JP6083009B1 - Sdnコントローラ - Google Patents

Sdnコントローラ Download PDF

Info

Publication number
JP6083009B1
JP6083009B1 JP2016095064A JP2016095064A JP6083009B1 JP 6083009 B1 JP6083009 B1 JP 6083009B1 JP 2016095064 A JP2016095064 A JP 2016095064A JP 2016095064 A JP2016095064 A JP 2016095064A JP 6083009 B1 JP6083009 B1 JP 6083009B1
Authority
JP
Japan
Prior art keywords
sdn controller
communication
address
terminal
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016095064A
Other languages
English (en)
Other versions
JP2017204722A (ja
Inventor
洋平 菊地
洋平 菊地
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Allied Telesis Holdings KK
Original Assignee
Allied Telesis Holdings KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Allied Telesis Holdings KK filed Critical Allied Telesis Holdings KK
Priority to JP2016095064A priority Critical patent/JP6083009B1/ja
Application granted granted Critical
Publication of JP6083009B1 publication Critical patent/JP6083009B1/ja
Priority to US15/456,174 priority patent/US10616246B2/en
Publication of JP2017204722A publication Critical patent/JP2017204722A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】SDNにおいて用いられるSDNコントローラを提供することを目的とする。【解決手段】SDNによって構築されたネットワークで用いるSDNコントローラであって,SDNコントローラは,コンピュータを,脅威検知システムから受け取った不正攻撃サーバのグローバルアドレスに基づいて,ネットワークにおける通信のうち,受け取ったグローバルアドレスとの間の通信を特定し,その特定した通信におけるグローバルアドレスの通信の相手方のローカルアドレスを特定するアドレス情報特定処理部,特定したローカルアドレスが割り当てられたクライアント端末の端末識別情報を特定する端末識別情報特定処理部,特定した端末識別情報に基づいて,クライアント端末の通信に所定の制御処理を行う制御指示をエッジネットワークデバイスに行うセキュリティ処理部,として機能させるSDNコントローラである。【選択図】 図1

Description

本発明は,SDN(Software Defined Network)において用いられるSDNコントローラに関する。とくに,インターネットなどのグローバルネットワークのコンピュータから,LANなどのプライベートネットワーク内のコンピュータ端末(以下,「クライアント端末」という)に対する不正な攻撃などの脅威を受けた場合に,プライベートネットワーク内で被害を受けたクライアント端末を特定し,その通信を遮断や隔離等(以下,「遮断等」という)することで,セキュリティを保持する機能を備えたSDNコントローラに関する。
ネットワーク上でコンピュータを特定する情報としてIPアドレスなどのアドレス情報がある。アドレス情報は,プライベートネットワークで用いるローカルアドレスと,グローバルネットワークで用いるグローバルアドレスとがある。プライベートネットワーク内のクライアント端末がグローバルネットワークにアクセスする場合,クライアント端末のローカルアドレスをNAT/PAT変換をしてグローバルアドレスとし,それをアクセスの際に用いることが一般的である。
NAT/PAT変換はゲートウェイと呼ばれる装置で行われ,ゲートウェイではローカルアドレスとグローバルアドレスとを対応づけたNAT/PATテーブルを備えている。
また,近年では,クラウドサービスが急速に普及してきており,その複雑化したマシン構成やネットワーク構成の管理を容易にするため,SDNとよばれる技術が用いられることがある(特許文献1)。特許文献1におけるOpenFlowはSDNの一種である。
一方,グローバルネットワークではクライアント端末に対して不正な操作等を行うため,さまざまなサイバー攻撃が行われている。そしてネットワークの管理者はサイバー攻撃から自社のプライベートネットワークおよびそこにあるクライアント端末を防衛するため,サイバー攻撃などの脅威を検知するシステム(以下,「脅威検知システム」という)やさまざまな機能を有するセキュリティシステムを稼働させている。セキュリティシステムの役割としては,ファイアウォールやスパイウェア対策などの機能のほか,ウィルス感染等を防止する機能などがある。かかるセキュリティシステムでは,あるクライアント端末がウィルスに感染した場合,ほかのクライアント端末への感染を防止することが求められている。
このため,従来はセキュリティシステムや脅威検知システムなどはプライベートネットワーク内で稼働していることが多かった。しかし,近年ではより広範な脅威に対応し,複数のプライベートネットワークの監視を行うため,プライベートネットワークの外でセキュリティシステムや脅威検知システムなどを稼働させる場合もある。
また特許文献2に記載の発明では,LAN内にあるルータが通信するパケットにおけるヘッダ情報に含まれる送信元MACアドレスを識別,変換することによって,パケットを送信したホスト(クライアント端末)を識別している。
WO2010/103909号 特開2011−109186号
プライベートネットワークの外,たとえばグローバルネットワークやDMZなどで脅威検知システムを稼働させる場合,グローバルネットワークからの脅威を検知することはできる。しかし,たとえばプライベートネットワーク内のあるクライアント端末が情報漏洩を行うウィルスに感染してしまった場合,プライベートネットワークの外(NAT/PAT変換を行うゲートウェイの外)に脅威検知システムがあると,情報漏洩のイベントがあったことを特定することはできるものの,そのイベントのみからでは感染したクライアント端末(以下,「被疑端末」という)のアドレス情報を特定することはできない。なぜならば,脅威検知システムでは被疑端末のグローバルアドレスが特定できるにすぎず,ローカルアドレスを特定できないので,プライベートネットワーク内のどのクライアント端末が被疑端末なのかを割り出すことができないからである。これを模式的に示すのが図10である。
このようなことから,プライベートネットワーク内のクライアント端末に被害が生じると,被疑端末を特定できず,ほかのクライアント端末にウィルスを感染させてしまうなど,被害の拡大につながってしまう恐れがある。これを模式的に示すのが図11である。
特許文献2に記載の発明は,異なるネットワークに属するホスト相互間で通信を行う場合,従来は,送信始端のホストからNATルータ(パケット中継装置)にパケットが送られた際に,NATルータが,送信元MACアドレスとして,当該ホストのMACアドレスから当該ルータのMACアドレスに書き換えて送信していたので,送信始端のホストが属するネットワークのほかのホストからパケットが送られた際に,それら各ホストを区別することができない,といった問題があった点を解決したものである。すなわち,送信始端のホストからNATルータにパケットが送られた際に,NATルータが,送信元MACアドレスとして,当該ルータのMACアドレスではなく,当該ホストのMACアドレスとして送信することにより,上記問題点を解決したものである。
しかし,NATルーターの外側のグローバルネットワークに,ホストの特定を可能とするホストのMACアドレスを常に流してしまうことから,それを利用したホストへの不正アクセスが可能となり,セキュリティ上の問題が発生する。また,アクセス管理装置の故障や設定の誤りにより,グローバルネットワークに規格外の不正なパケットを送信する可能性があり,システム上好ましいとはいえない問題点がある。
さらに,たとえばLAN内での通信のように,ネットワークを監視する装置を介さない場合には,LAN内でのウィルス感染などを防止することはできない。さらに,クライアント端末のIPアドレスが変更された場合には,通信を遮断することができない問題点がある。
そこで本発明者は上記課題に鑑み,本発明のSDNコントローラを発明した。
第1の発明は,SDNによって構築されたプライベートネットワークで用いるSDNコントローラであって,前記SDNコントローラは,コンピュータを,前記プライベートネットワークの外にある脅威検知システムから受け取った不正攻撃サーバのグローバルアドレスに基づいて,前記SDNコントローラが制御する前記プライベートネットワーク内の通信を監視し,各通信におけるグローバルアドレスと,前記受け取ったグローバルアドレスとを照合して,一致する通信における,相手方となるローカルアドレスを特定するアドレス情報特定処理部,前記特定したローカルアドレスが割り当てられたクライアント端末の端末識別情報を特定する端末識別情報特定処理部,前記特定した端末識別情報に基づいて,前記クライアント端末の通信を遮断する制御処理を行う制御指示を前記エッジネットワークデバイスに行うセキュリティ処理部,として機能させるSDNコントローラである。
第2の発明は,SDNによって構築されたプライベートネットワークで用いるSDNコントローラであって,前記SDNコントローラは,コンピュータを,前記プライベートネットワークの外にある脅威検知システムから受け取った不正攻撃サーバのグローバルアドレスに基づいて,前記SDNコントローラが制御する前記プライベートネットワーク内の通信を監視し,各通信におけるグローバルアドレスと,前記受け取ったグローバルアドレスとを照合して,一致する通信における,パケットの送信元のクライアント端末の端末識別情報を特定する端末識別情報特定処理部,前記特定した端末識別情報に基づいて,前記クライアント端末の通信を遮断する制御処理を行う制御指示を前記エッジネットワークデバイスに行うセキュリティ処理部,として機能させるSDNコントローラである。
これらの各発明のように構成することで,脅威となった攻撃をしたサーバ(通信の相手となるサーバ)のグローバルアドレスが判明すれば,そのグローバルアドレスと通信をするローカルアドレスを利用するクライアント端末(被疑端末)の端末識別情報を特定することが可能となる。それによって,エッジネットワークデバイスに対して被疑端末のみについての通信の制御を行わせることが可能となる。その結果,エッジネットワークデバイスを複数のクライアント端末が利用している場合であっても,被疑端末のみの通信を制御させることが可能となり,感染等していないクライアント端末は正常に稼働させることができる。
上述の発明において,前記SDNコントローラは,前記制御処理として,前記特定した端末識別情報を,前記SDNコントローラが管理するプライベートネットワーク内のほかのエッジネットワークデバイスに対して通知する,SDNコントローラのように構成することもできる。
本発明のように構成することで,たとえば被疑端末が移動するなどして,利用しているエッジネットワークデバイスが変わったとしても,被疑端末に対する制御を行わせることができる。
上述の各発明において,前記SDNコントローラは,前記制御処理として,さらに,前記クライアント端末の隔離,ウィルスの検出,隔離,修復のいずれか一以上を含む,SDNコントローラのように構成することもできる。
制御処理としては,本発明のような処理が一例としてあげられる。
上述の各発明において,前記SDNコントローラは,前記制御処理として,前記SDNコントローラが,前記エッジネットワークデバイスにおけるルールテーブルに,前記端末識別情報を有するクライアント端末からのパケットの破棄をするルールを書き込む,SDNコントローラのように構成することもできる。
本発明のように構成することで,エッジネットワークデバイスがSDNコントローラにパケットの処理について問い合わせをすることなく,当該パケットを破棄することができる。そのため,SDNコントローラの負荷を減らすことができる。
本発明のSDNコントローラを用いることで,プライベートネットワーク内で被害を受けたクライアント端末を特定することができる。そして,被害を受けたクライアント端末の特定によって,ほかのクライアント端末への感染等を防止することができる。また,たとえばクライアント端末がローミングなどのように移動してIPアドレスが変更される場合にも,適用することができる。
本発明のSDNコントローラを用いた全体の構成の一例を模式的に示す図である。 本発明のコンピュータのハードウェア構成の一例を模式的に示す図である。 本発明のフローチャートの一例を模式的に示す図である。 本発明のSDNコントローラを用いた処理の一例を模式的に示す図である。 エッジネットワークデバイスが複数のクライアント端末の通信を介している場合に被疑端末のみの通信を遮断等することを模式的に示す図である。 被疑端末がエッジネットワークデバイスを移動した場合でも通信が遮断等できることを模式的に示す図である。 本発明のSDNコントローラを用いた別の実施態様における全体の構成の一例を模式的に示す図である。 本発明のフローチャートのほかの一例を模式的に示す図である。 本発明のSDNコントローラを用いた処理のほかの一例を模式的に示す図である。 プライベートネットワーク内における被疑端末を特定することができない従来例を模式的に示す図である。 プライベートネットワーク内における被疑端末を特定できず,ほかのクライアント端末にウィルスを感染させてしまう従来例を模式的に示す図である。
本発明のSDNコントローラ1を用いた全体の構成の一例を図1に模式的に示す。図1では,企業などが構成しているプライベートネットワークであるLANにクライアント端末3(端末A)があり,NAT/PAT変換を行うゲートウェイとなるルータがある。またプライベートネットワークとグローバルネットワークの境界にはDMZが設けられている。
また,本発明においては,SDNによるネットワーク管理技術が用いられており,一つまたは複数のプライベートネットワークはSDNコントローラ1によってその通信が制御されている。SDNコントローラ1は,SDNによって構築されたネットワークにおいて,その通信を管理する。SDNコントローラ1は,ネットワークの制御や管理を行うソフトウェアである。なおSDNコントローラ1はそのソフトウェアがコンピュータで実行されて稼働する。SDNとしてOpenFlowが用いられる場合,OpenFlowコントローラがSDNコントローラ1となる。
またSDNによって構築されたネットワークにおいては,プライベートネットワーク内の各クライアント端末3はエッジネットワークデバイス2を介して,プライベートネットワークに接続している。エッジネットワークデバイス2とは,データを転送するネットワーク機器であり,通信の終端としてクライアント端末3と接続している。エッジネットワークデバイス2には,クライアント端末3から受け取ったパケットをどのように制御するかのルールを示すルールテーブル(フローエントリー)が記憶されており,それにしたがってパケットを処理する。またルールテーブルに記憶されていない場合には,当該パケットの処理を一時保留し,SDNコントローラ1に問い合わせをし,SDNコントローラ1からの制御指示に基づいて一時保留したパケットを処理する。また,場合によってはSDNコントローラ1に当該パケットを送り,SDNコントローラで当該パケットを書き換えるなどし,書き換えられたパケットをSDNコントローラから受け取って処理をする。SDNとしてOpenFlowが用いられる場合,OpenFlowスイッチがエッジネットワークデバイス2となる。
なお,本発明は,サーバやパーソナルコンピュータなどの各種のコンピュータにより実現される。図2にコンピュータのハードウェア構成の一例を示す。コンピュータは,プログラムの演算処理を実行するCPUなどの演算装置70と,情報を記憶するRAMやハードディスクなどの記憶装置71と,ディスプレイなどの表示装置72と,キーボードやポインティングデバイス(マウスやテンキーなど)などの入力装置73と,演算装置70の処理結果や記憶装置71に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置74とを有している。
なお,図1ではそれぞれが一台のコンピュータで実現される場合を示したが,複数台のコンピュータにその機能が分散配置され,実現されても良い。また,本発明における各手段は,その機能が論理的に区別されているのみであって,物理上あるいは事実上は同一の領域を為していても良い。
本発明における各処理部は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域をなしていても良い。
本発明における第1の実施態様のSDNコントローラ1では,上記のように,SDNによって構築されたネットワークにおいて,その通信を管理する一環として,アドレス情報特定処理部11と端末識別情報特定処理部12とセキュリティ処理部13とを備えている。
アドレス情報特定処理部11は,SDNコントローラ1が後述する脅威検知システム4から不正攻撃サーバ5のグローバルアドレスを受け取ると,そのグローバルアドレスに対する通信を監視し,そのグローバルアドレスとの間で通信が行われた場合(当該グローバルアドレスを相手方とする通信のパケットの処理の問い合わせを受けた場合),その通信の相手方のローカルアドレスを特定する。
端末識別情報特定処理部12は,アドレス情報特定処理部11で特定した,当該通信の相手方のローカルアドレスに基づき,そのローカルアドレスを利用するクライアント端末3のMACアドレスなどの端末識別情報を特定する。
セキュリティ処理部13は,アドレス情報特定処理部11で特定したアドレス情報および/または端末識別情報特定処理部12で特定した端末識別情報などに基づいて,セキュリティに関する制御処理を実行する。セキュリティに関する制御処理としては,たとえば,通信の遮断,ウィルス(マルウェアなど)の検出,隔離,修復など,脅威に対する何らかの防衛の制御処理であればよい。
脅威検知システム4はグローバルネットワークとプライベートネットワークとの間の通信またはプライベートネットワーク内の通信を監視しており,グローバルネットワークからサイバー攻撃などを行う不正攻撃サーバ5からのサイバー攻撃などの脅威を検知する。脅威を検知すると,不正攻撃サーバ5のグローバルアドレスをSDNコントローラ1に通知する。サイバー攻撃にはさまざまなものがあり,たとえばDos(Denial of Servie)攻撃,DDoS(Distributed Denail of Service)攻撃,ポートスキャン(Port Scan)攻撃,PoD(Ping of Death)攻撃などが一例としてあるが,それに限定されない。
つぎに本発明における実施態様1のSDNコントローラ1を用いた処理の一例を図3のフローチャートおよび図4を用いて説明する。図4では,不正攻撃サーバ5のグローバルアドレスが「X」であり,プライベートネットワーク内のクライアント端末3が通信を行う際に介するエッジネットワークデバイス2のグローバルアドレスが「A」,ローカルアドレスが「a」,クライアント端末3のMACアドレスが「ma」であったとする。
脅威検知システム4はプライベートネットワークとグローバルネットワークとの間の通信を監視しており,不正攻撃サーバ5からの脅威があった場合,それを検知し(S100),そのパケットから不正攻撃サーバ5のグローバルアドレス「X」と被疑端末のグローバルアドレス「A」を特定する。そして不正攻撃サーバ5のグローバルアドレス「X」をSDNコントローラ1に通知する(S110)。
SDNコントローラ1が脅威検知システム4から不正攻撃サーバ5のグローバルアドレス「X」を受け取ると,SDNコントローラ1のアドレス情報特定処理部11は,SDNコントローラ1で制御しているプライベートネットワーク内のローカル通信を認識して,各ローカル通信におけるグローバルアドレスと,脅威検知システム4から通知を受けたグローバルアドレスとを照合し,一致するローカル通信における,相手方となるローカルアドレスを特定する(S120)。すなわち,アドレス情報特定処理部11は,SDNコントローラ1で制御しているローカル通信のうち,グローバルアドレスが「X」となっているローカル通信のパケットの制御処理の問い合わせを,エッジネットワークデバイス2から受け取ると,そのローカル通信を特定する。そしてSDNコントローラ1のアドレス情報特定処理部11は,グローバルアドレス「X」を含むローカル通信について,その通信の相手方のローカルアドレス「a」を特定する。
これによって,不正攻撃サーバ5からの攻撃によって被害を受けたクライアント端末3である被疑端末が利用するローカルアドレス「a」を特定する。
そして,SDNコントローラ1の端末識別情報特定処理部12は,アドレス情報特定処理部11が特定したローカルアドレス「a」を利用するエッジネットワークデバイス2に対して,当該ローカルアドレス「a」を利用して通信をしたクライアント端末3の問い合わせを行い,そのクライアント端末3を被疑端末として特定し,被疑端末の端末識別情報(MACアドレスなど)「ma」を特定し,取得する(S130)。
そしてセキュリティ処理部13は,アドレス情報特定処理部11で特定したローカルアドレス「a」に基づいて,そのローカルアドレス「a」を利用するエッジネットワークデバイス2の通信を遮断をするなどの制御処理を実行する(S140)。もしくはセキュリティ処理部13は,端末識別情報特定処理部12で特定したMACアドレス「ma」をエッジネットワークデバイス2に渡し,そのMACアドレス「ma」を有するクライアント端末3(すなわち被疑端末)との間の通信を遮断等するように制御指示を渡し,エッジネットワークデバイス2は,MACアドレス「ma」を有するクライアント端末3との通信を遮断等する(S140)。また,当該制御指示に基づいて,セキュリティ処理部13は,エッジネットワークデバイス2におけるフローエントリーなどのルールテーブルに,送信元のMACアドレス「ma」を有するパケットを遮断(破棄など)する制御をするように書き込む。これによって,以後,MACアドレス「ma」を有するパケットがエッジネットワークデバイス2で,SDNコントローラ1に問い合わせることなく,遮断される。
セキュリティ処理部13における上述のような処理によって,エッジネットワークデバイス単位または被疑端末単位での通信の制御処理が行える。とくにエッジネットワークデバイス2において,被疑端末のMACアドレスに基づき通信の制御を行うことで,エッジネットワークデバイス2が複数のクライアント端末3の通信を介している場合,被疑端末のみの通信を遮断等し,同一のエッジネットワークデバイス2であっても,正常なクライアント端末3の通信に影響を及ぼさないようにできる。これを模式的に示すのが図5である。
すなわちエッジネットワークデバイス2を複数のクライアント端末3が利用している場合,そのローカルアドレスは「a」で同じである。しかしMACアドレスは個々のクライアント端末3で相違するので(「ma」,「mb」),端末識別情報特定処理部12が被疑端末と特定したクライアント端末3のMACアドレスとの間の通信のみを遮断等することができる。
さらに本発明のSDNコントローラ1による別の制御として図6の場合がある。図6は,被疑端末は当初,ローカルアドレス「a」のエッジネットワークデバイス2αを利用していたが,その後,被疑端末が移動し,ローカルアドレス「b」のエッジネットワークデバイス2βを利用する場合である。たとえば被疑端末がスマートフォンなどの可搬型通信端末であり,エッジネットワークデバイス2がアクセスポイントのような場合が該当するが,それに限定されるものではない。
図6では上述のように,SDNコントローラ1のアドレス情報特定処理部11がローカルアドレス「a」を特定したことで,端末識別情報特定処理部12が被疑端末のMACアドレス「ma」を特定する。そして,SDNコントローラ1で通信を遮断等する対象のMACアドレスを管理し,セキュリティ処理部13が,それをプライベートネットワーク内の各エッジネットワークデバイス2に通知しておく。この通知を受けた各エッジネットワークデバイス2は,フローエントリーなどのルールテーブルに,送信元のMACアドレス「ma」を有するパケットを遮断する制御をするように書き込む。このような処理によって,被疑端末がエッジネットワークデバイス2αからエッジネットワークデバイス2βの利用に移行したとしても,エッジネットワークデバイス2βでは,被疑端末との通信の際に,そのMACアドレス「ma」を取得しているので,エッジネットワークデバイス2βがSDNコントローラ1に問い合わせることなく,その通信を遮断等することができる。
同様に,被疑端末を利用するユーザが固定IPアドレスを割り当てたとしても,MACアドレスでの制御をしているので,エッジネットワークデバイス2との通信を遮断等することができる。
本発明のSDNコントローラ1の第1の実施態様では,クライアント端末3のローカルアドレスを特定することで被疑端末を特定していたが,ローカルアドレスを特定せずに被疑端末を特定し,そのMACアドレスを送信元とする通信を遮断するように構成するしてもよい。この場合の構成を図7に示す。
本実施態様のSDNコントローラ1’では,端末識別情報特定処理部12’とセキュリティ処理部13’とを備える。
端末識別情報特定処理部12’は,SDNコントローラ1’が脅威検知システム4から不正攻撃サーバ5のグローバルアドレスを受け取ると,そのグローバルアドレスに対する通信を監視し,そのグローバルアドレスとの間で通信が行われた場合(当該グローバルアドレスを相手方とする通信のパケットの処理の問い合わせを受けた場合),その通信のパケットにおける送信元のクライアント端末3を被疑端末とし,その被疑端末のMACアドレスなどの端末識別情報を当該パケットから抽出する。
セキュリティ処理部13’は,端末識別情報特定処理部12’で特定した端末識別情報に基づいて,セキュリティに関する制御処理を実行する。セキュリティに関する制御処理としては,たとえば,通信の遮断,ウィルス(マルウェアなど)の検出,隔離,修復など,脅威に対する何らかの防衛の制御処理であればよい。
つぎに本発明における実施態様2のSDNコントローラ1’を用いた処理の一例を図8のフローチャートおよび図9を用いて説明する。図9では,不正攻撃サーバ5のグローバルアドレスが「X」であり,プライベートネットワーク内のクライアント端末3が通信を行う際に介するエッジネットワークデバイス2のグローバルアドレスが「A」,ローカルアドレスが「a」,クライアント端末3のMACアドレスが「ma」であったとする。
脅威検知システム4はプライベートネットワークとグローバルネットワークとの間の通信を監視しており,不正攻撃サーバ5からの脅威があった場合,それを検知し(S200),そのパケットから不正攻撃サーバ5のグローバルアドレス「X」を特定する。そして不正攻撃サーバ5のグローバルアドレス「X」をSDNコントローラ1’に通知する(S210)。
SDNコントローラ1’が脅威検知システム4から不正攻撃サーバ5のグローバルアドレス「X」を受け取ると,SDNコントローラ1’の端末識別情報特定処理部12’は,SDNコントローラ1’で制御しているプライベートネットワーク内のローカル通信を認識して,各ローカル通信におけるグローバルアドレスと,脅威検知システム4から通知を受けたグローバルアドレスとを照合し,一致するローカル通信のパケットの送信元端末のMACアドレスを抽出する(S220)。すなわち,端末識別情報特定処理部12’は,SDNコントローラ1’で制御しているローカル通信のうち,グローバルアドレスが「X」となっているローカル通信のパケットの制御処理の問い合わせを,エッジネットワークデバイス2から受け取ると,そのローカル通信を特定する。そしてSDNコントローラ1’の端末識別情報特定処理部12’は,グローバルアドレス「X」を含むローカル通信について,その通信におけるパケットから,送信元端末のMACアドレス「ma」を抽出する。
これによって,不正攻撃サーバ5からの攻撃によって被害を受けたクライアント端末3である被疑端末のMACアドレス「ma」を取得できる。
そしてセキュリティ処理部13’は,端末識別情報特定処理部12’で特定したMACアドレス「ma」をエッジネットワークデバイス2に渡し,そのMACアドレス「ma」を有するクライアント端末3(すなわち被疑端末)との間の通信を遮断等するように制御指示を渡し,エッジネットワークデバイス2は,MACアドレス「ma」を有するクライアント端末3との通信を遮断等する(S230)。また,当該制御指示に基づいて,セキュリティ処理部13’は,エッジネットワークデバイス2におけるフローエントリーなどのルールテーブルに,送信元のMACアドレス「ma」を有するパケットを遮断(破棄など)する制御をするように書き込む。これによって,以後,MACアドレス「ma」を有するパケットがエッジネットワークデバイス2で,SDNコントローラ1’に問い合わせることなく,遮断される。
セキュリティ処理部13’における上述のような処理によって,被疑端末単位での通信の制御処理が行える。とくにエッジネットワークデバイス2において,被疑端末のMACアドレスに基づき通信の制御を行うことで,エッジネットワークデバイス2が複数のクライアント端末3の通信を介している場合,被疑端末のみの通信を遮断等し,同一のエッジネットワークデバイス2であっても,正常なクライアント端末3の通信に影響を及ぼさないようにできる。その結果,図5と同様に,エッジネットワークデバイス2を複数のクライアント端末3が利用している場合でも,端末識別情報特定処理部12’が被疑端末と特定したクライアント端末3のMACアドレス「ma」との間の通信のみを遮断等することができる技術的効果を得ることができる。
さらに実施態様1における図6の場合と同様の技術的効果を得ることもできる。すなわち,端末識別情報特定処理部12’が被疑端末のMACアドレス「ma」を特定しているので,SDNコントローラ1’で通信を遮断等する対象のMACアドレスを管理し,セキュリティ処理部13’が,それをプライベートネットワーク内の各エッジネットワークデバイス2に通知しておく。この通知を受けた各エッジネットワークデバイス2は,フローエントリーなどのルールテーブルに,送信元のMACアドレス「ma」を有するパケットを遮断する制御をするように書き込む。このような処理によって,被疑端末がエッジネットワークデバイスを移動しても,新しいエッジネットワークデバイス2では,被疑端末との通信の際に,そのMACアドレス「ma」を取得しているので,SDNコントローラ1’に問い合わせることなく,その通信を遮断等することができる。
同様に,被疑端末を利用するユーザが固定IPアドレスを割り当てたとしても,MACアドレスでの制御をしているので,エッジネットワークデバイス2との通信を遮断等することができる。
本実施態様のようにSDNコントローラ1’を構成することで,実施態様1とは異なり,プライベートネットワーク内の被疑端末となったクライアント端末3のローカルアドレスを特定することなく,被疑端末のMACアドレスなどの端末識別情報を特定し,当該被疑端末の通信に対する制御を行うことができる。
本発明におけるSDNコントローラ1を用いることで,プライベートネットワーク内で被害を受けたクライアント端末3を特定することができる。そして,被害を受けたクライアント端末3の特定によって,ほかのクライアント端末3への感染等を防止することができる。また,たとえばクライアント端末3がローミングなどのように移動してIPアドレスが変更される場合にも,適用することができる。
1:SDNコントローラ
2:エッジネットワークデバイス
3:クライアント端末
4:脅威検知システム
5:不正攻撃サーバ
11:アドレス情報特定処理部
12:端末識別情報特定処理部
13:セキュリティ処理部
70:演算装置
71:記憶装置
72:表示装置
73:入力装置
74:通信装置

Claims (5)

  1. SDNによって構築されたプライベートネットワークで用いるSDNコントローラであって,
    前記SDNコントローラは,コンピュータを,
    前記プライベートネットワークの外にある脅威検知システムから受け取った不正攻撃サーバのグローバルアドレスに基づいて,前記SDNコントローラが制御する前記プライベートネットワーク内の通信を監視し,各通信におけるグローバルアドレスと,前記受け取ったグローバルアドレスとを照合して,一致する通信における,相手方となるローカルアドレスを特定するアドレス情報特定処理部,
    前記特定したローカルアドレスが割り当てられたクライアント端末の端末識別情報を特定する端末識別情報特定処理部,
    前記特定した端末識別情報に基づいて,前記クライアント端末の通信を遮断する制御処理を行う制御指示を前記エッジネットワークデバイスに行うセキュリティ処理部,
    として機能させることを特徴とするSDNコントローラ。
  2. SDNによって構築されたプライベートネットワークで用いるSDNコントローラであって,
    前記SDNコントローラは,コンピュータを,
    前記プライベートネットワークの外にある脅威検知システムから受け取った不正攻撃サーバのグローバルアドレスに基づいて,前記SDNコントローラが制御する前記プライベートネットワーク内の通信を監視し,各通信におけるグローバルアドレスと,前記受け取ったグローバルアドレスとを照合して,一致する通信における,パケットの送信元のクライアント端末の端末識別情報を特定する端末識別情報特定処理部,
    前記特定した端末識別情報に基づいて,前記クライアント端末の通信を遮断する制御処理を行う制御指示を前記エッジネットワークデバイスに行うセキュリティ処理部,
    として機能させることを特徴とするSDNコントローラ。
  3. 前記SDNコントローラは,前記制御処理として,
    前記特定した端末識別情報を,前記SDNコントローラが管理するプライベートネットワーク内のほかのエッジネットワークデバイスに対して通知する,
    ことを特徴とする請求項1または請求項2に記載のSDNコントローラ。
  4. 前記SDNコントローラは,前記制御処理として,さらに,
    前記クライアント端末の隔離,ウィルスの検出,隔離,修復のいずれか一以上を含む,
    ことを特徴とする請求項1または請求項2に記載のSDNコントローラ。
  5. 前記SDNコントローラは,前記制御処理として,
    前記SDNコントローラが,前記エッジネットワークデバイスにおけるルールテーブルに,前記端末識別情報を有するクライアント端末からのパケットの破棄をするルールを書き込む,
    ことを特徴とする請求項1または請求項2記載のSDNコントローラ。
JP2016095064A 2016-05-11 2016-05-11 Sdnコントローラ Active JP6083009B1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016095064A JP6083009B1 (ja) 2016-05-11 2016-05-11 Sdnコントローラ
US15/456,174 US10616246B2 (en) 2016-05-11 2017-03-10 SDN controller

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016095064A JP6083009B1 (ja) 2016-05-11 2016-05-11 Sdnコントローラ

Publications (2)

Publication Number Publication Date
JP6083009B1 true JP6083009B1 (ja) 2017-02-22
JP2017204722A JP2017204722A (ja) 2017-11-16

Family

ID=58095201

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016095064A Active JP6083009B1 (ja) 2016-05-11 2016-05-11 Sdnコントローラ

Country Status (2)

Country Link
US (1) US10616246B2 (ja)
JP (1) JP6083009B1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017204721A (ja) * 2016-05-11 2017-11-16 アライドテレシス株式会社 セキュリティシステム
JP2018191121A (ja) * 2017-05-02 2018-11-29 アライドテレシスホールディングス株式会社 アクセス制御システム
CN111479509A (zh) * 2017-10-16 2020-07-31 皇家飞利浦有限公司 利用相机对对象分布的确定

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11338721B2 (en) 2017-10-23 2022-05-24 Koito Manufacturing Co., Ltd. Vehicle light fixture
JP7059726B2 (ja) 2018-03-19 2022-04-26 株式会社リコー 通信システム、通信制御装置、通信制御方法及び通信制御プログラム
CN108833430B (zh) * 2018-06-29 2020-05-19 华中科技大学 一种软件定义网络的拓扑保护方法
JP7147337B2 (ja) * 2018-07-31 2022-10-05 株式会社リコー 通信制御システム、通信制御方法およびプログラム
US20200099252A1 (en) * 2018-09-26 2020-03-26 Abb Schweiz Ag Secure distributed state estimation for networked microgrids
US11228603B1 (en) * 2018-09-27 2022-01-18 Juniper Networks, Inc. Learning driven dynamic threat treatment for a software defined networking environment
US20200106301A1 (en) * 2018-10-01 2020-04-02 Abb Schweiz Ag Decentralized false data mitigation for nested microgrids
US11411967B2 (en) * 2018-11-30 2022-08-09 Cisco Technology, Inc. Synergistic DNS security update
JP6645596B1 (ja) * 2019-01-11 2020-02-14 株式会社セガゲームス プログラム及び情報処理装置
WO2020145335A1 (ja) * 2019-01-11 2020-07-16 株式会社セガゲームス プログラム及び情報処理装置
US11336557B2 (en) * 2019-11-07 2022-05-17 Arista Networks, Inc. System and method for managing computing resources
CN112637154B (zh) * 2020-12-09 2022-06-21 迈普通信技术股份有限公司 设备认证方法、装置、电子设备及存储介质
CN115297012B (zh) * 2022-08-03 2024-02-06 重庆奥普泰通信技术有限公司 Sdn控制器的离线测试方法、装置、控制器及介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015127843A (ja) * 2013-11-28 2015-07-09 日本電信電話株式会社 通信制御装置、通信制御方法、および通信制御プログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030065785A1 (en) * 2001-09-28 2003-04-03 Nikhil Jain Method and system for contacting a device on a private network using a specialized domain name server
JP5408243B2 (ja) 2009-03-09 2014-02-05 日本電気株式会社 OpenFlow通信システムおよびOpenFlow通信方法
JP2011109186A (ja) 2009-11-12 2011-06-02 Okayama Univ ネットワーク通信方法及びアクセス管理方法とパケット中継装置
US10057167B2 (en) * 2014-04-09 2018-08-21 Tallac Networks, Inc. Identifying end-stations on private networks
KR101567253B1 (ko) * 2014-10-31 2015-11-06 삼성에스디에스 주식회사 플로우 제어 장치 및 방법
US20170134416A1 (en) * 2015-11-06 2017-05-11 Jun Kawakita Security techniques on inter-terminal communications within the same ssid under the same ap using openflow
US10091166B2 (en) * 2015-12-31 2018-10-02 Fortinet, Inc. Sequentially serving network security devices using a software defined networking (SDN) switch
JP6256773B2 (ja) * 2016-05-11 2018-01-10 アライドテレシスホールディングス株式会社 セキュリティシステム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015127843A (ja) * 2013-11-28 2015-07-09 日本電信電話株式会社 通信制御装置、通信制御方法、および通信制御プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6016034971; ONF solution brief: Open Networking Foundation: SDN security considerations in the data center , 201310 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017204721A (ja) * 2016-05-11 2017-11-16 アライドテレシス株式会社 セキュリティシステム
JP2018191121A (ja) * 2017-05-02 2018-11-29 アライドテレシスホールディングス株式会社 アクセス制御システム
CN111479509A (zh) * 2017-10-16 2020-07-31 皇家飞利浦有限公司 利用相机对对象分布的确定

Also Published As

Publication number Publication date
US20170331842A1 (en) 2017-11-16
JP2017204722A (ja) 2017-11-16
US10616246B2 (en) 2020-04-07

Similar Documents

Publication Publication Date Title
JP6083009B1 (ja) Sdnコントローラ
US11102233B2 (en) Detection of vulnerable devices in wireless networks
US11349867B2 (en) Rogue device detection including mac address spoofing detection
US11902303B2 (en) System and method for detecting lateral movement and data exfiltration
US10326778B2 (en) System and method for detecting lateral movement and data exfiltration
JP6256773B2 (ja) セキュリティシステム
US20100071065A1 (en) Infiltration of malware communications
WO2018095098A1 (zh) 网络安全防护方法和装置
JP2015528263A (ja) ネットワークトラフィック処理システム
KR101156005B1 (ko) 네트워크 공격 탐지 및 분석 시스템 및 그 방법
JP2006074760A (ja) セキュリティの脅威に起因してネットワークの通信が制限されている間に仮想ネットワーク内のネットワークデバイスが通信することを可能にすること
US20170250998A1 (en) Systems and methods of preventing infection or data leakage from contact with a malicious host system
EP1742438A1 (en) Network device for secure packet dispatching via port isolation
KR102512622B1 (ko) DRDoS 공격 탐지 방법 및 이를 수행하는 장치들
KR101006372B1 (ko) 유해 트래픽 격리 시스템 및 방법
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JP2019213182A (ja) ネットワーク防御装置およびネットワーク防御システム
US20040093514A1 (en) Method for automatically isolating worm and hacker attacks within a local area network
US11159533B2 (en) Relay apparatus
KR101343693B1 (ko) 네트워크 보안시스템 및 그 처리방법
GB2587713A (en) Securing endpoints in a heterogenous enterprise network
JP4753264B2 (ja) ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出)
JP6938205B2 (ja) アクセス制御システム
Aldaoud et al. Detecting and mitigating DHCP attacks in OpenFlow-based SDN networks: a comprehensive approach
JP2018038083A (ja) セキュリティシステム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161213

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20161226

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161226

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20161226

R150 Certificate of patent or registration of utility model

Ref document number: 6083009

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250