JP2023060297A - Relay device, relay method, and relay program - Google Patents
Relay device, relay method, and relay program Download PDFInfo
- Publication number
- JP2023060297A JP2023060297A JP2023036113A JP2023036113A JP2023060297A JP 2023060297 A JP2023060297 A JP 2023060297A JP 2023036113 A JP2023036113 A JP 2023036113A JP 2023036113 A JP2023036113 A JP 2023036113A JP 2023060297 A JP2023060297 A JP 2023060297A
- Authority
- JP
- Japan
- Prior art keywords
- frame
- list
- permission list
- communication
- connection port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 91
- 238000004891 communication Methods 0.000 claims abstract description 147
- 238000012545 processing Methods 0.000 claims description 11
- 230000002159 abnormal effect Effects 0.000 description 16
- 238000012544 monitoring process Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 12
- 239000000284 extract Substances 0.000 description 7
- 230000000903 blocking effect Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001143 conditioned effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、データ通信におけるデータの中継をするための中継装置、通信システム、中継方法、及び中継用プログラムに関する。 The present invention relates to a relay device, a communication system, a relay method, and a relay program for relaying data in data communication.
近年、IoT(Internet of Things)に総称されるように、あらゆるものがインターネットに接続されるようになってきている。例えば、独自のプロトコルで、通信していた工場やプラントの制御ネットワークを、新たにインターネットに接続するようなことが行われている。 In recent years, as collectively referred to as IoT (Internet of Things), everything has come to be connected to the Internet. For example, original protocols are being used to newly connect the control networks of factories and plants that have been communicating with the Internet.
このようにインターネットに接続されることにより、新たな付加価値、機器管理など多様な恩恵が得られる一方、不正アクセスやDoS攻撃(Denial of Service attack)といった手段を用いた、悪意のある者からの脅威にさらされることにもなる。 By connecting to the Internet in this way, various benefits such as new added value and equipment management can be obtained. You will also be exposed to threats.
しかしながら、例えば、工場やプラントに設置されている、工作機器、センサ及びカメラといった機器のそれぞれに、悪意のある者からの脅威の対策を施すことは容易ではない。なぜならば、工作機器、センサ及びカメラ等の機器には、そもそもこのような対策を施すための機能が実装されていないことがあるからである。 However, it is not easy to take countermeasures against threats from malicious persons, for example, for machine tools, sensors, and cameras installed in factories and plants. This is because machine tools, sensors, cameras, and other devices may not be equipped with functions for taking such countermeasures in the first place.
そのため、これら機器そのものではなく、これらの機器の通信を中継する中継装置が、悪意のある者からの脅威に対応するためのセキュリティ機能を備えることが重要となる。 Therefore, it is important that the relay device that relays the communication of these devices, not the devices themselves, have a security function to deal with threats from malicious persons.
そのような中、例えば、特許文献1においては、許容された通信規制に合致するパケットのリストを予め格納し、当該リストに合致するパケットの通信を許容するネットワークスイッチが開示されている。
Under such circumstances, for example,
しかし、特許文献1に係る装置においては、特定の端末において、平常時は通信させたくないが、ある曜日のある時間にのみ通信させたいといった場合に対応できないという問題があった。更に、正規の通信フローにおいて、特定ポート向けの通信量が、通常時などと比較し増減があった場合に、正規の通信フローを遮断、或いは、迂回、帯域制御等を含む通信制御が出来ないという問題があった。
However, in the device according to
この点、例えば特許文献2においては、ユーザの操作と当該操作をした時に発生した異常との対応関係が、異常発生時の日時と共に記載されたリストが生成され、当該リストに基づいて、異常が発生する確度の高いユーザの操作を警告する発明が開示されている。しかし、特許文献2に係る発明においては、リストに記載の日時はあくまで過去の時刻であり、リストのデータは過去の実績を蓄積したものにすぎないため、現時点以降のスケジュールに応じて動作を制御するものではない。更に、現時点の日時によって参照するリストを切り替えるものでもない。
In this regard, for example, in
そこで、本発明は、運用時の曜日と時刻に応じて通信を制御することのできる中継装置を提供することを目的とする。更に、正規の通信フローにおいて、通信量が通常時と比較し増減があった場合に、正規の通信フローに対し、遮断、迂回、帯域制御、監視等の制御を実施可能な中継装置を提供することを目的とする。 SUMMARY OF THE INVENTION Accordingly, it is an object of the present invention to provide a relay device capable of controlling communication according to the day of the week and time of day of operation. Further, the present invention provides a relay device capable of performing control such as blocking, detouring, bandwidth control, monitoring, etc., for a regular communication flow when the traffic in the regular communication flow increases or decreases compared to normal times. for the purpose.
本発明の第1の観点によれば、中継装置であって、当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、1のPLC(Programmable Logic Controller)のみと接続する第1の接続ポートと、1のIoT機器のみと接続する第2の接続ポートと、前記第1または第2の接続ポートから受信したフレームを前記リストと照合する解析手段と、前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段と、を備え、前記リストは、前記第1または第2の接続ポートを識別する情報を含み、前記解析手段は、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とする、中継装置が提供される。 According to a first aspect of the present invention, the relay device comprises storage means for storing a list of frames to be subjected to first processing after reception by the relay device, and one PLC (Programmable Logic Controller). a first connection port that connects to only one IoT device; a second connection port that connects to only one IoT device; an analysis means for matching a frame received from the first or second connection port with the list; When the received frame matches a frame described in the list when collated by the analysis means, the received frame is subjected to the first process, and if not matched, the received frame is subjected to the second process. wherein the list includes information identifying the first or second connection port, and the analysis means, at the time of collation, further processes the first or second connection A repeater is provided that is contingent on information that identifies a port.
本発明の第2の観点によれば、中継装置と、前記中継装置に接続された設定用端末と、を備え、前記中継装置は、当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、1のPLCのみと接続する第1の接続ポートと、1のIoT機器のみと接続する第2の接続ポートと、前記第1または第2の接続ポートから受信したフレームを前記リストと照合する解析手段と、前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段と、を備え、前記リストは、前記第1または第2の接続ポートを識別する情報を含み、前記解析手段は、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とし、前記設定用端末は、前記設定用端末が受け付けたユーザからの操作に応じて、前記各処理それぞれの内容及び前記リストの内容の、一部又は全部を変更する、通信システムが提供される。 According to a second aspect of the present invention, a relay device and a setting terminal connected to the relay device are provided, and the relay device is subjected to a first process after reception by the relay device. Storage means for storing a list of frames, a first connection port that connects only one PLC, a second connection port that connects only one IoT device, and reception from the first or second connection port analysis means for collating the received frame with the list, and if the received frame matches a frame described in the list during collation by the analysis means, performing the first processing on the received frame, and and control means for performing a second process on the received frame if there is no match, wherein the list includes information identifying the first or second connection port, and the analysis means performs the At the time of collation, further, with the information identifying the first or second connection port as a condition, the setting terminal responds to the user's operation received by the setting terminal, and A communication system is provided for modifying some or all of the contents of the list.
本発明の第3の観点によれば、中継装置で用いられる中継方法であって、前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶するステップと、1のPLCのみと接続する第1の接続ポート、または1のIoT機器のみと接続する第2の接続ポートから受信したフレームを前記リストと照合するステップと、前記照合するステップによる前記照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をするステップと、を有し、前記リストは、前記第1または第2の接続ポートを識別する情報を含み、前記照合するステップでは、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とする、中継方法が提供される。 According to a third aspect of the present invention, there is provided a relay method used in a relay device, comprising the steps of: storing a list of frames to be subjected to a first process after reception by the relay device; or a second connection port connected to only one IoT device against the list; performing the first processing on the received frame if it matches a frame on the list, and subjecting the received frame to the second processing if it does not match; wherein the list includes information identifying the first or second connection port, and in the matching step, the matching is further conditioned on information identifying the first or second connection port; A relay method is provided.
本発明の第4の観点によれば、コンピュータを中継装置として機能させる中継用プログラムであって、前記コンピュータを、前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、1のPLCのみと接続する第1の接続ポート、または1のIoT機器のみと接続する第2の接続ポートから受信したフレームを前記リストと照合する解析手段と、前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段と、備え、前記リストは、前記第1または第2の接続ポートを識別する情報を含み、前記解析手段は、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とする、中継装置として機能させる中継用プログラムが提供される。 According to a fourth aspect of the present invention, there is provided a relay program that causes a computer to function as a relay device, wherein the computer stores a list of frames to be subjected to a first process after being received by the relay device. storage means; analysis means for collating a frame received from a first connection port that connects only one PLC or a second connection port that connects only one IoT device with the list; Sometimes, if the received frame matches a frame on the list, then subjecting the received frame to the first process, otherwise subjecting the received frame to the second process. and control means, wherein the list includes information identifying the first or second connection port, and the analysis means further includes information identifying the first or second connection port during the matching. A relay program is provided that functions as a relay device on the condition that
本発明によれば、中継時に適切な処理を行うことが可能となる。 ADVANTAGE OF THE INVENTION According to this invention, it becomes possible to perform an appropriate process at the time of a relay.
<本発明の各実施形態の概略>
まず、本発明の各実施形態の概略について説明する。
<Outline of each embodiment of the present invention>
First, an outline of each embodiment of the present invention will be described.
本発明の実施形態では、問題の無いと考えられる通信先を特定する情報をリストとし(このようなリストを、以下「許可リスト」と呼ぶ。)、この許可リストに一致するフレームについては転送を許可し、この許可リストに一致しないフレームについては破棄する方法を採用する。 In the embodiment of the present invention, a list is made of information specifying communication destinations that are considered to have no problem (such a list is hereinafter referred to as a "permission list"), and frames that match this permission list are not forwarded. A method of permitting and discarding frames that do not match this permit list is adopted.
ここで、本発明においては、複数の許可リストを用意する。例えば、曜日及び時間に応じ、各曜日の8:30~17:29用の許可リストと、各曜日の17:30~8:29用の許可リストとを用意する。これにより、曜日及び時間に応じて、通信制御の方法を切り替えるセキュリティスイッチを提供することが可能となる。 Here, in the present invention, a plurality of permission lists are prepared. For example, a permission list for each day of the week from 8:30 to 17:29 and a permission list for each day from 17:30 to 8:29 are prepared according to the day of the week and time. This makes it possible to provide a security switch that switches communication control methods according to the day of the week and time.
あるいは、通信量に応じ、通信量が正常の場合の許可リストと、通信量が異常の場合の許可リストとを用意する。これにより、通信量に異常が見られた場合に、正規の通信フローに対し遮断などの制御をすることが可能なセキュリティスイッチを提供することが可能となる。 Alternatively, depending on the amount of communication, a permission list for when the amount of communication is normal and a permission list for when the amount of communication is abnormal are prepared. As a result, it is possible to provide a security switch capable of performing control such as blocking of a normal communication flow when an abnormality is found in the traffic.
更に、本発明の実施形態では、かかる許可リストの少なくとも一部を自動的に生成する機能も提供する。 Additionally, embodiments of the present invention provide the ability to automatically generate at least a portion of such permission lists.
具体的には、中継装置に、登録期間と運用期間を設ける。そして、登録期間において中継装置に入力したフレームを許可リストに追加することにより許可リストを自動生成する。このとき、自動生成した許可リストを、ユーザの操作により、手動で追加や削除することを可能としてもよい。 Specifically, the relay device is provided with a registration period and an operation period. Then, the permission list is automatically generated by adding the frames input to the relay device during the registration period to the permission list. At this time, the automatically generated permission list may be manually added or deleted by the user's operation.
その後、登録期間から運用期間に切り替え、中継装置に入力したフレームと、登録期間で自動生成した許可リストとを比較し、一致したらならばフレームを通過させ、不一致であればフレームを破棄等する。 After that, the registration period is switched to the operation period, the frame input to the relay device is compared with the permission list automatically generated in the registration period, and if they match, the frame is passed, and if they do not match, the frame is discarded.
これにより、許可リストの自動生成及び許可リストによるセキュリティ管理を行うことができる。 As a result, it is possible to automatically generate a permission list and perform security management using the permission list.
以上が、本発明の実施形態の概略である。 The above is the outline of the embodiment of the present invention.
次に、本発明の実施形態について図面を参照して詳細に説明する。ここで、以下では、本発明の実施形態を3つ説明する。
まず、第1の実施形態は、曜日・時間毎に許可リストを生成し、運用時の曜日・時間に応じて参照する許可リストを切り替える形態である。
次に、第2の実施形態は、通信量毎に許可リストを生成し、運用時の通信量に応じて参照する許可リストを切り替える形態である。
更に、第3の実施形態は、曜日・時間・通信量毎に許可リストを生成し、運用時の曜日・時間・通信量に応じて参照する許可リストを切り替える形態である。
以下では、これら3つの実施形態について順に説明する。
Next, embodiments of the present invention will be described in detail with reference to the drawings. Here, three embodiments of the present invention will be described below.
First, in the first embodiment, a permission list is generated for each day of the week and time, and the permission list to be referenced is switched according to the day of the week and time during operation.
Next, the second embodiment is a form in which a permission list is generated for each traffic volume, and the permission list to be referred to is switched according to the traffic volume during operation.
Furthermore, the third embodiment is a form in which a permission list is generated for each day of the week, time, and traffic volume, and the permission list to be referenced is switched according to the day of the week, time, and traffic volume during operation.
These three embodiments will be described in turn below.
<第1の実施形態>
以下、本発明の第1の実施形態について図1乃至図8-2を参照しながら、詳述する。
<First embodiment>
A first embodiment of the present invention will be described in detail below with reference to FIGS. 1 to 8-2.
図1を参照すると本実施形態は、セキュリティスイッチ100、複数の通信端末10-1乃至10-n(これらをここでは、「通信端末10」とも総称する)、設定用端末50、ファイアウォール500及びインターネット700を含む。(なお、セキュリティスイッチは、本明細書において「中継装置」とも呼称する。)
Referring to FIG. 1, this embodiment includes a
ここで、セキュリティスイッチ100は、通信端末10間の通信や、通信端末10によるファイアウォール500及びインターネット700を介した通信を中継するためのセキュリティスイッチである。
Here, the
この点、本実施形態では、図示しているようにセキュリティスイッチ100とインターネット700との間にファイアウォール500を設けている。そして、このファイアウォール500に対してユーザのポリシーに従った設定を行うことにより、インターネット700からの、ウイルス等の悪意のあるデータの流入や、意図しないデータのインターネット700への流出を防止することができる。
In this regard, in this embodiment, a
しかしながら、ファイアウォール500は、インターネット700に存在する機器との間の通信において機能するが、各通信端末10間の通信については機能しない。そこで、本実施形態では、各通信端末10間での不適切な通信を防止するために、単なる中継装置ではなくセキュリティ機能を搭載したセキュリティスイッチ100を接続する。
However,
そして、セキュリティスイッチ100は、上述している許可リストを利用した処理を行うことにより、悪意のあるフレームを転送しないようにする。セキュリティスイッチ100には複数の接続用のポートが設けられ、かかるポートに各通信端末10やファイアウォール500が接続される。
Then, the
複数の通信端末10は、それぞれが通信機能を有する端末である。通信端末10は、セキュリティスイッチ100を介して他の通信端末10との間で通信を行う。かかる通信は、例えば、IP(Internet Protocol)や、TCP(Transmission Control Protocol)や、FTP(File Transfer Protocol)といった一般的なプロトコルに準拠して実行される。
なお、実際にやり取りされるデータの内容、すなわち、ペイロード部分に含まれる内容がどのような内容であるのか等については、特に制限は無い。
A plurality of
There is no particular restriction on the content of data actually exchanged, that is, what content is included in the payload portion.
また、例えば一部の通信端末10が、インターネット700に存在する端末と通信を行う機能を有していても良い。更に、通信端末10は、ユーザが直接操作するような端末で実現しても良いが、工場やプラントに設置されている、工作機器、センサ及びカメラといった機器で実現しても良い。また、工作機械を制御するPLC(Programmable Logic Controller)等の機器であっても良い。
Also, for example, some
設定用端末50は、セキュリティスイッチ100についての設定を行うための端末である。設定用端末50は、本実施形態を管理する管理者等により用いられる。設定用端末50は、セキュリティスイッチ100を設定するための専用の端末で実現しても良いが、セキュリティスイッチ100を設定するためのソフトウェア等を追加した、パーソナルコンピュータ等の汎用の端末で実現しても良い。
The setting
インターネット700は、通信端末10等が外部と通信を行うためにファイアウォール500を介してセキュリティスイッチ100に接続されている。
The
ファイアウォール500は、インターネット700との間で送受信するデータを監視し、悪意があると考えられるデータを廃棄する機能を有する。
The
ここで、図2(A)に示すように、例えば平日(月曜日から金曜日)の8:30~17:29の時間帯においては、PC10-1とサーバPC10-3との間、及びPC10-2とサーバPC10-3との間の通信のみを許可するものとする。一方で、平日(月曜日から金曜日)の17:30~8:29の時間帯においては、図2(B)に示すように、サーバPC10-3とバックアップ・サーバPC10-4との間に通信のみを許可するものとする。 Here, as shown in FIG. 2A, for example, during weekdays (Monday to Friday) from 8:30 to 17:29, between the PC 10-1 and the server PC 10-3, and between the PC 10-2 and server PC 10-3. On the other hand, during weekdays (Monday to Friday) from 17:30 to 8:29, as shown in FIG. 2B, only communication between the server PC 10-3 and the backup server PC 10-4 shall be permitted.
そこで、図3に示すように複数の許可リストを用意する。すなわち、各曜日の8:30~17:29及び17:30~8:29のそれぞれの時間帯毎に、許可リストを生成し、運用の際に参照するとする。例えば、日曜日の8:30~17:29の時間帯におけるセキュリティスイッチ100の運用のために、「日-昼」という許可リストを生成し、当該時間帯においては、「日-昼」という許可リストを参照して通信を制御する。同様に、日曜日の17:30~8:29の時間帯におけるセキュリティスイッチ100の運用のために、「日-夜」という許可リストを生成し、当該時間帯においては、「日-夜」という許可リストを参照して通信を制御する。以下同様に、月曜日から土曜日各々の、8:30~17:29及び17:30~8:29の時間帯毎に、許可リストを生成し、各許可リストが対応する時間帯に当該許可リストを参照することにより、セキュリティスイッチ100を運用する。
Therefore, a plurality of permission lists are prepared as shown in FIG. That is, it is assumed that a permission list is generated for each time slot of 8:30 to 17:29 and 17:30 to 8:29 on each day of the week and referred to during operation. For example, in order to operate the
図4に示すのは、平日(月~金)の8:30~17:29の時間帯に対応する許可リストの例である。すなわち、図3の表における、「月-昼」、「火-昼」、「水-昼」、「木-昼」、「金-昼」なる名称の許可リストの例である。 FIG. 4 shows an example of a permission list corresponding to a time slot of 8:30 to 17:29 on weekdays (Monday to Friday). That is, it is an example of the permission list named "Monday-Noon", "Tuesday-Noon", "Wednesday-Noon", "Thursday-Noon", and "Friday-Noon" in the table of FIG.
具体的には、例えば、項番1は、受信ポート1から受信したフレームのMAC-DA(宛先マックアドレス(Destination address))が“M-PC3”、MAC-SA(送信元マックアドレス(Source address))が“M-PC1”、Typeが“0x0800”(IPv4)、VIDが“0”、IP-SA(送信元IPアドレス)が“IP-PC1”、IP-DA(宛先IPアドレス)が“IP-PC3”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“3000”、L4DP(TCPヘッダ内の宛先ポート番号)が“23”のフレームを示す。
Specifically, for example,
また、図5に示すのは、平日(月~金)の17:30~8:29の時間帯に対応する許可リストの例である。すなわち、図3の表における、「月-夜」、「火-夜」、「水-夜」、「木-夜」、「金-夜」の許可リストの例である。 Also, FIG. 5 shows an example of the permission list corresponding to the time period from 17:30 to 8:29 on weekdays (Monday to Friday). That is, it is an example of the permission list of “Monday-Night”, “Tuesday-Night”, “Wednesday-Night”, “Thursday-Night”, and “Friday-Night” in the table of FIG.
具体的には、例えば、項番5は、受信ポート3から受信したフレームのMAC-DA(宛先マックアドレス)が“M-PC4”、MAC-SA(送信元マックアドレス)が“M-PC3”、Typeが“0x0800”(IPv4)、VIDが“0”、IP-SA(送信元IPアドレス)が“IP-PC3”、IP-DA(宛先IPアドレス)が“IP-PC4”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“any”、L4DP(TCPヘッダ内の宛先ポート番号)が“any”のフレームを示す。
Specifically, for example,
許可リストには、例えば、セキュリティスイッチ100を通過させるフレームのフレーム情報が設定される。具体的には、各通信端末10において利用されるプロトコルのフレームを特定するためのフレーム情報や、各通信端末10において利用される宛先や送信元を表すアドレスを含んだフレームを特定するためのフレーム情報が許可リストに含まれる。
Frame information of frames to be allowed to pass through the
なお今回、許可リストを構成する要素を、装置、レイヤ2、レイヤ3、及びレイヤ4としているが、上述したようにこれらの全てを必ず要素として含む必要はなく、その一部を組み合わせたり、他の要素を追加したりしても良い。
In this case, the device,
図6に示すのは、図4及び図5に例示した許可リストにフレームが一致した場合、及び一致しない場合の動作設定の一例を示す表である。具体的には、図6の表は、フレームが許可リストと一致したフレームは、セキュリティスイッチ100を通過させると共に、設定用端末50には通知しない。一方で、許可リストと一致しないフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知することを示す。
Shown in FIG. 6 is a table showing an example of operational settings when a frame matches and does not match the allow list illustrated in FIGS. 4 and 5 . Specifically, in the table of FIG. 6, a frame that matches the permission list is allowed to pass through the
次に、図7を参照して、第1の実施形態に係るセキュリティスイッチ100に含まれる機能ブロックについて説明する。図7を参照すると、セキュリティスイッチ100は、フレーム解析部110、許可リスト生成部120、許可リスト記憶部130、曜日・時間管理部140、通信制御部150を含む。なお、ここでは、上記のフレーム解析部110を「解析手段」、許可リスト記憶部130を「記憶手段」、通信制御部150を「制御手段」とも呼称する。
Next, functional blocks included in the
フレーム解析部110は、セキュリティスイッチ100が外部から入力フレームを受信する度に、受信した入力フレームを解析する。ここで、解析とは、受信した入力フレームから所定の情報(以下、「フレーム情報」と呼ぶ。)を抽出することである。
The
フレーム情報は、例えば、通信に用いる各プロトコルにより、記述することが定められている所定の情報である。具体例としては、受信ポートの番号、レイヤ2(MACヘッダ)情報、フレームのタイプにより、レイヤ3(IPヘッダ)情報以上の上位レイヤの必要な情報である。本実施形態では、このような汎用のプロトコルに準拠したフレーム情報を利用することにより、ペイロード部分に特殊な情報等を埋め込む等の処理を不要とすることができる。 The frame information is, for example, predetermined information defined by each protocol used for communication. Specific examples are reception port numbers, layer 2 (MAC header) information, and information required for upper layers above layer 3 (IP header) information depending on the frame type. In the present embodiment, by using frame information that complies with such a general-purpose protocol, processing such as embedding special information or the like in the payload portion can be made unnecessary.
また、本実施形態では、フレーム情報や各リストにおいて、これらの情報全てを用いるようにしても良いが、一部の情報の組み合わせを用いるようにしても良い。例えば、レイヤ2(MACヘッダ)情報のみを用いたり、レイヤ2(MACヘッダ)情報とレイヤ3(IPヘッダ)情報の組み合わせを用いたりするようにしても良い。 Further, in the present embodiment, all of the information may be used in the frame information and each list, but a combination of some of the information may be used. For example, only layer 2 (MAC header) information may be used, or a combination of layer 2 (MAC header) information and layer 3 (IP header) information may be used.
また、例えば、仮にレイヤ2(MACヘッダ)情報を用いるとするならば、全てのレイヤ2(MACヘッダ)情報を用いても良いが、その一部である、宛先アドレス(MAC-DA)や、送信元アドレス(MAC-SA)を用いるようにしても良いし、これらの組み合わせを用いるようにしても良い。 Also, for example, if layer 2 (MAC header) information is used, all layer 2 (MAC header) information may be used. A source address (MAC-SA) may be used, or a combination thereof may be used.
フレーム解析部110には、設定用端末50により「登録期間設定」と「動作設定」の2つの設定がなされる。
Two settings, “registration period setting” and “operation setting”, are made in the
ここで、本実施形態では、上述したように登録期間と運用期間の2つがあるが、登録期間設定により、登録期間と運用期間を切り換える設定が行われる。具体的には、例えば「月-昼」のリストを生成する際は、登録期間を、月曜日の8:30~17:29とする。 Here, in the present embodiment, as described above, there are two periods, namely, the registration period and the operating period, and the setting for switching between the registration period and the operating period is performed by setting the registration period. Specifically, for example, when creating a "Monday-Noon" list, the registration period is set to 8:30 to 17:29 on Monday.
また、動作設定では、受信した入力フレームのフレーム情報が、各リストと一致した場合と、各リストと一致しなかった場合とで、それぞれどのような動作を行うのかが設定される。例えば、許可リストに一致した場合には、対応するフレームを通過させるように設定できる。また、許可リストに一致しなかった場合には、対応するフレームを廃棄させるように設定できる。また、ここで、通過とは、受信した入力フレームを、フレーム解析部110を通過させて出力することにより、フレームを、フレーム内の宛先アドレスに対応する宛先に転送するということである。
Further, in the operation setting, it is set what kind of operation is to be performed when the frame information of the received input frame matches each list and when it does not match each list. For example, if it matches the allow list, it can be set to pass the corresponding frame. Also, if the frame does not match the permission list, the corresponding frame can be set to be discarded. Here, passing means that the received input frame is passed through the
また、これのみならず、各リストと一致した場合や、しなかった場合に、その旨の通知を行うか否かを設定することもできる。通知内容は、各リストと一致した旨や、一致しなかった旨のみでも良いが、フレーム情報に対応するフレームを複製して、この複製したフレームを通知に含めるようにしても良い。そして、例えば設定用端末50により仮想的な通信システムを作成し、かかる仮想的な通信システムにおいてフレームの複製を通信させることにより、悪意の有るフレームの影響を知ることができるようにしても良い。
In addition to this, it is also possible to set whether or not to notify when there is a match with each list or when there is no match. The content of the notification may be only that it matches with each list or that it does not match, but the frame corresponding to the frame information may be duplicated and the duplicated frame may be included in the notification. Then, for example, a virtual communication system may be created by the setting
通知先は、例えば、設定用端末50であっても良いが、他のサーバ装置等であっても良い。また、通知に代えて又は通知と共に、セキュリティスイッチ100内部にてフレーム情報に対応するフレームを記録するようにしても良い。本実施形態を管理する管理者等は、かかる通知の内容や、セキュリティスイッチ100に記録された内容を、ログとして参照することにより、本実施形態での通信状況を把握することができる。
The notification destination may be, for example, the setting
また、フレーム解析部110は、入力フレーム受信時、登録期間であった場合、フレーム情報を受信した入力フレームから抽出し、後述の曜日・時間管理部140から受信した、現時点での曜日・時間のデータを付与した上で、後述の許可リスト生成部120に渡す。
Further, when the input frame is received and it is during the registration period, the
更に、フレーム解析部110は、入力フレーム受信時、運用期間であった場合、フレーム情報を受信した入力フレームから抽出する。そして、抽出したフレーム情報と、許可リスト記憶部130が記憶している許可リストのうち、現時点での曜日・時間に対応する許可リストとを比較する。
Furthermore, when the input frame is received, the
比較の結果、フレーム情報が許可リストと一致したならば、対応する動作設定の設定に従い動作する。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
As a result of the comparison, if the frame information matches the allow list, it operates according to the setting of the corresponding operation setting. For example, if the setting is “pass, do not notify”, the frame is output by passing the frame through the
一方で、比較の結果、フレーム情報が許可リストと一致しないのであれば、対応する動作設定の設定に従い動作する。例えば設定が「廃棄、通知する」であれば、フレームを廃棄すると共に、廃棄したことを設定用端末50に対して通知する。
On the other hand, as a result of the comparison, if the frame information does not match the permission list, it operates according to the setting of the corresponding operation setting. For example, if the setting is "discard, notify", the frame is discarded and the setting
許可リスト生成部120は、登録期間において、フレーム解析部110からフレーム情報を受信すると動作を開始する。受信したフレーム情報から許可リスト情報を生成し、許可リスト記憶部130に許可リスト情報を記憶する。
Permission
許可リスト記憶部130は、許可リストを記憶する記憶部である。許可リスト記憶部130が記憶する許可リストは、登録期間において許可リスト生成部120により生成される。そして、許可リスト記憶部130が記憶する許可リストは、運用期間においてフレーム解析部110に参照されて利用される。
The permission
許可リストには、例えば、フレーム解析部110を通過させるフレームのフレーム情報が設定される。具体的には、各通信端末10において利用されるプロトコルのフレームを特定するためのフレーム情報や、各通信端末10において利用される宛先や送信元を表すアドレスを含んだフレームを特定するためのフレーム情報が許可リストに含まれる。
For example, frame information of frames to be allowed to pass through the
なお、許可リストは、上述したように、登録期間において、許可リスト生成部120により生成される。これに加えて、設定用端末50からの「リスト設定」にて許可リストが修正されるようにしても良い。例えば、設定用端末50を利用する管理者が許可リストの一部を削除したり、新たなフレーム情報を許可リストに追加したりできるようにしても良い。このようにすれば、例えば通信端末10を新たに追加するような場合に、再度登録期間を得なくとも、新たに追加する通信端末10に関連するフレームを通過させることが可能となる。また、他にも、例えば既存の通信端末10を一部取り外した場合に、再度登録期間を得なくとも、取り外した通信端末10に関連するフレーム情報を許可リストから削除することができる。
Note that the permission list is generated by the permission
なお今回、許可リストを構成する要素を、装置、レイヤ2、レイヤ3、及びレイヤ4としているが、上述したようにこれらの全てを必ず要素として含む必要はなく、その一部を組み合わせたり、他の要素を追加したりしても良い。
In this case, the device,
曜日・時間管理部140は、いわゆるカレンダーの役割を果たし、現時点での曜日・時間のデータを出力する。
The day-of-the-week/
通信制御部150は、必要により許可リスト記憶部130に記憶された許可リストを参照しながら、フレーム解析部110に設定された動作設定に従い、フレームを実際に処理する。
The
次に、図8-1のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。 Next, the operation of this embodiment during the registration period will be described with reference to the flowchart of FIG. 8-1.
まず、ステップS101において、これから生成しようとする許可リストの曜日・時間を登録する。例えば、「月曜日:8:30~17:29」と設定した場合は、月曜日の8:30~17:29が学習期間になると共に、月曜日の8:30~17:29における運用時に参照される許可リストが生成される。 First, in step S101, the day of the week and the time of the permission list to be generated are registered. For example, if you set "Monday: 8:30 to 17:29", the learning period will be from 8:30 to 17:29 on Monday, and it will be referenced during operation from 8:30 to 17:29 on Monday. An allow list is generated.
次に、ステップS102において、セキュリティスイッチ100は、フレーム解析部110が登録期間に設定されているか否かを判定する。ここで、登録期間に設定されているならば(S102:Yes)、ステップS103に進む。一方で、登録期間に設定されていないならば(S102:No)、すなわち、運用期間に設定されているならば、図8-2のステップS108に進む。
Next, in step S102, the
次に、ステップS103において、フレーム解析部110がフレーム解析をし、許可リスト生成部120に向けてフレーム情報を送信する。なお、この際、実際のフレームは、通信制御部150を経由して、出力フレームとして出力される。
Next, in step S<b>103 ,
次に、ステップS104において、フレーム解析部110が送信したフレーム情報に対し、曜日・時間管理部140が、現時点の曜日と時間のデータを付与する。
Next, in step S<b>104 , the day-of-week/
次に、ステップS105において、許可リスト生成部120が、現時点の曜日と時間のデータが付与されたフレーム情報を受信し、許可リスト情報を生成する。
Next, in step S105, the permission
次に、ステップS106において、許可リスト生成部120が、生成した許可リスト情報を許可リスト記憶部130に転送する。
Next, in step S<b>106 , permission
次に、ステップS107において、許可リスト記憶部130が、転送されてきた許可リスト情報を記憶する。
Next, in step S107, permission
次に、ステップS108において、セキュリティスイッチ100が、登録期間が終了したか否か判断する。登録期間が終了している場合(S108:Yes)は、図8-2のステップS109に移行する。登録期間が終了していない場合(S108:No)は、ステップS103に戻る。
Next, in step S108, the
次に、このようにして生成及び更新した許可リストを、運用期間において利用する際の動作について、図8-2を参照して説明をする。 Next, the operation when using the permission list generated and updated in this way during the operation period will be described with reference to FIG. 8-2.
まず、ステップS109において、運用期間においてセキュリティスイッチ100が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する。
First, in step S109, when the
次に、ステップS110において、曜日・時間管理部140が、フレーム解析部110に対し、現時点の曜日・時間に対応する曜日・時間範囲の選択を指示する。例えば、現時点が月曜日の12:30である場合は、「月-昼」の選択を指示する。
Next, in step S110, the day-of-the-week/
次に、ステップS111において、フレーム解析部110は、曜日・時間管理部140により選択指示された曜日・時間範囲に対応する許可リストを参照する。例えば上記の例においては、「月-昼」の許可リストを参照する。
Next, in step S<b>111 , the
次に、ステップS112において、フレーム解析部110は抽出したフレーム情報と参照した許可リストを比較し、両者が一致するか否かを判定する。
Next, in step S112, the
両者が一致した場合(S112:Yes)は、フレーム解析部110は、許可リストと一致したフレーム情報に対応するフレームに対して、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS113)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。
ただし、通知はしない。
If the two match (S112: Yes), the
However, no notification will be given.
ステップS113の処理が終了すると、ステップS109に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S113 is completed, the process returns to step S109, and the above operations are repeated for the newly received frame.
両者が一致しない場合(S112:No)は、フレーム解析部110は、許可リストと一致しなかったフレーム情報に対応するフレームに対して、許可リストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS114)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末50に対して通知する。
If the two do not match (S112: No), the
ステップS114の処理が終了すると、ステップS109に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S114 is completed, the process returns to step S109, and the above operations are repeated for the newly received frame.
上記の第1の実施形態により、特定の端末において、ある曜日のある時間のみ通信させることができるようになり、よりセキュリティを向上させることができるようになる。その理由は、曜日、時間毎に許可リスト記憶部から参照する許可リストを切り替え、フレーム解析部で、受信したフレームのデータと比較、判定するためである。 According to the first embodiment described above, it is possible to allow a specific terminal to communicate only at a certain time on a certain day of the week, thereby further improving security. The reason for this is that the permission list to be referenced from the permission list storage unit is switched for each day of the week and hour, and the frame analysis unit compares and determines with the received frame data.
なお、上記の第1の実施形態では、特定の曜日・時間の許可リストを生成する際、最初の学習期間の設定の段階で、当該特定の曜日・時間の間、学習する設定とした。そうではなく、例えば、学習期間を1週間として、いったん1週間単位での許可リストを生成し、許可リスト記憶部に対する直接操作により、当該1週間単位での許可リストを、曜日・時間単位で分割してもよい。 In the above-described first embodiment, when generating a permission list for a specific day of the week and time, learning is set during the specific day of the week and time at the stage of setting the initial learning period. Instead, for example, the learning period is set to one week, and once a permission list is generated in units of one week, and the permission list in units of one week is divided into units of days of the week and hours by directly operating the permission list storage unit. You may
<第2の実施形態>
以下、本発明の第2の実施形態について図9乃至図14-2を参照しながら、詳述する。
<Second embodiment>
The second embodiment of the present invention will be described in detail below with reference to FIGS. 9 to 14-2.
第2の実施形態は、第1の実施形態に係る図1と同様の基本的構成を有する。ただし、図示は省略するが、図1のセキュリティスイッチ100の代わりに、セキュリティスイッチ200が備わる。
The second embodiment has a basic configuration similar to that of FIG. 1 according to the first embodiment. However, although illustration is omitted, a
第1の実施形態においては、曜日・時間毎に許可リストを生成し、運用している時点での曜日・時間に応じて、参照する許可リストを切り替えていた。一方で、第2の実施形態においては、通信量に応じた許可リストを生成し、運用している時点での通信量に応じて、参照する許可リストを切り替える。 In the first embodiment, a permission list is generated for each day of the week and time, and the permission list to be referenced is switched according to the day of the week and time during operation. On the other hand, in the second embodiment, a permission list is generated according to the traffic, and the permission list to be referenced is switched according to the traffic at the time of operation.
図9に示すように、通信量正常時は、(A)に示すように、PC10-1とサーバPC10-3との間、及びPC10-2とサーバPC10-3との間の通信のみを許可するとする。一方で、(B)に示すように、通信量異常時には、一切の通信を許可しないものとする。 As shown in FIG. 9, when the communication volume is normal, only communication between the PC 10-1 and the server PC 10-3 and between the PC 10-2 and the server PC 10-3 is permitted as shown in (A). Suppose. On the other hand, as shown in (B), when the traffic is abnormal, no communication is permitted.
そこで、図10に示すように、通信量に応じて、参照する許可リストを切り替える。例えば、通信量が0Mbps~5Mbpsの通信量の際は、通信量が正常である際に用いる、「正常」という名称の許可リストを参照して通信を制御する。一方で、通信量が5Mbpsを超えた場合は、通信量が異常である際に用いる、「異常」という名称の許可リストを参照して通信を制御する。なお、ここで述べる通信量とはセキュリティスイッチ単位での通信量でもよいし、ポート単位での通信量でもよい。 Therefore, as shown in FIG. 10, the permission list to be referenced is switched according to the amount of communication. For example, when the traffic is between 0 Mbps and 5 Mbps, the communication is controlled by referring to the permission list named "Normal", which is used when the traffic is normal. On the other hand, when the traffic exceeds 5 Mbps, the communication is controlled by referring to the permission list named "abnormal", which is used when the traffic is abnormal. The amount of communication described here may be the amount of communication per security switch, or the amount of communication per port.
図11に示すのは、通信量が正常である際に参照する許可リストの例である。すなわち、図10の表における「正常」なる名称の許可リストの例である。 FIG. 11 shows an example of a permission list to be referenced when traffic is normal. That is, this is an example of the permission list named "Normal" in the table of FIG.
第1の実施形態に係る図4の表と同様に、具体的には、例えば、項番1は、受信ポート1から受信したフレームのMAC-DA(宛先マックアドレス)が“M-PC3”、MAC-SA(送信元マックアドレス)が“M-PC1”、Typeが“0x0800”(IPv4)、VIDが“0”、IP-SA(送信元IPアドレス)が“IP-PC1”、IP-DA(宛先IPアドレス)が“IP-PC3”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“3000”、L4DP(TCPヘッダ内の宛先ポート番号)が“23”のフレームを示す。
As in the table of FIG. 4 according to the first embodiment, specifically, for example,
また、図12に示すのは、通信量が異常である際に参照する許可リストの例である。すなわち、図10の表における「異常」なる名称の許可リストの例である。 Also, FIG. 12 shows an example of a permission list to be referred to when the traffic is abnormal. That is, this is an example of the permission list named "abnormal" in the table of FIG.
図12の表においては、一切のデータが登録されていない。すなわち、図12の表に占めす許可リストを参照した場合、当該許可リストと一致するフレームは存在しない。 No data is registered in the table of FIG. That is, when referring to the permission list in the table of FIG. 12, there is no frame matching the permission list.
図11及び図12に例示した許可リストにフレームが一致した場合、及び一致しない場合の動作設定例は、図6と同様である。具体的には、図11に示す許可リストに一致したフレームは、セキュリティスイッチ200を通過させるとともに、設定用端末50には通知しない。一方で、許可リストと一致しないフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。また、図12に示す許可リストを参照する場合は、許可リストに一致するフレームは存在しないため、全てのフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。
An example of operation setting when a frame matches or does not match the permission list illustrated in FIGS. 11 and 12 is the same as that in FIG. Specifically, frames matching the permission list shown in FIG. On the other hand, frames that do not match the permission list are discarded, and the setting
次に、図13を参照して、第2の実施形態に係るセキュリティスイッチ200に含まれる機能ブロックについて説明する。なお、図13においては、第1の実施形態に係るセキュリティスイッチ100と同一の構成要素については、同一の符号を用いて示す。
Next, functional blocks included in the
セキュリティスイッチ200は、曜日・時間管理部140、及び通信制御部150を含まない代わりに、通信量監視部210、通信量管理部220、及び通信制御部230を含む点で、第1の実施形態に係るセキュリティスイッチ100とは異なる。
The
通信量監視部210は、通過するデータの通信量を監視し、定期的に通信量管理部220に通信量を通知する。監視する粒度は、物理ポート単位でもよいし、装置単位でもよい。監視する通信量の範囲は、通信量管理部220の指示に従う。
The
通信量管理部220は、通信量設定手段により、学習期間における通信量期待値を設定する。設定は、ある程度の幅を持たせた設定がされる。例えば、「0Mbps以上、5Mbps以下」と設定しても良く、「5Mbps±20%」と設定しても良い。実際の通信量がこの幅の範囲内にある場合は、通信量が正常であると判断され、この幅を超えた場合は、通信量が異常であると判断される。この通信量期待値は、フレーム解析部110から許可リスト生成部120にフレーム情報を受け渡す際、フレーム情報に付与される。その後、当該通信量期待値は、許可リスト記憶部130に許可リストが記憶される際、当該許可リストの属性として、同時に記憶される。
The communication
また、通信量管理部220は、通信量監視部210から通信量を定期的に入手すると共に、許可リスト記憶部130から許可リストが対応する通信量期待値のデータを入手する。更に、定期的に通信量監視部210から入手した通信量と、許可リスト記憶部130から入手した通信量期待値データとを比較し、実際の通信量が通信量期待値の範囲外にある場合は、フレーム解析部110が参照する許可リストの選択を指示する。加えて、通信制御部230に対して帯域制御等の指示をしても良い。実際の通信量が通信量期待値の範囲内に戻った場合は、再度、フレーム解析部110が参照する許可リストの選択、及び通信制御部230に対する指示を実施する。
In addition, the communication
通信制御部230は、フレーム解析部110に設定された動作設定に従い、フレームを実際に処理する。更に、通信量管理部220からの指示に従い、帯域制御などの通信制御を行ってもよい。
The
次に、図14-1のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。 Next, the operation of this embodiment during the registration period will be described with reference to the flowchart of FIG. 14-1.
まず、ステップS201において、セキュリティスイッチ200は、フレーム解析部110が登録期間に設定されているか否かを判定する。ここで、登録期間に設定されているならば(S201:Yes)、ステップS202に進む。一方で、登録期間に設定されていないならば(S201:No)、すなわち、運用期間に設定されているならば、図14-2のステップS209に進む。
First, in step S201, the
次に、ステップS202において、フレーム解析部110がフレーム解析をし、許可リスト生成部120に向けてフレーム情報を送信する。なお、この際、実際のフレームは、通信量監視部210及び通信制御部230を経由して、出力フレームとして出力される。
Next, in step S<b>202 ,
次に、ステップS203において、フレーム解析部110が送信したフレーム情報に対し、通信量管理部220が、通信量期待値のデータを付与する。例えば、通信量0Mbps~5Mbpsを通信量正常の範囲内とする場合は、「0Mbps~5Mbps」なるデータを付与する。
Next, in step S<b>203 , the
次に、ステップS204において、許可リスト生成部120が、通信量期待値が付与されたフレーム情報を受信し、実際の通信量が通信量期待値の範囲内である場合の許可リスト情報を生成する。
Next, in step S204, the permission
次に、ステップS205において、許可リスト生成部120が、生成した許可リスト情報を許可リスト記憶部130に転送する。
Next, in step S<b>205 , permission
次に、ステップS206において、許可リスト記憶部130が、転送されてきた許可リスト情報を記憶する。
Next, in step S206, permission
次に、ステップS207において、セキュリティスイッチ100が、登録期間が終了したか否か判断する。登録期間が終了している場合(S207:Yes)は、ステップS208に移行する。登録期間が終了していない場合(S207:No)は、ステップS202に戻る。
Next, in step S207, the
次に、ステップS208において、利用者が許可リスト記憶部130に対して直接操作することにより、通信量が通信量期待値の範囲外だった場合の許可リスト、例えば図12の許可リストを生成する。なお、例えば、通信量が通信量期待値の範囲外だった場合の許可リストを、図12のような空リストとすることが事前に定まっているような場合は、利用者の操作を介することなく、許可リスト生成部120が、自動的に、通信量が通信量期待値の範囲外だった場合の許可リストを生成しても良い。
Next, in step S208, the user directly operates the permission
このようにして生成及び更新した許可リストを、運用期間において利用する際の動作について、図14-2を参照して説明をする。 The operation when using the permission list generated and updated in this manner during the operation period will be described with reference to FIG. 14-2.
まず、ステップS209において、運用期間においてセキュリティスイッチ100が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する。
First, in step S209, when the
次に、ステップS210において、通信量監視部210が、現時点の通信量を通信量管理部220に送信する。
Next, in step S<b>210 , the
次に、ステップS211において、通信量管理部220が、現時点の通信量と、許可リスト記憶部130に記憶された許可リストの属性となっている通信量期待値の範囲とを比較し、フレーム解析部110に対し、現時点の通信量に対応する通信量期待値範囲の選択を指示する。例えば現時点での通信量が2Mbpsの場合は、図10の表の項番1である「通信量正常」の選択を指示し、現時点の通信量が10Mbpsの場合は、図10の表の項番2である「通信量異常」の選択を指示する。
Next, in step S211, the communication
次に、ステップS212において、フレーム解析部110が、ステップS211において、通信量管理部220により選択を指示された通信量範囲に対応する許可リストを参照する。
Next, in step S212, the
次に、ステップS213において、フレーム解析部110は抽出したフレーム情報と参照した許可リストとを比較し、両者が一致するか否かを判定する。
Next, in step S213,
両者が一致した場合(S213:Yes)は、フレーム解析部110は、許可リストと一致したフレーム情報に対応するフレームに対して、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS214)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。
ただし、通知はしない。
If both match (S213: Yes), the
However, no notification will be given.
ステップS214の処理が終了すると、ステップS209に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S214 is completed, the process returns to step S209, and the above operations are repeated for the newly received frame.
両者が一致しない場合(S213:No)は、フレーム解析部110は、許可リストと一致しなかったフレーム情報に対応するフレームに対して、許可リストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS215)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末50に対して通知する。
If the two do not match (S213: No), the
ステップS215の処理が終了すると、ステップS209に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S215 is completed, the process returns to step S209, and the above operations are repeated for the newly received frame.
上記の第2の実施形態により、正規の通信フローの通信量が、通常時と比較して、一定の範囲を超えた場合に通信制御(遮断、迂回、帯域制御など)することができるようになる。その理由は、通信量監視部210により監視される通信量と正常時の通信量期待値とを通信量管理部220で比較し、範囲外であれば、通信制御部230で通信制御するためである。
According to the above-described second embodiment, communication control (blocking, detouring, bandwidth control, etc.) can be performed when the traffic of the regular communication flow exceeds a certain range compared to normal times. Become. The reason for this is that the communication amount monitored by the communication
なお、上記の説明では、通信量が正常の場合と異常の場合の2通りの許可リストのみ例示しているが、本実施形態はこれには限定されず、通信量に応じて3通り以上の許可リストを生成・参照しても良い。 In the above description, only two types of permission lists are shown for normal traffic and abnormal traffic, but the present embodiment is not limited to this. You may generate and refer to the permission list.
<第3の実施形態>
以下、本発明の第3の実施形態について図15乃至図21-2を参照しながら、詳述する。
<Third Embodiment>
The third embodiment of the present invention will be described in detail below with reference to FIGS. 15 to 21-2.
第3の実施形態は、第1の実施形態に係る図1と同様の基本的構成を有する。ただし、図示は省略するが、図1のセキュリティスイッチ100の代わりに、セキュリティスイッチ300が備わる。
The third embodiment has a basic configuration similar to that of FIG. 1 according to the first embodiment. However, although illustration is omitted, a
第1の実施形態においては、曜日・時間毎に許可リストを生成し、運用している時点での曜日・時間に応じて、参照する許可リストを切り替えていた。また、第2の実施形態においては、通信量に応じた許可リストを生成し、運用している時点での通信量に応じて、参照する許可リストを切り替えていた。第3の実施形態は、これらの複合、すなわち、曜日・時間・通信量に応じた許可リストを生成し、運用している時点での曜日・時間・通信量に応じて、参照する許可リストを切り替える。 In the first embodiment, a permission list is generated for each day of the week and time, and the permission list to be referenced is switched according to the day of the week and time during operation. Further, in the second embodiment, a permission list is generated according to the amount of communication, and the permission list to be referred to is switched according to the amount of communication at the time of operation. In the third embodiment, a combination of these, that is, a permission list is generated according to the day of the week, time, and traffic volume, and the permission list to be referenced is generated according to the day of the week, time, and traffic volume at the time of operation. switch.
図15(A)に示すように、例えば、平日(月曜日から金曜日)の8:30~17:29の時間帯において通信量が正常である場合は、PC10-1とサーバPC10-3との間、及びPC10-2とサーバPC10-3との間の通信のみを許可するものとする。また、平日(月曜日から金曜日)の17:30~8:29の時間帯において通信量が正常である場合は、図15(B)に示すように、サーバPC10-3とバックアップ・サーバPC10-4との間に通信のみを許可するものとする。更に、平日(月曜日から金曜日)において通信量が異常である場合は、図15(C)に示すように、一切の通信を許可しないものとする。 As shown in FIG. 15A, for example, when the communication traffic is normal during the hours of 8:30 to 17:29 on weekdays (Monday to Friday), , and only communication between the PC 10-2 and the server PC 10-3. In addition, when the traffic is normal during the time period from 17:30 to 8:29 on weekdays (Monday to Friday), as shown in FIG. shall only allow communication between Furthermore, when the amount of communication is abnormal on weekdays (Monday to Friday), no communication is allowed as shown in FIG. 15(C).
そこで、図16に示すように複数の許可リストを用意する。すなわち、各曜日の8:30~17:29及び17:30~8:29のそれぞれの時間帯毎に、通信量が正常の場合と異常の場合の許可リストを生成し、運用の際に参照するとする。例えば、日曜日の8:30~17:29の時間帯において通信量が正常である場合におけるセキュリティスイッチ300の運用のために、「日-昼-正常」という許可リストを生成し、当該時間帯での運用時においては、「日-昼-正常」という許可リストを参照して通信を制御する。また、日曜日の8:30~17:29の時間帯において通信量が異常である場合におけるセキュリティスイッチ300の運用のために、「日-昼-異常」という許可リストを生成し、当該時間帯においては、「日-昼-異常」という許可リストを参照して通信を制御する。
同様に、日曜日の17:30~8:29の時間帯において通信量が正常である場合におけるセキュリティスイッチ100の運用のために、「日-夜-正常」という許可リストを生成し、当該時間帯での運用時においては、「日-夜-正常」という許可リストを参照して通信を制御する。また、日曜日の17:30~8:29の時間帯において通信量が異常である場合におけるセキュリティスイッチ100の運用のために、「日-夜-異常」という許可リストを生成し、当該時間帯での運用時においては、「日-夜-異常」という許可リストを参照して通信を制御する。以下同様に、月曜日から土曜日各々の、8:30~17:29及び17:30~8:29の時間帯毎に、通信量が正常である場合と異常である場合の許可リストを生成し、各許可リストが対応する時間帯に当該許可リストを参照することにより、セキュリティスイッチ100を運用する。
Therefore, a plurality of permission lists are prepared as shown in FIG. That is, for each time period from 8:30 to 17:29 and from 17:30 to 8:29 on each day of the week, an authorization list is generated for normal and abnormal communication traffic, and referred to during operation. Suppose. For example, in order to operate the
Similarly, for the operation of the
図17に示すのは、平日(月曜日から金曜日)の8:30~17:29の時間帯において通信量が正常の場合に対応する許可リストの例である。すなわち、図16の表における、「月-昼-正常」、「火-昼-正常」、「水-昼-正常」、「木-昼-正常」、「金-昼-正常」なる名称の許可リストの例である。 FIG. 17 shows an example of a permission list corresponding to a case where traffic is normal during the hours of 8:30 to 17:29 on weekdays (Monday to Friday). That is, the names of “Monday-Noon-Normal”, “Tuesday-Noon-Normal”, “Wednesday-Noon-Normal”, “Thursday-Noon-Normal”, and “Friday-Noon-Normal” in the table of FIG. This is an example of an allow list.
具体的には、例えば、項番1は、受信ポート1から受信したフレームのMAC-DA(宛先マックアドレス)が“M-PC3”、MAC-SA(送信元マックアドレス)が“M-PC1”、Typeが“0x0800”(IPv4)、VIDが“0”、IP-SA(送信元IPアドレス)が“IP-PC1”、IP-DA(宛先IPアドレス)が“IP-PC3”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“3000”、L4DP(TCPヘッダ内の宛先ポート番号)が“23”のフレームを示す。
Specifically, for example,
また、図18に示すのは、平日(月曜日から金曜日)の17:30~8:29の時間帯において通信量が正常である場合に対応する許可リストの例である。すなわち、図3の表における、「月-夜-正常」、「火-夜-正常」、「水-夜-正常」、「木-夜-正常」、「金-夜-正常」の許可リストの例である。 Also, FIG. 18 shows an example of a permission list corresponding to a case where the communication traffic is normal during the time period from 17:30 to 8:29 on weekdays (Monday to Friday). That is, in the table of FIG. 3, the permission list of "Monday-Night-Normal", "Tuesday-Night-Normal", "Wednesday-Night-Normal", "Thursday-Night-Normal", and "Friday-Night-Normal" is an example of
具体的には、例えば、項番5は、受信ポート3から受信したフレームのMAC-DA(宛先マックアドレス)が“M-PC4”、MAC-SA(送信元マックアドレス)が“M-PC3”、Typeが“0x0800”(IPv4)、VIDが“0”、IP-SA(送信元IPアドレス)が“IP-PC3”、IP-DA(宛先IPアドレス)が“IP-PC4”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“any”、L4DP(TCPヘッダ内の宛先ポート番号)が“any”のフレームを示す。
Specifically, for example,
また、図19に示すのは、通信量が異常である際に参照する許可リストの例である。すなわち、図16の表における「月-昼-異常」、「月-夜-異常」、「火-昼-異常」、「火-夜-異常」、「水-昼-異常」、「水-夜-異常」、「木-昼-異常」、「木-夜-異常」、「金-昼-異常」、「金-夜-異常」なる名称の許可リストの例である。 Also, FIG. 19 shows an example of a permission list to be referred to when the traffic is abnormal. That is, “Monday-day-abnormal”, “Monday-night-abnormal”, “Tuesday-day-abnormal”, “Tuesday-night-abnormal”, “Wednesday-day-abnormal”, and “Water-day-abnormal” in the table of FIG. Examples of permission lists named "Night-Abnormal", "Thurs-Day-Abnormal", "Thurs-Night-Abnormal", "Fri-Day-Abnormal", "Fri-Night-Abnormal".
図19の表においては、一切のデータが登録されていない。すなわち、図19の表に示す許可リストを参照した場合、当該許可リストと合致するフレームは存在しない。 No data is registered in the table of FIG. That is, when referring to the permission list shown in the table of FIG. 19, there is no frame matching the permission list.
図17乃至図19に例示した許可リストにフレームが一致した場合、及び一致しない場合の動作設定例は、図6と同様である。具体的には、図17及び図18に示す許可リストに一致したフレームは、セキュリティスイッチ300を通過させるとともに、設定用端末50には通知しない。一方で、許可リストと一致しないフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。また、図19に示す許可リストを参照する場合は、許可リストに一致するフレームは存在しないため、全てのフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。
An example of operation setting when a frame matches or does not match the permission list illustrated in FIGS. 17 to 19 is the same as that in FIG. Specifically, frames that match the permission list shown in FIGS. 17 and 18 are allowed to pass through the
次に、図20を参照して、第3の実施形態に係るセキュリティスイッチ300に含まれる機能ブロックについて説明する。なお、図20においては、第1の実施形態に係るセキュリティスイッチ100、及び第2の実施形態に係るセキュリティスイッチ200と同一の構成要素については、同一の符号を用いて示す。
Next, functional blocks included in the
セキュリティスイッチ300は、第1の実施形態に係るセキュリティスイッチ100と第2の実施形態に係るセキュリティスイッチ200とが共に有する、フレーム解析部110、許可リスト生成部120、及び許可リスト記憶部130を含む。また、セキュリティスイッチ300は、第1の実施形態に係るセキュリティスイッチ100が有する、曜日・時間管理部140を含む。更に、セキュリティスイッチ300は、第2の実施形態に係るセキュリティスイッチ200が有する、通信量監視部210、通信量管理部220、及び通信制御部230を含む。
The
セキュリティスイッチ300の各ブロックの動作のうち、セキュリティスイッチ100及びセキュリティスイッチ200が含む、対応するブロックの動作と異なる点は、以下の通りである。
Among the operations of each block of the
フレーム解析部110は、入力フレーム受信時、登録期間であった場合、受信した入力フレームからフレーム情報を抽出し、通信量管理部220から受信した通信量期待値、及び、曜日・時間管理部140から受信した現時点での曜日・時間のデータを付与した上で、後述の許可リスト生成部120に渡す。
When the
また、フレーム解析部110は、入力フレーム受信時、運用期間であった場合、受信した入力フレームからフレーム情報を抽出する。そして、抽出したフレーム情報と、許可リスト記憶部130が記憶している許可リストのうち、現時点での曜日・時間・通信量に対応する許可リストとを比較する。
Also, when the input frame is received, the
更に、通信量監視部210が監視する通信量の粒度は、物理ポート単位でもよく、装置単位でもよく、各許可リストが対応する曜日・時間範囲単位でもよい。
Further, the granularity of the communication traffic monitored by the
次に、図21-1のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。 Next, the operation of this embodiment during the registration period will be described with reference to the flowchart of FIG. 21-1.
まず、ステップS301において、これから生成しようとする許可リストの曜日・時間を登録する。例えば、「月曜日:8:30~17:29」と設定した場合は、月曜日の8:30~17:29が学習期間になると共に、月曜日の8:30~17:29における運用時に参照される許可リストが生成される。 First, in step S301, the day of the week and the time of the permission list to be generated are registered. For example, if you set "Monday: 8:30 to 17:29", the learning period will be from 8:30 to 17:29 on Monday, and it will be referenced during operation from 8:30 to 17:29 on Monday. An allow list is generated.
次に、ステップS302において、セキュリティスイッチ300は、フレーム解析部110が登録期間に設定されているか否かを判定する。ここで、登録期間に設定されているならば(S302:Yes)、ステップS303に進む。一方で、登録期間に設定されていないならば(S302:No)、すなわち、運用期間に設定されているならば、図21-2のステップS311に進む。
Next, in step S302, the
次に、ステップS303において、フレーム解析部110がフレーム解析をし、許可リスト生成部120に向けてフレーム情報を送信する。なお、この際、実際のフレームは、通信量監視部210及び通信制御部230を経由して、出力フレームとして出力される。
Next, in step S<b>303 ,
次に、ステップS304において、フレーム解析部110が送信したフレーム情報に対し、通信量管理部220が、通信量期待値のデータを付与する。例えば、通信量0Mbps~5Mbpsを通信量正常の範囲内とする場合は、「0Mbps~5Mbps」なるデータを付与する。
Next, in step S<b>304 , the
次に、ステップS305において、通信量期待値が付与されたフレーム情報に対し、曜日・時間管理部140が、更に、現時点の曜日と時間のデータを付与する。
Next, in step S305, the day-of-week/
次に、ステップS306において、許可リスト生成部120が、現時点の曜日と時間のデータ、及び通信量期待値のデータが付与されたフレーム情報を受信し、許可リスト情報を生成する。
Next, in step S306, the permission
次に、ステップS307において、許可リスト生成部120が、生成した許可リストを許可リスト記憶部130に転送する。
Next, in step S<b>307 , permission
次に、ステップS308において、許可リスト記憶部130が、転送されてきた許可リストを記憶する。
Next, in step S308, permission
次に、ステップS309において、セキュリティスイッチ100が、登録期間が終了したか否か判断する。登録期間が終了している場合(S309:Yes)は、ステップS310に移行する。登録期間が終了していない場合(S309:No)は、ステップS303に戻る。
Next, in step S309, the
次に、ステップS310において、利用者が許可リスト記憶部130に対して直接操作することにより、通信量が通信量期待値の範囲外だった場合の許可リスト、例えば図19の許可リストを生成する。なお、例えば、通信量が通信量期待値の範囲外だった場合の許可リストを、図19のような空リストとすることが事前に定まっているような場合は、利用者の操作を介することなく、許可リスト生成部120が、自動的に、通信量が通信量期待値の範囲外だった場合の許可リストを生成しても良い。
Next, in step S310, the user directly operates the permission
このようにして生成及び更新した許可リストを、運用期間において利用する際の動作について、図21-2を参照して説明をする。 The operation of using the permission list generated and updated in this manner during the operation period will be described with reference to FIG. 21-2.
まず、ステップS311において、運用期間中にセキュリティスイッチ300が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する。
First, in step S311, when the
次に、ステップS312において、通信量監視部210が、現時点の通信量を通信量管理部220に送信する。
Next, in step S<b>312 , the
次に、ステップS313において、通信量管理部220が、現時点の通信量と、許可リスト記憶部130に記憶された許可リストの属性となっている通信量期待値の範囲とを比較し、フレーム解析部110に対し、現時点の通信量に対応する通信量期待値範囲の選択を指示する。例えば現時点での通信量が2Mbpsの場合は、「通信量正常」の選択を指示し、現時点の通信量が10Mbpsの場合は、「通信量異常」の選択を指示する。
Next, in step S313, the
次に、ステップS314において、曜日・時間管理部140が、フレーム解析部110に対し、現時点の曜日・時間に対応する曜日・時間範囲の選択を指示する。例えば現時点が月曜日の12:30である場合は、「月-昼」の選択を指示する。
Next, in step S314, the day-of-the-week/
次に、ステップS315において、フレーム解析部110が、ステップS313において、通信量管理部220により選択指示された通信量範囲、及びステップS314において、曜日・時間管理部140により選択指示された曜日・時間範囲に対応する許可リストを参照する。例えば、ステップS313において「通信量正常」を選択し、ステップS314において「月-昼」を選択した場合は、「月-昼-正常」の許可リストを参照する。
Next, in step S315, the
次に、ステップS316において、フレーム解析部110は抽出したフレーム情報と参照した許可リストとを比較し、両者が一致するか否かを判定する。
Next, in step S316,
両者が一致した場合(S316:Yes)は、フレーム解析部110は、許可リストと一致したフレーム情報に対応するフレームに対して、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS317)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。
ただし、通知はしない。
If both match (S316: Yes), the
However, no notification will be given.
ステップS317の処理が終了すると、ステップS311に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S317 is completed, the process returns to step S311, and the above operations are repeated for the newly received frame.
両者が一致しない場合(S316:No)は、フレーム解析部110は、許可リストと一致しなかったフレーム情報に対応するフレームに対して、許可リストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS318)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末50に対して通知する。
If the two do not match (S316: No), the
ステップS318の処理が終了すると、ステップS311に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。 When the process of step S318 is completed, the process returns to step S311, and the above operations are repeated for the newly received frame.
上記の第3の実施形態により、特定の端末において、ある曜日のある時間のみ通信させることができるようになり、よりセキュリティを向上させることができるようになる。その理由は、曜日、時間毎に許可リスト記憶部から参照する許可リストを切り替え、フレーム解析部で、受信したフレームのデータと比較、判定するためである。更に、正規の通信フローの通信量が、通常時と比較して、一定の範囲を超えた場合に通信制御(遮断、迂回、帯域制御など)することができるようになる。その理由は、通信量監視部210により監視される通信量と通常時の通信量を通信量管理部220で比較し、範囲外であれば、通信制御部230で、通信制御するためである。
According to the above-described third embodiment, it is possible to allow a specific terminal to communicate only at a certain time on a certain day of the week, thereby further improving security. The reason for this is that the permission list to be referenced from the permission list storage unit is switched for each day of the week and hour, and the frame analysis unit compares and determines with the received frame data. Furthermore, communication control (blocking, detouring, bandwidth control, etc.) can be performed when the communication volume of the regular communication flow exceeds a certain range compared to normal times. The reason for this is that the
なお、上記の第3の実施形態では、特定の曜日・時間の許可リストを生成する際、最初の学習期間の設定の段階で、当該特定の曜日・時間の間、学習する設定とした。そうではなく、例えば、学習期間を1週間として、いったん1週間単位での許可リストを生成し、許可リスト記憶部に対する直接操作により、当該1週間単位での許可リストを、曜日・時間単位で分割してもよい。 In the above-described third embodiment, when generating a permission list for a specific day of the week and time, learning is set during the specific day of the week and time at the stage of setting the initial learning period. Instead, for example, the learning period is set to one week, and once a permission list is generated in units of one week, and the permission list in units of one week is divided into units of days of the week and hours by directly operating the permission list storage unit. You may
上記のセキュリティスイッチ、通信端末及び設定用端末のそれぞれは、ハードウェア、ソフトウェア又はこれらの組み合わせによりそれぞれ実現することができる。また、上記のセキュリティスイッチ、通信端末及び設定用端末により行なわれる中継方法も、ハードウェア、ソフトウェア又はこれらの組み合わせにより実現することができる。ここで、ソフトウェアによって実現されるとは、コンピュータがプログラムを読み込んで実行することにより実現されることを意味する。 Each of the security switch, communication terminal, and setting terminal described above can be realized by hardware, software, or a combination thereof. Also, the relay method performed by the security switch, communication terminal, and setting terminal can be realized by hardware, software, or a combination thereof. Here, "implemented by software" means implemented by a computer reading and executing a program.
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。 The program can be stored and delivered to the computer using various types of non-transitory computer readable media. Non-transitory computer-readable media include various types of tangible storage media. Examples of non-transitory computer-readable media include magnetic recording media (e.g., flexible discs, magnetic tapes, hard disk drives), magneto-optical recording media (e.g., magneto-optical discs), CD-ROMs (Read Only Memory), CD- R, CD-R/W, semiconductor memory (eg, mask ROM, PROM (Programmable ROM), EPROM (Erasable PROM), flash ROM, RAM (random access memory)).
また、上述した実施形態は、本発明の好適な実施形態ではあるが、上記実施形態のみに本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。 In addition, although the above-described embodiments are preferred embodiments of the present invention, the scope of the present invention is not limited to only the above-described embodiments, and various changes have been made without departing from the gist of the present invention. Any form of implementation is possible.
例えば、以下のように各実施形態を変形することが可能である。 For example, it is possible to modify each embodiment as follows.
上述の各実施形態では、セキュリティスイッチがインターネットに接続していたが、必ずしもインターネットに接続する必要はない。インターネットに接続していない場合であっても、例えば、悪意を持っているユーザが社内ネットワークに不正な端末を接続したような場合に発生する悪意のあるフレームを検出することができる。 Although the security switch is connected to the Internet in each of the above-described embodiments, it does not necessarily have to be connected to the Internet. Malicious frames generated when, for example, a malicious user connects an unauthorized terminal to the company network can be detected even when not connected to the Internet.
上述の各実施形態では、登録期間となってから所定時間経過後に運用期間となり、動作を継続していた。この場合に、運用期間から再度登録期間に遷移し、遷移後所定時間が経過したならば、再度運用期間に遷移するようにしても良い。つまり、再登録を行うことにより、許可リストを更新するようにしても良い。 In each of the above-described embodiments, the operating period starts after a predetermined period of time has passed since the registration period started, and the operation continues. In this case, the operation period may be changed to the registration period again, and after a predetermined time has elapsed after the transition, the operation period may be changed again. In other words, the permission list may be updated by performing re-registration.
例えば、運用期間遷移後に、新たに通信端末を追加した場合に、再登録を行うことにより、かかる追加した通信端末に関するフレームを許可リストに追加するようにしても良い。この場合に、許可リストをまっさらな状態として、ゼロから許可リストを作りなおしても良いし、既存の許可リストに新たにフレーム情報を追加するようにしても良い。 For example, when a new communication terminal is added after the operating period transitions, the frames related to the added communication terminal may be added to the permission list by performing re-registration. In this case, the permission list may be left blank and recreated from scratch, or new frame information may be added to the existing permission list.
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。 Some or all of the above-described embodiments can also be described in the following supplementary remarks, but are not limited to the following.
(付記1)
中継装置であって、
当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合することを特徴とする中継装置。
(Appendix 1)
A relay device,
storage means for storing a list of frames to be subjected to the first process after being received by the relay device;
analysis means for matching received frames against said list;
When the received frame matches a frame described in the list when collated by the analyzing means, the first process is performed on the received frame, and if the received frame does not match, the received frame is subjected to the first process. and a control means for performing the process of 2,
A relay device, wherein a plurality of said lists exist according to the day of the week and the time, and the analyzing means compares the received frame with the list corresponding to the day of the week and the time of operation.
(付記2)
付記1に記載の中継装置であって、
前記リストは、前記曜日及び前記時間に加え、運用時の通信量に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日、時間、及び通信量に対応したリストとを照合することを特徴とする中継装置。
(Appendix 2)
The relay device according to
In addition to the day of the week and the time, a plurality of the lists exist according to the traffic during operation, and the analyzing means stores the received frame and the list corresponding to the day of the week, time, and traffic during operation. A relay device characterized by collation.
(付記3)
中継装置であって、
当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは、運用時の通信量に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の通信量に対応したリストとを照合することを特徴とする中継装置。
(Appendix 3)
A relay device,
storage means for storing a list of frames to be subjected to the first process after being received by the relay device;
analysis means for matching received frames against said list;
When the received frame matches a frame described in the list when collated by the analyzing means, the first process is performed on the received frame, and if the received frame does not match, the received frame is subjected to the first process. and a control means for performing the process of 2,
A relay device, wherein a plurality of said lists exist according to traffic during operation, and said analyzing means compares said received frame with a list corresponding to said traffic during operation.
(付記4)
付記1乃至3のいずれか1に記載の中継装置であって、
前記第1の処理は、前記フレームの宛先に前記フレームを転送することを含み、前記第2の処理は、前記フレームの宛先に前記フレームを転送することを含まないことを特徴とする中継装置。
(Appendix 4)
The relay device according to any one of
The relay device, wherein the first processing includes forwarding the frame to the destination of the frame, and the second processing does not include forwarding the frame to the destination of the frame.
(付記5)
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、当該中継装置単位の通信量が監視されることを特徴とする中継装置。
(Appendix 5)
The relay device according to any one of
A relay apparatus characterized in that, as the communication amount during operation, a communication amount for each relay apparatus is monitored.
(付記6)
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、当該中継装置の物理ポート単位の通信量が監視されることを特徴とする中継装置。
(Appendix 6)
The relay device according to any one of
A relay device characterized in that, as the communication traffic during operation, a communication traffic per physical port of the relay device is monitored.
(付記7)
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、前記曜日及び前記時間単位の通信量が監視されることを特徴とする中継装置。
(Appendix 7)
The relay device according to any one of
A relay device characterized in that, as the communication traffic during operation, the communication traffic on the day of the week and on the hour unit basis is monitored.
(付記8)
付記1乃至7の何れか1に記載の中継装置と、前記中継装置に接続された設定用端末とを備えた通信システムであって、
前記設定用端末が受け付けたユーザからの操作に応じて、前記各処理それぞれの内容及び前記リストの内容の、一部又は全部を変更することを特徴とする通信システム。
(Appendix 8)
A communication system comprising the relay device according to any one of
A communication system characterized in that part or all of the contents of each of the processes and the contents of the list are changed according to an operation from a user accepted by the setting terminal.
(付記9)
中継装置で用いられる中継方法であって、
前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶するステップと、
受信したフレームを前記リストと照合するステップと、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をするステップとを有し、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合することを特徴とする中継方法。
(Appendix 9)
A relay method used in a relay device,
storing a list of frames to be subjected to a first process after reception by the relay device;
matching received frames against the list;
When the received frame matches a frame described in the list when collated by the analyzing means, the first process is performed on the received frame, and if the received frame does not match, the received frame is subjected to the first process. and a step of
A relay method, wherein a plurality of said lists exist according to the day of the week and the time, and the analyzing means compares the received frame with a list corresponding to the day of the week and the time of operation.
(付記10)
コンピュータを中継装置として機能させる中継用プログラムであって、
前記コンピュータを、
前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合する中継装置として機能させる中継用プログラム。
(Appendix 10)
A relay program that causes a computer to function as a relay device,
said computer,
storage means for storing a list of frames to be subjected to a first process after being received by the relay device;
analysis means for matching received frames against said list;
When the received frame matches a frame described in the list when collated by the analyzing means, the first process is performed on the received frame, and if the received frame does not match, the received frame is subjected to the first process. and a control means for performing the process of 2,
A relay program in which a plurality of said lists exist according to the day of the week and the time, and the analysis means functions as a relay device for matching the received frame with the list corresponding to the day of the week and time during operation.
本発明は、中継装置におけるセキュリティ対策に好適である。 INDUSTRIAL APPLICABILITY The present invention is suitable for security measures in relay devices.
10 10-1 10-2 10-3 10-4 10-n 通信端末
50 設定用端末
100 200 300 セキュリティスイッチ
110 フレーム解析部
120 許可リスト生成部
130 許可リスト記憶部
140 曜日・時間管理部
150 通信制御部
210 通信量監視部
220 通信量管理部
230 通信制御部
500 ファイアウォール
700 インターネット
10 10-1 10-2 10-3 10-4 10-
Claims (11)
1のPLC(Programmable Logic Controller)のみと接続する第1の接続ポートと、
1のIoT(Internet Of Things)機器のみと接続する第2の接続ポートと、
第1の処理の対象となるフレームの、前記第1または前記第2の接続ポートを識別する情報を含む、第1のリストを記憶する記憶手段と、
前記PLCと前記IoT機器との間の通信を中継する中継手段と、
前記第1または第2の接続ポートから受信したフレームを、前記第1または前記第2の接続ポートを識別する情報を用いて、前記第1のリストと照合する照合手段と、
前記照合の結果、前記受信したフレームが前記第1のリストと合致した場合は、前記第1の処理をし、合致しなかった場合は、管理者に通知する制御手段と、
を備える
中継装置。 A relay device,
a first connection port that connects only to one PLC (Programmable Logic Controller);
a second connection port that connects only to one IoT (Internet Of Things) device;
storage means for storing a first list including information identifying the first or second connection port of the frame to be processed by the first process;
a relay means for relaying communication between the PLC and the IoT device;
matching means for matching a frame received from the first or second connection port with the first list using information identifying the first or second connection port;
control means for performing the first process if the received frame matches the first list as a result of the collation, and notifying an administrator if the received frame does not match;
A relay device.
請求項1の中継装置。 wherein the first process is a process of transferring the received frame to the destination of the received frame;
2. The relay device of claim 1.
請求項1または請求項2の中継装置。 3. The relay device according to claim 1, further discarding the received frame if there is no match as a result of the collation.
前記第1のリストは、所定の条件に基づいて前記複数のリストから選択される
請求項1から請求項3のいずれかに記載の中継装置。 the storage means stores a plurality of lists including information identifying the first or second connection port of the frame to be processed by the first process;
4. The relay device according to any one of claims 1 to 3, wherein said first list is selected from said plurality of lists based on a predetermined condition.
前記第1のリストは、所定の条件に基づいて前記複数のリストから選択される
請求項1から請求項3のいずれかに記載の中継装置。 the storage means stores three or more lists containing information identifying the first or second connection port of the frame to be processed by the first process;
4. The relay device according to any one of claims 1 to 3, wherein said first list is selected from said plurality of lists based on a predetermined condition.
第1の処理の対象となるフレームの、1のPLCのみと接続する第1の接続ポートまたは1のIoT機器のみと接続する第2の接続ポートを識別する情報を含む、第1のリストを記憶し、
前記PLCと前記IoT機器との間の通信を中継し、
前記第1または第2の接続ポートから受信したフレームを、前記第1または前記第2の接続ポートを識別する情報を用いて、前記第1のリストと照合し、
前記照合の結果、前記受信したフレームが前記第1のリストと合致した場合は、前記第1の処理をし、合致しなかった場合は、管理者に通知する、
処理を行う中継方法。 the relay device
Storing a first list including information identifying a first connection port connected only to one PLC or a second connection port connected only to one IoT device of a frame to be processed by the first process. death,
relaying communication between the PLC and the IoT device;
Matching a frame received from the first or second connection port to the first list using information identifying the first or second connection port;
As a result of the collation, if the received frame matches the first list, perform the first process, and if not match, notify an administrator;
Intermediate method for processing.
請求項6の中継方法。 wherein the first process is a process of transferring the received frame to the destination of the received frame;
The relay method according to claim 6.
請求項6または請求項7の中継方法。 8. The relay method according to claim 6, further comprising discarding said received frame if there is no match as a result of said collation.
前記第1のリストは、所定の条件に基づいて前記複数のリストから選択される
請求項6から請求項8のいずれかに記載の中継方法。 In the storing process, a plurality of lists including information identifying the first or second connection port of the frame to be processed by the first process are stored;
9. The relay method according to any one of claims 6 to 8, wherein said first list is selected from said plurality of lists based on a predetermined condition.
前記第1のリストは、所定の条件に基づいて前記複数のリストから選択される
請求項6から請求項8のいずれかに記載の中継方法。 In the storing process, three or more lists containing information identifying the first or second connection port of the frame to be processed by the first process are stored;
9. The relay method according to any one of claims 6 to 8, wherein said first list is selected from said plurality of lists based on a predetermined condition.
第1の処理の対象となるフレームの、1のPLCのみと接続する第1の接続ポートまたは1のIoT機器のみと接続する第2の接続ポートを識別する情報を含む、第1のリストを記憶し、
前記PLCと前記IoT機器との間の通信を中継し、
前記第1または第2の接続ポートから受信したフレームを、前記第1または前記第2の接続ポートを識別する情報を用いて、前記第1のリストと照合し、
前記照合の結果、前記受信したフレームが前記第1のリストと合致した場合は、前記第1の処理をし、合致しなかった場合は、管理者に通知する、
処理を実行させる中継用プログラム。 to the computer,
Storing a first list including information identifying a first connection port connected only to one PLC or a second connection port connected only to one IoT device of a frame to be processed by the first process. death,
relaying communication between the PLC and the IoT device;
Matching a frame received from the first or second connection port to the first list using information identifying the first or second connection port;
As a result of the collation, if the received frame matches the first list, perform the first process, and if not match, notify an administrator;
A relay program that executes processing.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2023036113A JP2023060297A (en) | 2016-08-24 | 2023-03-09 | Relay device, relay method, and relay program |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016163645A JP6949466B2 (en) | 2016-08-24 | 2016-08-24 | Relay device, communication system, relay method, and relay program |
JP2021151800A JP2021192554A (en) | 2016-08-24 | 2021-09-17 | Relay device, communication system, relay method, and relay program |
JP2023036113A JP2023060297A (en) | 2016-08-24 | 2023-03-09 | Relay device, relay method, and relay program |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021151800A Division JP2021192554A (en) | 2016-08-24 | 2021-09-17 | Relay device, communication system, relay method, and relay program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023060297A true JP2023060297A (en) | 2023-04-27 |
Family
ID=61303762
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016163645A Active JP6949466B2 (en) | 2016-08-24 | 2016-08-24 | Relay device, communication system, relay method, and relay program |
JP2021151800A Pending JP2021192554A (en) | 2016-08-24 | 2021-09-17 | Relay device, communication system, relay method, and relay program |
JP2023036113A Pending JP2023060297A (en) | 2016-08-24 | 2023-03-09 | Relay device, relay method, and relay program |
Family Applications Before (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016163645A Active JP6949466B2 (en) | 2016-08-24 | 2016-08-24 | Relay device, communication system, relay method, and relay program |
JP2021151800A Pending JP2021192554A (en) | 2016-08-24 | 2021-09-17 | Relay device, communication system, relay method, and relay program |
Country Status (1)
Country | Link |
---|---|
JP (3) | JP6949466B2 (en) |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05316115A (en) * | 1992-05-08 | 1993-11-26 | Mitsubishi Electric Corp | Computer network connector |
JPH11338518A (en) * | 1998-05-27 | 1999-12-10 | Omron Corp | I/o device, input and output method, and control system using i/o device |
JP3477709B2 (en) * | 1999-10-29 | 2003-12-10 | オムロン株式会社 | Sensor system |
JP2001308917A (en) * | 2000-04-20 | 2001-11-02 | Yokogawa Electric Corp | Traffic controller |
JP2002232453A (en) * | 2001-02-02 | 2002-08-16 | Nec Corp | Device and method for internet protocol filtering |
JP4063771B2 (en) * | 2004-01-06 | 2008-03-19 | Necアクセステクニカ株式会社 | Router |
JP4284248B2 (en) * | 2004-08-20 | 2009-06-24 | 日本電信電話株式会社 | Application service rejection attack prevention method, system, and program |
JP4648182B2 (en) * | 2005-12-19 | 2011-03-09 | 富士通株式会社 | Packet relay system |
US8555373B2 (en) * | 2008-02-14 | 2013-10-08 | Rockwell Automation Technologies, Inc. | Network security module for Ethernet-receiving industrial control devices |
US8737398B2 (en) * | 2008-12-31 | 2014-05-27 | Schneider Electric USA, Inc. | Communication module with network isolation and communication filter |
JP5204054B2 (en) * | 2009-07-24 | 2013-06-05 | 株式会社野村総合研究所 | Network management system and communication management server |
WO2013038712A1 (en) * | 2011-09-16 | 2013-03-21 | Nec Corporation | Communication terminal, method of communication and communication system |
JP5943410B2 (en) * | 2011-09-21 | 2016-07-05 | 日本電気株式会社 | COMMUNICATION DEVICE, CONTROL DEVICE, COMMUNICATION SYSTEM, COMMUNICATION CONTROL METHOD, AND PROGRAM |
JP2014096698A (en) * | 2012-11-09 | 2014-05-22 | Omron Corp | Communication device |
JP2015142344A (en) * | 2014-01-30 | 2015-08-03 | 日本電気株式会社 | Communication system, control device, communication node, control information setting method and program |
JPWO2015174100A1 (en) * | 2014-05-14 | 2017-04-20 | 学校法人東京電機大学 | Packet transfer device, packet transfer system, and packet transfer method |
-
2016
- 2016-08-24 JP JP2016163645A patent/JP6949466B2/en active Active
-
2021
- 2021-09-17 JP JP2021151800A patent/JP2021192554A/en active Pending
-
2023
- 2023-03-09 JP JP2023036113A patent/JP2023060297A/en active Pending
Also Published As
Publication number | Publication date |
---|---|
JP2021192554A (en) | 2021-12-16 |
JP2018032975A (en) | 2018-03-01 |
JP6949466B2 (en) | 2021-10-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3206356B1 (en) | Controlling transmission security of industrial communications flow in a sdn architecture | |
CN102577275B (en) | Relay control equipment, relay and control system, relay and control method | |
JP6923265B2 (en) | Configurable Robustness Agent in Plant Security Systems | |
EP2091199B1 (en) | Network security module for ethernet-receiving industrial control devices | |
EP3375163B1 (en) | Methods and systems for dynamic creation of access control lists | |
JP6024664B2 (en) | Communication system, control device and communication method | |
US10193890B2 (en) | Communication apparatus to manage whitelist information | |
JP2005197823A (en) | Illegitimate access control apparatus between firewall and router | |
CN104683333A (en) | Method for implementing abnormal traffic interception based on SDN | |
EP2033111A2 (en) | Implementation of reflexive access control lists on distributed platforms | |
KR20160097313A (en) | Method for operating a security gateway of a communication system for vehicles | |
CN108737217B (en) | Packet capturing method and device | |
CN109862000B (en) | End-to-end encryption method and system for Linux network layer | |
CN103746928A (en) | Method and system for controlling flow rate by utilizing access control list | |
JP2023060297A (en) | Relay device, relay method, and relay program | |
JP6926734B2 (en) | Route control device and route control method | |
JP7156310B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION CONTROL METHOD, AND PROGRAM | |
CN107979609B (en) | Post-reaction type protection method and autonomous learning type firewall system | |
JP2007310662A (en) | Firewall device | |
CN114978563B (en) | Method and device for blocking IP address | |
JP2017046022A (en) | Communication control method, communication system, and control device | |
CN101247397A (en) | Optimization method for effective order of mirror and access control list function | |
JP4400868B2 (en) | Unauthorized communication automatic setting intrusion detection device, method and recording medium | |
US7409458B2 (en) | Network system with shared filtering information | |
JP5393286B2 (en) | Access control system, access control apparatus and access control method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230309 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240219 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240305 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240425 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240528 |