JP5625394B2 - ネットワークセキュリティシステムおよび方法 - Google Patents
ネットワークセキュリティシステムおよび方法 Download PDFInfo
- Publication number
- JP5625394B2 JP5625394B2 JP2010046015A JP2010046015A JP5625394B2 JP 5625394 B2 JP5625394 B2 JP 5625394B2 JP 2010046015 A JP2010046015 A JP 2010046015A JP 2010046015 A JP2010046015 A JP 2010046015A JP 5625394 B2 JP5625394 B2 JP 5625394B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- virtual network
- network device
- layer
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、ネットワーク技術におけるファイアウォール、プロキシといったネットワークセキュリティを実現するシステムおよび方法に関する。
インターネットなどの信頼できないネットワークからの攻撃や不正アクセスから組織内部のネットワークを保護するためのネットワークセキュリティ技術として代表的なものにはファイアウォールがある。このファイアウォールの目的は、必要な通信のみを通過させ、不要な通信を遮断することであり、通常、内部のネットワークから外部にはアクセスできるが、外部から内部のネットワークにはアクセスができないような制御が一般的である。
実現方式として、パケットレベルでアプリケーションの使用するポートを制御するパケットフィルタリング方式、およびアプリケーション(プロキシによる代理応答)で内外のネットワークと通信するアプリケーション・ゲートウェイ方式がある。
パケットフィルタリング方式は、OSI参照モデルにおけるIP層(ネットワーク層:レイヤ3)やTCP/UDP層(トランスポート層:レイヤ4)の条件で、通信の許可/不許可を判断する。この方式には、スタティックなものとダイナミックなものとがある。
スタティックなパケットフィルタは、IP通信において、宛先や送信元のIPアドレス、ポート番号などを監視し、あらかじめ設定した条件によって、その通信を受け入れ、廃棄、拒否などの通信制御をする。ダイナミックなパケットフィルタは、宛先および送信元のIPアドレスやポート番号などの接続・遮断条件を、IPパケットの内容に応じて動的に変化させて通信制御を行う。
スタティックなパケットフィルタで内部と外部で双方向の通信を行う場合は、内部から外部へ向かうパケットと、外部から内部へ向かうパケットの双方を明示的に許可しなければならない。一方、ダイナミックなパケットフィルタでは、内部から外部の通信を許可するだけで、その通信への応答に関してのみ、外部からの通信を受け入れる、といった動作を自動的に行う。
アプリケーション・ゲートウェイ方式は、パケットではなく、レイヤ7のHTTPやFTPといった、アプリケーションプロトコルのレベルで外部との通信を代替し、制御するもので、一般的にはプロキシサーバと呼ばれる。アプリケーション・ゲートウェイ方式において、ファイアウォールの内部のネットワークでは、アプリケーションはアプリケーションゲートウェイ(プロキシサーバ)と通信を行うだけであり、外部との通信はすべてプロキシサーバが仲介する。
プロキシサーバは単に中継するだけのものが多いが、レイヤ7ファイアウォールはアプリケーションの通信の中身も検査する事ができる(例:アクセスURLチェック、ウイルスチェック、情報漏洩検出)。そのため、検査の仕方によっては、レイヤ7ファイアウォールには相当な負荷が掛かり、ファイアウォールの処理上も、通信上もボトルネックとなることもある。
以上のようなパケットフィルタリング方式またはアプリケーション・ゲートウェイ方式のファイアウォールは、外部ネットワークと内部ネットワークとの間の通信を制御するシステムであり、外部からの不正アクセスを遮断することが可能であるが、ごく簡単なルールを設けて通信の許可、不許可を決めているので、このルールの想定外の不正アクセスを遮断することができない。
この対策として、ファイアウォールに、いずれのネットワークにも属さない仮想試験端末を設けた方式がある(例えば、特許文献1、特許文献2参照)。特許文献1の方式は、外部ネットワークから防御対象ネットワーク内の所定の端末に送信されたデータを受信したファイアウォール手段では、所定の振分ルールと比較し、防御対象ネットワーク内の端末に送信してよいと判断される場合には送信データを防御対象ネットワークに通過させ、そうでない場合には、仮想試験端末に転送する。仮想試験端末では、ファイアウォール手段からの送信データを実行し、あらかじめ記憶されている正常実行であるか否かの基準に適合するか否かを調べる。正常実行であると判断された場合には、当該送信データをファイアウォール手段を介して防御対象ネットワーク内の端末に送信する。一方、正常実行でない場合には、かかる送信データは防御対象ネットワークには送信しない。
これにより、あらかじめファイアウォール手段に登録されていない未知の送信データは、仮想試験端末に転送されて仮想試験端末で実行され、正常実行されるものであると判断されたデータのみが防御対象ネットワークに通過されることとなる。これにより、外部からの不正なアクセスを抑制し、未知の攻撃に対する被害を抑制して、ネットワークセキュリティの強化を図ることができる。
前記のように、パケットフィルタリング方式の特徴としては、パケットフィルタを通信経路に物理的に挟み込むだけで動作可能で、低階層の処理のみをするため高速で動作する。その反面、セキュリティの機能はそれ程高くない。
アプリケーション・ゲートウェイ方式の特徴としては、パケットフィルタリング方式とは逆に、高階層(アプリケーション層)で処理を行うためセキュリティの機能は高い。しかし、アプリケーション層の下のネットワーク層(IP層)とトランスポート層(TCP/UDP)をデータが通過しなければならない。そのため、通常は、通信端末が送り先IPアドレスをファイアウォールのIPに設定して通信を行い、そのデータをファイアウォール(プロキシ)を経由して本来の通信相手に取り込まれる(図2参照)。
ここで、通信端末の送り先IPアドレスを本来のIPアドレスに設定し、ファイアウォールをその経路上に挟み込んでも、そのパケットの宛先IPが自身(ファイアウォール)のIPスタックに登録されていないため、プロトコルスタックを通してアプリケーション層まで処理を持っていくことが不可能である(図3参照)。
そのため、ある限定されたアプリケーションにしか適用できず、またそのための設定をアプリケーション自体にする手間が発生してしまう。例を挙げると、ウェブブラウザに対するプロキシ経由設定等が挙げられる。
この点、特許文献1や2に記載される仮想試験端末を介挿したシステムでは、ファイアウォール手段からの送信データを仮想試験端末で実行し、これが正常実行であると判断された場合には、当該送信データをファイアウォール手段を介して防御対象ネットワーク内の端末に送信することができる。
しかし、特許文献1や2に記載される仮想試験端末には、標準プロトコル通信部との間のデータ授受をアプリケーション層のみで行うため、非公開の独自のハードウェアおよび独自のプロトコルスタックを実装する必要があるし、ある限定されたアプリケーションにしか適用できない。
本発明の目的は、独自のハードウェアおよび独自のプロトコルスタックの実装を不要にし、さらにアプリケーション層に対する設定の手間を軽減し、ステルス性とセキュリティ性に優れたネットワークセキュリティシステムおよび方法を提供することにある。
本発明は、前記の課題を解決するため、仮想ネットワークドライバと仮想ネットワークインターフェースでソフトウェア構成した仮想ネットワークデバイスをカーネル空間に設け、この仮想ネットワークデバイスは通信端末のIP層(ネットワーク層)とネットワークインターフェース(物理ネットワークデバイス)の間に介挿し、仮想ネットワークデバイスはパケットを受信してからIPアドレスを割り当てることで、受信パケットをアプリケーション層まで遷移できるようにしたもので、以下のシステムおよび方法を特徴とする。
(システムの発明)
外部の通信端末からネットワークを通したアクセスに対し、内部の通信端末とネットワークとの間に挟み込むファイアウォールによって必要な通信のみを通過させ、不要な通信を遮断するネットワークセキュリティシステムであって、
前記ファイアウォールは、
仮想ネットワークドライバと仮想ネットワークインターフェースでソフトウェア構成した仮想ネットワークデバイスをカーネル空間に設け、
前記仮想ネットワークデバイスは通信端末のIP層(ネットワーク層)とネットワークインターフェース(物理ネットワークデバイス)の間に介挿し、
前記仮想ネットワークデバイスは、ネットワークインターフェースで受信したパケットの宛先IPを、自身の仮想ネットワークインターフェースの宛先IPとして登録し、この宛先IPを登録した仮想ネットワークインターフェースを経由して前記IP層にパケット処理を遷移させる手段を備え、
前記仮想ネットワークデバイスは、自身宛でないIPパケットをアプリケーション層に送信する手段として、
前記ファイアウォールが有する物理ネットワークデバイス4Aと、物理ネットワーク4Bをそれぞれ制御する手段(S1)、
前記仮想ネットワークドライバの起動するメインスレッドにて、前記物理ネットワークデバイス4A及び物理ネットワーク4Bへと送信されたパケットを監視する手段(S2)、
前記監視しているパケットがIPパケットであった場合、その送り先IPアドレス、送り元IPアドレスを、仮想ネットワークデバイスにフルネットマスク(ホスト)で付与する手段(S3)、
前記仮想ネットワークデバイスからプロトコルスタックにパケットを挙げることで自身宛のパケットとして処理し、パケットをアプリケーション層まで到達させる手段(S4)、
前記アプリケーション層の処理後(遮断、変換、通過、等)、遮断されなかったパケットは前記IP層を通して再び前記仮想ネットワークデバイスの送信キューに積み上げる手段(S5)、
を備えたことを特徴とする。
外部の通信端末からネットワークを通したアクセスに対し、内部の通信端末とネットワークとの間に挟み込むファイアウォールによって必要な通信のみを通過させ、不要な通信を遮断するネットワークセキュリティシステムであって、
前記ファイアウォールは、
仮想ネットワークドライバと仮想ネットワークインターフェースでソフトウェア構成した仮想ネットワークデバイスをカーネル空間に設け、
前記仮想ネットワークデバイスは通信端末のIP層(ネットワーク層)とネットワークインターフェース(物理ネットワークデバイス)の間に介挿し、
前記仮想ネットワークデバイスは、ネットワークインターフェースで受信したパケットの宛先IPを、自身の仮想ネットワークインターフェースの宛先IPとして登録し、この宛先IPを登録した仮想ネットワークインターフェースを経由して前記IP層にパケット処理を遷移させる手段を備え、
前記仮想ネットワークデバイスは、自身宛でないIPパケットをアプリケーション層に送信する手段として、
前記ファイアウォールが有する物理ネットワークデバイス4Aと、物理ネットワーク4Bをそれぞれ制御する手段(S1)、
前記仮想ネットワークドライバの起動するメインスレッドにて、前記物理ネットワークデバイス4A及び物理ネットワーク4Bへと送信されたパケットを監視する手段(S2)、
前記監視しているパケットがIPパケットであった場合、その送り先IPアドレス、送り元IPアドレスを、仮想ネットワークデバイスにフルネットマスク(ホスト)で付与する手段(S3)、
前記仮想ネットワークデバイスからプロトコルスタックにパケットを挙げることで自身宛のパケットとして処理し、パケットをアプリケーション層まで到達させる手段(S4)、
前記アプリケーション層の処理後(遮断、変換、通過、等)、遮断されなかったパケットは前記IP層を通して再び前記仮想ネットワークデバイスの送信キューに積み上げる手段(S5)、
を備えたことを特徴とする。
(方法の発明)
外部の通信端末からネットワークを通したアクセスに対し、内部の通信端末とネットワークとの間に挟み込むファイアウォールによって必要な通信のみを通過させ、不要な通信を遮断するネットワークセキュリティ方法であって、
前記ファイアウォールは、
仮想ネットワークドライバと仮想ネットワークインターフェースでソフトウェア構成した仮想ネットワークデバイスをカーネル空間に設け、
前記仮想ネットワークデバイスは通信端末のIP層(ネットワーク層)とネットワークインターフェース(物理ネットワークデバイス)の間に介挿し、
前記仮想ネットワークデバイスは、ネットワークインターフェースで受信したパケットの宛先IPを、自身の仮想ネットワークインターフェースの宛先IPとして登録し、この宛先IPを登録した仮想ネットワークインターフェースを経由して前記IP層にパケット処理を遷移させると共に、
前記仮想ネットワークデバイスは、自身宛でないIPパケットをアプリケーション層に送信する手順として、
前記ファイアウォールが有する物理ネットワークデバイス4Aと、物理ネットワーク4Bをそれぞれ制御するステップ(S1)、
前記仮想ネットワークドライバの起動するメインスレッドにて、前記物理ネットワークデバイス4A及び物理ネットワーク4Bへと送信されたパケットを監視するステップ(S2)、
前記監視しているパケットがIPパケットであった場合、その送り先IPアド
レス、送り元IPアドレスを仮想ネットワークデバイスにフルネットマスク(ホスト)で付与するステップ(S3)、
前記仮想ネットワークデバイスからプロトコルスタックにパケットを挙げることで自身宛のパケットとして処理し、パケットをアプリケーション層まで到達させるステップ(S4)、
前記アプリケーション層の処理後(遮断、変換、通過、等)、遮断されなかったパケットは前記IP層を通して再び前記仮想ネットワークデバイスの送信キューに積み上げるステップ(S5)、
を備えたことを特徴とする。
外部の通信端末からネットワークを通したアクセスに対し、内部の通信端末とネットワークとの間に挟み込むファイアウォールによって必要な通信のみを通過させ、不要な通信を遮断するネットワークセキュリティ方法であって、
前記ファイアウォールは、
仮想ネットワークドライバと仮想ネットワークインターフェースでソフトウェア構成した仮想ネットワークデバイスをカーネル空間に設け、
前記仮想ネットワークデバイスは通信端末のIP層(ネットワーク層)とネットワークインターフェース(物理ネットワークデバイス)の間に介挿し、
前記仮想ネットワークデバイスは、ネットワークインターフェースで受信したパケットの宛先IPを、自身の仮想ネットワークインターフェースの宛先IPとして登録し、この宛先IPを登録した仮想ネットワークインターフェースを経由して前記IP層にパケット処理を遷移させると共に、
前記仮想ネットワークデバイスは、自身宛でないIPパケットをアプリケーション層に送信する手順として、
前記ファイアウォールが有する物理ネットワークデバイス4Aと、物理ネットワーク4Bをそれぞれ制御するステップ(S1)、
前記仮想ネットワークドライバの起動するメインスレッドにて、前記物理ネットワークデバイス4A及び物理ネットワーク4Bへと送信されたパケットを監視するステップ(S2)、
前記監視しているパケットがIPパケットであった場合、その送り先IPアド
レス、送り元IPアドレスを仮想ネットワークデバイスにフルネットマスク(ホスト)で付与するステップ(S3)、
前記仮想ネットワークデバイスからプロトコルスタックにパケットを挙げることで自身宛のパケットとして処理し、パケットをアプリケーション層まで到達させるステップ(S4)、
前記アプリケーション層の処理後(遮断、変換、通過、等)、遮断されなかったパケットは前記IP層を通して再び前記仮想ネットワークデバイスの送信キューに積み上げるステップ(S5)、
を備えたことを特徴とする。
以上のとおり、本発明によれば、仮想ネットワークドライバと仮想ネットワークインターフェースでソフトウェア構成した仮想ネットワークデバイスをカーネル空間に設け、この仮想ネットワークデバイスは通信端末のIP層(ネットワーク層)とネットワークインターフェース(物理ネットワークデバイス)の間に介挿し、仮想ネットワークデバイスはパケットを受信してからIPアドレスを割り当てることで、受信パケットをアプリケーション層まで遷移できるようにしたため、独自のハードウェアおよび独自のプロトコルスタックの実装を不要にし、さらにアプリケーション層に対する設定の手間を軽減し、ステルス性とセキュリティ性に優れたシステムおよび方法を実現できる。
図4は一般の通信端末に装備するネットワーク構成を示し、ソフトウェア構成のユーザ層アプリケーション1の下位にソフトウェア構成のTCP/UDP層(トランスポート層)2、さらにその下位にIP層(ネットワーク層)3を設け、IP層3と下位の複数のネットワークインターフェース(物理ネットワークデバイス)4との間はドライバ5によりデータ授受を行う。
ここで、ユーザ層アプリケーション1はユーザ空間として管理されるのに対し、TCP/UDP層2、IP層(ネットワーク層)3およびドライバ5はカーネル空間として管理される。
このネットワーク構成による通信端末間のネットワークセキュリティを、アプリケーション・ゲートウェイ方式とする場合、前記の図2に示すように、通常は、通信端末A、Bが送り先IPアドレスをファイアウォールFWのIPに設定して通信を行い、そのデータをファイアウォール(プロキシ)を経由して本来の通信相手に取り込まれる。
そして、図3にパケットフィルタリング方式を併用する場合、通信端末A,Bの送り先IPアドレスを本来のIPアドレスに設定し、ファイアウォールFWをその経路上に挟み込んでも、IP層からその上層にパケット処理を遷移させる場合、そのパケットの宛先IPが自身(ファイアウォール)のIPスタックに登録されていないため、プロトコルスタックを通してアプリケーション層まで処理を持っていくことが不可能である。
また、特許文献1や2に記載される仮想試験端末には、非公開の独自のハードウェアおよび独自のプロトコルスタックを実装する必要があるし、ある限定されたアプリケーションにしか適用できない。
本実施形態では、これら課題を解消できるネットワークセキュリティシステムおよび方法を提案するもので、IP層とネットワークインターフェース(物理ネットワークデバイス)との間に仮想ネットワークデバイスを介挿することで、動的なアプリケーション・ゲートウェイ機能を実現するものである。
図1は、本発明の実施形態になるネットワーク構成を示し、介挿する仮想ネットワークデバイスの周辺構成を示す。同図中の仮想ネットワークデバイス6は、仮想ネットワークドライバ6Aと、仮想ネットワークインターフェース6Bでカーネル空間にソフトウェア構成され、IP層3とネットワークインターフェース4の間に位置し、以下の機能構成とする。
(1)OS(オペレーティングシステム)のネットワークドライバとして、仮想ネットワークデバイス自体は100%ソフトウェアで実現する(ハードウェアを伴わない)。
(2)物理ネットワークデバイス(4)とプロトコルスタックの中間に位置し、物理ネットワークデバイスを複数従属させる。
(3)従属させた物理ネットワークデバイス(4)で受信したパケットの通過/遮断を、仮想ネットワークデバイス6で操作可能とする。
(4)従属させた物理ネットワークデバイス(4)から、仮想ネットワークデバイス6が指定したパケットを送信可能とする。
(5)仮想ネットワークデバイス6にはIPアドレスを複数付与可能とする(IPエイリアス)。
このような機能構成になる仮想ネットワークデバイス6によれば、IP層からその上層にパケット処理を遷移させる場合、仮想ネットワークインターフェースを経由させるときに、IP層にパケット処理を遷移させる前に、そのパケットの宛先IPを自身の仮想ネットワークインターフェースのIPとして登録させることにより、IP層の処理を上方に通過させることができる。
次に上記の仮想ネットワークデバイスを使用して、自身宛ではないIPパケットをアプリケーション層まで持っていく手順を説明する。
(S1)図3における、通信端末Aとファイアウォールを繋ぐ物理ネットワークデバイス4Aと、通信端末Bとファイアウォールを繋ぐ物理ネットワーク4Bを仮想ネットワークデバイスに従属させる。
(S2)仮想ネットワークドライバの起動するメインスレッドにて、デバイス4A及び4Bへと送信されたパケットを監視する。
(S3)監視しているパケットがIPパケットであった場合、その送り先IPアドレス、送り元IPアドレスを仮想ネットワークデバイスにフルネットマスク(ホスト)で付与する。
(S4)仮想ネットワークデバイスからプロトコルスタックにパケットを挙げると、S3の手順にてIPアドレスを割り振ったため、自身宛のパケットとして処理され、アプリケーション層まで到達する。
(S5)アプリケーション層の処理後(遮断、変換、通過、等)、遮断されなかったパケットはプロトコルスタックを通して再び仮想ネットワークデバイスの送信キューに積み上げられる。
(S6)積み上げられたパケットを、デバイス4A及び4Bから送信する。
以上の処理によって、本来自身宛ではないパケットを、一時的に自身宛のパケットとし、アプリケーション層で所望の処理を実行後、本来の端末へパケットを経由することが可能となる。
なお、上記のような機能構成になる仮想ネットワークデバイスを実現可能なOSとして、具体例を挙げると、Linux、FreeBSD、NetBSDなどの、BSDソケット互換のプロトコルスタックを搭載した、ソースの公開されているOSであれば実現可能である。例えば、NetBSDを使った動的なファイアウォールを実施することができた。
以上のように、本実施形態によれば、通信端末とそのアプリケーションに対して設定変更を行うことなく、アプリケーション・ゲートウェイ機能が実現できる。
また、ファイアウォール自体には独自のIPアドレスが割り振られないため、外部からは感知不能である(ステルス性が有り、セキュリティが高い)。
また、OSネイティブのプロトコルスタックを使用可能なため、実装が容易で安定性が高い。すなわち、パケットフィルタリングによってキャプチャーした生パケットを、独自に実装したプロトコルスタックを通過させる方法と比べた場合、各OSへの独自プロトコルスタック実装の手間とそれに伴う安定性の欠如を解消できる。
1 ユーザ層アプリケーション
2 TCP/UDP層(トランスポート層)
3 IP層(ネットワーク層)
4 ネットワークインターフェース(物理ネットワークデバイス)
5 ドライバ
6 仮想ネットワークデバイス
6A 仮想ネットワークドライバ
6B 仮想ネットワークインターフェース
2 TCP/UDP層(トランスポート層)
3 IP層(ネットワーク層)
4 ネットワークインターフェース(物理ネットワークデバイス)
5 ドライバ
6 仮想ネットワークデバイス
6A 仮想ネットワークドライバ
6B 仮想ネットワークインターフェース
Claims (2)
- 外部の通信端末からネットワークを通したアクセスに対し、内部の通信端末とネットワークとの間に挟み込むファイアウォールによって必要な通信のみを通過させ、不要な通信を遮断するネットワークセキュリティシステムであって、
前記ファイアウォールは、
仮想ネットワークドライバと仮想ネットワークインターフェースでソフトウェア構成した仮想ネットワークデバイスをカーネル空間に設け、
前記仮想ネットワークデバイスは通信端末のIP層(ネットワーク層)とネットワークインターフェース(物理ネットワークデバイス)の間に介挿し、
前記仮想ネットワークデバイスは、ネットワークインターフェースで受信したパケットの宛先IPを、自身の仮想ネットワークインターフェースの宛先IPとして登録し、この宛先IPを登録した仮想ネットワークインターフェースを経由して前記IP層にパケット処理を遷移させる手段を備え、
前記仮想ネットワークデバイスは、自身宛でないIPパケットをアプリケーション層に送信する手段として、
前記ファイアウォールが有する物理ネットワークデバイス4Aと、物理ネットワーク4Bをそれぞれ制御する手段(S1)、
前記仮想ネットワークドライバの起動するメインスレッドにて、前記物理ネットワークデバイス4A及び物理ネットワーク4Bへと送信されたパケットを監視する手段(S2)、
前記監視しているパケットがIPパケットであった場合、その送り先IPアドレス、送り元IPアドレスを、仮想ネットワークデバイスにフルネットマスク(ホスト)で付与する手段(S3)、
前記仮想ネットワークデバイスからプロトコルスタックにパケットを挙げることで自身宛のパケットとして処理し、パケットをアプリケーション層まで到達させる手段(S4)、
前記アプリケーション層の処理後(遮断、変換、通過、等)、遮断されなかったパケットは前記IP層を通して再び前記仮想ネットワークデバイスの送信キューに積み上げる手段(S5)、
を備えたことを特徴とするネットワークセキュリティシステム。 - 外部の通信端末からネットワークを通したアクセスに対し、内部の通信端末とネットワークとの間に挟み込むファイアウォールによって必要な通信のみを通過させ、不要な通信を遮断するネットワークセキュリティ方法であって、
前記ファイアウォールは、
仮想ネットワークドライバと仮想ネットワークインターフェースでソフトウェア構成した仮想ネットワークデバイスをカーネル空間に設け、
前記仮想ネットワークデバイスは通信端末のIP層(ネットワーク層)とネットワークインターフェース(物理ネットワークデバイス)の間に介挿し、
前記仮想ネットワークデバイスは、ネットワークインターフェースで受信したパケットの宛先IPを、自身の仮想ネットワークインターフェースの宛先IPとして登録し、この宛先IPを登録した仮想ネットワークインターフェースを経由して前記IP層にパケット処理を遷移させると共に、
前記仮想ネットワークデバイスは、自身宛でないIPパケットをアプリケーション層に送信する手順として、
前記ファイアウォールが有する物理ネットワークデバイス4Aと、物理ネットワーク4Bをそれぞれ制御するステップ(S1)、
前記仮想ネットワークドライバの起動するメインスレッドにて、前記物理ネットワークデバイス4A及び物理ネットワーク4Bへと送信されたパケットを監視するステップ(S2)、
前記監視しているパケットがIPパケットであった場合、その送り先IPアド
レス、送り元IPアドレスを仮想ネットワークデバイスにフルネットマスク(ホスト)で付与するステップ(S3)、
前記仮想ネットワークデバイスからプロトコルスタックにパケットを挙げることで自身宛のパケットとして処理し、パケットをアプリケーション層まで到達させるステップ(S4)、
前記アプリケーション層の処理後(遮断、変換、通過、等)、遮断されなかったパケットは前記IP層を通して再び前記仮想ネットワークデバイスの送信キューに積み上げるステップ(S5)、
を備えたことを特徴とするネットワークセキュリティ方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010046015A JP5625394B2 (ja) | 2010-03-03 | 2010-03-03 | ネットワークセキュリティシステムおよび方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010046015A JP5625394B2 (ja) | 2010-03-03 | 2010-03-03 | ネットワークセキュリティシステムおよび方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011182269A JP2011182269A (ja) | 2011-09-15 |
| JP5625394B2 true JP5625394B2 (ja) | 2014-11-19 |
Family
ID=44693297
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010046015A Active JP5625394B2 (ja) | 2010-03-03 | 2010-03-03 | ネットワークセキュリティシステムおよび方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5625394B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102011054509A1 (de) * | 2011-10-14 | 2013-04-18 | Deutsche Telekom Ag | Verfahren und Vorrichtung zur Kontrolle einer Mobilfunkschnittstelle auf mobilen Endgeräten |
| US9350814B2 (en) * | 2012-02-21 | 2016-05-24 | Qualcomm Incorporated | Internet protocol connectivity over a service-oriented architecture bus |
| CN111984376B (zh) * | 2020-09-23 | 2023-06-27 | 杭州迪普科技股份有限公司 | 协议处理方法、装置、设备及计算机可读存储介质 |
| CN114448750A (zh) * | 2022-01-19 | 2022-05-06 | 深圳市联洲国际技术有限公司 | 一种纯网桥模式的通信方法、装置、设备及介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9088547B2 (en) * | 2004-07-28 | 2015-07-21 | Nec Corporation | Connection method, communication system, device, and program |
| JP4921864B2 (ja) * | 2006-06-16 | 2012-04-25 | 株式会社東芝 | 通信制御装置、認証システムおよび通信制御プログラム |
| JP2008271339A (ja) * | 2007-04-23 | 2008-11-06 | Toshiba Corp | セキュリティゲートウェイシステムとその方法およびプログラム |
-
2010
- 2010-03-03 JP JP2010046015A patent/JP5625394B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011182269A (ja) | 2011-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11563758B2 (en) | Rule-based network-threat detection for encrypted communications | |
| JP6518771B2 (ja) | セキュリティシステム、通信制御方法 | |
| JP4664257B2 (ja) | 攻撃検出システム及び攻撃検出方法 | |
| US11463474B2 (en) | Defend against denial of service attack | |
| WO2012077603A1 (ja) | コンピュータシステム、コントローラ、及びネットワーク監視方法 | |
| JP6782842B2 (ja) | 通信ネットワーク用の方法及び電子監視ユニット | |
| US8689319B2 (en) | Network security system | |
| JP6256773B2 (ja) | セキュリティシステム | |
| KR100723864B1 (ko) | 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치 | |
| JP6422677B2 (ja) | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 | |
| JP5625394B2 (ja) | ネットワークセキュリティシステムおよび方法 | |
| CN106789892B (zh) | 一种云平台通用的防御分布式拒绝服务攻击的方法 | |
| US20160205135A1 (en) | Method and system to actively defend network infrastructure | |
| JP2019152912A (ja) | 不正通信対処システム及び方法 | |
| JP2018142927A (ja) | マルウェア不正通信対処システム及び方法 | |
| AU2016374990B2 (en) | Apparatus and method for forwarding data packets | |
| JP7114769B2 (ja) | 通信システム | |
| FI126032B (en) | Detection of threats in communication networks | |
| US11824831B2 (en) | Hole punching abuse | |
| JP2014150504A (ja) | ネットワーク監視装置、ネットワーク監視方法、および、コンピュータ・プログラム | |
| US20230028892A1 (en) | Protection against malicious data traffic | |
| JP2023004706A (ja) | 攻撃回避装置および攻撃回避方法 | |
| Yuan et al. | Research on Security Protection of the Communication Network for Space TT&C Based on TCP/IP Protocol Vulnerabilities | |
| JP2014165560A (ja) | サーバおよびプログラム | |
| JP2018038083A (ja) | セキュリティシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130228 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131024 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131119 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140120 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20140120 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140401 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140522 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140902 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140915 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5625394 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |