JP2019121910A - マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 - Google Patents
マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 Download PDFInfo
- Publication number
- JP2019121910A JP2019121910A JP2018000319A JP2018000319A JP2019121910A JP 2019121910 A JP2019121910 A JP 2019121910A JP 2018000319 A JP2018000319 A JP 2018000319A JP 2018000319 A JP2018000319 A JP 2018000319A JP 2019121910 A JP2019121910 A JP 2019121910A
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- processing apparatus
- packet
- malware
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
・ハニーネットワークシステム2の端末22からマルウェアに感染した端末15CへのARP(Address Resolution Protocol)フレームを遮断し、企業ネットワークシステム1の端末15A、15B…から端末15CへのARPフレームを通過させる。
・ハニーネットワークシステム2のNATルータ20からのARPフレームは通常通りに転送する。
・マルウェアに感染した端末15Cから端末15A、15B…への通信は、ハニーネットワークシステム2の端末22A、22Bへ転送(出力ポート変更)する。この際に、送信先MACアドレスを端末15Cのものから端末22A、22B…のものへ書き換える。
・ハニーネットワークシステム2の端末22からマルウェアに感染した端末15Cへの通信は、送信元MACアドレスを端末22のものから端末15のものへ書き換える。
・マルウェアに感染した端末15Cからサーバ14への通信は、ハニーネットワークシステム2のNATルータ20へ転送(出力ポート変更)する。この際に、送信先MACアドレスをNATルータ12のものからNATルータ20のものへ書き換える。
・ハニーネットワークシステム2のサーバ23からマルウェアに感染した端末15Cへの通信は、送信元MACアドレスをNATルータ20のものからNATルータ12のものへ書き換える。
・マルウェアに感染した端末15Cから外部ネットワーク3宛の通信は、そのまま通過させる(通常モードと同様に通信経路を維持する)。
前記第1のシステムに属しマルウェアが検知された第1の情報処理装置から、第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する、
処理をコンピュータに実行させることを特徴とするマルウェア検査支援プログラム。
ことを特徴とする付記1に記載のマルウェア検査支援プログラム。
ことを特徴とする付記1に記載のマルウェア検査支援プログラム。
前記送信する処理は、前記第1の情報処理装置から、前記第1のシステムに属する第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する、前記第2の情報処理装置を模した第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する、
ことを特徴とする付記1に記載のマルウェア検査支援プログラム。
ことを特徴とする付記1に記載のマルウェア検査支援プログラム。
前記第1のシステムに属しマルウェアが検知された第1の情報処理装置から、第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する、
処理をコンピュータが実行することを特徴とするマルウェア検査支援方法。
ことを特徴とする付記6に記載のマルウェア検査支援方法。
ことを特徴とする付記6に記載のマルウェア検査支援方法。
前記送信する処理は、前記第1の情報処理装置から、前記第1のシステムに属する第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する、前記第2の情報処理装置を模した第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する、
ことを特徴とする付記6に記載のマルウェア検査支援方法。
ことを特徴とする付記6に記載のマルウェア検査支援方法。
前記第1のシステムに属しマルウェアが検知された第1の情報処理装置から、第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する送信部と、
を有することを特徴とする通信装置。
ことを特徴とする付記11に記載の通信装置。
ことを特徴とする付記11に記載の通信装置。
前記送信する処理は、前記第1の情報処理装置から、前記第1のシステムに属する第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する、前記第2の情報処理装置を模した第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する、
ことを特徴とする付記11に記載の通信装置。
ことを特徴とする付記11に記載の通信装置。
2…ハニーネットワークシステム
3…外部ネットワーク
4…C&Cサーバ
5…外部ルータ
6…インターネット
10…オープンフロー・スイッチ
11…オープンフロー・コントローラー
12、20…NATルータ
13A、13B、13C、13D、21A、21B…ネットワーク
14、14A、14B、23、23A,23B…サーバ
15、15A、15B、15C、22、22A、22B…端末
101…通信部
101A、101B…ポート
102…制御部
102A…受信処理部
102B…送信処理部
103…記憶部
103A…フローテーブル
201…CPU
202…媒体読取装置
203…インタフェース装置
204…通信装置
205…RAM
206…ハードディスク装置
207…バス
211…プログラム
212…各種データ
Claims (7)
- 第1のシステムまたは第2のシステムに属する情報処理装置が送信したパケットを受信し、
前記第1のシステムに属しマルウェアが検知された第1の情報処理装置から、第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する、
処理をコンピュータに実行させることを特徴とするマルウェア検査支援プログラム。 - 前記送信する処理は、前記第2のシステムに属する前記第3の情報処理装置または第4の情報処理装置から前記第1の情報処理装置宛のパケットを受信した場合に、送り元アドレスを、前記第1のシステムに属する第5の情報処理装置に対応するアドレスに変更して、前記第1の情報処理装置へ送信する、
ことを特徴とする請求項1に記載のマルウェア検査支援プログラム。 - 前記送信する処理は、前記第1の情報処理装置から受信したパケットが外部ネットワーク宛である場合、前記パケットの宛先アドレスを変更せずに送信する、
ことを特徴とする請求項1に記載のマルウェア検査支援プログラム。 - 前記第2のシステムは、前記第1のシステムを模したシステムであり、
前記送信する処理は、前記第1の情報処理装置から、前記第1のシステムに属する第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する、前記第2の情報処理装置を模した第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する、
ことを特徴とする請求項1に記載のマルウェア検査支援プログラム。 - 前記変更するアドレスはMACアドレスである、
ことを特徴とする請求項1に記載のマルウェア検査支援プログラム。 - 第1のシステムまたは第2のシステムに属する情報処理装置が送信したパケットを受信し、
前記第1のシステムに属しマルウェアが検知された第1の情報処理装置から、第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する、
処理をコンピュータが実行することを特徴とするマルウェア検査支援方法。 - 第1のシステムまたは第2のシステムに属する情報処理装置が送信したパケットを受信する受信部と、
前記第1のシステムに属しマルウェアが検知された第1の情報処理装置から、第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する送信部と、
を有することを特徴とする通信装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018000319A JP7000863B2 (ja) | 2018-01-04 | 2018-01-04 | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 |
US16/226,816 US11418537B2 (en) | 2018-01-04 | 2018-12-20 | Malware inspection apparatus and malware inspection method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018000319A JP7000863B2 (ja) | 2018-01-04 | 2018-01-04 | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019121910A true JP2019121910A (ja) | 2019-07-22 |
JP7000863B2 JP7000863B2 (ja) | 2022-01-19 |
Family
ID=67060088
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018000319A Active JP7000863B2 (ja) | 2018-01-04 | 2018-01-04 | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US11418537B2 (ja) |
JP (1) | JP7000863B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021093595A (ja) * | 2019-12-09 | 2021-06-17 | 富士通株式会社 | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016092763A (ja) * | 2014-11-11 | 2016-05-23 | 株式会社日立システムズ | ネットワーク制御システム、ネットワーク制御方法及びプログラム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4780413B2 (ja) | 2007-01-12 | 2011-09-28 | 横河電機株式会社 | 不正アクセス情報収集システム |
JP5697206B2 (ja) | 2011-03-31 | 2015-04-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 不正アクセスに対する防御をするシステム、方法およびプログラム |
US9495188B1 (en) * | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
US10284598B2 (en) * | 2016-01-29 | 2019-05-07 | Sophos Limited | Honeypot network services |
US20180375897A1 (en) * | 2017-06-26 | 2018-12-27 | Formaltech, Inc. | Automated network device cloner and decoy generator |
-
2018
- 2018-01-04 JP JP2018000319A patent/JP7000863B2/ja active Active
- 2018-12-20 US US16/226,816 patent/US11418537B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016092763A (ja) * | 2014-11-11 | 2016-05-23 | 株式会社日立システムズ | ネットワーク制御システム、ネットワーク制御方法及びプログラム |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021093595A (ja) * | 2019-12-09 | 2021-06-17 | 富士通株式会社 | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 |
Also Published As
Publication number | Publication date |
---|---|
US20190207952A1 (en) | 2019-07-04 |
JP7000863B2 (ja) | 2022-01-19 |
US11418537B2 (en) | 2022-08-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10686568B2 (en) | Active flow diagnostics for cloud-hosted networks | |
JP5648926B2 (ja) | ネットワークシステム、コントローラ、ネットワーク制御方法 | |
RU2562438C2 (ru) | Сетевая система и способ управления сетью | |
US8844041B1 (en) | Detecting network devices and mapping topology using network introspection by collaborating endpoints | |
CN105743878B (zh) | 使用蜜罐的动态服务处理 | |
Masoud et al. | On preventing ARP poisoning attack utilizing Software Defined Network (SDN) paradigm | |
US20120185563A1 (en) | Network system, virtual private connection forming method, static nat forming device, reverse proxy server and virtual connection control device | |
US20160149748A1 (en) | Network address translation | |
WO2017073089A1 (ja) | 通信装置及びシステム及び方法 | |
JP2009177841A (ja) | ネットワーク装置及びその管理方法 | |
Ashraf et al. | Analyzing challenging aspects of IPv6 over IPv4 | |
WO2015068255A1 (ja) | ネットワークシステム、通信制御装置、及び通信方法 | |
Feldmann et al. | NetCo: Reliable routing with unreliable routers | |
JP2008271242A (ja) | ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム | |
JP2011159247A (ja) | ネットワークシステム、コントローラ、ネットワーク制御方法 | |
JP2010239591A (ja) | ネットワークシステム、中継装置、およびネットワーク制御方法 | |
JP7000863B2 (ja) | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 | |
US20210176271A1 (en) | Non-transitory computer-readable storage medium, malware inspection support method, and communication device | |
US10924397B2 (en) | Multi-VRF and multi-service insertion on edge gateway virtual machines | |
US20200213356A1 (en) | Malware inspection support system and malware inspection support method | |
US20210352004A1 (en) | Multi-vrf and multi-service insertion on edge gateway virtual machines | |
WO2006123456A1 (ja) | パケット処理装置、通信システム、パケット処理方法、および当該方法を実行させるプログラム | |
JP7107153B2 (ja) | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 | |
US20180007075A1 (en) | Monitoring dynamic device configuration protocol offers to determine anomaly | |
Zhang et al. | A Novel Software Defined Networking Framework for Cloud Environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201008 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210721 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210914 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211108 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211124 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211207 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7000863 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |