JP4429218B2 - ネットワーク遮断制御プログラム及びネットワーク遮断装置 - Google Patents
ネットワーク遮断制御プログラム及びネットワーク遮断装置 Download PDFInfo
- Publication number
- JP4429218B2 JP4429218B2 JP2005192620A JP2005192620A JP4429218B2 JP 4429218 B2 JP4429218 B2 JP 4429218B2 JP 2005192620 A JP2005192620 A JP 2005192620A JP 2005192620 A JP2005192620 A JP 2005192620A JP 4429218 B2 JP4429218 B2 JP 4429218B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- communication
- quarantine
- detection
- worm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
コンピュータウィルスのなかでも、特に、ワーム(Worm)と呼ばれる種類は、自己複製しながらネットワークを介して接続するコンピュータ間を移動し、次々に感染していく。ワームは、この自己複製しながら伝播するスピードが非常に速く、その過程において多量のトラフィックを発生させるため、ネットワークに多大な負荷をかけ、ネットワークが麻痺に至る場合もある。また、次々に感染するため、一度ワームが拡散すると、ワームに感染したコンピュータを探し出し、ワームを停止させるだけでは、被害を防ぐことができない。このため、ネットワークの境界においてネットワークに入ってくるトラフィックを監視して侵入しようとするワームを検出し、その侵入を防ぐことが重要となってくる。
図1は、実施の形態に適用される発明の概念図である。
検知手段1aは、管理対象のネットワークセグメントA(2a)及びネットワークセグメントB(2b)に入出力する通信パケットを監視し、所定の条件を満たした通信が行われていることが検知されれば、これを通知する検知通知を隔離管理手段1cに送る。所定の条件を満たした通信とは、たとえば、ワームに感染した端末からは、同じプロトコルの通信パケットがランダムな宛先アドレスで大量に発信されるというような特性が有る。そこで、このような特性に応じた条件設定(所定期間内に同じプロトコルで複数宛先に対し規定値以上の送信があるかどうか)を行い、ワームによりなされた通信であるかどうかを検出する。なお、ワームやその他所定の通信の検出方法は公知であり、ここでは、検出対象に合わせた任意の検出方法が適宜選択されるとする。
本実施の形態のワーム検知隔離装置100は、複数の物理ポートを介して上位ネットワーク50及び管理対象のネットワークセグメントA(20a)とネットワークセグメントB(20b)と接続する。図の例では、物理ポート1(100a)にはネットワークセグメントA(20a)、物理ポート2(100b)にはネットワークセグメントB(20b)、物理ポート5(100c)には上位ネットワーク50が接続する。そして、上位ネットワーク50には、同様にワーム検知隔離装置と管理対象のネットワークセグメントを有する所定のネットワーク単位が複数接続している。ネットワークセグメントA(20a)には、HUB21を介して端末a(22)、端末b(23)が接続する。ネットワークセグメントB(20b)も同様の構成である。
ワーム検知隔離装置100は、CPU(Central Processing Unit)101によって装置全体が制御されている。CPU101には、バス107を介してRAM(Random Access Memory)102、ハードディスクドライブ(HDD:Hard Disk Drive)103、グラフィック処理装置104、入力インタフェース105、通信インタフェース106が接続されている。
図4は、実施の形態のワーム検知隔離装置の機能ブロック図を示す図である。
本実施の形態のワーム検知隔離装置100は、通信送受信部110、通信情報取得部120、ワーム判定部130、検知通知処理部140、検知隔離管理部150、検知通知送信部160及び通信遮断部170の手段を各処理有する。また、検知隔離状態管理表(記憶装置)151、隔離ポリシー(記憶装置)152及び遮断データ(記憶装置)171の各記憶装置を有する。
検知隔離管理部150には、遮断対象のデータの特徴(プロトコルや宛先ポート番号、ワーム種別など)を記述した遮断データに関する管理情報が登録される管理情報テーブルに相当する検知隔離状態管理表を記憶する検知隔離状態管理表(記憶装置)151と、隔離ポリシーを記憶する隔離ポリシー(記憶装置)152が接続される。そして、ワーム判定部130及び検知通知処理部140から入力される検知通知に基づき、検知隔離状態管理表(記憶装置)151と隔離ポリシー(記憶装置)152に格納されるデータを参照し、通信遮断を行うか否か、及び通信遮断解除を行うか否かを判断し、判断結果に応じて検知隔離状態管理表を更新するとともに、通信遮断の指示または遮断解除の指示の依頼を生成して通信遮断部170へ引き渡す。
まず、ワーム判定部130からの検知通知、すなわち、自装置がワームを検出した場合には、検知隔離状態管理表を参照し、ワームを検知していない状態で、ワーム判定部130からワームの疑いありの検知通知を受けた場合には、検知隔離状態管理表にエントリを追加し、通信遮断部170に通信の遮断を依頼する。そして、検知通知送信部160に対し、ワームを検知したことを示す検知通知の送信を依頼する。また、ワームを検知している状態でワーム判定部130からワームの疑いありの検知通知を受けた場合には、既に遮断依頼が行われているので、何も処理しない。また、検知状態管理表に登録されたエントリについて、ワーム判定部130から所定の期間ワームの疑いありの検知通知を受けなかった場合は、検知終了と判断し、検知隔離状態管理表の該当するエントリを削除し、通信遮断部170に通信の遮断解除を依頼する。そして、検知通知送信部160に対し、ワームを検知しなくなったことを示す検知終了通知を他のワーム検知管理装置に送信するよう依頼する。なお、ワームの疑いなしの判定もワーム判定部130によって行い、検知隔離管理部150は、その検知終了通知を受けて、遮断解除を行うとしてもよい。
図5は、本実施の形態における検知通知による隔離ポリシーの一例を示した図である。
隔離ポリシー1521には、他装置からワームを検知したという検知通知を取得した場合に、管理対象のネットワークセグメントをネットワークから隔離する隔離条件が規定されている。以下、自装置の管理対象のネットワークセグメントを自ネットワーク、他装置の管理対象のネットワークセグメントを他ネットワークとする。
TCPパケットは、各レイヤ処理においてヘッダが付加され、本実施の形態のワーム検知隔離装置100において取得するパケットには、データ部640に、TCPヘッダ630、IPヘッダ620及びイーサヘッダ610が付加されている。なお、UDPパケットは、TCPヘッダ630がUDPヘッダになり、ICMPパケットもTCPヘッダ630がICMPヘッダに相当するタイプフィールドやコードなどで構成され、他の部分は同じであるので、詳細な説明は省略する。
イーサヘッダ610は、送信元のMACアドレス(Sourced MAC Address)611を有しており、ここを参照することにより、パケット送信元のMACアドレスがわかる。
IP Address)622、宛先IPアドレス(Destination IP Address)623を有し、これらを参照することにより、パケットのプロトコル種別、送信元のIPアドレス及び宛先のIPアドレスがわかる。
TCPヘッダ630は、宛先ポート番号(Destination Port)631を有しており、ここを参照することにより、パケットの宛先ポート番号がわかる。なお、UDPパケットも同様に宛先ポート番号を有している。
図8は、本実施の形態のワーム検知隔離処理手順を示したフローチャートである。
[ステップS01] 通信情報取得部120は、通信送受信部110経由で入力した通信パケットが、他のワーム検知隔離装置から送信された検知通知であるかどうかを判断し、検知通知であれば検知通知処理部140へ検知通知を送り、処理をステップS02の検知通知処理へ進める。検知通知情報でなければ、ワーム判定部130に通信情報を渡し、処理をステップS03のワーム判定処理へ進める。
[ステップS03] ワーム判定部130は、取得した通信情報に基づき、ワーム判定を行い、検知通知情報を生成する。ワームを検知した場合は、検知通知情報を検知隔離管理部150へ送り、処理をステップS04の検知隔離処理に進める。
まず、通信情報取得部120による通信パケットの振り分け処理について説明する。
図9は、本実施の形態の通信情報取得処理の手順を示したフローチャートである。
[ステップS101] 通信情報取得部120は、受信した通信パケットが他のワーム検知隔離装置からの検知通知情報であるか否かを判定する。検知通知情報でない場合は、処理をステップS103へ進める。
以上の処理手順が実行されることにより、通信情報取得部120では、通信送受信部110によって受信された通信パケットが他のワーム検知隔離装置からの検知通知情報である場合には、これを検知通知処理部140へ振り分け、検知通知情報でなければワーム判定部130へ振り分ける。さらに、検知通知情報でなければ、本来の宛先に転送する必要があるので、ワーム判定部130の処理終了後、通信遮断部170に送る。通信遮断部170では、遮断データに該当しなければ、そのまま宛先に向けて送信する。
図10は、本実施の形態の検知通知処理の手順を示したフローチャートである。
通信情報取得部120によって、検知通知情報が入力されると処理が開始される。
これにより、他のワーム検知隔離装置によって作成された検知通知情報が検知隔離管理部150に送られる。
図11は、本実施の形態のワーム判定処理の手順を示したフローチャートである。
ワーム判定部130には、通信情報取得部120によって、検知通知情報ではなく、通常の通信パケットであることが確認された後、一部が抽出された通信情報として入力される。
[ステップS308] ワーム判定部130による処理が終了したので、通信情報取得部120に処理を戻し、終了する。
なお、ワームが検知されなくなったことをワーム判定部130で検出する場合には、たとえば、検知通知情報設定処理(ステップS306)によって生成された今回検出されたワームに関する検知通知情報と、前回の処理によって作成された前回の検知通知情報を比較することにより、検知されなくなったワームが特定される。
検知通知情報700には、検知した時刻情報701、検知であるか検知終了であるかの識別情報702、ワーム識別情報703、ワーム検知隔離装置情報704及びワーム宛先アドレス705が設定される。ワーム検知隔離装置情報704には、ワーム判定部130によって自ネットワークにワームによりなされた疑いのある通信パケットを検出したワーム検知隔離装置の識別情報が設定される。また、ワーム宛先アドレス705は、ワームによりなされた疑いのある通信パケットの宛先アドレスが設定される。
次に、検知隔離管理部150による、検知隔離処理と検知隔離状態管理表について説明する。図13は、本実施の形態の検知隔離処理の手順を示したフローチャートである。
[ステップS402] 検知通知情報に設定されるワーム識別情報ごとに処理を行い、設定されたすべてのワーム識別情報について処理を行う。検知通知情報には、ワーム識別情報ごとにエントリがされているので、未処理の登録エントリがあるかどうかを判定する。ない場合は、処理をステップS406へ進める。
<検知通知情報を他装置から取得した場合>
[ステップS409] 検知通知情報を解析し、ワーム宛先アドレスに自ネットワークが含まれているかどうかを判定する。ワーム宛先アドレスに自ネットワークが含まれている場合、処理をステップS411へ進める。
[ステップS412] 検知通知情報が、ワーム検知の通知であれば、検知通知情報の「時刻」、「ワーム識別情報」及び「ワーム検知隔離装置」に、ステップS410またはステップS412で設定した「ワーム被攻撃」の有無を付加してエントリを生成し、検知隔離状態管理表に追加する。一方、検知通知情報が、ワーム検知終了の通知であれば、該当するエントリを検知隔離状態管理表から削除する。以上のようにして、検知隔離状態管理表を更新する。
[ステップS413] 検知隔離管理表の各エントリについて、隔離ポリシーを参照して、IN方向の通信の遮断を行うのか、IN/OUT両方向の通信の遮断を行うのか判定し、通信遮断部170へ通信遮断を依頼する。また、ステップS407において、一時保存しておいた、削除したエントリを参照し、通信遮断部170へ通信遮断解除を依頼する。
図14は、本実施の形態における検知隔離状態管理表の一例を示した図である。
検知隔離状態管理表のエントリは、検知通知情報から抽出される「時刻」、「ワーム識別情報」及び「ワーム検知隔離装置」の情報に、「ワーム被攻撃」が付加され、生成される。
(1)自ネットワークにワームが検知された場合、IN通信/OUT通信を遮断。
(2)他ネットワークにワームが検知された場合、自ネットワークに攻撃されていればIN/OUT通信を遮断。
(3)他ネットワークにワームが検知された場合、自ネットワークに攻撃されていなければIN通信を遮断。
が設定されていたとする。
また、必要であれば、図5に示したようにさまざまな状態を想定して隔離ポリシーを設定することもできる。
図の例の隔離ポリシー1522は、検知通知情報に含まれる、ワームと検知された通信サービスの宛先ポート番号とプロトコルが同一の検知通知情報が閾値を超えて受信された場合に、遮断処理を行うという規定が設定されている。図の例では、ワーム通信が「宛先ポート番号=80」、「プロトコル=TCP」と設定される検知通知情報が、2回検出された場合にはIN通信の遮断を行い、3回検出された場合にはOUT通信の遮断を行うことが規定されている。したがって、この内容を有する検知通知情報を最初に受信した段階では、隔離処理は開始されず、通信遮断は行われない。
次に、検知通知送信部160による検知通知送信処理について説明する。
検知隔離管理部150によって、検知通知情報の送信依頼により処理が開始される。
[ステップS601] 検知通知送信部160は、検知隔離管理部150より送信依頼を受けたワーム判定部130によって自装置が検知したワームに関する検知通知情報を通信送受信部110に送るよう依頼する。
次に、通信遮断部170による通信遮断処理について説明する。
検知隔離管理部150より通信の遮断依頼または遮断解除依頼を取得し、処理が開始される。
このように、本実施の形態のワーム検知隔離装置は、自ネットワークにワームが検知されると、自ネットワークの通信を遮断するとともに、ネットワークで接続する他のワーム検知隔離装置に、ワームが検知されたことをワームの種別や攻撃先(通信の宛先)などワームに関する情報とともに検知通知情報として伝達する。検知通知情報を受信したワーム検知隔離装置では、自ネットワークにワームが検知されていなくても、検知通知情報と予め設定された隔離ポリシーに基づき、予防措置を行うことができる。このように、ネットワークを介して接続するワーム検知隔離装置が互いに連携することにより、ワームが発生したネットワークセグメントを隔離し、ワームの感染拡大を防止することが可能となる。
それぞれ、サブネットワーク10を管理するワーム検知隔離装置100、サブネットワーク20を管理するワーム検知隔離装置200及びサブネットワーク30を管理するワーム検知隔離装置300が上位ネットワーク50を介して接続している。
図20は、本実施の形態のワーム検知隔離装置に設定される隔離ポリシーの一例を示した図である。
ここで、サブネットワーク10にワームに感染したコンピュータが接続されたとする。このワームに感染したコンピュータがワーム送信を開始すると、ワーム検知隔離装置100はワームを検知し、ワームの通信を遮断して、ワームをネットワーク10の中に隔離する。そして、ワーム検知隔離装置100は、ワーム検知隔離装置200とワーム検知隔離装置300にワームを検知したことを示す検知通知情報700を送信する。
サーバプログラムを実行するサーバコンピュータは、たとえば、可搬型記録媒体に記録されたサーバプログラムを、自己の記憶装置に格納する。そして、サーバコンピュータは、自己の記憶装置からサーバプログラムを読み取り、サーバプログラムに従った処理を実行する。なお、サーバコンピュータは、可搬型記録媒体から直接サーバプログラムを読み取り、そのサーバプログラムに従った処理を実行することもできる。
前記コンピュータを、
管理対象のネットワーク単位に関する通信が所定の条件を満たした通信であるかどうかを監視し、前記所定の条件を満たした通信であることが検知された場合は所定の検知通知情報を生成する検知手段、
前記検知手段から前記検知通知情報を取得した場合、または他の外部ネットワーク単位を管理するネットワーク遮断装置から前記外部ネットワーク単位に関する通信が前記所定の条件を満たした通信であることを通知する前記検知通知情報を取得した場合に、前記検知通知情報に応じて、隔離ポリシーを記憶した隔離ポリシー記憶手段に記憶されている隔離ポリシーに基づき、前記管理対象のネットワーク単位に入出力する通信の遮断操作に関する遮断操作依頼を生成するとともに、前記検知手段から取得した前記検知通知情報を前記外部ネットワーク単位を管理する前記ネットワーク遮断装置に送信する隔離管理手段、
前記隔離管理手段から前記遮断操作依頼を取得し、前記遮断操作依頼に応じて前記管理対象のネットワーク単位について前記所定の条件を満たした通信に関する遮断を制御する通信遮断手段、
として機能させることを特徴とするネットワーク遮断制御プログラム。
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
前記隔離管理手段は、前記検知通知情報を取得すると、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づき前記入力通信及び前記出力通信ごとに前記隔離処理を行う、
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
前記隔離管理手段は、前記検知手段が前記所定の条件を満たす通信を検知していない状態で前記外部ネットワーク単位の前記検知通知情報を取得した場合に、前記隔離ポリシー記憶手段に記憶されている前記隔離ポリシーに基づき前記管理対象のネットワーク単位の隔離を行うか否かを判断する、
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
前記隔離管理手段は、前記外部ネットワーク単位の前記検知通知情報を取得すると、前記検知通知情報に設定される前記宛先に前記管理対象のネットワーク単位に接続する装置が含まれているか否かを判定し、判定結果に対応する前記隔離処理を行う、
ことを特徴とする付記4記載のネットワーク遮断制御プログラム。
前記隔離管理手段は、前記外部ネットワーク単位の前記検知通知情報を取得すると、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づき、前記検知通知情報に設定される前記宛先に前記管理対象のネットワーク単位に接続する装置が含まれているか否かを判定し、含まれている場合は、前記管理対象のネットワーク単位の前記入力通信と前記出力通信について前記所定の条件を満たす通信に関する遮断を指示する遮断操作依頼を生成する、
ことを特徴とする付記7記載のネットワーク遮断制御プログラム。
前記隔離管理手段は、前記外部ネットワーク単位の前記検知通知情報を取得すると、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づき、前記検知通知情報に設定される前記宛先に前記管理対象のネットワーク単位に接続する装置が含まれているか否かを判定し、含まれていない場合は、前記管理対象のネットワーク単位の前記入力通信と前記出力通信について前記所定の条件を満たす通信に関する遮断を指示する遮断操作依頼を生成する、
ことを特徴とする付記7記載のネットワーク遮断制御プログラム。
前記隔離管理手段は、前記外部ネットワーク単位の前記検知通知情報を取得すると、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づき、前記検知通知情報に設定される前記宛先に前記管理対象のネットワーク単位に接続する装置が含まれているか否かを判定し、含まれていない場合は、前記管理対象のネットワーク単位の前記入力通信について前記所定の条件を満たす通信に関する遮断を指示する遮断操作依頼を生成する、
ことを特徴とする付記7記載のネットワーク遮断制御プログラム。
前記隔離管理手段は、他装置からの前記検知通知情報に基づいて通信を遮断する遮断操作依頼を行った場合は、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づき、前記待ち時間が経過するまでに前記検知手段によって前記所定の条件を満たす通信が検知されなければ、前記検知通知情報に基づき行われた前記管理対象のネットワーク単位から外部に向けて出る方向の出力通信の遮断を解除する遮断操作依頼を生成する、
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
前記隔離管理手段は、前記外部ネットワーク単位の前記検知通知情報を取得すると、前記隔離処理を実行するための条件が成立したかどうかを判定し、成立した場合に前記隔離開始処理を行う、
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
ことを特徴とする付記12記載のネットワーク遮断制御プログラム。
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
ことを特徴とする付記14記載のネットワーク遮断制御プログラム。
ことを特徴とする付記1記載のネットワーク遮断制御プログラム。
管理対象のネットワーク単位に関する通信が所定の条件を満たした通信であるかどうかを監視し、前記所定の条件を満たした通信であることが検知された場合は所定の検知通知情報を生成する検知手段と、
前記検知手段から前記検知通知情報を取得した場合、または他の外部ネットワーク単位を管理するネットワーク遮断装置から前記外部ネットワーク単位に関する通信が前記所定の条件を満たした通信であることを通知する前記検知通知情報を取得した場合に、前記検知通知情報に応じて、隔離ポリシーを記憶した隔離ポリシー記憶手段に記憶されている隔離ポリシーに基づき、前記管理対象のネットワーク単位に入出力する通信の遮断操作に関する遮断操作依頼を生成するとともに、前記検知手段から取得した前記検知通知情報を前記外部ネットワーク単位を管理する前記ネットワーク遮断装置に送信する隔離管理手段と、
前記隔離管理手段から前記遮断操作依頼を取得し、前記遮断操作依頼に応じて前記管理対象のネットワーク単位について前記所定の条件を満たした通信に関する遮断を制御する通信遮断手段と、
を具備することを特徴とするネットワーク遮断装置。
検知手段が、管理対象のネットワーク単位に関する通信が所定の条件を満たした通信であるかどうかを監視し、前記所定の条件を満たした通信であることが検知された場合は所定の検知通知情報を生成し、
隔離管理手段が、前記検知手段から前記検知通知情報を取得した場合、または他の外部ネットワーク単位を管理するネットワーク遮断装置から前記外部ネットワーク単位に関する通信が前記所定の条件を満たした通信であることを通知する前記検知通知情報を取得した場合に、前記検知通知情報に応じて、隔離ポリシーを記憶した隔離ポリシー記憶手段に記憶されている前記隔離ポリシーに基づき、前記管理対象のネットワーク単位に入出力する通信の遮断操作に関する遮断操作依頼を生成するとともに、前記検知手段から取得した前記検知通知情報を前記外部ネットワーク単位を管理する前記ネットワーク遮断装置に送信し、
通信遮断手段が、前記隔離管理手段から前記遮断操作依頼を取得し、前記遮断操作依頼に応じて前記管理対象のネットワーク単位について前記所定の条件を満たした通信に関する遮断を制御する、
ことを特徴とするネットワーク遮断方法。
1a 検知手段
1b 隔離ポリシー(記憶手段)
1c 隔離管理手段
1d 通信遮断手段
1e 通信手段
2a ネットワークセグメントA
2b ネットワークセグメントB
3a、3b ネットワーク遮断装置
4a、4b 外部ネットワークセグメント
5 上位ネットワーク
6 検知通知
Claims (10)
- コンピュータを、管理対象のネットワーク単位の通信遮断を制御し、前記管理対象のネットワーク単位をネットワークから隔離する様、機能させるネットワーク遮断制御プログラムにおいて、
前記コンピュータを、
前記管理対象のネットワーク単位に関する通信を監視し、ワームによりなされた通信を所定の条件に基づき検知した場合、前記ワームを検知したことを示す検知通知情報を生成する検知手段、
前記検知手段から前記検知通知情報を取得した場合、または他の外部ネットワーク単位を管理するネットワーク遮断装置から前記検知通知情報を取得した場合に、前記管理対象のネットワーク単位に対する隔離処理を行うか否かを規定したデータである隔離ポリシーを記憶した隔離ポリシー記憶手段に記憶されている前記隔離ポリシーに基づき、前記管理対象のネットワーク単位に入出力する通信の遮断操作に関する遮断操作依頼を生成するとともに、前記検知手段から取得した前記検知通知情報を前記外部ネットワーク単位を管理する前記ネットワーク遮断装置に送信する隔離管理手段、
前記隔離管理手段から前記遮断操作依頼を取得し、前記遮断操作依頼に応じて前記管理対象のネットワーク単位について前記所定の条件を満たした通信に関する遮断を制御する通信遮断手段、
として機能させることを特徴とするネットワーク遮断制御プログラム。 - 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記管理対象のネットワーク単位から外部に向けて出る方向の出力通信と、前記管理対象のネットワーク単位に入る方向の入力通信のそれぞれに関する前記隔離処理が記憶されており、
前記隔離管理手段は、前記検知通知情報を取得すると、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づき前記入力通信及び前記出力通信ごとに前記隔離処理を行う、
ことを特徴とする請求項1記載のネットワーク遮断制御プログラム。 - 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記外部ネットワーク単位で検知された前記所定の条件を満たす通信が前記管理対象のネットワークで検知されていない場合に前記隔離処理を行うか否かが記憶されており、
前記隔離管理手段は、前記検知手段が前記所定の条件を満たす通信を検知していない状態で前記外部ネットワーク単位の前記検知通知情報を取得した場合に、前記隔離ポリシー記憶手段に記憶されている前記隔離ポリシーに基づき前記管理対象のネットワーク単位の隔離を行うか否かを判断する、
ことを特徴とする請求項1記載のネットワーク遮断制御プログラム。 - 前記検知手段は、検知された前記所定の条件を満たす通信に関し、検知前に既に送信された前記所定の条件を満たす通信に関する前記通信パケットが送信された宛先を検出し、前記検知通知情報に設定する、
ことを特徴とする請求項1記載のネットワーク遮断制御プログラム。 - 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記外部ネットワーク単位で検知された前記所定の条件を満たす通信の宛先に前記管理対象のネットワーク単位に接続する装置が含まれている場合の前記隔離処理と含まれていない場合の前記隔離処理がそれぞれ記憶されており、
前記隔離管理手段は、前記外部ネットワーク単位の前記検知通知情報を取得すると、前記検知通知情報に設定される前記宛先に前記管理対象のネットワーク単位に接続する装置が含まれているか否かを判定し、判定結果に対応する前記隔離処理を行う、
ことを特徴とする請求項4記載のネットワーク遮断制御プログラム。 - 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記外部ネットワーク単位で検知された前記検知通知情報を取得して前記管理対象のネットワーク単位の通信遮断を行ってから前記検知手段によって前記所定の条件を満たす通信が検知されるまでの待ち時間が記憶されており、
前記隔離管理手段は、他装置からの前記検知通知情報に基づいて通信を遮断する遮断操作依頼を行った場合は、前記隔離ポリシー記憶手段に記憶された前記隔離ポリシーに基づき、前記待ち時間が経過するまでに前記検知手段によって前記所定の条件を満たす通信が検知されなければ、前記検知通知情報に基づき行われた前記管理対象のネットワーク単位から外部に向けて出る方向の出力通信の遮断を解除する遮断操作依頼を生成する、
ことを特徴とする請求項1記載のネットワーク遮断制御プログラム。 - 前記隔離ポリシー記憶手段には、前記隔離ポリシーとして、前記外部ネットワーク単位で検知された前記検知通知情報に応じて前記隔離処理を実行するための条件が記憶されており、
前記隔離管理手段は、前記外部ネットワーク単位の前記検知通知情報を取得すると、前記隔離処理を実行するための条件が成立したかどうかを判定し、成立した場合に前記隔離開始処理を行う、
ことを特徴とする請求項1記載のネットワーク遮断制御プログラム。 - 前記隔離管理手段は、前記検知手段によって検知された前記所定の条件を満たす通信が検出されなくなった場合は、前記所定の条件を満たす通信が検出されなくなった検知終了を通知する検知終了通知情報を生成して前記外部ネットワーク単位を管理する前記ネットワーク遮断装置に送信するとともに、前記隔離ポリシーに基づいて前記管理対象のネットワーク単位の隔離が解除できる場合は、通信遮断の解除を指示する前記遮断操作依頼を生成する、
ことを特徴とする請求項1記載のネットワーク遮断制御プログラム。 - 前記隔離管理手段は、前記外部ネットワーク単位を管理する前記ネットワーク遮断装置から前記検知終了通知情報を取得すると、他の前記ネットワーク遮断装置から前記検知終了に対応する前記検知通知情報を取得していなければ、前記検知通知情報に応じて行われた通信遮断を解除する前記遮断操作依頼を生成する、
ことを特徴とする請求項8記載のネットワーク遮断制御プログラム。 - 管理対象のネットワーク単位の通信遮断を制御し、前記管理対象のネットワーク単位をネットワークから隔離するネットワーク遮断装置において、
前記管理対象のネットワーク単位に関する通信を監視し、ワームによりなされた通信を所定の条件に基づき検知した場合、前記ワームを検知したことを示す検知通知情報を生成する検知手段と、
前記検知手段から前記検知通知情報を取得した場合、または他の外部ネットワーク単位を管理するネットワーク遮断装置から前記検知通知情報を取得した場合に、前記管理対象のネットワーク単位に対する隔離処理を行うか否かを規定したデータである隔離ポリシーを記憶した隔離ポリシー記憶手段に記憶されている前記隔離ポリシーに基づき、前記管理対象のネットワーク単位に入出力する通信の遮断操作に関する遮断操作依頼を生成するとともに、前記検知手段から取得した前記検知通知情報を前記外部ネットワーク単位を管理する前記ネットワーク遮断装置に送信する隔離管理手段と、
前記隔離管理手段から前記遮断操作依頼を取得し、前記遮断操作依頼に応じて前記管理対象のネットワーク単位について前記所定の条件を満たした通信に関する遮断を制御する通信遮断手段と、
を具備することを特徴とするネットワーク遮断装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005192620A JP4429218B2 (ja) | 2005-06-30 | 2005-06-30 | ネットワーク遮断制御プログラム及びネットワーク遮断装置 |
US11/364,002 US7564837B2 (en) | 2005-06-30 | 2006-03-01 | Recording medium recording a network shutdown control program, and network shutdown device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005192620A JP4429218B2 (ja) | 2005-06-30 | 2005-06-30 | ネットワーク遮断制御プログラム及びネットワーク遮断装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007011748A JP2007011748A (ja) | 2007-01-18 |
JP4429218B2 true JP4429218B2 (ja) | 2010-03-10 |
Family
ID=37589420
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005192620A Expired - Fee Related JP4429218B2 (ja) | 2005-06-30 | 2005-06-30 | ネットワーク遮断制御プログラム及びネットワーク遮断装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7564837B2 (ja) |
JP (1) | JP4429218B2 (ja) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4546382B2 (ja) * | 2005-10-26 | 2010-09-15 | 株式会社日立製作所 | 機器検疫方法、および、機器検疫システム |
US20070130624A1 (en) * | 2005-12-01 | 2007-06-07 | Hemal Shah | Method and system for a pre-os quarantine enforcement |
US8117654B2 (en) * | 2006-06-30 | 2012-02-14 | The Invention Science Fund I, Llc | Implementation of malware countermeasures in a network device |
US8863285B2 (en) * | 2006-04-27 | 2014-10-14 | The Invention Science Fund I, Llc | Virus immunization using prioritized routing |
US9258327B2 (en) | 2006-04-27 | 2016-02-09 | Invention Science Fund I, Llc | Multi-network virus immunization |
US8966630B2 (en) * | 2006-04-27 | 2015-02-24 | The Invention Science Fund I, Llc | Generating and distributing a malware countermeasure |
US8191145B2 (en) * | 2006-04-27 | 2012-05-29 | The Invention Science Fund I, Llc | Virus immunization using prioritized routing |
US8151353B2 (en) | 2006-04-27 | 2012-04-03 | The Invention Science Fund I, Llc | Multi-network virus immunization with trust aspects |
US7934260B2 (en) * | 2006-04-27 | 2011-04-26 | The Invention Science Fund I, Llc | Virus immunization using entity-sponsored bypass network |
US7849508B2 (en) * | 2006-04-27 | 2010-12-07 | The Invention Science Fund I, Llc | Virus immunization using entity-sponsored bypass network |
US8613095B2 (en) * | 2006-06-30 | 2013-12-17 | The Invention Science Fund I, Llc | Smart distribution of a malware countermeasure |
US8539581B2 (en) * | 2006-04-27 | 2013-09-17 | The Invention Science Fund I, Llc | Efficient distribution of a malware countermeasure |
US7917956B2 (en) * | 2006-04-27 | 2011-03-29 | The Invention Science Fund I, Llc | Multi-network virus immunization |
US8307442B2 (en) * | 2006-08-01 | 2012-11-06 | Cisco Technology, Inc. | Method of preventing infection propagation in a dynamic multipoint virtual private network |
US20080295153A1 (en) * | 2007-05-24 | 2008-11-27 | Zhidan Cheng | System and method for detection and communication of computer infection status in a networked environment |
JP2008299696A (ja) * | 2007-06-01 | 2008-12-11 | Buffalo Inc | ネットワーク接続型デバイス電源管理方法 |
JP4819778B2 (ja) * | 2007-11-05 | 2011-11-24 | 株式会社バッファロー | ネットワーク接続型デバイスおよびプログラム |
US8909916B2 (en) * | 2009-11-30 | 2014-12-09 | Red Hat, Inc. | Using a PKCS module for opening multiple databases |
US8266262B2 (en) * | 2009-11-30 | 2012-09-11 | Red Hat, Inc. | Providing network security services for multiple requesters |
US8479290B2 (en) * | 2010-06-16 | 2013-07-02 | Alcatel Lucent | Treatment of malicious devices in a mobile-communications network |
KR101243988B1 (ko) | 2011-12-23 | 2013-03-15 | 플러스기술주식회사 | 모바일 단말기를 위한 차단 대상 응용프로그램의 다운로드 차단시스템 및 그 방법 |
US9124636B1 (en) * | 2012-12-28 | 2015-09-01 | Pulse Secure, Llc | Infected endpoint containment using aggregated security status information |
US10397096B2 (en) | 2017-04-28 | 2019-08-27 | International Business Machines Corporation | Path resolution in InfiniBand and ROCE networks |
US11243899B2 (en) * | 2017-04-28 | 2022-02-08 | International Business Machines Corporation | Forced detaching of applications from DMA-capable PCI mapped devices |
US10778767B2 (en) | 2017-04-28 | 2020-09-15 | International Business Machines Corporation | Persistent memory replication in RDMA-capable networks |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100468232B1 (ko) * | 2002-02-19 | 2005-01-26 | 한국전자통신연구원 | 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법 |
US7761923B2 (en) * | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
-
2005
- 2005-06-30 JP JP2005192620A patent/JP4429218B2/ja not_active Expired - Fee Related
-
2006
- 2006-03-01 US US11/364,002 patent/US7564837B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007011748A (ja) | 2007-01-18 |
US20070002838A1 (en) | 2007-01-04 |
US7564837B2 (en) | 2009-07-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4429218B2 (ja) | ネットワーク遮断制御プログラム及びネットワーク遮断装置 | |
JP3999188B2 (ja) | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム | |
US10326777B2 (en) | Integrated data traffic monitoring system | |
JP4051020B2 (ja) | ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置 | |
JP4371905B2 (ja) | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 | |
KR101038387B1 (ko) | 원치 않는 트래픽 검출 방법 및 장치 | |
JPH09269930A (ja) | ネットワークシステムの防疫方法及びその装置 | |
JP2004364306A (ja) | クライアント−サーバ接続要求を制御するシステム | |
JP2002073433A (ja) | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 | |
US20070166051A1 (en) | Repeater, repeating method, repeating program, and network attack defending system | |
JP2001057554A (ja) | クラッカー監視システム | |
JP2008054204A (ja) | 接続装置及び端末装置及びデータ確認プログラム | |
JP4680931B2 (ja) | 不正アクセスプログラム監視処理方法、不正アクセスプログラム監視プログラムおよび不正アクセスプログラム監視装置 | |
JP5980968B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP2007323428A (ja) | ボット検出装置、ボット検出方法、およびプログラム | |
JP4398316B2 (ja) | ネットワーク管理装置、ネットワーク管理方法、およびプログラム | |
JP4303741B2 (ja) | 通信遮断装置、通信遮断プログラムおよび通信遮断方法 | |
JP5153779B2 (ja) | 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置 | |
JP3760919B2 (ja) | 不正アクセス防止方法、装置、プログラム | |
US11159533B2 (en) | Relay apparatus | |
CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
US11997070B2 (en) | Technique for collecting information relating to a flow routed in a network | |
JP6101525B2 (ja) | 通信制御装置、通信制御方法、通信制御プログラム | |
KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
JP4441517B2 (ja) | ワーム判定装置、ワーム判定プログラムおよびワーム判定方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090224 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090413 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091215 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091215 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121225 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4429218 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121225 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131225 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |