JP5134141B2 - 不正アクセス遮断制御方法 - Google Patents

不正アクセス遮断制御方法 Download PDF

Info

Publication number
JP5134141B2
JP5134141B2 JP2011515621A JP2011515621A JP5134141B2 JP 5134141 B2 JP5134141 B2 JP 5134141B2 JP 2011515621 A JP2011515621 A JP 2011515621A JP 2011515621 A JP2011515621 A JP 2011515621A JP 5134141 B2 JP5134141 B2 JP 5134141B2
Authority
JP
Japan
Prior art keywords
switch
communication terminal
set row
port
correspondence table
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011515621A
Other languages
English (en)
Other versions
JPWO2012014509A1 (ja
Inventor
グレン マンスフィールド キニ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cyber Solutions Inc
Original Assignee
Cyber Solutions Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cyber Solutions Inc filed Critical Cyber Solutions Inc
Priority to JP2011515621A priority Critical patent/JP5134141B2/ja
Application granted granted Critical
Publication of JP5134141B2 publication Critical patent/JP5134141B2/ja
Publication of JPWO2012014509A1 publication Critical patent/JPWO2012014509A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]

Description

本発明は、不正アクセス遮断制御方法に係り、特にネットワーク内の通信端末が接続されているL2スイッチ(Layer 2 Switch)のポート情報を検出して当該通信端末の通信の遮断制御を行う技術に関する。
近年、ネットワーク利用環境が大規模化しネットワーク環境構成の複雑化が進んできている中で、ネットワークセキュリティは必要不可欠のものになってきており、ネットワークへの不正アクセスを防止するための技術に関して多くの研究開発が行われている。
例えば、例えば、特許文献1に記載のアクセス制御装置は、アクセスポリシーで許可されていない通信端末間の通信を検出した場合、その通信端末間の通信を阻害するために偽造ARP(Address Resolution Protocol)応答を送信することで、通信端末のハードウエアやソフトウエアを変更することなくアクセス制限を可能としている。
また、特許文献2に記載の不正接続防止システムは、ネットワークへの接続を許可されている情報処理装置のMAC(Media Access Control)アドレスを承認リスト部に登録し、承認リスト部に登録されていない不許可装置によりブロードキャストされたARPリクエストに対して、情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを不許可装置へ送信することで、ネットワークへの接続を許可されていないPCなどの不許可装置が、内部サーバやその他の同一サブネット上に存在する機器に接続することを防止し、ルータなどを経由して外部ネットワークの機器に接続することも防止することを可能としている。
また、特許文献3に記載のネットワーク不正接続防止装置は、登録済の端末の各々に対してARP リクエストを順次送信し、該ARPリクエストに応答して返って来たARPリプライから、その端末の個有情報が登録済であるか否かを判定し、未登録と判定されたときに該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信することで、LAN内の不正接続防止を防止することを可能としている。
特開2004-185498号公報 特開2005-079706号公報 特開2005-198090号公報 特開2007-514811号公報
しかしながら、従来の不正接続防止装置(例えば特許文献1−3)では、通信端末間の通信を遮断する処理をIPアドレスに基づいて行っているため、複数IPアドレスを有する通信端末の通信を即時に且つ確実に遮断することが困難であるという問題がある。またARPパケットを用いて遮断する方法では、ネットワーク上に遅延が起きている場合に、通信端末に対して偽造ARP応答を送信し、偽造ARP応答を通信端末が受信した後に、正しいARP応答が通信端末に届くことがあり、この場合は後に届いた情報で通信端末のARPテーブルが書き換えられることになり、通信を遮断するアクセス制御ができないという問題がある。また、アクセスポリシーで許可されていない通信端末のARPテーブルが静的に設定された場合に、通信端末からARP要求を送信せずに他の通信端末へ情報が送信され、通信を遮断するアクセス制御ができないという問題がある。
一方、ネットワークを中継する機器の一つとして、スイッチングハブに代表されるLayer 2 Switch(以下、L2スイッチ)があり、L2スイッチは、パケットに宛先情報として含まれるMACアドレスで中継先を判断している。したがって、複数IPアドレスを有する通信端末の通信を即時に且つ確実に遮断するためには、当該通信端末が接続されているL2スイッチのポート情報を検出して、そのポートを遮断することが確実な方法であると言える。この方法では通信端末が接続されているL2スイッチのポート情報を検出ことが必要となる。
例えば特許文献4に記載のネットワークマップ生成方法では、ネットワーク監視端末が管理するL2スイッチから管理情報を受け取り、この管理情報からMACアドレスとL2スイッチのポートとの対応表としてMvPテーブルを作成し、このMvPテーブルを基にしてネットワーク内のL2スイッチ間のコネクション情報を検出している(特許文献4の発明者は本願の発明者と同一である)。
本発明では、MvPテーブルを作成する方法は特許文献4と同じであるが、このMvPテーブルを用いて通信端末が接続されているL2スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行う方法を提供するものである。
すなわち本発明の目的は、L2スイッチを含むネットワーク構成において、不正アクセスが検出された端末の通信を容易に且つ確実に遮断する方法を提供することにある。
上記目的を達成するために、請求項1に係る発明は、ネットワーク内の通信端末が接続されているL2スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行う不正アクセス遮断制御方法であって、
ネットワーク監視端末がL2スイッチから受け取った管理情報に基づき、通信端末Ci(1≦i≦ネットワーク内の通信端末の総数)のMACアドレスM(Ci)と当該MACアドレスM(Ci)を検出したL2スイッチSj(1≦j≦レイヤー2スイッチの総数)のポート情報の集合Row{M(Ci)}との対応表M1、およびL2スイッチSjのMACアドレスM(Sj)と当該MACアドレスM(Sj)を検出したL2スイッチのポート情報の集合Row{M(Sj)}との対応表M2をMvPテーブルとして作成する第1ステップと、
前記第1ステップで作成したMvPテーブルの対応表M1の集合Row{M(Ci)}と、対応表M2の集合Row{M(Sj)}とを比較して、双方に一致する要素が存在する場合に当該要素を集合Row{M(Sj)}から削除する正規化の処理を行う第2ステップと、
前記第2ステップで正規化した後のMvPテーブルから通信端末Ciが接続されているL2スイッチのポート情報を検出する第3ステップと、
前記第3ステップで検出した通信端末Ciが接続されているL2スイッチのポートを遮断状態にする第4ステップと、を有することを特徴とする。
請求項2に係る発明は、請求項1に記載の不正アクセス遮断制御方法において、
前記第3ステップは、
(1)対応表M2の集合Row{M(Sj)}が空になったL2スイッチSjを特定するステップと、
(2)対応表M1の集合Row{M(Ci)}の中から、上記(1)で特定したL2スイッチSjのポートP(Sj,n)(1≦n≦L2スイッチSjのポートの総数)を抽出し、それを通信端末Ciが接続されているポート情報として特定するステップと、を有することを特徴とする。
請求項3に係る発明は、請求項1乃至請求項2に記載の不正アクセス遮断制御方法において、
通信端末Ciが接続されているL2スイッチのポートが遮断状態にあるときに、その遮断状態を解除する第5ステップを有することを特徴とする。
請求項4に係る発明は、ネットワーク内の通信端末が接続されているL2スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行うネットワーク監視端末を機能させる不正アクセス遮断制御プログラムであって、
前記ネットワーク監視端末がL2スイッチから受け取った管理情報に基づき、通信端末Ci(1≦i≦ネットワーク内の通信端末の総数)のMACアドレスM(Ci)と当該MACアドレスM(Ci)を検出したL2スイッチSj(1≦j≦レイヤー2スイッチの総数)のポート情報の集合Row{M(Ci)}との対応表M1、およびL2スイッチSjのMACアドレスM(Sj)と当該MACアドレスM(Sj)を検出したL2スイッチのポート情報の集合Row{M(Sj)}との対応表M2をMvPテーブルとして作成する第1機能と、
前記第1機能で作成したMvPテーブルの対応表M1の集合Row{M(Ci)}と、対応表M2の集合Row{M(Sj)}とを比較して、双方に一致する要素が存在する場合に当該要素を集合Row{M(Sj)}から削除する正規化の処理を行う第2機能と、 前記第2機能で正規化した後のMvPテーブルから通信端末Ciが接続されているL2スイッチのポート情報を検出する第3機能と、
前記第3機能で検出した通信端末Ciが接続されているL2スイッチのポートを遮断状態にする第4機能と、を有することを特徴とする。
請求項5に係る発明は、請求項4に記載の不正アクセス遮断制御プログラムにおいて、前記第3機能は、
(1)対応表M2の集合Row{M(Sj)}が空になったL2スイッチSjを特定する機能と、
(2)対応表M1の集合Row{M(Ci)}の中から、上記(1)で特定したL2スイッチSjのポートP(Sj,n)(1≦n≦L2スイッチSjのポートの総数)を抽出し、それを通信端末Ciが接続されているポート情報として特定する機能と、
を有することを特徴とする。
請求項6に係る発明は、請求項4乃至請求項5に記載の不正アクセス遮断制御プログラムにおいて、
通信端末Ciが接続されているL2スイッチのポートが遮断状態にあるときに、その遮断状態を解除する第5機能を有することを特徴とする。
請求項1または請求項4の発明によれば、通信端末が接続されたL2スイッチのポート情報を自動検出することができるようになり、ネットワーク監視端末Hがネットワーク内の不正アクセスを検出したときに対象となる通信端末を特定した後、当該通信端末が接続されているL2スイッチのポートを遮断状態にすることで、当該通信端末の通信を即時に且つ確実に遮断することができるようになる。したがってネットワーク管理の運用効率およびセキュリティを向上させる効果がある。
請求項2または請求項5の発明によれば、通信端末が接続されたL2スイッチのポート情報を容易に検出することができるようになる。
請求項3または請求項6の発明によれば、通信遮断された通信端末について、不正アクセスの原因究明およびその処置が完了した場合に、容易に通信の遮断状態を解除することができるようになる。
本発明の第1実施形態に係るネットワーク構成図の一例を示した模式図である。 図1に示す構成において、通信端末C4の通信を遮断する動作の一例を示したフローチャート図である。 本発明の第2実施形態に係るネットワーク構成図の一例を示した模式図である。 図3に示す構成において、通信端末C4の通信を遮断する動作の一例を示したフローチャート図である。 本発明の第3実施形態に係るネットワーク構成図の一例を示した模式図である。
H ネットワーク監視端末
S1〜S3 L2スイッチ
SX ノンインテリジェントハブ
C1〜C6 通信端末
以下、本発明を実施するための形態について図面を参照して詳細に説明する。なお、本発明は、以下に述べる実施形態により限定されるものではない。
1.第1実施形態
本発明の第1実施形態に係る不正アクセス遮断制御方法について図1を用いて説明する。図1は第1実施形態に係るネットワーク構成図の一例を示したものである。
図1に示すように、このネットワーク内にはSNMP(Simple Network Management Protocol)マネージャが実装されたネットワーク監視端末Hと、OSI参照モデル第2層の機能に基づいてスイッチ動作を行うL2スイッチS1、S2、S3と、L2スイッチS1に接続された通信端末C1と、L2スイッチS2に接続された通信端末C2、C3と、L2スイッチS3に接続された通信端末C4、C5、C6とが存在し、L2スイッチS1、S2、S3にはそれぞれSNMPエージェントが実装されている。またL2スイッチSj(1≦j≦3)のn番ポートをP(Sj,n)の形式で表記している。
L2スイッチS1とS2は、ポートP(S1,15)とポートP(S2,1)で接続されている。同様に、L2スイッチS2とS3は、ポートP(S2,14)とポートP(S3,1)で接続されている。
本発明の第1実施形態に係る不正アクセス遮断制御方法は、ネットワーク監視端末Hがネットワーク内の不正アクセスを検出したときに、対象となる通信端末を特定した後、当該通信端末が接続されているL2スイッチのポート情報を検出して、当該通信端末の通信を確実に遮断する制御を行うものである。
ここで上記の不正アクセスには、例えば、ネットワーク監視端末Hが監視している通信パケットに許可されていないMACアドレスまたはIPアドレスが検出された場合や、ネットワーク監視端末Hが監視している通信端末のトラフィック量が閾値を越えた場合や、アクセスポリシーで許可されていない通信端末のパケットを検出した場合などがあり、不正アクセスを検出したネットワーク監視端末Hは、対象となる通信端末を特定する。ここでは、ネットワーク監視端末Hが不正アクセスを検出する方法および不正アクセスの対象となる通信端末を特定する方法については説明を省略する。
ネットワーク監視端末Hは、不正アクセスの対象となる通信端末を特定した後、当該通信端末が接続されているL2スイッチのポート情報を検出して、そのポートを遮断状態にすることで、当該通信端末の通信を確実に遮断する。
次に図2のフローチャートを用いて具体的に説明する。図2は、図1に示す構成において、ネットワーク監視端末Hが不正アクセスを検出し不正アクセスの対象となる通信端末C4を特定したときに、通信端末C4の通信を遮断する動作を示したものである。
ステップS01において、ネットワーク監視端末HがL2スイッチから受け取った管理情報に基づき、通信端末C4のMACアドレスM(C4)とMACアドレスM(C4)を検出したL2スイッチSj(1≦j≦3)のポート情報の集合Row{M(C4)}との対応表M1、およびL2スイッチSjのMACアドレスM(Sj)と当該MACアドレスM(Sj)を検出したL2スイッチのポート情報の集合Row{M(Sj)}との対応表M2をMvPテーブルとして作成する。
図2に示すように、対応表M1には、通信端末C4のMACアドレスM(C4)および集合Row{M(C4)}={P(S1,15), P(S2,14), P(S3,2)}が作成される。また対応表M2には、L2スイッチS1のMACアドレスM(S1)および集合Row{M(S1)}={P(S2,1), P(S3,1)}、L2スイッチS2のMACアドレスM(S2)および集合Row{M(S2)}={P(S1,15), P(S3,1)}、L2スイッチS3のMACアドレスM(S3)および集合Row{M(S3)}={P(S1,15), P(S2,14)}が作成される。
ここでネットワーク監視端末HがL2スイッチから管理情報を取得するために、例えば、SNMPエージェントが実装されたL2スイッチSjに対してIPアドレスを指定して問い合わせを行い、その応答としてSNMPエージェントの管理情報(RFC1156で規定されているMIB1、RFC1213で規定されているMIB2、RFC1493で規定されているBRIDGE−MIB、およびRFC2863で規定されているIF−MIB)を受け取ることにより、任意のポートP(Sj,n)を通過するフレームのヘッダ上にあるMACアドレスを検出することができる。
またネットワーク監視端末HがL2スイッチSjのIPアドレスを保持していない場合には、例えば、ネットワーク監視端末Hが管理するアドレスレンジの全IPアドレスに対して問い合わせを行うことにより、SNMPエージェントが実装されたネットワーク機器からの応答を受け取ることが可能となり、その応答情報からスイッチSjのIPアドレスを検出することができる。
次にステップS02において、ステップS01で作成したMvPテーブルの対応表M1と対応表M2とを比較して、双方に一致する要素が存在する場合に当該要素を対応表M2から削除する正規化の処理を行う。
ステップS01で作成したMvPテーブルの対応表M2の集合Row{M(S1)}には、対応表M1の集合Row{M(C4)}と一致する要素が無いため、削除処理が行われない。また対応表M2の集合Row{M(S2)}には、対応表M1の集合Row{M(C4)}と一致する要素P(S1,15)があるので、当該要素を集合Row{M(S2)}から削除する。また対応表M2の集合Row{M(S3)}には、対応表M1の集合Row{M(C4)}と一致する要素P(S1,15)、P(S2,14)があるので、当該要素を集合Row{M(S3)}から削除する。図2に示すように、正規化の処理を行った後のMvPテーブルにおいて、対応表M2の集合Row{M(S3)}は空集合となる。
次にステップS03において、この空集合となったRow{M(S3)}のL2スイッチS3が、通信端末C4に接続されていると特定する。さらに、対応表M1の集合Row{M(C4)}の中から、上記で特定したL2スイッチS3のポート情報P(S3,2)を抽出し、それを通信端末C4が接続されているポート情報として特定する。
次にステップS04において、ステップS03で検出した通信端末C4が接続されているL2スイッチS3のポートP(S3,2)を遮断状態にする。ここでネットワーク監視端末Hは、例えば、L2スイッチS3のポートP(S3,2)に対して遮断用のコマンドを発行する。これにより通信端末C4の通信が遮断されることになる。
本発明の第1実施形態に係る不正アクセス遮断制御方法は、ネットワーク監視端末Hがネットワーク内の不正アクセスを検出したときに、対象となる通信端末を特定した後、上述した処理(ステップS01〜S04)を行うことで、容易に且つ確実に当該通信端末の通信の遮断を行うことができるようになる。
また、例えば上述した処理(ステップS01〜S04)により通信遮断された通信端末について、不正アクセスの原因究明およびその処置が完了した場合に、通信の遮断状態を解除することがある。その場合は、上記のステップS04の代わりに、L2スイッチS3のポートP(S3,2)の遮断状態を解除するステップS05を入れて、図2のフローチャートに示す処理を行うことで、通信の遮断状態を解除することができる。
なお上述した処理(ステップS01〜S05)については、ネットワーク監視端末Hのプログラム制御プロセッサ上でプログラムを実行することにより実現することが可能である。
2.第2実施形態
次にネットワーク内にSNMP非対応のノンインテリジェントハブSXが存在する場合のネットワーク構成の一例を図3に示す。
図3に示すように、L2スイッチS1とSXは、ポートP(S1,15)とポートP(SX,1)で接続されている。同様に、L2スイッチSXとS2は、ポートP(SX,16)とポートP(S2,1)で接続され、L2スイッチSXとS3は、ポートP(SX,14)とポートP(S3,1)で接続されている。
このような構成においても、基本的には第1実施形態で説明した処理(図2)を行うことで、ネットワーク監視端末Hが通信端末の接続されているL2スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行うことができる。
図4のフローチャートは、基本的に図2のフローチャートと同じであるが、具体例を用いて説明する。図4は、図3に示す構成において、ネットワーク監視端末Hが不正アクセスを検出し不正アクセスの対象となる通信端末C4を特定したときに、通信端末C4の通信を遮断する動作を示したものである。
ステップS01において、ネットワーク監視端末HがL2スイッチから受け取った管理情報に基づきMvPテーブルを作成する。なお、ノンインテリジェントハブSXにはSNMPエージェントが実装されていないため、ネットワーク監視端末HはノンインテリジェントハブSXから管理情報を受け取ることができないことから、MvPテーブルにはノンインテリジェントハブSXに関するものは作成されない。
図4に示すように、対応表M1には、通信端末C4のMACアドレスM(C4)および集合Row{M(C4)}={P(S1,15), P(S2,1), P(S3,2)}が作成される。また対応表M2には、L2スイッチS1のMACアドレスM(S1)および集合Row{M(S1)}={P(S2,1), P(S3,1)}、L2スイッチS2のMACアドレスM(S2)および集合Row{M(S2)}={P(S1,15), P(S3,1)}、L2スイッチS3のMACアドレスM(S3)および集合Row{M(S3)}={P(S1,15), P(S2,1)}が作成される。
次にステップS02において、ステップS01で作成したMvPテーブルの対応表M1と対応表M2とを比較して、双方に一致する要素が存在する場合に当該要素を対応表M2から削除する正規化の処理を行う。
ステップS01で作成したMvPテーブルの対応表M2の集合Row{M(S1)}には、対応表M1の集合Row{M(C4)}と一致する要素P(S2,1)があるので、当該要素を集合Row{M(S1)}から削除する。また対応表M2の集合Row{M(S2)}には、対応表M1の集合Row{M(C4)}と一致する要素P(S1,15)があるので、当該要素を集合Row{M(S2)}から削除する。また対応表M2の集合Row{M(S3)}には、対応表M1の集合Row{M(C4)}と一致する要素P(S1,15)、P(S2,1)があるので、当該要素を集合Row{M(S3)}から削除する。図4に示すように、正規化の処理を行った後のMvPテーブルにおいて、対応表M2の集合Row{M(S3)}は空集合となる。
次にステップS03において、この空集合となったRow{M(S3)}のL2スイッチS3が、通信端末C4に接続されていると特定する。さらに、対応表M1の集合Row{M(C4)}の中から、上記で特定したL2スイッチS3のポート情報P(S3,2)を抽出し、それを通信端末C4が接続されているポート情報として特定する。
次にステップS04において、ステップS03で検出した通信端末C4が接続されているL2スイッチS3のポートP(S3,2)を遮断状態にする。これにより通信端末C4の通信が遮断されることになる。
以上から、ネットワーク内にSNMP非対応のノンインテリジェントハブSXが存在する構成においても、第1実施形態で説明した処理(図2)を行うことで、ネットワーク監視端末Hが通信端末の接続されているL2スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行うことができる。
3.第3実施形態
次にネットワーク内にSNMP非対応のノンインテリジェントハブSXが存在する場合のネットワーク構成の一例を図5に示す。
図5に示すように、L2スイッチS1とS2は、ポートP(S1,15)とポートP(S2,1)で接続されている。同様に、L2スイッチS2とS3は、ポートP(S2,14)とポートP(S3,1)で接続され、L2スイッチS3とSXは、ポートP(S3,2)とポートP(SX,1)で接続されている。
このような構成においても、基本的には第1実施形態で説明した処理(図2)を行うことで、ネットワーク監視端末Hが通信端末の接続されているL2スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行うことができる。
図5において、例えば、ネットワーク監視端末Hが不正アクセスを検出し不正アクセスの対象となる通信端末C4を特定したときに、通信端末C4の接続されているL2スイッチS3のポートP(S3,2)を検出して、ポートP(S3,2)を遮断状態にすることで、通信端末C4の通信を遮断することができる。この場合、ポートP(S3,2)を遮断状態にすることにより、ノンインテリジェントハブSXを経由する通信が全て遮断されることになる。
本発明は、L2スイッチを含むネットワーク構成において不正アクセスが検出された端末の通信を容易に且つ確実に遮断する技術に適用可能である。

Claims (6)

  1. ネットワーク内の通信端末が接続されているL2スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行う方法であって、
    ネットワーク監視端末がL2スイッチから受け取った管理情報に基づき、通信端末Ci(1≦i≦ネットワーク内の通信端末の総数)のMACアドレスM(Ci)と当該MACアドレスM(Ci)を検出したL2スイッチSj(1≦j≦レイヤー2スイッチの総数)のポート情報の集合Row{M(Ci)}との対応表M1、およびL2スイッチSjのMACアドレスM(Sj)と当該MACアドレスM(Sj)を検出したL2スイッチのポート情報の集合Row{M(Sj)}との対応表M2をMvPテーブルとして作成する第1ステップと、
    前記第1ステップで作成したMvPテーブルの対応表M1の集合Row{M(Ci)}と、対応表M2の集合Row{M(Sj)}とを比較して、双方に一致する要素が存在する場合に当該要素を集合Row{M(Sj)}から削除する正規化の処理を行う第2ステップと、
    前記第2ステップで正規化した後のMvPテーブルから通信端末Ciが接続されているL2スイッチのポート情報を検出する第3ステップと、
    前記第3ステップで検出した通信端末Ciが接続されているL2スイッチのポートを遮断状態にする第4ステップと、
    を有することを特徴とする不正アクセス遮断制御方法。
  2. 前記第3ステップは、
    (1)対応表M2の集合Row{M(Sj)}が空になったL2スイッチSjを特定するステップと、
    (2)対応表M1の集合Row{M(Ci)}の中から、上記(1)で特定したL2スイッチSjのポートP(Sj,n)(1≦n≦L2スイッチSjのポートの総数)を抽出し、それを通信端末Ciが接続されているポート情報として特定するステップと、
    を有することを特徴とする請求項1に記載の不正アクセス遮断制御方法。
  3. 通信端末Ciが接続されているL2スイッチのポートが遮断状態にあるときに、その遮断状態を解除する第5ステップを有することを特徴とする請求項1乃至請求項2に記載の不正アクセス遮断制御方法。
  4. ネットワーク内の通信端末が接続されているL2スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行うネットワーク監視端末を機能させるコンピュータプログラムであって、
    前記ネットワーク監視端末がL2スイッチから受け取った管理情報に基づき、通信端末Ci(1≦i≦ネットワーク内の通信端末の総数)のMACアドレスM(Ci)と当該MACアドレスM(Ci)を検出したL2スイッチSj(1≦j≦レイヤー2スイッチの総数)のポート情報の集合Row{M(Ci)}との対応表M1、およびL2スイッチSjのMACアドレスM(Sj)と当該MACアドレスM(Sj)を検出したL2スイッチのポート情報の集合Row{M(Sj)}との対応表M2をMvPテーブルとして作成する第1機能と、
    前記第1機能で作成したMvPテーブルの対応表M1の集合Row{M(Ci)}と、対応表M2の集合Row{M(Sj)}とを比較して、双方に一致する要素が存在する場合に当該要素を集合Row{M(Sj)}から削除する正規化の処理を行う第2機能と、 前記第2機能で正規化した後のMvPテーブルから通信端末Ciが接続されているL2スイッチのポート情報を検出する第3機能と、
    前記第3機能で検出した通信端末Ciが接続されているL2スイッチのポートを遮断状態にする第4機能と、
    を有することを特徴とする不正アクセス遮断制御プログラム。
  5. 前記第3機能は、
    (1)対応表M2の集合Row{M(Sj)}が空になったL2スイッチSjを特定する機能と、
    (2)対応表M1の集合Row{M(Ci)}の中から、上記(1)で特定したL2スイッチSjのポートP(Sj,n)(1≦n≦L2スイッチSjのポートの総数)を抽出し、それを通信端末Ciが接続されているポート情報として特定する機能と、
    を有することを特徴とする請求項4に記載の不正アクセス遮断制御プログラム。
  6. 通信端末Ciが接続されているL2スイッチのポートが遮断状態にあるときに、その遮断状態を解除する第5機能を有することを特徴とする請求項4乃至請求項5に記載の不正アクセス遮断制御プログラム。
JP2011515621A 2010-07-30 2011-02-18 不正アクセス遮断制御方法 Active JP5134141B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011515621A JP5134141B2 (ja) 2010-07-30 2011-02-18 不正アクセス遮断制御方法

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2010172126 2010-07-30
JP2010172126 2010-07-30
PCT/JP2011/053489 WO2012014509A1 (ja) 2010-07-30 2011-02-18 不正アクセス遮断制御方法
JP2011515621A JP5134141B2 (ja) 2010-07-30 2011-02-18 不正アクセス遮断制御方法

Publications (2)

Publication Number Publication Date
JP5134141B2 true JP5134141B2 (ja) 2013-01-30
JPWO2012014509A1 JPWO2012014509A1 (ja) 2013-09-12

Family

ID=45529733

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011515621A Active JP5134141B2 (ja) 2010-07-30 2011-02-18 不正アクセス遮断制御方法

Country Status (4)

Country Link
US (1) US8955049B2 (ja)
EP (1) EP2600566B1 (ja)
JP (1) JP5134141B2 (ja)
WO (1) WO2012014509A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015035724A (ja) * 2013-08-09 2015-02-19 株式会社日立製作所 ネットワーク制御装置

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2600566B1 (en) * 2010-07-30 2017-08-02 Cyber Solutions Inc. Unauthorized access blocking control method
JP6127650B2 (ja) * 2013-03-28 2017-05-17 沖電気工業株式会社 局番認識装置および局番認識システム
CN105699383B (zh) * 2015-12-16 2018-10-16 南京铁道职业技术学院 增强消息传送能力的轨道扣件的检测方法
JP2018064228A (ja) * 2016-10-14 2018-04-19 アンリツネットワークス株式会社 パケット制御装置
JP6926362B2 (ja) * 2017-05-31 2021-08-25 株式会社サイバー・ソリューションズ ネットワークマップ表示方法及びネットワークマップ表示プログラム
JP2019041176A (ja) * 2017-08-23 2019-03-14 株式会社ソフトクリエイト 不正接続遮断装置及び不正接続遮断方法
JP6977507B2 (ja) * 2017-11-24 2021-12-08 オムロン株式会社 制御装置および制御システム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0832607A (ja) * 1994-07-13 1996-02-02 Hitachi Cable Ltd ネットワーク構成管理方法
JP2001320393A (ja) * 2000-05-02 2001-11-16 Melco Inc 集線装置およびこれを用いたネットワーク管理装置
JP2006148255A (ja) * 2004-11-16 2006-06-08 Hitachi Ltd 不正機器の接続位置特定装置および接続位置特定方法
WO2006118203A1 (ja) * 2005-04-27 2006-11-09 Cyber Solutions Inc. ネットワークマップ生成方法
JP2009253461A (ja) * 2008-04-02 2009-10-29 Nec Corp ネットワーク、通信管理装置、有線スイッチ、無線コントローラ、不正通信の遮断方法およびプログラム

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2859270B2 (ja) 1987-06-11 1999-02-17 旭光学工業株式会社 カメラの視線方向検出装置
GB2268374A (en) * 1992-06-23 1994-01-05 Ibm Network addressing
JPH079706A (ja) 1993-06-25 1995-01-13 Canon Inc 印刷装置
US5926463A (en) * 1997-10-06 1999-07-20 3Com Corporation Method and apparatus for viewing and managing a configuration of a computer network
US7383574B2 (en) * 2000-11-22 2008-06-03 Hewlett Packard Development Company L.P. Method and system for limiting the impact of undesirable behavior of computers on a shared data network
US8212073B2 (en) 2001-12-07 2012-07-03 Robert Valentine Kasowski Protective barrier composition comprising reaction of phosphorous acid with amines applied to a substrate
JP2004185498A (ja) 2002-12-05 2004-07-02 Matsushita Electric Ind Co Ltd アクセス制御装置
JP4174392B2 (ja) 2003-08-28 2008-10-29 日本電気株式会社 ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
JP4245486B2 (ja) 2004-01-08 2009-03-25 富士通株式会社 ネットワーク不正接続防止方法及び装置
JP4128974B2 (ja) * 2004-03-31 2008-07-30 富士通株式会社 レイヤ2ループ検知システム
US7639684B2 (en) * 2004-12-23 2009-12-29 Infineon Technologies Ag Modified ethernet switch
CA2571814C (en) * 2004-12-30 2012-06-19 Bce Inc. System and method for secure access
US7463593B2 (en) * 2005-01-13 2008-12-09 International Business Machines Corporation Network host isolation tool
US7969966B2 (en) * 2005-12-19 2011-06-28 Alcatel Lucent System and method for port mapping in a communications network switch
US7936670B2 (en) * 2007-04-11 2011-05-03 International Business Machines Corporation System, method and program to control access to virtual LAN via a switch
JP5045417B2 (ja) * 2007-12-19 2012-10-10 ソニー株式会社 ネットワークシステム及びダイレクトアクセス方法
US8521856B2 (en) * 2007-12-29 2013-08-27 Cisco Technology, Inc. Dynamic network configuration
EP2600566B1 (en) * 2010-07-30 2017-08-02 Cyber Solutions Inc. Unauthorized access blocking control method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0832607A (ja) * 1994-07-13 1996-02-02 Hitachi Cable Ltd ネットワーク構成管理方法
JP2001320393A (ja) * 2000-05-02 2001-11-16 Melco Inc 集線装置およびこれを用いたネットワーク管理装置
JP2006148255A (ja) * 2004-11-16 2006-06-08 Hitachi Ltd 不正機器の接続位置特定装置および接続位置特定方法
WO2006118203A1 (ja) * 2005-04-27 2006-11-09 Cyber Solutions Inc. ネットワークマップ生成方法
JP2009253461A (ja) * 2008-04-02 2009-10-29 Nec Corp ネットワーク、通信管理装置、有線スイッチ、無線コントローラ、不正通信の遮断方法およびプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015035724A (ja) * 2013-08-09 2015-02-19 株式会社日立製作所 ネットワーク制御装置

Also Published As

Publication number Publication date
WO2012014509A1 (ja) 2012-02-02
US8955049B2 (en) 2015-02-10
EP2600566B1 (en) 2017-08-02
EP2600566A1 (en) 2013-06-05
US20140165143A1 (en) 2014-06-12
JPWO2012014509A1 (ja) 2013-09-12
EP2600566A4 (en) 2016-06-08

Similar Documents

Publication Publication Date Title
JP5134141B2 (ja) 不正アクセス遮断制御方法
WO2021008028A1 (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
JP4174392B2 (ja) ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
JP4777461B2 (ja) ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム
CN100477620C (zh) 利用单个物理端口的在线入侵检测
US20070101422A1 (en) Automated network blocking method and system
CN109525601B (zh) 内网中终端间的横向流量隔离方法和装置
WO2011014197A1 (en) Method for detection of a rogue wireless access point
CN105743878A (zh) 使用蜜罐的动态服务处理
KR20080090834A (ko) 네트워크 스위치 및 그 스위치의 주소충돌방지방법
JP2007006054A (ja) パケット中継装置及びパケット中継システム
CN110266650B (zh) Conpot工控蜜罐的识别方法
US11606334B2 (en) Communication security apparatus, control method, and storage medium storing a program
CN106789982B (zh) 一种应用于工业控制系统中的安全防护方法和系统
WO2018033153A1 (zh) Evpn中ip地址冲突的处理方法及装置
US11329959B2 (en) Virtual routing and forwarding (VRF)-aware socket
WO2004012418A1 (en) Method and apparatus for inspecting inter-layer address binding protocols
CN116566752B (zh) 安全引流系统、云主机及安全引流方法
US9124625B1 (en) Interdicting undesired service
EP3133790B1 (en) Message sending method and apparatus
Amin et al. Edge-computing with graph computation: A novel mechanism to handle network intrusion and address spoofing in SDN
CN102546387A (zh) 一种数据报文的处理方法、装置及系统
JP2006005738A (ja) アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム
KR101088868B1 (ko) 네트워크 스위치의 에이알피 패킷 처리 방법
TWI732708B (zh) 基於多接取邊緣運算的網路安全系統和網路安全方法

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121024

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121108

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151116

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5134141

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250