JP6418232B2 - ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法およびプログラム - Google Patents

ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法およびプログラム Download PDF

Info

Publication number
JP6418232B2
JP6418232B2 JP2016507292A JP2016507292A JP6418232B2 JP 6418232 B2 JP6418232 B2 JP 6418232B2 JP 2016507292 A JP2016507292 A JP 2016507292A JP 2016507292 A JP2016507292 A JP 2016507292A JP 6418232 B2 JP6418232 B2 JP 6418232B2
Authority
JP
Japan
Prior art keywords
terminal
identification information
information
network management
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016507292A
Other languages
English (en)
Other versions
JPWO2015136842A1 (ja
Inventor
健太郎 園田
健太郎 園田
貴之 佐々木
貴之 佐々木
洋一 波多野
洋一 波多野
俊貴 渡辺
俊貴 渡辺
林 偉夫
偉夫 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2015136842A1 publication Critical patent/JPWO2015136842A1/ja
Application granted granted Critical
Publication of JP6418232B2 publication Critical patent/JP6418232B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Description

本発明は、ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法および記録媒体に関する。
近年、サイバー攻撃等に対する対策が考えられている。
例えば、特許文献1には、分散ネットワークで相互に送信される情報、および分散ノードに記憶された情報として、分散ネットワークに大量の偽データを流出させることが記載されている。これにより、特許文献1の技術では、分散ネットワークのネットワーク利用者やデータ取得側で各情報、ファイルの真偽判別を困難にしている。
特開2010−97343号公報
サイバー攻撃により既にネットワーク内に悪意のある第3者が侵入している場合、侵入された端末のIP(Internet Protocol)アドレス等のネットワーク構成情報を用いて、同じネットワーク上にある他の端末のネットワーク構成情報を推測し、当該他の端末に不正にアクセスされる可能性がある。
特許文献1の技術では、ネットワーク上を流れるデータの真偽判別を困難にするに留まり、侵入された端末から、当該端末のネットワーク構成情報を利用した不正アクセスについては、何ら考慮されていない。
本発明は、上記課題に鑑みてなされたものであり、その目的は、悪意のあるユーザによって侵入された端末からの他の装置に対する不正アクセスを防ぐことが可能なネットワーク管理装置、ネットワークシステム、ネットワーク管理方法および記録媒体を実現することにある。
本発明の一態様に係るネットワーク管理装置は、端末と通信装置を介して接続するネットワーク管理装置であって、当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、前記仮装の識別情報を、前記端末に登録する登録手段と、を備える。
本発明の一態様に係るネットワークシステムは、複数の端末と、ネットワークを管理するネットワーク管理装置と、前記複数の端末の夫々と前記ネットワーク管理装置とを接続する通信装置と、を備え、前記ネットワーク管理装置は、前記複数の端末のうち、前記通信装置を介して当該ネットワーク管理装置に接続された端末に対し、当該ネットワーク管理装置が管理するネットワーク上において、前記複数の端末の夫々を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、前記ネットワークに接続された端末に対し、前記正規の識別情報とは異なる仮装の識別情報であって、当該端末が他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、前記仮装の識別情報を、前記ネットワークに接続された端末に登録する登録手段と、を備える。
本発明の一態様に係るネットワーク管理方法は、端末と通信装置を介して接続するネットワーク管理装置のネットワーク管理方法であって、前記ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成し、前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成し、前記正規の識別情報および前記仮装の識別情報を、関連付けて管理し、前記仮装の識別情報を、前記端末に登録する。
なお、上記ネットワーク管理装置または上記ネットワーク管理方法を、コンピュータによって実現するコンピュータプログラム、およびそのコンピュータプログラムが格納されている、コンピュータ読み取り可能な記憶媒体も、本発明の範疇に含まれる。
本発明によれば、悪意のあるユーザによって侵入された端末からの他の装置に対する不正アクセスを防ぐことができる、という効果を奏する。
本発明の第1の実施の形態に係るネットワーク管理装置の機能構成の一例を示す機能ブロック図である。 本発明の第1の実施の形態に係るネットワークシステムの構成の一例を示すブロック図である。 本発明の第2の実施の形態に係るネットワークシステムの構成の一例を示すブロック図である。 本発明の第2の実施の形態に係るネットワーク管理装置のネットワーク構成情報記憶部に格納されたデータの一例を示す図である。 本発明の第2の実施の形態に係るネットワーク管理装置の処理の流れの一例を示すフローチャートである。 本発明の第2の実施の形態の変形例に係るネットワーク管理装置のネットワーク構成情報記憶部に格納されたデータの一例を示す図である。 本発明の第3の実施の形態に係るネットワーク管理装置のネットワーク構成情報管理部が管理する関係情報および動作情報の一例を示す図である。 本発明の第4の実施の形態に係るネットワーク管理装置のネットワーク構成情報記憶部に格納されたデータの一例を示す図である。 本発明の第5の実施の形態に係るネットワークシステムの構成の一例を示すブロック図である。 本発明の第5の実施の形態に係るネットワーク管理装置のネットワーク構成情報記憶部に格納されたデータであって、仮装のネットワーク構成情報が変更される前および変更された後のデータの一例を示す図である。 本発明の第6の実施の形態に係るネットワークシステムの構成の一例を示すブロック図である。 本発明の各実施形態に係るネットワークシステムを実現可能なネットワーク管理装置のハードウェア構成の一例を示す図である。
<第1の実施の形態>
本発明の第1の実施の形態について、図面を参照して詳細に説明する。図1は、本発明の第1の実施の形態に係るネットワーク管理装置100の機能構成の一例を示す機能ブロック図である。ネットワーク管理装置100は、ネットワークの構成を管理する装置である。ネットワーク管理装置100は、例えば、SDN(Software−Defined Networking)コントローラ等によって実現される。
ここで、図2を参照して、ネットワーク管理装置100を含むネットワークシステム1について説明を行う。図2は、本実施の形態に係るネットワークシステム1の構成の一例を示す図である。図2に示す通り、ネットワークシステム1は、ネットワーク管理装置100と、ネットワーク通信装置200と、複数の端末(300、400)とを含んでいる。
ネットワーク管理装置100は、端末(300、400)とネットワーク通信装置200を介して接続している。
ネットワーク通信装置200は、ネットワーク管理装置100と、各端末とを接続する装置である。ネットワーク通信装置200は、例えば、SDNスイッチによって実現される。なお、本実施の形態では、ネットワーク通信装置200が1台の構成について説明を行っているが、本実施の形態はこれに限定されるものではない。ネットワーク通信装置200は、複数であってもよい。
複数の端末(300、400)は、ネットワーク通信装置200を介して、互いに通信を行うユーザ端末やサーバ等である。図2においては、2つの端末がネットワーク通信装置200に接続されているが、端末の数は、これに限定されるものではない。
端末がネットワーク通信装置200に接続されると、当該端末は、自身のIP(Internet Protocol)アドレスと、MAC(Media Access Control)アドレスとをネットワーク通信装置200に送信する。なお、端末がネットワーク通信装置200に送信する情報は、これに限定されるものではなく、例えば、ホスト名(以降、NAMEとも称す)であってもよい。
(ネットワーク管理装置100)
ネットワーク管理装置100は、図1に示す通り、仮装情報生成部120と、正規情報生成部130と、ネットワーク構成情報管理部140と、仮装情報登録部150と、を備えている。
(正規情報生成部130)
正規情報生成部130は、複数の端末(300、400)のうち、ネットワーク通信装置200を介してネットワーク管理装置100に接続された端末(接続端末)に対し、ネットワーク管理装置100が正規の情報として管理する正規のネットワーク構成情報(正規の識別情報)を生成する。正規のネットワーク構成情報とは、ネットワーク管理装置100が管理するネットワーク上において、端末を識別する情報である。正規のネットワーク構成情報は、例えば、上記端末が、ネットワーク管理装置100に接続された他の端末と通信を行う際に、そのまま利用することができる情報である。上記そのまま利用することができる情報とは、例えば、IPアドレス、MACアドレス、ホスト名等が挙げられるが、本実施の形態はこれに限定されるものではない。
正規情報生成部130が生成する正規のネットワーク構成情報は、予め管理者によって設定された情報に従って生成されてもよいし、その他の方法を用いて、自動的に生成されてもよい。正規情報生成部130が生成する正規のネットワーク構成情報の生成方法は特に限定されない。
正規情報生成部130は、生成した正規のネットワーク情報を、ネットワーク構成情報管理部140に供給する。
(仮装情報生成部120)
仮装情報生成部120は、複数の端末(300、400)のうち、ネットワーク通信装置200を介してネットワーク管理装置100に接続された接続端末に対し、仮装(フェイク、トラップ)のネットワーク構成情報(仮装の識別情報)を生成する。仮装のネットワーク構成情報とは、正規のネットワーク構成情報とは異なる情報であって、ネットワーク管理装置100が仮装の情報として管理する情報である。仮装のネットワーク構成情報は、ランダムな情報である。仮装のネットワーク構成情報とは、端末が他の端末と通信を行う際にそのまま利用することができない情報である。また、仮装のネットワーク構成情報は、正規のネットワーク構成情報と一対一で対応するものであり、重複するものではない。仮装のネットワーク構成情報として、例えば、ランダムに生成されたホスト名、IPアドレス、MACアドレス等が挙げられるが、本実施の形態はこれに限定されるものではない。
仮装情報生成部120は、生成した仮装のネットワーク構成情報を、ネットワーク構成情報管理部140および仮装情報登録部150に供給する。また、仮装情報生成部120は、仮装のネットワーク構成情報を、ランダムではなく、所定のルールに従って生成する構成であってもよい。
(ネットワーク構成情報管理部140)
ネットワーク構成情報管理部140は、仮装のネットワーク構成情報と正規のネットワーク構成情報とを関連付けて管理する手段である。ネットワーク構成情報管理部140は、図示しない記憶手段に上記ネットワーク構成情報を互いに関連付けて記憶してもよい。
(仮装情報登録部150)
仮装情報登録部150は、仮装情報生成部120から仮装のネットワーク構成情報を受け取ると、当該仮装のネットワーク構成情報を端末に登録する。例えば、仮装情報生成部120が生成した仮装のネットワーク構成情報が、IPアドレス、MACアドレスおよびホスト名である場合、仮装情報登録部150は、上記IPアドレス、MACアドレスおよびホスト名を、ネットワーク管理装置100に接続された端末に登録する。なお、上記端末にネットワーク構成情報が既に登録されている場合、仮装情報登録部150は、既に登録されているネットワーク構成情報を仮装情報生成部120から供給された仮装のネットワーク構成情報に書き換えてもよい。
(効果)
本実施の形態に係るネットワーク管理装置100によれば、悪意のあるユーザによって侵入された端末からの、他の装置に対する不正アクセスを防ぐことができる。
なぜならば、仮装情報登録部150が仮装情報生成部120で生成された仮装のネットワーク構成情報を、接続された端末に登録するからである。これにより、ネットワーク管理装置100に接続された端末に登録されたネットワーク構成情報は、正規のネットワーク構成情報とは異なる、仮装のネットワーク構成情報となる。したがって、ネットワーク管理装置100に接続された端末が、感染したとしても、仮装のネットワーク構成情報から周辺装置のネットワーク構成情報が推測されづらい。よって、本実施の形態に係るネットワーク管理装置100によれば、悪意のある活動が困難となり、よりネットワークの安全性を高めることができる。
また、正規のネットワーク構成情報を生成することにより、ネットワーク管理装置100は、当該ネットワーク管理装置100に接続された端末を好適に管理することができる。
また、本実施の形態によれば、ネットワーク管理装置100のネットワーク構成情報管理部140が正規のネットワーク構成情報と仮装のネットワーク構成情報とを関連付けて管理している。これにより、ネットワーク管理装置100は、仮装情報登録部150によって仮装のネットワーク構成情報が登録された端末が、他の端末と通信を行う際に、当該端末の正規のネットワーク構成情報を容易に特定することができる。
<第2の実施の形態>
本発明の第2の実施の形態について、図面を参照して詳細に説明する。なお、上述した第1の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
図3は、本実施の形態に係るネットワークシステム2におけるネットワーク管理装置101の機能構成の一例を示す機能ブロック図である。図3に示す通り、ネットワーク管理装置101は、端末判定部(第1の判定手段)110、仮装情報生成部120、正規情報生成部130、ネットワーク構成情報管理部140、仮装情報登録部150、通信判定部(第2の判定手段)160およびネットワーク構成情報記憶部170を備えている。
(端末判定部110)
端末判定部110は、ネットワーク通信装置200に接続された端末が、当該ネットワーク通信装置200に新規に接続された端末か、以前に接続された端末かを判定する。
具体的には、端末判定部110は、当該ネットワーク通信装置200に接続された端末を識別する情報(端末識別情報)と、当該端末が通信を行う端末を識別する情報(宛先識別情報)と、を含むパケット(入力パケット)を、端末からネットワーク通信装置200を介して受信する。
ここで、本実施の形態においては、端末識別情報として、例えば、IPアドレス(IP src)、MACアドレス(Ether src)等を例に挙げ説明を行うが、本実施の形態はこれに限定されるものではない。端末識別情報は、例えば、当該端末を示すホスト名(以下、NAMEとも呼ぶ)であってもよい。端末識別情報は、例えば、IPアドレス、MACアドレス、ホスト名の少なくとも何れかであってもよい。なお、本実施の形態においては、端末識別情報として、端末のIPアドレスおよびMACアドレスが端末判定部110に入力されることを例に説明を行う。
また、宛先識別情報としては、例えば、宛先のIPアドレス(IP dst)、宛先のMACアドレス(Ether dst)、ホスト名等が挙げられるが、本実施の形態はこれに限定されるものではない。宛先識別情報は、例えば、IPアドレス、MACアドレス、ホスト名の少なくとも何れかであってもよい。なお、本実施の形態においては、宛先識別情報として、宛先の端末のIPアドレスおよびMACアドレスが端末判定部110に入力されることを例に説明を行う。
なお、本実施の形態では、ネットワーク通信装置200が受信した上記入力パケットを、ネットワーク管理装置101に送ることをpkt_inとも呼ぶ。また、上記入力パケットには、例えば、次の(1)〜(8)に示す情報を含んでいてもよい。
(1)ネットワーク通信装置200の物理ポート番号、
(2)イーサネット(登録商標)の種別、
(3)VLAN(Virtual LAN(Local Area Network))のID(IDentifier)、
(4)VLANの優先制御値、
(5)IPのプロトコル種別、
(6)IPのToS(Type Of Service)情報、
(7)TCP/UDP(Transmission Control Protocol/User Datagram Protocol)の送信元ポート番号、
(8)TCP/UDPの宛先ポート番号。
端末判定部110は、受信した端末識別情報である、IPアドレスおよびMACアドレスが、ネットワーク構成情報管理部140によって管理されているか否かを確認する。つまり、端末判定部110は、端末識別情報であるIPアドレスおよびMACアドレスが、ネットワーク構成情報記憶部170に格納されているか否かを確認する。端末識別情報が、ネットワーク構成情報管理部140によって管理されていない場合、端末判定部110は、接続された端末がネットワーク通信装置200に新規に接続された端末であると判定する。そして、端末判定部110は、入力パケットに含まれる当該端末識別情報を仮装情報生成部120および正規情報生成部130に供給する。なお、端末判定部110は、仮装情報生成部120に対し、入力パケットを受信したことを示す情報を供給してもよい。
また、端末識別情報がネットワーク構成情報管理部140によって管理されている場合、端末判定部110は、接続された端末が、ネットワーク通信装置200に以前に接続された端末であると判定する。そして、端末判定部110は、通信判定部160に、受信した端末識別情報と宛先識別情報とを含む入力パケットを供給する。
なお、例えば、ネットワーク通信装置200から端末識別情報として、IPアドレスとMACアドレスとが送られる場合であって、ネットワーク通信装置200に接続された端末に、何もネットワークに接続するための情報(例えば、IPアドレス)の設定が行われていない場合について説明する。
この場合、上記端末がネットワーク通信装置200に接続されると、上記端末識別情報のIPアドレスは、空の状態で端末判定部110に送られる。端末判定部110は、IPアドレスが空であるか否かを確認することにより、当該端末が新規に接続された端末か否かを確認してもよい。
(通信判定部160)
通信判定部160は、端末判定部110によって、ネットワーク管理装置101に接続された端末(接続端末と呼ぶ)が新規に接続された端末でないと判定されたとき、当該接続端末が、ネットワーク管理装置101に接続されている他の端末(宛先端末と呼ぶ)と通信可能か否かを判定する。具体的には、通信判定部160は、入力パケットに含まれる端末識別情報と、宛先識別情報とに基づいて、ネットワーク構成情報管理部140によって管理された情報(つまり、ネットワーク構成情報記憶部170に格納されている情報)を参照して、端末間の通信可否を判定する。
通信判定部160は、端末判定部110から、当該端末判定部110が受信した端末識別情報と宛先識別情報とを含む入力パケットを受け取る。そして、通信判定部160は、ネットワーク構成情報記憶部170を参照し、受け取った端末識別情報に含まれるIPアドレスおよびMACアドレスから、正規のIPアドレスおよびMACアドレス(正規のネットワーク構成情報)を特定する。
そして、通信判定部160は、ネットワーク通信装置200に接続された接続端末が通信を行う宛先端末と通信可能な端末か否かを確認する。ここで、通信判定部160は、端末判定部110から受け取った入力パケットに含まれる宛先識別情報(IPアドレスおよびMACアドレス)が、仮装のネットワーク構成情報の場合、通信判定部160は、当該宛先識別情報を用いて、ネットワーク構成情報記憶部170を参照し、当該宛先識別情報に対応する正規のIPアドレスおよびMACアドレスを特定する。
そして、通信判定部160は、接続端末の正規のネットワーク構成情報と、宛先端末の正規のネットワーク構成情報とを用いて、接続端末と宛先端末とが通信可能か否かを確認する。例えば、通信判定部160は、接続端末と宛先端末とが同一のサブネットに属するか否かを確認する。
接続端末と宛先端末とが通信不可の場合、通信判定部160は、入力パケットを破棄する。接続端末と宛先端末とが通信可能の場合、通信判定部160は、ネットワーク通信装置200に対し、当該入力パケットの処理を行う(入力パケットを宛先端末に送るフローを登録する)。なお、本実施の形態では、この処理をflow_modとも呼ぶ。
そして、通信判定部160は、入力パケットを宛先端末に送信(転送)する。または、通信判定部160は、入力パケットをネットワーク通信装置200に送信し、ネットワーク通信装置200が当該入力パケットを宛先端末へ送信する。なお、本実施の形態では、この送信処理をpkt_outとも呼ぶ。
ここで、端末から送信された端末識別情報が、IPアドレスを含まない場合、通信判定部160は、IPアドレス以外の端末識別情報(例えば、ホスト名)から、端末同士が同一サブネットであるか否かを確認する構成であってもよい。例えば、同一のサブネットに属するホスト名の一覧がネットワーク構成情報記憶部170に格納されており、通信判定部160が上記一覧を確認することにより、同一サブネットか否かを確認する構成が含まれていてもよい。
(ネットワーク構成情報記憶部170)
ネットワーク構成情報記憶部170は、互いに関連付けられた仮装のネットワーク構成情報と正規のネットワーク構成情報とを格納する手段である。ネットワーク構成情報記憶部170は、ネットワーク構成情報管理部140によって管理されている。なお、本実施の形態においては、ネットワーク構成情報記憶部170がネットワーク管理装置101に含まれる構成について説明を行うが、ネットワーク構成情報記憶部170は、ネットワーク管理装置101とは別個の装置で実現されるものであってもよい。
ここで、図4を参照して、ネットワーク構成情報記憶部170に格納されたネットワーク構成情報について説明する。図4は、本実施の形態に係るネットワーク管理装置101のネットワーク構成情報記憶部170に格納されたデータの一例を示す図である。図4に示す通り、ネットワーク構成情報記憶部170には、正規のネットワーク構成情報と、当該正規のネットワーク構成情報とは異なる仮装のネットワーク構成情報とが互いに関連付けられて格納されている。
例えば、ネットワークに接続可能な端末であって、ネットワーク通信装置200に接続された端末に、何もネットワークに接続するための情報(例えば、ホスト名やIPアドレス)の設定が行われていない場合について説明する。この端末は、ネットワーク通信装置200に新規に接続される端末であるとする。上記端末は、MACアドレスを有しているので、最初にネットワーク通信装置200に接続すると、端末識別情報として、MACアドレスを含む入力パケットをネットワーク通信装置200に送信する。このとき、端末は、IPアドレスとして空の情報が入った端末識別情報を送信してもよい。
端末から送信されたMACアドレスが「xx:xx:xx:xx:xx:xx」であるとする。このとき、仮装情報生成部120が当該端末に対し、ランダムに、仮装のホスト名、仮装のIPアドレス、仮装のMACアドレスを、夫々生成する。例えば、仮装情報生成部120が仮装のホスト名、仮装のIPアドレス、仮装のMACアドレスとして、夫々、「asdfjkl」、「10.56.50.10」、「00:11:22:33:44:55」を生成する。
また、正規情報生成部130が、正規のホスト名および正規のIPアドレスを生成する。MACアドレスについては、受信したMACアドレスが正規のMACアドレスとなる。例えば、正規情報生成部130が、正規のホスト名および正規のIPアドレスとして、夫々、「pepper」および「172.16.1.1」を生成する。
ネットワーク構成情報記憶部170には、ネットワーク構成情報管理部140によって、仮装のネットワーク構成情報と正規のネットワーク構成情報とが関連付けて格納されている。そのため、ネットワーク構成情報記憶部170には、図4の1行目に示す通り、仮装情報生成部120が生成した仮装のネットワーク構成情報と、正規情報生成部130が生成した正規のネットワーク構成情報とが、互いに関連付けられて格納される。
また、ネットワークに接続可能な端末であって、ネットワーク通信装置200に接続された端末に、当該ネットワークに接続するための情報の設定が行われている場合について説明する。この端末は、ネットワーク通信装置200に新規に接続される端末であるとする。上記端末は、最初にネットワーク通信装置200に接続すると、端末識別情報として、既に設定されているIPアドレスと、MACアドレスとを含む入力パケットをネットワーク通信装置200に送信する。
この端末は、ネットワーク通信装置200に新規に接続される端末であるため、仮装情報生成部120が、当該端末に対し、ランダムに、仮装のホスト名、仮装のIPアドレス、仮装のMACアドレスを、夫々生成する。また、正規情報生成部130が、正規のホスト名および正規のIPアドレスを生成する。MACアドレスについては、受信したMACアドレスが正規のMACアドレスとなる。ここで、受信したIPアドレスおよびホスト名が、当該ネットワーク管理装置101が管理するネットワーク上で利用可能(ネットワーク管理装置101が管理可能)なIPアドレスおよびホスト名の場合、正規情報生成部130は、受信したIPアドレスおよびホスト名を、夫々、正規のIPアドレスおよび正規のホスト名として設定してもよい。
そして、ネットワーク構成情報管理部140によって、ネットワーク構成情報記憶部170に仮装のネットワーク構成情報と正規のネットワーク構成情報とが関連付けて格納される。
(ネットワーク管理装置101の処理)
次に、図5を参照して、ネットワーク管理装置101の処理の流れについて説明を行う。図5は、ネットワーク管理装置101の処理の流れの一例を示すフローチャートである。ネットワーク通信装置200に端末300が接続され、ネットワーク通信装置200がネットワーク管理装置101に対し、入力パケットを送信すると、ネットワーク管理装置101は、図5に示す通り、以下のステップS51〜ステップS61の処理を行う。
ステップS51:端末判定部110が、端末識別情報と、宛先識別情報と、を含む入力パケットを受信する。
ステップS52:端末判定部110が、ステップS51で受信した端末識別情報で示される端末がネットワーク通信装置200に新規に接続された端末か否かを確認する。新規に接続された端末の場合(YESの場合)、ステップS53に進む。既に接続された端末の場合(NOの場合)、ステップS57に進む。
ステップS53:仮装情報生成部120が、仮装のネットワーク構成情報を生成する。
ステップS54:正規情報生成部130が、正規のネットワーク構成情報を生成する。
なお、ステップS53とステップS54とは、同時に行われてもよいし、逆順で行われてもよい。
ステップS55:ネットワーク構成情報管理部140が、ステップS54で生成した正規のネットワーク構成情報と、ステップS53で仮装情報生成部120が生成した仮装のネットワーク構成情報とを関連付けて、ネットワーク構成情報記憶部170に格納する。
ステップS56:仮装情報登録部150がステップS53で仮装情報生成部120が生成した仮装のネットワーク構成情報を、入力パケットを送信した端末に登録し、処理を終了する。
なお、ステップS56は、ステップS54と同時に行われてもよいし、ステップS54より前に行われてもよい。
ステップS57:ステップS52にてNOの場合、通信判定部160が、ネットワーク構成情報記憶部170を参照し、ステップS51で受信した端末識別情報から、接続端末の正規のネットワーク構成情報を特定する。
ステップS58:通信判定部160が、ネットワーク構成情報記憶部170を参照し、ステップS51で受信した宛先識別情報から、宛先端末の正規のネットワーク構成情報を特定する。
ステップS59:通信判定部160が、端末間の通信可否を判定する。通信可能の場合(YESの場合)、ステップS60に進む。通信不可の場合(NOの場合)、ステップS61に進む。
ステップS60:通信判定部160が、入力パケットを宛先端末に送るフローを登録し、宛先端末に入力パケットを転送し、処理を終了する。
ステップS61:通信判定部160が、入力パケットを破棄し、処理を終了する。
(効果)
本実施の形態に係るネットワーク管理装置101によれば、悪意のあるユーザによって侵入された端末からの、他の装置に対する不正アクセスを防ぐことができる。
なぜならば、仮装情報登録部150が仮装情報生成部120で生成された仮装のネットワーク構成情報を、接続された端末に登録するからである。これにより、ネットワーク管理装置101に接続された端末に登録されたネットワーク構成情報は、正規のネットワーク構成情報とは異なる、仮装のネットワーク構成情報となる。
よって、本実施の形態に係るネットワーク管理装置101は、端末に潜むウイルス等の悪意あるソフトウェアが正規のネットワーク構成情報を取得することを困難にすることができる。
また、ネットワーク管理装置101に接続された端末が、感染したとしても、仮装のネットワーク構成情報から周辺装置のネットワーク構成情報が推測されづらい。例えば、ネットワーク管理装置101に接続された端末がワーム等に感染し、宛先端末として、自身に設定された仮装のネットワーク構成情報から想定されるネットワーク構成情報(例えば、仮装のIPアドレスと同一のサブネットに含まれるIPアドレス等)を指定した攻撃を行ったとする。しかし、仮装のネットワーク構成情報はランダムに生成されたものであるため、上記想定されるネットワーク構成情報が、ネットワーク構成情報管理部140で管理されていない。このように、本実施の形態に係るネットワーク管理装置101は、他の端末のネットワーク構成情報の推測を困難にすることができる。
また、ネットワーク通信装置200に接続された他の端末のネットワーク構成情報の推測が困難になることにより、当該他の端末の探索活動にかかる工数(作業コスト)を増大させることができる。これにより、感染端末からの悪意のある活動を困難にすることができる。よって、本実施の形態に係るネットワーク管理装置101によれば、悪意のある活動が困難となり、よりネットワークの安全性を高めることができる。
また、悪意あるユーザが、感染端末の周辺端末への更なる侵入(二次感染)や情報搾取等の攻撃を仕掛けることが可能な、脆弱性のある端末の調査等の探索活動を難しくすることができる。
また、正規のネットワーク構成情報を生成することにより、ネットワーク管理装置101は、当該ネットワーク管理装置101に接続された端末を好適に管理することができる。
また、本実施の形態によれば、ネットワーク管理装置101のネットワーク構成情報管理部140が正規のネットワーク構成情報と仮装のネットワーク構成情報とを関連付けて管理している。これにより、ネットワーク管理装置101は、仮装情報登録部150によって仮装のネットワーク構成情報が登録された端末が、他の端末と通信を行う際に、当該端末の正規のネットワーク構成情報を容易に特定することができる。
また、端末判定部110が、ネットワーク通信装置200に接続された端末が新規に接続されたか否かを確認することにより、新規に接続された端末に対し、仮装のネットワーク構成情報を登録することができる。また、既に接続された端末に対しては、セキュリティを保ったままで、当該端末が通信を行う宛先端末に対し、入力パケットを送信することができる。
(変形例)
本実施の形態に係るネットワーク構成情報管理部140が管理する正規のネットワーク構成情報および仮装のネットワーク構成情報が、夫々、IPアドレス、MACアドレスおよびホスト名を含むことを例に説明を行ったが、本発明はこれに限定されるものではない。正規のネットワーク構成情報および仮装のネットワーク構成情報は、夫々、ポート番号を含んでもよい。本変形例では、図6を参照して、正規および仮装のネットワーク構成情報にポート番号が含まれることについて説明を行う。
図6は、本変形例に係るネットワーク構成情報記憶部170に格納されたデータの一例を示す図である。図6に示す通り、ネットワーク構成情報記憶部170には、仮装のネットワーク構成情報として、ホスト名、IPアドレス、MACアドレスおよびポート番号を含んでいる。また、ネットワーク構成情報記憶部170には、正規のネットワーク構成情報として、ホスト名、IPアドレス、MACアドレスおよびポート番号を含んでいる。
上述したとおり、端末判定部110が端末から受信する入力パケットには、端末識別情報が含まれている。本変形例に係るネットワーク管理装置101では、この端末識別情報に、送信元ポート番号(単に、ポート番号と呼ぶ)が含まれる。
例えば、MACアドレスが「xx:xx:xx:xx:xx:xx」の端末が「80」のポート番号(正規のポート番号)を用いた通信を行う場合、仮装情報生成部120は、当該正規のポート番号に対応する仮装のポート番号として、「123」を生成する。そして、仮装情報登録部150が、実際にはポート番号が「80」を用いた通信に対し、使用するポートのポート番号が「123」であると、端末に設定する。
端末判定部110は、受信した端末識別情報である、IPアドレス、MACアドレスおよびポート番号が、ネットワーク構成情報管理部140によって管理されているか否かを確認する。
また、通信判定部160は、宛先端末と通信を行う際に使用するポートのポート番号を、ネットワーク構成情報記憶部170を参照することにより特定する。例えば、端末判定部110が、接続端末のポート番号が「123」である入力パケットを受け取った場合、通信判定部160は、ネットワーク構成情報記憶部170を参照し、正規のポート番号(図6の場合、「80」)を取得する。そして、通信判定部160は、正規のポート番号を使用して、宛先端末に入力パケットを転送する。
このように、仮装のポート番号を端末に設定することにより、当該端末からは、ポート番号が「80」や「443」といった、通常では空いているポートが閉じているように見える。したがって、本変形例に係るネットワーク管理装置101は、アドレススキャンだけでなくポートスキャンまで含めた探索活動をより困難にさせることができる。
<第3の実施の形態>
本発明の第3の実施の形態について、図面を参照して詳細に説明する。上述した第2の実施の形態では、通信判定部160は、接続端末と宛先端末とが、同一のサブネットに属するか否かを確認することにより、接続端末と宛先端末とが通信可能か否かを確認した。しかしながら、接続端末と宛先端末とが通信可能か否かを確認する方法は、これに限定されるものではない。本実施の形態では、接続端末と宛先端末とが通信可能か否かを確認する別の方法について説明する。なお、上述した第2の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
本実施の形態に係るネットワーク管理装置102は、図3に示す第2の実施の形態に係るネットワーク管理装置101と同様の機能構成を有する。ネットワーク管理装置102は、端末判定部110、仮装情報生成部120、正規情報生成部130、ネットワーク構成情報管理部140、仮装情報登録部150、通信判定部160およびネットワーク構成情報記憶部170を備えている。
ネットワーク構成情報管理部140は、端末の正規のネットワーク構成情報を用いて、端末間の関係性を示す関係情報と、当該関係情報で示される端末間の動作を示す動作情報とを関連付けて管理する。本実施の形態では、ネットワーク構成情報管理部140が管理する情報が、ネットワーク構成情報記憶部170に格納されることを例に説明を行うが、本実施の形態はこれに限定されるものではない。ネットワーク構成情報管理部140が管理する情報は、図示しないその他の記憶装置に格納されるものであってもよい。
また、ネットワーク構成情報管理部140が管理する、上記関係情報および対応する動作情報は、予めネットワーク構成情報記憶部170に登録されるものであってもよいし、正規情報生成部130が生成するものであってもよい。ネットワーク構成情報管理部140が管理する上記関係情報および対応する動作情報の生成方法は、特に限定されない。
図7を参照して、ネットワーク構成情報管理部140が管理する関係情報および動作情報について説明する。図7は、ネットワーク構成情報管理部140が管理する関係情報および動作情報の一例を示す図である。なお、図7においては、関係情報を「ルール」と呼び、動作情報を「アクション」と呼ぶ。また、図7においては、正規のネットワーク構成情報として、ホスト名(NAME)を使用している。なお、図7において、関係情報に用いられる正規のネットワーク構成情報は、ホスト名に限定されるものではない。
図7に示す通り、ルールの欄には、図4に示す正規のネットワーク構成情報に含まれるホスト名の関係情報が含まれている。例えば、ホスト名が「pepper」である端末(端末300とする)と、ホスト名が「ginger」である端末(端末400とする)との間の通信の関係情報が矢印「−>」で示されている。これは、端末300から端末400に対し通信を行うという関係を示している。つまり、矢印の起点側のネットワーク構成情報で示される端末から、矢印の終点側のネットワーク構成情報で示される端末に対するアクセスルールを示しているとも言える。
また、アクションの欄には、「allow」または「deny」の文字列が含まれている。アクションが「allow」の場合、対応するルールが、許可されていることを示している。アクションが「deny」の場合、対応するルールが、許可されていないことを示している。
なお、「ルール」および「アクション」の欄に記載される情報は、図7の形式に限定されるものではなく、夫々、端末間の関係情報および対応する動作情報を示すものであればよい。
通信判定部160は、上記動作情報を用いて、ネットワーク通信装置200に接続された接続端末が、宛先端末と通信可能か否かを判定する。図7に示す通り、接続端末のホスト名が「pepper」であり、宛先端末のホスト名が「ginger」の場合、対応する動作情報は、「allow」である。よって、通信判定部160は、接続端末が宛先端末と通信可能であると判定する。また、接続端末のホスト名が「pepper」であり、宛先端末のホスト名が「wasabi」の場合、対応する動作情報は、「deny」である。よって、通信判定部160は、接続端末が宛先端末と通信不可能であると判定する。
このように、本実施の形態に係るネットワーク管理装置102によれば、ネットワーク通信装置200に接続された接続端末が、宛先端末と通信可能か否かを、同一のサブネットか否かを確認することなく、判定することができる。これにより、入力パケットに宛先のIPアドレスが含まれていなくても、接続端末が、宛先端末と通信可能か否かを確認することができる。
したがって、本実施の形態に係るネットワーク管理装置102によれば、上述した第2の実施の形態に係るネットワーク管理装置101と同様の効果を得ることができる。
<第4の実施の形態>
本発明の第4の実施の形態について、図面を参照して詳細に説明する。上述した第2の実施の形態では、正規情報生成部130が生成する正規のネットワーク構成情報は、IPアドレス、MACアドレス、ホスト名といった、ネットワーク上の通信にそのまま利用可能な情報であったが、本実施の形態はこれに限定されるものではない。正規情報生成部130が生成する正規のネットワーク構成情報は、通信にそのまま利用可能な情報でなくてもよい。本実施の形態では、正規情報生成部130が生成する正規のネットワーク構成情報の一例について説明する。なお、上述した第2の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
本実施の形態に係るネットワーク管理装置103は、図3に示す第2の実施の形態に係るネットワーク管理装置101と同様の機能構成を有する。ネットワーク管理装置103は、端末判定部110、仮装情報生成部120、正規情報生成部130、ネットワーク構成情報管理部140、仮装情報登録部150、通信判定部160およびネットワーク構成情報記憶部170を備えている。
図8は、本実施の形態に係るネットワーク構成情報記憶部170に格納されたデータの一例を示す図である。図8に示す通り、ネットワーク構成情報記憶部170には、正規のネットワーク構成情報と、当該正規のネットワーク構成情報とは異なる仮装のネットワーク構成情報とが互いに関連付けられて格納されている。
ここで、本実施の形態に係る正規情報生成部130が生成する正規のネットワーク構成情報は、当該ネットワーク管理装置103上でのみ識別可能な情報である。上記識別可能な情報とは、例えば、ネットワーク管理装置103上で、端末を一意に特定する文字列(図8においては、端末特定情報と称す)であるとする。当該文字列は、ホスト名であってもよいし、ネットワーク管理装置103が管理可能なものであればよい。当該文字列は、上述した実施の形態で示された、正規のネットワーク構成情報に含まれる、IPアドレス、MACアドレスおよびホスト名の何れかに相当するものであるとする。
更に、正規情報生成部130は、正規のネットワーク構成情報として、上記文字列で示される端末が属するグループを示す情報を生成する。図8においては、「pepper」で示される端末が「aaa」というグループ名のグループに属していることを示している。
このグループは、例えば、サブネットに相当するものである。通信判定部160は、接続端末の正規のネットワーク構成情報のグループを示す情報と、宛先端末の正規のネットワーク構成情報のグループを示す情報とを用いて、接続端末と宛先端末とが通信可能か否かを確認する。例えば、通信判定部160は、接続端末と宛先端末とが同一のグループに属するか否かを確認する。
これにより、通信判定部160は、接続端末と宛先端末とが通信可能であると判定されたとき、当該接続端末から送信された入力パケットを宛先端末に転送することができる。
このように、本実施の形態に係るネットワーク管理装置103によれば、正規のネットワーク構成情報が、IPアドレスなど、他の端末との通信に直接利用される情報でなくとも、好適に、他の端末と通信可能か否かを確認することができる。
したがって、本実施の形態に係るネットワーク管理装置103によれば、上述した第2の実施の形態に係るネットワーク管理装置101と同様の効果を得ることができる。
(変形例)
本実施の形態に係るネットワーク管理装置103は、本実施の形態において生成した正規のネットワーク構成情報に対して、第3の実施の形態で説明した、ネットワーク構成情報管理部140が管理する情報(関係情報および動作情報)を用いて、接続端末と宛先端末とが通信可能か否かを確認してもよい。本変形例においては、この方法について説明する。なお、上述した各実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
本変形例に係るネットワーク管理装置104は、図3に示す第2の実施の形態に係るネットワーク管理装置101と同様の機能構成を有する。ネットワーク管理装置104は、端末判定部110、仮装情報生成部120、正規情報生成部130、ネットワーク構成情報管理部140、仮装情報登録部150、通信判定部160およびネットワーク構成情報記憶部170を備えている。
本変形例に係るネットワーク構成情報管理部140は、第4の実施の形態に係るネットワーク管理装置103の正規情報生成部130が正規のネットワーク構成情報として生成した、文字列と、当該文字列で示される端末が属するグループ(図8参照)を管理する。
また、ネットワーク構成情報管理部140は、上記正規のネットワーク構成情報を用いて、端末間の関係性を示す関係情報と、当該関係情報で示される端末間の動作を示す動作情報(図7参照)とを関連付けて管理する。
ネットワーク構成情報記憶部170は、ネットワーク構成情報管理部140が管理する情報を格納する。なお、第3の実施の形態と同様に、上記関係情報と、当該関係情報に対応する動作情報とは、ネットワーク構成情報記憶部170とは異なる記憶装置に格納されるものであってもよい。
このように、本実施の形態に係るネットワーク管理装置104によれば、ネットワーク通信装置200に接続された接続端末が、宛先端末と通信可能か否かを、好適に判定することができる。
また、本変形例に係るネットワーク構成情報管理部140が管理する関係情報および動作情報は端末間に限定されない。関係情報は、例えば、(1)端末と、他の端末が属するグループとの間、(2)端末が属するグループと、端末との間、(3)端末が属するグループと、他の端末が属するグループとの間の関係性を示す情報であってもよい。そして、動作情報は、これらの関係情報に対応する動作を示す情報であればよい。これにより、通信判定部160は、より好適に、接続端末が宛先端末と通信可能か否かを判定することができる。
<第5の実施の形態>
本発明の第5の実施の形態について、図面を参照して詳細に説明する。なお、上述した第2の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
図9は、本実施の形態に係るネットワークシステム3におけるネットワーク管理装置105の機能構成の一例を示す機能ブロック図である。図9に示す通り、ネットワーク管理装置105は、端末判定部110、仮装情報生成部120、正規情報生成部130、ネットワーク構成情報管理部140、仮装情報登録部150、通信判定部160、ネットワーク構成情報記憶部170および仮装情報再生成部500を備えている。
仮装情報再生成部500は、仮装のネットワーク構成情報を所定の間隔で変更するために、変更対象の仮装のネットワーク構成情報が登録された端末に対し、新たな仮装のネットワーク構成情報を定期的に、または任意のタイミングでランダムに生成する手段である。新たな仮装のネットワーク構成情報の生成は、所定の周期で仮装のネットワーク構成情報を変更するための期間を管理者がネットワーク管理装置105に設定することにより行われる構成であってもよい。また、新たな仮装のネットワーク構成情報の生成は、ランダムな周期(期間)をネットワーク構成情報管理部140または仮装情報再生成部500が自動的に設定することにより、行われる構成であってもよいし、その他の方法であってもよい。
また、仮装情報再生成部500が新たな仮装のネットワーク構成情報を生成する対象の端末を示す情報(対象端末情報)は、ネットワーク構成情報管理部140から供給されるものであってもよいし、仮装情報再生成部500がネットワーク構成情報記憶部170から取得する構成であってもよい。なお、対象端末情報は、対象の端末の正規のネットワーク構成情報であってもよいし、仮装のネットワーク構成情報であってもよい。
仮装情報再生成部500は、生成した新たな仮装のネットワーク構成情報を、対象端末情報と共に、ネットワーク構成情報管理部140および仮装情報登録部150に供給する。
ネットワーク構成情報管理部140は、変更対象の仮装のネットワーク構成情報が登録された端末を示す正規のネットワーク構成情報と、生成された新たな仮装のネットワーク構成情報とを関連付けて管理する。ネットワーク構成情報管理部140は、上記関連付けたネットワーク構成情報を、ネットワーク構成情報記憶部170に格納する。
ここで、図10を参照して、本実施の形態に係るネットワーク構成情報記憶部に格納されたデータについて説明する。図10は、本実施の形態に係るネットワーク管理装置105のネットワーク構成情報記憶部170に格納されたデータであって、仮装のネットワーク構成情報が変更される前と変更された後とのデータの一例を示す図である。
図10の上側の表は、仮装のネットワーク構成情報が変更される前の、仮装のネットワーク構成情報と正規のネットワーク構成情報とを示している。仮装情報再生成部500によって、新たな仮装のネットワーク構成情報が生成されると、ネットワーク構成情報管理部140は、図10の下側の表に示す通り、変更の対象となる端末の、変更前の仮装のネットワーク構成情報を、新たな仮装のネットワーク構成情報に変更する。これにより、ネットワーク構成情報管理部140は、新たな仮装のネットワーク構成情報と、正規のネットワーク構成情報とを関連付けて管理する。
仮装情報登録部150は、仮装情報再生成部500から供給された端末対象情報で示される端末に対し、当該端末に登録された仮装のネットワーク構成情報を、仮装情報再生成部500から供給された新たな仮装のネットワーク構成情報に変更する。
これにより、接続端末は、定期的に、仮装のネットワーク構成情報を更新することができる。
なお、仮装情報再生成部500は、ネットワーク構成情報管理部140で管理するまたはネットワーク通信装置200に現時点で接続している、全ての端末に対し、一斉に新たな仮装のネットワーク構成情報を生成してもよい。また、仮装情報再生成部500は、所定のグループごとに、当該グループに属する端末に対し、新たな仮装のネットワーク構成情報を、当該グループごとに定められた間隔で生成してもよい。所定のグループとは、例えば、サブネットであってもよいし、上述した第4の実施の形態で、正規情報生成部130が生成するグループであってもよい。
(効果)
本実施の形態に係るネットワーク管理装置105によれば、定期的に、接続端末に登録された仮装のネットワーク構成情報が変わるので、より好適に、感染端末からの悪意のある活動を困難にすることができる。したがって、ネットワーク管理装置105は、ネットワークシステム3の安全性をより高めることができる。
また、本実施の形態に係るネットワーク管理装置105は、所定のグループごとに新たな仮装のネットワーク構成情報を生成する。これにより、ネットワーク管理装置105は、より攻撃を受けやすい端末を含むグループに対しては、短い間隔で仮装のネットワーク構成情報を更新し、攻撃を受けづらい端末を含むグループに対しては、仮装のネットワーク構成情報をあまり更新しないという制御ができる。したがって、ネットワーク管理装置105は、ネットワークシステム3の安全性をより高めることができる。
<第6の実施の形態>
本発明の第6の実施の形態について、図面を参照して詳細に説明する。なお、上述した第1および第2の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
図11は、本実施の形態に係るネットワークシステム4におけるネットワーク管理装置106の機能構成の一例を示す機能ブロック図である。図11に示す通り、ネットワーク管理装置106は、端末判定部110、仮装情報生成部120、正規情報生成部130、ネットワーク構成情報管理部140、仮装情報登録部150、通信判定部160、ネットワーク構成情報記憶部170および感染端末検知部600を備えている。なお、図11に示すネットワーク管理装置106は、第2の実施の形態のネットワーク管理装置101に、更に感染端末検知部600を備える構成であるが、その他の実施の形態のネットワーク管理装置に感染端末検知部600を備える構成であってもよい。
(感染端末検知部600)
感染端末検知部600は、端末判定部110によって、ネットワーク管理装置106に接続された接続端末が新規に接続された端末でないと判定されたとき、端末判定部110が受信した入力パケットを、当該端末判定部110から受け取る。そして、感染端末検知部600は、受け取った入力パケットに含まれる宛先識別情報がネットワーク構成情報管理部140によって管理されているか否かを確認する。具体的には、感染端末検知部600は、宛先識別情報に含まれる、宛先のIPアドレス、MACアドレス、ホスト名等がネットワーク構成情報記憶部170に格納されているか否かを確認する。
そして、感染端末検知部600は、上記宛先識別情報がネットワーク構成情報管理部140によって管理されていないとき、当該宛先識別情報を含んだ入力パケットを送信した接続端末が、マルウェアに感染した端末(マルウェア感染端末)である可能性が高いと検知する。その後、感染端末検知部600は、検知した端末を、ネットワーク管理装置106が管理するネットワークから切り離す。端末をネットワークから切り離す方法は、既存の方法を用いるとするため、本実施の形態では説明を省略する。
感染端末検知部600は、上記宛先識別情報がネットワーク構成情報管理部140によって管理されているとき、端末判定部110から受け取った入力パケットを、通信判定部160に供給する。
そして、通信判定部160は、感染端末検知部600から受け取った入力パケットに基づいて、接続端末と宛先端末とが通信可能か否かを判定する。
(効果)
以上のように、本実施の形態に係るネットワーク管理装置106によれば、感染端末検知部600が、端末判定部110が受信した入力パケットに含まれる宛先識別情報がネットワーク構成情報管理部140によって管理されているかを確認する。そして、当該宛先識別情報がネットワーク構成情報管理部140によって管理されていないとき、接続端末がマルウェア感染端末であると検知する。そして、感染端末検知部600は、当該接続端末を、ネットワークから切り離す。
仮装情報登録部150が接続端末に仮装のネットワーク構成情報を登録するため、当該仮装のネットワーク構成情報を用いて、当該接続端末の周辺端末のIPアドレスおよびMACアドレスを類推することが困難である。したがって、悪意のあるユーザは、接続端末から、任意のIPアドレスおよびMACアドレス宛てに、探索パケットを発信する可能性がある。例えば、IPv4(Internet Protocol Version 4)環境では、そのIPアドレスの総数はおよそ43億個であるため、ピンポイントで周辺端末を探索することは困難である。したがって、任意のIPアドレスは、ダークネットである可能性が高い。
本実施の形態では、ネットワーク構成情報管理部140が管理していないネットワーク構成情報(例えばIPアドレス)宛ての入力パケットをダークネット宛ての入力パケットであると想定する。したがって、感染端末検知部600は、当該入力パケットを送信した端末がマルウェア感染端末であると検知する。
したがって、ネットワーク管理装置106は、より高精度にボット等に感染した端末を検知することができる。また、感染端末検知部600が、検知した端末をネットワークから隔離することにより、当該ネットワークの安全性をより高めることができる。
(ハードウェア構成について)
なお、図1、3、9および11に示したネットワーク管理装置の各部は、図12に例示するハードウェア資源で実現してもよい。すなわち、図12に示す構成は、RAM(Random Access Memory)111、ROM(Read Only Memory)112、通信インタフェース113、記憶媒体114およびCPU115を備える。CPU115は、ROM112または記憶媒体114に記憶された各種ソフトウェアプログラム(コンピュータプログラム)を、RAM111に読み出して実行することにより、ネットワーク管理装置の全体的な動作を司る。すなわち、上記各実施形態において、CPU115は、ROM112または記憶媒体114を適宜参照しながら、ネットワーク管理装置が備える各機能(各部)を実行するソフトウェアプログラムを実行する。
また、各実施形態を例に説明した本発明は、ネットワーク管理装置に対して、上記説明した機能を実現可能なコンピュータプログラムを供給した後、そのコンピュータプログラムを、CPU115がRAM111に読み出して実行することによって達成されてもよい。
また、係る供給されたコンピュータプログラムは、読み書き可能なメモリ(一時記憶媒体)またはハードディスク装置等のコンピュータ読み取り可能な記憶デバイスに格納すればよい。そして、このような場合において、本発明は、係るコンピュータプログラムを表すコード或いは係るコンピュータプログラムを格納した記憶媒体によって構成されると捉えることができる。
上述した各実施形態では、図1、3、9および11に示したネットワーク管理装置における各ブロックに示す機能を、図12に示すCPU115が実行する一例として、ソフトウェアプログラムによって実現する場合について説明した。しかしながら、図1、3、9および11に示した各ブロックに示す機能は、一部または全部を、ハードウェアの回路として実現してもよい。
なお、上述した各実施の形態は、本発明の好適な実施の形態であり、上記各実施の形態にのみ本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において当業者が上記各実施の形態の修正や代用を行い、種々の変更を施した形態を構築することが可能である。
上記の実施の形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
端末と通信装置を介して接続するネットワーク管理装置であって、
当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、
前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、
前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、
前記仮装の識別情報を、前記端末に登録する登録手段と、を備える、ネットワーク管理装置。
(付記2)
前記仮装の識別情報を所定の間隔で変更するために、変更対象の仮装の識別情報が登録された端末に対し、新たな仮装の識別情報を生成する仮装情報再生成手段を更に備え、
前記管理手段は、前記変更対象の仮装の識別情報が登録された端末を示す正規の識別情報と、前記生成された新たな仮装の識別情報とを関連付けて管理し、
前記登録手段は、前記変更対象の仮装の識別情報が登録された端末に対し、当該端末に登録された仮装の識別情報を、前記生成された新たな仮装の識別情報に変更する、付記1に記載のネットワーク管理装置。
(付記3)
前記仮装情報再生成手段は、前記所定のグループごとに、前記新たな仮装の識別情報を、当該グループごとに定められた間隔で生成する、付記2に記載のネットワーク管理装置。
(付記4)
前記通信装置を介して接続された端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定する第1の判定手段と、
前記第1の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末でないと判定されたとき、当該端末が前記他の端末と通信可能か否かを判定する第2の判定手段と、を更に備え、
前記第1の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末であると判定されたとき、前記正規情報生成手段および前記仮装情報生成手段は、夫々、前記正規の識別情報および前記仮装の識別情報を生成し、
前記第2の判定手段は、前記端末が前記他の端末と通信可能であると判定したとき、当該端末から送信された入力パケットを、前記他の端末に転送する、付記1から3の何れか1つに記載のネットワーク管理装置。
(付記5)
前記入力パケットには、当該入力パケットを送信した端末を識別する端末識別情報と、当該端末が通信を行う前記他の端末を識別する宛先識別情報とが含まれており、
前記第1の判定手段は、前記入力パケットを前記端末から受信し、当該入力パケットに含まれる前記端末識別情報が前記管理手段によって管理されているかを確認することにより、当該端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定し、
前記第2の判定手段は、前記端末識別情報と、前記宛先識別情報とに基づいて、前記端末が前記他の端末と通信可能か否かを判定する、付記4に記載のネットワーク管理装置。
(付記6)
前記端末識別情報が、前記登録手段によって前記端末に登録された前記仮装の識別情報であり、当該仮装の識別情報が前記管理手段によって管理されているとき、前記第1の判定手段は、当該端末識別情報によって示される端末が、前記ネットワーク管理装置に新規に接続された端末ではないと判定する、付記5に記載のネットワーク管理装置。
(付記7)
前記宛先識別情報が、前記登録手段によって前記他の端末に登録された仮装の識別情報であり、
前記第2の判定手段は、前記管理手段によって当該宛先識別情報に関連付けられた、前記他の端末の正規の識別情報と、前記端末の正規の識別情報とを用いて、前記端末が前記他の端末と通信可能か否かを判定する、付記5または6に記載のネットワーク管理装置。
(付記8)
前記第1の判定手段が受信した前記入力パケットに含まれる前記宛先識別情報が前記管理手段によって管理されているかを確認し、当該宛先識別情報が前記管理手段によって管理されていないとき、前記端末がマルウェア感染端末であると検知する検知手段を更に備え、
前記第2の判定手段は、前記検知手段によって、当該宛先識別情報が前記管理手段によって管理されていると確認されたとき、前記端末が前記宛先識別情報によって示される前記他の端末と通信可能か否かを判定する、付記5から7の何れか1つに記載のネットワーク管理装置。
(付記9)
前記正規情報生成手段は、前記正規の識別情報として、IP(Internet Protocol)アドレスを生成し、
前記第2の判定手段は、前記端末と前記他の端末とが同一のサブネットに含まれるか否かを確認することにより、当該端末と当該他の端末とが通信可能か否かを判定する、付記4から8の何れか1つに記載のネットワーク管理装置。
(付記10)
前記管理手段は、更に、前記端末の正規の識別情報と、前記他の端末の正規の識別情報との間の関係性を示す関係情報と、当該関係情報で示される端末間の動作を示す動作情報とを関連付けて管理し、
前記第2の判定手段は、前記動作情報を用いて前記端末が前記他の端末と通信可能か否かを判定する、付記4から8の何れか1つに記載のネットワーク管理装置。
(付記11)
前記正規情報生成手段は、前記正規の識別情報として、前記端末を一意に特定する文字列と、当該端末が属するグループを示す情報とを生成し、
前記第2の判定手段は、前記端末と前記他の端末とが同一のグループに属するか否かを確認することにより、当該端末と当該他の端末とが通信可能か否かを判定する、付記4から8の何れか1つに記載のネットワーク管理装置。
(付記12)
前記正規情報生成手段は、前記正規の識別情報として、前記端末を一意に特定する文字列と、当該端末が属するグループを示す情報とを生成し、
前記管理手段は、更に、前記端末および前記他の端末間、前記端末と前記他の端末が属するグループとの間、前記端末が属するグループと前記端末との間、および、前記端末が属するグループと前記他の端末が属するグループと間の少なくとも何れかの関係性を示す関係情報と、当該関係情報で示される対象の間の動作を示す動作情報とを関連付けて管理し、
前記第2の判定手段は、前記動作情報を用いて前記端末が前記他の端末と通信可能か否かを判定する、付記4から8の何れか1つに記載のネットワーク管理装置。
(付記13)
前記管理手段によって管理された情報を記憶する記憶手段を更に備える、付記1から12の何れか1つに記載のネットワーク管理装置。
(付記14)
複数の端末と、
ネットワークを管理するネットワーク管理装置と、
前記複数の端末の夫々と前記ネットワーク管理装置とを接続する通信装置と、を備え、
前記ネットワーク管理装置は、
前記複数の端末のうち、前記通信装置を介して当該ネットワーク管理装置に接続された端末に対し、当該ネットワーク管理装置が管理するネットワーク上において、前記複数の端末の夫々を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、
前記ネットワークに接続された端末に対し、前記正規の識別情報とは異なる仮装の識別情報であって、当該端末が他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、
前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、
前記仮装の識別情報を、前記ネットワークに接続された端末に登録する登録手段と、を備える、ネットワークシステム。
(付記15)
端末と通信装置を介して接続するネットワーク管理装置のネットワーク管理方法であって、
前記ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成し、
前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成し、
前記正規の識別情報および前記仮装の識別情報を、関連付けて管理し、
前記仮装の識別情報を、前記端末に登録する、ネットワーク管理方法。
(付記16)
端末と通信装置を介して接続するネットワーク管理装置を含むコンピュータに、
当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する処理と、
前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する処理と、
前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する処理と、
前記仮装の識別情報を、前記端末に登録する処理と、を実行させるプログラム。
(付記17)
付記16に記載のプログラムを記憶する、コンピュータ読み取り可能な記録媒体。
この出願は、2014年3月13日に出願された日本出願特願2014−049856を基礎とする優先権を主張し、その開示の全てをここに取り込む。
1〜4 ネットワークシステム
100〜106 ネットワーク管理装置
110 端末判定部
120 仮装情報生成部
130 正規情報生成部
140 ネットワーク構成情報管理部
150 仮装情報登録部
160 通信判定部
170 ネットワーク構成情報記憶部
200 ネットワーク通信装置
300 端末
400 端末
500 仮装情報再生成部
600 感染端末検知部

Claims (15)

  1. 端末と通信装置を介して接続するネットワーク管理装置であって、
    当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、
    前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、
    前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、
    前記仮装の識別情報を、前記端末に登録する登録手段と、
    前記通信装置を介して接続された端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定する第1の判定手段と、
    前記第1の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末でないと判定されたとき、当該端末が前記他の端末と通信可能か否かを判定する第2の判定手段と、を備え、
    前記第1の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末であると判定されたとき、前記正規情報生成手段および前記仮装情報生成手段は、夫々、前記正規の識別情報および前記仮装の識別情報を生成し、
    前記第2の判定手段は、前記端末が前記他の端末と通信可能であると判定したとき、当該端末から送信された入力パケットを、前記他の端末に転送する、
    ネットワーク管理装置。
  2. 前記仮装の識別情報を所定の間隔で変更するために、変更対象の仮装の識別情報が登録された端末に対し、新たな仮装の識別情報を生成する仮装情報再生成手段を更に備え、
    前記管理手段は、前記変更対象の仮装の識別情報が登録された端末を示す正規の識別情報と、前記生成された新たな仮装の識別情報とを関連付けて管理し、
    前記登録手段は、前記変更対象の仮装の識別情報が登録された端末に対し、当該端末に登録された仮装の識別情報を、前記生成された新たな仮装の識別情報に変更する、
    請求項1に記載のネットワーク管理装置。
  3. 前記仮装情報再生成手段は、前記所定のグループごとに、前記新たな仮装の識別情報を、当該グループごとに定められた間隔で生成する、
    請求項2に記載のネットワーク管理装置。
  4. 前記入力パケットには、当該入力パケットを送信した端末を識別する端末識別情報と、当該端末が通信を行う前記他の端末を識別する宛先識別情報とが含まれており、
    前記第1の判定手段は、前記入力パケットを前記端末から受信し、当該入力パケットに含まれる前記端末識別情報が前記管理手段によって管理されているかを確認することにより、当該端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定し、
    前記第2の判定手段は、前記端末識別情報と、前記宛先識別情報とに基づいて、前記端末が前記他の端末と通信可能か否かを判定する、
    請求項1から3のいずれか1項に記載のネットワーク管理装置。
  5. 前記端末識別情報が、前記登録手段によって前記端末に登録された前記仮装の識別情報であり、当該仮装の識別情報が前記管理手段によって管理されているとき、前記第1の判定手段は、当該端末識別情報によって示される端末が、前記ネットワーク管理装置に新規に接続された端末ではないと判定する、
    請求項4に記載のネットワーク管理装置。
  6. 前記宛先識別情報が、前記登録手段によって前記他の端末に登録された仮装の識別情報であり、
    前記第2の判定手段は、前記管理手段によって当該宛先識別情報に関連付けられた、前記他の端末の正規の識別情報と、前記端末の正規の識別情報とを用いて、前記端末が前記他の端末と通信可能か否かを判定する、
    請求項4または5に記載のネットワーク管理装置。
  7. 前記第1の判定手段が受信した前記入力パケットに含まれる前記宛先識別情報が前記管理手段によって管理されているかを確認し、当該宛先識別情報が前記管理手段によって管理されていないとき、前記端末がマルウェア感染端末であると検知する検知手段を更に備え、
    前記第2の判定手段は、前記検知手段によって、当該宛先識別情報が前記管理手段によって管理されていると確認されたとき、前記端末が前記宛先識別情報によって示される前記他の端末と通信可能か否かを判定する、
    請求項4から6の何れか1項に記載のネットワーク管理装置。
  8. 前記正規情報生成手段は、前記正規の識別情報として、IP(Internet Protocol)アドレスを生成し、
    前記第2の判定手段は、前記端末と前記他の端末とが同一のサブネットに含まれるか否かを確認することにより、当該端末と当該他の端末とが通信可能か否かを判定する、
    請求項1から7の何れか1項に記載のネットワーク管理装置。
  9. 前記管理手段は、更に、前記端末の正規の識別情報と、前記他の端末の正規の識別情報との間の関係性を示す関係情報と、当該関係情報で示される端末間の動作を示す動作情報とを関連付けて管理し、
    前記第2の判定手段は、前記動作情報を用いて前記端末が前記他の端末と通信可能か否かを判定する、
    請求項1から7の何れか1項に記載のネットワーク管理装置。
  10. 前記正規情報生成手段は、前記正規の識別情報として、前記端末を一意に特定する文字列と、当該端末が属するグループを示す情報とを生成し、
    前記第2の判定手段は、前記端末と前記他の端末とが同一のグループに属するか否かを確認することにより、当該端末と当該他の端末とが通信可能か否かを判定する、
    請求項1から7の何れか1項に記載のネットワーク管理装置。
  11. 前記正規情報生成手段は、前記正規の識別情報として、前記端末を一意に特定する文字列と、当該端末が属するグループを示す情報とを生成し、
    前記管理手段は、更に、前記端末および前記他の端末間、前記端末と前記他の端末が属するグループとの間、前記端末が属するグループと前記端末との間、および、前記端末が属するグループと前記他の端末が属するグループと間の少なくとも何れかの関係性を示す関係情報と、当該関係情報で示される対象の間の動作を示す動作情報とを関連付けて管理し、
    前記第2の判定手段は、前記動作情報を用いて前記端末が前記他の端末と通信可能か否かを判定する、
    請求項1から7の何れか1項に記載のネットワーク管理装置。
  12. 前記管理手段によって管理された情報を記憶する記憶手段を更に備える、
    請求項1から11の何れか1項に記載のネットワーク管理装置。
  13. 複数の端末と、
    ネットワークを管理するネットワーク管理装置と、
    前記複数の端末の夫々と前記ネットワーク管理装置とを接続する通信装置と、を備え、
    前記ネットワーク管理装置は、
    前記複数の端末のうち、前記通信装置を介して当該ネットワーク管理装置に接続された端末に対し、当該ネットワーク管理装置が管理するネットワーク上において、前記複数の端末の夫々を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、
    前記ネットワークに接続された端末に対し、前記正規の識別情報とは異なる仮装の識別情報であって、当該端末が他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、
    前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、
    前記仮装の識別情報を、前記ネットワークに接続された端末に登録する登録手段と
    前記通信装置を介して接続された端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定する第1の判定手段と、
    前記第1の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末でないと判定されたとき、当該端末が前記他の端末と通信可能か否かを判定する第2の判定手段と、を備え、
    前記第1の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末であると判定されたとき、前記正規情報生成手段および前記仮装情報生成手段は、夫々、前記正規の識別情報および前記仮装の識別情報を生成し、
    前記第2の判定手段は、前記端末が前記他の端末と通信可能であると判定したとき、当該端末から送信された入力パケットを、前記他の端末に転送する、
    ネットワークシステム。
  14. 端末と通信装置を介して接続するネットワーク管理装置のネットワーク管理方法であって、
    前記ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成し、
    前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成し、
    前記正規の識別情報および前記仮装の識別情報を、関連付けて管理し、
    前記仮装の識別情報を、前記端末に登録し、
    前記通信装置を介して接続された端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定し、
    前記ネットワーク管理装置に接続された端末が新規に接続された端末であると判定されたとき、前記正規の識別情報および前記仮装の識別情報を生成し、
    前記ネットワーク管理装置に接続された端末が新規に接続された端末でないと判定されたとき、当該端末が前記他の端末と通信可能か否かを判定し、
    前記端末が前記他の端末と通信可能であると判定したとき、当該端末から送信された入力パケットを、前記他の端末に転送する、
    ネットワーク管理方法。
  15. 端末と通信装置を介して接続するネットワーク管理装置を含むコンピュータに、
    当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する処理と、
    前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する処理と、
    前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する処理と、
    前記仮装の識別情報を、前記端末に登録する処理と、
    前記通信装置を介して接続された端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定する第1の判定処理と、
    前記第1の判定処理によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末でないと判定されたとき、当該端末が前記他の端末と通信可能か否かを判定する第2の判定処理とを実行させ、更に、
    前記第1の判定処理によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末であると判定されたとき、前記正規の識別情報および前記仮装の識別情報を生成する処理を実行させ、
    前記第2の判定処理によって、前記端末が前記他の端末と通信可能であると判定したとき、当該端末から送信された入力パケットを、前記他の端末に転送する処理、
    を実行させるプログラム。
JP2016507292A 2014-03-13 2015-02-16 ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法およびプログラム Active JP6418232B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014049856 2014-03-13
JP2014049856 2014-03-13
PCT/JP2015/000696 WO2015136842A1 (ja) 2014-03-13 2015-02-16 ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法および記録媒体

Publications (2)

Publication Number Publication Date
JPWO2015136842A1 JPWO2015136842A1 (ja) 2017-04-06
JP6418232B2 true JP6418232B2 (ja) 2018-11-07

Family

ID=54071305

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016507292A Active JP6418232B2 (ja) 2014-03-13 2015-02-16 ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法およびプログラム

Country Status (3)

Country Link
US (1) US10516665B2 (ja)
JP (1) JP6418232B2 (ja)
WO (1) WO2015136842A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11271989B2 (en) * 2016-09-27 2022-03-08 Red Hat, Inc. Identifying a component cluster
CN107220538A (zh) * 2017-06-27 2017-09-29 广东欧珀移动通信有限公司 支付类应用程序管理方法、装置及移动终端
JP7120030B2 (ja) * 2019-01-09 2022-08-17 富士通株式会社 検知装置、検知方法、および、検知プログラム

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5500852A (en) * 1994-08-31 1996-03-19 Echelon Corporation Method and apparatus for network variable aliasing
US5852724A (en) * 1996-06-18 1998-12-22 Veritas Software Corp. System and method for "N" primary servers to fail over to "1" secondary server
US6601093B1 (en) * 1999-12-01 2003-07-29 Ibm Corporation Address resolution in ad-hoc networking
JP4683442B2 (ja) * 2000-07-13 2011-05-18 富士通フロンテック株式会社 処理装置および集積回路
WO2003094366A2 (en) * 2002-05-06 2003-11-13 Qualcomm Incorporated System and method for registering ip address of wireless communication device
JP4003634B2 (ja) * 2002-12-17 2007-11-07 株式会社日立製作所 情報処理装置
EP1718034A1 (en) * 2005-04-25 2006-11-02 Thomson Multimedia Broadband Belgium Process for managing resource address requests and associated gateway device
US8094666B2 (en) * 2005-06-30 2012-01-10 Telefonaktiebolaget L M Ericsson (Publ) Mapping an original MAC address of a terminal to a unique locally administrated virtual MAC address
US20070201490A1 (en) * 2005-07-13 2007-08-30 Mahamuni Atul B System and method for implementing ethernet MAC address translation
US7639792B2 (en) * 2005-11-23 2009-12-29 Att Knowledge Ventures, L.P. System and method for location management and emergency support for a voice over internet protocol device
JP4601704B2 (ja) * 2006-03-23 2010-12-22 富士通株式会社 パケット中継装置
TWI307232B (en) * 2006-06-09 2009-03-01 Hon Hai Prec Ind Co Ltd Wireless local area network with protection function and method for preventing attack
JP5062134B2 (ja) 2008-10-15 2012-10-31 日本電気株式会社 情報拡散システム、情報拡散装置、情報拡散方法、および情報拡散プログラム
US8800025B2 (en) * 2009-11-10 2014-08-05 Hei Tao Fung Integrated virtual desktop and security management system
EP2652906A4 (en) * 2010-12-15 2014-03-19 Zanttz Inc NETWORK PACING ENGINE
US20130097046A1 (en) * 2011-10-14 2013-04-18 Balachander Krishnamurthy System and Method of Providing Transactional Privacy
US8910296B2 (en) * 2011-10-31 2014-12-09 Cisco Technology, Inc. Data privacy for smart services
US8959573B2 (en) * 2012-05-01 2015-02-17 Harris Corporation Noise, encryption, and decoys for communications in a dynamic computer network
JP6082529B2 (ja) * 2012-05-23 2017-02-15 ローム株式会社 送信回路およびそれを集積化した集積回路、ならびに、送信装置、位置測位システム、送信方法
US9185071B2 (en) * 2012-12-31 2015-11-10 Telefonaktiebolaget L M Ericsson (Publ) Methods and systems for seamless network communications between devices running internet protocol version 6 and internet protocol version 4
US9137211B2 (en) * 2013-05-16 2015-09-15 Cisco Technology, Inc. Application services based on dynamic split tunneling
US9674213B2 (en) * 2015-10-29 2017-06-06 Duo Security, Inc. Methods and systems for implementing a phishing assessment

Also Published As

Publication number Publication date
US20170034166A1 (en) 2017-02-02
JPWO2015136842A1 (ja) 2017-04-06
WO2015136842A1 (ja) 2015-09-17
US10516665B2 (en) 2019-12-24

Similar Documents

Publication Publication Date Title
JP5713445B2 (ja) 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム
CN109347830B (zh) 一种网络动态防御系统及方法
CN105262738A (zh) 一种路由器及其防arp攻击的方法
JP6138714B2 (ja) 通信装置および通信装置における通信制御方法
Nur et al. Record route IP traceback: Combating DoS attacks and the variants
CN105991595A (zh) 网络安全防护方法及装置
TW201407405A (zh) 在一動態電腦網路中過濾通信之防火牆
JP6793056B2 (ja) 通信装置及びシステム及び方法
US11671405B2 (en) Dynamic filter generation and distribution within computer networks
JP2020017809A (ja) 通信装置及び通信システム
US20130298220A1 (en) System and method for managing filtering information of attack traffic
CN112688900B (zh) 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法
JP2008113409A (ja) トラフィック制御システム及び管理サーバ
CN108234473A (zh) 一种报文防攻击方法及装置
JPWO2016189843A1 (ja) セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
JP6418232B2 (ja) ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法およびプログラム
CN106878326A (zh) 基于反向检测的IPv6邻居缓存保护方法及其装置
CN105490995A (zh) 一种在nvo3网络中nve转发报文的方法和设备
JP2017175462A (ja) 通信制御装置、通信制御方法、及びプログラム
CN107690004B (zh) 地址解析协议报文的处理方法及装置
Gomez et al. Controller-oblivious dynamic access control in software-defined networks
KR20110029340A (ko) 분산 서비스 거부 공격의 방어 시스템
JP5509999B2 (ja) 不正接続防止装置及びプログラム
JP7120030B2 (ja) 検知装置、検知方法、および、検知プログラム
KR102056641B1 (ko) Arp 포이즈닝 공격을 해결하기 위한 sdn 컨트롤러 및 그 동작 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180807

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180830

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180911

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180924

R150 Certificate of patent or registration of utility model

Ref document number: 6418232

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150