JP2021192554A - Relay device, communication system, relay method, and relay program - Google Patents
Relay device, communication system, relay method, and relay program Download PDFInfo
- Publication number
- JP2021192554A JP2021192554A JP2021151800A JP2021151800A JP2021192554A JP 2021192554 A JP2021192554 A JP 2021192554A JP 2021151800 A JP2021151800 A JP 2021151800A JP 2021151800 A JP2021151800 A JP 2021151800A JP 2021192554 A JP2021192554 A JP 2021192554A
- Authority
- JP
- Japan
- Prior art keywords
- frame
- list
- relay device
- communication
- permission list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 251
- 238000000034 method Methods 0.000 title claims description 74
- 238000012545 processing Methods 0.000 claims abstract description 31
- 230000008569 process Effects 0.000 claims description 59
- 230000006870 function Effects 0.000 claims description 14
- 230000001143 conditioned effect Effects 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 description 15
- 230000002159 abnormal effect Effects 0.000 description 14
- 230000005856 abnormality Effects 0.000 description 6
- 239000000284 extract Substances 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000003442 weekly effect Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 230000003203 everyday effect Effects 0.000 description 3
- 230000007423 decrease Effects 0.000 description 2
- 239000002245 particle Substances 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、データ通信におけるデータの中継をするための中継装置、通信システム、中継方法、及び中継用プログラムに関する。 The present invention relates to a relay device, a communication system, a relay method, and a relay program for relaying data in data communication.
近年、IoT(Internet of Things)に総称されるように、あらゆるものがインターネットに接続されるようになってきている。例えば、独自のプロトコルで、通信していた工場やプラントの制御ネットワークを、新たにインターネットに接続するようなことが行われている。 In recent years, as collectively referred to as the IoT (Internet of Things), everything has come to be connected to the Internet. For example, a unique protocol is used to newly connect the control network of a factory or plant that was communicating to the Internet.
このようにインターネットに接続されることにより、新たな付加価値、機器管理など多様な恩恵が得られる一方、不正アクセスやDoS攻撃(Denial of Service attack)といった手段を用いた、悪意のある者からの脅威にさらされることにもなる。 By connecting to the Internet in this way, various benefits such as new added value and device management can be obtained, while malicious persons using means such as unauthorized access and DoS attack (Denial of Service attack) can be used. You will also be exposed to threats.
しかしながら、例えば、工場やプラントに設置されている、工作機器、センサ及びカメラといった機器のそれぞれに、悪意のある者からの脅威の対策を施すことは容易ではない。なぜならば、工作機器、センサ及びカメラ等の機器には、そもそもこのような対策を施すための機能が実装されていないことがあるからである。 However, for example, it is not easy to take countermeasures against threats from malicious persons to each of the equipment such as machine tools, sensors and cameras installed in factories and plants. This is because equipment such as machine tools, sensors, and cameras may not be equipped with a function for taking such measures in the first place.
そのため、これら機器そのものではなく、これらの機器の通信を中継する中継装置が、悪意のある者からの脅威に対応するためのセキュリティ機能を備えることが重要となる。 Therefore, it is important that the relay device that relays the communication of these devices, not the devices themselves, has a security function for responding to a threat from a malicious person.
そのような中、例えば、特許文献1においては、許容された通信規制に合致するパケットのリストを予め格納し、当該リストに合致するパケットの通信を許容するネットワークスイッチが開示されている。
Under such circumstances, for example,
しかし、特許文献1に係る装置においては、特定の端末において、平常時は通信させたくないが、ある曜日のある時間にのみ通信させたいといった場合に対応できないという問題があった。更に、正規の通信フローにおいて、特定ポート向けの通信量が、通常時などと比較し増減があった場合に、正規の通信フローを遮断、或いは、迂回、帯域制御等を含む通信制御が出来ないという問題があった。
However, the device according to
この点、例えば特許文献2においては、ユーザの操作と当該操作をした時に発生した異常との対応関係が、異常発生時の日時と共に記載されたリストが生成され、当該リストに基づいて、異常が発生する確度の高いユーザの操作を警告する発明が開示されている。しかし、特許文献2に係る発明においては、リストに記載の日時はあくまで過去の時刻であり、リストのデータは過去の実績を蓄積したものにすぎないため、現時点以降のスケジュールに応じて動作を制御するものではない。更に、現時点の日時によって参照するリストを切り替えるものでもない。
In this regard, for example, in
そこで、本発明は、運用時の曜日と時刻に応じて通信を制御することのできる中継装置を提供することを目的とする。更に、正規の通信フローにおいて、通信量が通常時と比較し増減があった場合に、正規の通信フローに対し、遮断、迂回、帯域制御、監視等の制御を実施可能な中継装置を提供することを目的とする。 Therefore, an object of the present invention is to provide a relay device capable of controlling communication according to the day of the week and the time of day during operation. Further, it provides a relay device capable of performing control such as cutoff, detour, bandwidth control, and monitoring for the regular communication flow when the communication volume increases or decreases compared to the normal time in the regular communication flow. The purpose is.
本発明の第1の観点によれば、中継装置であって、当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、1のPLC(Programmable Logic Controller)のみと接続する第1の接続ポートと、1のIoT機器のみと接続する第2の接続ポートと、前記第1または第2の接続ポートから受信したフレームを前記リストと照合する解析手段と、前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段と、を備え、前記リストは、前記第1または第2の接続ポートを識別する情報を含み、前記解析手段は、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とする、中継装置が提供される。 According to the first aspect of the present invention, the relay device is a storage means for storing a list of frames to be processed by the first process after reception by the relay device, and one PLC (Programmable Logic Controller). A first connection port that connects only to one, a second connection port that connects only to one IoT device, an analysis means that collates frames received from the first or second connection port with the list, and the above. At the time of collation by the analysis means, if the received frame matches the frame described in the list, the first process is performed on the received frame, and if the received frame does not match, the received frame is second. The list includes information identifying the first or second connection port, and the analysis means further comprises the first or second connection at the time of the collation. A relay device is provided, subject to the information that identifies the port.
本発明の第2の観点によれば、中継装置と、前記中継装置に接続された設定用端末と、を備え、前記中継装置は、当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、1のPLCのみと接続する第1の接続ポートと、1のIoT機器のみと接続する第2の接続ポートと、前記第1または第2の接続ポートから受信したフレームを前記リストと照合する解析手段と、前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段と、を備え、前記リストは、前記第1または第2の接続ポートを識別する情報を含み、前記解析手段は、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とし、前記設定用端末は、前記設定用端末が受け付けたユーザからの操作に応じて、前記各処理それぞれの内容及び前記リストの内容の、一部又は全部を変更する、通信システムが提供される。 According to the second aspect of the present invention, the relay device includes the relay device and the setting terminal connected to the relay device, and the relay device is subject to the first processing after being received by the relay device. Received from a storage means for storing a list of frames, a first connection port connected to only one PLC, a second connection port connected to only one IoT device, and the first or second connection port. If the received frame matches the frame described in the list at the time of collation by the analysis means and the analysis means for collating the received frame with the list, the first process is performed on the received frame, and the combination is performed. If not, the received frame is provided with a control means for performing a second process, the list includes information identifying the first or second connection port, and the analysis means is said. At the time of collation, further, subject to the information for identifying the first or second connection port, the setting terminal has the contents of each of the above processes and the contents of each process according to the operation from the user accepted by the setting terminal. A communication system is provided that modifies part or all of the contents of the list.
本発明の第3の観点によれば、中継装置で用いられる中継方法であって、前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶するステップと、1のPLCのみと接続する第1の接続ポート、または1のIoT機器のみと接続する第2の接続ポートから受信したフレームを前記リストと照合するステップと、前記照合するステップによる前記照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をするステップと、を有し、前記リストは、前記第1または第2の接続ポートを識別する情報を含み、前記照合するステップでは、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とする、中継方法が提供される。 According to the third aspect of the present invention, it is a relay method used in the relay device, and only a step of storing a list of frames to be processed by the first process after reception by the relay device and one PLC. The received frame at the time of the step of collating the frame received from the first connection port connected to the list or the second connection port connected to only one IoT device with the list and the collation by the collating step. If the frame is matched with the frame described in the list, the received frame is subjected to the first processing, and if the frame is not matched, the received frame is subjected to the second processing. The list includes information that identifies the first or second connection port, and the matching step is conditioned on information that further identifies the first or second connection port at the time of the matching. A relay method is provided.
本発明の第4の観点によれば、コンピュータを中継装置として機能させる中継用プログラムであって、前記コンピュータを、前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、1のPLCのみと接続する第1の接続ポート、または1のIoT機器のみと接続する第2の接続ポートから受信したフレームを前記リストと照合する解析手段と、前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段と、備え、前記リストは、前記第1または第2の接続ポートを識別する情報を含み、前記解析手段は、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とする、中継装置として機能させる中継用プログラムが提供される。 According to the fourth aspect of the present invention, it is a relay program that causes a computer to function as a relay device, and stores the list of frames to be processed by the first process after receiving the computer by the relay device. Matching by the analysis means with the storage means and the analysis means for collating the frame received from the first connection port connected to only one PLC or the second connection port connecting only with one IoT device with the list. Occasionally, if the received frame matches the frame described in the list, the received frame is subjected to the first processing, and if it does not match, the received frame is subjected to the second processing. The control means and the list includes information for identifying the first or second connection port, and the analysis means further identifies the first or second connection port at the time of the collation. Is provided, a relay program that functions as a relay device is provided.
本発明によれば、中継時に適切な処理を行うことが可能となる。 According to the present invention, it is possible to perform appropriate processing at the time of relay.
<本発明の各実施形態の概略>
まず、本発明の各実施形態の概略について説明する。
<Outline of each embodiment of the present invention>
First, the outline of each embodiment of the present invention will be described.
本発明の実施形態では、問題の無いと考えられる通信先を特定する情報をリストとし(このようなリストを、以下「許可リスト」と呼ぶ。)、この許可リストに一致するフレームについては転送を許可し、この許可リストに一致しないフレームについては破棄する方法を採用する。 In the embodiment of the present invention, information that identifies a communication destination that is considered to have no problem is used as a list (such a list is hereinafter referred to as a "permission list"), and frames that match this permission list are forwarded. The method of allowing and discarding frames that do not match this permission list is adopted.
ここで、本発明においては、複数の許可リストを用意する。例えば、曜日及び時間に応じ、各曜日の8:30〜17:29用の許可リストと、各曜日の17:30〜8:29用の許可リストとを用意する。これにより、曜日及び時間に応じて、通信制御の方法を切り替えるセキュリティスイッチを提供することが可能となる。 Here, in the present invention, a plurality of permission lists are prepared. For example, a permission list for 8:30 to 17:29 on each day of the week and a permission list for 17:30 to 8:29 on each day of the week are prepared according to the day of the week and the time of day. This makes it possible to provide a security switch that switches the communication control method according to the day of the week and the time.
あるいは、通信量に応じ、通信量が正常の場合の許可リストと、通信量が異常の場合の許可リストとを用意する。これにより、通信量に異常が見られた場合に、正規の通信フローに対し遮断などの制御をすることが可能なセキュリティスイッチを提供することが可能となる。 Alternatively, depending on the amount of communication, a permission list when the communication amount is normal and a permission list when the communication amount is abnormal are prepared. This makes it possible to provide a security switch capable of controlling such as blocking the regular communication flow when an abnormality is found in the communication volume.
更に、本発明の実施形態では、かかる許可リストの少なくとも一部を自動的に生成する機能も提供する。 Further, embodiments of the present invention also provide the ability to automatically generate at least a portion of such a permission list.
具体的には、中継装置に、登録期間と運用期間を設ける。そして、登録期間において中継装置に入力したフレームを許可リストに追加することにより許可リストを自動生成する。このとき、自動生成した許可リストを、ユーザの操作により、手動で追加や削除することを可能としてもよい。 Specifically, the relay device is provided with a registration period and an operation period. Then, the permission list is automatically generated by adding the frame input to the relay device to the permission list during the registration period. At this time, it may be possible to manually add or delete the automatically generated permission list by the user's operation.
その後、登録期間から運用期間に切り替え、中継装置に入力したフレームと、登録期間で自動生成した許可リストとを比較し、一致したらならばフレームを通過させ、不一致であればフレームを破棄等する。 After that, the registration period is switched to the operation period, the frame input to the relay device is compared with the permission list automatically generated in the registration period, and if they match, the frame is passed, and if they do not match, the frame is discarded.
これにより、許可リストの自動生成及び許可リストによるセキュリティ管理を行うことができる。 As a result, the permission list can be automatically generated and security management can be performed by the permission list.
以上が、本発明の実施形態の概略である。 The above is the outline of the embodiment of the present invention.
次に、本発明の実施形態について図面を参照して詳細に説明する。ここで、以下では、本発明の実施形態を3つ説明する。
まず、第1の実施形態は、曜日・時間毎に許可リストを生成し、運用時の曜日・時間に応じて参照する許可リストを切り替える形態である。
次に、第2の実施形態は、通信量毎に許可リストを生成し、運用時の通信量に応じて参照する許可リストを切り替える形態である。
更に、第3の実施形態は、曜日・時間・通信量毎に許可リストを生成し、運用時の曜日・時間・通信量に応じて参照する許可リストを切り替える形態である。
以下では、これら3つの実施形態について順に説明する。
Next, an embodiment of the present invention will be described in detail with reference to the drawings. Here, three embodiments of the present invention will be described below.
First, the first embodiment is a form in which a permission list is generated for each day of the week and time, and the permission list to be referred to is switched according to the day and time during operation.
Next, the second embodiment is a mode in which a permission list is generated for each communication amount and the permission list to be referred to is switched according to the communication amount at the time of operation.
Further, the third embodiment is a form in which a permission list is generated for each day of the week, time, and communication amount, and the permission list to be referred to is switched according to the day of the week, time, and communication amount at the time of operation.
Hereinafter, these three embodiments will be described in order.
<第1の実施形態>
以下、本発明の第1の実施形態について図1乃至図8−2を参照しながら、詳述する。
<First Embodiment>
Hereinafter, the first embodiment of the present invention will be described in detail with reference to FIGS. 1 to 8-2.
図1を参照すると本実施形態は、セキュリティスイッチ100、複数の通信端末10−1乃至10−n(これらをここでは、「通信端末10」とも総称する)、設定用端末50、ファイアウォール500及びインターネット700を含む。(なお、セキュリティスイッチは、本明細書において「中継装置」とも呼称する。)
Referring to FIG. 1, the present embodiment includes a
ここで、セキュリティスイッチ100は、通信端末10間の通信や、通信端末10によるファイアウォール500及びインターネット700を介した通信を中継するためのセキュリティスイッチである。
Here, the
この点、本実施形態では、図示しているようにセキュリティスイッチ100とインターネット700との間にファイアウォール500を設けている。そして、このファイアウォール500に対してユーザのポリシーに従った設定を行うことにより、インターネット700からの、ウイルス等の悪意のあるデータの流入や、意図しないデータのインターネット700への流出を防止することができる。
In this regard, in this embodiment, a
しかしながら、ファイアウォール500は、インターネット700に存在する機器との間の通信において機能するが、各通信端末10間の通信については機能しない。そこで、本実施形態では、各通信端末10間での不適切な通信を防止するために、単なる中継装置ではなくセキュリティ機能を搭載したセキュリティスイッチ100を接続する。
However, although the
そして、セキュリティスイッチ100は、上述している許可リストを利用した処理を行うことにより、悪意のあるフレームを転送しないようにする。セキュリティスイッチ100には複数の接続用のポートが設けられ、かかるポートに各通信端末10やファイアウォール500が接続される。
Then, the
複数の通信端末10は、それぞれが通信機能を有する端末である。通信端末10は、セキュリティスイッチ100を介して他の通信端末10との間で通信を行う。かかる通信は、例えば、IP(Internet Protocol)や、TCP(Transmission Control Protocol)や、FTP(File Transfer Protocol)といった一般的なプロトコルに準拠して実行される。
なお、実際にやり取りされるデータの内容、すなわち、ペイロード部分に含まれる内容がどのような内容であるのか等については、特に制限は無い。
The plurality of
It should be noted that there is no particular limitation on the content of the data actually exchanged, that is, what kind of content is included in the payload portion.
また、例えば一部の通信端末10が、インターネット700に存在する端末と通信を行う機能を有していても良い。更に、通信端末10は、ユーザが直接操作するような端末で実現しても良いが、工場やプラントに設置されている、工作機器、センサ及びカメラといった機器で実現しても良い。また、工作機械を制御するPLC(Programmable Logic Controller)等の機器であっても良い。
Further, for example, some
設定用端末50は、セキュリティスイッチ100についての設定を行うための端末である。設定用端末50は、本実施形態を管理する管理者等により用いられる。設定用端末50は、セキュリティスイッチ100を設定するための専用の端末で実現しても良いが、セキュリティスイッチ100を設定するためのソフトウェア等を追加した、パーソナルコンピュータ等の汎用の端末で実現しても良い。
The setting
インターネット700は、通信端末10等が外部と通信を行うためにファイアウォール500を介してセキュリティスイッチ100に接続されている。
The
ファイアウォール500は、インターネット700との間で送受信するデータを監視し、悪意があると考えられるデータを廃棄する機能を有する。
The
ここで、図2(A)に示すように、例えば平日(月曜日から金曜日)の8:30〜17:29の時間帯においては、PC10−1とサーバPC10−3との間、及びPC10−2とサーバPC10−3との間の通信のみを許可するものとする。一方で、平日(月曜日から金曜日)の17:30〜8:29の時間帯においては、図2(B)に示すように、サーバPC10−3とバックアップ・サーバPC10−4との間に通信のみを許可するものとする。 Here, as shown in FIG. 2A, for example, during the time zone from 8:30 to 17:29 on weekdays (Monday to Friday), between PC10-1 and the server PC10-3, and PC10-2. Only communication between the server PC 10-3 and the server PC 10-3 shall be permitted. On the other hand, during the time zone from 17:30 to 8:29 on weekdays (Monday to Friday), as shown in FIG. 2 (B), only communication is performed between the server PC 10-3 and the backup server PC 10-4. Shall be permitted.
そこで、図3に示すように複数の許可リストを用意する。すなわち、各曜日の8:30〜17:29及び17:30〜8:29のそれぞれの時間帯毎に、許可リストを生成し、運用の際に参照するとする。例えば、日曜日の8:30〜17:29の時間帯におけるセキュリティスイッチ100の運用のために、「日−昼」という許可リストを生成し、当該時間帯においては、「日−昼」という許可リストを参照して通信を制御する。同様に、日曜日の17:30〜8:29の時間帯におけるセキュリティスイッチ100の運用のために、「日−夜」という許可リストを生成し、当該時間帯においては、「日−夜」という許可リストを参照して通信を制御する。以下同様に、月曜日から土曜日各々の、8:30〜17:29及び17:30〜8:29の時間帯毎に、許可リストを生成し、各許可リストが対応する時間帯に当該許可リストを参照することにより、セキュリティスイッチ100を運用する。
Therefore, as shown in FIG. 3, a plurality of permission lists are prepared. That is, it is assumed that a permission list is generated for each time zone of 8:30 to 17:29 and 17:30 to 8:29 on each day of the week and referred to during operation. For example, for the operation of the
図4に示すのは、平日(月〜金)の8:30〜17:29の時間帯に対応する許可リストの例である。すなわち、図3の表における、「月−昼」、「火−昼」、「水−昼」、「木−昼」、「金−昼」なる名称の許可リストの例である。 FIG. 4 shows an example of a permission list corresponding to the time zone from 8:30 to 17:29 on weekdays (Monday to Friday). That is, it is an example of the permission list named "Monday-daytime", "Tuesday-daytime", "Wednesday-daytime", "Thursday-daytime", and "Friday-daytime" in the table of FIG.
具体的には、例えば、項番1は、受信ポート1から受信したフレームのMAC−DA(宛先マックアドレス(Destination address))が“M−PC3”、MAC−SA(送信元マックアドレス(Source address))が“M−PC1”、Typeが“0x0800”(IPv4)、VIDが“0”、IP−SA(送信元IPアドレス)が“IP−PC1”、IP−DA(宛先IPアドレス)が“IP−PC3”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“3000”、L4DP(TCPヘッダ内の宛先ポート番号)が“23”のフレームを示す。
Specifically, for example, in
また、図5に示すのは、平日(月〜金)の17:30〜8:29の時間帯に対応する許可リストの例である。すなわち、図3の表における、「月−夜」、「火−夜」、「水−夜」、「木−夜」、「金−夜」の許可リストの例である。 Further, FIG. 5 shows an example of a permission list corresponding to the time zone from 17:30 to 8:29 on weekdays (Monday to Friday). That is, it is an example of the permission list of "Monday-night", "Tue-night", "Wed-night", "Thursday-night", and "Friday-night" in the table of FIG.
具体的には、例えば、項番5は、受信ポート3から受信したフレームのMAC−DA(宛先マックアドレス)が“M−PC4”、MAC−SA(送信元マックアドレス)が“M−PC3”、Typeが“0x0800”(IPv4)、VIDが“0”、IP−SA(送信元IPアドレス)が“IP−PC3”、IP−DA(宛先IPアドレス)が“IP−PC4”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“any”、L4DP(TCPヘッダ内の宛先ポート番号)が“any”のフレームを示す。
Specifically, for example, in No. 5, the MAC-DA (destination Mac address) of the frame received from the receiving
許可リストには、例えば、セキュリティスイッチ100を通過させるフレームのフレーム情報が設定される。具体的には、各通信端末10において利用されるプロトコルのフレームを特定するためのフレーム情報や、各通信端末10において利用される宛先や送信元を表すアドレスを含んだフレームを特定するためのフレーム情報が許可リストに含まれる。
For example, frame information of a frame to be passed through the
なお今回、許可リストを構成する要素を、装置、レイヤ2、レイヤ3、及びレイヤ4としているが、上述したようにこれらの全てを必ず要素として含む必要はなく、その一部を組み合わせたり、他の要素を追加したりしても良い。
This time, the elements constituting the permission list are the device,
図6に示すのは、図4及び図5に例示した許可リストにフレームが一致した場合、及び一致しない場合の動作設定の一例を示す表である。具体的には、図6の表は、フレームが許可リストと一致したフレームは、セキュリティスイッチ100を通過させると共に、設定用端末50には通知しない。一方で、許可リストと一致しないフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知することを示す。
FIG. 6 is a table showing an example of operation settings when the frames match and do not match the permission list illustrated in FIGS. 4 and 5. Specifically, in the table of FIG. 6, the frame whose frame matches the permission list is passed through the
次に、図7を参照して、第1の実施形態に係るセキュリティスイッチ100に含まれる機能ブロックについて説明する。図7を参照すると、セキュリティスイッチ100は、フレーム解析部110、許可リスト生成部120、許可リスト記憶部130、曜日・時間管理部140、通信制御部150を含む。なお、ここでは、上記のフレーム解析部110を「解析手段」、許可リスト記憶部130を「記憶手段」、通信制御部150を「制御手段」とも呼称する。
Next, with reference to FIG. 7, the functional block included in the
フレーム解析部110は、セキュリティスイッチ100が外部から入力フレームを受信する度に、受信した入力フレームを解析する。ここで、解析とは、受信した入力フレームから所定の情報(以下、「フレーム情報」と呼ぶ。)を抽出することである。
The
フレーム情報は、例えば、通信に用いる各プロトコルにより、記述することが定められている所定の情報である。具体例としては、受信ポートの番号、レイヤ2(MACヘッダ)情報、フレームのタイプにより、レイヤ3(IPヘッダ)情報以上の上位レイヤの必要な情報である。本実施形態では、このような汎用のプロトコルに準拠したフレーム情報を利用することにより、ペイロード部分に特殊な情報等を埋め込む等の処理を不要とすることができる。 The frame information is, for example, predetermined information specified to be described by each protocol used for communication. As a specific example, it is necessary information of a higher layer than the layer 3 (IP header) information depending on the receiving port number, the layer 2 (MAC header) information, and the frame type. In the present embodiment, by using the frame information conforming to such a general-purpose protocol, it is possible to eliminate the need for processing such as embedding special information or the like in the payload portion.
また、本実施形態では、フレーム情報や各リストにおいて、これらの情報全てを用いるようにしても良いが、一部の情報の組み合わせを用いるようにしても良い。例えば、レイヤ2(MACヘッダ)情報のみを用いたり、レイヤ2(MACヘッダ)情報とレイヤ3(IPヘッダ)情報の組み合わせを用いたりするようにしても良い。 Further, in the present embodiment, all of these information may be used in the frame information and each list, but some combinations of information may be used. For example, only layer 2 (MAC header) information may be used, or a combination of layer 2 (MAC header) information and layer 3 (IP header) information may be used.
また、例えば、仮にレイヤ2(MACヘッダ)情報を用いるとするならば、全てのレイヤ2(MACヘッダ)情報を用いても良いが、その一部である、宛先アドレス(MAC−DA)や、送信元アドレス(MAC−SA)を用いるようにしても良いし、これらの組み合わせを用いるようにしても良い。 Further, for example, if layer 2 (MAC header) information is to be used, all layer 2 (MAC header) information may be used, but the destination address (MAC-DA), which is a part thereof, or The source address (MAC-SA) may be used, or a combination thereof may be used.
フレーム解析部110には、設定用端末50により「登録期間設定」と「動作設定」の2つの設定がなされる。
The
ここで、本実施形態では、上述したように登録期間と運用期間の2つがあるが、登録期間設定により、登録期間と運用期間を切り換える設定が行われる。具体的には、例えば「月−昼」のリストを生成する際は、登録期間を、月曜日の8:30〜17:29とする。 Here, in the present embodiment, as described above, there are two periods, a registration period and an operation period, and the registration period and the operation period are switched by the registration period setting. Specifically, for example, when generating a "Monday-noon" list, the registration period is set to Monday from 8:30 to 17:29.
また、動作設定では、受信した入力フレームのフレーム情報が、各リストと一致した場合と、各リストと一致しなかった場合とで、それぞれどのような動作を行うのかが設定される。例えば、許可リストに一致した場合には、対応するフレームを通過させるように設定できる。また、許可リストに一致しなかった場合には、対応するフレームを廃棄させるように設定できる。また、ここで、通過とは、受信した入力フレームを、フレーム解析部110を通過させて出力することにより、フレームを、フレーム内の宛先アドレスに対応する宛先に転送するということである。
Further, in the operation setting, what kind of operation is performed depending on whether the frame information of the received input frame matches each list or does not match each list is set. For example, if it matches the allow list, it can be set to pass the corresponding frame. Also, if the permission list does not match, the corresponding frame can be set to be discarded. Further, “passing” means that the received input frame is passed through the
また、これのみならず、各リストと一致した場合や、しなかった場合に、その旨の通知を行うか否かを設定することもできる。通知内容は、各リストと一致した旨や、一致しなかった旨のみでも良いが、フレーム情報に対応するフレームを複製して、この複製したフレームを通知に含めるようにしても良い。そして、例えば設定用端末50により仮想的な通信システムを作成し、かかる仮想的な通信システムにおいてフレームの複製を通信させることにより、悪意の有るフレームの影響を知ることができるようにしても良い。
In addition to this, it is also possible to set whether or not to notify to that effect when the list matches or does not match. The content of the notification may be only the fact that it matches or does not match each list, but the frame corresponding to the frame information may be duplicated and the duplicated frame may be included in the notification. Then, for example, a virtual communication system may be created by the setting
通知先は、例えば、設定用端末50であっても良いが、他のサーバ装置等であっても良い。また、通知に代えて又は通知と共に、セキュリティスイッチ100内部にてフレーム情報に対応するフレームを記録するようにしても良い。本実施形態を管理する管理者等は、かかる通知の内容や、セキュリティスイッチ100に記録された内容を、ログとして参照することにより、本実施形態での通信状況を把握することができる。
The notification destination may be, for example, the setting
また、フレーム解析部110は、入力フレーム受信時、登録期間であった場合、フレーム情報を受信した入力フレームから抽出し、後述の曜日・時間管理部140から受信した、現時点での曜日・時間のデータを付与した上で、後述の許可リスト生成部120に渡す。
Further, the
更に、フレーム解析部110は、入力フレーム受信時、運用期間であった場合、フレーム情報を受信した入力フレームから抽出する。そして、抽出したフレーム情報と、許可リスト記憶部130が記憶している許可リストのうち、現時点での曜日・時間に対応する許可リストとを比較する。
Further, the
比較の結果、フレーム情報が許可リストと一致したならば、対応する動作設定の設定に従い動作する。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
As a result of comparison, if the frame information matches the permission list, it operates according to the setting of the corresponding operation setting. For example, if the setting is "pass, do not notify", the frame is output by passing the
一方で、比較の結果、フレーム情報が許可リストと一致しないのであれば、対応する動作設定の設定に従い動作する。例えば設定が「廃棄、通知する」であれば、フレームを廃棄すると共に、廃棄したことを設定用端末50に対して通知する。
On the other hand, if the frame information does not match the permission list as a result of comparison, the operation is performed according to the setting of the corresponding operation setting. For example, if the setting is "discard, notify", the frame is discarded and the setting
許可リスト生成部120は、登録期間において、フレーム解析部110からフレーム情報を受信すると動作を開始する。受信したフレーム情報から許可リスト情報を生成し、許可リスト記憶部130に許可リスト情報を記憶する。
The permission
許可リスト記憶部130は、許可リストを記憶する記憶部である。許可リスト記憶部130が記憶する許可リストは、登録期間において許可リスト生成部120により生成される。そして、許可リスト記憶部130が記憶する許可リストは、運用期間においてフレーム解析部110に参照されて利用される。
The permission
許可リストには、例えば、フレーム解析部110を通過させるフレームのフレーム情報が設定される。具体的には、各通信端末10において利用されるプロトコルのフレームを特定するためのフレーム情報や、各通信端末10において利用される宛先や送信元を表すアドレスを含んだフレームを特定するためのフレーム情報が許可リストに含まれる。
For example, frame information of a frame to be passed through the
なお、許可リストは、上述したように、登録期間において、許可リスト生成部120により生成される。これに加えて、設定用端末50からの「リスト設定」にて許可リストが修正されるようにしても良い。例えば、設定用端末50を利用する管理者が許可リストの一部を削除したり、新たなフレーム情報を許可リストに追加したりできるようにしても良い。このようにすれば、例えば通信端末10を新たに追加するような場合に、再度登録期間を得なくとも、新たに追加する通信端末10に関連するフレームを通過させることが可能となる。また、他にも、例えば既存の通信端末10を一部取り外した場合に、再度登録期間を得なくとも、取り外した通信端末10に関連するフレーム情報を許可リストから削除することができる。
As described above, the permission list is generated by the permission
なお今回、許可リストを構成する要素を、装置、レイヤ2、レイヤ3、及びレイヤ4としているが、上述したようにこれらの全てを必ず要素として含む必要はなく、その一部を組み合わせたり、他の要素を追加したりしても良い。
This time, the elements constituting the permission list are the device,
曜日・時間管理部140は、いわゆるカレンダーの役割を果たし、現時点での曜日・時間のデータを出力する。
The day /
通信制御部150は、必要により許可リスト記憶部130に記憶された許可リストを参照しながら、フレーム解析部110に設定された動作設定に従い、フレームを実際に処理する。
The
次に、図8−1のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。 Next, the operation of the present embodiment during the registration period will be described with reference to the flowchart of FIG. 8-1.
まず、ステップS101において、これから生成しようとする許可リストの曜日・時間を登録する。例えば、「月曜日:8:30〜17:29」と設定した場合は、月曜日の8:30〜17:29が学習期間になると共に、月曜日の8:30〜17:29における運用時に参照される許可リストが生成される。 First, in step S101, the day of the week and the time of the permission list to be generated are registered. For example, if "Monday: 8:30 to 17:29" is set, the learning period will be from 8:30 to 17:29 on Monday, and it will be referred to during operation from 8:30 to 17:29 on Monday. An allow list is generated.
次に、ステップS102において、セキュリティスイッチ100は、フレーム解析部110が登録期間に設定されているか否かを判定する。ここで、登録期間に設定されているならば(S102:Yes)、ステップS103に進む。一方で、登録期間に設定されていないならば(S102:No)、すなわち、運用期間に設定されているならば、図8−2のステップS108に進む。
Next, in step S102, the
次に、ステップS103において、フレーム解析部110がフレーム解析をし、許可リスト生成部120に向けてフレーム情報を送信する。なお、この際、実際のフレームは、通信制御部150を経由して、出力フレームとして出力される。
Next, in step S103, the
次に、ステップS104において、フレーム解析部110が送信したフレーム情報に対し、曜日・時間管理部140が、現時点の曜日と時間のデータを付与する。
Next, in step S104, the day /
次に、ステップS105において、許可リスト生成部120が、現時点の曜日と時間のデータが付与されたフレーム情報を受信し、許可リスト情報を生成する。
Next, in step S105, the permission
次に、ステップS106において、許可リスト生成部120が、生成した許可リスト情報を許可リスト記憶部130に転送する。
Next, in step S106, the permission
次に、ステップS107において、許可リスト記憶部130が、転送されてきた許可リスト情報を記憶する。
Next, in step S107, the permission
次に、ステップS108において、セキュリティスイッチ100が、登録期間が終了したか否か判断する。登録期間が終了している場合(S108:Yes)は、図8−2のステップS109に移行する。登録期間が終了していない場合(S108:No)は、ステップS103に戻る。
Next, in step S108, the
次に、このようにして生成及び更新した許可リストを、運用期間において利用する際の動作について、図8−2を参照して説明をする。 Next, the operation when the permission list generated and updated in this way is used during the operation period will be described with reference to FIG. 8-2.
まず、ステップS109において、運用期間においてセキュリティスイッチ100が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する。
First, in step S109, when the
次に、ステップS110において、曜日・時間管理部140が、フレーム解析部110に対し、現時点の曜日・時間に対応する曜日・時間範囲の選択を指示する。例えば、現時点が月曜日の12:30である場合は、「月−昼」の選択を指示する。
Next, in step S110, the day /
次に、ステップS111において、フレーム解析部110は、曜日・時間管理部140により選択指示された曜日・時間範囲に対応する許可リストを参照する。例えば上記の例においては、「月−昼」の許可リストを参照する。
Next, in step S111, the
次に、ステップS112において、フレーム解析部110は抽出したフレーム情報と参照した許可リストを比較し、両者が一致するか否かを判定する。
Next, in step S112, the
両者が一致した場合(S112:Yes)は、フレーム解析部110は、許可リストと一致したフレーム情報に対応するフレームに対して、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS113)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。
ただし、通知はしない。
When both match (S112: Yes), the
However, no notification will be given.
ステップS113の処理が終了すると、ステップS109に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S113 is completed, the process returns to step S109, and each of the above operations is repeated for the newly received frame.
両者が一致しない場合(S112:No)は、フレーム解析部110は、許可リストと一致しなかったフレーム情報に対応するフレームに対して、許可リストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS114)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末50に対して通知する。
When the two do not match (S112: No), the
ステップS114の処理が終了すると、ステップS109に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S114 is completed, the process returns to step S109, and each of the above operations is repeated for the newly received frame.
上記の第1の実施形態により、特定の端末において、ある曜日のある時間のみ通信させることができるようになり、よりセキュリティを向上させることができるようになる。その理由は、曜日、時間毎に許可リスト記憶部から参照する許可リストを切り替え、フレーム解析部で、受信したフレームのデータと比較、判定するためである。 According to the first embodiment described above, it becomes possible to communicate only at a certain time on a certain day of the week on a specific terminal, and it becomes possible to further improve security. The reason is that the permission list to be referenced from the permission list storage unit is switched for each day of the week and time, and the frame analysis unit compares and determines the data of the received frame.
なお、上記の第1の実施形態では、特定の曜日・時間の許可リストを生成する際、最初の学習期間の設定の段階で、当該特定の曜日・時間の間、学習する設定とした。そうではなく、例えば、学習期間を1週間として、いったん1週間単位での許可リストを生成し、許可リスト記憶部に対する直接操作により、当該1週間単位での許可リストを、曜日・時間単位で分割してもよい。 In the first embodiment described above, when the permission list for a specific day / time is generated, the learning period is set to be learned during the specific day / time at the stage of setting the first learning period. Instead, for example, assuming that the learning period is one week, a weekly permission list is once generated, and the weekly permission list is divided by day of the week and time by a direct operation on the permission list storage unit. You may.
<第2の実施形態>
以下、本発明の第2の実施形態について図9乃至図14−2を参照しながら、詳述する。
<Second embodiment>
Hereinafter, the second embodiment of the present invention will be described in detail with reference to FIGS. 9 to 14-2.
第2の実施形態は、第1の実施形態に係る図1と同様の基本的構成を有する。ただし、図示は省略するが、図1のセキュリティスイッチ100の代わりに、セキュリティスイッチ200が備わる。
The second embodiment has the same basic configuration as that of FIG. 1 according to the first embodiment. However, although not shown, a
第1の実施形態においては、曜日・時間毎に許可リストを生成し、運用している時点での曜日・時間に応じて、参照する許可リストを切り替えていた。一方で、第2の実施形態においては、通信量に応じた許可リストを生成し、運用している時点での通信量に応じて、参照する許可リストを切り替える。 In the first embodiment, the permission list is generated for each day of the week / time, and the permission list to be referred to is switched according to the day / time at the time of operation. On the other hand, in the second embodiment, the permission list according to the communication amount is generated, and the permission list to be referred to is switched according to the communication amount at the time of operation.
図9に示すように、通信量正常時は、(A)に示すように、PC10−1とサーバPC10−3との間、及びPC10−2とサーバPC10−3との間の通信のみを許可するとする。一方で、(B)に示すように、通信量異常時には、一切の通信を許可しないものとする。 As shown in FIG. 9, when the communication volume is normal, as shown in (A), only communication between PC10-1 and server PC10-3 and between PC10-2 and server PC10-3 is permitted. Then. On the other hand, as shown in (B), when the communication volume is abnormal, no communication is permitted.
そこで、図10に示すように、通信量に応じて、参照する許可リストを切り替える。例えば、通信量が0Mbps〜5Mbpsの通信量の際は、通信量が正常である際に用いる、「正常」という名称の許可リストを参照して通信を制御する。一方で、通信量が5Mbpsを超えた場合は、通信量が異常である際に用いる、「異常」という名称の許可リストを参照して通信を制御する。なお、ここで述べる通信量とはセキュリティスイッチ単位での通信量でもよいし、ポート単位での通信量でもよい。 Therefore, as shown in FIG. 10, the permission list to be referred to is switched according to the amount of communication. For example, when the communication amount is 0 Mbps to 5 Mbps, the communication is controlled by referring to the permission list named "normal" used when the communication amount is normal. On the other hand, when the communication amount exceeds 5 Mbps, the communication is controlled by referring to the permission list named "abnormality" used when the communication amount is abnormal. The amount of communication described here may be the amount of communication for each security switch or the amount of communication for each port.
図11に示すのは、通信量が正常である際に参照する許可リストの例である。すなわち、図10の表における「正常」なる名称の許可リストの例である。 FIG. 11 shows an example of a permission list to be referred to when the traffic is normal. That is, it is an example of the permission list of the name "normal" in the table of FIG.
第1の実施形態に係る図4の表と同様に、具体的には、例えば、項番1は、受信ポート1から受信したフレームのMAC−DA(宛先マックアドレス)が“M−PC3”、MAC−SA(送信元マックアドレス)が“M−PC1”、Typeが“0x0800”(IPv4)、VIDが“0”、IP−SA(送信元IPアドレス)が“IP−PC1”、IP−DA(宛先IPアドレス)が“IP−PC3”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“3000”、L4DP(TCPヘッダ内の宛先ポート番号)が“23”のフレームを示す。
Similar to the table of FIG. 4 according to the first embodiment, specifically, for example, in
また、図12に示すのは、通信量が異常である際に参照する許可リストの例である。すなわち、図10の表における「異常」なる名称の許可リストの例である。 Further, FIG. 12 shows an example of a permission list to be referred to when the communication volume is abnormal. That is, it is an example of the permission list of the name "abnormal" in the table of FIG.
図12の表においては、一切のデータが登録されていない。すなわち、図12の表に占めす許可リストを参照した場合、当該許可リストと一致するフレームは存在しない。 In the table of FIG. 12, no data is registered. That is, when the permission list occupied in the table of FIG. 12 is referred to, there is no frame that matches the permission list.
図11及び図12に例示した許可リストにフレームが一致した場合、及び一致しない場合の動作設定例は、図6と同様である。具体的には、図11に示す許可リストに一致したフレームは、セキュリティスイッチ200を通過させるとともに、設定用端末50には通知しない。一方で、許可リストと一致しないフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。また、図12に示す許可リストを参照する場合は、許可リストに一致するフレームは存在しないため、全てのフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。
The operation setting example when the frames match and do not match the permission list illustrated in FIGS. 11 and 12 is the same as in FIG. Specifically, the frame matching the permission list shown in FIG. 11 is passed through the
次に、図13を参照して、第2の実施形態に係るセキュリティスイッチ200に含まれる機能ブロックについて説明する。なお、図13においては、第1の実施形態に係るセキュリティスイッチ100と同一の構成要素については、同一の符号を用いて示す。
Next, with reference to FIG. 13, the functional block included in the
セキュリティスイッチ200は、曜日・時間管理部140、及び通信制御部150を含まない代わりに、通信量監視部210、通信量管理部220、及び通信制御部230を含む点で、第1の実施形態に係るセキュリティスイッチ100とは異なる。
The
通信量監視部210は、通過するデータの通信量を監視し、定期的に通信量管理部220に通信量を通知する。監視する粒度は、物理ポート単位でもよいし、装置単位でもよい。監視する通信量の範囲は、通信量管理部220の指示に従う。
The communication
通信量管理部220は、通信量設定手段により、学習期間における通信量期待値を設定する。設定は、ある程度の幅を持たせた設定がされる。例えば、「0Mbps以上、5Mbps以下」と設定しても良く、「5Mbps±20%」と設定しても良い。実際の通信量がこの幅の範囲内にある場合は、通信量が正常であると判断され、この幅を超えた場合は、通信量が異常であると判断される。この通信量期待値は、フレーム解析部110から許可リスト生成部120にフレーム情報を受け渡す際、フレーム情報に付与される。その後、当該通信量期待値は、許可リスト記憶部130に許可リストが記憶される際、当該許可リストの属性として、同時に記憶される。
The communication
また、通信量管理部220は、通信量監視部210から通信量を定期的に入手すると共に、許可リスト記憶部130から許可リストが対応する通信量期待値のデータを入手する。更に、定期的に通信量監視部210から入手した通信量と、許可リスト記憶部130から入手した通信量期待値データとを比較し、実際の通信量が通信量期待値の範囲外にある場合は、フレーム解析部110が参照する許可リストの選択を指示する。加えて、通信制御部230に対して帯域制御等の指示をしても良い。実際の通信量が通信量期待値の範囲内に戻った場合は、再度、フレーム解析部110が参照する許可リストの選択、及び通信制御部230に対する指示を実施する。
Further, the communication
通信制御部230は、フレーム解析部110に設定された動作設定に従い、フレームを実際に処理する。更に、通信量管理部220からの指示に従い、帯域制御などの通信制御を行ってもよい。
The
次に、図14−1のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。 Next, the operation of the present embodiment during the registration period will be described with reference to the flowchart of FIG. 14-1.
まず、ステップS201において、セキュリティスイッチ200は、フレーム解析部110が登録期間に設定されているか否かを判定する。ここで、登録期間に設定されているならば(S201:Yes)、ステップS202に進む。一方で、登録期間に設定されていないならば(S201:No)、すなわち、運用期間に設定されているならば、図14−2のステップS209に進む。
First, in step S201, the
次に、ステップS202において、フレーム解析部110がフレーム解析をし、許可リスト生成部120に向けてフレーム情報を送信する。なお、この際、実際のフレームは、通信量監視部210及び通信制御部230を経由して、出力フレームとして出力される。
Next, in step S202, the
次に、ステップS203において、フレーム解析部110が送信したフレーム情報に対し、通信量管理部220が、通信量期待値のデータを付与する。例えば、通信量0Mbps〜5Mbpsを通信量正常の範囲内とする場合は、「0Mbps〜5Mbps」なるデータを付与する。
Next, in step S203, the communication
次に、ステップS204において、許可リスト生成部120が、通信量期待値が付与されたフレーム情報を受信し、実際の通信量が通信量期待値の範囲内である場合の許可リスト情報を生成する。
Next, in step S204, the permission
次に、ステップS205において、許可リスト生成部120が、生成した許可リスト情報を許可リスト記憶部130に転送する。
Next, in step S205, the permission
次に、ステップS206において、許可リスト記憶部130が、転送されてきた許可リスト情報を記憶する。
Next, in step S206, the permission
次に、ステップS207において、セキュリティスイッチ100が、登録期間が終了したか否か判断する。登録期間が終了している場合(S207:Yes)は、ステップS208に移行する。登録期間が終了していない場合(S207:No)は、ステップS202に戻る。
Next, in step S207, the
次に、ステップS208において、利用者が許可リスト記憶部130に対して直接操作することにより、通信量が通信量期待値の範囲外だった場合の許可リスト、例えば図12の許可リストを生成する。なお、例えば、通信量が通信量期待値の範囲外だった場合の許可リストを、図12のような空リストとすることが事前に定まっているような場合は、利用者の操作を介することなく、許可リスト生成部120が、自動的に、通信量が通信量期待値の範囲外だった場合の許可リストを生成しても良い。
Next, in step S208, the user directly operates on the permission
このようにして生成及び更新した許可リストを、運用期間において利用する際の動作について、図14−2を参照して説明をする。 The operation when the permission list generated and updated in this way is used during the operation period will be described with reference to FIG. 14-2.
まず、ステップS209において、運用期間においてセキュリティスイッチ100が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する。
First, in step S209, when the
次に、ステップS210において、通信量監視部210が、現時点の通信量を通信量管理部220に送信する。
Next, in step S210, the communication
次に、ステップS211において、通信量管理部220が、現時点の通信量と、許可リスト記憶部130に記憶された許可リストの属性となっている通信量期待値の範囲とを比較し、フレーム解析部110に対し、現時点の通信量に対応する通信量期待値範囲の選択を指示する。例えば現時点での通信量が2Mbpsの場合は、図10の表の項番1である「通信量正常」の選択を指示し、現時点の通信量が10Mbpsの場合は、図10の表の項番2である「通信量異常」の選択を指示する。
Next, in step S211 the communication
次に、ステップS212において、フレーム解析部110が、ステップS211において、通信量管理部220により選択を指示された通信量範囲に対応する許可リストを参照する。
Next, in step S212, the
次に、ステップS213において、フレーム解析部110は抽出したフレーム情報と参照した許可リストとを比較し、両者が一致するか否かを判定する。
Next, in step S213, the
両者が一致した場合(S213:Yes)は、フレーム解析部110は、許可リストと一致したフレーム情報に対応するフレームに対して、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS214)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。
ただし、通知はしない。
When both match (S213: Yes), the
However, no notification will be given.
ステップS214の処理が終了すると、ステップS209に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S214 is completed, the process returns to step S209, and each of the above operations is repeated for the newly received frame.
両者が一致しない場合(S213:No)は、フレーム解析部110は、許可リストと一致しなかったフレーム情報に対応するフレームに対して、許可リストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS215)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末50に対して通知する。
When the two do not match (S213: No), the
ステップS215の処理が終了すると、ステップS209に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S215 is completed, the process returns to step S209, and each of the above operations is repeated for the newly received frame.
上記の第2の実施形態により、正規の通信フローの通信量が、通常時と比較して、一定の範囲を超えた場合に通信制御(遮断、迂回、帯域制御など)することができるようになる。その理由は、通信量監視部210により監視される通信量と正常時の通信量期待値とを通信量管理部220で比較し、範囲外であれば、通信制御部230で通信制御するためである。
According to the second embodiment described above, communication control (blocking, detour, band control, etc.) can be performed when the communication volume of the regular communication flow exceeds a certain range as compared with the normal time. Become. The reason is that the communication amount monitored by the communication
なお、上記の説明では、通信量が正常の場合と異常の場合の2通りの許可リストのみ例示しているが、本実施形態はこれには限定されず、通信量に応じて3通り以上の許可リストを生成・参照しても良い。 In the above description, only two types of permission lists, one is normal and the other is abnormal, are illustrated. However, the present embodiment is not limited to this, and there are three or more types depending on the amount of communication. You may generate and refer to the permission list.
<第3の実施形態>
以下、本発明の第3の実施形態について図15乃至図21−2を参照しながら、詳述する。
<Third embodiment>
Hereinafter, the third embodiment of the present invention will be described in detail with reference to FIGS. 15 to 21-2.
第3の実施形態は、第1の実施形態に係る図1と同様の基本的構成を有する。ただし、図示は省略するが、図1のセキュリティスイッチ100の代わりに、セキュリティスイッチ300が備わる。
The third embodiment has the same basic configuration as that of FIG. 1 according to the first embodiment. However, although not shown, a
第1の実施形態においては、曜日・時間毎に許可リストを生成し、運用している時点での曜日・時間に応じて、参照する許可リストを切り替えていた。また、第2の実施形態においては、通信量に応じた許可リストを生成し、運用している時点での通信量に応じて、参照する許可リストを切り替えていた。第3の実施形態は、これらの複合、すなわち、曜日・時間・通信量に応じた許可リストを生成し、運用している時点での曜日・時間・通信量に応じて、参照する許可リストを切り替える。 In the first embodiment, the permission list is generated for each day of the week / time, and the permission list to be referred to is switched according to the day / time at the time of operation. Further, in the second embodiment, the permission list according to the communication amount is generated, and the permission list to be referred to is switched according to the communication amount at the time of operation. The third embodiment generates a combination of these, that is, a permission list according to the day of the week, time, and communication volume, and creates a permission list to be referred to according to the day of the week, time, and communication volume at the time of operation. Switch.
図15(A)に示すように、例えば、平日(月曜日から金曜日)の8:30〜17:29の時間帯において通信量が正常である場合は、PC10−1とサーバPC10−3との間、及びPC10−2とサーバPC10−3との間の通信のみを許可するものとする。また、平日(月曜日から金曜日)の17:30〜8:29の時間帯において通信量が正常である場合は、図15(B)に示すように、サーバPC10−3とバックアップ・サーバPC10−4との間に通信のみを許可するものとする。更に、平日(月曜日から金曜日)において通信量が異常である場合は、図15(C)に示すように、一切の通信を許可しないものとする。 As shown in FIG. 15A, for example, when the traffic is normal during the time zone from 8:30 to 17:29 on weekdays (Monday to Friday), between PC10-1 and server PC10-3. , And only communication between PC10-2 and server PC10-3 shall be permitted. If the traffic is normal during the time period from 17:30 to 8:29 on weekdays (Monday to Friday), the server PC10-3 and the backup server PC10-4 are shown in FIG. 15B. Only communication with and shall be permitted. Further, if the communication volume is abnormal on weekdays (Monday to Friday), no communication is permitted as shown in FIG. 15 (C).
そこで、図16に示すように複数の許可リストを用意する。すなわち、各曜日の8:30〜17:29及び17:30〜8:29のそれぞれの時間帯毎に、通信量が正常の場合と異常の場合の許可リストを生成し、運用の際に参照するとする。例えば、日曜日の8:30〜17:29の時間帯において通信量が正常である場合におけるセキュリティスイッチ300の運用のために、「日−昼−正常」という許可リストを生成し、当該時間帯での運用時においては、「日−昼−正常」という許可リストを参照して通信を制御する。また、日曜日の8:30〜17:29の時間帯において通信量が異常である場合におけるセキュリティスイッチ300の運用のために、「日−昼−異常」という許可リストを生成し、当該時間帯においては、「日−昼−異常」という許可リストを参照して通信を制御する。
同様に、日曜日の17:30〜8:29の時間帯において通信量が正常である場合におけるセキュリティスイッチ100の運用のために、「日−夜−正常」という許可リストを生成し、当該時間帯での運用時においては、「日−夜−正常」という許可リストを参照して通信を制御する。また、日曜日の17:30〜8:29の時間帯において通信量が異常である場合におけるセキュリティスイッチ100の運用のために、「日−夜−異常」という許可リストを生成し、当該時間帯での運用時においては、「日−夜−異常」という許可リストを参照して通信を制御する。以下同様に、月曜日から土曜日各々の、8:30〜17:29及び17:30〜8:29の時間帯毎に、通信量が正常である場合と異常である場合の許可リストを生成し、各許可リストが対応する時間帯に当該許可リストを参照することにより、セキュリティスイッチ100を運用する。
Therefore, as shown in FIG. 16, a plurality of permission lists are prepared. That is, for each time zone from 8:30 to 17:29 and 17:30 to 8:29 on each day of the week, a permission list for normal and abnormal traffic is generated and referred to during operation. Then. For example, for the operation of the
Similarly, for the operation of the
図17に示すのは、平日(月曜日から金曜日)の8:30〜17:29の時間帯において通信量が正常の場合に対応する許可リストの例である。すなわち、図16の表における、「月−昼−正常」、「火−昼−正常」、「水−昼−正常」、「木−昼−正常」、「金−昼−正常」なる名称の許可リストの例である。 FIG. 17 shows an example of a permission list corresponding to the case where the traffic is normal during the time zone from 8:30 to 17:29 on weekdays (Monday to Friday). That is, in the table of FIG. 16, the names "Monday-daytime-normal", "Tue-daytime-normal", "Wednesday-daytime-normal", "Thursday-daytime-normal", and "Friday-daytime-normal" An example of an allow list.
具体的には、例えば、項番1は、受信ポート1から受信したフレームのMAC−DA(宛先マックアドレス)が“M−PC3”、MAC−SA(送信元マックアドレス)が“M−PC1”、Typeが“0x0800”(IPv4)、VIDが“0”、IP−SA(送信元IPアドレス)が“IP−PC1”、IP−DA(宛先IPアドレス)が“IP−PC3”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“3000”、L4DP(TCPヘッダ内の宛先ポート番号)が“23”のフレームを示す。
Specifically, for example, in
また、図18に示すのは、平日(月曜日から金曜日)の17:30〜8:29の時間帯において通信量が正常である場合に対応する許可リストの例である。すなわち、図3の表における、「月−夜−正常」、「火−夜−正常」、「水−夜−正常」、「木−夜−正常」、「金−夜−正常」の許可リストの例である。 Further, FIG. 18 shows an example of a permission list corresponding to a case where the traffic is normal during the time zone from 17:30 to 8:29 on weekdays (Monday to Friday). That is, the permission list of "Monday-Night-Normal", "Tue-Night-Normal", "Wed-Night-Normal", "Thu-Night-Normal", and "Fri-Night-Normal" in the table of FIG. Is an example of.
具体的には、例えば、項番5は、受信ポート3から受信したフレームのMAC−DA(宛先マックアドレス)が“M−PC4”、MAC−SA(送信元マックアドレス)が“M−PC3”、Typeが“0x0800”(IPv4)、VIDが“0”、IP−SA(送信元IPアドレス)が“IP−PC3”、IP−DA(宛先IPアドレス)が“IP−PC4”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“any”、L4DP(TCPヘッダ内の宛先ポート番号)が“any”のフレームを示す。
Specifically, for example, in No. 5, the MAC-DA (destination Mac address) of the frame received from the receiving
また、図19に示すのは、通信量が異常である際に参照する許可リストの例である。すなわち、図16の表における「月−昼−異常」、「月−夜−異常」、「火−昼−異常」、「火−夜−異常」、「水−昼−異常」、「水−夜−異常」、「木−昼−異常」、「木−夜−異常」、「金−昼−異常」、「金−夜−異常」なる名称の許可リストの例である。 Further, FIG. 19 shows an example of a permission list to be referred to when the communication volume is abnormal. That is, "Mon-day-abnormal", "Mon-night-abnormal", "Tue-day-abnormal", "Tue-night-abnormal", "Wed-day-abnormal", "Wed-Wed-" in the table of FIG. This is an example of a permission list named "Night-Abnormal", "Thu-Day-Abnormal", "Thu-Night-Abnormal", "Fri-Day-Abnormal", and "Fri-Night-Abnormal".
図19の表においては、一切のデータが登録されていない。すなわち、図19の表に示す許可リストを参照した場合、当該許可リストと合致するフレームは存在しない。 In the table of FIG. 19, no data is registered. That is, when the permission list shown in the table of FIG. 19 is referred to, there is no frame that matches the permission list.
図17乃至図19に例示した許可リストにフレームが一致した場合、及び一致しない場合の動作設定例は、図6と同様である。具体的には、図17及び図18に示す許可リストに一致したフレームは、セキュリティスイッチ300を通過させるとともに、設定用端末50には通知しない。一方で、許可リストと一致しないフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。また、図19に示す許可リストを参照する場合は、許可リストに一致するフレームは存在しないため、全てのフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。
The operation setting example when the frames match the permission list illustrated in FIGS. 17 to 19 and when the frames do not match is the same as in FIG. Specifically, the frame matching the permission list shown in FIGS. 17 and 18 is passed through the
次に、図20を参照して、第3の実施形態に係るセキュリティスイッチ300に含まれる機能ブロックについて説明する。なお、図20においては、第1の実施形態に係るセキュリティスイッチ100、及び第2の実施形態に係るセキュリティスイッチ200と同一の構成要素については、同一の符号を用いて示す。
Next, with reference to FIG. 20, the functional block included in the
セキュリティスイッチ300は、第1の実施形態に係るセキュリティスイッチ100と第2の実施形態に係るセキュリティスイッチ200とが共に有する、フレーム解析部110、許可リスト生成部120、及び許可リスト記憶部130を含む。また、セキュリティスイッチ300は、第1の実施形態に係るセキュリティスイッチ100が有する、曜日・時間管理部140を含む。更に、セキュリティスイッチ300は、第2の実施形態に係るセキュリティスイッチ200が有する、通信量監視部210、通信量管理部220、及び通信制御部230を含む。
The
セキュリティスイッチ300の各ブロックの動作のうち、セキュリティスイッチ100及びセキュリティスイッチ200が含む、対応するブロックの動作と異なる点は、以下の通りである。
Among the operations of each block of the
フレーム解析部110は、入力フレーム受信時、登録期間であった場合、受信した入力フレームからフレーム情報を抽出し、通信量管理部220から受信した通信量期待値、及び、曜日・時間管理部140から受信した現時点での曜日・時間のデータを付与した上で、後述の許可リスト生成部120に渡す。
The
また、フレーム解析部110は、入力フレーム受信時、運用期間であった場合、受信した入力フレームからフレーム情報を抽出する。そして、抽出したフレーム情報と、許可リスト記憶部130が記憶している許可リストのうち、現時点での曜日・時間・通信量に対応する許可リストとを比較する。
Further, the
更に、通信量監視部210が監視する通信量の粒度は、物理ポート単位でもよく、装置単位でもよく、各許可リストが対応する曜日・時間範囲単位でもよい。
Further, the particle size of the communication amount monitored by the communication
次に、図21−1のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。 Next, the operation of the present embodiment during the registration period will be described with reference to the flowchart of FIG. 21-1.
まず、ステップS301において、これから生成しようとする許可リストの曜日・時間を登録する。例えば、「月曜日:8:30〜17:29」と設定した場合は、月曜日の8:30〜17:29が学習期間になると共に、月曜日の8:30〜17:29における運用時に参照される許可リストが生成される。 First, in step S301, the day / time of the permission list to be generated is registered. For example, if "Monday: 8:30 to 17:29" is set, the learning period will be from 8:30 to 17:29 on Monday, and it will be referred to during operation from 8:30 to 17:29 on Monday. An allow list is generated.
次に、ステップS302において、セキュリティスイッチ300は、フレーム解析部110が登録期間に設定されているか否かを判定する。ここで、登録期間に設定されているならば(S302:Yes)、ステップS303に進む。一方で、登録期間に設定されていないならば(S302:No)、すなわち、運用期間に設定されているならば、図21−2のステップS311に進む。
Next, in step S302, the
次に、ステップS303において、フレーム解析部110がフレーム解析をし、許可リスト生成部120に向けてフレーム情報を送信する。なお、この際、実際のフレームは、通信量監視部210及び通信制御部230を経由して、出力フレームとして出力される。
Next, in step S303, the
次に、ステップS304において、フレーム解析部110が送信したフレーム情報に対し、通信量管理部220が、通信量期待値のデータを付与する。例えば、通信量0Mbps〜5Mbpsを通信量正常の範囲内とする場合は、「0Mbps〜5Mbps」なるデータを付与する。
Next, in step S304, the communication
次に、ステップS305において、通信量期待値が付与されたフレーム情報に対し、曜日・時間管理部140が、更に、現時点の曜日と時間のデータを付与する。
Next, in step S305, the day /
次に、ステップS306において、許可リスト生成部120が、現時点の曜日と時間のデータ、及び通信量期待値のデータが付与されたフレーム情報を受信し、許可リスト情報を生成する。
Next, in step S306, the permission
次に、ステップS307において、許可リスト生成部120が、生成した許可リストを許可リスト記憶部130に転送する。
Next, in step S307, the permission
次に、ステップS308において、許可リスト記憶部130が、転送されてきた許可リストを記憶する。
Next, in step S308, the permission
次に、ステップS309において、セキュリティスイッチ100が、登録期間が終了したか否か判断する。登録期間が終了している場合(S309:Yes)は、ステップS310に移行する。登録期間が終了していない場合(S309:No)は、ステップS303に戻る。
Next, in step S309, the
次に、ステップS310において、利用者が許可リスト記憶部130に対して直接操作することにより、通信量が通信量期待値の範囲外だった場合の許可リスト、例えば図19の許可リストを生成する。なお、例えば、通信量が通信量期待値の範囲外だった場合の許可リストを、図19のような空リストとすることが事前に定まっているような場合は、利用者の操作を介することなく、許可リスト生成部120が、自動的に、通信量が通信量期待値の範囲外だった場合の許可リストを生成しても良い。
Next, in step S310, the user directly operates the permission
このようにして生成及び更新した許可リストを、運用期間において利用する際の動作について、図21−2を参照して説明をする。 The operation when the permission list generated and updated in this way is used during the operation period will be described with reference to FIG. 21-2.
まず、ステップS311において、運用期間中にセキュリティスイッチ300が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する。
First, in step S311, when the
次に、ステップS312において、通信量監視部210が、現時点の通信量を通信量管理部220に送信する。
Next, in step S312, the communication
次に、ステップS313において、通信量管理部220が、現時点の通信量と、許可リスト記憶部130に記憶された許可リストの属性となっている通信量期待値の範囲とを比較し、フレーム解析部110に対し、現時点の通信量に対応する通信量期待値範囲の選択を指示する。例えば現時点での通信量が2Mbpsの場合は、「通信量正常」の選択を指示し、現時点の通信量が10Mbpsの場合は、「通信量異常」の選択を指示する。
Next, in step S313, the communication
次に、ステップS314において、曜日・時間管理部140が、フレーム解析部110に対し、現時点の曜日・時間に対応する曜日・時間範囲の選択を指示する。例えば現時点が月曜日の12:30である場合は、「月−昼」の選択を指示する。
Next, in step S314, the day /
次に、ステップS315において、フレーム解析部110が、ステップS313において、通信量管理部220により選択指示された通信量範囲、及びステップS314において、曜日・時間管理部140により選択指示された曜日・時間範囲に対応する許可リストを参照する。例えば、ステップS313において「通信量正常」を選択し、ステップS314において「月−昼」を選択した場合は、「月−昼−正常」の許可リストを参照する。
Next, in step S315, the
次に、ステップS316において、フレーム解析部110は抽出したフレーム情報と参照した許可リストとを比較し、両者が一致するか否かを判定する。
Next, in step S316, the
両者が一致した場合(S316:Yes)は、フレーム解析部110は、許可リストと一致したフレーム情報に対応するフレームに対して、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS317)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。
ただし、通知はしない。
When both match (S316: Yes), the
However, no notification will be given.
ステップS317の処理が終了すると、ステップS311に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S317 is completed, the process returns to step S311 and repeats each of the above operations for the newly received frame.
両者が一致しない場合(S316:No)は、フレーム解析部110は、許可リストと一致しなかったフレーム情報に対応するフレームに対して、許可リストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS318)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末50に対して通知する。
When the two do not match (S316: No), the
ステップS318の処理が終了すると、ステップS311に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S318 is completed, the process returns to step S311, and each of the above operations is repeated for the newly received frame.
上記の第3の実施形態により、特定の端末において、ある曜日のある時間のみ通信させることができるようになり、よりセキュリティを向上させることができるようになる。その理由は、曜日、時間毎に許可リスト記憶部から参照する許可リストを切り替え、フレーム解析部で、受信したフレームのデータと比較、判定するためである。更に、正規の通信フローの通信量が、通常時と比較して、一定の範囲を超えた場合に通信制御(遮断、迂回、帯域制御など)することができるようになる。その理由は、通信量監視部210により監視される通信量と通常時の通信量を通信量管理部220で比較し、範囲外であれば、通信制御部230で、通信制御するためである。
According to the third embodiment described above, it becomes possible to communicate only at a certain time on a certain day of the week on a specific terminal, and it becomes possible to further improve security. The reason is that the permission list to be referenced from the permission list storage unit is switched for each day of the week and time, and the frame analysis unit compares and determines the data of the received frame. Further, when the communication amount of the regular communication flow exceeds a certain range as compared with the normal time, communication control (blocking, detour, band control, etc.) can be performed. The reason is that the communication amount monitored by the communication
なお、上記の第3の実施形態では、特定の曜日・時間の許可リストを生成する際、最初の学習期間の設定の段階で、当該特定の曜日・時間の間、学習する設定とした。そうではなく、例えば、学習期間を1週間として、いったん1週間単位での許可リストを生成し、許可リスト記憶部に対する直接操作により、当該1週間単位での許可リストを、曜日・時間単位で分割してもよい。 In the third embodiment described above, when the permission list for a specific day / time is generated, the learning period is set to be learned during the specific day / time at the stage of setting the first learning period. Instead, for example, assuming that the learning period is one week, a weekly permission list is once generated, and the weekly permission list is divided by day of the week and time by a direct operation on the permission list storage unit. You may.
上記のセキュリティスイッチ、通信端末及び設定用端末のそれぞれは、ハードウェア、ソフトウェア又はこれらの組み合わせによりそれぞれ実現することができる。また、上記のセキュリティスイッチ、通信端末及び設定用端末により行なわれる中継方法も、ハードウェア、ソフトウェア又はこれらの組み合わせにより実現することができる。ここで、ソフトウェアによって実現されるとは、コンピュータがプログラムを読み込んで実行することにより実現されることを意味する。 Each of the above security switch, communication terminal and setting terminal can be realized by hardware, software or a combination thereof. Further, the relay method performed by the above-mentioned security switch, communication terminal and setting terminal can also be realized by hardware, software or a combination thereof. Here, what is realized by software means that it is realized by a computer reading and executing a program.
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。 Programs can be stored and supplied to a computer using various types of non-transitory computer readable medium. Non-transient computer-readable media include various types of tangible storage media. Examples of non-temporary computer-readable media include magnetic recording media (eg, flexible disks, magnetic tapes, hard disk drives), magneto-optical recording media (eg, magneto-optical disks), CD-ROMs (Read Only Memory), CD-. Includes R, CD-R / W, semiconductor memory (eg, mask ROM, PROM (Programmable ROM), EPROM (Erasable PROM), flash ROM, RAM (random access memory)).
また、上述した実施形態は、本発明の好適な実施形態ではあるが、上記実施形態のみに本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。 Further, although the above-described embodiment is a preferred embodiment of the present invention, the scope of the present invention is not limited to the above-mentioned embodiment, and various modifications have been made without departing from the gist of the present invention. It can be implemented in the form.
例えば、以下のように各実施形態を変形することが可能である。 For example, each embodiment can be modified as follows.
上述の各実施形態では、セキュリティスイッチがインターネットに接続していたが、必ずしもインターネットに接続する必要はない。インターネットに接続していない場合であっても、例えば、悪意を持っているユーザが社内ネットワークに不正な端末を接続したような場合に発生する悪意のあるフレームを検出することができる。 In each of the above embodiments, the security switch is connected to the Internet, but it is not always necessary to connect to the Internet. Even when not connected to the Internet, it is possible to detect a malicious frame that occurs when, for example, a malicious user connects an unauthorized terminal to the corporate network.
上述の各実施形態では、登録期間となってから所定時間経過後に運用期間となり、動作を継続していた。この場合に、運用期間から再度登録期間に遷移し、遷移後所定時間が経過したならば、再度運用期間に遷移するようにしても良い。つまり、再登録を行うことにより、許可リストを更新するようにしても良い。 In each of the above-described embodiments, the operation period is reached after a predetermined time has elapsed from the registration period, and the operation is continued. In this case, the operation period may be changed to the registration period again, and if a predetermined time has elapsed after the transition, the operation period may be changed again. That is, the permission list may be updated by re-registering.
例えば、運用期間遷移後に、新たに通信端末を追加した場合に、再登録を行うことにより、かかる追加した通信端末に関するフレームを許可リストに追加するようにしても良い。この場合に、許可リストをまっさらな状態として、ゼロから許可リストを作りなおしても良いし、既存の許可リストに新たにフレーム情報を追加するようにしても良い。 For example, when a new communication terminal is added after the transition of the operation period, the frame related to the added communication terminal may be added to the permission list by re-registering. In this case, the permission list may be left blank and the permission list may be recreated from scratch, or new frame information may be added to the existing permission list.
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。 Some or all of the above embodiments may also be described, but not limited to:
(付記1)
中継装置であって、
当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合することを特徴とする中継装置。
(Appendix 1)
It ’s a relay device,
A storage means for storing a list of frames to be processed in the first process after reception by the relay device.
An analysis means that collates the received frame with the list,
At the time of collation by the analysis means, if the received frame matches the frame described in the list, the received frame is subjected to the first processing, and if the received frame does not match, the received frame is subjected to the first processing. It is equipped with a control means that performs the processing of 2.
A plurality of the lists exist according to the day of the week and the time, and the analysis means collates the received frame with the list corresponding to the day of the week and the time during operation.
(付記2)
付記1に記載の中継装置であって、
前記リストは、前記曜日及び前記時間に加え、運用時の通信量に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日、時間、及び通信量に対応したリストとを照合することを特徴とする中継装置。
(Appendix 2)
The relay device described in
In addition to the day of the week and the time, there are a plurality of the lists according to the amount of communication during operation, and the analysis means includes the received frame and a list corresponding to the day of the week, time, and amount of communication during operation. A relay device characterized by collation.
(付記3)
中継装置であって、
当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは、運用時の通信量に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の通信量に対応したリストとを照合することを特徴とする中継装置。
(Appendix 3)
It ’s a relay device,
A storage means for storing a list of frames to be processed in the first process after reception by the relay device.
An analysis means that collates the received frame with the list,
At the time of collation by the analysis means, if the received frame matches the frame described in the list, the received frame is subjected to the first processing, and if the received frame does not match, the received frame is subjected to the first processing. It is equipped with a control means that performs the processing of 2.
A plurality of the lists exist according to the amount of communication during operation, and the analysis means is a relay device for collating the received frame with a list corresponding to the amount of communication during operation.
(付記4)
付記1乃至3のいずれか1に記載の中継装置であって、
前記第1の処理は、前記フレームの宛先に前記フレームを転送することを含み、前記第2の処理は、前記フレームの宛先に前記フレームを転送することを含まないことを特徴とする中継装置。
(Appendix 4)
The relay device according to any one of
The relay device, wherein the first process includes transferring the frame to the destination of the frame, and the second process does not include transferring the frame to the destination of the frame.
(付記5)
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、当該中継装置単位の通信量が監視されることを特徴とする中継装置。
(Appendix 5)
The relay device according to any one of
A relay device characterized in that the communication volume of the relay device unit is monitored as the communication volume during the operation.
(付記6)
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、当該中継装置の物理ポート単位の通信量が監視されることを特徴とする中継装置。
(Appendix 6)
The relay device according to any one of
A relay device characterized in that the communication volume for each physical port of the relay device is monitored as the communication volume during the operation.
(付記7)
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、前記曜日及び前記時間単位の通信量が監視されることを特徴とする中継装置。
(Appendix 7)
The relay device according to any one of
A relay device characterized in that the communication amount of the day of the week and the time unit is monitored as the communication amount during the operation.
(付記8)
付記1乃至7の何れか1に記載の中継装置と、前記中継装置に接続された設定用端末とを備えた通信システムであって、
前記設定用端末が受け付けたユーザからの操作に応じて、前記各処理それぞれの内容及び前記リストの内容の、一部又は全部を変更することを特徴とする通信システム。
(Appendix 8)
A communication system including the relay device according to any one of
A communication system characterized in that a part or all of the contents of each of the processes and the contents of the list is changed according to an operation from a user accepted by the setting terminal.
(付記9)
中継装置で用いられる中継方法であって、
前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶するステップと、
受信したフレームを前記リストと照合するステップと、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をするステップとを有し、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合することを特徴とする中継方法。
(Appendix 9)
It is a relay method used in a relay device.
A step of storing a list of frames to be processed in the first process after reception by the relay device, and a step of storing the list.
The step of collating the received frame with the list,
At the time of collation by the analysis means, if the received frame matches the frame described in the list, the received frame is subjected to the first processing, and if the received frame does not match, the received frame is subjected to the first processing. It has a step of
A plurality of the lists exist according to the day of the week and the time, and the analysis means collates the received frame with the list corresponding to the day of the week and the time during operation.
(付記10)
コンピュータを中継装置として機能させる中継用プログラムであって、
前記コンピュータを、
前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合する中継装置として機能させる中継用プログラム。
(Appendix 10)
A relay program that allows a computer to function as a relay device.
The computer
A storage means for storing a list of frames to be processed in the first process after reception by the relay device.
An analysis means that collates the received frame with the list,
At the time of collation by the analysis means, if the received frame matches the frame described in the list, the received frame is subjected to the first processing, and if the received frame does not match, the received frame is subjected to the first processing. It is equipped with a control means that performs the processing of 2.
There are a plurality of the lists according to the day of the week and the time, and the analysis means is a relay program that functions as a relay device for collating the received frame with the list corresponding to the day and time during operation.
本発明は、中継装置におけるセキュリティ対策に好適である。 The present invention is suitable for security measures in a relay device.
10 10−1 10−2 10−3 10−4 10−n 通信端末
50 設定用端末
100 200 300 セキュリティスイッチ
110 フレーム解析部
120 許可リスト生成部
130 許可リスト記憶部
140 曜日・時間管理部
150 通信制御部
210 通信量監視部
220 通信量管理部
230 通信制御部
500 ファイアウォール
700 インターネット
10 10-1 10-2 10-3 10-4 10-
Claims (14)
当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
1のPLC(Programmable Logic Controller)のみと接続する第1の接続ポートと、
1のIoT(Internet Of Things)機器のみと接続する第2の接続ポートと、
前記第1または第2の接続ポートから受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段と、
を備え、
前記リストは、前記第1または第2の接続ポートを識別する情報を含み、
前記解析手段は、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とする、
中継装置。 It ’s a relay device,
A storage means for storing a list of frames to be processed in the first process after reception by the relay device.
A first connection port that connects only to 1 PLC (Programmable Logical Controller), and
A second connection port that connects only to one IoT (Internet Of Things) device,
An analysis means for collating a frame received from the first or second connection port with the list, and
At the time of collation by the analysis means, if the received frame matches the frame described in the list, the received frame is subjected to the first processing, and if the received frame does not match, the received frame is subjected to the first processing. The control means that performs the processing of 2 and
Equipped with
The list contains information that identifies the first or second connection port.
The analysis means is further conditioned on the information that identifies the first or second connection port at the time of the collation.
Relay device.
前記解析手段は、前記受信したフレームを、所定の条件に基づいて前記複数のリストから選択した第1のリストと照合する、
請求項1に記載の中継装置。 The storage means stores a plurality of the lists and stores the list.
The analysis means collates the received frame with a first list selected from the plurality of lists based on predetermined conditions.
The relay device according to claim 1.
請求項2に記載の中継装置。 The plurality of lists exist according to the amount of communication during operation.
The relay device according to claim 2.
請求項3に記載の中継装置。 As the communication volume during the operation, the communication volume of the relay device unit is monitored.
The relay device according to claim 3.
請求項3に記載の中継装置。 As the communication volume during the operation, the communication volume for each physical port of the relay device is monitored.
The relay device according to claim 3.
前記第2の処理は、前記フレームの宛先に前記フレームを転送することを含まない、
請求項1から5のいずれかに記載の中継装置。 The first process includes transferring the frame to the destination of the frame.
The second process does not include transferring the frame to the destination of the frame.
The relay device according to any one of claims 1 to 5.
前記中継装置に接続された設定用端末と、
を備え、
前記中継装置は、
当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
1のPLCのみと接続する第1の接続ポートと、
1のIoT機器のみと接続する第2の接続ポートと、
前記第1または第2の接続ポートから受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段と、
を備え、
前記リストは、前記第1または第2の接続ポートを識別する情報を含み、
前記解析手段は、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とし、
前記設定用端末は、前記設定用端末が受け付けたユーザからの操作に応じて、前記各処理それぞれの内容及び前記リストの内容の、一部又は全部を変更する、
通信システム。 With a relay device
The setting terminal connected to the relay device and
Equipped with
The relay device is
A storage means for storing a list of frames to be processed in the first process after reception by the relay device.
A first connection port that connects to only one PLC,
A second connection port that connects only to one IoT device,
An analysis means for collating a frame received from the first or second connection port with the list, and
At the time of collation by the analysis means, if the received frame matches the frame described in the list, the received frame is subjected to the first processing, and if the received frame does not match, the received frame is subjected to the first processing. The control means that performs the processing of 2 and
Equipped with
The list contains information that identifies the first or second connection port.
The analysis means is subject to the information for identifying the first or second connection port at the time of the collation.
The setting terminal changes a part or all of the contents of each of the processes and the contents of the list according to the operation from the user accepted by the setting terminal.
Communications system.
前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶するステップと、
1のPLCのみと接続する第1の接続ポート、または1のIoT機器のみと接続する第2の接続ポートから受信したフレームを前記リストと照合するステップと、
前記照合するステップによる前記照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をするステップと、
を有し、
前記リストは、前記第1または第2の接続ポートを識別する情報を含み、
前記照合するステップでは、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とする、
中継方法。 It is a relay method used in a relay device.
A step of storing a list of frames to be processed in the first process after reception by the relay device, and a step of storing the list.
A step of collating a frame received from a first connection port connected to only one PLC or a second connection port connecting only one IoT device with the above list.
At the time of the collation by the collation step, if the received frame matches the frame described in the list, the first process is performed on the received frame, and if they do not match, the received frame is performed. And the step to do the second process,
Have,
The list contains information that identifies the first or second connection port.
The collation step is further conditioned on information identifying the first or second connection port at the time of the collation.
Relay method.
前記照合するステップは、前記受信したフレームを、所定の条件に基づいて前記複数のリストから選択した第1のリストと照合する、
請求項8に記載の中継方法。 The memorizing step stores a plurality of the lists and stores the list.
The collating step collates the received frame with a first list selected from the plurality of lists based on predetermined conditions.
The relay method according to claim 8.
請求項9に記載の中継方法。 The plurality of lists exist according to the amount of communication during operation.
The relay method according to claim 9.
請求項10に記載の中継方法。 As the communication volume during the operation, the communication volume of the relay device unit is monitored.
The relay method according to claim 10.
請求項10に記載の中継方法。 As the communication volume during the operation, the communication volume for each physical port of the relay device is monitored.
The relay method according to claim 10.
前記第2の処理は、前記フレームの宛先に前記フレームを転送することを含まない、
請求項8から12のいずれかに記載の中継方法。 The first process includes transferring the frame to the destination of the frame.
The second process does not include transferring the frame to the destination of the frame.
The relay method according to any one of claims 8 to 12.
前記コンピュータを、
前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
1のPLCのみと接続する第1の接続ポート、または1のIoT機器のみと接続する第2の接続ポートから受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段と、
を備え、
前記リストは、前記第1または第2の接続ポートを識別する情報を含み、
前記解析手段は、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とする、
中継装置として機能させる中継用プログラム。 A relay program that allows a computer to function as a relay device.
The computer
A storage means for storing a list of frames to be processed in the first process after reception by the relay device.
An analysis means for collating a frame received from a first connection port connected only to one PLC or a second connection port connected only to one IoT device with the above list.
At the time of collation by the analysis means, if the received frame matches the frame described in the list, the received frame is subjected to the first processing, and if the received frame does not match, the received frame is subjected to the first processing. The control means that performs the processing of 2 and
Equipped with
The list contains information that identifies the first or second connection port.
The analysis means is further conditioned on the information that identifies the first or second connection port at the time of the collation.
A relay program that functions as a relay device.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021151800A JP2021192554A (en) | 2016-08-24 | 2021-09-17 | Relay device, communication system, relay method, and relay program |
| JP2023036113A JP2023060297A (en) | 2016-08-24 | 2023-03-09 | Relay device, relay method, and relay program |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016163645A JP6949466B2 (en) | 2016-08-24 | 2016-08-24 | Relay device, communication system, relay method, and relay program |
| JP2021151800A JP2021192554A (en) | 2016-08-24 | 2021-09-17 | Relay device, communication system, relay method, and relay program |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016163645A Division JP6949466B2 (en) | 2016-08-24 | 2016-08-24 | Relay device, communication system, relay method, and relay program |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023036113A Division JP2023060297A (en) | 2016-08-24 | 2023-03-09 | Relay device, relay method, and relay program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2021192554A true JP2021192554A (en) | 2021-12-16 |
Family
ID=61303762
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016163645A Active JP6949466B2 (en) | 2016-08-24 | 2016-08-24 | Relay device, communication system, relay method, and relay program |
| JP2021151800A Pending JP2021192554A (en) | 2016-08-24 | 2021-09-17 | Relay device, communication system, relay method, and relay program |
| JP2023036113A Pending JP2023060297A (en) | 2016-08-24 | 2023-03-09 | Relay device, relay method, and relay program |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016163645A Active JP6949466B2 (en) | 2016-08-24 | 2016-08-24 | Relay device, communication system, relay method, and relay program |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023036113A Pending JP2023060297A (en) | 2016-08-24 | 2023-03-09 | Relay device, relay method, and relay program |
Country Status (1)
| Country | Link |
|---|---|
| JP (3) | JP6949466B2 (en) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05316115A (en) * | 1992-05-08 | 1993-11-26 | Mitsubishi Electric Corp | Computer network connector |
| JPH11338518A (en) * | 1998-05-27 | 1999-12-10 | Omron Corp | I/o device, input and output method, and control system using i/o device |
| JP2001222788A (en) * | 1999-10-29 | 2001-08-17 | Omron Corp | Sensor system |
| JP2011029900A (en) * | 2009-07-24 | 2011-02-10 | Nomura Research Institute Ltd | Network management system and communication management server |
| JP2013070183A (en) * | 2011-09-21 | 2013-04-18 | Nec Corp | Communication apparatus, controller, communication system, communication control method, and program |
| JP2014096698A (en) * | 2012-11-09 | 2014-05-22 | Omron Corp | Communication device |
| JP2015142344A (en) * | 2014-01-30 | 2015-08-03 | 日本電気株式会社 | Communication system, control device, communication node, control information setting method and program |
| WO2015174100A1 (en) * | 2014-05-14 | 2015-11-19 | 学校法人東京電機大学 | Packet transfer device, packet transfer system, and packet transfer method |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001308917A (en) * | 2000-04-20 | 2001-11-02 | Yokogawa Electric Corp | Traffic controller |
| JP2002232453A (en) * | 2001-02-02 | 2002-08-16 | Nec Corp | Device and method for internet protocol filtering |
| JP4063771B2 (en) * | 2004-01-06 | 2008-03-19 | Necアクセステクニカ株式会社 | Router |
| JP4284248B2 (en) * | 2004-08-20 | 2009-06-24 | 日本電信電話株式会社 | Application service rejection attack prevention method, system, and program |
| JP4648182B2 (en) * | 2005-12-19 | 2011-03-09 | 富士通株式会社 | Packet relay system |
| US8555373B2 (en) * | 2008-02-14 | 2013-10-08 | Rockwell Automation Technologies, Inc. | Network security module for Ethernet-receiving industrial control devices |
| US8737398B2 (en) * | 2008-12-31 | 2014-05-27 | Schneider Electric USA, Inc. | Communication module with network isolation and communication filter |
| US9755918B2 (en) * | 2011-09-16 | 2017-09-05 | Nec Corporation | Communication terminal, method of communication and communication system |
-
2016
- 2016-08-24 JP JP2016163645A patent/JP6949466B2/en active Active
-
2021
- 2021-09-17 JP JP2021151800A patent/JP2021192554A/en active Pending
-
2023
- 2023-03-09 JP JP2023036113A patent/JP2023060297A/en active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05316115A (en) * | 1992-05-08 | 1993-11-26 | Mitsubishi Electric Corp | Computer network connector |
| JPH11338518A (en) * | 1998-05-27 | 1999-12-10 | Omron Corp | I/o device, input and output method, and control system using i/o device |
| JP2001222788A (en) * | 1999-10-29 | 2001-08-17 | Omron Corp | Sensor system |
| JP2011029900A (en) * | 2009-07-24 | 2011-02-10 | Nomura Research Institute Ltd | Network management system and communication management server |
| JP2013070183A (en) * | 2011-09-21 | 2013-04-18 | Nec Corp | Communication apparatus, controller, communication system, communication control method, and program |
| JP2014096698A (en) * | 2012-11-09 | 2014-05-22 | Omron Corp | Communication device |
| JP2015142344A (en) * | 2014-01-30 | 2015-08-03 | 日本電気株式会社 | Communication system, control device, communication node, control information setting method and program |
| WO2015174100A1 (en) * | 2014-05-14 | 2015-11-19 | 学校法人東京電機大学 | Packet transfer device, packet transfer system, and packet transfer method |
Non-Patent Citations (1)
| Title |
|---|
| 待井 航 WATARU MACHII: "制御系システムのセキュリティ向上のための動的ゾーニング Dynamic Zoning of the Industrial Control Sys", 電子情報通信学会技術研究報告 VOL.114 NO.340 IEICE TECHNICAL REPORT, vol. 第114巻, JPN6022028480, 20 November 2014 (2014-11-20), JP, ISSN: 0004943227 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6949466B2 (en) | 2021-10-13 |
| JP2018032975A (en) | 2018-03-01 |
| JP2023060297A (en) | 2023-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8555373B2 (en) | Network security module for Ethernet-receiving industrial control devices | |
| US20080320582A1 (en) | Real-time industrial firewall | |
| JP2016220213A (en) | Configurable Robustness Agent in Plant Security System | |
| EP3481004A1 (en) | Communications system, communications device used in same, management device, and information terminal | |
| CN104320332A (en) | Multi-protocol industrial communication safety gateway and communication method with gateway applied | |
| CN104994065A (en) | Access control list operation system and method based on software-defined network | |
| EA004423B1 (en) | System, device and method for rapid packet filtering and processing | |
| KR20160097313A (en) | Method for operating a security gateway of a communication system for vehicles | |
| US11552800B2 (en) | Apparatus, system and method for operating a software-defined network | |
| US11196555B1 (en) | System and method for capturing, recording, monitoring, examining, filtering, processing, limiting and controlling intra-network and extra-network data communications | |
| CN110291764B (en) | Method, system and storage medium for reducing number of rules in multiple rules adopted by network firewall | |
| US8014406B2 (en) | System and method of inserting a node into a virtual ring | |
| JP6949466B2 (en) | Relay device, communication system, relay method, and relay program | |
| JP6926734B2 (en) | Route control device and route control method | |
| US9647985B2 (en) | Location-aware rate-limiting method for mitigation of denial-of-service attacks | |
| JP7028543B2 (en) | Communications system | |
| RU2580004C2 (en) | Automatic firewall | |
| CN109167774B (en) | Data message and data stream safety mutual access method on firewall | |
| EP3136679A1 (en) | Method and communication system | |
| CN107979609B (en) | Post-reaction type protection method and autonomous learning type firewall system | |
| WO2019123523A1 (en) | Communication device, communication system, communication control method, and program | |
| WO2018164036A1 (en) | Communication control method, recording medium for communication control program, and communication device | |
| JP6821311B2 (en) | Relay device, communication system, relay method and relay program | |
| JP7068514B2 (en) | Received data judgment method, communication device, and program | |
| JP5393286B2 (en) | Access control system, access control apparatus and access control method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210917 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220613 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220712 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220905 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20221213 |