JP2020072427A - ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム - Google Patents

ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム Download PDF

Info

Publication number
JP2020072427A
JP2020072427A JP2018206680A JP2018206680A JP2020072427A JP 2020072427 A JP2020072427 A JP 2020072427A JP 2018206680 A JP2018206680 A JP 2018206680A JP 2018206680 A JP2018206680 A JP 2018206680A JP 2020072427 A JP2020072427 A JP 2020072427A
Authority
JP
Japan
Prior art keywords
packet
threat
source terminal
infected
transmission source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018206680A
Other languages
English (en)
Inventor
貴寛 大嶽
Takahiro Otake
貴寛 大嶽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2018206680A priority Critical patent/JP2020072427A/ja
Publication of JP2020072427A publication Critical patent/JP2020072427A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ルータにおいてパケットのフィルタリングを行う場合、セグメント間での感染拡大を防止することはできるが、セグメント内での感染拡大を防止することはできない。【解決手段】本発明にかかる制御装置は、ネットワークを構成する複数の通信装置を制御する制御装置であって、該複数の通信装置のうちのいずれかの通信装置から受信したパケットに基づいて、該パケットの送信元端末が脅威に感染しているか否かを判定する判定部と、該送信元端末が脅威に感染していると判定した場合、該複数の通信装置のうち、該送信元端末と接続する通信装置に対して、該パケットを転送させないための制御情報を送信する設定部と、を備えることを特徴とする。【選択図】 図1

Description

本発明は、脅威の感染拡大を防ぐ制御装置、脅威の感染拡大を防ぐ制御装置を備えたシステム、脅威の感染拡大を防ぐ方法、およびプログラムに関する。
近年、コンピュータウイルス等の脅威に感染した端末(以下、「感染端末」と記載する。)との通信を行うことにより、ネットワークに脅威の感染が拡大し、情報漏洩や不正アクセスが起こっている。
ネットワークに脅威の感染が拡大することを防止する発明として、特許文献1がある。
特許文献1には、感染端末を他の端末と通信不可能にする隔離サーバを備える通信システムが開示されている。
特許文献1の通信システムによると、ネットワークを構成するスイッチの各々は、自装置と接続する端末のMACアドレスと、該端末との接続ポート番号と、該端末が属するVLANを示すVLAN−IDと、を含むMACアドレステーブルを保持しており、隔離サーバは、該スイッチ各々からMACアドレステーブルを定期的に取得し、保持している。隔離サーバは、感染端末を検知した場合、取得したMACアドレステーブルのMACアドレスのうちの該感染端末のMACアドレスに対応するVLAN−IDを、隔離サーバのみとの通信に用いるVLAN−ID(隔離用VLAN−ID)に書き換える。
これにより、感染端末は、隔離サーバのみと通信するので、他の端末との通信は不可能になる。従って、感染端末の通信により、ネットワークに脅威の感染が拡大することを防ぐことができる。
しかしながら、特許文献1に開示のシステムは、ネットワークの全端末のMACアドレステーブルを取得するので、端末の数に比例して、MACアドレステーブルを取得する際に生じるネットワークの通信負荷が増大してしまうという問題がある。
上記問題を解決する発明として、特許文献2がある。
特許文献2には、端末から受信したパケットのフィルタリングを行うルータを備える通信システムが開示されている。
特許文献2の通信システムによると、ルータは、認証サーバから受信したパケットフィルタリングポリシに基づいて、パケットフィルタリング規則を生成し、該パケットフィルタリング規則に従って、受信パケットを処理する。
認証サーバは、ルータが端末からパケットを受信したタイミングで該端末に関する情報のみを収集する。これにより、一括で情報を収集する場合に比べて、ネットワークの通信負荷が軽減しつつ、ネットワークが脅威の感染が拡大することを防ぐことができる。
特開2006−165877 特開2005−328108
以下の分析は、本発明によりなされたものである。特許文献2では、ルータにおいてパケットのフィルタリングを行う。そのため、セグメント間での感染拡大を防止することはできるが、セグメント内での感染拡大を防止することはできない。
本発明は、上記課題を鑑みてなされたものであり、その目的は、セグメント内における脅威の感染拡大を防止することである。
本発明の第1の視点によれば、ネットワークを構成する複数の通信装置を制御する制御装置であって、該複数の通信装置のうちのいずれかの通信装置から受信したパケットに基づいて、該パケットの送信元端末が脅威に感染しているか否かを判定する判定部と、該送信元端末が脅威に感染していると判定した場合、該複数の通信装置のうち、該送信元端末と接続する通信装置に対して、該パケットを転送させないための制御情報を送信する設定部と、を備えることを特徴とする制御装置が提供される。
本発明の第2の視点によれば、ネットワークを構成する複数の通信装置と、該複数の通信装置を制御する制御装置と、該ネットワークと通信する端末が脅威に感染しているか否かを判定する判定装置と、を備え、該複数の通信装置のうちのいずれかの通信装置は、受信したパケットを該判定装置に送信し、該判定装置は、該通信装置から受信したパケットに基づいて、該パケットの送信元端末が脅威に感染しているか否かを判定し、該制御装置は、該送信元端末が脅威に感染していると判定された場合、該複数の通信装置のうち、該送信元端末と接続する通信装置に対して、該送信元端末から受信したパケットを転送させないための制御情報を送信することを特徴とする通信システムが提供される。
本発明の第3の視点によれば、ネットワークを構成する複数の通信装置を制御する制御装置における制御方法であって、該複数の通信装置のうちのいずれかの通信装置から受信したパケットに基づいて、該パケットの送信元端末が脅威に感染しているか否かを判定し、
該送信元端末が脅威に感染していると判定した場合、該複数の通信装置のうち、該送信元端末と接続する通信装置に対して、該パケットを転送させないための制御情報を送信する、ことを特徴とする制御方法が提供される。
本発明の第4の視点によれば、ネットワークを構成する複数の通信装置を制御する制御装置を構成するコンピュータに、該複数の通信装置のうちのいずれかの通信装置から受信したパケットに基づいて、該パケットの送信元端末が脅威に感染しているか否かを判定する処理と、該送信元端末が脅威に感染していると判定した場合、該複数の通信装置のうち、該送信元端末と接続する通信装置に対して、該送信元端末から受信したパケットを転送させないための制御情報を送信する処理と、を実行させることを特徴とするプログラムが提供される。
本発明によれば、制御装置は、通信装置に接続した端末が脅威に感染しているか否かを判定し、脅威に感染していると判定した場合に、該通信装置に対して、該端末との通信を遮断する指示を行う。
これにより、脅威に感染している端末と接続する通信装置において、脅威の感染拡大を防止することができるので、セグメント内において脅威の感染拡大を防止することができる。
第1の実施形態における通信システムの構成を示す図である。 第1の実施形態における制御装置の構成を示す図である。 第1の実施形態における制御装置が保持するルーティングテーブルの一例を示す図である。 第1の実施形態における制御装置が保持するパターンファイルの一例を示す図である。 第1の実施形態における制御装置が保持する位置情報テーブルの一例を示す図である。 第1の実施形態における通信装置の構成を示す図である。 第1の実施形態における制御装置の処理動作を説明するためのフローチャートである。 第2の実施形態における通信システムの構成を示す図である。 第2の実施形態におけるOpen Flow Contorollerの構成を示す図である。 第2の実施形態におけるOpen Flow Contorollerが保持するフローエントリの一例を示す図である。 第2の実施形態におけるOpen Flow Contorollerが保持する位置情報テーブルの一例を示す図である。 第2の実施形態における判定装置の構成を示す図である。 第2の実施形態におけるOpen Flow Switchの構成を示す図である。 第2の実施形態におけるOpen Flow Contorollerが生成する、パケットを転送させないためのフローエントリの一例を示す図である。 第2の実施形態におけるOpen Flow Contorollerが生成する、パケットを転送させないための制御情報の一例を示す図である。 第2の実施形態における通信システムを構成する装置の処理動作を説明するためのシーケンス図である。 第2の実施形態の第1の変形例におけるOpen Flow Contorollerが生成するフローエントリの一例を示す図である。 第2の実施形態の第2の変形例におけるOpen Flow Contorollerが生成するフローエントリの一例を示す図である。 第2の実施形態の第3の変形例における通信システムの構成を示す図である。
以下、本願における「脅威」とは、コンピュータウイルス、ワーム、トロイの木馬、マルウェア等、通信端末(パーソナルコンピュータ、モバイル端末など)やネットワーク装置に被害を与えるものを指す。

[第1の実施形態]
本発明の第1の実施形態について、図面を用いて詳細に説明する。

[構成の説明]
図1は、本発明にかかる第1の実施形態における通信システムの構成を示す図である。
図1の通信システムは、制御装置10と、通信装置20a、通信装置20b、通信装置20cと、端末30aと、端末30bと、を備える。
尚、通信装置20a乃至20cを特に区別する必要がない場合は、単に通信装置20と記載する。また、端末30aおよび30bを特に区別する必要がない場合は、単に端末30と記載する。
制御装置10は、通信装置20と、それぞれ接続している。
通信装置20aは、通信装置20b、通信装置20c、端末30aとそれぞれ接続している。
通信装置20bは、通信装置20c、端末30bと、それぞれ接続している。
制御装置10と通信装置20は、それぞれ制御用の専用回線で接続しており、図1において接続関係を破線で示す。
以下では、通信装置20は、それぞれ「192.168.1.21」、「192.168.1.22」、「192.168.1.23」のIPアドレスが割り当てられている。
端末30は、それぞれ「192.168.1.31」、「192.168.1.32」のIPアドレスが割り当てられている。
図2は、制御装置10の構成を示す図である。
制御装置10は、通信部11と、記憶部12と、位置情報管理部13と、判定部14と、生成部15と、設定部16と、を備える。
通信部11は、通信装置20と通信を行うための通信インターフェースである。
記憶部12は、ルーティングテーブル、パターンファイル、および位置情報テーブルを保持している。
ルーティンテーブルは、図3に示すようにパケットの送信元端末のIPアドレスと、当該パケットの転送制御を行うためのパケット処理規則とを対応付けたルーティング情報を含む。また、ルーティング情報は、それぞれ設定先の通信装置と対応付けられている。例えば、ルーティング情報3A乃至3Cは通信装置20a向けのルーティング情報である。
パターンファイルは、図4に示すように脅威の種類と、各脅威を示すシグネチャ(換言すると、脅威に相当するデータ配列)を含む。パターンファイルは、パケットを送信した端末が脅威に感染しているか否かを判別するために使用する。
位置情報テーブルは、図5に示すように端末のIPアドレスと、該端末と接続する通信装置を示す通信装置情報と、該通信装置における該端末との接続インターフェースを示すインターフェース情報とを対応付けた情報(以下、この3種の情報の組み合わせを位置情報と記載する。)を含む。
通信装置情報は、端末が通信する通信装置のIPアドレスである。インターフェース情報は、通信装置の端末との接続ポート番号である。この位置情報テーブルを参照することで、各端末がどの通信装置とどのインターフェースで接続しているかを特定することができる。
例えば、位置情報5Aは、IPアドレス「192.168.1.31」が割り当てられた端末(図1における端末30a)が、通信装置20aのポート2と接続していることを示している。
位置情報管理部13は、端末の位置情報を収集し、位置情報テーブルに格納する。位置情報の収集は、ARP要求に対する応答パケットを通信装置20から制御装置10へ送信することで実現できる。位置情報管理部13は、通信装置20から応答パケットを受信すると、当該応答パケットから、応答した端末のIPアドレス、および通信装置情報を抽出し、位置情報テーブルに格納する。
また、位置情報管理部13は、通信装置20からインターフェース情報を収集し、上述したIPアドレス、および通信装置情報と対応付けて位置情報テーブルに格納する。
このようにすることで、新たな端末がネットワークに接続した場合や接続中の端末の位置が変更になった場合なども逐次、位置情報の蓄積や更新を行うことができる。
判定部14は、通信装置20から受信したパケットと、パターンファイルとを照合し、当該パケットの送信元が脅威に感染しているか否かを判定する。
生成部15は、制御情報を生成する。
制御情報は、通信装置20に対して、パケットを転送させないようにするための情報である。
設定部16は、生成部15が生成した制御情報を通信装置20に送信する。
図6は、通信装置20の構成を示す図である。通信装置20は、通信部21と、記憶部22と、パケット処理部23と、を備える。
通信部21は、制御装置10、通信装置20、および端末30と通信を行うための通信インターフェースである。
記憶部22は、ルーティングテーブルを保持している。ルーティングテーブルには、制御装置10から設定されたルーティング情報が格納されている。例えば、通信装置20aが保持するルーティングテーブルには、図3に示すルーティング情報3A乃至3Cが格納されている。
ルーティング情報は、制御装置10からの指示に応じて、追加、削除、および変更される。
パケット処理部23は、ルーティング情報に従って、受信パケットを処理する。

[動作の説明]
本実施形態の通信システムの動作について説明する。
以下では端末30aが端末30bへパケットを送信する場合について説明する。
説明の便宜上、端末30aが送信するパケットは、通信装置20a、通信装置20c、通信装置20bを経由して端末30bに転送されるものとする。そのためのルーティング情報は設定済みであるものとする。
パケット転送経路上のいずれかの通信装置20は、送信元端末30aが脅威に感染しているか否かを判定するために、制御装置10に受信パケットを送信する。
本実施形態では、通信装置20cが制御装置10にパケットを送信するものとする。
通信装置20aは端末30aからパケットを受信すると、ルーティング情報に従い当該パケットを通信装置20cに送信する。
通信装置20cは、通信装置20aからパケットを受信すると、ルーティング情報に従い当該パケットを通信装置20bに送信するとともに、当該パケットのコピーを制御装置10に送信する。
通信装置20bは通信装置20cからパケットを受信すると、ルーティング情報に従い端末30bに当該パケットを送信する。
制御装置10が通信装置20cからパケットを受信すると、判定部14は、受信したパケットのデータ部分とパターンファイルを照合し、端末30aが脅威に感染しているか否かを判定する。
具体的には、受信したパケットのデータ部分に、パターンファイルに含まれる各シグネチャと同一のデータ配列が含まれるか否かを検索する。
例えば、判定部14は、受信したパケットのデータ部分が「000011010」のデータ配列を含む場合、端末30aが脅威Aに感染していると判定する。
一方、受信したパケットのデータ部分が、パターンファイルに含まれる各シグネチャ(換言すると、脅威に相当するデータ配列)を含まない場合、判定部14は、端末30aが脅威に感染していないと判定する。
端末30aが脅威に感染している場合、判定部14は、受信したパケットの送信元IPアドレスと同一のIPアドレスを含む位置情報を位置情報テーブルから検索し、該当する位置情報を生成部15に渡す。この場合、判定部14は、位置情報5Aを生成部15に渡す。
生成部15は、判定部14から受け付けた位置情報5Aに含まれる通信装置情報を参照し、制御対象の通信装置を特定する。
生成部15は、特定した通信装置に対して、位置情報5Aに含まれるIPアドレスと同一のIPアドレスに対応するパケット処理規則を破棄に書き換えさせる制御情報を生成する。
生成部15は、生成した制御情報を設定部16に渡す。
設定部16は、生成部15から受け付けた制御情報を通信装置20aに送信する。
通信装置20aのパケット処理部23は、受信した制御情報に従って、該当するルーティング情報のパケット処理規則を「破棄」に書き換える。
一方、端末30aが脅威に感染していない場合、判定部14は、通信装置20cから次のパケットを受信するまで待機する。
端末30aが脅威に感染していない場合、設定部16は、通信装置20cに転送許可通知を送信するようにしてもよい。その場合、通信装置20cは、通信装置20bへのパケット送信は行わず、転送許可通知を受信するまで当該パケットをスタックしておく。
上記実施形態では、通信装置に対して、特定の端末から受信したパケットを破棄させる。
他の方法として、通信装置のポートを非アクティブ化して、パケットを遮断することにより、脅威の感染拡大を防止することもできる。
上記実施形態の場合、生成部15は、取得した位置情報5Aに含まれる通信装置情報とインターフェース情報を参照し、制御対象となる通信装置とポートを特定する。
すなわち、生成部15は、制御対象の通信装置が通信装置20aで、制御対象のポートがポート2であることが特定する。
生成部15は、特定した通信装置20aに対して、ポート2を遮断させるための制御情報を生成する。
設定部16は、制御情報を通信装置20aに送信する。
通信装置20aのパケット処理部23は、当該制御情報に従って、ポート2を遮断する。
このように、通信装置における感染端末との接続ポートを遮断することにより、感染端末の通信による脅威の感染拡大を防止することができる。
図7は、本実施形態にかかる制御装置10が、ネットワークへの脅威の感染拡大を防止するための処理動作を説明するためのフローチャートである。
通信装置20からパケットを受信すると(S71)、当該パケットの送信元端末が脅威に感染しているか否かを判定する。
送信元端末が脅威に感染していると判定した場合(S72のYes)、当該パケットの送信元端末に対応する位置情報に基づいて、制御対象の通信装置を特定し(S73)、当該パケットを転送させないための制御情報を生成する(S74)。
制御装置10は、生成した制御情報を、特定した通信装置20に送信する(S75)。
送信元端末が脅威に感染していないと判定した場合(S72のNo)、次のパケットを受信するまで待機する。
このように、送信元端末(端末30)が脅威に感染している場合、制御装置10は、位置情報に基づき端末30が接続している通信装置20に対し、パケットを転送させないための制御情報を送信する。
このように、端末が脅威に感染している場合、制御装置10は位置情報に基づき端末と接続する通信装置に対してパケットを転送させないための制御を行う。これにより感染端末の通信によるネットワークへの脅威の感染拡大を防止することができる。
また、制御装置10は、ARP要求に対する応答パケットを通信装置20から受信することで逐次位置情報を更新するので、端末が移動して他の通信装置(例えば、通信装置20c)と接続した場合も、同様の制御を行うことができる。

[効果]
本発明の第1の実施形態における通信システムでは、制御装置は、ネットワークを構成する制御対象の複数の通信装置のうちのいずれかの通信装置から受信したパケットに基づいて、該パケットの送信元端末が脅威に感染しているか否かを判定する。制御装置は、送信元端末が脅威に感染していると判定した場合、該送信元端末の位置情報に基づいて特定した通信装置に対して、該送信元端末から受信したパケットを転送させないための制御情報を送信する。
これにより、感染端末の通信によるネットワークへの脅威の感染拡大を防止することができる。

[第2の実施形態]
本発明の第2の実施形態について、図面を用いて詳細に説明する。
第2の実施形態の通信システムは、本発明をOpenFlowネットワークに適用した場合の通信システムである。

[構成の説明]
図8は、本発明にかかる第2の実施形態の通信システムの構成を示す図である。
図8の通信システムは、Open Flow Contoroller(以下、「OFC」と記載する。)100と、判定装置200と、Open Flow Switch(以下、「OFS」と記載する。)300aと、OFS300bと、OFS300cと、OFS300dと、端末400aと、端末400bと、端末400cと、を備える。
尚、OFS300a乃至300dを特に区別する必要がない場合は、単にOFS300と記載する。同様に、端末400aと400bを特に区別する必要がない場合は、単に端末400と記載する。
OFC100は、判定装置200、OFS300a、OFS300b、OFS300c、およびOFS300d、とそれぞれ接続している。
判定装置200は、OFS300dと接続している。
OFS300aは、端末400aおよびOFS300dとそれぞれ接続している。
OFS300bは、端末400bおよびOFS300dとそれぞれ接続している。
OFS300cは、端末400cおよびOFS300dとそれぞれ接続している。
OFS300は、それぞれ「192.168.2.31」、「192.168.2.32」、「192.168.2.33」、「192.168.2.34」のIPアドレスが割り当てられている。
端末400は、それぞれ「192.168.2.41」、「192.168.2.42」、「192.168.2.43」のIPアドレスが割り当てられている。
図9は、OFC100の構成を示す図である。
OFC100は、通信部101と、記憶部102と、位置情報管理部103と、取得部104と、経路計算部105と、生成部106と、設定部107と、を備える。
通信部101は、判定装置200、OFS300と通信を行うための通信インターフェースである。
記憶部102は、フローテーブルと位置情報テーブルを保持している。
フローテーブルは、図10に示すようにパケットと照合するためのマッチ条件と、該マッチ条件に合致したパケットを処理するためのインストラクションとを対応付けたフローエントリを含む。例えば、フローエントリ10Aは、送信元IPアドレスが「192.168.2.41」であるパケットを受信した場合のインストラクションとして、当該パケットを「OFS300dに送信」することが規定されている。
また、フローエントリは、それぞれ設定先のOFS300と対応付けられている。例えば、フローエントリ10A乃至10Cは、OFS300aに設定するためのフローエントリである。
位置情報テーブルは、図11に示すように端末のIPアドレスと、当該端末と接続するOFSを示すOFS情報と、該OFSにおける該端末との接続インターフェースを示すインターフェース情報と、を対応付けた位置情報を含む。
OFS情報は、OFS300のIPアドレスである。
インターフェース情報は、OFSの端末との接続ポート番号である。
この位置情報テーブルを参照することで、各端末が接続しているOFSと接続インターフェースを特定することができる。
例えば、位置情報11Aは、IPアドレス「192.168.2.41」が割り当てられた端末400aが、OFS300aのポート2と接続していることを示している。
位置情報管理部103は、第1の実施形態の位置情報管理部13と同様の処理動作を行う。
取得部104は、位置情報テーブルから端末の位置情報を取得する。
経路計算部105は、パケット転送経路を計算する。
生成部106は、フローエントリおよび制御情報を生成する。
設定部107は、OFS300にフローエントリおよび制御情報を送信する。
図12は、判定装置200の構成を示す図である。
判定装置200は、通信部201と、記憶部202と、判定部203と、を備える。
通信部201は、OFC100およびOFS300と通信を行うための通信インターフェースである。
記憶部202は、パターンファイルを保持している。尚、パターンファイルの構成は第1の実施例で説明した図4に開示のものと同一であるため、詳細な説明および図示は割愛する。
判定部203は、受信したパケットと、パターンファイルと、を照合し、当該パケットの送信元端末が脅威に感染しているか否かを判定する。
判定部203は、送信元端末が脅威に感染していると判定した場合、該送信元端末のIPアドレスを含む感染通知を生成し、OFC100に送信する。
図13は、OFS300の構成を示す図である。
OFS300は、通信部301と、記憶部302と、パケット処理部303と、を備える。
通信部301は、OFC100、判定装置200、OFS300および端末400と通信を行うための通信インターフェースである。
記憶部302は、フローテーブルを保持している。
フローテーブルには、フローエントリが格納されている。例えば、OFS300aが保持するフローテーブルには、フローエントリ9A乃至9Cが格納されている。
フローエントリは、OFC100からの指示に応じて、追加、削除、変更される。
パケット処理部303は、受信したパケットを処理する。具体的には、パケット処理部303は、受信したパケットと、フローエントリのマッチ条件と、を照合し、合致するマッチ条件がある場合、当該マッチ条件に対応するインストラクションに従って当該パケットを処理する。
一方、合致するマッチ条件がない場合、パケット処理部303は、OFC100に対して当該パケットを処理するためのフローエントリを要求する。

[動作の説明]
本実施形態の通信システムの動作について説明する。
尚、以下では、端末400aが端末400bにパケットを送信する場合について説明する。
また、OFS300によるパケット転送はOpenFlowプロトコルに則って行われる。OFS300には、当該パケットが、OFS300a、OFS300d、OFS300bの順で転送されるように、フローエントリが設定されているものとして、説明する。
パケット転送経路上のいずれかのOFS300は、送信元端末400aが脅威に感染しているか否かを判定するために、判定装置200に受信パケットを送信する。
ここでは、OFS300dが判定装置200にパケットを送信するものとして説明する。
端末400aは、OFS300aにパケットを送信する。
OFS300aは、フローエントリに従ってOFS300dに当該パケットを送信する。
OFS300dは、フローエントリに従ってOFS300bに当該パケットを送信する。OFS300dは、フローエントリに従って判定装置200に当該パケットのコピーを送信する。
判定部203は、OFS300dから受信したパケットのデータ部分と、記憶部202が保持するパターンファイルと、を照合し、端末400aが脅威に感染しているか否かを判定する。
例えば、判定部203は、受信したパケットのデータ部分が「000011010」のデータ配列を含む場合、当該パケットの送信元端末400aが、脅威Aに感染していると判定する。
一方、判定部203は、受信したパケットのデータ部分が、パターンファイルに含まれる各シグネチャ(換言すると、脅威に相当するデータ配列)を含まない場合、当該パケットの送信元端末400aが脅威に感染していないと判定する。
判定部203は、送信元端末400aが脅威に感染していると判定した場合、端末400aのIPアドレスを含む感染通知を生成し、OFC100に送信する。
取得部104は、当該感染通知を受信した場合、該感染通知に含まれる端末400aのIPアドレスと同一のIPアドレスを含む位置情報を位置情報テーブルから取得する。
取得部104は、取得した位置情報を生成部106に渡す。
生成部106は、取得部104から受け付けた位置情報11Aに基づいて、端末400aが接続するOFSを特定する。
生成部106は、特定したOFS300aに対して、送信元IPアドレスが位置情報11Aに含まれるIPアドレスと同一のIPアドレスに合致するパケットを破棄させるフローエントリを生成する。
図14にパケットを破棄させるためのフローエントリの一例を示す。図14のフローエントリは、送信元IPアドレスが「192.168.2.41」の端末から受信したパケットに対するインストラクションとして「破棄」が規定されている。
設定部107は、生成したフローエントリをOFS300aに送信する。
このようにして、OpenFlowを適用したネットワークにおいて、感染端末の通信によるネットワークへの脅威の感染拡大を防止する処理が実行される。
一方、判定部203は、送信元端末400aが脅威に感染していないと判定した場合、OFS300dから次のパケットを受信するまで待機する。
上記のように、OFSに対して、感染端末から受信したパケットを破棄させることにより、感染端末からの通信によるネットワークへの脅威の感染拡大を防止することができる。
上記の実施形態では、OFSに対して、特定の端末から受信したパケットを破棄させる。
他の方法として、OFS300のポートを非アクティブ化して、パケットを遮断することにより、脅威の感染拡大を防止することもできる。
上記実施例の場合、生成部106は、取得した位置情報11Aに含まれるOFS情報とインターフェース情報に基づいて、制御対象のOFS300とポートを特定する。
すなわち、生成部106は、制御対象のOFSがOFS300aで、制御対象のポートがポート2であることが特定する。
この場合、生成部106は、OFS300aに対して、ポート2を遮断させるための制御情報(図15を参照。)を生成する。
設定部107は、該制御情報をOFS300aに送信する。
このように、OFS300aは、図15に示す制御情報に従って感染端末との接続ポートを遮断することにより、感染端末の通信によるネットワークへの脅威の感染拡大を防止することができる。
図16は、端末400aが端末400bにパケットを送信する場合における、本実施形態の通信システムの処理動作を説明するためのシーケンス図である。
OFS300aは、受信したパケットをOFS300dに送信する(S1601)。
OFS300dは、受信したパケットを判定装置200に送信する。(S1602)
判定装置200は、当該パケットの送信元端末が脅威に感染しているか否かを判定する。
判定装置200は、送信元端末400aが脅威に感染していると判定した場合(S1603のYes)、感染通知をOFC100に送信する(S1604)。
OFC100は、端末400aに対応する位置情報に基づいて、制御対象のOFS300aを特定し(S1605)、当該パケットを転送させないためのフローエントリを生成する(S1606)。
OFC100は、生成したフローエントリを特定したOFS300aに送信する(S1607)。
このように、端末400aが脅威に感染している場合、OFC100は、位置情報に基づき端末400aが接続しているOFS300aを特定し、該OFS300aに対してパケットを転送させないためのフローエントリを送信する。
これにより、OFC100は、OFS300に対して受信パケットを転送させないよう制御することで、感染端末からの通信によるネットワークへの脅威の感染拡大を防止することができる。
一方、判定部203は、送信元端末400aが脅威に感染していないと判定した場合(S1603のNo)、再びパケットを受信するまで待機する。
以上の一連の処理により、感染端末の通信によるネットワークへの感染拡大を防止することができる。
以上では、図16を用いて、端末400aが端末400bに送信するパケットがOFS300aとOFS300dを介して転送される場合における各装置の一連の処理について説明したが、端末400bや端末400cが端末400aにパケットを送信する場合など、OFS300dを介してパケットが転送される場合は、上記と同様の処理が行われる。
この場合、OFC100は、送信元端末が端末400bである場合はOFS300bに対してパケットを転送させないためのフローエントリおよび制御情報を送信し、送信元端末が端末400cである場合はOFS300cに対してパケットを転送させないためのフローエントリおよび制御情報を送信する。
このように、送信元端末(端末400)が脅威に感染している場合、OFC100は、位置情報に基づき端末400が接続しているOFS300に対し、パケットを転送させないためのフローエントリおよび制御情報を送信する。
このように、端末が脅威に感染している場合、OFC100は位置情報に基づき端末と接続するOFSに対してパケットを転送させないための制御を行う。これにより感染端末の通信によるネットワークへの脅威の感染拡大を防止することができる。

[効果]
本発明の第2の実施形態における通信システムでは、判定装置は、ネットワークを構成する複数のOFSのうちのいずれかのOFSから受信したパケットに基づいて、該パケットの送信元端末が脅威に感染していると判定した場合、OFCに感染通知を送信する。OFCは、感染通知を受信すると、送信元端末の位置情報に基づいて特定したOFSに対して、該送信元端末から受信したパケットを転送させないためのフローエントリおよび制御情報を送信する。
これにより、感染端末の通信によるネットワークへの脅威の感染拡大を防止することができる。


[第2の実施形態の変形例]
続いて、第2の実施形態の変形例について説明する。

<第1の変形例>
第2の実施形態の第1の変形例について説明する。
第2の実施形態の第1の変形例と上述した第2の実施形態は、OFC100が生成するフローエントリが、該フローエントリが消滅するまでの時間を示す閾値と、該フローエントリがOFS300に設定されてから経過した時間(以下、「カウントアップタイマー」と記載する。)と、優先度と、を含む点で相違する。
図17は、第2の実施形態の第1の変形例において、OFC100が生成し、OFS300dに対して送信するフローエントリの一例を示す図である。
図17に示すフローエントリ17Aは、OFS300dがOFS300bにパケットを送信するためのフローエントリである。このフローエントリ17Aは、OFS300dに設定されてから30秒で消滅するように設定されており、カウントアップタイマーが閾値(図17の例では、30秒)以上になると消滅する。
図17に示すフローエントリ17Bは、OFS300dが判定装置200にパケットを送信するためのフローエントリである。OFS300dは、フローエントリ17Aが消滅した後、フローエントリ17Bに従って、判定装置200にパケットを送信する。
この場合、OFS300dは、優先度の高いフローエントリ17Aに従って、受信パケットをOFS300bに送信する。OFS300dは、フローエントリ17Aが消滅したら、フローエントリ17Bに従って、受信パケットを判定装置200に送信する。
以上のように、OFS300は、閾値に設定された時間ごとに、判定装置200に対してパケットを送信するので、判定装置200に対するパケット送信頻度が低減される。
これにより、判定装置200は、OFS300が受信した全てのパケットに対して感染有無の判定処理を行う場合に比べて、判定装置200における端末の感染有無の判定処理を軽減することができる、という効果を奏する。

<第2の変形例>
第2の実施形態の第2の変形例について説明する。
第2の実施形態の第2の変形例と上述した第2の実施形態とは、OFC100が生成するフローエントリが、該フローエントリのマッチ条件に合致するパケットの受信回数の閾値と、該フローエントリのマッチ条件に合致するパケットの受信回数(以下、「統計情報」と記載する。)と、優先度と、を含む点で相違する。
図18は、第2の実施形態の第2の変形例において、OFC100が生成し、OFS300dに対して送信するフローエントリの一例を示す図である。
図18に示すフローエントリ18Aは、OFS300dがOFS300bにパケットを送信するためのフローエントリである。このフローエントリは、OFS300dがマッチ条件に合致するパケットを1000回受信したら消滅するように設定されており、統計情報が閾値(図18の例では、1000回)以上になると消滅する。
図18に示すフローエントリ18Bは、OFS300dが判定装置200にパケットを送信するためのフローエントリである。OFS300dは、フローエントリ18Aが消滅した後、フローエントリ18Bに従って、判定装置200にパケットを送信する。
この場合、OFS300dは、優先度の高いフローエントリ18Aに従って、受信パケットをOFS300bに送信する。OFS300dは、フローエントリ18Aが消滅したら、フローエントリ18Bに従って、受信パケットを判定装置200に送信する。
以上のように、OFS300は、フローエントリのマッチ条件に該当するパケットを、閾値に設定されたパケット受信回数ごとに判定装置200に送信するので、判定装置200に対するパケット送信頻度が低減される。
これにより、判定装置200は、OFS300が受信した全てのパケットに対して感染有無の判定処理を行う場合に比べて、端末の感染有無の判定処理を軽減することができる、という効果を奏する。

<第3の変形例>
第2の実施形態の第3の変形例について、図面を用いて説明する。
図19は、本発明にかかる第2の実施形態の第3の変形例の通信システムの構成を示す図である。
第2の実施形態の第3の変形例は、端末400aが外部ネットワーク500と通信しており、かつ判定装置200が外部ネットワーク500とのエッジに配置されている点で、第2の実施形態と相違する。
この場合、判定装置200は、パケットを受信すると、該パケットの送信元端末が脅威に感染しているか否かを判定する。
送信元端末が脅威に感染していると判定した場合、判定装置200は、OFC100に対して、感染通知と当該パケットを送信する。
一方、送信元端末が脅威に感染していないと判定した場合、判定装置200は、受信したパケットを外部ネットワーク500に送信する。
このように、判定装置を外部ネットワークとのエッジに配置することにより、感染端末の通信によるセグメント内および外部ネットワークへの脅威の感染拡大を防止することができる。
10 制御装置
11 通信部
12 記憶部
13 位置情報管理部
14 判定部
15 生成部
16 設定部
20a 通信装置
20b 通信装置
20c 通信装置
21 通信部
22 記憶部
23 パケット処理部
30a 端末
30b 端末
100 Open Flow Contoroller
101 通信部
102 記憶部
103 位置情報管理部
104 取得部
105 経路計算部
106 生成部
107 設定部
200 判定装置
201 通信部
202 記憶部
203 判定部
300a Open Flow Switch
300b Open Flow Switch
300c Open Flow Switch
300d Open Flow Switch
301 通信部
302 記憶部
303 パケット処理部
400a 端末
400b 端末
400c 端末

Claims (10)

  1. ネットワークを構成する複数の通信装置を制御する制御装置であって、
    前記複数の通信装置のうちのいずれかの通信装置から受信したパケットに基づいて、該パケットの送信元端末が脅威に感染しているか否かを判定する判定部と、
    前記送信元端末が脅威に感染していると判定した場合、前記複数の通信装置のうち、前記送信元端末と接続する通信装置に対して、前記パケットを転送させないための制御情報を送信する設定部と、
    を備えることを特徴とする制御装置。
  2. 前記制御情報は、
    前記パケットを破棄させる制御情報である
    ことを特徴とする請求項1に記載の制御装置。
  3. 前記制御情報は、
    前記パケットの受信ポートを遮断させる制御情報である
    ことを特徴とする請求項1に記載の制御装置。
  4. 前記送信元端末の位置を示す位置情報を保持する記憶部を備え、
    前記生成部は、前記位置情報に基づいて、前記制御情報を生成する
    ことを特徴とする請求項1乃至3のいずれか一項に記載の制御装置。
  5. 前記記憶部は、前記送信元端末が脅威に感染しているか否かの判定に用いる照合ファイルを保持し、
    前記判定部は、前記パケットのデータ部分と前記照合ファイルに含まれる情報とを照合することで、前記送信元端末が脅威に感染しているか否かを判定する
    ことを特徴とする請求項1乃至4のいずれか一項に記載の制御装置。
  6. 前記制御情報は、フローエントリであって、
    前記フローエントリは、当該フローエントリが削除されるまでの時間を示す時間情報を含む
    ことを特徴とする請求項1に記載の制御装置。
  7. ネットワークを構成する複数の通信装置と、
    前記複数の通信装置を制御する制御装置と、
    前記ネットワークと通信する端末が脅威に感染しているか否かを判定する判定装置と、
    を備え、
    前記複数の通信装置のうちのいずれかの通信装置は、
    受信したパケットを、前記判定装置に送信し、
    前記判定装置は、
    前記通信装置から受信したパケットに基づいて、前記パケットの送信元端末が脅威に感染しているか否かを判定し、
    前記制御装置は、
    前記送信元端末が脅威に感染していると判定された場合、前記複数の通信装置のうち、前記送信元端末と接続する通信装置に対して、前記送信元端末から受信したパケットを転送させないための制御情報を送信する
    ことを特徴とする通信システム。
  8. 前記制御装置は、
    前記送信元端末が脅威に晒されていないと判定された場合、前記パケットの転送経路を計算し、
    前記送信元端末と接続する通信装置に対して、前記転送経路に従って前記パケットを転送させるための制御情報を送信する
    ことを特徴とする請求項7に記載の通信システム。
  9. ネットワークを構成する複数の通信装置を制御する制御装置における制御方法であって、
    前記複数の通信装置のうちのいずれかの通信装置から受信したパケットに基づいて、該パケットの送信元端末が脅威に感染しているか否かを判定し、
    前記送信元端末が脅威に感染していると判定した場合、前記複数の通信装置のうち、前記送信元端末と接続する通信装置に対して、前記パケットを転送させないための制御情報を送信する、
    ことを特徴とする制御方法。
  10. ネットワークを構成する複数の通信装置を制御する制御装置を構成するコンピュータに、
    前記複数の通信装置のうちのいずれかの通信装置から受信したパケットに基づいて、該パケットの送信元端末が脅威に感染しているか否かを判定する処理と、
    前記送信元端末が脅威に感染していると判定した場合、前記複数の通信装置のうち、前記送信元端末と接続する通信装置に対して、前記送信元端末から受信したパケットを転送させないための制御情報を送信する処理と、
    を実行させることを特徴とするプログラム。
JP2018206680A 2018-11-01 2018-11-01 ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム Pending JP2020072427A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018206680A JP2020072427A (ja) 2018-11-01 2018-11-01 ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018206680A JP2020072427A (ja) 2018-11-01 2018-11-01 ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム

Publications (1)

Publication Number Publication Date
JP2020072427A true JP2020072427A (ja) 2020-05-07

Family

ID=70548247

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018206680A Pending JP2020072427A (ja) 2018-11-01 2018-11-01 ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム

Country Status (1)

Country Link
JP (1) JP2020072427A (ja)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013005087A (ja) * 2011-06-14 2013-01-07 Nippon Telegr & Teleph Corp <Ntt> ネットワークシステム、中継制御装置、中継制御方法及び中継制御プログラム
JP2013070325A (ja) * 2011-09-26 2013-04-18 Nec Corp 通信システム、通信装置、サーバ、通信方法
WO2013150925A1 (ja) * 2012-04-03 2013-10-10 日本電気株式会社 ネットワークシステム、コントローラ、及びパケット認証方法
WO2013164988A1 (ja) * 2012-05-01 2013-11-07 日本電気株式会社 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム
JP2016005138A (ja) * 2014-06-17 2016-01-12 株式会社エヌ・ティ・ティ・データ 通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラム
JP2016036095A (ja) * 2014-08-04 2016-03-17 富士通株式会社 コントローラ,及びその攻撃者検知方法
JP2016163180A (ja) * 2015-03-02 2016-09-05 日本電気株式会社 通信システム、通信方法、及びプログラム
JP2017147575A (ja) * 2016-02-16 2017-08-24 富士通株式会社 制御プログラム、制御装置、および、制御方法
JP2017212696A (ja) * 2016-05-27 2017-11-30 日本電信電話株式会社 端末隔離通知システム
US20180191679A1 (en) * 2015-06-26 2018-07-05 Mcafee, Inc. Systems and methods for routing data using software-defined networks
JP2018121218A (ja) * 2017-01-25 2018-08-02 エヌ・ティ・ティ・コミュニケーションズ株式会社 攻撃検知システム、攻撃検知方法および攻撃検知プログラム

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013005087A (ja) * 2011-06-14 2013-01-07 Nippon Telegr & Teleph Corp <Ntt> ネットワークシステム、中継制御装置、中継制御方法及び中継制御プログラム
JP2013070325A (ja) * 2011-09-26 2013-04-18 Nec Corp 通信システム、通信装置、サーバ、通信方法
WO2013150925A1 (ja) * 2012-04-03 2013-10-10 日本電気株式会社 ネットワークシステム、コントローラ、及びパケット認証方法
WO2013164988A1 (ja) * 2012-05-01 2013-11-07 日本電気株式会社 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム
JP2016005138A (ja) * 2014-06-17 2016-01-12 株式会社エヌ・ティ・ティ・データ 通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラム
JP2016036095A (ja) * 2014-08-04 2016-03-17 富士通株式会社 コントローラ,及びその攻撃者検知方法
JP2016163180A (ja) * 2015-03-02 2016-09-05 日本電気株式会社 通信システム、通信方法、及びプログラム
US20180191679A1 (en) * 2015-06-26 2018-07-05 Mcafee, Inc. Systems and methods for routing data using software-defined networks
JP2017147575A (ja) * 2016-02-16 2017-08-24 富士通株式会社 制御プログラム、制御装置、および、制御方法
JP2017212696A (ja) * 2016-05-27 2017-11-30 日本電信電話株式会社 端末隔離通知システム
JP2018121218A (ja) * 2017-01-25 2018-08-02 エヌ・ティ・ティ・コミュニケーションズ株式会社 攻撃検知システム、攻撃検知方法および攻撃検知プログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
中川 直人 ほか: "OpenFlowを用いたマルウェア通信検知・対応手法の提案と評価 Proposal of a Detecting/Handling M", マルチメディア,分散,協調とモバイル(DICOMO2015)シンポジウム論文集 情報処理学会シンポジ, JPN6022036423, 1 July 2015 (2015-07-01), JP, pages 1153 - 1159, ISSN: 0005069849 *
十場 裕 ほか: "ネットワーク動的構成による高セキュリティLANシステムとセキュリティレベルの適応制御 Dynamic Config", マルチメディア,分散,協調とモバイル(DICOMO2013)シンポジウム論文集 情報処理学会シンポジ, JPN6022036422, 3 July 2013 (2013-07-03), JP, pages 493 - 500, ISSN: 0004936504 *

Similar Documents

Publication Publication Date Title
US9621581B2 (en) IPV6/IPV4 resolution-less forwarding up to a destination
CN108353068B (zh) Sdn控制器辅助的入侵防御系统
JP5880560B2 (ja) 通信システム、転送ノード、受信パケット処理方法およびプログラム
US9118716B2 (en) Computer system, controller and network monitoring method
JP4634320B2 (ja) 対異常通信防御を行うための装置とネットワークシステム
US10298600B2 (en) Method, apparatus, and system for cooperative defense on network
JP5305045B2 (ja) スイッチングハブ及び検疫ネットワークシステム
US10382397B2 (en) Mitigating neighbor discovery-based denial of service attacks
US20140075510A1 (en) Communication system, control device, communication method, and program
US20190149573A1 (en) System of defending against http ddos attack based on sdn and method thereof
JP2006339933A (ja) ネットワークアクセス制御方法、およびシステム
US20060191006A1 (en) Denial-of-service-attack protecting method, denial-of-service attack protecting system, denial-of-service attack protecting device, repeater, denial-of-service attack protecting program, and program for repeater
WO2014112616A1 (ja) 制御装置、通信装置、通信システム、スイッチの制御方法及びプログラム
JP2017005402A (ja) 通信装置
JPWO2013039083A1 (ja) 通信システム、制御装置および通信方法
JP6422677B2 (ja) ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法
US20130275620A1 (en) Communication system, control apparatus, communication method, and program
JP2013070325A (ja) 通信システム、通信装置、サーバ、通信方法
JP5966488B2 (ja) ネットワークシステム、スイッチ、及び通信遅延短縮方法
US8646081B1 (en) Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network
US20190028479A1 (en) Relay apparatus
JP2020072427A (ja) ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム
JP2017200152A (ja) 通信制限範囲特定装置、通信制御装置、通信装置、通信システム、通信制限範囲特定方法、及びプログラム
JP6683480B2 (ja) 通信装置及び通信システム
JP7467995B2 (ja) 端末隔離システム、端末隔離方法および端末隔離プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211015

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20211015

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220719

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220830

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221021

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221206

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20230530