JP2018022944A - Communication system and communication method - Google Patents

Communication system and communication method Download PDF

Info

Publication number
JP2018022944A
JP2018022944A JP2016151185A JP2016151185A JP2018022944A JP 2018022944 A JP2018022944 A JP 2018022944A JP 2016151185 A JP2016151185 A JP 2016151185A JP 2016151185 A JP2016151185 A JP 2016151185A JP 2018022944 A JP2018022944 A JP 2018022944A
Authority
JP
Japan
Prior art keywords
terminal
file
server
controller
switch
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016151185A
Other languages
Japanese (ja)
Other versions
JP6563872B2 (en
Inventor
裕一 首藤
Yuichi Shuto
裕一 首藤
上野 正巳
Masami Ueno
正巳 上野
弘樹 長山
Hiroki Nagayama
弘樹 長山
伸悟 加島
Shingo Kashima
伸悟 加島
毅 近藤
Takeshi Kondo
毅 近藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016151185A priority Critical patent/JP6563872B2/en
Publication of JP2018022944A publication Critical patent/JP2018022944A/en
Application granted granted Critical
Publication of JP6563872B2 publication Critical patent/JP6563872B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To reduce such a risk that an internal terminal, infected with malware, spreads infection to other internal terminals, while improving user convenience of the internal terminal.SOLUTION: In a communication system, when there is an attachment file in a mail to a terminal 10, a mail server 50 transfers the attachment file to a sandbox 40. The mail server 50 transfers the mail including the attachment file to the terminal 10, and transmits an inspection start notification, including identification information of the terminal 10, to a controller 70. Upon receiving the inspection start notification, the controller 70 specifies the port of a switch 20 for connection with a terminal 10 indicated in the inspection start notification, and sets a higher sampling rate of packets, transmitted and received by the terminal 10, than that before receiving the inspection start notification, for the port of the specified switch 20.SELECTED DRAWING: Figure 4

Description

本発明は、通信システム、および、通信方法に関する。   The present invention relates to a communication system and a communication method.

多数の業務用端末が接続し、内外の端末と通信を行う企業内ネットワーク等では、通常、外部ネットワークとの接続点にファイアウォールやIPS(Intrusion Prevention System)、IDS(Intrusion Detection System)等のセキュリティ機器を配置し、内部端末が外部からの脅威にさらされることを防ぐ。   In corporate networks where many business terminals connect and communicate with internal and external terminals, security devices such as firewalls, IPS (Intrusion Prevention System), and IDS (Intrusion Detection System) are usually connected to external networks. To prevent internal terminals from being exposed to external threats.

例えば、内部端末が外部ネットワークから既知のマルウェアをダウンロードしようとした場合、上記のセキュリティ機器において当該マルウェアのシグネチャとの一致をみること等でマルウェアのダウンロードを検知し、当該通信を遮断する。   For example, when an internal terminal tries to download a known malware from an external network, the security device detects the download of the malware by looking for a match with the signature of the malware, and blocks the communication.

ここで、未知のマルウェアのダウンロード等を上記セキュリティ機器で確実に防ぐことは難しい。そのため、マルウェアに感染した内部端末から他の内部端末への感染を防ぐため、外部との通信だけでなく、内部端末同士の通信(以降、内部通信)を監視することがセキュリティ上重要である。   Here, it is difficult to reliably prevent unknown malware from being downloaded by the security device. Therefore, in order to prevent infection from an internal terminal infected with malware to other internal terminals, it is important for security to monitor not only communication with the outside but also communication between internal terminals (hereinafter referred to as internal communication).

内部通信を監視するためには、ネットワーク上のスイッチにミラーリング設定を施し、当該スイッチを経由するパケットをコピーし、あるいは、パケット数等の統計情報を生成し、ネットワーク中に存在するコレクタに送信する必要がある。   To monitor internal communication, set mirroring to a switch on the network, copy packets that pass through the switch, or generate statistical information such as the number of packets and send it to collectors that exist in the network There is a need.

ネットワーク中のすべての内部通信をコレクタに送信することは、スイッチの負荷や通信路の帯域の増大に繋がるため、通常、一部のパケットをサンプリングし、コピーしてコレクタに送付する、あるいはサンプリングしたパケットに関する統計情報を生成してコレクタに送付することが一般的である。なお、パケットのサンプリングは、例えば、非特許文献1、非特許文献2に記載の技術により行われる。   Sending all internal communications in the network to the collector leads to an increase in the load on the switch and the bandwidth of the communication path. Therefore, some packets are usually sampled, copied and sent to the collector, or sampled. It is common to generate statistical information about a packet and send it to a collector. Note that packet sampling is performed by the techniques described in Non-Patent Document 1 and Non-Patent Document 2, for example.

また、外部との通信による内部端末の感染をより高い確度で防ぐため、サンドボックスと呼ばれる動的解析技術が存在する。   In addition, there is a dynamic analysis technique called a sandbox in order to prevent infection of internal terminals due to communication with the outside with higher accuracy.

サンドボックスは、メールサーバやウェブプロキシサーバに配置され、内部端末が受信するメールの添付ファイルや内部端末がWebでダウンロードしようとするファイルを、内部端末に転送する前に実際に動作させ、当該ファイルが不正な挙動を示すか否かを検査する。ここで、不正な挙動が確認された場合は、当該ファイルは内部端末に転送されることなく削除される。   The sandbox is located on the mail server or web proxy server, and it operates the attached file of the mail received by the internal terminal or the file that the internal terminal intends to download on the web before transferring it to the internal terminal. Checks whether or not it behaves illegally. Here, when an illegal behavior is confirmed, the file is deleted without being transferred to the internal terminal.

Flexible NetFlow コンフィギュレーション ガイド Cisco IOS XE Release 3S、[平成28年7月14日検索]、インターネット<URL:http://www.cisco.com/cisco/web/support/JP/docs/CIAN/IOSXE/IOSXE3S/CG/007/fnetflow_overview_xe.html?bid=0900e4b182529dc2>Flexible NetFlow Configuration Guide Cisco IOS XE Release 3S, [Search July 14, 2016], Internet <URL: http://www.cisco.com/cisco/web/support/JP/docs/CIAN/IOSXE/ IOSXE3S / CG / 007 / fnetflow_overview_xe.html? Bid = 0900e4b182529dc2> OpenFlow Switch Specification Version 1.3.0 (Wire Protocol 0x04)、[平成28年7月14日検索]、インターネット<URL:https://www.opennetworking.org/images/stories/downloads/sdn-resources/onf-specifications/openflow/openflow-spec-v1.3.0.pdf>OpenFlow Switch Specification Version 1.3.0 (Wire Protocol 0x04), [Search on July 14, 2016], Internet <URL: https://www.opennetworking.org/images/stories/downloads/sdn-resources/onf- specifications / openflow / openflow-spec-v1.3.0.pdf>

ここで、上記のようにコレクタにより、内部通信をサンプリングして収集して解析を行う場合、サンプリングにより情報が一部欠落するため、内部端末の不正行為(例えば、他の内部端末へのマルウェアの拡散等)を見逃すおそれがある。   Here, when the internal communication is sampled and collected and analyzed by the collector as described above, since some information is lost due to the sampling, fraudulent acts of the internal terminal (for example, malware of other internal terminals) There is a risk of overlooking.

また、サンドボックスについては、ファイルの検査に時間がかかる。そのため、内部端末がファイルを実際に取得できるまでに相当の時間を要し、内部端末のユーザの利便性が低下するおそれがある。そこで、内部端末のユーザの利便性を向上させるため、サンドボックスでのファイルの検査が完了する前に当該ファイルを内部端末に転送し、検査により不正な挙動が見つかった場合には、内部端末の隔離等の事後対処をする場合もある。しかしながら、このような場合、ファイルの検査が完了する前にマルウェアに感染した内部端末が、他の内部端末への感染を拡大させるリスクがある。   For sandboxes, it takes time to inspect files. Therefore, it takes a considerable amount of time until the internal terminal can actually acquire the file, and the convenience of the user of the internal terminal may be reduced. Therefore, in order to improve the convenience of the user of the internal terminal, the file is transferred to the internal terminal before the inspection of the file in the sandbox is completed. There are also cases where ex-post measures such as isolation are taken. However, in such a case, there is a risk that an internal terminal infected with malware before the file inspection is completed spreads infection to other internal terminals.

そこで、本発明は、前記した問題を解決し、内部端末のユーザの利便性を向上させつつ、マルウェアに感染した内部端末が他の内部端末への感染を拡大させるリスクを低減することを課題とする。   Therefore, the present invention aims to solve the above-mentioned problems and improve the convenience of the user of the internal terminal, while reducing the risk that an internal terminal infected with malware will spread infection to other internal terminals. To do.

前記した課題を解決するため、本発明は、端末へデータを送信するサーバと、前記端末で送受信するパケットの監視強化を行うコントローラとを備える通信システムであって、前記サーバは、インターネットから前記端末へのデータにファイルが含まれる場合、前記ファイルを、動的解析によりファイルの検査を行う解析装置に転送し、前記ファイルを含むデータを前記端末に転送し、当該端末の識別情報を含む前記ファイルの検査開始通知を前記コントローラに送信し、前記コントローラは、前記検査開始通知を受信した場合、前記検査開始通知の受信前よりも、当該端末で送受信するパケットの監視を強化することを特徴とする。   In order to solve the above-described problem, the present invention is a communication system including a server that transmits data to a terminal and a controller that enhances monitoring of packets transmitted and received by the terminal, and the server is connected to the terminal from the Internet. If the file includes a file, the file is transferred to an analysis device that performs file inspection by dynamic analysis, the data including the file is transferred to the terminal, and the file including identification information of the terminal When the inspection start notification is received, the controller enhances monitoring of packets transmitted / received by the terminal than before receiving the inspection start notification. .

本発明によれば、内部端末のユーザの利便性を向上させつつ、マルウェアに感染した内部端末が他の内部端末への感染を拡大させるリスクを低減することができる。   ADVANTAGE OF THE INVENTION According to this invention, the risk that the internal terminal infected with the malware will expand the infection to another internal terminal can be reduced, improving the convenience of the user of an internal terminal.

図1は、第1の実施形態の通信システムの構成例を示す図である。FIG. 1 is a diagram illustrating a configuration example of a communication system according to the first embodiment. 図2は、図1のメールサーバの構成例を示す図である。FIG. 2 is a diagram illustrating a configuration example of the mail server in FIG. 図3は、図1のコントローラの構成例を示す図である。FIG. 3 is a diagram illustrating a configuration example of the controller of FIG. 図4は、図1の通信システムの処理手順の例を示すシーケンス図である。FIG. 4 is a sequence diagram illustrating an example of a processing procedure of the communication system in FIG. 図5は、第2の実施形態の通信システムの構成例を示す図である。FIG. 5 is a diagram illustrating a configuration example of a communication system according to the second embodiment. 図6は、図5のウェブプロキシサーバの構成例を示す図である。FIG. 6 is a diagram illustrating a configuration example of the web proxy server of FIG. 図7は、図5の通信システムの処理手順の例を示すシーケンス図である。FIG. 7 is a sequence diagram illustrating an example of a processing procedure of the communication system in FIG. 図8は、メールゲートウェイおよびメールサーバの構成例を示す図である。FIG. 8 is a diagram illustrating a configuration example of the mail gateway and the mail server. 図9は、プログラムを実行するコンピュータを示す図である。FIG. 9 is a diagram illustrating a computer that executes a program.

以下、図面を参照しながら、本発明を実施するための形態(実施形態)を、第1の実施形態および第2の実施形態に分けて説明する。   Hereinafter, a form (embodiment) for carrying out the present invention will be described by dividing it into a first embodiment and a second embodiment with reference to the drawings.

[第1の実施形態]
(概要)
まず、図1を用いて第1の実施形態の通信システム(システム)の構成例および概要を説明する。第1の実施形態の通信システムは、端末10へのメールによるマルウェア侵入への対処を行う。 [First Embodiment]
(Overview)
First, a configuration example and an outline of a communication system (system) according to the first embodiment will be described with reference to FIG. The communication system according to the first embodiment deals with malware intrusion by mail to the terminal 10.

この通信システムは、端末10と、スイッチ20と、ファイアウォール30と、サンドボックス(解析装置)40と、メールサーバ50と、コレクタ60と、コントローラ70とを備える。なお、内部ネットワークには、上記の端末10、スイッチ20、サンドボックス40、メールサーバ50、コレクタ60、コントローラ70等が設置される。   This communication system includes a terminal 10, a switch 20, a firewall 30, a sandbox (analysis device) 40, a mail server 50, a collector 60, and a controller 70. In the internal network, the terminal 10, the switch 20, the sandbox 40, the mail server 50, the collector 60, the controller 70 and the like are installed.

端末10は、スイッチ20およびファイアウォール30経由でインターネットに接続し通信を行うコンピュータである。このコンピュータは、例えば、パーソナルコンピュータ等である。メールサーバ50は、インターネット等から端末10宛のメールを受信すると、このメールを宛先の端末10へ配信する。   The terminal 10 is a computer that communicates by connecting to the Internet via the switch 20 and the firewall 30. This computer is, for example, a personal computer. When the mail server 50 receives a mail addressed to the terminal 10 from the Internet or the like, the mail server 50 distributes the mail to the destination terminal 10.

スイッチ20は、各装置を接続し、装置間のデータの中継を行う。このスイッチ20は、例えば、物理ポート(ポート)に接続される端末10とインターネットとの間のデータの中継を行う。また、スイッチ20は、コントローラ70からの指示に基づき、各ポートで送受信されるパケットを所定のサンプリングレートでサンプリングし、コレクタ60に送信する。   The switch 20 connects the devices and relays data between the devices. The switch 20 relays data between the terminal 10 connected to a physical port (port) and the Internet, for example. Further, the switch 20 samples a packet transmitted / received at each port based on an instruction from the controller 70 at a predetermined sampling rate, and transmits the sampled packet to the collector 60.

ファイアウォール30は、内部ネットワークと、インターネットとの境界に設置され、所定の基準に基づき、不正な通信と判断した通信を遮断する。   The firewall 30 is installed at the boundary between the internal network and the Internet, and blocks communication determined to be unauthorized communication based on a predetermined standard.

サンドボックス40は、外部から受け取ったファイル(プログラム)を、保護された領域で動作させることにより当該ファイルが不正な挙動を示すか否かを検査する。つまり、サンドボックス40は、当該ファイルに対し動的解析を行うことにより、当該ファイルが悪性(マルウェア)か、良性(マルウェアではない)かの検査を行う。   The sandbox 40 checks whether or not the file exhibits an illegal behavior by operating a file (program) received from the outside in a protected area. That is, the sandbox 40 performs a dynamic analysis on the file to inspect whether the file is malignant (malware) or benign (not malware).

メールサーバ50は、端末10へメールを配信する。例えば、メールサーバ50は、インターネットから端末10宛のメールを受信すると、このメールを当該端末10宛に配信する。また、このメールサーバ50は、端末10宛のメールにファイルが添付されている場合、このファイルをサンドボックス40に転送する。なお、メールサーバ50は、端末10宛のメールにファイルが添付されている場合でも、サンドボックス40におけるファイルの検査終了を待たず、当該ファイルが添付されたメールを宛先の端末10へ配信する。   The mail server 50 distributes mail to the terminal 10. For example, when the mail server 50 receives a mail addressed to the terminal 10 from the Internet, the mail server 50 distributes the mail addressed to the terminal 10. In addition, when a file is attached to the mail addressed to the terminal 10, the mail server 50 transfers the file to the sandbox 40. Even when a file is attached to the mail addressed to the terminal 10, the mail server 50 delivers the mail with the file attached to the destination terminal 10 without waiting for completion of the inspection of the file in the sandbox 40.

コレクタ60は、スイッチ20においてサンプリングされたパケットを検査する。例えば、コレクタ60は、スイッチ20でサンプリングされたパケットまたはその統計情報を取得し、検査する。   The collector 60 inspects the packet sampled in the switch 20. For example, the collector 60 acquires and inspects the packet sampled by the switch 20 or its statistical information.

コントローラ70は、スイッチ20それぞれを制御し、サンドボックス40がファイルを検査中の場合、当該ファイルの宛先となる端末10に関するトラフィックの監視を強化する。   The controller 70 controls each of the switches 20 and, when the sandbox 40 is inspecting a file, enhances monitoring of traffic related to the terminal 10 that is the destination of the file.

ここでの監視強化の方法は様々な方法がある。例えば、サンドボックス40がファイルを検査中の場合(監視強化期間中の場合)、コントローラ70は、当該ファイルの宛先となる端末10に接続するスイッチ20に対し、当該端末10で送受信するパケットのサンプリングレートを、通常よりも高くするよう設定する方法がある。また、コントローラ70が、当該ファイルの宛先となる端末10に関するトラフィックを、IPS(侵入防止システム:Intrusion Prevention System)あるいは、UTM(統合脅威管理:Unified Threat Management)を通過するように変更する方法もある。さらに、上記と同様の監視機能をもったシステムをクラウド上に構築し、また、端末10に繋がるスイッチ20をOpenFlowで構成することで、コントローラ70は、当該ファイルの宛先となる端末10に関するトラフィックを、クラウド上の上記システムに強制的に通過させる方法もある。   There are various methods for enhancing the monitoring here. For example, when the sandbox 40 is inspecting a file (during the monitoring enhancement period), the controller 70 samples the packets transmitted and received by the terminal 10 to the switch 20 connected to the terminal 10 that is the destination of the file. There is a method of setting the rate to be higher than usual. There is also a method in which the controller 70 changes the traffic related to the terminal 10 that is the destination of the file so as to pass through IPS (Intrusion Prevention System) or UTM (Unified Threat Management). . Furthermore, by constructing a system having a monitoring function similar to the above on the cloud, and configuring the switch 20 connected to the terminal 10 with OpenFlow, the controller 70 can control the traffic related to the terminal 10 that is the destination of the file. There is also a method of forcibly passing the above system on the cloud.

以下では、コントローラ70は、サンドボックス40がファイルを検査中の場合、当該ファイルの宛先となる端末10に接続するスイッチ20に対し、当該端末10で送受信するパケットのサンプリングレートを、通常よりも高くするよう設定する場合を例に説明するが、これに限定されるものではない。   In the following description, when the sandbox 40 is inspecting a file, the controller 70 sets the sampling rate of packets transmitted / received by the terminal 10 to be higher than usual with respect to the switch 20 connected to the terminal 10 that is the destination of the file. Although the case where it sets so is demonstrated to an example, it is not limited to this.

このような通信システムによれば、端末10のユーザは、メールに添付されたファイルがサンドボックス40で検査中であっても、当該ファイルをすぐに利用できる。また、コントローラ70は、サンドボックス40での当該ファイルの検査中、当該ファイルの送信先の端末10におけるパケットのサンプリングレートを高くする等の監視強化を行うので、当該端末10が、当該ファイルによりマルウェアに感染した場合であっても、内部ネットワークの他の端末10への感染を拡大させるリスクを低減することができる。よって、内部ネットワークの端末10のユーザの利便性を向上させつつ、マルウェアに感染した端末10が内部ネットワークの他の端末10への感染を拡大させるリスクを低減することができる。また、サンプリングレートの増大は検査中のファイルを受信した端末10における送受信パケットに限定して行われるため、スイッチ20の負荷や通信路の帯域の増加を限定的なものとすることができる。   According to such a communication system, the user of the terminal 10 can use the file immediately even if the file attached to the mail is being examined in the sandbox 40. In addition, during the inspection of the file in the sandbox 40, the controller 70 performs monitoring enhancement such as increasing the packet sampling rate in the terminal 10 that is the transmission destination of the file. Even if it is a case where it infects, the risk of expanding infection to other terminals 10 in the internal network can be reduced. Therefore, it is possible to reduce the risk that the terminal 10 infected with malware expands infection to other terminals 10 in the internal network while improving the convenience of the user of the terminal 10 in the internal network. In addition, since the increase in sampling rate is limited to transmission / reception packets in the terminal 10 that has received the file under inspection, the increase in the load of the switch 20 and the bandwidth of the communication path can be limited.

(メールサーバ)
次に、図2を用いて、メールサーバ50を詳細に説明する。メールサーバ50は、端末10へのメールの配信を行う。また、メールサーバ50は、メールに添付されたファイルをサンドボックス40へ転送し、またコントローラ70へ当該ファイルの検査開始通知を行う。このメールサーバ50は、入出力部51と、制御部52とを備える。 (Mail server)
Next, the mail server 50 will be described in detail with reference to FIG. The mail server 50 distributes mail to the terminal 10. In addition, the mail server 50 transfers the file attached to the mail to the sandbox 40 and notifies the controller 70 of the start of inspection of the file. The mail server 50 includes an input / output unit 51 and a control unit 52.

入出力部51は、各種データの入出力を司り、例えば、インターネットから端末10宛のメールを受信したり、受信したメールを宛先の端末10へ送信したりするときのインタフェースを司る。   The input / output unit 51 controls input / output of various data, for example, an interface for receiving a mail addressed to the terminal 10 from the Internet or transmitting a received mail to the destination terminal 10.

制御部52は、メールサーバ50全体の制御を司る。制御部52は、メール受信部521と、添付ファイル転送部522と、メール配信部523と、検査通知部524とを備える。   The control unit 52 controls the entire mail server 50. The control unit 52 includes a mail receiving unit 521, an attached file transfer unit 522, a mail distribution unit 523, and an inspection notification unit 524.

メール受信部521は、インターネットから端末10宛のメールを受信する。添付ファイル転送部522は、メール受信部521で受信したメールにファイルが添付されていた場合、当該ファイルを、サンドボックス40に転送する。例えば、添付ファイル転送部522は、メールに特定種類のファイル(拡張子が.doc、.xls、.exe、.zip等のファイル)が添付されていた場合、当該ファイルを、サンドボックス40に転送する。   The mail receiving unit 521 receives mail addressed to the terminal 10 from the Internet. When a file is attached to the mail received by the mail receiving unit 521, the attached file transfer unit 522 transfers the file to the sandbox 40. For example, when a file of a specific type (file extension is .doc, .xls, .exe, .zip, etc.) is attached to the mail, the attached file transfer unit 522 transfers the file to the sandbox 40. To do.

メール配信部523は、メール受信部521で受信したメールを当該メールの宛先の端末10へ配信する。   The mail delivery unit 523 delivers the mail received by the mail receiving unit 521 to the destination terminal 10 of the mail.

検査通知部524は、添付ファイル転送部522がサンドボックス40へファイルを転送し、メール配信部523が当該ファイルを含むメールを端末10へ配信すると、当該端末10の識別情報(例えば、IP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス)と、当該ファイルの識別情報とを含むファイルの検査開始通知をコントローラ70に送信する。つまり、検査通知部524は、サンドボックス40での検査が開始されたファイル、およびこのファイルが配信された端末10をコントローラ70に通知する。   When the attached file transfer unit 522 transfers the file to the sandbox 40 and the mail distribution unit 523 distributes the mail including the file to the terminal 10, the inspection notification unit 524 identifies the identification information of the terminal 10 (for example, IP (Internet (Protocol) address or MAC (Media Access Control) address) and a file inspection start notification including the identification information of the file are transmitted to the controller 70. That is, the inspection notification unit 524 notifies the controller 70 of the file for which inspection in the sandbox 40 is started and the terminal 10 to which the file is distributed.

(コントローラ)
次に、図3を用いて、コントローラ70を詳細に説明する。コントローラ70は、スイッチ20それぞれを制御し、ここでは主に、スイッチ20それぞれに対し、端末10が送受信するパケットのサンプリングレートの設定を行う。コントローラ70は、入出力部71と、記憶部72と、制御部73とを備える。 (controller)
Next, the controller 70 will be described in detail with reference to FIG. The controller 70 controls each of the switches 20, and here, mainly sets the sampling rate of packets transmitted and received by the terminal 10 for each of the switches 20. The controller 70 includes an input / output unit 71, a storage unit 72, and a control unit 73.

入出力部71は、各種データの入出力を司り、例えば、メールサーバ50からファイルの検査開始通知を受信したり、スイッチ20へサンプリングレートの設定を行ったりするときのインタフェースを司る。   The input / output unit 71 controls input / output of various data, for example, an interface for receiving a file inspection start notification from the mail server 50 or setting a sampling rate to the switch 20.

記憶部72は、端末管理情報を記憶する。この端末管理情報は、端末10の識別情報ごとに、当該端末10がどのスイッチ20のどのポートに接続しているかを示した情報である。なお、この端末管理情報は、コントローラ70の記憶部72に記憶されていてもよいし、コントローラ70の外部の装置に記憶されていてもよい。   The storage unit 72 stores terminal management information. The terminal management information is information indicating which port of which switch 20 the terminal 10 is connected to for each piece of identification information of the terminal 10. This terminal management information may be stored in the storage unit 72 of the controller 70 or may be stored in a device outside the controller 70.

制御部73は、コントローラ70全体の制御を司る。この制御部73は、制御対象特定部731と、検査結果受信部732と、スイッチ制御部733とを備える。   The control unit 73 controls the entire controller 70. The control unit 73 includes a control target specifying unit 731, an inspection result receiving unit 732, and a switch control unit 733.

制御対象特定部731は、メールサーバ50からファイルの検査開始通知を受信した場合、端末管理情報を参照して、当該検査開始通知に示される端末10がどのスイッチ20のどのポートに接続されているかを特定する。   When receiving the file inspection start notification from the mail server 50, the control target specifying unit 731 refers to the terminal management information, and to which port of which switch the terminal 10 indicated by the inspection start notification is connected. Is identified.

検査結果受信部732は、サンドボックス40からファイルの検査結果を受信する。スイッチ制御部733は、スイッチ20の各ポートにおけるサンプリングレートの設定を行う。   The inspection result receiving unit 732 receives a file inspection result from the sandbox 40. The switch control unit 733 sets the sampling rate at each port of the switch 20.

ここで、スイッチ制御部733は、メールサーバ50からファイルの検査開始通知を受信する前は、スイッチ20のポートにおけるサンプリングレートを、例えば、αに設定するが、ファイルの検査開始通知の受信後は、制御対象特定部731により特定されたスイッチ20のポートに対して、サンプリングレートをβ(αよりも高い値)に設定する。   Here, the switch control unit 733 sets the sampling rate at the port of the switch 20 to, for example, α before receiving the file inspection start notification from the mail server 50, but after receiving the file inspection start notification, The sampling rate is set to β (a value higher than α) for the port of the switch 20 specified by the control target specifying unit 731.

また、スイッチ制御部733は、検査結果受信部732で受信した、当該ファイルの検査結果が良性であった場合、当該ファイルの宛先の端末10に接続するスイッチ20のポートに対して、サンプリングレートをαに戻すよう設定する。一方、スイッチ制御部733は、サンドボックス40からの当該ファイルの検査結果が悪性であった場合、例えば、当該ファイルの宛先の端末10に接続するスイッチ20のポートを遮断する等の措置をとる。   In addition, when the inspection result of the file received by the inspection result receiving unit 732 is benign, the switch control unit 733 sets the sampling rate for the port of the switch 20 connected to the terminal 10 that is the destination of the file. Set to return to α. On the other hand, when the inspection result of the file from the sandbox 40 is malignant, the switch control unit 733 takes measures such as blocking the port of the switch 20 connected to the destination terminal 10 of the file.

なお、スイッチ制御部733が、スイッチ20に対し上記のサンプリングレートの設定を行う際には、例えば、非特許文献1に記載のFlexible NetFlowや、非特許文献2に記載のOpenFlow 1.3.0等のプロトコルを用いる。   Note that when the switch control unit 733 sets the sampling rate for the switch 20, for example, Flexible NetFlow described in Non-Patent Document 1, OpenFlow 1.3.0 described in Non-Patent Document 2, and the like. Use protocol.

例えば、Flexible NetFlowを用いる場合、スイッチ制御部733は、サンプリングレートを含むパケットのサンプリング方法を「フローサンプラ」として定義する。そして、スイッチ制御部733は、スイッチ20の各ポートにフローサンプラを割り当てることで、各ポートに個別のサンプリングレートでパケットをサンプリングして統計情報を生成し、コレクタ60に送信させることができる。   For example, when Flexible NetFlow is used, the switch control unit 733 defines a packet sampling method including a sampling rate as “flow sampler”. Then, the switch control unit 733 can assign a flow sampler to each port of the switch 20, sample packets at each sampling rate at each port, generate statistical information, and transmit the statistical information to the collector 60.

また、例えば、OpenFlow 1.3.0を用いる場合、スイッチ制御部733は、Group tableのselect機能を使うことで、個々のポートで受信したパケットを任意のサンプリングレートでサンプリングして転送させることができる。転送先としては、スイッチ20を制御するコントローラ70であってもよいし、GRE(Generic Routing Encapsulation)を用いた仮想ポートを指定すれば任意の装置とすることもできる。前者の場合、転送されてきたパケットをコントローラ70がコレクタ60に転送することで、後者の場合、任意の装置をコレクタ60とすることで、サンプリングしたパケットをコレクタ60に到達させることができる。   For example, when OpenFlow 1.3.0 is used, the switch control unit 733 can use the group table select function to sample and transfer packets received at individual ports at an arbitrary sampling rate. As a transfer destination, the controller 70 that controls the switch 20 may be used, or any device can be used by designating a virtual port using GRE (Generic Routing Encapsulation). In the former case, the controller 70 transfers the transferred packet to the collector 60. In the latter case, the sampled packet can reach the collector 60 by using an arbitrary device as the collector 60.

(処理手順)
次に、図4を用いて、第1の実施形態の通信システムの処理手順の例を説明する。通信システムのスイッチ20は、コントローラ70により設定されたサンプリングレートαで個々のポートで受信したパケットのサンプリングを行い、サンプリングパケットをコレクタ60に送信する(S1)。 (Processing procedure)
Next, an example of a processing procedure of the communication system according to the first embodiment will be described with reference to FIG. The switch 20 of the communication system samples the packet received at each port at the sampling rate α set by the controller 70, and transmits the sampling packet to the collector 60 (S1).

また、メールサーバ50のメール受信部521は、端末10宛のメールを受信し(S2)、このメールに添付ファイルが含まれる場合、添付ファイル転送部522は、この添付ファイルをサンドボックス40に転送する(S3)。また、メールサーバ50のメール配信部523は、メール受信部521で受信したメールについて、当該メールの宛先の端末10からの受信要求に応じて、当該端末10へ配信する(S4)。また、サンドボックス40は、S3でメールサーバ50から転送された添付ファイルの解析を開始する(S5)。   Further, the mail receiving unit 521 of the mail server 50 receives the mail addressed to the terminal 10 (S2), and when the attached file is included in this mail, the attached file transfer unit 522 transfers the attached file to the sandbox 40. (S3). In addition, the mail delivery unit 523 of the mail server 50 delivers the mail received by the mail receiving unit 521 to the terminal 10 in response to a reception request from the terminal 10 that is the destination of the mail (S4). Further, the sandbox 40 starts analyzing the attached file transferred from the mail server 50 in S3 (S5).

S3でメールサーバ50が添付ファイルをサンドボックス40に転送してから、サンドボックス40からの解析終了通知メッセージを受信する(S12)までの期間を、メールサーバ50におけるメールの監視期間とする。そして、この監視期間中に、メール配信部523が、上記の添付ファイルを含むメールを当該メールの宛先の端末10へ配信すると、検査通知部524は、当該ファイルの検査開始通知をコントローラ70へ送信する(S6)。なお、このファイルの検査開始通知は、当該メールの宛先の端末10の識別情報と、当該ファイルの識別情報とを含む。   A period from when the mail server 50 transfers the attached file to the sandbox 40 in S3 until the analysis end notification message is received from the sandbox 40 (S12) is set as a mail monitoring period in the mail server 50. Then, during this monitoring period, when the mail delivery unit 523 delivers a mail including the attached file to the terminal 10 that is the destination of the mail, the inspection notification unit 524 transmits an inspection start notification of the file to the controller 70. (S6). The file inspection start notification includes the identification information of the destination terminal 10 of the mail and the identification information of the file.

S6の後、コントローラ70が、メールサーバ50から、ファイルの検査開始通知を受信すると、制御対象特定部731は、端末管理情報を参照して、当該検査開始通知に示される端末10に接続しているスイッチ20およびポートを特定する(S7)。そして、スイッチ制御部733は、当該スイッチ20のポートに対し、パケットのサンプリングレートを高くするよう設定する(S8)。例えば、スイッチ制御部733は、当該スイッチ20のポートに対し、パケットのサンプリングレートをαよりも高いβに変更するよう設定する。   After S6, when the controller 70 receives a file inspection start notification from the mail server 50, the control target specifying unit 731 refers to the terminal management information and connects to the terminal 10 indicated in the inspection start notification. The switch 20 and the port that are present are specified (S7). Then, the switch control unit 733 sets the packet sampling rate to be high for the port of the switch 20 (S8). For example, the switch control unit 733 sets the packet sampling rate to be changed to β higher than α for the port of the switch 20.

このような設定により、スイッチ20は、当該ポートにおけるサンプリングレートを変更し(S9)、例えば、サンプリングレートをαからβに変更する。その後、スイッチ20は、変更後のサンプリングレートで当該ポートにおけるパケットのサンプリングを行い、サンプリングパケットをコレクタ60へ送信する(S10)。   With this setting, the switch 20 changes the sampling rate at the port (S9), for example, changes the sampling rate from α to β. Thereafter, the switch 20 samples the packet at the port at the changed sampling rate, and transmits the sampling packet to the collector 60 (S10).

その後、サンドボックス40が、ファイルの解析を終了すると(S11)、メールサーバ50へ解析終了通知メッセージを送信し(S12)、当該解析によるファイルの検査結果をコントローラ70へ送信する(S13)。   Thereafter, when the sandbox 40 finishes analyzing the file (S11), an analysis completion notification message is transmitted to the mail server 50 (S12), and the inspection result of the file by the analysis is transmitted to the controller 70 (S13).

S13の後、コントローラ70の検査結果受信部732が、ファイルの検査結果を受信し、検査結果が良性であれば(S14でYes)、スイッチ制御部733は、当該スイッチ20のポート(S8でサンプリングレートを高くするよう設定したスイッチ20のポート)に対し、パケットのサンプリングレートを元に戻すよう設定する(S15)。例えば、スイッチ制御部733は、パケットのサンプリングレートをβからαに戻すよう設定する。   After S13, the inspection result receiving unit 732 of the controller 70 receives the inspection result of the file, and if the inspection result is benign (Yes in S14), the switch control unit 733 detects the port of the switch 20 (sampled in S8). For the port of the switch 20 set to increase the rate), the packet sampling rate is set back to the original (S15). For example, the switch control unit 733 sets the packet sampling rate to return from β to α.

このような設定により、スイッチ20は、当該ポートにおけるサンプリングレートを変更し(S16)、例えば、サンプリングレートをβからαに戻す。その後、スイッチ20は、変更後のサンプリングレートで当該ポートにおけるパケットのサンプリングを行い、サンプリングパケットをコレクタ60へ送信する(S17)。   With this setting, the switch 20 changes the sampling rate at the port (S16), for example, returns the sampling rate from β to α. Thereafter, the switch 20 samples the packet at the port at the changed sampling rate, and transmits the sampling packet to the collector 60 (S17).

一方、S14において、コントローラ70の検査結果受信部732の受信した検査結果が悪性であれば(S14でNo)、スイッチ制御部733は、当該スイッチ20に対し当該スイッチ20のポート(S8でサンプリングレートを高くするよう設定したスイッチ20のポート)の遮断を指示する(S18)。   On the other hand, in S14, if the test result received by the test result receiving unit 732 of the controller 70 is malignant (No in S14), the switch control unit 733 sends the port of the switch 20 to the switch 20 (the sampling rate in S8). (S18) is instructed to shut off (the port of the switch 20 set to be higher).

なお、ここでは説明を省略したが、コレクタ60がスイッチ20によりサンプリングされたパケットを検査した結果、端末10の不正行為(例えば、他の端末10へのマルウェアの拡散等)を検知した場合、コントローラ70が当該端末10の接続するスイッチ20のポートの遮断を指示する等の措置をとってもよい。   Although explanation is omitted here, if the collector 60 detects a fraudulent act of the terminal 10 (for example, diffusion of malware to another terminal 10) as a result of examining the packet sampled by the switch 20, the controller For example, 70 may instruct to shut off the port of the switch 20 to which the terminal 10 is connected.

このような通信システムによれば、内部ネットワークの端末10のユーザは、サンドボックス40でメールの添付ファイルの検査中であっても、当該添付ファイルをすぐに利用できる。また、コントローラ70は、サンドボックス40での添付ファイルの検査中、当該添付ファイルの送信先の端末10におけるパケットのサンプリングレートを高くするので、当該端末10が、当該添付ファイルによりマルウェアに感染した場合であっても、内部ネットワークの他の端末10への感染を拡大させるリスクを低減することができる。よって、内部ネットワークの端末10のユーザの利便性を向上させつつ、マルウェアに感染した端末10が内部ネットワークの他の端末10への感染を拡大させるリスクを低減することができる。   According to such a communication system, the user of the terminal 10 in the internal network can immediately use the attached file even while the sandbox 40 is checking the attached file of the mail. In addition, the controller 70 increases the packet sampling rate in the terminal 10 that is the destination of the attached file during the inspection of the attached file in the sandbox 40, so that the terminal 10 is infected with malware by the attached file. Even so, it is possible to reduce the risk of spreading infection to other terminals 10 in the internal network. Therefore, it is possible to reduce the risk that the terminal 10 infected with malware expands infection to other terminals 10 in the internal network while improving the convenience of the user of the terminal 10 in the internal network.

[第2の実施形態]
(概要)
次に、図5を用いて、本発明の第2の実施形態の通信システムの構成例および概要を説明する。第2の実施形態の通信システムは、端末10のウェブサイトの閲覧によるマルウェア侵入への対処を行う。前記した第1の実施形態と同じ構成は、同じ符号を付して説明を省略する。 [Second Embodiment]
(Overview)
Next, a configuration example and an outline of a communication system according to the second embodiment of this invention will be described with reference to FIG. The communication system according to the second embodiment copes with malware intrusion by browsing the website of the terminal 10. The same configurations as those of the first embodiment described above are denoted by the same reference numerals and description thereof is omitted.

図5に示すように第2の実施形態の通信システム(システム)は、内部ネットワーク内に、メールサーバ50(図1参照)に代えて、ウェブプロキシサーバ80を備える。   As shown in FIG. 5, the communication system (system) of the second embodiment includes a web proxy server 80 instead of the mail server 50 (see FIG. 1) in the internal network.

そして、システムの管理者は、端末10に、当該端末10がウェブサイトの閲覧(ウェブサーバ90へのアクセス)を行う際には、ウェブプロキシサーバ80を経由するよう設定しておく。また、ファイアウォール30に、送信元または宛先がウェブプロキシサーバ80ではないHTTP(HyperText Transfer Protocol)通信(またはHTTPS(HyperText Transfer Protocol Secure)通信)を受け付けた場合、当該通信を遮断するよう設定しておく。   Then, the system administrator sets the terminal 10 to pass through the web proxy server 80 when the terminal 10 browses a website (access to the web server 90). When the firewall 30 receives HTTP (HyperText Transfer Protocol) communication (or HTTPS (HyperText Transfer Protocol Secure) communication) whose source or destination is not the web proxy server 80, the firewall 30 is set to block the communication. .

ウェブプロキシサーバ80は、端末10がウェブサイトを閲覧する際に代理でHTTP通信を行う。例えば、ウェブプロキシサーバ80は、端末10からウェブサーバ90へのHTTPリクエストを受信すると、このHTTPリクエストをウェブサーバ90へ転送し、ウェブサーバ90から端末10へのHTTPレスポンスを受信すると、このHTTPレスポンスを端末10へ転送する。   The web proxy server 80 performs HTTP communication on behalf of the terminal 10 when browsing the website. For example, when the web proxy server 80 receives an HTTP request from the terminal 10 to the web server 90, the web proxy server 80 transfers the HTTP request to the web server 90 and receives an HTTP response from the web server 90 to the terminal 10. Is transferred to the terminal 10.

ここで、ウェブプロキシサーバ80は、ウェブサーバ90からのHTTPレスポンスにファイルが含まれる場合、このファイルをサンドボックス40に転送する。例えば、ウェブプロキシサーバ80は、HTTPレスポンスに特定種類のファイル(拡張子が.doc、.xls、.exe、.zip等のファイル)が含まれる場合、このファイルをサンドボックス40に転送する。そして、ウェブプロキシサーバ80は、当該HTTPレスポンスを端末10へ転送する。   Here, when a file is included in the HTTP response from the web server 90, the web proxy server 80 transfers this file to the sandbox 40. For example, if the HTTP response includes a specific type of file (files with extensions of .doc, .xls, .exe, .zip, etc.), the web proxy server 80 transfers this file to the sandbox 40. Then, the web proxy server 80 transfers the HTTP response to the terminal 10.

また、コントローラ70は、ウェブプロキシサーバ80からファイルの検査開始通知を受信した後、サンドボックス40から当該ファイルの検査結果を受信するまでの間、当該ファイルの宛先の端末10に接続するスイッチ20のポートに対して、サンプリングレートを高く設定する。   Further, the controller 70 receives the file inspection start notification from the web proxy server 80 and then receives the inspection result of the file from the sandbox 40 until the switch 20 connected to the destination terminal 10 of the file. Set a higher sampling rate for the port.

このような通信システムによれば、端末10のユーザは、ウェブサイトから取得したファイルがサンドボックス40で検査中であっても、当該ファイルをすぐに利用できる。また、端末10がウェブサイトの閲覧によりマルウェアに感染した場合であっても、内部ネットワークの他の端末10への感染を拡大させるリスクを低減することができる。   According to such a communication system, the user of the terminal 10 can use the file immediately even if the file acquired from the website is being inspected in the sandbox 40. Moreover, even if the terminal 10 is infected with malware by browsing a website, the risk of expanding infection to other terminals 10 in the internal network can be reduced.

(ウェブプロキシサーバ)
次に、図6を用いて、ウェブプロキシサーバ80を詳細に説明する。ウェブプロキシサーバ80は、端末10とウェブサーバ90との間のHTTP通信の中継を行う。また、ウェブプロキシサーバ80は、ウェブサーバ90からのHTTPレスポンスに含まれるファイルをサンドボックス40へ転送し、コントローラ70へ当該ファイルの検査開始通知を行う。このウェブプロキシサーバ80は、入出力部81と、制御部82とを備える。 (Web proxy server)
Next, the web proxy server 80 will be described in detail with reference to FIG. The web proxy server 80 relays HTTP communication between the terminal 10 and the web server 90. In addition, the web proxy server 80 transfers a file included in the HTTP response from the web server 90 to the sandbox 40 and notifies the controller 70 of the start of inspection of the file. The web proxy server 80 includes an input / output unit 81 and a control unit 82.

入出力部81は、各種データの入出力を司る。例えば、入出力部81は、ウェブサーバ90から端末10へのHTTP通信を受信したり、当該HTTP通信を端末10へ転送したりするときのインタフェースを司る。   The input / output unit 81 controls input / output of various data. For example, the input / output unit 81 controls an interface for receiving HTTP communication from the web server 90 to the terminal 10 or transferring the HTTP communication to the terminal 10.

制御部82は、ウェブプロキシサーバ80全体の制御を司る。制御部82は、プロキシ処理部821と、ファイル転送部822と、検査通知部823とを備える。   The control unit 82 controls the entire web proxy server 80. The control unit 82 includes a proxy processing unit 821, a file transfer unit 822, and an inspection notification unit 823.

プロキシ処理部821は、端末10とウェブサーバ90との間のHTTP通信の中継を行う。具体的には、端末10からのHTTPリクエストを宛先のウェブサーバ90へ転送し、当該ウェブサーバ90からのHTTPレスポンスを当該端末10へ転送する。   The proxy processing unit 821 relays HTTP communication between the terminal 10 and the web server 90. Specifically, the HTTP request from the terminal 10 is transferred to the destination web server 90, and the HTTP response from the web server 90 is transferred to the terminal 10.

ファイル転送部822は、プロキシ処理部821で受信したHTTPレスポンスにファイルが含まれる場合、当該ファイルをサンドボックス40に転送する。   If the HTTP response received by the proxy processing unit 821 includes a file, the file transfer unit 822 transfers the file to the sandbox 40.

検査通知部823は、ファイル転送部822がサンドボックス40へファイルを転送し、プロキシ処理部821が当該ファイルを含むHTTPレスポンスを端末10へ送信すると、当該端末10の識別情報と、当該ファイルの識別情報とを含むファイルの検査開始通知をコントローラ70に送信する。つまり、検査通知部823は、サンドボックス40での検査が開始されたファイル、およびこのファイルが送信された端末10をコントローラ70に通知する。   When the file transfer unit 822 transfers the file to the sandbox 40 and the proxy processing unit 821 transmits an HTTP response including the file to the terminal 10, the inspection notification unit 823 identifies the identification information of the terminal 10 and the identification of the file. A file inspection start notification including information is transmitted to the controller 70. That is, the inspection notification unit 823 notifies the controller 70 of the file in which the inspection in the sandbox 40 is started and the terminal 10 to which the file is transmitted.

(処理手順)
次に、図7を用いて、第2の実施形態の通信システムの処理手順の例を説明する。図7におけるS1の処理は、図4におけるS1の処理と同じなので、説明を省略し、S21から説明する。 (Processing procedure)
Next, an example of a processing procedure of the communication system according to the second embodiment will be described with reference to FIG. The process of S1 in FIG. 7 is the same as the process of S1 in FIG.

ウェブプロキシサーバ80のプロキシ処理部821は、端末10からのHTTPリクエストを受信すると(S21)、このHTTPリクエストを宛先のウェブサーバ90へ転送する(S22)。その後、プロキシ処理部821は、当該ウェブサーバ90からHTTPレスポンスを受信し(S23)、このHTTPレスポンスにファイルが含まれていれば、ファイル転送部822は、当該ファイルをサンドボックス40に転送する(S24)。なお、このファイルの検査開始通知は、当該メールの宛先の端末10の識別情報と、ファイルの識別情報とを含む。   When receiving the HTTP request from the terminal 10 (S21), the proxy processing unit 821 of the web proxy server 80 transfers the HTTP request to the destination web server 90 (S22). Thereafter, the proxy processing unit 821 receives an HTTP response from the web server 90 (S23), and if the HTTP response includes a file, the file transfer unit 822 transfers the file to the sandbox 40 ( S24). The file inspection start notification includes the identification information of the destination terminal 10 of the mail and the identification information of the file.

S24の後、サンドボックス40は、図4のS5と同様に、ウェブプロキシサーバ80から転送されたファイルの解析を開始する(S5)。また、ウェブプロキシサーバ80のプロキシ処理部821は、S23で受信したHTTPレスポンスを宛先の端末10へ転送する(S25)。また、検査通知部823は、S24でサンドボックス40に転送したファイルの検査開始通知をコントローラ70へ送信する(S26)。なお、このファイルの検査開始通知は、当該ファイルの宛先の端末10の識別情報と、当該ファイルの識別情報とを含む。   After S24, the sandbox 40 starts analyzing the file transferred from the web proxy server 80, similarly to S5 of FIG. 4 (S5). Further, the proxy processing unit 821 of the web proxy server 80 transfers the HTTP response received in S23 to the destination terminal 10 (S25). In addition, the inspection notification unit 823 transmits an inspection start notification of the file transferred to the sandbox 40 in S24 to the controller 70 (S26). The file inspection start notification includes the identification information of the destination terminal 10 of the file and the identification information of the file.

S26の後、コントローラ70が、ウェブプロキシサーバ80から、ファイルの検査開始通知を受信すると、図4のS7と同様に、制御対象特定部731は、端末管理情報を参照して、当該検査開始通知に示される端末10に接続しているスイッチ20およびポートを特定する(S7)。そして、スイッチ制御部733は、図4のS8と同様に、当該スイッチ20のポートに対し、パケットのサンプリングレートを高くするよう設定する(S8)。その後のS9〜S18の処理は、図7のS9〜S18の処理と同様なので説明を省略する。   After S26, when the controller 70 receives a file inspection start notification from the web proxy server 80, the control target specifying unit 731 refers to the terminal management information, as in S7 of FIG. The switch 20 and the port connected to the terminal 10 shown in (2) are specified (S7). Then, similarly to S8 of FIG. 4, the switch control unit 733 sets the packet sampling rate to be high for the port of the switch 20 (S8). The subsequent processes in S9 to S18 are the same as the processes in S9 to S18 in FIG.

このような通信システムによれば、端末10のユーザは、ウェブ閲覧により取得されたファイルがサンドボックス40で検査中であっても、当該ファイルをすぐに利用できる。また、コントローラ70は、サンドボックス40での当該ファイルの検査中、当該ファイルの送信先の端末10におけるパケットのサンプリングレートを高くする等の監視強化を行うので、当該端末10が、当該ファイルによりマルウェアに感染した場合であっても、内部ネットワークの他の端末10への感染を拡大させるリスクを低減することができる。よって、内部ネットワークの端末10のユーザの利便性を向上させつつ、マルウェアに感染した端末10が内部ネットワークの他の端末10への感染を拡大させるリスクを低減することができる。また、サンプリングレートの増大は検査中のファイルを受信した端末10における送受信パケットに限定して行われるため、スイッチ20の負荷や通信路の帯域の増加を限定的なものとすることができる。   According to such a communication system, the user of the terminal 10 can use the file immediately even if the file acquired by browsing the web is being inspected in the sandbox 40. In addition, during the inspection of the file in the sandbox 40, the controller 70 performs monitoring enhancement such as increasing the packet sampling rate in the terminal 10 that is the transmission destination of the file. Even if it is a case where it infects, the risk of expanding infection to other terminals 10 in the internal network can be reduced. Therefore, it is possible to reduce the risk that the terminal 10 infected with malware expands infection to other terminals 10 in the internal network while improving the convenience of the user of the terminal 10 in the internal network. In addition, since the increase in sampling rate is limited to transmission / reception packets in the terminal 10 that has received the file under inspection, the increase in the load of the switch 20 and the bandwidth of the communication path can be limited.

[その他の実施形態]
なお、第1の実施形態で述べたメールサーバ50の機能を、通常のメールサーバとメールゲートウェイとの組み合わせで実現してもよい。例えば、図8に示すメールゲートウェイ50aとメールサーバ50bとの組み合わせにより実現してもよい。なお、通信システムの管理者は、内部ネットワークのドメイン宛のメールが、メールサーバ50bではなくメールゲートウェイ50aへ届くように、DNS(Domain Name System)の公開情報を変更しておくものとする。また、メールゲートウェイ50aとメールサーバ50bとは、例えば、スイッチ20により接続されるものとする。 [Other Embodiments]
Note that the function of the mail server 50 described in the first embodiment may be realized by a combination of a normal mail server and a mail gateway. For example, it may be realized by a combination of the mail gateway 50a and the mail server 50b shown in FIG. Note that the administrator of the communication system changes DNS (Domain Name System) public information so that mail addressed to the domain of the internal network reaches the mail gateway 50a instead of the mail server 50b. In addition, the mail gateway 50a and the mail server 50b are connected by the switch 20, for example.

メールゲートウェイ50aは、図8に示すように入出力部51aと制御部52aとを備え、制御部52aは、メール受信部521aと、添付ファイル転送部522と、検査通知部524aとを備える。メール受信部521aは、インターネットからメールを受信すると、このメールをメールサーバ50bに転送する。添付ファイル転送部522は、メールに添付ファイルがある場合、当該添付ファイルをサンドボックス40へ送信する。検査通知部524aは、所定期間ごとにメールサーバ50bにおけるメールの送信ログを監視し、監視期間中にメールサーバ50bが上記の添付ファイルの宛先の端末10へメールを配信したことを検知すると、当該添付ファイルの検査開始通知をコントローラ70へ送信する。   As shown in FIG. 8, the mail gateway 50a includes an input / output unit 51a and a control unit 52a. The control unit 52a includes a mail reception unit 521a, an attached file transfer unit 522, and an inspection notification unit 524a. When receiving mail from the Internet, the mail receiving unit 521a transfers this mail to the mail server 50b. When there is an attached file in the mail, the attached file transfer unit 522 transmits the attached file to the sandbox 40. The inspection notification unit 524a monitors the mail transmission log in the mail server 50b every predetermined period, and detects that the mail server 50b has delivered the mail to the terminal 10 that is the destination of the attached file during the monitoring period. A notification of inspection start of the attached file is transmitted to the controller 70.

また、メールサーバ50bは、通常のメールサーバと同様の機能を備える。つまり、図8に示すようにメールサーバ50bは、入出力部51bと制御部52bとを備え、制御部52bは、メール配信部523を備える。このメール配信部523は、入出力部51b経由でメールゲートウェイ50aから転送されたメールを受信すると、このメールを宛先の端末10へ配信する。   The mail server 50b has the same function as a normal mail server. That is, as shown in FIG. 8, the mail server 50b includes an input / output unit 51b and a control unit 52b, and the control unit 52b includes a mail distribution unit 523. Upon receiving the mail transferred from the mail gateway 50a via the input / output unit 51b, the mail distribution unit 523 distributes the mail to the destination terminal 10.

このようにすることで、通常のメールサーバを用いて、第1の実施形態の通信システムの機能を実現することができる。   By doing in this way, the function of the communication system of 1st Embodiment is realizable using a normal mail server.

なお、通信システムは、第1の実施形態で述べたメールサーバ50と、第2の実施形態で述べたウェブプロキシサーバ80とを備え、端末10へのメールによるマルウェア侵入への対処と、端末10のウェブサイトの閲覧によるマルウェア侵入への対処との両方を行うようにしてもよい。   The communication system includes the mail server 50 described in the first embodiment and the web proxy server 80 described in the second embodiment, and copes with malware intrusion by mail to the terminal 10 and the terminal 10. You may be made to perform both the countermeasures against the malware intrusion by browsing the website.

また、コントローラ70のスイッチ制御部733は、端末10に接続するスイッチ20のポートごとにサンプリングレートを変更することとしたが、これに限定されない。例えば、前記したOpenFlow 1.3.0では、パケットの処理方法を5tuple(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号およびプロトコル番号の組)で特定されるフローごとに指定することができる。そのため、スイッチ制御部733は、例えば、特定のIPアドレス(サンドボックス40で検査中のファイルを受信した端末10のIPアドレス)を宛先アドレスまたは送信元アドレスとするIPパケットに高いサンプリングレートを設定してもよい。   In addition, the switch control unit 733 of the controller 70 changes the sampling rate for each port of the switch 20 connected to the terminal 10, but is not limited thereto. For example, in the aforementioned OpenFlow 1.3.0, the packet processing method is specified for each flow specified by 5 tuples (a combination of a source IP address, a destination IP address, a source port number, a destination port number, and a protocol number). Can do. Therefore, for example, the switch control unit 733 sets a high sampling rate for an IP packet having a specific IP address (the IP address of the terminal 10 that received the file under examination in the sandbox 40) as a destination address or a source address. May be.

(プログラム)
また、各実施形態で述べたメールサーバ50、コントローラ70、ウェブプロキシサーバ80の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実現できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置をメールサーバ50、コントローラ70、ウェブプロキシサーバ80として機能させることができる。ここで言う情報処理装置は、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)であってもよい。 (program)
Moreover, it can implement | achieve by installing the program which implement | achieves the function of the mail server 50 described in each embodiment, the controller 70, and the web proxy server 80 in a desired information processing apparatus (computer). For example, the information processing apparatus can function as the mail server 50, the controller 70, and the web proxy server 80 by causing the information processing apparatus to execute the program provided as package software or online software. The information processing apparatus referred to here includes a desktop or notebook personal computer. In addition, the information processing apparatus may be a mobile communication terminal such as a smartphone, a mobile phone, or a PHS (Personal Handyphone System), or a PDA (Personal Digital Assistants).

以下に、上記のプログラムを実行するコンピュータの一例を説明する。図9は、プログラムを実行するコンピュータを示す図である。図9に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。   An example of a computer that executes the above program will be described below. FIG. 9 is a diagram illustrating a computer that executes a program. As shown in FIG. 9, the computer 1000 includes, for example, a memory 1010, a CPU (Central Processing Unit) 1020, a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network. Interface 1070. These units are connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。   The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM (Random Access Memory) 1012. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1090. The disk drive interface 1040 is connected to the disk drive 1100. A removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100, for example. For example, a mouse 1110 and a keyboard 1120 are connected to the serial port interface 1050. For example, a display 1130 is connected to the video adapter 1060.

ここで、図9に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。前記した各実施形態で説明した各種データや情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。   Here, as shown in FIG. 9, the hard disk drive 1090 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. Various data and information described in the above embodiments are stored in, for example, the hard disk drive 1090 or the memory 1010.

そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。   Then, the CPU 1020 reads out the program module 1093 and the program data 1094 stored in the hard disk drive 1090 to the RAM 1012 as necessary, and executes the above-described procedures.

なお、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。   The program module 1093 and the program data 1094 related to the above program are not limited to being stored in the hard disk drive 1090. For example, the program module 1093 and the program data 1094 are stored in a removable storage medium and read by the CPU 1020 via the disk drive 1100 or the like. May be issued. Alternatively, the program module 1093 and the program data 1094 related to the above program are stored in another computer connected via a network such as a LAN or a WAN (Wide Area Network) and read by the CPU 1020 via the network interface 1070. May be.

10 端末
20 スイッチ
30 ファイアウォール
40 サンドボックス
50,50b メールサーバ
50a メールゲートウェイ
60 コレクタ
70 コントローラ
80 ウェブプロキシサーバ
90 ウェブサーバ
521,521a メール受信部
522 ファイル転送部
523 メール配信部
524,524a,823 検査通知部
731 制御対象特定部
732 検査結果受信部
733 スイッチ制御部
821 プロキシ処理部
822 ファイル転送部 DESCRIPTION OF SYMBOLS 10 Terminal 20 Switch 30 Firewall 40 Sandbox 50, 50b Mail server 50a Mail gateway 60 Collector 70 Controller 80 Web proxy server 90 Web server 521,521a Mail receiving part 522 File transfer part 523 Mail delivery part 524, 524a, 823 Inspection notification part 731 Control target identification unit 732 Inspection result reception unit 733 Switch control unit 821 Proxy processing unit 822 File transfer unit

Claims (9)

端末へデータを送信するサーバと、前記端末で送受信するパケットの監視強化を行うコントローラとを備える通信システムであって、
前記サーバは、
インターネットから前記端末へのデータにファイルが含まれる場合、前記ファイルを、動的解析によりファイルの検査を行う解析装置に転送し、前記ファイルを含むデータを前記端末に転送し、当該端末の識別情報を含む前記ファイルの検査開始通知を前記コントローラに送信し、
前記コントローラは、
前記検査開始通知を受信した場合、前記検査開始通知の受信前よりも、当該端末で送受信するパケットの監視を強化することを特徴とする通信システム。 A communication system comprising a server for transmitting data to a terminal and a controller for enhancing monitoring of packets transmitted and received at the terminal,
The server
When a file is included in data from the Internet to the terminal, the file is transferred to an analysis device that performs file inspection by dynamic analysis, data including the file is transferred to the terminal, and identification information of the terminal A check start notification of the file containing
The controller is
When the inspection start notification is received, the communication system is characterized in that monitoring of packets transmitted and received by the terminal is strengthened as compared to before the inspection start notification is received. 前記コントローラは、
前記解析装置による前記ファイルの検査の結果、前記ファイルが悪性ではないと判定された場合、当該端末で送受信するパケットの監視強化を解除することを特徴とする請求項1に記載の通信システム。 The controller is
2. The communication system according to claim 1, wherein when the file is determined not to be malignant as a result of the inspection of the file by the analysis device, monitoring enhancement of a packet transmitted and received by the terminal is canceled. 前記通信システムは、さらに
前記端末で送受信されるデータの中継を行うスイッチと、前記スイッチからサンプリングされたパケットを検査するコレクタとを備え、
前記コントローラは、
前記検査開始通知を受信した場合、前記検査開始通知に示される端末に接続するスイッチを特定し、特定した前記スイッチに対し、当該端末で送受信するパケットのサンプリングのサンプリングレートを、前記検査開始通知の受信前よりも高く設定することにより前記監視強化を行うことを特徴とする請求項1に記載の通信システム。 The communication system further includes a switch that relays data transmitted and received at the terminal, and a collector that inspects packets sampled from the switch,
The controller is
When the inspection start notification is received, the switch connected to the terminal indicated in the inspection start notification is specified, and the sampling rate of sampling of packets transmitted and received at the terminal is specified for the specified switch. The communication system according to claim 1, wherein the monitoring enhancement is performed by setting a value higher than that before reception. 前記コントローラは、
前記解析装置による前記ファイルの検査の結果、前記ファイルが悪性ではないと判定された場合、前記スイッチに対し、当該端末で送受信するパケットのサンプリングレートを前記検査開始通知の受信前の値に戻すことを特徴とする請求項3に記載の通信システム。 The controller is
If it is determined that the file is not malicious as a result of the inspection of the file by the analysis device, the switch returns the sampling rate of packets transmitted and received at the terminal to the value before reception of the inspection start notification to the switch. The communication system according to claim 3. 前記コントローラは、
前記解析装置による前記ファイルの検査の結果が、前記ファイルが悪性である旨の判定である場合、前記スイッチに対し、当該端末に接続するポートを遮断するよう指示することを特徴とする請求項3に記載の通信システム。 The controller is
4. The switch is instructed to block a port connected to the terminal if the result of the inspection of the file by the analysis device is a determination that the file is malicious. The communication system according to 1. 前記サーバは、メールサーバであることを特徴とする請求項1に記載の通信システム。   The communication system according to claim 1, wherein the server is a mail server. 前記サーバは、前記端末からウェブサーバへのHTTPリクエストを前記ウェブサーバに転送し、当該ウェブサーバからの当該端末へのHTTPレスポンスを当該端末に転送するウェブプロキシサーバであり、当該HTTPレスポンスにファイルが含まれる場合、前記ファイルを、前記解析装置に転送することを特徴とする請求項1に記載の通信システム。   The server is a web proxy server that forwards an HTTP request from the terminal to a web server to the web server, and forwards an HTTP response from the web server to the terminal to the terminal, and a file is included in the HTTP response. The communication system according to claim 1, wherein, if included, the file is transferred to the analysis device. 前記サーバは、前記端末へのデータに所定の種類のファイルが含まれる場合、前記所定の種類のファイルを、前記解析装置に転送することを特徴とする請求項1に記載の通信システム。   2. The communication system according to claim 1, wherein, when the data to the terminal includes a predetermined type of file, the server transfers the predetermined type of file to the analysis device. 端末へデータを送信するサーバと、前記端末で送受信するパケットの監視強化を行うコントローラとを備える通信システムを用いた通信方法であって、
前記サーバが、
インターネットから前記端末へのデータにファイルが含まれる場合、前記ファイルを、動的解析によりファイルの検査を行う解析装置に転送するステップと、
前記ファイルを含むデータを前記端末に転送するステップと、
当該端末の識別情報を含む前記ファイルの検査開始通知を前記コントローラに送信するステップと、
前記コントローラが、
前記検査開始通知を受信した場合、前記検査開始通知の受信前よりも、当該端末で送受信するパケットの監視を強化するステップと、
を含んだことを特徴とする通信方法。 A communication method using a communication system comprising a server for transmitting data to a terminal and a controller for enhancing monitoring of packets transmitted and received at the terminal,
The server is
If the data from the Internet to the terminal includes a file, transferring the file to an analysis device that performs file inspection by dynamic analysis;
Transferring data including the file to the terminal;
Transmitting an inspection start notification of the file including identification information of the terminal to the controller;
The controller is
When receiving the inspection start notification, the step of strengthening monitoring of packets transmitted and received by the terminal than before reception of the inspection start notification;
The communication method characterized by including.
JP2016151185A 2016-08-01 2016-08-01 Communication system and communication method Active JP6563872B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016151185A JP6563872B2 (en) 2016-08-01 2016-08-01 Communication system and communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016151185A JP6563872B2 (en) 2016-08-01 2016-08-01 Communication system and communication method

Publications (2)

Publication Number Publication Date
JP2018022944A true JP2018022944A (en) 2018-02-08
JP6563872B2 JP6563872B2 (en) 2019-08-21

Family

ID=61166150

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016151185A Active JP6563872B2 (en) 2016-08-01 2016-08-01 Communication system and communication method

Country Status (1)

Country Link
JP (1) JP6563872B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020003845A (en) * 2018-06-25 2020-01-09 コニカミノルタ株式会社 Information processing apparatus, virus check method and program

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020003845A (en) * 2018-06-25 2020-01-09 コニカミノルタ株式会社 Information processing apparatus, virus check method and program
JP7155657B2 (en) 2018-06-25 2022-10-19 コニカミノルタ株式会社 Information processing device and program

Also Published As

Publication number Publication date
JP6563872B2 (en) 2019-08-21

Similar Documents

Publication Publication Date Title
US10992704B2 (en) Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network
US20230388349A1 (en) Policy enforcement using host information profile
US20210119969A1 (en) Outbound/inbound lateral traffic punting based on process risk
US8990944B1 (en) Systems and methods for automatically detecting backdoors
US10855656B2 (en) Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation
US11861008B2 (en) Using browser context in evasive web-based malware detection
US10505975B2 (en) Automatic repair of corrupt files for a detonation engine
US8528092B2 (en) System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking
CN109688153B (en) Zero-day threat detection using host application/program to user agent mapping
JP6502902B2 (en) Attack detection device, attack detection system and attack detection method
WO2018157626A1 (en) Threat detection method and apparatus
JP5980968B2 (en) Information processing apparatus, information processing method, and program
WO2019184664A1 (en) Method, apparatus, and system for detecting malicious file
WO2023040303A1 (en) Network traffic control method and related system
CN109905352B (en) Method, device and storage medium for auditing data based on encryption protocol
JP6563872B2 (en) Communication system and communication method
US10917388B2 (en) Software defined network routing for secured communications and information security
JP5738042B2 (en) Gateway device, information processing device, processing method, and program
US20230422040A1 (en) 5g lan security
JP6676790B2 (en) Request control device, request control method, and request control program
JP5986695B2 (en) Information processing apparatus, processing method, and program
JP5893787B2 (en) Information processing apparatus, processing method, and program
JP2016031687A (en) Malware communication control device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180828

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190508

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190514

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190626

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190723

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190725

R150 Certificate of patent or registration of utility model

Ref document number: 6563872

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150