JP4429218B2 - ネットワーク遮断制御プログラム及びネットワーク遮断装置 - Google Patents

ネットワーク遮断制御プログラム及びネットワーク遮断装置 Download PDF

Info

Publication number
JP4429218B2
JP4429218B2 JP2005192620A JP2005192620A JP4429218B2 JP 4429218 B2 JP4429218 B2 JP 4429218B2 JP 2005192620 A JP2005192620 A JP 2005192620A JP 2005192620 A JP2005192620 A JP 2005192620A JP 4429218 B2 JP4429218 B2 JP 4429218B2
Authority
JP
Japan
Prior art keywords
network
communication
quarantine
detection
worm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005192620A
Other languages
English (en)
Other versions
JP2007011748A (ja
Inventor
昌弘 小村
和成 面
芳樹 東角
仁史 三友
敏達 野田
悟 鳥居
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2005192620A priority Critical patent/JP4429218B2/ja
Priority to US11/364,002 priority patent/US7564837B2/en
Publication of JP2007011748A publication Critical patent/JP2007011748A/ja
Application granted granted Critical
Publication of JP4429218B2 publication Critical patent/JP4429218B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明はネットワーク遮断制御プログラム及びネットワーク遮断装置に関し、特に管理対象のネットワーク単位の通信遮断を制御し、必要に応じてこのネットワーク単位をネットワークから隔離するネットワーク遮断制御プログラム及びネットワーク遮断装置に関する。
近年、インターネットの普及などによるネットワークの拡大に伴って、ネットワークを介してコンピュータウィルスが次々に広がり、多大な被害を与えている。
コンピュータウィルスのなかでも、特に、ワーム(Worm)と呼ばれる種類は、自己複製しながらネットワークを介して接続するコンピュータ間を移動し、次々に感染していく。ワームは、この自己複製しながら伝播するスピードが非常に速く、その過程において多量のトラフィックを発生させるため、ネットワークに多大な負荷をかけ、ネットワークが麻痺に至る場合もある。また、次々に感染するため、一度ワームが拡散すると、ワームに感染したコンピュータを探し出し、ワームを停止させるだけでは、被害を防ぐことができない。このため、ネットワークの境界においてネットワークに入ってくるトラフィックを監視して侵入しようとするワームを検出し、その侵入を防ぐことが重要となってくる。
そこで、従来のワーム判定装置では、内部ネットワークと外部ネットワークとを接続する通信路上で通信パケットを監視し、たとえば、通信パケットの通信量とその通信先アドレスに関する情報を取得し、予め設定された判定基準に基づいて取得した情報を解析してワームか否かを判定し、ワームを検知した場合には、攻撃を検知したネットワークとの間の通信を遮断することによって感染を防止する(たとえば、特許文献1参照)。
また、ワーム攻撃などの攻撃を行っている攻撃元のコンピュータ、または攻撃元のコンピュータが接続されている攻撃元ネットワークが検出されると、管理対象ネットワークに対する攻撃が行われていなくとも、管理対象ネットワークと攻撃元ネットワークまたは攻撃元計算機との間の通信を遮断するネットワーク遮断システムも提案されている(たとえば、特許文献2参照)。
特開2005−134974号公報(段落番号〔0045〕〜〔0099〕、図2) 特開2005−12606号公報(段落番号〔0019〕〜〔0022〕、図1)
しかし、従来のネットワーク遮断装置では、攻撃を検知した場合に攻撃を検知したネットワーク単位との間の通信のみを遮断するため、ワーム攻撃のように、感染したコンピュータがアドレスをランダムに変更して次々に攻撃を繰り返すことや、攻撃を受けて感染したコンピュータが攻撃元となる二次感染によって被害が拡大する攻撃に対しては効果的な防御ができないという問題がある。
また、上記特許文献1の従来技術は、外部ネットワークからの攻撃を防御することが目的であり、外部ネットワークの攻撃の場合には攻撃を検知していないネットワークにも通知がされ、事前にネットワークを遮断することで攻撃を防ぐことができる。一方、内部ネットワークから外部ネットワークへの攻撃が検知された場合は、攻撃を検知したネットワークとの間の通信のみを遮断する。このため、ワーム攻撃のように二次感染や、攻撃元が攻撃を継続するケースでは、ワーム感染を未然に防ぐことができないという問題がある。
さらに、従来の遮断の通知は遮断の指示のみであり、通知を受けたネットワーク遮断装置は、無条件で遮断を実行していた。このため、実際に攻撃が発生していないのに誤検知によって遮断の通知が発生し、攻撃を受けていないネットワークが遮断されてしまうことを防止することができないという問題がある。
本発明はこのような点に鑑みてなされたものであり、実際に攻撃を受ける前に適切な予防措置を行って、感染の拡大を防止するネットワーク遮断制御プログラム及びネットワーク遮断装置を提供することを目的とする。
本発明では上記課題を解決するために、図1に示すような、複数のネットワーク単位が接続するネットワークにおいて管理対象のネットワーク単位の通信遮断を制御し、このネットワーク単位をネットワークから隔離する遮断プログラムが提供される。このネットワーク遮断プログラムがコンピュータで実行されることにより、コンピュータはネットワーク遮断装置1として機能する。
検知手段1aは、管理対象のネットワーク単位であるネットワークセグメントA(2a)及びネットワークセグメントB(2b)に関する通信を監視し、ワームによりなされた通信を所定の条件に基づき検知た場合、ワームを検知したことを示す検知通知情報を生成する。隔離ポリシー(記憶手段)1bには、管理対象のネットワークセグメントA(2a)及びネットワークセグメントB(2b)をネットワークから隔離する隔離処理を行うか否かを規定したデータである隔離ポリシーが格納されている。隔離管理手段1cは、検知手段1aから検知通知情報を取得した場合、または管理対象以外の外部ネットワークセグメント4a、4bを管理するネットワーク遮断装置3a、3bから検知通知情報を取得した場合に、隔離ポリシー(記憶手段)1bに格納される隔離ポリシーに基づき、管理対象のネットワーク単位に入出力する所定の通信を遮断するための遮断操作依頼を生成する。また、検知手段1aから検知通知情報を取得している場合には、この検知通知情報を外部ネットワークセグメント4a、4bのネットワーク遮断装置3a、3bに送信する。通信遮断手段1dは、隔離管理手段1cから遮断操作依頼を取得すると、遮断操作依頼に応じて管理対象のネットワークセグメントA(2a)及びネットワークセグメントB(2b)について、所定の条件を満たした通信に関する遮断を制御する。
このようなネットワーク遮断装置1では、検知手段1aは、管理対象のネットワークセグメントA(2a)及びネットワークセグメントB(2b)を監視しており、ワームによりなされた通信を所定の条件に基づき検知すると検知通知情報を生成し、隔離管理手段1cに引き渡す。他の外部ネットワークセグメント4a、4bのネットワーク遮断装置3a、3bも同様の処理を行っており、ワームによりなされた通信が検出された場合には、検知通知情報を生成し、他装置に向けて送信する。隔離管理手段1cは、自装置の検知手段1aが生成した検知通知情報、または他のネットワーク遮断装置3a、3bが生成した検知通知情報を取得すると、隔離ポリシー(記憶手段)1bに格納される隔離ポリシーに基づき、管理対象のネットワークセグメントA(2a)及びネットワークセグメントB(2b)に入出力する所定の通信を遮断する遮断操作依頼を生成して通信遮断手段1dに送る。また、検知手段1aによって検知された場合は、検知通知情報を他のネットワーク遮断装置3a、3bに送信し、所定の通信が検出されたことを通知する。そして、通信遮断手段1dは、遮断操作依頼に基づき、通信遮断を行う遮断データを更新し、ネットワークセグメントA(2a)及びネットワークセグメントB(2b)を入出力する通信パケットを監視する。そして、検知された所定の条件を満たす通信に関する通信パケットの通過を遮断するか、そのまま通過させるかを制御する。
また、上記課題を解決するために、管理対象のネットワーク単位の通信遮断を制御し、前管理対象のネットワーク単位をネットワークから隔離するネットワーク遮断装置において、前記管理対象のネットワーク単位に関する通信を監視し、ワームによりなされた通信を所定の条件に基づき検知た場合、前記ワームを検知したことを示す検知通知情報を生成する検知手段と、前記検知手段から前記検知通知情報を取得した場合、または他の外部ネットワーク単位を管理するネットワーク遮断装置から前記検知通知情報を取得した場合に、前記管理対象のネットワーク単位に対する隔離処理を行うか否かを規定したデータである隔離ポリシーを記憶した隔離ポリシー記憶手段に記憶されている前記隔離ポリシーに基づき、前記管理対象のネットワーク単位に入出力する通信の遮断操作に関する遮断操作依頼を生成するとともに、前記検知手段から取得した前記検知通知情報を前記外部ネットワーク単位を管理する前記ネットワーク遮断装置に送信する隔離管理手段と、前記隔離管理手段から前記遮断操作依頼を取得し、前記遮断操作依頼に応じて前記管理対象のネットワーク単位について前記所定の条件を満たした通信に関する遮断を制御する通信遮断手段と、を具備することを特徴とするネットワーク遮断装置、が提供される。
このようなネットワーク遮断装置によれば、検知手段1aは、管理対象のネットワーク単位の通信が所定の条件を満たした場合、検知通知情報を生成する。隔離管理手段1cは、検知通知情報を検知手段1aまたは他のネットワーク遮断装置3a、3bから取得すると、隔離ポリシーに基づき、当該ネットワーク単位に入出力する通信の遮断操作を依頼する。そして、検知手段1aからの検知通知情報であれば、検知通知情報を他のネットワーク遮断装置3a、3bに送信する。通信遮断手段1dは、遮断操作の依頼に応じて、管理対象のネットワーク単位に関する通信遮断を制御する。
本発明では、管理対象のネットワーク単位に所定の条件を満たす通信を検知すると、ネットワークを介して接続する他のネットワーク遮断装置に対して検知通知情報を送信するとともに、通信遮断制御を行う。また、このように自ら検知した場合に加えて、他のネットワーク遮断装置からの検知通知によって通信遮断を行って管理対照のネットワーク単位をネットワークから隔離する。これにより、管理対象のネットワーク単位において所定の条件を満たす通信が検知された場合は、自装置をネットワークから隔離し、他のネットワーク単位に影響を及ぼすことを防止することができるばかりでなく、自らが検知する前に他装置で検知された場合にも通信遮断を行って、影響が管理対象のネットワーク単位に伝播するのを防ぐ予防措置を行うことができる。
以下、本発明の実施の形態を図面を参照して説明する。まず、実施の形態に適用される発明の概念について説明し、その後、実施の形態の具体的な内容を説明する。
図1は、実施の形態に適用される発明の概念図である。
本発明に係るネットワーク遮断装置1は、管理対象のネットワーク単位であるネットワークセグメントA(2a)及びネットワークセグメントB(2b)と、上位ネットワーク5との間に設置され、ネットワークセグメントA(2a)及びネットワークセグメントB(2b)から上位ネットワーク5へ出力される通信パケットと、逆に上位ネットワーク5から入力される通信パケットを監視している。ネットワーク遮断装置3a及びネットワーク遮断装置3bも同様の装置であり、それぞれネットワークセグメント4a、ネットワークセグメント4bを管理する。以下、管理対象外の外部にあるネットワークセグメントを外部ネットワークセグメントと呼ぶ。
ここで、ネットワーク遮断装置1は、検知手段1a、隔離ポリシー(記憶手段)1b、隔離管理手段1c、通信遮断手段1d及び通信手段1eを具備する。
検知手段1aは、管理対象のネットワークセグメントA(2a)及びネットワークセグメントB(2b)に入出力する通信パケットを監視し、所定の条件を満たした通信が行われていることが検知されれば、これを通知する検知通知を隔離管理手段1cに送る。所定の条件を満たした通信とは、たとえば、ワームに感染した端末からは、同じプロトコルの通信パケットがランダムな宛先アドレスで大量に発信されるというような特性が有る。そこで、このような特性に応じた条件設定(所定期間内に同じプロトコルで複数宛先に対し規定値以上の送信があるかどうか)を行い、ワームによりなされた通信であるかどうかを検出する。なお、ワームやその他所定の通信の検出方法は公知であり、ここでは、検出対象に合わせた任意の検出方法が適宜選択されるとする。
隔離ポリシー(記憶手段)1bには、予め設定された、管理対象のネットワークセグメントA(2a)及びネットワークセグメントB(2b)の通信を隔離するための隔離処理を規定する隔離ポリシーが格納される。隔離ポリシーには、検知通知情報で伝えられる状況に応じて、管理対象のネットワークセグメントA(2a)及びネットワークセグメントB(2b)で実行すべき隔離処理が規定されており、たとえば、「他装置から検知通知を受け、攻撃先に管理対象のネットワークセグメントが含まれる場合に隔離を行う。」といったポリシーが設定される。
隔離管理手段1cは、検知手段1aもしくは、他のネットワーク遮断装置3a、3bから所定の条件を満たす通信を検知したという検知通知を取得すると、隔離ポリシー(記憶手段)1bに格納される隔離ポリシーを読み出し、取得した検知通知と照らし合わせ、通信遮断を行うのか、入力方向の通信遮断を行うのか、出力方向の通信遮断を行うのか、通信遮断解除を行うのかなどを判断し、管理対象のネットワークセグメントA(2a)及びネットワークセグメントB(2b)の隔離状態を決定する。そして、これに応じて遮断操作依頼を生成し、通信遮断手段1dへ通知する。さらに、遮断対象のデータなどの遮断データに関する管理情報エントリを作成し、管理情報テーブルに登録しておく。遮断データは、たとえば、所定のカテゴリの通信パケット、または所定の宛先ポート番号の通信パケット、というように設定される。また、遮断データは、管理対象のネットワークセグメントから外部に出力される通信(以下、OUT通信とする)、及び外部から管理対象のネットワークセグメントに入力される通信(以下、IN通信とする)について、それぞれ設定することができる。さらに、検知通知を検知手段1aから取得したのであれば、この検知通知を他のネットワーク遮断装置3a及びネットワーク遮断装置3bに上位ネットワーク5を介して送信する。
なお、検知手段1aによって検知された場合は、管理対象のネットワークセグメントA(2a)またはネットワークセグメントB(2b)に直接関わる問題であるので、隔離ポリシーによらず常に遮断依頼を行うとし、他のネットワーク遮断装置3a、3bからの検知通知の場合に隔離ポリシーを参照して遮断判定を行うとしてもよい。
そして、一旦管理情報テーブルに登録された管理情報エントリについては、検知手段1aもしくは他のネットワーク遮断装置3a、3bから該当する所定の条件を満たす通信に関する検知通知が取得されなくなった場合に、検知終了と判断し削除する。そして、通信遮断手段1dへ遮断解除依頼を行う。さらに、検知手段1aに基づき管理情報エントリを設定したのであれば、検知終了通知を他のネットワーク遮断装置3a及びネットワーク遮断装置3bに上位ネットワーク5を介して送信する。
通信遮断手段1dは、隔離管理手段1cから取得した遮断依頼または遮断解除依頼に応じて、管理対象のネットワークセグメントA(2a)及びネットワークセグメントB(2b)の通信遮断を制御する。通信遮断手段1dは、遮断データが登録される遮断データテーブルを記憶しており、遮断依頼があった場合には指示に従って遮断データを登録し、遮断解除依頼があった場合には該当する遮断データを遮断データテーブルから削除する。そして、通信手段1e経由で中継される通信パケットを監視し、通信パケットが遮断データテーブルに登録された遮断データに合致していれば破棄し、通信パケットを中継させない。すなわち、通信を遮断する。また、通信パケットが遮断データに合致していなければ、通信パケットをそのまま通過させる。このような通信遮断の制御は、IN通信及びOUT通信の個々について実行される。たとえば、IN通信遮断が指定されていれば、入力される側の通信のみを監視し、通信遮断制御を行う。
通信手段1eは、ネットワークセグメントA(2a)及びネットワークセグメントB(2b)の装置と、上位ネットワーク5を介して接続するネットワーク遮断装置3aとその管理下のネットワークセグメント4aの装置と、同様に上位ネットワーク5を介して接続するネットワーク遮断装置3bとその管理下のネットワークセグメント4bとの間で交換される通信パケットの送受信制御を行う。
このような構成のネットワーク遮断装置1には、ネットワークセグメントA(2a)及びネットワークセグメントB(2b)に入出力される通信パケットを中継するため、通信手段1eを介して通信パケットが一旦入力される。
検知手段1aは、予め設定された所定の条件を満たした通信が行われているかどうかを検査し、所定の条件を満たす通信が検知された場合には、これらを通知する検知通知を生成し、隔離管理手段1cへ送る。隔離管理手段1cは、検知手段1aより検知通知を取得した場合、または、通信手段1eを介して他のネットワーク遮断装置3a、3bが生成した検知通知を取得した場合は、検知通知によって隔離ポリシー(記憶手段)1bに格納される隔離ポリシーに規定される隔離条件が成立するか否かを判定する。そして、隔離条件が成立し、通信遮断中でなければ、遮断データを含む管理情報を管理情報テーブルに登録し、遮断依頼を通信遮断手段1dに通知する。また、管理情報テーブルに設定された管理情報に対応する所定の条件を満たした通信に関する検知通知が得られない場合は、管理情報テーブルから該当する管理情報を削除し、遮断解除依頼を通信遮断手段1dに通知する。通信遮断手段1dは、遮断依頼または遮断解除依頼を受けると、遮断データを登録した遮断データテーブルを更新し、この遮断条件テーブルに基づき遮断制御を行う。
このように、管理対象のネットワークセグメントA(2a)及びネットワークセグメントB(2b)に所定の条件を満たす通信が検知された場合には、通信を遮断し、検知通知6を他のネットワーク遮断装置3a、3bに送信する。通信の遮断は、IN通信、OUT通信ごとに遮断データを設定して行うことができるので、たとえば、内部に攻撃元を検出した場合には、OUT通信を遮断するなど、状況に応じた通信遮断を行うことができる。また、他のネットワーク遮断装置が検知した検知通知6に応じて、通信遮断を行うので、まだ検出されていない攻撃に対する予防措置を行うことができる。
たとえば、ネットワーク遮断装置1で、検知手段1aによって管理対象のネットワークセグメントA(2a)に接続する装置がワームに感染していることが検知されたとする。ネットワーク遮断装置1は、通信を遮断するとともに、検知通知6をネットワーク遮断装置3a及びネットワーク遮断装置3bに送信する。ネットワーク遮断装置3a及びネットワーク遮断装置3bでは、まだワーム検知が行われていないが、ネットワーク遮断装置1からの検知通知6によって、IN通信を遮断することにより、自ネットワークへの感染を予防することができる。
以下、実施の形態をネットワークセグメントと上位ネットワークとの間に設定され、ワーム検出とワーム検出時のネットワーク遮断を行うワーム検知隔離装置に適用した場合を例に図面を参照して詳細に説明する。
図2は、本実施の形態のワーム検知隔離装置が適用されるシステムの構成図である。
本実施の形態のワーム検知隔離装置100は、複数の物理ポートを介して上位ネットワーク50及び管理対象のネットワークセグメントA(20a)とネットワークセグメントB(20b)と接続する。図の例では、物理ポート1(100a)にはネットワークセグメントA(20a)、物理ポート2(100b)にはネットワークセグメントB(20b)、物理ポート5(100c)には上位ネットワーク50が接続する。そして、上位ネットワーク50には、同様にワーム検知隔離装置と管理対象のネットワークセグメントを有する所定のネットワーク単位が複数接続している。ネットワークセグメントA(20a)には、HUB21を介して端末a(22)、端末b(23)が接続する。ネットワークセグメントB(20b)も同様の構成である。
ワーム検知隔離装置100は、各物理ポートを介して入力するIN通信及びOUT通信の双方向の通信パケットを一旦取り込み、ワーム判定と通信遮断判定を行い、通信パケットが遮断対象でなければ宛先に向けてこの通信パケットを送信する。なお、この場合のIN通信は、上位ネットワーク50から管理対象のネットワークセグメントA(20a)またはネットワークセグメントB(20b)に向けて行われた通信を言う。また、OUT通信は、管理対象のネットワークセグメントA(20a)またはネットワークセグメントB(20b)から上位ネットワーク50側に向けて行われた通信を言う。
ここで、ワーム検知隔離装置100のハードウェア構成について説明する。図3は、本実施の形態のワーム検知隔離装置のハードウェア構成例を示すブロック図である。
ワーム検知隔離装置100は、CPU(Central Processing Unit)101によって装置全体が制御されている。CPU101には、バス107を介してRAM(Random Access Memory)102、ハードディスクドライブ(HDD:Hard Disk Drive)103、グラフィック処理装置104、入力インタフェース105、通信インタフェース106が接続されている。
RAM102には、CPU101に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM102には、CPU101による処理に必要な各種データが格納される。HDD103には、OSやアプリケーションのプログラムが格納される。グラフィック処理装置104には、モニタ108が接続されており、CPU101からの命令に従って画像をモニタ108の画面に表示させる。入力インタフェース105には、キーボード109aやマウス109bが接続されており、キーボード109aやマウス109bから送られてくる信号を、バス107を介してCPU101に送信する。通信インタフェース106は、物理ポートを介して上位ネットワーク50やネットワークセグメントA(20a)に接続されている。
このようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。なお、図3には、ワーム検知隔離装置のハードウェア構成を示したが、端末装置のハードウェア構成も同様である。
次に、本実施の形態のワーム検知隔離装置のプログラム構成について説明する。
図4は、実施の形態のワーム検知隔離装置の機能ブロック図を示す図である。
本実施の形態のワーム検知隔離装置100は、通信送受信部110、通信情報取得部120、ワーム判定部130、検知通知処理部140、検知隔離管理部150、検知通知送信部160及び通信遮断部170の手段を各処理有する。また、検知隔離状態管理表(記憶装置)151、隔離ポリシー(記憶装置)152及び遮断データ(記憶装置)171の各記憶装置を有する。
通信送受信部110は、管理下のネットワークセグメントに接続する端末及び上位ネットワークを介して接続する他装置との間の通信の送受信を処理する。受信した通信パケットは、通信情報取得部120へ送るとともに、通信遮断部170によって通過が許可され取得した通信パケットを宛先に送る。また、検知通知送信部160から送信依頼を受けた検知通知を宛先に向けて送信する。
通信情報取得部120は、通信送受信部110が受信した通信パケットを一時留め置き、受信した通信パケットの一部もしくは全部を取得し、通信情報としてワーム判定部130に引き渡す。このとき、取得した通信パケットが他のワーム検知隔離装置からの検知通知であるかどうかを調べる。検知通知である場合には、検知通知処理部140に通信パケットを引き渡す。通信パケットは、通信遮断部170へも引き渡される。
ワーム判定部130は、渡された通信情報を検査してワームの疑いがあるかないかを判断し、ワーム判定結果を検知隔離管理部150に通知する。ワーム判定には、たとえば、特許文献1のワーム検知方法などを用いる。
検知通知処理部140は、通信情報取得部120から取得した他のワーム検知隔離装置からの検知通知を検知隔離管理部150へ送る。
検知隔離管理部150には、遮断対象のデータの特徴(プロトコルや宛先ポート番号、ワーム種別など)を記述した遮断データに関する管理情報が登録される管理情報テーブルに相当する検知隔離状態管理表を記憶する検知隔離状態管理表(記憶装置)151と、隔離ポリシーを記憶する隔離ポリシー(記憶装置)152が接続される。そして、ワーム判定部130及び検知通知処理部140から入力される検知通知に基づき、検知隔離状態管理表(記憶装置)151と隔離ポリシー(記憶装置)152に格納されるデータを参照し、通信遮断を行うか否か、及び通信遮断解除を行うか否かを判断し、判断結果に応じて検知隔離状態管理表を更新するとともに、通信遮断の指示または遮断解除の指示の依頼を生成して通信遮断部170へ引き渡す。
ここで、検知隔離管理部150の処理機能について、ワーム判定部130がワームを検知した場合と、他装置からの検知通知を受信した場合について、詳細に説明する。
まず、ワーム判定部130からの検知通知、すなわち、自装置がワームを検出した場合には、検知隔離状態管理表を参照し、ワームを検知していない状態で、ワーム判定部130からワームの疑いありの検知通知を受けた場合には、検知隔離状態管理表にエントリを追加し、通信遮断部170に通信の遮断を依頼する。そして、検知通知送信部160に対し、ワームを検知したことを示す検知通知の送信を依頼する。また、ワームを検知している状態でワーム判定部130からワームの疑いありの検知通知を受けた場合には、既に遮断依頼が行われているので、何も処理しない。また、検知状態管理表に登録されたエントリについて、ワーム判定部130から所定の期間ワームの疑いありの検知通知を受けなかった場合は、検知終了と判断し、検知隔離状態管理表の該当するエントリを削除し、通信遮断部170に通信の遮断解除を依頼する。そして、検知通知送信部160に対し、ワームを検知しなくなったことを示す検知終了通知を他のワーム検知管理装置に送信するよう依頼する。なお、ワームの疑いなしの判定もワーム判定部130によって行い、検知隔離管理部150は、その検知終了通知を受けて、遮断解除を行うとしてもよい。
次に、検知通知処理部140から検知通知を受けた場合、すなわち、他装置がワームを検出した場合、またはワームが検出されなくなった場合の処理について説明する。検知通知処理部140から検知通知を受けると、検知隔離状態管理表を参照し、ワームを検知していない状態であれば、隔離ポリシー(記憶装置)152から隔離ポリシーを読み出し、隔離ポリシーに従って隔離を行うか否かを判定する。隔離を行う判定がされれば、検知隔離状態管理表にエントリを追加し、通信遮断部170に通信の遮断を依頼する。また、既に通信遮断が行われている状態で検知通知を受信した場合は、処理は行わない。一方、検知通知処理部140から検知終了通知を受けると、検知隔離状態管理表を参照し、ワーム検知がされている状態であれば、隔離ポリシーに従って隔離を解除するか否かを判定する。隔離解除の判定がされれば、検知隔離状態管理表から該当するエントリを削除し、通信遮断部170に通信の遮断解除を依頼する。
検知通知送信部160は、検知隔離管理部150の依頼を受け、自装置が検知または検知終了したワームに関する検知通知の送信を通信送受信部110に依頼し、他のワーム検知隔離装置に送信する。
通信遮断部170には、検知隔離管理部150からの指示に従って設定された遮断データが登録される遮断データテーブルを記憶する遮断データ(記憶装置)171が接続される。検知隔離管理部150からの通信遮断依頼または通信遮断解除依頼を受け、遮断データの更新を行う。そして、通信情報取得部120から渡された通信パケットが設定された遮断データに合致するか否かを判定し、合致する場合は通信パケットを破棄する。また、合致しない場合は、宛先に渡すように通信送受信部110に依頼する。
なお、図4において、ワーム検知隔離装置100は、1つの装置として記載されているが、通信送受信部110、通信情報取得部120、通信遮断部170を持つファイウォールもしくはネットワークスイッチング機器と、ワーム判定部130、検知通知処理部140、検知隔離管理部150及び検知通知送信部160を有するワーム検知隔離管理サーバとで構成されてもよい。
このような構成のワーム検知隔離装置100によるワーム検知隔離処理手順について説明する。以下の説明では、ワーム判定部130によって管理対象のネットワークセグメントにワームによりなされた通信が検出された場合には、隔離ポリシーによらず隔離判断/通信遮断を行うとする。これは、管理対象のネットワークセグメントに実際にワームによりなされた通信が検出されているので、速やかに措置を施すことが望ましいことによる。また、他装置から検知通知を受信した場合には、隔離ポリシーに基づき、隔離判断/通信遮断を行うとする。これは、管理対象のネットワークセグメントにはまだワームによりなされた通信が検出されていない段階であるので、一律に処理するのではなく、システム全体を把握するネットワーク管理者などによるポリシーに従って予防装置を行うことが望ましいことによる。もちろん、隔離ポリシーに自装置のワーム検知の場合には隔離を行うと設定しておいてもよい。
ここで、隔離条件が規定される隔離ポリシーについて説明する。
図5は、本実施の形態における検知通知による隔離ポリシーの一例を示した図である。
隔離ポリシー1521には、他装置からワームを検知したという検知通知を取得した場合に、管理対象のネットワークセグメントをネットワークから隔離する隔離条件が規定されている。以下、自装置の管理対象のネットワークセグメントを自ネットワーク、他装置の管理対象のネットワークセグメントを他ネットワークとする。
図の例では、自ネットワークの隔離条件として、「自ネットワークへのワーム受信無の時の隔離」1521a、「自ネットワークへのワーム受信有の時の隔離」1521b、「自装置未検知時の隔離継続」1521c及び「自装置検知までの待ち時間」1521dの各項目が設定される。後述する検知通知には、検知または検知終了したワームと、ワームを検知した場合には、ワームによりなされた疑いのある通信パケットの宛先アドレス(以下、ワーム宛先アドレスとする)が設定される。
「自ネットワークへのワーム受信無の時の隔離」1521aは、ワーム宛先アドレスに自ネットワークが含まれていない場合、すなわち、ワームは検知されたが、ワームの疑いのある通信パケットを自ネットワークでは受信していない場合に隔離を行うか否かを規定する。従って、「する」が設定されると、検知通知を取得すれば、自ネットワークにワームの疑いのある通信パケットが入り込んでいなくても遮断依頼が行われる。
「自ネットワークへのワーム受信有の時の隔離」1521bは、ワーム宛先アドレスに自ネットワークが含まれている場合、すなわち、ワームの疑いのある通信パケットを自ネットワークで受信した場合に隔離を行うか否かを規定する。従って、「する」が設定されると、他ネットワークでワームが検知され、ワーム宛先アドレスに自ネットワークが含まれれば、遮断依頼が行われる。
「自装置未検知時の隔離継続」1521cは、項目1521a、項目1521bにより一旦隔離を行うが、所定の待ち時間が経過しても自装置においてワームが検知されない場合、隔離解除を行うか否かを規定する。従って、「する」が設定され、ワームが検知されれば、自ネットワークで検知されていなくても、項目1521a及び項目1521bに基づき、遮断依頼を継続する。「しない」であれば、自装置が検知しなければ遮断解除依頼を行う。
「自装置検知までの待ち時間」1521dは、項目1521cを決定するための所定の待ち時間を規定する。従って、「20秒」が設定されると、遮断依頼を行った後、20秒が経過しても自装置でワームが検知されない場合、遮断解除依頼を行う。
次に、本実施の形態で処理する通信パケットについて説明する。本実施の形態では、TCP(Transmission Control Protocol)パケット、UDP(User Datagram Protocol)パケット、ICMP(Internet Control Message Protocol)パケットなどを用いて、ワーム判定と隔離処理を行うとする。パケット構成について、TCPパケットの場合で説明する。
図6は、TCPパケットの構成図である。
TCPパケットは、各レイヤ処理においてヘッダが付加され、本実施の形態のワーム検知隔離装置100において取得するパケットには、データ部640に、TCPヘッダ630、IPヘッダ620及びイーサヘッダ610が付加されている。なお、UDPパケットは、TCPヘッダ630がUDPヘッダになり、ICMPパケットもTCPヘッダ630がICMPヘッダに相当するタイプフィールドやコードなどで構成され、他の部分は同じであるので、詳細な説明は省略する。
図7は、TCPパケットの各ヘッダ部の詳細な構成図である。図の括弧で示した部分は、本実施の形態には関係しないので、説明は省略する。
イーサヘッダ610は、送信元のMACアドレス(Sourced MAC Address)611を有しており、ここを参照することにより、パケット送信元のMACアドレスがわかる。
IPヘッダ620は、プロトコル(Protocol)621、送信元IPアドレス(Source
IP Address)622、宛先IPアドレス(Destination IP Address)623を有し、これらを参照することにより、パケットのプロトコル種別、送信元のIPアドレス及び宛先のIPアドレスがわかる。
なお、イーサヘッダ610及びIPヘッダ620は、UDPパケット及びICMPパケットも同じ構成である。
TCPヘッダ630は、宛先ポート番号(Destination Port)631を有しており、ここを参照することにより、パケットの宛先ポート番号がわかる。なお、UDPパケットも同様に宛先ポート番号を有している。
以下、ワーム検知隔離処理手順について説明する。まず、全体の処理の流れについて説明し、その後各処理手段による処理を説明する。
図8は、本実施の形態のワーム検知隔離処理手順を示したフローチャートである。
ワーム検知隔離装置100は、管理対象のネットワークセグメントから外部へ向けたOUT通信及び外部から管理対象のネットワークセグメントに向けたIN通信のすべての通信パケットを中継するとともに、中継する通信パケットを監視し、ワームによりなされた通信であるか否かを検査している。
通信送受信部110を介して中継する通信パケットが入力されると、処理が開始される。
[ステップS01] 通信情報取得部120は、通信送受信部110経由で入力した通信パケットが、他のワーム検知隔離装置から送信された検知通知であるかどうかを判断し、検知通知であれば検知通知処理部140へ検知通知を送り、処理をステップS02の検知通知処理へ進める。検知通知情報でなければ、ワーム判定部130に通信情報を渡し、処理をステップS03のワーム判定処理へ進める。
[ステップS02] 検知通知処理部140は、取得した検知通知情報をそのまま検知隔離管理部150へ送り、処理をステップS04へ進める。
[ステップS03] ワーム判定部130は、取得した通信情報に基づき、ワーム判定を行い、検知通知情報を生成する。ワームを検知した場合は、検知通知情報を検知隔離管理部150へ送り、処理をステップS04の検知隔離処理に進める。
[ステップS04] 検知隔離管理部150は、ワーム判定処理(ステップS03)により生成された検知通知情報、または他ネットワークの検知通知情報を取得すると、検知通知情報に基づき、遮断の依頼または遮断解除の依頼が必要であるかどうかを決める。このとき、必要に応じて、他のワーム検知隔離装置に対し検知通知情報を送信する指示を行う。
[ステップS05] 通信遮断部170は、検知隔離処理(ステップS04)において、自ネットワークの通信に関し、遮断の依頼または遮断解除の依頼がなされた場合、依頼に従って通信の遮断または遮断解除の設定を行い、遮断データを変更する。また、設定に従って、通信送受信部110から入力された通信パケットを通信送受信部110に返して通信を継続させるか、廃棄し通信を遮断させるかの通信制御を行う。なお、通信遮断部170が用いる通信情報は、通信情報取得部120から入力されるが、ここでは簡単のため省略し、詳細は後述する。
以上の処理手順が実行されることにより、自ネットワークにワームを検知した場合、及び他のネットワークにワームが検知され、その検知通知情報を受けた場合に、隔離ポリシーに従って通信を遮断することによって、ワーム感染拡大の防止や、感染の予防を行うことができる。
以上の各ステップの処理手順を詳細に説明する。
まず、通信情報取得部120による通信パケットの振り分け処理について説明する。
図9は、本実施の形態の通信情報取得処理の手順を示したフローチャートである。
通信情報取得部120は、通信送受信部110から通信パケットを取得することにより、処理を開始する。
[ステップS101] 通信情報取得部120は、受信した通信パケットが他のワーム検知隔離装置からの検知通知情報であるか否かを判定する。検知通知情報でない場合は、処理をステップS103へ進める。
[ステップS102] 受信した通信パケットが他のネットワークで検出されたワームに関する検知通知情報であるので、この通信パケットを検知通知処理部140へ送り、処理を終了する。
[ステップS103] 受信した通信パケットが他のネットワークからの検知通知でない場合、すなわち、ワーム判定対象である、管理対象のネットワークセグメント内の装置に向けて送信された通信パケット、もしくは管理対象のネットワークセグメント内の装置から送信された通信パケットである場合、ワーム判定部130に通信情報を渡す。通信情報は、ワーム判定のために必要な情報で、受信した通信パケット全体もしくはその一部を抽出して送る。たとえば、ヘッダ部のみでワーム判定を行う場合には、ヘッダ部のみを抽出した通信情報をワーム判定部130へ送る。これにより、その後、ワーム判定部130の処理が終了し、処理再開の要求がかかるまで、待ち状態に遷移する。
[ステップS104] ワーム判定部130による処理が終了し、ワーム判定処理から復帰したので、一時保存している通信情報を通信遮断部170に渡し、処理を終了する。
以上の処理手順が実行されることにより、通信情報取得部120では、通信送受信部110によって受信された通信パケットが他のワーム検知隔離装置からの検知通知情報である場合には、これを検知通知処理部140へ振り分け、検知通知情報でなければワーム判定部130へ振り分ける。さらに、検知通知情報でなければ、本来の宛先に転送する必要があるので、ワーム判定部130の処理終了後、通信遮断部170に送る。通信遮断部170では、遮断データに該当しなければ、そのまま宛先に向けて送信する。
次に、検知通知処理部140による、検知通知処理について説明する。
図10は、本実施の形態の検知通知処理の手順を示したフローチャートである。
通信情報取得部120によって、検知通知情報が入力されると処理が開始される。
[ステップS201] 検知通知処理部140は、取得した検知通知情報を検知隔離管理部150に引渡し、処理を終了する。
これにより、他のワーム検知隔離装置によって作成された検知通知情報が検知隔離管理部150に送られる。
次に、ワーム判定部130による、ワーム判定処理と検知通知情報について説明する。
図11は、本実施の形態のワーム判定処理の手順を示したフローチャートである。
ワーム判定部130には、通信情報取得部120によって、検知通知情報ではなく、通常の通信パケットであることが確認された後、一部が抽出された通信情報として入力される。
[ステップS301] ワーム判定部130は、ワーム判定前処理として、入力した通信情報を検査して、ワーム判定のための材料を用意する。ワーム判定は、1つの通信情報から判断してもよいし、いくつかの通信情報を合わせて判断してもよく、このステップでは、ワーム判定に必要な情報を用意する。
[ステップS302] 検知通知を行うかどうか、すなわち、ワーム判定に必要な情報の収集が完了できたかどうかを調べる。ワーム判定のための材料が不足するなどによってワーム判定を行えない場合は、処理をステップS308へ進める。
[ステップS303] ワーム識別情報には、ワームを識別するワーム識別名や、ワームが利用するサービスポートなどがある。ステップS301のワーム判定前処理において集められた通信情報を検査し、未処理の通信情報にワーム識別情報があるかどうかを判定する。未処理のワーム識別情報がない場合、すなわち、ワーム判定処理終了の場合は、ステップS307へ進める。
[ステップS304] 未処理のワーム識別情報がある場合、任意の1つのワーム識別情報について、ワーム判定を行う。このように、ワーム判定は、ワーム識別情報ごとに行われる。
[ステップS305] ワーム判定処理(ステップS304)の結果、ワームではないと判定された場合、ステップS303に戻って、次のワーム識別情報についての処理を行う。
[ステップS306] ワームであると判定された場合、ワーム識別情報と、検出したワーム検知隔離装置及びワーム送信先アドレスを検知通知情報に設定する。ここで、ワーム検知隔離装置は、自装置に予め設定された識別番号などである。また、ワーム送信先アドレスは、通信情報のIPヘッダ部から宛先IPアドレス623を読み出すことによりわかる。また、いくつかの通信情報を合わせてワームであるかどうか判定する場合、ワームと判定したときには、既にいくつかの通信パケットは送信した後である。この場合、ワーム送信先アドレスは、この間に送信した複数の宛先アドレスとなる。1つのワーム識別情報に関する検知通知情報を設定した後、ステップS303に戻って、次のワーム識別情報についての処理を行う。
[ステップS307] すべてのワーム識別情報について検知通知情報を設定されているので、検知通知情報とともにワーム判定通知を検知隔離管理部150へ送る。
[ステップS308] ワーム判定部130による処理が終了したので、通信情報取得部120に処理を戻し、終了する。
以上の処理手順が実行されることにより、ワーム検知またはワーム検知終了の検知通知情報が生成される。
なお、ワームが検知されなくなったことをワーム判定部130で検出する場合には、たとえば、検知通知情報設定処理(ステップS306)によって生成された今回検出されたワームに関する検知通知情報と、前回の処理によって作成された前回の検知通知情報を比較することにより、検知されなくなったワームが特定される。
図12は、本実施の形態の検知通知情報の一例を示した図である。
検知通知情報700には、検知した時刻情報701、検知であるか検知終了であるかの識別情報702、ワーム識別情報703、ワーム検知隔離装置情報704及びワーム宛先アドレス705が設定される。ワーム検知隔離装置情報704には、ワーム判定部130によって自ネットワークにワームによりなされた疑いのある通信パケットを検出したワーム検知隔離装置の識別情報が設定される。また、ワーム宛先アドレス705は、ワームによりなされた疑いのある通信パケットの宛先アドレスが設定される。
図の例では、時刻「15:00:00」にワームが「検知」され、それは「TCP80」で識別されるワームであり、「ワーム検知隔離装置100」によって検出され、そのときの宛先アドレスは「ネットワーク20」であることが設定されている。さらに、時刻「15:10:00」には、このワームが「検知終了」していることが設定されている。
なお、他のワーム検知隔離装置も同様の処理手順で検知通知情報を作成しており、他のワーム検知隔離装置から受信した検知通知情報も同様の形式をとる。
次に、検知隔離管理部150による、検知隔離処理と検知隔離状態管理表について説明する。図13は、本実施の形態の検知隔離処理の手順を示したフローチャートである。
以下の説明では、ワーム判定部130によって作成される検知通知情報は「ワームの疑いのある通信を検知した」場合の検知通知のみが作成されるとする。ワーム判定部130または検知通知処理部140によって、検知通知情報が入力され、処理が開始される。
[ステップS401] 検知通知情報が自装置のワーム判定部130により作成されたのか、他装置からの通知であるかを判定する。判定の際には、検知通知情報のワーム検知隔離装置情報704を参照し、設定されている識別情報が自装置のものであれば、自ネットワークでの検知と判定し、処理をステップS402へ進める。自装置のものでなければ、他装置からの検知通知情報と判断し、処理をステップS409へ進める。
<検知通知情報が自装置生成である場合>
[ステップS402] 検知通知情報に設定されるワーム識別情報ごとに処理を行い、設定されたすべてのワーム識別情報について処理を行う。検知通知情報には、ワーム識別情報ごとにエントリがされているので、未処理の登録エントリがあるかどうかを判定する。ない場合は、処理をステップS406へ進める。
[ステップS403] 検知通知情報に未処理の登録エントリがあるので、そのエントリを読み出し、検知隔離管理表に同じ内容のエントリがあるかどうか照合する。エントリがある場合には、通信遮断処理が既に行われていると判断し、ステップS402に処理を戻し、次のワーム識別情報を処理する。
[ステップS404] 検知通知情報に基づき、検知隔離状態管理表にエントリを追加する。後述する検知隔離状態管理表には、検知通知情報から抽出した「時刻」、「ワーム識別情報」及び「ワーム検知隔離装置」とともに、ワームによってなされる攻撃を受けているか否かについての「ワーム被攻撃」情報が設定される。「ワーム被攻撃」は、ワームによって送信される通信パケットの宛先アドレスに自ネットワークが含まれていれば、「有」、含まれていなければ「無」を設定する。ここでは、該当ワーム識別情報の検知通知情報にワーム被攻撃を「無」と設定したエントリを作成し、検知隔離状態管理表に追加する。
[ステップS405] 検知通知送信部160に対し、検知通知情報を他のワーム検知管理装置に送信するように依頼する。そして、ステップS402に戻って次のワーム識別情報を処理する。
以上の処理手順が実行されることにより、自装置が自ネットワークにおいて検知したワームに応じて、自ネットワークの通信遮断を制御するための検知隔離管理表が設定される。続いて、検知隔離状態管理表へのエントリ追加が終了した後の処理について説明する。
[ステップS406] ステップS404の処理によって新たに作成された検知隔離状態管理表と、前回もしくは所定の期間前に作成された検知隔離状態管理表を比較し、検知が終了したワーム識別情報が検出されるかどうかを判定する。検知無がない、すなわち、検知が終了したワーム識別情報が検出されない場合は、処理をステップS413に進める。
[ステップS407] 以前の検知隔離状態管理表にはあるが、今回の検知隔離状態管理表にないエントリについて、検知隔離管理表からこのエントリを削除する。このとき、通信遮断を解除するため、遮断解除依頼用に削除したエントリを一時保存しておく。
[ステップS408] 検知通知送信部160に対し、検知終了の検知通知情報を他のワーム検知管理装置に送信するように依頼する。そして、処理をステップS413に進める。
以上の処理手順が実行されることにより、検知されなくなったワーム通信に関する管理情報が削除され、検知終了の検知通信情報を他のワーム検知隔離装置に送信される。
<検知通知情報を他装置から取得した場合>
[ステップS409] 検知通知情報を解析し、ワーム宛先アドレスに自ネットワークが含まれているかどうかを判定する。ワーム宛先アドレスに自ネットワークが含まれている場合、処理をステップS411へ進める。
[ステップS410] ワーム宛先アドレスに自ネットワークが含まれていないので、まだ攻撃を受けていないと判断し、ワーム被攻撃を「無」と設定し、処理をステップS412へ進める。
[ステップS411] ワーム宛先アドレスに自ネットワークが含まれているので、既に攻撃を受けている可能性が高いと判断し、ワーム被攻撃を「有」と設定する。
[ステップS412] 検知通知情報が、ワーム検知の通知であれば、検知通知情報の「時刻」、「ワーム識別情報」及び「ワーム検知隔離装置」に、ステップS410またはステップS412で設定した「ワーム被攻撃」の有無を付加してエントリを生成し、検知隔離状態管理表に追加する。一方、検知通知情報が、ワーム検知終了の通知であれば、該当するエントリを検知隔離状態管理表から削除する。以上のようにして、検知隔離状態管理表を更新する。
以上の処理手順が実行されることにより、検知通知情報に基づき、エントリの追加または削除が行われ、検知隔離管理表が更新される。続いて、検知隔離管理表に基づいて、隔離判定が行われる。
<隔離判定>
[ステップS413] 検知隔離管理表の各エントリについて、隔離ポリシーを参照して、IN方向の通信の遮断を行うのか、IN/OUT両方向の通信の遮断を行うのか判定し、通信遮断部170へ通信遮断を依頼する。また、ステップS407において、一時保存しておいた、削除したエントリを参照し、通信遮断部170へ通信遮断解除を依頼する。
以上の処理手順が実行されることにより、検知隔離状態管理表が更新され、検知隔離状態管理表と隔離ポリシーとから通信遮断及び通信遮断解除の指示が設定される。
図14は、本実施の形態における検知隔離状態管理表の一例を示した図である。
検知隔離状態管理表1511は、ワームが検知され、隔離を行っている検知隔離管理部150によって図13に示した処理手順が実行され、エントリが設定/削除される。
検知隔離状態管理表のエントリは、検知通知情報から抽出される「時刻」、「ワーム識別情報」及び「ワーム検知隔離装置」の情報に、「ワーム被攻撃」が付加され、生成される。
自装置をワーム検知隔離装置100とすると、図の例では、ワーム判定部130のワーム判定によりワームが検知され、エントリ1511aが設定される。また、エントリ1511b、エントリ1511c、エントリ1511dは、それぞれワーム検知隔離装置200、400、300から送信された検知通知情報に基づき設定されている。
ここで、検知隔離状態管理表1511に基づく隔離判定処理について説明する。以下、隔離ポリシーとして、
(1)自ネットワークにワームが検知された場合、IN通信/OUT通信を遮断。
(2)他ネットワークにワームが検知された場合、自ネットワークに攻撃されていればIN/OUT通信を遮断。
(3)他ネットワークにワームが検知された場合、自ネットワークに攻撃されていなければIN通信を遮断。
が設定されていたとする。
エントリ1151aについて隔離判定を行うと、ワームは自ネットワーク(ワーム検知隔離装置100)で検知されたので、隔離ポリシー(1)に基づき、ワームの疑いのある通信サービスに関するIN/OUT通信の両方向を遮断するという判断がなされる。
エントリ1151bについては、ワームは他ネットワーク(ワーム検知隔離装置200)で検知され、自ネットワークが攻撃されている(ワーム被攻撃=有)ので、隔離ポリシー(2)に基づき、ワームの疑いのある通信サービスに関するIN/OUT通信の両方向を遮断するという判断がなされる。これは、自ネットワークでは、まだワーム検知されていないが、ワーム攻撃を受けていることから、既に感染し、この後攻撃元となる端末が存在する可能があることによる。
エントリ1151cについても同様に、ワームは他ネットワーク(ワーム検知隔離装置400)で検知され、自ネットワークが攻撃されている(ワーム被攻撃=有)ので、隔離ポリシー(2)に基づき、ワームの疑いのある通信サービスに関するIN/OUT通信の両方向を遮断するという判断がなされる。
エントリ1151dについては、ワームは他ネットワーク(ワーム検知隔離装置300)で検知されたが、自ネットワークは攻撃されていない(ワーム被攻撃=無)ので、隔離ポリシー(3)に基づき、ワームの疑いのある通信サービスに関するIN通信を遮断するという判断がなされる。これは、攻撃を受けていないので自ネットワークにワーム感染が及んでいる可能性は低いが、今後攻撃される可能性があるので、入力側を遮断し、感染予防するための措置である。
上記では、簡単な隔離ポリシーで説明したが複雑な隔離ポリシーを必要としない場合は、隔離処理手順をプログラムに設定しておくようにすることもできる。
また、必要であれば、図5に示したようにさまざまな状態を想定して隔離ポリシーを設定することもできる。
さらに、上記の説明では、他のワーム検知隔離装置から検知通知を受信すると、すぐに隔離処理を行うとしたが、隔離処理を開始するための条件を設定し、条件が成立した場合に隔離処理を行うとすることもできる。
図15は、本実施の形態の隔離処理の開始条件を設定した隔離ポリシーの一例を示した図である。
図の例の隔離ポリシー1522は、検知通知情報に含まれる、ワームと検知された通信サービスの宛先ポート番号とプロトコルが同一の検知通知情報が閾値を超えて受信された場合に、遮断処理を行うという規定が設定されている。図の例では、ワーム通信が「宛先ポート番号=80」、「プロトコル=TCP」と設定される検知通知情報が、2回検出された場合にはIN通信の遮断を行い、3回検出された場合にはOUT通信の遮断を行うことが規定されている。したがって、この内容を有する検知通知情報を最初に受信した段階では、隔離処理は開始されず、通信遮断は行われない。
このように、閾値までワーム検知の通知があった場合にのみ隔離処理が実行されることにより、ワームを誤検出した際に、その影響が連携する他のネットワークに及ぶ可能性を低くすることができる。
なお、図15に示した隔離ポリシー1522は、図5に示した隔離ポリシー1521と同時に設定することもできる。
次に、検知通知送信部160による検知通知送信処理について説明する。
図16は、本実施の形態の検知通知処理手順を示したフローチャートである。
検知隔離管理部150によって、検知通知情報の送信依頼により処理が開始される。
[ステップS601] 検知通知送信部160は、検知隔離管理部150より送信依頼を受けたワーム判定部130によって自装置が検知したワームに関する検知通知情報を通信送受信部110に送るよう依頼する。
これにより、このワーム検知隔離装置が検出したワームに関する検知通知情報が、連携する他のワーム検知隔離装置に送信される。
次に、通信遮断部170による通信遮断処理について説明する。
図17は、本実施の形態の通信遮断処理における遮断データ設定手順を示したフローチャートである。
検知隔離管理部150より通信の遮断依頼または遮断解除依頼を取得し、処理が開始される。
[ステップS171] 遮断依頼または遮断解除依頼に基づき、関連するワーム感染情報を取得する。ワーム感染情報は、他装置からの検知通知情報によって遮断を行う場合は、検知通知情報に基づき、ワーム識別情報などが抽出される。また、自装置がワーム判定部130によってワームを検知した場合は、検知通知情報のほか、通信情報取得部120より取得した通信情報などを参照し、さらに詳細な情報を取得することができる。このようなワーム感染情報に基づき、遮断対象の通信サービスを特定する遮断データを導出する。
[ステップS172] ステップS171により導出された遮断データを、遮断データ(記憶装置)171に格納される遮断データテーブルに登録された遮断データと順次照合し、この遮断データが遮断データテーブルに未登録であるかどうかを判定する。未登録でなければ、既に処理されているので、そのまま処理を終了する。
[ステップS173] 遮断データが遮断データテーブルに未登録であれば、該当するワーム通信を遮断する。自装置がワーム検知したのであれば、通信情報取得部120より取得した通信パケットはワームの疑いがあるので、これを破棄する。なお、遮断解除指令である場合は、何もしない。
[ステップS174] 遮断指令であれば、遮断データを遮断データテーブルに登録する。遮断解除指令であれば、該当する遮断データを遮断データテーブルから削除する。このようにして、追加または削除され、更新された遮断データテーブルを遮断データ(記憶装置)171に格納する。
以上の処理手順が実行されることにより、遮断依頼または遮断解除依頼に応じて、遮断データテーブルが更新される。次に、遮断データテーブルに基づく、通信遮断処理について説明する。
図18は、本実施の形態の通信遮断処理における遮断手順を示したフローチャートである。図の例では、遮断データテーブル801として、ワーム識別情報と、遮断方向(INまたはOUT)が設定されている。
[ステップS181] 通信情報取得部120より取得した通信パケットを、遮断データテーブル801と照合し、遮断データに合致しているかどうかを判定する。図の例では、ワーム種別が「TCP80」であれば、IN通信を遮断するので、通信パケットの宛先、プロトコルを参照し、条件に合致するか否かを判定する。合致していなければ、処理をステップS183へ進める。
[ステップS182] 遮断データに合致していれば、通信情報取得部120より取得した通信パケットを破棄し、処理を終了する。これにより、この通信パケットは宛先に届かない。
[ステップS183] 遮断データに合致していなければ、通信情報取得部120より取得した通信パケットを通信送受信部110に送り、処理を終了する。これにより、この通信パケットは、通信送受信部110によって宛先に向けて送信される。
以上の処理手順が実行されることにより、遮断データに合致した通信サービスが遮断される。
このように、本実施の形態のワーム検知隔離装置は、自ネットワークにワームが検知されると、自ネットワークの通信を遮断するとともに、ネットワークで接続する他のワーム検知隔離装置に、ワームが検知されたことをワームの種別や攻撃先(通信の宛先)などワームに関する情報とともに検知通知情報として伝達する。検知通知情報を受信したワーム検知隔離装置では、自ネットワークにワームが検知されていなくても、検知通知情報と予め設定された隔離ポリシーに基づき、予防措置を行うことができる。このように、ネットワークを介して接続するワーム検知隔離装置が互いに連携することにより、ワームが発生したネットワークセグメントを隔離し、ワームの感染拡大を防止することが可能となる。
図19は、本実施の形態のワーム検知隔離装置による連携処理を示した図である。
それぞれ、サブネットワーク10を管理するワーム検知隔離装置100、サブネットワーク20を管理するワーム検知隔離装置200及びサブネットワーク30を管理するワーム検知隔離装置300が上位ネットワーク50を介して接続している。
各ワーム検知隔離装置に設定される隔離ポリシーを説明する。
図20は、本実施の形態のワーム検知隔離装置に設定される隔離ポリシーの一例を示した図である。
図の例の隔離ポリシー1523では、自ネットワークへのワーム受信がなかった場合には(自ネットワークへのワーム受信無の時の隔離)、自ネットワーク内のコンピュータがワームに感染している可能性は低いので、自ネットワークから外部に向けて出る方向(OUT)の隔離は行わない。しかしながら、他のネットワークでワームが検知されており、ワーム通信が入力する可能性があるので、自ネットワークに入る方向(IN)のワームが使用するサービスの通信を遮断する設定がされている。また、自ネットワークへのワーム受信があった場合には(自ネットワークへのワーム受信有の時の隔離)、自ネットワーク内のコンピュータがワームに感染している可能性は高いとして、IN方向のワームが使用するサービスの通信と、OUT方向のワームが使用するサービスの通信の双方を遮断する設定がされている。また、自装置がワーム未検知の場合、検知通知情報があっても隔離を継続しない(自装置未検知時の隔離継続=しない)設定となっているので、OUT方向の通信を遮断した後、待ち時間20秒間(自装置検知までの待ち時間)が経過しても自ネットワークにワーム通信が検出されなかった場合、自ネットワークのコンピュータがワームに感染している可能性が低いと判断して、OUT方向の通信遮断を解除する設定がされている。
図19に戻って説明する。
ここで、サブネットワーク10にワームに感染したコンピュータが接続されたとする。このワームに感染したコンピュータがワーム送信を開始すると、ワーム検知隔離装置100はワームを検知し、ワームの通信を遮断して、ワームをネットワーク10の中に隔離する。そして、ワーム検知隔離装置100は、ワーム検知隔離装置200とワーム検知隔離装置300にワームを検知したことを示す検知通知情報700を送信する。
このとき、ワーム検知隔離装置200及びワーム検知隔離装置300は、まだ自ネットワークにワームを検知していないとする。また、検知通知情報700には、ワーム感染コンピュータが行ったワーム送信の宛先情報が設定されており、ここでは、ワーム送信の宛先情報にサブネットワーク20が含まれているとする。
ワーム検知隔離装置200は、検知通知情報700を取得すると、管理するサブネットワーク20にワームは検知されていないが、サブネットワーク10に接続されたワームに感染するコンピュータからワームを受信しているので、隔離ポリシー1523に従って、サブネットワーク20内のコンピュータがワームに感染している可能性は高いと判断し、IN方向及びOUT方向のワームが使用するサービスの通信を遮断する。IN方向の通信を遮断することにより、ワーム検知隔離装置100が通信を遮断する前に他ネットワークにワームが広がっていた場合であっても、サブネットワーク20内へのワーム侵入を阻止することができる。また、OUT方向の通信を遮断することにより、サブネットワーク20のコンピュータがワームに感染していた場合のワーム送信を遮断し、他ネットワークへの感染を防止することができる。また、隔離ポリシー1523に基づき、待ち時間(20秒間)が経過してもサブネットワーク20にワームが検知されない場合、サブネットワーク20内のコンピュータがワームに感染している可能性が低いと判断して、OUT方向の通信遮断を解除する。これにより、以降の通信を安全に行うことができる。
その後、ワーム検知隔離装置200でサブネットワーク20に接続されたコンピュータからのワームを検知した場合は、ワーム検知隔離装置100がワームを検知した場合と同じ処理を行う。
また、ワーム検知隔離装置300は、検知通知情報700を取得すると、サブネットワーク10に接続されたワームに感染するコンピュータからワームを受信していないので、隔離ポリシー1523に従って、サブネットワーク30内のコンピュータがワームに感染している可能性は低い。この場合にはIN方向のワームが使用するサービスの通信を遮断し、ワーム侵入を阻止する。なお、サブネットワーク30に新たにワームに感染したコンピュータが接続される場合も考えられるので、隔離ポリシー1523の「自ネットワークへのワーム受信無の時の隔離」をIN側とOUT側の両方向で遮断するように設定することもできる。この場合は、ワーム検知隔離装置200と同様に、IN方向及びOUT方向のワームが使用するサービスの通信を遮断する。
以上のように、ワーム検知隔離装置が連携することにより、自ネットワークにワームが検知されなくても、いずれかのワーム検知隔離装置でワームが検知されれば、これに応じて感染防止の予防措置を行うことができる。また、ワームを検知したワーム検知隔離装置からの通知は、ワーム種別やワーム通信の宛先など、検知されたワームに関する情報であるので、各ワーム検知装置は、予め設定された隔離ポリシーに従って、自ネットワークに最適な予防措置をとることができる。
上記では、パケット監視によってワームが検出される場合について説明したが、本発明はこれに限定されない。ワーム検出では、自サブネット内にワームが存在するか否かがわかればよく、たとえば、クライアントまたはサーバによってワーム検出プログラムを起動させてデータ確認を行うことによってワームが検出された場合でも同様の処理を行うことができる。さらに、ネットワークのセキュリティ対策として、ワームと同様に関連するネットワークの遮断が有効な事象の防御にも適用することができる。
なお、上記の処理機能は、クライアントサーバシステムのサーバコンピュータによって実現することができる。その場合、ネットワーク遮断装置が有すべき機能の処理内容を記述したサーバプログラムが提供される。サーバコンピュータは、クライアントコンピュータからの要求に応答して、サーバプログラムを実行する。これにより、上記処理機能がサーバコンピュータ上で実現され、処理結果がクライアントコンピュータに提供される。
処理内容を記述したサーバプログラムは、サーバコンピュータで読み取り可能な記録媒体に記録しておくことができる。サーバコンピュータで読み取り可能な記録媒体としては、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープなどがある。光ディスクには、DVD(Digital Versatile Disc)、DVD−RAM、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)などがある。光磁気記録媒体には、MO(Magneto-Optical disk)などがある。
サーバプログラムを流通させる場合には、たとえば、そのサーバプログラムが記録されたDVD、CD−ROMなどの可搬型記録媒体が販売される。
サーバプログラムを実行するサーバコンピュータは、たとえば、可搬型記録媒体に記録されたサーバプログラムを、自己の記憶装置に格納する。そして、サーバコンピュータは、自己の記憶装置からサーバプログラムを読み取り、サーバプログラムに従った処理を実行する。なお、サーバコンピュータは、可搬型記録媒体から直接サーバプログラムを読み取り、そのサーバプログラムに従った処理を実行することもできる。
(付記1) コンピュータを、管理対象のネットワーク単位の通信遮断を制御し、必要に応じて前記ネットワーク単位をネットワークから隔離する様、機能させるネットワーク遮断制御プログラムにおいて、
前記コンピュータを、
管理対象のネットワーク単位に関する通信が所定の条件を満たした通信であるかどうかを監視し、前記所定の条件を満たした通信であることが検知された場合は所定の検知通知情報を生成する検知手段、
前記検知手段から前記検知通知情報を取得した場合、または他の外部ネットワーク単位を管理するネットワーク遮断装置から前記外部ネットワーク単位に関する通信が前記所定の条件を満たした通信であることを通知する前記検知通知情報を取得した場合に、前記検知通知情報に応じて、隔離ポリシーを記憶した隔離ポリシー記憶手段に記憶されている隔離ポリシーに基づき、前記管理対象のネットワーク単位に入出力する通信の遮断操作に関する遮断操作依頼を生成するとともに、前記検知手段から取得した前記検知通知情報を前記外部ネットワーク単位を管理する前記ネットワーク遮断装置に送信する隔離管理手段、
前記隔離管理手段から前記遮断操作依頼を取得し、前記遮断操作依頼に応じて前記管理対象のネットワーク単位について前記所定の条件を満たした通信に関する遮断を制御する通信遮断手段、
として機能させることを特徴とするネットワーク遮断制御プログラム。
(付記2) 前記検知手段は、ワームによりなされた通信が備える特性に応じて設定される前記所定の条件に基づき、前記管理対象のネットワーク単位に関する通信が前記ワームによりなされた通信を検知する、
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
(付記3) 前記通信遮断手段は、前記遮断操作依頼に基づき、通信遮断を行う対象を特定する遮断データを設定するとともに、前記管理対象のネットワーク単位から出力される通信パケット及び前記管理対象のネットワーク単位に入力する前記通信パケットを一時取得して前記遮断データと照合し、一致する場合は前記通信パケットを破棄し、一致しない場合は前記通信パケットを通過させる、
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
(付記4) 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記管理対象のネットワーク単位から外部に向けて出る方向の出力通信と、前記管理対象のネットワーク単位に入る方向の入力通信のそれぞれに関する前記隔離処理が記憶されており、
前記隔離管理手段は、前記検知通知情報を取得すると、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づき前記入力通信及び前記出力通信ごとに前記隔離処理を行う、
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
(付記5) 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記外部ネットワーク単位で検知された前記所定の条件を満たす通信が前記管理対象のネットワークで検知されていない場合に前記隔離処理を行うか否かが記憶されており、
前記隔離管理手段は、前記検知手段が前記所定の条件を満たす通信を検知していない状態で前記外部ネットワーク単位の前記検知通知情報を取得した場合に、前記隔離ポリシー記憶手段に記憶されている前記隔離ポリシーに基づき前記管理対象のネットワーク単位の隔離を行うか否かを判断する、
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
(付記6) 前記検知手段は、検知された前記所定の条件を満たす通信に関し、検知前に既に送信された前記所定の条件を満たす通信に関する前記通信パケットが送信された宛先を検出し、前記検知通知情報に設定する、
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
(付記7) 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記外部ネットワーク単位で検知された前記所定の条件を満たす通信の宛先に前記管理対象のネットワーク単位に接続する装置が含まれている場合の前記隔離処理と含まれていない場合の前記隔離処理がそれぞれ記憶されており、
前記隔離管理手段は、前記外部ネットワーク単位の前記検知通知情報を取得すると、前記検知通知情報に設定される前記宛先に前記管理対象のネットワーク単位に接続する装置が含まれているか否かを判定し、判定結果に対応する前記隔離処理を行う、
ことを特徴とする付記4記載のネットワーク遮断制御プログラム。
(付記8) 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記宛先に前記管理対象のネットワーク単位に接続する前記装置が含まれている場合に、前記管理対象のネットワーク単位を前記管理対象のネットワーク単位に入る方向の入力通信及び出る方向の出力通信から隔離することが記憶されており、
前記隔離管理手段は、前記外部ネットワーク単位の前記検知通知情報を取得すると、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づき、前記検知通知情報に設定される前記宛先に前記管理対象のネットワーク単位に接続する装置が含まれているか否かを判定し、含まれている場合は、前記管理対象のネットワーク単位の前記入力通信と前記出力通信について前記所定の条件を満たす通信に関する遮断を指示する遮断操作依頼を生成する、
ことを特徴とする付記7記載のネットワーク遮断制御プログラム。
(付記9) 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記宛先に前記管理対象のネットワーク単位に接続する前記装置が含まれていない場合に、前記管理対象のネットワーク単位を前記管理対象のネットワーク単位に入る方向の入力通信及び出る方向の出力通信から隔離することが記憶されており、
前記隔離管理手段は、前記外部ネットワーク単位の前記検知通知情報を取得すると、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づき、前記検知通知情報に設定される前記宛先に前記管理対象のネットワーク単位に接続する装置が含まれているか否かを判定し、含まれていない場合は、前記管理対象のネットワーク単位の前記入力通信と前記出力通信について前記所定の条件を満たす通信に関する遮断を指示する遮断操作依頼を生成する、
ことを特徴とする付記7記載のネットワーク遮断制御プログラム。
(付記10) 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記宛先に前記管理対象のネットワーク単位に接続する前記装置が含まれていない場合に、前記管理対象のネットワーク単位を前記管理対象のネットワーク単位に入る方向の入力通信及び出る方向の出力通信から隔離することが記憶されており、
前記隔離管理手段は、前記外部ネットワーク単位の前記検知通知情報を取得すると、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づき、前記検知通知情報に設定される前記宛先に前記管理対象のネットワーク単位に接続する装置が含まれているか否かを判定し、含まれていない場合は、前記管理対象のネットワーク単位の前記入力通信について前記所定の条件を満たす通信に関する遮断を指示する遮断操作依頼を生成する、
ことを特徴とする付記7記載のネットワーク遮断制御プログラム。
(付記11) 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記外部ネットワーク単位で検知された前記検知通知情報を取得して前記管理対象のネットワーク単位の通信遮断を行ってから前記検知手段によって前記所定の条件を満たす通信が検知されるまでの待ち時間が記憶されており、
前記隔離管理手段は、他装置からの前記検知通知情報に基づいて通信を遮断する遮断操作依頼を行った場合は、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づき、前記待ち時間が経過するまでに前記検知手段によって前記所定の条件を満たす通信が検知されなければ、前記検知通知情報に基づき行われた前記管理対象のネットワーク単位から外部に向けて出る方向の出力通信の遮断を解除する遮断操作依頼を生成する、
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
(付記12) 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記外部ネットワーク単位で検知された前記検知通知情報に応じて前記隔離処理を実行するための条件が記憶されており、
前記隔離管理手段は、前記外部ネットワーク単位の前記検知通知情報を取得すると、前記隔離処理を実行するための条件が成立したかどうかを判定し、成立した場合に前記隔離開始処理を行う、
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
(付記13) 前記隔離処理を実行するための条件は、前記検知通知情報の取得回数である、
ことを特徴とする付記12記載のネットワーク遮断制御プログラム。
(付記14) 前記隔離管理手段は、前記検知手段によって検知された前記所定の条件を満たす通信が検出されなくなった場合は、前記所定の条件を満たす通信が検出されなくなった検知終了を通知する検知終了通知情報を生成して前記外部ネットワーク単位を管理する前記ネットワーク遮断装置に送信するとともに、前記隔離ポリシーに基づいて前記管理対象のネットワーク単位の隔離が解除できる場合は、通信遮断の解除を指示する前記遮断操作依頼を生成する、
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
(付記15) 前記隔離管理手段は、前記外部ネットワーク単位を管理する前記ネットワーク遮断装置から前記検知終了通知情報を取得すると、他の前記ネットワーク遮断装置から前記検知終了に対応する前記検知通知情報を取得していなければ、前記検知通知情報に応じて行われた通信遮断を解除する前記遮断操作依頼を生成する、
ことを特徴とする付記14記載のネットワーク遮断制御プログラム。
(付記16) 前記隔離管理手段は、前記検知通知情報が前記検知手段により作成されている場合は、前記管理対象のネットワーク単位について前記所定の条件を満たした通信に関する遮断する前記遮断操作依頼を生成し、前記検知通知情報が前記外部ネットワークを管理する前記ネットワーク遮断装置から取得した場合に、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づく隔離処理を行う、
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
(付記17) 管理対象のネットワーク単位の通信遮断を制御し、必要に応じて前記ネットワーク単位をネットワークから隔離するネットワーク遮断装置において、
管理対象のネットワーク単位に関する通信が所定の条件を満たした通信であるかどうかを監視し、前記所定の条件を満たした通信であることが検知された場合は所定の検知通知情報を生成する検知手段と、
前記検知手段から前記検知通知情報を取得した場合、または他の外部ネットワーク単位を管理するネットワーク遮断装置から前記外部ネットワーク単位に関する通信が前記所定の条件を満たした通信であることを通知する前記検知通知情報を取得した場合に、前記検知通知情報に応じて、隔離ポリシーを記憶した隔離ポリシー記憶手段に記憶されている隔離ポリシーに基づき、前記管理対象のネットワーク単位に入出力する通信の遮断操作に関する遮断操作依頼を生成するとともに、前記検知手段から取得した前記検知通知情報を前記外部ネットワーク単位を管理する前記ネットワーク遮断装置に送信する隔離管理手段と、
前記隔離管理手段から前記遮断操作依頼を取得し、前記遮断操作依頼に応じて前記管理対象のネットワーク単位について前記所定の条件を満たした通信に関する遮断を制御する通信遮断手段と、
を具備することを特徴とするネットワーク遮断装置。
(付記18) 管理対象のネットワーク単位の通信遮断を制御し、必要に応じて前記ネットワーク単位をネットワークから隔離するネットワーク遮断方法において、
検知手段が、管理対象のネットワーク単位に関する通信が所定の条件を満たした通信であるかどうかを監視し、前記所定の条件を満たした通信であることが検知された場合は所定の検知通知情報を生成し、
隔離管理手段が、前記検知手段から前記検知通知情報を取得した場合、または他の外部ネットワーク単位を管理するネットワーク遮断装置から前記外部ネットワーク単位に関する通信が前記所定の条件を満たした通信であることを通知する前記検知通知情報を取得した場合に、前記検知通知情報に応じて、隔離ポリシーを記憶した隔離ポリシー記憶手段に記憶されている前記隔離ポリシーに基づき、前記管理対象のネットワーク単位に入出力する通信の遮断操作に関する遮断操作依頼を生成するとともに、前記検知手段から取得した前記検知通知情報を前記外部ネットワーク単位を管理する前記ネットワーク遮断装置に送信し、
通信遮断手段が、前記隔離管理手段から前記遮断操作依頼を取得し、前記遮断操作依頼に応じて前記管理対象のネットワーク単位について前記所定の条件を満たした通信に関する遮断を制御する、
ことを特徴とするネットワーク遮断方法。
実施の形態に適用される発明の概念図である。 本実施の形態のワーム検知隔離装置が適用されるシステムの構成図である。 本実施の形態のワーム検知隔離装置のハードウェア構成例を示すブロック図である。 実施の形態のワーム検知隔離装置の機能ブロック図を示す図である。 本実施の形態における検知通知による隔離ポリシーの一例を示した図である。 TCPパケットの構成図である。 TCPパケットの各ヘッダ部の詳細な構成図である。 本実施の形態のワーム検知隔離処理手順を示したフローチャートである。 本実施の形態の通信情報取得処理の手順を示したフローチャートである。 本実施の形態の検知通知処理の手順を示したフローチャートである。 本実施の形態のワーム判定処理の手順を示したフローチャートである。 本実施の形態の検知通知情報の一例を示した図である。 本実施の形態の検知隔離処理の手順を示したフローチャートである。 本実施の形態における検知隔離状態管理表の一例を示した図である。 本実施の形態の隔離処理の開始条件を設定した隔離ポリシーの一例を示した図である。 本実施の形態の検知通知処理手順を示したフローチャートである。 本実施の形態の通信遮断処理における遮断データ設定手順を示したフローチャートである。 本実施の形態の通信遮断処理における遮断手順を示したフローチャートである。 本実施の形態のワーム検知隔離装置による連携処理を示した図である。 本実施の形態のワーム検知隔離装置に設定される隔離ポリシーの一例を示した図である。
符号の説明
1 ネットワーク遮断装置
1a 検知手段
1b 隔離ポリシー(記憶手段)
1c 隔離管理手段
1d 通信遮断手段
1e 通信手段
2a ネットワークセグメントA
2b ネットワークセグメントB
3a、3b ネットワーク遮断装置
4a、4b 外部ネットワークセグメント
5 上位ネットワーク
6 検知通知

Claims (10)

  1. コンピュータを、管理対象のネットワーク単位の通信遮断を制御し、前管理対象のネットワーク単位をネットワークから隔離する様、機能させるネットワーク遮断制御プログラムにおいて、
    前記コンピュータを、
    前記管理対象のネットワーク単位に関する通信を監視し、ワームによりなされた通信を所定の条件に基づき検知た場合、前記ワームを検知したことを示す検知通知情報を生成する検知手段、
    前記検知手段から前記検知通知情報を取得した場合、または他の外部ネットワーク単位を管理するネットワーク遮断装置から前記検知通知情報を取得した場合に、前記管理対象のネットワーク単位に対する隔離処理を行うか否かを規定したデータである隔離ポリシーを記憶した隔離ポリシー記憶手段に記憶されている前記隔離ポリシーに基づき、前記管理対象のネットワーク単位に入出力する通信の遮断操作に関する遮断操作依頼を生成するとともに、前記検知手段から取得した前記検知通知情報を前記外部ネットワーク単位を管理する前記ネットワーク遮断装置に送信する隔離管理手段、
    前記隔離管理手段から前記遮断操作依頼を取得し、前記遮断操作依頼に応じて前記管理対象のネットワーク単位について前記所定の条件を満たした通信に関する遮断を制御する通信遮断手段、
    として機能させることを特徴とするネットワーク遮断制御プログラム。
  2. 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記管理対象のネットワーク単位から外部に向けて出る方向の出力通信と、前記管理対象のネットワーク単位に入る方向の入力通信のそれぞれに関する前記隔離処理が記憶されており、
    前記隔離管理手段は、前記検知通知情報を取得すると、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づき前記入力通信及び前記出力通信ごとに前記隔離処理を行う、
    ことを特徴とする請求項1記載のネットワーク遮断制御プログラム。
  3. 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記外部ネットワーク単位で検知された前記所定の条件を満たす通信が前記管理対象のネットワークで検知されていない場合に前記隔離処理を行うか否かが記憶されており、
    前記隔離管理手段は、前記検知手段が前記所定の条件を満たす通信を検知していない状態で前記外部ネットワーク単位の前記検知通知情報を取得した場合に、前記隔離ポリシー記憶手段に記憶されている前記隔離ポリシーに基づき前記管理対象のネットワーク単位の隔離を行うか否かを判断する、
    ことを特徴とする請求項1記載のネットワーク遮断制御プログラム。
  4. 前記検知手段は、検知された前記所定の条件を満たす通信に関し、検知前に既に送信された前記所定の条件を満たす通信に関する前記通信パケットが送信された宛先を検出し、前記検知通知情報に設定する、
    ことを特徴とする請求項1記載のネットワーク遮断制御プログラム。
  5. 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記外部ネットワーク単位で検知された前記所定の条件を満たす通信の宛先に前記管理対象のネットワーク単位に接続する装置が含まれている場合の前記隔離処理と含まれていない場合の前記隔離処理がそれぞれ記憶されており、
    前記隔離管理手段は、前記外部ネットワーク単位の前記検知通知情報を取得すると、前記検知通知情報に設定される前記宛先に前記管理対象のネットワーク単位に接続する装置が含まれているか否かを判定し、判定結果に対応する前記隔離処理を行う、
    ことを特徴とする請求項4記載のネットワーク遮断制御プログラム。
  6. 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記外部ネットワーク単位で検知された前記検知通知情報を取得して前記管理対象のネットワーク単位の通信遮断を行ってから前記検知手段によって前記所定の条件を満たす通信が検知されるまでの待ち時間が記憶されており、
    前記隔離管理手段は、他装置からの前記検知通知情報に基づいて通信を遮断する遮断操作依頼を行った場合は、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づき、前記待ち時間が経過するまでに前記検知手段によって前記所定の条件を満たす通信が検知されなければ、前記検知通知情報に基づき行われた前記管理対象のネットワーク単位から外部に向けて出る方向の出力通信の遮断を解除する遮断操作依頼を生成する、
    ことを特徴とする請求項1記載のネットワーク遮断制御プログラム。
  7. 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記外部ネットワーク単位で検知された前記検知通知情報に応じて前記隔離処理を実行するための条件が記憶されており、
    前記隔離管理手段は、前記外部ネットワーク単位の前記検知通知情報を取得すると、前記隔離処理を実行するための条件が成立したかどうかを判定し、成立した場合に前記隔離開始処理を行う、
    ことを特徴とする請求項1記載のネットワーク遮断制御プログラム。
  8. 前記隔離管理手段は、前記検知手段によって検知された前記所定の条件を満たす通信が検出されなくなった場合は、前記所定の条件を満たす通信が検出されなくなった検知終了を通知する検知終了通知情報を生成して前記外部ネットワーク単位を管理する前記ネットワーク遮断装置に送信するとともに、前記隔離ポリシーに基づいて前記管理対象のネットワーク単位の隔離が解除できる場合は、通信遮断の解除を指示する前記遮断操作依頼を生成する、
    ことを特徴とする請求項1記載のネットワーク遮断制御プログラム。
  9. 前記隔離管理手段は、前記外部ネットワーク単位を管理する前記ネットワーク遮断装置から前記検知終了通知情報を取得すると、他の前記ネットワーク遮断装置から前記検知終了に対応する前記検知通知情報を取得していなければ、前記検知通知情報に応じて行われた通信遮断を解除する前記遮断操作依頼を生成する、
    ことを特徴とする請求項8記載のネットワーク遮断制御プログラム。
  10. 管理対象のネットワーク単位の通信遮断を制御し、前管理対象のネットワーク単位をネットワークから隔離するネットワーク遮断装置において、
    前記管理対象のネットワーク単位に関する通信を監視し、ワームによりなされた通信を所定の条件に基づき検知た場合、前記ワームを検知したことを示す検知通知情報を生成する検知手段と、
    前記検知手段から前記検知通知情報を取得した場合、または他の外部ネットワーク単位を管理するネットワーク遮断装置から前記検知通知情報を取得した場合に、前記管理対象のネットワーク単位に対する隔離処理を行うか否かを規定したデータである隔離ポリシーを記憶した隔離ポリシー記憶手段に記憶されている前記隔離ポリシーに基づき、前記管理対象のネットワーク単位に入出力する通信の遮断操作に関する遮断操作依頼を生成するとともに、前記検知手段から取得した前記検知通知情報を前記外部ネットワーク単位を管理する前記ネットワーク遮断装置に送信する隔離管理手段と、
    前記隔離管理手段から前記遮断操作依頼を取得し、前記遮断操作依頼に応じて前記管理対象のネットワーク単位について前記所定の条件を満たした通信に関する遮断を制御する通信遮断手段と、
    を具備することを特徴とするネットワーク遮断装置。
JP2005192620A 2005-06-30 2005-06-30 ネットワーク遮断制御プログラム及びネットワーク遮断装置 Expired - Fee Related JP4429218B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005192620A JP4429218B2 (ja) 2005-06-30 2005-06-30 ネットワーク遮断制御プログラム及びネットワーク遮断装置
US11/364,002 US7564837B2 (en) 2005-06-30 2006-03-01 Recording medium recording a network shutdown control program, and network shutdown device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005192620A JP4429218B2 (ja) 2005-06-30 2005-06-30 ネットワーク遮断制御プログラム及びネットワーク遮断装置

Publications (2)

Publication Number Publication Date
JP2007011748A JP2007011748A (ja) 2007-01-18
JP4429218B2 true JP4429218B2 (ja) 2010-03-10

Family

ID=37589420

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005192620A Expired - Fee Related JP4429218B2 (ja) 2005-06-30 2005-06-30 ネットワーク遮断制御プログラム及びネットワーク遮断装置

Country Status (2)

Country Link
US (1) US7564837B2 (ja)
JP (1) JP4429218B2 (ja)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4546382B2 (ja) * 2005-10-26 2010-09-15 株式会社日立製作所 機器検疫方法、および、機器検疫システム
US20070130624A1 (en) * 2005-12-01 2007-06-07 Hemal Shah Method and system for a pre-os quarantine enforcement
US8117654B2 (en) * 2006-06-30 2012-02-14 The Invention Science Fund I, Llc Implementation of malware countermeasures in a network device
US8863285B2 (en) * 2006-04-27 2014-10-14 The Invention Science Fund I, Llc Virus immunization using prioritized routing
US9258327B2 (en) 2006-04-27 2016-02-09 Invention Science Fund I, Llc Multi-network virus immunization
US8966630B2 (en) * 2006-04-27 2015-02-24 The Invention Science Fund I, Llc Generating and distributing a malware countermeasure
US8191145B2 (en) * 2006-04-27 2012-05-29 The Invention Science Fund I, Llc Virus immunization using prioritized routing
US8151353B2 (en) 2006-04-27 2012-04-03 The Invention Science Fund I, Llc Multi-network virus immunization with trust aspects
US7934260B2 (en) * 2006-04-27 2011-04-26 The Invention Science Fund I, Llc Virus immunization using entity-sponsored bypass network
US7849508B2 (en) * 2006-04-27 2010-12-07 The Invention Science Fund I, Llc Virus immunization using entity-sponsored bypass network
US8613095B2 (en) * 2006-06-30 2013-12-17 The Invention Science Fund I, Llc Smart distribution of a malware countermeasure
US8539581B2 (en) * 2006-04-27 2013-09-17 The Invention Science Fund I, Llc Efficient distribution of a malware countermeasure
US7917956B2 (en) * 2006-04-27 2011-03-29 The Invention Science Fund I, Llc Multi-network virus immunization
US8307442B2 (en) * 2006-08-01 2012-11-06 Cisco Technology, Inc. Method of preventing infection propagation in a dynamic multipoint virtual private network
US20080295153A1 (en) * 2007-05-24 2008-11-27 Zhidan Cheng System and method for detection and communication of computer infection status in a networked environment
JP2008299696A (ja) * 2007-06-01 2008-12-11 Buffalo Inc ネットワーク接続型デバイス電源管理方法
JP4819778B2 (ja) * 2007-11-05 2011-11-24 株式会社バッファロー ネットワーク接続型デバイスおよびプログラム
US8909916B2 (en) * 2009-11-30 2014-12-09 Red Hat, Inc. Using a PKCS module for opening multiple databases
US8266262B2 (en) * 2009-11-30 2012-09-11 Red Hat, Inc. Providing network security services for multiple requesters
US8479290B2 (en) * 2010-06-16 2013-07-02 Alcatel Lucent Treatment of malicious devices in a mobile-communications network
KR101243988B1 (ko) 2011-12-23 2013-03-15 플러스기술주식회사 모바일 단말기를 위한 차단 대상 응용프로그램의 다운로드 차단시스템 및 그 방법
US9124636B1 (en) * 2012-12-28 2015-09-01 Pulse Secure, Llc Infected endpoint containment using aggregated security status information
US10397096B2 (en) 2017-04-28 2019-08-27 International Business Machines Corporation Path resolution in InfiniBand and ROCE networks
US11243899B2 (en) * 2017-04-28 2022-02-08 International Business Machines Corporation Forced detaching of applications from DMA-capable PCI mapped devices
US10778767B2 (en) 2017-04-28 2020-09-15 International Business Machines Corporation Persistent memory replication in RDMA-capable networks

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100468232B1 (ko) * 2002-02-19 2005-01-26 한국전자통신연구원 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
US7761923B2 (en) * 2004-03-01 2010-07-20 Invensys Systems, Inc. Process control methods and apparatus for intrusion detection, protection and network hardening

Also Published As

Publication number Publication date
JP2007011748A (ja) 2007-01-18
US20070002838A1 (en) 2007-01-04
US7564837B2 (en) 2009-07-21

Similar Documents

Publication Publication Date Title
JP4429218B2 (ja) ネットワーク遮断制御プログラム及びネットワーク遮断装置
JP3999188B2 (ja) 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
US10326777B2 (en) Integrated data traffic monitoring system
JP4051020B2 (ja) ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置
JP4371905B2 (ja) 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
KR101038387B1 (ko) 원치 않는 트래픽 검출 방법 및 장치
JPH09269930A (ja) ネットワークシステムの防疫方法及びその装置
JP2004364306A (ja) クライアント−サーバ接続要求を制御するシステム
JP2002073433A (ja) 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法
US20070166051A1 (en) Repeater, repeating method, repeating program, and network attack defending system
JP2001057554A (ja) クラッカー監視システム
JP2008054204A (ja) 接続装置及び端末装置及びデータ確認プログラム
JP4680931B2 (ja) 不正アクセスプログラム監視処理方法、不正アクセスプログラム監視プログラムおよび不正アクセスプログラム監視装置
JP5980968B2 (ja) 情報処理装置、情報処理方法及びプログラム
JP2007323428A (ja) ボット検出装置、ボット検出方法、およびプログラム
JP4398316B2 (ja) ネットワーク管理装置、ネットワーク管理方法、およびプログラム
JP4303741B2 (ja) 通信遮断装置、通信遮断プログラムおよび通信遮断方法
JP5153779B2 (ja) 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置
JP3760919B2 (ja) 不正アクセス防止方法、装置、プログラム
US11159533B2 (en) Relay apparatus
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
US11997070B2 (en) Technique for collecting information relating to a flow routed in a network
JP6101525B2 (ja) 通信制御装置、通信制御方法、通信制御プログラム
KR102156600B1 (ko) 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법
JP4441517B2 (ja) ワーム判定装置、ワーム判定プログラムおよびワーム判定方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090224

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091215

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091215

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121225

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4429218

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121225

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131225

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees