JP2018032975A - Relay device, communication system, relay method, and relay program - Google Patents
Relay device, communication system, relay method, and relay program Download PDFInfo
- Publication number
- JP2018032975A JP2018032975A JP2016163645A JP2016163645A JP2018032975A JP 2018032975 A JP2018032975 A JP 2018032975A JP 2016163645 A JP2016163645 A JP 2016163645A JP 2016163645 A JP2016163645 A JP 2016163645A JP 2018032975 A JP2018032975 A JP 2018032975A
- Authority
- JP
- Japan
- Prior art keywords
- frame
- list
- relay device
- time
- day
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、データ通信におけるデータの中継をするための中継装置、通信システム、中継方法、及び中継用プログラムに関する。 The present invention relates to a relay device, a communication system, a relay method, and a relay program for relaying data in data communication.
近年、IoT(Internet of Things)に総称されるように、あらゆるものがインターネットに接続されるようになってきている。例えば、独自のプロトコルで、通信していた工場やプラントの制御ネットワークを、新たにインターネットに接続するようなことが行われている。 In recent years, everything is connected to the Internet as generically called IoT (Internet of Things). For example, a factory or plant control network that has been communicating with a unique protocol is newly connected to the Internet.
このようにインターネットに接続されることにより、新たな付加価値、機器管理など多様な恩恵が得られる一方、不正アクセスやDoS攻撃(Denial of Service attack)といった手段を用いた、悪意のある者からの脅威にさらされることにもなる。 By connecting to the Internet in this way, various benefits such as new added value and device management can be obtained. On the other hand, from malicious persons using means such as unauthorized access and DoS attack (Denial of Service attack) You are also under threat.
しかしながら、例えば、工場やプラントに設置されている、工作機器、センサ及びカメラといった機器のそれぞれに、悪意のある者からの脅威の対策を施すことは容易ではない。なぜならば、工作機器、センサ及びカメラ等の機器には、そもそもこのような対策を施すための機能が実装されていないことがあるからである。 However, for example, it is not easy to take measures against threats from a malicious person on each of equipment such as machine tools, sensors, and cameras installed in factories and plants. This is because machine tools, sensors, cameras, and other devices may not have a function for taking such measures in the first place.
そのため、これら機器そのものではなく、これらの機器の通信を中継する中継装置が、悪意のある者からの脅威に対応するためのセキュリティ機能を備えることが重要となる。 Therefore, it is important that the relay device that relays communication of these devices, not the devices themselves, has a security function for dealing with threats from malicious persons.
そのような中、例えば、特許文献1においては、許容された通信規制に合致するパケットのリストを予め格納し、当該リストに合致するパケットの通信を許容するネットワークスイッチが開示されている。
Under such circumstances, for example,
しかし、特許文献1に係る装置においては、特定の端末において、平常時は通信させたくないが、ある曜日のある時間にのみ通信させたいといった場合に対応できないという問題があった。更に、正規の通信フローにおいて、特定ポート向けの通信量が、通常時などと比較し増減があった場合に、正規の通信フローを遮断、或いは、迂回、帯域制御等を含む通信制御が出来ないという問題があった。
However, the apparatus according to
この点、例えば特許文献2においては、ユーザの操作と当該操作をした時に発生した異常との対応関係が、異常発生時の日時と共に記載されたリストが生成され、当該リストに基づいて、異常が発生する確度の高いユーザの操作を警告する発明が開示されている。しかし、特許文献2に係る発明においては、リストに記載の日時はあくまで過去の時刻であり、リストのデータは過去の実績を蓄積したものにすぎないため、現時点以降のスケジュールに応じて動作を制御するものではない。更に、現時点の日時によって参照するリストを切り替えるものでもない。
In this regard, for example, in
そこで、本発明は、運用時の曜日と時刻に応じて通信を制御することのできる中継装置を提供することを目的とする。更に、正規の通信フローにおいて、通信量が通常時と比較し増減があった場合に、正規の通信フローに対し、遮断、迂回、帯域制御、監視等の制御を実施可能な中継装置を提供することを目的とする。 Therefore, an object of the present invention is to provide a relay device that can control communication according to the day of the week and the time of operation. Further, the present invention provides a relay device capable of performing control such as blocking, detouring, bandwidth control, monitoring and the like for the regular communication flow when the communication volume in the regular communication flow increases or decreases compared with the normal time. For the purpose.
本発明の第1の観点によれば、中継装置であって、当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、受信したフレームを前記リストと照合する解析手段と、前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合することを特徴とする中継装置が提供される。 According to a first aspect of the present invention, a relay device that stores a list of frames to be subjected to first processing after reception by the relay device, and compares the received frame with the list When the received frame matches the frame described in the list at the time of verification by the analyzing unit and the analyzing unit, the first processing is performed on the received frame, and when the received frame does not match, Control means for performing a second process on the received frame, and a plurality of lists exist according to the day of the week and time, and the analysis means includes a list corresponding to the received frame and the day of the week and time of operation, A relay device is provided that is characterized by collating.
本発明の第2の観点によれば、中継装置であって、当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、受信したフレームを前記リストと照合する解析手段と、前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、前記リストは、運用時の通信量に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の通信量に対応したリストとを照合することを特徴とする中継装置が提供される。 According to a second aspect of the present invention, a relay device that stores a list of frames to be subjected to the first processing after reception by the relay device, and compares the received frame with the list When the received frame matches the frame described in the list at the time of verification by the analyzing unit and the analyzing unit, the first processing is performed on the received frame, and when the received frame does not match, Control means for performing a second process on the received frame, and a plurality of lists exist according to the traffic during operation, and the analysis means corresponds to the received frame and traffic during operation. There is provided a relay device characterized by collating with a list.
本発明の第3の観点によれば、上記の中継装置と、上記の中継装置に接続された設定用端末とを備えた通信システムであって、前記設定用端末が受け付けたユーザからの操作に応じて、前記各処理それぞれの内容及び前記リストの内容の、一部又は全部を変更することを特徴とする通信システムが提供される。 According to a third aspect of the present invention, there is provided a communication system including the relay device and a setting terminal connected to the relay device, wherein the setting terminal accepts an operation from a user. Accordingly, there is provided a communication system characterized in that a part or all of the contents of the respective processes and the contents of the list are changed.
本発明の第4の観点によれば、中継装置で用いられる中継方法であって、前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶するステップと、受信したフレームを前記リストと照合するステップと、前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をするステップとを有し、前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合することを特徴とする中継方法が提供される。 According to a fourth aspect of the present invention, there is provided a relay method used in a relay device, the step of storing a list of frames to be subjected to first processing after reception by the relay device, and the received frame When the received frame matches the frame described in the list at the time of checking with the list and the analysis means, the first processing is performed on the received frame, and the received frame does not match Includes a step of performing a second process on the received frame, and the list includes a plurality of lists according to a day of the week and a time, and the analysis means corresponds to the received frame and a day of the week and a time of operation. A relay method is provided which is characterized by collating with the list.
本発明の第5の観点によれば、コンピュータを中継装置として機能させる中継用プログラムであって、前記コンピュータを、前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、受信したフレームを前記リストと照合する解析手段と、前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合する中継装置として機能させる中継用プログラムが提供される。 According to a fifth aspect of the present invention, there is provided a relay program for causing a computer to function as a relay device, wherein the computer stores a list of frames to be subjected to first processing after being received by the relay device. A storage unit; an analysis unit that collates the received frame with the list; and when the received frame matches the frame described in the list at the time of the collation by the analysis unit, the received frame includes the first frame If the received frame does not match, the received frame includes a control unit that performs a second process. The list includes a plurality of lists according to a day of the week and a time, and the analyzing unit includes the received frame. And a relay program that functions as a relay device that collates the list corresponding to the day and time of operation.
本発明によれば、中継時に適切な処理を行うことが可能となる。 According to the present invention, it is possible to perform appropriate processing during relaying.
<本発明の各実施形態の概略>
まず、本発明の各実施形態の概略について説明する。
<Outline of each embodiment of the present invention>
First, the outline of each embodiment of the present invention will be described.
本発明の実施形態では、問題の無いと考えられる通信先を特定する情報をリストとし(このようなリストを、以下「許可リスト」と呼ぶ。)、この許可リストに一致するフレームについては転送を許可し、この許可リストに一致しないフレームについては破棄する方法を採用する。 In the embodiment of the present invention, information specifying communication destinations considered to have no problem is used as a list (such a list is hereinafter referred to as a “permission list”), and a frame matching this permission list is transferred. A method of permitting and discarding frames that do not match the permission list is adopted.
ここで、本発明においては、複数の許可リストを用意する。例えば、曜日及び時間に応じ、各曜日の8:30〜17:29用の許可リストと、各曜日の17:30〜8:29用の許可リストとを用意する。これにより、曜日及び時間に応じて、通信制御の方法を切り替えるセキュリティスイッチを提供することが可能となる。 Here, in the present invention, a plurality of permission lists are prepared. For example, a permission list for 8:30 to 17:29 of each day of the week and a permission list for 17:30 to 8:29 of each day of the week are prepared according to the day of the week and time. This makes it possible to provide a security switch that switches the communication control method according to the day of the week and the time.
あるいは、通信量に応じ、通信量が正常の場合の許可リストと、通信量が異常の場合の許可リストとを用意する。これにより、通信量に異常が見られた場合に、正規の通信フローに対し遮断などの制御をすることが可能なセキュリティスイッチを提供することが可能となる。 Alternatively, a permission list when the communication amount is normal and a permission list when the communication amount is abnormal are prepared according to the communication amount. As a result, it is possible to provide a security switch capable of performing control such as blocking a normal communication flow when an abnormality is found in the communication amount.
更に、本発明の実施形態では、かかる許可リストの少なくとも一部を自動的に生成する機能も提供する。 Furthermore, the embodiment of the present invention also provides a function of automatically generating at least a part of such a permission list.
具体的には、中継装置に、登録期間と運用期間を設ける。そして、登録期間において中継装置に入力したフレームを許可リストに追加することにより許可リストを自動生成する。このとき、自動生成した許可リストを、ユーザの操作により、手動で追加や削除することを可能としてもよい。 Specifically, a registration period and an operation period are provided in the relay device. Then, the permission list is automatically generated by adding the frame input to the relay apparatus during the registration period to the permission list. At this time, the automatically generated permission list may be manually added or deleted by a user operation.
その後、登録期間から運用期間に切り替え、中継装置に入力したフレームと、登録期間で自動生成した許可リストとを比較し、一致したらならばフレームを通過させ、不一致であればフレームを破棄等する。 Thereafter, the registration period is switched to the operation period, and the frame input to the relay apparatus is compared with the permission list automatically generated during the registration period. If they match, the frame is passed, and if they do not match, the frame is discarded.
これにより、許可リストの自動生成及び許可リストによるセキュリティ管理を行うことができる。 Accordingly, automatic generation of a permission list and security management by the permission list can be performed.
以上が、本発明の実施形態の概略である。 The above is the outline of the embodiment of the present invention.
次に、本発明の実施形態について図面を参照して詳細に説明する。ここで、以下では、本発明の実施形態を3つ説明する。
まず、第1の実施形態は、曜日・時間毎に許可リストを生成し、運用時の曜日・時間に応じて参照する許可リストを切り替える形態である。
次に、第2の実施形態は、通信量毎に許可リストを生成し、運用時の通信量に応じて参照する許可リストを切り替える形態である。
更に、第3の実施形態は、曜日・時間・通信量毎に許可リストを生成し、運用時の曜日・時間・通信量に応じて参照する許可リストを切り替える形態である。
以下では、これら3つの実施形態について順に説明する。
Next, embodiments of the present invention will be described in detail with reference to the drawings. Here, three embodiments of the present invention will be described below.
First, the first embodiment is a mode in which a permission list is generated for each day of the week and time, and the permission list to be referred to is switched according to the day of the week and time during operation.
Next, in the second embodiment, a permission list is generated for each communication amount, and the permission list to be referred to is switched according to the communication amount during operation.
Furthermore, in the third embodiment, a permission list is generated for each day of the week / time / communication amount, and the permission list to be referred to is switched according to the day of the week / time / communication amount during operation.
Hereinafter, these three embodiments will be described in order.
<第1の実施形態>
以下、本発明の第1の実施形態について図1乃至図8−2を参照しながら、詳述する。
<First Embodiment>
Hereinafter, a first embodiment of the present invention will be described in detail with reference to FIGS. 1 to 8-2.
図1を参照すると本実施形態は、セキュリティスイッチ100、複数の通信端末10−1乃至10−n(これらをここでは、「通信端末10」とも総称する)、設定用端末50、ファイアウォール500及びインターネット700を含む。(なお、セキュリティスイッチは、本明細書において「中継装置」とも呼称する。)
Referring to FIG. 1, the present embodiment includes a
ここで、セキュリティスイッチ100は、通信端末10間の通信や、通信端末10によるファイアウォール500及びインターネット700を介した通信を中継するためのセキュリティスイッチである。
Here, the
この点、本実施形態では、図示しているようにセキュリティスイッチ100とインターネット700との間にファイアウォール500を設けている。そして、このファイアウォール500に対してユーザのポリシーに従った設定を行うことにより、インターネット700からの、ウイルス等の悪意のあるデータの流入や、意図しないデータのインターネット300への流出を防止することができる。
In this regard, in the present embodiment, a
しかしながら、ファイアウォール500は、インターネット700に存在する機器との間の通信において機能するが、各通信端末10間の通信については機能しない。そこで、本実施形態では、各通信端末10間での不適切な通信を防止するために、単なる中継装置ではなくセキュリティ機能を搭載したセキュリティスイッチ100を接続する。
However, the
そして、セキュリティスイッチ100は、上述している許可リストを利用した処理を行うことにより、悪意のあるフレームを転送しないようにする。セキュリティスイッチ100には複数の接続用のポートが設けられ、かかるポートに各通信端末10やファイアウォール500が接続される。
Then, the
複数の通信端末10は、それぞれが通信機能を有する端末である。通信端末10は、セキュリティスイッチ100を介して他の通信端末10との間で通信を行う。かかる通信は、例えば、IP(Internet Protocol)や、TCP(Transmission Control Protocol)や、FTP(File Transfer Protocol)といった一般的なプロトコルに準拠して実行される。なお、実際にやり取りされるデータの内容、すなわち、ペイロード部分に含まれる内容がどのような内容であるのか等については、特に制限は無い。
The plurality of
また、例えば一部の通信端末10が、インターネット700に存在する端末と通信を行う機能を有していても良い。更に、通信端末10は、ユーザが直接操作するような端末で実現しても良いが、工場やプラントに設置されている、工作機器、センサ及びカメラといった機器で実現しても良い。また、工作機械を制御するPLC(Programmable Logic Controller)等の機器であっても良い。
Further, for example, some
設定用端末50は、セキュリティスイッチ100についての設定を行うための端末である。設定用端末50は、本実施形態を管理する管理者等により用いられる。設定用端末50は、セキュリティスイッチ100を設定するための専用の端末で実現しても良いが、セキュリティスイッチ100を設定するためのソフトウェア等を追加した、パーソナルコンピュータ等の汎用の端末で実現しても良い。
The setting
インターネット700は、通信端末10等が外部と通信を行うためにファイアウォール500を介してセキュリティスイッチ100に接続されている。
The
ファイアウォール500は、インターネット700との間で送受信するデータを監視し、悪意があると考えられるデータを廃棄する機能を有する。
The
ここで、図2(A)に示すように、例えば平日(月曜日から金曜日)の8:30〜17:29の時間帯においては、PC10−1とサーバPC10−3との間、及びPC10−2とサーバPC10−3との間の通信のみを許可するものとする。一方で、平日(月曜日から金曜日)の17:30〜8:29の時間帯においては、図2(B)に示すように、サーバPC10−3とバックアップ・サーバPC10−4との間に通信のみを許可するものとする。 Here, as shown in FIG. 2A, for example, in the time zone from 8:30 to 17:29 on weekdays (Monday to Friday), between the PC 10-1 and the server PC 10-3, and the PC 10-2. Only communication between the server PC 10-3 and the server PC 10-3 is permitted. On the other hand, in the time zone from 17:30 to 8:29 on weekdays (Monday to Friday), as shown in FIG. 2B, only communication is performed between the server PC 10-3 and the backup server PC 10-4. Shall be permitted.
そこで、図3に示すように複数の許可リストを用意する。すなわち、各曜日の8:30〜17:29及び17:30〜8:29のそれぞれの時間帯毎に、許可リストを生成し、運用の際に参照するとする。例えば、日曜日の8:30〜17:29の時間帯におけるセキュリティスイッチ100の運用のために、「日−昼」という許可リストを生成し、当該時間帯においては、「日−昼」という許可リストを参照して通信を制御する。同様に、日曜日の17:30〜8:29の時間帯におけるセキュリティスイッチ100の運用のために、「日−夜」という許可リストを生成し、当該時間帯においては、「日−夜」という許可リストを参照して通信を制御する。以下同様に、月曜日から土曜日各々の、8:30〜17:29及び17:30〜8:29の時間帯毎に、許可リストを生成し、各許可リストが対応する時間帯に当該許可リストを参照することにより、セキュリティスイッチ100を運用する。
Therefore, a plurality of permission lists are prepared as shown in FIG. That is, it is assumed that a permission list is generated for each time zone from 8:30 to 17:29 and 17:30 to 8:29 on each day of the week, and is referred to during operation. For example, for the operation of the
図4に示すのは、平日(月〜金)の8:30〜17:29の時間帯に対応する許可リストの例である。すなわち、図3の表における、「月−昼」、「火−昼」、「水−昼」、「木−昼」、「金−昼」なる名称の許可リストの例である。 FIG. 4 shows an example of a permission list corresponding to a time zone of 8:30 to 17:29 on weekdays (Monday to Friday). That is, in the table of FIG. 3, an example of a permission list having names “Monday-daytime”, “Tue-daytime”, “Wednesday-daytime”, “Thursday-daytime”, and “Friday-daytime”.
具体的には、例えば、項番1は、受信ポート1から受信したフレームのMAC−DA(宛先マックアドレス(Destination address))が“M−PC3”、MAC−SA(送信元マックアドレス(Source address))が“M−PC1”、Typeが“0x0800”(IPv4)、VIDが“0”、IP−SA(送信元IPアドレス)が“IP−PC1”、IP−DA(宛先IPアドレス)が“IP−PC3”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“3000”、L4DP(TCPヘッダ内の宛先ポート番号)が“23”のフレームを示す。
Specifically, for example, item No. 1 is that the MAC-DA (destination mac address (Destination address)) of the frame received from the receiving
また、図5に示すのは、平日(月〜金)の17:30〜8:29の時間帯に対応する許可リストの例である。すなわち、図3の表における、「月−夜」、「火−夜」、「水−夜」、「木−夜」、「金−夜」の許可リストの例である。 FIG. 5 shows an example of a permission list corresponding to a time zone from 17:30 to 8:29 on weekdays (Monday to Friday). That is, it is an example of a permission list of “moon-night”, “fire-night”, “water-night”, “tree-night”, and “gold-night” in the table of FIG.
具体的には、例えば、項番5は、受信ポート3から受信したフレームのMAC−DA(宛先マックアドレス)が“M−PC4”、MAC−SA(送信元マックアドレス)が“M−PC3”、Typeが“0x0800”(IPv4)、VIDが“0”、IP−SA(送信元IPアドレス)が“IP−PC3”、IP−DA(宛先IPアドレス)が“IP−PC4”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“any”、L4DP(TCPヘッダ内の宛先ポート番号)が“any”のフレームを示す。
Specifically, for example, in item No. 5, the MAC-DA (destination MAC address) of the frame received from the receiving
許可リストには、例えば、セキュリティスイッチ100を通過させるフレームのフレーム情報が設定される。具体的には、各通信端末10において利用されるプロトコルのフレームを特定するためのフレーム情報や、各通信端末10において利用される宛先や送信元を表すアドレスを含んだフレームを特定するためのフレーム情報が許可リストに含まれる。
In the permission list, for example, frame information of a frame that passes through the
なお今回、許可リストを構成する要素を、装置、レイヤ2、レイヤ3、及びレイヤ4としているが、上述したようにこれらの全てを必ず要素として含む必要はなく、その一部を組み合わせたり、他の要素を追加したりしても良い。
In addition, although the elements constituting the permission list are the device,
図6に示すのは、図4及び図5に例示した許可リストにフレームが一致した場合、及び一致しない場合の動作設定の一例を示す表である。具体的には、図6の表は、フレームが許可リストと一致したフレームは、セキュリティスイッチ100を通過させると共に、設定用端末50には通知しない。一方で、許可リストと一致しないフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知することを示す。
FIG. 6 is a table showing an example of operation settings when the frames match the permission lists exemplified in FIGS. 4 and 5 and when the frames do not match. Specifically, in the table of FIG. 6, a frame whose frame matches the permission list is allowed to pass through the
次に、図7を参照して、第1の実施形態に係るセキュリティスイッチ100に含まれる機能ブロックについて説明する。図7を参照すると、セキュリティスイッチ100は、フレーム解析部110、許可リスト生成部120、許可リスト記憶部130、曜日・時間管理部140、通信制御部150を含む。なお、ここでは、上記のフレーム解析部110を「解析手段」、許可リスト記憶部130を「記憶手段」、通信制御部150を「制御手段」とも呼称する。
Next, functional blocks included in the
フレーム解析部110は、セキュリティスイッチ100が外部から入力フレームを受信する度に、受信した入力フレームを解析する。ここで、解析とは、受信した入力フレームから所定の情報(以下、「フレーム情報」と呼ぶ。)を抽出することである。
Each time the
フレーム情報は、例えば、通信に用いる各プロトコルにより、記述することが定められている所定の情報である。具体例としては、受信ポートの番号、レイヤ2(MACヘッダ)情報、フレームのタイプにより、レイヤ3(IPヘッダ)情報以上の上位レイヤの必要な情報である。本実施形態では、このような汎用のプロトコルに準拠したフレーム情報を利用することにより、ペイロード部分に特殊な情報等を埋め込む等の処理を不要とすることができる。 The frame information is, for example, predetermined information that is determined to be described by each protocol used for communication. As a specific example, it is necessary information of an upper layer higher than layer 3 (IP header) information depending on the number of the receiving port, layer 2 (MAC header) information, and frame type. In the present embodiment, it is possible to eliminate processing such as embedding special information or the like in the payload portion by using frame information compliant with such a general-purpose protocol.
また、本実施形態では、フレーム情報や各リストにおいて、これらの情報全てを用いるようにしても良いが、一部の情報の組み合わせを用いるようにしても良い。例えば、レイヤ2(MACヘッダ)情報のみを用いたり、レイヤ2(MACヘッダ)情報とレイヤ3(IPヘッダ)情報の組み合わせを用いたりするようにしても良い。 In this embodiment, all of the information may be used in the frame information and each list, but a combination of some information may be used. For example, only layer 2 (MAC header) information may be used, or a combination of layer 2 (MAC header) information and layer 3 (IP header) information may be used.
また、例えば、仮にレイヤ2(MACヘッダ)情報を用いるとするならば、全てのレイヤ2(MACヘッダ)情報を用いても良いが、その一部である、宛先アドレス(MAC−DA)や、送信元アドレス(MAC−SA)を用いるようにしても良いし、これらの組み合わせを用いるようにしても良い。 Also, for example, if layer 2 (MAC header) information is used, all layer 2 (MAC header) information may be used, but a destination address (MAC-DA), which is a part thereof, A source address (MAC-SA) may be used, or a combination of these may be used.
フレーム解析部110には、設定用端末50により「登録期間設定」と「動作設定」の2つの設定がなされる。
Two settings of “registration period setting” and “operation setting” are made in the
ここで、本実施形態では、上述したように登録期間と運用期間の2つがあるが、登録期間設定により、登録期間と運用期間を切り換える設定が行われる。具体的には、例えば「月−昼」のリストを生成する際は、登録期間を、月曜日の8:30〜17:29とする。 Here, in the present embodiment, there are two registration periods and operation periods as described above, but setting for switching between the registration period and the operation period is performed by setting the registration period. Specifically, for example, when a list of “Monday-Noon” is generated, the registration period is 8:30 to 17:29 on Monday.
また、動作設定では、受信した入力フレームのフレーム情報が、各リストと一致した場合と、各リストと一致しなかった場合とで、それぞれどのような動作を行うのかが設定される。例えば、許可リストに一致した場合には、対応するフレームを通過させるように設定できる。また、許可リストに一致しなかった場合には、対応するフレームを廃棄させるように設定できる。また、ここで、通過とは、受信した入力フレームを、フレーム解析部110を通過させて出力することにより、フレームを、フレーム内の宛先アドレスに対応する宛先に転送するということである。
Further, in the operation setting, what operation is to be performed is set depending on whether the frame information of the received input frame matches each list or does not match each list. For example, it can be set to pass the corresponding frame when it matches the permission list. In addition, if it does not match the permission list, it can be set to discard the corresponding frame. Here, “pass” means that the received input frame is passed through the
また、これのみならず、各リストと一致した場合や、しなかった場合に、その旨の通知を行うか否かを設定することもできる。通知内容は、各リストと一致した旨や、一致しなかった旨のみでも良いが、フレーム情報に対応するフレームを複製して、この複製したフレームを通知に含めるようにしても良い。そして、例えば設定用端末50により仮想的な通信システムを作成し、かかる仮想的な通信システムにおいてフレームの複製を通信させることにより、悪意の有るフレームの影響を知ることができるようにしても良い。
In addition to this, it is also possible to set whether or not to notify when there is a match with each list or not. The notification content may only indicate that each list matches or does not match, but the frame corresponding to the frame information may be duplicated and the duplicated frame may be included in the notification. Then, for example, a virtual communication system may be created by the setting
通知先は、例えば、設定用端末50であっても良いが、他のサーバ装置等であっても良い。また、通知に代えて又は通知と共に、セキュリティスイッチ100内部にてフレーム情報に対応するフレームを記録するようにしても良い。本実施形態を管理する管理者等は、かかる通知の内容や、セキュリティスイッチ100に記録された内容を、ログとして参照することにより、本実施形態での通信状況を把握することができる。
The notification destination may be, for example, the setting
また、フレーム解析部110は、入力フレーム受信時、登録期間であった場合、フレーム情報を受信した入力フレームから抽出し、後述の曜日・時間管理部140から受信した、現時点での曜日・時間のデータを付与した上で、後述の許可リスト生成部120に渡す。
In addition, the
更に、フレーム解析部110は、入力フレーム受信時、運用期間であった場合、フレーム情報を受信した入力フレームから抽出する。そして、抽出したフレーム情報と、許可リスト記憶部130が記憶している許可リストのうち、現時点での曜日・時間に対応する許可リストとを比較する。
Further, the
比較の結果、フレーム情報が許可リストと一致したならば、対応する動作設定の設定に従い動作する。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
As a result of the comparison, if the frame information matches the permission list, the operation is performed according to the corresponding operation setting. For example, if the setting is “pass, do not notify”, the frame is output by passing the
一方で、比較の結果、フレーム情報が許可リストと一致しないのであれば、対応する動作設定の設定に従い動作する。例えば設定が「廃棄、通知する」であれば、フレームを廃棄すると共に、廃棄したことを設定用端末50に対して通知する。
On the other hand, if the frame information does not match the permission list as a result of the comparison, the operation is performed according to the setting of the corresponding operation setting. For example, if the setting is “discard, notify”, the frame is discarded and the setting
許可リスト生成部120は、登録期間において、フレーム解析部110からフレーム情報を受信すると動作を開始する。受信したフレーム情報から許可リスト情報を生成し、許可リスト記憶部130に許可リスト情報を記憶する。
The permission
許可リスト記憶部130は、許可リストを記憶する記憶部である。許可リスト記憶部130が記憶する許可リストは、登録期間において許可リスト生成部120により生成される。そして、許可リスト記憶部130が記憶する許可リストは、運用期間においてフレーム解析部110に参照されて利用される。
The permission
許可リストには、例えば、フレーム解析部110を通過させるフレームのフレーム情報が設定される。具体的には、各通信端末10において利用されるプロトコルのフレームを特定するためのフレーム情報や、各通信端末10において利用される宛先や送信元を表すアドレスを含んだフレームを特定するためのフレーム情報が許可リストに含まれる。
In the permission list, for example, frame information of a frame to be passed through the
なお、許可リストは、上述したように、登録期間において、許可リスト生成部120により生成される。これに加えて、設定用端末50からの「リスト設定」にて許可リストが修正されるようにしても良い。例えば、設定用端末50を利用する管理者が許可リストの一部を削除したり、新たなフレーム情報を許可リストに追加したりできるようにしても良い。このようにすれば、例えば通信端末10を新たに追加するような場合に、再度登録期間を得なくとも、新たに追加する通信端末10に関連するフレームを通過させることが可能となる。また、他にも、例えば既存の通信端末10を一部取り外した場合に、再度登録期間を得なくとも、取り外した通信端末10に関連するフレーム情報を許可リストから削除することができる。
As described above, the permission list is generated by the permission
なお今回、許可リストを構成する要素を、装置、レイヤ2、レイヤ3、及びレイヤ4としているが、上述したようにこれらの全てを必ず要素として含む必要はなく、その一部を組み合わせたり、他の要素を追加したりしても良い。
In addition, although the elements constituting the permission list are the device,
曜日・時間管理部140は、いわゆるカレンダーの役割を果たし、現時点での曜日・時間のデータを出力する。
The day /
通信制御部150は、必要により許可リスト記憶部130に記憶された許可リストを参照しながら、フレーム解析部110に設定された動作設定に従い、フレームを実際に処理する。
The
次に、図8−1のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。 Next, the operation of the present embodiment during the registration period will be described with reference to the flowchart of FIG.
まず、ステップS101において、これから生成しようとする許可リストの曜日・時間を登録する。例えば、「月曜日:8:30〜17:29」と設定した場合は、月曜日の8:30〜17:29が学習期間になると共に、月曜日の8:30〜17:29における運用時に参照される許可リストが生成される。 First, in step S101, the day / time of the permission list to be generated is registered. For example, when “Monday: 8:30 to 17:29” is set, 8:30 to 17:29 on Monday is a learning period and is referred to during operation from 8:30 to 17:29 on Monday. An allow list is generated.
次に、ステップS102において、セキュリティスイッチ100は、フレーム解析部110が登録期間に設定されているか否かを判定する。ここで、登録期間に設定されているならば(S102:Yes)、ステップS103に進む。一方で、登録期間に設定されていないならば(S102:No)、すなわち、運用期間に設定されているならば、図8−2のステップS108に進む。
Next, in step S102, the
次に、ステップS103において、フレーム解析部110がフレーム解析をし、許可リスト生成部120に向けてフレーム情報を送信する。なお、この際、実際のフレームは、通信制御部150を経由して、出力フレームとして出力される。
Next, in step S <b> 103, the
次に、ステップS104において、フレーム解析部110が送信したフレーム情報に対し、曜日・時間管理部140が、現時点の曜日と時間のデータを付与する。
Next, in step S104, the day /
次に、ステップS105において、許可リスト生成部120が、現時点の曜日と時間のデータが付与されたフレーム情報を受信し、許可リスト情報を生成する。
Next, in step S105, the permission
次に、ステップS106において、許可リスト生成部120が、生成した許可リスト情報を許可リスト記憶部130に転送する。
Next, in step S <b> 106, the permission
次に、ステップS107において、許可リスト記憶部130が、転送されてきた許可リスト情報を記憶する。
Next, in step S107, the permission
次に、ステップS108において、セキュリティスイッチ100が、登録期間が終了したか否か判断する。登録期間が終了している場合(S108:Yes)は、図8−2のステップS109に移行する。登録期間が終了していない場合(S108:No)は、ステップS103に戻る。
Next, in step S108, the
次に、このようにして生成及び更新した許可リストを、運用期間において利用する際の動作について、図8−2を参照して説明をする。 Next, the operation when the permission list generated and updated in this way is used in the operation period will be described with reference to FIG.
まず、ステップS109において、運用期間においてセキュリティスイッチ100が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する。
First, in step S109, when the
次に、ステップS110において、曜日・時間管理部140が、フレーム解析部110に対し、現時点の曜日・時間に対応する曜日・時間範囲の選択を指示する。例えば、現時点が月曜日の12:30である場合は、「月−昼」の選択を指示する。
Next, in step S110, the day /
次に、ステップS111において、フレーム解析部110は、曜日・時間管理部140により選択指示された曜日・時間範囲に対応する許可リストを参照する。例えば上記の例においては、「月−昼」の許可リストを参照する。
Next, in step S111, the
次に、ステップS112において、フレーム解析部110は抽出したフレーム情報と参照した許可リストを比較し、両者が一致するか否かを判定する。
Next, in step S112, the
両者が一致した場合(S112:Yes)は、フレーム解析部110は、許可リストと一致したフレーム情報に対応するフレームに対して、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS113)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
When the two match (S112: Yes), the
ステップS113の処理が終了すると、ステップS109に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S113 ends, the process returns to step S109, and the above-described operations are repeated for the newly received frame.
両者が一致しない場合(S112:No)は、フレーム解析部110は、許可リストと一致しなかったフレーム情報に対応するフレームに対して、許可リストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS114)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末50に対して通知する。
If the two do not match (S112: No), the
ステップS114の処理が終了すると、ステップS109に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S114 ends, the process returns to step S109, and the above-described operations are repeated for the newly received frame.
上記の第1の実施形態により、特定の端末において、ある曜日のある時間のみ通信させることができるようになり、よりセキュリティを向上させることができるようになる。その理由は、曜日、時間毎に許可リスト記憶部から参照する許可リストを切り替え、フレーム解析部で、受信したフレームのデータと比較、判定するためである。 According to the first embodiment, the specific terminal can be made to communicate only for a certain time on a certain day of the week, and the security can be further improved. The reason is that the permission list referred to from the permission list storage unit is switched for each day of the week and time, and the frame analysis unit compares and determines the received frame data.
なお、上記の第1の実施形態では、特定の曜日・時間の許可リストを生成する際、最初の学習期間の設定の段階で、当該特定の曜日・時間の間、学習する設定とした。そうではなく、例えば、学習期間を1週間として、いったん1週間単位での許可リストを生成し、許可リスト記憶部に対する直接操作により、当該1週間単位での許可リストを、曜日・時間単位で分割してもよい。 In the first embodiment, when generating a permission list for a specific day of the week / time, it is set to learn during the specific day / time at the stage of setting the first learning period. Instead, for example, the learning period is set to one week, and a permission list is generated once a week, and the permission list is divided into weekly and time units by directly operating the permission list storage unit. May be.
<第2の実施形態>
以下、本発明の第2の実施形態について図9乃至図14−2を参照しながら、詳述する。
<Second Embodiment>
Hereinafter, a second embodiment of the present invention will be described in detail with reference to FIGS. 9 to 14-2.
第2の実施形態は、第1の実施形態に係る図1と同様の基本的構成を有する。ただし、図示は省略するが、図1のセキュリティスイッチ100の代わりに、セキュリティスイッチ200が備わる。
The second embodiment has the same basic configuration as that of FIG. 1 according to the first embodiment. Although illustration is omitted, a
第1の実施形態においては、曜日・時間毎に許可リストを生成し、運用している時点での曜日・時間に応じて、参照する許可リストを切り替えていた。一方で、第2の実施形態においては、通信量に応じた許可リストを生成し、運用している時点での通信量に応じて、参照する許可リストを切り替える。 In the first embodiment, a permission list is generated for each day of the week and time, and the permission list to be referenced is switched according to the day of the week and time at the time of operation. On the other hand, in the second embodiment, a permission list corresponding to the traffic is generated, and the permission list to be referred to is switched according to the traffic at the time of operation.
図9に示すように、通信量正常時は、(A)に示すように、PC10−1とサーバPC10−3との間、及びPC10−2とサーバPC10−3との間の通信のみを許可するとする。一方で、(B)に示すように、通信量異常時には、一切の通信を許可しないものとする。 As shown in FIG. 9, when the communication amount is normal, only communication between the PC 10-1 and the server PC 10-3 and between the PC 10-2 and the server PC 10-3 is permitted as shown in FIG. Then. On the other hand, as shown in (B), no communication is permitted when the communication amount is abnormal.
そこで、図10に示すように、通信量に応じて、参照する許可リストを切り替える。例えば、通信量が0Mbps〜5Mbpsの通信量の際は、通信量が正常である際に用いる、「正常」という名称の許可リストを参照して通信を制御する。一方で、通信量が5Mbpsを超えた場合は、通信量が異常である際に用いる、「異常」という名称の許可リストを参照して通信を制御する。なお、ここで述べる通信量とはセキュリティスイッチ単位での通信量でもよいし、ポート単位での通信量でもよい。 Therefore, as shown in FIG. 10, the permission list to be referred to is switched according to the traffic. For example, when the communication amount is 0 Mbps to 5 Mbps, the communication is controlled with reference to the permission list named “normal” used when the communication amount is normal. On the other hand, when the communication volume exceeds 5 Mbps, communication is controlled with reference to the permission list named “abnormal” used when the communication volume is abnormal. Note that the communication amount described here may be a communication amount in units of security switches or a communication amount in units of ports.
図11に示すのは、通信量が正常である際に参照する許可リストの例である。すなわち、図10の表における「正常」なる名称の許可リストの例である。 FIG. 11 shows an example of a permission list that is referred to when the traffic is normal. That is, it is an example of the permission list with the name “normal” in the table of FIG.
第1の実施形態に係る図4の表と同様に、具体的には、例えば、項番1は、受信ポート1から受信したフレームのMAC−DA(宛先マックアドレス)が“M−PC3”、MAC−SA(送信元マックアドレス)が“M−PC1”、Typeが“0x0800”(IPv4)、VIDが“0”、IP−SA(送信元IPアドレス)が“IP−PC1”、IP−DA(宛先IPアドレス)が“IP−PC3”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“3000”、L4DP(TCPヘッダ内の宛先ポート番号)が“23”のフレームを示す。
As in the table of FIG. 4 according to the first embodiment, specifically, for example, item No. 1 has a MAC-DA (destination MAC address) of a frame received from the
また、図12に示すのは、通信量が異常である際に参照する許可リストの例である。すなわち、図10の表における「異常」なる名称の許可リストの例である。 FIG. 12 shows an example of a permission list that is referred to when the traffic is abnormal. That is, it is an example of a permission list with the name “abnormal” in the table of FIG.
図12の表においては、一切のデータが登録されていない。すなわち、図12の表に占めす許可リストを参照した場合、当該許可リストと一致するフレームは存在しない。 In the table of FIG. 12, no data is registered. That is, when referring to the permission list in the table of FIG. 12, there is no frame that matches the permission list.
図11及び図12に例示した許可リストにフレームが一致した場合、及び一致しない場合の動作設定例は、図6と同様である。具体的には、図11に示す許可リストに一致したフレームは、セキュリティスイッチ200を通過させるとともに、設定用端末50には通知しない。一方で、許可リストと一致しないフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。また、図12に示す許可リストを参照する場合は、許可リストに一致するフレームは存在しないため、全てのフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。
An example of operation setting when the frames match or do not match the permission lists illustrated in FIGS. 11 and 12 is the same as FIG. Specifically, a frame that matches the permission list shown in FIG. 11 passes through the
次に、図13を参照して、第2の実施形態に係るセキュリティスイッチ200に含まれる機能ブロックについて説明する。なお、図13においては、第1の実施形態に係るセキュリティスイッチ100と同一の構成要素については、同一の符号を用いて示す。
Next, functional blocks included in the
セキュリティスイッチ200は、曜日・時間管理部140、及び通信制御部150を含まない代わりに、通信量監視部210、通信量管理部220、及び通信制御部230を含む点で、第1の実施形態に係るセキュリティスイッチ100とは異なる。
The
通信量監視部210は、通過するデータの通信量を監視し、定期的に通信量管理部220に通信量を通知する。監視する粒度は、物理ポート単位でもよいし、装置単位でもよい。監視する通信量の範囲は、通信量管理部220の指示に従う。
The
通信量管理部220は、通信量設定手段により、学習期間における通信量期待値を設定する。設定は、ある程度の幅を持たせた設定がされる。例えば、「0Mbps以上、5Mbps以下」と設定しても良く、「5Mbps±20%」と設定しても良い。実際の通信量がこの幅の範囲内にある場合は、通信量が正常であると判断され、この幅を超えた場合は、通信量が異常であると判断される。この通信量期待値は、フレーム解析部110から許可リスト生成部120にフレーム情報を受け渡す際、フレーム情報に付与される。その後、当該通信量期待値は、許可リスト記憶部130に許可リストが記憶される際、当該許可リストの属性として、同時に記憶される。
The
また、通信量管理部220は、通信量監視部210から通信量を定期的に入手すると共に、許可リスト記憶部130から許可リストが対応する通信量期待値のデータを入手する。更に、定期的に通信量監視部210から入手した通信量と、許可リスト記憶部130から入手した通信量期待値データとを比較し、実際の通信量が通信量期待値の範囲外にある場合は、フレーム解析部110が参照する許可リストの選択を指示する。加えて、通信制御部230に対して帯域制御等の指示をしても良い。実際の通信量が通信量期待値の範囲内に戻った場合は、再度、フレーム解析部110が参照する許可リストの選択、及び通信制御部230に対する指示を実施する。
In addition, the
通信制御部230は、フレーム解析部110に設定された動作設定に従い、フレームを実際に処理する。更に、通信量管理部220からの指示に従い、帯域制御などの通信制御を行ってもよい。
The
次に、図14−1のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。 Next, the operation of the present embodiment during the registration period will be described with reference to the flowchart of FIG.
まず、ステップS201において、セキュリティスイッチ200は、フレーム解析部110が登録期間に設定されているか否かを判定する。ここで、登録期間に設定されているならば(S201:Yes)、ステップS202に進む。一方で、登録期間に設定されていないならば(S201:No)、すなわち、運用期間に設定されているならば、図14−2のステップS209に進む。
First, in step S201, the
次に、ステップS202において、フレーム解析部110がフレーム解析をし、許可リスト生成部120に向けてフレーム情報を送信する。なお、この際、実際のフレームは、通信量監視部210及び通信制御部230を経由して、出力フレームとして出力される。
Next, in step S <b> 202, the
次に、ステップS203において、フレーム解析部110が送信したフレーム情報に対し、通信量管理部220が、通信量期待値のデータを付与する。例えば、通信量0Mbps〜5Mbpsを通信量正常の範囲内とする場合は、「0Mbps〜5Mbps」なるデータを付与する。
Next, in step S203, the
次に、ステップS204において、許可リスト生成部120が、通信量期待値が付与されたフレーム情報を受信し、実際の通信量が通信量期待値の範囲内である場合の許可リスト情報を生成する。
Next, in step S204, the permission
次に、ステップS205において、許可リスト生成部120が、生成した許可リスト情報を許可リスト記憶部130に転送する。
Next, in step S <b> 205, the permission
次に、ステップS206において、許可リスト記憶部130が、転送されてきた許可リスト情報を記憶する。
Next, in step S206, the permission
次に、ステップS207において、セキュリティスイッチ100が、登録期間が終了したか否か判断する。登録期間が終了している場合(S207:Yes)は、ステップS208に移行する。登録期間が終了していない場合(S207:No)は、ステップS202に戻る。
Next, in step S207, the
次に、ステップS208において、利用者が許可リスト記憶部130に対して直接操作することにより、通信量が通信量期待値の範囲外だった場合の許可リスト、例えば図12の許可リストを生成する。なお、例えば、通信量が通信量期待値の範囲外だった場合の許可リストを、図12のような空リストとすることが事前に定まっているような場合は、利用者の操作を介することなく、許可リスト生成部120が、自動的に、通信量が通信量期待値の範囲外だった場合の許可リストを生成しても良い。
Next, in step S208, the user directly operates the permission
このようにして生成及び更新した許可リストを、運用期間において利用する際の動作について、図14−2を参照して説明をする。 The operation when the permission list generated and updated in this way is used in the operation period will be described with reference to FIG.
まず、ステップS209において、運用期間においてセキュリティスイッチ100が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する。
First, in step S209, when the
次に、ステップS210において、通信量監視部210が、現時点の通信量を通信量管理部220に送信する。
Next, in step S <b> 210, the
次に、ステップS211において、通信量管理部220が、現時点の通信量と、許可リスト記憶部130に記憶された許可リストの属性となっている通信量期待値の範囲とを比較し、フレーム解析部110に対し、現時点の通信量に対応する通信量期待値範囲の選択を指示する。例えば現時点での通信量が2Mbpsの場合は、図10の表の項番1である「通信量正常」の選択を指示し、現時点の通信量が10Mbpsの場合は、図10の表の項番2である「通信量異常」の選択を指示する。
Next, in step S211, the communication
次に、ステップS212において、フレーム解析部110が、ステップS211において、通信量管理部220により選択を指示された通信量範囲に対応する許可リストを参照する。
Next, in step S212, the
次に、ステップS213において、フレーム解析部110は抽出したフレーム情報と参照した許可リストとを比較し、両者が一致するか否かを判定する。
Next, in step S213, the
両者が一致した場合(S213:Yes)は、フレーム解析部110は、許可リストと一致したフレーム情報に対応するフレームに対して、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS214)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
When the two match (S213: Yes), the
ステップS214の処理が終了すると、ステップS209に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S214 ends, the process returns to step S209, and the above-described operations are repeated for the newly received frame.
両者が一致しない場合(S213:No)は、フレーム解析部110は、許可リストと一致しなかったフレーム情報に対応するフレームに対して、許可リストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS215)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末50に対して通知する。
When the two do not match (S213: No), the
ステップS215の処理が終了すると、ステップS209に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S215 ends, the process returns to step S209, and the above-described operations are repeated for the newly received frame.
上記の第2の実施形態により、正規の通信フローの通信量が、通常時と比較して、一定の範囲を超えた場合に通信制御(遮断、迂回、帯域制御など)することができるようになる。その理由は、通信量監視部210により監視される通信量と正常時の通信量期待値とを通信量管理部220で比較し、範囲外であれば、通信制御部230で通信制御するためである。
According to the second embodiment, communication control (blocking, detouring, bandwidth control, etc.) can be performed when the communication volume of the regular communication flow exceeds a certain range as compared with the normal time. Become. The reason is that the communication amount monitored by the communication
なお、上記の説明では、通信量が正常の場合と異常の場合の2通りの許可リストのみ例示しているが、本実施形態はこれには限定されず、通信量に応じて3通り以上の許可リストを生成・参照しても良い。 In the above description, only two permission lists for cases where the communication amount is normal and abnormal are illustrated, but this embodiment is not limited to this, and there are three or more types according to the communication amount. A permission list may be generated and referenced.
<第3の実施形態>
以下、本発明の第3の実施形態について図15乃至図21−2を参照しながら、詳述する。
<Third Embodiment>
Hereinafter, a third embodiment of the present invention will be described in detail with reference to FIGS. 15 to 21-2.
第3の実施形態は、第1の実施形態に係る図1と同様の基本的構成を有する。ただし、図示は省略するが、図1のセキュリティスイッチ100の代わりに、セキュリティスイッチ300が備わる。
The third embodiment has the same basic configuration as FIG. 1 according to the first embodiment. Although illustration is omitted, a
第1の実施形態においては、曜日・時間毎に許可リストを生成し、運用している時点での曜日・時間に応じて、参照する許可リストを切り替えていた。また、第2の実施形態においては、通信量に応じた許可リストを生成し、運用している時点での通信量に応じて、参照する許可リストを切り替えていた。第3の実施形態は、これらの複合、すなわち、曜日・時間・通信量に応じた許可リストを生成し、運用している時点での曜日・時間・通信量に応じて、参照する許可リストを切り替える。 In the first embodiment, a permission list is generated for each day of the week and time, and the permission list to be referenced is switched according to the day of the week and time at the time of operation. In the second embodiment, a permission list corresponding to the traffic volume is generated, and the permission list to be referred to is switched according to the traffic volume at the time of operation. The third embodiment generates a permission list according to these composites, that is, day of the week / time / communication volume, and refers to the permission list to be referred to according to the day of the week / time / communication volume at the time of operation. Switch.
図15(A)に示すように、例えば、平日(月曜日から金曜日)の8:30〜17:29の時間帯において通信量が正常である場合は、PC10−1とサーバPC10−3との間、及びPC10−2とサーバPC10−3との間の通信のみを許可するものとする。また、平日(月曜日から金曜日)の17:30〜8:29の時間帯において通信量が正常である場合は、図15(B)に示すように、サーバPC10−3とバックアップ・サーバPC10−4との間に通信のみを許可するものとする。更に、平日(月曜日から金曜日)において通信量が異常である場合は、図15(C)に示すように、一切の通信を許可しないものとする。 As shown in FIG. 15A, for example, when the communication volume is normal in the time zone from 8:30 to 17:29 on weekdays (Monday to Friday), between the PC 10-1 and the server PC 10-3 , And only communication between the PC 10-2 and the server PC 10-3 is permitted. Further, when the communication amount is normal during the weekday (Monday to Friday) from 17:30 to 8:29, as shown in FIG. 15B, the server PC 10-3 and the backup server PC 10-4 Only communication is allowed between Furthermore, if the communication amount is abnormal on weekdays (Monday to Friday), no communication is permitted as shown in FIG.
そこで、図16に示すように複数の許可リストを用意する。すなわち、各曜日の8:30〜17:29及び17:30〜8:29のそれぞれの時間帯毎に、通信量が正常の場合と異常の場合の許可リストを生成し、運用の際に参照するとする。例えば、日曜日の8:30〜17:29の時間帯において通信量が正常である場合におけるセキュリティスイッチ300の運用のために、「日−昼−正常」という許可リストを生成し、当該時間帯での運用時においては、「日−昼−正常」という許可リストを参照して通信を制御する。また、日曜日の8:30〜17:29の時間帯において通信量が異常である場合におけるセキュリティスイッチ300の運用のために、「日−昼−異常」という許可リストを生成し、当該時間帯においては、「日−昼−異常」という許可リストを参照して通信を制御する。同様に、日曜日の17:30〜8:29の時間帯において通信量が正常である場合におけるセキュリティスイッチ100の運用のために、「日−夜−正常」という許可リストを生成し、当該時間帯での運用時においては、「日−夜−正常」という許可リストを参照して通信を制御する。また、日曜日の17:30〜8:29の時間帯において通信量が異常である場合におけるセキュリティスイッチ100の運用のために、「日−夜−異常」という許可リストを生成し、当該時間帯での運用時においては、「日−夜−異常」という許可リストを参照して通信を制御する。以下同様に、月曜日から土曜日各々の、8:30〜17:29及び17:30〜8:29の時間帯毎に、通信量が正常である場合と異常である場合の許可リストを生成し、各許可リストが対応する時間帯に当該許可リストを参照することにより、セキュリティスイッチ100を運用する。
Therefore, a plurality of permission lists are prepared as shown in FIG. That is, for each day of the week from 8:30 to 17:29 and from 17:30 to 8:29, an allowance list is generated when the traffic is normal and abnormal, and is referred to during operation. Then. For example, in order to operate the
図17に示すのは、平日(月曜日から金曜日)の8:30〜17:29の時間帯において通信量が正常の場合に対応する許可リストの例である。すなわち、図16の表における、「月−昼−正常」、「火−昼−正常」、「水−昼−正常」、「木−昼−正常」、「金−昼−正常」なる名称の許可リストの例である。 FIG. 17 shows an example of a permission list corresponding to a case where the communication amount is normal in a time zone from 8:30 to 17:29 on weekdays (Monday to Friday). That is, in the table of FIG. 16, the names “Month-Day-Normal”, “Tue-Day-Normal”, “Wed-Day-Normal”, “Thurs-Day-Normal”, “Friday-Day-Normal” It is an example of a permission list.
具体的には、例えば、項番1は、受信ポート1から受信したフレームのMAC−DA(宛先マックアドレス)が“M−PC3”、MAC−SA(送信元マックアドレス)が“M−PC1”、Typeが“0x0800”(IPv4)、VIDが“0”、IP−SA(送信元IPアドレス)が“IP−PC1”、IP−DA(宛先IPアドレス)が“IP−PC3”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“3000”、L4DP(TCPヘッダ内の宛先ポート番号)が“23”のフレームを示す。
Specifically, for example, in item No. 1, the MAC-DA (destination MAC address) of the frame received from the
また、図18に示すのは、平日(月曜日から金曜日)の17:30〜8:29の時間帯において通信量が正常である場合に対応する許可リストの例である。すなわち、図3の表における、「月−夜−正常」、「火−夜−正常」、「水−夜−正常」、「木−夜−正常」、「金−夜−正常」の許可リストの例である。 FIG. 18 shows an example of a permission list corresponding to a case where the communication amount is normal in the time zone from 17:30 to 8:29 on weekdays (Monday to Friday). That is, in the table of FIG. 3, the permission list of “Month-Night-Normal”, “Tue-Night-Normal”, “Water-Night-Normal”, “Thurs-Night-Normal”, “Friday-Night-Normal” It is an example.
具体的には、例えば、項番5は、受信ポート3から受信したフレームのMAC−DA(宛先マックアドレス)が“M−PC4”、MAC−SA(送信元マックアドレス)が“M−PC3”、Typeが“0x0800”(IPv4)、VIDが“0”、IP−SA(送信元IPアドレス)が“IP−PC3”、IP−DA(宛先IPアドレス)が“IP−PC4”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“any”、L4DP(TCPヘッダ内の宛先ポート番号)が“any”のフレームを示す。
Specifically, for example, in item No. 5, the MAC-DA (destination MAC address) of the frame received from the receiving
また、図19に示すのは、通信量が異常である際に参照する許可リストの例である。すなわち、図16の表における「月−昼−異常」、「月−夜−異常」、「火−昼−異常」、「火−夜−異常」、「水−昼−異常」、「水−夜−異常」、「木−昼−異常」、「木−夜−異常」、「金−昼−異常」、「金−夜−異常」なる名称の許可リストの例である。 FIG. 19 shows an example of a permission list that is referred to when the traffic is abnormal. That is, in the table of FIG. 16, “month-day-abnormal”, “moon-night-abnormal”, “fire-day-abnormal”, “fire-night-abnormal”, “water-day-abnormal”, “water- It is an example of a permission list with names “night-abnormal”, “tree-day-abnormal”, “tree-night-abnormal”, “gold-day-abnormal”, and “gold-night-abnormal”.
図19の表においては、一切のデータが登録されていない。すなわち、図19の表に示す許可リストを参照した場合、当該許可リストと合致するフレームは存在しない。 In the table of FIG. 19, no data is registered. That is, when referring to the permission list shown in the table of FIG. 19, there is no frame that matches the permission list.
図17乃至図19に例示した許可リストにフレームが一致した場合、及び一致しない場合の動作設定例は、図6と同様である。具体的には、図17及び図18に示す許可リストに一致したフレームは、セキュリティスイッチ300を通過させるとともに、設定用端末50には通知しない。一方で、許可リストと一致しないフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。また、図19に示す許可リストを参照する場合は、許可リストに一致するフレームは存在しないため、全てのフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。
An example of operation setting when the frames match or do not match the permission list illustrated in FIGS. 17 to 19 is the same as that of FIG. Specifically, a frame that matches the permission list shown in FIGS. 17 and 18 passes through the
次に、図20を参照して、第3の実施形態に係るセキュリティスイッチ300に含まれる機能ブロックについて説明する。なお、図20においては、第1の実施形態に係るセキュリティスイッチ100、及び第2の実施形態に係るセキュリティスイッチ200と同一の構成要素については、同一の符号を用いて示す。
Next, functional blocks included in the
セキュリティスイッチ300は、第1の実施形態に係るセキュリティスイッチ100と第2の実施形態に係るセキュリティスイッチ200とが共に有する、フレーム解析部110、許可リスト生成部120、及び許可リスト記憶部130を含む。また、セキュリティスイッチ300は、第1の実施形態に係るセキュリティスイッチ100が有する、曜日・時間管理部140を含む。更に、セキュリティスイッチ300は、第2の実施形態に係るセキュリティスイッチ200が有する、通信量監視部210、通信量管理部220、及び通信制御部230を含む。
The
セキュリティスイッチ300の各ブロックの動作のうち、セキュリティスイッチ100及びセキュリティスイッチ200が含む、対応するブロックの動作と異なる点は、以下の通りである。
Among the operations of each block of the
フレーム解析部110は、入力フレーム受信時、登録期間であった場合、受信した入力フレームからフレーム情報を抽出し、通信量管理部220から受信した通信量期待値、及び、曜日・時間管理部140から受信した現時点での曜日・時間のデータを付与した上で、後述の許可リスト生成部120に渡す。
The
また、フレーム解析部110は、入力フレーム受信時、運用期間であった場合、受信した入力フレームからフレーム情報を抽出する。そして、抽出したフレーム情報と、許可リスト記憶部130が記憶している許可リストのうち、現時点での曜日・時間・通信量に対応する許可リストとを比較する。
In addition, the
更に、通信量監視部210が監視する通信量の粒度は、物理ポート単位でもよく、装置単位でもよく、各許可リストが対応する曜日・時間範囲単位でもよい。
Furthermore, the granularity of the traffic volume monitored by the traffic
次に、図21−1のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。 Next, the operation of the present embodiment during the registration period will be described with reference to the flowchart of FIG.
まず、ステップS301において、これから生成しようとする許可リストの曜日・時間を登録する。例えば、「月曜日:8:30〜17:29」と設定した場合は、月曜日の8:30〜17:29が学習期間になると共に、月曜日の8:30〜17:29における運用時に参照される許可リストが生成される。 First, in step S301, the day / time of the permission list to be generated is registered. For example, when “Monday: 8:30 to 17:29” is set, 8:30 to 17:29 on Monday is a learning period and is referred to during operation from 8:30 to 17:29 on Monday. An allow list is generated.
次に、ステップS302において、セキュリティスイッチ300は、フレーム解析部110が登録期間に設定されているか否かを判定する。ここで、登録期間に設定されているならば(S302:Yes)、ステップS303に進む。一方で、登録期間に設定されていないならば(S302:No)、すなわち、運用期間に設定されているならば、図21−2のステップS311に進む。
Next, in step S302, the
次に、ステップS303において、フレーム解析部110がフレーム解析をし、許可リスト生成部120に向けてフレーム情報を送信する。なお、この際、実際のフレームは、通信量監視部210及び通信制御部230を経由して、出力フレームとして出力される。
Next, in step S <b> 303, the
次に、ステップS304において、フレーム解析部110が送信したフレーム情報に対し、通信量管理部220が、通信量期待値のデータを付与する。例えば、通信量0Mbps〜5Mbpsを通信量正常の範囲内とする場合は、「0Mbps〜5Mbps」なるデータを付与する。
Next, in step S304, the
次に、ステップS305において、通信量期待値が付与されたフレーム情報に対し、曜日・時間管理部140が、更に、現時点の曜日と時間のデータを付与する。
Next, in step S305, the day /
次に、ステップS306において、許可リスト生成部120が、現時点の曜日と時間のデータ、及び通信量期待値のデータが付与されたフレーム情報を受信し、許可リスト情報を生成する。
Next, in step S306, the permission
次に、ステップS307において、許可リスト生成部120が、生成した許可リストを許可リスト記憶部130に転送する。
Next, in step S <b> 307, the permission
次に、ステップS308において、許可リスト記憶部130が、転送されてきた許可リストを記憶する。
Next, in step S308, the permission
次に、ステップS309において、セキュリティスイッチ100が、登録期間が終了したか否か判断する。登録期間が終了している場合(S309:Yes)は、ステップS310に移行する。登録期間が終了していない場合(S309:No)は、ステップS303に戻る。
Next, in step S309, the
次に、ステップS310において、利用者が許可リスト記憶部130に対して直接操作することにより、通信量が通信量期待値の範囲外だった場合の許可リスト、例えば図19の許可リストを生成する。なお、例えば、通信量が通信量期待値の範囲外だった場合の許可リストを、図19のような空リストとすることが事前に定まっているような場合は、利用者の操作を介することなく、許可リスト生成部120が、自動的に、通信量が通信量期待値の範囲外だった場合の許可リストを生成しても良い。
Next, in step S310, the user directly operates the permission
このようにして生成及び更新した許可リストを、運用期間において利用する際の動作について、図21−2を参照して説明をする。 The operation when the permission list generated and updated in this way is used in the operation period will be described with reference to FIG.
まず、ステップS311において、運用期間中にセキュリティスイッチ300が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する。
First, in step S311, when the
次に、ステップS312において、通信量監視部210が、現時点の通信量を通信量管理部220に送信する。
Next, in step S312, the
次に、ステップS313において、通信量管理部220が、現時点の通信量と、許可リスト記憶部130に記憶された許可リストの属性となっている通信量期待値の範囲とを比較し、フレーム解析部110に対し、現時点の通信量に対応する通信量期待値範囲の選択を指示する。例えば現時点での通信量が2Mbpsの場合は、「通信量正常」の選択を指示し、現時点の通信量が10Mbpsの場合は、「通信量異常」の選択を指示する。
Next, in step S313, the
次に、ステップS314において、曜日・時間管理部140が、フレーム解析部110に対し、現時点の曜日・時間に対応する曜日・時間範囲の選択を指示する。例えば現時点が月曜日の12:30である場合は、「月−昼」の選択を指示する。
Next, in step S314, the day /
次に、ステップS315において、フレーム解析部110が、ステップS313において、通信量管理部220により選択指示された通信量範囲、及びステップS314において、曜日・時間管理部140により選択指示された曜日・時間範囲に対応する許可リストを参照する。例えば、ステップS313において「通信量正常」を選択し、ステップS314において「月−昼」を選択した場合は、「月−昼−正常」の許可リストを参照する。
Next, in step S315, the
次に、ステップS316において、フレーム解析部110は抽出したフレーム情報と参照した許可リストとを比較し、両者が一致するか否かを判定する。
In step S316, the
両者が一致した場合(S316:Yes)は、フレーム解析部110は、許可リストと一致したフレーム情報に対応するフレームに対して、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS317)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
When the two match (S316: Yes), the
ステップS317の処理が終了すると、ステップS311に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S317 ends, the process returns to step S311, and the above-described operations are repeated for the newly received frame.
両者が一致しない場合(S316:No)は、フレーム解析部110は、許可リストと一致しなかったフレーム情報に対応するフレームに対して、許可リストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS318)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末50に対して通知する。
If the two do not match (S316: No), the
ステップS318の処理が終了すると、ステップS311に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S318 ends, the process returns to step S311 and the above-described operations are repeated for the newly received frame.
上記の第3の実施形態により、特定の端末において、ある曜日のある時間のみ通信させることができるようになり、よりセキュリティを向上させることができるようになる。その理由は、曜日、時間毎に許可リスト記憶部から参照する許可リストを切り替え、フレーム解析部で、受信したフレームのデータと比較、判定するためである。更に、正規の通信フローの通信量が、通常時と比較して、一定の範囲を超えた場合に通信制御(遮断、迂回、帯域制御など)することができるようになる。その理由は、通信量監視部210により監視される通信量と通常時の通信量を通信量管理部220で比較し、範囲外であれば、通信制御部230で、通信制御するためである。
According to the third embodiment, a specific terminal can be made to communicate only for a certain time on a certain day of the week, and security can be further improved. The reason is that the permission list referred to from the permission list storage unit is switched for each day of the week and time, and the frame analysis unit compares and determines the received frame data. Furthermore, communication control (blocking, detouring, bandwidth control, etc.) can be performed when the communication volume of the regular communication flow exceeds a certain range as compared with the normal time. The reason is that the communication amount monitored by the communication
なお、上記の第3の実施形態では、特定の曜日・時間の許可リストを生成する際、最初の学習期間の設定の段階で、当該特定の曜日・時間の間、学習する設定とした。そうではなく、例えば、学習期間を1週間として、いったん1週間単位での許可リストを生成し、許可リスト記憶部に対する直接操作により、当該1週間単位での許可リストを、曜日・時間単位で分割してもよい。 In the third embodiment, when generating a permission list for a specific day of the week / time, it is set to learn during the specific day / time at the stage of setting the first learning period. Instead, for example, the learning period is set to one week, and a permission list is generated once a week, and the permission list is divided into weekly and time units by directly operating the permission list storage unit. May be.
上記のセキュリティスイッチ、通信端末及び設定用端末のそれぞれは、ハードウェア、ソフトウェア又はこれらの組み合わせによりそれぞれ実現することができる。また、上記のセキュリティスイッチ、通信端末及び設定用端末により行なわれる中継方法も、ハードウェア、ソフトウェア又はこれらの組み合わせにより実現することができる。ここで、ソフトウェアによって実現されるとは、コンピュータがプログラムを読み込んで実行することにより実現されることを意味する。 Each of the security switch, the communication terminal, and the setting terminal can be realized by hardware, software, or a combination thereof. The relay method performed by the security switch, the communication terminal, and the setting terminal can also be realized by hardware, software, or a combination thereof. Here, “realized by software” means realized by a computer reading and executing a program.
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。 The program may be stored using various types of non-transitory computer readable media and supplied to the computer. Non-transitory computer readable media include various types of tangible storage media. Examples of non-transitory computer readable media include magnetic recording media (for example, flexible disks, magnetic tapes, hard disk drives), magneto-optical recording media (for example, magneto-optical disks), CD-ROMs (Read Only Memory), CD- R, CD-R / W, and semiconductor memory (for example, mask ROM, PROM (Programmable ROM), EPROM (Erasable PROM), flash ROM, RAM (random access memory)).
また、上述した実施形態は、本発明の好適な実施形態ではあるが、上記実施形態のみに本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。 Moreover, although the above-described embodiment is a preferred embodiment of the present invention, the scope of the present invention is not limited only to the above-described embodiment, and various modifications are made without departing from the gist of the present invention. Implementation in the form is possible.
例えば、以下のように各実施形態を変形することが可能である。 For example, each embodiment can be modified as follows.
上述の各実施形態では、セキュリティスイッチがインターネットに接続していたが、必ずしもインターネットに接続する必要はない。インターネットに接続していない場合であっても、例えば、悪意を持っているユーザが社内ネットワークに不正な端末を接続したような場合に発生する悪意のあるフレームを検出することができる。 In each of the above-described embodiments, the security switch is connected to the Internet, but it is not always necessary to connect to the Internet. Even if it is not connected to the Internet, it is possible to detect a malicious frame that occurs when, for example, a malicious user connects an unauthorized terminal to the corporate network.
上述の各実施形態では、登録期間となってから所定時間経過後に運用期間となり、動作を継続していた。この場合に、運用期間から再度登録期間に遷移し、遷移後所定時間が経過したならば、再度運用期間に遷移するようにしても良い。つまり、再登録を行うことにより、許可リストを更新するようにしても良い。 In each of the above-described embodiments, the operation period is continued after a predetermined time has elapsed since the registration period, and the operation is continued. In this case, the transition may be made from the operation period to the registration period again, and when a predetermined time has elapsed after the transition, the operation period may be changed again. In other words, the permission list may be updated by re-registration.
例えば、運用期間遷移後に、新たに通信端末を追加した場合に、再登録を行うことにより、かかる追加した通信端末に関するフレームを許可リストに追加するようにしても良い。この場合に、許可リストをまっさらな状態として、ゼロから許可リストを作りなおしても良いし、既存の許可リストに新たにフレーム情報を追加するようにしても良い。 For example, when a new communication terminal is added after the operation period transition, a frame related to the added communication terminal may be added to the permission list by performing re-registration. In this case, the permission list may be in a clean state, and the permission list may be recreated from scratch, or new frame information may be added to the existing permission list.
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。 A part or all of the above-described embodiment can be described as in the following supplementary notes, but is not limited thereto.
(付記1)
中継装置であって、
当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合することを特徴とする中継装置。
(Appendix 1)
A relay device,
Storage means for storing a list of frames to be subjected to the first processing after reception by the relay device;
Analyzing means for matching the received frame with the list;
At the time of verification by the analyzing means, if the received frame matches the frame described in the list, the first process is performed on the received frame, and if the frame does not match, the received frame Control means for performing the processing of 2;
There are a plurality of lists according to the day of the week and time, and the analysis unit collates the received frame with a list corresponding to the day of the week and time of operation.
(付記2)
付記1に記載の中継装置であって、
前記リストは、前記曜日及び前記時間に加え、運用時の通信量に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日、時間、及び通信量に対応したリストとを照合することを特徴とする中継装置。
(Appendix 2)
The relay device according to
In addition to the day of the week and the time, there are a plurality of lists according to the traffic during operation, and the analysis means includes the received frame and a list corresponding to the day of the week, time during operation, and the traffic. A relay device characterized by matching.
(付記3)
中継装置であって、
当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは、運用時の通信量に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の通信量に対応したリストとを照合することを特徴とする中継装置。
(Appendix 3)
A relay device,
Storage means for storing a list of frames to be subjected to the first processing after reception by the relay device;
Analyzing means for matching the received frame with the list;
At the time of verification by the analyzing means, if the received frame matches the frame described in the list, the first process is performed on the received frame, and if the frame does not match, the received frame Control means for performing the processing of 2;
There are a plurality of lists according to the traffic during operation, and the analysis means collates the received frame with a list corresponding to the traffic during operation.
(付記4)
付記1乃至3のいずれか1に記載の中継装置であって、
前記第1の処理は、前記フレームの宛先に前記フレームを転送することを含み、前記第2の処理は、前記フレームの宛先に前記フレームを転送することを含まないことを特徴とする中継装置。
(Appendix 4)
The relay device according to any one of
The relay apparatus according to
(付記5)
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、当該中継装置単位の通信量が監視されることを特徴とする中継装置。
(Appendix 5)
The relay device according to any one of
A relay device, wherein the communication amount in the relay device unit is monitored as the communication amount during the operation.
(付記6)
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、当該中継装置の物理ポート単位の通信量が監視されることを特徴とする中継装置。
(Appendix 6)
The relay device according to any one of
A relay device characterized in that the communication amount in physical port units of the relay device is monitored as the communication amount during the operation.
(付記7)
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、前記曜日及び前記時間単位の通信量が監視されることを特徴とする中継装置。
(Appendix 7)
The relay device according to any one of
The relay apparatus according to
(付記8)
付記1乃至7の何れか1に記載の中継装置と、前記中継装置に接続された設定用端末とを備えた通信システムであって、
前記設定用端末が受け付けたユーザからの操作に応じて、前記各処理それぞれの内容及び前記リストの内容の、一部又は全部を変更することを特徴とする通信システム。
(Appendix 8)
A communication system comprising the relay device according to any one of
A communication system, wherein a part or all of the contents of each process and the contents of the list are changed in accordance with an operation from a user received by the setting terminal.
(付記9)
中継装置で用いられる中継方法であって、
前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶するステップと、
受信したフレームを前記リストと照合するステップと、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をするステップとを有し、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合することを特徴とする中継方法。
(Appendix 9)
A relay method used in a relay device,
Storing a list of frames to be subjected to first processing after reception by the relay device;
Checking the received frame against the list;
At the time of verification by the analyzing means, if the received frame matches the frame described in the list, the first process is performed on the received frame, and if the received frame does not match, the first frame is added to the received frame. Two processing steps,
There are a plurality of lists according to the day of the week and time, and the analysis means collates the received frame with a list corresponding to the day and time of operation.
(付記10)
コンピュータを中継装置として機能させる中継用プログラムであって、
前記コンピュータを、
前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合する中継装置として機能させる中継用プログラム。
(Appendix 10)
A relay program that causes a computer to function as a relay device,
The computer,
Storage means for storing a list of frames to be subjected to the first processing after reception by the relay device;
Analyzing means for matching the received frame with the list;
At the time of verification by the analyzing means, if the received frame matches the frame described in the list, the first process is performed on the received frame, and if the received frame does not match, the first frame is added to the received frame. Control means for performing the processing of 2;
A plurality of lists exist according to the day of the week and the time, and the analysis unit causes the analysis unit to function as a relay device that collates the received frame with a list corresponding to the day of the week and the time of operation.
本発明は、中継装置におけるセキュリティ対策に好適である。 The present invention is suitable for security measures in a relay device.
10 10−1 10−2 10−3 10−4 10−n 通信端末
50 設定用端末
100 200 300 セキュリティスイッチ
110 フレーム解析部
120 許可リスト生成部
130 許可リスト記憶部
140 曜日・時間管理部
150 通信制御部
210 通信量監視部
220 通信量管理部
230 通信制御部
500 ファイアウォール
700 インターネット
10 10-1 10-2 10-3 10-4 10-
Claims (10)
当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合することを特徴とする中継装置。 A relay device,
Storage means for storing a list of frames to be subjected to the first processing after reception by the relay device;
Analyzing means for matching the received frame with the list;
At the time of verification by the analyzing means, if the received frame matches the frame described in the list, the first process is performed on the received frame, and if the received frame does not match, the first frame is added to the received frame. Control means for performing the processing of 2;
There are a plurality of lists according to the day of the week and time, and the analysis unit collates the received frame with a list corresponding to the day of the week and time of operation.
前記リストは、前記曜日及び前記時間に加え、運用時の通信量に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日、時間、及び通信量に対応したリストとを照合することを特徴とする中継装置。 The relay device according to claim 1,
In addition to the day of the week and the time, there are a plurality of lists according to the traffic during operation, and the analysis means includes the received frame and a list corresponding to the day of the week, time during operation, and the traffic. A relay device characterized by matching.
当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは、運用時の通信量に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の通信量に対応したリストとを照合することを特徴とする中継装置。 A relay device,
Storage means for storing a list of frames to be subjected to the first processing after reception by the relay device;
Analyzing means for matching the received frame with the list;
At the time of verification by the analyzing means, if the received frame matches the frame described in the list, the first process is performed on the received frame, and if the received frame does not match, the first frame is added to the received frame. Control means for performing the processing of 2;
There are a plurality of lists according to the traffic during operation, and the analysis means collates the received frame with a list corresponding to the traffic during operation.
前記第1の処理は、前記フレームの宛先に前記フレームを転送することを含み、前記第2の処理は、前記フレームの宛先に前記フレームを転送することを含まないことを特徴とする中継装置。 The relay device according to any one of claims 1 to 3,
The relay apparatus according to claim 1, wherein the first process includes transferring the frame to a destination of the frame, and the second process does not include transferring the frame to a destination of the frame.
前記運用時の通信量として、当該中継装置単位の通信量が監視されることを特徴とする中継装置。 The relay device according to any one of claims 2 to 4,
A relay device, wherein the communication amount in the relay device unit is monitored as the communication amount during the operation.
前記運用時の通信量として、当該中継装置の物理ポート単位の通信量が監視されることを特徴とする中継装置。 The relay device according to any one of claims 2 to 4,
A relay device characterized in that the communication amount in physical port units of the relay device is monitored as the communication amount during the operation.
前記運用時の通信量として、前記曜日及び前記時間単位の通信量が監視されることを特徴とする中継装置。 The relay device according to any one of claims 2 to 4,
The relay apparatus according to claim 1, wherein the communication volume in the day of the week and the time unit is monitored as the communication volume during the operation.
前記設定用端末が受け付けたユーザからの操作に応じて、前記各処理それぞれの内容及び前記リストの内容の、一部又は全部を変更することを特徴とする通信システム。 A communication system comprising the relay device according to any one of claims 1 to 7, and a setting terminal connected to the relay device,
A communication system, wherein a part or all of the contents of each process and the contents of the list are changed in accordance with an operation from a user received by the setting terminal.
前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶するステップと、
受信したフレームを前記リストと照合するステップと、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をするステップとを有し、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合することを特徴とする中継方法。 A relay method used in a relay device,
Storing a list of frames to be subjected to first processing after reception by the relay device;
Checking the received frame against the list;
At the time of verification by the analyzing means, if the received frame matches the frame described in the list, the first process is performed on the received frame, and if the frame does not match, the received frame Two processing steps,
There are a plurality of lists according to the day of the week and time, and the analysis means collates the received frame with a list corresponding to the day and time of operation.
前記コンピュータを、
前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合する中継装置として機能させる中継用プログラム。
A relay program that causes a computer to function as a relay device,
The computer,
Storage means for storing a list of frames to be subjected to the first processing after reception by the relay device;
Analyzing means for matching the received frame with the list;
At the time of verification by the analyzing means, if the received frame matches the frame described in the list, the first process is performed on the received frame, and if the frame does not match, the received frame Control means for performing the processing of 2;
A plurality of lists exist according to the day of the week and the time, and the analysis unit causes the analysis unit to function as a relay device that collates the received frame with a list corresponding to the day of the week and the time of operation.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016163645A JP6949466B2 (en) | 2016-08-24 | 2016-08-24 | Relay device, communication system, relay method, and relay program |
JP2021151800A JP2021192554A (en) | 2016-08-24 | 2021-09-17 | Relay device, communication system, relay method, and relay program |
JP2023036113A JP2023060297A (en) | 2016-08-24 | 2023-03-09 | Relay device, relay method, and relay program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016163645A JP6949466B2 (en) | 2016-08-24 | 2016-08-24 | Relay device, communication system, relay method, and relay program |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021151800A Division JP2021192554A (en) | 2016-08-24 | 2021-09-17 | Relay device, communication system, relay method, and relay program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018032975A true JP2018032975A (en) | 2018-03-01 |
JP6949466B2 JP6949466B2 (en) | 2021-10-13 |
Family
ID=61303762
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016163645A Active JP6949466B2 (en) | 2016-08-24 | 2016-08-24 | Relay device, communication system, relay method, and relay program |
JP2021151800A Pending JP2021192554A (en) | 2016-08-24 | 2021-09-17 | Relay device, communication system, relay method, and relay program |
JP2023036113A Pending JP2023060297A (en) | 2016-08-24 | 2023-03-09 | Relay device, relay method, and relay program |
Family Applications After (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021151800A Pending JP2021192554A (en) | 2016-08-24 | 2021-09-17 | Relay device, communication system, relay method, and relay program |
JP2023036113A Pending JP2023060297A (en) | 2016-08-24 | 2023-03-09 | Relay device, relay method, and relay program |
Country Status (1)
Country | Link |
---|---|
JP (3) | JP6949466B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2780736C2 (en) * | 2018-03-14 | 2022-09-30 | Сафран Эркрафт Энджинз | Protected devices and method for remote maintenance of industrial objects |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05316115A (en) * | 1992-05-08 | 1993-11-26 | Mitsubishi Electric Corp | Computer network connector |
JP2001308917A (en) * | 2000-04-20 | 2001-11-02 | Yokogawa Electric Corp | Traffic controller |
JP2002232453A (en) * | 2001-02-02 | 2002-08-16 | Nec Corp | Device and method for internet protocol filtering |
JP2005197959A (en) * | 2004-01-06 | 2005-07-21 | Nec Access Technica Ltd | Router |
JP2006060599A (en) * | 2004-08-20 | 2006-03-02 | Nippon Telegr & Teleph Corp <Ntt> | Application service refusal attack defense method, system and its program |
JP2007173925A (en) * | 2005-12-19 | 2007-07-05 | Fujitsu Ltd | Packet relaying system |
US20100031340A1 (en) * | 2008-02-14 | 2010-02-04 | Batke Brian A | Network security module for ethernet-receiving industrial control devices |
US20100165878A1 (en) * | 2008-12-31 | 2010-07-01 | Schneider Automation Inc. | Communication Module with Network Isolation and Communication Filter |
JP2011029900A (en) * | 2009-07-24 | 2011-02-10 | Nomura Research Institute Ltd | Network management system and communication management server |
JP2014526811A (en) * | 2011-09-16 | 2014-10-06 | 日本電気株式会社 | Communication terminal, communication method, and communication system |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11338518A (en) * | 1998-05-27 | 1999-12-10 | Omron Corp | I/o device, input and output method, and control system using i/o device |
JP3477709B2 (en) * | 1999-10-29 | 2003-12-10 | オムロン株式会社 | Sensor system |
JP5943410B2 (en) * | 2011-09-21 | 2016-07-05 | 日本電気株式会社 | COMMUNICATION DEVICE, CONTROL DEVICE, COMMUNICATION SYSTEM, COMMUNICATION CONTROL METHOD, AND PROGRAM |
JP2014096698A (en) * | 2012-11-09 | 2014-05-22 | Omron Corp | Communication device |
JP2015142344A (en) * | 2014-01-30 | 2015-08-03 | 日本電気株式会社 | Communication system, control device, communication node, control information setting method and program |
JPWO2015174100A1 (en) * | 2014-05-14 | 2017-04-20 | 学校法人東京電機大学 | Packet transfer device, packet transfer system, and packet transfer method |
-
2016
- 2016-08-24 JP JP2016163645A patent/JP6949466B2/en active Active
-
2021
- 2021-09-17 JP JP2021151800A patent/JP2021192554A/en active Pending
-
2023
- 2023-03-09 JP JP2023036113A patent/JP2023060297A/en active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05316115A (en) * | 1992-05-08 | 1993-11-26 | Mitsubishi Electric Corp | Computer network connector |
JP2001308917A (en) * | 2000-04-20 | 2001-11-02 | Yokogawa Electric Corp | Traffic controller |
JP2002232453A (en) * | 2001-02-02 | 2002-08-16 | Nec Corp | Device and method for internet protocol filtering |
JP2005197959A (en) * | 2004-01-06 | 2005-07-21 | Nec Access Technica Ltd | Router |
JP2006060599A (en) * | 2004-08-20 | 2006-03-02 | Nippon Telegr & Teleph Corp <Ntt> | Application service refusal attack defense method, system and its program |
JP2007173925A (en) * | 2005-12-19 | 2007-07-05 | Fujitsu Ltd | Packet relaying system |
US20100031340A1 (en) * | 2008-02-14 | 2010-02-04 | Batke Brian A | Network security module for ethernet-receiving industrial control devices |
US20100165878A1 (en) * | 2008-12-31 | 2010-07-01 | Schneider Automation Inc. | Communication Module with Network Isolation and Communication Filter |
JP2011029900A (en) * | 2009-07-24 | 2011-02-10 | Nomura Research Institute Ltd | Network management system and communication management server |
JP2014526811A (en) * | 2011-09-16 | 2014-10-06 | 日本電気株式会社 | Communication terminal, communication method, and communication system |
Non-Patent Citations (1)
Title |
---|
那須野 洋一 YOUICHI NASUNO, 絶対わかる! ネットワーク設計 超入門 増補改訂版, vol. 第2版, JPN6021007009, 10 August 2012 (2012-08-10), pages 92 - 94, ISSN: 0004456178 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2780736C2 (en) * | 2018-03-14 | 2022-09-30 | Сафран Эркрафт Энджинз | Protected devices and method for remote maintenance of industrial objects |
Also Published As
Publication number | Publication date |
---|---|
JP2021192554A (en) | 2021-12-16 |
JP2023060297A (en) | 2023-04-27 |
JP6949466B2 (en) | 2021-10-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3206356B1 (en) | Controlling transmission security of industrial communications flow in a sdn architecture | |
CN106168757B (en) | Configurable robustness agent in a plant safety system | |
CN102577275B (en) | Relay control equipment, relay and control system, relay and control method | |
US9130983B2 (en) | Apparatus and method for detecting abnormality sign in control system | |
JP4458289B2 (en) | Cluster system, cluster member, failure recovery method and program | |
EP2091199B1 (en) | Network security module for ethernet-receiving industrial control devices | |
EP3481004B1 (en) | Communications system, communications device used in same, management device, and information terminal | |
US20150281176A1 (en) | Method And Technique for Automated Collection, Analysis, and Distribution of Network Security Threat Information | |
CN104994065A (en) | Access control list operation system and method based on software-defined network | |
JP6024664B2 (en) | Communication system, control device and communication method | |
JP2007006054A (en) | Packet repeater and packet repeating system | |
EP3375163A1 (en) | Methods and systems for dynamic creation of access control lists | |
CN106850568B (en) | Session aging method and device of multi-channel protocol | |
Kumar et al. | Open flow switch with intrusion detection system | |
Möllers et al. | Short paper: Extrapolation and prediction of user behaviour from wireless home automation communication | |
WO2019220427A1 (en) | An anomaly detection system and method | |
CN104205750A (en) | Control device, communication device, communication method, and program | |
CN103797762A (en) | Communication terminal, method of communication and communication system | |
US9647985B2 (en) | Location-aware rate-limiting method for mitigation of denial-of-service attacks | |
KR101881061B1 (en) | 2-way communication apparatus capable of changing communication mode and method thereof | |
JP7156310B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION CONTROL METHOD, AND PROGRAM | |
JP6949466B2 (en) | Relay device, communication system, relay method, and relay program | |
CN107979609B (en) | Post-reaction type protection method and autonomous learning type firewall system | |
RU2580004C2 (en) | Automatic firewall | |
Sainz et al. | Software defined networking opportunities for intelligent security enhancement of industrial control systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20160921 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20170712 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190716 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20200324 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20200326 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200625 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200901 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201023 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210302 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210427 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210824 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210922 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6949466 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |