JP2020077912A - ネットワーク制御装置、及び、ネットワーク制御方法 - Google Patents

ネットワーク制御装置、及び、ネットワーク制御方法 Download PDF

Info

Publication number
JP2020077912A
JP2020077912A JP2018208282A JP2018208282A JP2020077912A JP 2020077912 A JP2020077912 A JP 2020077912A JP 2018208282 A JP2018208282 A JP 2018208282A JP 2018208282 A JP2018208282 A JP 2018208282A JP 2020077912 A JP2020077912 A JP 2020077912A
Authority
JP
Japan
Prior art keywords
abnormal
access point
communication
network
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018208282A
Other languages
English (en)
Other versions
JP7081445B2 (ja
Inventor
慎也 豊永
Shinya Toyonaga
慎也 豊永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2018208282A priority Critical patent/JP7081445B2/ja
Publication of JP2020077912A publication Critical patent/JP2020077912A/ja
Application granted granted Critical
Publication of JP7081445B2 publication Critical patent/JP7081445B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】異常通信が生じても被害の拡大を抑制できるネットワーク制御装置を提供する。【解決手段】ネットワーク制御装置は、アクセスポイントから収集される、アクセスポイントに接続される機器を特定する情報に基づき、アクセスポイントへの機器の接続履歴を表す接続履歴情報を生成する接続履歴生成部と、アクセスポイントから収集される、アクセスポイントに接続される機器を特定する情報に基づき、ネットワークのトポロジを割り出すトポロジ管理部と、ネットワークにおけるトラフィックに基づいて異常通信を検出する異常通信検出装置から入力される異常通信を表す情報から、異常通信を行った異常機器を特定する異常特定部と、トポロジを参照して、接続履歴情報に含まれる、異常機器が接続されたアクセスポイントを特定し、特定したアクセスポイントに対して、異常機器と通信不能な状態にさせる指令を送信する、接続制御部とを含む。【選択図】図10

Description

本発明は、ネットワーク制御装置、及び、ネットワーク制御方法に関する。
従来より、機能の異なるネットワーク機器を含んで構成されるネットワークを制御するネットワーク制御装置がある。前記ネットワーク機器の機能に関する情報であるネットワーク機器情報を記憶するネットワーク機器情報記憶部と、前記ネットワークにおいて発生したインシデントに対する対処方針に関する情報である対処方針情報を記憶する対処方針情報記憶部とを備える。また、前記ネットワーク機器情報及び前記対処方針情報に基づき、前記インシデントに対処するための前記ネットワーク機器の設定に関する情報である設定情報を一つ以上生成する対処設定情報生成部を備える(例えば、特許文献1参照)。
特開2017−063336号公報
ところで、従来のネットワーク制御装置は、例えば、無線通信を行うネットワーク機器が異常な通信を行った場合に、当該無線通信を行うネットワーク機器が接続されたアクセスポイントをネットワークから外しても、他のアクセスポイントに接続されて異常通信が行われ、異常通信による被害が拡大するおそれがある。
そこで、異常通信が生じても被害の拡大を抑制できるネットワーク制御装置、及び、ネットワーク制御方法を提供することを目的とする。
本発明の実施の形態のネットワーク制御装置は、ローカルエリアネットワークを構築するアクセスポイントに接続され、前記ローカルエリアネットワークを含むネットワークを制御するネットワーク制御装置であって、前記アクセスポイントから収集される、前記アクセスポイントに接続される機器を特定する情報に基づき、前記アクセスポイントへの前記機器の接続履歴を表す接続履歴情報を生成する接続履歴生成部と、前記アクセスポイントから収集される、前記アクセスポイントに接続される機器を特定する情報に基づき、前記ネットワークのトポロジを割り出すトポロジ管理部と、前記ネットワークにおけるトラフィックに基づいて異常通信を検出する異常通信検出装置から入力される前記異常通信を表す情報から、前記異常通信を行った異常機器を特定する異常特定部と、前記トポロジを参照して、前記接続履歴情報に含まれる、前記異常機器が接続されたアクセスポイントを特定し、前記特定したアクセスポイントに対して、前記異常機器と通信不能な状態にさせる指令を送信する、接続制御部とを含む。
異常通信が生じても被害の拡大を抑制できるネットワーク制御装置、及び、ネットワーク制御方法を提供することができる。
実施の形態のGW100を含むFAN50の構成を示す図である。 GW100のハードウェア構成を示す図である。 GW100の機能構成を示す図である。 接続AP履歴のデータ構造の一例を示す図である。 構成管理情報のデータ構造の一例を示す図である。 ブラックリストのデータ構造の一例を示す図である。 FAN50において各ネットワーク機器が行う処理を示すタスク図である。 GW100が接続AP履歴を更新し、FAN50のトポロジを割り出す処理を示すフローチャートである。 GW100が異常デバイスをFAN50から隔離する処理を示すフローチャートである。 GW100の制御によるFAN50の無線通信可能エリアを示す図である。
以下、本発明のネットワーク制御装置、及び、ネットワーク制御方法を適用した実施の形態について説明する。
<実施の形態>
図1は、実施の形態のGW(gateway)100を含むFAN(Field Area Network)50の構成を示す図である。GW100は、実施の形態のネットワーク制御装置の一例であり、GW100によって実行される制御方法は、実施の形態のネットワーク制御方法の一例である。
FAN50は、GW100、SW(スイッチ/Switch)10、トラフィック分析装置20、AP(アクセスポイント/Access Point)1、及びAP2を含む。GW100、SW10、トラフィック分析装置20、AP1、及びAP2は、実施の形態のFAN50におけるネットワーク機器である。
FAN50は、SW10以外にもSW(スイッチ)を含み、AP1、AP2以外にもAP(アクセスポイント)を含み得るが、ここでは省略する。以下では、FAN50に含まれる任意のSW(スイッチ)を指すときは、単にSWと称し、FAN50に含まれる任意のAP(アクセスポイント)を指すときは、単にAPと称す。
図1には、AP1とAP2の無線通信が可能なエリアを破線の円で示す。AP1とAP2の無線通信が可能なエリアは、無線LAN(Local Area Network)によって実現される。AP1にはデバイス30A、30Bが無線通信で接続されており、AP2にはデバイス30C、30Dが無線通信で接続されている。デバイス30A〜30Dは、例えば、PC(Personal Computer)のような情報処理装置である。
また、2つの無線通信が可能なエリアは一部が重複しており、デバイス30Eは、重複エリアに位置する。デバイス30Eは、コンピュータウィルス又はワーム等のマルウェアに感染するデバイスである。デバイス30Eは、マルウェアに感染する前は、デバイス30A〜30Dと同様のPC等のデバイスである。
デバイス30Eは、無線通信の状態によって、AP1又はAP2に接続しうる。デバイス30Eは、マルウェアに感染した感染媒体40が接続されるとマルウェアに感染した異常デバイスになる。感染媒体40は、例えばUSB(Universal Serial Bus)メモリである。なお、以下では、デバイス30A〜30Eを区別せずにFAN50に含まれる任意のデバイスを指すときは、単にデバイスと称す。
ここで、FAN50は、例えば工場等に設けられるFANであり、デバイス30A〜30Eは、基本的に移動せず、移動してもAP1、AP2と無線通信が可能なエリアから外れない程度である。
GW100は、FAN50の内部ではバス51を介してSW10に接続され、FAN50の外部ではネットワーク60を介してクラウド上のコンピュータ70に接続されている。GW100は、所定のIP(Internet Protocol)を用いてSW10及びクラウド上のコンピュータ70と通信を行う。
ネットワーク60は、LAN(Local Area Network)又はWAN(Wide Area Network)等であり、いわゆるインターネットである。GW100は、ネットワーク60から見るとFAN50の入口であり、ネットワーク60とFAN50とを分離している。
SW10は、一例としてL2スイッチ又はL3スイッチであり、GW100と、AP1、AP2とを接続している。SW10とAP1、AP2とは、バス51によって接続されている。また、SW10には、バス51を介してトラフィック分析装置20が接続されている。
トラフィック分析装置20は、SW10に接続され、SW10とAP1、AP2との間で伝送されるデータからトラフィック情報を収集して分析し、異常通信を検知する。このような異常通信の検知は、例えば、IDS(Intrusion Detection System)のような侵入検知システム、又は、IPS(Intrusion Prevention System)のような侵入防止システムを利用してSW10を経由するパケットを監視することによって実現される。
トラフィック情報とは、SW10とAP1、AP2との間で伝送されるデータのプロトコル、ポート番号、MACアドレス、IPアドレス等である。また、異常通信とは、マルウェアに感染した状態のデバイス30Eのマルウェアが実行する通信である。
AP1、AP2は、デバイス30A〜30Eが接続可能な無線LANを提供する通信機(無線機)である。マルウェアに感染した異常デバイスをFAN50から隔離するために、AP1又はAP2は、異常デバイスのMACアドレスを登録するブラックリストを有する。ブラックリストにMACアドレスが登録されたデバイスは、AP1、AP2への接続が遮断され、ブラックリストに登録されていないデバイスは、AP1、AP2への接続が可能である。ブラックリストへの登録は、GW100から伝送される命令(指令)に基づいて行われる。
図2は、GW100のハードウェア構成を示す図である。GW100は、主な構成要素として、プロセッサ101、メモリ102、有線通信モジュール103、有線通信モジュール104、及び内部バス105を有する。
プロセッサ101は、CPU(Central Processing Unit:中央演算処理装置)である。メモリ102は、RAM(Random Access Memory)又はROM(Read Only Memory)等を含むメモリ部である。メモリ102はHDD(Hard Disk Drive)を含んでいてもよい。
有線通信モジュール103は、バス51(図1参照)を介してSW10とデータ通信を行う通信機であり、有線通信モジュール104は、GW100をネットワーク60を介してクラウド上のコンピュータ70に接続する通信機である。
図3は、GW100の機能構成を示す図である。図3には、説明を分かり易くするために、GW100に加えてSW10、トラフィック分析装置20、AP1、及びAP2を示す。
GW100は、情報収集部110、履歴管理部120、トポロジ管理部130、異常情報受信部140、特定部150、提供機能管理部160、制御部170、通知部180、及びコマンド送信部190を含む。
情報収集部110は、LLDP(Link Layer Discovery Protocol)、SNMP(Simple Network Management Protocol)、又はHTIP(Home-network Topology Identifying Protocol)等の標準規格を利用し、SW10を介して隣接情報を収集する。隣接情報とは、SW10に接続されるAP1、AP2を特定する情報、及び、AP1、AP2に接続されるデバイス30A〜30Eを特定する情報を含むリスト形式のデータであり、接続される機器を特定する情報の一例である。特定する情報は、例えば、MACアドレスである。
履歴管理部120は、情報収集部110によって収集される隣接情報に基づいて接続AP履歴を作成し、保管する管理部である。履歴管理部120は、接続履歴生成部の一例であり、接続AP履歴は、接続履歴の一例である。接続AP履歴とは、AP1、AP2に接続されたデバイス30A〜30Eの履歴を表す情報である。接続AP履歴は、AP1、AP2に接続されたデバイス30A〜30EのMACアドレス及びIPアドレス、AP1、AP2のMACアドレス及びIPアドレス等を含む。接続AP履歴の詳細については、図4を用いて後述する。
履歴管理部120は、情報収集部110からAP1、AP2にそれぞれ接続されたデバイスの情報を取得することによって、接続AP履歴を生成する。履歴管理部120は、所定時間毎(例えば、数秒毎又は数分毎)に接続AP履歴を更新する。
トポロジ管理部130は、情報収集部110によって収集される隣接情報に基づいて、FAN50のトポロジを割り出し(推定し)、割り出した(推定した)トポロジを保管する管理部である。トポロジ管理部130は、履歴管理部120が所定時間毎に接続AP履歴を更新するのと同時にトポロジを更新する。
隣接情報は、SW10に接続されるAP1〜AP2のMACアドレス、およびAP1、AP2に接続されるデバイス30A〜30EのMACアドレスを含むため、トポロジ管理部130は、隣接情報に基づいてFAN50のトポロジを推定する。
異常情報受信部140は、トラフィック分析装置20から異常通信情報を受信する受信部である。異常通信情報は、トラフィック分析装置20がSW10とAP1、AP2との間で伝送されるデータからトラフィック情報を収集して分析して検知した異常通信を表す情報である。異常通信情報は、マルウェアに感染したデバイス30EのMACアドレス及び/又はIPアドレスを含む。なお、マルウェアに感染したデバイス30EのIPアドレスは、例えば、arpコマンドを用いて、FAN50内部でMACアドレスに対応付けられるIPアドレスを取得すればよい。異常通信受信部140はトラフィック分析装置20から、例えばSyslogを用いて異常通信情報を収集してもよい。
特定部150は、異常情報受信部140によって受信される異常通信情報に基づいて、マルウェアに感染したデバイス30Eを特定する。特定部150は、異常特定部の一例である。特定部150は、特定したデバイス30Eを表す情報を制御部170に伝送する。特定したデバイス30Eを表す情報は、デバイス30EのMACアドレスである。
提供機能管理部160は、構成管理情報を保管する管理部である。構成管理情報とは、SW10、AP1、AP2が提供しうる機能(提供しうる制御)、制御に用いるコマンド等の情報を表す。このような構成管理情報は、FAN50の管理者によって予め作成され、提供機能管理部160に付与される。
制御部170は、特定部150からマルウェアに感染したデバイス30Eを表す情報を伝送されたことを契機に、履歴管理部120から接続AP履歴、トポロジ管理部130からトポロジを表すデータ、提供機能管理部160から構成管理情報を取得し、それらの情報に基づいて、マルウェアに感染したデバイス30EをFAN50から隔離する制御を行う。制御部170は、接続制御部の一例である。制御部170の詳細な制御内容については、図7乃至図9を用いて後述する。
通知部180は、制御部170によって所定の判定が行われた場合に、ネットワーク60を介してFAN50の管理者に通知を行う。この通知については、図9を用いて後述する。
コマンド送信部190は、制御部170が生成する各種コマンドをSW10を介してAP1、AP2に送信する。コマンドの種類等については、図7を用いて後述する。
図4は、接続AP履歴のデータ構造の一例を示す図である。接続AP履歴は、デバイスのMACアドレス、デバイスのIPアドレス、APのMACアドレス、APのIPアドレス、有効期限、RSSI(Received Signal Strength Indicator:受信信号強度)値、継続接続時間を関連付けたデータである。
デバイスのMACアドレスは、デバイス30A〜30EのMACアドレスである。デバイスのIPアドレスは、デバイス30A〜30EのIPアドレスである。APのMACアドレスは、AP1又はAP2のMACアドレスである。APのIPアドレスは、AP1又はAP2のIPアドレスである。なお、IPアドレスは、例えば、arpコマンドを用いて、FAN50の内部で各MACアドレスに対応付けられたIPアドレスを取得すればよい。
有効期限は、デバイス30A〜30Eの接続が有効な期限を表し、単位は一例として秒である。RSSI値は、一例として、AP1、AP2が測定したデバイス30A〜30Eの受信強度である。継続接続時間は、AP1又はAP2にデバイス30A〜30Eが継続して接続された時間を表し、単位は、一例として、秒である。なお、RSSI値は、デバイス30A〜30Eによって測定された値であってもよい。
図4に示す3行のデータのうち、上から1行目と、上から2行目(真ん中の行)とのデータは、デバイスのMACアドレス及びIPアドレスが等しく、APのMACアドレス及びIPアドレスが異なる。これは、一例として、デバイス30Eが、AP1とAP2に接続された履歴を表す。
また、図4に示す3行のデータのうち、上から3行目(最も下の行)のデータは、上から1行目及び2行目のデータとはデバイスのMACアドレス及びIPアドレスが異なり、APのMACアドレス及びIPアドレスが上から1行目のデータと等しい。これは、一例として、デバイス30CがAP1に接続された履歴を表す。
図5は、構成管理情報のデータ構造の一例を示す図である。構成管理情報は、MACアドレス、IPアドレス、種別、提供機能、制御プロトコル、ユーザ名、パスワード/コミュニティ名を含む。
種別は、GW(ゲートウェイ)、SW(スイッチ)、又はAP(アクセスポイント)等のネットワーク機器の種別を表す。MACアドレスとIPアドレスは、各ネットワーク機器のMACアドレスとIPアドレスである。
提供機能は、種別が表すネットワーク機器がFAN50の内部における接続を遮断するために提供し得る機能を表す。例えば、種別がAPの場合にはMACアドレスフィルタリングであり、種別がSWの場合にはポートダウンであり、種別がGWの場合には、なしである。
MACアドレスフィルタリングとは、MACアドレスで特定されるネットワーク機器のみのAPへの接続を拒否する機能である。また、ポートダウンは、SWのAPに接続されるポートを遮断する機能である。また、APやSWによっては、提供機能を有しないものもある。
なお、制御プロトコル、ユーザ名、パスワード/コミュニティ名、コマンドは、種別又は個々のネットワーク機器について設定される。
図6は、ブラックリストのデータ構造の一例を示す図である。ブラックリストは、AP1、AP2の各々において作成される。図6には一例として、AP1が作成して保持するブラックリストを示す。図6に示すように、ブラックリストは、異常デバイスのMACアドレスを含むデータである。このようなブラックリストをAP1が保持する場合には、異常デバイスのMACアドレスで特定される異常デバイスへの接続が拒否される。
図7は、FAN50において各ネットワーク機器が行う処理を示すタスク図である。まず、ステップS1でデバイス30EがAP2に接続する。ステップS2でGW100がAP2に隣接情報の送信を要求する隣接情報取得リクエストを送信する。これにより、ステップS3でAP2はGW100に隣接情報を送信する。
ステップS4で、デバイス30EがAP2から受信する無線LANの信号のRSSI値が低下して接続が切断され、デバイス30Eは、再接続先をスキャンする。ステップS5でデバイス30EはAP1に接続を要求する接続要求を送信する。
ステップS6でAP1はブラックリストを照合し、ブラックリストにデバイス30Eが含まれていないと判定すると、デバイス30Eの接続を受容する。これにより、ステップS7において、デバイス30EはAP1に接続する。
また、ステップS8において、GW100は、AP1、AP2以外のアクセスポイントやSWに対しても隣接情報取得リクエストを送信し、AP1、AP2以外のアクセスポイントから隣接情報を取得する。
ステップS9でGW100がAP1に隣接情報取得リクエストを送信し、ステップS10でAP1はGW100に隣接情報を送信する。この隣接情報は、デバイス30EがAP1に接続されたことを表す。
GW100は、FAN50内のすべてのSWとAPから隣接情報を収集すると、接続AP履歴とトポロジを表すデータを更新する。なお、この一連の処理は定期的に行われる。
ステップS11で感染媒体40がデバイス30Eに接続され、ステップS12において、デバイス30Eがマルウェアに感染して異常デバイスになる。ステップS13において、デバイス30Eが異常通信を行い、AP1を介してSW10に異常なデータを送信する。ステップS14において、SW10は異常なデータをトラフィック分析装置20に転送する。
これにより、ステップS15において、トラフィック分析装置20が異常通信を検知し、異常通信情報をGW100に送信する。
GW100は異常通信情報を受信したことを契機に、トポロジを表すデータ、接続AP履歴、構成管理情報に基づいて制御する機器と制御内容を決定する。
ステップS16において、GW100は、デバイス30EのMACアドレスをAP1のブラックリストに登録させるブラックリスト登録命令をAP1に送信する。ステップS17において、AP1は、デバイス30EのMACアドレスをブラックリストに登録する。ブラックリスト登録命令は、接続拒否指令の一例である。
また、ステップS18において、GW100は、AP1に再起動させる再起動命令を送信し、ステップS19において、AP1は再起動を行う。これにより、AP1において、デバイス30EのMACアドレスが登録されたブラックリストが有効になり、ステップS20において、AP1はデバイス30Eの接続を切断する。ステップS21において、デバイス30Eは、切断を検知し、再接続先をスキャンする。
ステップS22において、GW100は、接続AP履歴を参照し、デバイス30Eが過去に接続されていたAP2に対して、デバイス30EのMACアドレスをAP2のブラックリストに登録させるブラックリスト登録命令をAP2に送信する。ステップS23において、AP2は、デバイス30EのMACアドレスをブラックリストに登録する。
また、ステップS24において、GW100は、AP2に再起動させる再起動命令を送信し、ステップS25において、AP2は再起動を行う。これにより、AP2において、デバイス30EのMACアドレスが登録されたブラックリストが有効になる。
ステップS26において、デバイス30EがAP1に接続要求を送信するが、ステップS27において、AP1はブラックリストを照合し、ブラックリストにデバイス30Eが含まれると判定すると、ステップS28においてデバイス30Eの接続を拒否する。
同様に、ステップS29において、デバイス30EがAP2に接続要求を送信するが、ステップS30において、AP2はブラックリストを照合し、ブラックリストにデバイス30Eが含まれると判定すると、ステップS31においてデバイス30Eの接続を拒否する。
以上のように、GW100は、トラフィック分析装置20から異常通信情報を受信すると、異常通信情報が表すデバイス(ここではデバイス30E)のMACアドレスに基づいて、異常デバイスを特定する。
また、GW100は、隣接情報に基づいて割り出したトポロジを参照して、接続AP情報に含まれる、過去に異常デバイスが接続されたAPを特定し、特定したAPにブラックリスト登録命令を送信する。この結果、過去にデバイス30Eが接続されたAP1、AP2のブラックリストにデバイス30EのMACアドレスが登録され、AP1、AP2とデバイス30Eとは接続不能な状態になる。
これにより、マルウェアに感染したデバイス30EをFAN50から隔離することができる。また、FAN50において、通信が不能になるのはAP1、AP2と、マルウェアに感染したデバイス30Eとの間だけであり、AP1とデバイス30A、30Bとの通信と、AP2とデバイス30C、30Dとの通信とは、通信可能な状態に維持される。
このため、FAN50内で通信不能になるのは最小限に抑制され、異常通信が生じても被害の拡大を抑制できる。
図8は、GW100が接続AP履歴を更新し、FAN50のトポロジを割り出す処理を示すフローチャートである。図8に示すフローチャートは、所定時間毎(例えば、数秒毎又は数分毎)に繰り返し実行される。
情報収集部110は、FAN50内のSWとAPのリスト(ここではSW10とAP1、AP2のリスト)を取得し、隣接情報未取得リストを作成する(ステップS50)。隣接情報未取得リストとは、隣接情報を未だに取得していないSW又はAPをリスト化したリスト形式のデータである。
このような隣接情報未取得リストは、構成管理情報に含まれるSW及びAPのMACアドレス及びIPアドレスを取り出し、SW、AP毎に隣接情報を取得したものにフラグを立てることで管理される。
情報収集部110は、隣接情報未取得リストを参照し、隣接情報を未取得のSW又はAPがあるかどうかを判定する(ステップS51)。隣接情報未取得リストにおいて、フラグが立てられていないSW、APがあるかどうかで判定すればよい。
情報収集部110は、隣接情報を未取得のSW又はAPがある(S51:YES)と判定すると、隣接情報を未取得のSW又はAPを1つ選択する(ステップS52)。
情報収集部110は、選択したSW又はAPから隣接情報を取得する(ステップS53)。具体的には、情報収集部110は、選択したSW又はAPに隣接情報取得リクエストを送信し、隣接情報を取得する(図7のステップS9、S10参照)。
情報収集部110は、隣接情報を取得したSW又はAPについて、隣接情報未取得リストにおいて取得済みのフラグを立てる(ステップS54)。
情報収集部110は、ステップS53で選択したネットワーク機器がAPであるかどうかを判定する(ステップS55)。
情報収集部110によってAPである(S55:YES)と判定されると、履歴管理部120は、ステップS53で取得した隣接情報が表すデバイスを接続AP履歴が未更新のデバイスリスト(以下、未更新デバイスリスト)に登録する(ステップS56)。
未更新デバイスリストとは、ステップS53で取得された隣接情報のMACアドレスが表すデバイス(30A〜30Eのいずれか)をリスト化したデータである。ステップS53で取得された隣接情報のMACアドレスが表すデバイス(30A〜30Eのいずれか)については、接続AP履歴が更新されていないからである。
このような未更新デバイスリストは、ステップS53で取得された隣接情報のMACアドレスが表すデバイス(30A〜30Eのいずれか)のMACアドレスをリスト化し、デバイス毎に接続AP履歴を更新したものにフラグを立てることで管理される。
履歴管理部120は、未更新デバイスリストを参照し、接続AP履歴が未更新のデバイスが存在するかどうかを判定する(ステップS57)。すべてのデバイスについて、接続AP履歴を更新するためである。
履歴管理部120は、接続AP履歴が未更新のデバイスが存在する(S57:YES)と判定すると、未更新デバイスリストから接続AP履歴が未更新のデバイスを1つ選択する(ステップS58)。
履歴管理部120は、ステップS58において選択したデバイスの接続AP履歴を更新する(ステップS59)。具体的には、履歴管理部120は、図8の右側に示すステップS70〜S73のサブルーチン処理を実行することによって、接続AP履歴を更新する。
履歴管理部120は、ステップS58において選択したデバイスと、ステップS52で選択したAPとの組み合わせが接続AP履歴に含まれるかどうかを判定する(ステップS70)。ステップS52で選択し、ステップS55でAPであると判定されたAP(現在選択しているAP)に、ステップS58で選択したデバイスが接続されたかどうかを判定するためである。
履歴管理部120は、デバイスとAPとの組み合わせが接続AP履歴に含まれる(S70:YES)と判定すると、選択したデバイスの接続AP履歴における有効期限を更新する(ステップS71)。有効期限は、例えば、数百秒程度である。
履歴管理部120は、有効期限の切れたデバイスとAPとの組み合わせを接続AP履歴から削除する(ステップS72)。例えば、図4で上から3行目のデバイスとAPとの組み合わせの有効期限が切れた場合には、図4で上から3行目のデータが接続AP履歴から削除される。
一方、履歴管理部120は、デバイスとAPとの組み合わせが接続AP履歴に含まれない(S70:NO)と判定すると、選択したデバイスを有効期限とともに接続AP履歴に追加する(ステップS73)。履歴管理部120は、ステップS73の処理を終えると、フローをステップS72に進行させる。
履歴管理部120は、サブルーチン処理を終えると、ステップS58で選択したデバイスを接続AP履歴において更新済みとする(ステップS60)。
履歴管理部120は、ステップS60の処理が完了すると、フローをステップS57にリターンさせる。接続AP履歴が未更新のデバイスが存在しなくなるまでステップS57〜S60の処理を繰り返し実行するためである。
なお、情報収集部110は、ステップS55においてAPではない(S55:NO)と判定すると、フローをステップS51にリターンする。APについて未更新デバイスリストへの登録を行うからである。
また、履歴管理部120は、ステップS57において、接続AP履歴が未更新のデバイスが存在しない(S57:NO)と判定すると、フローをステップS51にリターンする。他のAPについての処理を行うためである。
そして、ステップS51〜S61の処理がすべての隣接情報が未取得のSW及びAPについて行われ、ステップS51において、情報収集部110が隣接情報を未取得のSW又はAPがない(S51:NO)と判定すると、フローはステップS61に進行する。この状態で、FAN50に含まれるすべてのSW及びAPについて隣接情報が取得されている。
トポロジ管理部130は、FAN50に含まれるすべてのSW及びAPについて隣接情報に基づいて、FAN50のトポロジを割り出し(推定し)、割り出した(推定した)トポロジを保管する(ステップS61)。
以上により、GW100が接続AP履歴を更新し、FAN50のトポロジを割り出す処理が終了する。
図9は、GW100が異常デバイスをFAN50から隔離する処理を示すフローチャートである。図9に示すフローチャートは、異常情報受信部140が、トラフィック分析装置20から異常通信情報を受信したことを契機に実行される。
異常情報受信部140は、トラフィック分析装置20から異常通信情報を受信する(ステップS100)。
特定部150は、異常通信情報に含まれるMACアドレス及び/又はIPアドレスから、マルウェアに感染したデバイスを特定する(ステップS101)。ここでは、デバイス30Eがマルウェアに感染した異常デバイスとして特定されたこととする。
制御部170は、FAN50からデバイス30Eを隔離するために制御対象になるネットワーク機器と、制御方法とを決定する(ステップS102)。ステップS102の処理は、具体的には、図9の右側に示すステップS110〜S122のサブルーチン処理によって行われる。
制御部170は、提供機能管理部160が保管する構成管理情報を参照し、提供機能を有するネットワーク機器を抽出する(ステップS110)。
制御部170は、調査対象を異常デバイスに設定する(ステップS111)。ここで、調査対象とは、制御部170がステップS110〜S122の処理を実行するにあたり、FAN50の内部で判定対象として選択するSW、AP、又はデバイスである。調査対象の特定は、MACアドレスを利用して行われる。
制御部170は、トポロジを参照し、調査対象を現在の調査対象の親ノードに設定する(ステップS112)。現在の調査対象の親ノードとは、FAN50のトポロジの中で、現在の調査対象の隣に位置するネットワーク機器であって、現在の調査対象よりもGW100側に位置するネットワーク機器である。
制御部170は、ステップS112で設定した調査対象がGW100であるかどうかを判定する(ステップS113)。GW100は、FAN50から隔離不能なネットワーク機器であるため、まずGW100であるかどうかを判定することとしたものである。GW100であるかどうかは、構成管理情報に含まれるMACアドレスに基づいて判定すればよい。
制御部170によってGW100である(S113:YES)と判定されると、通知部180は、管理者に隔離不能であることを通知する(ステップS114)。通知部180は、ネットワーク60を介してFAN50の管理者に隔離不能であることを通知する。
制御部170は、GW100ではない(S113:NO)と判定すると、調査対象が制御可能なネットワーク機器であるかどうかを判定する(ステップS115)。ここで、制御可能なネットワーク機器とは、構成管理情報において提供機能を有するネットワーク機器である。制御可能なネットワーク機器の制御方法は、提供機能によって決まる。例えば、制御可能なネットワーク機器の提供機能がMACアドレスフィルタリングであれば、制御可能なネットワーク機器の制御方法は、MACアドレスフィルタリングになる。
制御部170は、調査対象が制御可能なネットワーク機器である(S115:YES)と判定すると、調査対象がSWであるかどうかを判定する(ステップS116)。調査対象がSWであるかどうかは、調査対象のMACアドレスを用いて構成管理情報を参照することによって判定できる。
制御部170は、調査対象がSWである(S116:YES)と判定すると、調査対象を制御対象機器に設定する(ステップS117)。
制御部170は、ステップS117で制御対象機器に設定したネットワーク機器における異常デバイスを接続し得る有線I/Fを調査する(ステップS118)。
制御部170は、ステップS118で調査した有線I/Fをポートダウンさせる(ステップS119)。
制御部170は、調査対象がSWではない(S116:NO)と判定すると、調査対象がAPであるかどうかを判定する(ステップS120)。調査対象がAPであるかどうかは、調査対象のMACアドレスを用いて構成管理情報を参照することによって判定できる。
制御部170は、調査対象がAPである(S120:YES)と判定すると、接続AP履歴を参照し、ステップS101で特定した異常デバイスのMACアドレスと関連付けられたAPのMACアドレスによって特定されるAPを制御対象機器に設定する(ステップS121)。
これにより、異常デバイスの接続AP履歴に含まれる、すべてのAPが制御対象機器に設定される。すなわち、現在以前に異常デバイスが接続されたことのあるすべてのAPが制御対象機器に設定される。
ステップS121で制御対象機器に設定されたAPは、ステップS101で特定した異常デバイスについて、後述するステップS122において、異常デバイスをFAN50から隔離するための制御方法が決定される。
制御部170は、構成管理情報を参照して、ステップS121で制御対象機器に設定したすべてのAPについて、ステップS101で特定した異常デバイスをFAN50から隔離するための制御方法を決定する(ステップS122)。各APの制御方法は、各APについて構成管理情報で関連付けられた提供機能によって決まる。
なお、制御部170は、ステップS115において、調査対象が制御可能なネットワーク機器ではない(S115:NO)と判定すると、フローをステップS112にリターンする。現在の調査対象のネットワーク機器は、制御可能ではないため、親ノードについて調査するためである。
また、制御部170は、ステップS120において、調査対象がAPではない(S120:NO)と判定すると、フローをステップS112にリターンする。現在の調査対象のネットワーク機器は、SWでもAPでもないため、親ノードについて調査するためである。
以上でサブルーチン処理が終了する。
制御部170は、SNMP(Simple Network Management Protocol)、HTTP(Hypertext Transfer Protocol)、SSH(Secure Shell)、telenet等の標準規格を利用して、各制御可能機器に制御コマンドを送信する(ステップS103)。これにより、例えば、APにブラックリスト登録命令が送信されることによって、ステップS101で特定した異常デバイスについて、ブラックリストを利用したMACアドレスフィルタリングが行われる。
ブラックリスト登録命令は、APについては、ステップS101で特定した異常デバイスのMACアドレスと接続AP履歴において関連付けられたAPのMACアドレスによって特定されるすべてのAPに送信される。
これにより、現在以前に異常デバイスが接続されたことのあるすべてのAPは、ステップS101で特定された異常デバイスとの接続を拒否することになる。
また、SWについては、ステップS117で制御対象機器に設定された調査対象であるSWに、ポートダウンを行う命令が送信される。
図10は、GW100の制御によるFAN50の無線通信可能エリアを示す図である。図10(A)〜(C)では、FAN50に5個のAP1〜AP5が設けられている形態について説明する。ここでは、AP1〜AP5を三角形(△)で示し、正常な複数のデバイス30を四角形(□)で示し、異常デバイス30Fを星形(☆)で示す。正常な複数のデバイス30は、図1に示すデバイス30A〜30Dと同様である。異常デバイス30Fは、図1に示すデバイス30Eが異常デバイスになったものと同様である。
図10(A)には、通信不能エリアが設定されていない状態における通信可能エリアを示す。通信不能エリアが設定されていないため、破線の円で示すAP1〜AP5の5つの無線通信可能エリアが得られている。
図10(A)では、異常の発生していない13個のデバイス30がAP1〜AP5の5つの無線通信可能エリア内で通信可能な状況になっている。
図10(B)では、図10(A)に示す13個のデバイス30のうち、AP5の無線通信可能エリアにあるデバイス30が異常デバイス30Fに変わっている。このような状況では、AP1〜AP4の無線通信可能エリアは変更せずに、AP5のブラックリストに異常デバイス30Fを登録して、AP5と異常デバイス30Fの接続のみを切断すればよい。
図10(B)には、AP5がブラックリストを有効にするために再起動している状態での無線通信可能エリアを示す。AP5が再起動している状態では、AP1〜AP4の無線通信可能エリアが通信可能な状態になっている。再起動に要する時間は、例えば約1分である。
ここで、図10(A)に示す5つの無線通信可能エリアを100%とすると、図10(B)に示すようにAP5が再起動している状態では、グレーの部分の約6.4%のみが通信不能エリアになるだけで済んでいる。
なお、AP5が起動すると、異常デバイス30FがAP5への接続を拒否される状態になる。
図10(C)では、図10(A)に示す13個のデバイス30のうち、AP4及びAP5の無線通信可能エリアが重複した部分にあるデバイス30が異常デバイス30Fに変わっている。このような状況では、AP4及びAP5のブラックリストに異常デバイス30Fを登録して、AP4及びAP5と異常デバイス30Fの接続のみを切断すればよい。
図10(C)には、AP4及びAP5がブラックリストを有効にするために再起動している状態での無線通信可能エリアを示す。AP4及びAP5が再起動している状態では、AP1〜AP3の無線通信可能エリアが通信可能な状態になっている。
ここで、図10(A)に示す5つの無線通信可能エリアを100%とすると、図10(C)に示すようにAP4及びAP5が再起動している状態では、グレーの部分の約29.8%のみが通信不能エリアになるだけで済んでいる。
なお、AP4及びAP5が起動すると、異常デバイス30FがAP4及びAP5への接続を拒否される状態になる。
以上、実施の形態によれば、GW100は、トラフィック分析装置20から異常通信情報を受信すると、異常通信情報が表すデバイスのMACアドレスに基づいて、異常デバイスを特定する。
また、GW100は、隣接情報に基づいて割り出したトポロジを参照して、接続AP履歴に含まれる、過去に異常デバイスが接続されたAPを特定し、特定したAPにブラックリスト登録命令を送信する。この結果、過去にデバイス30Fが接続されたAPのブラックリストにデバイス30FのMACアドレスが登録され、過去にデバイス30Fが接続されたAPとデバイス30Fとは接続不能な状態になる。
これにより、マルウェアに感染したデバイス30FをFAN50から隔離することができる。また、FAN50において、通信が不能になるのは、過去にデバイス30Fが接続されたAPと、マルウェアに感染したデバイス30Fとの間だけであり、APと他のデバイス30との通信とは、通信可能な状態に維持される。
このため、FAN50内で通信不能になるのは最小限に抑制され、異常通信が生じても被害の拡大を抑制できる。
したがって、異常通信が生じても被害の拡大を抑制できるGW100(ネットワーク制御装置)及びGW100の制御方法(ネットワーク制御方法)を提供することができる。
異常デバイスは、過去に接続したことがあるAPに再接続する可能性が高い。また、FAN50では、デバイスは、基本的に移動せず、移動しても接続先のAPが変わらない程度である。
このため、異常デバイスに関しては、過去に接続したことがあるAPへの再接続を不能にすることで、異常の発生していない正常なデバイスの無線通信可能エリアを狭めることなく、マルウェアの拡散等を抑制することができる。
実施の形態では、FAN50が工場等に設置されることを想定し、センサ端末又は機械等がデバイスとしてFAN50に接続され、デバイスは移動しない、あるいは移動範囲が狭く限られているものとする。この場合、デバイスは限られたいくつかのAPとのみ通信するため、過去に接続したAPのみへの再接続を不能にするだけで、異常デバイスのFAN50への再接続を抑制することが可能になる。
なお、以上では、すべての異常デバイスについて、過去に接続されたAPとの再接続を不能にする形態について説明した。しかしながら、例えば、接続AP履歴における異常デバイスとAPとの接続でのRSSI値が非常に低い場合には、過去に接続されたAPとの再接続を不能にしなくても問題が生じない場合がある。このため、過去における異常デバイスとAPとの接続でのRSSI値が所定の閾値以上の異常デバイスについて、過去に接続されたAPとの再接続を不能にするようにしてもよい。
また、例えば、接続AP履歴における異常デバイスとAPとの接続における継続接続時間が非常に短い場合には、過去に接続されたAPとの再接続を不能にしなくても問題が生じない場合がある。このため、過去における異常デバイスとAPとの接続での継続接続時間が所定時間以上の異常デバイスについて、過去に接続されたAPとの再接続を不能にするようにしてもよい。
また、図4に示す接続AP履歴に、APから見たデバイスの応答時間を追加してもよい。応答時間は、RSSI値及び/又は継続接続時間の代わりに接続AP履歴に含ませてもよい。応答時間が非常に長い場合には、デバイスがAPに接続するのに時間を要することを表す。このため、例えば、過去における異常デバイスとAPとの接続での応答時間が所定時間未満の異常デバイスについて、過去に接続されたAPとの再接続を不能にするようにしてもよい。
また、以上では、APにおいてブラックリストを有効にするために再起動が必要な形態について説明したが、再起動が不要なAPを用いれば、図10(B)、(C)に示すように通信不能になるエリアを無くすことができる。図10(B)では、AP5の再起動を待つことなく、異常デバイス30FがAP5への接続を拒否される状態になり、図10(C)では、AP4及びAP5の最起動を待つことなく、異常デバイス30FがAP4及びAP5への接続を拒否される状態になる。
以上、本発明の例示的な実施の形態のネットワーク制御装置、及び、ネットワーク制御方法について説明したが、本発明は、具体的に開示された実施の形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
以上の実施の形態に関し、さらに以下の付記を開示する。
(付記1)
ローカルエリアネットワークを構築するアクセスポイントに接続され、前記ローカルエリアネットワークを含むネットワークを制御するネットワーク制御装置であって、
前記アクセスポイントから収集される、前記アクセスポイントに接続される機器を特定する情報に基づき、前記アクセスポイントへの前記機器の接続履歴を表す接続履歴情報を生成する接続履歴生成部と、
前記アクセスポイントから収集される、前記アクセスポイントに接続される機器を特定する情報に基づき、前記ネットワークのトポロジを割り出すトポロジ管理部と、
前記ネットワークにおけるトラフィックに基づいて異常通信を検出する異常通信検出装置から入力される前記異常通信を表す情報から、前記異常通信を行った異常機器を特定する異常特定部と、
前記トポロジを参照して、前記接続履歴情報に含まれる、前記異常機器が接続されたアクセスポイントを特定し、前記特定したアクセスポイントに対して、前記異常機器と通信不能な状態にさせる指令を送信する、接続制御部と
を含む、ネットワーク制御装置。
(付記2)
前記接続履歴情報は、前記機器が前記アクセスポイントに接続された接続時間を含み、
前記接続制御部は、前記接続履歴情報に含まれる、前記異常機器が接続されたアクセスポイントのうち、前記接続時間が所定時間以上の異常機器が接続されたアクセスポイントに対して、前記異常機器と通信不能な状態にさせる指令を送信する、付記1記載のネットワーク制御装置。
(付記3)
前記接続履歴情報は、前記機器が前記アクセスポイントに無線通信によって接続された際の電界強度を含み、
前記接続制御部は、前記接続履歴情報に含まれる、前記異常機器が接続されたアクセスポイントのうち、前記電界強度が所定強度以上の異常機器が接続されたアクセスポイントに対して、前記異常機器と通信不能な状態にさせる指令を送信する、付記1又は2記載のネットワーク制御装置。
(付記4)
前記接続履歴情報は、前記機器が前記アクセスポイントに接続された際の前記機器の応答時間を含み、
前記接続制御部は、前記接続履歴情報に含まれる、前記異常機器が接続されたアクセスポイントのうち、前記応答時間が所定時間未満の異常機器が接続されたアクセスポイントに対して、前記異常機器と通信不能な状態にさせる指令を送信する、付記1乃至3のいずれか一項記載のネットワーク制御装置。
(付記5)
前記接続制御部は、前記異常機器と通信不能な状態にさせる指令によって、前記異常機器が接続されたアクセスポイントに、通信不能な状態にさせる異常機器のリストを作成させる、付記1乃至4のいずれか一項記載のネットワーク制御装置。
(付記6)
前記異常機器と通信不能な状態にさせる指令は、前記異常機器の接続を拒否させる接続拒否指令である、付記1乃至5のいずれか一項記載のネットワーク制御装置。
(付記7)
ローカルエリアネットワークを構築するアクセスポイントに接続され、前記ローカルエリアネットワークを含むネットワークをコンピュータが制御するネットワーク制御方法であって、
前記コンピュータが、
前記アクセスポイントから収集される、前記アクセスポイントに接続される機器を特定する情報に基づき、前記アクセスポイントへの前記機器の接続履歴を表す接続履歴情報を生成し、
前記アクセスポイントから収集される、前記アクセスポイントに接続される機器を特定する情報に基づき、前記ネットワークのトポロジを割り出し、
前記ネットワークにおけるトラフィックに基づいて異常通信を検出する異常通信検出装置から入力される前記異常通信を表す情報から、前記異常通信を行った異常機器を特定し、
前記トポロジを参照して、前記接続履歴情報に含まれる、前記異常機器が接続されたアクセスポイントを特定し、前記特定したアクセスポイントに対して、前記異常機器と通信不能な状態にさせる指令を送信する、ネットワーク制御方法。
10 SW
20 トラフィック分析装置
30、30A〜30D デバイス
30E 異常デバイス
40 感染媒体
50 FAN
100 GW
120 履歴管理部
130 トポロジ管理部
150 特定部
160 提供機能管理部
170 制御部

Claims (7)

  1. ローカルエリアネットワークを構築するアクセスポイントに接続され、前記ローカルエリアネットワークを含むネットワークを制御するネットワーク制御装置であって、
    前記アクセスポイントから収集される、前記アクセスポイントに接続される機器を特定する情報に基づき、前記アクセスポイントへの前記機器の接続履歴を表す接続履歴情報を生成する接続履歴生成部と、
    前記アクセスポイントから収集される、前記アクセスポイントに接続される機器を特定する情報に基づき、前記ネットワークのトポロジを割り出すトポロジ管理部と、
    前記ネットワークにおけるトラフィックに基づいて異常通信を検出する異常通信検出装置から入力される前記異常通信を表す情報から、前記異常通信を行った異常機器を特定する異常特定部と、
    前記トポロジを参照して、前記接続履歴情報に含まれる、前記異常機器が接続されたアクセスポイントを特定し、前記特定したアクセスポイントに対して、前記異常機器と通信不能な状態にさせる指令を送信する、接続制御部と
    を含む、ネットワーク制御装置。
  2. 前記接続履歴情報は、前記機器が前記アクセスポイントに接続された接続時間を含み、
    前記接続制御部は、前記接続履歴情報に含まれる、前記異常機器が接続されたアクセスポイントのうち、前記接続時間が所定時間以上の異常機器が接続されたアクセスポイントに対して、前記異常機器と通信不能な状態にさせる指令を送信する、請求項1記載のネットワーク制御装置。
  3. 前記接続履歴情報は、前記機器が前記アクセスポイントに無線通信によって接続された際の電界強度を含み、
    前記接続制御部は、前記接続履歴情報に含まれる、前記異常機器が接続されたアクセスポイントのうち、前記電界強度が所定強度以上の異常機器が接続されたアクセスポイントに対して、前記異常機器と通信不能な状態にさせる指令を送信する、請求項1又は2記載のネットワーク制御装置。
  4. 前記接続履歴情報は、前記機器が前記アクセスポイントに接続された際の前記機器の応答時間を含み、
    前記接続制御部は、前記接続履歴情報に含まれる、前記異常機器が接続されたアクセスポイントのうち、前記応答時間が所定時間未満の異常機器が接続されたアクセスポイントに対して、前記異常機器と通信不能な状態にさせる指令を送信する、請求項1乃至3のいずれか一項記載のネットワーク制御装置。
  5. 前記接続制御部は、前記異常機器と通信不能な状態にさせる指令によって、前記異常機器が接続されたアクセスポイントに、通信不能な状態にさせる異常機器のリストを作成させる、請求項1乃至4のいずれか一項記載のネットワーク制御装置。
  6. 前記異常機器と通信不能な状態にさせる指令は、前記異常機器の接続を拒否させる接続拒否指令である、請求項1乃至5のいずれか一項記載のネットワーク制御装置。
  7. ローカルエリアネットワークを構築するアクセスポイントに接続され、前記ローカルエリアネットワークを含むネットワークをコンピュータが制御するネットワーク制御方法であって、
    前記コンピュータが、
    前記アクセスポイントから収集される、前記アクセスポイントに接続される機器を特定する情報に基づき、前記アクセスポイントへの前記機器の接続履歴を表す接続履歴情報を生成し、
    前記アクセスポイントから収集される、前記アクセスポイントに接続される機器を特定する情報に基づき、前記ネットワークのトポロジを割り出し、
    前記ネットワークにおけるトラフィックに基づいて異常通信を検出する異常通信検出装置から入力される前記異常通信を表す情報から、前記異常通信を行った異常機器を特定し、
    前記トポロジを参照して、前記接続履歴情報に含まれる、前記異常機器が接続されたアクセスポイントを特定し、前記特定したアクセスポイントに対して、前記異常機器と通信不能な状態にさせる指令を送信する、ネットワーク制御方法。
JP2018208282A 2018-11-05 2018-11-05 ネットワーク制御装置、及び、ネットワーク制御方法 Active JP7081445B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018208282A JP7081445B2 (ja) 2018-11-05 2018-11-05 ネットワーク制御装置、及び、ネットワーク制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018208282A JP7081445B2 (ja) 2018-11-05 2018-11-05 ネットワーク制御装置、及び、ネットワーク制御方法

Publications (2)

Publication Number Publication Date
JP2020077912A true JP2020077912A (ja) 2020-05-21
JP7081445B2 JP7081445B2 (ja) 2022-06-07

Family

ID=70724479

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018208282A Active JP7081445B2 (ja) 2018-11-05 2018-11-05 ネットワーク制御装置、及び、ネットワーク制御方法

Country Status (1)

Country Link
JP (1) JP7081445B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022259335A1 (ja) * 2021-06-07 2022-12-15 日本電信電話株式会社 分析装置、分析方法、および、分析プログラム

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006033140A (ja) * 2004-07-13 2006-02-02 Fujitsu Ltd ネットワーク管理装置、ネットワーク管理方法、およびプログラム
JP2007088728A (ja) * 2005-09-21 2007-04-05 Freescale Semiconductor Inc 接続管理システム、接続管理プログラム及び接続管理方法
JP2009253461A (ja) * 2008-04-02 2009-10-29 Nec Corp ネットワーク、通信管理装置、有線スイッチ、無線コントローラ、不正通信の遮断方法およびプログラム
JP2016033692A (ja) * 2014-07-30 2016-03-10 Kddi株式会社 不正接続検知システム、方法およびプログラム
JP2017175317A (ja) * 2016-03-23 2017-09-28 日本電気株式会社 網管理装置、通信システム、通信制御方法、及びプログラム
JP2017204697A (ja) * 2016-05-10 2017-11-16 エイチ・シー・ネットワークス株式会社 ネットワークシステムおよびサーバ装置
JP2018064228A (ja) * 2016-10-14 2018-04-19 アンリツネットワークス株式会社 パケット制御装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006033140A (ja) * 2004-07-13 2006-02-02 Fujitsu Ltd ネットワーク管理装置、ネットワーク管理方法、およびプログラム
JP2007088728A (ja) * 2005-09-21 2007-04-05 Freescale Semiconductor Inc 接続管理システム、接続管理プログラム及び接続管理方法
JP2009253461A (ja) * 2008-04-02 2009-10-29 Nec Corp ネットワーク、通信管理装置、有線スイッチ、無線コントローラ、不正通信の遮断方法およびプログラム
JP2016033692A (ja) * 2014-07-30 2016-03-10 Kddi株式会社 不正接続検知システム、方法およびプログラム
JP2017175317A (ja) * 2016-03-23 2017-09-28 日本電気株式会社 網管理装置、通信システム、通信制御方法、及びプログラム
JP2017204697A (ja) * 2016-05-10 2017-11-16 エイチ・シー・ネットワークス株式会社 ネットワークシステムおよびサーバ装置
JP2018064228A (ja) * 2016-10-14 2018-04-19 アンリツネットワークス株式会社 パケット制御装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022259335A1 (ja) * 2021-06-07 2022-12-15 日本電信電話株式会社 分析装置、分析方法、および、分析プログラム

Also Published As

Publication number Publication date
JP7081445B2 (ja) 2022-06-07

Similar Documents

Publication Publication Date Title
US10560280B2 (en) Network security analysis for smart appliances
US10542029B2 (en) System and method for security and quality assessment of wireless access points
US9763099B2 (en) System and method for security and quality assessment of wireless access points
US11722458B2 (en) Method and system for restricting transmission of data traffic for devices with networking capabilities
US10965789B2 (en) Method and system for updating a whitelist at a network node
WO2018080976A1 (en) Detection of vulnerable devices in wireless networks
JP6737610B2 (ja) 通信装置
US20150139211A1 (en) Method, Apparatus, and System for Detecting Rogue Wireless Access Point
JP2015171052A (ja) 識別装置、識別プログラム、及び識別方法
EP3286650B1 (en) Network security analysis for smart appliances
US9961163B2 (en) Method and system for notifying subscriber devices in ISP networks
JP6616733B2 (ja) ネットワークシステムおよびサーバ装置
JP2020077912A (ja) ネットワーク制御装置、及び、ネットワーク制御方法
US20230318923A1 (en) Proactive inspection technique for improved classification
KR101737893B1 (ko) Wips 센서 및 이를 이용한 단말 차단 방법
US20180212982A1 (en) Network system, network controller, and network control method
US20230216873A1 (en) Detection system, detection method, and recording medium
US20230262095A1 (en) Management of the security of a communicating object
US20220408264A1 (en) Wireless communication method between a client object and a server object

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210709

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220426

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220509

R150 Certificate of patent or registration of utility model

Ref document number: 7081445

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150