 310, and a subscriber management device 320. The change management device 300, the DHCP server 310, and the subscriber management device 320 are connected by a LAN or the like. The system outline of ISP systems other than the ISP system 31 is the same as the system outline of the ISP system 31.

DHCPサーバ310は、加入者の端末からの要求に応じてその加入者の端末(例えば、パーソナルコンピュータ或いはスマートフォンなど)にIPアドレスを割り当てる処理を実行する。加入者管理装置320は、加入者の端末に割り当てられたIPアドレスおよび加入者のID(Identifier)等、加入者に関する情報を管理する。変更管理装置300は、攻撃者端末7のIPアドレスを管理する処理を行う。   The DHCP server 310 executes processing for assigning an IP address to a subscriber terminal (for example, a personal computer or a smartphone) in response to a request from the subscriber terminal. The subscriber management device 320 manages information related to the subscriber such as an IP address assigned to the subscriber's terminal and a subscriber ID (Identifier). The change management device 300 performs processing for managing the IP address of the attacker terminal 7.

図5に、変更制御装置10の機能ブロック図を示す。変更制御装置10は、処理部100と、ISP特定部101と、変更処理部102と、攻撃テーブル格納部103と、ISPテーブル格納部104とを含む。処理部100は、登録処理部1001と、通知部1002と、削除処理部1003とを含む。   FIG. 5 shows a functional block diagram of the change control device 10. The change control device 10 includes a processing unit 100, an ISP specifying unit 101, a change processing unit 102, an attack table storage unit 103, and an ISP table storage unit 104. The processing unit 100 includes a registration processing unit 1001, a notification unit 1002, and a deletion processing unit 1003.

登録処理部1001は、攻撃者端末7の情報を攻撃テーブル格納部103に登録する処理、攻撃者端末7にIPアドレスを割り当てたISPシステムの情報をISPテーブル格納部104に登録する処理、およびアクセス制御装置11に攻撃者端末7からのアクセスを制限させるための処理を行う。通知部1002は、攻撃者端末7の情報の登録が行われた場合に、変更管理装置300に対して通知を行う。削除処理部1003は、攻撃者端末7の情報を攻撃テーブル格納部103から削除する処理およびアクセス制御装置11に攻撃者端末7からのアクセスの制限を解除させるための処理を行う。ISP特定部101は、攻撃者端末7にIPアドレスを割り当てたISPシステムのIDおよびそのISPシステムのIPアドレス(本実施の形態においては、変更管理装置300のIPアドレスであるとする)を、ISP特定システム5から取得する。変更処理部102は、攻撃者端末7について登録された情報を変更する処理およびアクセス制御装置11に攻撃者端末7の情報を変更させるための処理を行う。   The registration processing unit 1001 performs processing for registering information on the attacker terminal 7 in the attack table storage unit 103, processing for registering information on the ISP system assigned an IP address to the attacker terminal 7 in the ISP table storage unit 104, and access. Processing for restricting access from the attacker terminal 7 to the control device 11 is performed. The notification unit 1002 notifies the change management device 300 when the information on the attacker terminal 7 is registered. The deletion processing unit 1003 performs processing for deleting information on the attacker terminal 7 from the attack table storage unit 103 and processing for causing the access control device 11 to release the restriction on access from the attacker terminal 7. The ISP identifying unit 101 uses the ISP system ID assigned to the attacker terminal 7 and the IP address of the ISP system (in this embodiment, the IP address of the change management device 300) as the ISP. Obtained from the specific system 5. The change processing unit 102 performs processing for changing information registered for the attacker terminal 7 and processing for causing the access control device 11 to change information of the attacker terminal 7.

図6に、変更管理装置300の機能ブロック図を示す。変更管理装置300は、登録処理部3001と、削除処理部3002と、変更処理部3003と、攻撃元IPテーブル格納部3004とを含む。   FIG. 6 shows a functional block diagram of the change management apparatus 300. The change management device 300 includes a registration processing unit 3001, a deletion processing unit 3002, a change processing unit 3003, and an attack source IP table storage unit 3004.

登録処理部3001は、攻撃者端末7の情報を攻撃元IPテーブル格納部3004に登録する処理を行う。削除処理部3002は、攻撃者端末7の情報を攻撃元IPテーブル格納部3004から削除する処理を行う。変更処理部3003は、攻撃元IPテーブル格納部3004に格納されている、攻撃者端末7の情報を変更する処理を行う。   The registration processing unit 3001 performs processing for registering information on the attacker terminal 7 in the attack source IP table storage unit 3004. The deletion processing unit 3002 performs processing for deleting information on the attacker terminal 7 from the attack source IP table storage unit 3004. The change processing unit 3003 performs processing for changing the information of the attacker terminal 7 stored in the attack source IP table storage unit 3004.

図7に、攻撃テーブル格納部103に格納される攻撃テーブルの一例を示す。図7の例では、攻撃元IPアドレス(すなわち、攻撃者端末7から送信されたパケットの送信元IPアドレス)と、攻撃先IPアドレス(例えば公開サーバ13のIPアドレス)と、エントリが更新された時刻である更新時刻と、ISPシステムのIDとが格納される。   FIG. 7 shows an example of an attack table stored in the attack table storage unit 103. In the example of FIG. 7, the attack source IP address (that is, the source IP address of the packet transmitted from the attacker terminal 7), the attack destination IP address (for example, the IP address of the public server 13), and the entry are updated. The update time, which is the time, and the ISP system ID are stored.

図8に、ISPテーブル格納部104に格納されるISPテーブルの一例を示す。図8の例では、ISPシステムのIDと、そのISPシステムのIPアドレスとが格納される。   FIG. 8 shows an example of the ISP table stored in the ISP table storage unit 104. In the example of FIG. 8, the ISP system ID and the IP address of the ISP system are stored.

図9に、アクセス制御装置11が管理するデータの一例を示す。図9の例では、アクセスが制限されるパケットの送信元IPアドレスのリストが管理される。なお、アクセス制御装置11は、アクセスを許可するパケットの送信元IPアドレスのリスト等をさらに管理している場合もある。   FIG. 9 shows an example of data managed by the access control device 11. In the example of FIG. 9, a list of source IP addresses of packets whose access is restricted is managed. Note that the access control apparatus 11 may further manage a list of transmission source IP addresses of packets that are permitted to be accessed.

図10に、攻撃元IPテーブル格納部3004に格納される攻撃元IPテーブルの一例を示す。図10の例では、攻撃元IPアドレスと、加入者IDと、企業IPアドレス(本実施の形態においては、企業システム1における変更制御装置10のIPアドレス)とが格納される。   FIG. 10 shows an example of the attack source IP table stored in the attack source IP table storage unit 3004. In the example of FIG. 10, the attack source IP address, the subscriber ID, and the company IP address (in this embodiment, the IP address of the change control device 10 in the company system 1) are stored.

図11に、加入者管理装置320が管理するデータの一例を示す。図11の例では、加入者IDと、加入者の端末に割り当てたIPアドレスとが格納される。   FIG. 11 shows an example of data managed by the subscriber management device 320. In the example of FIG. 11, the subscriber ID and the IP address assigned to the subscriber's terminal are stored.

図12に、ISP特定システム5が管理するデータの一例を示す。図12の例では、ISPシステムが管理するアドレス範囲を示す情報と、そのISPシステムのIDと、そのISPシステムのIPアドレスとが格納される。本実施の形態の機構を導入していないISPシステムについては、エントリは登録されない。   FIG. 12 shows an example of data managed by the ISP identification system 5. In the example of FIG. 12, information indicating the address range managed by the ISP system, the ID of the ISP system, and the IP address of the ISP system are stored. An entry is not registered for an ISP system in which the mechanism of this embodiment is not introduced.

図13を用いて、本実施の形態の概要を説明する。本実施の形態においては、企業側には変更制御装置10が設けられ、ISP側には変更管理装置300が設けられ、これらの装置の通信によって攻撃者端末7の情報が企業側とISP側とで共有される。攻撃者端末7にIPアドレスを割り当てたISPシステム(ここでは、ISPシステム31)が企業システム1の変更制御装置10およびISP特定システム5によって特定されると、ISPシステム31に対して企業システム1から攻撃者端末7のIPアドレス等が通知される。攻撃者端末7のIPアドレスが変更された場合、ISPシステム31から企業システム1に対して変更後のIPアドレスが通知される。企業システム1における変更制御装置10は、変更後のIPアドレスを有する端末からのアクセスをアクセス制御装置11に制限させることで、IPアドレスの変更に追従して攻撃を遮断することが可能になる。   The outline of the present embodiment will be described with reference to FIG. In the present embodiment, the change control device 10 is provided on the company side, and the change management device 300 is provided on the ISP side. Information on the attacker terminal 7 is transmitted between the company side and the ISP side by communication of these devices. Shared on. When the ISP system (in this case, the ISP system 31) that assigns an IP address to the attacker terminal 7 is specified by the change control device 10 and the ISP specifying system 5 of the enterprise system 1, the enterprise system 1 The IP address of the attacker terminal 7 is notified. When the IP address of the attacker terminal 7 is changed, the changed IP address is notified from the ISP system 31 to the enterprise system 1. The change control device 10 in the enterprise system 1 can block attacks by following the change of the IP address by restricting access from the terminal having the changed IP address to the access control device 11.

次に、図14乃至図26を用いて、本実施の形態における装置の動作を説明する。   Next, the operation of the apparatus in this embodiment will be described with reference to FIGS.

まず、図14乃至図16を用いて、攻撃パケットが検知された場合に変更制御装置10によって実行される処理について説明する。セキュリティ装置12によって攻撃パケットが検出されると、変更制御装置10における登録処理部1001は、攻撃元IPアドレス、更新時刻および攻撃先IPアドレスの入力を企業システム1の管理者から受け付ける(図14:ステップS1)。   First, a process executed by the change control device 10 when an attack packet is detected will be described with reference to FIGS. 14 to 16. When an attack packet is detected by the security device 12, the registration processing unit 1001 in the change control device 10 receives input of the attack source IP address, update time, and attack destination IP address from the administrator of the enterprise system 1 (FIG. 14: Step S1).

登録処理部1001は、ステップS1において入力を受け付けた攻撃元IPアドレスを含む登録要求をアクセス制御装置11に送信する(ステップS3)。登録要求を受信したアクセス制御装置11が実行する処理については、後で説明する。   The registration processing unit 1001 transmits a registration request including the attack source IP address received in step S1 to the access control apparatus 11 (step S3). Processing executed by the access control apparatus 11 that has received the registration request will be described later.

登録処理部1001は、攻撃元IPアドレスを攻撃者端末7に割り当てたISPシステムのIDおよびIPアドレスの取得要求を、ISP特定システム5に送信する(ステップS5)。例えば図15に示すように、ISPシステム31およびISPシステム33はISP特定システム5が管理するデータに登録されているが、ISPシステム32は登録されていないとする。このような場合、攻撃者端末7がISPシステム31又はISPシステム33に接続されていれば、ISP特定システム5は攻撃者端末7に攻撃元IPアドレスを割り当てたISPシステムを特定することができる。仮に攻撃者端末7がISPシステム32に接続されていた場合、ISP特定システム5は攻撃者端末7に攻撃元IPアドレスを割り当てたISPシステムを特定することができない。   The registration processing unit 1001 transmits an ISP system ID and IP address acquisition request for assigning the attack source IP address to the attacker terminal 7 to the ISP specifying system 5 (step S5). For example, as shown in FIG. 15, it is assumed that the ISP system 31 and the ISP system 33 are registered in the data managed by the ISP specifying system 5, but the ISP system 32 is not registered. In such a case, if the attacker terminal 7 is connected to the ISP system 31 or the ISP system 33, the ISP identification system 5 can identify the ISP system to which the attacker terminal 7 is assigned the attack source IP address. If the attacker terminal 7 is connected to the ISP system 32, the ISP identification system 5 cannot identify the ISP system to which the attacker terminal 7 has been assigned an attack source IP address.

登録処理部1001は、攻撃元IPアドレスを割り当てたISPシステムを特定することができたか判定する(ステップS7)。ISPシステムを特定することができた場合、取得要求に対する応答は、攻撃元IPアドレスを割り当てたISPシステムのIDおよびそのISPシステムのIPアドレスを含む。ISPシステムを特定することができない場合、取得要求に対する応答としてISPシステムを特定することができないことを示す応答が返信されるか、又は、応答が返信されない。   The registration processing unit 1001 determines whether the ISP system to which the attack source IP address has been assigned has been identified (step S7). When the ISP system can be specified, the response to the acquisition request includes the ID of the ISP system to which the attack source IP address is assigned and the IP address of the ISP system. If the ISP system cannot be specified, a response indicating that the ISP system cannot be specified is returned as a response to the acquisition request, or no response is returned.

攻撃元IPアドレスを割り当てたISPシステムを特定することができない場合(ステップS7:Noルート)、登録処理部1001は、攻撃元IPアドレス、更新時刻および攻撃先IPアドレスを攻撃テーブル格納部103における攻撃テーブルに登録する(ステップS9)。そして処理は終了する。   When the ISP system to which the attack source IP address is assigned cannot be identified (step S7: No route), the registration processing unit 1001 displays the attack source IP address, the update time, and the attack destination IP address in the attack table storage unit 103. Register in the table (step S9). Then, the process ends.

一方、攻撃元IPアドレスを割り当てたISPシステム(本実施の形態においては、ISPシステム31)を特定することができた場合(ステップS7:Yesルート)、登録処理部1001は、攻撃元IPアドレス、更新時刻、攻撃先IPアドレスおよび取得要求の応答に含まれるIDを攻撃テーブル格納部103における攻撃テーブルに登録する(ステップS11)。   On the other hand, when the ISP system (ISP system 31 in the present embodiment) to which the attack source IP address is assigned can be identified (step S7: Yes route), the registration processing unit 1001 displays the attack source IP address, The update time, the attack destination IP address, and the ID included in the response to the acquisition request are registered in the attack table in the attack table storage unit 103 (step S11).

図16に、ステップS11の処理後における攻撃テーブルの一例を示す。図7の攻撃テーブルと図16の攻撃テーブルとを比較すると、太い実線で囲まれたエントリが新たに追加されている。   FIG. 16 shows an example of the attack table after the process of step S11. When the attack table of FIG. 7 is compared with the attack table of FIG. 16, an entry surrounded by a thick solid line is newly added.

登録処理部1001は、攻撃元IPアドレスを割り当てたISPシステム31についてのエントリがISPテーブル格納部104におけるISPテーブルに登録されているか判定する(ステップS13)。攻撃元IPアドレスを割り当てたISPシステム31についてのエントリがISPテーブル格納部104におけるISPテーブルに登録されている場合(ステップS13:Yesルート)、追加で登録を行わなくてもよいので、ステップS17の処理に移行する。   The registration processing unit 1001 determines whether an entry for the ISP system 31 to which the attack source IP address is assigned is registered in the ISP table in the ISP table storage unit 104 (step S13). If an entry for the ISP system 31 to which the attack source IP address has been assigned is registered in the ISP table in the ISP table storage unit 104 (step S13: Yes route), it is not necessary to perform additional registration. Transition to processing.

一方、攻撃元IPアドレスを割り当てたISPシステム31についてのエントリがISPテーブル格納部104におけるISPテーブルに登録されていない場合(ステップS13:Noルート)、攻撃元IPアドレスを割り当てたISPシステム31のIDおよびIPアドレスをISPテーブル格納部104におけるISPテーブルに登録する(ステップS15)。   On the other hand, if the entry for the ISP system 31 to which the attack source IP address is assigned is not registered in the ISP table in the ISP table storage unit 104 (step S13: No route), the ID of the ISP system 31 to which the attack source IP address is assigned. And the IP address are registered in the ISP table in the ISP table storage unit 104 (step S15).

通知部1002は、攻撃元IPアドレス、更新時刻および企業IPアドレス(ここでは、本変更制御装置10のIPアドレス)を、攻撃元IPアドレスを割り当てたISPシステム31の変更管理装置300に送信する(ステップS17)。ステップS17における送信の送信先IPアドレスは、取得要求の応答に含まれるIPアドレスである。そして処理は終了する。攻撃元IPアドレス、更新時刻および企業IPアドレスを受信したISPシステム31の変更管理装置300が実行する処理については、後で説明する。   The notification unit 1002 transmits the attack source IP address, the update time, and the company IP address (here, the IP address of the change control device 10) to the change management device 300 of the ISP system 31 to which the attack source IP address is assigned ( Step S17). The transmission destination IP address in step S17 is an IP address included in the response to the acquisition request. Then, the process ends. Processing executed by the change management device 300 of the ISP system 31 that has received the attack source IP address, update time, and company IP address will be described later.

以上のような処理を実行すれば、攻撃者端末7のIPアドレスを、企業側だけではなくISP側にも持たせることができるようになる。また、攻撃者端末7からの攻撃パケットをアクセス制御装置11において遮断することができるようになる。   By executing the processing as described above, the IP address of the attacker terminal 7 can be provided not only on the company side but also on the ISP side. Further, the access control device 11 can block attack packets from the attacker terminal 7.

次に、図17および図18を用いて、攻撃元IPアドレスを割り当てたISPシステム31の変更管理装置300が攻撃元IPアドレス、更新時刻および企業IPアドレスを受信した場合に実行する処理について説明する。   Next, a process executed when the change management apparatus 300 of the ISP system 31 to which the attack source IP address is assigned receives the attack source IP address, the update time, and the company IP address will be described with reference to FIGS. 17 and 18. .

まず、攻撃元IPアドレスを割り当てたISPシステム31における変更管理装置300の登録処理部3001は、攻撃元IPアドレス、更新時刻および企業IPアドレスを、企業システム1の変更制御装置10から受信する。そして、登録処理部3001は、攻撃元IPアドレスおよび更新時刻を、加入者管理装置320に通知する(図17:ステップS21)。   First, the registration processing unit 3001 of the change management apparatus 300 in the ISP system 31 to which the attack source IP address is assigned receives the attack source IP address, the update time, and the company IP address from the change control apparatus 10 of the company system 1. Then, the registration processing unit 3001 notifies the attack source IP address and the update time to the subscriber management apparatus 320 (FIG. 17: step S21).

攻撃元IPアドレスおよび更新時刻を受信した加入者管理装置320は、図11に示したデータを用いて、受信した攻撃元IPアドレスに対応する加入者IDを特定し、特定した加入者IDを変更管理装置300に送信する。これに応じ、変更管理装置300の登録処理部3001は、加入者IDを加入者管理装置320から受信する(ステップS23)。   The subscriber management device 320 that has received the attack source IP address and the update time specifies the subscriber ID corresponding to the received attack source IP address and changes the specified subscriber ID using the data shown in FIG. It transmits to the management apparatus 300. In response to this, the registration processing unit 3001 of the change management device 300 receives the subscriber ID from the subscriber management device 320 (step S23).

そして、登録処理部3001は、ステップS23において受信した加入者IDと受信した攻撃元IPアドレスおよび企業IPアドレスとを含むエントリを、攻撃元IPテーブル格納部3004における攻撃元IPテーブルに登録する(ステップS25)。そして処理は終了する。   Then, the registration processing unit 3001 registers an entry including the subscriber ID received in step S23 and the received attack source IP address and company IP address in the attack source IP table in the attack source IP table storage unit 3004 (step S25). Then, the process ends.

以上のような処理を実行すると、攻撃元IPテーブル格納部3004における攻撃元IPテーブルには、図18に示すようなデータが格納される。図18の攻撃元IPテーブルと、図10の攻撃元IPテーブルとを比較すると、太い実線で囲まれたエントリが新たに追加されている。   When the processing as described above is executed, data as shown in FIG. 18 is stored in the attack source IP table in the attack source IP table storage unit 3004. Comparing the attack source IP table of FIG. 18 with the attack source IP table of FIG. 10, an entry surrounded by a thick solid line is newly added.

次に、図19乃至図21を用いて、攻撃者端末7に割り当てられたIPアドレスが変更された場合に実行される処理について説明する。   Next, processing executed when the IP address assigned to the attacker terminal 7 is changed will be described with reference to FIGS.

攻撃者端末7にIPアドレスを割り当てたISPシステム31におけるDHCPサーバ310は、攻撃者端末7に変更後のIPアドレス(以下、新IPアドレスと呼ぶ)を割り当てる(図19:ステップS31)。   The DHCP server 310 in the ISP system 31 that has assigned an IP address to the attacker terminal 7 assigns the changed IP address (hereinafter referred to as a new IP address) to the attacker terminal 7 (FIG. 19: step S31).

DHCPサーバ310は、新IPアドレスおよび変更前のIPアドレス(以下、旧IPアドレスと呼ぶ)を含む割当情報を加入者管理装置320に送信する(ステップS33)。   The DHCP server 310 transmits allocation information including the new IP address and the IP address before the change (hereinafter referred to as the old IP address) to the subscriber management apparatus 320 (step S33).

加入者管理装置320は、新IPアドレスおよび旧IPアドレスを含む割当情報をDHCPサーバ310から受信する(ステップS35)。   The subscriber management device 320 receives assignment information including the new IP address and the old IP address from the DHCP server 310 (step S35).

加入者管理装置320は、割当情報に含まれる旧IPアドレスに対応する加入者IDを、図11に示したデータを用いて特定する。そして、加入者管理装置320は、特定した加入者IDおよび新IPアドレスを変更管理装置300に送信する(ステップS37)。   The subscriber management device 320 specifies the subscriber ID corresponding to the old IP address included in the allocation information using the data shown in FIG. Then, the subscriber management device 320 transmits the specified subscriber ID and new IP address to the change management device 300 (step S37).

変更管理装置300の変更処理部3003は、加入者IDおよび新IPアドレスを加入者管理装置320から受信する(ステップS39)。   The change processing unit 3003 of the change management device 300 receives the subscriber ID and the new IP address from the subscriber management device 320 (step S39).

変更処理部3003は、攻撃元IPテーブルに格納されている、ステップS39において受信した加入者IDに対応付けられている攻撃元IPアドレス(本IPアドレスは旧IPアドレスに相当する)を、ステップS39において受信した新IPアドレスで更新する(ステップS41)。   The change processing unit 3003 stores the attack source IP address (this IP address corresponds to the old IP address) associated with the subscriber ID received in step S39, stored in the attack source IP table, in step S39. Update with the new IP address received in step S41.

図20に、ステップS41の処理が実行された場合における攻撃元IPテーブルの一例を示す。図20に示した攻撃元IPテーブルと、図18に示した攻撃元IPテーブルとを比較すると、3行目のエントリにおける攻撃元IPアドレスが「156.123.56.78」から「156.123.56.102」に変更されている。   FIG. 20 shows an example of the attack source IP table when the process of step S41 is executed. When the attack source IP table shown in FIG. 20 is compared with the attack source IP table shown in FIG. 18, the attack source IP address in the entry on the third row is changed from “156.123.56.78” to “156.123”. .56.102 ".

変更処理部3003は、新IPアドレスおよび旧IPアドレスを企業システム1に送信する(ステップS43)。ステップS43における送信の送信先IPアドレスは、攻撃元IPテーブル格納部3004における攻撃元IPテーブルにおける、更新されたエントリに含まれる企業IPアドレスである。   The change processing unit 3003 transmits the new IP address and the old IP address to the corporate system 1 (step S43). The transmission destination IP address in step S43 is a company IP address included in the updated entry in the attack source IP table in the attack source IP table storage unit 3004.

企業システム1の変更制御装置10における変更処理部102は、新IPアドレスおよび旧IPアドレスを、攻撃者端末7にIPアドレスを割り当てたISPシステム31における変更管理装置300から受信する(ステップS45)。   The change processing unit 102 in the change control device 10 of the enterprise system 1 receives the new IP address and the old IP address from the change management device 300 in the ISP system 31 that has assigned an IP address to the attacker terminal 7 (step S45).

変更処理部102は、攻撃テーブル格納部103における攻撃テーブルに格納されている、受信した旧IPアドレスと同じIPアドレスを、ステップS45において受信した新IPアドレスで更新する。そして、変更処理部102は、対応する更新時刻を、例えばOS(Operating System)のシステム時計から取得した現在の時刻で更新する(ステップS47)。   The change processing unit 102 updates the same IP address stored in the attack table in the attack table storage unit 103 as the received old IP address with the new IP address received in step S45. Then, the change processing unit 102 updates the corresponding update time with, for example, the current time acquired from the OS (Operating System) system clock (step S47).

図21に、ステップS47の処理が実行された場合における攻撃テーブルの一例を示す。図16に示した攻撃テーブルと、図21に示した攻撃テーブルとを比較すると、3行目のエントリにおける攻撃元IPアドレスが「156.123.56.78」から「156.123.56.102」に変更され且つ更新時刻が更新されている。   FIG. 21 shows an example of the attack table when the process of step S47 is executed. When the attack table shown in FIG. 16 and the attack table shown in FIG. 21 are compared, the attack source IP address in the entry on the third line is from “156.123.56.78” to “156.1233.56.12. ”And the update time is updated.

変更処理部102は、旧IPアドレスおよび新IPアドレスを含む更新要求をアクセス制御装置11に送信する(ステップS49)。更新要求を受信したアクセス制御装置11が実行する処理については、後で説明する。   The change processing unit 102 transmits an update request including the old IP address and the new IP address to the access control apparatus 11 (step S49). Processing executed by the access control apparatus 11 that has received the update request will be described later.

以上のような処理を実行すれば、攻撃者端末7に割り当てられたIPアドレスの変更に合わせて、アクセス制御装置11に設定されたIPアドレスを旧IPアドレスから新IPアドレスへ変更できるようになる。   By executing the processing as described above, the IP address set in the access control device 11 can be changed from the old IP address to the new IP address in accordance with the change of the IP address assigned to the attacker terminal 7. .

次に、図22および図23を用いて、攻撃者端末7の情報を削除する場合に変更制御装置10が実行する処理について説明する。   Next, a process executed by the change control device 10 when deleting information on the attacker terminal 7 will be described with reference to FIGS. 22 and 23.

変更制御装置10における削除処理部1003は、攻撃者端末7の情報を削除するための削除指示(ここでは、攻撃元IPアドレスを含む)の入力を企業システム1の管理者から受け付けるか又は所定の条件が満たされたことを検出する(図22:ステップS51)。所定の条件とは、例えば、攻撃者端末7からの攻撃が所定の期間無かったという条件である。   The deletion processing unit 1003 in the change control device 10 receives an input of a deletion instruction (including the attack source IP address here) for deleting information on the attacker terminal 7 from the administrator of the enterprise system 1 or a predetermined It is detected that the condition is satisfied (FIG. 22: Step S51). The predetermined condition is, for example, a condition that there has been no attack from the attacker terminal 7 for a predetermined period.

削除処理部1003は、削除指示に含まれる攻撃元IPアドレス又は所定の条件が満たされた攻撃元IPアドレスを含むエントリを攻撃テーブル格納部103における攻撃テーブルから削除する(ステップS53)。ここで、削除されるエントリにISPシステム31のIDが含まれる場合には、ISPシステム31のIDだけメインメモリ等の記憶装置に退避しておく。   The deletion processing unit 1003 deletes the entry including the attack source IP address included in the delete instruction or the attack source IP address satisfying a predetermined condition from the attack table in the attack table storage unit 103 (step S53). Here, when the ID of the ISP system 31 is included in the entry to be deleted, only the ID of the ISP system 31 is saved in a storage device such as a main memory.

図23に、ステップS53の処理が行われた場合における攻撃テーブルの一例を示す。図23に示した攻撃テーブルと、図21に示した攻撃テーブルとを比較すると、5行目のエントリが削除されている。   FIG. 23 shows an example of the attack table when the process of step S53 is performed. When the attack table shown in FIG. 23 is compared with the attack table shown in FIG. 21, the entry in the fifth row is deleted.

削除処理部1003は、削除指示に含まれる攻撃元IPアドレス又は所定の条件が満たされた攻撃元IPアドレスを含む削除要求をアクセス制御装置11に送信する(ステップS55)。削除要求を受信したアクセス制御装置11が実行する処理については、後で説明する。   The deletion processing unit 1003 transmits a deletion request including the attack source IP address included in the deletion instruction or the attack source IP address satisfying a predetermined condition to the access control apparatus 11 (step S55). Processing executed by the access control apparatus 11 that has received the deletion request will be described later.

削除処理部1003は、ステップS53において削除されるエントリにISPシステム31のIDが含まれていたか判定する(ステップS57)。ステップS53において削除されるエントリにISPシステム31のIDが含まれていなかった場合(ステップS57:Noルート)、処理は終了する。   The deletion processing unit 1003 determines whether the ID of the ISP system 31 is included in the entry deleted in step S53 (step S57). If the entry to be deleted in step S53 does not include the ISP system 31 ID (step S57: No route), the process ends.

一方、ステップS53において削除されるエントリにISPシステム31のIDが含まれていた場合(ステップS57:Yesルート)、削除処理部1003は、退避されたISPシステム31のIDに対応するIPアドレスをISPテーブル格納部104におけるISPテーブルから特定する(ステップS59)。   On the other hand, if the ID of the ISP system 31 is included in the entry deleted in step S53 (step S57: Yes route), the deletion processing unit 1003 sets the IP address corresponding to the ID of the saved ISP system 31 to the ISP. It is specified from the ISP table in the table storage unit 104 (step S59).

削除処理部1003は、削除指示に含まれる攻撃元IPアドレスを含む削除要求を、ステップS59において特定されたIPアドレスに対して(すなわち、削除指示に含まれる攻撃元IPアドレスを割り当てたISPシステム31に対して)送信する(ステップS61)。そして処理は終了する。   The deletion processing unit 1003 sends a delete request including the attack source IP address included in the delete instruction to the IP address specified in step S59 (that is, the ISP system 31 to which the attack source IP address included in the delete instruction is assigned). (Step S61). Then, the process ends.

以上のような処理を実行すれば、攻撃に関係しないIPアドレスのエントリは削除されるので、次にそのIPアドレスが悪意の無い端末に割り当てられた場合にその端末からのアクセスが制限されることを防げるようになる。   If the above processing is executed, the entry of the IP address that is not related to the attack is deleted. Therefore, when the IP address is assigned to a non-malicious terminal next time, access from that terminal is restricted. Can be prevented.

次に、図24および図25を用いて、攻撃者端末7の情報を削除する場合に変更管理装置300が実行する処理について説明する。   Next, a process executed by the change management apparatus 300 when deleting information on the attacker terminal 7 will be described with reference to FIGS. 24 and 25.

まず、攻撃者端末7にIPアドレスを割り当てたISPシステム31の変更管理装置300における削除処理部3002は、攻撃元IPアドレスの削除要求を企業システム1から受信する(図24:ステップS71)。   First, the deletion processing unit 3002 in the change management device 300 of the ISP system 31 that has assigned an IP address to the attacker terminal 7 receives a request to delete the attack source IP address from the enterprise system 1 (FIG. 24: step S71).

削除処理部3002は、削除指示に含まれる攻撃元IPアドレスを含むエントリを攻撃元IPテーブル格納部3004における攻撃元IPテーブルにおいて特定し、特定したエントリを攻撃元IPテーブル格納部3004における攻撃元IPテーブルから削除する(ステップS73)。そして処理は終了する。   The deletion processing unit 3002 identifies an entry including the attack source IP address included in the deletion instruction in the attack source IP table in the attack source IP table storage unit 3004, and identifies the identified entry in the attack source IP table storage unit 3004. Delete from the table (step S73). Then, the process ends.

図25に、ステップS73の処理が行われた場合における攻撃元IPテーブルの一例を示す。図20に示した攻撃元IPテーブルと、図25に示した攻撃元IPテーブルとを比較すると、5行目のエントリが削除されている。   FIG. 25 shows an example of the attack source IP table when the process of step S73 is performed. When the attack source IP table shown in FIG. 20 is compared with the attack source IP table shown in FIG. 25, the entry in the fifth line is deleted.

以上のような処理を実行すれば、企業側だけでなくISP側においても、攻撃に関係しないIPアドレスのエントリが削除されるようになる。   If the processing as described above is executed, the entry of the IP address not related to the attack is deleted not only on the company side but also on the ISP side.

次に、図26を用いて、変更制御装置10からデータを受信した場合にアクセス制御装置11が実行する処理について説明する。   Next, processing executed by the access control apparatus 11 when data is received from the change control apparatus 10 will be described with reference to FIG.

まず、アクセス制御装置11は、受信したデータは登録要求であるか判定する(図26:ステップS81)。受信したデータは登録要求である場合(ステップS81:Yesルート)、アクセス制御装置11は、登録要求に含まれる攻撃元IPアドレスを、図9に示したリストに登録する(ステップS83)。そして処理は終了する。   First, the access control device 11 determines whether the received data is a registration request (FIG. 26: Step S81). When the received data is a registration request (step S81: Yes route), the access control apparatus 11 registers the attack source IP address included in the registration request in the list shown in FIG. 9 (step S83). Then, the process ends.

一方、受信したデータは登録要求ではない場合(ステップS81:Noルート)、アクセス制御装置11は、受信したデータは更新要求であるか判定する(ステップS85)。   On the other hand, when the received data is not a registration request (step S81: No route), the access control apparatus 11 determines whether the received data is an update request (step S85).

受信したデータは更新要求である場合(ステップS85:Yesルート)、アクセス制御装置11は、更新要求に含まれる新IPアドレスで、図9に示したリストに含まれる旧IPアドレスを更新する(ステップS87)。そして処理は終了する。一方、受信したデータは更新要求ではない場合(ステップS85:Noルート)、受信したデータは削除要求である。従って、アクセス制御装置11は、削除要求に含まれる攻撃元IPアドレスを、図9に示したリストから削除する(ステップS89)。そして処理は終了する。   When the received data is an update request (step S85: Yes route), the access control apparatus 11 updates the old IP address included in the list shown in FIG. 9 with the new IP address included in the update request (step S85). S87). Then, the process ends. On the other hand, when the received data is not an update request (step S85: No route), the received data is a deletion request. Therefore, the access control device 11 deletes the attack source IP address included in the deletion request from the list shown in FIG. 9 (step S89). Then, the process ends.

以上のような処理を実行すれば、変更制御装置10からの要求に応じて動的に設定が変更されるので、適切なアクセス制限を行うことができるようになる。   If the processing as described above is executed, the setting is dynamically changed in response to a request from the change control device 10, so that appropriate access restriction can be performed.

以上本発明の一実施の形態を説明したが、本発明はこれに限定されるものではない。例えば、上で説明した変更制御装置10および変更管理装置300の機能ブロック構成は実際のプログラムモジュール構成に一致しない場合もある。   Although one embodiment of the present invention has been described above, the present invention is not limited to this. For example, the functional block configurations of the change control device 10 and the change management device 300 described above may not match the actual program module configuration.

また、上で説明した各テーブルの構成は一例であって、上記のような構成でなければならないわけではない。さらに、処理フローにおいても、処理結果が変わらなければ処理の順番を入れ替えることも可能である。さらに、並列に実行させるようにしても良い。   Further, the configuration of each table described above is an example, and the configuration as described above is not necessarily required. Further, in the processing flow, the processing order can be changed if the processing result does not change. Further, it may be executed in parallel.

なお、上で述べた変更制御装置10、アクセス制御装置11、セキュリティ装置12、公開サーバ13、DHCPサーバ310、加入者管理装置320および変更管理装置300は、コンピュータ装置であって、図27に示すように、メモリ2501とCPU(Central Processing Unit)2503とハードディスク・ドライブ(HDD:Hard Disk Drive)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。CPU2503は、アプリケーション・プログラムの処理内容に応じて表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、所定の動作を行わせる。また、処理途中のデータについては、主としてメモリ2501に格納されるが、HDD2505に格納されるようにしてもよい。本発明の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及びアプリケーション・プログラムなどのプログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。   Note that the change control device 10, the access control device 11, the security device 12, the public server 13, the DHCP server 310, the subscriber management device 320, and the change management device 300 described above are computer devices and are shown in FIG. As described above, a memory 2501, a CPU (Central Processing Unit) 2503, a hard disk drive (HDD: Hard Disk Drive) 2505, a display control unit 2507 connected to the display device 2509, a drive device 2513 for the removable disk 2511, and an input device 2525 and a communication control unit 2517 for connecting to a network are connected by a bus 2519. An operating system (OS) and an application program for executing the processing in this embodiment are stored in the HDD 2505, and are read from the HDD 2505 to the memory 2501 when executed by the CPU 2503. The CPU 2503 controls the display control unit 2507, the communication control unit 2517, and the drive device 2513 according to the processing content of the application program, and performs a predetermined operation. Further, data in the middle of processing is mainly stored in the memory 2501, but may be stored in the HDD 2505. In the embodiment of the present invention, an application program for performing the above-described processing is stored in a computer-readable removable disk 2511 and distributed, and installed in the HDD 2505 from the drive device 2513. In some cases, the HDD 2505 may be installed via a network such as the Internet and the communication control unit 2517. Such a computer apparatus realizes various functions as described above by organically cooperating hardware such as the CPU 2503 and the memory 2501 described above and programs such as the OS and application programs. .

以上述べた本発明の実施の形態をまとめると、以下のようになる。   The embodiment of the present invention described above is summarized as follows.

本実施の形態の第1の態様に係るアクセス制限管理装置は、(A)受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信する第1通信部(例えば登録処理部1001)と、(B)各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、第1の送信元アドレスに基づいて第1の変更管理装置を特定する特定部(例えばISP特定部101)と、(C)特定部により特定された第1の変更管理装置に、第1の送信元アドレスを送信する第2通信部(例えば通知部1002)と、(D)パケットの送信元に対して割り当てられるアドレスが第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した第1の変更管理装置から、第2の送信元アドレスを受信し、受信した第2のアドレスをアクセス制御装置に送信する第3通信部(例えば変更処理部102)とを有する。   The access restriction management apparatus according to the first aspect of the present embodiment transmits (A) a first transmission source address included in a received packet to an access control apparatus that performs access restriction based on the transmission source address. The first change management device is identified based on the first source address from one communication unit (for example, the registration processing unit 1001) and (B) a plurality of change management devices each managing a change in address assignment. A specifying unit (for example, ISP specifying unit 101), (C) a second communication unit (for example, notifying unit 1002) that transmits a first transmission source address to the first change management device specified by the specifying unit, and ( D) From the first change management device that detects that the address assigned to the transmission source of the packet has been changed from the first transmission source address to the second transmission source address, Receiving a scan, and a third communication unit for transmitting the second address received in the access control device (e.g., change processing unit 102).

このような処理を実行すれば、パケットの送信元アドレスが変更された場合であっても、送信元アドレスに基づくアクセス制限を継続できるようになる。   By executing such processing, it is possible to continue the access restriction based on the source address even when the source address of the packet is changed.

また、上記アクセス制限管理装置は、(E)第1の送信元アドレスについて所定の条件が満たされた場合又は第1の送信元アドレスを削除するための指示を受け付けた場合、第1の送信元アドレスを削除させるための削除要求をアクセス制御装置に送信する第4通信部(例えば削除処理部1003)をさらに有してもよい。特定の送信元アドレスからのアクセスを制限し続けることを防げるようになる。   In addition, the access restriction management device (E) when the predetermined condition is satisfied for the first transmission source address or when an instruction for deleting the first transmission source address is received, the first transmission source You may further have the 4th communication part (for example, deletion process part 1003) which transmits the deletion request | requirement for deleting an address to an access control apparatus. It becomes possible to prevent restricting access from a specific source address.

また、上記特定部は、(b1)送信元アドレスを割り当てた変更管理装置を複数の変更管理装置から特定する処理を行う特定装置に、第1の送信元アドレスを送信し、(b2)特定装置から第1の変更管理装置のアドレスを受信してもよい。そして、上記第2通信部は、(c1)第1の変更管理装置のアドレスを用いて、第1の送信元アドレスを第1の変更管理装置に送信してもよい。変更管理装置の特定を容易に行うことができるようになる。   The identification unit transmits the first transmission source address to the identification device that performs processing of identifying the change management device to which the transmission source address is assigned from a plurality of change management devices, and (b2) the identification device. May receive the address of the first change management device. And the said 2nd communication part may transmit a 1st transmission source address to a 1st change management apparatus using the address of (c1) 1st change management apparatus. The change management device can be easily identified.

また、複数の変更管理装置の各々は、1のインターネットサービスプロバイダのシステムに含まれてもよい。   Each of the plurality of change management devices may be included in a system of one Internet service provider.

また、パケットは、サービス妨害攻撃のパケットであってもよい。   The packet may be a packet of denial of service attack.

本実施の形態の第2の態様に係るアクセス制限管理方法は、(F)受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信し、(G)各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、第1の送信元アドレスに基づいて第1の変更管理装置を特定し、(H)特定された第1の変更管理装置に、第1の送信元アドレスを送信し、(I)パケットの送信元に対して割り当てられるアドレスが第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した第1の変更管理装置から、第2の送信元アドレスを受信し、(J)受信した第2のアドレスをアクセス制御装置に送信する処理を含む。   In the access restriction management method according to the second aspect of the present embodiment, (F) the first transmission source address included in the received packet is transmitted to the access control apparatus that performs access restriction based on the transmission source address, (G) A first change management device is identified based on a first source address from a plurality of change management devices, each managing a change in address assignment, and (H) the identified first change management A first transmission source address is transmitted to the device, and (I) a first detected that the address assigned to the transmission source of the packet has been changed from the first transmission source address to the second transmission source address Receiving the second transmission source address from the change management apparatus, and (J) transmitting the received second address to the access control apparatus.

なお、上記方法による処理をコンピュータに実行させるためのプログラムを作成することができ、当該プログラムは、例えばフレキシブルディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納される。尚、中間的な処理結果はメインメモリ等の記憶装置に一時保管される。   A program for causing a computer to execute the processing according to the above method can be created. The program can be a computer-readable storage medium such as a flexible disk, CD-ROM, magneto-optical disk, semiconductor memory, or hard disk It is stored in a storage device. The intermediate processing result is temporarily stored in a storage device such as a main memory.

以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。   The following supplementary notes are further disclosed with respect to the embodiments including the above examples.

(付記1)
受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信する第1通信部と、
各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定する特定部と、
前記特定部により特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信する第2通信部と、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、受信した前記第2のアドレスを前記アクセス制御装置に送信する第3通信部と、
を有するアクセス制限管理装置。 (Appendix 1)
A first communication unit that transmits a first transmission source address included in the received packet to an access control device that performs access restriction based on the transmission source address;
A specifying unit for specifying a first change management device based on the first transmission source address from a plurality of change management devices each managing a change in address assignment;
A second communication unit that transmits the first source address to the first change management device identified by the identifying unit;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address And a third communication unit that transmits the received second address to the access control device;
An access restriction management device.

(付記2)
前記第1の送信元アドレスについて所定の条件が満たされた場合又は前記第1の送信元アドレスを削除するための指示を受け付けた場合、前記第1の送信元アドレスを削除させるための削除要求を前記アクセス制御装置に送信する第4通信部
をさらに有する付記1記載のアクセス制限管理装置。 (Appendix 2)
When a predetermined condition is satisfied for the first transmission source address or when an instruction for deleting the first transmission source address is received, a deletion request for deleting the first transmission source address is issued. The access restriction management device according to appendix 1, further comprising: a fourth communication unit that transmits to the access control device.

(付記3)
前記特定部は、
送信元アドレスを割り当てた変更管理装置を前記複数の変更管理装置から特定する処理を行う特定装置に、前記第1の送信元アドレスを送信し、
前記特定装置から前記第1の変更管理装置のアドレスを受信し、
前記第2通信部は、
前記第1の変更管理装置のアドレスを用いて、前記第1の送信元アドレスを前記第1の変更管理装置に送信する、
付記1又は2記載のアクセス制限管理装置。 (Appendix 3)
The specific part is:
Transmitting the first source address to a specific device that performs processing for specifying the change management device to which the source address is assigned from the plurality of change management devices;
Receiving the address of the first change management device from the specific device;
The second communication unit is
Transmitting the first source address to the first change management device using the address of the first change management device;
The access restriction management device according to appendix 1 or 2.

(付記4)
前記複数の変更管理装置の各々は、1のインターネットサービスプロバイダのシステムに含まれる、
付記1乃至3のいずれか1つ記載のアクセス制限管理装置。 (Appendix 4)
Each of the plurality of change management devices is included in a system of one Internet service provider.
The access restriction management device according to any one of appendices 1 to 3.

(付記5)
前記パケットは、サービス妨害攻撃のパケットである、
付記1乃至4のいずれか1つ記載のアクセス制限管理装置。 (Appendix 5)
The packet is a packet of denial of service attack;
The access restriction management device according to any one of appendices 1 to 4.

(付記6)
コンピュータが、
受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信し、
各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定し、
特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信し、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、
受信した前記第2のアドレスを前記アクセス制御装置に送信する、
処理を実行するアクセス制限管理方法。 (Appendix 6)
Computer
A first transmission source address included in the received packet is transmitted to an access control device that performs access restriction based on the transmission source address;
Identifying a first change management device based on the first source address from a plurality of change management devices each managing a change in address assignment;
Sending the first source address to the identified first change management device;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address Receive
Transmitting the received second address to the access control device;
An access restriction management method for executing processing.

(付記7)
コンピュータに、
受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信し、
各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定し、
特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信し、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、
受信した前記第2のアドレスを前記アクセス制御装置に送信する、
処理を実行させるアクセス制限管理プログラム。 (Appendix 7)
On the computer,
A first transmission source address included in the received packet is transmitted to an access control device that performs access restriction based on the transmission source address;
Identifying a first change management device based on the first source address from a plurality of change management devices each managing a change in address assignment;
Sending the first source address to the identified first change management device;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address Receive
Transmitting the received second address to the access control device;
Access restriction management program that executes processing.

(付記8)
アクセス制限の管理を行うアクセス制限管理装置と、
各々がアドレスの割り当ての変更を管理する複数の変更管理装置と、
送信元アドレスに基づくアクセス制限を行うアクセス制御装置と、
を有し、
前記アクセス制限管理装置は、
受信したパケットに含まれる第1の送信元アドレスを、前記アクセス制御装置に送信する第1通信部と、
前記複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定する特定部と、
前記特定部により特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信する第2通信部と、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、受信した前記第2のアドレスを前記アクセス制御装置に送信する第3通信部と、
を有する情報処理システム。 (Appendix 8)
An access restriction management device for managing access restrictions;
A plurality of change management devices each managing a change in address assignment;
An access control device that restricts access based on a source address;
Have
The access restriction management device includes:
A first communication unit that transmits a first source address included in the received packet to the access control device;
A specifying unit for specifying a first change management device based on the first transmission source address from the plurality of change management devices;
A second communication unit that transmits the first source address to the first change management device identified by the identifying unit;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address And a third communication unit that transmits the received second address to the access control device;
An information processing system having

1 企業システム 31,32,33 ISPシステム
5 ISP特定システム 7 攻撃者端末
9 インターネット 10 変更制御装置
11 アクセス制御装置 12 セキュリティ装置
13 公開サーバ 300 変更管理装置
310 DHCPサーバ 320 加入者管理装置
100 処理部 101 ISP特定部
102 変更処理部 103 攻撃テーブル格納部
104 ISPテーブル格納部 1001 登録処理部
1002 通知部 1003 削除処理部
3001 登録処理部 3002 削除処理部
3003 変更処理部 3004 攻撃元IPテーブル格納部 DESCRIPTION OF SYMBOLS 1 Corporate system 31,32,33 ISP system 5 ISP specific system 7 Attacker terminal 9 Internet 10 Change control apparatus 11 Access control apparatus 12 Security apparatus 13 Public server 300 Change management apparatus 310 DHCP server 320 Subscriber management apparatus 100 Processing part 101 ISP specifying unit 102 change processing unit 103 attack table storage unit 104 ISP table storage unit 1001 registration processing unit 1002 notification unit 1003 deletion processing unit 3001 registration processing unit 3002 deletion processing unit 3003 change processing unit 3004 attack source IP table storage unit

Claims (6)

受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信する第1通信部と、
各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定する特定部と、
前記特定部により特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信する第2通信部と、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、受信した前記第2のアドレスを前記アクセス制御装置に送信する第3通信部と、
を有するアクセス制限管理装置。 A first communication unit that transmits a first transmission source address included in the received packet to an access control device that performs access restriction based on the transmission source address;
A specifying unit for specifying a first change management device based on the first transmission source address from a plurality of change management devices each managing a change in address assignment;
A second communication unit that transmits the first source address to the first change management device identified by the identifying unit;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address And a third communication unit that transmits the received second address to the access control device;
An access restriction management device. 前記第1の送信元アドレスについて所定の条件が満たされた場合又は前記第1の送信元アドレスを削除するための指示を受け付けた場合、前記第1の送信元アドレスを削除させるための削除要求を前記アクセス制御装置に送信する第4通信部
をさらに有する請求項1記載のアクセス制限管理装置。 When a predetermined condition is satisfied for the first transmission source address or when an instruction for deleting the first transmission source address is received, a deletion request for deleting the first transmission source address is issued. The access restriction management device according to claim 1, further comprising a fourth communication unit that transmits to the access control device. 前記特定部は、
送信元アドレスを割り当てた変更管理装置を前記複数の変更管理装置から特定する処理を行う特定装置に、前記第1の送信元アドレスを送信し、
前記特定装置から前記第1の変更管理装置のアドレスを受信し、
前記第2通信部は、
前記第1の変更管理装置のアドレスを用いて、前記第1の送信元アドレスを前記第1の変更管理装置に送信する、
請求項1又は2記載のアクセス制限管理装置。 The specific part is:
Transmitting the first source address to a specific device that performs processing for specifying the change management device to which the source address is assigned from the plurality of change management devices;
Receiving the address of the first change management device from the specific device;
The second communication unit is
Transmitting the first source address to the first change management device using the address of the first change management device;
The access restriction management apparatus according to claim 1 or 2. コンピュータが、
受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信し、
各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定し、
特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信し、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、
受信した前記第2のアドレスを前記アクセス制御装置に送信する、
処理を実行するアクセス制限管理方法。 Computer
A first transmission source address included in the received packet is transmitted to an access control device that performs access restriction based on the transmission source address;
Identifying a first change management device based on the first source address from a plurality of change management devices each managing a change in address assignment;
Sending the first source address to the identified first change management device;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address Receive
Transmitting the received second address to the access control device;
An access restriction management method for executing processing. コンピュータに、
受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信し、
各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定し、
特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信し、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、
受信した前記第2のアドレスを前記アクセス制御装置に送信する、
処理を実行させるアクセス制限管理プログラム。 On the computer,
A first transmission source address included in the received packet is transmitted to an access control device that performs access restriction based on the transmission source address;
Identifying a first change management device based on the first source address from a plurality of change management devices each managing a change in address assignment;
Sending the first source address to the identified first change management device;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address Receive
Transmitting the received second address to the access control device;
Access restriction management program that executes processing. アクセス制限の管理を行うアクセス制限管理装置と、
各々がアドレスの割り当ての変更を管理する複数の変更管理装置と、
送信元アドレスに基づくアクセス制限を行うアクセス制御装置と、
を有し、
前記アクセス制限管理装置は、
受信したパケットに含まれる第1の送信元アドレスを、前記アクセス制御装置に送信する第1通信部と、
前記複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定する特定部と、
前記特定部により特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信する第2通信部と、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、受信した前記第2のアドレスを前記アクセス制御装置に送信する第3通信部と、
を有する情報処理システム。 An access restriction management device for managing access restrictions;
A plurality of change management devices each managing a change in address assignment;
An access control device that restricts access based on a source address;
Have
The access restriction management device includes:
A first communication unit that transmits a first source address included in the received packet to the access control device;
A specifying unit for specifying a first change management device based on the first transmission source address from the plurality of change management devices;
A second communication unit that transmits the first source address to the first change management device identified by the identifying unit;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address And a third communication unit that transmits the received second address to the access control device;
An information processing system having
JP2016097806A 2016-05-16 2016-05-16 Access restriction management device, access restriction management method, access restriction management program and information processing system Pending JP2017208599A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016097806A JP2017208599A (en) 2016-05-16 2016-05-16 Access restriction management device, access restriction management method, access restriction management program and information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016097806A JP2017208599A (en) 2016-05-16 2016-05-16 Access restriction management device, access restriction management method, access restriction management program and information processing system

Publications (1)

Publication Number Publication Date
JP2017208599A true JP2017208599A (en) 2017-11-24

Family

ID=60417410

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016097806A Pending JP2017208599A (en) 2016-05-16 2016-05-16 Access restriction management device, access restriction management method, access restriction management program and information processing system

Country Status (1)

Country Link
JP (1) JP2017208599A (en)

Similar Documents

Publication Publication Date Title
US20200374299A1 (en) Client reputation driven role-based access control
US10686758B2 (en) Elastic outbound gateway
CN109565500B (en) On-demand security architecture
US10491632B1 (en) Methods for reducing compliance violations in mobile application management environments and devices thereof
WO2016013200A1 (en) Information processing system and network resource management method
US7890658B2 (en) Dynamic address assignment for access control on DHCP networks
US11323474B1 (en) System and method for determining endpoint compatibility with subnet prefix of all-ones for lateral propagation prevention of ransomware
US20130283335A1 (en) Systems and methods for applying policy wrappers to computer applications
US20150150079A1 (en) Methods, systems and devices for network security
JP5445262B2 (en) Quarantine network system, quarantine management server, remote access relay method to virtual terminal and program thereof
US12022296B2 (en) Network cyber-security platform
KR101310631B1 (en) System and method for controlling access to network
JP4636345B2 (en) Security policy control system, security policy control method, and program
JP4466597B2 (en) Network system, network management apparatus, network management method and program
US20230319115A1 (en) Systems and methods for validating, maintaining, and visualizing security policies
KR200427501Y1 (en) Network security system based on each terminal connected to network
US20220078307A1 (en) Apparatus, method, and program for processing job
US11683350B2 (en) System and method for providing and managing security rules and policies
JP6359260B2 (en) Information processing system and firewall device for realizing a secure credit card system in a cloud environment
US9823944B2 (en) Deployment control device and deployment control method for deploying virtual machine for allowing access
JP2017208599A (en) Access restriction management device, access restriction management method, access restriction management program and information processing system
JP2017085273A (en) Control system, control device, control method and program
KR101070522B1 (en) System and method for monitoring and blocking of spoofing attack
JP6286314B2 (en) Malware communication control device
US12010141B1 (en) System gateway while accessing protected non-web resources connected to internet